操作系統(tǒng)的安全研究

1、引言1第一章：操作系統(tǒng)概念。31.1什么是操作系統(tǒng)的安全31.2操作系統(tǒng)的安全策略31.3操作系統(tǒng)的安全機(jī)制51.31與操作系統(tǒng)奔三密切相關(guān)的最基本的安全機(jī)制.51.32內(nèi)存保護(hù)機(jī)制51.33文件保護(hù)機(jī)制61.34訪(fǎng)問(wèn)控制機(jī)制6第二章：操作系統(tǒng)的漏洞防護(hù)和安全配置規(guī)則82.1操作系統(tǒng)的安全漏洞82.2安全操作系統(tǒng)的配置規(guī)則10第三章：操作系統(tǒng)安全管理和安全測(cè)評(píng)：133.1管理和維護(hù)windows安全系統(tǒng)的基本措施133.2使用MBSA檢查系統(tǒng)漏洞 143.3、安全測(cè)評(píng)對(duì)安全操作系統(tǒng)有什么作用？ 3.4什么是安全測(cè)評(píng)？153.5、安全操作系統(tǒng)測(cè)評(píng)標(biāo)準(zhǔn)163.6操作系統(tǒng)安全評(píng)測(cè)方案及方法17第四章

2、：安全操作系統(tǒng)的戰(zhàn)略意義 .17 4.1安全模型的研究.17 4.2我國(guó)操作系統(tǒng)所面臨的問(wèn)題.18 4.3發(fā)展對(duì)策.18第五章:總結(jié).19操作系統(tǒng)的安全研究第一章：操作系統(tǒng)概念。1.1 什么是操作系統(tǒng)的安全計(jì)算機(jī)操作系統(tǒng)的安全是利用安全手段防止操作系統(tǒng)本身被破壞，防止非法用戶(hù)對(duì)計(jì)算機(jī)資源(如軟件、硬件、時(shí)間、空間、數(shù)據(jù)、服務(wù)等資源)的竊取，防止人為因素造成的故障和破壞。計(jì)算機(jī)系的安全極大地取決于操作系統(tǒng)的安全。1.2 操作系統(tǒng)的安全策略1.21按照其實(shí)現(xiàn)復(fù)雜度遞增和提供安全性遞減的次序排：1.物理上分離：進(jìn)程使用不同的物理實(shí)體。2.時(shí)間上分離：具有不同安全要求的進(jìn)程在不同的時(shí)間允許。3.邏輯上

3、分離：用戶(hù)操作彼此間不相互干擾,程序存取范圍限定。4.密碼上分離：進(jìn)程以一種其他進(jìn)程不了解的方式隱藏?cái)?shù)據(jù)和計(jì)算。1.22 操作系統(tǒng)可以在任何層次上提供保護(hù)，其實(shí)現(xiàn)的難度和提供的安全性能遞增的順序:1、無(wú)保護(hù)：它適合于敏感進(jìn)程運(yùn)行于獨(dú)立的時(shí)間環(huán)境2、隔離保護(hù).：并發(fā)運(yùn)行的進(jìn)程彼此不會(huì)感覺(jué)到對(duì)方的存在,也不會(huì)影響干擾對(duì)方.3、共享或非共享保護(hù)：設(shè)置嚴(yán)格的實(shí)體界限,公用實(shí)體對(duì)所有用戶(hù)開(kāi)放,私有實(shí)體只為屬主使用。4、存取權(quán)限保護(hù)：操作系統(tǒng)檢查每次存取的有效性,借助于某種數(shù)據(jù)結(jié)構(gòu),在特定用戶(hù)和特定實(shí)體上實(shí)施存取控制,保證只有授權(quán)的存取行為發(fā)生。5、權(quán)能共享保護(hù)：存取權(quán)限共享的擴(kuò)展,系統(tǒng)為實(shí)體動(dòng)態(tài)地建立共

