操作系统安全).ppt

1、操作系统安全操作系统安全第第1章章 引言引言1.1 操作系统面临的安全威胁操作系统面临的安全威胁1.2 操作系统安全和信息系统安全操作系统安全和信息系统安全1.3 安全操作系统的研究发展安全操作系统的研究发展1.4 基本定义及术语基本定义及术语1.5 本章小结本章小结1.6 习题习题可以说，信息安全技术的发展将会从根本上影响和可以说，信息安全技术的发展将会从根本上影响和制约信息技术的进一步发展。制约信息技术的进一步发展。人们认识信息安全问题通常是从对系统所遭到的各人们认识信息安全问题通常是从对系统所遭到的各种成功或者未成功的入侵攻击的威胁开始的，这些种成功或者未成功的入侵攻击的威胁开始的，这些

2、威胁大多是通过挖掘操作系统和应用程序的弱点或威胁大多是通过挖掘操作系统和应用程序的弱点或者缺陷来实现的。下面首先介绍针对操作系统安全者缺陷来实现的。下面首先介绍针对操作系统安全的主要威胁。的主要威胁。1.1 操作系统面临的安全威胁操作系统面临的安全威胁病毒是能够自我复制的一组计算机指令或者程序代病毒是能够自我复制的一组计算机指令或者程序代码。通过编制或者在计算机程序中插入这段代码，码。通过编制或者在计算机程序中插入这段代码，以达到破坏计算机功能、毁坏数据从而影响计算机以达到破坏计算机功能、毁坏数据从而影响计算机使用的目的。病毒具有以下基本特点使用的目的。病毒具有以下基本特点:隐蔽性。隐蔽性。传

3、染性。传染性。潜伏性。潜伏性。破坏性。破坏性。1.1.1 病毒和蠕虫病毒和蠕虫蠕虫类似于病毒，它可以侵入合法的数据处理程序，蠕虫类似于病毒，它可以侵入合法的数据处理程序，更改或破坏这些数据。尽管蠕虫不像病毒一样复制更改或破坏这些数据。尽管蠕虫不像病毒一样复制自身，但蠕虫攻击带来的破坏可能与病毒一样严重，自身，但蠕虫攻击带来的破坏可能与病毒一样严重，尤其是在没有及时发觉的情况下。不过一旦蠕虫入尤其是在没有及时发觉的情况下。不过一旦蠕虫入侵被发现，系统恢复会容易一些，因为它没有病毒侵被发现，系统恢复会容易一些，因为它没有病毒的复制能力，只有一个需要被清除的蠕虫程序。最的复制能力，只有一个需要被清除

4、的蠕虫程序。最具代表性的具代表性的Ska蠕虫是一个蠕虫是一个Windows电子邮件和新电子邮件和新闻组蠕虫。闻组蠕虫。逻辑炸弹是加在现有应用程序上的程序。一般逻辑逻辑炸弹是加在现有应用程序上的程序。一般逻辑炸弹都被添加在被感染应用程序的起始处，每当该炸弹都被添加在被感染应用程序的起始处，每当该应用程序运行时就会运行逻辑炸弹。它通常要检查应用程序运行时就会运行逻辑炸弹。它通常要检查各种条件，看是否满足运行炸弹的条件。如果逻辑各种条件，看是否满足运行炸弹的条件。如果逻辑炸弹没有取得控制权就将控制权归还给主应用程序，炸弹没有取得控制权就将控制权归还给主应用程序，逻辑炸弹仍然安静地等待。当设定的爆炸条

5、件被满逻辑炸弹仍然安静地等待。当设定的爆炸条件被满足后，逻辑炸弹的其余代码就会执行。逻辑炸弹不足后，逻辑炸弹的其余代码就会执行。逻辑炸弹不能复制自身，不能感染其他程序，但这些攻击已经能复制自身，不能感染其他程序，但这些攻击已经使它成为了一种极具破坏性的恶意代码类型。使它成为了一种极具破坏性的恶意代码类型。逻辑炸弹具有多种触发方式。逻辑炸弹具有多种触发方式。1.1.2 逻辑炸弹逻辑炸弹特洛伊木马是一段计算机程序，表面上在执行合法特洛伊木马是一段计算机程序，表面上在执行合法任务，实际上却具有用户不曾料到的非法功能。它任务，实际上却具有用户不曾料到的非法功能。它们伪装成友好程序，由可信用户在合法工作

