信息安全工程师-操作系统安全通用基础与七大核心机制

一、引言

操作系统是整个信息系统的核心基础平台，所有上层应用、服务、数据的运行都依赖于操作系统的支撑，其安全性直接决定了信息系统整体防护的有效性。在软考信息安全工程师知识体系中，操作系统安全属于系统安全领域的核心考点，历年考试中选择题、案例分析题均有涉及，占比约 8-12%。

操作系统安全的发展经历了三个核心阶段：第一阶段（1960-1990 年）为基础安全期，以大型机访问控制、用户权限隔离为核心目标，美国国防部 1985 年发布的 TCSEC（可信计算机系统评估准则，又称橘皮书）是该阶段的标志性标准；第二阶段（1990-2010 年）为网络安全期，随着互联网普及，操作系统开始集成网络防护、恶意代码防范等能力，我国 2001 年发布的《计算机信息系统安全保护等级划分准则》（GB 17859-1999）是该阶段国内的核心规范；第三阶段（2010 年至今）为可信安全期，以可信计算、硬件级安全、自主可控为核心目标，覆盖从硬件底层到上层生态的全链路安全。

本文将系统性梳理操作系统安全的通用基础、核心需求与七大关键安全机制，帮助考生建立完整的理论框架，为后续具体操作系统的安全配置、漏洞分析打下基础。

二、操作系统安全核心定义与安全等级

（一）核心定义

操作系统安全是指操作系统满足预设安全策略要求，集成对应安全功能与机制，符合特定安全标准规范，能够在既定威胁场景下抵御常见攻击，保障自身稳定运行以及所管理的硬件、软件、数据资源安全的特性。

该定义包含四个核心要素：

1. 合规性：必须符合明确的安全策略与标准要求，而非无边界的安全
2. 功能性：需要具备对应的安全机制实现安全目标
3. 威胁适应性：能够抵御已知常见攻击，在约束条件下提供安全保障
4. 双重保护范围：既包括操作系统自身的安全，也包括其管理的所有系统资源的安全
   从安全可控维度可分为两个层次：

• 狭义可控：指产品本身安全，即操作系统代码无已知高危漏洞、无恶意后门，所有功能符合设计预期
• 广义可控：指产业全链路可控，涵盖核心技术自主研发、供应链安全可控、生态体系自主可控三个层面，是我国关键信息基础设施安全的核心要求

（二）安全等级划分

依据我国《计算机信息系统安全保护等级划分准则》（GB 17859-1999），操作系统安全从低到高分为五个等级：

1. 用户自主保护级：具备基本的用户标识、自主访问控制能力，由用户自主决定资源访问权限，适用于普通个人用户场景
2. 系统审计保护级：在用户自主保护级基础上增加审计能力，能够记录所有安全相关操作，追踪违规行为，适用于普通企业内部办公系统
3. 安全标记保护级：为所有主体、客体分配安全标记，强制依据标记进行访问控制，适用于涉及一般敏感信息的政务、企业业务系统
4. 结构化保护级：操作系统内核实现结构化安全设计，安全模块与业务模块明确隔离，访问控制覆盖所有系统资源，适用于涉及重要敏感信息的关键业务系统
5. 访问验证保护级：具备独立的访问验证模块，对所有访问请求进行强制仲裁，支持最小特权、可信路径等高阶安全机制，适用于国家关键信息基础设施、核心涉密系统

操作系统安全等级划分对比表，包含等级名称、核心能力、适用场景、对应等保级别四个维度

三、操作系统安全目标与六大核心需求

（一）安全目标

操作系统安全的核心目标是防范各类针对操作系统的网络攻击，保障操作系统自身的稳定、可靠运行，进而保护其所管理的所有计算机系统资源（硬件、软件、数据）的保密性、完整性、可用性。

