操作系統(tǒng)與計(jì)算機(jī)安全介紹

1、操作系統(tǒng)與計(jì)算機(jī)安全介紹 一、基本概述 一個(gè)完整意義上的計(jì)算機(jī)系統(tǒng)由計(jì)算機(jī)硬件和計(jì)算機(jī)軟件組成。 計(jì)算機(jī)硬件包括中央處理器、 存儲(chǔ)器、 輸入設(shè)備和輸出設(shè)備四個(gè)部分 組成，也就是通?？吹降腃PU顯示器、鼠標(biāo)、鍵盤、打印機(jī)等配件 和設(shè)備，它構(gòu)成了系統(tǒng)本身和用戶作業(yè)賴以活動(dòng)的物質(zhì)基礎(chǔ)和工作平 臺(tái)。 計(jì)算機(jī)軟件通常簡(jiǎn)稱為軟件，是指為運(yùn)行、維護(hù)、管理和應(yīng)用 計(jì)算機(jī)所編制的所有程序和數(shù)據(jù)的總稱， 通常按照功能分為系統(tǒng)軟件 和應(yīng)用軟件兩類。系統(tǒng)軟件是為了管理和使用計(jì)算機(jī)而編制的軟件， 應(yīng)用軟件是為了實(shí)現(xiàn)某一個(gè)功能或目的而有針對(duì)性地特意編制的軟 件。 操作系統(tǒng)是運(yùn)行在計(jì)算機(jī)硬件上的最基本的系統(tǒng)軟件，位于所 有

2、的軟件的最底層， 為計(jì)算機(jī)使用者提供了一種良好的操作環(huán)境， 也 為各種應(yīng)用軟件提供了基本的支持環(huán)境。 操作系統(tǒng)在計(jì)算機(jī)系統(tǒng)中占據(jù)了特殊而又重要的地位，其他所 有的軟件如匯編程序、 編譯程序、 數(shù)據(jù)庫(kù)管理系統(tǒng)等系統(tǒng)軟件以及大 量的應(yīng)用軟件，都將依賴于操作系統(tǒng)的支持，取得它的服務(wù)。從系統(tǒng) 管理人員的觀點(diǎn)來看， 操作系統(tǒng)是計(jì)算機(jī)資源的管理者。 而從用戶的 觀點(diǎn)來看，引入操作系統(tǒng)是為了給用戶使用計(jì)算機(jī)提供一個(gè)良好的界 面，以使用戶無(wú)需了解許多育關(guān)硬件和系統(tǒng)軟件的細(xì)節(jié)， 就能方便靈 活地使用計(jì)算機(jī)。 因此，我們可以將計(jì)算機(jī)操作系統(tǒng)定義為：操作系統(tǒng) （ Operating Sys-tem）是計(jì)算機(jī)系統(tǒng)中的

3、一個(gè)系統(tǒng)軟件，它是這樣一些程序模塊的 集合它們管理和控制計(jì)算機(jī)系統(tǒng)中的硬件及軟件資源， 合理地組 織計(jì)算機(jī)工作流程以便有效地利用這些資源為用戶提供一個(gè)功能強(qiáng) 大、使用方便和可擴(kuò)展的工作環(huán)境， 從而在計(jì)算機(jī)與其用戶之間起到 接口的作用。 目前比較常見的操作系統(tǒng)有： DOS、Windows、UNIX、Linux 等。 二、普通操作系統(tǒng) 操作系統(tǒng)在現(xiàn)代計(jì)算機(jī)中具有很重要的作用，普通的操作系統(tǒng) 涉及的與計(jì)算機(jī)安全有關(guān)的幾種功能為： 用戶鑒別。操作系統(tǒng)必須對(duì)每個(gè)請(qǐng)求訪問的用戶進(jìn)行識(shí)別并確 定此用戶真正是所聲稱的用戶，最常用的鑒別機(jī)制是口令比較。 內(nèi)存保護(hù)。每一個(gè)程序必須在內(nèi)存儲(chǔ)器中某一部分運(yùn)行，以防 止

