1、引言1第一章：操作系統概念。31.1什么是操作系統的安全31.2操作系統的安全策略31.3操作系統的安全機制51.31與操作系統奔三密切相關的最基本的安全機制.51.32內存保護機制51.33文件保護機制61.34訪問控制機制6第二章：操作系統的漏洞防護和安全配置規則82.1操作系統的安全漏洞82.2安全操作系統的配置規則10第三章：操作系統安全管理和安全測評：133.1管理和維護windows安全系統的基本措施133.2使用MBSA檢查系統漏洞 143.3、安全測評對安全操作系統有什么作用？ 3.4什么是安全測評？153.5、安全操作系統測評標準163.6操作系統安全評測方案及方法17第四章

2、：安全操作系統的戰略意義 .17 4.1安全模型的研究.17 4.2我國操作系統所面臨的問題.18 4.3發展對策.18第五章:總結.19操作系統的安全研究第一章：操作系統概念。1.1 什么是操作系統的安全計算機操作系統的安全是利用安全手段防止操作系統本身被破壞，防止非法用戶對計算機資源(如軟件、硬件、時間、空間、數據、服務等資源)的竊取，防止人為因素造成的故障和破壞。計算機系的安全極大地取決于操作系統的安全。1.2 操作系統的安全策略1.21按照其實現復雜度遞增和提供安全性遞減的次序排：1.物理上分離：進程使用不同的物理實體。2.時間上分離：具有不同安全要求的進程在不同的時間允許。3.邏輯上

3、分離：用戶操作彼此間不相互干擾,程序存取范圍限定。4.密碼上分離：進程以一種其他進程不了解的方式隱藏數據和計算。1.22 操作系統可以在任何層次上提供保護，其實現的難度和提供的安全性能遞增的順序:1、無保護：它適合于敏感進程運行于獨立的時間環境2、隔離保護.：并發運行的進程彼此不會感覺到對方的存在,也不會影響干擾對方.3、共享或非共享保護：設置嚴格的實體界限,公用實體對所有用戶開放,私有實體只為屬主使用。4、存取權限保護：操作系統檢查每次存取的有效性,借助于某種數據結構,在特定用戶和特定實體上實施存取控制,保證只有授權的存取行為發生。5、權能共享保護：存取權限共享的擴展,系統為實體動態地建立共

4、享權限,共享程度依賴于屬主或者實體。1.23安全措施可以彼此結合,形成多種層次多種程度的安全機制,為達到控制的靈活和可靠性,采用了安全機制粒度的概念。即按照不同的安全需求和實體類型,決定安全控制的程度。例如,對數據的存取,可以分別控制在數位、字節、單元、字、字段、記錄、文件或者文卷一級。實體控制的層次越高,存取控制越容易實現。對某些大型實體,若用戶只需存取其中的一部分,但作為系統,也必須允許控制對整個實體的存取。1.3 操作系統的安全機制 1.31與操作系統密切相關的最基本的安全機制包括如下：內存保護機制、文件保護機制、存取控制機制、鑒別機制、惡意程序防御機制。操作系統是在硬件體系結構的基礎上

5、考慮安全問題，它必須依賴于硬件結構,必須與硬件安全機制相互配合，才能更好地形成系統的安全機制，保證系統的安全環境、認證技術、訪問控制技術、密碼技術、完整性技術、安全協議等，上述技術的彼此配合，在系統中形成了多種安全機制。安全機制有多種，每種又可細分為若干子類，在計算機操作系統，數據庫系統，各類信息系統和網絡系統中的安全機制也不盡相同，必須注意彼此間不要沖突。1.32內存保護機制（1）為什么保護?多道程序技術：主存中同時存放的若干道程序,必須防止一道程序在存儲和運行時影響其他程序的內存。堆棧訪問技術：地址增長與主存地址增長不同。區域保護技術：系統與用戶運行區域分開與保護。（2）怎樣保護?系統硬件

6、保護：如ECC,CPU運行模式,RAM分區。操作系統保護：根據硬件保護機制保護存儲器安全。目前最常用技術：界址,界限寄存器，重定位，特征位，分段和分頁，虛存機制。1.33文件保護機制文件系統是操作系統中一個重要部分，文件系統決定了操作系統的特色，極大地影響了OS的性能，是OS設計的基礎與難點，因此,對文件系統的保護機制就分為對文件系統本身和對文件存儲載體的安全保護。多用戶操作系統必須提供最小的文件保護機制，防止用戶有意或者無意對系統文件和其他用戶文件的存取或修改，用戶數越多，保護模式的復雜性也越大。1.34訪問控制機制訪問控制也稱存取控制,是保護機制的關鍵,存取點的數目很大,且所有訪問不可能通

