《計(jì)算機(jī)操作系統(tǒng)原理－Linux實(shí)例分析》課件第8章

第8章操作系統(tǒng)的安全性8.1安全操作系統(tǒng)的必要性8.2我國安全操作系統(tǒng)所面臨的問題

8.3惡意程序防御機(jī)制8.4安全操作系統(tǒng)設(shè)計(jì)8.5安全操作系統(tǒng)的關(guān)鍵問題8.6安全發(fā)展對策8.7Linux系統(tǒng)下安全機(jī)制的管理

習(xí)題八

8.1安全操作系統(tǒng)的必要性

隨著互聯(lián)網(wǎng)的普及，當(dāng)前的計(jì)算機(jī)系統(tǒng)受到各種嚴(yán)重的威脅，對抗各種威脅的手段也進(jìn)入實(shí)用化階段。但是，這些手段并不完善，有些是治標(biāo)不治本的。下面僅以普通的操作系統(tǒng)難以對抗的典型威脅，分析現(xiàn)在所利用的防護(hù)工具的不可靠性，從而說明安全操作系統(tǒng)的必要性和有效性。8.1.1針對操作系統(tǒng)的典型威脅

1)木馬

所謂木馬，是潛伏在計(jì)算機(jī)內(nèi)，進(jìn)行破壞數(shù)據(jù)、竊取文件等活動(dòng)的偽裝程序。由于木馬像正常的程序，一般的用戶很難覺察到木馬的活動(dòng)。下面，以在辦公軟件里潛伏木馬的情況，從泄露信息的角度來分析木馬的強(qiáng)大威脅性。假如用戶A建立屬“秘密”信息的文件X，并具有讀、寫權(quán)。用戶B建立屬“普通”信息的文件Y，并具有讀、寫權(quán)。用戶B不能訪問文件X，但用戶A對文件Y具有讀、寫權(quán)。通常，只要實(shí)現(xiàn)任意訪問控制(DAC)，由于用戶B不能訪問文件X，也就不會泄露信息。但是，如果辦公軟件被植入木馬，用戶A在讀文件X時(shí)，由于用戶A對文件X和Y都有寫權(quán)限，木馬就趁機(jī)把文件X復(fù)制到文件Y里去。本來用戶B不能訪問秘密信息，但可以訪問文件Y，這樣，用戶B也可以訪問秘密信息，導(dǎo)致信息的泄密。這就是19世紀(jì)70年代美軍最擔(dān)心的事態(tài)。

2)緩沖器溢出(提升權(quán)限，奪取管理員權(quán)限)

在程序里，經(jīng)常有“Bug”的安全漏洞。而大部分這些“Bug”最容易在主要OS程序設(shè)計(jì)語言C和C++里出現(xiàn)。

通常在程序運(yùn)行時(shí)，有必要在存儲器準(zhǔn)備緩沖區(qū)存放程序?qū)嵭袝r(shí)的臨時(shí)數(shù)據(jù)。因此，程序員根據(jù)程序的大小準(zhǔn)備緩沖器的容量。但是，由于其他原因，進(jìn)入緩沖器的數(shù)據(jù)超過緩沖器的容量時(shí)，就會造成緩沖器溢出，溢出的數(shù)據(jù)就會被寫到其他的緩沖器里，程序就無法控制。這種現(xiàn)象稱為緩沖器溢出。不懷好意的第三者利用這種現(xiàn)象進(jìn)行攻擊的叫緩沖器溢出攻擊。攻擊者利用溢出改寫數(shù)據(jù)，并編寫非法程序，可代替原來的程序，變成惡意程序。假如原程序是在管理員權(quán)限下實(shí)行的，攻擊者編制的程序也可在管理員權(quán)限下實(shí)行，于是，計(jì)算機(jī)就處于被持劫的狀態(tài)。

3)內(nèi)部人員威脅

信息的泄密大多數(shù)是來自內(nèi)部的用戶。因?yàn)樵谝话愕牟僮飨到y(tǒng)里，擁有超級用戶權(quán)限的雇員可以不受限制地訪問系統(tǒng)里最機(jī)密、最有價(jià)值的數(shù)據(jù)。一般用戶也可以在授予他的訪問范圍內(nèi)進(jìn)行不法操作。一般來說，內(nèi)部用戶比較容易掌握系統(tǒng)內(nèi)的信息和數(shù)據(jù)，甚至可輕易地把惡意程序代碼放進(jìn)系統(tǒng)里。因此，就算沒有外部入侵，來自內(nèi)部對公司不滿的員工或正準(zhǔn)備離職的員工就有可能改變程序的實(shí)行權(quán)限和奪取系統(tǒng)超級用戶權(quán)限。

另外，在一般的操作系統(tǒng)里，只要有管理員權(quán)限，就可通過修改系統(tǒng)的日志文件以達(dá)到消除內(nèi)部犯罪證據(jù)的目的。8.1.2現(xiàn)有防護(hù)方法及其不足

1)防火墻

防火墻是為了防止利用網(wǎng)絡(luò)從外部入侵的系統(tǒng)。它檢查來自外部的通信源和通信目的地的IP地址以及端口，決定是否允許訪問。它可以把不必要的通信屏蔽，但不知道被允許訪問的通信內(nèi)容是什么。例如，來自對外部公開的WEB服務(wù)器的HTTP訪問被允許后，就無法防止第三方利用該服務(wù)進(jìn)行攻擊。

2)入侵檢測系統(tǒng)(IDS)

IDS是對網(wǎng)絡(luò)中的通信包以及服務(wù)器的日志進(jìn)行監(jiān)視，檢測是否有入侵行為的系統(tǒng)。它分為利用已知的非法訪問模式進(jìn)行非法檢測和利用以往的記錄進(jìn)行異常檢測。雖然入侵檢測系統(tǒng)有一定的作用，但免不了誤檢和漏檢，而且其對未知的入侵方式不能檢測。因此只靠IDS來防護(hù)是不夠的。

3)加密

為防止通信內(nèi)容被偷聽，從古時(shí)候開始人們就已經(jīng)利用了密碼技術(shù)。在近代，如WindowsXP等采用的NTFS文件系統(tǒng)里，可以對文件及目錄加密后保存在硬盤里。這樣，重要的信息萬一被傳到系統(tǒng)外，由于經(jīng)過加密，可以防止被其他人看見。但是，加密并非是萬全之策。因?yàn)闊o論是加密還是解密都是由程序來實(shí)現(xiàn)的，程序同樣存在被修改和破解的風(fēng)險(xiǎn)，而且就算文件和目錄加密后別人看不到，但也不能防止其對該文件和目錄的改動(dòng)和刪除。

4)補(bǔ)丁

所謂補(bǔ)丁，是指把修改程序內(nèi)容集中在一起的文件。通過對原程序打補(bǔ)丁可以修正原來程序的錯(cuò)誤。一般軟件發(fā)現(xiàn)有錯(cuò)誤或存在安全漏洞后才開始開發(fā)，而其開發(fā)和發(fā)行又需要一定時(shí)間，因此若在此時(shí)利用安全漏洞進(jìn)行攻擊，系統(tǒng)就無法受到保護(hù)。從上述分析可知，一般的操作系統(tǒng)和現(xiàn)有的防護(hù)技術(shù)不能防止不法訪問，也不能阻止內(nèi)部具有管理權(quán)限的用戶的犯罪行為。如果采用上述BLP模式的強(qiáng)制訪問控制，盡管用戶A對文件X有讀寫權(quán)，只要把文件X定為“秘密”，把文件Y定為“普通”，文件X就不可能被復(fù)制到文件Y去，被植入的木馬就不能達(dá)到其目的。在安全操作系統(tǒng)里，由于管理員的權(quán)限是分散的，萬一某管理員的權(quán)限被黑客奪取，受害可以控制在小范圍內(nèi)。另外，由于限制各種程序或軟件的權(quán)限，就算某程序存在安全漏洞，受害也是有限的。