4、享權(quán)限,共享程度依賴(lài)于屬主或者實(shí)體。1.23安全措施可以彼此結(jié)合,形成多種層次多種程度的安全機(jī)制,為達(dá)到控制的靈活和可靠性,采用了安全機(jī)制粒度的概念。即按照不同的安全需求和實(shí)體類(lèi)型,決定安全控制的程度。例如,對(duì)數(shù)據(jù)的存取,可以分別控制在數(shù)位、字節(jié)、單元、字、字段、記錄、文件或者文卷一級(jí)。實(shí)體控制的層次越高,存取控制越容易實(shí)現(xiàn)。對(duì)某些大型實(shí)體,若用戶(hù)只需存取其中的一部分,但作為系統(tǒng),也必須允許控制對(duì)整個(gè)實(shí)體的存取。1.3 操作系統(tǒng)的安全機(jī)制 1.31與操作系統(tǒng)密切相關(guān)的最基本的安全機(jī)制包括如下：內(nèi)存保護(hù)機(jī)制、文件保護(hù)機(jī)制、存取控制機(jī)制、鑒別機(jī)制、惡意程序防御機(jī)制。操作系統(tǒng)是在硬件體系結(jié)構(gòu)的基礎(chǔ)上

5、考慮安全問(wèn)題，它必須依賴(lài)于硬件結(jié)構(gòu),必須與硬件安全機(jī)制相互配合，才能更好地形成系統(tǒng)的安全機(jī)制，保證系統(tǒng)的安全環(huán)境、認(rèn)證技術(shù)、訪(fǎng)問(wèn)控制技術(shù)、密碼技術(shù)、完整性技術(shù)、安全協(xié)議等，上述技術(shù)的彼此配合，在系統(tǒng)中形成了多種安全機(jī)制。安全機(jī)制有多種，每種又可細(xì)分為若干子類(lèi)，在計(jì)算機(jī)操作系統(tǒng)，數(shù)據(jù)庫(kù)系統(tǒng)，各類(lèi)信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)中的安全機(jī)制也不盡相同，必須注意彼此間不要沖突。1.32內(nèi)存保護(hù)機(jī)制（1）為什么保護(hù)?多道程序技術(shù)：主存中同時(shí)存放的若干道程序,必須防止一道程序在存儲(chǔ)和運(yùn)行時(shí)影響其他程序的內(nèi)存。堆棧訪(fǎng)問(wèn)技術(shù)：地址增長(zhǎng)與主存地址增長(zhǎng)不同。區(qū)域保護(hù)技術(shù)：系統(tǒng)與用戶(hù)運(yùn)行區(qū)域分開(kāi)與保護(hù)。（2）怎樣保護(hù)?系統(tǒng)硬件

6、保護(hù)：如ECC,CPU運(yùn)行模式,RAM分區(qū)。操作系統(tǒng)保護(hù)：根據(jù)硬件保護(hù)機(jī)制保護(hù)存儲(chǔ)器安全。目前最常用技術(shù)：界址,界限寄存器，重定位，特征位，分段和分頁(yè)，虛存機(jī)制。1.33文件保護(hù)機(jī)制文件系統(tǒng)是操作系統(tǒng)中一個(gè)重要部分，文件系統(tǒng)決定了操作系統(tǒng)的特色，極大地影響了OS的性能，是OS設(shè)計(jì)的基礎(chǔ)與難點(diǎn)，因此,對(duì)文件系統(tǒng)的保護(hù)機(jī)制就分為對(duì)文件系統(tǒng)本身和對(duì)文件存儲(chǔ)載體的安全保護(hù)。多用戶(hù)操作系統(tǒng)必須提供最小的文件保護(hù)機(jī)制，防止用戶(hù)有意或者無(wú)意對(duì)系統(tǒng)文件和其他用戶(hù)文件的存取或修改，用戶(hù)數(shù)越多，保護(hù)模式的復(fù)雜性也越大。1.34訪(fǎng)問(wèn)控制機(jī)制訪(fǎng)問(wèn)控制也稱(chēng)存取控制,是保護(hù)機(jī)制的關(guān)鍵,存取點(diǎn)的數(shù)目很大,且所有訪(fǎng)問(wèn)不可能通

