信息系统安全PPT资料41页课件

《信息系统安全PPT资料41页课件》由会员分享，可在线阅读，更多相关《信息系统安全PPT资料41页课件（41页珍藏版）》请在装配图网上搜索。

1、信信 息息 系系 统统 安安 全全第四讲第四讲 操作系统安全操作系统安全张焕国张焕国武汉大学计算机学院武汉大学计算机学院目 录1 1 1 1、信息系统安全信息系统安全信息系统安全信息系统安全的基本概念的基本概念的基本概念的基本概念2 2 2 2、密码学密码学密码学密码学(1)(1)(1)(1)3 3 3 3、密码密码密码密码学学学学(2)(2)(2)(2)4 4 4 4、操作系统安全操作系统安全操作系统安全操作系统安全(1)(1)(1)(1)5 5 5 5、操作系统安全、操作系统安全、操作系统安全、操作系统安全(2)(2)(2)(2)6 6 6 6、数据库安全、数据库安全、数据库安全、数据库安

2、全(1)(1)(1)(1)7 7 7 7、数据库安全、数据库安全、数据库安全、数据库安全(2)(2)(2)(2)8 8 8 8、可信计算、可信计算、可信计算、可信计算(1)(1)(1)(1)9 9 9 9、可信计算、可信计算、可信计算、可信计算(2)(2)(2)(2)一、操作系统安全的概念一、操作系统安全的概念我们的学术观点：我们的学术观点：硬件结构的安全和硬件结构的安全和操作系操作系统的安全是信息系统安全的基统的安全是信息系统安全的基础，密码、网络安全等是关键础，密码、网络安全等是关键技术。技术。一、操作系统安全的概念一、操作系统安全的概念1 1 1 1、操作系统是信息系统安全的基础之一：操

3、作系统是信息系统安全的基础之一：操作系统是信息系统安全的基础之一：操作系统是信息系统安全的基础之一：操作系统是软件系统的底层；操作系统是软件系统的底层；操作系统是软件系统的底层；操作系统是软件系统的底层；操作系统是系统资源的管理者；操作系统是系统资源的管理者；操作系统是系统资源的管理者；操作系统是系统资源的管理者；操作系统是软硬件的接口。操作系统是软硬件的接口。操作系统是软硬件的接口。操作系统是软硬件的接口。2 2 2 2、操作系统安全的困难性操作系统安全的困难性操作系统安全的困难性操作系统安全的困难性 操作系统的规模庞大，以至于不能保证完全正确。操作系统的规模庞大，以至于不能保证完全正确。操

4、作系统的规模庞大，以至于不能保证完全正确。操作系统的规模庞大，以至于不能保证完全正确。理论上一般理论上一般理论上一般理论上一般操作系统的安全是不可判定问题。操作系统的安全是不可判定问题。操作系统的安全是不可判定问题。操作系统的安全是不可判定问题。3 3 3 3、我国必须拥有自己的操作系统我国必须拥有自己的操作系统我国必须拥有自己的操作系统我国必须拥有自己的操作系统 操作系统受治于人，不能从根本上确保信息安全；操作系统受治于人，不能从根本上确保信息安全；操作系统受治于人，不能从根本上确保信息安全；操作系统受治于人，不能从根本上确保信息安全；立足国内，发展自己的操作系统立足国内，发展自己的操作系统

5、立足国内，发展自己的操作系统立足国内，发展自己的操作系统。二、操作系统的安全评价二、操作系统的安全评价1 1 1 1、操作系统安全要求、操作系统安全要求、操作系统安全要求、操作系统安全要求一般对安全操作系统有以下要求：一般对安全操作系统有以下要求：一般对安全操作系统有以下要求：一般对安全操作系统有以下要求：安全策略安全策略安全策略安全策略：要有明确、严谨、文档齐全的安全策略：要有明确、严谨、文档齐全的安全策略：要有明确、严谨、文档齐全的安全策略：要有明确、严谨、文档齐全的安全策略 标识标识标识标识：每个实体必须标识其安全级别：每个实体必须标识其安全级别：每个实体必须标识其安全级别：每个实体必须

6、标识其安全级别 认证：认证：认证：认证：每个主体必须被认证每个主体必须被认证每个主体必须被认证每个主体必须被认证 审计审计审计审计：对影响安全的事件，必须记录日志，并进行：对影响安全的事件，必须记录日志，并进行：对影响安全的事件，必须记录日志，并进行：对影响安全的事件，必须记录日志，并进行 审计。审计。审计。审计。保证保证保证保证：系统必须确保上述：系统必须确保上述：系统必须确保上述：系统必须确保上述4 4项要求被实施项要求被实施项要求被实施项要求被实施 连续性保护连续性保护连续性保护连续性保护：实现安全的机制必须是不间断地发挥作：实现安全的机制必须是不间断地发挥作：实现安全的机制必须是不间断

7、地发挥作：实现安全的机制必须是不间断地发挥作 用，并且未经许可不可改动。用，并且未经许可不可改动。用，并且未经许可不可改动。用，并且未经许可不可改动。二、操作系统的安全评价二、操作系统的安全评价2 2、美国国防部的桔皮书（美国国防部的桔皮书（TCSECTCSEC）：）：D D级：最低的安全保护级级：最低的安全保护级级：最低的安全保护级级：最低的安全保护级 D D级是最低的安全保护级级是最低的安全保护级级是最低的安全保护级级是最低的安全保护级属于属于属于属于D D级的系统是不安全的级的系统是不安全的级的系统是不安全的级的系统是不安全的除了物理上的一些安全措施外，没有什幺其它安除了物理上的一些安全

