操作系统 安全机制

操作系统的安全机制有哪些

分享
回答 1
浏览 1117
官方采纳
  • 上官雨宝 2 CISM-WSE 中级信息安全等级测评师 官方采纳
    上官雨宝2 CISM-WSE 中级信息安全等级测评师
    官方采纳

    (1)硬件安全机制

    绝大多数实现操作系统安全的硬件机制也是传统操作系统所要求的,优秀的硬件保护性能是高效、可靠的操作系统的基础。计算机硬件安全的目标是保证其自身的可靠性和为系统提供基本安全机制。其中,基本安全机制包括存储保护、运行保护、I/O保护等。

    ①存储保护:存储保护是一个最基本的要求,指保护用户在存储器中的数据,并保证系统各任务之间互不干扰。

    ②运行保护:隔离操作系统程序与用户程序,保证进程在运行时免受同等级运行域 !内其他进程的破坏。

    ③I/O保护:绝大多数情况下,I/O是仅由操作系统完成的一个特权操作,所有操作系统都对读写文件操作提供一个相应的高层系统调用,在这些过程中,用户不需要控制I/O操作的细节。

    (2)标识与鉴别技术

    标识与鉴别是涉及系统和用户的一个过程。标识是系统标志用户的身份,并为每个用户取一个系统可以识别、唯一且无法伪造的内部名称——用户标识符。将用户标识符与用户联系的过程称为鉴别,鉴别过程主要用于识别用户的真实身份,鉴别操作要求用户具备证明其身份的特殊信息,并且这个信息是秘密的,其他用户无法获得。

    在操作系统中,鉴别一般是在用户登录时发生的,系统提示用户输入口令,然后判断用户输入的口令是否与系统中存在的该用户的口令一致。这种口令机制是简便易行的鉴别手段,但比较脆弱,许多计算机用户常常使用弱口令(如自己的姓名、生日等),以致系统很不安全。另外,生物技术是目前发展较快的鉴别用户身份的方法,如利用指纹、视网膜等。

    较安全操作系统应采用强化管理的口令鉴别、基于令牌的动态口令鉴别、生物特征鉴别、数字证书鉴别等机制进行身份鉴别,在每次用户登录系统时进行鉴别,并以一定的时间间隔进行改变。

    (3)访问控制技术

    访问控制为操作系统内的常用防护技术,且仅适用于系统内的主体和客体。在安全操作系统领域中,访问控制一般涉及自主访问控制和强制访问控制2种形式。

    1)自主访问控制

    自主访问控制(DAC, Discretionary Access Control)是用来决定一个主体是否有权访问一些特定客体的一种访问约束机制。在该机制下,客体的拥有者可以按照自己的意愿精确指定系统中的其他用户对其文件的访问权。同时,自主还指对某客体具有特定访问权限授予权的用户能够自主地将关于该客体的相应访问权或访问权的某个子集授予其他主体。

    自主访问控制是基于用户的,所以,具有很高的灵活性,这使这种策略适合于各类操作系统和应用程序,特别是在商业和工业领域。例如,在很多应用环境中,用户需要在没有系统管理员介入的情况下拥有设定其他用户访问其所控制信息资源的能力,因此,控制就具有很大的任意性。在这种环境下,用户对信息的访问控制是动态的,这时,采用自主访问控制是比较合适的。

    2)强制访问控制

    强制访问控制(MAC, Mandatory Access Control),是一种不允许主体干涉的访问控制类型。在此机制下,系统中的每个进程、文件、IPC客体(消息队列、信号量集合和共享存储区)都被赋予了相应的安全属性,它由管理部门(如安全管理员)或由操作系统自动地按照严格的规定来设置,不能直接或间接地修改。它是基于安全标识和信息分级等信息敏感性的访问控制,通过比较资源的敏感性与主体的级别来确定是否允许访问。系统将所有主体和客体分成不同的安全等级,给予客体的安全等级能反映出客体本身的敏感程度;主体的安全等级标志着用户不会将信息透露给未经授权的用户。通常安全等级可分为4个级别:最高秘密级、秘密级、机密级和无级别级。这些安全级别可以支配同一级别或低一级别的对象。

    一般强制访问控制采用以下几种方法。

    ①过程控制。在通常的计算机系统中,只要系统允许用户自己编程,一般就很难杜绝木马。但可以对其过程采取某些措施,这种方法称为过程控制。

    ②限制访问控制。由于自主控制方式允许用户程序来修改其文件的访问控制表,因此,给非法者带来可乘之机。系统可以不提供这一方便,在这类系统中,用户要修改访问控制表的唯一途径是请求一个特权系统调用。

