1. 操作系统安全机制

操作系统不安全的主要原因是操作系统结构体制的缺陷。对操作系统构成的威胁主要有计算机病毒、特洛伊木马、隐秘通道和天窗等。

操作系统安全机制包括身份认证、访问控制、权限管理、内存保护、文件保护、安全审计等。

（1）身份认证机制

身份认证是证明某人或某个对象身份的过程，是保证系统安全的重要措施。身份认证需要用一个标识来表示用户的身份。

将用户标识和用户联系的过程称为认证。操作系统的许多保护措施大都基于认证系统的合法用户，身份认证是操作系统中相当重要的一个方面，也是用户获取权限的关键。

（2）访问控制机制

访问控制技术是计算机安全领域一项传统的技术，其基本任务就是防止非法用户进入系统及合法用户对系统资源的非法使用。自主访问控制根据用户的身份及允许访问权限决定其访问操作。强制访问控制是用户与文件都有一个固定的安全属性，系统用该安全属性来决定一个用户是否可以访问某个文件。基于角色的访问控制解决了具有大量用户、数据客体和访问权限的系统中授权管理问题。

（3）最小特权管理机制

最小特权是指在完成某种操作时赋予每个主体(用户或进程)必不可少的特权。最小特权原则一方面给予主体必不可少的特权，保证了所有的主体能在所赋予的特权之下完成所需要完成的任务或操作；另一方面，它只给予主体必不可少的特权，从而限制了每个主体所能进行的操作，确保由于可能的事故、错误、网络部件的篡改等原因造成的损失最小。

（4）可信通路机制

可信通路（Trust path）是终端人员能借以直接同可信计算基（trusted computing base，TCB）通信的一种机制。可信通路机制只能由有关终端人员或可信计算基启动，并且不能被不可信软件模仿。可信通路机制主要应用在用户登录或注册时，能够保证用户确实是和安全核心通信，防止不可信进程(如特洛伊木马等)模拟系统的登录过程而窃取口令。

（5）隐蔽通道的分析与处理

隐蔽通道是指系统中利用那些本来不是用于通信的系统资源绕过强制访问控制进行非法通信的一种机制。系统内充满着隐蔽通道。对于系统中的每一个信息比特，如果它能由一个进程修改而由另一个进程读取（直接或间接），那它就是一个潜在的隐蔽通道。

（6）安全审计机制

审计为系统进行事故原因的查询、定位、事故发生前的预测、报警以及事故发生之后的实时处理提供详细、可靠的依据和支持，以便有违反系统安全规则的事件发生后能够有效地追查事件发生的地点和过程。操作系统必须能够生成、维护及保护审计过程，防止其被非法修改、访问和毁坏，特别是要保护审计数据，严格限制未经授权的用户访问。

审计作为安全系统的重要组成部分，评价小型操作系统安全性的主要依据是1985年发布的美国国防部开发的可信计算机系统评价准则（trusted computer system evaluation criteria，TCSEC），该标准把安全级别从低到高分成四个类别，每个类别又分为几个级别。TCSEC定义的大致内容如下：

A：校验级保护，提供低级别手段；

B3：安全域，数据隐藏与分层、屏蔽；

B2：结构化内容保护，支持硬件保护；

B1：标记安全保护，例如System V等；

C2：有自主的访问安全性，区分用户；

C1：不区分用户，基本的访问控制；

D：没有安全性可言，例如MS DOS。

CPU的工作模式

出于安全性和稳定性的考虑，从Intel 80386开始，该系列的CPU可以运行于ring0~ring3从高到低四个不同的权限级，对数据也提供相应的四个保护级别。

运行于较低级别的代码不能随意调用高级别的代码和访问较高级别的数据，而且也只有运行在ring0层的代码可以直接对物理硬件进行访问。

Windows只利用了CPU的两个运行级别。一个被称为内核模式，对应80x86的ring0层，它是操作系统的核心部分，设备驱动程序就是运行在该模式下；另一个被称为用户模式，对应80x86的ring3层，操作系统的用户接口部分以及所有的用户应用程序都运行在该级别。