（二）六大核心需求

操作系统的所有安全机制设计均围绕以下六大需求展开，是软考高频考点，需熟练掌握：

1. 标识和鉴别：解决 "访问者是谁" 的问题，为所有系统主体（用户、进程、服务）分配全局唯一标识符，并通过口令、数字证书、生物特征等方式验证主体身份的真实性，是所有访问控制的前提
2. 访问控制：解决 "访问者能做什么" 的问题，依据安全策略对主体访问客体（文件、内存、外设、服务等）的行为进行管控，防止资源被未授权访问、篡改、滥用
3. 系统资源安全：实现对 CPU、内存、存储、外设等硬件资源，以及系统文件、进程、服务等软件资源的安全保护，防止资源被恶意占用、破坏或泄露
4. 网络安全：提供网络协议栈安全加固、网络服务访问控制、网络通信加密等能力，防范针对网络层面的攻击，保障操作系统网络通信的安全性
5. 抗攻击：具备抵御恶意代码感染、漏洞利用、权限提升、拒绝服务等常见攻击的能力，在遭受攻击时能够快速检测、响应并恢复正常运行
6. 自身安全：保障操作系统内核代码、系统配置、安全策略、审计日志等核心数据的完整性、保密性，防止被恶意篡改、删除或绕过

操作系统安全需求与对应安全机制映射关系图

四、七大操作系统安全核心机制详解

为了实现上述安全目标与需求，现代通用操作系统均集成了七大核心安全机制，是所有操作系统安全设计的通用基础：

（一）硬件安全机制

硬件安全是操作系统安全的底层基础保障，没有硬件层面的安全支撑，上层软件安全机制存在被绕过的风险。核心组成包括：

1. 硬件可靠性：CPU、内存、存储等核心硬件具备故障检测、纠错能力，防止硬件故障导致的系统安全问题
2. 存储保护：通过内存分段、分页、地址空间隔离等机制，实现不同进程的内存空间隔离，防止进程越权访问其他进程或系统内核的内存数据
3. I/O 保护：对外部设备的访问进行权限管控，防止未授权进程直接访问外设导致的数据泄露或破坏
4. CPU 安全：支持 CPU 特权级划分，通常分为 Ring 0（内核态）、Ring 3（用户态）等多个特权级别，用户态进程无法直接执行内核态指令，防止普通进程破坏系统内核
5. 物理安全保护：支持 BIOS/UEFI 安全启动、硬件加密引擎、可信平台模块（TPM/TCM）等能力，从物理层面保障系统启动链的完整性
   典型案例：英特尔 CPU 的 SGX（软件防护扩展）技术，通过在 CPU 中创建隔离的可信执行环境，保障敏感数据的计算、存储即使在操作系统被攻破的情况下也不会泄露。

（二）标识与鉴别机制

标识与鉴别是访问控制的前提，核心功能是实现主体身份的唯一性确认：

1. 标识：为每个用户、进程、服务分配全局唯一的标识符，如 Linux 系统的 UID、GID，Windows 系统的 SID，作为身份的唯一标识
2. 鉴别：验证主体身份真实性的过程，常见鉴别方式包括：
   • 静态鉴别：基于口令、PIN 码等静态信息的鉴别
   • 动态鉴别：基于动态口令、USB Key、数字证书等动态信息的鉴别
   • 生物鉴别：基于指纹、人脸、虹膜等生物特征的鉴别
3. 鉴别安全机制：支持多次鉴别失败锁定、口令复杂度校验、鉴别过程加密等能力，防止暴力破解、身份伪造等攻击
   典型案例：Windows 系统的 Kerberos 身份认证协议，通过可信第三方 KDC 实现用户身份的安全鉴别，是域环境下身份认证的核心机制。

（三）访问控制机制

访问控制是操作系统资源管理的核心机制，防止资源被未授权访问：

1. 自主访问控制（DAC）：由资源所有者自主决定其他用户对资源的访问权限，配置灵活但安全性较低，适用于普通用户场景。如 Linux 系统的文件 rwx 权限机制，文件所有者可以自主设置其他用户的读、写、执行权限
2. 强制访问控制（MAC）：由系统安全管理员为所有主体、客体分配安全标记，系统强制依据安全标记的匹配规则进行访问控制，用户无法自主修改权限，安全性较高，适用于高安全等级场景。如 SELinux（安全增强型 Linux）就是强制访问控制的典型实现

自主访问控制与强制访问控制对比示意图

（四）最小特权管理机制

最小特权是安全管理的黄金法则，核心含义是只给用户、进程、服务分配完成其任务所需的最小权限，避免权限过度分配导致的滥用风险：

1. 权限拆分：将系统管理权限拆分为多个独立的管理角色，如系统管理员、安全管理员、审计管理员，实现三权分立，避免单一管理员权限过大
2. 进程权限最小化：服务进程运行时使用普通用户权限，而非 root / 管理员权限，即使进程被攻破也无法获取系统最高权限
3. 权限及时回收：用户离职、任务完成后及时回收对应的访问权限，防止权限残留
   典型案例：Windows 系统的 UAC（用户账户控制）机制，普通用户默认以低权限运行程序，当需要执行高权限操作时弹出确认提示，防止恶意程序静默获取高权限。

