【文档说明】第二章操作系统全安机制课件.ppt，共(81)页，331.652 KB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-55036.html

以下为本文档部分文字说明：

第二章操作系统安全机制江苏大学计算机学院Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.操作系统安全

的主要目标访问控制身份鉴别监督系统运行的安全性保证系统的安全性和完整性Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePt

yLtd.普遍的安全机制信任的功能性时间检测审计跟踪安全恢复Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.2.1标识与鉴别机制用户标识(identif

ication)：用来标明用户身份，确保用户的惟一性和可辨认性的标志，一般选用用户名称和用户标识符(UID)来标明一个系统用户，名称和标识符均为公开的明码信息。用户标识是有效实施其他安全策略，如用户数据保护和安全审计的基础。通过为用户提供标识，TCB能使用户对自己的行为

负责。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.用户鉴别用户鉴别(authentication)：用特定信

息对用户身份、设备和其他实体的真实性进行确认，用于鉴别的信息是非公开的和难以仿造的，如口令(也称密钥)。用户鉴别是有效实施其他安全策略的基础。Evaluationonly.eatedwithAspose.Slidesfor.NET3

.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.三类信息用作身份标识和鉴别用户知道的信息用户拥有的东西用户的生物特征利用其中的任何一类都可进行身份认证，但若能利用多类信

息，或同时利用三类中的不同信息，会增强认证机制的有效性和强壮性。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.2.1.2密码口令机制简单

易行，但最为脆弱口令管理系统管理员的职责用户的职责口令实现要点Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-

2011AsposePtyLtd.2.1.3生物鉴别方法用户提供自己独有的生理或行为上的特点常见的指纹识别Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-20

11AsposePtyLtd.2.2访问控制用户进程是固定为某特定用户服务的，它在运行中代表该用户对客体资源进行访问，其权限应与所代表的用户相同，这一点可通过用户与主体绑定实现。Evaluationon

ly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.用户与主体绑定系统进程是动态地为所有用户提供服务的，它的权限随着服实对象的变化而改变，这需要将用户的权限与为

其服务的进程的权限动态地相关联。这也就是说，一个进程在不同时刻对一个客体有不同的访问权限，取决于它当时所执行的任务。当进程在执行正常的用户态应用程序时(用户进程)，它所拥有的权限与其代表的用户有关；当进程进行系统调用时，它开始执行内核函数(系统进程)，此时运行在核心态，拥有操作系统权限。Ev

aluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.授权机制的功能经典的计算机系统两种机制的关键点，当一个用户试图访问计算机系统时，认

证机制首先标识与鉴别用户身份用户进入系统后，再由授权机制检查其是否拥有使用本机资源的权限及有多大的访问权限。授权机制的功能是授权和存取控制，其任务是：授权，确定给予哪些主体存取哪些客体的权力。确定存取权限，通常有：读、写、

执行、删除、追加等存取方式。实施存取权限。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.认证和授权用

户1认证机制授权机制主体1主体1可访问的资源计算机系统主体2用户2主体1、主体2可访问的资源Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2

011AsposePtyLtd.2.2.2自主访问控制策略本策略根据系统中信息属主指定方式或默认方式、即按照用户的意愿来确定用户对每一个客体的访问权限，这一点上对信息属主是“自主的”。这样一来，它能提供精细的访问控

制策略，能将访问控制粒度细化到单个用户(进程)。按照系统访问控制策略实现的访问控制机制，能够为每个命名客体指定命名用户和用户组，并规定他们对客体的访问权限，没有访问权限的用户，只允许由授权用户指定其对客体的访问权。Evaluationonly.eatedwithAspose.Slidesfor.N

ET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.矩阵模型：设S为全体主体的集合，S＝{s1，s2，…，sm}。设O为全体客体的集合，O＝{o

1，o2，…，on}。设R为全体权力的集合，R＝{r1，r2，…，rl}。记权力矩阵为：a11，a12，…，a1nS1a21，a22，…，a2nS2A＝……＝…=[o1,o2,…on]am1，am2，…，amnSm自主访问控制模型Evaluationonly.eated

withAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.①矩阵的每一行对应一个主体，每一列对应一个客体。行与列交叉点上的元素aij表示主体si对客体oj所拥有的所有权力的集合。②当主体si要对客体oj进

