当前位置：文档库 › 操作系统安全二

操作系统安全二

开发设计一个安全的操作系统，首先要明确安全需求，一般来说，操作系统的安全需求可以归纳为四个方面：机密性（confidentiality）、完整性（integrity）、可追究性（accountability）和可用性（availability）。上述安全需求转化为一系列的安全策略，比如访问控制策略（ACP）和访问支持策略（ASP），前者反应系统的机密性和完整性需求，后者反应系统的可追究性和可用性需求。我们说一个系统是安全的，并非指该系统就是绝对安全，而是说这个系统的实现达到了当初设计时所制定的安全策略。

为了进一步设计我们的安全操作系统，我们还需要将安全需求、安全策略抽象为安全模型。安全模型是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，它为安全策略关联上对应的实现机制，从而为开发安全系统提供方针，即安全模型描述了对于某个安全策略需要使用什么样的机制来实现，模型的实现则描述了如何把特定的机制应用于实际的系统当中。安全模型除了具备精确无歧义、简易抽象、容易理解的特点之外，还具有一般性，即安全模型只是关注安全相关的问题，不过度涉及系统的功能和实现。

安全模型可以分为形式化和形式化两种安全模型。非形式化模型仅模拟系统的安全功能，形式化安全模型则借助数学模型，精确地描述安全性及其在系统中使用的情况。J.P.Anderson曾指出，开发安全系统首先必须建立系统的安全模型，完成安全系统的建模之后，再进行安全内核的设计和实现。一般高等级安全操作系统开发时都要求使用形式化安全模型来模拟安全系统，因为形式化模型可以正确地综合系统的各类因素，如系统的使用方式、使用环境类型、授权的定义、共享的客体资源等，所有这些因素构成安全系统的形式化抽象描述，使得系统可以被证明是完整的、反映真实环境的、逻辑上能够实现程序可以受控执行的。

上面简单地介绍了安全需求—-安全策略—-安全模型的基本知识，介绍了形式化安全模型的优势，接下来，我们来具体看几个安全模型，加深对于安全模型的了解和认识。

一、机密性安全模型：BLP

之所以叫机密性模型，自己的理解是BLP主要关注的是信息的机密性，即信息不能由高安全等级流向低安全等级，一句话来概括BLP就是“下读上写”，什么意思？不着急，等我慢慢道来。

BLP模型是由D.Elliott Bell和Leonard J. LaPadula于1973年提出的一种适用于军事安全策略的计算机操作系统安全模型，它是最早、也是最常用的一种计算机多级安全模型之一。BLP将主体定义为能够发起行为的实体，如进程；将客体定义为被动的主体行为承担者，如

数据、文件等；将主体对客体的访问分为r-只读、w-读写、a-只写、e-执行与c-控制等访问模式，其中c-控制是用来描述该主体用来授予或者撤销另一主体对某一个个客体的访问权限的能力。BLP的安全策略包括两个部分：自主安全策略和强制安全策略。自主安全策略借助访问矩阵实现，强制安全策略包括简单安全特性和*特性，系统对所有的主体和客体都分配一个访问类属性，包括密级和范畴，系统通过比较主体和客体的访问类属性来控制主体对客体的访问。

BLP的几个重要公理

1.公理，就是理所应当承认成立的判断。BLP主要有以下几个：(1). 简单安全性

我们说一个状态v=(b, M, f, H)满足简单安全性，iff

任意的主体s(属于主体集合S)，若s对客体o(属于客体集合O)有读写权限，那么主体s的安全级一定支配客体o的安全级，这里的安全级支配意思是指主体的密级L(s) > 客体的密级L(o)，并且s的范畴Domain(s)包含o的范畴Domain(o)，一句话说就是显而易见的道理：A可以对B读写，那么A的安全级一定高于B（强制安全策略体现）。

(2). *特性

这类似一个分段函数，分情况来说就是，对于状态v=(b, M, f, H)满足相对于S子集S1的*特性，iff

任意属于S1的s，都有：

若s对于o只有只写权限，那么o的安全级支配s的安全级，即客体安全级高于主体安全级；

若s对于o有读写权限，那么客体o的安全级等于主体s的安全级；

若s对于o只有只读权限，那么主体s的安全级支配客体o的安全级；

看到了吧，其实BLP就是“下读上写”:信息只能由高等级读低等级，写操作可以由低等级到高等级，可读可写一定安全级相同(3). 自主安全性：

若主体s可以对于客体o有访问属性A(r/w/a/c)，则该访问属性一定满足访问矩阵M(i)(j)。

(4). 兼容性公理：

对于客体o，如果o是O-1的叶节点，则叶结点的安全级支配O-1的安全级。

BLP模型的分析

从上面的介绍可以看出，BLP模型的安全策略包括强制存取控制和自主存取控制两部分，前者由简单安全性和特性组成（安全级），通过安全级强制性约束主体对客体的存取；自主存取控制通过存取控制矩阵按用户的意愿进行存取控制。虽然BLP在建立安全系统的活动中一直占据主导地位，但是严格实施BLP模型的系统往往是不实际的。这是因为真实的系统中，用户可能会违背特性，但是并不会违背系统的

安全性。比如特性规定只能由高安全等级读取低安全等级，但是一个用户可能需要读取机密文件中的非机密信息，并且应用到另一份非机密文件中。因此为了增加系统的可用性，BLP模型添加了一类可信主体，这些主体是可信的，当且仅当他们可以违背特性，但是不能违背系统的安全性。

BLP模型的不足：

(1). BLP模型中，可信主体不受*特性约束，访问权限太大，不符合最小特权原则，应对可信主体的操作权限和应用范围进一步细化；(2). BLP模型注重保密性控制，控制信息从高安全级传向低安全级，但是却缺少完整性控制，不能控制“上写”操作，可能导致隐蔽通道；因此大多数基于BLP模型实现的多级安全系统，规定只能向具有和主体安全级相同的客体写入信息，对BLP模型进行了修改。(3). BLP模型使用了与可信主体相关的安全规则，导致很难确定系统执行的安全规则到底是哪个；

(4). BLP仅处理单极客体，缺乏处理多级客体（如磁盘）；

(5). 没有支持应用相关的安全规则；

二、完整性安全模型：Biba模型

这部分我们来介绍下完整性安全模型，BLP模型注重了机密性，但是忽略了完整性保护，于是后人对BLP模型进行了一些改进。1977年

Biba等人提出了第一个完整性安全模型——Biba模型，主要应用类似BLP模型的规则来保护信息的完整性。Biba模型提出的不是一个唯一的安全策略，而是一个安全策略系列。比如非自主安全策略里的对于主体/客体的下限标记策略，使得主体、客体的完整级别动态变化；自主安全策略里的ACL和环机制等等，这里不再详述，有兴趣的童鞋可以去度娘谷歌。