7、過(guò)某個(gè)中心授權(quán)機(jī)制進(jìn)行.1、為什么要進(jìn)行訪(fǎng)問(wèn)控制?(1)合法用戶(hù)對(duì)系統(tǒng)資源的濫用(2)非法用戶(hù)因欺騙而進(jìn)入系統(tǒng),成為“合法”用戶(hù)2、如何進(jìn)行訪(fǎng)問(wèn)控制?（1）對(duì)合法用戶(hù)設(shè)置不同的訪(fǎng)問(wèn)權(quán)限.（2）對(duì)權(quán)限的轉(zhuǎn)讓(授權(quán))進(jìn)行監(jiān)控.(3)驗(yàn)證訪(fǎng)問(wèn)權(quán)限3、存取一般通過(guò)程序來(lái)完成,因此,程序可被看作是存取媒介.訪(fǎng)問(wèn)控制機(jī)制對(duì)保護(hù)實(shí)體實(shí)現(xiàn)如下目標(biāo)。（1）設(shè)置存取權(quán)限.：為每一主體設(shè)定對(duì)某一實(shí)體的存取權(quán)限,具有授權(quán)和撤權(quán)功能。（2）檢查每次存取.：超越存取權(quán)限的行為被認(rèn)為是非法存取,予以拒絕,阻塞或告警,并防止撤權(quán)后對(duì)實(shí)體的再次存取。（3）允許最小權(quán)限：最小權(quán)限原則限定了主體為完成某些任務(wù)必須具有的最小數(shù)目的實(shí)

8、體存取權(quán)限,除此之外,不能進(jìn)行額外的信息存取。（4）進(jìn)行存取驗(yàn)證：除了檢查是否存取外,應(yīng)檢查在實(shí)體上所進(jìn)行的活動(dòng)是否是適當(dāng)?shù)?是正常的存取還是非正常的存取。4、用戶(hù)認(rèn)證機(jī)制。解決“你是誰(shuí)”的問(wèn)題，確定用戶(hù)合法身份，是進(jìn)入網(wǎng)絡(luò)和系統(tǒng)的第一道安全關(guān)口，也是用戶(hù)獲取權(quán)限的關(guān)鍵。認(rèn)證機(jī)制也稱(chēng)鑒別機(jī)制，操作系統(tǒng)中許多保護(hù)措施大都基于鑒別系統(tǒng)的合法用戶(hù)，是操作系統(tǒng)中相當(dāng)重要的一個(gè)方面。用戶(hù)身份認(rèn)證目前可以通過(guò)多種媒體手段實(shí)現(xiàn)，例如證件、文件、圖片、聲音等，利用設(shè)置用戶(hù)名、用戶(hù)標(biāo)識(shí)、用戶(hù)口令、用戶(hù)密碼等安全機(jī)制，檢查用戶(hù)開(kāi)機(jī)口令、用戶(hù)入網(wǎng)標(biāo)識(shí)、入網(wǎng)和資源訪(fǎng)問(wèn)權(quán)限等，完成用戶(hù)的統(tǒng)一性檢查。1.35 標(biāo)識(shí)與鑒別

