操作系统安全
操作系统负责对计算机系统各种资源、操作、运算和计算机用户进行管理与控制,它是计算机系统安全功能的执行者和管理者。操作系统是应用软件同系统硬件的接口,其目标是高效地、最大限度地、合理地使用计算机资源。若没有安全操作系统的支持,数据库就不可能具有存取控制的安全可信性,就不可能有档案信息网络系统的安全性,也不可能有应用软件信息处理的安全性。因此,安全操作系统是整个档案信息系统安全的基础。
要建立一个安全的档案信息系统,不仅要考虑具体的安全产品,包括防火墙、安全路由器、安全网关、IP隧道、虚拟网、入侵检测、漏洞扫描、安全测试和监控产品,来被动地封堵安全漏洞,而且还要特别注意操作系统平台的安全问题。
1 操作系统的基本涵义
操作系统是硬件和软件应用程序之间接口的程序模块,它是整个网络信息系统的核心控制软件,系统的安全体现在整个操作系统之中。对一个设计不够安全的操作系统,事后采用增加安全特性或打补丁的方法是一项很艰巨的任务,特别是对引进的国外设备,在没有详细技术资料的情况下,其工作更加复杂。
操作系统的主要功能包括:进程控制和调度、信息处理、存储器管理、文件管理、输入/输出管理、资源管理、时间管理等。操作系统的安全是深层次的安全,其主要的安全功能包括:存储器保护(限定存储区和地址重定位,保护存储的信息)、文件保护(保护用户和系统文件,防止非授权用户访问)、访问控制、用户认证(识别请求访问的用户权限和身份)。
操作系统作为计算机系统的基础软件是用来管理计算机资源的,它直接利用计算机硬件并为用户提供使用和编程接口。各种应用软件均建立在操作系统提供的系统软件平台之上,上层的应用软件要想获得运行的高可靠性和信息的完整性、保密性,必须依赖于操作系统提供的系统软件基础,任何想像中的、脱离操作系统的应用软件的高安全性,就如同幻想在沙滩上建立坚不可摧的堡垒一样,毫无根基可言。不难想像,在网络环境中,网络系统的安全性依赖于网络中各主机系统的安全性,而主机系统的安全性正是由其操作系统的安全性所决定的。没有安全的操作系统的支持,网络安全也毫无根基可言。所以,操作系统安全是计算机网络系统安全的基础。
操作系统集中管理系统的资源,控制包括用户进程在内的各种功能进程的正常运行。它是计算机系统赖以正常运转的小枢。当前操作系统的最大缺陷是不能判断运行的进程是否有害。换句话说,操作系统应当建立某些相对的鉴别准则,保护包括操作系统本身在内的各个用户,制约有害功能过程的运行。
为了迅速占领微机市场,某些公司公布了它们的操作系统内核。这样做的好处是方便了世界各地开发各种功能软件和配套外部设备。但是,同时也为有害的功能开发打开了方便之门。这是计算机病毒在微机领域内数量剧增、泛滥成灾的原因之一。
2 操作系统的不安全因素
计算机网络的宗旨本来是:系统开放、资源共享、降低成本、提高效率。这恰恰又是造成计算机网络安全的致命问题和主要安全漏洞。在开放共享的环境中“,安全”与“开放共享”总是互为制约的。计算机网络遭到的危害,绝不是计算机系统危害和通信系统危害的简单叠加。计算机网络分布的广域性、信息资源的共享性、通信信道的公用性,都为信息窃取、盗用、非法的增、删、改以及各种扰乱破坏造成了极为方便且难以控制的可乘之机。计算机联网的广域性,增加了危害的隐蔽性、广泛性和巨大的灾难性。
无论哪一种操作系统,其体系结构本身就是不安全的因素。由于操作系统的程序是可以动态连接的,包括I/O的驱动程序与系统服务都可以用打补丁的方法升级和进行动态连接。该产品的厂商可以使用这种方法,“黑客”成员也可以使用这种方法,而这种动态连接也正是计算机病毒产生的温床。因此,这种使用打补丁与渗透开发的操作系统是不可能从根本上解决安全问题的。在Unix系统中黑客所采用的攻击手法便是一个很能说明的问题。但是,操作系统支持的程序动态连接与数据动态交换是现代系统集成和系统扩展的必备功能,因此,这是相互矛盾的两个方面。
操作系统不安全的另一个原因在于它可以创建进程,即使在网络的节点上同样也可以进行远程进程的创建与激活,更令人不安的是被创建的进程具有可以继续创建过程的权力。这一点加上操作系统支持在网络上传输文件,在网络上能加载程序,二者结合起来就构成可以在远端服务器上安装“间谍”软件的条件。如果把这种“间谍”软件以打补丁的方式“打”入合法用户上,尤其是“打”在特权用户上,那么,系统进程与作业监视程序根本监测不到“间谍”的存在。
在Unix与Window NT 中的Daemon 软件实质上是一些系统进程,它们通常总是在等待一些条件的出现,一旦有满足要求的条件出现,程序便继续运行下去。这样的软件正好被黑客利用。更令人深感不安的是Daemon 具有操作系统核心层软件同等的权力。网络操作系统提供的远程过程调用(RPC )服务以及它所安排的无口令入口也是黑客的通道。
操作系统的安全漏洞主要有:输入/输出(I/O )非法访问、访问控制的混乱、不完全中介、操作系统陷门等。这些不安全因素充分暴露了操作系统在安全性方面的脆弱性,对网络安全构成了威胁。
3 操作系统的安全等级
