【正文】 他服務(wù)例程對(duì)操作系統(tǒng)的操作? 命令行系統(tǒng)命令– 最原始的、但直到今天仍然有許多高手喜歡使用的方式，一般有諸多 “選項(xiàng) ”? 事件– 通過(guò)圖形用戶(hù)界面上的點(diǎn)擊 /擊鍵或其他動(dòng)作產(chǎn)生的事件，在系統(tǒng)內(nèi)部驅(qū)動(dòng)等效的命令執(zhí)行? Shell Code– 在一個(gè)特定運(yùn)行環(huán)境里的命令組合，被 Shell解釋成一系列的命令，其中可能包含與環(huán)境變量有關(guān)的判斷和以環(huán)境變量為參數(shù)選項(xiàng)的命令? 系統(tǒng)調(diào)用– 在命令的執(zhí)行或某些程序的執(zhí)行過(guò)程中需要系統(tǒng)核心提供的某些服務(wù)三大主流操作系統(tǒng)DOS/Windows系列MacOS系列Unix/Linux系列微軟的 DOS/Windows系列? 祖宗： MSDOSx? 桌面系列：– Windows ? Windows XP– 介紹– 示意圖? 服務(wù)器系列：– Windows NT ?Windows .Net– 介紹– 示意圖MSDOSxWindows Windows .NetWindows 95Windows 98Windows MeWindows for Workgroups Windows NT (w) Windows NT (w) Windows 2023 (w)Windows XPWindows 2023 (S)Windows NT (S) Windows NT (S) Windows NT (S) Windows NT (S) 微軟的 Dos/Windows 演進(jìn)示意圖MacOS? MacOS一度十分強(qiáng)大，在 GUI（圖形用戶(hù)界面）方面曾經(jīng)頗具優(yōu)勢(shì)? MacOS有傳統(tǒng)的應(yīng)用領(lǐng)域（如出版），但總體上說(shuō)正在衰落? MacOS在中國(guó)沒(méi)有很大市場(chǎng)? 關(guān)于 MacOS的演進(jìn)狀況，本課程從略UNIX/Linux系列? UNIX家族全圖? 幾大商業(yè) UNIX系統(tǒng)– IBM?AIX– SUN?Solaris– HP?HPUX– SGI?IRIX– SCO?SCO UNIX? 兩大免費(fèi) UNIX系統(tǒng)– Free BSD– LinuxUnix CSUnix V6Unix System III BSDUnix System VFree BSD Linux AIXHPUXSolaris Irix SCOUnix V7主要的 UNIX系統(tǒng)演進(jìn)示意圖諸侯、霸主與俠客? 商業(yè) UNIX的發(fā)展，缺乏一條明確的主線(xiàn)和統(tǒng)一的規(guī)劃，諸侯林立。但由于其本身在高端技術(shù)上的一些優(yōu)勢(shì)，在大型服務(wù)器平臺(tái)領(lǐng)域，UNIX仍有相當(dāng)?shù)牡乇P(pán)? 微軟 Windows系列有清晰的產(chǎn)品線(xiàn)和產(chǎn)品戰(zhàn)略，已經(jīng)在低端處于絕對(duì)的霸主地位（ OS2案例）? Linux/Free BSD高舉 “自由 ”大旗，加上由此而來(lái)的安全概念，異軍突起，對(duì)微軟的霸主地位形成一定沖擊，但不足以動(dòng)搖微軟的霸主地位操作系統(tǒng)的安全問(wèn)題D級(jí)操作系統(tǒng)的權(quán)限模型C級(jí)操作系統(tǒng)的權(quán)限模型B級(jí)操作系統(tǒng)的權(quán)限模型意義? 操作系統(tǒng)所處的位置決定了它是具有戰(zhàn)略意義的軟件系統(tǒng)，是一切信息和信息系統(tǒng)的安全攸關(guān)的底座? 