1.1 操作系统面临的安全威胁

1.1.1 安全威胁

病毒和蠕虫

病毒是能够自我复制的一组计算机指令或者程序代码。通过编制或者在计算机程序中插入这段代码，以达到破坏计算机功能、毁坏数据从而影响计算机使用的目的。

病毒具有以下基本特点:

● 隐蔽性。
● 传染性。
● 潜伏性。
● 破坏性。

蠕虫类似于病毒，它可以侵入合法的数据处理程序，更改或破坏这些数据。

蠕虫像病毒一样复制自身，蠕虫攻击带来的破坏可能与病毒一样严重，尤其是在没有及时发觉的情况下。

逻辑炸弹

• 逻辑炸弹是加在现有应用程序上的程序。

• 一般逻辑炸弹都被添加在被感染应用程序的起始处，每当该应用程序运行时就会运行逻辑炸弹。

• 它通常要检查各种条件，看是否满足运行炸弹的条件。

• 没有取得控制权就将控制权归还给主应用程序，逻辑炸弹仍然安静地等待。

• 逻辑炸弹不能复制自身，不能感染其他程序，但这些攻击已经使它成为了一种极具破坏性的恶意代码类型。

特洛伊木马

特洛伊木马是一段计算机程序，表面上在执行合法任务，实际上却具有用户不曾料到的非法功能。

一旦这些程序被执行，一个病毒、蠕虫或其他隐藏在特洛伊木马程序中的恶意代码就会被释放出来，攻击个人用户工作站，随后就是攻击网络。

特洛伊木马需要具备以下条件才能成功地入侵计算机系统:

● 入侵者要写一段程序进行非法操作，程序的行为方式不会引起用户的怀疑；
● 必须设计出某种策略诱使受骗者接受这段程序；
● 必须使受骗者运行该程序；
● 入侵者必须有某种手段回收由特洛伊木马程序提供的信息。

天窗

• 天窗是嵌在操作系统里的一段非法代码，渗透者利用该代码提供的方法侵入操作系统而不受检查。

• 天窗由专门的命令激活，一般不容易发现。

• 天窗所嵌入的软件拥有渗透者所没有的特权。

• 通常天窗设置在操作系统内部，天窗很像是操作系统里可供渗透的一个缺陷

隐蔽通道

• 隐蔽通道可定义为系统中不受安全策略控制的、违反安全策略的信息泄露路径。

• 按信息传递的方式和方法区分，隐蔽通道分为隐蔽存储通道和隐蔽定时通道。

• 隐蔽存储通道在系统中通过两个进程利用不受安全策略控制的存储单元传递信息。

• 隐蔽定时通道在系统中通过两个进程利用一个不受安全策略控制的广义存储单元传递信息。

1.1.2通用安全需求

• 机密性

• 完整性

• 可追究性

• 可用性

---

1.2 操作系统安全和信息系统安全

• 操作系统是信息系统的基石

• 计算机安全

• 操作系统安全

• 安全操作系统

---

1.4 基本定义及术语

● 计算机信息系统（computer information system）: 由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

● 安全周界（security perimeter）: 用半径来表示的空间。该空间包围着用于处理敏感信息的设备，并在有效的物理和技术控制之下，防止未授权的进入或敏感信息的泄露。

● 可信计算基（trusted computing base，TCB）: 计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。

● 安全策略（security policy）: 对TCB中的资源进行管理、保护和分配的一组规则。简单地说就是用户对安全要求的描述。一个TCB中可以有一个或多个安全策略。

● 安全模型（security model）: 用形式化的方法来描述如何实现系统的机密性、完整性和可用性等安全要求。

● 客体（object）: 系统中被动的主体行为承担者。对一个客体的访问隐含着对其所含信息的访问。客体的实体类型有记录、程序块、页面、段、文件、目录、目录树和程序，还有位、字节、字、字段、处理器、视频显示器、键盘、时钟、打印机和网络节点等。

● 主体（subject）是这样的一种实体，它引起信息在客体之间的流动。通常，这些实体是指人、进程或设备等，一般是代表用户执行操作的进程。如编辑一个文件时，编辑进程是存取文件的主体，而文件是客体。

● 参照监视器（reference monitor）: 监督主体和客体之间授权访问关系的部件。

● 安全内核（security kernel）: 通过控制对系统资源的访问来实现基本安全规程的计算机系统的中心部分。

● 标识与鉴别（identification & authentication，I&A）: 用于保证只有合法用户才能进入系统，进而访问系统中的资源。

● 访问控制（access control）: 限制已授权的用户、程序、进程或计算机网络中其他系统访问本系统资源的过程。

● 访问控制列表（access control list，ACL）: 与系统中客体相联系的，用来指定系统中哪些用户和组可以以何种模式访问该客体的控制列表。

● 自主访问控制（discretionary access control，DAC）: 用来决定一个用户是否有权限访问此客体的一种访问约束机制，该客体的所有者可以按照自己的意愿指定系统中的其他用户对此客体的访问权。

● 敏感标记（sensitivity label）: 用以表示客体安全级别并描述客体数据敏感性的一组信息，在可信计算基中把敏感标记作为强制访问控制决策的依据。

● 强制访问控制（mandatory access control，MAC）: 用于将系统中的信息分密级和类进行管理，以保证每个用户只能够访问那些被标明可以由他访问的信息的一种访问约束机制。