6、中不知们伪装成友好程序，由可信用户在合法工作中不知不觉地运行。一旦这些程序被执行，一个病毒、蠕不觉地运行。一旦这些程序被执行，一个病毒、蠕虫或其他隐藏在特洛伊木马程序中的恶意代码就会虫或其他隐藏在特洛伊木马程序中的恶意代码就会被释放出来，攻击个人用户工作站，随后就是攻击被释放出来，攻击个人用户工作站，随后就是攻击网络。网络。一个有效的特洛伊木马对程序的预期结果无明显影一个有效的特洛伊木马对程序的预期结果无明显影响，也许永远看不出它的破坏性。特洛伊木马需要响，也许永远看不出它的破坏性。特洛伊木马需要具备以下条件才能成功地入侵计算机系统具备以下条件才能成功地入侵计算机系统:入侵者要写一段程序进行非

7、法操作，程序的行为入侵者要写一段程序进行非法操作，程序的行为方式不会引起用户的怀疑；方式不会引起用户的怀疑；1.1.3 特洛伊木马特洛伊木马 必须设计出某种策略诱使受骗者接受这段程序；必须设计出某种策略诱使受骗者接受这段程序；必须使受骗者运行该程序；必须使受骗者运行该程序；入侵者必须有某种手段回收由特洛伊木马程序提入侵者必须有某种手段回收由特洛伊木马程序提供的信息。供的信息。特洛伊木马通常继承了用户程序相同的用户特洛伊木马通常继承了用户程序相同的用户ID、存存取权、优先权甚至特权。因此，特洛伊木马能在不取权、优先权甚至特权。因此，特洛伊木马能在不破坏系统的任何安全规则的情况下进行非法操作，破坏

8、系统的任何安全规则的情况下进行非法操作，这也使它成为系统最难防御的一种危害。特洛伊木这也使它成为系统最难防御的一种危害。特洛伊木马程序与病毒程序不同，它是一个独立的应用程序，马程序与病毒程序不同，它是一个独立的应用程序，不具备自我复制能力。但它同病毒程序一样具有潜不具备自我复制能力。但它同病毒程序一样具有潜伏性，且常常具有更大的欺骗性和危害性。伏性，且常常具有更大的欺骗性和危害性。特洛伊木马通常以包含恶意代码的电子邮件消息的特洛伊木马通常以包含恶意代码的电子邮件消息的形式存在，也可以由形式存在，也可以由Internet数据流携带。数据流携带。天窗是嵌在操作系统里的一段非法代码，渗透者利天窗是嵌

9、在操作系统里的一段非法代码，渗透者利用该代码提供的方法侵入操作系统而不受检查。天用该代码提供的方法侵入操作系统而不受检查。天窗由专门的命令激活，一般不容易发现。而且天窗窗由专门的命令激活，一般不容易发现。而且天窗所嵌入的软件拥有渗透者所没有的特权。通常天窗所嵌入的软件拥有渗透者所没有的特权。通常天窗设置在操作系统内部，而不在应用程序中，天窗很设置在操作系统内部，而不在应用程序中，天窗很像是操作系统里可供渗透的一个缺陷。安装天窗就像是操作系统里可供渗透的一个缺陷。安装天窗就是为了渗透，它可能是由操作系统生产厂家的一个是为了渗透，它可能是由操作系统生产厂家的一个不道德的雇员装入的，安装天窗的技术很

10、像特洛伊不道德的雇员装入的，安装天窗的技术很像特洛伊木马的安装技术，但在操作系统中实现更为困难。木马的安装技术，但在操作系统中实现更为困难。天窗只能利用操作系统的缺陷或者混入系统的开发天窗只能利用操作系统的缺陷或者混入系统的开发队伍中进行安装。因此开发安全操作系统的常规技队伍中进行安装。因此开发安全操作系统的常规技术就可以避免天窗。术就可以避免天窗。1.1.4 天窗天窗隐蔽通道可定义为系统中不受安全策略控制的、违隐蔽通道可定义为系统中不受安全策略控制的、违反安全策略的信息泄露路径。按信息传递的方式和反安全策略的信息泄露路径。按信息传递的方式和方法区分，隐蔽通道分为隐蔽存储通道和隐蔽定时方法区分

11、，隐蔽通道分为隐蔽存储通道和隐蔽定时通道。隐蔽存储通道在系统中通过两个进程利用不通道。隐蔽存储通道在系统中通过两个进程利用不受安全策略控制的存储单元传递信息。隐蔽定时通受安全策略控制的存储单元传递信息。隐蔽定时通道在系统中通过两个进程利用一个不受安全策略控道在系统中通过两个进程利用一个不受安全策略控制的广义存储单元传递信息。判别一个隐蔽通道是制的广义存储单元传递信息。判别一个隐蔽通道是否是隐蔽定时通道，关键是看它有没有一个实时时否是隐蔽定时通道，关键是看它有没有一个实时时钟、间隔定时器或其他计时装置，不需要时钟或定钟、间隔定时器或其他计时装置，不需要时钟或定时器的隐蔽通道是隐蔽存储通道。时器的

