計(jì)算機(jī)操作系統(tǒng)的安全加固技術(shù)探究

王坤

關(guān)鍵詞：計(jì)算機(jī)平臺(tái);操作系統(tǒng);安全加固

前言：計(jì)算機(jī)應(yīng)用隨著信息化理念的落實(shí)，開始走入社會(huì)各行各業(yè)。然而，由于計(jì)算機(jī)需要依賴操作系統(tǒng)才能夠完成執(zhí)行任務(wù)，因此操作系統(tǒng)存在的風(fēng)險(xiǎn)漏洞問題會(huì)直接影響用戶利益。為盡可能提高計(jì)算機(jī)應(yīng)用可靠性，應(yīng)當(dāng)重視安全加固技術(shù)，確保其能夠得到科學(xué)部署，從根源層面強(qiáng)化操作系統(tǒng)健全性，實(shí)現(xiàn)理想計(jì)算機(jī)應(yīng)用目標(biāo)。

1 計(jì)算機(jī)操作系統(tǒng)的要求

1.1真實(shí)可靠

計(jì)算機(jī)平臺(tái)應(yīng)用操作系統(tǒng)，需要保證其具有基本的真實(shí)、可靠特征。用戶需要在完成身份信息檢驗(yàn)的情況下，被賦予身份密鑰用于后續(xù)執(zhí)行相關(guān)任務(wù)活動(dòng)。通過遵循真實(shí)可靠標(biāo)準(zhǔn)，操作系統(tǒng)能夠保證信息操作處于安全狀態(tài)下，最大限度降低出現(xiàn)不良問題的概率，能夠?yàn)榉烙w系構(gòu)建基礎(chǔ)環(huán)境。因此，操作系統(tǒng)需要滿足真實(shí)、可靠的執(zhí)行要求。

1.2保密完整

操作系統(tǒng)針對信息與數(shù)據(jù)進(jìn)行處理時(shí)，應(yīng)當(dāng)達(dá)到保密、完整要求標(biāo)準(zhǔn)，確保敏感信息存儲(chǔ)區(qū)能夠得到正確保護(hù)，避免產(chǎn)生泄露問題。由于任務(wù)面向群體存在差異，因此操作系統(tǒng)需要同時(shí)執(zhí)行機(jī)密與非機(jī)密任務(wù)。若未達(dá)到保密、完整原則，便容易導(dǎo)致相關(guān)信息出現(xiàn)混淆問題，容易引發(fā)惡意篡改或敏感數(shù)據(jù)泄露現(xiàn)象。因此，操作系統(tǒng)需要實(shí)現(xiàn)保密與完整特性，確保相關(guān)要求得到正確落實(shí)。

1.3可控占有

可控與占有性屬于操作系統(tǒng)的基礎(chǔ)要求之一，在正常應(yīng)用環(huán)境下，信息的傳遞需要正確進(jìn)行控制，才能夠達(dá)到理想執(zhí)行標(biāo)準(zhǔn)。若該流程可控性不足，可能會(huì)導(dǎo)致操作系統(tǒng)無法正常響應(yīng)用戶需求，最終引發(fā)意外情況。占有要求則屬于用戶的獨(dú)立操作特征之一，通過維持操作系統(tǒng)獨(dú)占狀態(tài)，能夠使授權(quán)用戶在理想條件下執(zhí)行多種任務(wù)，保證相關(guān)請求得到充分、隨時(shí)響應(yīng)，提高工作效率與質(zhì)量。