行访问时，访问控制机制检查aij，看主体si是否具有对客体oj进行访问的权力，以决定主体si是否可对客体oj进行访问，以及进行什么样的访问。③自主性客体的属主有权将其客体的访问权力授予其它主体，或收回。自主访问控制模型Evaluationonly.e

atedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.④矩阵模型的实现基于矩阵列对需要保护的客体附件一个访问控制表，

标明各拥有权力的主体的标识与权限。UNIX，LINUX，NT基于矩阵的行在每个主体上附件一个可访问的客体的明细表：权力表口令自主访问控制模型Evaluationonly.eatedwithAspose.Slidesfor.NET3.5Clie

ntProfile5.2.0Copyright2004-2011AsposePtyLtd.1.基于行的自主存取控制机制在每个主体上都附加一个该主体可访问的客体明细表，根据表中信息的不同又可分成3种：Eva

luationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.1)权能表进程ID1的CL：文件X(rw-)

;程序Y(r--);进程IDn的CL：内存段Z(rw-);程序Y(r-x);……用户可以把全能表拷贝给其他用户，也可以从其他用户取回Evaluationonly.eatedwithAspose.Slidesfor.NET3.5

ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.2)前缀表对每个主体赋予前缀(Profiles)表，它包含受保护的客体名和主体对它的访问权限，每当主体访问某客体时，自主存取控制机制

将检查主体的前缀是否具有它所请求的访问权。权限管理复杂Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.3)口令表(PasswordsList)在基

于口令表的自主存取控制机制中，每个客体都有一个口令，主体在对客体访问前，必须向安全系统提供该客体的口令，如果正确便允许访问。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5Client

Profile5.2.0Copyright2004-2011AsposePtyLtd.2.基于列的自主存取控制机制存取控制表ACL(AccessControlList)是十分有效的自主访问控制机制，被许多系统采用。此机制如下实现，

在每个客体上都附加一个可访问它的主体的明细表，表示存取控制矩阵，表中的每一项都包括主体的身份和主体对该客体的访问权限。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientPr

ofile5.2.0Copyright2004-2011AsposePtyLtd.ACL和优化ACLPID1,r-xPID2,rw-PID3,--xPID4,rwx……客体Y(a)存取控制表文件XPID1GROUP5rwx*GROUP5--xPID3*---**r--(b)优化的存取

控制表Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.3.自主存取控制机制实现举例1)“拥有者/同组同户/其他用户”模式2)“存取控制表ACL

”和“拥有者/同组同户/其他用户”结合模式在安全操作系统UNIXSVR4.1中，采用“存取控制表ACL”和“拥有者/同组同户/其他用户”结合的实现方法，ACL只对于“拥有者/同组同户/其他用户”无法分组的

用户才使用。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.2.2.3

强制访问控制策略在强制访问控制机制下，系统内的每个用户或主体被赋予一个许可标记或访问标记，以表示他对敏感性客体的访问许可级别；同样，系统内的每个客体被赋予一个敏感性标记(sensitivitylabel)，

以反映该客体的安全级别。安全系统通过比较主、客体的相应标记来决定是否授予一个主体对客体的访问请求权限。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011Asp

osePtyLtd.实现多级安全访问控制机制必须对系统的主体和客体分别赋予与其身份相对称的安全属性的外在表示--安全标签，它有两部分组成：{安全类别：范畴}Evaluationonly.eatedwithAspose.Sli

desfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.(1)安全类别—有等级的分类安全级别：也称密级，系统用来保护信息(客体)的安全程度。敏感性标签：客体的安全

级别的外在表示，系统利用此敏感性标签来判定一进程是否拥有对此客体的访问权限。许可级别：进程（主体）的安全级别，用来判定此进程对信息的访问程度。许可标签：进程的安全级别的外在表示，系统利用进程的安全级别来判定此进

程是否拥有对要访问的信息的相应权限。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.

(2)范畴—无等级概念范畴是该安全级别信息所涉及的部门。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyrigh

t2004-2011AsposePtyLtd.公司内可以建立信息安全类别ConfidentialRestricted(技术信息)、Restricted(内部信息)Unrestricted(公开信息)；军事部门的信息安全类

别TopSecret(绝密)、Secret(秘密)、Confidential(机密)和Unclassified(公开)Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.

