TCSEC将计算机系统的安全程度分成D、C、B、A四等，
每等又包含一个或多个级别。共包括8个安全级别：D、C1、
C2、B1、B2、B3、A1、A1精，选P这PT8个级别渐次增强。
88
2．CC标准
1991年，在欧洲共同体的赞助下，英、德、法、荷四国 制定了拟为欧共体成员国使用的共同标准——信息技术安全 评定标准（ITSEC）。随着各种标准的推出和安全技术产品 的发展，迫切需要制定一个统一的国际标准。美国和同加拿 大及欧共体国家一起制定了一个共同的标准，于1999年7月 通过国际标准组织认可，确立为国际标准，简称为CC——
精选PPT
1122
9.2.2 用户身份认证机制
1．口令
口令是计算机系统和用户双方都知道的 某个关键字，相当于是一个约定的编码单词 或“暗号”。它一般有字母、数字和其他符 号组成，在不同的系统中，其长度和格式也 可能不同（例如大小写是否敏感等）。口令 的产生既可以由系统自动产生，也可以由用 户自己选择。
第九章 操作系统的安全性
本章学习目标 通过本章的学习，读者应掌握以下内容： •计算机系统安全性的内涵 •操作系统的安全性功能 •操作系统的安全机制 •安全操作系统的开发
精选PPT
11
教学内容
9.1 操作系统安全性概述 9.2 操作系统的安全机制 小结
精选PPT
2
9.1 操作系统安全性概述
9.1.1 计算机系统安全性的内涵
1． 对计算机系统安全性的威胁 （1）自然灾害。 （2）计算机系统自身的软硬件故障。 （3）合法用户使用不当。 （4）非法用户对计算机系统的攻击。
精选PPT
33
2．计算机系统安全性的内涵
（1）保密性。指系统不受外界破坏、无泄露、 对各种非法进入和信息窃取具有防范能力。只有授 权用户才能存取系统的资源和信息。
权用户的存取权限进行额外的限制。
精选PPT
44
9.1.2 操作系统的安全性
（1）有选择的访问控制
有选择的访问控制包括使用多种不同的方式来 限制计算机环境下对特定对象的访问，对计算机级 的访问可以通过用户名和密码组合及物理限制来控 制，对目录或文件级的访问则可以由用户和组策略 来控制。
（2）内存管理与对象重用
在复杂的虚拟内存管理器出现之前，将含有机 密信息的内容保存在内存中风险很大。
精选PPT
55
系统中的内存管理器必须能够隔离开每个不同 进程所使用的内存。在进程终止且内存将被重用之 前，必须在再次访问它之前，将其中的内容清空。
（3）审计能力
审计功能至少包括可配置的事件跟踪能力、事 件浏览和报表功能、审计事件、审计日志访问等。
精选PPT
77
9.1.3 计算机系统安全性评价标准
为了能有效地以工业化方式构造可信任的安全产品，必 须建立对该产品进行安全性评价的标准。
1．TCSEC标准
美国国防部在20世纪80年代中期制定了一组计算机系统 安全需求标准，共包括20 多个文件，每个文件分别使用不同 的颜色的封面，统称为“彩虹系列”。其中最核心的是具有 橙色封面的“可信任计算机系统评价标准（TCSEC—— Trusted Computer System Evaluation Criteria）”，称为 “橙皮书”。
精选PPT
1100
9.2 操作系统的安全机制
操作系统的安全机制的功能是防止非法用户登 录计算机系统，防止合法用户非法使用计算机系统 资源，以及加密在网络上传输的信息，防止外来的 恶意攻击。总之是防止对计算机系统本地资源和网 络资源的非法访问。
精选PPT
1111
9.2.1 内存保护机制
在多道程序中，一个重要的问题是防止 一道程序在存储和运行时影响到其他程序。 操作系统可以在硬件中有效使用硬保护机制 进行存储器的安全保护，现在比较常用的有 界址、界限寄存器、重定位、特征位、分段、 分页和段页式机制等。
精选PPT
1133
2．口令使用的安全性
用户在设置和使用口令时要注意以下问题：
（1）口令要尽可能长。
（2）多用混合型的口令。
（3）不要用自己或家人的生日、姓名、常用单 词等做口令。
（4）经常更换口令。
（5）设置错误口令注册次数。
（6）用户在使用系统前，要确认系统的合法性，
以免被骗取口令。
精选PPT
1144
Information Technology Security Evaluation Common Criteria。
CC本身由两个部分组成，一部分是一组信息技术产品
的安全功能需要定义，另一部分是对安全保证需求的定义。
精选划分准则》 中国于1999年颁布的《计算机信息系统安全保 护等级划分准则》（GB 17859-1999），将计算机 信息系统安全程度划分为以下五个等级： 第1级为用户自主保护级。 第2级为系统审计保护级。 第3级为安全标记保护级。 第4级为结构化保护级。 第5级为安全域级保护级。
3．系统口令表的安全性 （1）限制明文系统口令表的存取 （2）加密口令文件 4．物理鉴定 检查用户是否有某些特定的“证件”如磁卡或 IC卡。 测量那些难以伪造的特征如终端上的指纹或者 声波波纹读取机可验证用户身份，还可直接用视觉 辨认。
精选PPT
1155
9.2.3 访问控制技术
1．保护域
域是<对象，权限>对的集合，每个对标记了一个对象和 一个可执行操作的子集。
（2）完整性。指信息必须按照其原型保存，不 能被有意或无意地修改，只有授权用户才能修改 （对软件或数据未经授权的修改都可能导致系统的 致命错误）。完整性分为软件完整性和数据完整性。
（3）可用性。指对合法用户而言，无论何时，
只要需要，信息必须是可用的，授权用户的合法请
求，能准确及时地得到服务或响应，不能对合法授
（4）加密的数据传送
数据传送加密保证了在网络传送时所截获的信
息不能被未经身份认证代理所访问。
精选PPT
66
（5）加密的文件系统 对文件系统加密保证了数据只能被具有正确选择访问 权的用户所访问。 （6）安全的进程间通信机制 进程间通信也是给系统安全带来威胁的一个主要因素， 应对进程间的通信机制做一些必要的安全检查，禁止高安全 等级进程通过进程间通信的方式传递信息给低安全等级进程。