2016/3/2
13
1.1 操作系统面临的安全威胁
操作系统在整个安全系统中的地位 操作系统是什么？ 操作系统管什么？ 操作系统有何用？
2016/3/2
14
1பைடு நூலகம்1 操作系统面临的安全威胁
用户程序 库管理程序 编辑程序 诊断程序 编译程序 解释程序 装配程序
操作系统
裸机
操作系统安全是整个系统安全的基础 任何想象中的、脱离操作系统的应用软件的高安全性， 就如同幻想在沙滩上建立坚不可摧的堡垒一样，毫无根 基可言。 没有安全的操作系统支持，网络安全也毫无根基可言。
21
1.1 操作系统安全的实例
2016/3/2
22
1.2操作系统安全是信息系统安全的基础
安全目标： 机密性、完整性、可用性
计 算 机 系 统 安 全
2016/3/2
应用安全 网 数据安全 络 安 操作系统安全 全
技术层
防火墙、入侵检测、防水墙、计算 机病毒、可信计算等 身份认证、访问控制、安全协议等 密码学
1988 年，AT&T Bell 实验室的。System V/MLS； 1989年，加拿大多伦多大学的安全TUNIS；
1990 年，TRW 公司的ASOS 系统；
1991年，UNIX国际组织的UNIX SVR4.1ES，符合B2级；
2016/3/2 32
安全操作系统的发展（续）
1991年，英、德、法、荷四国制定了信息技术安全评定 标准ITSEC； 1992～93年，美国国家安全局NSA和安全计算公司SCC 设计实现了分布式可信Mach操作系统DTMach；
物理安全
物理层：受灾、环境、电源、电磁辐射等
管 理 层 ： 法 律 、 法 规
23
构建整个系统的安全
Performance
Functionality
100% secure
Harris：Find the balanced solution between price, function,and performance
/crypto-gram.html Ross Anderson Security Engineering /users/rja14/book.html

2016/3/2
3
课程要求
课程形式 课堂教学，大作业、实验 成绩评定 总评成绩=结课成绩60%+考勤成绩10%+实验成 绩15%+大作业15%
1986 ，IBM 公司的V.D. Gligor 等设计了基于SCO Xenix 的安全Xenix 系统，基于安全注意键（secure attention key，SAK）实现了可信通路（Trusted path）。
2016/3/2
31
安全操作系统的发展（续）
1987年美国Trusted Information Systems公司开发了B3级的 Tmach(Trusted Mach)；
2016/3/2
计算机系统安全原理与技术
6
作业要求
大作业
2016/3/2
计算机系统安全原理与技术
7
基本目的
理解掌握操作系统中的安全问题及安全性 掌握操作系统安全的基本概念 掌握操作系统安全机制、安全模型、安全体系结构 了解安全操作系统的设计原则 根据操作系统安全目标能设计并评价安全操作系统
1.1 操作系统面临的安全威胁
逻辑炸弹 计算机病毒 1）入侵者要写一段程序进行非法操作，程 蠕虫 序的行为方式不会引起用户的怀疑。 2）必须设计出某种策略诱使受骗者接受这 嵌在操作系统里的一段非法代码， 段程序。 渗透者利用该代码提供的方法侵 3）必须使受骗者运行该程序。 内部、外部泄密 一段计算机程序，表面上在执行合法 入操作系统而不受检查。天窗只 4）入侵者必须通过某种手段回收由特洛伊 功能，实际上却完成了用户不曾意料 操作系统 能利用操作系统的缺陷或者混入 木马发作为他带来的实际利益。 不受安全策略控制的、违反安 到的非法功能 系统的开发队伍中进行安装。因 全策略的信息泄露路径。 此，开发安全操作系统的常规技
1993年，美国国防部推出的新的安全体系结构DGSA； 其他：92 年访问控制程序（ACP）和93 年看守员 （custodian）两种范型思想；
2016/3/2
11
第四部分 趋势篇
第十章可信计算技术 第十一章系统虚拟化技术 第十二章操作系统进展及其安全实践
2016/3/2
12
第一章引言
1.1操作系统面临的安全威胁与安全需求
1.2操作系统安全是信息系统安全的基础
1.3国内外安全操作系统发展历史与现状 1.4计算机系统安全等级划分与评测标准 （信息安全工程与管理中讲） 1.5相关术语
2016/3/2 26
安全操作系统的发展（续）