0Copyright2004-2011AsposePtyLtd.公司内的范畴Accounting(财务部)、Marketing(市场部)、Advertising(广告部)、Engineering(工程部)和Reserch&Development(研发部)。在公司内，财务部经

理与市场部经理虽然级别相同（都是经理），但由于两人分属不同部门（财务部负责财务，市场部负责市场），从而，分属两个不同的范畴（Accounting、Marketing），故市场部经理是不能够访问财务部经理的信息的。Evaluationonly.eatedwithAspose.Slidesfor

.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.2.2.4基于角色的访问控制①BRAC介绍由IST的Ferraiolo等人在90年代提出。NIST成立专门机构进行研究。96年提出一个较完善的基于角色的访问控制参考模

型RBAC96。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.②BRAC

的基本思想根据用户在一个组织中担任的角色来确定对其所的授权。BRAC是强制访问模型，不是DAC虽然一个用户担任一个角色后，便可以拥有该角色的权限，但是他不能将权限转授给别人。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientP

rofile5.2.0Copyright2004-2011AsposePtyLtd.②BRAC的基本概念RBAC的基本思想是根据用户所担任的角色来决定用户的在系统中的访问权限。一个用户必须扮演某种

角色，而且还必须激活这一角色，才能对一个对象进行访问或执行某种操作。安全管理员用户角色/权限指定访问或操作激活Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile

5.2.0Copyright2004-2011AsposePtyLtd.②BRAC的基本概念用户（User）访问计算机资源的主体。用户集合为U.角色（role）一种岗位，代表一种资格、权利和责任。角色集

合为R.权限（permission）对客体的操作权力。权限集合为P.用户分配（UserAssignment）将用户与角色关联。用户分配集合为UA={(u,r)|u∈U,r∈R}.用户u与角色r关联后，将拥有r的

权限。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.②BR

AC的基本概念权限分配（PermissionAssignment）将角色与权限关联。权限分配集合为PA={(p,r)|p∈P,r∈R}.权限p与角色r关联后，角色r将拥有权限p。激活角色（ActveRole）角色只有激活才能起作用，否则不起作用。通过会话激活

角色。会话（Session）用户要访问系统资源时，必须先建立一个会话。一次会话仅对应一个用户。一次会话可激活几个角色。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5C

lientProfile5.2.0Copyright2004-2011AsposePtyLtd.③BRAC的基本机制RBAC的授权机制：a.分为两步：将用户分配给角色将访问权限分配给角色b.授权要满足安全约束条

件。最小特权原则职责分离原则角色互斥原则角色激活限制原则c.角色分级，高级角色可以继承低级角色的访问权限。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5Clie

ntProfile5.2.0Copyright2004-2011AsposePtyLtd.③BRAC的基本机制RBAC用户与角色的关系：（多对多关系）a.一个用户可担当多个角色b.一个角色可分配给多个用户角色和权限之间的关系：

（多对多的关系）a.一个角色可以拥有多个访问权限，b.不同的角色也可以拥有相同的权限。角色和角色的关系：（分级关系）高级角色可以继承低级角色的访问权限。Evaluationonly.eatedwithAspose.Slidesfor.NET3

.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.③BRAC的基本机制角色分级a.角色分级是组织角色的一种自然方法。b.角色分级的结果将导致一个角色可以直接或间接地

继承另一角色的访问权限。c.直接继承：相邻角色之间的继承。d.间接继承：非相邻角色之间的继承。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011Aspos

ePtyLtd.角色分级(rolehierarchy)继承关系高级角色中间角色高级角色低级角色低级角色中间角色中间角色高级角色Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProf

ile5.2.0Copyright2004-2011AsposePtyLtd.③BRAC的基本机制安全约束约束是设计高级安全策略的一个强有力的机制。各个环节施加安全约束，以实现不同的安全策略。可以定义在系统层，也可以定义在应用层。

可以是事件触发的，也可以不是事件触发的。职责分离约束合理划分任务和相关权限，以保证多用户协同工作的安全性。如，公检法三权分立，互相配合，又互相监督。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyri

ght2004-2011AsposePtyLtd.角色互斥约束如果一组角色是互斥的，那么一个用户或同一个访问权限只能被分配给其中的一个角色。利用角色互斥约束可实现职责分离。例如，一个人不能又当裁判员又当运动员。最小特权约束只给角色分配完成某工作所需的最小权力。角色激活约束激活数约束限制一

个角色同时授权和激活的数目。如总经理只有1个。角色激活时间约束限制一个角色激活的时间。如岗位任期制。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright

2004-2011AsposePtyLtd.④BRAC96模型BRAC96模型包括4个层次：BRAC0：基础模型BRAC1：在BRAC0的基础上增加了角色分级BRAC2：在BRAC0的基础上增加了角色和权限

约束BRAC3：集成了BRAC1和BRAC2BRAC3加强模型BRAC0基础模型BRAC2高级模型高级模型BRAC1Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-201

1AsposePtyLtd.BRAC96模型用户U角色B权限P用户分配权限分配分级安全约束会话Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.