Windows对运行在内核模式组件的空间并不提供读/写保护。

运行于内核模式的进程可以执行任何指令、访问任何地址，而运行于用户模式的进程访问的地址空间是受到限制的，能够执行的指令也是受限的，例如，这些进程不能更改其子进程之外的别的进程的状态等。

定时器timer

操作系统通过启用定时器来限制用户程序对CPU的使用，并能防止用户程序修改定时器，因而能够防止用户程序滥用CPU的行为。

内存保护

目前操作系统都能限制一个用户进程访问其他用户进程私有地址空间的行为，限制方法包括使用栅栏、重定位、基址/限址寄存器、对内存分段、分页等。对于共享的内存地址也提供了锁保护措施。

文件保护

在Windows中，文件和目录以及所有的基本操作系统数据结构都被称为对象，每个对象有一个拥有者，对对象的访问需要主体出示访问令牌，只有访问令牌能和对象的访问控制列表中的访问控制条目匹配，系统才允许该主体访问该对象。

安全组件

Windows的安全组件包括安全标识符（SID）、访问令牌（Access token）、安全描述符、访问控制列表（ACL）和访问控制条目（ACE）。

其中安全标识符SID是分给所有用户、组和计算机的统计上的唯一号码。每次一个新的用户或组被建立时，它就收到一个唯一的SID。当Windows安装和建立时，一个新的SID就分给那台计算机了。

SID唯一的标识用户、组和计算机，不仅在特定的计算机上，也包括与其他计算机交互时的。在用户被验证之后，系统会分配给用户一个访问令牌。访问令牌是系统访问资源的“入场券”，只要用户试图访问某种资源，就要出示访问令牌。

然后系统对照请求对象的访问控制列表检查访问令牌。如果被许可，则以适当的方式认可访问。访问令牌只有在登录过程期间才能被分发，所以对用户访问权限的任何改变，都要求用户先注销，然后重新登录后接收更新的访问令牌。

Windows中每个对象有一个安全描述符，作为它属性的一部分。安全描述符由对象所有者的SID、POSIX子系统使用的组的SID、自主访问控制列表和系统访问控制列表组成。访问控制条目即访问控制列表的表项，每个访问控制条目包含用户或组的SID和分配给该对象的权限。

管理工具为一个对象列出访问权限时总是按照用户字母顺序列的，所以管理员的访问权限总在前面。安全模型是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，而模型的实现则描述了如何把特定的机制应用于系统中，从而实现某一特定安全策略所需的安全保护。

2.操作系统攻击技术

（1）针对认证的攻击

操作系统通过认证手段鉴别并控制计算机用户对系统的登录和访问，但由于操作系统提供了多种认证登录手段，利用系统在认证机制方面的缺陷或者不健全之处，可以实施对操作系统的攻击。

包括：利用字典攻击或者暴力破解等手段，获取操作系统的账号口令；利用Windows的IPC$功能，实现空连接并传输恶意代码；利用远程终端服务即3389端口，开启远程桌面控制等。

（2）基于漏洞的攻击

系统漏洞是攻击者对操作系统进行攻击时经常利用的手段。在系统存在漏洞的情况下，通过攻击脚本，可以使攻击者远程获得对操作系统的控制。Windows操作系统的漏洞由微软公司每月定期以安全公告的形式对外公布，对系统威胁最大的漏洞包括：远程溢出漏洞、本地提权类漏洞、用户交互类漏洞等。

（3）直接攻击

直接攻击是攻击者在对方防护很严密的情况下，通常采用的一种攻击方法。例如当操作系统的补丁及时打上，并配备防火墙、防病毒、网络监控等基本防护手段时，通过上面的攻击手段就难以奏效。此时，攻击者采用电子邮件，以及QQ、MSN等即时消息软件，发送带有恶意代码的信息，通过诱骗对方点击，安装恶意代码。这种攻击手段，可直接穿过防火墙等防范手段对系统进行攻击。