4、非授權(quán)存取。 內(nèi)存保護(hù)防止外來者對(duì)數(shù)據(jù)的存取，可以將用戶的存取嚴(yán)格地 限制在其存儲(chǔ)空間內(nèi)。 文件 日輸入輸出設(shè)備的訪問控制。操作系統(tǒng)必須保護(hù)用戶和 系統(tǒng)文件，防止非 授權(quán)用戶的訪問。同樣,1/0設(shè)備的使用也必須受到保護(hù)。數(shù)據(jù)保 護(hù)通常通過訪問控制表來實(shí)現(xiàn)。 普通客體分配和訪問控制。用戶需要普通客體（如構(gòu)成物）以 容許并發(fā)和允許同步。然而，對(duì)這些客體的訪問必須受到控制，以使 一個(gè)用戶所作所為不會(huì)對(duì)其他用戶產(chǎn)生負(fù)面影響， 常用方法仍然是通 過訪問控制表來實(shí)現(xiàn)保護(hù)。 實(shí)行共享。資源必須對(duì)所有合法的用戶都是可用的。對(duì)共享的 要求是保證數(shù)據(jù)的完整性和一致性。 保證公平服務(wù)。所有用戶都希望得到使用 CPU

5、和其他服務(wù)的適 當(dāng)保證，不應(yīng)該出現(xiàn)某些用戶完全得不到服務(wù)的情況。 硬件時(shí)鐘與調(diào) 度規(guī)則相組合可以提供公平性， 硬件設(shè)施和數(shù)據(jù)表組合則提供控制功 能。 進(jìn)程間通信和同步。正在執(zhí)行的進(jìn)程有時(shí)需要同其他的進(jìn)程進(jìn) 行通信，或使它們對(duì)被共享資源的訪問得到同步。 搡作系統(tǒng)對(duì)進(jìn)程發(fā) 出的與其他進(jìn)程進(jìn)行異步或同步通信的請(qǐng)求予以響應(yīng)， 并提供這些服 務(wù)。進(jìn)程間的通信由訪問控制表來實(shí)現(xiàn)。 三、可信操作系統(tǒng) 可信操作系統(tǒng)（rllmsted Operating Systems也稱安全操作系統(tǒng)， 是指安全等級(jí)較高， 具有較強(qiáng)的安全保護(hù)能力的操作系統(tǒng)， 通常是指 經(jīng)過認(rèn)證的安全級(jí)別達(dá)到或相當(dāng)于 TCSEC B級(jí)以上的操作

6、系統(tǒng)。可信 操作系統(tǒng)不但具有安全特性， 還具有自我安全保障能力。 可信操作系 統(tǒng)與普通操作系統(tǒng)是有區(qū)別的， 可信操作系統(tǒng)的客體被訪問控制機(jī)制 包圍著或環(huán)繞著， 因而比普通操作系統(tǒng)提供更多的保護(hù)和隔離。 此外， 可信操作系統(tǒng)的內(nèi)存被分隔， 而數(shù)據(jù)和程序庫(kù)具有受控的共享和分離。 可信操作系統(tǒng)一般具有下述關(guān)鍵的安全特征： 1用戶識(shí)別和鑒別 識(shí)別是計(jì)算機(jī)安全的基礎(chǔ)。必須能夠辨別誰(shuí)在請(qǐng)求訪問一個(gè)對(duì) 象，且必須能夠證實(shí)這個(gè)主體的身份。大部分訪問控制，無(wú)論是強(qiáng)制 的還是自主的， 都基于準(zhǔn)確的識(shí)別。 可信操作系統(tǒng)需要安全的個(gè)體識(shí) 別機(jī)制，并且所有個(gè)體都必須是獨(dú)一無(wú)二的。 2強(qiáng)制訪問控制 強(qiáng)制訪問控制是指訪問控

