第3章-操作系统安全
第三章、化工单元操作安全技术(改后)
第三节 熔融和干燥
一、熔融主要危险来源
1、熔融物料的危险性质; 熔融过程的碱,可使蛋白质变为胶状碱蛋白 的化合物,又可使脂肪变为胶状皂化物质,所以 碱灼伤比酸具有更强的渗透能力,且深入组织较 快,因此碱灼伤要比酸灼伤更为严重 。 2、熔融物的杂质; 碱和硫酸盐中含有无机盐杂质,应尽量除 去。其无机盐杂质不熔融、而是呈块状残留于反 应物内,块状杂质阻碍反应物质的混合,并能使 局部过热、烧焦,致使熔融物喷出烧伤操作人 员,因此必须经常消除锅垢。
第二节 加料和出料
一、加料
化工生产中投料方式一般有压入法、负压 抽入法、人工法三种。 (l)压入法投料 压入法投料指正压下投料采用的方法。采 用压入法加料时应注意以下几个问题。 1)置换。压入易燃物料时应先对加入设备 (如反应器等)进行惰性气体吹扫置换,然后压 入物料,防止压入时物料与空气混合可能产生 的危险。
3、物质的黏稠程度; 为使熔融物具有较好的流动性,可用水将 碱适当稀释,当氢氧化钠或氢氧化钾有水存 在时,其熔点就显著降低,从而可以使熔融 过程在危险性较小的低温下进行。 4、碱熔设备。 熔融过程是在150~350℃下进行的,一 般采用烟道气加热也可采用油浴或金属浴加 热,使在煤气加热,应注意煤气的泄漏引起 爆炸或中毒。对于加压熔融的操作设备,应 安装压力表、安全阀和排放装置。
2)注意投料顺序。如果是加入固体和水, 一般应先加水,再加固体物料,可减少粉尘飞 扬;如果是其他液体和固体,应先加固体物 料,再加液体物料,减少液体飞溅和蒸气逸散。 3)防静电。加入易燃易爆物料时,不允 许 直接从塑料容器倒入,以防止产生静电引起危 险。应先将物料倒入木桶,再加入设备中。
二、出料
2)严格控制干燥气流速度。在对流干燥 中,由于物料相互运动发生碰撞、摩擦易产生 静电,容易引起干燥过程所产生的易燃气体和 粉尘与空气混合发生爆炸。因此,干燥操作时 应应严格控制干燥气流速度,并安装设置良好 的接地装置。 3)严格控制有害杂质。对于干燥物料中 可能含有自燃点很低或其他有害杂质,在干燥 前应彻底清除,防止在干燥前发生危险。
计算机基础练习题分析
第1章-计算科学与计算机测验1.信息安全的四大隐患是:计算机犯罪、______、误操作和计算机设备的物理性破坏。
正确答案是:计算机病毒电子计算机之所以能够快速、自动、准确地按照人们意图进行工作,其最主要的原因是【】。
2.a. 存储程序b. 采用逻辑器件c. 识别控制代码d. 总线结构正确答案是:a.存储程序3.()信息技术的核心是通信技术和回答正确。
正确答案是:计算机技术4.()计算思维主要是计算数学、信息科学和计算机学科的任务,与其他学科关系不大。
正确的答案是“错”。
5.()构成计算机的电子和机械的物理实体称为外部设备。
正确的答案是“错”。
6.()计算机系统可靠性指标可用平均无故障运行时间来描述。
正确的答案是“对”。
7.冯.诺依曼体系结构的计算机硬件系统的五大部件是【】a. 输入设备、运算器、控制器、存储器、输出设备b. 键盘、主机、显示器、硬盘和打印机c. 输入设备、中央处理器、硬盘、存储器和输出设备d. 键盘和显示器、运算器、控制器、存储器和电源设备正确答案是:a.输入设备、运算器、控制器、存储器、输出设备8.从人类认识和改造世界的思维方式出发,科学思维可以分为理论思维、实验思维和_____三种。
正确答案是:计算思维9.办公自动化是计算机的一项应用,按计算机应用的分类,它属于【】a. 实时控制b. 数据处理c. 辅助设计d. 科学计算正确答案是:b.数据处理10.( )图灵机不能计算的问题现代计算机未必不能计算。
正确的答案是“错”。
