操作系統(tǒng)原理與實(shí)踐教程(第四版) 第9章 操作系統(tǒng)的安全和保護(hù)

第9章操作系統(tǒng)的安全和保護(hù)9.1計(jì)算機(jī)系統(tǒng)和操作系統(tǒng)安全9.2操作系統(tǒng)安全機(jī)制9.3計(jì)算機(jī)病毒9.4訪問控制機(jī)制9.5Linux的安全機(jī)制9.1計(jì)算機(jī)系統(tǒng)和操作系統(tǒng)安全在構(gòu)建一個(gè)安全的計(jì)算機(jī)信息系統(tǒng)時(shí)，不僅要考慮具體的安全產(chǎn)品，包括防火墻(FireWall)、安全路由器(Router)、安全網(wǎng)關(guān)(GateWay)、虛擬專用網(wǎng)(VPN)、入侵檢測(cè)(IDS)、網(wǎng)絡(luò)隔離設(shè)備以及系統(tǒng)漏洞掃描與監(jiān)控產(chǎn)品等，而且還應(yīng)考慮操作系統(tǒng)的安全性問題。操作系統(tǒng)安全是信息安全的基礎(chǔ)。9.1.1計(jì)算機(jī)系統(tǒng)安全概述計(jì)算機(jī)系統(tǒng)安全涉及的內(nèi)容非常廣泛，總體上來講包括三個(gè)方面的內(nèi)容：物理安全是指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，使之免遭破壞或丟失，如計(jì)算機(jī)環(huán)境、設(shè)施、設(shè)備、載體和人員。安全管理包括各種安全管理的政策和機(jī)制。邏輯安全是針對(duì)計(jì)算機(jī)系統(tǒng)，特別是計(jì)算機(jī)軟件系統(tǒng)的安全和保護(hù)，嚴(yán)防信息被竊取和破壞。它又包括以下四個(gè)方面。(1)數(shù)據(jù)保密性(DataSecrecy)：指保護(hù)信息不被未授權(quán)者訪問，僅允許被授權(quán)的用戶訪問。(2)數(shù)據(jù)完整性(DataIntegrity)：指未經(jīng)授權(quán)的用戶不能擅自修改系統(tǒng)中保存的信息，且能保持系統(tǒng)中數(shù)據(jù)的一致性。(3)系統(tǒng)可用性(SystemAvailability)：指授權(quán)用戶的正常請(qǐng)求能及時(shí)、正確、安全地得到服務(wù)或響應(yīng)?；蛘哒f，計(jì)算機(jī)中的資源可供授權(quán)用戶隨時(shí)進(jìn)行訪問，系統(tǒng)不會(huì)拒絕服務(wù)。系統(tǒng)拒絕服務(wù)的情況在互聯(lián)網(wǎng)中很容易出現(xiàn)，連續(xù)不斷地向某個(gè)服務(wù)器發(fā)送請(qǐng)求就可能會(huì)使該服務(wù)器癱瘓，以致系統(tǒng)無法提供服務(wù)，表現(xiàn)為拒絕服務(wù)。(4)真實(shí)性(Authenticity)：要求計(jì)算機(jī)系統(tǒng)能證實(shí)用戶的身份，防止非法用戶侵入系統(tǒng)，以及確認(rèn)數(shù)據(jù)來源的真實(shí)性。9.1.1計(jì)算機(jī)系統(tǒng)安全概述影響計(jì)算機(jī)系統(tǒng)安全的因素很多。首先，操作系統(tǒng)是一個(gè)共享資源系統(tǒng)，支持多個(gè)用戶同時(shí)共享一系列計(jì)算機(jī)系統(tǒng)的資源，有資源共享就需要有資源保護(hù)，涉及到各種安全性問題；其次，隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，除了信息的存儲(chǔ)和處理外，還存在著大量的數(shù)據(jù)傳送操作，客戶機(jī)要訪問服務(wù)器，一臺(tái)計(jì)算機(jī)要將數(shù)據(jù)傳送給另一臺(tái)計(jì)算機(jī)，這個(gè)過程對(duì)安全的威脅極大，需要有網(wǎng)絡(luò)安全和數(shù)據(jù)信息的保護(hù)，以防止入侵者惡意破壞；另外，在應(yīng)用系統(tǒng)中，主要依賴數(shù)據(jù)庫(kù)來存儲(chǔ)大量信息，它是各個(gè)部門十分重要的資源，其中的數(shù)據(jù)會(huì)被廣泛使用，特別是在網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)庫(kù)，這就提出了信息系統(tǒng)和數(shù)據(jù)庫(kù)的安全問題。最后，計(jì)算機(jī)安全的一個(gè)特殊問題就是計(jì)算機(jī)病毒，需要采取措施來預(yù)防、發(fā)現(xiàn)和刪除病毒。9.1.1計(jì)算機(jī)系統(tǒng)安全概述計(jì)算機(jī)系統(tǒng)的安全性和可靠性是兩個(gè)不同的概念。可靠性是指硬件系統(tǒng)正常持續(xù)運(yùn)行的程度。安全性是指不因人為疏漏或蓄意操作而導(dǎo)致信息資源被泄露、篡改和破壞?？煽啃允腔A(chǔ)，安全性更為復(fù)雜。9.1.2操作系統(tǒng)安全及信息安全評(píng)價(jià)準(zhǔn)則1.