第九章操作系統(tǒng)安全與保護

1、 實用操作系統(tǒng)教程實用操作系統(tǒng)教程2本章內(nèi)容本章內(nèi)容v9.1 操作系統(tǒng)安全概述v9.2 來自系統(tǒng)內(nèi)外的攻擊及其防御v9.3 用戶身份認證v9.4 操作系統(tǒng)保護機制v9.5 安全操作系統(tǒng)的設(shè)計原則v9.6 Windows 2000/XP系統(tǒng)的安全機制3本章學習目標本章學習目標v操作系統(tǒng)安全和保護的區(qū)別與聯(lián)系；操作系統(tǒng)安全和保護的區(qū)別與聯(lián)系；v用戶身份認證及常見方法；用戶身份認證及常見方法；v常見的系統(tǒng)內(nèi)外部攻擊；常見的系統(tǒng)內(nèi)外部攻擊；v安全操作系統(tǒng)對計算機病毒的防御；安全操作系統(tǒng)對計算機病毒的防御；v操作系統(tǒng)中常見的保護機制。操作系統(tǒng)中常見的保護機制。49.1 9.1 操作系統(tǒng)安全概述操作系統(tǒng)安

2、全概述v 操作系統(tǒng)是整個計算機系統(tǒng)的基礎(chǔ)，它控制著系統(tǒng)中的所有操作系統(tǒng)是整個計算機系統(tǒng)的基礎(chǔ)，它控制著系統(tǒng)中的所有軟、硬件資源的存取。其他軟件，無論是數(shù)據(jù)庫系統(tǒng)還是各軟、硬件資源的存取。其他軟件，無論是數(shù)據(jù)庫系統(tǒng)還是各種應(yīng)用軟件系統(tǒng)，都是建立在操作系統(tǒng)之上的，都要通過操種應(yīng)用軟件系統(tǒng)，都是建立在操作系統(tǒng)之上的，都要通過操作系統(tǒng)來完成對系統(tǒng)中信息的存取和處理。在網(wǎng)絡(luò)環(huán)境中，作系統(tǒng)來完成對系統(tǒng)中信息的存取和處理。在網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)安全可信性的基礎(chǔ)是聯(lián)網(wǎng)的各個主機系統(tǒng)的安全可信性，網(wǎng)絡(luò)安全可信性的基礎(chǔ)是聯(lián)網(wǎng)的各個主機系統(tǒng)的安全可信性，而主機系統(tǒng)的安全性依賴于其上操作系統(tǒng)的安全性。而主機系統(tǒng)的安全性依

3、賴于其上操作系統(tǒng)的安全性。v 操作系統(tǒng)安全是計算機信息系統(tǒng)安全的重要基礎(chǔ)，沒有操作操作系統(tǒng)安全是計算機信息系統(tǒng)安全的重要基礎(chǔ)，沒有操作系統(tǒng)的安全可信性，其它系統(tǒng)安全措施如同建立在沙灘上的系統(tǒng)的安全可信性，其它系統(tǒng)安全措施如同建立在沙灘上的建筑，根基不牢靠，安全性很難保證。因此，操作系統(tǒng)的安建筑，根基不牢靠，安全性很難保證。因此，操作系統(tǒng)的安全機制已成為當今主流操作系統(tǒng)中不可或缺的一部分全機制已成為當今主流操作系統(tǒng)中不可或缺的一部分59.1 9.1 操作系統(tǒng)安全概述操作系統(tǒng)安全概述9.1.1系統(tǒng)安全性的三個要求系統(tǒng)安全性的三個要求v計算機系統(tǒng)的安全性可以包括狹義和廣義兩個層面。狹計算機系統(tǒng)的安全

4、性可以包括狹義和廣義兩個層面。狹義安全主要指對外部攻擊的防范，廣義安全指保障計算義安全主要指對外部攻擊的防范，廣義安全指保障計算機系統(tǒng)數(shù)據(jù)的保密性、完整性和系統(tǒng)可用性。機系統(tǒng)數(shù)據(jù)的保密性、完整性和系統(tǒng)可用性。（1）數(shù)據(jù)保密性）數(shù)據(jù)保密性（2）數(shù)據(jù)完整性）數(shù)據(jù)完整性（3）系統(tǒng)可用性）系統(tǒng)可用性69.1 9.1 操作系統(tǒng)安全概述操作系統(tǒng)安全概述9.1.2 系統(tǒng)安全性的主要威脅系統(tǒng)安全性的主要威脅1人為攻擊人為攻擊入侵者入侵者2數(shù)據(jù)意外遺失數(shù)據(jù)意外遺失79.1 9.1 操作系統(tǒng)安全概述操作系統(tǒng)安全概述9.1.3 操作系統(tǒng)的安全級別操作系統(tǒng)的安全級別v 第一個可信計算機系統(tǒng)評估標準是美國國防部在第一個

