1、操作系統(tǒng)的安全問(wèn)題,對(duì)操作系統(tǒng)安全的威脅： （1）以O(shè)S為手段，獲得授權(quán)以外的或未授權(quán)的信息：它危害信息系統(tǒng)的保密性和完整性。 （2）以O(shè)S為手段，阻礙計(jì)算機(jī)系統(tǒng)的正常運(yùn)行或用戶(hù)的正常使用：它危害了計(jì)算機(jī)系統(tǒng)的可用性。 （3）以O(shè)S為對(duì)象，破壞系統(tǒng)完成指定的功能：除了電腦病毒破壞系統(tǒng)正常運(yùn)行和用戶(hù)正常使用外，還有一些人為因素或自然因素，如干擾、設(shè)備故障和誤操作也會(huì)影響軟件的正常運(yùn)行。 （4）以軟件為對(duì)象，非法復(fù)制或非法使用。,6.2 操作系統(tǒng)的安全控制,設(shè)計(jì)一個(gè)安全的操作系統(tǒng)，從技術(shù)上講有四種安全方法，如隔離控制、訪(fǎng)問(wèn)控制、信息加密和審計(jì)跟蹤。 操作系統(tǒng)采用的安全控制方法主要是隔離控制和訪(fǎng)問(wèn)控

2、制。 1、隔離控制 物理隔離。 時(shí)間隔離。 加密隔離。 邏輯隔離。 2、訪(fǎng)問(wèn)控制 訪(fǎng)問(wèn)控制是操作系統(tǒng)的安全控制核心。訪(fǎng)問(wèn)控制是確定誰(shuí)能訪(fǎng)問(wèn)系統(tǒng)，能訪(fǎng)問(wèn)系統(tǒng)何種資源以及在何種程度上使用這些資源。訪(fǎng)問(wèn)控制包括對(duì)系統(tǒng)各種資源的存取控制。,6.2 操作系統(tǒng)的安全控制,存取控制解決兩個(gè)基本問(wèn)題：一是訪(fǎng)問(wèn)控制策略，二是訪(fǎng)問(wèn)控制機(jī)構(gòu)。 訪(fǎng)問(wèn)控制策略是根據(jù)系統(tǒng)安全保密需求及實(shí)際可能而提出的一系列安全控制方法和策略，如“最小特權(quán)”策略。 訪(fǎng)問(wèn)控制策略有多種，最常用的是對(duì)用戶(hù)進(jìn)行授權(quán)。 訪(fǎng)問(wèn)控制機(jī)構(gòu)則是系統(tǒng)具體實(shí)施訪(fǎng)問(wèn)控制策略的硬件、軟件或固件。 訪(fǎng)問(wèn)控制的三項(xiàng)基本任務(wù)： 授權(quán)。 確定訪(fǎng)問(wèn)權(quán)限。 實(shí)施訪(fǎng)問(wèn)控制的權(quán)

3、限。,6.2 操作系統(tǒng)的安全控制,從訪(fǎng)問(wèn)控制方式來(lái)說(shuō)，訪(fǎng)問(wèn)控制可分為以下四種： （1）自主訪(fǎng)問(wèn)控制：自主訪(fǎng)問(wèn)控制是一種普遍采用的訪(fǎng)問(wèn)控制手段。它使用戶(hù)可以按自己的意愿對(duì)系統(tǒng)參數(shù)作適當(dāng)修改，以決定哪些用戶(hù)可以訪(fǎng)問(wèn)他們的系統(tǒng)資源。 （2）強(qiáng)制訪(fǎng)問(wèn)控制：強(qiáng)制訪(fǎng)問(wèn)控制是一種強(qiáng)有力的訪(fǎng)問(wèn)控制手段。它使用戶(hù)與文件都有一個(gè)固定的安全屬性，系統(tǒng)利用安全屬性來(lái)決定一個(gè)用戶(hù)是否可以訪(fǎng)問(wèn)某種資源。 （3）有限型訪(fǎng)問(wèn)控制：它對(duì)用戶(hù)和資源進(jìn)一步區(qū)分，只有授權(quán)的用戶(hù)才能訪(fǎng)問(wèn)指定的資源。 （4）共享獨(dú)占型訪(fǎng)問(wèn)控制：它把資源分成“共享”和“獨(dú)占”兩種。“共享”可以使資源為所有用戶(hù)使用，“獨(dú)占”只能被資源所有者使用。,6.2

