第9章 操作系统的安全

3 最小特权管理

是系统安全中最基本的原则之一
第 9 章 操 作 系 统 的 安 全

思想：系统不应给用户超过执行任务所需特权之外的特 权；
要求赋予系统中每个使用者执行授权任务所需的限制性 最强的一组特权，即最低许可。

4 可信通路
第 9 章 操 作 系 统 的 安 全



保障用户和内核的通信机制 是用户能借以直接同可信计算基（TCB）通信 的一种机制 建立可信通路的方法：安全注意键
2 访问控制

第 9 章 操 作 系 统 的 安 全
基于角色的访问控制RBAC基本思想：对系统操作的各 种权限不是直接授予具体的用户，而是在用户集合与权 限集合之间建立一个角色集合。每一种角色对应一组相 应的权限。一旦用户被分配了适当的角色后，该用户就 拥有此角色的所有操作权限。 好处：不必在每次创建用户时都进行分配权限的操作， 只要分配用户相应的角色即可，而且角色的权限变更比 用户的权限变更要少得多，这样将简化用户的权限管理， 减少系统的开销。
这种控制是自主的，即它是以保护用户的个人资源的安 全为目标并以个人的意志为转移的。

2 访问控制

第 9 章 操 作 系 统 的 安 全

强制访问控制MAC：将系统中的信息分密级和类进行管 理，以保证每个用户只能访问到那些被标明可以由他访问 的信息的一种访问约束机制。 通俗的来说，在强制访问控制下，用户（或其他主体）与 文件（或其他客体）都被标记了固定的安全属性（如安全 级、访问权限等），在每次访问发生时，系统检测安全属 性以便确定一个用户是否有权访问该文件。
第 9 章 操 作 系 统 的 安 全
隐蔽通道
隐蔽通道可定义为系统中不受安全策略控 制的、违反安全策略的信息泄露路径。它是允 许系统进程以危害系统安全策略的方式传输信 息的通信信道。
第 9 章 操 作 系 统 的 安 全
按信息传递的方式和方法区分，隐蔽通道 分为隐蔽存储通道和隐蔽定时通道。
隐蔽通道
5 隐秘通道
第 9 章 操 作 系 统 的 安 全
隐蔽通道为系统中不受安全策略控制的、违反 安全策略的信息泄露路径。它是允许系统进程以 危害系统安全策略的方式传输信息的通信信道。

操作系统设计师要进行隐秘信道分析测试，采 取措施，在一定程度上消除或限制隐秘通道。

6 安全审计机制

第 9 章 操 作 系 统 的 安 全

9.1 操作系统安全性概述
第 9 章 操 作 系 统 的 安 全



9.1.1 9.1.2 9.1.3 9.1.4
操作系统安全的重要性 操作系统的安全等级 操作系统安全性的设计原则 安全操作系统的安全机制
9.1.1 操作系统安全的重要性
第 9 章 操 作 系 统 的 安 全
ห้องสมุดไป่ตู้
现在应用最广泛的各类操作系统并不很安全，它 们在安全性方面有很多漏洞。微软 Windows 系列 操作系统就有很多“后门”，通过一些特洛伊木马 程序，就可以轻松攻破 Windows 操作系统的防线， 控制目的计算机。尽管操作系统开发商不断提供禁 止这些“后门”的补丁，但仍难以清除人们对操作 系统安全的顾虑。


硬件安全机制
软件安全机制
硬件安全机制
第 9 章 操 作 系 统 的 安 全

存储保护：保护存储器中的数据能被 合法的访问 运行保护：分层保护环 I/O保护：I/O读写操作保护
存储保护、运行保护和I/O保护

第 9 章 操 作 系 统 的 安 全
存储保护

虚地址空间 分段 物理页号上的秘密信息 基于描述符的地址解释机制 保护环——运行域——等级域机制 进程隔离机制 I/O操作是操作系统完成的特权操作
第 9 章 操 作 系 统 的 安 全
系统漏洞
系统漏洞（System vulnerabilities） 是指应用软件或操作系统软件在逻辑设计上的缺 陷或错误，被不法者利用，通过网络植入木马、 病毒等方式来攻击或控制整个电脑，窃取电脑中 的重要资料和信息，甚至破坏系统。在不同种类 的软、硬件设备，同种设备的不同版本之间，由 不同设备构成的不同系统之间，以及同种系统在 不同的设置条件下，都会存在各自不同的安全漏 洞问题。
9.1.2 操作系统安全性的设计原则
第 9 章 操 作 系 统 的 安 全
操作系统安全性的设计原则包括：