5、可信計算機系統(tǒng)評估標準是美國國防部在80年代中期制定年代中期制定的一組計算機系統(tǒng)安全需求標準，共包括的一組計算機系統(tǒng)安全需求標準，共包括20多個文件，每個文件多個文件，每個文件都使用了彼此不同顏色的封面，統(tǒng)稱為都使用了彼此不同顏色的封面，統(tǒng)稱為“彩虹系列彩虹系列”。其中最核。其中最核心 的 是 具 有 橙 色 封 皮 的心 的 是 具 有 橙 色 封 皮 的 “ 可 信 任 計 算 機 系 統(tǒng) 評 價 標 準可 信 任 計 算 機 系 統(tǒng) 評 價 標 準（TCSEC）”，簡稱為橙皮書。，簡稱為橙皮書。v 該標準將計算機系統(tǒng)的安全程度劃分為該標準將計算機系統(tǒng)的安全程度劃分為4等（等（D，C，B，

6、A）和）和8級（級（D1，C1，C2，B1，B2，B3，A1，A2），從最低級），從最低級D1開始，開始，隨著級別的提高，系統(tǒng)可信度也隨之增加。在橙皮書中，對每個隨著級別的提高，系統(tǒng)可信度也隨之增加。在橙皮書中，對每個評價級別的資源訪問控制功能和訪問的不可抵賴性、信任度以及評價級別的資源訪問控制功能和訪問的不可抵賴性、信任度以及產(chǎn)品制造商應(yīng)提供的文檔，都做了明確規(guī)定。產(chǎn)品制造商應(yīng)提供的文檔，都做了明確規(guī)定。89.1 9.1 操作系統(tǒng)安全概述操作系統(tǒng)安全概述9.1.3 操作系統(tǒng)的安全級別操作系統(tǒng)的安全級別 （1）D等等最低保護等級最低保護等級 （2）C等等自主保護等級自主保護等級 （3）B等等強

7、制保護等級強制保護等級（4）A等等驗證保護等級驗證保護等級 99.1 9.1 操作系統(tǒng)安全概述操作系統(tǒng)安全概述9.1.4 操作系統(tǒng)安全目標操作系統(tǒng)安全目標操作系統(tǒng)安全的主要目標是：操作系統(tǒng)安全的主要目標是： 標識系統(tǒng)中的用戶和身份鑒別；標識系統(tǒng)中的用戶和身份鑒別； 按系統(tǒng)安全策略對用戶的操作進行存取控制，防止按系統(tǒng)安全策略對用戶的操作進行存取控制，防止用戶對計算機資源的非法存取；用戶對計算機資源的非法存取； 監(jiān)督系統(tǒng)運行的安全性；監(jiān)督系統(tǒng)運行的安全性； 保證系統(tǒng)自身的安全性和完整性。保證系統(tǒng)自身的安全性和完整性。 109.2 9.2 來自系統(tǒng)內(nèi)外的攻擊及其防御來自系統(tǒng)內(nèi)外的攻擊及其防御9.2.

8、1 特洛伊木馬攻擊特洛伊木馬攻擊v 特洛伊木馬攻擊是一種較為原始的攻擊方法，它是一種用戶特洛伊木馬攻擊是一種較為原始的攻擊方法，它是一種用戶很難發(fā)現(xiàn)異常但卻隱含了意想不到功能的程序。該程序能夠很難發(fā)現(xiàn)異常但卻隱含了意想不到功能的程序。該程序能夠改變、刪除、或加密用戶文件，把這些文件復(fù)制并發(fā)送到別改變、刪除、或加密用戶文件，把這些文件復(fù)制并發(fā)送到別有用心人以后可以查閱到的地方，如通過電子郵件或有用心人以后可以查閱到的地方，如通過電子郵件或FTP發(fā)發(fā)送到指定的郵箱。特洛伊木馬程序只有運行后，才能發(fā)揮作送到指定的郵箱。特洛伊木馬程序只有運行后，才能發(fā)揮作用，程序設(shè)計者必須想方法讓程序執(zhí)行。用，程序設(shè)

9、計者必須想方法讓程序執(zhí)行。v 防御特洛伊木馬攻擊的一個有效方法就是謹慎運行來歷不明防御特洛伊木馬攻擊的一個有效方法就是謹慎運行來歷不明的程序。要想完全防止特洛伊木馬程序的破壞必須依靠一些的程序。要想完全防止特洛伊木馬程序的破壞必須依靠一些強制手段，如對存取控制靈活性進行限制等。過程控制、系強制手段，如對存取控制靈活性進行限制等。過程控制、系統(tǒng)控制、強制控制和檢查軟件商的軟件等措施都可以降低特統(tǒng)控制、強制控制和檢查軟件商的軟件等措施都可以降低特洛伊木馬程序攻擊成功的可能性。洛伊木馬程序攻擊成功的可能性。119.2 9.2 來自系統(tǒng)內(nèi)外的攻擊及其防御來自系統(tǒng)內(nèi)外的攻擊及其防御9.2.2 登錄欺騙攻