4、操作系統(tǒng)的安全控制,訪(fǎng)問(wèn)控制的重要內(nèi)容之一是用戶(hù)身份識(shí)別。而口令字驗(yàn)證又是是用戶(hù)身份識(shí)別的主要內(nèi)容，口令字驗(yàn)證應(yīng)注意： 在系統(tǒng)的問(wèn)答題中盡量少透露系統(tǒng)、用戶(hù)和口令字的信息。 用戶(hù)可以加上附加的約束，如限制使用的時(shí)間和地點(diǎn)。 對(duì)口令字文件加密。 口令字要有一定的范圍和長(zhǎng)度，并由操作系統(tǒng)隨機(jī)地產(chǎn)生。 應(yīng)定期改變口令字。 使用動(dòng)態(tài)口令字。 要選擇容易記憶，但又難猜的口令。,6.3 自主訪(fǎng)問(wèn)控制,不要使用常用單詞或名字，不要選用有特殊意義的口令，如生日、電話(huà)號(hào)碼、銀行帳號(hào)等。 不要在不同的機(jī)器上使用相同的口令。 不要將口令告訴他人或隨便將口令手寫(xiě)在終端上。 自主訪(fǎng)問(wèn)控制是指基于對(duì)主體及主體所屬主體組的

5、訪(fǎng)問(wèn)來(lái)控制對(duì)客體的訪(fǎng)問(wèn)，它是操作系統(tǒng)的基本特征之一。這種控制是自主的。 自主是指具有授予某種訪(fǎng)問(wèn)權(quán)力的主體能夠自主地將訪(fǎng)問(wèn)權(quán)或訪(fǎng)問(wèn)權(quán)的某個(gè)子集授予其它主體。,6.3 自主訪(fǎng)問(wèn)控制,6.3.l 自主訪(fǎng)問(wèn)控制方法 目前，操作系統(tǒng)實(shí)現(xiàn)自主訪(fǎng)問(wèn)控制不是利用整個(gè)訪(fǎng)問(wèn)控制矩陣，而是基于矩陣的行或列來(lái)表達(dá)訪(fǎng)問(wèn)控制信息。 1基于行的自主訪(fǎng)問(wèn)控制 是在每個(gè)主體上都附加一個(gè)該主體可訪(fǎng)問(wèn)的客體的明細(xì)表。按照表內(nèi)信息的不同，可以分為三種形式： （1）權(quán)力表，也叫權(quán)能，它是實(shí)現(xiàn)訪(fǎng)問(wèn)控制的一種方法。 （2）前綴表 ，包括受保護(hù)的客體名以及主體對(duì)它的訪(fǎng)問(wèn)權(quán)。 （3）口令 ，口令機(jī)制是按行表示訪(fǎng)問(wèn)控制矩陣的。,6.3 自主訪(fǎng)

6、問(wèn)控制,2基于列的自主訪(fǎng)問(wèn)控制 基于列的自主訪(fǎng)問(wèn)控制是對(duì)每個(gè)客體附加一份可訪(fǎng)問(wèn)它的主體的明細(xì)表。它有兩種形式： （1）保護(hù)位 ：保護(hù)位機(jī)制不能完備地表達(dá)訪(fǎng)問(wèn)控制矩陣。 （2）訪(fǎng)問(wèn)控制表：每個(gè)客體（對(duì)象）有一張?jiān)L問(wèn)控制表，記錄該客體可被哪些主體訪(fǎng)問(wèn)以及訪(fǎng)問(wèn)的形式。 6.3.2 自主訪(fǎng)問(wèn)控制的訪(fǎng)問(wèn)類(lèi)型 自主訪(fǎng)問(wèn)控制機(jī)制中，有三種基本的控制模式。 1等級(jí)型 2有主型 3自由型,6.3 自主訪(fǎng)問(wèn)控制,6.3.3 自主訪(fǎng)問(wèn)控制的訪(fǎng)問(wèn)模式 在自主訪(fǎng)問(wèn)控制機(jī)制的系統(tǒng)中，可使用的保護(hù)客體基本有兩類(lèi)：文件和目錄。 1文件 對(duì)文件常設(shè)置以下幾種訪(fǎng)問(wèn)模式： （1）Read -Copy ：允許主體對(duì)客體進(jìn)行讀與拷貝的