7、過某個中心授權機制進行.1、為什么要進行訪問控制?(1)合法用戶對系統資源的濫用(2)非法用戶因欺騙而進入系統,成為“合法”用戶2、如何進行訪問控制?（1）對合法用戶設置不同的訪問權限.（2）對權限的轉讓(授權)進行監控.(3)驗證訪問權限3、存取一般通過程序來完成,因此,程序可被看作是存取媒介.訪問控制機制對保護實體實現如下目標。（1）設置存取權限.：為每一主體設定對某一實體的存取權限,具有授權和撤權功能。（2）檢查每次存取.：超越存取權限的行為被認為是非法存取,予以拒絕,阻塞或告警,并防止撤權后對實體的再次存取。（3）允許最小權限：最小權限原則限定了主體為完成某些任務必須具有的最小數目的實

8、體存取權限,除此之外,不能進行額外的信息存取。（4）進行存取驗證：除了檢查是否存取外,應檢查在實體上所進行的活動是否是適當的,是正常的存取還是非正常的存取。4、用戶認證機制。解決“你是誰”的問題，確定用戶合法身份，是進入網絡和系統的第一道安全關口，也是用戶獲取權限的關鍵。認證機制也稱鑒別機制，操作系統中許多保護措施大都基于鑒別系統的合法用戶，是操作系統中相當重要的一個方面。用戶身份認證目前可以通過多種媒體手段實現，例如證件、文件、圖片、聲音等，利用設置用戶名、用戶標識、用戶口令、用戶密碼等安全機制，檢查用戶開機口令、用戶入網標識、入網和資源訪問權限等，完成用戶的統一性檢查。1.35 標識與鑒別

9、標識與鑒別功能用于保證只有合法的用戶才能存取系統資源。本系統的標識與鑒別部分包括角色管理、用戶管理和用戶身份鑒別等三個部分：角色管理是實現RBAC模型的重要部分，將角色配置文件存放在/etc/security/role文件中，角色管理就是對角色配置文件的維護。用戶管理就是對用戶屬性文件的維護，是在系統原有用戶管理的基礎上修改和擴充而來；本系統改變了原有系統集中存放用戶屬性的方式，在/etc/security/ia目錄下為每個用戶創建一個屬性文件。用戶身份鑒別過程就是控制用戶與系統建立會話的過程；本系統將修改原有系統的pam模塊和建立會話的程序，增加對管理員用戶的強身份鑒別（使用加密卡），增加為

10、用戶設置初始安全屬性（特權集、安全標記、域、審計掩碼）的功能。第二章、操作系統的漏洞防護和安全配置規則2.1 操作系統的安全漏洞我們都知道系統在安全方面存在漏洞，非法網站、病毒和非法插件會通過這個漏洞入侵系統，會破壞系統的安全性。不同的操作系統在不同方面有著不同的漏洞，不同的操作系統對不同的漏洞也有著不一樣的防護能力。大家都知道Linux系統號稱是比較安全的系統，但是Linux安全漏洞還是存在的，既然存在安全漏洞，就意味著有危險。下面介紹一下Linux操作系統存在的一些常見的漏洞：漏洞一、如果系統里只有一個Administrator帳戶，當注冊失敗的次數達到設置值時，該帳戶也不可能被鎖住。 漏

11、洞二、具有管理員特權的帳戶在達到注冊失敗的次數時將被鎖住，然而，30分鐘后自動解鎖。漏洞三、NT在注冊對話框中顯示最近一次的注冊的用戶名。Linux存在的漏洞遠不止這些，所以在應用此操作系統的時候應做到以下幾點：（）安裝防火墻防火墻不僅是系統有效應對外部攻擊的第一道防線，也是最重要的 一道防線。在新系統第一次連接上Internet之前，防火墻就應該被安裝并且配置好。防火墻配置成拒絕接收所有數據包，然后再打開允許接收含病毒的文件從而傳染到整個系統中。（）關閉無用的端口和服務 任何網絡連接都是通過開放的應用端口來實現的。我們應該只開放提供服務的端口，關閉其他所有不需要的端口，從而大大減少攻擊。 取