8、措施外，没有什幺其它安除了物理上的一些安全措施外，没有什幺其它安除了物理上的一些安全措施外，没有什幺其它安全全全全用户只要开机后就可支配所有资源用户只要开机后就可支配所有资源用户只要开机后就可支配所有资源用户只要开机后就可支配所有资源DOS,WINDOWS 3.2,MOSDOS,WINDOWS 3.2,MOS二、操作系统的安全评价二、操作系统的安全评价2 2、美国国防部的桔皮书（美国国防部的桔皮书（TCSECTCSEC）：）：C1C1级：自主安全保护级级：自主安全保护级级：自主安全保护级级：自主安全保护级 通过用户名和口令进行身份认证通过用户名和口令进行身份认证通过用户名和口令进行身份认证通过

9、用户名和口令进行身份认证每个用户对属于他们自己的客体具有控制权每个用户对属于他们自己的客体具有控制权每个用户对属于他们自己的客体具有控制权每个用户对属于他们自己的客体具有控制权划分属主、同组用户和其他用户划分属主、同组用户和其他用户划分属主、同组用户和其他用户划分属主、同组用户和其他用户3 3个层次。属主个层次。属主个层次。属主个层次。属主控制这控制这控制这控制这3 3个层次的存储权限个层次的存储权限个层次的存储权限个层次的存储权限实体没有划分安全级别实体没有划分安全级别实体没有划分安全级别实体没有划分安全级别多数多数多数多数UNIX UNIX、LINUX LINUX ，Windows NT

10、Windows NT 二、操作系统的安全评价二、操作系统的安全评价2 2、美国国防部的桔皮书（美国国防部的桔皮书（TCSECTCSEC）：）：C2C2级：受控制的安全保护级级：受控制的安全保护级级：受控制的安全保护级级：受控制的安全保护级系统记录日志，并进行审计。系统记录日志，并进行审计。系统记录日志，并进行审计。系统记录日志，并进行审计。身份认证更强，口令以密文存储。身份认证更强，口令以密文存储。身份认证更强，口令以密文存储。身份认证更强，口令以密文存储。采用以用户为单位的自主访问控制机制。采用以用户为单位的自主访问控制机制。采用以用户为单位的自主访问控制机制。采用以用户为单位的自主访问控制

11、机制。部分部分部分部分UNIX UNIX、LINUX LINUX，VMSVMS 二、操作系统的安全评价二、操作系统的安全评价2 2、美国国防部的桔皮书（美国国防部的桔皮书（TCSECTCSEC）：）：B1B1级：标记安全保护级级：标记安全保护级级：标记安全保护级级：标记安全保护级采用多级安全策略采用多级安全策略采用多级安全策略采用多级安全策略采用强制访问控制采用强制访问控制采用强制访问控制采用强制访问控制强制访问控制并不取消原来的自主访问控制，而强制访问控制并不取消原来的自主访问控制，而强制访问控制并不取消原来的自主访问控制，而强制访问控制并不取消原来的自主访问控制，而是在此之外另加的。是在此

12、之外另加的。是在此之外另加的。是在此之外另加的。实体都划分安全级别实体都划分安全级别实体都划分安全级别实体都划分安全级别属主也不能改变对自己客体的存储权限属主也不能改变对自己客体的存储权限属主也不能改变对自己客体的存储权限属主也不能改变对自己客体的存储权限二、操作系统的安全评价二、操作系统的安全评价2 2、美国国防部的桔皮书（美国国防部的桔皮书（TCSECTCSEC）：）：B2B2级：结构化的安全保护级级：结构化的安全保护级级：结构化的安全保护级级：结构化的安全保护级要有形式化的安全模型要有形式化的安全模型要有形式化的安全模型要有形式化的安全模型更完善的强制访问控制更完善的强制访问控制更完善的

13、强制访问控制更完善的强制访问控制隐通道分析与处理隐通道分析与处理隐通道分析与处理隐通道分析与处理一般认为一般认为一般认为一般认为B2B2级以上的操作系统才是安全操作系级以上的操作系统才是安全操作系级以上的操作系统才是安全操作系级以上的操作系统才是安全操作系统统统统HoneywellHoneywellHoneywellHoneywell公司的公司的公司的公司的MUMUMUMULTICS LTICS、TISTIS公司的公司的公司的公司的Trusted Trusted XENIX 3.0 4.0XENIX 3.0 4.0 二、操作系统的安全评价二、操作系统的安全评价2 2、美国国防部的桔皮书（美国国

14、防部的桔皮书（TCSECTCSEC）：）：B3B3级：安全域级级：安全域级级：安全域级级：安全域级把系统划分为一些安全域，用硬件把安全域互相把系统划分为一些安全域，用硬件把安全域互相把系统划分为一些安全域，用硬件把安全域互相把系统划分为一些安全域，用硬件把安全域互相分割开来，如存储器隔离保护等。分割开来，如存储器隔离保护等。分割开来，如存储器隔离保护等。分割开来，如存储器隔离保护等。提供可信路径机制，确保用户与可信软件是连接提供可信路径机制，确保用户与可信软件是连接提供可信路径机制，确保用户与可信软件是连接提供可信路径机制，确保用户与可信软件是连接的，防止假冒进程。的，防止假冒进程。的，防止假

