第8章操作系统的安全和保护
(1) 说明计算机系统的可靠性和安全性的区别和联系。
解:
计算机系统的安全性和可靠性是两个不同的概念,可靠性是指硬件系统正常持续运行的程度,而安全性是指不因人为疏漏或蓄意操作而导致信息资源被泄露、篡改和破坏。可靠性是基础,安全性更为复杂。
(2) 叙述计算机系统安全的主要内容。
解:
计算机系统安全涉及的内容非常广泛,总体上来讲包括三个方面的内容:物理安全、逻辑安全和安全管理。物理安全是指系统设备及相关设施受到物理保护,使之免遭破坏或丢失,如计算机环境、设施、设备、载体和人员,对于这些物理因素,需要采取行政管理上的安全对策和措施,防止突发性或人为的损害或破坏;安全管理包括各种安全管理的政策和机制。逻辑安全是针对计算机系统,特别是计算机软件系统的安全和保护,严防信息被窃取和破坏。它又包括以下四个方面。
1.数据保密性(Data Secrecy):指保护信息不被未授权者访问,仅允许被授权的用户访
问。
2.数据完整性(Data Integrity):指未经授权的用户不能擅自修改系统中保存的信息,
且能保持系统中数据的一致性。
3.系统可用性(System Availability):指授权用户的正常请求能及时、正确、安全地得
到服务或响应。或者说,计算机中的资源可供授权用户随时进行访问,系统不会
拒绝服务。系统拒绝服务的情况在互联网中很容易出现,连续不断地向某个服务
器发送请求就可能会使该服务器瘫痪,以致系统无法提供服务,表现为拒绝服务。
4.真实性(Authenticity):要求计算机系统能证实用户的身份,防止非法用户侵入系统,
以及确认数据来源的真实性。
(3) 安全操作系统的主要功能有哪些?
解:
一个安全的操作系统包括以下功能:
1.进程管理和控制。在多用户计算机系统中,必须根据不同的授权将用户进行隔离,
但同时又要允许用户在受控路径下进行信息交换。构造一个安全的操作系统的核
心问题就是具备多道程序功能,而实现多道程序功能取决于进程的快速转换。
2.文件管理和保护。包括对普通实体的管理和保护(对实体的一般性访问存取控制)
以及对特殊实体的管理和保护(含用户身份鉴定的特定的存取控制)。
3.运行域控制。运行域包括系统的运行模式、状态和上下文关系。运行域一般由硬
件支持,也需要内存管理和多道程序的支持。
4.输入/输出访问控制。安全的操作系统不允许用户在指定存储区之外进行读写操作。
5.内存保护和管理。内存保护是指,在单用户系统中,在某一时刻,内存中只运行
一个用户进程,要防止它不影响操作系统的正常运行;在多用户系统中,多个用
户进程并发,需要隔离各个进程的内存区,防止这些进程影响操作系统的正常运
行。内存管理是指要高效利用内存空间。内存管理和内存保护密不可分。
6.审计日志管理。安全操作系统负责对涉及系统安全的时间和操作做完整的记录、
报警和事后追查,并且还必须保证能够独立地生成和维护审计日志以及保护审计
过程免遭非法访问、篡改和毁坏。
(4) 计算机或网络系统在安全性上受到的威胁有哪些?
解:
计算机或网络系统在安全性方面受到的威胁可分为如下4种类型:
1.中断。也称为拒绝服务,是指系统的资源被破坏或变得不可用或不能用。这是对
可用性的攻击,如破坏硬盘、切断通信线路或使文件管理失败。
2.截取。未经授权的用户、程序或计算机系统通过非正当途径获得对资源的访问权。
这是对保密性的威胁,例如在网络中窃取数据及非法复制文件和程序。
3.篡改。未经授权的用户不仅获得对资源的访问,而且进行篡改,这是对完整性的
攻击,例如修改数据文件的信息,修改网络中正在传送的消息内容。
4.伪造。未经授权的用户不仅从系统中截获信息,而且还可以修改数据包中的信息,
将伪造的对象插入到系统中,这是对真实性的威胁,例如,非法用户把伪造的消
息加到网络中或向当前文件加入记录。
(5) 什么是被动威胁和主动威胁?它们分别发生在什么场合?