在安全操作系統(tǒng)里，對用戶分配相應(yīng)的角色并授予必要的最小權(quán)限，可以減少來自內(nèi)部人員的威脅。

因此，采用萬一被入侵也不受損失或可以把損失減到最小的、具有細(xì)粒度訪問控制的安全操作系統(tǒng)是必要的，而且是有效的。

8.2我國安全操作系統(tǒng)所面臨的問題

信息安全框架的構(gòu)造如果只停留在網(wǎng)絡(luò)防護(hù)的層面上，而忽略了操作系統(tǒng)內(nèi)核安全這一基本要素，就如同將堅(jiān)固的堡壘建立在沙丘之上，安全隱患極大。長期以來，我國廣泛應(yīng)用的主流操作系統(tǒng)都是從國外引進(jìn)直接使用的產(chǎn)品。從國外引進(jìn)的操作系統(tǒng)，其安全性難以令人放心。Windows中存在著漏洞和陷門，不斷引起世界性的“沖擊波”和“振蕩波”等安全事件，如果在電子政務(wù)等要害部門使用，將存在極大風(fēng)險(xiǎn)。以Linux為代表的國際自由軟件的發(fā)展為我國發(fā)展具有自主版權(quán)的系統(tǒng)軟件提供了良好的機(jī)遇。但并不是說，Linux等開源操作系統(tǒng)就可以解決我國目前對于安全操作系統(tǒng)的要求。我國在安全操作系統(tǒng)方面已經(jīng)開展了一些工作，但是缺乏理論基礎(chǔ)，也就是缺乏對安全模型和安全評估準(zhǔn)則的深入研究，使得安全操作系統(tǒng)方案缺乏整體性。目前國內(nèi)基本上都是利用國外的技術(shù)甚至是部分源代碼，根據(jù)市場需要自己組合成的操作系統(tǒng)，這種系統(tǒng)不具有我們的自主版權(quán)。以Linux為代表的國際自由軟件的發(fā)展為我國發(fā)展具有自主版權(quán)的系統(tǒng)軟件提供了良好的機(jī)遇。但是Linux的內(nèi)核設(shè)計(jì)缺乏模塊化，從而導(dǎo)致基于Linux平臺研制安全操作系統(tǒng)的做法缺乏科學(xué)的安全模型支持。同時(shí)，根據(jù)自由軟件協(xié)議(GPL)，任何基于自由軟件的源代碼必須公開。就安全性而言，非開放源碼的操作系統(tǒng)是個(gè)黑盒子，而一個(gè)源代碼公開的系統(tǒng)像是一個(gè)玻璃盒子，這恐怕也沒法讓人安心。8.2.1目前常見的攻擊者

當(dāng)今的數(shù)字世界，各種違背安全原則的情況隨處可見，泄密、破壞等犯罪事件對信息安全、經(jīng)濟(jì)安全甚至國家安全產(chǎn)生越來越嚴(yán)重的影響。隨著信息化的深入，安全問題已從以前的高深理論變成了擺到普通公務(wù)員或公司職員面前的一個(gè)問題。

目前攻擊者主要分以下幾類：

●個(gè)人獵奇者；

●電腦黑客；

●惡意的內(nèi)部人員；

●商業(yè)間諜；●集團(tuán)犯罪；

●恐怖分子；

●國家情報(bào)及軍事機(jī)構(gòu)。

這些攻擊者利用各種攻擊手段和工具，對信息安全造成了非常大也非常實(shí)際的威脅和破壞。對各式各樣的數(shù)字威脅和攻擊，我們必須采取有力的安全機(jī)制進(jìn)行保護(hù)、防御和反應(yīng)(反擊)，但目前信息安全工作集中在應(yīng)用層及傳輸通信層，可以說，IT業(yè)界尚未重視操作系統(tǒng)對安全的重要作用。沒有操作系統(tǒng)的安全，信息的安全是“沙地上的城堡”。因此，采用國產(chǎn)的安全操作系統(tǒng)已成為電子信息安全工程的必然選擇。8.2.2病毒常見的攻擊目標(biāo)及對象

從第一個(gè)病毒出現(xiàn)開始，Windows操作系統(tǒng)就一直成為病毒攻擊的目標(biāo)，病毒的編寫技術(shù)也一直在更新?，F(xiàn)在的病毒攻擊性和發(fā)作性強(qiáng)，病毒和垃圾郵件編寫者還進(jìn)行了合作，對網(wǎng)絡(luò)安全以及用戶電腦造成了更大的威脅。

病毒的特征主要如下：

(1)傳染性：通過各種介質(zhì)和渠道，對已感染的電腦不停進(jìn)行破壞，同時(shí)對和電腦相連的其他電腦也進(jìn)行感染，尤其在網(wǎng)絡(luò)上感染速度更快。

(2)可執(zhí)行性：病毒也是一段代碼組成的程序，同樣可以單獨(dú)執(zhí)行。當(dāng)病毒發(fā)作，也就是病毒運(yùn)行的時(shí)候，就會對電腦的相關(guān)程序或者目標(biāo)進(jìn)行攻擊。

(3)可觸發(fā)性：病毒也是程序，可以自動(dòng)觸發(fā)或者是手動(dòng)觸發(fā)，可定期執(zhí)行或者在某一時(shí)間執(zhí)行，并且會感染正常的程序，在運(yùn)行程序的時(shí)候同時(shí)執(zhí)行。

(4)潛伏性：電腦病毒有時(shí)候并不是很明顯的，病毒會尋找一些比較深層的目錄或者文件夾，并且會隱藏在合法的文件夾內(nèi)，用戶可能并不會很快察覺，隱蔽性強(qiáng)。

(5)針對性：病毒所攻擊的目標(biāo)都是有針對性的，都是針對某一漏洞或者某一程序進(jìn)行感染。正因?yàn)檫@樣，病毒文件的大小才會很小。

針對Windows操作系統(tǒng)，病毒所攻擊的目標(biāo)通常包括以下方面：

(1)系統(tǒng)文件和可執(zhí)行文件。這類病毒屬于系統(tǒng)病毒，由于對系統(tǒng)文件進(jìn)行破壞，所以這類病毒的前綴多命名為Win32、PE、Win95、W32、W95等。此類病毒主要感染W(wǎng)indows的exe文件、dll文件以及其他類型的運(yùn)行程序。因?yàn)橄到y(tǒng)文件以及可執(zhí)行文件使用頻繁，所以病毒傳播很快。殺毒軟件依然是對此類病毒防范的最好工具。

(2)電子郵件。電子郵件傳播的蠕蟲病毒是大家聽得最多的病毒了，病毒前綴多為Worm。蠕蟲顧名思義就是能夠不停進(jìn)行感染，所以，這類病毒具有非?？膳碌墓粜ЧＦ涔舴秶容^廣泛，通過電子郵件傳播，同時(shí)，也感染系統(tǒng)文件和可執(zhí)行文件，并向外發(fā)送大量的垃圾郵件，使網(wǎng)絡(luò)阻塞。只要平時(shí)及時(shí)更新殺毒軟件的病毒庫，就不會輕易感染蠕蟲病毒。

