操作系統(tǒng)安全

操作系統(tǒng)負責對計算機系統(tǒng)各種資源、操作、運算和計算機用戶進行管理與控制，它是計算機系統(tǒng)安全功能的執(zhí)行者和管理者。操作系統(tǒng)是應用軟件同系統(tǒng)硬件的接口，其目標是高效地、最大限度地、合理地使用計算機資源。若沒有安全操作系統(tǒng)的支持，數(shù)據(jù)庫就不可能具有存取控制的安全可信性，就不可能有檔案信息網(wǎng)絡系統(tǒng)的安全性，也不可能有應用軟件信息處理的安全性。因此，安全操作系統(tǒng)是整個檔案信息系統(tǒng)安全的基礎(chǔ)。

要建立一個安全的檔案信息系統(tǒng)，不僅要考慮具體的安全產(chǎn)品，包括防火墻、安全路由器、安全網(wǎng)關(guān)、IP隧道、虛擬網(wǎng)、入侵檢測、漏洞掃描、安全測試和監(jiān)控產(chǎn)品，來被動地封堵安全漏洞，而且還要特別注意操作系統(tǒng)平臺的安全問題。

1 操作系統(tǒng)的基本涵義

操作系統(tǒng)是硬件和軟件應用程序之間接口的程序模塊，它是整個網(wǎng)絡信息系統(tǒng)的核心控制軟件，系統(tǒng)的安全體現(xiàn)在整個操作系統(tǒng)之中。對一個設計不夠安全的操作系統(tǒng)，事后采用增加安全特性或打補丁的方法是一項很艱巨的任務，特別是對引進的國外設備，在沒有詳細技術(shù)資料的情況下，其工作更加復雜。

操作系統(tǒng)的主要功能包括：進程控制和調(diào)度、信息處理、存儲器管理、文件管理、輸入／輸出管理、資源管理、時間管理等。操作系統(tǒng)的安全是深層次的安全，其主要的安全功能包括：存儲器保護（限定存儲區(qū)和地址重定位，保護存儲的信息）、文件保護（保護用戶和系統(tǒng)文件，防止非授權(quán)用戶訪問）、訪問控制、用戶認證（識別請求訪問的用戶權(quán)限和身份）。

操作系統(tǒng)作為計算機系統(tǒng)的基礎(chǔ)軟件是用來管理計算機資源的，它直接利用計算機硬件并為用戶提供使用和編程接口。各種應用軟件均建立在操作系統(tǒng)提供的系統(tǒng)軟件平臺之上，上層的應用軟件要想獲得運行的高可靠性和信息的完整性、保密性，必須依賴于操作系統(tǒng)提供的系統(tǒng)軟件基礎(chǔ)，任何想像中的、脫離操作系統(tǒng)的應用軟件的高安全性，就如同幻想在沙灘上建立堅不可摧的堡壘一樣，毫無根基可言。不難想像，在網(wǎng)絡環(huán)境中，網(wǎng)絡系統(tǒng)的安全性依賴于網(wǎng)絡中各主機系統(tǒng)的安全性，而主機系統(tǒng)的安全性正是由其操作系統(tǒng)的安全性所決定的。沒有安全的操作系統(tǒng)的支持，網(wǎng)絡安全也毫無根基可言。所以，操作系統(tǒng)安全是計算機網(wǎng)絡系統(tǒng)安全的基礎(chǔ)。

操作系統(tǒng)集中管理系統(tǒng)的資源，控制包括用戶進程在內(nèi)的各種功能進程的正常運行。它是計算機系統(tǒng)賴以正常運轉(zhuǎn)的小樞。當前操作系統(tǒng)的最大缺陷是不能判斷運行的進程是否有害。換句話說，操作系統(tǒng)應當建立某些相對的鑒別準則，保護包括操作系統(tǒng)本身在內(nèi)的各個用戶，制約有害功能過程的運行。

為了迅速占領(lǐng)微機市場，某些公司公布了它們的操作系統(tǒng)內(nèi)核。這樣做的好處是方便了世界各地開發(fā)各種功能軟件和配套外部設備。但是，同時也為有害的功能開發(fā)打開了方便之門。這是計算機病毒在微機領(lǐng)域內(nèi)數(shù)量劇增、泛濫成災的原因之一。

2 操作系統(tǒng)的不安全因素

計算機網(wǎng)絡的宗旨本來是：系統(tǒng)開放、資源共享、降低成本、提高效率。這恰恰又是造成計算機網(wǎng)絡安全的致命問題和主要安全漏洞。在開放共享的環(huán)境中“，安全”與“開放共享”總是互為制約的。計算機網(wǎng)絡遭到的危害，絕不是計算機系統(tǒng)危害和通信系統(tǒng)危害的簡單疊加。計算機網(wǎng)絡分布的廣域性、信息資源的共享性、通信信道的公用性，都為信息竊取、盜用、非法的增、刪、改以及各種擾亂破壞造成了極為方便且難以控制的可乘之機。計算機聯(lián)網(wǎng)的廣域性，增加了危害的隱蔽性、廣泛性和巨大的災難性。