Biba模型的优势在于其简单性以及和BLP模型相结合的可能性。简单性体现在Biba的严格完整性策略师BLP机密性策略的对偶，所以它的实现是直观和易于理解的；基于Biba和BLP的相似性，二者有可能结合产生机密性完整性一身的安全模型。但是其不足是：1. 完整性标签确定的困难性；2. Biba模型最主要的完整性目的是用于保护数据免受非授权用户的恶意修改，同时其认为内部完整性威胁应该通过程序验证来解决，但是在模型中并没有包括这个要求；3. Biba和BLP模型的结合看似容易，实则困难，而且即使结合之后，也无法低于病毒攻击。

三、完整性安全模型：Clark-Wilson完整性模型

1987年David Clark和David wilson提出的完整性模型具有里程碑意义，它是完整意义上的完整性目标、策略和机制的起源。为了体现用户完整性，CW模型提出了职责隔离目标；为了保证数据完整性，CW模型提出了应用相关的完整性验证进程；为了建立过程完整性，

CW定义了对于转换过程的应用相关验证；为了约束用户、进程和数据之间的关系，CW使用了三元组结构。

CW模型的核心在于以良构事务（well-formal transaction）为基础实现在商务环境中所需的完整性策略。良构事务是指一个用户不能任意操纵数据，只能用一种能够确保数据完整性的受控方式来操作数据。为了确保数据项仅仅能被良构事务操作，首先得确认一个数据项仅仅能被一组特定的程序来操作，而这些程序是经过验证特殊构造，并且被正确安装的。

四、多策略安全模型：中国墙模型

1988年，Brewer和Nash根据现实的商业策略提出了中国墙（Chinese Wall）模型，该模型试图解决的问题是：为了保护相互竞争的客户，咨询公司需要在代理间建立密不可透的“墙”，比如分析员面对客户：银行A，石油公司A，石油公司B，则一旦分析员访问了石油公司A或B，则都不能再访问石油公司B或A，因为A和B处于竞争关系，因而用户只能访问其中之一；初始之时用户可以随意访问任意一个客体，但是一旦访问过一个客体，就不能再访问与该客体有竞争关系的其他客体，或者叫做不能访问其利益冲突类。这里体现了自由选择和强制控制的微妙组合。

操作系统安全题目和答案

操作系统安全相关知识点与答案 By0906160216王朝晖第一章概述 1. 什么是信息的完整性信息完整性是指信息在输入和传输的过程中，不被非法授权修改和破坏，保证数据的一致性。 2. 隐蔽通道的工作方式？隐藏通道可定义为系统中不受安全策略控制的、范围安全策略的信息泄露路径。按信息传递的方式与方式区分，隐藏通道分为隐蔽存储通道和隐蔽定时通道。１隐蔽存储通过在系统中通过两个进程利用不受安全策略控制的存储单位传递信息。前一个进程通过改变存储单位的内容发送信息，后一个进程通过观察存储单元的比那话来接收信息。２隐蔽定时通道在系统中通过利用一个不受安全策略控制的广义存储单元传递信息。前一个进程通过了改变广义存储单位的内容发送信息，后一个进程通过观察广义单元的变化接收信息，并用如实时钟这样的坐标进行测量。广义存储单元只能在短时间内保留前一个进程发送的信息，后一个进程必须迅速地接受广义存储单元的信息，否则信息将消失。 3. 安全策略和安全模型的关系安全策略规定机构如何管理、保护与分发敏感信息的法规与条例的集合；安全模型对安全策略所表达的安全策略的简单抽象和无歧义的描述，是安全策略和安全策略实现机制关联的一种思想。４.安全内核设计原则１.完整性原则：要求主体引用客体时必须通过安全内核，及所有信息的访问都必须通过安全内核。２.隔离性原则：要求安全内核具有防篡改能力（即可以保护自己，也可以防止偶然破坏）３.可验证性原理：以下几个设计要素实现（最新的软件工程技术、内核接口简单化、内核小型化、代码检查、完全测试、形式话数学描述和验证）５.可信计算基TCB TCB组成部分： 1.操作系统的安全内核。 2.具有特权的程序和命令。 3.处理敏感信息的程序，如系统管理命令等。 4.与TCB实施安全策略有关的文件。 5.其他有关的固件、硬件和设备。 6.负责系统管理的人员。 7.保障固件和硬件正确的程序和诊断软件。可信计算基软件部分的工作：

操作系统第二章习题答案

第2章操作系统用户界面 Page 36 2.1 什么是作业？什么是作业步？答：把在一次应用业务处理过程中，从输入开始到输出结束，用户要求计算机所做的有关该次全部工作称为一个作业，从系统的角度看，作业则是一个比程序更广的概念。它由程序、数据和作业说明书组成，系统通过作业说明书控制文件形式的程序和数据，使之执行和操作。而且，在批处理系统中，作业是抢占内存的基本单位。也就是说，批处理系统以作业为单位把程序和数据调入内存以便执行。作业由不同的顺序相连的作业步组成。作业步是在一个作业的处理过程中，计算机所做的相对独立的工作。例如，编辑输入是一个作业步，它产生源程序文件；编译也是一个作业步，它产生目标代码文件。 2.2 作业由哪几部分组成？各有什么功能？答：作业由三部分组成：程序、数据和作业说明书。程序和数据完成用户所要求的业务处理工作，系统通过作业说明书控制文件形式的程序和数据，使之执行和操作。 2.3 作业的输入方式有哪几种？各有什么特点？答：作业的输入方式有5种：（1）联机输入方式：用户和系统通过交互式会话来输入作业。

（2）脱机输入方式：利用低档个人计算机作为外围处理机进行输入处理，存储在后援存储器上，然后将此后援存储器连接到高速外围设备上和主机相连，从而在较短的时间内完成作业的输入工作。（3）直接耦合方式：直接耦合方式把主机和外围低档机通过一个公用的大容量外存直接耦合起来，从而省去了在脱机输入中那种依靠人工干预来传递后援存储器的过程。（4）SPOOLING系统：SPOOLING又可译作外围设备同时联机操作。在SPOOLING系统中，多台外围设备通过通道或DMA 器件和主机与外存连接起来。作业的输入输出过程由主机中的操作系统控制。（5）网络输入方式：网络输入方式以上述几种输入方式为基础。当用户需要把在计算机网络中某一台主机上输入的信息传送到同一网中另一台主机上进行操作或执行时，就构成了网络输入方式 2.4 试述 SPOOLING 系统的工作原理。答：在SPOOLING系统中，多台外围设备通过通道或DMA器件和主机与外存连接起来。作业的输入输出过程由主机中的操作系统控制。操作系统中的输入程序包含两个独立的过程，一个过程负责从外部设备把信息读入缓冲区；另一个是写过程, 负责把缓冲区的信息送到外存输入井中。

