王坤
關(guān)鍵詞:計(jì)算機(jī)平臺(tái);操作系統(tǒng);安全加固
前言:計(jì)算機(jī)應(yīng)用隨著信息化理念的落實(shí),開始走入社會(huì)各行各業(yè)。然而,由于計(jì)算機(jī)需要依賴操作系統(tǒng)才能夠完成執(zhí)行任務(wù),因此操作系統(tǒng)存在的風(fēng)險(xiǎn)漏洞問題會(huì)直接影響用戶利益。為盡可能提高計(jì)算機(jī)應(yīng)用可靠性,應(yīng)當(dāng)重視安全加固技術(shù),確保其能夠得到科學(xué)部署,從根源層面強(qiáng)化操作系統(tǒng)健全性,實(shí)現(xiàn)理想計(jì)算機(jī)應(yīng)用目標(biāo)。
1 計(jì)算機(jī)操作系統(tǒng)的要求
1.1真實(shí)可靠
計(jì)算機(jī)平臺(tái)應(yīng)用操作系統(tǒng),需要保證其具有基本的真實(shí)、可靠特征。用戶需要在完成身份信息檢驗(yàn)的情況下,被賦予身份密鑰用于后續(xù)執(zhí)行相關(guān)任務(wù)活動(dòng)。通過遵循真實(shí)可靠標(biāo)準(zhǔn),操作系統(tǒng)能夠保證信息操作處于安全狀態(tài)下,最大限度降低出現(xiàn)不良問題的概率,能夠?yàn)榉烙w系構(gòu)建基礎(chǔ)環(huán)境。因此,操作系統(tǒng)需要滿足真實(shí)、可靠的執(zhí)行要求。
1.2保密完整
操作系統(tǒng)針對信息與數(shù)據(jù)進(jìn)行處理時(shí),應(yīng)當(dāng)達(dá)到保密、完整要求標(biāo)準(zhǔn),確保敏感信息存儲(chǔ)區(qū)能夠得到正確保護(hù),避免產(chǎn)生泄露問題。由于任務(wù)面向群體存在差異,因此操作系統(tǒng)需要同時(shí)執(zhí)行機(jī)密與非機(jī)密任務(wù)。若未達(dá)到保密、完整原則,便容易導(dǎo)致相關(guān)信息出現(xiàn)混淆問題,容易引發(fā)惡意篡改或敏感數(shù)據(jù)泄露現(xiàn)象。因此,操作系統(tǒng)需要實(shí)現(xiàn)保密與完整特性,確保相關(guān)要求得到正確落實(shí)。
1.3可控占有
可控與占有性屬于操作系統(tǒng)的基礎(chǔ)要求之一,在正常應(yīng)用環(huán)境下,信息的傳遞需要正確進(jìn)行控制,才能夠達(dá)到理想執(zhí)行標(biāo)準(zhǔn)。若該流程可控性不足,可能會(huì)導(dǎo)致操作系統(tǒng)無法正常響應(yīng)用戶需求,最終引發(fā)意外情況。占有要求則屬于用戶的獨(dú)立操作特征之一,通過維持操作系統(tǒng)獨(dú)占狀態(tài),能夠使授權(quán)用戶在理想條件下執(zhí)行多種任務(wù),保證相關(guān)請求得到充分、隨時(shí)響應(yīng),提高工作效率與質(zhì)量。
2 計(jì)算機(jī)操作系統(tǒng)的安全困境
2.1系統(tǒng)安全困境
目前,計(jì)算機(jī)操作系統(tǒng)普遍面臨安全困境問題,需要采取有效加固措施進(jìn)行處理。系統(tǒng)漏洞屬于安全困境的典型表現(xiàn),在操作系統(tǒng)設(shè)計(jì)過程中,其需要基于程序語言構(gòu)建內(nèi)核與應(yīng)用服務(wù)。但是,由于程序本身存在的局限特征,整體構(gòu)架往往會(huì)出現(xiàn)一些漏洞問題,導(dǎo)致執(zhí)行流程不標(biāo)準(zhǔn)或出現(xiàn)敏感數(shù)據(jù)泄露、任務(wù)處理不當(dāng)?shù)痊F(xiàn)象。在這種情況下,黑客等違法分子可能會(huì)通過技術(shù)手段挖掘操作系統(tǒng)漏洞,并設(shè)計(jì)相關(guān)工具,通過漏洞入侵系統(tǒng)內(nèi)部,進(jìn)而實(shí)現(xiàn)獲取敏感信息或破壞勒索的最終目標(biāo)[1]。