10、擊登錄欺騙攻擊v登錄欺騙是與特洛伊木馬有關(guān)的內(nèi)部攻擊方法。入侵者登錄欺騙是與特洛伊木馬有關(guān)的內(nèi)部攻擊方法。入侵者往往設(shè)計一個和正常登錄界面非常相似的程序，當用戶往往設(shè)計一個和正常登錄界面非常相似的程序，當用戶運行該程序后，用戶的賬號和口令就會被寫入某個文件運行該程序后，用戶的賬號和口令就會被寫入某個文件并發(fā)送到指定的地方。這樣一來，入侵者就可獲得用戶并發(fā)送到指定的地方。這樣一來，入侵者就可獲得用戶的賬號和口令的賬號和口令。129.2 9.2 來自系統(tǒng)內(nèi)外的攻擊及其防御來自系統(tǒng)內(nèi)外的攻擊及其防御9.2.3 邏輯炸彈攻擊邏輯炸彈攻擊 v邏輯炸彈是加在現(xiàn)有應(yīng)用程序上的程序。它是一種隨著邏輯炸彈是加在

11、現(xiàn)有應(yīng)用程序上的程序。它是一種隨著編程人員的流動而產(chǎn)生的一種內(nèi)部攻擊方式。入侵者為編程人員的流動而產(chǎn)生的一種內(nèi)部攻擊方式。入侵者為公司寫代碼時，把邏輯炸彈程序秘密寫入到相關(guān)系統(tǒng)中。公司寫代碼時，把邏輯炸彈程序秘密寫入到相關(guān)系統(tǒng)中。只要程序員每天輸入口令，產(chǎn)品就相安無事。當入侵者只要程序員每天輸入口令，產(chǎn)品就相安無事。當入侵者離開公司，邏輯炸彈就會因得不到口令而發(fā)作離開公司，邏輯炸彈就會因得不到口令而發(fā)作。v 邏輯炸彈具有多種觸發(fā)方式，例如計數(shù)器觸發(fā)方式、時間觸邏輯炸彈具有多種觸發(fā)方式，例如計數(shù)器觸發(fā)方式、時間觸發(fā)方式、復(fù)制觸發(fā)方式、磁盤空間觸發(fā)方式、視頻模式觸發(fā)發(fā)方式、復(fù)制觸發(fā)方式、磁盤空間觸

12、發(fā)方式、視頻模式觸發(fā)方式、基本輸入輸出系統(tǒng)觸發(fā)方式、只讀內(nèi)存觸發(fā)方式、鍵方式、基本輸入輸出系統(tǒng)觸發(fā)方式、只讀內(nèi)存觸發(fā)方式、鍵盤觸發(fā)方式以及反病毒觸發(fā)方式等。盤觸發(fā)方式以及反病毒觸發(fā)方式等。139.2 9.2 來自系統(tǒng)內(nèi)外的攻擊及其防御來自系統(tǒng)內(nèi)外的攻擊及其防御9.2.4 后門陷阱攻擊后門陷阱攻擊 v后門陷阱又稱天窗，它是軟件設(shè)計人員跳過一些通常的后門陷阱又稱天窗，它是軟件設(shè)計人員跳過一些通常的檢測并插入一段代碼造成的。檢測并插入一段代碼造成的。v 對公司來說，防止后門陷阱的一個方法是把代碼審查作為慣對公司來說，防止后門陷阱的一個方法是把代碼審查作為慣例來執(zhí)行。程序員完成對某個模塊的編寫和測試后

13、，該模塊例來執(zhí)行。程序員完成對某個模塊的編寫和測試后，該模塊被放入代碼數(shù)據(jù)庫中進行檢驗。開發(fā)小組的所有程序員周期被放入代碼數(shù)據(jù)庫中進行檢驗。開發(fā)小組的所有程序員周期性地聚會，每個人在小組成員面前向大家解釋每行代碼含義。性地聚會，每個人在小組成員面前向大家解釋每行代碼含義。這樣做增加了發(fā)現(xiàn)陷阱代碼的機會，也增加了大家的責任感。這樣做增加了發(fā)現(xiàn)陷阱代碼的機會，也增加了大家的責任感。代碼審查較費時間且易遭到大多數(shù)程序人員的反對，那么讓代碼審查較費時間且易遭到大多數(shù)程序人員的反對，那么讓兩個程序員相互檢查代碼也是一個可行的方法。兩個程序員相互檢查代碼也是一個可行的方法。149.2 9.2 來自系統(tǒng)內(nèi)外