12、隐蔽通道是隐蔽存储通道。1.1.5 隐蔽通道隐蔽通道一个有效可靠的操作系统应具有很强的安全性，必一个有效可靠的操作系统应具有很强的安全性，必须具有相应的保护措施，消除或限制如病毒、逻辑须具有相应的保护措施，消除或限制如病毒、逻辑炸弹、特洛伊木马、天窗、隐蔽通道等对系统构成炸弹、特洛伊木马、天窗、隐蔽通道等对系统构成的安全威胁。的安全威胁。总而言之，在过去的数十年里，恶意代码（通常也总而言之，在过去的数十年里，恶意代码（通常也称为计算机病毒）已经从学术上的好奇论题发展成称为计算机病毒）已经从学术上的好奇论题发展成为一个持久的、世界范围的问题。无论计算机病毒、为一个持久的、世界范围的问题。无论计算

13、机病毒、蠕虫、逻辑炸弹、特洛伊木马、天窗，还是隐蔽通蠕虫、逻辑炸弹、特洛伊木马、天窗，还是隐蔽通道都对操作系统安全构成了威胁。道都对操作系统安全构成了威胁。实际上从来没有一个操作系统的运行是完美无缺的，实际上从来没有一个操作系统的运行是完美无缺的，也没有一个厂商敢保证自己的操作系统不会出错。也没有一个厂商敢保证自己的操作系统不会出错。在信息系统中与安全相关的每一个漏洞都会使整个在信息系统中与安全相关的每一个漏洞都会使整个系统的安全控制机制变得毫无价值。这个漏洞如果系统的安全控制机制变得毫无价值。这个漏洞如果被入侵者发现，后果将是十分严重的。被入侵者发现，后果将是十分严重的。从计算机信息系统的角

14、度分析，可以看出在信息系从计算机信息系统的角度分析，可以看出在信息系统安全所涉及的众多内容中，操作系统、网络系统统安全所涉及的众多内容中，操作系统、网络系统与数据库管理系统的安全问题是核心。与数据库管理系统的安全问题是核心。操作系统的安全性在计算机信息系统的整体安全性操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用。中具有至关重要的作用。1.2 操作系统安全和信息系统安全操作系统安全和信息系统安全一般来说，操作系统安全与安全操作系统的含义不一般来说，操作系统安全与安全操作系统的含义不尽相同。从各种不同的角度分析操作系统的安全性，尽相同。从各种不同的角度分析操作系统的安全性，既可

15、以对主流操作系统进行安全性增强，也可以按既可以对主流操作系统进行安全性增强，也可以按照特定目标设计实现专门的或通用的安全操作系统。照特定目标设计实现专门的或通用的安全操作系统。安全操作系统通常与相应的安全等级相对应，例如，安全操作系统通常与相应的安全等级相对应，例如，根据根据TCSEC标准，通常称标准，通常称B1级以上的操作系统为级以上的操作系统为安全操作系统。安全操作系统。Multics是开发安全操作系统最早期的尝试。是开发安全操作系统最早期的尝试。Adept-50是一个分时安全操作系统，可以实际投入是一个分时安全操作系统，可以实际投入使用，使用，1969年年C.Weissman发表了有关发

16、表了有关Adept-50安全安全控制的研究成果。控制的研究成果。1969年年B.W.Lampson通过形式化表示方法运用主体通过形式化表示方法运用主体（subject）、）、客体（客体（object）和访问矩阵（和访问矩阵（access matrix）的思想第一次对访问控制问题进行了抽象。的思想第一次对访问控制问题进行了抽象。1972年，年，J.P.Anderson在一份研究报告中提出了参在一份研究报告中提出了参照监视器（照监视器（reference monitor）、）、访问验证机制访问验证机制（reference validation mechanism）、）、安全内核安全内核（secur

17、ity kernel）和安全建模（和安全建模（modeling）等重等重要思想。要思想。1.3 安全操作系统的研究发展安全操作系统的研究发展1973年，年，B.W.Lampson提出了隐蔽通道的概念，他提出了隐蔽通道的概念，他发现两个被限制通信的实体之间如果共享某种资源，发现两个被限制通信的实体之间如果共享某种资源，那么它们可以利用隐蔽通道传递信息。那么它们可以利用隐蔽通道传递信息。同年，同年，D.E.Bell和和L.J.LaPadula提出了第一个可证提出了第一个可证明的安全系统的数学模型，即明的安全系统的数学模型，即BLP模型。模型。可验证安全操作系统（可验证安全操作系统（provably