(3)訪問網(wǎng)絡(luò)的程序。訪問網(wǎng)絡(luò)的程序提法比較籠統(tǒng)。但是，這些程序所感染的病毒也很廣泛，其中有木馬病毒和黑客病毒，木馬病毒其前綴是Trojan，黑客病毒前綴名一般為Hack。這類病毒和蠕蟲病毒一樣，傳播的時(shí)候先把本機(jī)感染，然后再傳播到網(wǎng)絡(luò)，感染別的電腦。我們常使用的OICQ軟件和網(wǎng)絡(luò)游戲就可能成為這兩個(gè)病毒的傳播者。OICQ軟件可以在通訊聊天的時(shí)候傳播不健康網(wǎng)站或者惡意網(wǎng)站，而對于網(wǎng)絡(luò)游戲，則可能造成游戲賬號的丟失。對于木馬病毒和黑客病毒，最好的防范工具是木馬監(jiān)視工具，比如木馬克星等軟件。

(4)腳本程序。腳本程序多使用在網(wǎng)頁中，其中，Java小程序以及ActiveX這兩個(gè)是使用最廣泛的。它通過網(wǎng)頁進(jìn)行傳播，這類腳本病毒的前綴是Script。由于在訪問網(wǎng)頁時(shí)腳本語言使用非常頻繁，因此，此類病毒傳播性很強(qiáng)，也很泛濫。

(5)宏病毒。宏病毒也屬于腳本病毒，但是因?yàn)樗腥镜哪繕?biāo)主要針對Office軟件，所以另外分出類來。宏病毒的前綴是Macro、Word、Word97、Excel、Excel97等。這類病毒主要感染Office系列的文檔，包括Word、Excel等。為了保護(hù)數(shù)據(jù)的安全，建議盡量把宏安全性提高到最高。另外，殺毒軟件里都有宏病毒的檢測，建議打開監(jiān)控。

(6)后門病毒。后門病毒其實(shí)并不是利用攻擊來達(dá)到目的的，主要是潛入系統(tǒng)，在適當(dāng)?shù)臅r(shí)候開啟某個(gè)端口或者服務(wù)，然后再利用其他工具進(jìn)行攻擊。后門病毒的前綴是Backdoor。在平時(shí)的使用過程中，我們應(yīng)該始終把防火墻打開，對端口進(jìn)行編輯，以便在訪問的時(shí)候，更清楚的知道自己電腦內(nèi)有哪些端口已被訪問。

(7)病毒種植傳播。種植的意思是利用一個(gè)程序來生成更多的程序，這類病毒就是這樣傳播的。在程序被打開的情況下，在內(nèi)存中自動(dòng)復(fù)制程序，并且拷貝到其他文件目錄下，感染更多的程序以及文件。后門病毒的前綴是Backdoor。這類病毒也屬于內(nèi)存病毒，不僅傳播病毒，而且占用很多的電腦資源，因此時(shí)常對內(nèi)存以及進(jìn)程文件進(jìn)行檢查也是個(gè)防毒的好方法。

(8)破壞性病毒。破壞性病毒所針對的攻擊目標(biāo)，主要是電腦的系統(tǒng)、硬盤或者其他硬件設(shè)備，而且會破壞系統(tǒng)文件，造成系統(tǒng)無法正常使用。如果是硬盤的話，會刪除文件、格式化硬盤。對于其他硬件設(shè)備，可能還會造成超頻，導(dǎo)致電腦硬件過熱而損壞電腦。破壞性程序病毒的前綴是Harm。這類病毒會造成很嚴(yán)重的后果。

(9)玩笑性病毒。玩笑性病毒只是一段開玩笑的代碼，它會出其不意地在用戶的電腦里運(yùn)行，并且和用戶開個(gè)玩笑，還可能會裝做破壞一些軟件或者程序來和用戶開玩笑，對電腦沒有實(shí)質(zhì)性破壞，只會開玩笑和影響正常的工作學(xué)習(xí)。玩笑病毒的前綴是Joke。

(10)程序捆綁病毒。把病毒和程序捆綁并不需要多大難度，只需要使用一個(gè)文件捆綁器，就可以把病毒文件和正常程序捆綁在一起，然后在運(yùn)行程序的時(shí)候就會不知不覺地運(yùn)行。程序捆綁病毒的前綴是Binder。程序所捆綁的病毒的文件都是很小的，這樣程序文件變化不會很大，所以一般是不會被發(fā)覺的。這種病毒經(jīng)常與常用軟件進(jìn)行捆綁，比如OICQ軟件、IE軟件等。8.2.3計(jì)算機(jī)網(wǎng)絡(luò)攻擊的常見手法

1)利用網(wǎng)絡(luò)系統(tǒng)漏洞進(jìn)行攻擊

許多網(wǎng)絡(luò)系統(tǒng)都存在著這樣那樣的漏洞，這些漏洞有可能是系統(tǒng)本身所有的，如WindowsNT、UNIX等都有數(shù)量不等的漏洞，也有可能是由于網(wǎng)管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測、系統(tǒng)入侵等攻擊。對于系統(tǒng)本身的漏洞，可以安裝軟件補(bǔ)丁。另外，網(wǎng)管也需要仔細(xì)工作，盡量避免因疏忽而使他人有機(jī)可乘。

2)通過電子郵件進(jìn)行攻擊

電子郵件是互聯(lián)網(wǎng)上運(yùn)用得十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量內(nèi)容重復(fù)、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。當(dāng)垃圾郵件的發(fā)送流量特別大時(shí)，還有可能造成郵件系統(tǒng)對于正常的工作反應(yīng)緩慢，甚至癱瘓，這一點(diǎn)和后面要講到的“拒絕服務(wù)攻擊”比較相似。對于遭受此類攻擊的郵箱，可以使用一些垃圾郵件清除軟件來解決，其中常見的有SpamEater、Spamkiller等，Outlook等收信軟件同樣也能達(dá)到此目的。

3)解密攻擊

在互聯(lián)網(wǎng)上，使用密碼是最常見并且最重要的安全保護(hù)方法，用戶時(shí)時(shí)刻刻都需要輸入密碼進(jìn)行身份校驗(yàn)。而現(xiàn)在的密碼保護(hù)手段大都認(rèn)密碼不認(rèn)人，只要有密碼，系統(tǒng)就會認(rèn)為你是經(jīng)過授權(quán)的合法用戶，因此，取得密碼也是黑客進(jìn)行攻擊的一重要手法。黑客獲取密碼有好幾種方法。一種是對網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行監(jiān)聽。因?yàn)橄到y(tǒng)在進(jìn)行密碼校驗(yàn)時(shí)，用戶輸入的密碼需要從用戶端傳送到服務(wù)器端，而黑客就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽。但一般系統(tǒng)在傳送密碼時(shí)都進(jìn)行了加密處理，即黑客所得到的數(shù)據(jù)中不會存在明文的密碼，這給黑客進(jìn)行破解又增加了一道難題。這種手法一般運(yùn)用于局域網(wǎng)，一旦成功攻擊者將會得到很大的操作權(quán)益。另一種解密方法就是使用窮舉法對已知用戶名的密碼進(jìn)行暴力解密。這種解密軟件會嘗試所有可能字符組成的密碼，但這項(xiàng)工作十分費(fèi)時(shí)，不過如果用戶的密碼設(shè)置得比較簡單，如“12345”、“ABC”等那有可能只需一眨眼的功夫就可完成解密。為了防止受到這種攻擊的危害，用戶在進(jìn)行密碼設(shè)置時(shí)一定要將其設(shè)置得復(fù)雜些，也可使用多層密碼，或者變換思路使用中文密碼，并且不要以自己的生日和電話號碼甚至用戶名作為密碼，因?yàn)橐恍┟艽a破解軟件可以讓破解者輸入與被破解用戶相關(guān)的信息，如生日等，然后對這些數(shù)