第2章-计算机系统测验1.反映计算机存储容量的基本单位是【】字长b. 字c. 字节d. 二进制位正确答案是:c.字节计算机的工作过程是【】完全自动控制过程b. 执行指令的过程c. 执行程序的过程d. 执行命令的过程正确答案是:b.执行指令的过程3.微型机在使用过程中突然断电,则【】中的信息将全部丢失。
a. 磁盘b. 内存c. ROMd. SRAM正确答案是:d.SRAM4.下列关于CPU的相关叙述中正确的是【】。
第3章 操作系统安全
第3章 操作系统安全 章 2. 没有口令或使用弱口令的账号 大多数系统都把口令作为第一层和惟一的防御线。 由于用户的ID是很容易获得的,因此,如果攻击者能 够确定一个账号名和密码,就能够进入网络。所以使 用弱口令(易猜的口令)、缺省口令和没有口令的账号是 很严重的安全问题,都应从系统中清除。 另外,很多系统有内置的或缺省的账号,这些账 号在软件的安装过程中通常口令是不变的。攻击者通 常会查找并利用这些账号达到破坏系统的目的。因此, 所有内置的或缺省的账号都应从系统中移出。
第3章 操作系统安全 章 如果系统认为具有某一个安全属性的用户不适于 访问某个文件,那么任何人(包括文件的拥有者)都无法 使该用户具有访问该文件的权力。 强制访问控制不仅施加给用户自己客体的严格的 限制,也使用户受到自己的限制。为了防范特洛伊木 马,系统必须要这样做。即便是不再存在特洛伊木马, 强制访问控制也有用,它可以防止在用户无意或不负 责任操作时,泄露机密信息。
第3章 操作系统安全 章 (4) 任何离开网络的数据包不能把网络内部的地址 作为目的地址。 (5) 任何进入或离开网络的数据包不能把一个私有 地址(Private Address)或在RFC1918中列出的属于保留 空间(包括10.x.x.x/8、172.16.x.x/12 或192.168.x.x/16 和 网络回送地址127.0.0.0/8.)的地址作为源或目的地址。 (6) 阻塞任意源路由包或任何设置了IP选项的包。
Байду номын сангаас
第3章 操作系统安全 章 为了保护计算机系统,应在外部路由或防火墙上 设置过滤规则,以对流进和流出网络的数据进行过滤 提供一种高层的保护。过滤规则如下: (1) 任何进入网络的数据包不能把网络内部的地址 作为源地址。 (2) 任何进入网络的数据包必须把网络内部的地址 作为目的地址。 (3) 任何离开网络的数据包必须把网络内部的地址 作为源地址。
第3章 操作系统
操作系统1.1 操作系统的基本概念1.11操作系统的基本概念(1) 什么是操作系统有效:操作系统在资源管理方面要考虑到系统运行效率和资源的利用率。
合理:操作系统对于不同的用户程序要”公平”,以保证系统不发生”死锁”或”饥饿”的现象。
方便:用户使用界面和程序设计接口两方面的易用性,易学性,和易维护性。
(2) 操作系统的重要作用A 管理系统中的各种资源纪录资源的使用情况确定资源的分配策略实施资源分配回收资源B 为用户提供良好的界面(3) 操作系统的特征A 并发性:用户程序与用户程序之间并发执行;用户程序与操作程序之间并发执行。
B 共享性:操作系统与多个用户程序共用系统中的各种资源。
互斥共享同时共享C 随机性: 系统无法知道运行着的程序会在什么时候做什么事情。
1.12 操作系统的功能1. 进程(线程)管理:对于cpu的管理,解决处理器分配调度策略,分配实施和回收等问题。
2. 储存管理:管理内存资源,如何为多道程序分配内存空间,使程序和数据彼此隔离,同时又能保证一定条件下的共享,解决内存扩充问题。
3. 文件管理:对于外存储器的管理,有效的支持文件的储存,检索和修改等操作,解决文件的共享,保密和保护等问题,使用户方便安全的访问文件。
