信息系統(tǒng)安全第四講操作系統(tǒng)安全張煥國(guó)武漢大學(xué)計(jì)算機(jī)學(xué)院信息系統(tǒng)安全第四講操作系統(tǒng)安全1目錄1、信息系統(tǒng)安全的基本概念2、密碼學(xué)(1)3、密碼學(xué)(2)4、操作系統(tǒng)安全(1)5、操作系統(tǒng)安全(2)6、數(shù)據(jù)庫安全(1)7、數(shù)據(jù)庫安全(2)8、可信計(jì)算(1)9、可信計(jì)算(2)目錄1、信息系統(tǒng)安全的基本概念2一、操作系統(tǒng)安全的概念我們的學(xué)術(shù)觀點(diǎn)： 硬件結(jié)構(gòu)的安全和操作系統(tǒng)的安全是信息系統(tǒng)安全的基礎(chǔ)，密碼、網(wǎng)絡(luò)安全等是關(guān)鍵技術(shù)。

一、操作系統(tǒng)安全的概念我們的學(xué)術(shù)觀點(diǎn)：3一、操作系統(tǒng)安全的概念1、操作系統(tǒng)是信息系統(tǒng)安全的基礎(chǔ)之一：

①操作系統(tǒng)是軟件系統(tǒng)的底層；

②操作系統(tǒng)是系統(tǒng)資源的管理者；

③操作系統(tǒng)是軟硬件的接口。

2、操作系統(tǒng)安全的困難性

①操作系統(tǒng)的規(guī)模龐大，以至于不能保證完全正確。

②理論上一般操作系統(tǒng)的安全是不可判定問題。

3、我國(guó)必須擁有自己的操作系統(tǒng)①操作系統(tǒng)受治于人，不能從根本上確保信息安全；

②立足國(guó)內(nèi)，發(fā)展自己的操作系統(tǒng)。一、操作系統(tǒng)安全的概念1、操作系統(tǒng)是信息系統(tǒng)安全的基礎(chǔ)之一：4二、操作系統(tǒng)的安全評(píng)價(jià)1、操作系統(tǒng)安全要求 一般對(duì)安全操作系統(tǒng)有以下要求：

①安全策略：要有明確、嚴(yán)謹(jǐn)、文檔齊全的安全策略

②標(biāo)識(shí)：每個(gè)實(shí)體必須標(biāo)識(shí)其安全級(jí)別

③

認(rèn)證：

每個(gè)主體必須被認(rèn)證

④審計(jì)：對(duì)影響安全的事件，必須記錄日志，并進(jìn)行審計(jì)。

⑤保證：系統(tǒng)必須確保上述4項(xiàng)要求被實(shí)施⑥連續(xù)性保護(hù)：實(shí)現(xiàn)安全的機(jī)制必須是不間斷地發(fā)揮作用，并且未經(jīng)許可不可改動(dòng)。

二、操作系統(tǒng)的安全評(píng)價(jià)1、操作系統(tǒng)安全要求5二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：

①D級(jí)：最低的安全保護(hù)級(jí)

D級(jí)是最低的安全保護(hù)級(jí)屬于D級(jí)的系統(tǒng)是不安全的除了物理上的一些安全措施外，沒有什幺其它安全用戶只要開機(jī)后就可支配所有資源DOS,WINDOWS3.2,MOS二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：6二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：②C1級(jí)：自主安全保護(hù)級(jí)通過用戶名和口令進(jìn)行身份認(rèn)證每個(gè)用戶對(duì)屬于他們自己的客體具有控制權(quán)劃分屬主、同組用戶和其他用戶3個(gè)層次。屬主控制這3個(gè)層次的存儲(chǔ)權(quán)限實(shí)體沒有劃分安全級(jí)別多數(shù)UNIX、LINUX，WindowsNT

二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：7二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：③

C2級(jí)：受控制的安全保護(hù)級(jí)系統(tǒng)記錄日志，并進(jìn)行審計(jì)。身份認(rèn)證更強(qiáng)，口令以密文存儲(chǔ)。采用以用戶為單位的自主訪問控制機(jī)制。部分UNIX、LINUX，VMS

二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：8二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：

④B1級(jí)：標(biāo)記安全保護(hù)級(jí)采用多級(jí)安全策略采用強(qiáng)制訪問控制強(qiáng)制訪問控制并不取消原來的自主訪問控制，而是在此之外另加的。實(shí)體都劃分安全級(jí)別屬主也不能改變對(duì)自己客體的存儲(chǔ)權(quán)限二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：9二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：⑤B2級(jí)：結(jié)構(gòu)化的安全保護(hù)級(jí)要有形式化的安全模型更完善的強(qiáng)制訪問控制隱通道分析與處理一般認(rèn)為B2級(jí)以上的操作系統(tǒng)才是安全操作系統(tǒng)Honeywell公司的MULTICS、TIS公司的TrustedXENIX3.04.0