操作系統(tǒng)安全一個(gè)安全的操作系統(tǒng)包括以下功能：(1)進(jìn)程管理和控制(2)文件管理和保護(hù)(3)運(yùn)行域控制(4)輸入/輸出訪問控制(5)內(nèi)存保護(hù)和管理(6)審計(jì)日志管理9.1.2操作系統(tǒng)安全及信息安全評(píng)價(jià)準(zhǔn)則2.信息安全評(píng)價(jià)準(zhǔn)則美國(guó)是最早對(duì)操作系統(tǒng)安全進(jìn)行研究并提出測(cè)評(píng)標(biāo)準(zhǔn)的國(guó)家。美國(guó)國(guó)防部于1983年提出的“計(jì)算機(jī)可信系統(tǒng)評(píng)價(jià)準(zhǔn)則(TCSEC)”是基于對(duì)操作系統(tǒng)進(jìn)行安全評(píng)估的標(biāo)準(zhǔn)。TCSEC將計(jì)算機(jī)系統(tǒng)的安全性分成D、C、B、A四等七級(jí)，依照各等、各級(jí)的安全要求，從低到高依次是D、C1、C2、B1、B2、B3和A1級(jí)，各級(jí)的安全性如下：D：最低安全性，稱為安全保護(hù)欠缺級(jí)。常見的無密碼保護(hù)的個(gè)人計(jì)算機(jī)系統(tǒng)屬于D級(jí)。C1：自由安全保護(hù)級(jí)，通常具有密碼保護(hù)的多用戶工作站屬于C1級(jí)。C2：較完善的自主存取控制、廣泛的審計(jì)。當(dāng)前廣泛使用的軟件，如UNIX操作系統(tǒng)、ORACLE數(shù)據(jù)庫(kù)系統(tǒng)等，都能達(dá)到C2級(jí)。B1：強(qiáng)制存取控制，安全標(biāo)識(shí)。B2：良好的安全體系結(jié)構(gòu)、形式化安全模型、抗?jié)B透能力。B3：全面的訪問控制(安全內(nèi)核)、可信恢復(fù)、高抗?jié)B透能力。A1：形式化認(rèn)證、非形式化代碼、一致性證明。根據(jù)TCSEC標(biāo)準(zhǔn)，達(dá)到B級(jí)標(biāo)準(zhǔn)的操作系統(tǒng)可稱為安全操作系統(tǒng)。目前流行的幾種操作系統(tǒng)的安全性分別為：MS-DOS為D級(jí)；WindowsNT和Solaris為C2級(jí)；OSF/1為B1級(jí)；UnixWare2.1為B2級(jí)。9.1.3計(jì)算機(jī)安全威脅分類計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)在安全性方面受到的威脅可分為如下4種類型：(1)中斷。也稱為拒絕服務(wù)，是指系統(tǒng)的資源被破壞或變得不可用或不能用。這是對(duì)可用性的攻擊，如破壞硬盤、切斷通信線路或使文件管理失敗。(2)截取。未經(jīng)授權(quán)的用戶、程序或計(jì)算機(jī)系統(tǒng)通過非正當(dāng)途徑獲得對(duì)資源的訪問權(quán)。這是對(duì)保密性的威脅，例如在網(wǎng)絡(luò)中竊取數(shù)據(jù)及非法復(fù)制文件和程序。(3)篡改。未經(jīng)授權(quán)的用戶不僅獲得對(duì)資源的訪問，而且進(jìn)行篡改，這是對(duì)完整性的攻擊，例如修改數(shù)據(jù)文件的信息，修改網(wǎng)絡(luò)中正在傳送的消息內(nèi)容。(4)偽造。未經(jīng)授權(quán)的用戶不僅從系統(tǒng)中截獲信息，而且還可以修改數(shù)據(jù)包中的信息，將偽造的對(duì)象插入到系統(tǒng)中，這是對(duì)真實(shí)性的威脅，例如，非法用戶把偽造的消息加到網(wǎng)絡(luò)中或向當(dāng)前文件加入記錄。9.2操作系統(tǒng)安全機(jī)制安全機(jī)制的主要功能則是實(shí)現(xiàn)安全策略描述的安全問題，它關(guān)注的是如何實(shí)現(xiàn)系統(tǒng)的安全性，主要包括：加密機(jī)制(Encryption)認(rèn)證機(jī)制(Authentication)授權(quán)機(jī)制(Authorization)審計(jì)機(jī)制(Audit)9.2.1數(shù)據(jù)加密的基本概念1.數(shù)據(jù)加密模型數(shù)據(jù)加密模型由四部分組成。(1)明文(plaintext)。被加密的文本稱為明文P。(2)密文(ciphertext)。加密后的文本稱為密文C。(3)加密(解密)算法E(D)。用于實(shí)現(xiàn)從明文(密文)到密文(明文)轉(zhuǎn)換的公式、規(guī)則或程序。(4)密鑰K。密鑰是加密和解密算法中的關(guān)鍵參數(shù)。加密過程為在發(fā)送端利用加密算法Eke和加密密鑰Ke對(duì)明文P進(jìn)行加密，得到密文C=Eke(P)。密文C被傳送到接收端后進(jìn)行解密。解密過程為：接收端利用解密算法DKd和解密密鑰Kd對(duì)密文C進(jìn)行解密，將密文還原為明文P=DKd(C)。在加密系統(tǒng)中，加解密算法是相對(duì)穩(wěn)定的。為了保證加密數(shù)據(jù)的安全性，密鑰需要經(jīng)常改變。9.2.1數(shù)據(jù)加密的基本概念2.加密算法的類型