18、 secure operating system，PSOS）提供了一个层次结构化的基于权提供了一个层次结构化的基于权能的安全操作系统设计，能的安全操作系统设计，1975年前后开始开发。年前后开始开发。安全内核操作系统（安全内核操作系统（kernelized secure operating system,KSOS）是美国国防部研究计划局是美国国防部研究计划局1977年发年发起的一个安全操作系统研制项目，由起的一个安全操作系统研制项目，由Ford太空通讯太空通讯公司承担。公司承担。UCLA Secure UNIX也是美国国防部研究计划局于也是美国国防部研究计划局于1978年前后发起的一个安全操作

19、系统研制项目，由年前后发起的一个安全操作系统研制项目，由加利福尼亚大学承担。加利福尼亚大学承担。UCLA Secure UNIX的系统的系统设计方法及目标几乎与设计方法及目标几乎与KSOS相同。相同。1983年，美国国防部出版了历史上第一个计算机安年，美国国防部出版了历史上第一个计算机安全评价标准全评价标准可信计算机系统评价准则可信计算机系统评价准则（TCSEC），1985年，美国国防部对年，美国国防部对TCSEC进进行了修订。行了修订。LINVS 是是1984年开发的基于年开发的基于UNIX的一个实验安的一个实验安全操作系统，系统的安全性可达到美国国防部橘皮全操作系统，系统的安全性可达到美国

20、国防部橘皮书的书的B2级。级。Secure Xenix是是IBM公司于公司于1986年在年在SCO Xenix的的基础上开发的一个安全操作系统，它最初是在基础上开发的一个安全操作系统，它最初是在IBM PC/AT平台上实现的。平台上实现的。1987年，美国年，美国Trusted Information Systems公司以公司以Mach操作系统为基础开发了操作系统为基础开发了B3级的级的Tmach（Trusted Mach）操作系统。操作系统。1989年，加拿大多伦多大学开发了与年，加拿大多伦多大学开发了与UNIX兼容的兼容的安全安全TUNIS操作系统。操作系统。ASOS（army secur

21、e operating system）是针对美是针对美军的战术需要而设计的军用安全操作系统，由军的战术需要而设计的军用安全操作系统，由TRW公司公司1990年开发完成。年开发完成。OSF/1是开放软件基金会于是开放软件基金会于1990年推出的一个安全年推出的一个安全操作系统，被美国国家计算机安全中心（操作系统，被美国国家计算机安全中心（NCSC）认可为符合认可为符合TCSEC的的B1级。级。UNIX SVR4.1ES是是UI（UNIX国际组织）于国际组织）于1991年年推出的一个安全操作系统，被美国国家计算机安全推出的一个安全操作系统，被美国国家计算机安全中心（中心（NCSC）认可为符合认可为

22、符合TCSEC的的B2级。级。1991年，在欧洲共同体的赞助下，英、德、法、荷年，在欧洲共同体的赞助下，英、德、法、荷4国制定了拟为欧共体成员国使用的共同标准国制定了拟为欧共体成员国使用的共同标准信息技术安全评定标准（信息技术安全评定标准（ITSEC）。）。随着各种标准随着各种标准的推出和安全技术产品的发展，美国和加拿大及欧的推出和安全技术产品的发展，美国和加拿大及欧共体国家一起制定了通用安全评价准则（共体国家一起制定了通用安全评价准则（Common Criteria for IT Security Evaluation，CC），），1996年年1月发布了月发布了CC的的1.0版。版。CC标准

23、的标准的2.0版已于版已于1997年年8月颁布，并于月颁布，并于1999年年7月通过国际标准组织认可，月通过国际标准组织认可，确立为国际标准，即确立为国际标准，即ISO/IEC 15408。CC本身由两个部分组成，一部分是一组信息技术本身由两个部分组成，一部分是一组信息技术产品的安全功能需求的定义，另一部分是对安全保产品的安全功能需求的定义，另一部分是对安全保证需求的定义。证需求的定义。CC标准吸收了各国对信息系统安标准吸收了各国对信息系统安全标准的经验与知识，将对信息安全的研究与应用全标准的经验与知识，将对信息安全的研究与应用带来重大影响。带来重大影响。在在1992到到1993年之间，美国国

