操作系统安全概述
目前服务器常用的操作系统有三类：
Unix Linux Windows Server 这些操作系统都是符合C2级安全级别的操作系统。

UNIX系统
UNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的
通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影 响深远的主流操作系统。
型的实现则描述了如何把特定的机制应用于系统中，从而实现 某一特定安全策略所需的安全保护。
C.访问监控器
访问控制机制的理论基础是访
问监控器。
访问监控器是一个抽象概念，
其具体实现是引用验证思想， 它是实现访问监控器思想的硬 件和软件的组合。
访问监控器需要同时满足以下
3 个原则：
(1) 必须具有自我保护能力；
UNIX操作系统经过数十年的发展后，已经成为一种成熟的主流操
作系统，并在发展过程中逐步形成了一些新的特色，其中主要特色 包括5个方面。 （1）可靠性高 （2）极强的伸缩性 （3）网络功能强 （4）强大的数据库支持功能 （5）开放性好
Linux系统
Linux是一套可以免费使用和自由传播的类Unix操作系统，这
（4）良好的界面
（5）丰富的网络功能 （6）可靠的安全、稳定性能
（7）支持多种平台
Windows 操作系统
Windows NT系列操作系统具有以下优点:
（1）支持多种网络协议

由于在网络中可能存在多种客户机，而这些客户机可能使用 了不同的网络协议。Windows NT系列操作支持几乎所有常 见的网络协议。 随着Internet的流行和TCP/IP协议组的标准化，Windows NT内置了IIS，可以使网络管理员轻松的配置WWW和FTP等 服务。 在2000中内置同时支持FAT和NTFS的磁盘分区格式。使用 NTFS可以提高文件管理的安全性，用户可以对NTFS系统中 的任何文件、目录设置权限，可以增加文件的安全性。
B.安全策略和安全模型
安全策略与安全模型是计算机安全理论中容易相互混淆的两个
概念。安全策略是指有关管理、保护和发布敏感信息的规定和 实施细则。
安全模型则是对安全策略所表达的安全需求的简单、抽象和无
歧义的描述，它为安全策略和安全策略实现机制的关联提供了 一种框架。
安全模型描述了对某个安全策略需要用哪种机制来满足；而模
最基本的主体是用户，系统中的所有事件要求，几乎全是由用户 激发的。进程是系统中最活跃的实体，用户的所有事件要求都要 通过进程的运行来处理。
客体是一个被动的实体。在操作系统中，客体可以是按照一定格
式存储在一定记录介质上的数据信息，也可以是操作系统中的进 程。操作系统中的进程（包括用户进程和系统进程）一般有着双 重身份。
网络安全防御术
第八章 操作系统安全配置方案
内容提要
安全操作系统基础

安全操作系统的基本概念 安全操作系统的机制
Windows 2000服务器的安全配置

操作系统的安全将决定网络的安全，从保护级别上分成 安全初级篇、中级篇和高级篇，共 36条基本配置原则。 初级篇讲述常规的操作系统安全配置 中级篇介绍操作系统的安全策略配置 高级篇介绍操作系统安全信息通信配置
硬件安全机制 安全标识与鉴别


访问控制
最小特权管理 可信通路 安全审计
A.硬件安全机制
计算机硬件安全的目标是，保证其自身的可靠性和为系统提
供基本安全机制。
基本安全机制包括：

存储保护

存储保护是操作系统中最基本的安全要求，要求存储器中的 数据被合法地访问。
保护单元是最小的数据范围，保护单元越小，保护精度越高。 系统存储区域分为用户空间和系统空间，用户模式下运行的 非特权程序应禁止访问系统空间，而内核模式下运行的程序 应可以访问任何空间。 应该防止用户程序访问操作系统内核的存储区域以及进程间 非法访问对方的存储区域。
（2）内置Internet功能

（3）支持NTFS文件系统

安全操作系统的基本概念
安全操作系统涉及很多概念：

主体和客体 安全策略和安全模型 访问监控器 安全内核 可信计算基
A.主体和客体
操作系统中的每一个实体组件都必须是主体或者是客体，或者既
是主体又是客体。
主体是一个主动的实体，它包括用户、用户组、进程等。系统中
安全内核必须尽可能地小，便
于进行正确性验证。
E.可信计算基
操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬
件。这些软件、硬件和负责系统安全管理的人员一起组成了系统 的可信计算基（Trusted Computing Base，TCB）。
具体来说可信计算基由以下7个部分组成：




运行保护

进程运行的区域称为运行域。 一般操作系统都会包含硬件层、内核层、应用层、用户层等若 干层次，这种分层的目的是为了隔离运行域。 运行域可以看成一系列同心圆，内层权限最高外层权限最低， 形成等级域。 等级域规定每个进程都在规定的层上运行，层号越低，保护越 多。
个系统是由全世界各地的成千上万的程序员设计和实现的。其 目的是建立不受任何商品化软件的版权制约的、全世界都能自 由使用的Unix兼容产品。
Linux是一个免费的操作系统，用户可以免费获得其源代码，
并能够随意修改。
Linux典型的优点有7个
（1）完全免费
（2）完全兼容POSIX 1.0标准 （3）多用户、多任务
(2) 必须总是处于活跃状态；
(3) 必须设计得足够小，以利于分析和测试，从而能够证明其实现是正确 的。
D.安全内核
安全内核由硬件和介于硬件和
操作系统之间的一层软件组成， 在一个大型操作系统中，只有 其中的一小部分软件用于安全 目的。
安全内核必须予以适当的保护，
不能篡改。同时绝不能有任何 绕过安全内核存取控制检查的 存取行为存在。
1. 操作系统的安全内核。 2. 具有特权的程序和命令。 3. 处理敏感信息的程序，如系统管理命令等。 4. 与TCB实施安全策略有关的文件。 5. 其它有关的固件、硬件和设备。 6. 负责系统管理的人员。 7. 保障固件和硬件正确的程序和诊断软件。
安全操作系统的机制
安全操作系统的机制包括：