(完整版)操作系统第二章作业答案

第二章作业 1.操作系统中为什么要引入进程的概念？为了实现并发进程中的合作和协调，以及保证系统的安全，操作系统在进程管理方面要做哪些工作？答：为了从变化角度动态地分析研究可以并发执行的程序，真实的反应系统的独立性、并发性、动态性和相互制约，操作系统中不得不引入进程的概念。为了防止操作系统及其关键的数据结构如：PCB等，受到用户程序破坏，将处理机分为核心态和用户态。对进程进行创建、撤销以及在某些进程状态之间的转换控制。 2.试描述当前正在运行的进程状态改变时，操作系统进行进程切换的步骤。答：分为两种情况：（1）：运行状态就绪状态：根据进程的自身的情况插入到就绪队列的适当位置，系统收回处理及转入进程调度程序重新进行调度。（2）：运行状态→阻塞状态：系统会调用进程调度程序重新选择一个进程投入运行。 3.现代操作系统一般都提供多任务的环境，是回答以下问题。为支持多进程的并发执行，系统必须建立哪些关于进程的数据结构？答：系统必须建立PCB。为支持进程的状态变迁，系统至少应该供哪些进程控制原语？答：阻塞、唤醒、挂起和激活原语。当进程的状态变迁时，相应的数据结构发生变化吗？答：会根据状态的变迁发生相应的变化。例如：将进程PCB中进程的状态从阻塞状态改为就绪状态，并将进程从阻塞队列摘下，投入到就绪队列中。 4.什么是进程控制块？从进程管理、中断处理、进程通信、文件管理、设备管理及存储管理的角度设计进程控制块应该包含的内容。答：PCB：描述进程本身的特征、状态、调度信息以及对资源占有情况等的数据结构，是进程存在的唯一标识。进程控制块所包含的内容： ①进程信息描述；②CPU信息状态；③进程调度信息；④进程控制和资源占用信息。 5.假设系统就绪队列中有10个进程，这10个进程轮换执行，每隔300ms轮换一次，CPU在进程切换时所花费的时间是10ms，试问系统化在进程切换上的开销占系统整个时间的比例是多少？解：P=(10*10)/[(300+10)*10]=3.2% 6.试述线程的特点及其与进程之间的关系。答：线程的特点：是被独立分派和调度的基本单位。线程与进程的关系：线程是进程的一部分，是进程内的一个实体；一个进程可以有多个线程，但至少必须有一个线程。

操作系统第二章复习题-答案

操作系统第二章复习题一、选择最合适的答案 1. 用P、V 操作管理临界区时，信号量的初值一般应定义为（ C ）。 A.–1 B.0 C.1 D.任意值 2. 有m 个进程共享同一临界资源，若使用信号量机制实现对一临界资源的互斥访问，则信号量的变化范围是（ A ）。 A.1 至–(m-1) B.1 至m-1 C.1 至–m D.1 至m 3.在下面的叙述中，正确的是（ C ）。 A.临界资源是非共享资源 B.临界资源是任意共享资源 C.临界资源是互斥共享资源 D.临界资源是同时共享资源 4.对进程间互斥地使用临界资源，进程可以（ D ） A.互斥地进入临界区 B.互斥地进入各自的临界区 C.互斥地进入同一临界区 D.互斥地进入各自的同类资源的临界区 5.设两个进程共用一个临界资源的互斥信号量mutex，当mutex＝1 时表示（ B ）。 A.一个进程进入了临界区，另一个进程等待 B.没有一个进程进入临界区 C.两个进程都进入了临界区 D.两个进程都在等待 6.设两个进程共用一个临界资源的互斥信号量mutex，当mutex＝-1 时表示（ A ）。 A.一个进程进入了临界区，另一个进程等待 B.没有一个进程进入临界区 C.两个进程都进入了临界区 D.两个进程都在等待 7．当一进程因在记录型信号量S 上执行P(S)操作而被阻塞后，S 的值为（ B ）。 A.>0 B.<0 C.≥0 D.≤0 8．当一进程因在记录型信号量S 上执行V(S)操作而导致唤醒另一进程后，S 的值为（ D ）。 A.>0 B.<0 C.≥0 D.≤0 9．如果信号量的当前值为-4，则表示系统中在该信号量上有（ A ）个进程等待。 A.4 B.3 C.5 D.0 10．若有 4 个进程共享同一程序段，而且每次最多允许 3 个进程进入该程序段，则信号量的变化范围是

第二章-操作系统进程(练习题答案)

第二章进程管理 1.操作系统主要是对计算机系统全部 (1) 进行管理，以方便用户、提高计算机使用效率的一种系统软件。它的主要功能有：处理机管理、存储管理、文件管理、 (2) 管理和设备管理等。Windows和Unix是最常用的两类操作系统。前者是一个具有图形界面的窗口式的 (3) 系统软件，后者是一个基本上采用 (4) 语言编制而成的的系统软件。在 (5) 操作系统控制下，计算机能及时处理由过程控制反馈的信息并作出响应。供选答案： (1): A. 应用软件 B. 系统软硬件 C. 资源 D. 设备 (2): A. 数据 B. 作业 C. 中断 D. I/O (3): A. 分时 B. 多任务 C. 多用户 D. 实时 (4): A. PASCAL B. 宏 C. 汇编 D. C (5): A. 网络 B. 分时 C. 批处理 D. 实时答案：CBBDD 2.操作系统是对计算机资源进行的 (1) 系统软件，是 (2) 的接口。在处理机管理中，进程是一个重要的概念，它由程序块、 (3) 和数据块三部分组成，它有3种基本状态，不可能发生的状态转换是 (4) 。虚拟存储器的作用是允许程序直接访问比内存更大的地址空间，它通常使用 (5) 作为它的一个主要组成部分。供选答案： (1): A. 输入和输出 B. 键盘操作 C. 管理和控制 D. 汇编和执行 (2): A. 软件和硬件 B. 主机和外设 C. 高级语言和机器语言 D. 用户和计算机 (3): A. 进程控制块 B. 作业控制块 C. 文件控制块 D. 设备控制块 (4): A. 运行态转换为就绪态 B. 就绪态转换为运行态 C. 运行态转换为等待态 D. 等待态转换为运行态 (5): A. 软盘 B. 硬盘 C. CDROM D. 寄存器答案：CDADB 3.在计算机系统中，允许多个程序同时进入内存并运行，这种方法称为 D。 A. Spodling技术 B. 虚拟存储技术 C. 缓冲技术 D. 多道程序设计技术 4.分时系统追求的目标是 C。 A. 高吞吐率 B. 充分利用内存 C. 快速响应 D. 减少系统开销 5.引入多道程序的目的是 D。