4. 设备管理: 对所有输入输出设备的管理,还包括对控制器,通道等支持设备的管理。
负责外部设备的分配,启动和故障处理。
采取中断技术,通道技术,虚拟设备技术和缓冲技术。
并提供良好的界面。
5. 用户接口:向用户提供使用它自己的手段。
实时系统可以及时响应外部事件,在严格的时间范围内完成处理,具有高可靠性。
实时控制系统实时信息处理系统个人计算机系统类似于分时系统1.14 操作系统与用户的接口(1) 程序级接口:由一组系统调用命令组成,用户程序借助于系统调用命令来向操作系统提出各种资源要求和服务要求。
(当用户程序运行到调用指令时,就转到系统调用的处理程序,在用户程序中给出系统调用命令号----→访问系统调用入口表-------→找到相应子程序执行并返回值)包括设备管理类,文件管理类,进程控制类,进程通信类,存储管理类。
计算机操作系统(第四版)1-8章-课后答案(全)
计算机操作系统(第四版)1-8章-课后答案(全)第四版计算机操作系统课后答案第一章1. 操作系统的定义操作系统是一种软件,它管理着计算机系统的硬件和软件资源,并为用户和应用程序提供接口,以方便他们的使用。
2. 操作系统的功能操作系统具有以下功能:- 进程管理:负责创建、执行和终止进程,并管理它们的资源分配。
- 存储管理:管理计算机系统的内存资源,包括内存分配、虚拟内存和页面置换等。
- 文件系统管理:管理计算机系统中的文件和文件夹,包括文件的存储、读写和保护等。
- 设备管理:负责管理计算机系统中的各种设备,如打印机、键盘和鼠标等。
- 用户接口:提供用户与计算机系统进行交互的接口,如命令行界面和图形用户界面。
3. 操作系统的类型操作系统可以分为以下类型:- 批处理操作系统:按照一系列预先定义的指令集来运行任务。
- 分时操作系统:多个用户可以同时使用计算机系统。
- 实时操作系统:对任务的响应时间要求非常高,用于控制系统和嵌入式系统。
- 网络操作系统:支持多台计算机之间的通信和资源共享。
- 分布式操作系统:在多台计算机上分布式地管理和调度任务。
第二章1. 进程与线程的区别进程是计算机系统中正在运行的程序实例,而线程是进程内的一个执行单元。
进程拥有独立的地址空间和资源,而线程共享进程的地址空间和资源。
多个线程可以在同一进程内并发执行,从而提高系统的效率和资源利用率。
2. 进程的状态转换进程可以处于以下状态:- 创建状态:进程正在被创建。
- 就绪状态:进程准备好执行,等待分配CPU资源。
- 运行状态:进程占用CPU资源执行。
- 阻塞状态:进程等待某种事件发生。
- 终止状态:进程完成执行或被终止。
3. 进程调度算法操作系统使用进程调度算法来决定哪个进程应该被执行。
常见的调度算法有:- 先来先服务(FCFS)调度算法:按照进程到达的顺序进行调度。
- 最短作业优先(SJF)调度算法:选择运行时间最短的进程进行调度。
信息安全三级知识点
信息安全三级知识点第一章:信息安全保障基础1:信息安全大致发展经历3个主要阶段:通信保密阶段,计算机安全阶段和信息安全保障阶段2:现代信息安全主要包含两层含义(1)运行系统的安全(2)完整性,机密性,可用性,可控制性,不可否认性。
3:信息安全产生的根源(1)内因:信息系统的复杂性,包括组成网络通信和信息系统的自身缺陷,互联网的开放性(2)外因:人为因素和自然环境的原因4:信息安全保障体系框架(1)生命周期:规划组织,开发采购,实施交付,运行维护,废弃(2)安全特征:保密性,完整性,可用性(3)保障要素:技术,管理,工程,人员5:P2DR安全模型Pt Dt+Rt Pt表示系统为了保护安全气目标设置各种保护后的防护时间,或者理解为在这样的保护方式下,黑客攻击安全目标所花费的时间;Dt代表从入侵者开始发动入侵开始,到系统能够检测到入侵行为所花费的时间Rt代表从发现入侵行为开始,到系统能够做出足够的响应,讲系统调整到正常状态的时间Et=Dt+Rt ( Pt=O) Dt和Rt的和安全目标系统的暴露时间Et, Et越小系统越安全6:信息安全技术框架(IATF):核心思想是纵深防御战略,即采用多层次的,纵深的安全措施来保障用户信息及信息系统的安全。
