电子科技大学计算机与科学学院,电子科技大学计算机科学与工程学院.ppt

电子科技大学计算机科学与工程学院

计算系统与网络安全Computer System and Network Security 电子科技大学 计算机科学与工程学院 第8章 计算机系统安全(操作系统安全) 计算机系统的层次结构 从计算机系统的组成来看，包括硬件、操作系统内核、操作系统、服务和应用程序五个部分 硬件安全保护技术 如果攻击者可以控制中断矢量表，就可以控制程序的执行，从而破坏计算机系统的正常处理过程。 硬件安全保护技术 大多数CPU的中断有优先权之分，使得更高优先权的中断可以抢占正在执行的中断，从而中止当前的中断句柄。 在第一级的中断处理程序必须拥有自己的堆栈，以便在处理更高级别的中断前保存CPU的执行状态。 当中断处理完毕以后，CPU将恢复到以前的状态，继续执行中断处理前正在执行的指令。 这种情况如果处理不正确，就会带来安全威胁。 硬件安全保护技术(续) 除了中断处理机制意外，许多处理器也提供了特权级保护。例如，Intel 80386/80486上的保护模式就提供了四种特权级： 0 操作系统核心 1 操作系统其余部分 2 I/O驱动程序部分 3 应用软件 OS Security KeyPoints OS安全概念 引用监视器 引用监控器(Reference Monitor)： 是一种访问控制，用于协调主体对客体的访问。 因此，引用监视器能够识别系统中的程序，控制其它程序的运行，负责控制对系统资源的访问。 引用监视器的特点包括： 是控制对设备、文件、内存、进程等对象进行访问的一组访问控制策略； 是所有访问请求的唯一入口； 自身必须是正确和安全的； 应该足够小，使得对引用监视器的验证容易进行。 引用监视器(续) 安全内核 安全内核(Secure Kernel)： 安全内核是实现引用监视器概念的可信计算基的硬件、固件和软件的集合体，是系统中与安全性的实现有关的部分，包括引用验证机制、授权(authorization)机制和授权的管理机制等成分。 安全内核的特点包括： 必须对所有访问进行验证和授权； 自身必须被保护不被修改； 自身的安全性应该是可证且安全的。 安全内核(续) 引用验证机制： J.P. Anderson 把引用监控器的具体实现称为引用验证机制 引用验证机制是实现引用监控器思想的硬件和软件的组合。 引用验证机制需同时满足以下3 个原则： (1)必须具有自我保护能力； (2)必须总是处于活跃状态； (3)必须设计得足够小，以利于分析和测试，从而能够证明它的实现是正确的。 可信计算基 可信计算基(TCB：Trusted Computing Base)： 是一个计算机系统中的全部保护机制(包括硬件、固件和软件)，他们结合起来为系统提供全局统一的访问控制策略。 在某些系统中，TCB等同于安全内核，即TCB是操作系统的一部分，是整个系统安全性的基础。 可信计算基(续) 引用监视器是一个抽象的概念 安全内核(包括引用验证机制)是引用监视器的实现 TCB包含了安全内核以及其他保护机制。 可信计算基(续) 操作系统安全性的评估方法 (1)测试 (2)形式化验证 (3)非形式化验证 一、操作系统安全概念 安全的门户和攻击的对象 安全的突破点 系统安全的基础 运行安全的平台 用户安全的界面 系统恢复的基础 1. 操作系统安全的特点 程序：一组面向机器和用户的程序 表格：若干支持运行的表格 接口：用户程序和计算机硬件之间的接口 资源：软、硬件、用户、接口、数据、网络 管理：管理所有系统资源，包括用户 保护和控制：对资源进行保护和控制 操作系统安全的特点(续) 多道程序与资源共享 并行执行与相互制约 资源分配与资源调度 开放性与规范性 系统调用与核心编程 系统漏洞与缺陷 外部攻击(恶意程序、远程调用) 2. 操作系统的安全漏洞 系统设计缺陷(并发程序缺陷、隐蔽通道、死区代码、调试程序块…) 隐蔽调用(BIOS替换、矢量、预留接口…) 调用陷阱(各类调用形成的隐患) I/O缺陷(I/O通道在OS的安全限制外) 访问策略(保护与共享、隔离与连通矛盾) 安全机制限制(决策、时间、次数、开销) 通用性陷阱(通用性的特权) 3. 操作系统的安全观点 设计者观点： 安全机制如何从一开始就加入操作系统？ 操作系统中哪些资源需要保护？ 如何建立最可靠的安全机制？ 如何分层次、分步骤地实现安全机制？ 如何对安全操作系统进行评价？ 需要提供多种安全级别以供选择 操作系统的安全观点(续) 使用者观点： 什么样的安全机制适合于我？ 建立安全机制的费用、价值和时间 如何保护操作系统的资源？ 系统安全机制是否可信？难度如何？ 系统有没有漏洞？如何知道？ 对存在的安全漏洞应当采取的措施 操作系统的安全观点(续) 应用的观点 系统安全的折衷 系统安全的