24、家安全局（年之间，美国国家安全局（NSA）和和安全计算公司（安全计算公司（SCC）的研究人员在的研究人员在TMach项目和项目和LOCK项目的基础上，共同设计和实现了分布式可项目的基础上，共同设计和实现了分布式可信信Mach系统（系统（distributed trusted Mach，DTMach）。）。与传统的基于与传统的基于TCSEC标准的开发方法不同，标准的开发方法不同，1997年美国国家安全局和安全计算公司完成的年美国国家安全局和安全计算公司完成的DTOS安安全操作系统采用了基于安全威胁的开发方法。全操作系统采用了基于安全威胁的开发方法。SELinux以以Flask安全体系结构为指导，

25、通过安全判安全体系结构为指导，通过安全判定与安全实施的分离实现了安全策略的独立性，借定与安全实施的分离实现了安全策略的独立性，借助访问向量缓存（助访问向量缓存（AVC）实现了对动态策略的支持。实现了对动态策略的支持。极可靠操作系统（极可靠操作系统（extremely reliable operating system,EROS）是一种基于权能（是一种基于权能（capability，又称又称能力）的高性能微内核实时安全操作系统，是能力）的高性能微内核实时安全操作系统，是GNOSIS（后命名为后命名为KeyKOS）体系结构的第三代。体系结构的第三代。其他还有一些安全操作系统开发项目，如其他还有一些

26、安全操作系统开发项目，如Honeywell的的STOP、Gemini的的GEMSOS、DEC的的VMM(virtual machine monitor)，以及以及HP和和Data General等公司开发的安全操作系统。等公司开发的安全操作系统。在我国，也进行了许多有关安全操作系统的开发研在我国，也进行了许多有关安全操作系统的开发研制工作，并取得了一些研究成果。制工作，并取得了一些研究成果。1999年年10月月19日，我国国家技术监督局发布了国家日，我国国家技术监督局发布了国家标准标准GB178591999计算机信息系统安全保护等计算机信息系统安全保护等级划分准则级划分准则，为计算机信息系统安

27、全保护能力划，为计算机信息系统安全保护能力划分了等级。该标准已于分了等级。该标准已于2001年起强制执行。年起强制执行。2001年前后，我国安全操作系统研究人员相继推出年前后，我国安全操作系统研究人员相继推出了一批基于了一批基于Linux的安全操作系统开发成果。的安全操作系统开发成果。2000年年11月月18日，公安部计算机信息系统安全产品日，公安部计算机信息系统安全产品质量监督检验中心，在网站质量监督检验中心，在网站http:/上发布公告上发布公告:“国内首家安全操作系统通过检测国内首家安全操作系统通过检测”。安胜安全操作系统安胜安全操作系统v1.0于于2001年年2月月20日首家通过了日首

28、家通过了中国国家信息安全产品测评认证中心的测评认证，中国国家信息安全产品测评认证中心的测评认证，获得国家信息安全产品型号认证。获得国家信息安全产品型号认证。2001年年3月月8日，我国国家技术监督局发布了国家标日，我国国家技术监督局发布了国家标准准GB/T183362001信息技术安全技术信息技术安全技术 信息技术信息技术安全性评估准则安全性评估准则，它基本上等同于国际通用安全，它基本上等同于国际通用安全评价准则（评价准则（CC）。）。以下列举一些重要的有关操作系统安全的定义和术以下列举一些重要的有关操作系统安全的定义和术语。语。计算机信息系统（计算机信息系统（computer informa

29、tion system）:由计算机及其相关的和配套的设备、设由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理对信息进行采集、加工、存储、传输、检索等处理的人机系统。的人机系统。安全周界（安全周界（security perimeter）:用半径来表示用半径来表示的空间。该空间包围着用于处理敏感信息的设备，的空间。该空间包围着用于处理敏感信息的设备，并在有效的物理和技术控制之下，防止未授权的进并在有效的物理和技术控制之下，防止未授权的进入或敏感信息的泄露。入或敏感信息的泄露。1.4

30、 基本定义及术语基本定义及术语 可信计算基（可信计算基（trusted computing base，TCB）:计算机系统内保护装置的总体，包括硬件、固件、计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的基本的保护环境并提供一个可信计算系统所要求的附加用户服务。附加用户服务。安全策略（安全策略（security policy）:对对TCB中的资源进中的资源进行管理、保护和分配的一组规则。简单地说就是用行管理、保护和分配的一组规则。简单地说就是用户对安全要求的描述。一个

31、户对安全要求的描述。一个TCB中可以有一个或多中可以有一个或多个安全策略。个安全策略。安全模型（安全模型（security model）:用形式化的方法来用形式化的方法来描述如何实现系统的机密性、完整性和可用性等安描述如何实现系统的机密性、完整性和可用性等安全要求。全要求。客体（客体（object）:系统中被动的主体行为承担者。系统中被动的主体行为承担者。对一个客体的访问隐含着对其所含信息的访问。客对一个客体的访问隐含着对其所含信息的访问。客体的实体类型有记录、程序块、页面、段、文件、体的实体类型有记录、程序块、页面、段、文件、目录、目录树和程序，还有位、字节、字、字段、目录、目录树和程序，还