核心因素是人员,技术,操作。
7:IATF4个技术框架焦点域:本地计算环境,区域边界,网络及基础设施,支撑性基础设施。
8:信息系统安全保障工作的内容包括:确保安全需求,设计和实施安全方案,进行信息安全评测和实施信息安全监控与维护。
第二章:信息安全基础技术与原理1:数据加密标准DES;高级加密标准AES;数字签名标准DSS; 2:对称密钥的优点:加密解密处理速度快,保密度高,缺点:密钥管理和分发复杂,代价高,数字签名困难3:对称密钥体制:分组密码和序列密码常见的分组密码算法:DES, IDEA, AES公开的序列算法主要有RC4, SEAL4:攻击密码体制方法(1)穷举攻击法(2)密码分析学:差分分析和线性分析5:差分密码分析法的基本思想:是通过分析明文对的差值对密文的差值影响来恢复某些密钥比特。
操作系统 第3章 调度与死锁
等待事件
2. 具有高级和低级的调度队列模型 作业 后 备 调度 时间片完 队 列
就绪队列
cpu
进程完成
进程调度
阻塞队列
等待事件
特点 :1)具有进程调度、作业调度 2)根据阻塞原因设置了多个阻塞队列
3.同时具有三级调度的调度队列模型
批量作业 后备队列 交互型作业 作 业 调 度 时间片完
就绪队列
中级调度 就绪挂起队列
进程
P1 P2 P3 P4
• 非抢先式SJF
到达时间 0.0 2.0 4.0 5.0
P1 P3 7 8
执行时间 7 4 1 4
P2 12 P4 16
0
3
• 平均等待时间 = (0 + 6 + 3 + 7)/4 = 4 • 平均周转时间=(7+10+4+11)/4=8 • 平均带权周转时间=
• 3. SJF的变型 – “最短剩余时间优先”SRT(Shortest Remaining Time)(允许比当前进程剩 余时间更短的进程来抢占) – “最高响应比优先”HRRN(Highest Response Ratio Next)(响应比R = (等待时间 + 要求执行时间) / 要求 执行时间,是FCFS和SJF的折衷)
• 面向系统的准则
系统吞吐量高 处理机利用率好 资源的平衡利用
周转时间
• 批处理系统的重要指标。 • 作业从提交到完成(得到结果)所经历的时间 为周转时间。 • 包括:在外存后备队列中等待,CPU上执行, 就绪队列和阻塞队列中等待,结果输出等待。 • 平均周转时间T和平均带权周转时间(带权周 转时间W是 T(周转)/ (CPU执行)) • 平均周转时间: T 1 n T
【2024版】操作系统教程第5版第3章【PV】
X2- -; Aj=X2; {输出一张票}; } else {输出信息"票已售完"}; }
13
3、与时间有关的错误(例子3 )
T1、T2并发执行,可能出现如下交叉情况: T1:X1=Aj; //X1=m T2:X2=Aj; //X2=m T2:X2--;Aj=X2;{输出一张票}; //Aj=m-1 T1:X1--;Aj=X1;{输出一张票}; //Aj=m-1 同一张票卖给两位旅客
22
4.2.1 互斥与临界区(1)
并发进程中,与共享变量有关的程序段叫“临 界区”, 共享变量代表的资源叫“临界资源” 。
与同一变量有关的临界区分散在各进程的程序 段中,而各进程的执行速度不可预知。
如果保证进程在临界区执行时,不让另一个进 程进入临界区,即各进程对共享变量的访问是 互斥的,就不会造成与时间有关的错误。
