第7章 操作系统的安全与保护

操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院第7章操作系统的安全与保护7.1安全7.2保护7.3入侵者7.4恶意软件7.5实例：Windows安全机制本章主要内容操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院安全和保护在现代计算机系统中的重要性日益增加，系统中用户的所有文件都存储在计算机的存储设备中，而存储设备在所有的用户间是共享的。这意味着，一个用户所拥有的文件可能会被另一个用户读写。系统中有些文件是共享文件，有些文件是独享文件。那么操作系统如何来建立一个环境，使得用户可以选择保持信息私有或者与其他用户共享呢？这就是操作系统中的安全与保护机制的任务。当计算机被连接到网络中并与其他计算机连接时，保持私有信息会更加困难。当信息通过网络传递时以及当信息存储在存储设备上时都应该受到保护。操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院第7章操作系统的安全与保护7.1安全7.2保护7.3入侵者7.4恶意软件7.5实例：Windows安全机制操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院随着越来越多的个人生活信息被编码并保存到计算机中，我们的身份信息也潜在地可能被其他的用户所访问。除了个人信息外，商业和政府部门的核心信息也存储在计算机上，这些信息必须可以被拥有它和依赖它的用户使用，但是不能被未授权的组织或用户访问。除了保护信息外，保护和安全的另一个方面是确保属于个人或组织的计算机资源不能被未授权的个人或组织访问。操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院安全问题安全威胁安全目标操作系统安全操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院计算机系统的安全问题大致可分为恶意性和意外性两种类型。所谓恶意性安全问题是指未经许可对敏感信息的读取、破坏或使系统服务失效。在网络化时代，这类问题占极大比例，可能会引起金融上的损失、犯罪以及对个人或国家安全的危害。所谓意外性安全问题是指由于硬件错误、系统或软件错误以及自然灾害造成的安全问题。这种意外性安全问题可能直接造成损失，也可能为恶意破坏留下可乘之机。安全问题操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院计算机系统本身也存在着许多固有的脆弱性，表现在以下几个方面：⑴数据的可访问性。⑵存储数据密度高，存储介质脆弱。⑶电磁波辐射泄露与破坏。⑷通信网络可能泄密，并易于受到攻击。安全问题操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院对计算机系统和网络通信的四项安全要求：⑴机密性（Confidentiality）。要求计算机系统中的信息只能由被授权者进行规定范围内的访问。⑵完整性（Integrity）。要求计算机系统中的信息只能被授权用户修改。⑶可用性（Availability）。防止非法独占资源。⑷真实性（Authenticity）。要求计算机系统能证实用户的身份，防止非法用户侵入系统，以及确认数据来源的真实性。安全威胁操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院安全威胁计算机或网络系统在安全性上受到四种普通的威胁：⑴切断。系统的资源被破坏过变得不可用或不能用。这是对可用性的威胁。⑵截取。未经授权的用户、程序或计算机系统获得了对某资源的访问。这是对机密性的威胁。⑶篡改。未经授权的用户不仅获得了对某资源的访问，而且进行篡改。这是对完整性的攻击。⑷伪造。未经授权的用户将伪造的对象插入到系统中。这是对合法性的威胁。操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院信息源端信息目的端（a）正常的信息流（b）切断（c）截取（d）篡改（e）伪造安全威胁操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院操作系统的安全威胁针对操作系统安全的主要威胁：⑴入侵者入侵者表现为两种形式：被动入侵者和主动入侵者。包括：普通用户的随意浏览、内部人员的窥视、尝试非法获取利益者、商业或军事间谍。⑵恶意程序恶意程序是指非法进入计算机系统并能给系统带来破坏和干扰的一类程序。恶意程序包括病毒和蠕虫、逻辑炸弹、特洛伊木马以及天窗等，一般我们把这些恶意程序都用病毒一词来代表。⑶数据的意外受损除了恶意入侵造成的威胁外，有价值的信息也会意外受损。造成数据意外受损的原因有：自然灾害、意外故障、人为攻击。操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院一般来说，一个计算机系统的安全目标应包括如下几个方面：⑴安全性安全性是一个整体的概念，包含了系统的硬件安全、软件安全、数据安全，也包含了系统的运行安全。安全又分为外部安全和内部安全。外部安全包括：物理安全、人事安全和过程安全。内部安全指在计算机系统的软件、硬件中提供保护机制来达到安全要求。内部安全的保护机制尽管是有效的，但仍需与适当的外部安全控制相配合，应该相辅相成，交替使用。人们花了很大力气用于营造计算机系统的外部安全与内部安全。但是，有一点不容忽视，那就是防止非法用户的入侵，特别要防范冒名顶替者假冒合法的授权用户非法访问计算机系统的各种资源。