14、的攻擊及其防御來自系統(tǒng)內(nèi)外的攻擊及其防御9.2.5 緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊v操作系統(tǒng)多數(shù)是用操作系統(tǒng)多數(shù)是用C語言編寫，但沒有一個語言編寫，但沒有一個C編譯器可編譯器可以做到數(shù)組邊界檢查。因此，數(shù)組邊界越界異常為入侵以做到數(shù)組邊界檢查。因此，數(shù)組邊界越界異常為入侵者提供了入侵機會。者提供了入侵機會。159.2 9.2 來自系統(tǒng)內(nèi)外的攻擊及其防御來自系統(tǒng)內(nèi)外的攻擊及其防御169.2 9.2 來自系統(tǒng)內(nèi)外的攻擊及其防御來自系統(tǒng)內(nèi)外的攻擊及其防御9.2.6 計算機病毒攻擊計算機病毒攻擊v計算機病毒是能在其它程序上進行自我繁殖的具有危害計算機病毒是能在其它程序上進行自我繁殖的具有危害性的程序。性

15、的程序。v計算機病毒具有如下特點：計算機病毒具有如下特點： 計算機病毒是一段可執(zhí)行程序，具有依附性。計算機病毒是一段可執(zhí)行程序，具有依附性。 計算機病毒具有傳染性。計算機病毒具有傳染性。 計算機病毒具有潛伏性。計算機病毒具有潛伏性。 計算機病毒具有破壞性。計算機病毒具有破壞性。 計算機病毒具有針對性。計算機病毒具有針對性。179.2 9.2 來自系統(tǒng)內(nèi)外的攻擊及其防御來自系統(tǒng)內(nèi)外的攻擊及其防御9.2.6 計算機病毒攻擊計算機病毒攻擊v 計算機病毒大多由三部分組成：引導(dǎo)模塊、傳染模塊和表現(xiàn)計算機病毒大多由三部分組成：引導(dǎo)模塊、傳染模塊和表現(xiàn)模塊。模塊。v 病毒的引導(dǎo)模塊負責將病毒引導(dǎo)到內(nèi)存，對相

16、應(yīng)的存儲空間病毒的引導(dǎo)模塊負責將病毒引導(dǎo)到內(nèi)存，對相應(yīng)的存儲空間實施保護以防止它被其它程序覆蓋，同時修改一些必要的系實施保護以防止它被其它程序覆蓋，同時修改一些必要的系統(tǒng)參數(shù)，為激活病毒做準備。統(tǒng)參數(shù)，為激活病毒做準備。v 病毒傳染模塊負責將病毒傳染給其它計算機程序，它由兩部病毒傳染模塊負責將病毒傳染給其它計算機程序，它由兩部分組成：一部分判斷是否具備傳染條件，另一部分實施傳染。分組成：一部分判斷是否具備傳染條件，另一部分實施傳染。v 計算機病毒一般依附在正常的程序或數(shù)據(jù)上，當用戶執(zhí)行正計算機病毒一般依附在正常的程序或數(shù)據(jù)上，當用戶執(zhí)行正常程序時，它先于正常程序執(zhí)行，首先取得系統(tǒng)控制權(quán)，要常程

17、序時，它先于正常程序執(zhí)行，首先取得系統(tǒng)控制權(quán)，要求操作系統(tǒng)為其分配系統(tǒng)資源，然后再完成其病毒的動作。求操作系統(tǒng)為其分配系統(tǒng)資源，然后再完成其病毒的動作。189.2 9.2 來自系統(tǒng)內(nèi)外的攻擊及其防御來自系統(tǒng)內(nèi)外的攻擊及其防御9.2.7 常見計算機病毒介紹常見計算機病毒介紹（1）按照計算機病毒攻擊的系統(tǒng)分類）按照計算機病毒攻擊的系統(tǒng)分類 攻擊攻擊DOS系統(tǒng)的病毒系統(tǒng)的病毒 攻擊攻擊Windows系統(tǒng)的病毒系統(tǒng)的病毒 攻擊攻擊Unix系統(tǒng)的病毒系統(tǒng)的病毒 攻擊攻擊OS/2系統(tǒng)的病毒系統(tǒng)的病毒（2）按照病毒的攻擊機型分類）按照病毒的攻擊機型分類 攻擊微型計算機的病毒攻擊微型計算機的病毒 攻擊小型機的

18、計算機病毒攻擊小型機的計算機病毒 攻擊工作站的計算機病毒攻擊工作站的計算機病毒199.2 9.2 來自系統(tǒng)內(nèi)外的攻擊及其防御來自系統(tǒng)內(nèi)外的攻擊及其防御9.2.7 常見計算機病毒介紹常見計算機病毒介紹（3）按照計算機病毒的鏈接方式分類）按照計算機病毒的鏈接方式分類 源碼型病毒。源碼型病毒。 嵌入型病毒。嵌入型病毒。 外殼型病毒。外殼型病毒。操作系統(tǒng)型病毒。操作系統(tǒng)型病毒。（4）按照計算機病毒的破壞情況分類）按照計算機病毒的破壞情況分類 良性計算機病毒。良性計算機病毒。 惡性計算機病毒。惡性計算機病毒。（5）按照計算機病毒的寄生部位或傳染對象分類）按照計算機病毒的寄生部位或傳染對象分類 磁盤引導(dǎo)區(qū)

