操作系统安全复习重点

第一章：绪论

1 操作系统是最基本的系统软件，是计算机用户和计算机硬件之间的接口程序模块，是计算机系统的核心控制软件，其功能简单描述就是控制和管理计算机系统内部各种资源，有效组织各种程序高效运行，从而为用户提供良好的、可扩展的系统操作环境，达到使用方便、资源分配合理、安全可靠的目的。

2 操作系统地安全是计算机网络信息系统安全的基础。

3 信息系统安全定义为：确保以电磁信号为主要形式的，在计算机网络化(开放互联)系统中进行自动通信、处理和利用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的机密性（保密性）、完整性、可用性、可审查性和抗抵赖性，与人、网络、环境有关的技术安全、结构安全和管理安全的总和。

4 操作系统面临的安全威胁可分为保密性威胁、完整性威胁和可用性威胁。

5 信息的保密性：指信息的隐藏，目的是对非授权 的用户不可见。保密性也指保护数据的存在性，存在性有时比数据本身更能暴露信息。

6 操作系统受到的保密性威胁：嗅探，木马和后门。 7 嗅探就是对信息的非法拦截 ，它是某一种形式的信 息泄露.网卡构造了硬件的―过滤器―通过识别MAC地址过滤掉和自己无关的信息，嗅探程序只需关闭这个过滤器，将网卡设置为―混杂模式―就可以进行嗅探。

8 在正常的情况下，一个网络接口应该只响应这样的两种数据帧： 1.与自己硬件地址相匹配的数据帧。 2.发向所有机器的广播数据帧。

9 网卡一般有四种接收模式：广播方式，组播方式，直接方式，混杂模式。 10 嗅探器可能造成的危害：

? 嗅探器能够捕获口令；

? 能够捕获专用的或者机密的信息；

? 可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限； ? 分析网络结构，进行网络渗透。

11 大多数特洛伊木马包括客户端和服务器端两个部分。不管特洛伊木马的服务器和客户程序如何建立联系，有一点是不变的，攻击者总是利用客户程序向服务器程序发送命令，达到操控用户机器的目的。

12 木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,达到偷窥别人隐私和得到经济利益的目的.

13 后门：绕过安全性控制而获取对程序或系统访问权的方法。

14 间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。通常具备实用的、具吸引力的基本功能，它还收集有关用户操作习惯的信息并将这些信息通过互联网发送给软件的发布者。

15 信息的完整性指的是信息的可信程度。完整性的信息应该没有经过非法的或者是未经授权的数据改变。完整性包括信息内容的完整性和信息来源的完整性. 16 信息的完整性威胁主要分为两类:破坏和欺骗。

破坏：指中断或妨碍正常操作。数据遭到破坏后。其内容就可能发生非正常改变，破坏了信息内容的完整性。

欺骗：指接受虚假数据。

17 有几种类型的攻击可能威胁信息的完整性，即篡改(modification)、伪装(masquerading)、重放(replaying)和否认(repudiation)。

1

18 可用性威胁是指对信息或者资源的期望使用能力. 19 威胁可用性的攻击称为拒绝服务(Denial of Service)。

20 网络带宽攻击：指以极大的通信量冲击网络，使得所有可用的网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。

连通性攻击：指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法在处理合法用户的请求。 21 DoS目的：使计算机或网络无法提供正常的服务

? 可能发生在服务器的源端 ? 可能发生在服务器的目的端 ? 可能发生在中间路径

22 操作系统可用性威胁的另一个主要来源：计算机软件设计实现中的疏漏。 23绝对安全的OS是不存在的，只能尽可能地减少OS本身的漏洞，

需要在设计时就以安全理论作指导，始终贯穿正确的安全原则。 24操作系统安全威胁的发展趋势：

? 复杂化

? 多种威胁往往交织在一起

25 Adept-50是历史上第一个安全操作系统，运行于IBM/360硬件平台。 26 访问控制的基本概念：

– 主体（subject）是访问操作中的主动实体 – 客体（objective）是访问操作中的被动实体

– 访问矩阵（access matrix）是以主体为行索引、以客体为列索引的矩阵，使

用M表示

– 矩阵中第i行第j列的元素使用Mij表示，表示主体Si可以对客体Oj进行

的一组访问方式

27信息保护机制的八条设计原则： (1) 机制经济性（economy）原则； (2) 失败-保险（fail-safe）默认原则； (3) 完全仲裁原则； (4) 开放式设计原则； (5) 特权分离原则； (6) 最小特权原则； (7) 最少公共机制原则； (8) 心理可接受性原则。