7、訪(fǎng)問(wèn)操作 （2）Write-delete：允許主體用任何方式修改一個(gè)客體。 （3）Execute：允許主體將客體作為一種可執(zhí)行文件而運(yùn)行之。 （4） Null ：表示主體對(duì)客體不具有任何訪(fǎng)問(wèn)權(quán)。,6.3 自主訪(fǎng)問(wèn)控制,2目錄 每個(gè)主體（用戶(hù)）有一個(gè)訪(fǎng)問(wèn)目錄。該目錄用于記錄該主體可訪(fǎng)問(wèn)的客體(對(duì)象）以及訪(fǎng)問(wèn)的權(quán)限，然而用戶(hù)本身卻不能接觸目錄。目錄常作為結(jié)構(gòu)化文件或結(jié)構(gòu)化段來(lái)實(shí)現(xiàn)。是否對(duì)目錄設(shè)置訪(fǎng)問(wèn)模式，取決于系統(tǒng)是怎樣利用樹(shù)結(jié)構(gòu)來(lái)控制訪(fǎng)問(wèn)操作的。對(duì)目錄的訪(fǎng)問(wèn)模式可以分為讀和寫(xiě)-擴(kuò)展。 （1）Read（讀）:該模式允許主體看到目錄實(shí)體，包括目錄名、訪(fǎng)問(wèn)控制表以及該目錄下的文件與目錄的相應(yīng)信息。 （

8、2）Write-EXpand（寫(xiě) -擴(kuò)展）：該訪(fǎng)問(wèn)模式允許主體在該目錄下增加一個(gè)新的客體。也就是說(shuō)，允許主體在該目錄下生成與刪除文件或子目錄。,6.4強(qiáng)制訪(fǎng)問(wèn)控制,1“特洛伊木馬”的威脅 一個(gè)“特洛伊木馬”要進(jìn)行攻擊，一般需要以下條件： 必須編寫(xiě)一段程序或修改一個(gè)已存在的程序來(lái)進(jìn)行非法操作，而且這種非法操作不能令程序的使用者起任何懷疑。這個(gè)程序?qū)κ褂谜邅?lái)說(shuō)必須具有吸收力。 必須使受害者能以某種方式訪(fǎng)問(wèn)到或得到這個(gè)程序，如將這個(gè)程序放在系統(tǒng)的根目錄或公共目錄中。 必須使受害者運(yùn)行這個(gè)程序。一般利用這個(gè)程序代替某個(gè)受害者常用的程序來(lái)使受害者不知不覺(jué)地使用它。 受害者在系統(tǒng)中有一個(gè)合法的帳號(hào)。,6.

9、4強(qiáng)制訪(fǎng)問(wèn)控制,2防止“特洛伊木馬”的非法訪(fǎng)問(wèn) 強(qiáng)制訪(fǎng)問(wèn)控制一般與自主訪(fǎng)問(wèn)控制結(jié)合使用，并實(shí)施一些附加的、更強(qiáng)的訪(fǎng)問(wèn)限制。一個(gè)主體只有通過(guò)了自主與強(qiáng)制訪(fǎng)問(wèn)控制檢查后，才能訪(fǎng)問(wèn)某個(gè)客體。由于用戶(hù)不能直接改變強(qiáng)制訪(fǎng)問(wèn)的控制屬性，因此用戶(hù)可以利用自主訪(fǎng)問(wèn)控制來(lái)防范其他用戶(hù)對(duì)自己客體的攻擊。強(qiáng)制訪(fǎng)問(wèn)控制則提供一個(gè)不可逾越的、更強(qiáng)的安全防護(hù)層，以防止其他用戶(hù)偶然或故意濫用自主訪(fǎng)問(wèn)控制。要防止“特洛伊木馬”偷竊某個(gè)文件，就必須采用強(qiáng)制訪(fǎng)問(wèn)控制手段。 減少“特洛伊木馬”攻擊成功的可能性方法。 （1）限制訪(fǎng)問(wèn)控制的靈活性 （2）過(guò)程控制,6.5 存儲(chǔ)器的保護(hù),存儲(chǔ)器保護(hù)負(fù)責(zé)保證系統(tǒng)內(nèi)各任務(wù)之間互不干擾；存儲(chǔ)器