2.0Copyright2004-2011AsposePtyLtd.⑤BRAC模型的优缺点便于授权管理。如系统管理员需要修改系统设置等内容时，必须有几个不同角色的用户到场方能操作，增强了安全性。便于处理工作分级。如，文件等资源分级管理。利用安全

约束，容易实现各种安全策略，如最小特权，职责分离等。便于任务分担，不同角色完成不同的任务。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-20

11AsposePtyLtd.MAC和DAC的应用在C级操作系统中应用MAC访问控制模型在B级以上操作系统中将MAC和DAC联合应用访问请求MAC检查DAC检查拒绝访问失败通过通过接受访问Evaluationon

ly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.2.3最小特权管理最小特权原则是系统安全中最基本的原则之一。所谓最小特权（LeastPrivilege），指的是"

在完成某种操作时所赋予网络中每个主体（用户或进程）必不可少的特权"。最小特权原则，则是指"应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小"。最小特权原则一方面给予主体"必不可

少"的特权，这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作；另一方面，它只给予主体"必不可少"的特权，这就限制了每个主体所能进行的操作。Evaluationonly.eatedwithAspose.Slidesfo

r.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.最小特权原则要求每个用户和程序在操作时应当使用尽可能少的特权，而角色允许主体以参与某特定工作所需要的最小特权去签入（Sign）系统。被授权拥有强力角色（PowerfulRoles

）的主体，不需要动辄运用到其所有的特权，只有在那些特权有实际需求时，主体才去运用它们。如此一来，将可减少由于不注意的错误或是侵入者假装合法主体所造成的损坏发生，限制了事故、错误或攻击带来的危害。它还减少了特权程序之间潜在的相互作用，从而使对特权无意的、没必要的或不适当的使用不太可能发生。这种想法

还可以引申到程序内部：只有程序中需要那些特权的最小部分才拥有特权。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.在安全操作系统中，为了维护系

统的正常运行及其安全策略库，管理员往往需要一定的特权直接执行一些受限的操作或进行超越安全策略控制的访问。特权是超越访问控制限制的能力，它和访问控制结合使用，提高了系统的灵活性。Evaluationonly.eatedwith

Aspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.举例对可执行文件赋予相应的特权集对于系统中的每个进程，根据其执行的程序和所代表的用户的用户，赋予相应的特权集。请求特权操作，将调用特权管理机制，

判断该进程的特权级集中是否有这种操作特权。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011A

sposePtyLtd.2.4可信通路是用户能够借以直接同可信计算基TCB通信的一种机制。保障用户和内核的可信通信。实现方法：两台终端，一台做通常工作，一台用作与内核的硬连接仍然用同种终端，通过发信号（安全注意键SAK）给核心Evaluationonly.eatedwithAs

pose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.2.5安全审计安全审计就是对系统中有关安全的活动进行记录、检查及审核。主要目的：检测和阻止非法用户对计算机系统的入侵，并显示合法用户的误操作。审计机制

是通过对日志的分析来完成的。日志就是记录的事件或统计数据，都能提供关于系统使用及性能方面的信息。主要作用：发现不安全因素，及时报警对违反安全规则的行为或企图提供证据对已受攻击的系统，可以提供信息帮

助进行损失评估和系统恢复Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.审计系统的组成Evaluationonly.eate

dwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.日志记录的原则在理想情况下，日志应该记录每个可能的事件，以便分析

发生的所有事件，并恢复任何时刻进行的历史情况。但这样存储量过大，并且将严重影响系统的性能。因此。日志的内容应该是有选择的。一般情况下日志的记录应该满足如下的原则：（1）日志应该记录任何必要的事件，以检测已知的攻击模式。（2）日志应该记录任何必要的事件，以检测异

常的攻击模式。（3）日志应该记录关于记录系统连续可靠工作的信息。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.日志的内容审计功能的启动和关闭