计算机系统的脆弱性主要来自操作系统的不安全性,在网络环境下,还来源于通信协议的不安全性。美国对计算机系统就其安全性的程度,分为若干安全级别,依照安全等级由低到高的顺序是 D级安全、C级安全、 B级安全、A 级安全。有的操作系统属于 D级,这一级别的操作系统根本就没有安全防护措施,它就像一个门窗大开的屋子,如DOS、Windows 98 和Windows 3.1等操作系统就属于这一类,它们只能用于一般的桌面计算机,而不能用于安全性要求高的服务器。 Unix系统和Windows NT 达到了C2 级别,安全性远远强于 Windows 98操作系统,而且主要用于服务器上。但这种系统仍然存在着安全漏洞,因为这两种系统中都存在超级用户( root在Unix 中,Administrator 在Windows NT中),如果入侵者得到了超级用户口令,整个系统将完全受控于人侵者。现在,人们正在研究一种新型的操作系统,在这种操作系统中没有超级用户,也就不会有超级用户带来的问题。现在很多系统都使用静态口令来保护系统,但口令还是有很大的破解可能性,而且不好的口令维护制度会导致口令被人偷去。口令丢失也就意味着安全系统的全面崩溃。
在档案信息网络环境中,网络系统的安全性依赖于网络中各主机系统的安全性,而主机系统的安全性正是由其操作系统的安全性所决定的,没有操作系统的支持,档案信息网络安全也毫无根基可言。
4 常见操作系统简介
1.Unix系统
Unix是一个多任务多用户的操作系统,它具有的特点是:
(1)可靠性高;
(2)极强的伸缩性;
(3)网络功能强;
(4)强大的数据库支持功能;
(5)开放性好。
Unix常用命令有:ls、cd、who、cp、cat、man、mv、rm、grep、find。
在 Unix系统中有一个名为root 的用户是超级用户,这个用户在系统上拥有最大的权限,即不需授权就可以对其他用户的文件、目录以及系统文件进行任意操作。
Unix系统对每个文件都设定了文件的权限,共有:读、写和执行三种权限。
2.Linux系统
Linux是按照Unix风格设计的操作系统,所以在源代码级上兼容绝大部分的 Unix标准。 Linux具有如下特点:
(1)与 Unix高度兼容;
(2)高度的稳定性和可靠性;
(3)完全开放源代码,价格低廉;
(4)系统安全可靠,绝无后门。
3.Windows系统
Windows是在普通用户的PC机上使用得最广泛的操作系统。Windows 9X在具有众多优点的同时,其缺点也十分明显:稳定性和安全性欠佳。
Windows NT 是微软公司第一个真正有意义的网络操作系统,Windows NT具有以下显著特点:
(1)支持多种网络协议;
(2)内置的因特网功能;
(3)支持NTFS 文件系统。
注册表是 Windows 系统的核心数据库。注册表的层次结构被组织成类似于硬盘中的目录树,分为主键、副键、子键和键值项,键值项的格式为:键值名:数据类型:键值。
4.Unix 网络配置
/etc/hosts文件提供简单的主机名到IP 地址的转换;/etc/hosts 文件列出所有的以太网地址列表;/etc/networks 文件提供了一个因特网上的 IP地址和名字/etc/protocols; 文件提供了一个已知的DARPA 因特网协议的列表;/etc/ services文件提供了可用的服务列表;/etc/ inted.conf 文件是inted守护进程的配置文件。
Unix系统的资源访问控制是基于文件的,在Unix当中各种硬件设备,端口设备甚至内存都是以文件形式存在的,虽然这些文件和普通磁盘文件在实现上不同,但它们向上提供的界面却是相同的,这样就带来了Unix系统资源访问控制实现的方便性。
为了维护系统的安全性,系统中每一个文件都具有一定的访问权限,只有具有这种访问权限的用户才能访问该文件,否则系统将给出Permission Denied错误信息。
5.Windows NT网络配置
在Windows NT中所有的对象都有一个安全性描述符(Security Description),安全性描述符上列出了允许用户和组在对象上可以执行的动作。安全性标识符可以用来设置和查询一个对象的安全属性,所有的命名对象、进程和线程都有与之关联的安全描述符。Windows NT安全模式的一个最初目标,就是定义一系列标准的安全信息,并把它应用于所有对象的实例。
这些安全信息,包括下列元素:
(1)所有者;
(2)组;
(3)自由ACL(Access Control List);
(4)系统ACL;
(5)存取令牌(Access Token).
Windows NT支持FAT文件系统,还支持NTFS文件系统。NTFS文件系统是一种安全的文件系统,因为它支持文件访问控制,人们可用设置文件和目录的访问权限,控制谁可以使用这个文件,以及如何使用这个文件。五个预定义的许可为:拒绝访问、读取、更改、完全控制和选择性访问。
为了建立安全的操作系统,首先必须构造操作系统的安全模型(单级安全模型、多级安全模型、系统流模型等)和不同的实施方法。其次应该采用诸如隔离、核化(最小特权等)和环结构(开放设计和完全中介)等安全科学的操作系统设计方法。再者,还需要建立和完善操作系统的评估标准、评价方法和测试质量。
