第八章操作系統(tǒng)安全技術(shù)-操作系統(tǒng)安全概述計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全概述操作系統(tǒng)是計(jì)算機(jī)系統(tǒng)中的一個(gè)系統(tǒng)軟件，是程序模塊的集合操作系統(tǒng)：以盡量有效、合理的方式組織和管理計(jì)算機(jī)軟硬件資源合理地組織計(jì)算機(jī)的工作流程控制程序的執(zhí)行并向用戶提供各種服務(wù)功能使得用戶能夠靈活、方便、有效地使用計(jì)算機(jī)使整個(gè)計(jì)算機(jī)系統(tǒng)能高效地運(yùn)行什么是操作系統(tǒng)操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全概述操作系統(tǒng)功能包括：進(jìn)程和線程管理(CPU管理)存儲(chǔ)管理文件管理設(shè)備管理任務(wù)管理此外，操作系統(tǒng)為用戶提供一組功能強(qiáng)大的、方便易用的命令或系統(tǒng)調(diào)用。操作系統(tǒng)的功能計(jì)算機(jī)系統(tǒng)的層次結(jié)構(gòu)應(yīng)用程序服務(wù)操作系統(tǒng)操作系統(tǒng)內(nèi)核硬件操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全概述包括處理器、內(nèi)存等物理部件，用于存儲(chǔ)和處理計(jì)算機(jī)系統(tǒng)擁有的數(shù)據(jù)對(duì)硬件進(jìn)行管理的軟件，其主要功能是協(xié)調(diào)處理器對(duì)內(nèi)存的訪問(wèn)執(zhí)行資源管理（如文件管理、內(nèi)存管理、外設(shè)管理等）在操作系統(tǒng)之上為應(yīng)用提供的通用功能（如數(shù)據(jù)庫(kù)管理、網(wǎng)絡(luò)通信等）用戶具體的應(yīng)用，它一般依賴具體的服務(wù)，也有可能直接構(gòu)建于操作系統(tǒng)之上操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全概述操作系統(tǒng)的安全可以從安全操作系統(tǒng)和操作系統(tǒng)安全加固兩個(gè)方面來(lái)考慮安全操作系統(tǒng)：試圖設(shè)計(jì)和開(kāi)發(fā)一個(gè)安全的操作系統(tǒng)操作系統(tǒng)安全加固：對(duì)已有的操作系統(tǒng)進(jìn)行安全性設(shè)置和配置安全操作系統(tǒng)雖然是研究人員和工程人員奮斗的目標(biāo)，但是使用的安全操作系統(tǒng)還極為少見(jiàn)操作系統(tǒng)安全的內(nèi)涵硬件安全保護(hù)技術(shù)操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全概述雖然任何計(jì)算機(jī)系統(tǒng)均包括很多不同的硬件設(shè)備，但是一般而言只有一個(gè)中央處理器來(lái)執(zhí)行各種任務(wù)采用停等方式可以同步使用這些設(shè)備，但由于處理器需要花費(fèi)很多時(shí)間等待，因此這種方法效率低一個(gè)更為有效的方法是發(fā)出請(qǐng)求以后，處理器繼續(xù)執(zhí)行其它任務(wù)，等設(shè)備完成操作以后，給處理器發(fā)送一個(gè)中斷，再繼續(xù)處理和此設(shè)備有關(guān)的操作通過(guò)中斷方式，處理器暫停正在執(zhí)行的任務(wù)，而處理其它任務(wù)中斷處理過(guò)程操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全概述特權(quán)級(jí)保護(hù)0：操作系統(tǒng)核心1：操作系統(tǒng)其余部分2：I/O驅(qū)動(dòng)程序部分3：應(yīng)用軟件操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全概述除了中斷處理機(jī)制以外，許多處理器也提供了特權(quán)級(jí)保護(hù)。例如，Intel80386/80486上的保護(hù)模式就提供了四種特權(quán)級(jí)：操作系統(tǒng)安全核心技術(shù)安全模型進(jìn)程安全權(quán)限管理引用監(jiān)視器安全內(nèi)核可信計(jì)算基操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全概述操作系統(tǒng)安全模型操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全概述安全模型定義進(jìn)程（一般成為主體）對(duì)特定資源（資源在現(xiàn)代操作系統(tǒng)中常被表示為對(duì)象）可以進(jìn)行何種類(lèi)型的訪問(wèn)。使用這個(gè)模型時(shí)，首先必須確保主體在訪問(wèn)資源前通過(guò)了認(rèn)證（Authentication）當(dāng)用戶通過(guò)了認(rèn)證后，依據(jù)訪問(wèn)控制策略（AccessControlPolicy）給予用戶訪問(wèn)資源的授權(quán)操作系統(tǒng)也需要對(duì)用戶的認(rèn)證、授權(quán)（Authorization）、訪問(wèn)（Access）等操作進(jìn)行日志記錄（Logging）和審計(jì)（Audit）。