Windows 操作系统安全防护强制性要求

Windows 操作系统安全防护强制性要求二〇一四年五月

目录 1.系统用户口令及策略加固1 1.1.系统用户口令策略加固 1 1.2.用户权限设置 1 1.3.禁用Guest（来宾）帐户 2 1.4.禁止使用超级管理员帐号 3 1.5.删除多余的账号 4 2.日志审核策略配置4 2.1.设置主机审核策略 4 2.2.调整事件日志的大小及覆盖策略 5 2.3.启用系统失败日志记录功能 5 3.安全选项策略配置6 3.1.设置挂起会话的空闲时间 6 3.2.禁止发送未加密的密码到第三方SMB 服务器

6 3.3.禁用对所有驱动器和文件夹进行软盘复制和访问 7 3.4.禁止故障恢复控制台自动登录 7 3.5.关机时清除虚拟内存页面文件 7 3.6.禁止系统在未登录前关机 8 3.7.不显示上次登录的用户名 8 3.8.登录时需要按CTRL+ALT+DEL 8 3.9.可被缓存的前次登录个数 9 3.10. 不允许SAM 帐户和共享的匿名枚举 (9) 3.11.不允许为网络身份验证储存凭证或.NET Passports 9 3.12. 如果无法记录安全审核则立即关闭系统 (10) 3.13. 禁止从本机发送远程协助邀请 (10) 3.14. 关闭故障恢复自动重新启动 (11) 4.用户权限策略配置11 4.1.禁止用户组通过终端服务登录 11 4.2.只允许管理组通过终端服务登录 11

4.3.限制从网络访问此计算机 12 5.用户权限策略配置12 5.1.禁止自动登录 12 5.2.禁止光驱自动运行 12 5.3.启用源路由欺骗保护 13 5.4.删除IPC 共享 13 6.网络与服务加固14 6.1.卸载、禁用、停止不需要的服务 14 6.2.禁用不必要进程，防止病毒程序运行 15 6.3.关闭不必要启动项，防止病毒程序开机启动 24 6.4.检查是否开启不必要的端口 34 6.5.修改默认的远程桌面端口 34 6.6.启用客户端自带防火墙 35 6.7.检测DDOS 攻击保护设置

操作系统第二章课后答案

第二章进程管理 2、试画出下面4条语句的前趋图: S2: b:=z+1; S3: c:=a-b; S4: w:=c+1; 3、程序在并发执行时,由于它们共享系统资源,以及为完成同一项任务而相互合作,致使在这些并发执行的进程之间,形成了相互制约的关系,从而也就使得进程在执行期间出现间断性。 4、程序并发执行时为什么会失去封闭性与可再现性？因为程序并发执行时,就是多个程序共享系统中的各种资源,因而这些资源的状态就是由多个程序来改变,致使程序的运行失去了封闭性。而程序一旦失去了封闭性也会导致其再失去可再现性。 5、在操作系统中为什么要引入进程概念？它会产生什么样的影响? 为了使程序在多道程序环境下能并发执行,并能对并发执行的程序加以控制与描述,从而在操作系统中引入了进程概念。影响: 使程序的并发执行得以实行。 6、试从动态性,并发性与独立性上比较进程与程序? a、动态性就是进程最基本的特性,可表现为由创建而产生,由调度而执行,因得不到资源而暂停执行,以及由撤销而消亡,因而进程由一定的生命期;而程序只就是一组有序指令的集合,就是静态实体。 b、并发性就是进程的重要特征,同时也就是OS的重要特征。引入进程的目的正就是为了使其程序能与其它建立了进程的程序并发执行,而程序本身就是不能并发执行的。 c、独立性就是指进程实体就是一个能独立运行的基本单位,同时也就是系统中独立获得资源与独立调度的基本单位。而对于未建立任何进程的程序,都不能作为一个独立的单位来运行。 7、试说明PCB的作用?为什么说PCB就是进程存在的唯一标志? a、PCB就是进程实体的一部分,就是操作系统中最重要的记录型数据结构。PCB中记录了操作系统所需的用于描述进程情况及控制进程运行所需的全部信息。因而它的作用就是使一个在多道程序环境下不能独立运行的程序(含数据),成为一个能独立运行的基本单位,一个能与其它进程并发执行的进程。 b、在进程的整个生命周期中,系统总就是通过其PCB对进程进行控制,系统就是根据进程的PCB而不就是任何别的什么而感知到该进程的存在的,所以说,PCB就是进程存在的唯一标志。 8、试说明进程在三个基本状态之间转换的典型原因、 a、处于就绪状态的进程,当进程调度程序为之分配了处理机后,该进程便由就绪状态变为执行状态。 b、当前进程因发生某事件而无法执行,如访问已被占用的临界资源,就会使进程由执行状态转变为阻塞状态。 c、当前进程因时间片用完而被暂停执行,该进程便由执行状态转变为就绪状态。 9、为什么要引入挂起状态？该状态有哪些性质？ a、引入挂起状态主要就是出于4种需要(即引起挂起的原因): 终端用户的请求,父进程请求,负荷调节的需要,操作系统的需要。