二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：10二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：⑥B3級(jí)：安全域級(jí)把系統(tǒng)劃分為一些安全域，用硬件把安全域互相分割開來，如存儲(chǔ)器隔離保護(hù)等。提供可信路徑機(jī)制，確保用戶與可信軟件是連接的，防止假冒進(jìn)程。更全面的訪問控制機(jī)制。更嚴(yán)格的系統(tǒng)結(jié)構(gòu)化設(shè)計(jì)。更完善的隱通道分析。HFS公司的UNIXXTS-2000STOP3.1E二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：11二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：⑦

A1級(jí)：驗(yàn)證安全設(shè)計(jì)級(jí)安全模型要經(jīng)過數(shù)學(xué)證明對(duì)隱通道進(jìn)行形式化分析Honeywell公司SCOMP、波音公司MLSLANOS注意：分級(jí)的頂端是無限的，還可加入A2、A3級(jí)等。每一級(jí)的安全性都包含前一級(jí)的安全性。二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：12二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：DC1C2B1B2B3A1二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：13二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則：

（GB117859－1999）

根據(jù)中國(guó)國(guó)情、參照桔皮書，將其7的級(jí)別合并為5個(gè)級(jí)別

①第一級(jí)：用戶自主保護(hù)級(jí)；

②第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)；

③第三級(jí)：安全標(biāo)記保護(hù)級(jí)；

④第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)；

⑤第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)。二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分14二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則：①第一級(jí)：用戶自主保護(hù)級(jí)；通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。它具有多種形式的控制能力，對(duì)用戶實(shí)施訪問控制，即為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對(duì)數(shù)據(jù)的非法讀寫與破壞。

自主訪問控制 例如：訪問控制表

身份鑒別 例如：口令數(shù)據(jù)完整性 通過自主完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。

二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分15二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則：②第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)；與用戶自主保護(hù)級(jí)相比，本級(jí)的計(jì)算機(jī)實(shí)施了粒度更細(xì)的自主訪問控制，它通過登錄規(guī)程、審計(jì)安全性相關(guān)事件和隔離資源，使用戶對(duì)自己的行為負(fù)責(zé)。

自主訪問控制 訪問控制機(jī)制根據(jù)用戶指定方式或默認(rèn)方式，阻止非授權(quán)用戶訪問客體。訪問控制的粒度是單個(gè)用戶。沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對(duì)客體的訪問權(quán)。身份鑒別

通過為用戶提供唯一標(biāo)識(shí)、計(jì)算機(jī)能夠使用戶對(duì)自己的行為負(fù)責(zé)。計(jì)算機(jī)還具備將身份標(biāo)識(shí)與該用戶所有可審計(jì)行為相關(guān)聯(lián)的能力。

阻止客體重用

客體只有在釋放且清除原信息后才讓新主體使用審計(jì) 計(jì)算機(jī)能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計(jì)跟蹤記錄，并能阻止非授權(quán)的用戶對(duì)它訪問或破壞。

二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分16二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則：③第三級(jí)：安全標(biāo)記保護(hù)級(jí)；具有系統(tǒng)審計(jì)保護(hù)級(jí)所有功能。此外，還提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對(duì)客體強(qiáng)制訪問控制的非形式化描述；具有準(zhǔn)確地標(biāo)記輸出信息的能力；消除通過測(cè)試發(fā)現(xiàn)的任何錯(cuò)誤。

強(qiáng)制訪問控制 計(jì)算機(jī)對(duì)所有主體及其所控制的客體（例如：進(jìn)程、文件、段、設(shè)備）實(shí)施強(qiáng)制訪問控制。為這些主體及客體指定敏感標(biāo)記，這些標(biāo)記是等級(jí)分類和非等級(jí)類別的組合，它們是實(shí)施強(qiáng)制訪問控制的依據(jù)。

標(biāo)記 計(jì)算機(jī)應(yīng)維護(hù)與主體及其控制的存儲(chǔ)客體（例如：進(jìn)程、文件、段、設(shè)備）相關(guān)的敏感標(biāo)記。這些標(biāo)記是實(shí)施強(qiáng)制訪問的基礎(chǔ)。二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分17二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則：④第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)；建立于一個(gè)明確定義的形式化安全策略模型之上，它要求將第三級(jí)系統(tǒng)中的自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體?？紤]隱蔽通道。必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素。計(jì)算機(jī)的接口也必須明確定義，使其設(shè)計(jì)與實(shí)現(xiàn)能經(jīng)受更充分的測(cè)試。加強(qiáng)了鑒別機(jī)制；支持系統(tǒng)管理員和操作員的職能；提供可信設(shè)施管理；增強(qiáng)了配置管理控制。系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。