無論哪一種操作系統(tǒng)，其體系結(jié)構(gòu)本身就是不安全的因素。由于操作系統(tǒng)的程序是可以動態(tài)連接的，包括I/O的驅(qū)動程序與系統(tǒng)服務都可以用打補丁的方法升級和進行動態(tài)連接。該產(chǎn)品的廠商可以使用這種方法，“黑客”成員也可以使用這種方法，而這種動態(tài)連接也正是計算機病毒產(chǎn)生的溫床。因此，這種使用打補丁與滲透開發(fā)的操作系統(tǒng)是不可能從根本上解決安全問題的。在Unix系統(tǒng)中黑客所采用的攻擊手法便是一個很能說明的問題。但是，操作系統(tǒng)支持的程序動態(tài)連接與數(shù)據(jù)動態(tài)交換是現(xiàn)代系統(tǒng)集成和系統(tǒng)擴展的必備功能，因此，這是相互矛盾的兩個方面。

操作系統(tǒng)不安全的另一個原因在于它可以創(chuàng)建進程，即使在網(wǎng)絡的節(jié)點上同樣也可以進行遠程進程的創(chuàng)建與激活，更令人不安的是被創(chuàng)建的進程具有可以繼續(xù)創(chuàng)建過程的權(quán)力。這一點加上操作系統(tǒng)支持在網(wǎng)絡上傳輸文件，在網(wǎng)絡上能加載程序，二者結(jié)合起來就構(gòu)成可以在遠端服務器上安裝“間諜”軟件的條件。如果把這種“間諜”軟件以打補丁的方式“打”入合法用戶上，尤其是“打”在特權(quán)用戶上，那么，系統(tǒng)進程與作業(yè)監(jiān)視程序根本監(jiān)測不到“間諜”的存在。

在Unix與Window NT 中的Daemon 軟件實質(zhì)上是一些系統(tǒng)進程，它們通常總是在等待一些條件的出現(xiàn)，一旦有滿足要求的條件出現(xiàn)，程序便繼續(xù)運行下去。這樣的軟件正好被黑客利用。更令人深感不安的是Daemon 具有操作系統(tǒng)核心層軟件同等的權(quán)力。網(wǎng)絡操作系統(tǒng)提供的遠程過程調(diào)用（RPC ）服務以及它所安排的無口令入口也是黑客的通道。

操作系統(tǒng)的安全漏洞主要有：輸入／輸出（I/O ）非法訪問、訪問控制的混亂、不完全中介、操作系統(tǒng)陷門等。這些不安全因素充分暴露了操作系統(tǒng)在安全性方面的脆弱性，對網(wǎng)絡安全構(gòu)成了威脅。

3 操作系統(tǒng)的安全等級

計算機系統(tǒng)的脆弱性主要來自操作系統(tǒng)的不安全性，在網(wǎng)絡環(huán)境下，還來源于通信協(xié)議的不安全性。美國對計算機系統(tǒng)就其安全性的程度，分為若干安全級別，依照安全等級由低到高的順序是 D級安全、C級安全、 B級安全、A 級安全。有的操作系統(tǒng)屬于 D級，這一級別的操作系統(tǒng)根本就沒有安全防護措施，它就像一個門窗大開的屋子，如DOS、Windows 98 和Windows 3.1等操作系統(tǒng)就屬于這一類，它們只能用于一般的桌面計算機，而不能用于安全性要求高的服務器。 Unix系統(tǒng)和Windows NT 達到了C2 級別，安全性遠遠強于 Windows 98操作系統(tǒng)，而且主要用于服務器上。但這種系統(tǒng)仍然存在著安全漏洞，因為這兩種系統(tǒng)中都存在超級用戶（ root在Unix 中，Administrator 在Windows NT中），如果入侵者得到了超級用戶口令，整個系統(tǒng)將完全受控于人侵者。現(xiàn)在，人們正在研究一種新型的操作系統(tǒng)，在這種操作系統(tǒng)中沒有超級用戶，也就不會有超級用戶帶來的問題。現(xiàn)在很多系統(tǒng)都使用靜態(tài)口令來保護系統(tǒng)，但口令還是有很大的破解可能性，而且不好的口令維護制度會導致口令被人偷去。口令丟失也就意味著安全系統(tǒng)的全面崩潰。

在檔案信息網(wǎng)絡環(huán)境中，網(wǎng)絡系統(tǒng)的安全性依賴于網(wǎng)絡中各主機系統(tǒng)的安全性，而主機系統(tǒng)的安全性正是由其操作系統(tǒng)的安全性所決定的，沒有操作系統(tǒng)的支持，檔案信息網(wǎng)絡安全也毫無根基可言。