10、管理是為了更有效地利用存儲(chǔ)空間。 6.5.1 存儲(chǔ)器的保護(hù)方法 首先要對(duì)存儲(chǔ)單元的地址進(jìn)行保護(hù)，使得非法用戶(hù)不能訪(fǎng)問(wèn)那些受到保護(hù)的存儲(chǔ)單元 ； 其次要對(duì)被保護(hù)的存儲(chǔ)單元提供各種類(lèi)型的保護(hù) 。 最基本的保護(hù)類(lèi)型是“讀寫(xiě)”和“只讀”。所謂“只讀”，就是規(guī)定用戶(hù)只能對(duì)那些被保護(hù)的存儲(chǔ)單元中的內(nèi)容進(jìn)行讀取，而不能進(jìn)行其它操作。復(fù)雜一些的保護(hù)類(lèi)型還包括“只執(zhí)行”、“不能存取”等操作。不能存取的存儲(chǔ)單元，若被用戶(hù)存取時(shí)，系統(tǒng)要及時(shí)發(fā)出警報(bào)或中斷程序執(zhí)行。,6.5 存儲(chǔ)器的保護(hù),操作系統(tǒng)對(duì)內(nèi)存的保護(hù)主要采用了邏輯隔離方法。 1界地址寄存器保護(hù)法 2內(nèi)存標(biāo)志法 3鎖保護(hù)法 “鎖”是指為存儲(chǔ)區(qū)設(shè)置的特定數(shù)字。

11、使用鎖保護(hù)方式具有以下優(yōu)點(diǎn)： 因?yàn)椴煌拇鎯?chǔ)區(qū)可以分配相同的鎖，因此用戶(hù)可以用同一鑰匙打開(kāi)不連續(xù)的若干區(qū)域。 只要鎖和鑰匙定義不同的對(duì)應(yīng)方案，就可以使鑰匙具有不同的優(yōu)先級(jí)。 4 特征位保護(hù)法 即在每一個(gè)存儲(chǔ)單元的前面，設(shè)置 一組特征位,特征位,數(shù)據(jù)指令代碼,6.5 存儲(chǔ)器的保護(hù),6.5.2 存儲(chǔ)器的管理 1虛擬地址空間 的物理定位可變，每次調(diào)度該進(jìn)程時(shí)，它的物理地址可能不同。在運(yùn)行一個(gè)訪(fǎng)問(wèn)存儲(chǔ)器的指令時(shí)，硬件設(shè)備首先根據(jù)指令中的某一數(shù)值或偏移量以及索引寄存器的值對(duì)虛擬地址進(jìn)行某種運(yùn)算，以識(shí)別出欲訪(fǎng)問(wèn)目標(biāo)的物理地址。其運(yùn)算的結(jié)果就是一個(gè)虛擬地址映射成一個(gè)物理地址。 2虛存映射 在一個(gè)大系統(tǒng)內(nèi)，將