據(jù)構(gòu)成的密碼進(jìn)行優(yōu)先嘗試。另外，應(yīng)該經(jīng)常更換密碼，這樣會使其被破解的可能性得到下降。

4)后門軟件攻擊

后門軟件攻擊是互聯(lián)網(wǎng)上比較多的一種攻擊手法。BackOrifice2000、冰河等都是比較著名的特洛伊木馬，它們可以非法地取得用戶電腦的超級用戶級權(quán)利，可以對其進(jìn)行完全的控制，除了可以進(jìn)行文件操作外，同時(shí)也可以進(jìn)行對方桌面抓圖、取得密碼等操作。這些后門軟件分為服務(wù)器端和用戶端，當(dāng)黑客進(jìn)行攻擊時(shí)，會使用用戶端程序登錄已安裝好服務(wù)器端程序的電腦，這些服務(wù)器端程序都比較小，一般會隨附帶于某些軟件上。有可能當(dāng)用戶下載了一個(gè)小游戲并運(yùn)行時(shí)，后門軟件的服務(wù)器端就安裝完成了，而且大部分后門軟件的重生能力比較強(qiáng)，給用戶進(jìn)行清除造成一定的麻煩。當(dāng)用戶在網(wǎng)上下載數(shù)據(jù)時(shí)，一定要在其運(yùn)行之前進(jìn)行病毒掃描，并使用一定的反編譯軟件，查看來源數(shù)據(jù)是否有其他可疑的應(yīng)用程序，從而杜絕這些后門軟件。

5)拒絕服務(wù)攻擊

互聯(lián)網(wǎng)上許多大網(wǎng)站都遭受過此類攻擊。實(shí)施拒絕服務(wù)攻擊的難度比較小，但它的破壞性卻很大。它的具體手法就是向目的服務(wù)器發(fā)送大量的數(shù)據(jù)包，幾乎占取該服務(wù)器所有的網(wǎng)絡(luò)寬帶，從而使其無法對正常的服務(wù)請求進(jìn)行處理，而導(dǎo)致網(wǎng)站無法進(jìn)入、網(wǎng)站響應(yīng)速度大大降低或服務(wù)器癱瘓?，F(xiàn)在常見的蠕蟲病毒或與其同類的病毒都可以對服務(wù)器進(jìn)行拒絕服務(wù)攻擊的進(jìn)攻。它們的繁殖能力極強(qiáng)，一般通過Microsoft的Outlook軟件向眾多郵箱發(fā)出帶有病毒的郵件，使郵件服務(wù)器無法承擔(dān)如此龐大的數(shù)據(jù)處理量而癱瘓。對于個(gè)人上網(wǎng)用戶而言，也有可能遭到大量數(shù)據(jù)包的攻擊使其無法進(jìn)行正常的網(wǎng)絡(luò)操作，所以用戶在上網(wǎng)時(shí)一定要安裝好防火墻軟件，同時(shí)也可以安裝一些可以隱藏IP地址的程序，這樣能大大降低受到攻擊的可能性。

8.3惡意程序防御機(jī)制

惡意程序防御機(jī)制是一類新的、在原操作系統(tǒng)設(shè)計(jì)時(shí)并未考慮的安全機(jī)制。惡意程序是所有含有特殊目的，非法進(jìn)入計(jì)算機(jī)系統(tǒng)并待機(jī)運(yùn)行，能給系統(tǒng)或者網(wǎng)絡(luò)帶來嚴(yán)重干擾和破壞的程序的總稱。一般它可以分為獨(dú)立運(yùn)行類(細(xì)菌和蠕蟲)和需要宿主類(病毒和特洛依木馬)。計(jì)算機(jī)病毒的出現(xiàn)突破了計(jì)算機(jī)安全早期的防御策略，許多早期的安全模型在進(jìn)行深入研究后發(fā)現(xiàn)有問題，尤其當(dāng)計(jì)算機(jī)病毒和某些惡意程序以“合法”程序的機(jī)制交叉融合后，產(chǎn)生了變異性、多形性和隱蔽性，使得操作系統(tǒng)在防御惡意程序和計(jì)算機(jī)病毒方面處于一個(gè)十分嚴(yán)峻的形式。惡意程序高度依賴于它們所運(yùn)行的操作系統(tǒng)，因此防御措施也因系統(tǒng)不同而異。目前，各類新型操作系統(tǒng)都增加了對計(jì)算機(jī)病毒的防御措施，但并沒有統(tǒng)一的標(biāo)準(zhǔn)，總體上包含三個(gè)部分，即計(jì)算機(jī)病毒的防御、檢測和消除。8.3.1病毒防御機(jī)制

病毒防御機(jī)制是針對病毒的運(yùn)行特征而采取的層層設(shè)防、級級設(shè)防措施。

1．病毒的運(yùn)行特征和過程

病毒運(yùn)行的過程為入侵、運(yùn)行、駐留(潛伏)、感染(傳播)、激活和破壞。在這幾項(xiàng)過程中的任何一處采取措施，均可進(jìn)行防御。病毒防御機(jī)制的實(shí)施通常與系統(tǒng)的存取控制、實(shí)體保護(hù)等安全機(jī)制配合，由專門的防御程序模塊完成。防御的重點(diǎn)在操作系統(tǒng)敏感數(shù)據(jù)結(jié)構(gòu)、文件系統(tǒng)、數(shù)據(jù)存儲結(jié)構(gòu)、I/O設(shè)備驅(qū)動(dòng)結(jié)構(gòu)上。

2．病毒針對OS的敏感數(shù)據(jù)結(jié)構(gòu)

OS在內(nèi)存中的映像：系統(tǒng)進(jìn)程表、關(guān)鍵緩沖區(qū)、共享數(shù)據(jù)段、系統(tǒng)記錄、中斷矢量表和指針表等關(guān)鍵數(shù)據(jù)結(jié)構(gòu)。

OS在磁盤中的映像：文件系統(tǒng)、文件指針、文件表、目錄表等數(shù)據(jù)存儲結(jié)構(gòu)。文件也是病毒的宿主之一。當(dāng)病毒侵入文件時(shí)，將病毒體附著于文件上，修改文件長度、篡改文件指針，當(dāng)文件執(zhí)行時(shí)激發(fā)病毒體繼續(xù)傳染或破壞。病毒會改動(dòng)磁盤結(jié)構(gòu)、修改數(shù)據(jù)記錄、破壞文件系統(tǒng)在磁盤上的存取結(jié)構(gòu)。病毒篡改設(shè)備驅(qū)動(dòng)程序、修改指針、破壞設(shè)備操作。針對上述攻擊，病毒防御機(jī)制采用了存儲映像、數(shù)據(jù)備份、修改許可、區(qū)域保護(hù)、動(dòng)態(tài)檢疫等方式。