4 常見操作系統(tǒng)簡介

1.Unix系統(tǒng)

Unix是一個多任務多用戶的操作系統(tǒng)，它具有的特點是：

（1）可靠性高；

（2）極強的伸縮性；

（3）網(wǎng)絡功能強；

（4）強大的數(shù)據(jù)庫支持功能；

（5）開放性好。

Unix常用命令有：ls、cd、who、cp、cat、man、mv、rm、grep、find。

在 Unix系統(tǒng)中有一個名為root  的用戶是超級用戶，這個用戶在系統(tǒng)上擁有最大的權(quán)限，即不需授權(quán)就可以對其他用戶的文件、目錄以及系統(tǒng)文件進行任意操作。

Unix系統(tǒng)對每個文件都設定了文件的權(quán)限，共有：讀、寫和執(zhí)行三種權(quán)限。

2.Linux系統(tǒng)

Linux是按照Unix風格設計的操作系統(tǒng)，所以在源代碼級上兼容絕大部分的 Unix標準。 Linux具有如下特點：

（1）與 Unix高度兼容；

（2）高度的穩(wěn)定性和可靠性；

（3）完全開放源代碼，價格低廉；

（4）系統(tǒng)安全可靠，絕無后門。

3.Windows系統(tǒng)

Windows是在普通用戶的PC機上使用得最廣泛的操作系統(tǒng)。Windows 9X在具有眾多優(yōu)點的同時，其缺點也十分明顯：穩(wěn)定性和安全性欠佳。

Windows NT 是微軟公司第一個真正有意義的網(wǎng)絡操作系統(tǒng)，Windows NT具有以下顯著特點：

（1）支持多種網(wǎng)絡協(xié)議；

（2）內(nèi)置的因特網(wǎng)功能；

（3）支持NTFS 文件系統(tǒng)。

注冊表是 Windows 系統(tǒng)的核心數(shù)據(jù)庫。注冊表的層次結(jié)構(gòu)被組織成類似于硬盤中的目錄樹，分為主鍵、副鍵、子鍵和鍵值項，鍵值項的格式為：鍵值名：數(shù)據(jù)類型：鍵值。

4.Unix 網(wǎng)絡配置

/etc/hosts文件提供簡單的主機名到IP 地址的轉(zhuǎn)換；/etc/hosts 文件列出所有的以太網(wǎng)地址列表；/etc/networks 文件提供了一個因特網(wǎng)上的 IP地址和名字/etc/protocols； 文件提供了一個已知的DARPA 因特網(wǎng)協(xié)議的列表；/etc/ services文件提供了可用的服務列表；/etc/ inted.conf 文件是inted守護進程的配置文件。

Unix系統(tǒng)的資源訪問控制是基于文件的，在Unix當中各種硬件設備，端口設備甚至內(nèi)存都是以文件形式存在的，雖然這些文件和普通磁盤文件在實現(xiàn)上不同，但它們向上提供的界面卻是相同的，這樣就帶來了Unix系統(tǒng)資源訪問控制實現(xiàn)的方便性。

為了維護系統(tǒng)的安全性，系統(tǒng)中每一個文件都具有一定的訪問權(quán)限，只有具有這種訪問權(quán)限的用戶才能訪問該文件，否則系統(tǒng)將給出Permission Denied錯誤信息。

5.Windows NT網(wǎng)絡配置

在Windows NT中所有的對象都有一個安全性描述符（Security Description），安全性描述符上列出了允許用戶和組在對象上可以執(zhí)行的動作。安全性標識符可以用來設置和查詢一個對象的安全屬性，所有的命名對象、進程和線程都有與之關(guān)聯(lián)的安全描述符。Windows NT安全模式的一個最初目標，就是定義一系列標準的安全信息，并把它應用于所有對象的實例。

這些安全信息，包括下列元素：

（1）所有者；

（2）組；

（3）自由ACL(Access Control List);

（4）系統(tǒng)ACL;

（5）存取令牌（Access Token）.

Windows NT支持FAT文件系統(tǒng)，還支持NTFS文件系統(tǒng)。NTFS文件系統(tǒng)是一種安全的文件系統(tǒng)，因為它支持文件訪問控制，人們可用設置文件和目錄的訪問權(quán)限，控制誰可以使用這個文件，以及如何使用這個文件。五個預定義的許可為：拒絕訪問、讀取、更改、完全控制和選擇性訪問。

為了建立安全的操作系統(tǒng)，首先必須構(gòu)造操作系統(tǒng)的安全模型（單級安全模型、多級安全模型、系統(tǒng)流模型等）和不同的實施方法。其次應該采用諸如隔離、核化（最小特權(quán)等）和環(huán)結(jié)構(gòu)（開放設計和完全中介）等安全科學的操作系統(tǒng)設計方法。再者，還需要建立和完善操作系統(tǒng)的評估標準、評價方法和測試質(zhì)量。