（五）可信路径机制

可信路径是用户与系统安全内核之间的安全通信通道，核心作用是防止特洛伊木马模仿登录界面窃取用户口令：

1. 触发方式：用户通过特定的安全注意键（SAK）触发，如 Windows 系统的 Ctrl+Alt+Del 组合键，只有系统内核能够响应该组合键，恶意程序无法拦截或伪造
2. 通信安全：可信路径上的所有通信数据均经过加密，不会被中间进程截获或篡改
3. 适用场景：主要用于用户登录鉴别、高敏感操作确认等场景，确保用户的输入直接传递给系统安全内核，而非恶意程序
   典型案例：Windows 系统的登录界面必须通过 Ctrl+Alt+Del 组合键调出，就是可信路径机制的典型应用，有效防范了伪造登录窗口的钓鱼攻击。

（六）安全审计机制

安全审计是操作系统安全的重要追溯机制，对所有安全相关的操作进行记录、分析：

1. 审计范围：覆盖用户登录、权限变更、资源访问、系统配置修改、网络连接等所有安全相关活动
2. 审计日志内容：包含操作时间、操作主体、操作对象、操作类型、操作结果等核心字段，确保能够完整还原操作过程
3. 审计核心目的：
   • 核实安全策略的执行合规性，发现配置违规
   • 追踪违规行为，定位攻击来源与影响范围
   • 确认安全故障原因，为事件响应提供依据
4. 审计日志保护：审计日志只能由审计管理员访问，且无法被修改或删除，防止攻击者篡改日志掩盖攻击痕迹

操作系统安全审计数据流示意图

（七）系统安全增强机制

系统安全增强又称安全加固，是在默认操作系统基础上，通过优化配置、增加安全组件提升系统抗攻击能力的机制：

1. 配置优化：关闭不必要的服务、端口，禁用无用账号，设置口令复杂度、过期策略，调整访问控制规则等
2. 安全组件增强：安装主机入侵检测系统（HIDS）、防病毒软件、文件完整性校验工具等安全组件，补充操作系统默认不具备的安全能力
3. 漏洞修复：及时安装系统安全补丁，修复已知漏洞，降低被攻击的风险
   典型案例：等保 2.0 标准中对服务器操作系统的加固要求，明确需要关闭不必要的服务、开启审计日志、配置登录失败锁定等，就是系统安全增强机制的落地应用。

七大操作系统安全机制逻辑关系架构图

五、总结与备考建议

（一）核心知识点提炼

1. 操作系统安全分为狭义产品安全和广义产业可控两个层面，依据 GB 17859-1999 分为五个安全等级，不同等级对应不同的安全能力要求
2. 操作系统六大核心需求为标识和鉴别、访问控制、系统资源安全、网络安全、抗攻击、自身安全，所有安全机制均围绕该需求设计
3. 七大核心安全机制中，硬件安全是基础，标识与鉴别是前提，访问控制是核心，最小特权、可信路径、安全审计是关键保障，系统安全增强是能力补充

（二）软考考试重点提示

1. 高频考点：安全等级划分标准、六大安全需求、七大安全机制的核心作用，特别是可信路径的防木马作用、安全审计的三大目的，是选择题的高频考点
2. 易错点：自主访问控制与强制访问控制的适用场景差异、最小特权与三权分立的关系，需要明确区分
3. 案例分析考点：通常会结合 Windows/Linux 系统的具体配置，要求分析安全机制的缺失风险，以及对应的加固方案

（三）学习建议

1. 先掌握通用基础机制，再学习 Windows、Linux 等具体操作系统的安全特性，能够做到举一反三
2. 结合等保 2.0 中对操作系统的安全要求，理解安全机制的实际落地场景，避免死记硬背
3. 动手进行基础配置实践，如 Linux 系统的权限配置、审计规则配置，加深对机制的理解
   下篇我们将进入实战环节，针对 Windows、Linux 两大主流操作系统的安全特性、常见漏洞、增强配置方案进行详细解读，帮助考生掌握操作系统安全的实战配置能力。