安全目标操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院⑵完整性完整性是保护计算机内软件和数据不被非法删改或受意外事件破坏的一种技术手段。它可以分为软件完整性与数据完整性两方面的内容。软件完整性：在软件设计阶段具有不良品质的程序员可以对软件进行别有用心的改动，他可以在软件中留下一个陷阱或后门以备将来在一定条件下对系统进行攻击。因此，选择值得信任的软件设计者是一个非常重要的问题。同时也更需要采用软件测试工具来检查软件的完整性，并保证这些软件处于安全环境之外时不能被轻易地修改。装有微程序的ROM部件也有可能被攻击并对它进行修改。安全目标操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院数据完整性：所谓数据完整性是指在计算机系统中存储的或是在计算机系统间传输的数据不被非法删改或受意外事件的破坏。数据完整性被破坏通常有以下几个原因：a)系统的误操作。如系统软件故障，强电磁场干扰等。b)应用程序的错误。由于偶然或意外的原因，应用程序破坏了数据完整性。c)存储介质的破坏。由于存储介质的硬损伤，使得存储在介质中的数据完整性受到了破坏。d)人为破坏。是一种主动性的攻击与破坏。安全目标操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院⑶保密性保密性是计算机系统安全的一个重要方面，它是指操作系统利用各种技术手段对信息进行处理来防止非法入侵、防止信息的泄漏。此外，为保证系统安全而采取的安全措施本身也必不可少地需要加以保护，如口令表、访问控制表等。这类信息是非常敏感的，它们不应被非法读取或删改。安全目标操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院操作系统安全机制⑴身份认证机制：是安全操作系统应具备的最基本的功能，是用户欲进入系统访问资源或网络中通信双方在进行数据传输之前实施审查和证实身份的操作。因而，身份认证机制成为大多数保护机制的基础。身份认证可分为两种：内部和外部身份认证。⑵授权机制：确认用户或进程只有在系统许可某种使用时才能够使用计算机的资源。授权机制依赖于安全的认证机制而存在。操作系统安全操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院操作系统安全经典计算机系统的授权访问外部访问认证访问认证访问认证访问认证进程资源进程内部操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院操作系统安全⑶加密机制：将信息编码成像密文一样难解形式的技术，加密的关键在于高效地建立从根本上不可能被未授权用户解密的加密算法，以提高信息系统及数据的安全性和保密性，防止保密数据被窃取与泄密。数据加密技术可分为两类：一类是数据传输加密技术，目的是对网络传输中的数据流加密，又分成链路加密和端加密；另一类是数据存储加密技术，目的是防止系统中存储数据的泄密，又分成密文存储和存取控制。操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院⑷审计机制：审计(auditing)作为一种事后追踪手段来保证系统的安全性，是保证系统安全性而实施的一种技术措施，也是对付计算机犯罪者们的利器。审计就是对涉及系统安全性的操作做完整的记录，以备有违反系统安全规则的事件发生后能有效地追查事件发生的地点、时间、类型、过程、结果和涉及的用户。必须实时记录的事件类型有：识别和确认机制(如注册和退出)、对资源的访问(如打开文件)、删除对象(如删除文件)、计算机管理员所做的操作(如修改口令)等。审计过程是一个独立过程，应把它与操作系统的其他功能隔开来，严格限制未经授权的用户不得访问。审计与报警功能相结合，安全效果会更好。操作系统安全操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院操作系统安全设计原则⑴应该公开系统设计方案。⑵不提供缺省访问控制。⑶时刻检查当前权限。⑷给每个进程尽可能小的权限。⑸安全保护机制应该简单、一致，并深入到系统的最底层。⑹所选的安全架构应该是心理上可以接受的。除了原则，几十年来极为宝贵的经验是：设计应该尽量简单。操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院第7章操作系统的安全与保护7.1安全7.2保护7.3入侵者7.4恶意软件7.5实例：Windows安全机制操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院操作系统中的进程必须加以保护，使其免受其他进程活动的干扰。为此，系统采用了各种机制确保只有从操作系统中获得了恰当授权的进程才可以操作相应的文件、内存段、处理器和其他资源。保护是指一种控制程序、进程或用户对计算机系统资源进行访问的机制。这个机制必须为加强控制提供一种规格说明方法和一种强制执行方法。保护在一个计算机系统中扮演的角色是为加强资源使用的控制策略提供一种机制，可以通过各种途径建立这些策略。有些已经固化在系统设计中，有些会在系统管理中阐明。还有一些由个人用户定义，以保护他们自己的文件和程序。一个保护系统必须有一定的弹性，能够强制执行多种可向他声明的策略。操作系统原理PrincipleofOperatingSystem精品课程2019年10月2日星期三兰州理工大学计算机与通信学院操作系统保护层次内存储器的保护面向用户的访问控制面向数据的访问控制操作系统原理PrincipleofOperatin