二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分18二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則：⑤第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)本級(jí)的計(jì)算機(jī)滿足訪問監(jiān)控器需求。訪問監(jiān)控器仲裁主體對(duì)客體的全部訪問。訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測(cè)試。支持安全管理員職能，擴(kuò)充審計(jì)機(jī)制，提供系統(tǒng)恢復(fù)機(jī)制。系統(tǒng)具有很高的抗?jié)B透能力。

隱蔽信道分析可信路徑

可信恢復(fù)

二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分19二、操作系統(tǒng)的安全級(jí)別4、桔皮書和GB117859的局限性①桔皮書注意確保數(shù)據(jù)的秘密性，而沒有注意確保數(shù)據(jù)的真實(shí)性和完整性。

②忽略了防范諸如拒絕服務(wù)之類的攻擊。③只給出了評(píng)測(cè)等級(jí)，沒有給出達(dá)到這種等級(jí)所要采取的系統(tǒng)結(jié)構(gòu)和技術(shù)路線。二、操作系統(tǒng)的安全級(jí)別4、桔皮書和GB117859的局限性20二、操作系統(tǒng)的安全級(jí)別5、CC標(biāo)準(zhǔn)：①美國(guó)國(guó)家安全局、國(guó)家技術(shù)標(biāo)準(zhǔn)研究所、法國(guó)、加拿大、英國(guó)、德國(guó)、荷蘭六國(guó)七方，聯(lián)合提出了新的“信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則”（CCforITSEC），并于1999年5月正式被ISO頒布為國(guó)際標(biāo)準(zhǔn)，。

②增強(qiáng)了對(duì)真實(shí)性和完整性的保護(hù)。③仍沒有給出達(dá)到標(biāo)準(zhǔn)所要采取的系統(tǒng)結(jié)構(gòu)和技術(shù)路線。二、操作系統(tǒng)的安全級(jí)別5、CC標(biāo)準(zhǔn)：21三、操作系統(tǒng)的安全機(jī)制操作系統(tǒng)安全的目標(biāo)：對(duì)用戶進(jìn)行身份識(shí)別；根據(jù)安全策略，進(jìn)行訪問控制，防止對(duì)計(jì)算機(jī)資源的非法存??；標(biāo)識(shí)系統(tǒng)中的實(shí)體；監(jiān)視系統(tǒng)的安全運(yùn)行；確保自身的安全性和完整性。三、操作系統(tǒng)的安全機(jī)制操作系統(tǒng)安全的目標(biāo)：22三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)多道程序的增長(zhǎng)，使得許多實(shí)體需要保護(hù)。⑴需要受保護(hù)的實(shí)體：存儲(chǔ)器；IO設(shè)備；程序；數(shù)據(jù)。三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)23三、操作系統(tǒng)的安全保護(hù)技術(shù)1、實(shí)體保護(hù)⑵保護(hù)方法：①隔離

操作系統(tǒng)的一個(gè)基本安全方法是隔離，把一個(gè)客體與其它客體隔離起來。物理隔離：不同的處理使用不同的物理設(shè)備。如，不同安全級(jí)別的處理輸出使用不同的打印機(jī)；三、操作系統(tǒng)的安全保護(hù)技術(shù)1、實(shí)體保護(hù)24三、操作系統(tǒng)的安全機(jī)制①隔離時(shí)間隔離： 不同安全級(jí)別的處理在不同的時(shí)間執(zhí)行；邏輯隔離：用戶的操作在沒有其它處理存在的情況下執(zhí)行。 操作系統(tǒng)限制程序的訪問，以使該程序不能訪問允許范圍之外的客體。 虛擬機(jī)是軟件是運(yùn)行在硬件之上、操作系統(tǒng)之下的支撐軟件，可以使一套硬件運(yùn)行多個(gè)操作系統(tǒng)，分別執(zhí)行不同密級(jí)任務(wù)。密碼隔離：