32、有位、字节、字、字段、处理器、视频显示器、键盘、时钟、打印机和网络处理器、视频显示器、键盘、时钟、打印机和网络节点等。节点等。主体（主体（subject）是这样的一种实体，它引起信息是这样的一种实体，它引起信息在客体之间的流动。通常，这些实体是指人、进程在客体之间的流动。通常，这些实体是指人、进程或设备等，一般是代表用户执行操作的进程。如编或设备等，一般是代表用户执行操作的进程。如编辑一个文件时，编辑进程是存取文件的主体，而文辑一个文件时，编辑进程是存取文件的主体，而文件是客体。件是客体。参照监视器（参照监视器（reference monitor）:监督主体和客监督主体和客体之间授权访问关系的

33、部件。体之间授权访问关系的部件。安全内核（安全内核（security kernel）:通过控制对系统资通过控制对系统资源的访问来实现基本安全规程的计算机系统的中心源的访问来实现基本安全规程的计算机系统的中心部分。部分。标识与鉴别（标识与鉴别（identification&authentication，I&A）:用于保证只有合法用户才能进入系统，进用于保证只有合法用户才能进入系统，进而访问系统中的资源。而访问系统中的资源。访问控制（访问控制（access control）:限制已授权的用户、限制已授权的用户、程序、进程或计算机网络中其他系统访问本系统资程序、进程或计算机网络中其他系统访问本系统资

34、源的过程。源的过程。访问控制列表（访问控制列表（access control list，ACL）:与系与系统中客体相联系的，用来指定系统中哪些用户和组统中客体相联系的，用来指定系统中哪些用户和组可以以何种模式访问该客体的控制列表。可以以何种模式访问该客体的控制列表。自主访问控制（自主访问控制（discretionary access control，DAC）:用来决定一个用户是否有权限访问此客体用来决定一个用户是否有权限访问此客体的一种访问约束机制，该客体的所有者可以按照自的一种访问约束机制，该客体的所有者可以按照自己的意愿指定系统中的其他用户对此客体的访问权。己的意愿指定系统中的其他用户对此

35、客体的访问权。敏感标记（敏感标记（sensitivity label）:用以表示客体安全用以表示客体安全级别并描述客体数据敏感性的一组信息，在可信计级别并描述客体数据敏感性的一组信息，在可信计算基中把敏感标记作为强制访问控制决策的依据。算基中把敏感标记作为强制访问控制决策的依据。强制访问控制（强制访问控制（mandatory access control，MAC）:用于将系统中的信息分密级和类进行管理，用于将系统中的信息分密级和类进行管理，以保证每个用户只能够访问那些被标明可以由他访以保证每个用户只能够访问那些被标明可以由他访问的信息的一种访问约束机制。问的信息的一种访问约束机制。角色（角色（

36、role）:系统中一类访问权限的集合。系统中一类访问权限的集合。最小特权原理（最小特权原理（least privilege principle）:系统系统中每一个主体只能拥有与其操作相符的必需的最小中每一个主体只能拥有与其操作相符的必需的最小特权集。特权集。隐蔽通道（隐蔽通道（covert channel）:非公开的但让进程非公开的但让进程有可能以危害系统安全策略的方式传输信息的通信有可能以危害系统安全策略的方式传输信息的通信信道。信道。审计（审计（audit）:一个系统的审计就是对系统中有一个系统的审计就是对系统中有关安全的活动进行记录、检查及审核。关安全的活动进行记录、检查及审核。审计跟踪

37、（审计跟踪（audit trail）:系统活动的流水记录。系统活动的流水记录。该记录按事件自始至终的途径、顺序，审查和检验该记录按事件自始至终的途径、顺序，审查和检验每个事件的环境及活动。每个事件的环境及活动。客体重用（客体重用（object reuse）:对曾经包含一个或几对曾经包含一个或几个客体的存储介质个客体的存储介质(如页框、盘扇面、磁带如页框、盘扇面、磁带)重新分重新分配和重用。为了安全地进行重分配、重用，要求介配和重用。为了安全地进行重分配、重用，要求介质不得包含重分配前的残留数据。质不得包含重分配前的残留数据。可信通路（可信通路（trusted path）:终端人员能借以直接终端