15、冒进程。的，防止假冒进程。更全面的访问控制机制。更全面的访问控制机制。更全面的访问控制机制。更全面的访问控制机制。更严格的系统结构化设计。更严格的系统结构化设计。更严格的系统结构化设计。更严格的系统结构化设计。更完善的隐通道分析。更完善的隐通道分析。更完善的隐通道分析。更完善的隐通道分析。HFSHFSHFSHFS公司的公司的公司的公司的UNIX XTS-2000 STOP3.1EUNIX XTS-2000 STOP3.1EUNIX XTS-2000 STOP3.1EUNIX XTS-2000 STOP3.1E二、操作系统的安全评价二、操作系统的安全评价2 2、美国国防部的桔皮书（美国国防部的桔

16、皮书（TCSECTCSEC）：）：A1A1A1A1级：验证安全设计级级：验证安全设计级级：验证安全设计级级：验证安全设计级安全模型要经过数学证明安全模型要经过数学证明安全模型要经过数学证明安全模型要经过数学证明对隐通道进行形式化分析对隐通道进行形式化分析对隐通道进行形式化分析对隐通道进行形式化分析HoneywellHoneywellHoneywellHoneywell公司公司公司公司 SCOMP SCOMP SCOMP SCOMP、波音公司、波音公司、波音公司、波音公司MLS LAN OSMLS LAN OSMLS LAN OSMLS LAN OS注意：注意：注意：注意：分级的顶端是无限的，还

17、可加入分级的顶端是无限的，还可加入分级的顶端是无限的，还可加入分级的顶端是无限的，还可加入A2A2、A3A3级等。级等。级等。级等。每一级的安全性都包含前一级的安全性。每一级的安全性都包含前一级的安全性。每一级的安全性都包含前一级的安全性。每一级的安全性都包含前一级的安全性。二、操作系统的安全评价二、操作系统的安全评价2 2、美国国防部的桔皮书（美国国防部的桔皮书（TCSECTCSEC）：）：D DC1C1C2C2B1B1B2B2B3B3A1A1二、操作系统的安全级别二、操作系统的安全级别3 3 3 3、中国计算机信息系统安全保护等级划分准则：中国计算机信息系统安全保护等级划分准则：中国计算机

18、信息系统安全保护等级划分准则：中国计算机信息系统安全保护等级划分准则：（GB1178592019）根根根根据据据据中中中中国国国国国国国国情情情情、参参参参照照照照桔桔桔桔皮皮皮皮书书书书，将将将将其其其其7 7 7 7的的的的级级级级别别别别合合合合并并并并为为为为5 5 5 5个级别个级别个级别个级别 第一级：用户自主保护级；第一级：用户自主保护级；第一级：用户自主保护级；第一级：用户自主保护级；第二级：系统审计保护级；第二级：系统审计保护级；第二级：系统审计保护级；第二级：系统审计保护级；第三级：安全标记保护级；第三级：安全标记保护级；第三级：安全标记保护级；第三级：安全标记保护级；第四

19、级：结构化保护级；第四级：结构化保护级；第四级：结构化保护级；第四级：结构化保护级；第五级：访问验证保护级。第五级：访问验证保护级。第五级：访问验证保护级。第五级：访问验证保护级。二、操作系统的安全级别二、操作系统的安全级别3 3 3 3、中国计算机信息系统安全保护等级划分准则：中国计算机信息系统安全保护等级划分准则：中国计算机信息系统安全保护等级划分准则：中国计算机信息系统安全保护等级划分准则：第一级：用户自主保护级；第一级：用户自主保护级；第一级：用户自主保护级；第一级：用户自主保护级；l l通通通通过过过过隔隔隔隔离离离离用用用用户户户户与与与与数数数数据据据据，使使使使用用用用户户户户

20、具具具具备备备备自自自自主主主主安安安安全全全全保保保保护护护护的的的的能能能能力力力力。它它它它具具具具有有有有多多多多种种种种形形形形式式式式的的的的控控控控制制制制能能能能力力力力，对对对对用用用用户户户户实实实实施施施施访访访访问问问问控控控控制制制制，即即即即为为为为用用用用户户户户提提提提供供供供可可可可行行行行的的的的手手手手段段段段，保保保保护护护护用用用用户户户户和和和和用用用用户户户户组组组组信信信信息息息息，避避避避免免免免其他用户对数据的非法读写与破坏。其他用户对数据的非法读写与破坏。其他用户对数据的非法读写与破坏。其他用户对数据的非法读写与破坏。l l自主访问控制自主

21、访问控制自主访问控制自主访问控制 例如：访问控制表例如：访问控制表例如：访问控制表例如：访问控制表 l l身份鉴别身份鉴别身份鉴别身份鉴别 例如：口令例如：口令例如：口令例如：口令l l数据完整性数据完整性数据完整性数据完整性 通通通通过过过过自自自自主主主主完完完完整整整整性性性性策策策策略略略略，阻阻阻阻止止止止非非非非授授授授权权权权用用用用户修改或破坏敏感信息。户修改或破坏敏感信息。户修改或破坏敏感信息。户修改或破坏敏感信息。二、操作系统的安全级别二、操作系统的安全级别3 3 3 3、中国计算机信息系统安全保护等级划分准则：中国计算机信息系统安全保护等级划分准则：中国计算机信息系统安全