(1)存儲映像：保存操作系統(tǒng)關(guān)鍵數(shù)據(jù)結(jié)構(gòu)在內(nèi)存中的映像，以防病毒破壞或便于系統(tǒng)恢復(fù)。

(2)數(shù)據(jù)備份：類似于映像，但主要針對文件和存儲結(jié)構(gòu)，將系統(tǒng)文件、操作系統(tǒng)內(nèi)核、磁盤主結(jié)構(gòu)表、文件主目錄及分配表等建立副本，保存在磁盤上以作后備。

(3)修改許可：一種認(rèn)證機(jī)制，在用戶操作環(huán)境下，每當(dāng)出現(xiàn)對文件或關(guān)鍵結(jié)構(gòu)的寫操作時(shí)，提示用戶確認(rèn)。

(4)區(qū)域保護(hù)：借助禁止許可機(jī)制，對關(guān)鍵數(shù)據(jù)區(qū)、系統(tǒng)參數(shù)區(qū)、系統(tǒng)內(nèi)核禁止寫操作。

(5)動(dòng)態(tài)檢疫：系統(tǒng)運(yùn)行的每時(shí)每刻，都監(jiān)視某些敏感的操作或者操作企圖，一但發(fā)現(xiàn)則給出提示并予以記錄，它可以與病毒檢測軟件配合，發(fā)現(xiàn)病毒的隨機(jī)攻擊。

上述的機(jī)制嵌入到操作系統(tǒng)模塊中或者以系統(tǒng)駐留程序?qū)崿F(xiàn)，起到一種打“補(bǔ)丁”的效果。8.3.2病毒檢測與消除

為什么目前的操作系統(tǒng)本身并不提供病毒檢測和消除功能，而把它留給與操作系統(tǒng)配套的軟件去實(shí)現(xiàn)呢？

理論證明：不存在通用的檢測計(jì)算機(jī)病毒的方法和程序，而且大多數(shù)計(jì)算機(jī)病毒不能被精確檢測。計(jì)算機(jī)病毒的檢測與消除與所運(yùn)行的操作系統(tǒng)有密切的關(guān)系，由于操作系統(tǒng)的復(fù)雜性，病毒被發(fā)現(xiàn)和消除后的系統(tǒng)恢復(fù)是一項(xiàng)非常困難的工作，對感染病毒或者病毒清除后的系統(tǒng)的可信度的驗(yàn)證，也是正待解決的問題。以獨(dú)立軟件套件出現(xiàn)的病毒檢測消除軟件，在一個(gè)方面保證了系統(tǒng)的安全性。病毒檢測分為系統(tǒng)靜態(tài)檢測和動(dòng)態(tài)檢測。

(1)靜態(tài)檢測：系統(tǒng)處于待機(jī)狀態(tài)或聯(lián)網(wǎng)狀態(tài)，利用病毒檢測軟件檢查和掃描系統(tǒng)主存空間和外存(磁盤)空間，查找可能駐留在內(nèi)存或者隱藏在磁盤區(qū)域和磁盤文件中的病毒程序、帶毒文件等。這種檢查多基于病毒特征碼掃描方式，也針對系統(tǒng)文件、數(shù)據(jù)結(jié)構(gòu)、指針指向等關(guān)鍵數(shù)據(jù)是否被改動(dòng)等因素檢測病毒。

(2)動(dòng)態(tài)檢測：在系統(tǒng)運(yùn)行過程中，利用防御機(jī)制和病毒檢測軟件，當(dāng)病毒試圖攻擊系統(tǒng)、感染系統(tǒng)文件、修改系統(tǒng)數(shù)據(jù)時(shí)給出報(bào)警。病毒檢測的關(guān)鍵是如何區(qū)別正常的、合法的操作和病毒的非法的、不正常的操作，需要解決漏報(bào)、誤報(bào)和錯(cuò)報(bào)的問題。檢測的正確才是清除的基礎(chǔ)，否則，病毒的清除會產(chǎn)生一系列的副作用。輕者使被清除病毒的文件破壞，程序失效，重者使系統(tǒng)關(guān)鍵數(shù)據(jù)丟失，或者未完整恢復(fù)，造成系統(tǒng)崩潰。 8.4安全操作系統(tǒng)設(shè)計(jì)

確定操作系統(tǒng)提供的安全服務(wù)，如何實(shí)現(xiàn)和由誰提供這些服務(wù)成為安全操作系統(tǒng)開發(fā)設(shè)計(jì)的主要問題。

安全操作系統(tǒng)的開發(fā)一般分為四個(gè)階段，即建立模型、系統(tǒng)設(shè)計(jì)、可信度檢測和系統(tǒng)實(shí)現(xiàn)。

設(shè)計(jì)者必須了解系統(tǒng)的安全性，建立一個(gè)保密環(huán)境下的模型，并研究達(dá)到安全性的不同方法，選擇一種實(shí)現(xiàn)該模型的方法。保證從設(shè)計(jì)者自身到用戶都相信設(shè)計(jì)準(zhǔn)確地表達(dá)了模型，代碼準(zhǔn)確地表達(dá)了設(shè)計(jì)，并確認(rèn)這些設(shè)計(jì)或?qū)崿F(xiàn)是可信的。安全操作系統(tǒng)的實(shí)現(xiàn)目前有兩種方法：

(1)專門針對安全性而設(shè)計(jì)操作系統(tǒng)。

(2)將安全特性加到目前的操作系統(tǒng)中。

目前，已有多種安全操作系統(tǒng)問世，更多的正在開發(fā)中。

8.4.1建立安全模型

安全模型(SecurityModel)用來描述計(jì)算系統(tǒng)和用戶的安全特性，是對現(xiàn)實(shí)社會中一種系統(tǒng)安全需求的抽象描述。

建立安全模型的過程是：首先用自然語言描述應(yīng)用環(huán)境的安全需求特性，再用數(shù)學(xué)工具進(jìn)行形式化描述。建立安全模型的基礎(chǔ)是：由于存取(訪問)是計(jì)算系統(tǒng)安全需求的核心，存取控制則是這些模型的基礎(chǔ)。存取控制策略決定了某個(gè)用戶是否被允許存取某個(gè)特定實(shí)體，而模型則是實(shí)現(xiàn)策略的機(jī)制。

建立安全模型的動(dòng)機(jī)為：一方面確定一個(gè)保密系統(tǒng)應(yīng)采取的策略，如何達(dá)到保密性和完整性應(yīng)采取的特定條件；另一方面通過對抽象模型的研究，了解保護(hù)系統(tǒng)的特性，如可判定性或不可判定性。

1．單層模型

單層模型是一種二元敏感性安全模型，用戶對實(shí)體的存取策略簡單地設(shè)置為“允許”或者“禁止”(“是”與“非”)。實(shí)現(xiàn)這種存取控制的最簡單模型是監(jiān)督程序，它是用戶和實(shí)體間的通道，監(jiān)督程序?qū)γ總€(gè)被監(jiān)督的存取進(jìn)行檢查，決定是否準(zhǔn)許存取。

由于監(jiān)督程序進(jìn)程被頻繁地調(diào)用，它將成為系統(tǒng)的一個(gè)瓶頸。而且，它僅對直接的存取進(jìn)行控制，無法控制間接存取。信息流模型是為了彌補(bǔ)監(jiān)督程序方式的不足，即信息的流向控制。該模型的作用類似于一個(gè)篩選程序，它控制允許存取的實(shí)體的信息發(fā)送。

