【正文】 他服務(wù)例程對操作系統(tǒng)的操作? 命令行系統(tǒng)命令– 最原始的、但直到今天仍然有許多高手喜歡使用的方式，一般有諸多 “選項(xiàng) ”? 事件– 通過圖形用戶界面上的點(diǎn)擊 /擊鍵或其他動(dòng)作產(chǎn)生的事件，在系統(tǒng)內(nèi)部驅(qū)動(dòng)等效的命令執(zhí)行? Shell Code– 在一個(gè)特定運(yùn)行環(huán)境里的命令組合，被 Shell解釋成一系列的命令，其中可能包含與環(huán)境變量有關(guān)的判斷和以環(huán)境變量為參數(shù)選項(xiàng)的命令? 系統(tǒng)調(diào)用– 在命令的執(zhí)行或某些程序的執(zhí)行過程中需要系統(tǒng)核心提供的某些服務(wù)三大主流操作系統(tǒng)DOS/Windows系列MacOS系列Unix/Linux系列微軟的 DOS/Windows系列? 祖宗： MSDOSx? 桌面系列：– Windows ? Windows XP– 介紹– 示意圖? 服務(wù)器系列：– Windows NT ?Windows .Net– 介紹– 示意圖MSDOSxWindows Windows .NetWindows 95Windows 98Windows MeWindows for Workgroups Windows NT (w) Windows NT (w) Windows 2023 (w)Windows XPWindows 2023 (S)Windows NT (S) Windows NT (S) Windows NT (S) Windows NT (S) 微軟的 Dos/Windows 演進(jìn)示意圖MacOS? MacOS一度十分強(qiáng)大，在 GUI（圖形用戶界面）方面曾經(jīng)頗具優(yōu)勢? MacOS有傳統(tǒng)的應(yīng)用領(lǐng)域（如出版），但總體上說正在衰落? MacOS在中國沒有很大市場? 關(guān)于 MacOS的演進(jìn)狀況，本課程從略UNIX/Linux系列? UNIX家族全圖? 幾大商業(yè) UNIX系統(tǒng)– IBM?AIX– SUN?Solaris– HP?HPUX– SGI?IRIX– SCO?SCO UNIX? 兩大免費(fèi) UNIX系統(tǒng)– Free BSD– LinuxUnix CSUnix V6Unix System III BSDUnix System VFree BSD Linux AIXHPUXSolaris Irix SCOUnix V7主要的 UNIX系統(tǒng)演進(jìn)示意圖諸侯、霸主與俠客? 商業(yè) UNIX的發(fā)展，缺乏一條明確的主線和統(tǒng)一的規(guī)劃，諸侯林立。但由于其本身在高端技術(shù)上的一些優(yōu)勢，在大型服務(wù)器平臺領(lǐng)域，UNIX仍有相當(dāng)?shù)牡乇P? 微軟 Windows系列有清晰的產(chǎn)品線和產(chǎn)品戰(zhàn)略，已經(jīng)在低端處于絕對的霸主地位（ OS2案例）? Linux/Free BSD高舉 “自由 ”大旗，加上由此而來的安全概念，異軍突起，對微軟的霸主地位形成一定沖擊，但不足以動(dòng)搖微軟的霸主地位操作系統(tǒng)的安全問題D級操作系統(tǒng)的權(quán)限模型C級操作系統(tǒng)的權(quán)限模型B級操作系統(tǒng)的權(quán)限模型意義? 操作系統(tǒng)所處的位置決定了它是具有戰(zhàn)略意義的軟件系統(tǒng)，是一切信息和信息系統(tǒng)的安全攸關(guān)的底座? 操作系統(tǒng)的安全功能是網(wǎng)絡(luò)信息安全的至關(guān)重要的組成部分? 操作系統(tǒng)的安全功能主要是通過 “訪問控制 ”來實(shí)現(xiàn)的，具體體現(xiàn)在– 內(nèi)核地址空間的相對隔離– 用戶和權(quán)限的管理– 對與安全有關(guān)的關(guān)鍵性信息的加密存儲操作系統(tǒng)的安全等級（ TCSEC）? D級：最小安全策略（無訪問控制措施）? C級：自主訪問控制– C1：可信任的計(jì)算基礎(chǔ)– C2：安全審計(jì)? B級：強(qiáng)制訪問控制– B1：設(shè)置敏感度標(biāo)記– B2：隱通道分析– B3：審計(jì)跟蹤? A級：結(jié)構(gòu)化訪問控制– A1：形式化驗(yàn)證（理想狀態(tài)）C1級操作系統(tǒng)的訪問控制? 主體：– 用戶– 用戶組– 程序（隸屬于一定的用戶）? 客體：資源，包括– 文件– 目錄– 進(jìn)程（暫時(shí)不說）? 操作：讀、寫、執(zhí)行? 權(quán)限：允許、禁止讀寫執(zhí)行允許 /禁止 允許的操作權(quán)限 客體主體操作屬主，用戶組，權(quán)限管理? 一定的客體為一定的主體所擁有，該主體稱為該客體的屬主（ Owner）? 一定的用戶集合可組成用戶組（ Group），同組的用戶在安全策略上具有一定的共性? 