22、保护等级划分准则：中国计算机信息系统安全保护等级划分准则：第二级：系统审计保护级；第二级：系统审计保护级；第二级：系统审计保护级；第二级：系统审计保护级；l l与与与与用用用用户户户户自自自自主主主主保保保保护护护护级级级级相相相相比比比比，本本本本级级级级的的的的计计计计算算算算机机机机实实实实施施施施了了了了粒粒粒粒度度度度更更更更细细细细的的的的自自自自主主主主访访访访问问问问控控控控制制制制，它它它它通通通通过过过过登登登登录录录录规规规规程程程程、审审审审计计计计安安安安全全全全性性性性相相相相关关关关事事事事件件件件和和和和隔隔隔隔离离离离资资资资源源源源，使使使使用用用用户户户户

23、对自己的行为负责。对自己的行为负责。对自己的行为负责。对自己的行为负责。l l自主访问控制自主访问控制自主访问控制自主访问控制访访访访问问问问控控控控制制制制机机机机制制制制根根根根据据据据用用用用户户户户指指指指定定定定方方方方式式式式或或或或默默默默认认认认方方方方式式式式，阻阻阻阻止止止止非非非非授授授授权权权权用用用用户户户户访访访访问问问问客客客客体体体体。访访访访问问问问控控控控制制制制的的的的粒粒粒粒度度度度是是是是单单单单个个个个用用用用户户户户。没没没没有有有有存存存存取取取取权的用户只允许由授权用户指定对客体的访问权。权的用户只允许由授权用户指定对客体的访问权。权的用户只允

24、许由授权用户指定对客体的访问权。权的用户只允许由授权用户指定对客体的访问权。l l身份鉴别身份鉴别身份鉴别身份鉴别 通通通通过过过过为为为为用用用用户户户户提提提提供供供供唯唯唯唯一一一一标标标标识识识识、计计计计算算算算机机机机能能能能够够够够使使使使用用用用户户户户对对对对自自自自己己己己的的的的行行行行为为为为负负负负责责责责。计计计计算算算算机机机机还还还还具具具具备备备备将将将将身身身身份份份份标标标标识识识识与与与与该该该该用用用用户户户户所所所所有有有有可可可可审审审审计计计计行行行行为为为为相相相相关联的能力。关联的能力。关联的能力。关联的能力。l l阻止客体重用阻止客体重用阻

25、止客体重用阻止客体重用 客体只有在释放且清除原信息后才让新主体使用客体只有在释放且清除原信息后才让新主体使用客体只有在释放且清除原信息后才让新主体使用客体只有在释放且清除原信息后才让新主体使用l l审计审计审计审计 计计计计算算算算机机机机能能能能创创创创建建建建和和和和维维维维护护护护受受受受保保保保护护护护客客客客体体体体的的的的访访访访问问问问审审审审计计计计跟跟跟跟踪踪踪踪记记记记录录录录，并并并并能阻止非授权的用户对它访问或破坏。能阻止非授权的用户对它访问或破坏。能阻止非授权的用户对它访问或破坏。能阻止非授权的用户对它访问或破坏。二、操作系统的安全级别二、操作系统的安全级别3 3 3

26、 3、中国计算机信息系统安全保护等级划分准则：中国计算机信息系统安全保护等级划分准则：中国计算机信息系统安全保护等级划分准则：中国计算机信息系统安全保护等级划分准则：第三级：安全标记保护级；第三级：安全标记保护级；第三级：安全标记保护级；第三级：安全标记保护级；l l具具具具有有有有系系系系统统统统审审审审计计计计保保保保护护护护级级级级所所所所有有有有功功功功能能能能。此此此此外外外外，还还还还提提提提供供供供有有有有关关关关安安安安全全全全策策策策略略略略模模模模型型型型、数数数数据据据据标标标标记记记记以以以以及及及及主主主主体体体体对对对对客客客客体体体体强强强强制制制制访访访访问问问

27、问控控控控制制制制的的的的非非非非形形形形式式式式化化化化描描描描述述述述；具具具具有有有有准准准准确确确确地地地地标标标标记记记记输输输输出出出出信信信信息息息息的的的的能能能能力力力力；消消消消除除除除通通通通过测试发现的任何错误。过测试发现的任何错误。过测试发现的任何错误。过测试发现的任何错误。l l强制访问控制强制访问控制强制访问控制强制访问控制计计计计算算算算机机机机对对对对所所所所有有有有主主主主体体体体及及及及其其其其所所所所控控控控制制制制的的的的客客客客体体体体（例例例例如如如如：进进进进程程程程、文文文文件件件件、段段段段、设设设设备备备备）实实实实施施施施强强强强制制制制

28、访访访访问问问问控控控控制制制制。为为为为这这这这些些些些主主主主体体体体及及及及客客客客体体体体指指指指定定定定敏敏敏敏感感感感标标标标记记记记，这这这这些些些些标标标标记记记记是是是是等等等等级级级级分分分分类类类类和和和和非非非非等等等等级级级级类类类类别别别别的的的的组组组组合合合合，它它它它们们们们是是是是实实实实施施施施强强强强制制制制访访访访问问问问控控控控制制制制的的的的依依依依据。据。据。据。l l标记标记标记标记 计计计计算算算算机机机机应应应应维维维维护护护护与与与与主主主主体体体体及及及及其其其其控控控控制制制制的的的的存存存存储储储储客客客客体体体体（例例例例如如如如