使用身份鉴别机制将客体引入主体的地址空间删除客体管理员、安全员、审计员和一般操作人员的操作其他专门定义的可审计事件日志系统根据安全要求记录上面事件的部分或全部。通常，对于一个事件，日志应包括事件发生的日期和时间、引发事件的用

户（地址）事件、和源目的的位置、事件类型、事件成败等。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.记录机制不同的系统可采用不同的机

制记录日志。但大多情况可用系统调用Syslog来记录日志，也可用SNMP记录。下面简单介绍下Syslog：Syslog由Syslog守护程序、Syslog规则集及Syslog系统调用三部分组成，如下图：Evalua

tiononly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.安全审计分析（1）潜在侵害分析：日志分析应能用一

些规则去监控审计事件，并根据规则发现潜在的入侵。（2）基于异常检测的轮廓：确定正常行为轮廓，当日志中的事件违反它或超出他的一定门限，能指出将要发生的威胁。（3）简单攻击探测：对重大威胁特征有明确描述，当攻击现象出现，能及时指出。（4）复杂攻击检测：要求高的

日志分析系统还应能检测到多部入侵序列，当攻击序列出现，能预测其发生的步骤。日志分析就是在日志中寻找模式，其主要内容：Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientPr

ofile5.2.0Copyright2004-2011AsposePtyLtd.审计事件查阅由于审计系统是追踪、恢复的直接依据，甚至是司法依据，因此其自身的安全性十分重要。审计系统的安全性主要是查阅和存储的安全。审计事件的查阅应该受到严格的限制，不能篡改日志。通常通过以下不同的

层次来保证查阅的安全。（1）审计查阅：审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能。（2）有限审计查阅：审计系统只能提供对内容的读权限，因此应拒绝具有读以外权限的用户访问审计系统。（3）可选审计查阅：在有限审计

查阅的基础上限制查阅的范围。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.审计事件存储审计事件的存储也有安全性的要求，具体有如下几种情况。（1）受保护的

审计踪迹存储：即要求存储系统对日志事件具有防护功能，防止未授权的修改和删除，并具有检测修改和删除的能力。（2）审计数据的可用性保证：在审计存储系统遭受意外时，能防止或检测审计记录的修改，在存储介质存满或存储失败时，

能确保记录不被破坏。（3）防止审计数据丢失：在审计踪迹超过预定的门限或记满时，应采取相应的措施防止数据丢失。这种措施可以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、停止工作等等。Evaluationonly.eatedwithAs

pose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.1.NT审计子系统结构几乎WindowsNT系统中的每一项事务都可以在一定程度上被审计，可以在控制面板中，系统管理员可以根据各种用户事件的成功和失败选择审计

策略，如登陆和退出、文件访问、权限非法和关闭系统等。WindowsNT使用一种特殊的格式存放它的日志文件，这种各式的文件可以被事件查看器Eventviewer读取。应用实例WindowsNT中的安全审计Evaluationon

ly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.WindowsNT的日志文件很多，但主要是系统日志、安全日志和应

用日志三个。这三个审计日志是审计一WindowsNT系统的核心。默认安装时安全日志不打开。WindowsNT中所有可被审计的事件都存入了其中的一个日志。（1）ApplicationLog：包括用NTSecurityauthority注册的应用

程序产生的信息。（2）SecurityLog：包括有关通过NT可识别安全提供者和客户的系统访问信息。（3）SystemLog:包含所有系统相关事件的信息。察看器可以在Administrativetool程序组中找到。系统管理员

可以使用事件察看器的Filter选项根据一定条件选择要查看的日志条目。查看条件条件包括类别、拥护和消息类型。1.NT审计子系统结构Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004

-2011AsposePtyLtd.应用实例WindowsNT中的安全审计2.审计日志和记录格式WindowsNT的审计日志由一系列的事件记录组成，每一个事件记录分为三个功能部分：头、事件描述和可选的附加数据项。如下表显示了一个事件记录的结构。安全日志的入口

通常由头和事件描述组成。数据时间用户名计算机名事件ID源类型种类可变内容,依赖于事件。可以使问题的文本解释和纠正措施的建议附加域。如果采用的话，包含可以字节或字显示的二进制数据及事件记录的源应用产生的信息记录头事件描述附加数据Evaluationonly.ea

tedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.时间记录头有下列域组成：（1）日期：事件的日期标识。（2）时间：事件的时间标识。（3）用户名：表识事件是有谁