2．多層網(wǎng)格模型

多層網(wǎng)格模型是一種廣義的操作系統(tǒng)安全模型，它突破了二元敏感性，為實(shí)體和用戶考慮了更大范圍的敏感層次，適應(yīng)那些在不同敏感層次上并行處理信息的系統(tǒng)。其元素形成一種網(wǎng)格數(shù)學(xué)結(jié)構(gòu)，基于軍用安全和保密信息級別的處理。

保密信息級別分為無密、秘密、機(jī)密和絕密級，這些級別描述了信息的敏感性。敏感信息的安全原則是最少權(quán)限原則，主體只存取完成其工作所需的最少實(shí)體。信息的存取由“需知(needtoknow)”準(zhǔn)則限制，僅允許需要用此數(shù)據(jù)來完成其工作的主體存取某一敏感數(shù)據(jù)。每一密級的信息都與一個(gè)或者多個(gè)隔離組有關(guān)，隔離組描述了信息的主體對象，信息與隔離組相互間關(guān)聯(lián)。因此，一個(gè)主體可以存取位于不同隔離組中的某個(gè)密級的信息。

對敏感信息的存取必須獲得批準(zhǔn)，通常采用存取權(quán)限中的許可證機(jī)制。它表示某個(gè)用戶可以存取特定敏感級別(密級)以上的信息，以及該信息所屬的特定類別(組)，在操作系統(tǒng)中可將許可證按照組合方式設(shè)定。若引入符號O代表實(shí)體，S代表主體，≤代表敏感實(shí)體與主體的關(guān)系，則有：

O≤S(當(dāng)且僅當(dāng)密級O≤密級S并且隔離組O≤隔離組S)

小于等于關(guān)系限制了敏感性及主體能夠存取的信息內(nèi)容，只有當(dāng)主體的許可證級別至少與該信息的級別一樣高，且主體必須知道信息分類的所有隔離組時(shí)才能夠存取，即信息可以被具有合法許可證的用戶存取。8.4.2安全操作系統(tǒng)設(shè)計(jì)

1．通用操作系統(tǒng)中的安全特性

在通用操作系統(tǒng)中，除了內(nèi)存保護(hù)、文件保護(hù)、存取控制和用戶身份鑒別外，還需考慮共享約束、公平服務(wù)、通信與同步等。

(1)共享約束：系統(tǒng)資源必須對相應(yīng)的用戶開放，具有完整性和一致性要求。

(2)公平服務(wù)：通過硬件時(shí)鐘和調(diào)度分配保證所有用戶都能得到相應(yīng)服務(wù)，沒有用戶永久等待。

(3)通信與同步：當(dāng)進(jìn)程通信和資源共享時(shí)提供協(xié)調(diào)，推動(dòng)進(jìn)程并發(fā)運(yùn)行。這樣，從存取控制的基點(diǎn)出發(fā)，就在常規(guī)操作系統(tǒng)中建立了基本的安全機(jī)制。

設(shè)計(jì)原則如下：

(1)最小權(quán)限：每個(gè)用戶和程序使用盡可能少的權(quán)限工作，可將由入侵或者惡意攻擊所造成的損失降至最低。

(2)最少通用：可共享實(shí)體提供了信息流的潛在通道，要防止共享威脅，可采取物理或邏輯分離方法。

(3)安全機(jī)制的經(jīng)濟(jì)性：保護(hù)系統(tǒng)設(shè)計(jì)應(yīng)小型化，簡單明確，易于使用，使用戶愿意使用并且能夠被完全測試、驗(yàn)證并可信。

(4)開放式設(shè)計(jì)：保護(hù)機(jī)制必須獨(dú)立設(shè)計(jì)而且具有開放性，僅依賴極少數(shù)關(guān)鍵內(nèi)容，能防止所有潛在攻擊。

(5)安全策略的完整性：每個(gè)存取必須被檢查，并標(biāo)記許可條件。

(6)權(quán)限分離：對實(shí)體的存取應(yīng)當(dāng)基于多個(gè)條件，這樣入侵者就不能對全部資源進(jìn)行存取。

2．安全設(shè)計(jì)的三個(gè)方面

1)隔離性

進(jìn)程間彼此隔離方法有物理分離、時(shí)間分離、密碼分離和邏輯分離，一個(gè)安全系統(tǒng)可以使用所有這些形式的分離。常用的方法有虛擬存儲空間和虛擬機(jī)。虛存最初是為提供編址和內(nèi)存管理的靈活性而設(shè)計(jì)的，但它同時(shí)也提供了一種安全機(jī)制，即提供邏輯分離。每個(gè)用戶的邏輯地址空間通過存儲映像機(jī)制與其他用戶的分隔開，用戶程序看似運(yùn)行在一個(gè)單用戶的機(jī)器上。

系統(tǒng)通過給用戶提供邏輯設(shè)備、邏輯文件等多種邏輯資源，就形成了虛擬機(jī)的隔離方式。

2)內(nèi)核機(jī)制(nucleus或core)

內(nèi)核是操作系統(tǒng)中完成最低層功能的部分。通用操作系統(tǒng)中，內(nèi)核操作包含了進(jìn)程調(diào)度、同步、通信、消息傳遞及中斷處理。

安全內(nèi)核負(fù)責(zé)實(shí)現(xiàn)整個(gè)操作系統(tǒng)安全機(jī)制的部分，提供硬件、操作系統(tǒng)及系統(tǒng)其他部分間的安全接口。安全內(nèi)核通常包含在系統(tǒng)內(nèi)核中，而又與系統(tǒng)內(nèi)核邏輯分離。

安全內(nèi)核在系統(tǒng)內(nèi)核中增加了用戶程序和操作系統(tǒng)資源間的一個(gè)接口層，它的實(shí)現(xiàn)會在某種程度上降低系統(tǒng)性能，且不能保證內(nèi)核包含所有安全功能。安全內(nèi)核的特性如下。

①分離性：安全機(jī)制與操作系統(tǒng)其余部分及用戶空間分離，防止操作系統(tǒng)和用戶侵入。

②均一性：所有安全功能都可由單一的代碼集完成。

③靈活性：安全機(jī)制易于改變，易于測試。

④緊湊性：安全功能核心盡可能小。

⑤可驗(yàn)證性：由于內(nèi)核相對較小，可進(jìn)行嚴(yán)格的形式化證明其正確性。

⑥覆蓋性：每次對被保護(hù)實(shí)體的存取都經(jīng)過安全內(nèi)核，可保證每次存取的檢查。

3)分層結(jié)構(gòu)

分層結(jié)構(gòu)是一種較好的操作系統(tǒng)設(shè)計(jì)方法，每層使用幾個(gè)作為服務(wù)的中心層，每層為外層提供特定的功能服務(wù)和支持。安全操作系統(tǒng)的設(shè)計(jì)也可采用這種方式，在各個(gè)層次中考慮系統(tǒng)的安全機(jī)制。

安全分層結(jié)構(gòu)中，最敏感的操作位于最內(nèi)層，進(jìn)程的可信度及存取權(quán)限由其臨近中心裁定，更可信的進(jìn)程更接近中心。

用戶認(rèn)證等在安全內(nèi)核之外實(shí)現(xiàn)，這些可信模塊必須能提供很高的可信度。可信度和存取權(quán)限是分層的基礎(chǔ)，單個(gè)安全功能可在不同層的模塊中實(shí)現(xiàn)，每層上的模塊完成具有特定敏感度的操作。8.4.3安全操作系統(tǒng)的可信度驗(yàn)證

