第五章计算机系统安全.pptVIP

第5章 计算机系统安全 Security of Computer System 第5章 计算机系统安全 §1 计算机硬件资源的安全与管理 §2 程序安全 §3 操作系统的安全与必威体育官网网址 §4 数据库的安全与必威体育官网网址 §1 计算机硬件资源的安全与管理 1.1 计算机硬件设备的使用管理 1.2 常用硬件设备的维护和保养 1.3 计算机系统环境的安全管理 1.4 计算机系统的电磁防护 §2 程序安全 Bug Make a mistake?Error Error?Fault Fault…?Failure §3 操作系统的安全与必威体育官网网址 1.1 操作系统安全设计 1.2 保护对象和保护方法 1.3 访问控制 1.4 基于口令的用户认证 * CERT有关安全事件的统计 21756 52658 43136 报道事件数目 2437 2001 1090 2000 2148 2002上半年 与软件漏洞相关事件数目 年度 非恶意的程序漏洞——缓冲区溢出 缓冲区（或数组、字符串）：是程序运行时在内存中为保存给定类型的数据而开辟的一个连续空间。 for( i=0; i=9; i++) sample[i] = ‘A’; sample[10] = ‘B’; char sample[10]; sample[10]=‘A’; 内存 用户数据 （a）影响用户的数据 内存 用户数据 （b）影响用户的代码 用户程序代码 内存 用户数据 （d）影响系统代码 系统程序代码 内存 用户数据 （c）影响系统数据 系统数据 图2.1 缓冲区会溢出的位置 最基本的OS安全设计方法——分离控制 （隔离性设计） （1）物理隔离：不同的进程使用不同的物理对象。 （2）时间隔离：有着不同安全要求的进程，在不同的时间段执行。 （3）逻辑隔离：操作系统限制程序的访问，使程序不能访问许可域以外的对象。 （4）密码隔离：进程加密其数据和对象，使其他进程无法理解。 复杂度递增，前三种安全程度递减 举例说明操作系统要保护的对象 内存 辅存上的文件或数据 内存中正在执行的程序 文件目录 硬件设备 数据结构（堆栈） 操作系统中的表 口令和用户鉴别自制 保护机制本身 一般对象——访问控制 内存地址保护 （1）界地址（栅栏保护） （2）重定位 （3）基址/界限寄存器 （4）标记结构 （5）分段式 （6）分页式 （7）段页式 图2.2 固定界地址 界地址寄存器 n+1 图2.3 可变界地址寄存器 （1）界地址（栅栏保护） （2）重定位（relocation） 用户2 存储区 用户3 存储区 用户程序区 图2.4 基址/界限寄存器保护 （3）基址/界限寄存器 Base register Bound register （4）分段式保护 *