12、消系統內所有非必要的服務，只開啟必要服務。這樣做可以盡量避免系統和服務的漏洞來進行傳播并以獨立運行，并將自身傳播到另外的計算機上去。防止此類病毒要及時更新系統的漏洞。（）禁止缺省路由 應該嚴格禁止設置缺省路由，建議為每一個子網或網段設置一個路由，避免其它機器可能通過一定方式訪問該主機。（）口令管理口令的長度一般不要少于個字符，口令的組成應以無規則的大小防止此類病毒可以借助一些軟件來進行，比如ehkrootkitr、rootkit可以發現蠕蟲、后門等。 （）其它病毒 除了針對Linux的病毒之外，還要注意到許多Windows病毒會存在于寫字母、數字和符號相結合，嚴格避免用英語單詞或詞組等設置口令

13、。養成定期更換口令的習慣。2.2無論哪種操作系統，要做到很好的安全漏洞防護都離不開正確的安全配置，配置有以下規則：（1）、物理安全 服務器應當放置在安裝了監視器的隔離房間內，并且監視器應當保留15天以內的錄像記錄。另外，機箱、鍵盤、抽屜等要上鎖，以保證旁人即使在無人值守時也無法使用此計算機，鑰匙要放在安全的地方。（2）、停止Guest帳號在計算機管理中將Guest帳號停止掉，任何時候不允許Guest帳號登錄系統。為了保險起見，最好給Guest帳號加上一個復雜的密碼，并且修改Guest帳號屬性，設置拒絕遠程訪問。（3）、限制用戶數量去掉所有的測試帳號、共享帳號和普通部門帳號，等等。用戶組策略設置

14、相應權限、并且經常檢查系統的帳號，刪除已經不適用的帳號。很多帳號不利于管理員管理，而黑客在帳號多的系統中可利用的帳號也就更多，所以合理規劃系統中的帳號分配。（4）、多個管理員帳號管理員不應該經常使用管理者帳號登錄系統，這樣有可能被一些能夠察看Winlogon進程中密碼的軟件所窺探到，應該為自己建立普通帳號來進行日常工作。同時，為了防止管理員帳號一旦被入侵者得到，管理員擁有備份的管理員帳號還可以有機會得到系統管理員權限，不過因此也帶來了多個帳號的潛在安全問題。（5）、管理員帳號改名在Windows 2000系統中管理員Administrator帳號是不能被停用的，這意味著攻擊者可以一再嘗試猜測此

15、帳戶的密碼。把管理員帳戶改名可以有效防止這一點。不要將名稱改為類似Admin之類，而是盡量將其偽裝為普通用戶。（6）、陷阱帳號和第（5）點類似，在更改了管理員的名稱后，可以建立一個Administrator的普通用戶，將其權限設置為最低，并且加上一個10位以上的復雜密碼，借此花費入侵者的大量時間，并且發現其入侵企圖。（7）、更改文件共享的默認權限將共享文件的權限從“Everyone"更改為"授權用戶”，”Everyone"意味著任何有權進入網絡的用戶都能夠訪問這些共享文件。（8）、安全密碼安全密碼的定義是：安全期內無法破解出來的密碼就是安全密碼，也就是說，就算獲取

16、到了密碼文檔，必須花費42天或者更長的時間才能破解出來（Windows安全策略默認42天更改一次密碼，如果設置了的話）。（9）、屏幕保護 / 屏幕鎖定防止內部人員破壞服務器的一道屏障。在管理員離開時，自動加載。（10）、使用NTFS分區比起FAT文件系統，NTFS文件系統可以提供權限設置、加密等更多的安全功能。(11)、防病毒軟件Windows操作系統沒有附帶殺毒軟件，一個好的殺毒軟件不僅能夠殺除一些病毒程序，還可以查殺除大量的木馬和黑客工具。設置了殺毒軟件，黑客使用那些著名的木馬程序就毫無用武之地了。同時一定要注意經常升級病毒庫！(12)、備份盤的安全一旦系統資料被黑客破壞，備份盤將是恢復資

17、料的唯一途徑。備份完資料后，把備份盤放在安全的地方。不能把備份放置在當前服務器上，那樣的話還不如不做備份。Windows Server 2003是目前最為成熟的網絡服務器平臺，安全性相對于Windows 2000有很大的提高。第三章：操作系統安全管理和安全測評：3.1不一樣的操作系統有著不一樣的運行模式，所以要管理和維護不一樣的操作系統就需要不同的安全措施，下面介紹關于windows系統安全的基本措施：（1）保護系統默認賬戶 （2）不顯示上次登錄的用戶名 （3）保護重要的文件 （4）關閉不必要的服務和端口 （5）關閉默認共享 （6）打開審核策略3.2使用MBSA檢查系統漏洞微軟免費提供的工具M