在完成系統(tǒng)中一個(gè)部分的安全機(jī)制后，必須檢查或者驗(yàn)證它所強(qiáng)制或者提供的安全性尺度，即評估操作系統(tǒng)的可信度和在什么樣的可信級別上評估操作系統(tǒng)。由于操作系統(tǒng)可用于不同的環(huán)境，因此，不同操作系統(tǒng)間可接受的安全層次是不同的。

驗(yàn)證(Certification)是對已經(jīng)完成的測試的定量評估，并且給系統(tǒng)的正確性賦予一個(gè)可信尺度。驗(yàn)證操作系統(tǒng)安全性的方法通常采用形式化驗(yàn)證、非形式化確認(rèn)和系統(tǒng)入侵分析三種，這些方法是獨(dú)立使用的，并綜合起來評估操作系統(tǒng)的安全性。

1．驗(yàn)證的實(shí)施方法

形式化驗(yàn)證是分析安全性的最精確的方法，但正確性證明極其復(fù)雜，實(shí)施費(fèi)時(shí)，對某些大型系統(tǒng)，描述和驗(yàn)證很困難。

非形式化驗(yàn)證證明系統(tǒng)可信的過程如下。

(1)需求檢查：通過運(yùn)行表現(xiàn)的功能檢查操作系統(tǒng)的每個(gè)需求，確認(rèn)系統(tǒng)所做的每件事是否都在功能需求表中，但它不能保證系統(tǒng)不做它不應(yīng)做的事。

(2)設(shè)計(jì)及代碼檢查：檢查系統(tǒng)設(shè)計(jì)或代碼以發(fā)現(xiàn)錯(cuò)誤，如不正確的假設(shè)、不一致的動(dòng)作或錯(cuò)誤的邏輯等。

(3)模塊及系統(tǒng)測試：精心地組織和選擇數(shù)據(jù)，檢查系統(tǒng)的正確性，檢查每條運(yùn)行線路、條件轉(zhuǎn)移通道、變量替換與更改以及各種報(bào)表輸出等。

2．認(rèn)證的標(biāo)準(zhǔn)

絕對安全的操作系統(tǒng)是不存在的。

1983年，美國國防部頒布了歷史上第一個(gè)計(jì)算機(jī)安全評價(jià)標(biāo)準(zhǔn)，這就是著名的可信計(jì)算機(jī)系統(tǒng)評價(jià)標(biāo)準(zhǔn)[DOD1983]，簡稱TCSEC，又稱橙皮書。

后來，美國國防部又頒布了《可信網(wǎng)絡(luò)系統(tǒng)評估準(zhǔn)則》(紅皮書)，主要針對商務(wù)系統(tǒng)的MSFR、綜合通信網(wǎng)的SDNS、管理系統(tǒng)的SMFA、數(shù)據(jù)庫的TCSEC/TDI等。

TCSEC在操作系統(tǒng)級上提出了一個(gè)可信計(jì)算基礎(chǔ)TCB，它包含的安全內(nèi)容有：

①操作系統(tǒng)內(nèi)核；

②具有特權(quán)的程序與命令；

③具有處理敏感信息的程序(如系統(tǒng)管理命令)；

④與實(shí)施安全策略有關(guān)的文檔資料；

⑤保障硬件正確運(yùn)行的程序和診斷程序；

⑥構(gòu)成系統(tǒng)的可信硬件；

⑦負(fù)責(zé)管理系統(tǒng)的人員。

在安全操作系統(tǒng)設(shè)計(jì)過程中，上述內(nèi)容分別在各個(gè)層次中解決。

8.5安全操作系統(tǒng)的關(guān)鍵問題

安全操作系統(tǒng)的特點(diǎn)是其安全職能目前還無法清楚確定，在安全操作系統(tǒng)的總體安全職能中，有些是已知的，有些是未知的。隨著新的安全威脅的不斷出現(xiàn)，不可避免地可能需要設(shè)計(jì)必要的新的安全職能來提供應(yīng)對支持。當(dāng)前我國實(shí)施等級保護(hù)制度，迫切需要高等級的安全操作系統(tǒng)，這是發(fā)展安全操作系統(tǒng)的大好機(jī)遇。

開發(fā)一個(gè)安全操作系統(tǒng)，關(guān)鍵的問題是：

(1)建立安全理論與模型。在整個(gè)安全操作系統(tǒng)開發(fā)中，建立適合的安全理論和模型是整個(gè)過程的基礎(chǔ)與依據(jù)。當(dāng)前安全操作系統(tǒng)開發(fā)所依據(jù)的模型多數(shù)為傳統(tǒng)的BLP模型。該模型偏重于信息的保密性，同時(shí)在具體實(shí)施中存在著若干的諸如隱通道等安全隱患，難以適應(yīng)安全操作系統(tǒng)的發(fā)展要求，這就需要我們重點(diǎn)進(jìn)行安全模型的研究及相應(yīng)的策略制定，加強(qiáng)評估準(zhǔn)則與方法的研究，將保密性和完整性有機(jī)結(jié)合。

(2)確定安全體系結(jié)構(gòu)。高安全等級不是安全功能的簡單疊加，必須要有嚴(yán)密科學(xué)的結(jié)構(gòu)加以保證。加強(qiáng)安全操作系統(tǒng)體系結(jié)構(gòu)的研究，提供符合安全標(biāo)準(zhǔn)的安全核心體系結(jié)構(gòu)，需要從形式化描述與驗(yàn)證上下功夫，為解決操作系統(tǒng)安全提供一個(gè)整體的理論指導(dǎo)和基礎(chǔ)構(gòu)件的支撐，并為工程實(shí)現(xiàn)奠定堅(jiān)實(shí)的基礎(chǔ)?？尚庞?jì)算基(TCB)是操作系統(tǒng)安全的基礎(chǔ)，其內(nèi)部要結(jié)構(gòu)化，模塊間相互獨(dú)立，要用硬件資源隔離關(guān)鍵和非關(guān)鍵部件。

(3)按需分級。以對專用安全操作系統(tǒng)的研究和設(shè)計(jì)作為工程切入點(diǎn)，針對安全性要求高的應(yīng)用環(huán)境配置特定的安全策略，提供靈活、有效的安全機(jī)制，設(shè)計(jì)符合相應(yīng)安全目標(biāo)的專用安全系統(tǒng)，以滿足國家等級保護(hù)的急需。

(4)以密碼技術(shù)重構(gòu)內(nèi)核。要想具有完全的安全操作系統(tǒng)自主知識產(chǎn)權(quán)，必須重構(gòu)內(nèi)核，要以密碼技術(shù)核心，充分利用所提供的可信功能構(gòu)建具有自我免疫能力的高安全等級的內(nèi)核。密碼技術(shù)在內(nèi)核中可以實(shí)現(xiàn)以下主要功能：確保用戶唯一身份、權(quán)限、工作空間的完整性/可用性；確保存儲、處理、傳輸?shù)臋C(jī)密性/完整性；確保硬件環(huán)境配置、操作系統(tǒng)內(nèi)核、服務(wù)及應(yīng)用程序的完整性；確保密鑰操作和存儲的安全；確保系統(tǒng)具有免疫能力，從根本上阻止病毒和黑客等軟件攻擊。

