計算機作業系統安全
計算機作業系統經常會受到病毒或者黑客入侵導致計算機系統崩潰,下面由小編為大家整理了的相關知識,希望對大家有幫助!
1 問題
首先是作業系統自身漏洞,漏洞指的是作業系統內部存在的可能允許未授權使用者訪問的軟硬體特徵,屬於作業系統的缺陷。其通常表現為:物理漏洞,即是因未授權使用者訪問站點導致,他們能夠訪問系統中不被允許的內容;軟體漏洞,指的是因錯誤授權的應用程式導致的漏洞;不相容漏洞,指的是因作業系統開發過程中存在不相容問題所導致的漏洞。
其次是作業系統中的程式安全問題,使用者程式本身的安全性通常表現為程式耗時性、死鎖問題、相容性、自身漏洞、程式穩定性以及病毒性等。因為其他很多原因的影響,使用者程式中往往會存在一些缺陷,這些缺陷一部分是程式設計過程中或者程式設計時因為邏輯不合理而造成的,它們可能是設計人員無意識造成的,也可能是有意造成的。
最後是資料庫安全的問題,作業系統資料庫的安全通常體現在資料庫完整性、可審計性、訪問控制使用者認證、保密性等方面。資料庫所存在的不安全因素通常有篡改、損壞以及竊取三類情況。除開一些惡意的攻擊之外,其自身也存在一些不安全因素,比如說資料錯誤、安全機制不完善、來自網際網路中的病毒等。
2 防範對策
2.1 資料資訊安全防範
做好作業系統資料資訊的安全防範工作應該從下面幾點著手:加強資料資訊的使用者訪問管理;對檔案進行加密;對重要資料資訊進行備份處理。我們可以給授權使用者一定的訪問許可權,讓使用者僅可訪問他有權訪問的內容,這一目標可以通過使用者標識認證、資料完整性審查、資料庫併發或者分級控制、敏感鎖以及安全過濾器等技術來實現。對系統中的重要資料進行加密是確保資料資訊不被篡改和竊取的有效方式;對於不可抗力***如地震、火災等***對系統產生的安全威脅,我們可以通過系統資料備份來挽回資訊損失。
2.2 系統漏洞防範
一方面是進行日誌監視,在作業系統中實施安全稽核策略之後,使用者***系統管理員***應該定期對系統安全日誌記錄進行檢查,同時還應該對系統服務以及各種應用的日誌檔案進行檢視。比如說在windows2003 IIS***Internet information services***6.0中,日誌記錄功能預設為啟動狀態,且存放路徑為系統分割槽的system32/log files下,我們將其日誌記錄開啟,能夠找到對web伺服器的HTTP請求,從而幫助使用者***系統管理員***更好的對系統狀態進行監測[1]。
另一方面是對系統程序和相關資訊進行監視,對病毒或遠端監控程式來說,除了要對開放埠進行監測之外,還可以從計算機工作管理員中檢視程序是否存在異常。一般來說,隱藏的程序存在於其他程序之下,所以使用者也可以結合程序記憶體映像來進行觀察。同時,使用者還應該對作業系統的其他相關資訊進行檢視,如此便能夠更好的掌握作業系統的資訊、狀態。
2.3 安裝系統防火牆
防火牆指的是處於兩個信任程度不同的網路之間的軟硬體裝置組合,它能夠對網路之間的資訊通訊進行有效控制,屬於強制性的安全防範措施。在計算機系統中安裝防火牆可以避免使用者電腦中的重要資料被非法竊取,從而起到保護作業系統的作用。防火牆技術能夠準確的識別並遮蔽來自非法使用者的請求,可以禁止超越許可權的資訊訪問,它就如同作業系統中的一個過濾器,也可以說是一個精密配置的閘道器,對作業系統與網際網路之間的資訊交換進行監測與過濾。
2.4 作業系統修復
作業系統的修復可以通過GHOST來完成,GHOST是計算機硬碟備份軟體,它的作用是把計算機中的資料完全複製到另外的硬碟中。不管是何種作業系統,都能夠快速進行克隆。GHOST的操作流程為:在配置相近的計算機中選定一臺,將其中的作業系統以及資訊資料複製到GHOST中,之後通過GHOST把這臺計算機上的作業系統製作成為映像檔案。當相同配置的計算機作業系統發生損壞時,我們可以利用GHOST軟體進行還原,從而確保系統中的重要程式不會丟失[2]。另外我們還可以把GHOST映象檔案備份到行動硬碟中,並利用計算機上的LPT介面進行復制。
2.5 隔離控制
第一是普通隔離,在物理裝置級實施隔離,讓不同的使用者程式只能夠使用分配的物理物件,比如說安全級別不同的使用者被分配到不同的印表機,對於特殊使用者的高密級運算可以在CPU一級進行隔離,使用專門的CPU進行運算;第二是時間隔離,對於安全需求不同的使用者程序分配不同的執行時間,當用戶需要運算高密級資訊時可以擁有計算機系統的最大許可權;第三是邏輯距離,多個使用者程序能夠同時執行,但是相互之間是獨立存在的,在作業系統內部對各個程序限定區域,禁止使用者程序無授權而訪問其他程序;第四是加密隔離,將系統程序的資料以及計算活動隱藏起來,讓其對於一般許可權的使用者是不可見的,對口令及系統核心資訊以密碼的方式來儲存,讓來賓使用者不能訪問,從而確保作業系統安全。
上述幾種隔離手段的複雜性是逐漸遞增的,其安全性都比較高,後兩種隔離手段主要是藉由作業系統自身某些功能來實現的。
2.6 記憶體管理
首先是單使用者記憶體保護的問題,在單使用者計算機作業系統中,系統程式與使用者程式共同運行於一個空間內,如果不採取有效的防護手段,使用者程式中的某些錯誤可能會對作業系統的正常執行產生影響。我們可以通過地址界限暫存器在記憶體中劃定一條區域邊界,讓使用者程式不能越過這一地址來干擾系統執行。
其次是多道程式的保護問題。在計算機系統中,使用一個地址界限寄存就能夠確保系統區域與使用者程式之間相互獨立安全執行。但是如果在多使用者系統中,我們則必須增加暫存器儲存使用者程式的上邊界地址。程式執行過程中硬體系統會對程式程式碼訪問的地址進行檢查,如果地址不在基址和上邊界之間即會報錯。通過這種方式能夠將程式完整的封閉於上下兩個邊界地址空間內,能夠避免一個使用者程式對另一使用者記憶體進行修改。
最後是標記保護措施。為了確保對各個儲存單元進行保護,滿足不同單元的不同需求,我們可以在每個記憶體字單元內對其屬性進行特殊標記。在每一次進行指令訪問之前都會測試這些位元,如果訪問操作和位元表示的屬性相同則指令執行,否則就會給出警告資訊。
3 結束語
目前,針對計算機作業系統的安全攻擊越來越多,其中的主要原因是作業系統自身存在漏洞,而這些漏洞和缺陷隱藏於系統內部,普通的使用者無法憑藉自己的能力將其找出,所以黑客和不法之徒會藉助這些漏洞攻擊計算機系統,竊取有價值的資料資訊。所以我們必須要在日常的使用過程中加強防範意識,採取一定的安全防範對策,保護好計算機中的軟硬體和資料,這樣才能有效避免作業系統遭到惡意攻擊和破壞。