操作系统原理与实践-邹鹏-第六章+操作系统安全.pptVIP

第六章 操作系统安全 操作系统安全的概念及构建与测试原理 目的与要求：掌握操作系统安全相关的概念及安全操作系统构建的原理、方法与技术。 重点与难点：操作系统安全概念；操作系统主要安全机制；安全操作系统构建与测试方法及技术；安全测评准则。 作业： 2，3，4，5，6，7，9，11，12，14，15，16，17，18 第六章 操作系统安全 6.1 操作系统安全概述 6.2 标识，鉴别及可信通路 6.3 访问控制 6.4 隐蔽通道分析与处理 6.5 安全审计 6.6 安全操作系统构建 6.7 操作系统安全测评 6.1 操作系统安全概述 6.1.1 操作系统安全的重要性 6.1.2 操作系统面临的安全威胁 6.1.3 安全操作系统设计目标和原则 6.1.4 安全操作系统基本安全机制 操作系统安全研究背景 计算机技术飞速发展与互联网普及使用 电子商务、电子政务与信息产业 信息安全与信息系统安全 操作系统安全 网络系统安全 数据库系统安全 Windows后门警示 Linux源代码开放契机 计算机系统运行时层次结构 6.1.2 操作系统面临的安全威胁 6.1.3 安全操作系统设计目标和原则 6.1.3 安全操作系统设计目标和原则 6.1.4 安全操作系统基本安全机制 标识、鉴别及可信通路机制 口令验证或物理鉴定 自主访问控制与强制访问控制机制 主体与客体 最小特权管理机制 特权 隐蔽通道分析处理机制 隐蔽通道 安全审计机制 审计事件、审计记录 6.2 标识，鉴别及可信通路 6.2.1 基本概念 6.2.2 标识与鉴别机制 6.2.3 基于安全注意键的可信通路构建方法 6.2.1 基本概念 可信计算基 操作系统的安全依赖于计算机系统内有关实施安全策略的可信的软件、固件及硬件，这些安全保护机制和负责系统安全管理的人员或部门共同组成系统的可信计算基（Trusted Computing Base）。 就安全操作系统而言，应保证系统的可信软件（即实施安全策略的安全内核与可信应用软件）不被破坏和修改。 6.2.1 基本概念 基于系统运行安全管理的安全机制划分 6.2.1 基本概念 标识 所谓“标识”，是指系统通过某种手段来确定用户的身份，并为用户设定唯一的名称即用户标识符来一一对应，类似于“证件”的作用。 为了识别和确定用户的身份，必须使用户排他性地拥有能够证明其身份的特殊信息如口令、指纹、视网膜、数字签名或声音特征等，且有关信息对其它用户必威体育官网网址。 6.2.1 基本概念 鉴别 “鉴别”就是将用户标识符与用户发生关联的动作，也即“门卫”检查“证件”的过程。 就计算机及操作系统而言，鉴别一般发生在用户登录时，通常采用口令验证或物理鉴定（如磁卡或IC卡、数字签名、指纹识别、声音识别、视网膜识别等）的方式。 6.2.1 基本概念 口令验证 对于口令验证，首先由系统提示用户输入口令，然后判断用户输入的口令是否与系统中存在的对应用户的口令完全相同和正确。其间，系统必须采用将用户输入的口令和保存在系统中的口令相比较的方式，因此系统口令表应基于特定加密手段及存取控制机制来保证其必威体育官网网址性。 以口令机制作为鉴别手段简便易行，但是比较脆弱。通常，7个以上字符长度且兼有数字和字母的口令被认为是“可计算安全”的。 6.2.1 基本概念 可计算安全 所谓“可计算安全”，简单而言就是指：在有效的时间内，利用目前的软硬件技术，无法破解。 举例来说，一个商业计划书的加密强度使得破解它需要1000年以上的时间，那么，这个商业计划书的加密就是“可计算安全”的，因为破解出来的时候已经没有什么价值了。 “可计算安全”并没有准确的界定方法或者说“可计算安全”并非真正的安全。更为保险的对策是，每隔一定的时间间隔就改变一次口令，以确保口令的必威体育官网网址性。此外，还必须保证用户与系统间交互特别是登陆过程的安全性和可信性，以防止某些黑客利用特洛伊木马性质的假登录程序窃取口令。 6.2.1 基本概念 可信通路（Trusted Path） 顾名思义，可信通路即指跳过应用层而直接在用户与安全内核之间开辟的一条的可信任的交互通道及功能实现。 总所周知，用户是通过应用程序及操作系统接口来与安全内核相互作用的。因此，当用户在执行系统登录、安全属性定义、文件安全级别改变等安全敏感操作时，应保证用户确确实实是在与安全内核而非特洛伊木马程序打交道。换句话说，系统必须通过提供可信通路的安全机制来防止特洛伊木马程序模仿登录过程以窃取用户口令，并保证特权用户执行特权操作时终端输入信息的非泄密性和输出信息的正确性。 6.2.1 基本概念 构建可信通路的两种方法 构建可信通路的简单方法是为每个用户提供两台终端，一台用于完成日常的普通工作，另一台用于实现与安全内核的硬连接及专职执行安全敏感操作。显然，此法具有代价昂贵的致