8.6安全發(fā)展對策

1．加強(qiáng)安全操作系統(tǒng)體系結(jié)構(gòu)的研究

當(dāng)前面對分布式的開放環(huán)境，出現(xiàn)了新的安全問題，因此要結(jié)合當(dāng)前已經(jīng)顯示出來的和將來有可能產(chǎn)生的安全問題和應(yīng)用需要，加強(qiáng)安全操作系統(tǒng)體系結(jié)構(gòu)的研究，以提供符合安全國際標(biāo)準(zhǔn)的安全核心體系結(jié)構(gòu)，從而解決原有體系結(jié)構(gòu)無法解決的問題。

2．安全模型與評估方法研究

進(jìn)行安全模型的研究及其形式化的描述與證明，進(jìn)行評估準(zhǔn)則與方法的研究，為操作系統(tǒng)安全研究的進(jìn)一步工作提供有價(jià)值的參考。

3．設(shè)計(jì)具有中國自主版權(quán)的操作系統(tǒng)

工程上應(yīng)該從系統(tǒng)內(nèi)核做起。我們可以把專用安全操作系統(tǒng)的研究和設(shè)計(jì)作為工程切入點(diǎn)，針對安全性要求高的應(yīng)用環(huán)境配置特定的安全策略，提供靈活、有效的安全機(jī)制，設(shè)計(jì)實(shí)現(xiàn)基于安全國際標(biāo)準(zhǔn)、符合相應(yīng)安全目標(biāo)的專用安全核心系統(tǒng)，并盡可能少地影響系統(tǒng)性能，提高系統(tǒng)效率。

4．安全加固

對于當(dāng)前無法從內(nèi)核進(jìn)行改造的系統(tǒng)，則可以進(jìn)行安全加固。例如對微軟的Windows這樣龐大的操作系統(tǒng)，有3500萬行源代碼，而它的源碼不公開，無法對其進(jìn)行分析，不能排除其中存在著人為“陷阱”?，F(xiàn)已發(fā)現(xiàn)，Windows?95和Windows?98都存在著將用戶信息發(fā)送到微軟網(wǎng)站的“后門”。

在沒有源碼的情形下，很難再加強(qiáng)操作系統(tǒng)內(nèi)核的安全性，而我國用戶使用的操作系統(tǒng)95%以上是Windows，占據(jù)著國內(nèi)操作系統(tǒng)市場的大半壁江山，從保障我國網(wǎng)絡(luò)及信息安全的角度考慮，必須增強(qiáng)它的安全性，因此只能采用設(shè)計(jì)安全隔離層——中間件的方式，增加安全模塊，以解燃眉之急。

5．系統(tǒng)安全結(jié)構(gòu)體系研究

在解決操作系統(tǒng)安全問題的方法和策略中，填堵安全漏洞的這種“打補(bǔ)丁”做法只能是權(quán)宜之計(jì)，無法從根本上解決問題。要真正獲得具有較高安全可信度的系統(tǒng)，必須從系統(tǒng)核心的安全結(jié)構(gòu)體系著手，進(jìn)行全局的設(shè)計(jì)。

8.7Linux系統(tǒng)下安全機(jī)制的管理

經(jīng)過十多年的發(fā)展，Linux的功能在不斷增強(qiáng)，其安全機(jī)制亦在逐步完善。按照TCSEC評估標(biāo)準(zhǔn)，目前Linux的安全級基本達(dá)到了C2，更高安全級別的Linux系統(tǒng)正在開發(fā)之中。

下面我們來看一看Linux已有的安全機(jī)制，這些機(jī)制有些已被標(biāo)準(zhǔn)的Linux所接納，有些只是提供了“補(bǔ)丁”程序。8.7.1PAM機(jī)制

PAM(PluggableAuthenticationModules)是一套共享庫，其目的是提供一個(gè)框架和一套編程接口，將認(rèn)證工作由程序員交給管理員。PAM允許管理員在多種認(rèn)證方法之間作出選擇，它能夠改變本地認(rèn)證方法而不需要重新編譯與認(rèn)證相關(guān)的應(yīng)用程序。

PAM的功能包括：

①加密口令(包括DES以外的算法)；

②對用戶進(jìn)行資源限制，防止DOS攻擊；

③允許隨意Shadow文件口令；

④限制特定用戶在指定時(shí)間從指定地點(diǎn)登錄；⑤引入概念“clientplug-inagents”，使PAM支持C/S應(yīng)用中的機(jī)器。

PAM為更有效的認(rèn)證方法的開發(fā)提供了便利，在此基礎(chǔ)上可以很容易地開發(fā)出替代常規(guī)的用戶名加口令的認(rèn)證方法，如智能卡、指紋識別等認(rèn)證方法。

8.7.2入侵檢測系統(tǒng)

入侵檢測技術(shù)是一項(xiàng)相對比較新的技術(shù)，很少有操作系統(tǒng)安裝入侵檢測工具，事實(shí)上，標(biāo)準(zhǔn)的Linux發(fā)布版本也是最近才配備了這種工具。盡管入侵檢測系統(tǒng)的歷史很短，但發(fā)展卻很快，目前比較流行的入侵檢測系統(tǒng)有Snort、Portsentry、Lids等。利用Linux配備的工具和從因特網(wǎng)上下載的工具，就可以使Linux具備高級的入侵檢測能力，這些能力包括：

①記錄入侵企圖，當(dāng)攻擊發(fā)生時(shí)及時(shí)通知管理員；

②在規(guī)定情況的攻擊發(fā)生時(shí)，采取事先規(guī)定的措施；

③發(fā)送一些錯(cuò)誤信息，比如偽裝成其他操作系統(tǒng)，這樣攻擊者會認(rèn)為他們正在攻擊一個(gè)WindowsNT或Solaris系統(tǒng)。8.7.3加密文件系統(tǒng)

加密技術(shù)在現(xiàn)代計(jì)算機(jī)系統(tǒng)安全中扮演著越來越重要的角色。加密文件系統(tǒng)就是將加密服務(wù)引入文件系統(tǒng)，從而提高計(jì)算機(jī)系統(tǒng)的安全性。

目前Linux已有多種加密文件系統(tǒng)，如CFS、TCFS、CRYPTFS等，較有代表性的是TCFS(TransparentCryptographicFileSystem)。它通過將加密服務(wù)和文件系統(tǒng)緊密集成，使用戶感覺不到文件的加密過程。TCFS不修改文件系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)，備份與修復(fù)以及用戶訪問保密文件的語義也不變。

TCFS能夠做到讓保密文件對以下用戶不可讀：

①合法擁有者以外的用戶；

②用戶和遠(yuǎn)程文件系統(tǒng)通信線路上的偷聽者；

③文件系統(tǒng)服務(wù)器的超級用戶。

而對于合法用戶，訪問保密文件與訪問普通文件幾乎沒有區(qū)別。8.7.4安全審計(jì)

即使系統(tǒng)管理員十分精明地采取了各種安全措施，但還會發(fā)現(xiàn)一些新漏洞。攻擊者在漏洞被修補(bǔ)之前會迅速抓住機(jī)會攻破盡可能多的機(jī)器。雖然Linux不能預(yù)測何時(shí)主機(jī)會受到攻擊，但是它可以記錄攻擊者的行蹤。

Linux還可以進(jìn)行檢測、記錄時(shí)間信息和網(wǎng)絡(luò)連接情況。這些信息將被重定向到日志中