● 角色（role）: 系统中一类访问权限的集合。

● 最小特权原理（least privilege principle）: 系统中每一个主体只能拥有与其操作相符的必需的最小特权集。

● 隐蔽通道（covert channel）: 非公开的但让进程有可能以危害系统安全策略的方式传输信息的通信信道。

● 审计（audit）: 一个系统的审计就是对系统中有关安全的活动进行记录、检查及审核。

● 审计跟踪（audit trail）: 系统活动的流水记录。该记录按事件自始至终的途径、顺序，审查和检验每个事件的环境及活动。

● 客体重用（object reuse）: 对曾经包含一个或几个客体的存储介质(如页框、盘扇面、磁带)重新分配和重用。为了安全地进行重分配、重用，要求介质不得包含重分配前的残留数据。

● 可信通路（trusted path）: 终端人员能借以直接同可信计算基通信的一种机制。该机制只能由有关终端操作人员或可信计算基启动，并且不能被不可信软件模仿。

● 多级安全（multilevel secure，MLS）: 一类包含不同等级敏感信息的系统，它既可供具有不同安全许可的用户同时进行合法访问，又能阻止用户去访问其未被授权的信息。

● 鉴别（authentication）: 验证用户、设备和其他实体的身份；验证数据的完整性。

● 授权（authorization）: 授予用户、程序或进程的访问权。

● 保密性（confidentiality）: 为秘密数据提供保护方法及保护等级的一种特性。

● 数据完整性（data integrity）: 信息系统中的数据与原始数据没有发生变化，未遭受偶然或恶意的修改或破坏时所具有的性质。

● 漏洞（loophole）: 由软硬件的设计疏忽或失误导致的能避开系统安全措施的一类错误。

● 安全配置管理（secure configuration management）: 控制系统硬件与软件结构更改的一组规程。其目的是保证这种更改不违反系统的安全策略。

● 安全要素（security element）: 国标GB17859—1999中，各安全等级所包含的安全内容的组成成分，比如自主存取控制、强制存取控制等。每一个安全要素在不同的安全等级中可以有不同的具体内容。

● 安全功能（security function）: 为实现安全要素的内容，正确实施相应安全策略所提供的功能。

● 安全保证（security assurance）: 为确保安全要素的安全功能的实现所采取的方法和措施。

● TCB安全功能（TCB security function，TSF）: 正确实施TCB安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现，组成一个安全功能模块。一个TCB的所有安全功能模块共同组成该TCB的安全功能。在跨网络的TCB中，一个安全策略的安全功能模块，可能会在网络环境下实现。

● 可信计算机系统（trusted computer system）: 一个使用了足够的硬件和软件完整性机制，能够用来同时处理大量敏感或分类信息的系统。

● 操作系统安全（operating system security）: 操作系统无错误配置、无漏洞、无后门、无特洛伊木马等，能防止非法用户对计算机资源的非法存取，一般用来表达对操作系统的安全需求。

● 操作系统的安全性（security of operating system）: 操作系统具有或应具有的安全功能，比如存储保护、运行保护、标识与鉴别、安全审计等。

● 安全操作系统（secure operating system）: 能对所管理的数据与资源提供适当的保护级、有效地控制硬件与软件功能的操作系统。就安全操作系统的形成方式而言，一种是从系统开始设计时就充分考虑到系统的安全性的安全设计方式。另一种是基于一个通用的操作系统，专门进行安全性改进或增强的安全增强方式。安全操作系统在开发完成后，在正式投入使用之前一般都要求通过相应的安全性评测。

● 多级安全操作系统（multilevel secure operating system）: 实现了多级安全策略的安全操作系统，比如符合美国橘皮书（TCSEC）B1级以上的安全操作系统。

● 漏洞：软件或硬件设计的缺陷，或者导致能避过系统的安全措施的错误。

● 安全状态：在未授权情况下，不会出现主题访问课题的情况。

● 安全过滤器：对传输的数据强制执行安全策略的可信子系统。

● 脆弱性：导致破坏系统安全策略的系统安全规则、系统设计、实现、内部控制等方面的弱点。

---

1.5 操作系统安全的基本概念

（1）安全功能与安全保证

• OS安全功能：OS所实现的安全策略和安全机制

• 安全保证：通过一定的方法保证OS所提供的安全功能实现的一系列规则、方法等。

• 安全OS←安全需求←安全保护等级←安全功能←安全保证

（2）可信软件和不可信软件

软件可分3大可信类别：

• 可信的：软件保证能安全运行，但系统的安全依赖对软件的操作无误。

• 良性的：软件并不确保安全运行，但由于使用特权或对敏感信息的访问权，必须确信不会有意违反规则。

• 恶意的：软件来历不明，从安全角度上看，该软件必须被视为恶意的，对系统有破坏性。

安全OS内的可信软件是指，由可信人员严格依照标准开发的，并通过先进的软件工程技术证明的 软件。

可信软件只是与安全相关，其位于安全周界内，其软件故障对系统安全不会造成不利影响。良性软件与安全无关，位于安全周界外，其运行不会破坏系统的安全。

（3）主体与客体

（4）安全策略与安全模型

安全策略：相关管理、保护和发布敏感信息的法律、规则和实施细则。

安全模型：对安全策略所表达的安全需求的简单、抽象和无歧义的描述，为安全策略以及安全策略实现机制提供框架。

（5）参照监视器

（6）安全内核

安全内核是指系统中与安全性实现有关的部分，包括引用验证机制、访问控制机制、授权机制等。这是建立安全OS最常见的方法（以设计和开发的规则为基础，能够提高用户对系统安全控制的信任度）

（7）可信计算基

由软件、硬件和安全管理人员等组成的系统可信计算基（TCB)

其组成为：

• OS的安全内核

• 具有特权的程序和命令

• 处理敏感信息的程序，如系统管理命令等

• 与TCB实施安全策略有关的文件

• 其他相关的硬件、固件和设备

• 负责系统管理的人员

• 保障固件和硬件正确的程序和诊断软件