(1)對(duì)稱加密算法。在對(duì)稱加密算法中，加密和解密算法使用相同的密鑰。加密密鑰能夠從解密密鑰中推算出來，同時(shí)解密密鑰也可以從加密密鑰中推算出來。對(duì)稱加密算法的優(yōu)點(diǎn)是算法公開、計(jì)算量小、加密速度快、加密效率高。不足之處是，交易雙方都使用同樣密鑰，安全性得不到保證。此外，每對(duì)用戶每次使用對(duì)稱加密算法時(shí)，都需要使用其他人不知道的惟一密鑰，這會(huì)使得發(fā)收信雙方所擁有的密鑰數(shù)量呈幾何級(jí)數(shù)增長(zhǎng)，密鑰管理成為用戶的負(fù)擔(dān)。對(duì)稱加密算法在分布式網(wǎng)絡(luò)系統(tǒng)中使用較為困難，主要是因?yàn)槊荑€管理困難，使用成本較高。目前廣泛使用的對(duì)稱加密算法有DES、IDEA和AES。(2)非對(duì)稱加密算法。非對(duì)稱加密算法使用兩把完全不同的一對(duì)鑰匙：公鑰和私鑰。在使用非對(duì)稱加密算法加密文件時(shí)，只有使用匹配的一對(duì)公鑰和私鑰，才能完成對(duì)明文的加密和解密。加密明文時(shí)采用公鑰加密，解密密文時(shí)使用私鑰，而且發(fā)信方(加密者)知道收信方的公鑰，只有收信方(解密者)唯一知道自己的私鑰。非對(duì)稱加密也稱公開密鑰加密法。非對(duì)稱加密算法的基本原理是，如果發(fā)信方想發(fā)送只有收信方才能解讀的加密信息，發(fā)信方必須首先知道收信方的公鑰，然后利用收信方的公鑰來加密原文；收信方收到加密密文后，使用自己的私鑰解密密文。顯然，采用非對(duì)稱加密算法，收發(fā)信雙方在通信之前，收信方必須將自己的公鑰告知發(fā)信方，而自己保留私鑰。由于非對(duì)稱算法擁有兩個(gè)密鑰，因而特別適用于分布式系統(tǒng)中的數(shù)據(jù)加密。非對(duì)稱加密算法的密鑰管理簡(jiǎn)單，但加密算法復(fù)雜。目前廣泛使用的非對(duì)稱加密算法有RSA算法和美國(guó)國(guó)家標(biāo)準(zhǔn)局提出的DSA。以非對(duì)稱加密算法為基礎(chǔ)的加密技術(shù)應(yīng)用非常廣泛。9.2.2數(shù)字簽名和身份認(rèn)證1.數(shù)字簽名完善的數(shù)字簽名應(yīng)滿足下述三個(gè)條件：(1)簽字方事后不能抵賴其簽名。(2)其他人不能偽造對(duì)報(bào)文的簽名。(3)接收方能夠驗(yàn)證簽字方對(duì)報(bào)文簽名的真?zhèn)?。?shù)字簽名是通過密碼算法對(duì)數(shù)據(jù)進(jìn)行加、解密變換實(shí)現(xiàn)的。目前的數(shù)字簽名建立在公開密鑰體制基礎(chǔ)上，它是公開密鑰加密技術(shù)的另一類應(yīng)用。9.2.2數(shù)字簽名和身份認(rèn)證基于公開密鑰密碼算法的數(shù)字簽名主要原理如下：(1)報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值，稱之為報(bào)文摘要。(2)發(fā)送方用自己的私鑰對(duì)該報(bào)文摘要進(jìn)行加密，形成發(fā)送方報(bào)文的數(shù)字簽名。(3)該報(bào)文的數(shù)字簽名作為報(bào)文的附件和報(bào)文一起發(fā)送給接收方。(4)報(bào)文接收方從接收到的原始報(bào)文中計(jì)算出128位的報(bào)文摘要。(5)報(bào)文接收方用發(fā)送方的公鑰對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密。如果兩個(gè)報(bào)文摘要相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。如果第三方冒充發(fā)送方發(fā)出了一個(gè)數(shù)字簽名，因?yàn)榻邮辗皆趯?duì)數(shù)字簽名進(jìn)行解密時(shí)使用的是發(fā)送方的公開密鑰，只要第三方不知道發(fā)送方的私有密鑰，解密出來的數(shù)字簽名和經(jīng)過計(jì)算的數(shù)字簽名必然是不相同的。這就提供了一個(gè)安全的確認(rèn)發(fā)送方身份的方法。鑒于用于簽名的私有密鑰只有發(fā)送方自己保存，他人無法做出同樣的數(shù)字簽名，因此發(fā)送方事后不能抵賴其簽名。9.2.2數(shù)字簽名和身份認(rèn)證數(shù)字簽名的加密解密過程和非對(duì)稱加密算法的加密解密過程雖然都使用公開密鑰體系，但實(shí)現(xiàn)的過程正好相反，使用的密鑰對(duì)也不同。數(shù)字簽名使用的是發(fā)送方的密鑰對(duì)，發(fā)送方用自己的私有密鑰進(jìn)行加密，接收方用發(fā)送方的公開密鑰進(jìn)行解密。這是一對(duì)多的關(guān)系，任何擁有發(fā)送方公開密鑰的人都可以驗(yàn)證數(shù)字簽名的正確性。