28 1983年美国防部颁布TCSEC(橘皮书）是历史上第一个计算机安全评价标准。 29软件可分为三大可信类别：可信的，良性的，恶意的。

30安全策略是指有关管理、保护和发布敏感信息的法律、规定和实施细则。

31安全模型则是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，它为安全策略和安全策略实现机制的关联提供了一种框架。 32引用验证机制需要同时满足以下3个原则: (1) 必须具有自我保护能力； (2) 必须总是处于活跃状态；

(3) 必须设计得足够小，以利于分析和测试，从而能够证明它的实现是正确的。

33安全内核是指系统中与安全性实现有关的部分，包括引用验证机制、访问控制机制、授权机制和授权管理机制等部分。

2

34安全内核由硬件和介于硬件和操作系统之间的一层软件组成。 35可信计算基由以下几个部分组成： (1) 操作系统的安全内核。 (2) 具有特权的程序和命令。

(3) 处理敏感信息的程序，如系统管理命令等。 (4) 与TCB实施安全策略有关的文件。 (5) 其他有关的固件、硬件和设备。 (6) 负责系统管理的人员。

(7) 保障固件和硬件正确的程序和诊断软件。

36可信计算基的软件部分是安全操作系统的核心内容，它完成下述工作: ● 内核的良好定义和安全运行方式； ● 标识系统中的每个用户；

● 保持用户到TCB登录的可信路径； ● 实施主体对客体的存取控制； ● 维持TCB功能的正确性；

● 监视和记录系统中的有关事件。

第二章：操作系统的安全机制

1操作系统提供的安全服务：

? 内存保护

? 文件保护

? 普通实体保护：对实体的一般存取控制 ? 存取鉴别：用户身份的鉴别 2操作系统安全的主要目标：

? 按系统安全策略对用户的操作进行访问控制，防止用户对计算机资源的非法

使用（包括窃取、篡改和破坏）

? 标识系统中的用户，并对身份进行鉴别 ? 监督系统运行的安全性

? 保证系统自身的安全性和完整性

3 ISO：是一种技术、一些软件或实施一个或更多安全服务的过程。 4 标识：用户要向系统表明的身份。

? 用户名、登录ID、身份证号或智能卡 ? 应当具有唯一性 ? 不能被伪造

5 鉴别：对用户所宣称的身份标识的有效性进行校验和测试的过程。

1 证实自己所知道的；

2 出示自己所拥有的； 3 证明自己是谁； 4 表现自己的动作。 6 口令选取的注意点：

? 不要使用容易猜到的词或短语

? 不要使用字典中的词、常用短语或行业缩写等

3

? 应该使用非标准的大写和拼写方法

? 应该使用大小写和数字混合的方法选取口令 ? 此外，口令质量还取决于

? 口令空间 ? 口令加密算法 ? 口令长度

7 S = G / P 而 G = L × R

? S：口令空间

? L：口令的最大有效期

? R：单位时间内可能的口令猜测数 ? P：口令有效期内被猜出的可能性

P＝（L×R）/S

8 口令长度计算方法： M＝logAS S：口令空间

A：字母表大小，字母表中字母个数

9 破解口令的方法：社会工程学方法，字典程序攻击，口令文件窃取，暴力破解。 10 要求认证机制做到以下几点：

(1) 在进行任何需要TCB仲裁的操作之前，TCB都应该要求用户标识他们自己。

(2) TCB必须维护认证数据，包括证实用户身份的信息以及决定用户策略属性的信息，如groups。

(3) TCB保护认证数据，防止被非法用户使用。

(4) TCB应能维护、保护、显示所有活动用户和所有用户账户的状态信息。

(5) 一旦口令被用作一种保护机制，至少应该满足:

① 当用户选择了一个其他用户已使用的口令时，TCB应保持沉默。 ② TCB应以单向加密方式存储口令，访问加密口令必须具有特权。 ③ 在口令输入或显示设备上，TCB应自动隐藏口令明文。 ④ 在普通操作过程中，TCB在默认情况下应禁止使用空口令。

⑤ TCB应提供一种保护机制允许用户更换自己的口令，这种机制要求重新认证用户身份。 ⑥ 对每一个用户或每一组用户，TCB必须加强口令失效管理。 ⑦ 在要求用户更改口令时，TCB应事先通知用户。

⑧ 要求在系统指定的时间段内，同一用户的口令不可重用 ⑨ TCB应提供一种算法确保用户输入口令的复杂性。

11 访问控制的基本任务：防止用户对系统资源的非法使用，保证对客体的所有直接访问都是被认可的。

12 使用访问控制机制的目的：

? 保护存储在计算机上的个人信息 ? 保护重要信息的机密性

? 维护计算机内信息的完整性

? 减少病毒感染机会，从而延缓这种感染的传播

? 保证系统的安全性和有效性，以免受到偶然的和蓄意的侵犯

13 系统内主体对客体的访问控制机制：自主访问控制，强制访问控制，基于角色的访问控制。

14 MAC和DAC通常结合在一起使用

4