同年，B.W. Lampson 通过形式化表示方法运用主体（subject）、客体 （object）和访问矩阵（access matrix）的思想第一次对访问控制问题进行 了抽象。 1970 年，W.H. Ware 对多渠道访问的资源共享的计算机系统引起的安全问 题进行了研究，提出了多级安全系统和need-to-know原则的实现
2016/3/2
2
参考文献
卿斯汉等 . 操作系统安全（第2版）. 清华大学出版社. 林果园等. 操作系统安全. 北京邮电大学出版社. 2010 贾春福 郑鹏 操作系统安全 武汉大学出版社 2006 2011
沈晴霓 卿斯汉等 操作系统安全设计 机械工业 出版社 2013
Trent Jaeger Operating System Security MORGAN & CLAYPOOL PUBLISHERS Bruce Schneier Secrets & Lies and Beyond Fear Crypto-gram newsletter
2016/3/2
27
安全操作系统的发展（续）
1972年，J.P. Anderson提出了参照监视器（reference monitor）、访问验 证机制（reference validation mechanism）、安全内核（security kernel） 和安全建模（modeling）等重要思想。 1973 年，B.W. Lampson 提出了隐通道（covert channel）；同年，D.E. Bell 和L.J. LaPadula 提出了简称BLP 模型。
2016/3/2
28
安全操作系统的发展（续）
1975 年，J.H. Saltzer 和M.D. Schroeder 以保护机制的体系结构为中心， 重点考察了权能（capability）实现结构和访问控制表（access control list） 实现结构，给出了信息保护机制的八条设计原则。 1976 年，M.A. Harrison、W.L. Ruzzo 和J.D. Ullman 提出了操作系统保护 的第一个基本理论——HRU 理论。
2016/3/2
29
安全操作系统的发展（续）
1967-1979年典型的安全操作系统研究有： Multics Mitre 安全核 KSOS（Kernelized Secure Operating System）采用了形式化说明与验 证的方法，目标是高安全可信性。 UCLA 数据安全Unix PSOS等采用了层次式开发方法，通过形式化技术实现对安全操作系统 的描述和验证，设计中的每一个层次管理一个特定类型的对象，系统中 的每一个对象通过该对象的权能表示进行访问。 这段时期可称为奠基时期。
2016/3/2 30
安全操作系统的发展（续）
1983 年，美国国防部颁布了历史上第一个计算机安全评 价标准TCSEC橙皮书（Trusted Computer System Evaluation Criteria)。 1984 年，AXIOM 技术公司的S. Kramer开发了基于Unix 的实验型安全操作系统LINUS IV ，达到B2级；
2016/3/2
8
第一部分 基础篇
第一章 引言 第二章 基本概念 第三章 操作系统基本安全机制 第四章 通用操作系统安全机制
2016/3/2
9
第二部分 理论篇
第五章 安全策略与安全模型 第六章 安全体系结构 第七章 安全保障技术
2016/3/2
10
第三部分 实践篇
第八章 安全操作系统设计与实现技术 第九章 安全操作系统的应用
2016/3/2
15
操作系统的种类分布
2016/3/2
16
1.1 操作系统面临的安全威胁
控制 广播 工业 通讯
因特网 因特网
信息对抗的威胁在增加
电力
交通 医疗
金融
网络对国民经济的影响在加强
2016/3/2
17
1.1 操作系统面临的安全威胁
信息窃取
信息篡改
信息抵赖
信息冒充
2016/3/2
18
触发方式：计数器触发器、时间触发器、 复制触发器（当病毒复制数量达到某个设 定值时激活）、磁盘空间触发器、视频模 逻辑炸弹指附着在某些合法程序上的恶意 在计算机程序中插入的破坏计算机功 式触发器（当视频处于某个设定模式或从 代码，其通常处于潜伏状态，但在特定的 能或者破坏数据，影响计算机使用并 设定模式改变时激活）、基本输入输出系 逻辑条件满足的情况下会激活和执行，对 具有隐蔽性、传染性、潜伏性、破坏性等特点 且能够自我复制的一组计算机指令或 统（ BIOS）触发器、只读内存（ROM） 系统功能造成严重破坏。 者程序代码 触发器、键盘触发器、反病毒触发器等

2016/3/2
20
1.1 操作系统面临的安全需求