触发的。（4）计算机名：事件所在的计算机名。当用户在整个企业范围内集中安全管理时，该信息大大简化了审计信息的回顾。（5）事件ID：事件类型的数字标识。在事件记录描述中，这个域通常被映射成一个文本表识（事件名）。

(6)源：用来响应事件纪录的软件。源可以是一个应用程序、一个系统服务或一个设备驱动器。（7）类型：事件严重性指示器。在系统和应用日志中，类型可以是错误、警告或信息，按重要性降序排列。（8）种类：触发事件类型，主要用在安全日志中指示该类事件

的成功或失败审计已经被许可。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011Aspose

PtyLtd.3.NT事件日志管理特征WindowsNT提供了大量特征给系统管理员区管理操作系统事件日志机制。例如：管理员能限制日志的大小并规定当文档达到容量上限时，如何去处理这些文件。选项包括：用新纪录去冲掉最老的纪录，停止系统直到事件日志备受共清除。Evaluationonly.e

atedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.应用实例WindowsNT中的安全审计4.N

T安全日志的审计策略NT安全日志由审计策略支配，审计策略可以通过配置审计策略对话框中的选项来建立。NT的审计规则如下（既可以审计成功的操作，又可以审计失败的操作）：（1）登陆及注销（2）用户及组管理（3）文件及对象访问（4）安全性规则更改（5）重新启动、关机及系统级事件（

6）进程追踪（7）文件和目录审计Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011Aspos

ePtyLtd.5.管理和维护NT审计通常情况下，WindowsNT不是将所有的事件都记录日志，而需要手动启动审计的功能。这是首先需要从开始菜单中选择程序，然后再选择管理工具。从管理工具子菜单选择用户管理器，显示出用户管理起窗口。然后从用户管理器的菜单中单击

policies(策略)，再单击audit(审计)，审计策略窗口就出现了。接着选择单选框”auditthestevents”(审计这些事件)。最后选择需要启动事件的按OK，然后关闭用户管理器。值得注意的是在启动WindowsNT的审计功能时，需要仔细选择审计的内

容。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.审计日志将产生大量的数据，因此较为合理的方法是首先设置进行简单审计，然后在监视系统的情况下逐步增加复杂

的审计要求。当需要审查审计日志以跟踪网络或机器上的异常事件时，采用一些第三方提供的工具是一个叫有效率的选择。最后介绍一下WindowsNT的三个日志文件的物理位置。系统日志：%systemroot%\system32\con

fig\sysevent.evt安全日志：%systemroot%\system32\config\secevent.evt应用程序日志：%systemroot%\system32\config\appevent.evt5.管理和维护NT审计Eval

uationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.2.6存储保护、运行保护和I/O保护优秀的实体（硬件）保护设施是

实现高效、安全、可靠的操作系统的基础，计算机硬件安全的目标是保证其自身的可靠性，并为操作系统提供基本的安全设施，Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011Aspo

sePtyLtd.保护方法①隔离操作系统的一个基本安全方法是隔离，把一个客体与其它客体隔离起来。物理隔离：不同的处理使用不同的物理设备。如，不同安全级别的处理输出使用不同的打印机；Evaluationonly.eatedwithAspose.Slidesfor.NET3.5C

lientProfile5.2.0Copyright2004-2011AsposePtyLtd.时间隔离：不同安全级别的处理在不同的时间执行；逻辑隔离：用户的操作在没有其它处理存在的情况下执行。操作系统限制程序的访问，以使该程序不能访问允许范围之外的客体。虚拟机是软件是运行在硬件之上、操

作系统之下的支撑软件，可以使一套硬件运行多个操作系统，分别执行不同密级任务。密码隔离：用密码加密数据，以其它处理不能理解的形式隐藏数据Evaluationonly.eatedwithAspose.Slidesfor.NET3.5Clien

tProfile5.2.0Copyright2004-2011AsposePtyLtd.然而隔离仅仅是问题的一半。我们除了要对用户和客体进行隔离外，我们还希望能够提供共享。例如，不同安全级别的处理能调用同一个的算法或功能调用。我们希望既能够提供共享，而又不牺牲各自的安全性。Evaluationo

nly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.②隔绝当操作系统提供隔绝时，并发运行的不同处理不能察觉对方的存在