19、傳染的計算機病毒。磁盤引導(dǎo)區(qū)傳染的計算機病毒。 操作系統(tǒng)傳染的計算機病毒。操作系統(tǒng)傳染的計算機病毒。 可執(zhí)行程序傳染的計算機病毒?？蓤?zhí)行程序傳染的計算機病毒。209.2 9.2 來自系統(tǒng)內(nèi)外的攻擊及其防御來自系統(tǒng)內(nèi)外的攻擊及其防御9.2.7 常見計算機病毒介紹常見計算機病毒介紹（6）按照計算機病毒激活的時間分類）按照計算機病毒激活的時間分類按照計算機病毒激活的時間可分為定時的和隨機的。按照計算機病毒激活的時間可分為定時的和隨機的。（7）按照傳播媒介分類）按照傳播媒介分類 單機病毒單機病毒 網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒（8）按照寄生方式和傳染途徑分類）按照寄生方式和傳染途徑分類 引導(dǎo)型病毒引導(dǎo)型病毒 文件型

20、病毒文件型病毒 混合型病毒混合型病毒 宏病毒宏病毒219.2 9.2 來自系統(tǒng)內(nèi)外的攻擊及其防御來自系統(tǒng)內(nèi)外的攻擊及其防御9.2.8 計算機病毒的防御計算機病毒的防御v 根據(jù)對計算機病毒傳染和運行機理的研究，在病毒感染或運行過根據(jù)對計算機病毒傳染和運行機理的研究，在病毒感染或運行過程中的任一環(huán)節(jié)都可以采取防御措施。計算機病毒防御措施通常程中的任一環(huán)節(jié)都可以采取防御措施。計算機病毒防御措施通常將系統(tǒng)的存取控制、實體保護等安全機制結(jié)合起來，通過專門的將系統(tǒng)的存取控制、實體保護等安全機制結(jié)合起來，通過專門的防御程序模塊為計算機建立病毒的免疫系統(tǒng)和報警系統(tǒng)。防御程序模塊為計算機建立病毒的免疫系統(tǒng)和報警

21、系統(tǒng)。v 計算機病毒的防御重點在操作系統(tǒng)敏感的數(shù)據(jù)結(jié)構(gòu)、文件系統(tǒng)、計算機病毒的防御重點在操作系統(tǒng)敏感的數(shù)據(jù)結(jié)構(gòu)、文件系統(tǒng)、數(shù)據(jù)存儲結(jié)構(gòu)和數(shù)據(jù)存儲結(jié)構(gòu)和I/O設(shè)備驅(qū)動結(jié)構(gòu)上。操作系統(tǒng)敏感的數(shù)據(jù)結(jié)構(gòu)包設(shè)備驅(qū)動結(jié)構(gòu)上。操作系統(tǒng)敏感的數(shù)據(jù)結(jié)構(gòu)包括系統(tǒng)進程表、關(guān)鍵緩沖區(qū)、共享數(shù)據(jù)段、系統(tǒng)記錄、中斷矢量括系統(tǒng)進程表、關(guān)鍵緩沖區(qū)、共享數(shù)據(jù)段、系統(tǒng)記錄、中斷矢量表和指針表等。病毒會試圖篡改或刪除其中的數(shù)據(jù)和記錄時，會表和指針表等。病毒會試圖篡改或刪除其中的數(shù)據(jù)和記錄時，會造成系統(tǒng)運行出錯。針對病毒的各種攻擊，病毒防御機制采用了造成系統(tǒng)運行出錯。針對病毒的各種攻擊，病毒防御機制采用了存儲映像、數(shù)據(jù)備份、修改許可

22、、區(qū)域保護、動態(tài)檢疫等方式來存儲映像、數(shù)據(jù)備份、修改許可、區(qū)域保護、動態(tài)檢疫等方式來保護敏感數(shù)據(jù)結(jié)構(gòu)。保護敏感數(shù)據(jù)結(jié)構(gòu)。229.3 9.3 用戶身份認證用戶身份認證v操作系統(tǒng)的許多保護措施都是針對認證系統(tǒng)中的合法用戶，操作系統(tǒng)的許多保護措施都是針對認證系統(tǒng)中的合法用戶，用戶身份認證是操作系統(tǒng)安全中一個很重要的方面，也是用戶身份認證是操作系統(tǒng)安全中一個很重要的方面，也是用戶獲得權(quán)限的關(guān)鍵。一般情況下，用戶身份認證是保護用戶獲得權(quán)限的關(guān)鍵。一般情況下，用戶身份認證是保護系統(tǒng)安全性的第一道防線，而且也是和用戶聯(lián)系最為直接系統(tǒng)安全性的第一道防線，而且也是和用戶聯(lián)系最為直接的系統(tǒng)安全保護措施。的系統(tǒng)安全