而非對(duì)稱加密算法的加密解密使用的是接收方的密鑰對(duì)，發(fā)送方用接收方的公開密鑰進(jìn)行加密，接收方用自己的私有密鑰進(jìn)行解密。這是多對(duì)一的關(guān)系，任何知道接收方公開密鑰的人都可以向接收方發(fā)送加密信息，只有唯一擁有接收方私有密鑰的人才能對(duì)信息解密。在實(shí)際應(yīng)用過程中，通常一個(gè)用戶擁有兩個(gè)密鑰對(duì)，一個(gè)密鑰對(duì)用來對(duì)數(shù)字簽名進(jìn)行加密解密，一個(gè)密鑰對(duì)用來對(duì)私有密鑰進(jìn)行加密解密。這種方式提供更高的安全性。9.2.2數(shù)字簽名和身份認(rèn)證2.身份認(rèn)證機(jī)制身份認(rèn)證是安全操作系統(tǒng)應(yīng)該具備的最基本功能，是用戶要進(jìn)入系統(tǒng)訪問資源或在網(wǎng)絡(luò)中通信雙方在進(jìn)行數(shù)據(jù)傳送之前實(shí)施審查和證實(shí)身份的操作。身份認(rèn)證分為內(nèi)部和外部身份認(rèn)證兩種。外部身份認(rèn)證涉及驗(yàn)證某個(gè)用戶是否是像其宣稱的那樣，例如，某個(gè)用戶用一個(gè)用戶名登錄某系統(tǒng)，此系統(tǒng)的外部身份認(rèn)證機(jī)制將進(jìn)行檢查以證實(shí)此用戶的登錄確實(shí)是合法的用戶。最簡(jiǎn)單的外部驗(yàn)證是為每個(gè)賬戶賦予一個(gè)口令，賬戶可能是廣為人知的，而口令則對(duì)不使用此賬號(hào)的人員保密，而且此口令只能被此賬號(hào)的擁有者或系統(tǒng)管理員改變。內(nèi)部身份認(rèn)證機(jī)制確保某進(jìn)程不能表現(xiàn)為除了它自身以外的其它進(jìn)程。9.2.2數(shù)字簽名和身份認(rèn)證(1)用戶身份認(rèn)證當(dāng)用戶與系統(tǒng)進(jìn)行交互時(shí)，操作系統(tǒng)是兩者進(jìn)行交互的軟件代理。操作系統(tǒng)需要驗(yàn)證這些用戶確實(shí)具有他們所宣稱的特征，這就是用戶身份認(rèn)證。在操作系統(tǒng)中，用戶標(biāo)識(shí)符和口令的組合被廣泛用于用戶身份認(rèn)證。操作系統(tǒng)還可以使用其它附加手段來確認(rèn)某用戶是否是其宣稱的那個(gè)用戶。例如，用戶的指紋、IC卡和鑰匙卡等。9.2.2數(shù)字簽名和身份認(rèn)證(2)網(wǎng)絡(luò)中的身份認(rèn)證網(wǎng)絡(luò)中的身份認(rèn)證通常通過數(shù)字證書來實(shí)現(xiàn)，數(shù)字證書是一種權(quán)威性的電子文檔，它提供一種在Internet上驗(yàn)證用戶身份的方式，其作用類似于駕駛執(zhí)照、身份證、護(hù)照。下面通過一個(gè)具體例子來說明數(shù)字證書的申請(qǐng)、發(fā)放和使用過程。(1)用戶A首先產(chǎn)生自己的密鑰對(duì)，并將公共密鑰及部分個(gè)人身份信息傳送給認(rèn)證中心CA。(2)認(rèn)證中心CA在核實(shí)身份后，將執(zhí)行一些必要的步驟，以確信請(qǐng)求確實(shí)由用戶發(fā)送而來。然后，認(rèn)證中心將發(fā)給用戶一個(gè)數(shù)字證書，該證書內(nèi)包含用戶A的個(gè)人信息和他的公鑰信息，同時(shí)還附有認(rèn)證中心的簽名信息。(3)用戶A在向用戶B發(fā)送信息時(shí)，用戶A用私有密鑰對(duì)信息的報(bào)文摘要加密，形成數(shù)字簽名，并連同已加密的數(shù)字證書一起發(fā)送給用戶B。(4)用戶B向CA機(jī)構(gòu)申請(qǐng)獲得CA的公開密鑰。CA收到用戶B的申請(qǐng)后，將CA的公開密鑰發(fā)送給用戶B。(5)用戶B利用CA的公開密鑰對(duì)數(shù)字證書進(jìn)行解密，確認(rèn)該數(shù)字證書是原件，并從數(shù)字證書中獲得用戶A的公開密鑰，并且也確認(rèn)該公開密鑰確系是用戶A的密鑰。(6)用戶B利用用戶A的公開密鑰對(duì)用戶A發(fā)送來的數(shù)字簽名進(jìn)行解密，從而得到用戶A發(fā)來的報(bào)文的真實(shí)明文，并鑒別用戶A的真實(shí)身份。9.2.3授權(quán)機(jī)制授權(quán)機(jī)制用于確認(rèn)用戶或進(jìn)程在授權(quán)許可下才能夠訪問使用計(jì)算機(jī)的資源。9.2.4審計(jì)審計(jì)是通過事后追查手段來保證系統(tǒng)的安全，是對(duì)系統(tǒng)實(shí)施的一種安全性技術(shù)措施，它對(duì)涉及系統(tǒng)安全的相關(guān)操作活動(dòng)作一個(gè)完整的紀(jì)錄，并進(jìn)行檢查及審核。審計(jì)的主要目的就是檢測(cè)和阻止非法用戶對(duì)計(jì)算機(jī)系統(tǒng)的入侵，并記錄合法用戶的誤操作。