。每个处理有自己的地址空间、文件和其它客体。操作系统限制每个处理，使其它处理的客体完全隐蔽。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientPr

ofile5.2.0Copyright2004-2011AsposePtyLtd.(1)内存保护常用的有：内存保护、运行保护和I/O保护等。多道程序的最重要问题是阻止一个程序影响另一个程序的存储器。这种保护可以作成硬件

机制，以保护存储器的有效使用，而且成本很低Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.1)固定地址界限设置地址界限，使操作

系统在界限的一边，而用户程序在界限的另一边。主要是阻止用户程序破坏操作系统的程序。这种固定界限方式的限制是死扳的，因为给操作系统预留的存储空间是固定的，不管是否需要。操作系统操作系统硬件地址界限操作系统

用户程序0n-1n高Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.2)浮动地址界限界限

寄存器（fenceregister）：它存储操作系统的端地址。与固定界限方式不同，这里的界限是可以变化的。每当用户程序要修改一个地址的数据时，则把该地址与界限地址进行比较，如果该地址在用户区则执行，如果该地址在操作系统区则产生错误信号、并拒绝执行。操作系

统操作系统界限寄存器操作系统用户程序0n-1n高Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.一个界限寄存器的保护是单向的。换句话说，可保护用户不侵

入操作系统区，但不能保护一个用户对另一用户区的侵入。类似地，用户也不能隔离保护程序的代码区和数据区。通常采用多对地址界限寄存器，其中一个为上界，另一个为下界（或一个为基址，另一个为界长）。把程序之间，数据之间，堆栈之间隔离保护起来。Evaluationonly.eatedwi

thAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.操作系统程序2上界寄存器操作系统程序30n-1n高操

作系统程序1下界寄存器mm+1基址寄存器界长寄存器Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.3)内存块锁与进程钥匙配对法PSW

的其余部分钥匙内存锁0110块1101块0101块0110块0110进程Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5.2.0Copy

right2004-2011AsposePtyLtd.(2)支持虚拟内存的系统进程的存储空间的隔离可以很容易地通过虚拟存储器的方法来实现，分段、分页或段页式，提供了管理和保护主存的有效方法，这类系统通过段表、页表和段页表间接地访问虚拟内存的一个段或一个页。由于表对于进程是私有的，因此，通过

在有关表项中设置保护信息，每个进程可以对该进程能(私有或共享)访问的任何段或页面具有不同的访问权限，在每次地址转换时执行必需的权限检查。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientPr

ofile5.2.0Copyright2004-2011AsposePtyLtd.(3)沙盒技术在大多数操作系统中，一个进程调用的函数会自动继承调用进程的所有访问特权，特别是可以访问进程的整个虚拟内存。若函数是不可信的，如Internet上下载的程序(很可能

带有特洛伊木马)，这种不受限制的访问是不允许的，会给系统造成严重威胁。为了限制不可信程序造成潜在损害的范围，系统可限制特权为调用进程所具有的授权的一小部分特权，通常称这种缩小访问后的环境为“沙盒”。Evaluationonly.eatedwithAspose.Slidesfor.NET3

.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.2运行保护•安全操作系统采用分层设计；•运行域是进程运行的区域；•运行域保护机制：根据安全策略，把进程的运行区域划分为一些

同心环，进行运行的安全保护。•最内环具有最小的环号，具有最高的安全级别；•最外环具有最大的环号，具有最低的安全级别；•内环不受外环的入侵，却可利用外环的资源，并控制外环。Evaluationonly.eatedwithAspose.Slidesfor.NET3.5ClientProfile5

.2.0Copyright2004-2011AsposePtyLtd.等级机制保护某一环不被外层环侵入，并能控制外环进程隔离机制：隔离同一环内同时运行的各个进程R0R1RnEvaluationonly.eatedwithAspose.

Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.3I/O保护IO保护是系统中最复杂的；大多数情况下，把IO设备视为文件，且规定IO是仅由操作系统完成的一个特权操作，对读写操作提供一个高层系统调用。在这一过

程中，用户不控制IO操作的细节。CPU与计算机系统相连接的各种外围设备通信时，必须读写设备控制器提供的各种寄存器，对这类寄存器的访问可采用两种途径：内存映射接口和I/O指令(集)。Evaluationonly.eatedwithAs

pose.Slidesfor.NET3.5ClientProfile5.2.0Copyright2004-2011AsposePtyLtd.