2 計(jì)算機(jī)操作系統(tǒng)的安全困境

2.1系統(tǒng)安全困境

目前，計(jì)算機(jī)操作系統(tǒng)普遍面臨安全困境問題，需要采取有效加固措施進(jìn)行處理。系統(tǒng)漏洞屬于安全困境的典型表現(xiàn)，在操作系統(tǒng)設(shè)計(jì)過程中，其需要基于程序語言構(gòu)建內(nèi)核與應(yīng)用服務(wù)。但是，由于程序本身存在的局限特征，整體構(gòu)架往往會(huì)出現(xiàn)一些漏洞問題，導(dǎo)致執(zhí)行流程不標(biāo)準(zhǔn)或出現(xiàn)敏感數(shù)據(jù)泄露、任務(wù)處理不當(dāng)?shù)痊F(xiàn)象。在這種情況下，黑客等違法分子可能會(huì)通過技術(shù)手段挖掘操作系統(tǒng)漏洞，并設(shè)計(jì)相關(guān)工具，通過漏洞入侵系統(tǒng)內(nèi)部，進(jìn)而實(shí)現(xiàn)獲取敏感信息或破壞勒索的最終目標(biāo)[1]。除此之外，人為設(shè)計(jì)的計(jì)算機(jī)病毒、木馬、蠕蟲等也可以利用系統(tǒng)漏洞，繼而實(shí)現(xiàn)內(nèi)部權(quán)限提升或遠(yuǎn)程代碼注入等非法目標(biāo)，最終導(dǎo)致用戶承受不必要的損失。因此，需要重視計(jì)算機(jī)操作系統(tǒng)在應(yīng)用階段存在的漏洞問題，確保加固技術(shù)可以得到正確部署，使漏洞負(fù)面影響控制在最低范圍內(nèi)，提高整體安全級別。

2.2程序安全困境

操作系統(tǒng)本質(zhì)上由多種程序共同構(gòu)成，這些程序的執(zhí)行目標(biāo)各不相同，其中一部分屬于底層執(zhí)行邏輯，需要負(fù)責(zé)與硬件設(shè)備進(jìn)行交互。同時(shí)，另一部分主要面向用戶界面，為操作人員提供多種基礎(chǔ)功能，如移動(dòng)文件、執(zhí)行計(jì)算程序、連接互聯(lián)網(wǎng)等。這些程序共同構(gòu)成了操作系統(tǒng)體系，因此如果其出現(xiàn)安全問題，便會(huì)導(dǎo)致操作系統(tǒng)安全性下降，容易出現(xiàn)不良現(xiàn)象。例如，用戶程序出錯(cuò)可能會(huì)導(dǎo)致CPU陷入死鎖狀態(tài)，迫使用戶重新啟動(dòng)系統(tǒng)[2]。在服務(wù)器等架構(gòu)中，重新啟動(dòng)需要消耗大量時(shí)間，同時(shí)還會(huì)導(dǎo)致服務(wù)中斷，容易造成經(jīng)濟(jì)損失問題。內(nèi)核程序一旦出現(xiàn)安全問題，便會(huì)嚴(yán)重削弱操作系統(tǒng)實(shí)際防范效果，有可能引發(fā)擴(kuò)大化故障等現(xiàn)象，威脅用戶文件與信息安全。

2.3數(shù)據(jù)安全困境

操作系統(tǒng)需要依靠數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)完成信息的轉(zhuǎn)移與處理，這一結(jié)構(gòu)也可以稱之為數(shù)據(jù)庫。在實(shí)際應(yīng)用過程中，數(shù)據(jù)庫安全性會(huì)直接關(guān)聯(lián)用戶實(shí)際體驗(yàn)。若操作系統(tǒng)未采取可靠加固措施，便有可能導(dǎo)致數(shù)據(jù)庫遭到非法訪問或破壞，最終引發(fā)不必要的損失出現(xiàn)。例如，未正確設(shè)置權(quán)限訪問系統(tǒng)，便會(huì)導(dǎo)致用戶文件直接暴露在常規(guī)環(huán)境下，能夠被程序隨意修改。一旦計(jì)算機(jī)環(huán)境內(nèi)出現(xiàn)勒索病毒，便會(huì)導(dǎo)致用戶數(shù)據(jù)庫被全面加密，最終造成不可預(yù)見的損失。

3 計(jì)算機(jī)操作系統(tǒng)的安全加固技術(shù)

3.1WINDOWS系統(tǒng)平臺(tái)

3.1.1檢查系統(tǒng)版本與漏洞

WINDOWS平臺(tái)安全加固需要從多方面入手，確保其運(yùn)行可靠性能夠符合實(shí)際需求。相對于LINUX平臺(tái)，WINDOWS對于安全更新的需求較高，同時(shí)新版本系統(tǒng)也會(huì)加入全新特性，使加固效果得到重要保障。因此，在實(shí)際操作階段應(yīng)當(dāng)針對系統(tǒng)版本與更新情況進(jìn)行檢查，及時(shí)發(fā)現(xiàn)并下載安裝相關(guān)內(nèi)容，實(shí)現(xiàn)理想加固目標(biāo)。檢查操作可通過管理員模式運(yùn)行winver命令，判斷操作系統(tǒng)版本是否與當(dāng)前最新版本號一致[3]。若版本號過低，則應(yīng)當(dāng)及時(shí)運(yùn)行系統(tǒng)更新，通過自動(dòng)化方式完成檢查與安裝，并及時(shí)重啟系統(tǒng)平臺(tái)，確保補(bǔ)丁能夠正常生效。