操作系统安全(宋虹)课后习题答案

第一章概述 1. 什么是信息的完整性信息完整性是指信息在输入和传输的过程中，不被非法授权修改和破坏，保证数据的一致性。 2. 隐蔽通道的工作方式？隐藏通道可定义为系统中不受安全策略控制的、范围安全策略的信息泄露路径。按信息传递的方式与方式区分，隐藏通道分为隐蔽存储通道和隐蔽定时通道。隐蔽存储通过在系统中通过两个进程利用不受安全策略控制的存储单位传递信息。前一个进程通过改变存储单位的内容发送信息，后一个进程通过观察存储单元的比那话来接收信息。隐蔽定时通道在系统中通过利用一个不受安全策略控制的广义存储单元传递信息。前一个进程通过了改变广义存储单位的内容发送信息，后一个进程通过观察广义单元的变化接收信息，并用如实时钟这样的坐标进行测量。广义存储单元只能在短时间内保留前一个进程发送的信息，后一个进程必须迅速地接受广义存储单元的信息，否则信息将消失。 3. 安全策略和安全模型的关系安全策略规定机构如何管理、保护与分发敏感信息的法规与条例的集合；安全模型对安全策略所表达的安全策略的简单抽象和无歧义的描述，是安全策略和安全策略实现机制关联的一种思想。第二章安全机制 1. 标识与鉴别机制、访问控制机制的关系标识与鉴别机制的作用主要是控制外界对于系统的访问。其中标识指的是系统分配、提供的唯一的用户ID作为标识，鉴别则是系统要验证用户的身份，一般多使用口令来实现。是有效实施其他安全策略的基础。访问控制机制访问控制机制是指对主体访问客体的权限或能力的限制，以及限制进入物理区域（出入控制）和限制使用计算机系统和计算机存储数据的过程（存取控制）。目标就是防止对信息系统资源的非授权访问防止非授权使用信息系统资源。同时，访问控制机制也可以利用鉴别信息来实现访问控制。 2. 自主访问控制与强制访问控制之间的异同点自主访问控制(DAC)：同一用户对于不同的数据对象有不同的存取权限，不同的用户对同一对象也有不同的权限，用户还可将其拥有的存取权限转授给其他用户。强制访问控制(MAC)：每一个数据对象被标以一定的密级，每一个用户也被授予某一个级别的许可证，对于任意一个对象，只有具有合法许可证的用户才可以存取。区别：DAC的数据存取权限由用户控制，系统无法控制；MAC安全等级由系统控制，不是用户能直接感知或进行控制的。联系：强制访问控制一般与自主访问控制结合使用，并且实施一些附加的、更强的访问限制。一个主体只有通过了自主与强制性访问限制检查后，才能访问某个客体。用户可以利用自主访问控制来防范其它用户对自己客体的攻击，由于用户不能直接改变强制访问控制属性，所以强制访问控制提供了一个不可逾越的、更强的安全保护层以防止其它用户偶然或故意地滥用自主访问控制。 3. 安全审计机制是事后分析机制，优点？审计作为一种事后追查的手段来保证系统的安全，它对设计系统安全的操作做一个完整的记录。审计为系统进行事故原因的查询、定位，事故发生前的预测，报警以及事故发生之后的实时处理提供详细、可靠的依据和支持，以备有违反系统安全规则的事件发生后能够有效地追查事件发生的地点和过程以及责任人。 4. 最小特权管理？

操作系统安全保障措施

操作系统安全保障措施集团企业公司编码：（LL3698-KKI1269-TM2483-LUI12689-ITT289-

操作系统安全保障措施系统安全防护能力一．文件访问控制 1.所有办公终端的命名应符合公司计算机命名规范。 2.所有的办公终端应加入公司的域管理模式，正确是使用公司的各项资源。 3.所有的办公终端应正确安装防病毒系统，确保及时更新病毒码。 4.所有的办公终端应及时安装系统补丁，应与公司发布的补丁保持一致。 5.公司所有办公终端的密码不能为空，根据《云南地方IT系统使用手册》中的密码规定严格执行。 6.所有办公终端不得私自装配并使用可读写光驱、磁带机、磁光盘机和USB硬盘等外置存储设备。

7.所有办公终端不得私自转借给他人使用，防止信息的泄密和数据破坏。 8.所有移动办公终端在外出办公时，不要使其处于无人看管状态。 9.办公终端不得私自安装盗版软件和与工作无关的软件，不得私自安装扫描软件或黑客攻击工具。 10.未经公司IT服务部门批准，员工不得在公司使用modem进行拨号上网。 11.员工不允许向外面发送涉及公司秘密、机密和绝密的信息。二。用户权限级别 1.各系统应根据“最小授权”的原则设定账户访问权限，控制用户仅能够访问到工作需要的信息。 2.从账号管理的角度，应进行基于角色的访问控制权限的设定，即对系统的访问控制权限是以角色或组为单位进行授予。

3.细分角色根据系统的特性和功能长期存在，基本不随人员和管理岗位的变更而变更。 4.一个用户根据实际情况可以分配多个角色。 5.各系统应该设置审计用户的权限，审计用户应当具备比较完整的读权限，审计用户应当能够读取系统关键文件，检查系统设置、系统日志等信息。三．防病毒软件/硬件 1.所有业务系统服务器、生产终端和办公电脑都应当按照公司要求安装了相应的病毒防护软件或采用了相应的病毒防护手段。 2.应当确保防止病毒软件每天进行病毒库更新，设置防病毒软件定期（每周或没月）对全部硬盘进行病毒扫描。 3.如果自己无法对病毒防护措施的有效性进行判断，应及时通知公司IT 服务部门进行解决。

操作系统第二章

第二章一、问答题 1. 配置在终端上的终端处理程序主要用于实现人机交互，应具有哪些功能？ 2、什么是系统调用？系统调用与一般过程调用的区别是什么？ 3、有I/O频繁、I/O与计算机均衡和计算量大的三个作业，它们同时进入内存并行工作，请给每个作业赋于运行优先数，并说明理由。 4、脱机命令接口和联机命令接口有什么不同？ 5、简述作业的状态有哪些？作业调度是把什么状态的作业调入到内存？ 6、系统调用的执行过程大体上分成哪三步？ 7、命令解释程序有哪两种处理方法？ 8、解释作业和作业调度，作业调度选择作业的必要条件是什么？ 9、操作系统提供哪些便于用户控制交互式作业的使用接口？ 10、一个具有分时兼批处理功能的操作系统应怎样调度和管理作业？为什么？二、计算题和证明 1、某系统采用不能移动已在内存储器中作业的可变分区方式管理内存储器，现有供用户使用的内存空间100K，系统配有4台磁带机，有一批作业见表。表该系统采用多道程序设计技术，对磁带机采用静态分配，忽略设备工作时间和系统进行调度所花的时间，请分别写出采用优先数算法（数字越小优先级别越高），响应比高者优先算法、短作业优先算法、先来先服务算法选中作业执行的次序。 2、试证明短作业优先调度算法能达到最短平均周转时间。 3、有一个多道程序设计系统，采用不允许移动的可变分区方式管理内存中的用户空间，设用户空间为100K，内存空间的分配算法为最先适应分配算法，进程