12、物理存儲(chǔ)器分成固定大小的頁(yè)，各個(gè)進(jìn)程根據(jù)需要占用不同頁(yè)數(shù)的物理存儲(chǔ)器。設(shè)置一組映射寄存器, 每個(gè)寄存器指出一個(gè)頁(yè)的物理首地址。這樣，進(jìn)程就可以通過(guò)這些映射寄存器來(lái)訪(fǎng)問(wèn)物理地址空間。,6.5 存儲(chǔ)器的保護(hù),3請(qǐng)求調(diào)頁(yè) 一個(gè)進(jìn)程占有比機(jī)器內(nèi)存還大的虛擬存儲(chǔ)空間，需采用請(qǐng)求調(diào)頁(yè)機(jī)制，該機(jī)制將根據(jù)需要在輔存與內(nèi)存之間移動(dòng)某些頁(yè)，它保證了進(jìn)程所需的某些頁(yè)沒(méi)有駐留在內(nèi)存時(shí)仍能正常運(yùn)行。操作系統(tǒng)可以為進(jìn)程構(gòu)造一個(gè)頁(yè)描述表，該表記錄了進(jìn)程所需的全部虛擬存儲(chǔ)空間，表中可以設(shè)置一個(gè)“磁盤(pán)駐留”的標(biāo)志，指明該頁(yè)不在物理內(nèi)存中而是駐留在磁盤(pán)上。當(dāng)某一進(jìn)程運(yùn)行過(guò)程中所需的頁(yè)不在內(nèi)存中時(shí)，操作系統(tǒng)將中止該進(jìn)程的運(yùn)行，直至

13、內(nèi)存中有空閑的頁(yè)騰出時(shí)，再將所需頁(yè)從磁盤(pán)中調(diào)入內(nèi)存中的空閑頁(yè)，并將頁(yè)表中相應(yīng)的項(xiàng)置為該空閑頁(yè)，然后重新啟動(dòng)被中止的進(jìn)程從斷點(diǎn)處繼續(xù)運(yùn)行。,6.5 存儲(chǔ)器的保護(hù),4分段管理 在絕大部分系統(tǒng)中，一個(gè)進(jìn)程的虛擬地址空間至少要被分成兩部分或兩個(gè)段：一個(gè)用于用戶(hù)程序與數(shù)據(jù)，稱(chēng)為用戶(hù)空間；另一個(gè)用于操作系統(tǒng)，稱(chēng)為系統(tǒng)空間。兩者是靜態(tài)隔離的，也是比較簡(jiǎn)單的。 6.5.3 虛擬存儲(chǔ)器的保護(hù) 虛擬存儲(chǔ)器一般都采用段頁(yè)技術(shù)進(jìn)行管理。一般情況下，整個(gè)虛擬存儲(chǔ)器被劃分成若干個(gè)段，每個(gè)段再被劃分成若干頁(yè)。如果在段、頁(yè)描述中加入段、頁(yè)保護(hù)信息，如對(duì)段或頁(yè)可采取“只讀”、“讀寫(xiě)”等保護(hù)措施，當(dāng)計(jì)算機(jī)執(zhí)行指令時(shí)，系統(tǒng)便根據(jù)保

14、護(hù)類(lèi)型檢查這條指令的操作是否合法，如果不合法，就中斷程序的執(zhí)行。,6.6 操作系統(tǒng)的安全設(shè)計(jì),6.6.1 操作系統(tǒng)的安全模型 1訪(fǎng)問(wèn)監(jiān)控模型 最簡(jiǎn)單的安全模型，單級(jí)模型，是體現(xiàn)有限型訪(fǎng)問(wèn)控制的模型。它對(duì)每一個(gè)主體-客體對(duì)，只作“可”還是“否”的訪(fǎng)問(wèn)判定。這種模型論證比較脆弱，它所表達(dá)的安全需求沒(méi)有特別詳盡的說(shuō)明。 2“格”模型 多級(jí)模型。把用戶(hù)（主體）和信息（客體）進(jìn)一步按密級(jí)和類(lèi)別劃分。訪(fǎng)問(wèn)控制根據(jù)“工作需要，給予最低權(quán)限”的原則，只有當(dāng)主體的密級(jí)等于或高于客體，主體的類(lèi)別等于或包含客體時(shí)，主體才能訪(fǎng)問(wèn)客體。,6.6 操作系統(tǒng)的安全設(shè)計(jì),3Bell-La Padula模型 多級(jí)模型，它是保證