……
……
Step1: P先上CPU
28
软件方法1
free:临界区空闲标志 true:有进程在临界区;false:无进程在临界区 初值:free为false
P:
Q:
……
…… CPU 2
while(free);CPU free=true;
1
while(free); free=true;
临界区
临界区
➢ 顺序程序设计是把一个程序设计成一个顺序执行 的程序模块,顺序的含义不但指一个程序模块内 部,也指两个程序模块之间。
3
顺序程序设计特点
程序执行的顺序性 程序环境的封闭性 程序执行结果的确定性 计算过程的可再现性
顺序程序设计的缺点:计算机系统效率不高。
4
4.1.2 进程的并发性
第03章 操作系统
来自机器外部的攻击
– 为了防止受到非授权用户的访问,采用: –登录机制(帐号+密码) – 登录机制的问题:密码泄漏
–入侵者多次以错误密码登录,尝试猜测密码
–嗅探软件:记录用户行为,截获和分析网络 传输的数据包,然后报告给入侵者。如键盘 记录软件、假登录程序等 – 解决 –审计软件:记录和分析系统事件
多个进程竞争有限资源时,需要想办法处理 这种竞争,以免带来危害。
21
3.4.1 信号量
计算机科学与工程系
标志:用来标记某资源是否已经被分配;
– 清零标志0:资源可用 – 置位标志1:资源不可用(资源当前已经分配出去)
但是,测试和设置标志位需要几条机器指令:
– 从主存得到标志
– 在CPU中判断是0还是1 – 最终写回主存
信号量(semaphore)
一个正确实现的标志称为信号量
– 临界区:一次只能允许一个进程执行的代码段 – 互斥:通过 P(), V()操作实现临界区的互斥执行
23
3.4.2 死锁
计算机科学与工程系
死锁(deadlock)
– 如果多个进程都去申请其它进程已占用的资源, 而每个进程都不主动释放自己占有的资源,那 么将形成进程之间相互等待的循环链,这就是 死锁状态。
14
启动引导时出错怎么办?
计算机科学与工程系
引导时会自检硬件并在屏幕上显示一长串设备的 配置信息,如果有硬件故障,会发出嘟嘟声提示 用户(如 两声短可能是键盘,三声长可能是显示 器,具体含义取决于ROM上的引导程序,可查看 主板手册)。 如果启动Windows时失败,可以重新启动并在引 导过程中按下F8键,然后在菜单中选择进入安全 模式。安全模式是Windows的有限功能版本,专 门为解决故障而设计,只允许使用鼠标、键盘和 显示器,而不能使用其它外部设备。
(完整)网络安全课后答案
第一章网络安全概述一、问答题1。
何为计算机网络安全?网络安全有哪两方面的含义?计算机网络安全是指利用各种网络管理,控制和技术措施,使网络系统的硬件,软件及其系统中的数据资源受到保护,不因一些不利因素影响而使这些资源遭到破坏,更改,泄露,保证网络系统连续,可靠,安全地运行.网络安全包括信息系统的安全运行和系统信息的安全保护两方面。
信息系统的安全运行是信息系统提供有效服务(即可用性)的前提,系统信息的安全保护主要是确保数据信息的机密性和完整性。
2.网络安全的目标有哪几个?网络安全策略有哪些?网络安全的目标主要表现在系统的可用性、可靠性、机密性、完整性、不可依赖性及不可控性等方面.网络安全策略有:物理安全策略,访问控制策略,信息加密策略,安全管理策略。
3。