9、標(biāo)識(shí)與鑒別功能用于保證只有合法的用戶(hù)才能存取系統(tǒng)資源。本系統(tǒng)的標(biāo)識(shí)與鑒別部分包括角色管理、用戶(hù)管理和用戶(hù)身份鑒別等三個(gè)部分：角色管理是實(shí)現(xiàn)RBAC模型的重要部分，將角色配置文件存放在/etc/security/role文件中，角色管理就是對(duì)角色配置文件的維護(hù)。用戶(hù)管理就是對(duì)用戶(hù)屬性文件的維護(hù)，是在系統(tǒng)原有用戶(hù)管理的基礎(chǔ)上修改和擴(kuò)充而來(lái)；本系統(tǒng)改變了原有系統(tǒng)集中存放用戶(hù)屬性的方式，在/etc/security/ia目錄下為每個(gè)用戶(hù)創(chuàng)建一個(gè)屬性文件。用戶(hù)身份鑒別過(guò)程就是控制用戶(hù)與系統(tǒng)建立會(huì)話(huà)的過(guò)程；本系統(tǒng)將修改原有系統(tǒng)的pam模塊和建立會(huì)話(huà)的程序，增加對(duì)管理員用戶(hù)的強(qiáng)身份鑒別（使用加密卡），增加為

10、用戶(hù)設(shè)置初始安全屬性（特權(quán)集、安全標(biāo)記、域、審計(jì)掩碼）的功能。第二章、操作系統(tǒng)的漏洞防護(hù)和安全配置規(guī)則2.1 操作系統(tǒng)的安全漏洞我們都知道系統(tǒng)在安全方面存在漏洞，非法網(wǎng)站、病毒和非法插件會(huì)通過(guò)這個(gè)漏洞入侵系統(tǒng)，會(huì)破壞系統(tǒng)的安全性。不同的操作系統(tǒng)在不同方面有著不同的漏洞，不同的操作系統(tǒng)對(duì)不同的漏洞也有著不一樣的防護(hù)能力。大家都知道Linux系統(tǒng)號(hào)稱(chēng)是比較安全的系統(tǒng)，但是Linux安全漏洞還是存在的，既然存在安全漏洞，就意味著有危險(xiǎn)。下面介紹一下Linux操作系統(tǒng)存在的一些常見(jiàn)的漏洞：漏洞一、如果系統(tǒng)里只有一個(gè)Administrator帳戶(hù)，當(dāng)注冊(cè)失敗的次數(shù)達(dá)到設(shè)置值時(shí)，該帳戶(hù)也不可能被鎖住。 漏

11、洞二、具有管理員特權(quán)的帳戶(hù)在達(dá)到注冊(cè)失敗的次數(shù)時(shí)將被鎖住，然而，30分鐘后自動(dòng)解鎖。漏洞三、NT在注冊(cè)對(duì)話(huà)框中顯示最近一次的注冊(cè)的用戶(hù)名。Linux存在的漏洞遠(yuǎn)不止這些，所以在應(yīng)用此操作系統(tǒng)的時(shí)候應(yīng)做到以下幾點(diǎn)：（）安裝防火墻防火墻不僅是系統(tǒng)有效應(yīng)對(duì)外部攻擊的第一道防線(xiàn)，也是最重要的 一道防線(xiàn)。在新系統(tǒng)第一次連接上Internet之前，防火墻就應(yīng)該被安裝并且配置好。防火墻配置成拒絕接收所有數(shù)據(jù)包，然后再打開(kāi)允許接收含病毒的文件從而傳染到整個(gè)系統(tǒng)中。（）關(guān)閉無(wú)用的端口和服務(wù) 任何網(wǎng)絡(luò)連接都是通過(guò)開(kāi)放的應(yīng)用端口來(lái)實(shí)現(xiàn)的。我們應(yīng)該只開(kāi)放提供服務(wù)的端口，關(guān)閉其他所有不需要的端口，從而大大減少攻擊。 取