15、保密性基于信息流控制的模型。這種模型的訪(fǎng)問(wèn)控制遵循兩條原則。 簡(jiǎn)單安全性原則，即主體的保密性訪(fǎng)問(wèn)級(jí)別支配客體的保密性訪(fǎng)問(wèn)級(jí)別，也就是說(shuō)主體只能讀密級(jí)等于或低于它的客體，主體只能從下讀，而不能從上讀。 星原則是客體的訪(fǎng)問(wèn)級(jí)別支配主體的訪(fǎng)問(wèn)級(jí)別，即主體只能寫(xiě)密級(jí)等于或高于它的客體。也就是說(shuō)主體只能向上寫(xiě)，而不能向下寫(xiě)。星原則的目的是為了防上不可信的機(jī)密進(jìn)程從不同等級(jí)或級(jí)別更高的機(jī)密文件中讀出信息后，通過(guò)“向下寫(xiě)”來(lái)竊取系統(tǒng)的機(jī)密。,6.6 操作系統(tǒng)的安全設(shè)計(jì),Padula模型目的在于防止信息泄漏，而不是防止主體對(duì)客體的非授權(quán)修改。它們只處理了信息的保密問(wèn)題，而沒(méi)有解決信息的完整性問(wèn)題。 4Bibe

16、模型 從信息完整性的角度來(lái)看，顯然必須禁止低訪(fǎng)問(wèn)級(jí)別的主體對(duì)高訪(fǎng)問(wèn)級(jí)別的客體進(jìn)行訪(fǎng)問(wèn)，以免低訪(fǎng)問(wèn)級(jí)別的主體篡改高訪(fǎng)問(wèn)級(jí)別的信息（客體），于是就產(chǎn)生了Bibe模型。 Bibe模型是保證信息流完整性的控制模型，它把主體和客體按類(lèi)似密級(jí)那樣的完整級(jí)進(jìn)行分類(lèi)。完整級(jí)是一個(gè)由低到高的序列，其訪(fǎng)問(wèn)遵循“簡(jiǎn)單完整性”和“完整性星”兩條原則。,簡(jiǎn)單完整性原則是主體的完整性訪(fǎng)問(wèn)級(jí)別支配客體的完整性級(jí)別。即主體只能向下寫(xiě)，而不能向上寫(xiě)。也就是說(shuō)，主體只能寫(xiě)（修改）完整性級(jí)別等于或低于它的客體。 完整性星原則是客體的完整性訪(fǎng)問(wèn)級(jí)別支配主體的完整性訪(fǎng)問(wèn)級(jí)別，即主體只能從上讀，而不能從下讀。,6.6 操作系統(tǒng)的安全設(shè)計(jì)

17、,6.6.2 安全操作系統(tǒng)的設(shè)計(jì)原則 對(duì)用戶(hù)標(biāo)識(shí)和驗(yàn)證。 對(duì)內(nèi)存的保護(hù)。 對(duì)文件和 I/O設(shè)備的訪(fǎng)問(wèn)控制。 對(duì)共享資源的分配控制。 保證系統(tǒng)可用性，防止某用戶(hù)對(duì)系統(tǒng)資源的獨(dú)占。 協(xié)調(diào)多進(jìn)程間的通信、同步和并發(fā)控制，防止系統(tǒng)死鎖。 所謂“安全操作系統(tǒng)設(shè)計(jì)”，就是指安全性必須在操作系統(tǒng)的各個(gè)部分予以考慮，安全性必須在操作系統(tǒng)開(kāi)發(fā)的初期就予以考慮。,6.6 操作系統(tǒng)的安全設(shè)計(jì),安全系統(tǒng)設(shè)計(jì)的一般原則如下： （1）最小權(quán)限原則 （2）完全性原則 （3）經(jīng)濟(jì)性原則 （4）公開(kāi)性原則 （5）權(quán)限分離原則 （6）最小共同性原則 （7）易用性原則 （8）缺省安全原則,6.6 操作系統(tǒng)的安全設(shè)計(jì),6.6.3 安