信息保护机制的设计原则
安全内核的设计原则
信息保护机制的设计原则：
第 9 章 操 作 系 统 的 安 全






经济性 失败-安全默认 完全仲裁 开放系统 特权分离 最小特权 最少公共机制 方便使用
隐蔽存储通道在系统中通过两个进程利用 不受安全策略控制的存储单元传递信息。 隐蔽定时通道在系统中通过两个进程利用 一个不受安全策略控制的广义存储单元传递信 息。 判别一个隐蔽通道是否是隐蔽定时通道， 关键是看它有没有一个实时时钟、间隔定时器 或其他计时装置，不需要时钟或定时器的隐蔽 通道是隐蔽存储通道。
9.1.2 操作系统的安全等级
第 9 章 操 作 系 统 的 安 全
操作系统的安全等级同计算机系统的安全等级。 美国国防部把计算机系统的安全分为四等（A、B、 C 、 D ）七个级别，共 27 条评估准则。从最低等级 开始，随着等级的提高，系统可信度也随之增加， 风险逐渐减少。
D，最小保护；C，自主保护；B，强制保护；A， 验证保护。 Win7、UNIX、OS/2安全等级为C2 。
第 9 章 操 作 系 统 的 安 全
系统后门
系统后门一般是指那些绕过安全性控制而获 取对程序或系统访问权的程序方法。 在软件的开发阶段，程序员常常会在软件内 创建后门程序以便可以修改程序设计中的缺陷。 但是，如果这些后门被其他人知道，或是在发布 软件之前没有删除后门程序，那么它就成了安全 风险，容易被黑客当成漏洞进行攻击。
第 9 章 操 作 系 统 的 安 全
特洛伊木马
特洛伊木马通常继承了用户程序相同的用 户ID、存取权、优先权甚至特权。因此，特洛 伊木马能在不破坏系统的任何安全规则的情况 下进行非法操作，这也使它成为系统最难防御 的一种危害。特洛伊木马程序与病毒程序不同， 它是一个独立的应用程序，不具备自我复制能 力。但它同病毒程序一样具有潜伏性，且常常 具有更大的欺骗性和危害性。 特洛伊木马通常以包含恶意代码的电子邮 件消息的形式存在，也可以由Internet数据 流携带。
第 9 章 操 作 系 统 的 安 全
系统后门
系统后门一般是指那些绕过安全性控制而获 取对程序或系统访问权的程序方法。在软件的开 发阶段，程序员常常会在软件内创建后门程序以 便可以修改程序设计中的缺陷。但是，如果这些 后门被其他人知道，或是在发布软件之前没有删 除后门程序，那么它就成了安全风险，容易被黑 客当成漏洞进行攻击。
安全审计：对日志记录的分析并以清晰的、能 理解的方式表述系统信息，即对系统中有关安 全的活动进行记录、检查及审核 作用：检测和组织非法用户对计算机系统的入 侵，并显示合法用户的误操作。 组成：



日志记录器：收集数据——系统日志、应用程序日 志、安全日志 分析器：分析数据 通告器：通报结果

第 9 章 操 作 系 统 的 安 全
Windows 安全设置
第 9 章 操 作 系 统 的 安 全




登录控制 账户控制 家长控制 Windows Defender恶意软件防护 AppLocker应用程序控制策略
第 9 章 操 作 系 统 的 安 全
UNIX/Linux安全机制
第 9 章 操 作 系 统 的 安 全
特洛伊木马
一个有效的特洛伊木马对程序的预期结果 无明显影响，也许永远看不出它的破坏性。特 洛伊木马需要具备以下条件才能成功地入侵计 算机系统: 入侵者要写一段程序进行非法操作，程序 的行为方式不会引起用户的怀疑； 必须设计出某种策略诱使受骗者接受这段 程序； 必须使受骗者运行该程序； 入侵者必须有某种手段回收由特洛伊木马 程序提供的信息。
第九章 操作系统的安全
第 9 章 操 作 系 统 的 安 全
9.1 9.2 9.3