7、制策略的判決不受一個(gè)對(duì)象的單個(gè)擁 有者的控制。 中央授權(quán)系統(tǒng)決定哪些信息可被哪些用戶訪問， 而用戶 自己不能夠改變?cè)L問杈。 強(qiáng)制訪問控制是一種多級(jí)訪問控制策略， 它 的主要特點(diǎn)是系統(tǒng)對(duì)訪問主體和客體實(shí)行強(qiáng)制訪問控制， 系統(tǒng)事先給 訪問主體和客體分配不同的安全級(jí)別屬性。 在實(shí)施訪問控制時(shí)， 系統(tǒng) 先對(duì)訪問主體和客體的安全級(jí)別屬性進(jìn)行比較， 再?zèng)Q定訪問主體能否 訪問該客體。 普通的操作系統(tǒng)采用任意訪問控制， 系統(tǒng)管理員可以訪 問任何目錄與文件。 在可信操作系統(tǒng)里， 訪問控制策略由安全管理員 制定，系統(tǒng)管理員無(wú)權(quán)干預(yù)。 普通操作系統(tǒng) 系統(tǒng)管理員擁有系統(tǒng)所有權(quán)限，只有安全管理員能設(shè)定訪問控 制 3自主

8、訪問控制 留下一些訪問控制讓對(duì)象的擁有者來自主決定，或者給那些已 被授權(quán)控制對(duì)象訪問的人。 擁有者能夠決定誰(shuí)應(yīng)該擁有對(duì)其對(duì)象的訪 問權(quán)及其內(nèi)容。在商業(yè)環(huán)境中，常用 DAC 來允許指定群體中的所有 人（有時(shí)是其他的命名個(gè)體）改變?cè)L問權(quán)。 4 全面調(diào)節(jié) 為了讓強(qiáng)制或者自主訪問控制有效，所有的訪問必須受到控制 如果攻擊者通過內(nèi)存、外部端口、網(wǎng)絡(luò)或者隱蔽通道請(qǐng)求訪問，那么 僅僅對(duì)文件的訪問進(jìn)行控制是不夠的。 由于需要控制更多的訪問路徑， 可信操作系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)難度就大大增加了。 使用高可信操作系繞 執(zhí)行全面調(diào)節(jié)，意味著所有的訪問都必須經(jīng)過檢查。 5對(duì)象重用保護(hù) 對(duì)象重用是計(jì)算機(jī)保持效率的一種方法。計(jì)

9、算機(jī)系統(tǒng)控制著資 源分配，當(dāng)一個(gè)資源被釋放后， 操作系統(tǒng)將允許下一個(gè)用戶或者程序 訪問這個(gè)資源。但是，必須小心控制可重用的對(duì)象，以免它們產(chǎn)生嚴(yán) 重的缺陷。 6可信路徑 惡意用戶獲得不合法訪問的一種途徑就是“欺騙”用戶，使他 們認(rèn)為自己正和一個(gè)合法的安全系統(tǒng)在通信， 而實(shí)際上這時(shí)候他們鍵 入的內(nèi)容以及命令已經(jīng)被截獲且分析了。因此，對(duì)于關(guān)鍵的操作，如 設(shè)置口令或者更改訪問許可， 用戶希望能進(jìn)行無(wú)誤的通信 （稱為可信 路徑），以確保他們只向合法的接收者提供這些重要的、受保護(hù)的信 息。 7可確認(rèn)性 可確認(rèn)性通常涉及維護(hù)與安全相關(guān)的、已發(fā)生的事件日志，即 列出每一個(gè)事件和所有執(zhí)行過添加、刪除或改變操作的