用密碼加密數(shù)據(jù)，以其它處理不能理解的形式隱藏?cái)?shù)據(jù)三、操作系統(tǒng)的安全機(jī)制①隔離25三、操作系統(tǒng)的安全機(jī)制①隔離然而隔離僅僅是問題的一半。我們除了要對(duì)用戶和客體進(jìn)行隔離外，我們還希望能夠提供共享。例如，不同安全級(jí)別的處理能調(diào)用同一個(gè)的算法或功能調(diào)用。我們希望既能夠提供共享，而又不犧牲各自的安全性。三、操作系統(tǒng)的安全機(jī)制①隔離26三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)⑵保護(hù)方法：②隔絕當(dāng)操作系統(tǒng)提供隔絕時(shí)，并發(fā)運(yùn)行的不同處理不能察覺對(duì)方的存在。每個(gè)處理有自己的地址空間、文件和其它客體。操作系統(tǒng)限制每個(gè)處理，使其它處理的客體完全隱蔽。三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)27三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)⑶存儲(chǔ)器的保護(hù)： 多道程序的最重要問題是阻止一個(gè)程序影響另一個(gè)程序的存儲(chǔ)器。這種保護(hù)可以作成硬件機(jī)制，以保護(hù)存儲(chǔ)器的有效使用，而且成本很低。①固定地址界限設(shè)置地址界限，使操作系統(tǒng)在界限的一邊，而用戶程序在界限的另一邊。主要是阻止用戶程序破壞操作系統(tǒng)的程序。這種固定界限方式的限制是死扳的，因?yàn)榻o操作系統(tǒng)預(yù)留的存儲(chǔ)空間是固定的，不管是否需要。

三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)28三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)⑶存儲(chǔ)器的保護(hù)：①固定地址界限

操作系統(tǒng)操作系統(tǒng)硬件地址界限操作系統(tǒng)用戶程序0n-1n高三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)硬件地址界限0n-1n高29三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)⑶存儲(chǔ)器的保護(hù)：②浮動(dòng)地址界限界限寄存器（fenceregister）：它存儲(chǔ)操作系統(tǒng)的端地址。與固定界限方式不同，這里的界限是可以變化的。每當(dāng)用戶程序要修改一個(gè)地址的數(shù)據(jù)時(shí)，則把該地址與界限地址進(jìn)行比較，如果該地址在用戶區(qū)則執(zhí)行，如果該地址在操作系統(tǒng)區(qū)則產(chǎn)生錯(cuò)誤信號(hào)、并拒絕執(zhí)行。三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)30三、操作系統(tǒng)的安全機(jī)制1、客實(shí)體保護(hù)⑶存儲(chǔ)器的保護(hù)：②浮動(dòng)地址界限

操作系統(tǒng)操作系統(tǒng)界限寄存器操作系統(tǒng)用戶程序0n-1n高三、操作系統(tǒng)的安全機(jī)制1、客實(shí)體保護(hù)界限寄存器0n-1n高31三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)⑶存儲(chǔ)器的保護(hù)：②浮動(dòng)地址界限一個(gè)界限寄存器的保護(hù)是單向的。換句話說，可保護(hù)用戶不侵入操作系統(tǒng)區(qū)，但不能保護(hù)一個(gè)用戶對(duì)另一用戶區(qū)的侵入。類似地，用戶也不能隔離保護(hù)程序的代碼區(qū)和數(shù)據(jù)區(qū)。

通常采用多對(duì)地址界限寄存器，其中一個(gè)為上界，另一個(gè)為下界（或一個(gè)為基址，另一個(gè)為界長(zhǎng)）。把程序之間，數(shù)據(jù)之間，堆棧之間隔離保護(hù)起來。

三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)32三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)⑶存儲(chǔ)器的保護(hù)：②浮動(dòng)地址界限

