桌面操作系統(tǒng)平臺的安全性

1、桌面操作系統(tǒng)平臺的安全性在安全層次模型中，桌面操作系統(tǒng)的安全性屬于系統(tǒng)級安全的范疇。桌面操作系統(tǒng)向上為文件、目錄、網(wǎng)絡(luò)和群件系統(tǒng)等提供底層的安全保障平臺。桌面操作系統(tǒng)中的安全缺陷和安全漏洞，往往會造成嚴(yán)重的后果。因此，安全機制是桌面操作系統(tǒng)的一個重要組成部分；平臺的安全級別是對其性能進(jìn)行評估的一個重要指標(biāo)。本文將闡述桌面操作系統(tǒng)中常見的安全問題、安全性設(shè)計的主要原則和安全服務(wù)的主要內(nèi)容。一、桌面操作系統(tǒng)中常見的安全問題對提供網(wǎng)絡(luò)服務(wù)的系統(tǒng)平臺來說，安全性問題主要體現(xiàn)在網(wǎng)絡(luò)通信安全、網(wǎng)絡(luò)非法入侵等方面。但是，桌面操作系統(tǒng)所面對的安全問題和任務(wù)則不大一樣。關(guān)于桌面操作系統(tǒng)的安全，主要考慮的有如下幾

2、個：（1）惡意程序的威脅。包括病毒、邏輯炸彈、后門、特洛伊木馬等等。（2）不合法使用。包括合法用戶在未授權(quán)使用某些數(shù)據(jù)、資源或程序的情況下越過系統(tǒng)的安全檢查而越權(quán)訪問；或者雖然屬合法授權(quán)，但有意或無意地錯誤使用某些功能而導(dǎo)致重要信息失密。（3）惡意入侵者。他們的主要目的是竊取數(shù)據(jù)和非法修改系統(tǒng)。（4）應(yīng)用程序的安全性。系統(tǒng)應(yīng)監(jiān)督應(yīng)用程序使用數(shù)據(jù)或資源權(quán)限的合法性。程序的執(zhí)行還應(yīng)該采用“最小特權(quán)”原則，即程序應(yīng)按照它能做事的最小權(quán)限運行，否則就有可能被人利用。（ 5）數(shù)據(jù)的安全性。機密數(shù)據(jù)如果沒有保存在安全的空間內(nèi)，或者數(shù)據(jù)的加密處理不夠規(guī)范和健壯，也可能帶來安全問題。二、安全性設(shè)計的原則針對桌

3、面操作系統(tǒng)平臺的安全性設(shè)計，Saltzer和Schroeder提出了一些基本原則：（ 1）系統(tǒng)設(shè)計必須公開。認(rèn)為入侵者由于不知道系統(tǒng)的工作原理而會減少入侵可能性的想法是錯誤的，這樣只能迷惑管理者。（ 2）默認(rèn)情況應(yīng)是拒絕訪問。合法訪問被拒絕的情況比未授權(quán)訪問被允許的情況更容易獲知。（ 3）檢查操作的當(dāng)前授權(quán)信息。系統(tǒng)不應(yīng)只檢查訪問是否允許，然后只根據(jù)第一次的檢查結(jié)果而不理會后續(xù)的操作。（ 4）為每個進(jìn)程賦予可能的最小權(quán)限。每個進(jìn)程只應(yīng)當(dāng)具備完成其特定功能的最小權(quán)限。（ 5）保護(hù)機制必須簡單、一致并建立到系統(tǒng)底層。系統(tǒng)的安全性和系統(tǒng)的正確性一樣，不應(yīng)當(dāng)是一種附加特性，而必須建立到系統(tǒng)底層而成為系