審計(jì)為系統(tǒng)對(duì)安全事故原因的查詢、事故發(fā)生地點(diǎn)、時(shí)間、類型、過程、結(jié)果的追查、事故發(fā)生前的預(yù)測(cè)及報(bào)警提供詳細(xì)、可靠的依據(jù)和支持。審計(jì)記錄一般應(yīng)包括如下信息：事件發(fā)生的時(shí)間、地點(diǎn)、代表正在進(jìn)行事件的主體的惟一標(biāo)識(shí)符、事件的類型、事件的成敗等。審計(jì)過程是一個(gè)獨(dú)立過程，它應(yīng)與操作系統(tǒng)的其它功能隔離開。系統(tǒng)應(yīng)該能夠生成、維護(hù)和保護(hù)審計(jì)過程，使其免遭非法訪問和破壞，特別要保護(hù)審計(jì)數(shù)據(jù)，嚴(yán)格禁止未經(jīng)授權(quán)的用戶訪問。如果審計(jì)與報(bào)警功能相結(jié)合，那就可以做到每當(dāng)有違反系統(tǒng)安全的事件發(fā)生或者有涉及系統(tǒng)安全的重要操作進(jìn)行時(shí)，就能及時(shí)發(fā)出相應(yīng)的報(bào)警信息。9.3計(jì)算機(jī)病毒自1983年發(fā)現(xiàn)計(jì)算機(jī)病毒后，計(jì)算機(jī)病毒種類越來越多，潛伏越來越深，危害性越來越大，防不勝防。如果不對(duì)計(jì)算機(jī)病毒進(jìn)行有效地阻止和防范，計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)將不斷受到攻擊，給廣大用戶帶來不可估量的損失。9.3.1計(jì)算機(jī)病毒的基本概念1．計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。2．計(jì)算機(jī)病毒的危害(1)占用系統(tǒng)空間。計(jì)算機(jī)病毒是一段程序，會(huì)占用一定的磁盤空間和內(nèi)存空間。病毒程序雖然很小，但隨著病毒的繁殖，數(shù)量會(huì)急劇增加，將占用大量的磁盤空間和內(nèi)存空間，最終致使系統(tǒng)存儲(chǔ)空間消耗殆盡。(2)占用CPU時(shí)間。計(jì)算機(jī)病毒在運(yùn)行時(shí)會(huì)占用CPU時(shí)間，隨著病毒數(shù)量的增加，將會(huì)消耗更多的CPU時(shí)間，這會(huì)導(dǎo)致系統(tǒng)運(yùn)行速度變得異常緩慢，進(jìn)一步還可能完全獨(dú)占CPU時(shí)間，致使計(jì)算機(jī)系統(tǒng)無法向用戶提供服務(wù)。(3)破壞文件。計(jì)算機(jī)病毒可以增加或減少文件的長(zhǎng)度，改變文件的內(nèi)容，甚至刪除文件。病毒還可以通過對(duì)磁盤的格式化使整個(gè)系統(tǒng)中的文件全部消失。(4)破壞計(jì)算機(jī)軟硬件系統(tǒng)。計(jì)算機(jī)病毒可破壞計(jì)算機(jī)軟硬件系統(tǒng)，致使計(jì)算機(jī)出現(xiàn)異常情況，如提示一些莫名其妙的指示信息，顯示異常圖形等，甚至致使計(jì)算機(jī)運(yùn)行減緩，完全停機(jī)。1998年6月爆發(fā)于中國(guó)臺(tái)灣的CIH病毒不但會(huì)破壞計(jì)算機(jī)硬盤中的信息，而且還會(huì)破壞BIOS，使系統(tǒng)無法啟動(dòng)，從而很難殺除。由于染毒的BIOS無法啟動(dòng)系統(tǒng)，故障現(xiàn)象與主板硬件損壞一樣，所以CIH病毒被認(rèn)為是第一個(gè)破壞計(jì)算機(jī)硬件系統(tǒng)的病毒。

9.3.1計(jì)算機(jī)病毒的基本概念3．計(jì)算機(jī)病毒的特征(1)潛伏性。(2)傳染性。(3)隱蔽性。(4)破壞性。在網(wǎng)絡(luò)時(shí)代，計(jì)算機(jī)病毒又具有很多新的特征：(1)通過網(wǎng)絡(luò)和郵件系統(tǒng)傳播。(2)傳播速度極快。(3)變種多。(4)具有病毒、蠕蟲和黑客程序功能。9.3.2計(jì)算機(jī)病毒的類型1．文件型病毒文件型病毒是當(dāng)前最為普遍的病毒形式，通過在運(yùn)行過程中插入指令，把自己依附在可執(zhí)行文件上。然后，利用這些指令來調(diào)用附在文件中某處的病毒代碼。當(dāng)文件執(zhí)行時(shí)，病毒會(huì)調(diào)出自己的代碼來執(zhí)行，接著又返回到正常的執(zhí)行指令序列。文件型病毒使文件受感染的方式可分為如下兩種：(1)主動(dòng)攻擊型感染。當(dāng)病毒程序在執(zhí)行時(shí)，它不斷地對(duì)磁盤上的文件進(jìn)行檢查，當(dāng)發(fā)現(xiàn)被檢測(cè)文件尚未被感染時(shí)，就去感染它，使其帶有病毒。(2)執(zhí)行時(shí)感染。在病毒環(huán)境中，每當(dāng)一個(gè)未被感染的程序在執(zhí)行時(shí)，如果它是病毒所期待的文件類型，且磁盤沒有寫保護(hù)，該程序就會(huì)被感染病毒。