3.1.2重視審計(jì)信息對比與加固

審計(jì)信息加固屬于WINDOWS平臺(tái)較為關(guān)鍵的技術(shù)之一，通常情況下其信息內(nèi)容包括密碼登錄狀態(tài)、賬號鎖定情況、審核實(shí)際應(yīng)用方案、日志文件大小、用戶權(quán)限管理與安全選項(xiàng)設(shè)定等多個(gè)基礎(chǔ)部分。加固過程中，應(yīng)當(dāng)針對密碼與賬號進(jìn)行鎖定處理。這些操作可以通過組策略體系進(jìn)行，通過在管理員模式下運(yùn)行g(shù)pedit.msc，可以打開組策略設(shè)定界面。在界面中應(yīng)當(dāng)設(shè)置賬號與密碼鎖定選項(xiàng)，并針對審核策略進(jìn)行規(guī)劃，包括登陸時(shí)間、對象訪問、操作流程追蹤等。同時(shí)，除組策略外還需要進(jìn)入事件查看器，定期對日志內(nèi)容進(jìn)行對照檢查，及時(shí)發(fā)現(xiàn)可能存在的入侵問題。對比過程應(yīng)當(dāng)根據(jù)應(yīng)用程序與安全日志模塊展開分析，確保系統(tǒng)得到充分加固。除此之外，本地策略需要針對暫?？臻e時(shí)間、交互式登錄等環(huán)節(jié)進(jìn)行設(shè)置，確保敏感信息能夠得到充分保護(hù)，避免出現(xiàn)意外泄露問題，提高對外界登錄的審核力度。例如，修改交互式登錄環(huán)節(jié)必須按下CTRL鍵、ALT鍵、DEL鍵以實(shí)現(xiàn)確認(rèn)處理[4]。通過這種方式，能夠避免遠(yuǎn)程登錄模擬鍵盤等特殊入侵方式威脅系統(tǒng)安全，具有加固系統(tǒng)的重要作用。

3.1.3針對系統(tǒng)服務(wù)進(jìn)行加固

相對于LINUX系統(tǒng)平臺(tái)而言，WINDOWS服務(wù)體系屬于功能較為豐富、應(yīng)用范圍廣泛的特性之一。但是，服務(wù)體系中存在一些無用服務(wù)，不僅無法為用戶提供便利，同時(shí)還會(huì)導(dǎo)致不必要的風(fēng)險(xiǎn)產(chǎn)生。因此，在系統(tǒng)加固階段應(yīng)當(dāng)針對服務(wù)進(jìn)行技術(shù)性處理，確保不必要服務(wù)得到禁用，提高系統(tǒng)安全性。操作階段，可以在管理員模式下運(yùn)行WINDOWS POWERSHELL，并輸入net start命令檢查當(dāng)前處于運(yùn)行狀態(tài)下的服務(wù)。針對不必要的服務(wù)可以在服務(wù)控制界面禁用，如DHCP CLIENT、REMOTE REGISTRY等。這些服務(wù)面向網(wǎng)絡(luò)模塊，容易產(chǎn)生漏洞問題，同時(shí)用戶通常不會(huì)涉及相關(guān)功能，因此可以在加固過程中予以禁用。

3.1.4加固注冊表模塊

注冊表屬于WINDOWS操作系統(tǒng)的核心模塊之一，其同樣需要采取加固技術(shù)進(jìn)行處理，以確保安全性達(dá)到基礎(chǔ)標(biāo)準(zhǔn)。在加固注冊表項(xiàng)的過程中，可以結(jié)合系統(tǒng)版本情況應(yīng)用相關(guān)處理方式，避免出現(xiàn)版本不一致導(dǎo)致的偏差問題。例如，在WINDOWS 7及以上版本中，CD自動(dòng)運(yùn)行功能已經(jīng)得到了完善，通常安全風(fēng)險(xiǎn)較低。而在WINDOWS XP及以下版本中，CD自動(dòng)運(yùn)行會(huì)直接讀取相關(guān)配置文件，容易導(dǎo)致病毒或木馬進(jìn)入系統(tǒng)內(nèi)存，影響基礎(chǔ)安全性。因此，在加固注冊表項(xiàng)時(shí)需要結(jié)合系統(tǒng)版本進(jìn)行設(shè)置，確保相關(guān)項(xiàng)目能夠得到正確處理。