操作系统安全概述 Win7系统的安全 UNIX系统的安全
本章学习目标
第 9 章 操 作 系 统 的 安 全
（1）操作系统的安全设计原则 （2）操作系统的安全机制 （3）Windows 7的登录控制、用 户账户控制和家长控制 （4）Windows7的而已软件防护 和应用程序控制 （5）掌握UNIX的文件访问控制和 安全管理策略


密码验证 生物鉴别方法 可信计算基——与鉴别相关的认证机制
2 访问控制
第 9 章 操 作 系 统 的 安 全


访问控制的基本任务：防止非法用户进入系统 及合法用户对资源的非法使用。即：授权、确 定存取权限、实施存取权限。 措施

确定要保护的资源 授权 确定访问权限 实施访问权限
9.1.1 操作系统安全的重要性
第 9 章 操 作 系 统 的 安 全
当前，对操作系统安全构成威胁的问题主要有 以下几种。

计算机病毒
特洛伊木马
隐蔽通道 系统漏洞 系统后门
病毒和蠕虫
病毒是能够自我复制的一组计算机指令或 者程序代码。通过编制或者在计算机程序中插 入这段代码，以达到破坏计算机功能、毁坏数 据从而影响计算机使用的目的。病毒具有以下 基本特点:
第 9 章 操 作 系 统 的 安 全
第 9 章 操 作 系 统 的 安 全
一个有效可靠的操作系统应具有很强的安 全性，必须具有相应的保护措施，消除或限制 如病毒、逻辑炸弹、特洛伊木马、天窗、隐蔽 通道等对系统构成的安全威胁。 总而言之，在过去的数十年里，恶意代码 （通常也称为计算机病毒）已经从学术上的好 奇论题发展成为一个持久的、世界范围的问题。 无论计算机病毒、蠕虫、逻辑炸弹、特洛伊木 马、天窗，还是隐蔽通道都对操作系统安全构 成了威胁。
第 9 章 操 作 系 统 的 安 全
系统漏洞
漏洞会影响到的范围很大，包括系统本身及 其支撑软件，网络客户和服务器软件，网络路由 器和安全防火墙等。换而言之，在这些不同的软 硬件设备中都可能存在不同的安全漏洞问题。在 不同种类的软、硬件设备，同种设备的不同版本 之间，由不同设备构成的不同系统之间，以及同 种系统在不同的设置条件下，都会存在各自不同 的安全漏洞问题。

运行保护


I/O保护

软件安全机制
第 9 章 操 作 系 统 的 安 全



身份标识与鉴别 访问控制 最小特权管理 可信通路 隐秘通道 安全审计 病毒防护
1 标识与鉴别机制

第 9 章 操 作 系 统 的 安 全
标识：系统标识用户身份

系统可以识别的用户的内部名称


鉴别：对用户宣称的身份标识的有效性进行校 验和测试的过程。 方法
第 9 章 操 作 系 统 的 安 全
安全内核的设计原则：

隔离性：安全内核具有防篡改能力 完整性：所有信息的访问必须经过安全内核 可验证性：安全内核尽可能的小
9.1.3 操作系统的安全机制
第 9 章 操 作 系 统 的 安 全
操作系统安全的主要目标是标识用户身份 及身份鉴别，按访问控制策略对系统用户的操 作进行控制，放置用户和外来侵入者非法存取 计算机资源，以及监督系统运行的安全和保证 系统自身的完整性。 为了这个目标，需要建立如下安全机制：

第 9 章 操 作 系 统 的 安 全
隐蔽性。 传染性。 潜伏性。 破坏性。
特洛伊木马
特洛伊木马是一段计算机程序，表面上在 执行合法任务，实际上却具有用户不曾料到的 非法功能。 它们伪装成友好程序，由可信用户在合法 工作中不知不觉地运行。一旦这些程序被执行， 一个病毒、蠕虫或其他隐藏在特洛伊木马程序 中的恶意代码就会被释放出来，攻击个人用户 工作站，随后就是攻击网络。

三种访问控制技术：自主访问控制DAC、强制 访问控制MAC、基于角色的访问控制RBAC
2 访问控制
第 9 章 操 作 系 统 的 安 全

自主访问控制DAC：由客体的属主对自己的客体进行 管理，由属主自己决定是否将自己的客体访问权或部分 访问权授予其他主体，这种控制方式是自主的。也就是 说，在自主访问控制下，用户可以按自己的意愿，有选 择地与其他用户共享他的文件。