第一章：绪论1 操作系统是最基本的系统软件，是计算机用户和计算机硬件之间的接口程序模块，是计算机系统的核心控制软件，其功能简单描述就是控制和管理计算机系统内部各种资源，有效组织各种程序高效运行，从而为用户提供良好的、可扩展的系统操作环境，达到使用方便、资源分配合理、安全可靠的目的。

2 操作系统地安全是计算机网络信息系统安全的基础。

3 信息系统安全定义为：确保以电磁信号为主要形式的，在计算机网络化(开放互联)系统中进行自动通信、处理和利用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的机密性（保密性）、完整性、可用性、可审查性和抗抵赖性，与人、网络、环境有关的技术安全、结构安全和管理安全的总和。

4 操作系统面临的安全威胁可分为保密性威胁、完整性威胁和可用性威胁。

5 信息的保密性：指信息的隐藏，目的是对非授权的用户不可见。

保密性也指保护数据的存在性，存在性有时比数据本身更能暴露信息。

6 操作系统受到的保密性威胁：嗅探，木马和后门。

7 嗅探就是对信息的非法拦截，它是某一种形式的信息泄露. 网卡构造了硬件的―过滤器―通过识别MAC地址过滤掉和自己无关的信息，嗅探程序只需关闭这个过滤器，将网卡设置为―混杂模式―就可以进行嗅探。

8 在正常的情况下，一个网络接口应该只响应这样的两种数据帧： 1.与自己硬件地址相匹配的数据帧。

2.发向所有机器的广播数据帧。

9 网卡一般有四种接收模式：广播方式，组播方式，直接方式，混杂模式。

10 嗅探器可能造成的危害：•嗅探器能够捕获口令；•能够捕获专用的或者机密的信息；•可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限；•分析网络结构，进行网络渗透。

11 大多数特洛伊木马包括客户端和服务器端两个部分。

不管特洛伊木马的服务器和客户程序如何建立联系，有一点是不变的，攻击者总是利用客户程序向服务器程序发送命令，达到操控用户机器的目的。

特洛伊木马：一种恶意程序，它悄悄地在宿主机器上运行，在用户毫无察觉的情况下让攻击者获得了远程访问和控制系统的权限。

特洛伊木马也有一些自身的特点，例如它的安装和操作都是在隐蔽之中完成；大多数特洛伊木马包括客户端和服务器端两个部分。

12 木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等, 达到偷窥别人隐私和得到经济利益的目的.13 后门：绕过安全性控制而获取对程序或系统访问权的方法。

14 间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。

通常具备实用的、具吸引力的基本功能，它还收集有关用户操作习惯的信息并将这些信息通过互联网发送给软件的发布者。

蠕虫(worm)可以算是病毒中的一种，但是它与普通病毒之间有着很大的区别。

一般认为:蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性同时具有自己的一些特征。

15 信息的完整性指的是信息的可信程度。

完整性的信息应该没有经过非法的或者是未经授权的数据改变。

完整性包括信息内容的完整性和信息来源的完整性.16 信息的完整性威胁主要分为两类:破坏和欺骗。

破坏：指中断或妨碍正常操作。

数据遭到破坏后。

其内容可能发生非正常改变，破坏了信息内容的完整性。

欺骗：指接受虚假数据。

17 有几种类型的攻击可能威胁信息的完整性，即篡改(modification)、伪装(masquerading)、重放(replaying)和否认(repudiation)。

18 可用性威胁是指对信息或者资源的期望使用能力.19 威胁可用性的攻击称为拒绝服务(Denial of Service)。

20 网络带宽攻击：指以极大的通信量冲击网络，使得所有可用的网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。

连通性攻击：指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法在处理合法用户的请求。

21 DoS目的：使计算机或网络无法提供正常的服务可能发生在服务器的源端可能发生在服务器的目的端可能发生在中间路径22 操作系统可用性威胁的另一个主要来源：计算机软件设计实现中的疏漏。

23绝对安全的OS是不存在的，只能尽可能地减少OS本身的漏洞，需要在设计时就以安全理论作指导，始终贯穿正确的安全原则。

系统漏洞是指：操作系统在逻辑设计上的缺陷或在编写时产生的错误；也可能是由操作系统生产厂家的一个不道德的雇员装入的（天窗）；这些漏洞可以被不法者或者电脑黑客利用，通过植入木马、病毒等方式来攻击或控制整个电脑，从而窃取电脑中的重要资料和信息，甚至破坏整个操作系统。

逻辑炸弹是一种程序或现有应用程序的一部分，当满足某种条件是，该程序的一部分功能就被激活产生破坏作用.多种触发方式：计算器触发；时间触发；复制触发；视频模式触发。

24操作系统安全威胁的发展趋势：•复杂化•多种威胁往往交织在一起25 Adept-50是历史上第一个安全操作系统，运行于IBM/360硬件平台。

26 访问控制的基本概念：–主体（subject）是访问操作中的主动实体。

引起信息在客体之间流动的实体，通常是指人、进程或设备等。

–客体（objective）是访问操作中的被动实体。

系统中被动的主体活动承担者。

–访问矩阵（access matrix）是以主体为行索引、以客体为列索引的矩阵，使用M表示–矩阵中第i行第j列的元素使用Mij表示，表示主体Si可对客体Oj进行的一组访问方式27信息保护机制的八条设计原则： (1) 机制经济性（economy）原则； (2) 失败-保险（fail-safe）默认原则； (3) 完全仲裁原则； (4) 开放式设计原则； (5) 特权分离原则； (6) 最小特权原则； (7) 最少公共机制原则； (8) 心理可接受性原则。