操作系統(tǒng)的安全功能是網(wǎng)絡(luò)信息安全的至關(guān)重要的組成部分? 操作系統(tǒng)的安全功能主要是通過(guò) “訪(fǎng)問(wèn)控制 ”來(lái)實(shí)現(xiàn)的，具體體現(xiàn)在– 內(nèi)核地址空間的相對(duì)隔離– 用戶(hù)和權(quán)限的管理– 對(duì)與安全有關(guān)的關(guān)鍵性信息的加密存儲(chǔ)操作系統(tǒng)的安全等級(jí)（ TCSEC）? D級(jí)：最小安全策略（無(wú)訪(fǎng)問(wèn)控制措施）? C級(jí)：自主訪(fǎng)問(wèn)控制– C1：可信任的計(jì)算基礎(chǔ)– C2：安全審計(jì)? B級(jí)：強(qiáng)制訪(fǎng)問(wèn)控制– B1：設(shè)置敏感度標(biāo)記– B2：隱通道分析– B3：審計(jì)跟蹤? A級(jí)：結(jié)構(gòu)化訪(fǎng)問(wèn)控制– A1：形式化驗(yàn)證（理想狀態(tài)）C1級(jí)操作系統(tǒng)的訪(fǎng)問(wèn)控制? 主體：– 用戶(hù)– 用戶(hù)組– 程序（隸屬于一定的用戶(hù)）? 客體：資源，包括– 文件– 目錄– 進(jìn)程（暫時(shí)不說(shuō)）? 操作：讀、寫(xiě)、執(zhí)行? 權(quán)限：允許、禁止讀寫(xiě)執(zhí)行允許 /禁止 允許的操作權(quán)限 客體主體操作屬主，用戶(hù)組，權(quán)限管理? 一定的客體為一定的主體所擁有，該主體稱(chēng)為該客體的屬主（ Owner）? 一定的用戶(hù)集合可組成用戶(hù)組（ Group），同組的用戶(hù)在安全策略上具有一定的共性? 一定的可執(zhí)行客體具有權(quán)限管理的執(zhí)行效果，擁有執(zhí)行這類(lèi)客體權(quán)限的主體事實(shí)上具有了改變別的主體和客體的相關(guān)安全策略的能力權(quán)限碼? 由 9個(gè)二進(jìn)制位組成? 0表示禁止， 1表示允許? 從高到低的九個(gè)二進(jìn)制位依次表示– 屬主是否可讀、可寫(xiě)、可執(zhí)行– 同組用戶(hù)是否可讀、可寫(xiě)、可執(zhí)行– 其他用戶(hù)是否可讀、可寫(xiě)、可執(zhí)行權(quán)限碼 755用戶(hù) 屬主 同組 其他操作 讀 寫(xiě) 執(zhí)行 讀 寫(xiě) 執(zhí)行 讀 寫(xiě) 執(zhí)行權(quán)限碼 1 1 1 1 0 1 1 0 1意義 允許 允許 允許 允許 禁止 允許 允許 禁止 允許繼承與覆蓋? 目錄中新創(chuàng)建的資源（文件或子目錄）在缺省情況下自動(dòng)繼承上級(jí)目錄的權(quán)限碼，如果有管理權(quán)限者對(duì)其做出另外的規(guī)定，該規(guī)定覆蓋缺省繼承? 程序新創(chuàng)建的資源（文件或子目錄）在缺省情況下自動(dòng)繼承程序的權(quán)限碼，如果程序中明確設(shè)置權(quán)限，該設(shè)置覆蓋缺省繼承超級(jí)用戶(hù)? 對(duì)任意客體擁有任意處置權(quán)限的用戶(hù)，稱(chēng)為超級(jí)用戶(hù)? 因此，超級(jí)用戶(hù)能夠運(yùn)行任何權(quán)限管理程序，從而可以設(shè)置和改變?nèi)魏沃黧w對(duì)任何客體的權(quán)限? 超級(jí)用戶(hù)的權(quán)限令人眼紅，它的非法使用，將對(duì)系統(tǒng)的安全構(gòu)成重大的威脅超級(jí)用戶(hù)? C1級(jí)的操作系統(tǒng)靠著權(quán)限碼把不同屬主的資源在一定程度上隔離開(kāi)來(lái)? 超級(jí)用戶(hù)猶如一個(gè)全知全能的上帝，一旦獲得超級(jí)用戶(hù)的權(quán)限，上述隔離機(jī)制將不復(fù)存在? 