何为风险评估?网络风险评估的项目和可解决的问题有哪些?风险评估是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估.作为风险管理的祭出,风险评估是确定信息安全需求的一个重要途径,属于组织信息安全管理体系规划的过程.网络安全评估主要有以下项目:安全策略评估,网络物理安全评估,网络隔离的安全性评估,系统配置的安全性评估,网络防护能力评估,网络服务的安全性评估,网络应用系统的安全性评估,病毒防护系统的安全性评估,数据备份的安全性评估.可解决的问题有:防火墙配置不当的外部网络拓扑结构,路由器过滤规则的设置不当,弱认证机制,配置不当或易受攻击的电子邮件和DNS服务器,潜在的网络层Web服务器漏洞,配置不当的数据库服务器,易受攻击的FTP服务器.4。
什么是网络系统漏洞?网络漏洞有哪些类型?从广义上讲,漏洞是在硬件、软件、协议的具体实现或系统安全策略以及人为因素上存在的缺陷,从而可以使攻击者能够在未经系统合法用户授权的情况下访问或破坏系统。
网络漏洞主要分为操作系统漏洞、网络协议漏洞、数据库漏洞和网络服务漏洞等。
5.网络安全的威胁主要有哪几种?物理威胁,操作系统缺陷,网络协议缺陷,体系结构缺陷,黑客程序,计算机病毒。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(4) 密码上分离。进程以一种其他进程不可知的方 式隐藏数据及计算。 当然两种或多种分离形式的结合也是可能的。所列 出的分离策略基本上是按其实现复杂度递增及所提 供的安全性递减的次序列出的。然而前两种方法是 非常直接且将导致资源利用率严重下降的方法。因 此为了提高操作系统的性能,要求必须移去操作系 统保护的这些沉重包袱,并且允许具有不同安全需 求的进程并发执行。 操作系统安全的主要目标是: ● 依据系统安全策略对用户的操作进行存取控制, 防止用户对计算机资源的非法存取(窃取、篡改和 破坏);
3.1.2 运行保护
安全操作系统很重要的一点是进行分层设计,而运 行域正是这样一种基于保护环的等级式结构。运行 域是进程运行的区域,在最内层具有最小环号的环 具有最高特权,而在最外层具有最大环号的环是最 小的特权环。一般的系统不少于3~4个环。 设置两环系统是很容易理解的,它只是为了隔离操 作系统程序与用户程序。对于多环结构,它的最内 层是操作系统,它控制整个计算机系统的运行;靠 近操作系统环之外的是受限使用的系统应用环,如 数据库管理系统或事务处理系统;最外一层则是控 制各种不同用户的应用环,如图3-1所示。
如果某段对具有较低特权的环而言是可写的,那么 在较高特权环内运行该段的内容将是危险的,因为 该段内容中可能含有破坏系统运行或偷窃系统机密 信息的非法程序(如特洛伊木马)。所以从安全性 的角度考虑,不允许低特权环内编写(修改)的程 序在高特权环内运行。 环界集为(0,0,0)的段只允许最内环(具最高 特权)访问,而环界集为(7,7,7)则表示任何 环都可以对该段进行任何形式的访问操作。由于0 环是最高特权环,所以一般不限制0环内的用户对 段的访问模式。 对于一个给定的段,每个进程都有一个相应的段描 述符表以及相应的访问模式信息。利用环界集最
● 标识系统中的用户并进行身份鉴别; ● 监督系统运行的安全性; ● 保证系统自身的安全性和完整性。 为了实现这些目标,需要建立相应的安全机制,包 括硬件安全机制、标识与鉴别、存取控制、最小特 权管理、可信通路、安全审计等。
3.1 硬件安全机制
绝大多数实现操作系统安全的硬件机制也是传统操 作系统所要求的。优秀的硬件保护性能是高效、可 靠的操作系统的基础。计算机硬件安全的目标是保 证其自身的可靠性并为系统提供基本安全机制。其 中基本安全机制包括存储保护、运行保护、I/O保 护等。
在计算机系统提供透明的内存管理之前,访问判决 是基于物理页号的识别。每个物理页号都被加上一 个称为密钥的秘密信息;系统只允许拥有该密钥的 进程访问该物理页,同时利用一些访问控制信息指 明该页是可读的还是可写的。每个进程相应地分配 一个密钥,该密钥由操作系统装入进程的状态字中。 每次执行进程访问内存的操作时,由硬件对该密钥 进行检验,只有当进程的密钥与内存物理页的密钥 相匹配,并且相应的访问控制信息与该物理页的读 写模式相匹配时,才允许该进程访问该页内存,否 则禁止访问。 这种对物理页附加密钥的方法是比较烦琐的。