3.2LINUX系統(tǒng)平臺(tái)

3.2.1檢查內(nèi)核更新

LINUX系統(tǒng)更新需求相對較低，其更加注重運(yùn)行穩(wěn)定性與長期可靠性。但是，部分涉及到內(nèi)核的安全漏洞仍然會(huì)對系統(tǒng)平臺(tái)造成威脅，因此在加固過程中需要針對LINUX內(nèi)核版本進(jìn)行檢查，并結(jié)合技術(shù)新聞分析是否存在致命漏洞。LINUX檢查指令可采用lsb_release -a方式分析發(fā)行版本，或采用uname -a檢查內(nèi)核版本狀態(tài)，確保后續(xù)更新活動(dòng)能夠正常進(jìn)行，完成系統(tǒng)加固。

3.2.2加固賬號管理

LINUX操作系統(tǒng)對于用戶權(quán)限的管控較為嚴(yán)格，在被入侵的條件下，不法分子往往需要首先建立超級管理員賬戶以取得控制權(quán)。因此加固過程中技術(shù)人員需要利用命令或查看方式，檢查/etc/passwd文件內(nèi)root權(quán)限是否處于唯一狀態(tài)，同時(shí)對照分析是否存在不必要的賬戶，為后續(xù)加固提供重要支持[5]。

3.2.3加固權(quán)限訪問

訪問控制加固屬于LINUX平臺(tái)較為關(guān)鍵的安全技術(shù)處理之一，在實(shí)際操作過程中，技術(shù)人員應(yīng)當(dāng)利用umask命令對系統(tǒng)內(nèi)部數(shù)值進(jìn)行對比，分析其是否符合0022，。同時(shí)，還應(yīng)當(dāng)檢查系統(tǒng)內(nèi)部用戶組狀態(tài)，分析是否存在被異常刪除的用戶組。為確保訪問能夠符合實(shí)際應(yīng)用需求，本地環(huán)境下的LINUX平臺(tái)需要禁止root權(quán)限用戶進(jìn)行遠(yuǎn)程登錄，以確保系統(tǒng)能夠得到充分加固。同時(shí)，系統(tǒng)內(nèi)部關(guān)鍵文件應(yīng)當(dāng)保證訪問權(quán)限處于644或600狀態(tài)，防止其遭到非法修改。為貫徹落實(shí)加固目標(biāo)，LINUX操作系統(tǒng)主機(jī)應(yīng)當(dāng)避免與其它主機(jī)建立信任關(guān)系。因此技術(shù)人員需要檢查系統(tǒng)內(nèi)是否存在信任文件，如host.equiv等，并保證其內(nèi)容處于空白狀態(tài)，確保系統(tǒng)安全穩(wěn)定性符合基礎(chǔ)需求。

3.2.4加固服務(wù)與關(guān)鍵目錄

LINUX系統(tǒng)服務(wù)同樣需要進(jìn)行加固處理，通過應(yīng)用chkconfig --list命令，可以直接檢查LINUX系統(tǒng)內(nèi)部服務(wù)運(yùn)行狀態(tài)。在對比實(shí)際需要的服務(wù)后，即可禁用其它服務(wù)進(jìn)程，使系統(tǒng)得到充分加固。除此之外，LINUX還應(yīng)當(dāng)針對文件目錄進(jìn)行加固處理。技術(shù)人員可以針對/tmp與/var目錄設(shè)置占粘滯位，避免未經(jīng)授權(quán)的用戶意外刪除相關(guān)內(nèi)容，提高系統(tǒng)加固效果。

3.3平臺(tái)通用

3.3.1訪問控制技術(shù)