除此之外,人為設(shè)計(jì)的計(jì)算機(jī)病毒、木馬、蠕蟲等也可以利用系統(tǒng)漏洞,繼而實(shí)現(xiàn)內(nèi)部權(quán)限提升或遠(yuǎn)程代碼注入等非法目標(biāo),最終導(dǎo)致用戶承受不必要的損失。因此,需要重視計(jì)算機(jī)操作系統(tǒng)在應(yīng)用階段存在的漏洞問題,確保加固技術(shù)可以得到正確部署,使漏洞負(fù)面影響控制在最低范圍內(nèi),提高整體安全級別。
2.2程序安全困境
操作系統(tǒng)本質(zhì)上由多種程序共同構(gòu)成,這些程序的執(zhí)行目標(biāo)各不相同,其中一部分屬于底層執(zhí)行邏輯,需要負(fù)責(zé)與硬件設(shè)備進(jìn)行交互。同時(shí),另一部分主要面向用戶界面,為操作人員提供多種基礎(chǔ)功能,如移動(dòng)文件、執(zhí)行計(jì)算程序、連接互聯(lián)網(wǎng)等。這些程序共同構(gòu)成了操作系統(tǒng)體系,因此如果其出現(xiàn)安全問題,便會(huì)導(dǎo)致操作系統(tǒng)安全性下降,容易出現(xiàn)不良現(xiàn)象。例如,用戶程序出錯(cuò)可能會(huì)導(dǎo)致CPU陷入死鎖狀態(tài),迫使用戶重新啟動(dòng)系統(tǒng)[2]。在服務(wù)器等架構(gòu)中,重新啟動(dòng)需要消耗大量時(shí)間,同時(shí)還會(huì)導(dǎo)致服務(wù)中斷,容易造成經(jīng)濟(jì)損失問題。內(nèi)核程序一旦出現(xiàn)安全問題,便會(huì)嚴(yán)重削弱操作系統(tǒng)實(shí)際防范效果,有可能引發(fā)擴(kuò)大化故障等現(xiàn)象,威脅用戶文件與信息安全。
2.3數(shù)據(jù)安全困境
操作系統(tǒng)需要依靠數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)完成信息的轉(zhuǎn)移與處理,這一結(jié)構(gòu)也可以稱之為數(shù)據(jù)庫。在實(shí)際應(yīng)用過程中,數(shù)據(jù)庫安全性會(huì)直接關(guān)聯(lián)用戶實(shí)際體驗(yàn)。若操作系統(tǒng)未采取可靠加固措施,便有可能導(dǎo)致數(shù)據(jù)庫遭到非法訪問或破壞,最終引發(fā)不必要的損失出現(xiàn)。例如,未正確設(shè)置權(quán)限訪問系統(tǒng),便會(huì)導(dǎo)致用戶文件直接暴露在常規(guī)環(huán)境下,能夠被程序隨意修改。一旦計(jì)算機(jī)環(huán)境內(nèi)出現(xiàn)勒索病毒,便會(huì)導(dǎo)致用戶數(shù)據(jù)庫被全面加密,最終造成不可預(yù)見的損失。
3 計(jì)算機(jī)操作系統(tǒng)的安全加固技術(shù)
3.1WINDOWS系統(tǒng)平臺(tái)
3.1.1檢查系統(tǒng)版本與漏洞
WINDOWS平臺(tái)安全加固需要從多方面入手,確保其運(yùn)行可靠性能夠符合實(shí)際需求。相對于LINUX平臺(tái),WINDOWS對于安全更新的需求較高,同時(shí)新版本系統(tǒng)也會(huì)加入全新特性,使加固效果得到重要保障。因此,在實(shí)際操作階段應(yīng)當(dāng)針對系統(tǒng)版本與更新情況進(jìn)行檢查,及時(shí)發(fā)現(xiàn)并下載安裝相關(guān)內(nèi)容,實(shí)現(xiàn)理想加固目標(biāo)。檢查操作可通過管理員模式運(yùn)行winver命令,判斷操作系統(tǒng)版本是否與當(dāng)前最新版本號一致[3]。若版本號過低,則應(yīng)當(dāng)及時(shí)運(yùn)行系統(tǒng)更新,通過自動(dòng)化方式完成檢查與安裝,并及時(shí)重啟系統(tǒng)平臺(tái),確保補(bǔ)丁能夠正常生效。
