1、第2篇 原理研究第 6章 处理器管理原理第 7章 存储管理原理第 8章 文件管理原理第 9章 设备管理原理第10章 联网与安全的原理,10.1 联网,具有网络通信和网络资源共享能力的操作系统被称为网络操作系统(NOS)。本节介绍NOS的功能、类型和构成,讨论网络通信和网络资源共享技术。,第10章 联网与安全的原理,10.1.1 网络操作系统概述网络系统中必不可少的NOS,是使网络上各个自主计算机(或工作站)方便有效地共享网络资源、为网络用户提供各种服务的软件和通信协议的集合。1NOS功能NOS除了具有单机操作系统的功能,一般还应具有以下特殊功能:1) 网络系统服务包括网络通信、文件、打印和域名
2、等服务。,2) 多用户多任务支持,包括:工具类:电子邮件(E-mail)、文件传输协议(FTP)、远程登录(Telnet);讨论类:电子公告系统(BBS);信息查询类:万维网(WWW)、广域信息查询系统(WAIS)。NOS能同时响应多个用户的访问请求,并提供多任务处理。NOS应尽可能支持各种操作系统或环境,以适应多样化的用户端配置。,3) 网络管理能力包括用户注册、配置、故障、性能、安全和计费管理,系统备份。NOS还应具有一定的容错能力,能自行解决异常情况,以保持稳定的工作状态。4) 分布式目录服务将网络上不同节点的资源组织在一个全局性的、可复制的分布式数据库中,其副本存放在多个服务器上。用户
3、一次登录就可以定位和访问所有的共享资源。,5) 应用互操作能力这需要提供信息互通性和信息互用性。信息互通性指在不同网络节点之间能实现通信,一种有效的实现方法是各网络节点配置同一类型的传输协议,目前主要是TCP/IP。信息互用性指在不同网络节点之间能相互识别数据表示和文件访问命令,需要建立被广泛接受的数据表示协议和网络文件系统协议。目前较流行的是SUN公司的外部数据表示(XDR)和网络文件系统(NFS)。,2NOS的类型现有的NOS可分为三种类型。1) 集中式这种NOS的基本单元是一台主机和若干台与主机相连接的终端,将多台主机连接构成网络,数据和处理都由主机集中管理和执行。UNIX系统是这种NO
4、S的典型例子。,2) 客户/服务器式服务器是安装有NOS核心软件的计算机,客户机是安装有客户机操作系统的计算机。这种系统代表着NOS的主流技术,Windows NT和NetWare等都可以用于构造这种系统。,3) 对等式在对等式的网络系统中,每个节点都是安装有NOS的计算机系统,全部节点地位同等,既是网络资源的提供者,又是网络资源的使用者,可以共享彼此的资源。NetWare Lite和Windows系列操作系统都可用于构造这种系统。分布式计算网络是正在发展的对等式网络。,3NOS的构成1) 客户端网络软件要想实现客户和服务器的交互,使客户端用户能访问文件服务器上的文件系统和共享资源,就需要在客
5、户端配置网络软件。一般采用重定向程序Redirector和网络基本输入输出系统NetBIOS作为客户端网络软件。,2) 网络环境软件网络环境软件配置在服务器上,包括多任务软件和传输协议软件。多任务软件可以使多任务高度并发执行。传输协议软件管理客户端与服务器之间的报文传送,不同局域网所采用的传输协议软件可能不同,但用得最多的是TCP/IP协议软件。,3) 网络服务软件一个局域网是否受用户欢迎,在很大程度上取决于NOS所提供的网络服务。网络服务包括名字服务、多用户文件服务、打印服务和电子邮件服务等。,4) 网络管理软件网络管理软件主要包括安全性管理、容错、备份和性能检测。局域网一般设置系统、用户、
6、目录和文件4级访问控制来进行安全性管理。容错技术的引入是为保证数据不因为系统故障而丢失或出错。备份一般有脱机备份与联机备份两种方式。性能检测包括服务器性能、硬盘性能、网络中的分组流量和网络接口卡的操作等。,10.1.2 网络通信技术网络通信技术是NOS中的低层实现技术,是支持通信管理和资源管理的基础。两类通信方式:基于共享变量的方式 适用于节点主机内部诸进程之间的通信。基于消息传递的方式 适用于网络中各节点之间的进程通信。消息通信、远程过程调用(RPC)和套接字(Socket)都属这类通信方式。,1消息通信NOS中的消息通信基本类似集中式操作系统中的消息通信,但由于进行通信的进程处于不同节点,