18、全操作系統(tǒng)的設(shè)計(jì)方法 1安全核心方法 安全核心方法運(yùn)用最小權(quán)限原則和完全性原則，集中了操作系統(tǒng)中有關(guān)安全的主要功能。每次對(duì)被保護(hù)客體的訪(fǎng)問(wèn)，都要經(jīng)過(guò)安全核心的檢查。安全核心與其它部分隔離，自身又完整統(tǒng)一。這樣，既便于做得緊湊，也便于測(cè)試驗(yàn)證，還便于修改。 2層次化方法 層次化設(shè)計(jì)方法是將操作系統(tǒng)分層，至少有硬件、核心、操作系統(tǒng)和用戶(hù)進(jìn)程四層。這種層次結(jié)構(gòu)使得一個(gè)與安全有關(guān)的功能，由一系列在不同層次的幾個(gè)模塊來(lái)實(shí)現(xiàn)。,6.6 操作系統(tǒng)的安全設(shè)計(jì),6.6.4 對(duì)系統(tǒng)安全性的認(rèn)證 安全認(rèn)證，就是對(duì)系統(tǒng)的安全性作測(cè)試驗(yàn)證，并評(píng)價(jià)其安全性所達(dá)到的程度的過(guò)程。安全認(rèn)證的方法通常有三種：形式化驗(yàn)證（簡(jiǎn)稱(chēng)驗(yàn)證

19、方法）、非形式化鑒定（簡(jiǎn)稱(chēng)鑒定方法）和破壞性分析 。 1形式化驗(yàn)證 形式化驗(yàn)證就是運(yùn)用程序正確性證明的方法。雖然現(xiàn)已開(kāi)發(fā)出一些輔助程序正確性證明的工具，但這種方法復(fù)雜，而且非常費(fèi)時(shí)。對(duì)于大型的系統(tǒng)，對(duì)那些不是為了接受形式化驗(yàn)證而開(kāi)發(fā)的系統(tǒng)來(lái)說(shuō)，幾乎難以進(jìn)行驗(yàn)證?？傊问交?yàn)證方法可以確保系統(tǒng)的安全性，但卻難以實(shí)現(xiàn)。,6.6 操作系統(tǒng)的安全設(shè)計(jì),2鑒定方法 鑒定方法普遍，通常采用以下幾種辦法：（1）需求檢驗(yàn) （2）設(shè)計(jì)和編碼檢驗(yàn) （3）單元和集成測(cè)試?？傊?，鑒定方法容易實(shí)現(xiàn)，但卻不能達(dá)到百分之百的可信度。 3破壞性分析 破壞性分析是把一些對(duì)操作系統(tǒng)運(yùn)用熟練和富有設(shè)計(jì)經(jīng)驗(yàn)的專(zhuān)家組織起來(lái)，對(duì)被測(cè)試

20、的操作系統(tǒng)作安全脆弱性分析，專(zhuān)挑弱點(diǎn)和缺點(diǎn)。在實(shí)踐中，常常要求系統(tǒng)具備以下六條安全準(zhǔn)則： （1）安全方針 （2）主體標(biāo)識(shí) （3）客體標(biāo)識(shí) （4）可查性 （5）可信性 （6）持續(xù)性,6.7 I/O設(shè)備的訪(fǎng)問(wèn)控制方式,6.7.1 IO設(shè)備訪(fǎng)問(wèn)控制 操作系統(tǒng)一般是I/O操作的媒介。從訪(fǎng)問(wèn)控制的角度看，一個(gè)I/O指令應(yīng)該包括以下內(nèi)容：I/O設(shè)備名、受影響的介質(zhì)和數(shù)據(jù)傳輸過(guò)程中所涉及的存儲(chǔ)緩沖區(qū)的位置。 I/O訪(fǎng)問(wèn)控制最簡(jiǎn)單的方式是將設(shè)備與介質(zhì)看作一個(gè)客體。由于所有的 I/O操作不是向設(shè)備寫(xiě)數(shù)據(jù)，就是從設(shè)備讀數(shù)據(jù)，所以進(jìn)行I/O操作的進(jìn)程必須受到對(duì)設(shè)備讀寫(xiě)兩種控制。這意味著設(shè)備到介質(zhì)間的路徑可以不受什么