图3-1 多环结构示意
在这里最重要的安全概念是: 等级域机制应该保护 某一环不被其外层环侵入,并且允许在某一环内的 进程能够有效地控制和利用该环以及该环以外的环。 进程隔离机制与等级域机制是不同的。给定一个进 程,它可以在任意时刻在任何一个环内运行,在运 行期间还可以从一个环转移到另一个环。当一个进 程在某个环内运行时,进程隔离机制将保护该进程 免遭在同一环内同时运行的其他进程破坏,也就是 说,系统将隔离在同一环内同时运行的各个进程。 为实现两域结构,在段描述符中相应地有两类访问 模式信息,一类用于系统域,一类用于用户域。这 种访问模式信息决定了对该段可进行的访问模式, 如图3-2所示。
第3章 安全机制
3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 硬件安全机制 标识与鉴别 存取控制 最小特权管理 可信通路 安全审计 UNIX/Linux的安全机制 本章小结 习题
操作系统是连接硬件与其他应用软件之间的桥梁, 它提供的安全服务有内存保护、文件保护、普通实 体保护(对实体的一般存取控制)、访问鉴别(用 户身份鉴别)等。 一个操作系统的安全性可以从如下几方面加以考虑。 (1) 物理上分离。要求进程使用不同的物理实体。 例如将不同的打印机设置成具有不同的安全级别。 (2) 时间上分离。具有不同安全要求的进程在不同 的时间运行。 (3) 逻辑上分离。操作系统通过限制程序的存取, 使得程序不能存取其允许范围外的实体,从而使用 户感觉自己的操作是在没有其他进程的情况下独立 进行。
3.1.1 存储保护
对于一个安全操作系统,存储保护是一个最基本的 要求,这主要是指保护用户在存储器中的数据。保 护单元为存储器中的最小数据范围,可为字、字块、 页面或段。保护单元越小,则存储保护精度越高。 对于代表单个用户,在内存中一次运行一个进程的 系统,存储保护机制应该防止用户程序对操作系统 的影响。在允许多道程序并发运行的多任务操作系 统中,还进一步要求存储保护机制对进程的存储区 域实行互相隔离。 存储保护与存储器管理是紧密相关的,存储保护负 责保证系统各个任务之间互不干扰;存储器管理则 是为了更有效地利用存储空间。
2) 段 在绝大部分系统中,一个进程的虚地址空间至少要 被分成两部分或称两个段: 一个用于用户程序与数 据,称为用户空间;另一个用于操作系统,称为系 统空间。两者的隔离是静态的,也是比较简单的。 驻留在内存中的操作系统可以由所有进程共享。虽 然有些系统允许各进程共享一些物理页,但用户间 是彼此隔离的。最灵活的分段虚存方式是: 允许一 个进程拥有许多段,这些段中的任何一个都可以由 其他进程共享。
采用基于描述符的地址解释机制可以避免上述管理 上的困难。在这种方式下,每个进程都有一个“私 有的”地址描述符,进程对系统内存某页或某段的 访问模式都在该描述符中说明。可以有两类访问模 式集,一类用于在用户状态下运行的进程,一类用 于在系统模式下运行的进程。 在地址描述符中,W、R、X各占一比特,它们用 来指明是否允许进程对内存的某页或某段进行写、 读和运行的访问操作。由于在地址解释期间,地址 描述符同时也被系统调用检验,所以这种基于描述 符的内存访问控制方法,在进程转换、运行模式 (系统模式与用户模式)转换以及进程调出/调入 内存等过程中,不需要或仅需要很少的额外开销。
