技术分享 | 操作系统安全思考与建议

2022-11-03 来源:长扬科技

数字化时代,数据作为战略性新兴生产要素倍受重视,随之而来的数据安全、个人隐私保护风险已成为数字经济安全的核心问题。作为数字化时代的一块最主要的基石,操作系统不仅承载着大量重要的数据信息,而且也是数据存储、资源调度以及对外服务的重要载体,如果没有合理设置和防护,操作系统会成为计算机系统的薄弱点,让人们在遭遇信息威胁时变得更加脆弱。


信息系统安全与操作系统安全

信息系统安全的五个层面包括: 物理安全、网络安全、系统安全、应用系统安全、管理措施。其中系统层面所要求的操作系统安全是全部安全策略中的重要一环。操作系统的安全也是网络系统信息安全的基础,所有信息化应用的安全措施都依赖操作系统作为底层支撑。操作系统的漏洞或配置不当有可能导致整个安全体系的崩溃。各种操作系统之上的应用系统想要保证信息的安全性、完整性、机密性,必须依赖于操作系统提供的系统软件基础,任何脱离操作系统安全的应用系统想保证信息安全都是不可能。


操作系统威胁分析

与安全相对应的是威胁。要保障安全,就需要了解威胁是什么。常见的操作系统安全所面对的威胁来自于多个方面,如下图所示。


微信图片_20221103141222.png


其中系统漏洞、特洛伊木马、病毒、蠕虫、逻辑炸弹、天窗、隐蔽通道为技术方面的威胁;内部人员威胁、硬件故障、供电中断、自然灾害、社会工程学为管理方面的威胁。


为了达到安全目标,技术上,操作系统需要从用户管理、访问控制、网络安全和存储安全等各个方面对系统行为进行控制,保证破坏系统安全的行为难以发生。同时,还需要对系统的所有行为进行记录,一旦发生攻击等恶意行为就会留下痕迹,使安全管理人员有据可查;管理上,企业需要制定一套可执行的安全管理体系和运行保障体系来规范操作系统使用人员的操作流程,避免人为的配置错误造成操作系统进入不安全状态。


国内操作系统相关标准

1996年,中国国防科学技术工业委员会发布GJB2646-96 《军用计算机安全评估准则》,该标准规定了评估计算机安全的准则,等级划分及每个等级的安全要求。


1999年,国家技术监督局发布了国家标准GB 17859-1999《计算机信息系统安全保护等级划分准则》,为计算机信息系统安全保护能力划分了等级。


2002年,公安部在GB17859的基础上,发布实施了五个行业新标准,其中包括GA388-2002《计算机信息系统安全等级保护操作系统技术要求》。为了适应我国等级保护的要求,先后形成了相应的国家标准:GB/T 2008-2005《信息安全技术操作系统安全评估准则》、GB/T 20272-2006《信息安全技术操作系统安全技术要求》。


2019年,国家市场监督管理总局、中国国家标准化管理委员会发布了国家标准GB/T 20272-2019《信息安全技术 操作系统安全技术要求》来替代GB/T 20272-2006《信息安全技术操作系统安全技术要求。


国家标准GB/T 20272-2019《信息安全技术―操作系统安全技术要求》适应中国对自主知识产权安全操作系统的迫切需求,对已有安全操作系统的开发者提供指导作用、为安全操作系统的测试者提供测试依据。该标准对中国国内的安全操作系统提出统一的安全技术要求,使得中国国内的检测机构根据该标准,能够对安全操作系统进行标准化的测试和评价,从而保证测试评价结果的完整性和一致性;同时也可对安全操作系统的开发者提供指导作用。该标准规定了五个安全等级操作系统的安全技术要求。如下表所示。


1667456030876612.png


加强操作系统安全的部分机制和技术

1. 标识与鉴别

标识与鉴别是涉及系统和用户的一个过程。标识就是系统要标识用户的身份,并为每个用户取一个系统可识别的用户标识符,用户标识符唯一且不可伪造,防止用户冒充行为。鉴别是用户标识符与用户联系的过程。鉴别过程主要用于识别用户的真实身份。


在操作系统中,用户登录的过程就属于系统对用户合法性的鉴别。可以从以下几个方面来加强鉴别安全:


  • 对于采用静态口令认证技术的设备,帐户口令的生存期不长于 90 天。

  • 对于采用静态口令认证技术的设备,口令长度至少12 位,并包括数字、小写字母、大写字母和特殊符号 4 类中至少 3 类。

  • 配置当用户连续认证失败次数超过 5 次,锁定该用户使用的帐号。

  • 用户远程登录禁用root用户。

  • 对于安全等级要求高的设备,采用静态口令+数字证书或生物识别的双因子认证。


2. 最小权限原则

最小权限原则是指仅仅给予人员、程序系统最小能完成其功能的权限。在操作系统运维工作中,最小化权限原则应用的一些例子包括:


  • 服务器网络访问权限控制。如当信息系统的后端服务不需要被外部访问时,禁止对其分配公网IP或开放端口。

  • 使用普通用户运行应用程序。例如在Linux环境中,Mysql、Httpd、Nginx 等对外提供服务的程序都应该使用普通用户来运行,以此来有效降低应用程序漏洞带来的安全风险。

  • 为应用程序创建隔离环境。例如通过chroot将程序运行环境切换到指定目录。

  • 关闭不必要的系统服务。


3. 访问控制

在计算机系统中,安全机制的主要内容是访问控制。访问控制是为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用。常见的访问控制模型如下图所示。


1667456530743928.png


操作系统中的访问控制一般涉及自主访问控制和强制访问控制两种形式。


自主访问控制:是由客体的属主对自己的客体进行管理,由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体,这种控制方式是基于用户的,具有很高的灵活性。需要注意的是,在配置客体的权限时,要根据最小权限原则对客体配置自主访问控制权限。


强制访问控制:系统中的主体和客体都被赋予了相应的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体。安全属性是不能改变的,它由系统管理人员(如安全管理员)或由操作系统自动地按照严格的规则来设置,不像访问控制表那样由用户或他们的程序直接或间接地修改。


操作系统中基于访问控制表的自主访问控制存在着明显的缺陷:一方面,超级用户(root/Administrator)权力过度集中,可以随意修改客体的访问控制表,只要拥有超级管理员权限就可以对服务器所有的资源进行任意操作;另一方面,客体的属主可以自主地将权限转授给别的主体,一旦把某个客体的ACL修改权转授出去以后,拥有者便很难对自己的客体实施控制了。使用强制访问控制可以弥补自主访问控制的不足,加强操作系统安全。Linux中常见的强制访问控制安全子系统如SELinux、Apparmor等。


4. 文件系统加密技术

操作系统的访问控制机制可以起到很好的保护客体(如重要文件)的作用,但是一旦信息所在的存储设备离开了当前操作系统的控制范围,该操作系统的访问控制机制对信息的安全性保护就无能为力了。


为了防止因信息载体落入他人手中而导致的信息泄露问题,可以采取对信息进行加密的措施。在操作系统中实现信息加密的方法很多,可以对单个文件进行加密,也可以对整个磁盘进行加密。


5. 白名单机制

白名单机制明确定义了什么是被允许的,除此之外的情况全部拒绝。白名单机制和黑名单机制相对,黑名单机制明确定义了什么是不被允许的。单纯使用黑名单机制显而易见的缺陷是我们很难穷举所有可能的威胁。使用白名单机制的好处是那些未被预期考虑到的威胁也是被阻止的。例如,在配置防火墙规则时,最佳方式是在规则最后设置成拒绝所有其他连接。


6. 安全审计

安全审计就是对操作系统中涉及安全事件的活动进行记录、检查、审核或追溯。它的主要目的就是检测非法用户对计算机系统的入侵,显示合法用户的误操作,并能及时发出安全警告以便让管理员对入侵事件进行快速响应。审计作为一种事后追查的手段来保证系统的安全,它对涉及系统安全的操作做一个完整的记录。审计为系统进行事故原因的查询、定位,事故发生前的预测、报警以及事故发生之后的实时处理提供详细、可靠的依据和支持,以备有违反系统安全规则的事件发生后能够有效地追查事件发生的地点和过程以及责任人。


在Linux系统中,默认情况下,系统相关日志是保留在本地的。黑客入侵系统后,往往会通过删除本地日志的方式达到隐藏操作痕迹。为了预防这种情况发生,一方面可以通过权限分割来把超级管理员对审计日志的操作权限交由单独的审计管理员管理;另一方面可以把与安全相关的关键系统日志实时传送到远程服务器上,以此来预防审计日志遭到篡改或删除。


结束语

信息安全的攻击和防护是不对称的,信息安全水平的高低遵循木桶原理。虽然有多种多样的防护措施,但是信息安全水平的高低,却取决于防护最薄弱的环节。木桶原理体现了安全体系建设中对整体性原则的要求。操作系统安全只是信息安全中的一个层次,还需要各个环节的配合,与各种安全软硬件形成解决方案,如防火墙、入侵检测、加密产品等配合使用,才能达到信息系统安全的最佳状态。


相关动态

ISO9001

质量管理体系认证

ISO14001

环境管理体系认证

ISO27001

信息安全管理体系认证

ISO20000

信息技术服务管理体系认证

信息系统

安全运维服务资质