10、用戶。顯然， 需要保護(hù)日志記錄不被外界訪問， 并且記錄下所有與安全相關(guān)的事件。 8審計(jì)日志歸并 理論上說，審計(jì)日志的概念是吸引人的，因?yàn)樗试S對(duì)影響系 統(tǒng)的保護(hù)元素的所有活動(dòng)進(jìn)行記錄和評(píng)估。 但在實(shí)際應(yīng)用中， 由于其 數(shù)據(jù)量很大且需要進(jìn)行分析， 對(duì)審計(jì)日志的處理是非常困難的。 在極 端的情況下（如涉及的數(shù)據(jù)會(huì)影響一個(gè)公司的生存或者一個(gè)國(guó)家的安 全），每次修改或甚至從文件中讀人一個(gè)字符都存在潛在的安全隱患， 因?yàn)樾薷臅?huì)影響數(shù)據(jù)的完整性， 單個(gè)字符有可能泄漏整個(gè)文件的敏感 部分。同時(shí)，由于程序的控制路徑會(huì)受到數(shù)據(jù)的影響，程序流程和單 個(gè)指令的執(zhí)行順序也存在潛在的安全隱患。 9入侵檢測(cè) 與審計(jì)精簡(jiǎn)緊

11、密聯(lián)系的是系統(tǒng)檢測(cè)安全漏洞的能力，理想情況 是在安全漏洞產(chǎn)生的時(shí)候就被檢測(cè)出來。 但是，在審計(jì)日志中有太多 的信息需要系統(tǒng)管理員去分析， 通過計(jì)算機(jī)輔助管理有助于系統(tǒng)管理 員將這些獨(dú)立的數(shù)據(jù)聯(lián)系起來。 由入侵檢測(cè)軟件構(gòu)造的正常系統(tǒng)使用 的模式，一旦在使用中出現(xiàn)異常就會(huì)發(fā)出警告， 大大減少了系統(tǒng)管理 員的工作量， 四、操作系統(tǒng)安全等級(jí)和評(píng)價(jià)標(biāo)準(zhǔn) 絕對(duì)安全的操作系統(tǒng)是不存在的，當(dāng)前安全無(wú)漏洞的操作系統(tǒng)， 會(huì)隨著軟件的增加、 后臺(tái)編碼的更迭、 攻擊技術(shù)的發(fā)展以及其他各種 原因，原來安全的地方也會(huì)變成漏洞攻擊點(diǎn)。因此，操作系統(tǒng)安全只 能是當(dāng)前情況下某個(gè)時(shí)間段的相對(duì)安全。 要評(píng)價(jià)一個(gè)操作系統(tǒng)是否安 全，

12、是通過對(duì)操作系統(tǒng)的安全評(píng)估來體現(xiàn)的。 按照世界公認(rèn)的安全準(zhǔn) 則通過了安全評(píng)估，那么這個(gè)操作系統(tǒng)就是安全的。反之，這個(gè)操作 系統(tǒng)就是不安全的。目前公認(rèn)的操作系統(tǒng)安全準(zhǔn)則是 1985 年美國(guó)國(guó) 防部提出的可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn) TCSE(習(xí)慣上稱橘皮書)。 TCSEC(Trusted Computer System Evaluation Criteria)標(biāo)準(zhǔn)是計(jì)算 機(jī)系統(tǒng)安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)，具有劃時(shí)代的意義。 TCSEC各系 統(tǒng)分成ABCD四類7個(gè)安全級(jí)別，這幾個(gè)安全等級(jí)從低到高分別是： D類一一最小的保護(hù)等級(jí)。D類是安全級(jí)別最低的級(jí)別，是那些 通過評(píng)測(cè)但達(dá)不到較高級(jí)別安全要求的系統(tǒng)。D級(jí)