7、因此相互配合的问题较复杂。消息通信原语基本形式为Send(D, Message)和Receive(S, Buffer)其中,D表示接收进程,Message表示发送的消息,S表示发送进程,Buffer则为接收者进程的信箱或缓冲区。,消息通信可分为同步和异步两种。1) 同步消息通信同步消息通信必须使用带阻塞的发送原语和接收原语。工作原理:发送进程生成消息,通知甚至确认接收进程已就绪,然后调用发送原语,此时被阻塞,直到这次消息传送完成或时限到。,执行发送原语,即进入了发送进程所在机器上消息收发模块。该模块将此消息按网络通信协议逐层向下传送。当此消息通过网络物理链路传送到目标进程所在机器时,又逐层上传
8、到达该机器上的消息收发模块。该模块将此消息链入接收进程的消息队列中,然后发信号给接收进程或直接唤醒它。,接收进程调用接收原语从自己的消息队列中接受此消息并向发送进程发回应。若接收原语中所指明的进程消息尚未进入消息队列,接收进程则被阻塞。发送进程在调用发送原语后的阻塞有个时限。如果时限已到却未收到回应,则发送进程认为消息已丢失而重新发送。阻塞时限和消息重发次数一般由系统预定。,2) 异步消息通信在异步消息通信中,发送进程把消息发送出去后,并不等待对方回答,而是继续执行下去。因此采用的是非阻塞通信原语。,非阻塞通信原语需要解决另一问题:当调用发送原语后,发送进程不知道消息传送何时完成,故不能再使用
9、原来的消息缓冲区。有两个解决办法:采用带复制的非阻塞发送,即让内核把消息复制到内核缓冲区,使发送进程能够重新使用缓冲区;采用带中断的非阻塞发送,即内核在完成发送消息后,中断发送进程,通知它缓冲区可用。,3) 组通信在网络系统中,可将若干相关进程形成一个组,组内的每个进程都可以发送和接收消息,组内任一进程发送的消息都可被组内其他所有的参与进程接收到。这种方式称为组通信,也称为组播,这个组则称为组播组,而前面介绍的两种通信称为单播。,为了支持组通信,需要提供下列基本操作:加入 使一个进程加入某特定的组播组,成为该组的成员。一个进程可以同时是多个组播组的成员。离开 使一个成员退出某特定的组播组。离开
10、一个组播组的进程不再是该组的成员,但仍可以是其他组播组的成员。发送 使组成员向组发送消息。接收 使组成员接收发往其所在组的消息。,基本的组播机制是无连接的,因为,组播具有一对多通信的特征,在一个包含n个进程的组中,如果都建立连接,那么总共需要n(n 1)个单向连接。组通信方式中,组播机制中的运行时例程(run-time routine)负责将消息传递给组播组的所有当前成员,为了向可能驻留于不同主机上的成员进程传递消息,需要独立运行于各主机上的协作机制提供支持。,不同的机制获得的传递效果会有很大差别,需要根据应用特征选择合适的组播机制。根据消息传递特征,组播机制可分为非可靠组播和可靠组播。非可靠
11、组播尽力将消息传递给每个成员进程,但不保证消息能正确传递到每个成员进程。可靠组播保证每个消息都能最终正确传递到每个成员进程。,如果考虑进程接收消息的顺序,那么,可靠组播又可分以下几种:无序组播 只保证每个消息的安全传递,但不保证消息传递顺序。FIFO组播 将每个成员发送的消息视为一个序列,接收消息的顺序可以是所有这些序列的任意交错,即保证不破坏每个序列的顺序。,因果顺序组播 若消息Mi导致消息Mj的发生,则Mi将在Mj之前传递到各个进程。原子顺序组播 保证所有消息都按完全相同的顺序传递到各个进程。,2远程过程调用1) RPC的行为特点RPC是本地过程调用(LPC)向网络环境的延伸。在LPC中,
12、调用者按照规定将参数传递给被调用的过程,然后把控制权交给该过程并使之执行,该过程完成处理后将结果返回给调用者,并使其继续执行。,在RPC中,行为方式大体上未变,但调用者和被调用者分别属于不同进程,都作为主动方,两者通常运行于网络的不同节点,因此RPC与LPC间存在具体差异:获得返回结果,LPC中不用等待,RPC中需等待较长时间;,RPC行为方式大体上未变,但其中的调用者和被调用者分别属于不同进程,都作为主动方,两者通常运行于网络的不同节点,因此RPC与LPC间存在具体差异。获得返回结果:LPC中不用等待,RPC中需等待较长时间;调用者和被调用者:LPC中同时存在且属同一地址空间,而RPC中生存
