2022年CISP教材知識(shí)點(diǎn)整理：操作系統(tǒng)安全機(jī)制

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個(gè)知識(shí)類(lèi)，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識(shí)點(diǎn)梳理，詳情如下：

9.1 知識(shí)子域：操作系統(tǒng)安全

9.1.1 操作系統(tǒng)安全機(jī)制

操作系統(tǒng)的安全目標(biāo)包括以下方面

（1）標(biāo)識(shí)系統(tǒng)中的用戶(hù)和進(jìn)程身份鑒別

（2）依據(jù)系統(tǒng)安全策略對(duì)用戶(hù)的操作進(jìn)行訪問(wèn)控制

（3）保證系統(tǒng)自身的安全性和完整性

（4）監(jiān)督系統(tǒng)運(yùn)行的安全性

為實(shí)現(xiàn)安全目標(biāo)，操作系統(tǒng)需要建立相應(yīng)的各類(lèi)安全機(jī)制，這些機(jī)制主要包括標(biāo)識(shí)于鑒別、訪問(wèn)控制、權(quán)限管理、信道保護(hù)、安全審計(jì)等

1.標(biāo)識(shí)與鑒別

標(biāo)識(shí)與鑒別是操作系統(tǒng)基礎(chǔ)的安全機(jī)制

操作系統(tǒng)利用標(biāo)識(shí)來(lái)跟蹤用戶(hù)的操作，用戶(hù)一旦完成了身份鑒別，就要對(duì)基于該標(biāo)識(shí)的所偶有行為負(fù)責(zé)

（1）Windows 的身份標(biāo)識(shí)與鑒別

Windows 的安全主體類(lèi)型主要包括用戶(hù)賬戶(hù)、組賬戶(hù)、計(jì)算機(jī)和服務(wù)，使用安全標(biāo)識(shí)符（Security Identifier，SID）在系統(tǒng)內(nèi)部進(jìn)行標(biāo)記

本地安全授權(quán)機(jī)構(gòu)（LSA）

安全標(biāo)識(shí)符是一串字符串，通常在安全主體創(chuàng)建時(shí)生成，由計(jì)算機(jī)名、當(dāng)前時(shí)間、當(dāng)前用戶(hù)態(tài)線程的 CPU 耗費(fèi)時(shí)間的總和 3 個(gè)參數(shù)決定以保證它的唯一性

一個(gè)完整的 SID 包括以下內(nèi)容

用戶(hù)和組的安全描述

48-bit 的身份特權(quán)（ID authority）

修訂版本

可變的驗(yàn)證值

Windows 本地用戶(hù)信息加密存儲(chǔ)在注冊(cè)表中，并且只有 system 賬戶(hù)才有權(quán)限進(jìn)行訪問(wèn)

用戶(hù)對(duì)鑒別信息的操作，例如更改密碼等都通過(guò)一個(gè)以 system 權(quán)限運(yùn)行的服務(wù)“Security Accounts Manager”來(lái)實(shí)現(xiàn)

（2）Linux 的身份標(biāo)識(shí)與鑒別

Linux 使用用戶(hù)標(biāo)識(shí)號(hào)（User ID，UID）來(lái)標(biāo)識(shí)和區(qū)別不同的用戶(hù)

在系統(tǒng)內(nèi)部管理進(jìn)程和文件保護(hù)時(shí)使用 UID 字段

系統(tǒng)中可以存在多個(gè)擁有不同注冊(cè)名、但 UID 相同的用戶(hù)，這些使用不同注冊(cè)名的用戶(hù)是同一個(gè)用戶(hù)

Linux 的用戶(hù)信息存儲(chǔ)在 /etc/passwd 中

注冊(cè)名:口令:用戶(hù)標(biāo)識(shí)號(hào):組標(biāo)識(shí)號(hào):用戶(hù)名:用戶(hù)主目錄:命令解釋程序 shell

/etc/passwd 是全局可讀

Linux 系統(tǒng)使用 shadow 文件機(jī)制，將用戶(hù)口令散列轉(zhuǎn)移到該文件中，shadow 文件只有 root 可讀可寫(xiě)，而同時(shí) /etc/passwd 文件的密文域顯示為一個(gè) x，從而保護(hù)用戶(hù)口令避免泄露

2.訪問(wèn)控制

對(duì)其訪問(wèn)必須進(jìn)行控制的資源稱(chēng)為客體，必須控制對(duì)其客體的訪問(wèn)的活動(dòng)資源稱(chēng)為主體

主體即訪問(wèn)的發(fā)起者，通常為進(jìn)程、程序或用戶(hù)

客體包括各種資源，如文件、設(shè)備等

訪問(wèn)控制中第三個(gè)元素是保護(hù)規(guī)則，它定義了主體與客體可能的相互操作途徑

3.權(quán)限管理

操作系統(tǒng)機(jī)制和安全管理中，應(yīng)遵循最小特權(quán)的原則

4.信道保護(hù)

對(duì)信息道路的保護(hù)涉及兩個(gè)方面：一方面對(duì)顯示信息道路的保護(hù)，防止非法或非授權(quán)信息經(jīng)過(guò)顯示信道；另一方面，要堵住隱蔽的信息通路，防止而已用戶(hù)通過(guò)隱蔽信道

（1）正常信道的保護(hù)機(jī)制

（2）隱蔽信道的發(fā)現(xiàn)和處理

橘皮書(shū)中給出的是“隱蔽信道是允許進(jìn)程以危害系統(tǒng)安全策略的方式傳遞信息的信道”

5.安全審計(jì)

安全審計(jì)包括審計(jì)事件、審計(jì)記錄和審計(jì)日志等

審計(jì)事件事系統(tǒng)審計(jì)用戶(hù)的最基本單位