解:
被动威胁实际上是对传输过程中的信息进行窃取和截获,攻击者的目的是非法获得正在传输的信息,了解信息内容和性质。被动威胁导致信息内容泄露和信息流量被分析。被动威胁比较隐蔽,很难被检测发现,因为它不对信息进行修改,也不干扰信息的流动。对付被动威胁的关键在于预防,而不是检测。
主动威胁不但截获数据信息,而且还冒充用户对数据进行修改、删除或生成伪造数据。主动威胁很难预防,只能通过检测发现,并恢复主动威胁导致的破坏。
(6) 简单叙述计算机系统常用的安全机制。
解:
计算机系统常用的安全机制主要包括:加密机制、认证机制、授权机制、审计机制等。
1)数据加密技术对系统中所有存储和传输的数据进行加密,使之成为密文。这样,
攻击者在截获到数据后,无法查看到数据的内容;而只有被授权者才能接收和对
该数据予以解密,查看其内容,从而有效地保护系统信息资源的安全性。
2)认证机制包括数字签名和身份认证。对文件进行加密只解决了传送信息的保密问
题,而防止他人对传输文件进行破坏,以及如何确定发信人的身份还需要采取其
它的方法,这一方法就是数字签名。在电子商务安全保密系统中,数字签名技术
有着特别重要的地位,电子商务安全服务中的源鉴别、完整性服务、不可否认服
务都要用到数字签名技术。完善的数字签名应满足下述三个条件:
1.签字方事后不能抵赖其签名。
2.其他人不能伪造对报文的签名。
3.接收方能够验证签字方对报文签名的真伪。
身份认证是安全操作系统应该具备的最基本功能,是用户要进入系统访问资源或
在网络中通信双方在进行数据传送之前实施审查和证实身份的操作。
3)授权机制用于确认用户或进程在授权许可下才能够访问使用计算机的资源。
4)审计是通过事后追查手段来保证系统的安全,是对系统实施的一种安全性技术措
施,它对涉及系统安全的相关操作活动作一个完整的纪录,并进行检查及审核。
实际上,审计的主要目的就是检测和阻止非法用户对计算机系统的入侵,并记录
合法用户的误操作。审计为系统对安全事故原因的查询、事故发生地点、时间、
类型、过程、结果的追查、事故发生前的预测及报警提供详细、可靠的依据和支
持。审计记录一般应包括如下信息:事件发生的时间、地点、代表正在进行事件
的主体的惟一标识符、事件的类型、事件的成败等。
(7) 简单叙述对称加密算法和非对称加密算法。
解:
在对称加密算法中,加密和解密算法使用相同的密钥。加密密钥能够从解密密钥中推算出来,同时解密密钥也可以从加密密钥中推算出来。对称加密算法要求发送方和接收方在安全通信之前,商定一个密钥。对称加密也称私钥加密、密钥加密。对称加密算法的安全性依赖于密钥,泄漏密钥就意味着任何人都可以对他们发送或接收的消息解密,所以密钥的保密性对通信安全至关重要。
非对称加密算法使用两把完全不同的一对钥匙:公钥和私钥。在使用非对称加密算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密。加密明文时采用公钥加密,解密密文时使用私钥,而且发信方(加密者)知道收信方的公钥,只有收信方(解密者)唯一知道自己的私钥。非对称加密也称公开密钥加密法。非对称加密算法的基本原理是,如果发信方想发送只有收信方才能解读的加密信息,发信方必须首先知道收信方的公钥,然后利用收信方的公钥来加密原文;收信方收到加密密文后,使用自己的私钥解密密文。(8) 试说明数字签名的加密和解密方式。
解:
基于公开密钥密码算法的数字签名主要原理如下:
1.报文的发送方从报文文本中生成一个128位的散列值,称之为报文摘要。
2.发送方用自己的私钥对该报文摘要进行加密,形成发送方报文的数字签名。
3.该报文的数字签名作为报文的附件和报文一起发送给接收方。
4.报文接收方从接收到的原始报文中计算出128位的报文摘要。
5.报文接收方用发送方的公钥对报文附加的数字签名进行解密。如果两个报文摘要相
同,那么接收方就能确认该数字签名是发送方的。
(9) 数字证书的作用是什么?用一例子来说明数字证书的申请、发放和使用过程。
解:
数字证书是一种权威性的电子文档,它提供一种在Internet上验证用户身份的方式,其作用类似于驾驶执照、身份证、护照。它由一个权威机构 证书授权(Certificate Authority) CA 中心发行,可以在互联网中用它来识别对方的身份。在数字证书认证的过程中,证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其作用至关重要。在国际电信联盟ITU(International Telecommunication Union)指定的X.509标准中,规定数字证书的内容应包括:用户名称、发证机构名称、公开秘钥及其有效日期、证书编号以及发证者签名。下面通过一个具体例子来说明数字证书的申请、发放和使用过程。
1.用户A首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中
心CA。
2.认证中心CA在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送
而来。然后,认证中心将发给用户一个数字证书,该证书内包含用户A的个人信
息和他的公钥信息,同时还附有认证中心的签名信息。
3.用户A在向用户B发送信息时,用户A用私有密钥对信息的报文摘要加密,形成
数字签名,并连同已加密的数字证书一起发送给用户B。
4.用户B向CA机构申请获得CA的公开密钥。CA收到用户B的申请后,将CA的
公开密钥发送给用户B。
5.用户B利用CA的公开密钥对数字证书进行解密,确认该数字证书是原件,并从
数字证书中获得用户A的公开密钥,并且也确认该公开密钥确系是用户A的密钥。
6.用户B利用用户A的公开密钥对用户A发送来的数字签名进行解密,从而得到用
户A发来的报文的真实明文,并鉴别用户A的真实身份。
(10) 什么是计算机病毒?计算机病毒有什么危害?