18、BSA（Microsoft Baseline Security Analyzer，微軟基線安全分析器）有三大主要功能：Scan a computer：使用計算機名稱或者IP地址來檢測單臺計算機； Scan multiple computers：使用域名或者IP地址范圍來檢測多臺計算機。 View existing security scan reports：查看已經檢測過的安全報告。MBSA的使用方法（1）設置掃描選項 （2）掃描漏洞 （3）修正安全問題 （4）再次安全掃描 （5）查看所有的掃描報告3.3、安全測評對安全操作系統有什么作用？ 操作系統是唯一僅靠硬件的基本軟件， 其安全性能是其他

19、軟件安全職能的根基，缺乏這個安全的根基，構筑在其上的應用系統以及安全系統的安全性就得不到根本的保障。單個操作系統以及其上的應用系統的安全是整個安全系統的根本，如果構成互聯網的計算機本身系統安全都有問題，那么網絡系統和數據庫管理系統就同樣會存在問題，應用軟件信息處理的安全更無從談起。 安全操作系統測評是在操作系統的工作范圍內，提供盡可能強的訪問控制和審計機制，在用戶、應用程序和系統硬件資源之間進行符合安全政策調度，限制JE 法訪問。3.4什么是安全測評？安全測評是指由具備檢驗技術能力的第三方機構，依據相關標準或技術規范，按照嚴格程序對信息系統的安全保障能力進行的綜合測試評估活動。對操作系統的安全

20、測評就是檢查安全機制是否完整地實現了安全策略。操作系統自下而上分為幾個層次, 每個層次體現不同的功能抽象程度。安全機制在操作系統每個層次上的制約作用都有不同的表現形式，因此安全測評要在各層次上展開。操作系統由文件、網絡、進程等幾個子系統所組成, 各子系統實現不同的功能以滿足不同的要求, 并且各子系統相互配合以形成一個有機的整體,只有當所有子系統的測試都成功時,才能說明操作系統通過了整個安全測評。3.5、安全操作系統測評標準：多年來TcSEc評估準則一直是人們用來設計安全操作系統的上要參考標準，因此它也一直是評估多用戶主機和小型操作系統的主要方法。按照TcsEc柴測試系統的安全性，主要包括硬件和

21、軟件兩部分。橘皮書是目前國際上頗具權威的計算機系統安全標準之一， 它將計算機系統的安全性能由高而低劃分為A、B和C，D四大等級，較高等級的安全范圍涵蓋較低等級的安全范圍，其中D最低保護。橘皮書對操作系統安全等級的劃分只是給出了一個最終的實現目標，并沒有從實現方法上給予規定，這就導致了在安全操作系統的測試問題上的盲目性和不規范性，而國外的測試方法和備等級的測試標準又是保密的，因此，盡快探索出一套自己的對于安全操作系統測試的方法和步驟是有必要的。 3.6操作系統安全評測方案及方法 安全操作系統評測方案系統調用是操作系統提供給用戶的唯一接口，用戶可利用它執行系統功能，進行設備管理、文件管理、進程控制

22、、進程通信、存儲管理和線程管理的相應操作，同樣，用戶也可以利用系統調用的漏洞和不完善性對操作系統進行攻擊和破壞 ，因此，各個系統調用的安全性就直接關系到安壘操作系統的整體的安全性。依據應用軟件的測試原則，本文提出對系統調用的測試，分為以下5個步驟： (1)明確測試對象，即要針對哪一個或幾個系統調用進行測試，并對待測試系統調用的運行機制和各種不同的運行結果力求以深入了解； (2)明確測試目的，根據所選測試對象的小同，測試目的也會隨之變化，在對單一的系統調用進行測試時，測試的目的通常是執行系統調用的某些操作，比較結果是否與預期相同，如果同時對幾個系統調用進行測試，往往是看其能否協同工作； (3)根

23、據具體的測試對象和測試目的編寫測試用例，明確系統調用的初始化變量和參數、執行步驟、預期的結果等； (4)進行具體的編碼測試； (5)根據結果來分析被測對象是否具有預期的安全性。第四章：安全操作系統的戰略意義4.1安全模型的研究安全模型用來描述系統和用戶的安全特性，是對安全策略所表達的安全需求簡單、抽象、無歧義的描述。安全模型用于精確地定義系統的安全需求，為設計開發安全操作系統提供指導方針。非形式化安全模型僅需模擬系統的安全性能。形式化安全模型使用數學語言，精確地描述安全性及其在系統中的情況。形式化安全模型是設計開發高可信安全操作系統的前提，有了它才能進行系統形式化設計說明與驗證，并且有可能找出系統的某些