病毒在感染其它文件時(shí)，通常是有針對(duì)性地，有的病毒是針對(duì).com文件，或者是針對(duì).exe文件，或者同時(shí)針對(duì).com文件和.exe文件，也有的病毒則針對(duì)其它類型的文件。9.3.2計(jì)算機(jī)病毒的類型2．引導(dǎo)扇區(qū)病毒引導(dǎo)扇區(qū)病毒潛伏在磁盤上用于引導(dǎo)系統(tǒng)的引導(dǎo)區(qū)。當(dāng)系統(tǒng)開機(jī)時(shí)，病毒便借助于引導(dǎo)過程進(jìn)入系統(tǒng)，通常引導(dǎo)扇區(qū)病毒先執(zhí)行自身的代碼，然后再繼續(xù)系統(tǒng)的啟動(dòng)進(jìn)程。病毒通過復(fù)制代碼使引導(dǎo)區(qū)病毒感染計(jì)算機(jī)系統(tǒng)或者軟盤引導(dǎo)扇區(qū)或硬盤分區(qū)表。在啟動(dòng)期間,病毒加載到內(nèi)存，一旦在內(nèi)存,病毒將感染由系統(tǒng)訪問的任何非感染磁盤。3．宏病毒宏是微軟公司為其OFFICE軟件包設(shè)計(jì)的一個(gè)特殊功能，軟件設(shè)計(jì)者為了讓人們?cè)谑褂密浖r(shí)，避免一再地重復(fù)相同的動(dòng)作而設(shè)計(jì)出來的一種工具，它利用簡(jiǎn)單的語(yǔ)法，把常用的動(dòng)作寫成宏，當(dāng)在工作時(shí)，就可以直接利用事先編好的宏自動(dòng)運(yùn)行，去完成某項(xiàng)特定的任務(wù)，而不必再重復(fù)相同的動(dòng)作，目的是讓用戶文檔中的一些任務(wù)自動(dòng)化。宏病毒是一種寄存在文檔或模板的宏中的計(jì)算機(jī)病毒。一旦打開這樣的文檔，其中的宏就會(huì)被執(zhí)行，于是宏病毒就會(huì)被激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在Normal模板上。從此以后，所有自動(dòng)保存的文檔都會(huì)感染上這種宏病毒，而且如果其他用戶打開感染病毒的文檔，宏病毒又會(huì)轉(zhuǎn)移到他的計(jì)算機(jī)上。一般宏病毒具有傳播極快，制作、變種方便，破壞可能性極大，兼容性不高等特點(diǎn)，目前的殺毒軟件都能有效地防治和清除宏病毒。

9.3.2計(jì)算機(jī)病毒的類型4．內(nèi)存駐留病毒內(nèi)存駐留病毒一旦執(zhí)行，自己便占據(jù)內(nèi)存駐留區(qū)。這是計(jì)算機(jī)運(yùn)行程序和文件時(shí)載入它們的地方。病毒在內(nèi)存中占據(jù)重要位置，病毒可以訪問在計(jì)算機(jī)上運(yùn)行的所有重要操作，它可以在文件和程序訪問、修改或者操作時(shí)很輕松地破壞它們。計(jì)算機(jī)關(guān)閉時(shí)，所有內(nèi)存中的數(shù)據(jù)都將被清除，包括病毒。但是，當(dāng)病毒感染系統(tǒng)時(shí)，它會(huì)確保每次計(jì)算機(jī)啟動(dòng)時(shí)都將在內(nèi)存中激活病毒。內(nèi)存駐留病毒會(huì)通過占用系統(tǒng)資源來使用戶的計(jì)算機(jī)變慢。它們可以破壞數(shù)據(jù)和系統(tǒng)文件，這會(huì)使用戶的計(jì)算機(jī)不能正常工作。9.3.2計(jì)算機(jī)病毒的類型5．郵件病毒郵件病毒其實(shí)和普通的電腦病毒一樣，只不過它們的傳播途徑主要是通過電子郵件，所以才被稱為郵件病毒，由于它們一般通過郵件中“附件”夾帶的方法進(jìn)行擴(kuò)散，只要接收者打開電子郵件中的附件，病毒就會(huì)被激活，它將把自身發(fā)送給該用戶列表中的每個(gè)人，然后進(jìn)行破壞活動(dòng)。后來出現(xiàn)了更具破壞性的電子郵件病毒，它被直接嵌入到電子郵件中，只要接收者打開含有該病毒的電子郵件，病毒就會(huì)被激活。由于電子郵件病毒是通過Internet傳播的，因此病毒的傳播速度非常快，加上平時(shí)日常工作中電子郵件使用十分頻繁，因此預(yù)防郵件病毒就顯得至關(guān)重要。9.3.3病毒的預(yù)防和檢測(cè)1．病毒的預(yù)防預(yù)防計(jì)算機(jī)病毒應(yīng)從管理和技術(shù)兩方面進(jìn)行。(1)建立完善的計(jì)算機(jī)法制制度，使懲治編寫和傳播計(jì)算機(jī)病毒程序的工作有法可依，通過法律手段有效地預(yù)防計(jì)算機(jī)病毒的產(chǎn)生和蔓延。(2)對(duì)于重要的軟件和數(shù)據(jù)，應(yīng)當(dāng)定期做好備份。一方面確保數(shù)據(jù)不丟失，另一方面，當(dāng)發(fā)現(xiàn)病毒時(shí)，也可用它來還原被感染文件。(3)使用正版軟件，從網(wǎng)上下載軟件時(shí)，要使用最新的防病毒軟件進(jìn)行掃描以防范病毒入侵。(4)選擇性能好的正版反病毒軟件，并定期進(jìn)行升級(jí)，對(duì)計(jì)算機(jī)系統(tǒng)及軟件要定期地進(jìn)行病毒檢測(cè)。