38、人员能借以直接同可信计算基通信的一种机制。该机制只能由有关同可信计算基通信的一种机制。该机制只能由有关终端操作人员或可信计算基启动，并且不能被不可终端操作人员或可信计算基启动，并且不能被不可信软件模仿。信软件模仿。多级安全（多级安全（multilevel secure，MLS）:一类包含一类包含不同等级敏感信息的系统，它既可供具有不同安全不同等级敏感信息的系统，它既可供具有不同安全许可的用户同时进行合法访问，又能阻止用户去访许可的用户同时进行合法访问，又能阻止用户去访问其未被授权的信息。问其未被授权的信息。鉴别（鉴别（authentication）:验证用户、设备和其他验证用户、设备和其他实体

39、的身份；验证数据的完整性。实体的身份；验证数据的完整性。授权（授权（authorization）:授予用户、程序或进程的授予用户、程序或进程的访问权。访问权。保密性（保密性（confidentiality）:为秘密数据提供保护为秘密数据提供保护方法及保护等级的一种特性。方法及保护等级的一种特性。数据完整性（数据完整性（data integrity）:信息系统中的数据信息系统中的数据与原始数据没有发生变化，未遭受偶然或恶意的修与原始数据没有发生变化，未遭受偶然或恶意的修改或破坏时所具有的性质。改或破坏时所具有的性质。漏洞（漏洞（loophole）:由软硬件的设计疏忽或失误导由软硬件的设计疏忽或失

40、误导致的能避开系统安全措施的一类错误。致的能避开系统安全措施的一类错误。安全配置管理（安全配置管理（secure configuration management）:控制系统硬件与软件结构更改的一控制系统硬件与软件结构更改的一组规程。其目的是保证这种更改不违反系统的安全组规程。其目的是保证这种更改不违反系统的安全策略。策略。安全要素（安全要素（security element）:国标国标GB178591999中，各安全等级所包含的安全内容的组成成分，中，各安全等级所包含的安全内容的组成成分，比如自主存取控制、强制存取控制等。每一个安全比如自主存取控制、强制存取控制等。每一个安全要素在不同的安全

41、等级中可以有不同的具体内容。要素在不同的安全等级中可以有不同的具体内容。安全功能（安全功能（security function）:为实现安全要素为实现安全要素的内容，正确实施相应安全策略所提供的功能。的内容，正确实施相应安全策略所提供的功能。安全保证（安全保证（security assurance）:为确保安全要为确保安全要素的安全功能的实现所采取的方法和措施。素的安全功能的实现所采取的方法和措施。TCB安全功能（安全功能（TCB security function，TSF）:正确实施正确实施TCB安全策略的全部硬件、固件、软件所安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现

42、，组成一个安提供的功能。每一个安全策略的实现，组成一个安全功能模块。一个全功能模块。一个TCB的所有安全功能模块共同组的所有安全功能模块共同组成该成该TCB的安全功能。在跨网络的的安全功能。在跨网络的TCB中，一个安中，一个安全策略的安全功能模块，可能会在网络环境下实现。全策略的安全功能模块，可能会在网络环境下实现。可信计算机系统（可信计算机系统（trusted computer system）:一一个使用了足够的硬件和软件完整性机制，能够用来个使用了足够的硬件和软件完整性机制，能够用来同时处理大量敏感或分类信息的系统。同时处理大量敏感或分类信息的系统。操作系统安全（操作系统安全（operat

43、ing system security）:操操作系统无错误配置、无漏洞、无后门、无特洛伊木作系统无错误配置、无漏洞、无后门、无特洛伊木马等，能防止非法用户对计算机资源的非法存取，马等，能防止非法用户对计算机资源的非法存取，一般用来表达对操作系统的安全需求。一般用来表达对操作系统的安全需求。操作系统的安全性（操作系统的安全性（security of operating system）:操作系统具有或应具有的安全功能，比操作系统具有或应具有的安全功能，比如存储保护、运行保护、标识与鉴别、安全审计等。如存储保护、运行保护、标识与鉴别、安全审计等。安全操作系统（安全操作系统（secure operat

44、ing system）:能对能对所管理的数据与资源提供适当的保护级、有效地控所管理的数据与资源提供适当的保护级、有效地控制硬件与软件功能的操作系统。就安全操作系统的制硬件与软件功能的操作系统。就安全操作系统的形成方式而言，一种是从系统开始设计时就充分考形成方式而言，一种是从系统开始设计时就充分考虑到系统的安全性的安全设计方式。另一种是基于虑到系统的安全性的安全设计方式。另一种是基于一个通用的操作系统，专门进行安全性改进或增强一个通用的操作系统，专门进行安全性改进或增强的安全增强方式。安全操作系统在开发完成后，在的安全增强方式。安全操作系统在开发完成后，在正式投入使用之前一般都要求通过相应的安全