3.1.2重視審計(jì)信息對比與加固
審計(jì)信息加固屬于WINDOWS平臺(tái)較為關(guān)鍵的技術(shù)之一,通常情況下其信息內(nèi)容包括密碼登錄狀態(tài)、賬號鎖定情況、審核實(shí)際應(yīng)用方案、日志文件大小、用戶權(quán)限管理與安全選項(xiàng)設(shè)定等多個(gè)基礎(chǔ)部分。加固過程中,應(yīng)當(dāng)針對密碼與賬號進(jìn)行鎖定處理。這些操作可以通過組策略體系進(jìn)行,通過在管理員模式下運(yùn)行g(shù)pedit.msc,可以打開組策略設(shè)定界面。在界面中應(yīng)當(dāng)設(shè)置賬號與密碼鎖定選項(xiàng),并針對審核策略進(jìn)行規(guī)劃,包括登陸時(shí)間、對象訪問、操作流程追蹤等。同時(shí),除組策略外還需要進(jìn)入事件查看器,定期對日志內(nèi)容進(jìn)行對照檢查,及時(shí)發(fā)現(xiàn)可能存在的入侵問題。對比過程應(yīng)當(dāng)根據(jù)應(yīng)用程序與安全日志模塊展開分析,確保系統(tǒng)得到充分加固。除此之外,本地策略需要針對暫??臻e時(shí)間、交互式登錄等環(huán)節(jié)進(jìn)行設(shè)置,確保敏感信息能夠得到充分保護(hù),避免出現(xiàn)意外泄露問題,提高對外界登錄的審核力度。例如,修改交互式登錄環(huán)節(jié)必須按下CTRL鍵、ALT鍵、DEL鍵以實(shí)現(xiàn)確認(rèn)處理[4]。通過這種方式,能夠避免遠(yuǎn)程登錄模擬鍵盤等特殊入侵方式威脅系統(tǒng)安全,具有加固系統(tǒng)的重要作用。
3.1.3針對系統(tǒng)服務(wù)進(jìn)行加固
相對于LINUX系統(tǒng)平臺(tái)而言,WINDOWS服務(wù)體系屬于功能較為豐富、應(yīng)用范圍廣泛的特性之一。但是,服務(wù)體系中存在一些無用服務(wù),不僅無法為用戶提供便利,同時(shí)還會(huì)導(dǎo)致不必要的風(fēng)險(xiǎn)產(chǎn)生。因此,在系統(tǒng)加固階段應(yīng)當(dāng)針對服務(wù)進(jìn)行技術(shù)性處理,確保不必要服務(wù)得到禁用,提高系統(tǒng)安全性。操作階段,可以在管理員模式下運(yùn)行WINDOWS POWERSHELL,并輸入net start命令檢查當(dāng)前處于運(yùn)行狀態(tài)下的服務(wù)。針對不必要的服務(wù)可以在服務(wù)控制界面禁用,如DHCP CLIENT、REMOTE REGISTRY等。這些服務(wù)面向網(wǎng)絡(luò)模塊,容易產(chǎn)生漏洞問題,同時(shí)用戶通常不會(huì)涉及相關(guān)功能,因此可以在加固過程中予以禁用。
3.1.4加固注冊表模塊
注冊表屬于WINDOWS操作系統(tǒng)的核心模塊之一,其同樣需要采取加固技術(shù)進(jìn)行處理,以確保安全性達(dá)到基礎(chǔ)標(biāo)準(zhǔn)。在加固注冊表項(xiàng)的過程中,可以結(jié)合系統(tǒng)版本情況應(yīng)用相關(guān)處理方式,避免出現(xiàn)版本不一致導(dǎo)致的偏差問題。例如,在WINDOWS 7及以上版本中,CD自動(dòng)運(yùn)行功能已經(jīng)得到了完善,通常安全風(fēng)險(xiǎn)較低。而在WINDOWS XP及以下版本中,CD自動(dòng)運(yùn)行會(huì)直接讀取相關(guān)配置文件,容易導(dǎo)致病毒或木馬進(jìn)入系統(tǒng)內(nèi)存,影響基礎(chǔ)安全性。因此,在加固注冊表項(xiàng)時(shí)需要結(jié)合系統(tǒng)版本進(jìn)行設(shè)置,確保相關(guān)項(xiàng)目能夠得到正確處理。