23、保護措施。v認證技術(shù)通過驗證被認證對象的一個或多個參數(shù)的真實性認證技術(shù)通過驗證被認證對象的一個或多個參數(shù)的真實性和有效性，從而確定被認證對象是否就是賬戶數(shù)據(jù)庫中記和有效性，從而確定被認證對象是否就是賬戶數(shù)據(jù)庫中記錄的合法用戶。因此，在被認證對象和認證的參數(shù)之間應(yīng)錄的合法用戶。因此，在被認證對象和認證的參數(shù)之間應(yīng)存在嚴格的對應(yīng)關(guān)系。存在嚴格的對應(yīng)關(guān)系。.1基于口令的身份驗證技術(shù)基于口令的身份驗證技術(shù)v當前使用最為廣泛的驗證方式是要求用戶輸入登錄名和口當前使用最為廣泛的驗證方式是要求用戶輸入登錄名和口令?？诹钍怯嬎銠C和用戶雙方知道的某個關(guān)鍵，是一個需令?？诹钍怯嬎銠C和用戶雙方知

24、道的某個關(guān)鍵，是一個需要嚴加保護的對象。它作為一個確認符號串只能由用戶和要嚴加保護的對象。它作為一個確認符號串只能由用戶和操作系統(tǒng)本身識別?？诹畋Ｗo很容易理解，也很容易實現(xiàn)。操作系統(tǒng)本身識別?？诹畋Ｗo很容易理解，也很容易實現(xiàn)。最簡單的實現(xiàn)方法是保存一張重要的（登錄名，口令）對最簡單的實現(xiàn)方法是保存一張重要的（登錄名，口令）對列表。鍵入的登錄名在該列表中查找，鍵入的口令與已保列表。鍵入的登錄名在該列表中查找，鍵入的口令與已保護的口令進行比較。如果它們都匹配，則允許登錄，如果護的口令進行比較。如果它們都匹配，則允許登錄，如果不匹配，登錄被拒絕。不匹配，登錄被拒絕。249.3.2 9.3.2 基于實

25、際物體的身份驗證技術(shù)基于實際物體的身份驗證技術(shù) v用戶驗證的第二種方式是驗證一些用戶所擁有的實際物用戶驗證的第二種方式是驗證一些用戶所擁有的實際物體而不是用戶所知道的信息?，F(xiàn)在，人們經(jīng)常使用載有體而不是用戶所知道的信息?，F(xiàn)在，人們經(jīng)常使用載有信息的磁卡和信息的磁卡和IC卡?？ā磁卡后邊粘附的磁條上可以寫上存放磁卡后邊粘附的磁條上可以寫上存放140個字節(jié)的信息。個字節(jié)的信息。v智能卡是近期發(fā)展起來的一種更具安全性的芯片卡。它智能卡是近期發(fā)展起來的一種更具安全性的芯片卡。它通常使用通常使用4Mhz的的8位位CPU、16KB EEPROM、521字節(jié)字節(jié)可擦寫可擦寫RAM。這類卡制作小巧，各種參數(shù)

26、不盡相同。這類卡制作小巧，各種參數(shù)不盡相同。259.3.3 9.3.3 基于生物識別的驗證技術(shù)基于生物識別的驗證技術(shù) v利用用戶自身的某些很難偽造的生物特征進行驗證利用用戶自身的某些很難偽造的生物特征進行驗證的用戶認證方法叫做生物識別。例如：安裝在終端的用戶認證方法叫做生物識別。例如：安裝在終端計算機上的指紋或聲音識別器可以對用戶身份進行計算機上的指紋或聲音識別器可以對用戶身份進行確認。確認。v通常，一個典型的生物識別系統(tǒng)由兩部分組成：通常，一個典型的生物識別系統(tǒng)由兩部分組成： 注冊部分注冊部分 識別部分識別部分269.4 9.4 操作系統(tǒng)保護機制操作系統(tǒng)保護機制v為了保護系統(tǒng)，使之安全地工作

27、，計算機系統(tǒng)需建為了保護系統(tǒng)，使之安全地工作，計算機系統(tǒng)需建立相應(yīng)的安全機制，這將涉及到許多概念。一方面立相應(yīng)的安全機制，這將涉及到許多概念。一方面系統(tǒng)硬件必須提供保護機制，允許實現(xiàn)安全特性，系統(tǒng)硬件必須提供保護機制，允許實現(xiàn)安全特性，另一方面，操作系統(tǒng)從一開始設(shè)計時就要考慮各種另一方面，操作系統(tǒng)從一開始設(shè)計時就要考慮各種安全問題，采取相應(yīng)措施。目前采用的主要安全機安全問題，采取相應(yīng)措施。目前采用的主要安全機制包括：硬件安全機制、存取控制、安全審計、用制包括：硬件安全機制、存取控制、安全審計、用戶標識與鑒別、入侵檢測等。戶標識與鑒別、入侵檢測等。279.4.1 9.4.1 進程支持進程支持v當