12、消系統(tǒng)內(nèi)所有非必要的服務(wù)，只開(kāi)啟必要服務(wù)。這樣做可以盡量避免系統(tǒng)和服務(wù)的漏洞來(lái)進(jìn)行傳播并以獨(dú)立運(yùn)行，并將自身傳播到另外的計(jì)算機(jī)上去。防止此類(lèi)病毒要及時(shí)更新系統(tǒng)的漏洞。（）禁止缺省路由 應(yīng)該嚴(yán)格禁止設(shè)置缺省路由，建議為每一個(gè)子網(wǎng)或網(wǎng)段設(shè)置一個(gè)路由，避免其它機(jī)器可能通過(guò)一定方式訪(fǎng)問(wèn)該主機(jī)。（）口令管理口令的長(zhǎng)度一般不要少于個(gè)字符，口令的組成應(yīng)以無(wú)規(guī)則的大小防止此類(lèi)病毒可以借助一些軟件來(lái)進(jìn)行，比如ehkrootkitr、rootkit可以發(fā)現(xiàn)蠕蟲(chóng)、后門(mén)等。 （）其它病毒 除了針對(duì)Linux的病毒之外，還要注意到許多Windows病毒會(huì)存在于寫(xiě)字母、數(shù)字和符號(hào)相結(jié)合，嚴(yán)格避免用英語(yǔ)單詞或詞組等設(shè)置口令

13、。養(yǎng)成定期更換口令的習(xí)慣。2.2無(wú)論哪種操作系統(tǒng)，要做到很好的安全漏洞防護(hù)都離不開(kāi)正確的安全配置，配置有以下規(guī)則：（1）、物理安全 服務(wù)器應(yīng)當(dāng)放置在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器應(yīng)當(dāng)保留15天以?xún)?nèi)的錄像記錄。另外，機(jī)箱、鍵盤(pán)、抽屜等要上鎖，以保證旁人即使在無(wú)人值守時(shí)也無(wú)法使用此計(jì)算機(jī)，鑰匙要放在安全的地方。（2）、停止Guest帳號(hào)在計(jì)算機(jī)管理中將Guest帳號(hào)停止掉，任何時(shí)候不允許Guest帳號(hào)登錄系統(tǒng)。為了保險(xiǎn)起見(jiàn)，最好給Guest帳號(hào)加上一個(gè)復(fù)雜的密碼，并且修改Guest帳號(hào)屬性，設(shè)置拒絕遠(yuǎn)程訪(fǎng)問(wèn)。（3）、限制用戶(hù)數(shù)量去掉所有的測(cè)試帳號(hào)、共享帳號(hào)和普通部門(mén)帳號(hào)，等等。用戶(hù)組策略設(shè)置

14、相應(yīng)權(quán)限、并且經(jīng)常檢查系統(tǒng)的帳號(hào)，刪除已經(jīng)不適用的帳號(hào)。很多帳號(hào)不利于管理員管理，而黑客在帳號(hào)多的系統(tǒng)中可利用的帳號(hào)也就更多，所以合理規(guī)劃系統(tǒng)中的帳號(hào)分配。（4）、多個(gè)管理員帳號(hào)管理員不應(yīng)該經(jīng)常使用管理者帳號(hào)登錄系統(tǒng)，這樣有可能被一些能夠察看Winlogon進(jìn)程中密碼的軟件所窺探到，應(yīng)該為自己建立普通帳號(hào)來(lái)進(jìn)行日常工作。同時(shí)，為了防止管理員帳號(hào)一旦被入侵者得到，管理員擁有備份的管理員帳號(hào)還可以有機(jī)會(huì)得到系統(tǒng)管理員權(quán)限，不過(guò)因此也帶來(lái)了多個(gè)帳號(hào)的潛在安全問(wèn)題。（5）、管理員帳號(hào)改名在Windows 2000系統(tǒng)中管理員Administrator帳號(hào)是不能被停用的，這意味著攻擊者可以一再?lài)L試猜測(cè)此