28 1983年美国防部颁布TCSEC(橘皮书）是历史上第一个计算机安全评价标准。

29软件可分为三大可信类别：可信的，良性的，恶意的。

30安全策略是指有关管理、保护和发布敏感信息的法律、规定和实施细则。

31安全模型则是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，它为安全策略和安全策略实现机制的关联提供了一种框架。

32引用验证机制需要同时满足以下3个原则: (1) 必须具有自我保护能力； (2) 必须总是处于活跃状态； (3) 必须设计得足够小，以利于分析和测试，从而能够证明它的实现是正确的。

33安全内核是指计算机系统中控制对系统资源的访问来实现安全规程的中心部分，包括引用验证机制、访问控制机制、授权机制和授权管理机制等部分。

34安全内核由硬件和介于硬件和操作系统之间的一层软件组成。

35．可信计算基(TCB)：是计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。

它建立了一个基本的保护环境，并提供一个可信计算系统所要求的附加用户服务。

通常所指的TCB是构成安全计算机信息系统的所有安全保护装置的组合体(通常称为安全子系统)，以防止不可信主体的干扰和篡改。

可信计算基（TCB）由以下几个部分组成： (1) 操作系统的安全内核。

(2) 具有特权的程序和命令。

(3) 处理敏感信息的程序，如系统管理命令等。

(4) 与TCB实施安全策略有关的文件。

(5) 其他有关的固件、硬件和设备。

(6) 负责系统管理的人员。

(7) 保障固件和硬件正确的程序和诊断软件。

36可信计算基（TCB）的软件部分是安全操作系统的核心内容，它完成下述工作:●内核的良好定义和安全运行方式；●标识系统中的每个用户；●保持用户到TCB登录的可信路径；●实施主体对客体的存取控制；●维持TCB功能的正确性；●监视和记录系统中的有关事件。

37.1）隐藏通道可定义为系统中不受安全策略控制的或者违反安全策略的信息泄露途径，是一种简易而有效的方法，可使得建立在未授权或未预料的方法之上的通信机制成为可能，他们能跨越多种访问控制/监视报告系统。

隐藏通道技术常常基于隧道技术。

这种机制允许将任何协议封装在已被授权的可行协议内。

2）隐蔽通道是指系统中利用那些本来不是用于通信的系统资源绕过强制存取控制进行非法通信的一种机制，是允许进程以危害系统安全策略的方式传递信息的信道。

特洛伊木马攻击系统的一个关键标志是通过一个合法的信息信道进行非法的通信根据通信双方传递信息所用媒介的不同，可以把隐蔽信道分为。

（1）隐蔽存储信道（Covert Storage Channel）：允许一个进程直接或间接地写一个存储位置，而另一个进程可以直接或间接地读这个存储位置。

（2）隐蔽定时信道（Covert Timing Channel）：允许一个进程通过调节自己对系统资源的使用向另一个进程发送信息，后者通过观察响应时间的改变而获得信息。

目前，已知的隐蔽信道绝大多数是存储信道。

但两者的划分也不是绝对的，有些隐蔽信道具有二者的特征。

3）衡量隐蔽信道的两个基本参数为容量和带宽。

容量指隐蔽信道一次所能传递的信息量，用B来衡量。

带宽指信息通过隐蔽信道传递的速度，用B/s(b/s)来衡量。

对隐蔽信道的常见处理技术包括：消除法、宽带限制法、威慑法等，美国橘皮书TCSEC建议结合使用这三种方法。

4）隐蔽信道处理的基本原则有以下几个方面（1）信道宽带低于某个预先设定值b的隐蔽信道是可以接收的。

（2）带宽高于b的隐蔽存储都应当可以审计。

所有不能审计的存储信道的带宽要记入文档，这使得管理员可以觉察并从程序上采取纠正措施对付重大的威胁。

（3）带宽高于预先设定的上限B（B>b）的隐蔽信道代表重大威胁，应当尽可能将其消除或者将其带宽降低到Bbps以下。

38.操作系统是一个庞大的管理控制程序，大致包括5个方面的管理功能：进程管理、作业管理、存储管理、设备管理、文件管理。

所有的操作系统具有并发性、共享性、虚拟性和不确定性四个基本特征。

39.操作系统的安全特性是指操作系统在基本功能基础上增加了安全机制与措施，以保障计算机资源使用的保密性、完整性和可用性。

操作系统的安全特性处于硬件和上层应用的中间环节，可以对数据库、应用软件、网络系统提供全方位的保护。

40.安全系统的特点：一个有效可靠的操作系统应具有很强的安全性，且必须具有相应的保护措施，消除和限制如计算机病毒、漏洞、特洛伊木马和隐藏通道等对系统构成的安全威胁41.安全操作系统与操作系统的安全是两个不同的概念；安全操作系统通常与相应的安全等级相对应；操作系统安全是指操作系统在基本功能基础上增加了安全机制与措施，以保障计算机资源使用的保密性、完整性和可用性。

42.开发安全操作系统是一个复杂且艰难的工程，首先必须要克服以下问题：(1)安全理论与模型问题：在整个安全操作系统开发中，建立适合的安全理论和模型是基础与依据。

(2)安全体系结构的问题：高安全等级不是安全功能的简单叠加，必须要有严密科学的结构加以保证。