(5)對(duì)來歷不明的電子郵件，不要輕易打開，以防止病毒通過電子郵件來傳染。(6)要定期檢查硬盤、優(yōu)盤，利用反病毒軟件來清除其中的病毒。將.com文件和.exe文件賦以“只讀”屬性，預(yù)防病毒入侵。9.3.3病毒的預(yù)防和檢測(cè)2．常用病毒檢測(cè)方法(1)特征代碼法特征代碼法包括建立病毒數(shù)據(jù)庫(kù)和掃描文件兩個(gè)過程。為了建立病毒數(shù)據(jù)庫(kù)，應(yīng)當(dāng)采集病毒的樣本，所收集的病毒樣本種類越多，利用它去檢測(cè)病毒的成功率也就越高。在掃描文件過程中，打開被檢測(cè)文件，在文件中搜索，檢查文件中是否含有病毒數(shù)據(jù)庫(kù)中的病毒特征代碼。如果發(fā)現(xiàn)病毒特征代碼，由于特征代碼與病毒一一對(duì)應(yīng)，便可斷定被查文件中感染有何種病毒。特征代碼法將硬盤上的文件與病毒數(shù)據(jù)庫(kù)中的病毒樣本嚴(yán)格匹配來發(fā)現(xiàn)病毒，這樣可能會(huì)漏掉許多多形態(tài)病毒。特征代碼法的優(yōu)點(diǎn)是檢測(cè)準(zhǔn)確快速、可識(shí)別病毒的名稱、誤報(bào)警率低、依據(jù)檢測(cè)結(jié)果可做殺毒處理。其缺點(diǎn)如下：1)速度慢。隨著病毒種類的增多，檢索時(shí)間將變長(zhǎng)。必須對(duì)每一種病毒特征代碼逐一檢查。如果病毒種數(shù)龐大，檢測(cè)病毒就需要巨大的時(shí)間開銷。2)不能檢測(cè)多形態(tài)病毒。特征代碼法是不可能檢測(cè)出多形態(tài)病毒的。3)不能檢測(cè)隱蔽性病毒。隱蔽性病毒如果先進(jìn)駐內(nèi)存，后運(yùn)行病毒檢測(cè)工具，隱蔽性病毒能先于檢測(cè)工具將被查文件中的病毒代碼剝?nèi)?，?dǎo)致檢測(cè)工具是在檢查一個(gè)虛假的“好文件”，而不能報(bào)警，被隱蔽性病毒所蒙騙。9.3.3病毒的預(yù)防和檢測(cè)(2)校驗(yàn)和法校驗(yàn)和法的原理是計(jì)算正常文件內(nèi)容的校驗(yàn)和，將該校驗(yàn)和寫入本文件或別的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件當(dāng)前內(nèi)容算出的校驗(yàn)和與原來保存的校驗(yàn)和是否一致，因而判定文件是否感染病毒，它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。但是，它不能識(shí)別病毒種類，不能報(bào)出病毒名稱。由于病毒感染并非文件內(nèi)容改變的唯一原因，文件內(nèi)容的改變有可能是正常程序引起的，所以校驗(yàn)和法常常誤報(bào)警，而且此種方法也會(huì)影響文件的運(yùn)行速度。校驗(yàn)和法的優(yōu)點(diǎn)是方法簡(jiǎn)單、能發(fā)現(xiàn)未知病毒和被查文件的細(xì)微變化。其缺點(diǎn)是會(huì)誤報(bào)警、不能識(shí)別病毒名稱、不能對(duì)付隱蔽型病毒。9.3.3病毒的預(yù)防和檢測(cè)(3)行為監(jiān)測(cè)法利用病毒的特有行為特征來監(jiān)測(cè)病毒的方法，稱為行為監(jiān)測(cè)法。通過對(duì)病毒長(zhǎng)時(shí)間的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見。當(dāng)程序運(yùn)行時(shí)，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立即報(bào)警。行為監(jiān)測(cè)法的優(yōu)點(diǎn)是可發(fā)現(xiàn)未知病毒、可比較準(zhǔn)確地預(yù)報(bào)未知的多數(shù)病毒。其缺點(diǎn)是可能會(huì)誤報(bào)警、不能識(shí)別病毒名稱、實(shí)現(xiàn)時(shí)有一定難度。9.3.3病毒的預(yù)防和檢測(cè)(4)軟件模擬法軟件模擬法專門用來對(duì)付多形態(tài)計(jì)算機(jī)病毒。多形態(tài)病毒每次感染都改變其病毒密碼，對(duì)付這種病毒，特征代碼法失效。多形態(tài)病毒代碼實(shí)施密碼化，而且每次所用密鑰不同，把病毒代碼相互比較，也無法找出相同的可能做為特征的穩(wěn)定代碼。雖然行為檢測(cè)法可以檢測(cè)多形態(tài)病毒，但是在檢測(cè)出病毒后，因?yàn)椴恢《镜姆N類，難于做殺毒處理。軟件模擬法則是成功地模擬CPU執(zhí)行，在DOS虛擬機(jī)(VirtualMachine)下偽執(zhí)行計(jì)算機(jī)病毒程序，安全地將其解密，使其顯露本來的面目，再加以掃描。9.4訪問控制機(jī)制當(dāng)一個(gè)合法用戶進(jìn)入系統(tǒng)后要訪問系統(tǒng)資源時(shí)，系統(tǒng)的訪問控制檢查機(jī)構(gòu)負(fù)責(zé)驗(yàn)證用戶對(duì)資源訪問的合法性，從而保證對(duì)系統(tǒng)資源進(jìn)行訪問的用戶是被授權(quán)用戶。