15、帳戶(hù)的密碼。把管理員帳戶(hù)改名可以有效防止這一點(diǎn)。不要將名稱(chēng)改為類(lèi)似Admin之類(lèi)，而是盡量將其偽裝為普通用戶(hù)。（6）、陷阱帳號(hào)和第（5）點(diǎn)類(lèi)似，在更改了管理員的名稱(chēng)后，可以建立一個(gè)Administrator的普通用戶(hù)，將其權(quán)限設(shè)置為最低，并且加上一個(gè)10位以上的復(fù)雜密碼，借此花費(fèi)入侵者的大量時(shí)間，并且發(fā)現(xiàn)其入侵企圖。（7）、更改文件共享的默認(rèn)權(quán)限將共享文件的權(quán)限從“Everyone"更改為"授權(quán)用戶(hù)”，”Everyone"意味著任何有權(quán)進(jìn)入網(wǎng)絡(luò)的用戶(hù)都能夠訪(fǎng)問(wèn)這些共享文件。（8）、安全密碼安全密碼的定義是：安全期內(nèi)無(wú)法破解出來(lái)的密碼就是安全密碼，也就是說(shuō)，就算獲取

16、到了密碼文檔，必須花費(fèi)42天或者更長(zhǎng)的時(shí)間才能破解出來(lái)（Windows安全策略默認(rèn)42天更改一次密碼，如果設(shè)置了的話(huà)）。（9）、屏幕保護(hù) / 屏幕鎖定防止內(nèi)部人員破壞服務(wù)器的一道屏障。在管理員離開(kāi)時(shí)，自動(dòng)加載。（10）、使用NTFS分區(qū)比起FAT文件系統(tǒng)，NTFS文件系統(tǒng)可以提供權(quán)限設(shè)置、加密等更多的安全功能。(11)、防病毒軟件Windows操作系統(tǒng)沒(méi)有附帶殺毒軟件，一個(gè)好的殺毒軟件不僅能夠殺除一些病毒程序，還可以查殺除大量的木馬和黑客工具。設(shè)置了殺毒軟件，黑客使用那些著名的木馬程序就毫無(wú)用武之地了。同時(shí)一定要注意經(jīng)常升級(jí)病毒庫(kù)！(12)、備份盤(pán)的安全一旦系統(tǒng)資料被黑客破壞，備份盤(pán)將是恢復(fù)資

17、料的唯一途徑。備份完資料后，把備份盤(pán)放在安全的地方。不能把備份放置在當(dāng)前服務(wù)器上，那樣的話(huà)還不如不做備份。Windows Server 2003是目前最為成熟的網(wǎng)絡(luò)服務(wù)器平臺(tái)，安全性相對(duì)于Windows 2000有很大的提高。第三章：操作系統(tǒng)安全管理和安全測(cè)評(píng)：3.1不一樣的操作系統(tǒng)有著不一樣的運(yùn)行模式，所以要管理和維護(hù)不一樣的操作系統(tǒng)就需要不同的安全措施，下面介紹關(guān)于windows系統(tǒng)安全的基本措施：（1）保護(hù)系統(tǒng)默認(rèn)賬戶(hù) （2）不顯示上次登錄的用戶(hù)名 （3）保護(hù)重要的文件 （4）關(guān)閉不必要的服務(wù)和端口 （5）關(guān)閉默認(rèn)共享 （6）打開(kāi)審核策略3.2使用MBSA檢查系統(tǒng)漏洞微軟免費(fèi)提供的工具M(jìn)

18、BSA（Microsoft Baseline Security Analyzer，微軟基線(xiàn)安全分析器）有三大主要功能：Scan a computer：使用計(jì)算機(jī)名稱(chēng)或者IP地址來(lái)檢測(cè)單臺(tái)計(jì)算機(jī)； Scan multiple computers：使用域名或者IP地址范圍來(lái)檢測(cè)多臺(tái)計(jì)算機(jī)。 View existing security scan reports：查看已經(jīng)檢測(cè)過(guò)的安全報(bào)告。MBSA的使用方法（1）設(shè)置掃描選項(xiàng) （2）掃描漏洞 （3）修正安全問(wèn)題 （4）再次安全掃描 （5）查看所有的掃描報(bào)告3.3、安全測(cè)評(píng)對(duì)安全操作系統(tǒng)有什么作用？ 操作系統(tǒng)是唯一僅靠硬件的基本軟件， 其安全性能是其他