    ③系统限制。最好实施的限制是由系统自动完成。要对系统的功能实施一些限制,比如限制共享文件,但共享文件是计算机系统的优点,是不可能加以完全限制的。再者,就是限制用户编程。

    强制访问控制的安全性比自主访问控制的安全性有所提高,但灵活性要差一些。强制访问控制包括规则型(Rule-based)访问控制和管理指定型(Administratively-based)访问控制。MAC模型中比较主要的几个模型:Lattice模型、Bell-La Padula模型(BLP model)和Biba模型(Biba model)。

    (4)最小特权管理

    超级用户/进程拥有所有权限,便于系统的维护和配置,却在一定程度上降低了系统的安全性。最小特权的管理思想是系统不应给用户/管理员超过执行任务所需特权以外的特权。例如,在系统中定义多个特权管理职责,任何一个都不能够获取足够的权利对系统造成破坏。

    为了保障系统的安全性,可以设置如下管理员,并赋予相应职责。如果有需要,可以进行改变和增加,但必须考虑改变带来的安全性变动。

    ①系统安全管理员:对用户、系统资源和应用等定义或赋予安全级。

    ②审计员:设置审计参数并修改、控制审计内容和参数。

    ③操作员:对系统进行操作,并设置终端参数、改变口令、用户安全级等。

    ④安全操作员:完成操作员的职责,例行备份和恢复,安装和拆卸可安装介质。

    ⑤网络管理员:负责所有网络通信的管理。

    (5)隐蔽通道

    隐蔽通道可定义为系统中不受安全策略控制的、违反安全策略的信息泄露路径。隐蔽通道在国内文献中也被称为泄露路径、隐通道或隐蔽信道,公认定义为“允许进程以危害系统安全策略的方式传输信息的通信通道”(GB 17859−1999《计算机信息系统安全保护等级划分准则》)。

    按信息传递的方式和方法区分,隐蔽通道可分为存储隐蔽通道和时间隐蔽通道。存储隐蔽通道在系统中通过2个进程利用不受安全策略控制的存储单元传递信息;时间隐蔽通道在系统中通过改变广义存储单元传递信息。对隐蔽通道的处理技术包括消除法、带宽限制法和威慑法。

    (6)文件系统加密技术

    访问控制机制是实现操作系统安全性的重要机制,但解决不了所有的安全问题。在操作系统正常工作的情况下,操作系统的访问控制机制能够有效地保护在操作系统控制范围之内的信息免遭非法访问,但是,一旦信息离开了某个操作系统的控制范围,该操作系统的访问控制机制对信息的安全性保护就无能为力了。

    例如,不管计算机A上的操作系统的访问控制机制功能多么强大,如果恶意用户能拿到计算机A的硬盘等存储信息的存储介质,只需把存储介质连接到计算机B上,就能轻而易举地把信息读取出来,计算机A的访问控制机制对此鞭长莫及。

    为了防止因信息载体落入他人手中而导致的信息泄露问题,可以采取对信息进行加密的措施。在操作系统中实现信息加密的方法很多,可以对单个文件进行加密,也可以对整个磁盘进行加密。

    (7)安全审计

    一个系统的安全审计就是对系统中有关安全的活动进行记录、检查及审核。它的主要目的就是检测和阻止非法用户对计算机系统的入侵,并显示合法用户的误操作。审计作为一种追查手段来保证系统安全,将涉及系统安全的操作做一个完整的记录。审计为系统进行事故原因的查询、定位,事故发生前的预测、报警以及事故发生后的实时处理提供详细、可靠的依据和支持,以备有违反系统安全规则的事件发生时能够有效地追查事件发生的地点、过程以及责任人。

    如果将审计和报警功能结合起来,就可以做到每当有违反系统安全的事件发生或者有涉及系统安全的重要操作进行时,能够及时向安全操作员终端发送相应的报警信息。审计过程一般是一个独立的过程,应与系统其他功能相隔离。同时要求操作系统能够生成、维护及保护审计过程,使其免遭修改、非法访问及毁坏,特别要保护审计数据,要严格限制未经授权用户的访问。

    (8)系统可信检查机制

    以上的安全机制主要侧重于安全性中的机密性要素,对完整性考虑较少。可通过建立安全操作系统构建可信计算基(TCB),建立动态、完整的安全体系。建立面向系统引导的基本检查机制、基于专用CPU的检查机制、基于TPM/TCM硬件芯片的检查机制和基于文件系统的检查机制等可信检查机制,实现系统的完整性保护,能够很大程度上提升系统的安全性,这种机制的构建基于可信计算技术。

    分享
    微信二维码
  • 安全侠 2 等保中级测评师 CICSA 官方采纳
    安全侠2 等保中级测评师 CICSA
    官方采纳

    操作系统的安全机制有以下这些:

    • 硬件安全机制:绝大多数实现操作系统安全的硬件机制也是传统操作系统所要求的,优秀的硬件保护性能是高效、可靠的操作系统的基础。计算机硬件安全的目标是保证其自身的可靠性和为系统提供基本安全机制。其中,基本安全机制包括存储保护、运行保护、I/O保护等。

    • 标识与鉴别机制:标识与鉴别是涉及系统和用户的一个过程。标识是系统标志用户的身份,并为每个用户取一个系统可以识别、唯一且无法伪造的内部名称——用户标识符。将用户标识符与用户联系的过程称为鉴别,鉴别过程主要用于识别用户的真实身份,鉴别操作要求用户具备证明其身份的特殊信息,并且这个信息是秘密的,其他用户无法获得。在操作系统中,鉴别一般是在用户登录时发生的,系统提示用户输入口令,然后判断用户输入的口令是否与系统中存在的该用户的口令一致。这种口令机制是简便易行的鉴别手段,但比较脆弱,许多计算机用户常常使用弱口令(如自己的姓名、生日等),以致系统很不安全。另外,生物技术是目前发展较快的鉴别用户身份的方法,如利用指纹、视网膜等。较安全操作系统应采用强化管理的口令鉴别、基于令牌的动态口令鉴别、生物特征鉴别、数字证书鉴别等机制进行身份鉴别,在每次用户登录系统时进行鉴别,并以一定的时间间隔进行改变。

    • 访问控制机制:访问控制为操作系统内的常用防护技术,且仅适用于系统内的主体和客体。在安全操作系统领域中,访问控制一般涉及自主访问控制和强制访问控制2种形式。

    • 最小特权管理机制:超级用户/进程拥有所有权限,便于系统的维护和配置,却在一定程度上降低了系统的安全性。最小特权的管理思想是系统不应给用户/管理员超过执行任务所需特权以外的特权。例如,在系统中定义多个特权管理职责,任何一个都不能够获取足够的权利对系统造成破坏。

    • 隐蔽通道机制:隐蔽通道可定义为系统中不受安全策略控制的、违反安全策略的信息泄露路径。隐蔽通道在国内文献中也被称为泄露路径、隐通道或隐蔽信道,公认定义为“允许进程以危害系统安全策略的方式传输信息的通信通道”(GB 17859−1999《计算机信息系统安全保护等级划分准则》)。按信息传递的方式和方法区分,隐蔽通道可分为存储隐蔽通道和时间隐蔽通道。存储隐蔽通道在系统中通过2个进程利用不受安全策略控制的存储单元传递信息;时间隐蔽通道在系统中通过改变广义存储单元传递信息。对隐蔽通道的处理技术包括消除法、带宽限制法和威慑法。

    • 文件系统加密机制:访问控制机制是实现操作系统安全性的重要机制,但解决不了所有的安全问题。在操作系统正常工作的情况下,操作系统的访问控制机制能够有效地保护在操作系统控制范围之内的信息免遭非法访问,但是,一旦信息离开了某个操作系统的控制范围,该操作系统的访问控制机制对信息的安全性保护就无能为力了。

    • 安全审计机制:一个系统的安全审计就是对系统中有关安全的活动进行记录、检查及审核。它的主要目的就是检测和阻止非法用户对计算机系统的入侵,并显示合法用户的误操作。审计作为一种追查手段来保证系统安全,将涉及系统安全的操作做一个完整的记录。审计为系统进行事故原因的查询、定位,事故发生前的预测、报警以及事故发生后的实时处理提供详细、可靠的依据和支持,以备有违反系统安全规则的事件发生时能够有效地追查事件发生的地点、过程以及责任人。如果将审计和报警功能结合起来,就可以做到每当有违反系统安全的事件发生或者有涉及系统安全的重要操作进行时,能够及时向安全操作员终端发送相应的报警信息。审计过程一般是一个独立的过程,应与系统其他功能相隔离。同时要求操作系统能够生成、维护及保护审计过程,使其免遭修改、非法访问及毁坏,特别要保护审计数据,要严格限制未经授权用户的访问。

    • 系统可信检查机制:以上的安全机制主要侧重于安全性中的机密性要素,对完整性考虑较少。可通过建立安全操作系统构建可信计算基(TCB),建立动态、完整的安全体系。建立面向系统引导的基本检查机制、基于专用CPU的检查机制、基于TPM/TCM硬件芯片的检查机制和基于文件系统的检查机制等可信检查机制,实现系统的完整性保护,能够很大程度上提升系统的安全性,这种机制的构建基于可信计算技术。

    分享
    微信二维码
    • 推荐文章
    相关问题
    热门回答
    写回答
    © 2022 WANGAN.COM 帮助网安从业者成长;关注产业发展,做网络安全忠诚卫士!