28、前的操作系統(tǒng)絕大多數(shù)都是多任務(wù)并發(fā)操作系統(tǒng)，當前的操作系統(tǒng)絕大多數(shù)都是多任務(wù)并發(fā)操作系統(tǒng)，允許用戶在自己的權(quán)限內(nèi)同時創(chuàng)建多個并發(fā)進程。允許用戶在自己的權(quán)限內(nèi)同時創(chuàng)建多個并發(fā)進程。這樣一來，進程轉(zhuǎn)換的安全問題就成為了操作系統(tǒng)這樣一來，進程轉(zhuǎn)換的安全問題就成為了操作系統(tǒng)設(shè)計者首先要考慮的問題之一。設(shè)計者首先要考慮的問題之一。v為了實現(xiàn)共享進程的安全，通常操作系統(tǒng)的設(shè)計者為了實現(xiàn)共享進程的安全，通常操作系統(tǒng)的設(shè)計者在進程的唯一標識在進程的唯一標識進程控制塊中進行相應(yīng)的設(shè)進程控制塊中進行相應(yīng)的設(shè)置，用它來控制和管理進程，實現(xiàn)共享進程的安全。置，用它來控制和管理進程，實現(xiàn)共享進程的安全。289.4.2

29、9.4.2 內(nèi)存保護內(nèi)存保護 v對于一個安全操作系統(tǒng)，內(nèi)存保護是最基本要求。對于一個安全操作系統(tǒng)，內(nèi)存保護是最基本要求。所謂內(nèi)存保護是指保護用戶在存儲器中的數(shù)據(jù)。保所謂內(nèi)存保護是指保護用戶在存儲器中的數(shù)據(jù)。保護單元為存儲器中的最小數(shù)據(jù)范圍，可為字、字塊、護單元為存儲器中的最小數(shù)據(jù)范圍，可為字、字塊、頁面或段。保護單元越小，則存儲保護精度越高。頁面或段。保護單元越小，則存儲保護精度越高。同時，在多道程序系統(tǒng)中，需要存儲保護機制對進同時，在多道程序系統(tǒng)中，需要存儲保護機制對進程的存儲區(qū)域?qū)嵭懈綦x。程的存儲區(qū)域?qū)嵭懈綦x。v內(nèi)存保護與操作系統(tǒng)中的存儲器管理是緊密相聯(lián)的，內(nèi)存保護與操作系統(tǒng)中的存儲器管理

30、是緊密相聯(lián)的，存儲保護負責保證系統(tǒng)各個任務(wù)之間互不干擾；存存儲保護負責保證系統(tǒng)各個任務(wù)之間互不干擾；存儲器管理則是為了更有效地利用存儲空間。儲器管理則是為了更有效地利用存儲空間。299.4.2 9.4.2 內(nèi)存保護內(nèi)存保護 v 當系統(tǒng)的地址空間分為系統(tǒng)段與用戶段時，應(yīng)禁止用戶模式下運當系統(tǒng)的地址空間分為系統(tǒng)段與用戶段時，應(yīng)禁止用戶模式下運行的非特權(quán)進程向系統(tǒng)段進行寫操作。而當在系統(tǒng)模式下運行時，行的非特權(quán)進程向系統(tǒng)段進行寫操作。而當在系統(tǒng)模式下運行時，則允許進程對所有的用戶存儲空間進行讀、寫操作。用戶模式到則允許進程對所有的用戶存儲空間進行讀、寫操作。用戶模式到系統(tǒng)模式的轉(zhuǎn)換應(yīng)由一個特殊的指令

31、完成，該指令將限制進程只系統(tǒng)模式的轉(zhuǎn)換應(yīng)由一個特殊的指令完成，該指令將限制進程只能對部分系統(tǒng)空間進程進行訪問。這些訪問限制一般由硬件根據(jù)能對部分系統(tǒng)空間進程進行訪問。這些訪問限制一般由硬件根據(jù)該進程的特權(quán)模式實施的，從系統(tǒng)靈活性的角度看，還是希望由該進程的特權(quán)模式實施的，從系統(tǒng)靈活性的角度看，還是希望由系統(tǒng)軟件精確地說明該進程對系統(tǒng)空間的哪一頁是可讀的，哪一系統(tǒng)軟件精確地說明該進程對系統(tǒng)空間的哪一頁是可讀的，哪一頁是可寫的。頁是可寫的。v 操作系統(tǒng)可以在硬件中有效的使用硬保護機制進行存儲器的安全操作系統(tǒng)可以在硬件中有效的使用硬保護機制進行存儲器的安全保護。常見的有界址保護、界限寄存器保護等。保