13、只有一個(gè)Dl類別。 C類一一任意保護(hù)級(jí)。C類為自主保護(hù)級(jí)別，該類安全級(jí)別能夠 提供審慎的保護(hù)，并為用戶的行動(dòng)和責(zé)任提供審計(jì)能力。C類安全等 級(jí)可劃分為Cl和C2兩類。 C類系統(tǒng)的可信任運(yùn)算基礎(chǔ)體制(Trusted Computing Base, TCB) 通過將用戶和數(shù)據(jù)分開來達(dá)到安全的目的。 C2 系統(tǒng)通過登陸過程、 安全事件和資源隔離來增強(qiáng)這種控制。 B類一一必需的、強(qiáng)制保護(hù)的級(jí)別。B類安全等級(jí)可分為Bl、B2 和 B3 三類。 B 類系統(tǒng)具有強(qiáng)制性保護(hù)功能。強(qiáng)制性保護(hù)意味著如果 用戶沒有與安全等級(jí)相連,系統(tǒng)就不會(huì)讓用戶存取對(duì)象。 A類一一被核實(shí)的驗(yàn)證保護(hù)級(jí)別。A系統(tǒng)的安全級(jí)別最高。目前，

14、 A 類安全等級(jí)只包含 Al -個(gè)安全類別,包含有一個(gè)嚴(yán)格的設(shè)計(jì)、控制 和驗(yàn)證過程。A類系統(tǒng)的設(shè)計(jì)必須是從數(shù)學(xué)上經(jīng)過驗(yàn)證的，而且必須 進(jìn)行隱蔽通道和可信任分布的分析, 并且要求它具有系統(tǒng)形式化頂層 設(shè)計(jì)說明(FTDS)并實(shí)現(xiàn)形式化驗(yàn)證FrDS與形式化模型的一致性， 要求用形式化技術(shù)解決隱蔽通道問題等。 我國(guó)目前使用的有兩個(gè)國(guó)家標(biāo)準(zhǔn) -GB 17859-1999 計(jì)算機(jī)信息系 統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則和 GB/T 18336-2001信息技術(shù)、安全技 術(shù)、信息技術(shù)安全性評(píng)估準(zhǔn)則 ，可用于對(duì)操作系統(tǒng)安全級(jí)別的劃分 和評(píng)判。根據(jù)這兩個(gè)國(guó)家標(biāo)準(zhǔn)，我國(guó)將操作系統(tǒng)安全分為五個(gè)級(jí)別： 用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)

15、保護(hù)級(jí)、安全櫟記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí) 和訪問驗(yàn)證保護(hù)級(jí)。 五個(gè)級(jí)別對(duì)操作系統(tǒng)具備的安全功能有不同的要 求。 五、操作系統(tǒng)的安全機(jī)制 操作系統(tǒng)的安全機(jī)制包括硬件安全機(jī)制、操作系統(tǒng)的安全標(biāo)識(shí) 和鑒別、訪問控制、最小特權(quán)管理和可信通路等。 1硬件安全機(jī)制 安全操作系統(tǒng)的硬件安全機(jī)制，實(shí)質(zhì)上也是普通操作系統(tǒng)所要 求的，汁算機(jī)硬件安全的目標(biāo)是保證其自身的可靠性和為系統(tǒng)提供基 本安全機(jī)制。優(yōu)秀的硬件保護(hù)性能是高效、可靠的操作系統(tǒng)的基礎(chǔ)。 硬件安全機(jī)制通常包括存儲(chǔ)保護(hù)、運(yùn)行保護(hù)、 I/O 保護(hù)等。 2操作系統(tǒng)的安全標(biāo)識(shí)和鑒別 用戶標(biāo)識(shí)和鑒別是操作系統(tǒng)提供的最外層安全保護(hù)措施。標(biāo)識(shí) 就是系統(tǒng)對(duì)每一個(gè)用戶的身份

