| 标题 | 计算机实现操作系统安全的几种策略 |
| 范文 | 刘智勇 [摘 要]操作系统是计算机系统的基础,尤其是近年来,计算机技术的深入应用,使得操作系统安全在整个信息安全领域更加的重要。本文以操作系统需要保护的对象为线索,对主流操作系统进行对比,并提出集中操作系统的安全策略。 [关键词]操作系统;安全策略;信息安全 [中图分类号]TP316 [文献标识码]A 1 操作系统安全概述 计算操作系统的保护对象一般分为以下几种:可共享的资源,比如数据、程序、文件、I/O设备和存储器。计算机系统的安全运行是保障计算机正常工作的基础,因此操作系统要对其进行保护,常见的保护措施有过滤保护、安全检测保护、隔离保护三类,下面对其进行详细的分析。 第一,过滤保护,用户在访问受保护对象的时候,操作吸引要对其进行分析,这样可以对恶意攻击进行过滤,另外对不安全因素的非法访问进行过滤。第二,安全检测保护,针对所有的用户操作进行分析,限制越权操作和可能给操作系统带来安全威胁的用户操作,在一定程度上对其进行保护。第三,隔离保护,操作系统一般都支持多进程和多线程操作,因此需要隔离同时运行的多个线程或者进程。常用的隔离措施有物理隔离、软件隔离、暂时隔离和加密隔离四种。物理隔离是用在多进程和多线程间对系统资源的调用中;软件隔离是应用在软件层面的隔离,限制和控制进程的访问权限;暂时隔离是应用在特殊的时间段内,对其中的一个/多个进程或者线程进行实时的隔离,在结束后并对其进行解除;加密隔离是采用加密算法对对象进行加密处理。 2 安全操作系统的设计原理 安全操作系统的设计原理有以下几点:其一,极小特权,尽可能地降低用户和程度的特权,从而来避免不安全操作;其二,经济性原则;安全操作系统的设计过程要遵循简单易操作、经济的原则;其三,开放共享,安全操作系统的安全策略应该是开放共享的,同时可以协调各个安全策略之间的使用;其四,以许可为基础进行权限分离,不同的程序与用户操作都有着不同的许可条件,初始认为都是不被许可的,程序之间权限是相互分离的,不同用户的操作也是互不干扰;其五,减少公用性,增加易用性,存储器等设备这些公用资源要尽可能地减少,避免程序与进程之间的相互干扰,其次要提高操作系统安全策略的易用性,这样可以提高用户使用效率,避免因为安全保障的缘故给用户带来诸多麻烦。 3 安全操作系统的安全分析 操作系统的体系结构分为内核模式和用户模式两种。用户模式指的是应用程序的运行,内核模式指的是操作系统函数的运行。应用程序不可以对硬件和系统代码进行直接的访问,而用户程序通过调动来进入到内核模式,调用系统,并返回用户模式。计算机硬件的核心是服务于顶端,但是它却处于低端,在交互的过程中,为了保证内核模式的系统驱动程序不会被破坏,就要对操作系统的两种模式进行分离,做好安全配置,遵循最小权限和最少服务原则来实现操作系统的安全。常用的操作系统有Linux、windows、Unix等。 3.1 Linux操作系统 Linux起源于二十世纪九十年代,也是在Unix系统的基础上进行升级。改进了相应的安全性能,使得更加的稳定、可靠。Liunx在设计的时候,因为违背了相应的安全原则,使得它面临着一系列问题,比如:SETUD、口令、引导、特洛伊木马问题等。除此之外,Linux也存在诸多问题,比如缓冲区溢出、拒绝服务攻击、Scan扫描、病毒危害等,都会破坏系统文件;另外,Linux并不支持访问控制表和强制访问控制等。这些安全问题都要对其进行重视,采取相应措施,对其进行优化。 其一,取消非必要服务,比如TFTP的文件传输协议、imap传输协议等都可以被取消掉,保留必要的服务,比如HTTP、FTP、Telnet等协议。其二,及时更新系统的核心,Linux操作系统的核心是Kernel,它常驻内存,实现操作系统的基本功能,并对操作系统的其他部分进行加载,控制计算机和网络的基本功能,影响整个系统的安全。因此在对Kernel进行功能设定的时候,要对其进行选择,尽量消减Kernel的基本功能,减少系统资源的开支。比如设定用户权限、系统的出入等。这里值得注意的是,Linux的流通渠道广泛,这就使得它更新换代也非常快,新的程序和系统补丁也会频繁地出现,因此要经常更新系统内核,从而来提高系统的安全性。 3.2 Windows操作系统 Windows操作系统是应用最为广泛的操作系统,深入应用在社会的各个领域,就目前情况来说,大多数服务器都使用Windows操作系统。