但是若对系统中的信息提供足够的保护,防止被未 授权用户的滥用或毁坏,只靠硬件不能提供充分的 保护手段,必须由操作系统的安全机制与适当的硬 件相结合才能提供强有力的保护。
3.2 标识与鉴别
3.2.1 基本概念
标识与鉴别是涉及系统和用户的一个过程。标识就 是系统要标识用户的身份,并为每个用户取一个系 统可以识别的内部名称——用户标识符。用户标识 符必须是惟一的且不能被伪造,防止一个用户冒充 另一个用户。将用户标识符与用户联系的过程称为 鉴别,鉴别过程主要用以识别用户的真实身份,鉴 别操作总是要求用户具有能够证明他的身份的特殊 信息,并且这个信息是秘密的或独一无二的,任何 其他用户都不能拥有它。
3.1.3 I/O保护
人们往往首先从系统的I/O部分寻找操作系统安全 方面的缺陷。绝大多数情况下,I/O是仅由操作系 统完成的一个特权操作,所有操作系统都对读写文 件操作提供一个相应的高层系统调用,在这些过程 中,用户不需要控制I/O操作的细节。 I/O介质输出访问控制最简单的方式是将设备看作 是一个客体,仿佛它们都处于安全边界外。由于所 有的I/O不是向设备写数据就是从设备接收数据, 所以一个进行I/O操作的进程必须受到对设备的读 写两种访问控制。这就意味着设备到介质间的路径 可以不受什么约束,而处理器到设备间的路径则需 要施以一定的读写访问控制。
直观和最简单的方法是,对于一个给定的段,为每 个进程分配一个相应的环界集,不同的进程对该段 的环界可能是不同的。这种方法不能解决在同一环 内,两个进程对共享段设立不同访问模式的问题。 为解决这个问题所采取的方法是: 将段的环界集 定义为系统属性,它只说明某环内的进程对该段具 有什么样的访问模式,即哪个环内的进程可以访问 该段以及可以进行何种模式的访问,而不考虑究竟 是哪个进程访问该段。所以对一个给定的段,不是 为每个进程都分配一个相应的环界集,而是为所有 进程都分配一个相同的环界集。同时,在段描述符 中再增加3个访问模式位W、R、X。访问模式位对 不同的进程是不同的。这时对一个给定段的访问
段描述符:
R1 R2 R3
图3-3 多域结构中的段描述符 我们称这3个环号为环界(ring bracket)。相应地, 这里R1,R2,R3分别表示对该段可以进行写、读、 运行操作的环界。 实际上如果某环内的某一进程对内存某段具有写操 作的特权,那就不必限制其对该段的读与运行操作 特权。此外如果进程对某段具有读操作的特权,那 当然允许其运行该段的内容。所以实际上总是可以 设定为 R1≤R2≤R3
图3-2 两域结构中的段描述符 如果要实现多级域,那就需要在每个段描述符中保 存一个分立的W、R、X比特集,集的大小将取决 于设立多少个等级。这在管理上是很笨拙的,但我 们可以根据等级原则简化段描述符以便于管理。在 描述符中,不用为每个环都保存相应的访问模式信 息。对于一个给定的内存段,仅需要3个区域(它 们表示3种访问模式),在这3个区域中只要保存具 有该访问模式的最大环号即可,如图3-3所示。
条件是: 仅当一个进程在环界集限定的环内运行 且相应的访问模式位是ON,才允许该进程对该段 进行相应的访问操作。每个进程的段描述表中的段 描述符都包含上述两类信息。环界集对所有进程都 是相同的,而对不同的进程可设置不同的访问模式 集。 在一个进程内往往会发生过程调用,通过这些调用, 该进程可以在几个环内往复转移。为安全起见,在 发生过程调用时,需要对过程进行检验。
用户鉴别是通过口令完成的,必须保证单个用户的 密码的私有性。标识与鉴别机制阻止非授权用户登 录系统,因此口令管理对保证系统安全操作是非常 重要的。另外还可以运用强认证方法使每一个可信 主体都有一个与其关联的惟一标识。这同样要求 TCB为所有活动用户、所有未禁止或禁止的用户实 体和账户维护、保护、显示状态信息。