45、性评正式投入使用之前一般都要求通过相应的安全性评测。测。多级安全操作系统（多级安全操作系统（multilevel secure operating system）:实现了多级安全策略的安全操作系统，实现了多级安全策略的安全操作系统，比如符合美国橘皮书（比如符合美国橘皮书（TCSEC）B1级以上的安全级以上的安全操作系统。操作系统。漏洞：软件或硬件设计的缺陷，或者导致能避过系漏洞：软件或硬件设计的缺陷，或者导致能避过系统的安全措施的错误。统的安全措施的错误。安全状态：在未授权情况下，不会出现主题访问课安全状态：在未授权情况下，不会出现主题访问课题的情况。题的情况。安全过滤器：对传输的数据强制执行

46、安全策略的可安全过滤器：对传输的数据强制执行安全策略的可信子系统。信子系统。脆弱性：导致破坏系统安全策略的系统安全规则、脆弱性：导致破坏系统安全策略的系统安全规则、系统设计、实现、内部控制等方面的弱点。系统设计、实现、内部控制等方面的弱点。（1）安全功能与安全保证）安全功能与安全保证OS安全功能：安全功能：OS所实现的安全策略和安全机所实现的安全策略和安全机制制安全保证：通过一定的方法保证安全保证：通过一定的方法保证OS所提供的所提供的安全功能实现的一系列规则、方法等。安全功能实现的一系列规则、方法等。安全安全OS 安全需求安全需求 安全保护等级安全保护等级 安安全功能全功能 安全保证安全保证

47、（2）可信软件和不可信软件）可信软件和不可信软件软件可分软件可分3大可信类别：大可信类别：1.5操作系统安全的基本概念操作系统安全的基本概念可信的：软件保证能安全运行，但系统的安全依赖对可信的：软件保证能安全运行，但系统的安全依赖对软件的操作无误。软件的操作无误。良性的：软件并不确保安全运行，但由于使用特权或良性的：软件并不确保安全运行，但由于使用特权或对敏感信息的访问权，必须确信不会有意违反规则。对敏感信息的访问权，必须确信不会有意违反规则。恶意的：软件来历不明，从安全角度上看，该软件必恶意的：软件来历不明，从安全角度上看，该软件必须被视为恶意的，对系统有破坏性。须被视为恶意的，对系统有破坏

48、性。安全安全OS内的可信软件是指，由可信人员严格依照标准内的可信软件是指，由可信人员严格依照标准开发的，并通过先进的软件工程技术证明的开发的，并通过先进的软件工程技术证明的 软件。软件。可信软件只是与安全相关，其位于安全周界内，其软件可信软件只是与安全相关，其位于安全周界内，其软件故障对系统安全不会造成不利影响。良性软件与安全无故障对系统安全不会造成不利影响。良性软件与安全无关，位于安全周界外，其运行不会破坏系统的安全。关，位于安全周界外，其运行不会破坏系统的安全。（3）主体与客体）主体与客体（4）安全策略与安全模型）安全策略与安全模型安全策略：相关管理、保护和发布敏感信息的安全策略：相关管理

49、、保护和发布敏感信息的 法律、规则法律、规则和实施细则。和实施细则。安全模型：对安全策略所表达的安全需求的简单、抽象和无安全模型：对安全策略所表达的安全需求的简单、抽象和无歧义的描述，为安全策略以及安全策略实现机制提供框架。歧义的描述，为安全策略以及安全策略实现机制提供框架。（5）参照监视器）参照监视器（6）安全内核）安全内核安全内核是指系统中与安全性实现有关的部分，包括引用验安全内核是指系统中与安全性实现有关的部分，包括引用验证机制、访问控制机制、授权机制等。这是建立安全证机制、访问控制机制、授权机制等。这是建立安全OS最常最常见的方法（以设计和开发的规则为基础，能够提高用户对系见的方法（以

50、设计和开发的规则为基础，能够提高用户对系统安全控制的信任度）统安全控制的信任度）（7）可信计算基）可信计算基由软件、硬件和安全管理人员等组成的系统可信计算基（由软件、硬件和安全管理人员等组成的系统可信计算基（TCB)其组成为：其组成为：OS的安全内核的安全内核具有特权的程序和命令具有特权的程序和命令处理敏感信息的程序，如系统管理命令等处理敏感信息的程序，如系统管理命令等与与TCB实施安全策略有关的文件实施安全策略有关的文件其他相关的硬件、固件和设备其他相关的硬件、固件和设备负责系统管理的人员负责系统管理的人员保障固件和硬件正确的程序和诊断软件保障固件和硬件正确的程序和诊断软件可信计算基的软件部