13、期不同且没有共同的存储区,不能使用指针类型。所以,RPC需要专门的实现机制。,2) RPC的处理流程在RPC中,除了调用者(称作客户进程)和被调用者(称作服务器进程),存根(stub)和运行时例程起着重要作用。如图所示,RPC的一般步骤如下:,RPC一般步骤示意图,当客户端存根利用参数生成消息时,必须绑定服务器。一般有三种方法:静态配置,动态获取,服务资源表基础上的动态获取。,从RPC的一般步骤可以看到,无论是否需要调用参数和返回结果,RPC中的调用者和被调用者之间都是一种同步关系。客户端存根使客户程序可用LPC方法去调用远程过程,服务器存根使服务器程序可以独立于调用者编程,这称为RPC的透明
14、性。,3) RPC实现中的难点不同计算机在数据表示上的差异,会导致客户机和服务器的交互障碍。因此RPC实现中较流行的解决办法是采用XDR,客户端存根和服务器存根都具有本机数据与XDR数据间的转换功能。RPC过程中调用者和被调用者都有可能发生故障,加上通信中也可能出错,使问题变得很复杂。因此,需要提供相应机制确保调用结果正确有效,为此规定了调用语义。,常用的的调用语义如下:最多一次最少一次恰好一次最后一次此外,RPC还缺乏在一次调用过程中多次接收返回结果的能力,也缺乏传送大量数据的能力,这些都靠在具体实现中解决。,3Socket系统调用 Socket是在BSD UNIX中首创的通信机制。Sock
15、et实质上提供了进程通信的端口。,用通电话比喻Socket通信,在网络上,每个Socket用一个“半相关”描述,指定了一个连接的每半个部分(协议,本地地址,本地端口)。只有协议相同的两个半相关,才可能组合成一个全相关。,Socket是面向客户机/服务器模式设计的,针对客户机和服务器提供不同的Socket系统调用。客户随机申请一个Socket,系统分配给它一个具有本地唯一性的Socket号,而服务器拥有全局公认的Socket,任何客户都可向它发出连接与数据请求。这里,“全局公认”是建立连接的必要条件,而且符合服务器在网络中的地位。,为了支持各种类型的网络,有多种Socket类型,常见的有可靠的面
16、向连接的字节流、可靠的面向连接的包流、不可靠的包传递等。创建Socket时,用一个参数指明所用的协议。对可靠的字节流和包流,常用TCP/IP;对不可靠的包传递,则采用UDP。,Socket的功能由Socket系统调用来体现,主要有创建socket()、指派本地地址bind()、建立连接connect()、愿意接受连接listen()、接受连接accept()、发送数据send()、sendto()、sendmsg()、接收数据read()、readv()、recvfrom()、recvmsg()和关闭closesocket()。,在实际应用中,要使用Socket通信,必须有客户和服务器两个进程
17、,且首先启动服务器进程。服务器按工作可分成两种类型:重复服务器 面向短时间内能处理完的客户请求,由服务器自己处理来到的请求;并发服务器 面向长时间才能处理完的客户请求,服务器每接到一个这样的客户请求,就生成一个子进程响应它,自身退回监听状态,等待新的客户请求的到来。,10.1.3 网络资源共享技术网络资源共享指让网络用户共同使用服务器上的盘驱动器、文件和数据等资源。共享资源由管理员或其他拥有管理员权限的用户创建。,1硬盘共享为了实现硬盘共享,共享硬盘的管理软件必须具有用户管理、盘卷管理、安装管理和信号量管理等功能。硬盘共享主要有以下两种形式:1) 虚拟软盘方式2) 文件服务方式,2打印机共享大