然而Windows操作系统的安全性能受到系统漏洞、应用软件漏洞还有系统的配置与使用等因素的影响,使得系统安全性能不高。需要解决Windows存在的安全问题,提高操作系统的安全性能就需要对其进行升级,比如下载安全补丁,关闭非必要的服务,加强密码的强度,提高访问权限,安装防护软件等。Windows操作系统的安全性也很高,但是它应用范围广,这就使得它成为病毒攻击的主要目标。然而Windows操作系统操作方便,容易部署和使用,具备良好的伸缩性和复用性。因此在企业创建动态的Web站点和Intranet的时候都有使用,成为当前使用最为广泛的操作系统。 4 可共享的数据、程序和文件的保护 目前,主流的操作系统是多用户操作,一般来说,操作系统都存在2-3个合法的用户。这些用户可以在不同的时間内使用同样的操作系统与硬件设备,在这种情况下,如何保护每个用户的隐私成为安全操作系统研究的重点。随着操作系统的不断发展,系统也越来越复杂,而用户数量的增多,增加了系统保护难度。 4.1 无保护 “无保护”操作系统中,计算机系统中存储的数据、程序和文件都是共享的,只要用户身份合法都可以对其进行访问、修改、删除操作。这里需要注意的是,“无保护”机制下的操作系统合法用户数量很少,而且彼此之间都有着相互的信任。然而这里面也有一些系统文件是受到保护的,只有操作系统的管理员才可以对这些文件进行操作,随着计算机系统与网络的快速发展,使用同一操作系统的合法用户数量增多,他们之间的信任程度也大打折扣,“无保护”操作系统不再适应当前计算机网络的发展。 4.2 分组保护 “分组保护”是操作系统在“无保护”基础上的一个升级,将合法用户进行分类,按照需求的类似度将用户进行分组,拥有相同或者类似的需求划分在相同的组里,不同的需求划分在不同的组中。一个用户只能属于一个组。同一个分组用户的文件访问权限也相同,一般来说,本组用户可以对文件进行查看、删除、修改等操作,而其他组的用户只可以查看而不可以对其进行修改等操作,保证了系统共享的资源的安全,但是不利于用户间的相互交流。 4.3 口令保护 计算机操作系统中的口令保护随着操作系统的发展,也得到了广泛的应用,比如对数据、程序或者文件都加上相应的口令,在一定程度上提高数据、程序和文件的安全性。然而口令保护也存在诸多问题,比如用户遗忘口令,就无法打开数据,操作不方便;其次,口令被窃取,那么对于数据、程序、文件的保护也会失效;最后,口令的不限制使用,这就使得用户除了给自己加的口令外,还有可能是其他用户加的,数据、程序、文件被加上双重或者多重口令,导致合法用户也无法打开数据等。 5 存储空间安全 操作系统的多进程与多程序都是进行隔离的,因此需要保证多个进程之间访问的存储空间也是独立的,不能互相交叉访问。保证存储空间独立性的方式有三种: 5.1 栅栏保护 存储空间安全机制中最为简单、基础的就是栅栏保护,它的工作原理就是用一道“栅栏(固定的存储器地址)”分割主存储器中的系统程序和用户程序。然而栅栏地址会随着系统空间的变化而变化,保证存储空间系统软件与用户软件的完全分离,但是栅栏保护不能避免用户程序之间的相互干扰。 5.2 基址边界保护 基址边界保护是在栅栏保护上进行升级,它在栅栏保护的基础上对用户程序采用两个寄存器,即基址寄存器、边界寄存器来确定存储器中的地址空间。基址寄存器是为了存放存储器的起始地址;边界寄存器是为了存放存储器的终止地址。 5.3 段页式保护 段页式保护从字面上来分,即段式保护、页式保护两种。段式保护是在基址边界保护的基础上将整个程序进行划分,划分为不同的段。页式保护也是划分整个程序,被划分的每个部分被称为页。页的内部部分是一个二元组。页面大小为512B-4096B。 操作系统是计算机系统中的核心软件,其安全性能直接影响着整个信息安全领域,因此操作系统的安全机制设计需要更加全面的考虑,要从现有的操作系统的安全特征进行分析,在此基础上进行升级,提高数据、程序、文件和存储空間的安全性能,从而来增强操作系统的安全。 [参考文献] [1] 张宏涛.Linux操作系统的网络安全及其应对措施[J].信息与电脑(理论版),2017(20). [2] 陈佳音,隋菱歌.智慧银行安防系统的设计与实现[J].长春金融高等专科学校学报,2015(01). |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。