1口令安全規則
Windows2003在用戶設定系統口令時不作口令安全規則檢查,用戶爲了使用方便,往往設置很簡單的口令,這樣容易造成口令安全的問題。可以專門增設口令安全規則檢查組件,在用戶設定系統口令時進行口令符合安全規則的檢查。當用戶輸入不符合規則的口令時,系統向用戶指出,並建議用戶更改,否則拒絕用戶使用簡單的口令。在進行安全規則設定時,我們可將規則進行分級,按照應用要求進行不同強度的規則劃分。不同等級強度採用不同的安全規則進行檢查。若1個用戶爲系統管理員,則應設爲最高級,進行最強的安全規則檢查。若用戶爲1個普通用戶,可根據系統對這類用戶的安全要求作相應等級的安全規則檢查。
2口令文件保護
爲了加強口令文件的安全,現在都使用了結合隨機數加密口令的方式,有效防止了預處理字典攻擊。作爲進一步的改進,可以將Windows2003的口令文件管理SAM進行擴展,在創建新用戶時,採集每個用戶的生物特徵信息替代上面的隨機數,將生物特徵代碼與用戶口令合成,再加密生成加密數據存貯在口令文件相應位置。這樣也可防範預處理字典攻擊,同時,由於生物特徵與每1個人和用戶名相對應,這樣用戶不可能否認該帳號不是他的,可提供抗抵賴證據。
3訪問控制
Window2003的訪問控制採用了自主訪問方式,具有較好的靈活性和易用性,同時有些安全組件己經實現了Bl級的部份安全要求,如安全標識功能。因此我們可以充分利用現有的安全組件,增設相應的強制訪問控制管理機制。系統首先執行強制訪問控制來檢查用戶是否擁有權限訪問1個文件組,然後再針對該組中的各個文件制定相關的訪問控制列表,進行自主訪問控制,使系統中主體對客體的訪問要同時滿足強制訪問控制和自主訪問控制檢查。
4文件管理
CZ級要求具備審計功能,不允許訪問其他用戶的內存內容和恢復其他用戶己刪除的文件。Windows2003通過提供相應的安全審計組件滿足安全審計要求。在文件管理方面,Windows2003提供了NTFS文件系統增強文件的安全性。在進行文件刪除管理時,Windows2003通過提供回收站功能,用戶可先將不用的文件放入回收站,這樣用戶可從回收站中將再次需要的文件重新取回。當確認不再使用這些己放入回收站的文件時,只需清空回收站,這時別的用戶就不可能利用系統本身提供的功能恢復別的用戶己刪除的文件。雖然它基本滿足了CZ級對文件管理的要求,但這對更高安全要求的應用是不夠的。由於Windows2003的文件刪除並不是徹底覆蓋刪除文件所用的硬盤扇區,而只是在文件分配表中給該文件作上已刪除標記,使系統不能再訪問,通過使用第3方工具可以很容易地恢復出用戶已刪除的文件。因此爲了加強文件管理的安全性,可以通過增加系統安全擦除組件,刪除文件的同時就徹底覆蓋文件所用的硬盤扇區。從而即使有用戶使用第3方工具也無法恢復出別的用戶已通過安全擦除方式刪除的文件。實現安全擦除,由於要重寫刪除文件所用的每一個扇區,因此比較耗費時間,會使系統的響應變慢。在設計擦除組件時,應充分考慮系統的可用性和靈活性,由用戶來設定重寫扇區的次數。系統缺省還是採用Windows2003的常規文件刪除方式,用戶在刪除自己的高密文件時,根據安全需求採用相應的擦除方式。
5漏洞補丁
Windows2003在發現系統安全漏洞後,通過及時在網上發佈系統的漏洞補丁來解決由漏洞引起的安全隱患。通常網上公佈後,由用戶自行下載安裝或設置系統定時下載補丁來安裝,但這樣缺乏及時性。應在系統安全漏洞的補救方式上,採取“推”而不是“拉”的辦法實現安全漏洞的補救。這樣一旦發現系統安全漏洞,操作系統供應商提出解決方案後就可通過網絡向用戶系統及時推出,而不是由用戶知道了漏洞再向服務器下“拉”漏洞補丁而錯過及時解決問題的時機。增加1個專門接收系統漏洞補丁的組件,保持端口常開,隨時接收來至網站的安全補丁,實現漏洞補救的及時性。
6用戶管理
在Windows2003系統中,系統管理員擁有絕對的權力,能對系統的一切相關設置進行管理,這樣對於安全性要求較高的應用場合是不適合的。應改變現有用戶管理的方式,將系統安全管理部分獨立出來,降低超級用戶的權力,設立系統管理員、安全管理員、安全審計員,防止攻擊者利用1個特權用戶的身份獲得對整個系統的控制。系統管理員的職責是系統的日常運行維護,安全管理員管理安全屬性等信息,安全審計員進行審計的配置和審計信息維護3種特權角色的權力互不交叉,不允許同一用戶充當兩種以上的特權角色,使相互之間形權力制約,限制系統管理員的權限,就可避免系統管理員權限過大的缺陷,使Windows2003更能適合安全要求更高的應用場合。
7安全模型
7.1安全操作系統模型