18、部分网络都提供共享打印服务。它不仅允许网络用户以SPOOLing和排队方式共享配置在服务器上的打印机,而且还允许共享配置在工作站上的打印机,实现了分布式打印。1) 打印服务器2) 网络打印的工作过程,3) 共享打印的控制模式在客户/服务器模式下,可采用两种方式控制对打印机的共享:网络中配置一台专用的打印机服务器,用来管理供全网用户共享的若干台打印机;在文件服务器上连接共享打印机,目前大多数局域网采用这种方式。,在对等模式下,不仅允许在服务器上配置共享打印机,而且允许在工作站上也配置共享打印机,这样便实现了完全分布式的共享打印方式。这种方式对工作站有较高的要求,如需要具有相当容量的内存和硬盘。现
19、在大多数微机都支持这种对等模式。,3数据和文件资源的共享共享网络中的数据和文件是多数用户机器连网的主要目的。当前可采用两种方式实现数据和文件的共享。1) 数据迁移数据迁移有两种办法:全部迁移部分迁移,(2) 计算迁移传送计算一般要比传送数据更有效。包括处理负载平衡和将被迁移计算的运行现场随同计算一起传送。发送远程命令有多种方法,例如,发送消息,或使用RPC。如果传送数据所需的时间长于传送远程命令的时间,那么计算迁移的方式更可取,反之,则数据迁移方式更有效。,10.2 安全,10.2.1 操作系统的保护级操作系统的安全性是计算机系统安全性的基础。计算机系统的安全性指信息资源不因有意无意的作为而被
20、泄漏、篡改和破坏,在系统的硬件、软件、数据和系统运行等方面达到保密性、完整性和可用性等目标。,操作系统处于计算机安全的风口浪尖。操作系统支持多用户同时共享计算机系统的资源,涉及到各种安全性问题;联网的计算机间存在大量数据传送操作,在网络安全、信息保护和系统防侵等方面都面临着经常性的挑战;数据库等应用系统管理着大量数据,使数据安全的问题格外突出;各种恶意软件干扰操作系统正常运行,甚至导致系统彻底瘫痪。,操作系统的安全问题主要包括:被利用来获得授权以外的信息,危害计算机系统的保密性和完整性;被利用来阻碍计算机系统正常运行或用户正常使用,危害计算机系统的可用性;本身遭病毒破坏,或受人为或自然因素影响
21、,无法完成指定的功能;本身全部或部分被非法复制或非法使用。,为此,需要操作系统提供适当的保护。操作系统可能提供的保护级如下:无保护:这适用于在独立时间内运行的过程。隔离:使每个进程不感觉其他进程的存在,每个进程有自己的地址空间,文件和其他对象。由拥有人决定共享性:对象拥有人宣布它是公有的或私有的,公有对象可被任何进程访问,私有对象只有拥有人进程才能访问。通过访问控制的共享:由系统检查访问权限,保证只能进行已授权的访问。,权限可改变的共享:扩展了访问控制的概念,允许动态改变对共享对象的访问权限。限制使用方式:这种形式的保护不仅限制了对对象的访问,而且还限制对被访问对象的使用方式。 上述各级别的保
22、护能力按排列顺序递增,实现难度也大致按此顺序递增。,10.2.2 安全策略和安全模型安全策略指有关管理、保护和发布敏感信息的法律、规定和实施细则。安全策略由一整套严密的规则组成,这些规则是决定安全控制的基础。说一个操作系统是安全的,指它满足某一确定的安全策略。设计和开发安全操作系统时,也要根据一个确定的安全策略进行。许多操作系统的安全控制遭到失败,主要原因就是没有明确的安全策略。,安全模型是对安全策略所表达的安全需求的简单、抽象和无歧义的描述,是体现安全策略和其实现机制间关系的框架。安全模型的主要功能是精确描述系统的安全策略,是对系统的安全需求,以及如何设计和实现安全控制的一个清晰、全面的理解
23、和描述。安全模型描述了用何种机制满足安全策略,而模型的实现则描述了如何在系统中应用特定的机制,从而实现安全策略表达的安全需求。,要开发安全系统首先必须建立系统的安全模型。安全模型给出了安全系统的形式化定义,并且正确地综合了系统的使用方式、使用环境类型、授权的定义、共享的系统资源、共享的类型和受控共享思想等各类因素,构成安全系统的形式化抽象描述,使得系统可以被证明是完整、反映真实环境的,逻辑上能够实现且受控执行的。,对于需要保护用户资源的计算机系统,资源共享和资源保护是它的两个重要特征,操作系统需要在资源共享和资源保护之间作出平衡,以有利于扩展计算机系统的用途。一个具体的操作系统,可能对不同的用
