操作系统的安全机制包括哪些
硬件安全机制
绝大多数实现操作系统安全的硬件机制也是传统操作系统所要求的,优秀的硬件保护性能是高效、可靠的操作系统的基础。计算机硬件安全的目标是保证其自身的可靠性和为系统提供基本安全机制。其中,基本安全机制包括存储保护、运行保护、I/O保护等。
标识与鉴别技术
标识与鉴别是涉及系统和用户的一个过程。标识是系统标志用户的身份,并为每个用户取一个系统可以识别、唯一且无法伪造的内部名称——用户标识符。将用户标识符与用户联系的过程称为鉴别,鉴别过程主要用于识别用户的真实身份,鉴别操作要求用户具备证明其身份的特殊信息,并且这个信息是秘密的,其他用户无法获得。
在操作系统中,鉴别一般是在用户登录时发生的,系统提示用户输入口令,然后判断用户输入的口令是否与系统中存在的该用户的口令一致。这种口令机制是简便易行的鉴别手段,但比较脆弱,许多计算机用户常常使用弱口令(如自己的姓名、生日等),以致系统很不安全。另外,生物技术是目前发展较快的鉴别用户身份的方法,如利用指纹、视网膜等。
较安全操作系统应采用强化管理的口令鉴别、基于令牌的动态口令鉴别、生物特征鉴别、数字证书鉴别等机制进行身份鉴别,在每次用户登录系统时进行鉴别,并以一定的时间间隔进行改变。
访问控制技术
访问控制为操作系统内的常用防护技术,且仅适用于系统内的主体和客体。在安全操作系统领域中,访问控制一般涉及自主访问控制和强制访问控制2种形式。
强制访问控制的安全性比自主访问控制的安全性有所提高,但灵活性要差一些。强制访问控制包括规则型(Rule-based)访问控制和管理指定型(Administratively-based)访问控制。MAC模型中比较主要的几个模型:Lattice模型、Bell-LaPadula模型(BLP model)和Biba模型(Biba model)。
最小特权管理
超级用户/进程拥有所有权限,便于系统的维护和配置,却在一定程度上降低了系统的安全性。最小特权的管理思想是系统不应给用户/管理员超过执行任务所需特权以外的特权。例如,在系统中定义多个特权管理职责,任何一个都不能够获取足够的权利对系统造成破坏。
为了保障系统的安全性,可以设置如下管理员,并赋予相应职责。如果有需要,可以进行改变和增加,但必须考虑改变带来的安全性变动。
隐蔽通道
隐蔽通道可定义为系统中不受安全策略控制的、违反安全策略的信息泄露路径。隐蔽通道在国内文献中也被称为泄露路径、隐通道或隐蔽信道,公认定义为“允许进程以危害系统安全策略的方式传输信息的通信通道”(GB 17859−1999《计算机信息系统安全保护等级划分准则》)。
按信息传递的方式和方法区分,隐蔽通道可分为存储隐蔽通道和时间隐蔽通道。存储隐蔽通道在系统中通过2个进程利用不受安全策略控制的存储单元传递信息;时间隐蔽通道在系统中通过改变广义存储单元传递信息。对隐蔽通道的处理技术包括消除法、带宽限制法和威慑法。
文件系统加密技术
访问控制机制是实现操作系统安全性的重要机制,但解决不了所有的安全问题。在操作系统正常工作的情况下,操作系统的访问控制机制能够有效地保护在操作系统控制范围之内的信息免遭非法访问,但是,一旦信息离开了某个操作系统的控制范围,该操作系统的访问控制机制对信息的安全性保护就无能为力了。
安全审计
一个系统的安全审计就是对系统中有关安全的活动进行记录、检查及审核。它的主要目的就是检测和阻止非法用户对计算机系统的入侵,并显示合法用户的误操作。审计作为一种追查手段来保证系统安全,将涉及系统安全的操作做一个完整的记录。审计为系统进行事故原因的查询、定位,事故发生前的预测、报警以及事故发生后的实时处理提供详细、可靠的依据和支持,以备有违反系统安全规则的事件发生时能够有效地追查事件发生的地点、过程以及责任人。
如果将审计和报警功能结合起来,就可以做到每当有违反系统安全的事件发生或者有涉及系统安全的重要操作进行时,能够及时向安全操作员终端发送相应的报警信息。审计过程一般是一个独立的过程,应与系统其他功能相隔离。同时要求操作系统能够生成、维护及保护审计过程,使其免遭修改、非法访问及毁坏,特别要保护审计数据,要严格限制未经授权用户的访问。
系统可信检查机制
可通过建立安全操作系统构建可信计算基(TCB),建立动态、完整的安全体系。建立面向系统引导的基本检查机制、基于专用CPU的检查机制、基于TPM/TCM硬件芯片的检查机制和基于文件系统的检查机制等可信检查机制,实现系统的完整性保护,能够很大程度上提升系统的安全性,这种机制的构建基于可信计算技术。。