操作系统安全与保护概论(PPT-36张)

实用操作系统教程章操作系统安全与保护2本章内容9.1操作系统安全概述9.2来自系统内外的攻击及其防御9.3用户身份认证9.4操作系统保护机制9.5安全操作系统的设计原则9.6Windows2000/XP系统的安全机制3本章学习目标操作系统安全和保护的区别与联系；用户身份认证及常见方法；常见的系统内外部攻击；安全操作系统对计算机病毒的防御；操作系统中常见的保护机制。49.1操作系统安全概述操作系统是整个计算机系统的基础，它控制着系统中的所有软、硬件资源的存取。其他软件，无论是数据库系统还是各种应用软件系统，都是建立在操作系统之上的，都要通过操作系统来完成对系统中信息的存取和处理。在网络环境中，网络安全可信性的基础是联网的各个主机系统的安全可信性，而主机系统的安全性依赖于其上操作系统的安全性。操作系统安全是计算机信息系统安全的重要基础，没有操作系统的安全可信性，其它系统安全措施如同建立在沙滩上的建筑，根基不牢靠，安全性很难保证。因此，操作系统的安全机制已成为当今主流操作系统中不可或缺的一部分59.1操作系统安全概述9.1.1系统安全性的三个要求计算机系统的安全性可以包括狭义和广义两个层面。狭义安全主要指对外部攻击的防范，广义安全指保障计算机系统数据的保密性、完整性和系统可用性。（1）数据保密性（2）数据完整性（3）系统可用性69.1操作系统安全概述9.1.2系统安全性的主要威胁1．人为攻击——入侵者2．数据意外遗失79.1操作系统安全概述9.1.3操作系统的安全级别第一个可信计算机系统评估标准是美国国防部在80年代中期制定的一组计算机系统安全需求标准，共包括20多个文件，每个文件都使用了彼此不同颜色的封面，统称为“彩虹系列”。其中最核心的是具有橙色封皮的“可信任计算机系统评价标准（TCSEC）”，简称为橙皮书。该标准将计算机系统的安全程度划分为4等（D，C，B，A）和8级（D1，C1，C2，B1，B2，B3，A1，A2），从最低级D1开始，随着级别的提高，系统可信度也随之增加。在橙皮书中，对每个评价级别的资源访问控制功能和访问的不可抵赖性、信任度以及产品制造商应提供的文档，都做了明确规定。89.1操作系统安全概述9.1.3操作系统的安全级别（1）D等——最低保护等级（2）C等——自主保护等级（3）B等——强制保护等级（4）A等——验证保护等级99.1操作系统安全概述9.1.4操作系统安全目标操作系统安全的主要目标是：①标识系统中的用户和身份鉴别；②按系统安全策略对用户的操作进行存取控制，防止用户对计算机资源的非法存取；③监督系统运行的安全性；④保证系统自身的安全性和完整性。109.2来自系统内外的攻击及其防御9.2.1特洛伊木马攻击特洛伊木马攻击是一种较为原始的攻击方法，它是一种用户很难发现异常但却隐含了意想不到功能的程序。该程序能够改变、删除、或加密用户文件，把这些文件复制并发送到别有用心人以后可以查阅到的地方，如通过电子邮件或FTP发送到指定的邮箱。特洛伊木马程序只有运行后，才能发挥作用，程序设计者必须想方法让程序执行。防御特洛伊木马攻击的一个有效方法就是谨慎运行来历不明的程序。要想完全防止特洛伊木马程序的破坏必须依靠一些强制手段，如对存取控制灵活性进行限制等。过程控制、系统控制、强制控制和检查软件商的软件等措施都可以降低特洛伊木马程序攻击成功的可能性。119.2来自系统内外的攻击及其防御9.2.2登录欺骗攻击登录欺骗是与特洛伊木马有关的内部攻击方法。入侵者往往设计一个和正常登录界面非常相似的程序，当用户运行该程序后，用户的账号和口令就会被写入某个文件并发送到指定的地方。这样一来，入侵者就可获得用户的账号和口令。129.2来自系统内外的攻击及其防御9.2.3逻辑炸弹攻击逻辑炸弹是加在现有应用程序上的程序。它是一种随着编程人员的流动而产生的一种内部攻击方式。入侵者为公司写代码时，把逻辑炸弹程序秘密写入到相关系统中。