在操作系統(tǒng)安全加固體系中，訪問控制屬于較為常用的技術(shù)方案之一。通常情況下，訪問控制主要分為兩種基礎(chǔ)策略，即自主與強(qiáng)制。自主策略操作主體，即用戶可以對資源訪問進(jìn)行設(shè)定，并規(guī)范其它主體實(shí)際權(quán)限。這一策略在NT內(nèi)核與UNIX內(nèi)核操作系統(tǒng)中均得到了廣泛應(yīng)用，但其管理權(quán)限相對較為分散，容易產(chǎn)生信息泄露問題，因此需要通過進(jìn)一步改進(jìn)方式，使其加固效果能夠得到顯著提升[6]。強(qiáng)制策略通過預(yù)先規(guī)定資源訪問權(quán)限與主體，使加固安全性可以充分發(fā)揮。這一規(guī)定通常由超級管理員執(zhí)行，因此即使操作系統(tǒng)被感染，通常也不會(huì)對數(shù)據(jù)內(nèi)容造成損害。但是，強(qiáng)制策略相對于自主式存在一定程度的局限性，應(yīng)當(dāng)結(jié)合實(shí)際情況條件進(jìn)行應(yīng)用。

3.3.2可信計(jì)算技術(shù)

可信計(jì)算技術(shù)屬于當(dāng)前較為新穎的應(yīng)用方案之一，其能夠有效替代傳統(tǒng)加固體系中存在的數(shù)據(jù)處理策略，有利于保障信息安全，提高系統(tǒng)加固效果。通過在處理器內(nèi)集成可信計(jì)算芯片，即TPM芯片、A-TPM芯片，能夠有效解決數(shù)據(jù)在敏感內(nèi)存區(qū)域出現(xiàn)泄露的問題，可以強(qiáng)化安全防護(hù)效果，為關(guān)鍵任務(wù)執(zhí)行提供可信空間[7]。通過應(yīng)用可信計(jì)算方案，操作系統(tǒng)可以在保護(hù)指定區(qū)內(nèi)存儲(chǔ)數(shù)據(jù)或處理數(shù)據(jù)，防止物理環(huán)境或用戶環(huán)境進(jìn)行干涉。同時(shí)，其還能夠賦予計(jì)算平臺(tái)特殊執(zhí)行代碼，用于標(biāo)識(shí)該任務(wù)在未經(jīng)篡改環(huán)境內(nèi)運(yùn)行，能夠?yàn)閺S商或用戶提供更為多元化的執(zhí)行途徑。因此，可信計(jì)算技術(shù)屬于較為關(guān)鍵的系統(tǒng)加固方案，未來應(yīng)當(dāng)進(jìn)一步推廣相關(guān)體系，確保操作系統(tǒng)得到充分加固。

4 結(jié)束語

綜上所述，計(jì)算機(jī)操作系統(tǒng)可以采取多種安全加固技術(shù)方案，使內(nèi)在薄弱環(huán)節(jié)或漏洞問題得到有效處理，盡可能降低意外情況出現(xiàn)概率，保障用戶信息或任務(wù)安全。因此，需要重視相關(guān)技術(shù)的應(yīng)用，確保其能夠得到科學(xué)部署，實(shí)現(xiàn)理想加固目標(biāo)。

參考文獻(xiàn)：

[1]莫懷海.操作系統(tǒng)安全加固技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（3）：2.

[2]吳宇佳，黃克敏，徐偉.Windows安全應(yīng)急響應(yīng)方法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（6）：3.

[3]李葳.WindowsServer2019操作系統(tǒng)安全配置與系統(tǒng)加固探討[J].數(shù)字技術(shù)與應(yīng)用，2019，37（07）：191-193.

[4]李墨泚、趙華容、陳宇飛.基于可信計(jì)算的操作系統(tǒng)加固技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（11）：4.

[5]肖堃，金宙賢.多操作系統(tǒng)拓?fù)渚W(wǎng)絡(luò)潛在多步攻擊實(shí)時(shí)檢測[J].計(jì)算機(jī)仿真，2020，37（12）：5.

[6]廖婷.云計(jì)算環(huán)境下的計(jì)算機(jī)安全理論與實(shí)踐分析——評《計(jì)算機(jī)安全：原理與實(shí)踐》[J].安全與環(huán)境學(xué)報(bào)，2020，20（2）：1.

[7]李賀，張超，楊鑫，等.操作系統(tǒng)內(nèi)核模糊測試技術(shù)綜述[J].小型微型計(jì)算機(jī)系統(tǒng)，2019，40（9）：6.