操作系统原理及应用（Linux） -王红 第9章 操作系统的安全性.ppt

第九章 操作系统的安全性 本章学习目标 通过本章的学习，读者应掌握以下内容： 计算机系统安全性的内涵 操作系统的安全性功能 操作系统的安全机制 安全操作系统的开发 教学内容 9.1 操作系统安全性概述 9.2 操作系统的安全机制 小结 9.1 操作系统安全性概述 9.1.1 计算机系统安全性的内涵 1． 对计算机系统安全性的威胁 （1）自然灾害。 （2）计算机系统自身的软硬件故障。 （3）合法用户使用不当。 （4）非法用户对计算机系统的攻击。 2．计算机系统安全性的内涵 （1）必威体育官网网址性。指系统不受外界破坏、无泄露、对各种非法进入和信息窃取具有防范能力。只有授权用户才能存取系统的资源和信息。 （2）完整性。指信息必须按照其原型保存，不能被有意或无意地修改，只有授权用户才能修改（对软件或数据未经授权的修改都可能导致系统的致命错误）。完整性分为软件完整性和数据完整性。 （3）可用性。指对合法用户而言，无论何时，只要需要，信息必须是可用的，授权用户的合法请求，能准确及时地得到服务或响应，不能对合法授权用户的存取权限进行额外的限制。 9.1.2 操作系统的安全性 （1）有选择的访问控制 有选择的访问控制包括使用多种不同的方式来限制计算机环境下对特定对象的访问，对计算机级的访问可以通过用户名和密码组合及物理限制来控制，对目录或文件级的访问则可以由用户和组策略来控制。 （2）内存管理与对象重用 在复杂的虚拟内存管理器出现之前，将含有机密信息的内容保存在内存中风险很大。 系统中的内存管理器必须能够隔离开每个不同进程所使用的内存。在进程终止且内存将被重用之前，必须在再次访问它之前，将其中的内容清空。 （3）审计能力 审计功能至少包括可配置的事件跟踪能力、事件浏览和报表功能、审计事件、审计日志访问等。 （4）加密的数据传送 数据传送加密保证了在网络传送时所截获的信息不能被未经身份认证代理所访问。 （5）加密的文件系统 对文件系统加密保证了数据只能被具有正确选择访问权的用户所访问。 （6）安全的进程间通信机制 进程间通信也是给系统安全带来威胁的一个主要因素，应对进程间的通信机制做一些必要的安全检查，禁止高安全等级进程通过进程间通信的方式传递信息给低安全等级进程。 9.1.3 计算机系统安全性评价标准 为了能有效地以工业化方式构造可信任的安全产品，必须建立对该产品进行安全性评价的标准。 1．TCSEC标准 美国国防部在20世纪80年代中期制定了一组计算机系统安全需求标准，共包括20 多个文件，每个文件分别使用不同的颜色的封面，统称为“彩虹系列”。其中最核心的是具有橙色封面的“可信任计算机系统评价标准（TCSEC——Trusted Computer System Evaluation Criteria）”，称为 “橙皮书”。 TCSEC将计算机系统的安全程度分成D、C、B、A四等，每等又包含一个或多个级别。共包括8个安全级别：D、C1、C2、B1、B2、B3、A1、A1，这8个级别渐次增强。 2．CC标准 1991年，在欧洲共同体的赞助下，英、德、法、荷四国制定了拟为欧共体成员国使用的共同标准——信息技术安全评定标准（ITSEC）。随着各种标准的推出和安全技术产品的发展，迫切需要制定一个统一的国际标准。美国和同加拿大及欧共体国家一起制定了一个共同的标准，于1999年7月通过国际标准组织认可，确立为国际标准，简称为CC——Information Technology Security Evaluation Common Criteria。 CC本身由两个部分组成，一部分是一组信息技术产品的安全功能需要定义，另一部分是对安全保证需求的定义。 3．《计算机信息系统安全保护等级划分准则》 中国于1999年颁布的《计算机信息系统安全保护等级划分准则》（GB 17859-1999），将计算机信息系统安全程度划分为以下五个等级： 第1级为用户自主保护级。 第2级为系统审计保护级。 第3级为安全标记保护级。 第4级为结构化保护级。 第5级为安全域级保护级。 9.2 操作系统的安全机制 操作系统的安全机制的功能是防止非法用户登录计算机系统，防止合法用户非法使用计算机系统资源，以及加密在网络上传输的信息，防止外来的恶意攻击。总之是防止对计算机系统本地资源和网络资源的非法访问。 9.2.1 内存保护机制 在多道程序中，一个重要的问题是防止一道程序在存储和运行时影响到其他程序。操作系统可以在硬件中有效使用硬保护机制进行存储器的安全保护，现在比较常用的有界址、界限寄存器、重定位、特征位、分段、分页和段页式机制等。 9.2.2 用户身份认证机制 1．口令 口令是计算机系统和用户双方都知道的某个关键字，相当于是一个