一定的可執(zhí)行客體具有權(quán)限管理的執(zhí)行效果，擁有執(zhí)行這類客體權(quán)限的主體事實(shí)上具有了改變別的主體和客體的相關(guān)安全策略的能力權(quán)限碼? 由 9個(gè)二進(jìn)制位組成? 0表示禁止， 1表示允許? 從高到低的九個(gè)二進(jìn)制位依次表示– 屬主是否可讀、可寫、可執(zhí)行– 同組用戶是否可讀、可寫、可執(zhí)行– 其他用戶是否可讀、可寫、可執(zhí)行權(quán)限碼 755用戶 屬主 同組 其他操作 讀 寫 執(zhí)行 讀 寫 執(zhí)行 讀 寫 執(zhí)行權(quán)限碼 1 1 1 1 0 1 1 0 1意義 允許 允許 允許 允許 禁止 允許 允許 禁止 允許繼承與覆蓋? 目錄中新創(chuàng)建的資源（文件或子目錄）在缺省情況下自動(dòng)繼承上級目錄的權(quán)限碼，如果有管理權(quán)限者對其做出另外的規(guī)定，該規(guī)定覆蓋缺省繼承? 程序新創(chuàng)建的資源（文件或子目錄）在缺省情況下自動(dòng)繼承程序的權(quán)限碼，如果程序中明確設(shè)置權(quán)限，該設(shè)置覆蓋缺省繼承超級用戶? 對任意客體擁有任意處置權(quán)限的用戶，稱為超級用戶? 因此，超級用戶能夠運(yùn)行任何權(quán)限管理程序，從而可以設(shè)置和改變?nèi)魏沃黧w對任何客體的權(quán)限? 超級用戶的權(quán)限令人眼紅，它的非法使用，將對系統(tǒng)的安全構(gòu)成重大的威脅超級用戶? C1級的操作系統(tǒng)靠著權(quán)限碼把不同屬主的資源在一定程度上隔離開來? 超級用戶猶如一個(gè)全知全能的上帝，一旦獲得超級用戶的權(quán)限，上述隔離機(jī)制將不復(fù)存在? 遺憾的是，由于系統(tǒng)設(shè)計(jì)時(shí)的考慮不周，有大量的系統(tǒng)存在非法獲取超級用戶權(quán)限的隱患（漏洞），口令的管理不善或不當(dāng)，也會造成超級用戶權(quán)限的流失? 如此大的風(fēng)險(xiǎn)集中在超級用戶上面，對于有較高安全需求的信息系統(tǒng)來說，不是一個(gè)明智的選擇，因此在 B級操作系統(tǒng)里面，超級用戶的全能性將被廢止B1級操作系統(tǒng)的訪問控制? 基本的想法：分權(quán)? 借鑒：人類在帶有敵對性質(zhì)的環(huán)境下對信息的管理，特別是對軍事機(jī)密的管理? 做法：同時(shí)給主體和客體加級別標(biāo)記? 所謂級別，在數(shù)學(xué)上就是 “序結(jié)構(gòu) ”，如偏序結(jié)構(gòu)或全序結(jié)構(gòu)防范什么？? 保證的功能– 高密級的主體應(yīng)能獲取低密級的客體? 防范的目標(biāo)– 機(jī)密性：低密級的主體獲得高密級的客體– 完整性：低密級的主體破壞高密級的客體具體做法? 設(shè)立兩套標(biāo)記體系，分別賦予所有主體和所有客體：– 機(jī)密性標(biāo)記– 完整性標(biāo)記? 在訪問企圖發(fā)生的時(shí)候，強(qiáng)制性地檢查主客體的標(biāo)記，要求：– 較低機(jī)密性標(biāo)記的主體不可以對較高機(jī)密性標(biāo)記的客體實(shí)施讀操作（否則會發(fā)生越權(quán)竊密）– 較高完整性標(biāo)記的主體不可以對較低完整性標(biāo)記的客體實(shí)施寫操作（否則會發(fā)生泄密）? 以上原則，可以形象地說成 “不許向上讀，不許向下寫”強(qiáng)制訪問控制機(jī)制的實(shí)現(xiàn)? 截獲系統(tǒng)調(diào)用? 調(diào)用請求重定向? 檢查標(biāo)記是否符合安全策略? 如果不符合，拒絕? 如果符合，提供系統(tǒng)調(diào)用入口安全操作系統(tǒng)? 一般把 B級以上的操作系統(tǒng)叫做安全操作系統(tǒng)? 政府、軍隊(duì)、金融等關(guān)鍵領(lǐng)域，對安全操作系統(tǒng)有很大需求? 防火墻、安全隔離系統(tǒng)等安全產(chǎn)品自身的安全性要求堅(jiān)固的操作系統(tǒng)底座? 數(shù)字權(quán)力保護(hù)的有效實(shí)現(xiàn)最好在安全的操作系統(tǒng)中完成? 中國這樣的大國，應(yīng)該有自主的安全操作系統(tǒng)操作系統(tǒng)加固? 在已有的操作系統(tǒng)外部通過打補(bǔ)丁的方式實(shí)現(xiàn)強(qiáng)制訪問控制的功能，叫做操作系統(tǒng)加固? 操作系統(tǒng)加固不如安全操作系統(tǒng)的安全性好，原因是：– 敵對者可以以更高的優(yōu)先級打一個(gè)弱化強(qiáng)制訪問控制功能的 “反補(bǔ)丁 ”– 已有操作系統(tǒng)的有些脆弱性（甚至是人為的后門）可能無法通過加固來避免? 在不具備開發(fā)安全操作系統(tǒng)的主客觀條件又不想采用別人的安全操作系統(tǒng)的時(shí)候，操作系統(tǒng)加固不失為一種選擇演講完畢，謝謝觀看！