调度算法采用先来先服务算法，今有如表所示作业序列：假定所有作业都是计算型作业且忽略系统调度时间，请写出采用"计算时间短的作业优先算法"时作业的装入内存时间、开始执行时间、完成时间、周转时间以及它们的平均周转时间。 4、系统采用不能移动已在内存储器中作业的可变分区方式管理内存储器，现有供用户使用的内存空间200K，内存空间的分配算法为最先适应分配算法，进程调度算法采用先来先服务算法，有一批作业见表。该系统采用多道程序设计技术，忽略设备工作时间和系统进行调度所花的时间，请分别写出采用“响应比高者优先算法”选中作业执行的次序以及各个作业的装入内存时间、开始执行时间、完成时间。 6、有一个具有两道作业的批处理系统，有如下表所示的作业序列（表中所列作业优先级即为进程优先级，数值越小优先级越高）。列出下面情况下所有作业进入内存时刻及结束时刻，并计算其平均周转时间。假设采用短作业优先的调度算法，进程调度采用优先级为基础的剥夺式算法。 5、在一个单道批处理系统中，采用响应比高者优先的作业调度算法。当一个作

安全操作系统教学大纲

《安全操作系统》课程教学大纲 Security Operation System 课程编号：TX104060适用专业：信息安全先修课程：计算机组成原理，高级语言程序设计学分数：3 总学时数：48 实验(上机)学时：8 考核方式：院系考执笔者：赵锋编写日期：2010年一、课程性质和任务《安全操作系统》是面向信息安全专业本科生的专业限选课。它是一门涉及较多硬件知识的计算机系统软件课程，在计算机软硬件课程的设置上，它起着承上启下的作用。其特点是概念多、较抽象和涉及面广，其整体实现思想和技术又往往难于理解。通过本课程的学习，使学生理解操作系统的基本概念、基本原理、和主要功能，掌握常用操作系统的使用和一般管理方法，学会操作系统的安装与一般维护，从而为学生以后的学习和工作打下基础。二、课程教学内容和要求第一章：计算机操作系统概论 1、掌握：操作系统的定义，操作系统的特性和主要功能。 2、理解：操作系统的主要类型，UNIX命令行格式，分时概念。 3、了解：操作系统的发展历程，分时和实时操作系统的特点，操作系统的用户界面，操作系统在计算机系统中的地位，主要操作系统产品系列。第二章：进程管理 1、掌握：进程定义，临界区概念，进程的状态及其变化，进程的同步与互斥。 2、理解：多道程序设计概念，进程的组成，进程管理的基本命令，信号量和Ｐ、Ｖ操作及其应用。 3、了解：进程间的通信。第三章：作业管理 1.掌握：作业调度和进程调度的功能，先来先服务法、时间片轮转法、优先级法。 2.理解：调度级别，性能评价标准，UNIX常用调度命令。 3.了解：Shell命令执行过程，其他调度算法。第四章：存储器管理 1、掌握：用户程序的主要处理阶段及相应概念，分页和分段的概念，虚拟

操作系统安全与信息安全

操作系统安全与信息安全信息安全体系相当于整个信息系统的免疫系统，免疫系统不健全，信息系统不仅是低效的，甚至是危险的。党和国家领导人多次指示：信息安全是个大问题，必须把安全问题放到至关重要的位置上，信息安全问题解决不好，后果不堪设想。国家计算机信息系统安全保护条例要求，信息安全等级保护要实现五个安全层面（即物理层、网络层、系统层、应用层和管理层）的整体防护。其中系统层面所要求的安全操作系统是全部安全策略中的重要一环，也是国内外安全专家提倡的建立可信计算环境的核心。操作系统的安全是网络系统信息安全的基础。所有的信息化应用和安全措施都依赖操作系统提供底层支持。操作系统的漏洞或配置不当有可能导致整个安全体系的崩溃。各种操作系统之上的应用要想获得运行的高可靠性和信息的完整性、机密性、可用性和可控性，必须依赖于操作系统提供的系统软件基础，任何脱离操作系统的应用软件的安全性都是不可能的。目前，普遍采用的国际主流C级操作系统其安全性远远不够，访问控制粒度粗、超级用户的存在以及不断被发现的安全漏洞，是操作系统存在的几个致命性问题。中共中央办公厅、国务院办公厅近期印发的《2006-2020年国家信息化发展战略》中明确指出: “我国信息技术领域存在着自主创新技术不足，核心技术和关键设备主要依赖进口。”长期以来，我国广泛应用的主流操作系统都是进口产品，无安全性可言。如不从根本上解决，长此以往，就无法保障国家安全与经济社会安全。我们国家计算机信息系统中的主流操作系统基本采用的是国外进口的C 级操作系统，即商用操作系统。商用操作系统不是安全的操作系统，它在为我们计算机信息系统带来无限便捷的同时，也为我们的信息安全、通信保密乃至国家安全带来了非常令人担忧的隐患！操作系统是计算机系统软硬件资源和数据的“总管”，担负着计算机系统庞大的资源管理，频繁的输入输出控制以及不可间断的用户与操作系统之间的通信等重要功能。一般来讲，包括病毒在内的各种网络安全问题的根源和症结，主要是由于商用操作系统的安全脆弱性。当今的信息系统产生安全问题的基本原因是操作系统的结构和机制不安全。这样就导致：资源配置可以被篡改、恶意程序被植入执行、利用缓冲区（栈）溢出攻击非法接管系统管理员权限等安全事故。病毒在世界范围内传播泛滥，黑客利用各种漏洞攻击入侵，非授权者任意窃取信息资源，使得安全防护形成了防火墙、防病毒、入侵检测、漏洞检测和加密这老几样防不胜防的被动局面。计算机病毒是利用操作系统漏洞，将病毒代码嵌入到执行代码、程序中实现病毒传播的；黑客是利用操作系统漏洞，窃取超级用户权限，植入攻击程序，实现对系统的肆意破坏；更为严重的是由于操作系统没有严格的访问控制，即便是合法用户也可以越权访问，造成不经意的安全事故；而内部人员犯罪则可以利用操作系统的这种脆弱性，不受任何限制地、轻而易举地达到内外勾结，窃取机密信息等严重犯罪。特别是，据中科院2003年《中国高新技术成果报告》中所载：有调查证实：美国国家安全局(NSA)对销往全球的信息产品，尤其是大规模集成电路芯片和操作系统安装了NSA所需要的技术后门，用于平时搜集这些信息产品使用国的敏感信息和数据；战时启动后门程序，瘫痪对方的政治、经济、军事等运行系统，使其不战自败。这是令人触目惊心的国家安全和民