操作系統(tǒng)進(jìn)程安全操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全概述進(jìn)程安全是操作系統(tǒng)中的重要問(wèn)題該問(wèn)題可分為三個(gè)方面：進(jìn)程間的數(shù)據(jù)保護(hù)進(jìn)程的權(quán)限分配、控制進(jìn)程權(quán)限的繼承操作系統(tǒng)權(quán)限管理操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全概述操作系統(tǒng)對(duì)上述所有權(quán)限的管理來(lái)源于引用監(jiān)視器（referencemonitor）這個(gè)概念。1972年，作為承擔(dān)美國(guó)空軍的一項(xiàng)計(jì)算機(jī)安全規(guī)劃研究任務(wù)的研究成果，J.P.Anderson在一份研究報(bào)告中提出J.P.Anderson還提出了引用驗(yàn)證機(jī)制（referencevalidationmechanism）、安全核（securitykernel）等重要思想。引用監(jiān)控器：是一種訪問(wèn)控制，用于協(xié)調(diào)主體對(duì)客體的訪問(wèn)。因此，引用監(jiān)視器能夠識(shí)別系統(tǒng)中的程序，控制其它程序的運(yùn)行，負(fù)責(zé)控制對(duì)系統(tǒng)資源的訪問(wèn)。引用監(jiān)視器的特點(diǎn)包括：是控制對(duì)設(shè)備、文件、內(nèi)存、進(jìn)程等對(duì)象進(jìn)行訪問(wèn)的一組訪問(wèn)控制策略；是所有訪問(wèn)請(qǐng)求的唯一入口；自身必須是正確和安全的；應(yīng)該足夠小，使得對(duì)引用監(jiān)視器的驗(yàn)證任意進(jìn)行。操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全概述引用監(jiān)視器引用監(jiān)視器操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全概述安全內(nèi)核安全內(nèi)核（SecureKernel）：實(shí)現(xiàn)引用監(jiān)視器概念的可信計(jì)算基的硬件、固件和軟件的集合體，是系統(tǒng)中與安全性的實(shí)現(xiàn)有關(guān)的部分，包括引用驗(yàn)證機(jī)制、授權(quán)（authorization）機(jī)制和授權(quán)的管理機(jī)制等成分。J.P.Anderson把引用監(jiān)控器的具體實(shí)現(xiàn)稱為引用驗(yàn)證機(jī)制，它是實(shí)現(xiàn)引用監(jiān)控器思想的硬件和軟件的組合。引用驗(yàn)證機(jī)制需同時(shí)滿足以下3個(gè)原則：（1）必須具有自我保護(hù)能力；（2）必須總是處于活躍狀態(tài)；（3）必須設(shè)計(jì)得足夠小，以利于分析和測(cè)試，從而能夠證明它的實(shí)現(xiàn)是正確的。安全內(nèi)核的特點(diǎn)包括：－必須對(duì)所有訪問(wèn)進(jìn)行驗(yàn)證和授權(quán)；－自身必須被保護(hù)不被修改；－自身的安全性應(yīng)該是可證且安全的。操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全概述可信計(jì)算基可信計(jì)算基（TCB：TrustedComputingBase）：是一個(gè)計(jì)算機(jī)系統(tǒng)中的全部保護(hù)機(jī)制（包括迎駕、固件和軟件），他們結(jié)合起來(lái)為系統(tǒng)提供全局統(tǒng)一的訪問(wèn)控制策略。在某些系統(tǒng)中，TCB等同于安全內(nèi)核，即TCB是操作系統(tǒng)的一部分，是整個(gè)系統(tǒng)安全性的基礎(chǔ)。操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全概述操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全概述可信計(jì)算基操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全概述操作系統(tǒng)安全關(guān)鍵機(jī)制與操作系統(tǒng)相關(guān)的關(guān)鍵安全機(jī)制包括：身份認(rèn)證技術(shù)訪問(wèn)控制技術(shù)文件保護(hù)技術(shù)內(nèi)存保護(hù)技術(shù)惡意程序防御技術(shù)操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全概述文件保護(hù)文件及文件系統(tǒng)是操作系統(tǒng)的重要組成部分文件系統(tǒng)結(jié)構(gòu)不僅影響操作系統(tǒng)的性能，也影響操作系統(tǒng)的安全性文件保護(hù)機(jī)制分為：對(duì)文件本身的安全保護(hù)對(duì)文件存儲(chǔ)載體的安全保護(hù)操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全概述文件保護(hù)為什么操作系統(tǒng)需要提供安全保護(hù)？存儲(chǔ)在磁盤(pán)上的文件往往是攻擊者的攻擊對(duì)象對(duì)于多用戶操作系統(tǒng)，操作系統(tǒng)必須提供文件保護(hù)機(jī)制：防止用戶有意或無(wú)意的對(duì)系統(tǒng)文件、用戶文件或其他數(shù)據(jù)文件進(jìn)行非法存取或修改多用戶操作系統(tǒng)中用戶數(shù)越多，安全保護(hù)也更復(fù)雜操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全概述文件保護(hù)操作系統(tǒng)對(duì)文件的保護(hù)方法（1）一般