遺憾的是，由于系統(tǒng)設(shè)計(jì)時(shí)的考慮不周，有大量的系統(tǒng)存在非法獲取超級(jí)用戶(hù)權(quán)限的隱患（漏洞），口令的管理不善或不當(dāng)，也會(huì)造成超級(jí)用戶(hù)權(quán)限的流失? 如此大的風(fēng)險(xiǎn)集中在超級(jí)用戶(hù)上面，對(duì)于有較高安全需求的信息系統(tǒng)來(lái)說(shuō)，不是一個(gè)明智的選擇，因此在 B級(jí)操作系統(tǒng)里面，超級(jí)用戶(hù)的全能性將被廢止B1級(jí)操作系統(tǒng)的訪(fǎng)問(wèn)控制? 基本的想法：分權(quán)? 借鑒：人類(lèi)在帶有敵對(duì)性質(zhì)的環(huán)境下對(duì)信息的管理，特別是對(duì)軍事機(jī)密的管理? 做法：同時(shí)給主體和客體加級(jí)別標(biāo)記? 所謂級(jí)別，在數(shù)學(xué)上就是 “序結(jié)構(gòu) ”，如偏序結(jié)構(gòu)或全序結(jié)構(gòu)防范什么？? 保證的功能– 高密級(jí)的主體應(yīng)能獲取低密級(jí)的客體? 防范的目標(biāo)– 機(jī)密性：低密級(jí)的主體獲得高密級(jí)的客體– 完整性：低密級(jí)的主體破壞高密級(jí)的客體具體做法? 設(shè)立兩套標(biāo)記體系，分別賦予所有主體和所有客體：– 機(jī)密性標(biāo)記– 完整性標(biāo)記? 在訪(fǎng)問(wèn)企圖發(fā)生的時(shí)候，強(qiáng)制性地檢查主客體的標(biāo)記，要求：– 較低機(jī)密性標(biāo)記的主體不可以對(duì)較高機(jī)密性標(biāo)記的客體實(shí)施讀操作（否則會(huì)發(fā)生越權(quán)竊密）– 較高完整性標(biāo)記的主體不可以對(duì)較低完整性標(biāo)記的客體實(shí)施寫(xiě)操作（否則會(huì)發(fā)生泄密）? 以上原則，可以形象地說(shuō)成 “不許向上讀，不許向下寫(xiě)”強(qiáng)制訪(fǎng)問(wèn)控制機(jī)制的實(shí)現(xiàn)? 截獲系統(tǒng)調(diào)用? 調(diào)用請(qǐng)求重定向? 檢查標(biāo)記是否符合安全策略? 如果不符合，拒絕? 如果符合，提供系統(tǒng)調(diào)用入口安全操作系統(tǒng)? 一般把 B級(jí)以上的操作系統(tǒng)叫做安全操作系統(tǒng)? 政府、軍隊(duì)、金融等關(guān)鍵領(lǐng)域，對(duì)安全操作系統(tǒng)有很大需求? 防火墻、安全隔離系統(tǒng)等安全產(chǎn)品自身的安全性要求堅(jiān)固的操作系統(tǒng)底座? 數(shù)字權(quán)力保護(hù)的有效實(shí)現(xiàn)最好在安全的操作系統(tǒng)中完成? 中國(guó)這樣的大國(guó)，應(yīng)該有自主的安全操作系統(tǒng)操作系統(tǒng)加固? 在已有的操作系統(tǒng)外部通過(guò)打補(bǔ)丁的方式實(shí)現(xiàn)強(qiáng)制訪(fǎng)問(wèn)控制的功能，叫做操作系統(tǒng)加固? 操作系統(tǒng)加固不如安全操作系統(tǒng)的安全性好，原因是：– 敵對(duì)者可以以更高的優(yōu)先級(jí)打一個(gè)弱化強(qiáng)制訪(fǎng)問(wèn)控制功能的 “反補(bǔ)丁 ”– 已有操作系統(tǒng)的有些脆弱性（甚至是人為的后門(mén)）可能無(wú)法通過(guò)加固來(lái)避免? 在不具備開(kāi)發(fā)安全操作系統(tǒng)的主客觀(guān)條件又不想采用別人的安全操作系統(tǒng)的時(shí)候，操作系統(tǒng)加固不失為一種選擇演講完畢，謝謝觀(guān)看！