29、：进进进进程程程程、文文文文件件件件、段段段段、设备）相关的敏感标记。这些标记是实施强制访问的基础。设备）相关的敏感标记。这些标记是实施强制访问的基础。设备）相关的敏感标记。这些标记是实施强制访问的基础。设备）相关的敏感标记。这些标记是实施强制访问的基础。二、操作系统的安全级别二、操作系统的安全级别3 3 3 3、中国计算机信息系统安全保护等级划分准则：中国计算机信息系统安全保护等级划分准则：中国计算机信息系统安全保护等级划分准则：中国计算机信息系统安全保护等级划分准则：第四级：结构化保护级；第四级：结构化保护级；第四级：结构化保护级；第四级：结构化保护级；l l建建建建立立立立于于于于一一一

30、一个个个个明明明明确确确确定定定定义义义义的的的的形形形形式式式式化化化化安安安安全全全全策策策策略略略略模模模模型型型型之之之之上上上上，它它它它要要要要求求求求将将将将第第第第三三三三级级级级系系系系统统统统中中中中的的的的自自自自主主主主和和和和强强强强制制制制访访访访问问问问控控控控制制制制扩扩扩扩展展展展到到到到所所所所有有有有主主主主体与客体。体与客体。体与客体。体与客体。l l考虑隐蔽通道。考虑隐蔽通道。考虑隐蔽通道。考虑隐蔽通道。l l必必必必须须须须结结结结构构构构化化化化为为为为关关关关键键键键保保保保护护护护元元元元素素素素和和和和非非非非关关关关键键键键保保保保护护护护

31、元元元元素素素素。计计计计算算算算机机机机的的的的接接接接口口口口也也也也必必必必须须须须明明明明确确确确定定定定义义义义，使使使使其其其其设设设设计计计计与与与与实实实实现现现现能能能能经经经经受受受受更更更更充充充充分分分分的测试。的测试。的测试。的测试。l l加加加加强强强强了了了了鉴鉴鉴鉴别别别别机机机机制制制制；支支支支持持持持系系系系统统统统管管管管理理理理员员员员和和和和操操操操作作作作员员员员的的的的职职职职能能能能；提提提提供供供供可可可可信信信信设设设设施施施施管管管管理理理理；增增增增强强强强了了了了配配配配置置置置管管管管理理理理控控控控制制制制。系系系系统统统统具具具

32、具有有有有相相相相当当当当的抗渗透能力。的抗渗透能力。的抗渗透能力。的抗渗透能力。二、操作系统的安全级别二、操作系统的安全级别3 3 3 3、中国计算机信息系统安全保护等级划分准则：中国计算机信息系统安全保护等级划分准则：中国计算机信息系统安全保护等级划分准则：中国计算机信息系统安全保护等级划分准则：第五级：访问验证保护级第五级：访问验证保护级第五级：访问验证保护级第五级：访问验证保护级l l本本本本级级级级的的的的计计计计算算算算机机机机满满满满足足足足访访访访问问问问监监监监控控控控器器器器需需需需求求求求。访访访访问问问问监监监监控控控控器器器器仲仲仲仲裁裁裁裁主主主主体体体体对对对对客

33、客客客体体体体的的的的全全全全部部部部访访访访问问问问。访访访访问问问问监监监监控控控控器器器器本本本本身身身身是是是是抗抗抗抗篡篡篡篡改改改改的的的的；必必必必须足够小，能够分析和测试。须足够小，能够分析和测试。须足够小，能够分析和测试。须足够小，能够分析和测试。l l支支支支持持持持安安安安全全全全管管管管理理理理员员员员职职职职能能能能，扩扩扩扩充充充充审审审审计计计计机机机机制制制制，提提提提供供供供系系系系统统统统恢恢恢恢复复复复机机机机制。系统具有很高的抗渗透能力。制。系统具有很高的抗渗透能力。制。系统具有很高的抗渗透能力。制。系统具有很高的抗渗透能力。l l隐蔽信道分析隐蔽信道分

34、析隐蔽信道分析隐蔽信道分析l l可信路径可信路径可信路径可信路径 l l可信恢复可信恢复可信恢复可信恢复 二、操作系统的安全级别二、操作系统的安全级别4 4 4 4、桔皮书和桔皮书和桔皮书和桔皮书和GB117859的局限性的局限性的局限性的局限性 桔皮书注意确保数据的秘密性，而没有注意确保数桔皮书注意确保数据的秘密性，而没有注意确保数桔皮书注意确保数据的秘密性，而没有注意确保数桔皮书注意确保数据的秘密性，而没有注意确保数据的真实性和完整性。据的真实性和完整性。据的真实性和完整性。据的真实性和完整性。忽略了防范诸如拒绝服务之类的攻击。忽略了防范诸如拒绝服务之类的攻击。忽略了防范诸如拒绝服务之类的

35、攻击。忽略了防范诸如拒绝服务之类的攻击。只给出了评测等级，没有给出达到这种等级所要采只给出了评测等级，没有给出达到这种等级所要采只给出了评测等级，没有给出达到这种等级所要采只给出了评测等级，没有给出达到这种等级所要采取的系统结构和技术路线。取的系统结构和技术路线。取的系统结构和技术路线。取的系统结构和技术路线。二、操作系统的安全级别二、操作系统的安全级别5 5、CCCC标准：标准：标准：标准：美美美美国国国国国国国国家家家家安安安安全全全全局局局局、国国国国家家家家技技技技术术术术标标标标准准准准研研研研究究究究所所所所、法法法法国国国国、加加加加拿拿拿拿大大大大、英英英英国国国国、德德德德国