只要程序员每天输入口令，产品就相安无事。当入侵者离开公司，逻辑炸弹就会因得不到口令而发作。逻辑炸弹具有多种触发方式，例如计数器触发方式、时间触发方式、复制触发方式、磁盘空间触发方式、视频模式触发方式、基本输入输出系统触发方式、只读内存触发方式、键盘触发方式以及反病毒触发方式等。139.2来自系统内外的攻击及其防御9.2.4后门陷阱攻击后门陷阱又称天窗，它是软件设计人员跳过一些通常的检测并插入一段代码造成的。对公司来说，防止后门陷阱的一个方法是把代码审查作为惯例来执行。程序员完成对某个模块的编写和测试后，该模块被放入代码数据库中进行检验。开发小组的所有程序员周期性地聚会，每个人在小组成员面前向大家解释每行代码含义。这样做增加了发现陷阱代码的机会，也增加了大家的责任感。代码审查较费时间且易遭到大多数程序人员的反对，那么让两个程序员相互检查代码也是一个可行的方法。149.2来自系统内外的攻击及其防御9.2.5缓冲区溢出攻击操作系统多数是用C语言编写，但没有一个C编译器可以做到数组边界检查。因此，数组边界越界异常为入侵者提供了入侵机会。159.2来自系统内外的攻击及其防御169.2来自系统内外的攻击及其防御9.2.6计算机病毒攻击计算机病毒是能在其它程序上进行自我繁殖的具有危害性的程序。计算机病毒具有如下特点：①计算机病毒是一段可执行程序，具有依附性。②计算机病毒具有传染性。③计算机病毒具有潜伏性。④计算机病毒具有破坏性。⑤计算机病毒具有针对性。179.2来自系统内外的攻击及其防御9.2.6计算机病毒攻击计算机病毒大多由三部分组成：引导模块、传染模块和表现模块。病毒的引导模块负责将病毒引导到内存，对相应的存储空间实施保护以防止它被其它程序覆盖，同时修改一些必要的系统参数，为激活病毒做准备。病毒传染模块负责将病毒传染给其它计算机程序，它由两部分组成：一部分判断是否具备传染条件，另一部分实施传染。计算机病毒一般依附在正常的程序或数据上，当用户执行正常程序时，它先于正常程序执行，首先取得系统控制权，要求操作系统为其分配系统资源，然后再完成其病毒的动作。189.2来自系统内外的攻击及其防御9.2.7常见计算机病毒介绍（1）按照计算机病毒攻击的系统分类①攻击DOS系统的病毒②攻击Windows系统的病毒③攻击Unix系统的病毒④攻击OS/2系统的病毒（2）按照病毒的攻击机型分类①攻击微型计算机的病毒②攻击小型机的计算机病毒③攻击工作站的计算机病毒199.2来自系统内外的攻击及其防御9.2.7常见计算机病毒介绍（3）按照计算机病毒的链接方式分类①源码型病毒。②嵌入型病毒。③外壳型病毒。④操作系统型病毒。（4）按照计算机病毒的破坏情况分类①良性计算机病毒。②恶性计算机病毒。（5）按照计算机病毒的寄生部位或传染对象分类①磁盘引导区传染的计算机病毒。②操作系统传染的计算机病毒。③可执行程序传染的计算机病毒。209.2来自系统内外的攻击及其防御9.2.7常见计算机病毒介绍（6）按照计算机病毒激活的时间分类按照计算机病毒激活的时间可分为定时的和随机的。（7）按照传播媒介分类①单机病毒②网络病毒（8）按照寄生方式和传染途径分类①引导型病毒②文件型病毒③混合型病毒④宏病毒219.2来自系统内外的攻击及其防御9.2.8计算机病毒的防御根据对计算机病毒传染和运行机理的研究，在病毒感染或运行过程中的任一环节都可以采取防御措施。计算机病毒防御措施通常将系统的存取控制、实体保护等安全机制结合起来，通过专门的防御程序模块为计算机建立病毒的免疫系统和报警系统。计算机病毒的防御重点在操作系统敏感的数据结构、文件系统、数据存储结构和I/O设备驱动结构上。操作系统敏感的数据结构包括系统进程表、关键缓冲区、共享数据段、系统记录、中断矢量表和指针表等。病毒会试图篡改或删除其中的数据和记录时，会造成系统运行出错。针对病毒的各种攻击，病毒防御机制采用了存储映像、数据备份、修改许可、区域保护、动态检疫等方式来保护敏感数据结构。