24、户和对象提供不同程度的保护。,10.2.3 安全机制安全机制的主要功能是实现安全策略描述的安全需求,关注的是如何实现系统的安全性,主要包括身份认证、访问控制、程序防御、数据加密、事件审核、备份和恢复。1身份认证身份认证一般涉及两个方面的内容:身份识别和身份验证。,身份认证通常有三类:对被识别者知识的验证,对被识别者所持有物品的验证,对被识别者自身固有特征的验证。这里讨论最常用的用户身份认证机制密码。1) 密码的重要性密码的作用是认证ID,通过认证的ID才能在进入系统后使用赋予的权限和向其他用户授权。,2) 保护密码文件典型情况下,系统必须维护一个密码文件,其中记录着每个授权用户的密码。保护密码
25、文件的常用方法有两种:单向加密 系统存储的是加密形式的用户密码。当用户登录时,系统对输入的密码加密并与存储的值作比照。,控制访问。控制对密码文件的访问,只允许非常少的账户可以访问。操作系统还必须阻止其他窃取密码的行为,如使用特洛伊木马、窃听远程用户和主机系统之间的线路等,这些将在后面讨论。,3) 密码生效前检测除了窃取,非法获得密码的另一常用办法是猜测。不少系统采用了密码生效前检测的策略,常用两种方法:一种是规定密码最少为8个字符,且其中必须包含大写、小写、数字和标点;另一种是系统建有一个“差”密码字典并据此检测,只有不在该字典中的用户密码才能生效。,2访问控制成功登录的用户只应访问允许他访问
26、的资源。所谓访问控制就是对用户访问资源进行控制,涉及三个基本要素:1) 客体(object):被访问的实体,也称对象,如文件、文件的某部分、程序、设备和存储区域等。,2) 主体(subject):能够访问客体的实体,一般指进程,因为用户对客体的访问实际上是通过一个代表它的进程进行的。3) 访问权(access authority):主体访问客体的方式,如读、写、执行和删除等。一般有自主访问控制和强制访问控制两种。,1) 自主访问控制资源的拥有者可以按照自己的意愿精确指定系统中其他主体对其资源的访问权;其他对某种资源的访问权具有授予权的主体,能够将访问权或其子集授予别的主体。实现自主访问控制需要
27、建立访问控制矩阵。,控制访问矩阵示意,(其中:R读,W写,X执行),为了提高效率,在实现中一般不是将矩阵整个地保存,而是基于行或基于列来表示访问控制信息。基于行的自主访问控制是在每个主体上附加一个该主体可访问的客体的详细说明表,有前缀表和权限表两种方式。基于列的自主访问控制是在每个客体上附加一份可访问它的主体的详细说明表,有保护位和存取控制表两种方式。,2) 强制访问控制强制访问控制指系统给每个主体和每个客体各分配一个特殊的安全属性,用户不能修改自己的安全属性和任何客体的安全属性。系统通过比较主体和客体的安全属性来确定一个主体是否具有对某个客体访问的权力。,强制访问控制和自主访问控制常常被结合
28、起来使用,仅当主体能够同时通过强制访问控制和自主访问控制检查时,才能访问客体。用户利用自主访问控制防止其他用户非法访问自己的资源,强制访问控制则作为更强有力的安全保护方式,使用户不能通过意外事件或故意误操作逃避安全控制。,3程序防御操作系统除了必须在登录和访问等常规途径上做好防范工作,还需要消除或限制恶意程序从非常规途径破坏系统安全。恶意程序包括:病毒、蠕虫、逻辑炸弹、特洛伊木马、隐蔽通道、天窗。按信息传递的方法区分,隐蔽通道分为隐蔽存储通道和隐蔽定时通道。,现在的操作系统提供了自动更新功能,便于不断地修补安全漏洞,有的还自带了杀毒软件和反间谍软件。4数据加密数据如果加了密,那么就是被窃取了也
29、能阻止数据泄密。1) 专用密钥系统,2) 公开密钥系统 公开密钥系统中,用一个公开密钥对信息加密,用另一个不同的但与加密密钥有联系的私有密钥进行解密,如图所示。因此,公开密钥系统也被称为不对称密钥系统。,公开密钥系统的加密/解密过程,公开密钥系统的加密安全性主要依赖于以下因素:加密算法应保证只根据密文是解不出明文的;只有私有密钥需要保密;保证知道了算法、密文和一个密钥也无法确定另一个密钥。,5入侵检测计算机的另一种安全威胁是入侵者,一般称为黑客(hacker)或计算机窃贼(cracker)。有个重要研究中标识了三种类型的入侵者:伪装者(masquerader)违法行为者(misfeasor)秘