21、約束，而處理器到設(shè)備間的控制則需要施以一定的讀寫(xiě)操作的訪(fǎng)問(wèn)控制。 從訪(fǎng)問(wèn)控制的角度看，硬件可以以四種方式支持I/O操作：可編程的I/O操作、非映射的 I/O操作、預(yù)映射 I/O操作和完全映射 I/O操作。,6.7 I/O設(shè)備的訪(fǎng)問(wèn)控制方式,可編程I/O是一種同步操作。在這種方式下，處理器直接控制向I/O設(shè)備傳遞或從I/O設(shè)備接收每一個(gè)數(shù)據(jù)。其它三種方式是直接存儲(chǔ)器訪(fǎng)問(wèn)方式及其變種。在這幾種方式下，處理器通知控制器進(jìn)行某種冗長(zhǎng)的I/O操作，處理器與控制器異步地進(jìn)行等價(jià)的操作。 1可編程 1/O 可編程 I/O方式對(duì)設(shè)備進(jìn)行訪(fǎng)問(wèn)控制是使用一個(gè)設(shè)備描述符表。它將一個(gè)虛設(shè)備名映射為一個(gè)物理設(shè)備名，猶如

22、將一個(gè)虛地址映射成一個(gè)實(shí)際物理地址，如下所示： 設(shè)備描述符,6.7 I/O設(shè)備的訪(fǎng)問(wèn)控制方式,2非映射I/O 非映射I/O是目前最普遍的一種直接進(jìn)行存儲(chǔ)器訪(fǎng)問(wèn)的 I/O類(lèi)型。在這種方式中，軟件向設(shè)備發(fā)送一個(gè)I/O命令，它描述了存儲(chǔ)器中某個(gè)緩沖器的物理位置。設(shè)備可作為一個(gè)可信賴(lài)的主體對(duì)這個(gè)物理存儲(chǔ)區(qū)進(jìn)行讀寫(xiě)操作。它僅能由操作系統(tǒng)產(chǎn)生，必須將虛擬緩沖區(qū)地址解釋成實(shí)際的物理地址。 3預(yù)映射I/O 預(yù)映射I/O，也稱(chēng)虛擬I/O，它允許軟件引用虛擬緩沖區(qū)地址。當(dāng)調(diào)用 I/O指令時(shí)，處理器利用當(dāng)前進(jìn)程的描述符表以及映射寄存器，把這些虛擬地址解釋成實(shí)際的物理地址，然后將得到的物理地址送給 I/O設(shè)備。它使得

23、操作系統(tǒng)從繁雜的地址解釋與訪(fǎng)問(wèn)控制任務(wù)中釋放出來(lái)了。,6.7 I/O設(shè)備的訪(fǎng)問(wèn)控制方式,4全映射I/O 全映射I/O對(duì)設(shè)備引用的每個(gè)存儲(chǔ)區(qū)都能進(jìn)行從虛擬地址到實(shí)際物理地址的解釋?zhuān)O(shè)備被認(rèn)為是一個(gè)不可信賴(lài)的主體。它僅提供欲讀寫(xiě)信息的存儲(chǔ)區(qū)的虛擬地址。在安全防線(xiàn)內(nèi)，解釋硬件將把虛擬地址解釋成實(shí)際的物理地址，并進(jìn)行訪(fǎng)問(wèn)校驗(yàn)。 6.7.2 輸入安全控制 建立輸入安全控制，應(yīng)檢驗(yàn)數(shù)據(jù)的合法性和準(zhǔn)確性。要進(jìn)入系統(tǒng)的數(shù)據(jù)，必須按正確的格式與內(nèi)容，先轉(zhuǎn)換到該類(lèi)機(jī)器可讀的媒體里。,6.7 I/O設(shè)備的訪(fǎng)問(wèn)控制方式,1輸人安全控制原則 輸入安全控制應(yīng)遵循以下基本原則： （1）自動(dòng)控制應(yīng)盡可能接近數(shù)據(jù)源，且不得重復(fù)控制。 （2）防止分散工作流程，控制應(yīng)簡(jiǎn)單和易于維護(hù)。 （3）應(yīng)提供控制操作說(shuō)明文件，并匯編成冊(cè)。 2程序安全控制 對(duì)程序安全可采用如下的檢驗(yàn)方法： （1）記錄計(jì)數(shù) （2）極限校驗(yàn) （3）運(yùn)算驗(yàn)證 （4）標(biāo)號(hào)檢查,6.7 I/O設(shè)備的訪(fǎng)