操作系統(tǒng)程序2上界寄存器操作系統(tǒng)程序30n-1n高操作系統(tǒng)程序1下界寄存器mm+1基址寄存器界長(zhǎng)寄存器三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)上界寄存器0n-1n高下界33三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)⑷運(yùn)行保護(hù)：安全操作系統(tǒng)采用分層設(shè)計(jì)；運(yùn)行域是進(jìn)程運(yùn)行的區(qū)域；運(yùn)行域保護(hù)機(jī)制：根據(jù)安全策略，把進(jìn)程的運(yùn)行區(qū)域劃分為一些同心環(huán)，進(jìn)行運(yùn)行的安全保護(hù)。最內(nèi)環(huán)具有最小的環(huán)號(hào)，具有最高的安全級(jí)別；最外環(huán)具有最大的環(huán)號(hào)，具有最低的安全級(jí)別； 內(nèi)環(huán)不受外環(huán)的入侵，卻可利用外環(huán)的資源，并控制外環(huán)。三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)34三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)⑷運(yùn)行保護(hù)：R0R1Rn三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)R0R1Rn35三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)⑸IO保護(hù)：IO保護(hù)是系統(tǒng)中最復(fù)雜的；大多數(shù)情況下，把IO設(shè)備視為文件，且規(guī)定IO是僅由操作系統(tǒng)完成的一個(gè)特權(quán)操作，對(duì)讀寫操作提供一個(gè)高層系統(tǒng)調(diào)用。在這一過程中，用戶不控制IO操作的細(xì)節(jié)。三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)36三、操作系統(tǒng)的安全機(jī)制2、標(biāo)識(shí)與認(rèn)證⑴標(biāo)識(shí)標(biāo)識(shí)是系統(tǒng)為了正確識(shí)別、認(rèn)證和管理實(shí)體而給實(shí)體的一種符號(hào)；用戶名是一種標(biāo)識(shí)，為的是進(jìn)行身份認(rèn)證；安全級(jí)別也是一種標(biāo)識(shí)，為的是進(jìn)行安全的訪問控制。標(biāo)識(shí)需要管理；標(biāo)識(shí)活性化、智能化，是值得研究的新方向。⑵認(rèn)證在操作系統(tǒng)中主要是用戶的身份認(rèn)證。三、操作系統(tǒng)的安全機(jī)制2、標(biāo)識(shí)與認(rèn)證37三、操作系統(tǒng)的安全機(jī)制3、訪問控制訪問控制的目的：確保主體對(duì)客體的訪問只能是授權(quán)的，而未授權(quán)的訪問是不能進(jìn)行的，而且授權(quán)策略是安全的。自主訪問控制（DAC）；強(qiáng)制訪問控制（MAC）；有多種訪問控制模型。三、操作系統(tǒng)的安全機(jī)制3、訪問控制38三、操作系統(tǒng)的安全機(jī)制3、訪問控制區(qū)分安全策略和機(jī)制是重要的：策略著重原則指導(dǎo)，而不著重具體實(shí)現(xiàn)。機(jī)制是實(shí)現(xiàn)策略的技術(shù)機(jī)構(gòu)和方法。沒有好的安全策略，再好的機(jī)制也不能確保安全。相反，沒有好的機(jī)制，再好的策略也沒有實(shí)際意義。通常策略是原則的、簡(jiǎn)單的、確切的，而機(jī)制是具體的、復(fù)雜的、煩瑣的。三、操作系統(tǒng)的安全機(jī)制3、訪問控制39謝謝！

謝謝！40信息系統(tǒng)安全第四講操作系統(tǒng)安全張煥國(guó)武漢大學(xué)計(jì)算機(jī)學(xué)院信息系統(tǒng)安全第四講操作系統(tǒng)安全41目錄1、信息系統(tǒng)安全的基本概念2、密碼學(xué)(1)3、密碼學(xué)(2)4、操作系統(tǒng)安全(1)5、操作系統(tǒng)安全(2)6、數(shù)據(jù)庫安全(1)7、數(shù)據(jù)庫安全(2)8、可信計(jì)算(1)9、可信計(jì)算(2)目錄1、信息系統(tǒng)安全的基本概念42一、操作系統(tǒng)安全的概念我們的學(xué)術(shù)觀點(diǎn)： 硬件結(jié)構(gòu)的安全和操作系統(tǒng)的安全是信息系統(tǒng)安全的基礎(chǔ)，密碼、網(wǎng)絡(luò)安全等是關(guān)鍵技術(shù)。

一、操作系統(tǒng)安全的概念我們的學(xué)術(shù)觀點(diǎn)：43一、操作系統(tǒng)安全的概念1、操作系統(tǒng)是信息系統(tǒng)安全的基礎(chǔ)之一：

①操作系統(tǒng)是軟件系統(tǒng)的底層；

②操作系統(tǒng)是系統(tǒng)資源的管理者；

③操作系統(tǒng)是軟硬件的接口。

2、操作系統(tǒng)安全的困難性

①操作系統(tǒng)的規(guī)模龐大，以至于不能保證完全正確。

②理論上一般操作系統(tǒng)的安全是不可判定問題。

3、我國(guó)必須擁有自己的操作系統(tǒng)①操作系統(tǒng)受治于人，不能從根本上確保信息安全；

②立足國(guó)內(nèi)，發(fā)展自己的操作系統(tǒng)。一、操作系統(tǒng)安全的概念1、操作系統(tǒng)是信息系統(tǒng)安全的基礎(chǔ)之一：44二、操作系統(tǒng)的安全評(píng)價(jià)1、操作系統(tǒng)安全要求 一般對(duì)安全操作系統(tǒng)有以下要求：