使用訪問控制技術(shù)，可以設(shè)置用戶對(duì)系統(tǒng)資源的訪問權(quán)限，即限定用戶只能訪問允許訪問的資源。訪問控制還可以通過設(shè)置文件的屬性，來保護(hù)文件只能被讀而不能被修改，或只允許核準(zhǔn)的用戶對(duì)其進(jìn)行修改等。9.4.1保護(hù)域把一個(gè)進(jìn)程能對(duì)某對(duì)象執(zhí)行操作的權(quán)利稱為訪問權(quán)，它可以用一個(gè)有序?qū)?lt;對(duì)象名，權(quán)集>來表示，例如，某進(jìn)程對(duì)文件F1有執(zhí)行讀和寫操作的權(quán)利，這時(shí)，該進(jìn)程的訪問權(quán)可表示為<F1，{RW}>。保護(hù)域是進(jìn)程對(duì)一組對(duì)象訪問權(quán)的集合，進(jìn)程只能在指定域內(nèi)執(zhí)行操作。因此，保護(hù)域規(guī)定了進(jìn)程所能訪問的對(duì)象和能執(zhí)行的操作。不同的保護(hù)域可以相交，相交部分表示它們有共同的權(quán)限。例如，在下圖所示的3個(gè)域中，它們分別是D1，D2和D3。其中D2和D3相交，表明訪問權(quán)限<O7，{W}>被D2和D3共享，這表示運(yùn)行在D2和D3上的任意一個(gè)進(jìn)程都可以對(duì)對(duì)象O7執(zhí)行寫操作。需要注意的是，進(jìn)程只有在D1中執(zhí)行時(shí)才能讀寫對(duì)象O1，另外，僅在域D3中的進(jìn)程才能執(zhí)行對(duì)象O6。9.4.2訪問矩陣保護(hù)域機(jī)制是實(shí)現(xiàn)系統(tǒng)資源保護(hù)的一種模型，我們可以利用一個(gè)矩陣來描述這種模型，稱之為訪問矩陣(AccessMatrix)，訪問矩陣的行代表域，列代表對(duì)象。矩陣的每個(gè)條目是一個(gè)訪問集合。由于列明確定義了對(duì)象，可以在訪問權(quán)限中刪除對(duì)象名稱。條目<i,j>定義了在域Di中執(zhí)行的進(jìn)程在訪問對(duì)象Oi時(shí)被允許執(zhí)行的操作集合。在下表所示的訪問矩陣中，進(jìn)程在域D1中執(zhí)行時(shí)，它可以讀文件F2，寫文件F1和F2，執(zhí)行文件F2和F3。進(jìn)程在域D4中執(zhí)行時(shí)，可以讀文件F2和F3，寫文件F1。只有在域D2中執(zhí)行的進(jìn)程才可以訪問打印機(jī)。

對(duì)象域F1F2F3打印機(jī)D1WR,W,EED2RWD3ERD4R,WR9.4.2訪問矩陣如果將域本身也看作一個(gè)保護(hù)對(duì)象，可以把域的切換操作添加到訪問控制矩陣，這樣即可控制域切換。當(dāng)需要將一個(gè)進(jìn)程切換到另外一個(gè)域時(shí)，其實(shí)就是在一個(gè)對(duì)象(域)上執(zhí)行一個(gè)操作(切換)。進(jìn)程必須能夠在域之間進(jìn)行切換，當(dāng)且僅當(dāng)訪問權(quán)限switch∈access(i,j)時(shí)，才允許從域Di切換域Dj。在下表中，一個(gè)在域D2中執(zhí)行的進(jìn)程可以切換到域D3。域D4中的一個(gè)進(jìn)程可以切換到域D1，而D1中的進(jìn)程可以切換到域D2。

對(duì)象域F1F2F3打印機(jī)D1D2D3D4D1WR,W,EESD2RWSD3ERSSSD4R,WRS9.4.3訪問矩陣的實(shí)現(xiàn)1.訪問控制表把訪問矩陣按列向量(對(duì)象)劃分，為每一列建立一張?jiān)L問控制表ACL(AccessControlList)。在該表中，矩陣中屬于該列的所有空項(xiàng)已被刪除，只剩下有序?qū)?lt;域，權(quán)集>。通常情況下，訪問矩陣中的空項(xiàng)遠(yuǎn)多于非空項(xiàng)，因而使用訪問控制表可以顯著地減少所占用的存儲(chǔ)空間，提高查找速度。進(jìn)程在域D1中執(zhí)行時(shí)，它可以讀、寫和執(zhí)行文件F2。進(jìn)程在域D3中執(zhí)行時(shí)，可以執(zhí)行文件F2。由于域D2和D4為空，因此，訪問控制表中不包含D2和D4項(xiàng)，從而節(jié)省了存儲(chǔ)空間。

對(duì)象域F2D1R,W,ED3E9.4.3訪問矩陣的實(shí)現(xiàn)2.訪問權(quán)限表把訪問矩陣按行(域)劃分，為每一行建立一張?jiān)L問權(quán)限表CL(CapabilityList)。訪問權(quán)限表是由一個(gè)域?qū)γ恳粋€(gè)對(duì)象可以執(zhí)行的操作集合所構(gòu)成的表。訪問權(quán)限表包括兩部分：對(duì)象名和訪問權(quán)。表中的每一項(xiàng)為該域?qū)δ硨?duì)象的訪問權(quán)限。進(jìn)程在域D1中執(zhí)行時(shí)，它可以寫文件F1，讀、寫和執(zhí)行文件F2，執(zhí)行文件F3