操作系统安全课件.pptVIP

第4章操作系统安全2024/6/6星期四计算机系统安全原理与技术(第3版)1

本章主要内容操作系统的安全问题n操作系统的安全性设计n存储保护n用户认证n访问控制n其他安全机制nWindows系统安全n计算机系统安全原理与技术(第3版2024/6/6星期四)2

4.1操作系统的安全问题4.1.1操作系统易用性与安全性的矛盾操作系统在设计时不可避地要在安全性和易用性之间寻找一个最佳平衡点，这就使得操作系统在安全性方面必然存在着缺陷。n计算机系统安全原理与技术(第3版2024/6/6星期四)3

4.1操作系统的安全问题4.1.2操作系统面临的安全问题1）网络攻击破坏系统的可用性和完整性。n例如，恶意代码(如Rootkit)可以使系统感染，n也可以使应用程序或数据文件受到感染，造成程序和数据文件的丢失或被破坏，甚至使系统瘫痪或崩溃。计算机系统安全原理与技术(第3版2024/6/6星期四)4

4.1操作系统的安全问题4.1.2操作系统面临的安全问题2）隐通道(CovertChannel，也称作隐蔽信道)破坏系统的保密性和完整性。n如今，攻击者攻击系统的目的更多地转向获取n非授权的信息访问权。这些信息可以是系统运行时内存中的信息，也可以是存储在磁盘上的信息(文件)。窃取的方法有多种，如使用CainAbel等口令破解工具破解系统口令，再如使用Goldenkeylogger等木马工具记录键盘信息，还可以利用隐通道非法访问资源。计算机系统安全原理与技术(第3版2024/6/6星期四)5

4.1操作系统的安全问题4.1.2操作系统面临的安全问题3）用户的误操作破坏系统的可用性和完整性。n例如，用户无意中删除了系统的某个文件，无n意中停止了系统的正常处理任务，这样的误操作或不合理地使用了系统提供的命令，会影响系统的稳定运行。此外，在多用户操作系统中，各用户程序执行过程中相互间会产生不良影响，用户之间会相互干扰。计算机系统安全原理与技术(第3版2024/6/6星期四)6

4.2操作系统的安全性设计标识系统中的用户并进行身份鉴别；n依据系统安全策略对用户的操作进行存取控制，防止用户对计算机资源的非法存取；n监督系统运行的安全；n保证系统自身的安全性和完整性。n计算机系统安全原理与技术(第3版2024/6/6星期四)7

隔离控制的方法有四种：n物理隔离n时间隔离n逻辑隔离n加密隔离n计算机系统安全原理与技术(第3版2024/6/6星期四)8

4.2存储器保护对于一个安全的操作系统，存储保护是最基本的要求，这里包括内存保护、运行保护、I/O保护等。n计算机系统安全原理与技术(第3版2024/6/6星期四)9

4.3存储保护4.3.1内存保护内存储器是操作系统中的共享资源，n内存被用户程序与系统程序所共享n在多道环境下更是被多个进程所共享。n计算机系统安全原理与技术(第3版2024/6/6星期四)10

4.3存储保护4.3.1内存保护内存保护的目的是：n防止对内存的未授权访问；n防止对内存的错误读写，如向只读单元写；n防止用户的不当操作破坏内存数据区、程序区或系统区；n多道程序环境下，防止不同用户的内存区域互不影响；n将用户与内存隔离，不让用户知道数据或程序在内存中的具体位置；n计算机系统安全原理与技术(第3版2024/6/6星期四)11

4.3存储保护4.3.1内存保护常用的内存保护技术n单用户内存保护技术n多道程序的保护技术n内存标记保护法n分段与分页保护技术n计算机系统安全原理与技术(第3版2024/6/6星期四)12

（1）单用户内存保护问题n系统区界限寄存器用户区（内存）单用户内存保护计算机系统安全原理与技术(第3版2024/6/6星期四)13

（2）多道程序的保护n计算机系统安全原理与技术(第3版2024/6/6星期四)14

（3）标记保护法n计算机系统安全原理与技术(第3版2024/6/6星期四)15

（4）分段与分页技术n对于稍微复杂一些的用户程序，通常按功能n划分成若干个模块（过程）。每个模块有自己的数据区，各模块之间也可能有共享数据区。各用户程序之间也可能有共享模块或共享数据区。这些模块或数据区有着不同的访问属性和安全要求，使用上述各种保护技术很难满足这些要求。n计算机系统安全原理与技术(第3版2024/6/6星期四)16

（4）分段与分页技术n分段将内存分成很多逻辑单元，如一组组私有程序n或数据。采用分段技术以后，用户并不知道他的程序实际使用的内存物理地址，操作系统把程序实际地址隐藏起来了。这种隐藏对保护用户代码与数据的安全是极有好处的。计算机系统安全原理与技术(第3版2024/6/6星期四)17

（4）分段与分页技术n分段技术有许多优点：n任何段可以放在任何内存