30、密用户(clandestine user),入侵者的目的是获得对系统的访问或扩大访问系统的特权范围,为此,他先要获得安全信息(在多数情况下是用户密码)。前已讨论过用户密码的预防被窃,下面考虑的是预防措施失败后的对策入侵检测。,入侵检测的重要作用:越早检测到入侵,就能越早确定入侵者并将他逐出系统;有效的入侵检测系统具有威慑力,因而降低了被入侵的机率;入侵检测能收集入侵攻击技巧的信息,这些信息可用来加强入侵防范措施。,入侵检测基于的假设是入侵者的行为不同于合法用户的行为,但是入侵者的攻击和授权用户正常使用资源之间的差别并不明显。因此,对入侵行为定义得过宽会大大增加后续的鉴别工作量,甚至贻误时机,而
31、定义得太严格又会漏掉入侵者,这就要求在入侵检测的实际情况中作出权衡。,现有的入侵检测方法:统计异常检测 收集一段时间内合法用户行为的相关数据,据此对观察到的行为进行统计试验,确定该行为是否合法。经常采用的是临界值检测法和基于直方图检测法。基于规则的检测 定义一个规则集,用于决定一个已知行为是否是入侵者行为,经常采用的有异常检测法和攻击验证法。,统计异常检测对伪装者较有效,因为他们不太可能模仿所盗用账号的行为模式。但是,这种方法对于违法行为者来说就不太合适,对于这种攻击,基于规则的方法能够识别攻击事件序列。有些系统组合两种方法,以便更有效地对付多种攻击。,入侵检测的基本工作是审计,即审查事件记录
32、,基本上使用两种方法:检测本地审计记录 从本地审计记录来收集用户行为。检测专用的审计记录。可以用一种收集工具来生成只包含入侵检测需要的审计记录,每个审计记录包含主体、行为、客体、例外条件、资源使用和时间戳等。,6防火墙防火墙是一个位于计算机和它所连接的网络之间的软件,具有如下功能:过滤掉不安全的服务和非法用户,控制对特殊站点的访问,提供监视Internet安全和预警的方便。但防火墙无法防范有些安全威胁,包括不经过防火墙的攻击、来自网络内部的攻击和病毒的威胁、数据驱动式的攻击等。,7备份和恢复即使在各方面都采取了有效的安全措施,仍不能排除系统崩溃甚至被毁的可能性。定期备份是一种有效办法,可在灾后
33、使系统恢复到灾前的一个正常状态,将损失降到最小。常用的备份类型有整体备份、增量备份、静态备份、动态备份。对付系统崩溃还有一种办法是设置还原点,它的优点是容易操作,缺点是计算机系统被毁时就不复存在。,10.2.4 安全操作系统安全操作系统是能对所管理的数据与资源提供适当的保护级、有效控制硬件和软件功能的操作系统。1操作系统安全性等级可信计算机安全评价标准(TCSEC)是计算机系统安全评估的第一个正式标准。,TCSEC将计算机系统的安全从低到高分为D、C、B、A四等和D1、C1、C2、B1、B2、B3、A1七级,每一级别包含前一级别的所有安全性条款。随着级别的提高,系统的可靠程度随之增加,风险也随
34、之减小。其中,D等是最低保护级,C等是自主保护级,B等是强制保护级,A等是验证保护级。,针对信息安全保障,英法德荷四国提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)后,美国又联合这四国和加拿大,并会同国际标准化组织共同提出信息技术安全评价的通用准则(CC for ITSEC),CC已被采纳为国际标准ISO 15408。2安全操作系统的开发安全操作系统的形成方式:,安全设计方式 从系统开始设计时就充分考虑到系统的安全性。安全增强方式 基于一个通用的操作系统,专门进行安全性改进或增强。安全操作系统的设计原则包括最小权限,机制的经济性,开放式设计,完整的策划,权限分离,最少通用机制。安全操作系统在开发完成后,在正式投入使用之前一般都要求通过相应的安全性评测。,本章小结,本章介绍了网络操作系统的功能、类型和组成,所提供的基于共享变量的和基于消息传递的通信方式,数据和文件等网络资源的共享。还介绍了操作系统的安全策略、安全模型,操作系统可能提供的保护级,身份认证、访问控制、程序防御、数据加密和事件审核等安全机制,安全操作系统,计算机系统安全评估的第一个正式标准TCSEC,安全操作系统的设计原则。,