229.3用户身份认证操作系统的许多保护措施都是针对认证系统中的合法用户，用户身份认证是操作系统安全中一个很重要的方面，也是用户获得权限的关键。一般情况下，用户身份认证是保护系统安全性的第一道防线，而且也是和用户联系最为直接的系统安全保护措施。认证技术通过验证被认证对象的一个或多个参数的真实性和有效性，从而确定被认证对象是否就是账户数据库中记录的合法用户。因此，在被认证对象和认证的参数之间应存在严格的对应关系。239.3.1基于口令的身份验证技术当前使用最为广泛的验证方式是要求用户输入登录名和口令。口令是计算机和用户双方知道的某个关键，是一个需要严加保护的对象。它作为一个确认符号串只能由用户和操作系统本身识别。口令保护很容易理解，也很容易实现。最简单的实现方法是保存一张重要的（登录名，口令）对列表。键入的登录名在该列表中查找，键入的口令与已保护的口令进行比较。如果它们都匹配，则允许登录，如果不匹配，登录被拒绝。249.3.2基于实际物体的身份验证技术用户验证的第二种方式是验证一些用户所拥有的实际物体而不是用户所知道的信息。现在，人们经常使用载有信息的磁卡和IC卡。磁卡后边粘附的磁条上可以写上存放140个字节的信息。智能卡是近期发展起来的一种更具安全性的芯片卡。它通常使用4Mhz的8位CPU、16KBEEPROM、521字节可擦写RAM。这类卡制作小巧，各种参数不尽相同。259.3.3基于生物识别的验证技术利用用户自身的某些很难伪造的生物特征进行验证的用户认证方法叫做生物识别。例如：安装在终端计算机上的指纹或声音识别器可以对用户身份进行确认。通常，一个典型的生物识别系统由两部分组成：①注册部分②识别部分269.4操作系统保护机制为了保护系统，使之安全地工作，计算机系统需建立相应的安全机制，这将涉及到许多概念。一方面系统硬件必须提供保护机制，允许实现安全特性，另一方面，操作系统从一开始设计时就要考虑各种安全问题，采取相应措施。目前采用的主要安全机制包括：硬件安全机制、存取控制、安全审计、用户标识与鉴别、入侵检测等。279.4.1进程支持当前的操作系统绝大多数都是多任务并发操作系统，允许用户在自己的权限内同时创建多个并发进程。这样一来，进程转换的安全问题就成为了操作系统设计者首先要考虑的问题之一。为了实现共享进程的安全，通常操作系统的设计者在进程的唯一标识——进程控制块中进行相应的设置，用它来控制和管理进程，实现共享进程的安全。289.4.2内存保护对于一个安全操作系统，内存保护是最基本要求。所谓内存保护是指保护用户在存储器中的数据。保护单元为存储器中的最小数据范围，可为字、字块、页面或段。保护单元越小，则存储保护精度越高。同时，在多道程序系统中，需要存储保护机制对进程的存储区域实行隔离。内存保护与操作系统中的存储器管理是紧密相联的，存储保护负责保证系统各个任务之间互不干扰；存储器管理则是为了更有效地利用存储空间。。299.4.2内存保护当系统的地址空间分为系统段与用户段时，应禁止用户模式下运行的非特权进程向系统段进行写操作。而当在系统模式下运行时，则允许进程对所有的用户存储空间进行读、写操作。用户模式到系统模式的转换应由一个特殊的指令完成，该指令将限制进程只能对部分系统空间进程进行访问。这些访问限制一般由硬件根据该进程的特权模式实施的，从系统灵活性的角度看，还是希望由系统软件精确地说明该进程对系统空间的哪一页是可读的，哪一页是可写的。操作系统可以在硬件中有效的使用硬保护机制进行存储器的安全保护。常见的有界址保护、界限寄存器保护等。309.4.3存取控制在计算机系统中，安全机制的主要内容是存取控制。它包括以下三个任务：①授权：确定可给予哪些主体存取客体的权限；②确定存取权限（读、写、执行、删除、追加等存取方式的组合）；③实施存取权限。“存取控制”仅适用于算机系统内的主体和客体、而不包括外界对系统的访问。控制外界对系统存取的技术是标识与鉴别。31