①安全策略：要有明確、嚴(yán)謹(jǐn)、文檔齊全的安全策略

②標(biāo)識(shí)：每個(gè)實(shí)體必須標(biāo)識(shí)其安全級(jí)別

③

認(rèn)證：

每個(gè)主體必須被認(rèn)證

④審計(jì)：對(duì)影響安全的事件，必須記錄日志，并進(jìn)行審計(jì)。

⑤保證：系統(tǒng)必須確保上述4項(xiàng)要求被實(shí)施⑥連續(xù)性保護(hù)：實(shí)現(xiàn)安全的機(jī)制必須是不間斷地發(fā)揮作用，并且未經(jīng)許可不可改動(dòng)。

二、操作系統(tǒng)的安全評(píng)價(jià)1、操作系統(tǒng)安全要求45二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：

①D級(jí)：最低的安全保護(hù)級(jí)

D級(jí)是最低的安全保護(hù)級(jí)屬于D級(jí)的系統(tǒng)是不安全的除了物理上的一些安全措施外，沒有什幺其它安全用戶只要開機(jī)后就可支配所有資源DOS,WINDOWS3.2,MOS二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：46二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：②C1級(jí)：自主安全保護(hù)級(jí)通過用戶名和口令進(jìn)行身份認(rèn)證每個(gè)用戶對(duì)屬于他們自己的客體具有控制權(quán)劃分屬主、同組用戶和其他用戶3個(gè)層次。屬主控制這3個(gè)層次的存儲(chǔ)權(quán)限實(shí)體沒有劃分安全級(jí)別多數(shù)UNIX、LINUX，WindowsNT

二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：47二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：③

C2級(jí)：受控制的安全保護(hù)級(jí)系統(tǒng)記錄日志，并進(jìn)行審計(jì)。身份認(rèn)證更強(qiáng)，口令以密文存儲(chǔ)。采用以用戶為單位的自主訪問控制機(jī)制。部分UNIX、LINUX，VMS

二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：48二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：

④B1級(jí)：標(biāo)記安全保護(hù)級(jí)采用多級(jí)安全策略采用強(qiáng)制訪問控制強(qiáng)制訪問控制并不取消原來的自主訪問控制，而是在此之外另加的。實(shí)體都劃分安全級(jí)別屬主也不能改變對(duì)自己客體的存儲(chǔ)權(quán)限二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：49二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：⑤B2級(jí)：結(jié)構(gòu)化的安全保護(hù)級(jí)要有形式化的安全模型更完善的強(qiáng)制訪問控制隱通道分析與處理一般認(rèn)為B2級(jí)以上的操作系統(tǒng)才是安全操作系統(tǒng)Honeywell公司的MULTICS、TIS公司的TrustedXENIX3.04.0

二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：50二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：⑥B3級(jí)：安全域級(jí)把系統(tǒng)劃分為一些安全域，用硬件把安全域互相分割開來，如存儲(chǔ)器隔離保護(hù)等。提供可信路徑機(jī)制，確保用戶與可信軟件是連接的，防止假冒進(jìn)程。更全面的訪問控制機(jī)制。更嚴(yán)格的系統(tǒng)結(jié)構(gòu)化設(shè)計(jì)。更完善的隱通道分析。HFS公司的UNIXXTS-2000STOP3.1E二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：51二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：⑦

A1級(jí)：驗(yàn)證安全設(shè)計(jì)級(jí)安全模型要經(jīng)過數(shù)學(xué)證明對(duì)隱通道進(jìn)行形式化分析Honeywell公司SCOMP、波音公司MLSLANOS注意：分級(jí)的頂端是無限的，還可加入A2、A3級(jí)等。每一級(jí)的安全性都包含前一級(jí)的安全性。二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：52二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：DC1C2B1B2B3A1二、操作系統(tǒng)的安全評(píng)價(jià)2、美國(guó)國(guó)防部的桔皮書（TCSEC）：53二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則：

（GB117859－1999）

根據(jù)中國(guó)國(guó)情、參照桔皮書，將其7的級(jí)別合并為5個(gè)級(jí)別

①第一級(jí)：用戶自主保護(hù)級(jí)；

②第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)；

③第三級(jí)：安全標(biāo)記保護(hù)級(jí)；

④第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)；

⑤第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)。二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分54二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則：①第一級(jí)：用戶自主保護(hù)級(jí)；通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。它具有多種形式的控制能力，對(duì)用戶實(shí)施訪問控制，即為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對(duì)數(shù)據(jù)的非法讀寫與破壞。

自主訪問控制 例如：訪問控制表

身份鑒別 例如：口令數(shù)據(jù)完整性 通過自主完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。

