操作系统安全技术PPT课件

在安全机制的层次性实施方案中，下层安全机制和上 层安全机制的关系极为重要。一般而言，攻击者如果 突破了下层防御，就可以较为容易地躲过上层安全机 制的保护。例如，如果攻击者获得了机密数据的一个 备份，诸如文件系统保护、用户认证等安全服务对于 计算机系统的安全性而言，已基本毫无意义。
.
7
2 .硬件安全保护技术
操作系统的安全可以从安全操作系统和操作系统安全加固两个方面来 考虑。前者是试图设计和开发一个安全的操作系统，而后者是对已有的操 作系统进行安全性设置和配置。目前，安全操作系统虽然是研究人员和工 程人员奋斗的目标，但是使用的安全操作系统还极为少见。
.
3
1 .计算机系统的层次结构
从计算机系统功能来看，包括硬件、软件、用户和资源。硬件用户存 储和处理丰富多样的资源（也叫客体：Object），软件用于管理各种不 同的物理硬件，而用户（也叫主体：Subject）则通过软件访问各种资 源。因此，在规划计算机系统安全时，必须依据不同的安全需求来决定 关注的中心。依据对用户和资源的侧重点不同，可以分为两种情况：
第八章
操作系统安全技术
.
1
操作系统是计算机硬件之上的第一层软件，其 主要功能是管理计算机系统的软硬件资源，提 供相应接口方便用户使用这些软硬件资源。
另一方面，操作系统需要控制用户对软硬件资 源的访问，授予合法用户的访问权限，禁止非 法用户对资源的访问。进一步，对不同级别的 用户授予相应的访问权限，即：更细粒度的安 全控制。上述安全需求通过操作系统的安全机 制来保证。
例如，位于应用软件特权级别的程序可能需要调用属于级别0的操作系统核心的
对象。为了满足这种访问需求，80386/80486采用门的方式来解决。所谓门，就
是一个执行某个程序的系统对象。通过门，可以允许处于较低特权级别的程序
以只读方式访问具有更高特权级别的对象。程序使用门时，门和对应的程序必
须位于同一特权级别。当通过门调用一个子程序时，特权级别变为门正指向的
1.ONE
面向用户的安全性设计原则：针对特 定的或复杂的安全需求，以满足用户 安全需求为目的来设计安全体系。
2.TWO
面向资源的安全性设计原则：针对简单的 或通用的安全性需求，以资源保护为目的 来设计安全体系。
.
4
从计算机系统的组成来看
包括硬件、操作 系统内核、操作 系统、服务和应 用程序五个部分， 其层次性结构如 右图 。
大多数处理器处理中断的过程都相同。当一个设备发出中段请求时， CPU停止正在执行的指令，通过查询中断矢量表，获得处理中断的程 序的入口地址（即中断矢量），从而跳到包括中断处理代码或者包括 指向中断处理代码的转移指令所在的内存区域（即中断句柄）。中断 处理过程如下图。
.
8
例如，位于应用软件特权级别的程序可能需要调用属于级别0 的操作系统核心的对象。为了满足这种访问需求，80386/80486采 用门的方式来解决。所谓门，就是一个执行某个程序的系统对象。 通过门，可以允许处于较低特权级别的程序以只读方式访问具有更 高特权级别的对象。程序使用门时，门和对应的程序必须位于同一 特权级别。当通过门调用一个子程序时，特权级别变为门正指向的 代码的级别，而当子程序返回时，特权级别恢复到调用程序的特权 级别。为了实现特权级别的转换，必须在堆栈中保存返回地址信息。 因此如果对堆栈的保护不正确，就会导致安全漏洞的出现。
.
2
一.计算机操作系统安全基础
操作系统是计算机系统中的一个系统软件，是程序模块的集合。操 作系统能以尽量有效、合理的方式组织和管理计算机的软硬件资源，合 理地组织计算机的工作流程，控制程序的执行并向用户提供各种服务功 能，使得用户能够灵活、方便、有效地使用计算机，使整个计算机系统 能高效地运行。操作系统为用户提供一组功能强大的、方便易用的命令 或系统调用。操作系统功能包括进程和线程管理(CPU管理)、存储管理、 文件管理、设备管理和任务管理。
.
5
硬件
操作系 统内核
操作系统
包括处理器、 内存等物理部 件，用于存储 和处理计算机 系统拥有的数 据。
对硬件进行管 理的软件，其 主要功能是协 调处理器对内 存的访问。
执行资源管 理（如文件 管理、内存 管理、外设 管理等）
服务
应用程序
在操作系统之
上为应用提供
的通用功能 用户具体的应
（如数据库管 用，它一般依
.
9
除了中断处理机制以外，许多处理器也提供了特权级保护。例如，Intel 80386/ 80486上的保护模式就提供了四种特权级：
（1）0：操作系统核心
（2）1：操作系统其余部分
（3）2：I/O驱动程序部分 （4）3：应用软件
并非所有的操作系统均支持全部四个特权级别，而特权级别只能由运行在级别 0上的单指令修改。一般情况下，程序只能访问位于自己特权级别和更低特权 级别内的对象。但是，很多情况下需要跨特权级别的访问。
操作系统对上述所有权限的管理来源于引用监视器这个概念。 1972年，作为承担美国空军的一项计算机安全规划研究任务的 研究成果，J.P. Anderson 在一份研究报告中提出了引用监控器 （reference monitor）、引用验证机制（reference validation mechanism）、安全核（security kernel）等重要思想。
理、网络通信 赖具体的服务，
等）。
也有可能直接
构建于操作系
统之上。
.Βιβλιοθήκη Baidu
6
因此，当设计和规划计算机系统的安全性时，一个重要的问题 是安全机制应该在那个层次上实施。硬件由于缺乏灵活性，因 此所能提供的安全服务极为有限。操作系统由于规模大、可管 理性差，因此也很难提供丰富的安全服务。应用程序由于具有 使用灵活、可扩展性好的优点，因此容易实现各种安全服务。 但是，由于应用的多样性，因此难以开发和部署通用的安全服 务来满足各种安全需求，因此一般代价高。服务和操作系统具 有可管理性强和灵活的特点，因此是安全机制部署和实施的理 想关键点。
代码的级别，而当子程序返回时，特权级别恢复到调用程序的特权级别。为了
实现特权级别的转换，必须在堆栈中保存返回地址信息。因此如果对堆栈的保
护不正确，就会导致安全漏洞的出现。
.
10
3 .操作系统安全与引用监视器
进程安全是操作系统中的重要问题。该问题可分为三个方面： （1）进程间的数据保护 （2）进程的权限分配、控制 （3）进程权限的继承