19、軟件安全職能的根基，缺乏這個(gè)安全的根基，構(gòu)筑在其上的應(yīng)用系統(tǒng)以及安全系統(tǒng)的安全性就得不到根本的保障。單個(gè)操作系統(tǒng)以及其上的應(yīng)用系統(tǒng)的安全是整個(gè)安全系統(tǒng)的根本，如果構(gòu)成互聯(lián)網(wǎng)的計(jì)算機(jī)本身系統(tǒng)安全都有問(wèn)題，那么網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)就同樣會(huì)存在問(wèn)題，應(yīng)用軟件信息處理的安全更無(wú)從談起。 安全操作系統(tǒng)測(cè)評(píng)是在操作系統(tǒng)的工作范圍內(nèi)，提供盡可能強(qiáng)的訪(fǎng)問(wèn)控制和審計(jì)機(jī)制，在用戶(hù)、應(yīng)用程序和系統(tǒng)硬件資源之間進(jìn)行符合安全政策調(diào)度，限制JE 法訪(fǎng)問(wèn)。3.4什么是安全測(cè)評(píng)？安全測(cè)評(píng)是指由具備檢驗(yàn)技術(shù)能力的第三方機(jī)構(gòu)，依據(jù)相關(guān)標(biāo)準(zhǔn)或技術(shù)規(guī)范，按照嚴(yán)格程序?qū)π畔⑾到y(tǒng)的安全保障能力進(jìn)行的綜合測(cè)試評(píng)估活動(dòng)。對(duì)操作系統(tǒng)的安全

20、測(cè)評(píng)就是檢查安全機(jī)制是否完整地實(shí)現(xiàn)了安全策略。操作系統(tǒng)自下而上分為幾個(gè)層次, 每個(gè)層次體現(xiàn)不同的功能抽象程度。安全機(jī)制在操作系統(tǒng)每個(gè)層次上的制約作用都有不同的表現(xiàn)形式，因此安全測(cè)評(píng)要在各層次上展開(kāi)。操作系統(tǒng)由文件、網(wǎng)絡(luò)、進(jìn)程等幾個(gè)子系統(tǒng)所組成, 各子系統(tǒng)實(shí)現(xiàn)不同的功能以滿(mǎn)足不同的要求, 并且各子系統(tǒng)相互配合以形成一個(gè)有機(jī)的整體,只有當(dāng)所有子系統(tǒng)的測(cè)試都成功時(shí),才能說(shuō)明操作系統(tǒng)通過(guò)了整個(gè)安全測(cè)評(píng)。3.5、安全操作系統(tǒng)測(cè)評(píng)標(biāo)準(zhǔn)：多年來(lái)TcSEc評(píng)估準(zhǔn)則一直是人們用來(lái)設(shè)計(jì)安全操作系統(tǒng)的上要參考標(biāo)準(zhǔn)，因此它也一直是評(píng)估多用戶(hù)主機(jī)和小型操作系統(tǒng)的主要方法。按照TcsEc柴測(cè)試系統(tǒng)的安全性，主要包括硬件和