36、国国国、荷荷荷荷兰兰兰兰六六六六国国国国七七七七方方方方，联联联联合合合合提提提提出出出出了了了了新新新新的的的的“信信信信息息息息技技技技术术术术安安安安全全全全评评评评价价价价通通通通用用用用准准准准则则则则”（CC CC for for ITSECITSEC），并并并并于于于于20192019年年年年5 5月正式被月正式被月正式被月正式被ISOISO颁布为国际标准，。颁布为国际标准，。颁布为国际标准，。颁布为国际标准，。增强了对真实性和完整性的保护。增强了对真实性和完整性的保护。增强了对真实性和完整性的保护。增强了对真实性和完整性的保护。仍没有给出达到标准所要采取的系统结构和技术路线。仍

37、没有给出达到标准所要采取的系统结构和技术路线。仍没有给出达到标准所要采取的系统结构和技术路线。仍没有给出达到标准所要采取的系统结构和技术路线。三、操作系统的安全机制三、操作系统的安全机制操作系统安全的目标：操作系统安全的目标：对用户进行身份识别；对用户进行身份识别；根根据据安安全全策策略略，进进行行访访问问控控制制，防防止止对对计算机资源的非法存取；计算机资源的非法存取；标识系统中的实体；标识系统中的实体；监视系统的安全运行；监视系统的安全运行；确保自身的安全性和完整性。确保自身的安全性和完整性。三、操作系统的安全机制三、操作系统的安全机制1 1、实体保护、实体保护多道程序的增长，使得许多实体

38、需要保护。多道程序的增长，使得许多实体需要保护。多道程序的增长，使得许多实体需要保护。多道程序的增长，使得许多实体需要保护。需要受保护的实体：需要受保护的实体：存储器；存储器；IO设备；设备；程序；程序；数据。数据。三、操作系统的安全保护技术三、操作系统的安全保护技术1 1、实体保护、实体保护 保护方法：保护方法：隔离隔离 操操作作系系统统的的一一个个基基本本安安全全方方法法是是隔隔离，把一个客体与其它客体隔离起来。离，把一个客体与其它客体隔离起来。物物理理隔隔离离：不不同同的的处处理理使使用用不不同同的的物物理理设设备备。如如，不不同同安安全全级级别别的的处处理理输输出出使使用不同的打印机；

39、用不同的打印机；三、操作系统的安全机制三、操作系统的安全机制隔离隔离隔离隔离 时间隔离时间隔离时间隔离时间隔离：不同安全级别的处理在不同的时间执行；不同安全级别的处理在不同的时间执行；不同安全级别的处理在不同的时间执行；不同安全级别的处理在不同的时间执行；逻辑隔离逻辑隔离逻辑隔离逻辑隔离：用户的操作在没有其它处理存在的情况下执行。用户的操作在没有其它处理存在的情况下执行。用户的操作在没有其它处理存在的情况下执行。用户的操作在没有其它处理存在的情况下执行。操操操操作作作作系系系系统统统统限限限限制制制制程程程程序序序序的的的的访访访访问问问问，以以以以使使使使该该该该程程程程序序序序不不不不能能

40、能能访访访访问问问问允允允允许许许许范范范范围围围围之之之之外外外外的客体。的客体。的客体。的客体。虚虚虚虚拟拟拟拟机机机机是是是是软软软软件件件件是是是是运运运运行行行行在在在在硬硬硬硬件件件件之之之之上上上上、操操操操作作作作系系系系统统统统之之之之下下下下的的的的支支支支撑撑撑撑软软软软件件件件，可以使一套硬件运行多个操作系统，分别执行不同密级任务。可以使一套硬件运行多个操作系统，分别执行不同密级任务。可以使一套硬件运行多个操作系统，分别执行不同密级任务。可以使一套硬件运行多个操作系统，分别执行不同密级任务。密码隔离密码隔离密码隔离密码隔离：用密码加密数据，以其它处理不能理解的形式隐藏数

41、据用密码加密数据，以其它处理不能理解的形式隐藏数据用密码加密数据，以其它处理不能理解的形式隐藏数据用密码加密数据，以其它处理不能理解的形式隐藏数据三、操作系统的安全机制三、操作系统的安全机制隔离隔离然然而而隔隔离离仅仅仅仅是是问问题题的的一一半半。我我们们除除了了要要对对用用户户和和客客体体进进行行隔隔离离外外，我我们们还还希希望望能能够够提提供供共共享享。例例如如，不不同同安安全全级级别别的的处处理理能能调调用用同同一一个个的的算算法法或或功功能能调调用用。我我们们希希望望既既能能够够提提供供共共享享，而而又又不不牺牺牲牲各自的安全性。各自的安全性。三、操作系统的安全机制三、操作系统的安全机

42、制1 1、实体保护、实体保护 保护方法：保护方法：隔绝隔绝当当操操作作系系统统提提供供隔隔绝绝时时，并并发发运运行行的的不不同同处处理理不不能能察察觉觉对对方方的的存存在在。每每个个处处理理有有自自己己的的地地址址空空间间、文文件件和和其其它它客客体体。操操作作系系统统限限制制每每个个处处理理，使使其其它它处处理理的的客体完全隐蔽。客体完全隐蔽。三、操作系统的安全机制三、操作系统的安全机制1 1 1 1、实体保护、实体保护、实体保护、实体保护 存储器的保护：存储器的保护：存储器的保护：存储器的保护：多多多多道道道道程程程程序序序序的的的的最最最最重重重重要要要要问问问问题题题题是是是是阻阻阻阻