操作系统第二章练习答案

1．P、V 操作是 A 。
A.两条低级进程通信原语
B.两组不同的机器指令
C.两条系统调用命令
D.两条高级进程通信原语
2．设系统中有 n（n>2）个进程，且当前不在执行进程调度程序，试考虑下述4
种情况，
不可能发生的情况是 A 。
A．没有运行进程，有2个就绪进程，n 个进程处于等待状态。
B．有1个运行进程，没有就绪进程，n-1个进程处于等待状态。
C．有1个运行进程，有1个就绪进程，n-2个进程处理等待状态。
D．有1个运行进程，n-1个就绪进程，没有进程处于等待状态。
3．若 P、V 操作的信号量 S 初值为2，当前值为-1，则表示有 B 等待进程。
A. 0个
B. 1个
C. 2个
D. 3个
4．用 V 操作唤醒一个等待进程时，被唤醒进程的状态变为 B 。
A.等待
B.就绪
C.运行
D.完成
5．用 P、V 操作可以解决 A 互斥问题。
A.一切
B.某些
C.正确
D.错误
6．多道程序环境下，操作系统分配资源以 C 为基本单位。
A.程序
B.指令
C.进程
D.作业
7.从下面对临界区的论述中，选出一条正确的论述。
（1）临界区是指进程中用于实现进程互斥的那段代码。
（2）临界区是指进程中用于实现进程同步的那段代码。
（3）临界区是指进程中用于实现进程通信的那段代码。
（4）临界区是指进程中用于访问共享资源的那段代码。
（5）临界区是指进程中访问临界资源的那段代码。
8.（A）是一种只能由 wait 和 signal 操作所改变的整型变量，（A）可用于实现
进程的（B）和（C），（B）是排他性访问临界资源。
A：（1）控制变量；（2）锁；（3）整型信号量；（4）记录型信号量。
B：（1）同步；（2）通信；（3）调度；（4）互斥。
C：（1）同步；（2）通信；（3）调度；（4）互斥。
9.对于记录型信号量，在执行一次 wait 操作时，信号量的值应当（A），当其值
为（B）时，进程阻塞。在执行 signal 操作时，信号量的值应当为（C），当其
值为（D）时，应唤醒阻塞队列中的进程。
A：（1）不变；（2）加1；（3）减1；（4）加指定数值；（5）减指定数值。
B：（1）大于0；（2）小于0；（3）大于等于0；（4）小于等于0.
C：（1）不变；（2）加1；（3）减1；（4）加指定数值；（5）减指定数值。
D：（1）大于0；（2）小于0；（3）大于等于0；（4）小于等于0.
10.用信号量 S 实现对系统中4台打印机的互斥使用，S.value 的初值应设置为
（A），若 S.value 的初值为-1，则表示 S.L 队列中有（B）个等待进程。
A：（1）1；（2）0；（3）-1；（4）4；（5）-4
B：（1）1；（2）2；（3）3；（4）4；（5）5；（6）6；（7）0。
11.试选择（A）~（D），以便能正确地描述图2.12所示的前趋关系。
最新范本,供参考！

操作系统第二章课后答案汇编

第二章进程管理2. S1: a:=x+y; S2: b:=z+1; S3: c:=a-b; S4: w:=c+1; 3. 程序在并发执行时，由于它们共享系统资源，以及为完成同一项任务而相互合作，致使在这些并发执行的进程之间，形成了相互制约的关系，从而也就使得进程在执行期间出现间断性。 4. 程序并发执行时为什么会失去封闭性和可再现性？因为程序并发执行时，是多个程序共享系统中的各种资源，因而这些资源的状态是由多个程序来改变，致使程序的运行失去了封闭性。而程序一旦失去了封闭性也会导致其再失去可再现性。 5. 在操作系统中为什么要引入进程概念？它会产生什么样的影响? 为了使程序在多道程序环境下能并发执行，并能对并发执行的程序加以控制和描述，从而在操作系统中引入了进程概念。影响: 使程序的并发执行得以实行。 6. 试从动态性，并发性和独立性上比较进程和程序? a. 动态性是进程最基本的特性，可表现为由创建而产生，由调度而执行，因得不到资源而暂停执行，以及由撤销而消亡，因而进程由一定的生命期；而程序只是一组有序指令的集合，是静态实体。 b. 并发性是进程的重要特征，同时也是OS的重要特征。引入进程的目的正是为了使其程序能和其它建立了进程的程序并发执行，而程序本身是不能并发执行的。 c. 独立性是指进程实体是一个能独立运行的基本单位，同时也是系统中独立获得资源和独立调度的基本单位。而对于未建立任何进程的程序，都不能作为一个独立的单位来运行。 7. 试说明PCB的作用?为什么说PCB是进程存在的唯一标志? a. PCB是进程实体的一部分，是操作系统中最重要的记录型数据结构。PCB中记录了操作系统所需的用于描述进程情况及控制进程运行所需的全部信息。因而它的作用是使一个在多道程序环境下不能独立运行的程序(含数据)，成为一个能独立运行的基本单位，一个能和其它进程并发执行的进程。 b. 在进程的整个生命周期中，系统总是通过其PCB对进程进行控制，系统是根据进程的PCB而不是任何别的什么而感知到该进程的存在的，所以说，PCB是进程存在的唯一标志。 8. 试说明进程在三个基本状态之间转换的典型原因. a. 处于就绪状态的进程，当进程调度程序为之分配了处理机后，该进程便由就绪状态变为执行状态。 b. 当前进程因发生某事件而无法执行，如访问已被占用的临界资源，就会使进程由执行状态转变为阻塞状态。 c. 当前进程因时间片用完而被暂停执行，该进程便由执行状态转变为就绪状态。 9. 为什么要引入挂起状态？该状态有哪些性质？