4、統(tǒng)固有的特性。6）方案必須是心理上可接收的。如果用戶感覺到為保護(hù)自己的文件而必須做這做那的話，用戶就會有厭煩心理，并且可能因僥幸心理而不會利用所提供的方案保護(hù)數(shù)據(jù)。三、桌面操作系統(tǒng)的安全服務(wù)與提供網(wǎng)絡(luò)服務(wù)的系統(tǒng)不同，桌面操作系統(tǒng)的安全服務(wù)主要包括如下兩個方面：（ 1）用戶管理的安全性。首先，是用戶帳號的管理。其次，是用戶口令的加密機制。用戶口令的加密算法必須有足夠的安全強度，用戶的口令存放必須安全，不能被輕易竊取。最后，是認(rèn)證機制。（ 2）訪問控制。訪問控制實質(zhì)上是對資源使用的限制，它決定主體是否被授權(quán)對客體執(zhí)行某種操作。用戶訪問系統(tǒng)資源或執(zhí)行程序時，系統(tǒng)應(yīng)該先進(jìn)行合法性檢查，沒有得到授權(quán)的用

5、戶的訪問或執(zhí)行請求將被拒絕。系統(tǒng)還要對訪問或執(zhí)行的過程進(jìn)行監(jiān)控，防止用戶越權(quán)。程序的執(zhí)行也應(yīng)該受到監(jiān)控。程序執(zhí)行應(yīng)遵循“最小”特權(quán)原則。四、用戶身份認(rèn)證用戶身份認(rèn)證通常采用帳號/密碼的方案。用戶提供正確的帳號和密碼后，系統(tǒng)才能確認(rèn)他的合法身份。不同的系統(tǒng)內(nèi)部采用的認(rèn)證機制和過程一般是不同的。帳號/密碼的認(rèn)證方案普遍存在著安全的隱患和不足之處：（ 1）認(rèn)證過程的安全保護(hù)不夠健壯，登錄的步驟沒有做集成和封裝，暴露在外，容易受到惡意入侵者或系統(tǒng)內(nèi)特洛伊木馬的干擾或者截取。（ 2）密碼的存放與訪問沒有嚴(yán)格的安全保護(hù)。（ 3）認(rèn)證機制與訪問控制機制不能很好地相互配合和銜接，使得通過認(rèn)證的合法用戶進(jìn)行有意

6、或無意的非法操作的機會大大增加。為此，Windows2000對身份認(rèn)證機制做了重大的改進(jìn)，引入了新的認(rèn)證協(xié)議。Window2000除了為向下兼容提供了對NTLM驗證協(xié)議的支持以外（作為桌面平臺使用時），還增加了KerberosV5和TLS作為分布式的安全性協(xié)議。它支持對smartcards的使用，這提供了在密碼基礎(chǔ)之上的一種交互式的登錄。Smartcards支持密碼系統(tǒng)和對私有密鑰和證書的安全存儲。Kerberos客戶端的運行時刻是通過一個基于SSPI的安全性接口來實現(xiàn)的，客戶Kerberos驗證過程的初始化集成到了WinLogon單一登錄的結(jié)構(gòu)中。五、總結(jié)桌面操作系統(tǒng)的安全機制主要體現(xiàn)在身份認(rèn)證和訪問控制兩個方面。身份認(rèn)證是要保證合法的用戶使用系統(tǒng)，防止非法侵入。訪問控制是要保證授權(quán)和受控地訪問和使用系統(tǒng)資源。常用的桌面操作系統(tǒng)有Linux和WindowsNT。Linux作為UNIX克隆，采用的是UNIX在安全性方面成功的技術(shù)，是經(jīng)受了近20年考驗的技術(shù)。盡管有一些安全漏洞，但因為設(shè)計上的開放性，這些漏洞能夠在很快的時間內(nèi)發(fā)現(xiàn)并得到解決方案。相比起來，雖然WindowsNT采用的ACL技術(shù)更加復(fù)雜和嚴(yán)密，但因為其密碼加密步驟過于簡單，它的密碼容易被破解。安全性設(shè)計上的不公開性，也導(dǎo)致可