解:
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
计算机病毒的危害可表现在以下几个方面:
1.占用系统空间。计算机病毒是一段程序,会占用一定的磁盘空间和内存空间。病毒
程序虽然很小,但随着病毒的繁殖,数量会急剧增加,将占用大量的磁盘空间和内
存空间,最终致使系统存储空间消耗殆尽。
2.占用CPU时间。计算机病毒在运行时会占用CPU时间,随着病毒数量的增加,将
会消耗更多的CPU时间,这会导致系统运行速度变得异常缓慢,进一步还可能完
全独占CPU时间,致使计算机系统无法向用户提供服务。
3.破坏文件。计算机病毒可以增加或减少文件的长度,改变文件的内容,甚至删除文
件。病毒还可以通过对磁盘的格式化使整个系统中的文件全部消失。
4.破坏计算机软硬件系统。计算机病毒可破坏计算机软硬件系统,致使计算机出现异
常情况,如提示一些莫名其妙的指示信息,显示异常图形等,甚至致使计算机运行
减缓,完全停机。1998年6月爆发于中国台湾的CIH病毒不但会破坏计算机硬盘
中的信息,而且还会破坏BIOS,使系统无法启动,从而很难杀除。由于染毒的
BIOS无法启动系统,故障现象与主板硬件损坏一样,所以CIH 病毒被认为是第一
个破坏计算机硬件系统的病毒。
(11) 简述计算机病毒的类型。
解:
当今计算机病毒种类非常多,通常可分为如下几类:
1.文件型病毒。文件型病毒是当前最为普遍的病毒形式,通过在运行过程中插入指
令,把自己依附在可执行文件上。然后,利用这些指令来调用附在文件中某处的
病毒代码。当文件执行时,病毒会调出自己的代码来执行,接着又返回到正常的
执行指令序列。通常,这个执行过程发生很快,以至于用户并不知道病毒代码已
执行。
2.引导扇区病毒。引导扇区病毒潜伏在磁盘上用于引导系统的引导区。当系统开机
时,病毒便借助于引导过程进入系统,通常引导扇区病毒先执行自身的代码,然
后再继续系统的启动进程。病毒通过复制代码使引导区病毒感染计算机系统或者
软盘引导扇区或硬盘分区表。在启动期间, 病毒加载到内存,一旦在内存, 病毒
将感染由系统访问的任何非感染磁盘。
3.宏病毒。宏是微软公司为其OFFICE软件包设计的一个特殊功能,软件设计者为了
让人们在使用软件时,避免一再地重复相同的动作而设计出来的一种工具,它利
用简单的语法,把常用的动作写成宏,当在工作时,就可以直接利用事先编好的
宏自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的是让用户
文档中的一些任务自动化。
4.宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其
中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal
模板上。从此以后,所有自动保存的文档都会感染上这种宏病毒,而且如果其他
用户打开感染病毒的文档,宏病毒又会转移到他的计算机上。
5.内存驻留病毒。内存驻留病毒一旦执行,自己便占据内存驻留区。这是计算机运
行程序和文件时载入它们的地方。病毒在内存中占据重要位置,病毒可以访问在
计算机上运行的所有重要操作,它可以在文件和程序访问、修改或者操作时很轻
松地破坏它们。计算机关闭时,所有内存中的数据都将被清除,包括病毒。但是,
当病毒感染系统时,它会确保每次计算机启动时都将在内存中激活病毒。内存驻
留病毒会通过占用系统资源来使用户的计算机变慢。它们可以破坏数据和系统文
件,这会使用户的计算机不能正常工作。
6.邮件病毒。邮件病毒其实和普通的电脑病毒一样,只不过它们的传播途径主要是
通过电子邮件,所以才被称为邮件病毒,由于它们一般通过邮件中“附件”夹带
的方法进行扩散,只要接收者打开电子邮件中的附件,病毒就会被激活,它将把
自身发送给该用户列表中的每个人,然后进行破坏活动。
(12) 什么是访问矩阵、访问控制表和访问权限表。
解:
1.访问矩阵的行代表域,列代表对象。矩阵的每个条目是一个访问集合。由于列明
确定义了对象,可以在访问权限中删除对象名称。条目
的进程在访问对象Oi时被允许执行的操作集合。
2.把访问矩阵按列向量(对象)划分,为每一列建立一张访问控制表ACL(Access
Control List)。在该表中,矩阵中属于该列的所有空项已被删除,只剩下有序对<域,
权集>。通常情况下,访问矩阵中的空项远多于非空项,因而使用访问控制表可以
显著地减少所占用的存储空间,提高查找速度。
3.访问矩阵按行(域)划分,为每一行建立一张访问权限表CL(Capability List)。访问权
限表是由一个域对每一个对象可以执行的操作集合所构成的表。访问权限表包括
两部分:对象名和访问权。表中的每一项为该域对某对象的访问权限。