二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分55二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則：②第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)；與用戶自主保護(hù)級(jí)相比，本級(jí)的計(jì)算機(jī)實(shí)施了粒度更細(xì)的自主訪問控制，它通過登錄規(guī)程、審計(jì)安全性相關(guān)事件和隔離資源，使用戶對(duì)自己的行為負(fù)責(zé)。

自主訪問控制 訪問控制機(jī)制根據(jù)用戶指定方式或默認(rèn)方式，阻止非授權(quán)用戶訪問客體。訪問控制的粒度是單個(gè)用戶。沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對(duì)客體的訪問權(quán)。身份鑒別

通過為用戶提供唯一標(biāo)識(shí)、計(jì)算機(jī)能夠使用戶對(duì)自己的行為負(fù)責(zé)。計(jì)算機(jī)還具備將身份標(biāo)識(shí)與該用戶所有可審計(jì)行為相關(guān)聯(lián)的能力。

阻止客體重用

客體只有在釋放且清除原信息后才讓新主體使用審計(jì) 計(jì)算機(jī)能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計(jì)跟蹤記錄，并能阻止非授權(quán)的用戶對(duì)它訪問或破壞。

二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分56二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則：③第三級(jí)：安全標(biāo)記保護(hù)級(jí)；具有系統(tǒng)審計(jì)保護(hù)級(jí)所有功能。此外，還提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對(duì)客體強(qiáng)制訪問控制的非形式化描述；具有準(zhǔn)確地標(biāo)記輸出信息的能力；消除通過測(cè)試發(fā)現(xiàn)的任何錯(cuò)誤。

強(qiáng)制訪問控制 計(jì)算機(jī)對(duì)所有主體及其所控制的客體（例如：進(jìn)程、文件、段、設(shè)備）實(shí)施強(qiáng)制訪問控制。為這些主體及客體指定敏感標(biāo)記，這些標(biāo)記是等級(jí)分類和非等級(jí)類別的組合，它們是實(shí)施強(qiáng)制訪問控制的依據(jù)。

標(biāo)記 計(jì)算機(jī)應(yīng)維護(hù)與主體及其控制的存儲(chǔ)客體（例如：進(jìn)程、文件、段、設(shè)備）相關(guān)的敏感標(biāo)記。這些標(biāo)記是實(shí)施強(qiáng)制訪問的基礎(chǔ)。二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分57二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則：④第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)；建立于一個(gè)明確定義的形式化安全策略模型之上，它要求將第三級(jí)系統(tǒng)中的自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體。考慮隱蔽通道。必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素。計(jì)算機(jī)的接口也必須明確定義，使其設(shè)計(jì)與實(shí)現(xiàn)能經(jīng)受更充分的測(cè)試。加強(qiáng)了鑒別機(jī)制；支持系統(tǒng)管理員和操作員的職能；提供可信設(shè)施管理；增強(qiáng)了配置管理控制。系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。

二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分58二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則：⑤第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)本級(jí)的計(jì)算機(jī)滿足訪問監(jiān)控器需求。訪問監(jiān)控器仲裁主體對(duì)客體的全部訪問。訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測(cè)試。支持安全管理員職能，擴(kuò)充審計(jì)機(jī)制，提供系統(tǒng)恢復(fù)機(jī)制。系統(tǒng)具有很高的抗?jié)B透能力。

隱蔽信道分析可信路徑

可信恢復(fù)

二、操作系統(tǒng)的安全級(jí)別3、中國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分59二、操作系統(tǒng)的安全級(jí)別4、桔皮書和GB117859的局限性①桔皮書注意確保數(shù)據(jù)的秘密性，而沒有注意確保數(shù)據(jù)的真實(shí)性和完整性。

②忽略了防范諸如拒絕服務(wù)之類的攻擊。③只給出了評(píng)測(cè)等級(jí)，沒有給出達(dá)到這種等級(jí)所要采取的系統(tǒng)結(jié)構(gòu)和技術(shù)路線。二、操作系統(tǒng)的安全級(jí)別4、桔皮書和GB117859的局限性60二、操作系統(tǒng)的安全級(jí)別5、CC標(biāo)準(zhǔn)：①美國(guó)國(guó)家安全局、國(guó)家技術(shù)標(biāo)準(zhǔn)研究所、法國(guó)、加拿大、英國(guó)、德國(guó)、荷蘭六國(guó)七方，聯(lián)合提出了新的“信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則”（CCforITSEC），并于1999年5月正式被ISO頒布為國(guó)際標(biāo)準(zhǔn)，。

