硬件安全機制
絕大多數實現操作系統安全的硬件機制也是傳統操作系統所要求的,優秀的硬件保護性能是高效、可靠的操作系統的基礎。計算機硬件安全的目標是保證其自身的可靠性和為系統提供基本安全機制。其中,基本安全機制包括存儲保護、運行保護、I/O保護等。
標識與鑒別技術
標識與鑒別是涉及系統和用戶的一個過程。標識是系統標志用戶的身份,并為每個用戶取一個系統可以識別、唯一且無法偽造的內部名稱——用戶標識符。將用戶標識符與用戶聯系的過程稱為鑒別,鑒別過程主要用于識別用戶的真實身份,鑒別操作要求用戶具備證明其身份的特殊信息,并且這個信息是秘密的,其他用戶無法獲得。
在操作系統中,鑒別一般是在用戶登錄時發生的,系統提示用戶輸入口令,然后判斷用戶輸入的口令是否與系統中存在的該用戶的口令一致。這種口令機制是簡便易行的鑒別手段,但比較脆弱,許多計算機用戶常常使用弱口令(如自己的姓名、生日等),以致系統很不安全。另外,生物技術是目前發展較快的鑒別用戶身份的方法,如利用指紋、視網膜等。
較安全操作系統應采用強化管理的口令鑒別、基于令牌的動態口令鑒別、生物特征鑒別、數字證書鑒別等機制進行身份鑒別,在每次用戶登錄系統時進行鑒別,并以一定的時間間隔進行改變。
訪問控制技術
訪問控制為操作系統內的常用防護技術,且僅適用于系統內的主體和客體。在安全操作系統領域中,訪問控制一般涉及自主訪問控制和強制訪問控制2種形式。
強制訪問控制的安全性比自主訪問控制的安全性有所提高,但靈活性要差一些。強制訪問控制包括規則型(Rule-based)訪問控制和管理指定型(Administratively-based)訪問控制。MAC模型中比較主要的幾個模型:Lattice模型、Bell-LaPadula模型(BLP model)和Biba模型(Biba model)。
最小特權管理
超級用戶/進程擁有所有權限,便于系統的維護和配置,卻在一定程度上降低了系統的安全性。最小特權的管理思想是系統不應給用戶/管理員超過執行任務所需特權以外的特權。例如,在系統中定義多個特權管理職責,任何一個都不能夠獲取足夠的權利對系統造成破壞。
為了保障系統的安全性,可以設置如下管理員,并賦予相應職責。如果有需要,可以進行改變和增加,但必須考慮改變帶來的安全性變動。
隱蔽通道
隱蔽通道可定義為系統中不受安全策略控制的、違反安全策略的信息泄露路徑。隱蔽通道在國內文獻中也被稱為泄露路徑、隱通道或隱蔽信道,公認定義為“允許進程以危害系統安全策略的方式傳輸信息的通信通道”(GB 17859?1999《計算機信息系統安全保護等級劃分準則》)。
按信息傳遞的方式和方法區分,隱蔽通道可分為存儲隱蔽通道和時間隱蔽通道。存儲隱蔽通道在系統中通過2個進程利用不受安全策略控制的存儲單元傳遞信息;時間隱蔽通道在系統中通過改變廣義存儲單元傳遞信息。對隱蔽通道的處理技術包括消除法、帶寬限制法和威懾法。
文件系統加密技術
訪問控制機制是實現操作系統安全性的重要機制,但解決不了所有的安全問題。在操作系統正常工作的情況下,操作系統的訪問控制機制能夠有效地保護在操作系統控制范圍之內的信息免遭非法訪問,但是,一旦信息離開了某個操作系統的控制范圍,該操作系統的訪問控制機制對信息的安全性保護就無能為力了。
安全審計
一個系統的安全審計就是對系統中有關安全的活動進行記錄、檢查及審核。它的主要目的就是檢測和阻止非法用戶對計算機系統的入侵,并顯示合法用戶的誤操作。審計作為一種追查手段來保證系統安全,將涉及系統安全的操作做一個完整的記錄。審計為系統進行事故原因的查詢、定位,事故發生前的預測、報警以及事故發生后的實時處理提供詳細、可靠的依據和支持,以備有違反系統安全規則的事件發生時能夠有效地追查事件發生的地點、過程以及責任人。
如果將審計和報警功能結合起來,就可以做到每當有違反系統安全的事件發生或者有涉及系統安全的重要操作進行時,能夠及時向安全操作員終端發送相應的報警信息。審計過程一般是一個獨立的過程,應與系統其他功能相隔離。同時要求操作系統能夠生成、維護及保護審計過程,使其免遭修改、非法訪問及毀壞,特別要保護審計數據,要嚴格限制未經授權用戶的訪問。
系統可信檢查機制
可通過建立安全操作系統構建可信計算基(TCB),建立動態、完整的安全體系。建立面向系統引導的基本檢查機制、基于專用CPU的檢查機制、基于TPM/TCM硬件芯片的檢查機制和基于文件系統的檢查機制等可信檢查機制,實現系統的完整性保護,能夠很大程度上提升系統的安全性,這種機制的構建基于可信計算技術。。