43、止止止止一一一一个个个个程程程程序序序序影影影影响响响响另另另另一一一一个个个个程程程程序序序序的的的的存存存存储储储储器器器器。这这这这种种种种保保保保护护护护可可可可以以以以作作作作成成成成硬硬硬硬件件件件机机机机制制制制，以以以以保保保保护存储器的有效使用，而且成本很低。护存储器的有效使用，而且成本很低。护存储器的有效使用，而且成本很低。护存储器的有效使用，而且成本很低。固定地址界限固定地址界限固定地址界限固定地址界限 设设设设置置置置地地地地址址址址界界界界限限限限，使使使使操操操操作作作作系系系系统统统统在在在在界界界界限限限限的的的的一一一一边边边边，而而而而用用用用户户户户程程程

44、程序序序序在在在在界界界界限限限限的的的的另另另另一一一一边边边边。主主主主要要要要是是是是阻阻阻阻止止止止用用用用户户户户程程程程序序序序破破破破坏坏坏坏操操操操作作作作系系系系统的程序。统的程序。统的程序。统的程序。这这这这种种种种固固固固定定定定界界界界限限限限方方方方式式式式的的的的限限限限制制制制是是是是死死死死扳扳扳扳的的的的，因因因因为为为为给给给给操操操操作作作作系系系系统统统统预留的存储空间是固定的，不管是否需要。预留的存储空间是固定的，不管是否需要。预留的存储空间是固定的，不管是否需要。预留的存储空间是固定的，不管是否需要。三、操作系统的安全机制三、操作系统的安全机制1 1

45、、实体保护、实体保护存储器的保护：存储器的保护：固定地址界限固定地址界限固定地址界限固定地址界限操作系统操作系统操作系统硬件地址界限操作系统用户程序用户程序0 0n-1n-1n n高高三、操作系统的安全机制三、操作系统的安全机制1 1、实体保护、实体保护 存储器的保护：存储器的保护：浮动地址界限浮动地址界限浮动地址界限浮动地址界限 界界界界限限限限寄寄寄寄存存存存器器器器（fence fence registerregister）：它它它它存存存存储储储储操操操操作作作作系系系系统统统统的的的的端端端端地址。地址。地址。地址。与固定界限方式不同，这里的界限是可以变化的。与固定界限方式不同，这里

46、的界限是可以变化的。与固定界限方式不同，这里的界限是可以变化的。与固定界限方式不同，这里的界限是可以变化的。每每每每当当当当用用用用户户户户程程程程序序序序要要要要修修修修改改改改一一一一个个个个地地地地址址址址的的的的数数数数据据据据时时时时，则则则则把把把把该该该该地地地地址址址址与与与与界界界界限限限限地地地地址址址址进进进进行行行行比比比比较较较较，如如如如果果果果该该该该地地地地址址址址在在在在用用用用户户户户区区区区则则则则执执执执行行行行，如如如如果果果果该该该该地地地地址址址址在在在在操操操操作作作作系系系系统统统统区区区区则则则则产产产产生生生生错错错错误误误误信信信信号号号

47、号、并并并并拒拒拒拒绝绝绝绝执执执执行。行。行。行。三、操作系统的安全机制三、操作系统的安全机制1 1、客实体保护、客实体保护 存储器的保护：存储器的保护：浮动地址界限浮动地址界限浮动地址界限浮动地址界限操作系统操作系统操作系统界限寄存器操作系统用户程序用户程序0 0n-1n-1n n高高三、操作系统的安全机制三、操作系统的安全机制1 1、实体保护、实体保护 存储器的保护：存储器的保护：浮动地址界限浮动地址界限浮动地址界限浮动地址界限 一个界限寄存器的保护是单向的。换句话说，可保护用一个界限寄存器的保护是单向的。换句话说，可保护用一个界限寄存器的保护是单向的。换句话说，可保护用一个界限寄存器的

48、保护是单向的。换句话说，可保护用户不侵入操作系统区，但不能保护一个用户对另一用户户不侵入操作系统区，但不能保护一个用户对另一用户户不侵入操作系统区，但不能保护一个用户对另一用户户不侵入操作系统区，但不能保护一个用户对另一用户区的侵入。区的侵入。区的侵入。区的侵入。类似地，用户也不能隔离保护程序的代码区和数据区。类似地，用户也不能隔离保护程序的代码区和数据区。类似地，用户也不能隔离保护程序的代码区和数据区。类似地，用户也不能隔离保护程序的代码区和数据区。通常采用通常采用通常采用通常采用多对多对多对多对地址界限寄存器，其中一个为上界，另一地址界限寄存器，其中一个为上界，另一地址界限寄存器，其中一个