②增強(qiáng)了對(duì)真實(shí)性和完整性的保護(hù)。③仍沒有給出達(dá)到標(biāo)準(zhǔn)所要采取的系統(tǒng)結(jié)構(gòu)和技術(shù)路線。二、操作系統(tǒng)的安全級(jí)別5、CC標(biāo)準(zhǔn)：61三、操作系統(tǒng)的安全機(jī)制操作系統(tǒng)安全的目標(biāo)：對(duì)用戶進(jìn)行身份識(shí)別；根據(jù)安全策略，進(jìn)行訪問控制，防止對(duì)計(jì)算機(jī)資源的非法存取；標(biāo)識(shí)系統(tǒng)中的實(shí)體；監(jiān)視系統(tǒng)的安全運(yùn)行；確保自身的安全性和完整性。三、操作系統(tǒng)的安全機(jī)制操作系統(tǒng)安全的目標(biāo)：62三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)多道程序的增長(zhǎng)，使得許多實(shí)體需要保護(hù)。⑴需要受保護(hù)的實(shí)體：存儲(chǔ)器；IO設(shè)備；程序；數(shù)據(jù)。三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)63三、操作系統(tǒng)的安全保護(hù)技術(shù)1、實(shí)體保護(hù)⑵保護(hù)方法：①隔離

操作系統(tǒng)的一個(gè)基本安全方法是隔離，把一個(gè)客體與其它客體隔離起來。物理隔離：不同的處理使用不同的物理設(shè)備。如，不同安全級(jí)別的處理輸出使用不同的打印機(jī)；三、操作系統(tǒng)的安全保護(hù)技術(shù)1、實(shí)體保護(hù)64三、操作系統(tǒng)的安全機(jī)制①隔離時(shí)間隔離： 不同安全級(jí)別的處理在不同的時(shí)間執(zhí)行；邏輯隔離：用戶的操作在沒有其它處理存在的情況下執(zhí)行。 操作系統(tǒng)限制程序的訪問，以使該程序不能訪問允許范圍之外的客體。 虛擬機(jī)是軟件是運(yùn)行在硬件之上、操作系統(tǒng)之下的支撐軟件，可以使一套硬件運(yùn)行多個(gè)操作系統(tǒng)，分別執(zhí)行不同密級(jí)任務(wù)。密碼隔離：

用密碼加密數(shù)據(jù)，以其它處理不能理解的形式隱藏?cái)?shù)據(jù)三、操作系統(tǒng)的安全機(jī)制①隔離65三、操作系統(tǒng)的安全機(jī)制①隔離然而隔離僅僅是問題的一半。我們除了要對(duì)用戶和客體進(jìn)行隔離外，我們還希望能夠提供共享。例如，不同安全級(jí)別的處理能調(diào)用同一個(gè)的算法或功能調(diào)用。我們希望既能夠提供共享，而又不犧牲各自的安全性。三、操作系統(tǒng)的安全機(jī)制①隔離66三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)⑵保護(hù)方法：②隔絕當(dāng)操作系統(tǒng)提供隔絕時(shí)，并發(fā)運(yùn)行的不同處理不能察覺對(duì)方的存在。每個(gè)處理有自己的地址空間、文件和其它客體。操作系統(tǒng)限制每個(gè)處理，使其它處理的客體完全隱蔽。三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)67三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)⑶存儲(chǔ)器的保護(hù)： 多道程序的最重要問題是阻止一個(gè)程序影響另一個(gè)程序的存儲(chǔ)器。這種保護(hù)可以作成硬件機(jī)制，以保護(hù)存儲(chǔ)器的有效使用，而且成本很低。①固定地址界限設(shè)置地址界限，使操作系統(tǒng)在界限的一邊，而用戶程序在界限的另一邊。主要是阻止用戶程序破壞操作系統(tǒng)的程序。這種固定界限方式的限制是死扳的，因?yàn)榻o操作系統(tǒng)預(yù)留的存儲(chǔ)空間是固定的，不管是否需要。

三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)68三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)⑶存儲(chǔ)器的保護(hù)：①固定地址界限

操作系統(tǒng)操作系統(tǒng)硬件地址界限操作系統(tǒng)用戶程序0n-1n高三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)硬件地址界限0n-1n高69三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)⑶存儲(chǔ)器的保護(hù)：②浮動(dòng)地址界限界限寄存器（fenceregister）：它存儲(chǔ)操作系統(tǒng)的端地址。與固定界限方式不同，這里的界限是可以變化的。每當(dāng)用戶程序要修改一個(gè)地址的數(shù)據(jù)時(shí)，則把該地址與界限地址進(jìn)行比較，如果該地址在用戶區(qū)則執(zhí)行，如果該地址在操作系統(tǒng)區(qū)則