3.2LINUX系統(tǒng)平臺(tái)
3.2.1檢查內(nèi)核更新
LINUX系統(tǒng)更新需求相對較低,其更加注重運(yùn)行穩(wěn)定性與長期可靠性。但是,部分涉及到內(nèi)核的安全漏洞仍然會(huì)對系統(tǒng)平臺(tái)造成威脅,因此在加固過程中需要針對LINUX內(nèi)核版本進(jìn)行檢查,并結(jié)合技術(shù)新聞分析是否存在致命漏洞。LINUX檢查指令可采用lsb_release -a方式分析發(fā)行版本,或采用uname -a檢查內(nèi)核版本狀態(tài),確保后續(xù)更新活動(dòng)能夠正常進(jìn)行,完成系統(tǒng)加固。
3.2.2加固賬號管理
LINUX操作系統(tǒng)對于用戶權(quán)限的管控較為嚴(yán)格,在被入侵的條件下,不法分子往往需要首先建立超級管理員賬戶以取得控制權(quán)。因此加固過程中技術(shù)人員需要利用命令或查看方式,檢查/etc/passwd文件內(nèi)root權(quán)限是否處于唯一狀態(tài),同時(shí)對照分析是否存在不必要的賬戶,為后續(xù)加固提供重要支持[5]。
3.2.3加固權(quán)限訪問
訪問控制加固屬于LINUX平臺(tái)較為關(guān)鍵的安全技術(shù)處理之一,在實(shí)際操作過程中,技術(shù)人員應(yīng)當(dāng)利用umask命令對系統(tǒng)內(nèi)部數(shù)值進(jìn)行對比,分析其是否符合0022,。同時(shí),還應(yīng)當(dāng)檢查系統(tǒng)內(nèi)部用戶組狀態(tài),分析是否存在被異常刪除的用戶組。為確保訪問能夠符合實(shí)際應(yīng)用需求,本地環(huán)境下的LINUX平臺(tái)需要禁止root權(quán)限用戶進(jìn)行遠(yuǎn)程登錄,以確保系統(tǒng)能夠得到充分加固。同時(shí),系統(tǒng)內(nèi)部關(guān)鍵文件應(yīng)當(dāng)保證訪問權(quán)限處于644或600狀態(tài),防止其遭到非法修改。為貫徹落實(shí)加固目標(biāo),LINUX操作系統(tǒng)主機(jī)應(yīng)當(dāng)避免與其它主機(jī)建立信任關(guān)系。因此技術(shù)人員需要檢查系統(tǒng)內(nèi)是否存在信任文件,如host.equiv等,并保證其內(nèi)容處于空白狀態(tài),確保系統(tǒng)安全穩(wěn)定性符合基礎(chǔ)需求。
3.2.4加固服務(wù)與關(guān)鍵目錄
LINUX系統(tǒng)服務(wù)同樣需要進(jìn)行加固處理,通過應(yīng)用chkconfig --list命令,可以直接檢查LINUX系統(tǒng)內(nèi)部服務(wù)運(yùn)行狀態(tài)。在對比實(shí)際需要的服務(wù)后,即可禁用其它服務(wù)進(jìn)程,使系統(tǒng)得到充分加固。除此之外,LINUX還應(yīng)當(dāng)針對文件目錄進(jìn)行加固處理。技術(shù)人員可以針對/tmp與/var目錄設(shè)置占粘滯位,避免未經(jīng)授權(quán)的用戶意外刪除相關(guān)內(nèi)容,提高系統(tǒng)加固效果。
3.3平臺(tái)通用
3.3.1訪問控制技術(shù)
在操作系統(tǒng)安全加固體系中,訪問控制屬于較為常用的技術(shù)方案之一。通常情況下,訪問控制主要分為兩種基礎(chǔ)策略,即自主與強(qiáng)制。自主策略操作主體,即用戶可以對資源訪問進(jìn)行設(shè)定,并規(guī)范其它主體實(shí)際權(quán)限。這一策略在NT內(nèi)核與UNIX內(nèi)核操作系統(tǒng)中均得到了廣泛應(yīng)用,但其管理權(quán)限相對較為分散,容易產(chǎn)生信息泄露問題,因此需要通過進(jìn)一步改進(jìn)方式,使其加固效果能夠得到顯著提升[6]。強(qiáng)制策略通過預(yù)先規(guī)定資源訪問權(quán)限與主體,使加固安全性可以充分發(fā)揮。這一規(guī)定通常由超級管理員執(zhí)行,因此即使操作系統(tǒng)被感染,通常也不會(huì)對數(shù)據(jù)內(nèi)容造成損害。但是,強(qiáng)制策略相對于自主式存在一定程度的局限性,應(yīng)當(dāng)結(jié)合實(shí)際情況條件進(jìn)行應(yīng)用。