16、都有一個(gè)特定的系統(tǒng)內(nèi)部可以識(shí)別的 標(biāo)記，這個(gè)標(biāo)記就是用戶標(biāo)識(shí)符。 用戶標(biāo)識(shí)符必須是全系統(tǒng)內(nèi)唯一的， 且不能被偽造的， 以免被別的用戶冒充。 將用戶標(biāo)識(shí)符與用戶聯(lián)系起 來的過程就是鑒別， 鑒別過程主要是用來辨別用戶的身份是否與系統(tǒng) 內(nèi)記錄的信息相符。 鑒別操作總是要求用戶具有能夠證實(shí)他的身份的 特殊信息，并且這個(gè)信息是秘密的，任何其他用戶都不能擁有它。 3訪問控制 操作系統(tǒng)的訪問控制涉及自主訪問控制和強(qiáng)制訪問控制兩種形 式。前面已經(jīng)提過， 自主訪問控制和強(qiáng)制訪問控制都是可信操作系統(tǒng) 的安全特征，它們常常結(jié)合起來使用。 (1)自主訪問控制。 自主訪問控制基于對(duì)主體或主體所屬的主體組的識(shí)別來限制對(duì)

17、客體的訪問。自主是指主體能夠自主地(也可能是間接酌)將訪問權(quán) 或訪問權(quán)的某個(gè)子集并授予其他主體。為實(shí)現(xiàn)完備的自主訪問控制， 由一個(gè)訪問控制矩陣提供的信息必須以某種形式保存在系統(tǒng)中。 訪問 控制矩陣中的每行表示一個(gè)主體， 每列表示一個(gè)受保護(hù)的客體。 矩陣 中的元素表示主體可對(duì)客體的訪問模式。 目前在操作系統(tǒng)中實(shí)現(xiàn)的自 主訪問控制都不是將矩陣整個(gè)保存起來， 因?yàn)槟菢幼鲂屎艿汀?實(shí)際 的方法是基于矩陣的行或列來表達(dá)訪問控制信息。 (2)強(qiáng)制訪問控制。 強(qiáng)制訪問控制是“強(qiáng)加”給訪問主體的，即系統(tǒng)強(qiáng)制主體服從 訪問控制政策。強(qiáng)制訪問控制的主要特征是對(duì)所有主體及其所控制的 客體(例如：進(jìn)程、文件、段、設(shè)

18、備)實(shí)施強(qiáng)制訪問控制。為這些主 體及客體指定敏感標(biāo)記，這些標(biāo)記是等級(jí)分類和非等級(jí)類別的組合， 它們是實(shí)施強(qiáng)制訪問控制的依據(jù)。 系統(tǒng)通過比較主體和客體的敏感標(biāo) 記來決定一個(gè)主體是否能夠訪問某個(gè)客體。 用戶的程序不能改變他自 己及任何其他客體的敏感標(biāo)記， 從而系統(tǒng)可以防止特洛伊木馬的攻擊。 訪問控制是一個(gè)消極的過程，它只能由操作系統(tǒng)來調(diào)用才對(duì)用 戶的訪問操作作出相應(yīng)的響應(yīng)： 可以或者不可以。 當(dāng)主體能夠通過自 主訪問控制和強(qiáng)制訪問控制的 檢查時(shí)，它才能訪問一個(gè)客體。用戶使用自主訪問控制防止其 他用戶非法入侵自己的文件， 用強(qiáng)制訪問控制來保證其他用戶不能通 過意外事件和有意識(shí)的誤操作來逃避安全控制。 4最小特權(quán)管理 所謂最小特權(quán)（Least Phyilege,指的是“在完成某種操作時(shí)所 賦予網(wǎng)絡(luò)中每個(gè)主體（用戶或進(jìn)程）必不可少的特權(quán)” 。最小特權(quán)原 則，則是指“應(yīng)限定網(wǎng)絡(luò)中每個(gè)主體所必需的最小特權(quán)，確?？赡艿?事故、錯(cuò)誤、網(wǎng)絡(luò)部件的篡改等原因造成的損失最小” 。 最小特權(quán)原則一方面給予主體“必不可少”的特權(quán)，這就保證 了所有的主體都能在所賦予的特權(quán)之下