21、軟件兩部分。橘皮書(shū)是目前國(guó)際上頗具權(quán)威的計(jì)算機(jī)系統(tǒng)安全標(biāo)準(zhǔn)之一， 它將計(jì)算機(jī)系統(tǒng)的安全性能由高而低劃分為A、B和C，D四大等級(jí)，較高等級(jí)的安全范圍涵蓋較低等級(jí)的安全范圍，其中D最低保護(hù)。橘皮書(shū)對(duì)操作系統(tǒng)安全等級(jí)的劃分只是給出了一個(gè)最終的實(shí)現(xiàn)目標(biāo)，并沒(méi)有從實(shí)現(xiàn)方法上給予規(guī)定，這就導(dǎo)致了在安全操作系統(tǒng)的測(cè)試問(wèn)題上的盲目性和不規(guī)范性，而國(guó)外的測(cè)試方法和備等級(jí)的測(cè)試標(biāo)準(zhǔn)又是保密的，因此，盡快探索出一套自己的對(duì)于安全操作系統(tǒng)測(cè)試的方法和步驟是有必要的。 3.6操作系統(tǒng)安全評(píng)測(cè)方案及方法 安全操作系統(tǒng)評(píng)測(cè)方案系統(tǒng)調(diào)用是操作系統(tǒng)提供給用戶(hù)的唯一接口，用戶(hù)可利用它執(zhí)行系統(tǒng)功能，進(jìn)行設(shè)備管理、文件管理、進(jìn)程控制

22、、進(jìn)程通信、存儲(chǔ)管理和線(xiàn)程管理的相應(yīng)操作，同樣，用戶(hù)也可以利用系統(tǒng)調(diào)用的漏洞和不完善性對(duì)操作系統(tǒng)進(jìn)行攻擊和破壞 ，因此，各個(gè)系統(tǒng)調(diào)用的安全性就直接關(guān)系到安壘操作系統(tǒng)的整體的安全性。依據(jù)應(yīng)用軟件的測(cè)試原則，本文提出對(duì)系統(tǒng)調(diào)用的測(cè)試，分為以下5個(gè)步驟： (1)明確測(cè)試對(duì)象，即要針對(duì)哪一個(gè)或幾個(gè)系統(tǒng)調(diào)用進(jìn)行測(cè)試，并對(duì)待測(cè)試系統(tǒng)調(diào)用的運(yùn)行機(jī)制和各種不同的運(yùn)行結(jié)果力求以深入了解； (2)明確測(cè)試目的，根據(jù)所選測(cè)試對(duì)象的小同，測(cè)試目的也會(huì)隨之變化，在對(duì)單一的系統(tǒng)調(diào)用進(jìn)行測(cè)試時(shí)，測(cè)試的目的通常是執(zhí)行系統(tǒng)調(diào)用的某些操作，比較結(jié)果是否與預(yù)期相同，如果同時(shí)對(duì)幾個(gè)系統(tǒng)調(diào)用進(jìn)行測(cè)試，往往是看其能否協(xié)同工作； (3)根

23、據(jù)具體的測(cè)試對(duì)象和測(cè)試目的編寫(xiě)測(cè)試用例，明確系統(tǒng)調(diào)用的初始化變量和參數(shù)、執(zhí)行步驟、預(yù)期的結(jié)果等； (4)進(jìn)行具體的編碼測(cè)試； (5)根據(jù)結(jié)果來(lái)分析被測(cè)對(duì)象是否具有預(yù)期的安全性。第四章：安全操作系統(tǒng)的戰(zhàn)略意義4.1安全模型的研究安全模型用來(lái)描述系統(tǒng)和用戶(hù)的安全特性，是對(duì)安全策略所表達(dá)的安全需求簡(jiǎn)單、抽象、無(wú)歧義的描述。安全模型用于精確地定義系統(tǒng)的安全需求，為設(shè)計(jì)開(kāi)發(fā)安全操作系統(tǒng)提供指導(dǎo)方針。非形式化安全模型僅需模擬系統(tǒng)的安全性能。形式化安全模型使用數(shù)學(xué)語(yǔ)言，精確地描述安全性及其在系統(tǒng)中的情況。形式化安全模型是設(shè)計(jì)開(kāi)發(fā)高可信安全操作系統(tǒng)的前提，有了它才能進(jìn)行系統(tǒng)形式化設(shè)計(jì)說(shuō)明與驗(yàn)證，并且有可能找出系統(tǒng)的某些