32、護。常見的有界址保護、界限寄存器保護等。309.4.3 9.4.3 存取控制存取控制v 在計算機系統(tǒng)中，安全機制的主要內(nèi)容是存取控制。它包括以下在計算機系統(tǒng)中，安全機制的主要內(nèi)容是存取控制。它包括以下三個任務(wù)：三個任務(wù)：v 授權(quán)：確定可給予哪些主體存取客體的權(quán)限；授權(quán)：確定可給予哪些主體存取客體的權(quán)限；v 確定存取權(quán)限（讀、寫、執(zhí)行、刪除、追加等存取方式的組確定存取權(quán)限（讀、寫、執(zhí)行、刪除、追加等存取方式的組合）；合）；v 實施存取權(quán)限。實施存取權(quán)限。 “存取控制存取控制”僅適用于算機系統(tǒng)內(nèi)的主體和客體、而不包括外界對僅適用于算機系統(tǒng)內(nèi)的主體和客體、而不包括外界對系統(tǒng)的訪問?？刂仆饨鐚ο到y(tǒng)存取

33、的技術(shù)是標識與鑒別。系統(tǒng)的訪問。控制外界對系統(tǒng)存取的技術(shù)是標識與鑒別。 319.4.3 9.4.3 存取控制存取控制在安全操作系統(tǒng)領(lǐng)域中，存取控制一般都涉及自主存取控制和強在安全操作系統(tǒng)領(lǐng)域中，存取控制一般都涉及自主存取控制和強制存取控制兩種形式。制存取控制兩種形式。v (1) 自主存取控制自主存取控制v (2) 強制存取控制強制存取控制v 強制存取控制和自主存取控制是兩種不同類型的存取控制機制，強制存取控制和自主存取控制是兩種不同類型的存取控制機制，它們常結(jié)合起來使用。僅當主體能夠同時通過自主存取控制和它們常結(jié)合起來使用。僅當主體能夠同時通過自主存取控制和強制存取控制檢查時，它才能訪問一個客

34、體。用戶使用自主存強制存取控制檢查時，它才能訪問一個客體。用戶使用自主存取控制防止其它用戶非法入侵自己的文件，強制存取控制則作取控制防止其它用戶非法入侵自己的文件，強制存取控制則作為更強有力的安全保護方式，使用戶不能通過意外事件和有意為更強有力的安全保護方式，使用戶不能通過意外事件和有意識的誤操作逃避安全控制。強制存取控制用于將系統(tǒng)中的信息識的誤操作逃避安全控制。強制存取控制用于將系統(tǒng)中的信息分密級和類進行管理，適用于政府部門、軍事和金融等領(lǐng)域。分密級和類進行管理，適用于政府部門、軍事和金融等領(lǐng)域。329.4.4 9.4.4 安全審計機制安全審計機制v 安全審計是對系統(tǒng)中有關(guān)安全的活動進行記錄

35、、檢查及審核。安全審計是對系統(tǒng)中有關(guān)安全的活動進行記錄、檢查及審核。安全審計機制的主要作用是檢測和阻止非法用戶對計算機系統(tǒng)安全審計機制的主要作用是檢測和阻止非法用戶對計算機系統(tǒng)的入侵，同時顯示合法用戶的誤操作。審計通過事后分析的方的入侵，同時顯示合法用戶的誤操作。審計通過事后分析的方法認定違反安全規(guī)則的行為，并對涉及系統(tǒng)安全的操作進行完法認定違反安全規(guī)則的行為，并對涉及系統(tǒng)安全的操作進行完整的記錄，從而保證系統(tǒng)的安全。整的記錄，從而保證系統(tǒng)的安全。v 一般來講，安全審計機制能夠詳細記錄與系統(tǒng)安全有關(guān)的行為，一般來講，安全審計機制能夠詳細記錄與系統(tǒng)安全有關(guān)的行為，并對這些行為進行分析，發(fā)現(xiàn)系統(tǒng)中

36、的不安全因素，保障系統(tǒng)并對這些行為進行分析，發(fā)現(xiàn)系統(tǒng)中的不安全因素，保障系統(tǒng)安全；能夠?qū)`反安全規(guī)則的行為或企圖提供證據(jù)，幫助追查安全；能夠?qū)`反安全規(guī)則的行為或企圖提供證據(jù)，幫助追查危險行為發(fā)生的地點、過程以及對應(yīng)的主體；對已受攻擊的系危險行為發(fā)生的地點、過程以及對應(yīng)的主體；對已受攻擊的系統(tǒng)提供信息，幫助進行損失評估和系統(tǒng)恢復(fù)。統(tǒng)提供信息，幫助進行損失評估和系統(tǒng)恢復(fù)。339.4.5 9.4.5 入侵檢測機制入侵檢測機制v 入侵檢測基于這樣一個假設(shè)：入侵者的行為不同于合法用戶的入侵檢測基于這樣一個假設(shè)：入侵者的行為不同于合法用戶的某些行為。而事實上，我們無法期望入侵攻擊行為和授權(quán)用戶某些行為。而事實上，我們無法期望入侵攻擊行為和授