3.3.2可信計(jì)算技術(shù)
可信計(jì)算技術(shù)屬于當(dāng)前較為新穎的應(yīng)用方案之一,其能夠有效替代傳統(tǒng)加固體系中存在的數(shù)據(jù)處理策略,有利于保障信息安全,提高系統(tǒng)加固效果。通過在處理器內(nèi)集成可信計(jì)算芯片,即TPM芯片、A-TPM芯片,能夠有效解決數(shù)據(jù)在敏感內(nèi)存區(qū)域出現(xiàn)泄露的問題,可以強(qiáng)化安全防護(hù)效果,為關(guān)鍵任務(wù)執(zhí)行提供可信空間[7]。通過應(yīng)用可信計(jì)算方案,操作系統(tǒng)可以在保護(hù)指定區(qū)內(nèi)存儲(chǔ)數(shù)據(jù)或處理數(shù)據(jù),防止物理環(huán)境或用戶環(huán)境進(jìn)行干涉。同時(shí),其還能夠賦予計(jì)算平臺(tái)特殊執(zhí)行代碼,用于標(biāo)識(shí)該任務(wù)在未經(jīng)篡改環(huán)境內(nèi)運(yùn)行,能夠?yàn)閺S商或用戶提供更為多元化的執(zhí)行途徑。因此,可信計(jì)算技術(shù)屬于較為關(guān)鍵的系統(tǒng)加固方案,未來應(yīng)當(dāng)進(jìn)一步推廣相關(guān)體系,確保操作系統(tǒng)得到充分加固。
4 結(jié)束語
綜上所述,計(jì)算機(jī)操作系統(tǒng)可以采取多種安全加固技術(shù)方案,使內(nèi)在薄弱環(huán)節(jié)或漏洞問題得到有效處理,盡可能降低意外情況出現(xiàn)概率,保障用戶信息或任務(wù)安全。因此,需要重視相關(guān)技術(shù)的應(yīng)用,確保其能夠得到科學(xué)部署,實(shí)現(xiàn)理想加固目標(biāo)。
參考文獻(xiàn):
[1]莫懷海.操作系統(tǒng)安全加固技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2019(3):2.
[2]吳宇佳,黃克敏,徐偉.Windows安全應(yīng)急響應(yīng)方法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2020(6):3.
[3]李葳.WindowsServer2019操作系統(tǒng)安全配置與系統(tǒng)加固探討[J].數(shù)字技術(shù)與應(yīng)用,2019,37(07):191-193.
[4]李墨泚、趙華容、陳宇飛.基于可信計(jì)算的操作系統(tǒng)加固技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2020(11):4.
[5]肖堃,金宙賢.多操作系統(tǒng)拓?fù)渚W(wǎng)絡(luò)潛在多步攻擊實(shí)時(shí)檢測[J].計(jì)算機(jī)仿真,2020,37(12):5.
[6]廖婷.云計(jì)算環(huán)境下的計(jì)算機(jī)安全理論與實(shí)踐分析——評《計(jì)算機(jī)安全:原理與實(shí)踐》[J].安全與環(huán)境學(xué)報(bào),2020,20(2):1.
[7]李賀,張超,楊鑫,等.操作系統(tǒng)內(nèi)核模糊測試技術(shù)綜述[J].小型微型計(jì)算機(jī)系統(tǒng),2019,40(9):6.