安全模型是對安全策略所表達的安全需求的簡單、抽象和無歧義的描述,爲安全策略與其實現機制的關聯提供了1種框架。安全模型描述了對某個安全策略需要用哪種機制來滿足,而模型的實現則描述瞭如何把特定的機制應用於系統中,從而實現某一特別的安全策略所需要的安全保護。通常由特殊可信主體,完整性檢查員的工作模式。通用操作系統雖然通過使用多種安全技術相結合的辦法能增強系統的安全性,但對於安全性要求較高的應用場合還是不能滿足安全要求的。該安全模型就是爲了加強系統的安全性提出的,該模型設計目的就是在更大程度上實現系統的安全性。通常機密性和完整性是操作系統安全的兩個重要特性,BLP模型只解決了機密性的問題,而Biba模型只解決了完整性的問題,沒有使二者同時兼顧。爲了更好地實現系統安全,根據BLP和Biha安全型的安全原理,結合實際應用,該模型將安全政策,決策實施,安全數據庫三者相分離,這樣就可以靈活的支持多種訪問控制機制。在這種情況下,系統通過修改內核中與安全相關的'系統調用,在具體操作執行前請求安全決策,根據決策結果決定是否允許實施操作。系統安全模型中,把操作系統分爲系統內核和用戶空間,系統內核分爲安全決策和決策實施兩個部分,安全決策依賴於安全政策,負責判斷1個安全相關行爲是否可以執行,決策實施與安全政策無關,負責執行1個已經得到許可的行爲所要執行的任務。安全決策內部設立相互獨立的政策支持機制,每個安全政策對應1個政策支持機制,這樣在安全政策的支持方面就能獲得一定的靈活性。在系統中,多種訪問控制機制、安全審計、加密文件系統等安全機制相互結合,構成了強大的安全內核。
7.2通用訪問控制框架
該安全系統模型中,通過使用通用訪問控制框架來實現靈活的訪問控制。當1個主體訪問客體時,相關係統調用就會請求安全決策,安全決策的相應機制首先根據安全請求的類型確定應採用的安全政策,再把決策任務轉交給對應的政策支持機制,最後將決策結果返回給決策實施機制去執行。從內核的角度看,安全相關行爲是由系統調用觸發的。以系統調用打開文件爲例,這是個安全相關行爲,首先決策實施模塊把打開文件的請求提交給安全決策子系統,決策系統受理這個請求,並由相應的政策支持機制作出判斷。決策結果返回給決策實施部分,決策實施部分根據決策結果實施相應動作,並將結果信息返回給系統調用。系統調用根據這個安全決策結果確定下一步的行爲。
7.3自主訪問控制
爲了實現進一步地對訪問進行控制,系統安全模型中通過增加基於ACL的自主訪問控制來實現。通過訪問控制列表(ACL)機制就可以實現對系統資源的訪問控制粒度的細化,可以實現系統中任一用戶對各種系統資源(目錄,文件,特別文件,管道等)的控制訪問。主體對客體的權限可以有3種方式:第1種是ACL信息中具體指定了此主體對此客體的權限;第2種是主體作爲某1組中的具體成員而對此客體享有它所在的組所享有的權限;第3種是該主體取此客體對外的缺省值。
7.4強制訪問控制
強制訪問控制是指對客體訪問的安全政策由系統強制實施,客體屬主無權控制客體的訪問權限,防止對信息的非法和越權訪問,保證信息的機密性。BLP模型是公認的信息保密模型,自產生以來在很多安全操作系統的開發中得到了應用。本模型的強制訪問控制也採用BLP模型,通過利用安全屬性庫(一些安全文件的集合)來實現強制訪問,並把這些安全文件放在受保護的特殊目錄下。爲了實現完整性訪問控制,模型可以用Biba安全模型爲基礎,根據信息可能被破壞所造成的影響的嚴重程度,對信息的修改實施強制訪問控制,支持系統客體和主體的完整性級別劃分,系統根據用戶身份的完整性級別和信息資源的完整性級別確定用戶對信息資源作修改的授權決定。在完整性訪問控制的支持下,可以防止非法用戶或進程修改敏感信息。
7.5系統管理特權分立
Windows2003、Linux、Unix的用戶特權劃分只有2級,超級用戶和普通用戶。超級用戶具有所有的特權,普通用戶沒有特權。這種做法不符合安全系統的“最小特權”原則。攻擊者只要獲得超級用戶身份,便得到了對系統的完全控制。通過在模型中使用“最小特權”原則對超級用戶的特權進行化分,根據系統管理任務設立3個角色並賦予相應特權。3個系統管理角色分別是系統管理員、安全管理員、審計管理員。統管理員負責系統的安裝、管理和日常維護,如安裝軟件、增添用戶帳號、數據備份等。安全管理員負責安全屬性的設定與管理。審計管理員負責配置系統的審計行爲和管理系統的審計信息,3個角色互相制約。攻擊者破獲某個管理角色的口令時不會得到對系統的完全控制,這樣就能更好地保證系統的安全性。
8結束語
石化企業信息系統面臨的諸多威脅,對信息系統的安全建設提出了挑戰。實現信息系統的安全,保證系統的正常運行成爲信息系統設計者和信息安全工作者亟待解決的難題。由此催生出許多可行的安全技術。操作系統的安全機制在一定程度上起到了防護作用,然而由於安全機制技術的不完善,很難杜絕安全事件的發生,人們就把目光轉向了操作系統的外圍,防火牆、網絡保密機、網絡安全服務器、安全管理中心、IDS等網絡安全產品的研製和使用,進一步加強了信息系統的安全。