操作系统安全要点

第一章：绪论 1 操作系统是最基本的系统软件，是计算机用户和计算机硬件之间的接口程序模块，是计算机系统的核心控制软件，其功能简单描述就是控制和管理计算机系统内部各种资源，有效组织各种程序高效运行，从而为用户提供良好的、可扩展的系统操作环境，达到使用方便、资源分配合理、安全可靠的目的。 2 操作系统地安全是计算机网络信息系统安全的基础。 3 信息系统安全定义为：确保以电磁信号为主要形式的，在计算机网络化(开放互联)系统中进行自动通信、处理和利用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的机密性（保密性）、完整性、可用性、可审查性和抗抵赖性，与人、网络、环境有关的技术安全、结构安全和管理安全的总和。 4 操作系统面临的安全威胁可分为保密性威胁、完整性威胁和可用性威胁。 5 信息的保密性：指信息的隐藏，目的是对非授权的用户不可见。保密性也指保护数据的存在性，存在性有时比数据本身更能暴露信息。 6 操作系统受到的保密性威胁：嗅探，木马和后门。 7 嗅探就是对信息的非法拦截，它是某一种形式的信息泄露. 网卡构造了硬件的―过滤器―通过识别MAC地址过滤掉和自己无关的信息，嗅探程序只需关闭这个过滤器，将网卡设置为―混杂模式―就可以进行嗅探。 8 在正常的情况下，一个网络接口应该只响应这样的两种数据帧： 1.与自己硬件地址相匹配的数据帧。 2.发向所有机器的广播数据帧。 9 网卡一般有四种接收模式：广播方式，组播方式，直接方式，混杂模式。 10 嗅探器可能造成的危害： ?嗅探器能够捕获口令； ?能够捕获专用的或者机密的信息； ?可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限； ?分析网络结构，进行网络渗透。 11 大多数特洛伊木马包括客户端和服务器端两个部分。不管特洛伊木马的服务器和客户程序如何建立联系，有一点是不变的，攻击者总是利用客户程序向服务器程序发送命令，达到操控用户机器的目的。特洛伊木马：一种恶意程序，它悄悄地在宿主机器上运行，在用户毫无察觉的情况下让攻击者获得了远程访问和控制系统的权限。特洛伊木马也有一些自身的特点，例如它的安装和操作都是在隐蔽之中完成；大多数特洛伊木马包括客户端和服务器端两个部分。 12 木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等, 达到偷窥别人隐私和得到经济利益的目的. 13 后门：绕过安全性控制而获取对程序或系统访问权的方法。 14 间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。通常具备实用的、具吸引力的基本功能，它还收集有关用户操作习惯的信息并将这些信息通过互联网发送给软件的发布者。蠕虫(worm)可以算是病毒中的一种，但是它与普通病毒之间有着很大的区别。一般认为:蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性同时具有自己的一些特征。15 信息的完整性指的是信息的可信程度。完整性的信息应该没有经过非法的或者是未经授权的数据改变。完整性包括信息内容的完整性和信息来源的完整性. 16 信息的完整性威胁主要分为两类:破坏和欺骗。破坏：指中断或妨碍正常操作。数据遭到破坏后。其内容可能发生非正常改变，破坏了信息内容的完整性。欺骗：指接受虚假数据。 17 有几种类型的攻击可能威胁信息的完整性，即篡改(modification)、伪装(masquerading)、

操作系统安全第二套

第一套单选题 1.下列哪个命令可以更改密码的期限和有效性？A Chage； 2.下列哪项不是属于ISO 7498中对安全服务的定义？A 认证； 3.下面哪一项注册表分支包含文件扩展名映射？C HKCR； 4.在UNIX下面,网络应用程序被称为什么？C DAEMONS； 5.当NTFS权限和共享权限同时被应用时,哪种权限将会起作用？C 最多限制性； 6.在Windows系统中哪些用户可以查看日志？A Administrators； 7.在C2安全等级规则中，“自由访问控制”的含义是什么？D 资源的所有者应当能够使用资源； 8.DNS区域传输使用的TCP/IP端口号是：A TCP 53； 9.MS RPC服务使用的端口号是：B TCP/UDP 135； 10.计算机取证的类别有：A 简单取证； 11.以下哪些是电子证据和传统证据都具有的特点：A 符合法律法规的； 12.下列哪一个服务、命令或者工具让一个远程用户操作远程系统就像是操作本地终端系统一样？D TELNET； 13.Windows 2000 最多支持多少个字符的口令？C 127； 14.在Windows 2000和Linux网络中，如果用户已经登录后，管理员删除了该用户帐户，那么该用户帐户将（ A ）一如既往的使用，直到注销; 15.下列哪个命令是将用户密码的最大天数设为30天？B chage -M 30 testuser； 16.Linux最早起源于哪一年?A 1991； 17.以下不属于NTFS文件系统安全的项目是：D 安全的备份； 18.在NTFS文件系统中，如果一个共享文件夹的共享权限和NTFS权限发生了冲突，那么以下说法正确的是：B 系统会认定最少的权限； 19.在Windows 2000中，要将TELNET的NTLM值设成2用以提示管理员远程用户将尝试连接，应该输入什么命令？C TLNTADMN；

操作系统安全性

操作系统安全性介绍操作系统是作为一个支撑软件，使得你的程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能，主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性，系统开发设计的不周而留下的破绽，都给网络安全留下隐患。 1）操作系统结构体系的缺陷。操作系统本身有内存管理、CPU 管理、外设的管理，每个管理都涉及到一些模块或程序，如果在这些程序里面存在问题，比如内存管理的问题，外部网络的一个连接过来，刚好连接一个有缺陷的模块，可能出现的情况是，计算机系统会因此崩溃。所以，有些黑客往往是针对操作系统的不完善进行攻击，使计算机系统，特别是服务器系统立刻瘫痪。 2）操作系统支持在网络上传送文件、加载或安装程序，包括可执行文件，这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能，比如FTP，这些安装程序经常会带一些可执行文件，这些可执行文件都是人为编写的程序，如果某个地方出现漏洞，那么系统可能就会造成崩溃。像这些远程调用、文件传输，如果生产厂家或个人在上面安装间谍程序，那么用户的整个传输过程、使用过程都会被别人监视到，所有的这些传输文件、加载的程序、安装的程序、执行文件，都可能给操作系统带来安全的隐患。所以，建议尽量少使用一些来历不明，或者无法证明它的安全性的软件。 3）操作系统不安全的一个原因在于它可以创建进程，支持进程的远程创建和激活，支持被创建的进程继承创建的权利，这些机制提供了在远端服务器上安装“间谍”软件的条件。若将间谍软件以打补丁的方式“打”在一个合法用户上，特别是“打”在一个特权用户上，黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在。 4）操作系统有些守护进程，它是系统的一些进程，总是在等待某些事件的出现。所谓守护进程，比如说用户有没按键盘或鼠标，或者别的一些处理。一些监控病毒的监控软件也是守护进程，这些进程可能是好的，比如防病毒程序，一有病毒出现就会被扑捉到。但是有些进程是一些病毒，一碰到特定的情况，比如碰到7 月1 日，它就会把用户的硬盘格式化，这些进程就是很危险的守护进程，平时它可能不起作用，可是在某些条件发生，比如7 月1 日，它才发生作用，如果操作系统有些守护进程被人破坏掉就会出现这种不安全的情况。 5）操作系统会提供一些远程调用功能，所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序，可以提交程序给远程的服务器执行，如telnet。远程调用要经过很多的环节，中间的通讯环节可能会出现被人监控等安全的问题。 6）操作系统的后门和漏洞。后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。在软件开发阶段，程序员利用软件的后门程序得以便利修改程序设计中的不足。一旦后门被黑客利用，或在发布软件前没有删除后门程序，容易被黑客当成漏洞进行攻击，造成信息泄密和丢失。此外，操作系统的无口令的入口，也是信息安全的一大隐患。