49、为上界，另一地址界限寄存器，其中一个为上界，另一个为下界（个为下界（个为下界（个为下界（或一个为基址，另一个为界长或一个为基址，另一个为界长或一个为基址，另一个为界长或一个为基址，另一个为界长）。把程序之）。把程序之）。把程序之）。把程序之间，数据之间，堆栈之间隔离保护起来。间，数据之间，堆栈之间隔离保护起来。间，数据之间，堆栈之间隔离保护起来。间，数据之间，堆栈之间隔离保护起来。三、操作系统的安全机制三、操作系统的安全机制1 1、实体保护、实体保护 存储器的保护：存储器的保护：浮动地址界限浮动地址界限浮动地址界限浮动地址界限操作系统程序程序2 2上界寄存器操作系统程序程序3 30 0n-1n

50、-1n n高高操作系统程序程序1 1下界寄存器mmm+1m+1基址寄存器界长寄存器三、操作系统的安全机制三、操作系统的安全机制1 1 1 1、实体保护、实体保护、实体保护、实体保护 运行保护：运行保护：运行保护：运行保护：安全操作系统采用分层设计；安全操作系统采用分层设计；安全操作系统采用分层设计；安全操作系统采用分层设计；运行域是进程运行的区域；运行域是进程运行的区域；运行域是进程运行的区域；运行域是进程运行的区域；运行域保护机制：根据安全策略，把进程的运行区域运行域保护机制：根据安全策略，把进程的运行区域运行域保护机制：根据安全策略，把进程的运行区域运行域保护机制：根据安全策略，把进程的运

51、行区域划分为一些同心环，进行运行的安全保护。划分为一些同心环，进行运行的安全保护。划分为一些同心环，进行运行的安全保护。划分为一些同心环，进行运行的安全保护。最内环具有最小的环号，具有最高的安全级别；最内环具有最小的环号，具有最高的安全级别；最内环具有最小的环号，具有最高的安全级别；最内环具有最小的环号，具有最高的安全级别；最外环具有最大的环号，具有最低的安全级别；最外环具有最大的环号，具有最低的安全级别；最外环具有最大的环号，具有最低的安全级别；最外环具有最大的环号，具有最低的安全级别；内环不受外环的入侵，却可利用外环的资源，并控制内环不受外环的入侵，却可利用外环的资源，并控制内环不受外环的

52、入侵，却可利用外环的资源，并控制内环不受外环的入侵，却可利用外环的资源，并控制外环。外环。外环。外环。三、操作系统的安全机制三、操作系统的安全机制1 1、实体保护、实体保护 运行保护：运行保护：R0R0R1R1RnRn三、操作系统的安全机制三、操作系统的安全机制1 1、实体保护、实体保护 IO保护：保护：IO保护是系统中最复杂的；保护是系统中最复杂的；大大多多数数情情况况下下，把把IO设设备备视视为为文文件件，且且规规定定IO是是仅仅由由操操作作系系统统完完成成的的一一个个特特权权操操作作，对对读读写写操操作作提提供供一一个个高高层层系系统统调调用用。在在这这一一过过程程中中，用用户户不不控控

53、制制IO操操作作的细节。的细节。三、操作系统的安全机制三、操作系统的安全机制2 2 2 2、标识与认证、标识与认证、标识与认证、标识与认证标识标识标识标识 标标标标识识识识是是是是系系系系统统统统为为为为了了了了正正正正确确确确识识识识别别别别、认认认认证证证证和和和和管管管管理理理理实实实实体体体体而而而而给给给给实实实实体体体体的的的的一种符号；一种符号；一种符号；一种符号；用户名是一种用户名是一种用户名是一种用户名是一种标识，为的是进行身份认证；标识，为的是进行身份认证；标识，为的是进行身份认证；标识，为的是进行身份认证；安全级别也是一种安全级别也是一种安全级别也是一种安全级别也是一种标

54、识，为的是进行安全的访问控制标识，为的是进行安全的访问控制标识，为的是进行安全的访问控制标识，为的是进行安全的访问控制。标识需要管理；标识需要管理；标识需要管理；标识需要管理；标识活性化、智能化，是值得研究的新方向。标识活性化、智能化，是值得研究的新方向。标识活性化、智能化，是值得研究的新方向。标识活性化、智能化，是值得研究的新方向。认证认证认证认证 在操作系统中主要是用户的身份认证。在操作系统中主要是用户的身份认证。在操作系统中主要是用户的身份认证。在操作系统中主要是用户的身份认证。三、操作系统的安全机制三、操作系统的安全机制3 3、访问控制、访问控制访访问问控控制制的的目目的的：确确保保主

55、主体体对对客客体体的的访访问问只只能能是是授授权权的的，而而未未授授权权的的访访问问是是不不能进行的，而且授权策略是安全的能进行的，而且授权策略是安全的。自主访问控制（自主访问控制（DACDAC）；）；强制访问控制（强制访问控制（MACMAC）；有多种访问控制模型。有多种访问控制模型。三、操作系统的安全机制三、操作系统的安全机制3 3、访问控制、访问控制区区分分安安全全策策略略和和机机制制是是重重要要的的：策策略略着着重重原原则则指指导导，而而不不着着重重具具体体实实现现。机机制制是是实实现现策策略略的的技技术术机机构构和和方方法法。没没有有好好的的安安全全策策略略，再再好好的的机机制制也也不不能能确确保保安安全全。相相反反，没没有有好好的的机机制制，再再好好的的策策略略也没有实际意义。也没有实际意义。通通常常策策略略是是原原则则的的、简简单单的的、确确切切的的，而机制是具体的、复杂的、烦琐的。而机制是具体的、复杂的、烦琐的。谢谢 谢！谢！谢谢你的阅读v知识就是财富v丰富你的人生