)
小白程序员必看!操作系统安全入门指南(收藏版)
本文介绍了操作系统安全的基本概念、目标和需求,并详细分析了Windows和UNIX/Linux操作系统的安全机制与防护方法。内容涵盖了Windows系统的架构、安全机制、可能遭遇的安全威胁以及增强系统安全的基本步骤和实例。同时,还探讨了UNIX/Linux操作系统的认证、审计、访问控制机制,以及系统安全增强技术和配置参考。最后,文章简要分析了国产操作系统的安全风险和增强措施。对于想要入门网络安全的小白程序员来说,本文提供了全面而实用的学习资源,帮助读者建立起对操作系统安全的基本认识。
数据安全笔记——操作系统安全
一、操作系统安全概述
(一)操作系统安全概念
指满足安全策略要求,具有相应的安全机制及安全功能,符合特定的安全标准,在一定约束条件下,能够抵御常见的网络安全威胁,保障自身的安全运行及资源安全。
操作系统分五个等级:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。
狭义上说,操作系统的安全可控侧重于产品安全。
广义上说,操作系统的安全可控侧重于产业可控(国产生态配齐)。
(二)操作系统安全目标和需求
操作系统安全目标:能够防范网络安全威胁,保障操作系统的安全运行及计算机系统资源的安全性。
操作系统的安全需求:
标识和鉴别。
访问控制。
系统资源安全。
网络安全。
抗攻击。
自身安全。
(三)操作系统安全机制
二、Windows操作系统安全分析与防护
(一)Windows系统架构
Windows系统划分为三层:
最底层是硬件抽象层,它为上面的一层提供硬件结构的接口,有了这一层就可以使系统方更地移植;
第二层是内核层,它为底层提供执行、中断、异常处理和同步的支持;
第三层是由实现基本系统服务的模块组成的,例如虚拟内存管理、对象管理、进程和线程管理、IO管理、进程通信和安全参考监督器;
UNIX/Linux操作系统分为三层:硬件层、 系统内核和应用层
(二)Windows安全机制
(三)Windows系统安全分析与增强方法
- Windows系统可能遭遇以下安全威胁:
Windows口令(弱口令)
Windows恶意代码(病毒、木马、蠕虫、僵尸网络)
Windows应用软件漏洞
Windows系统程序的漏洞
Windows注册表安全
Windows文件共享安全
Windows物理临近攻击
- 系统安全增强方法
安全漏洞打补丁(Patch)。
停止服务和卸载软件。
升级或更换程序。
修改配置或权限。
去除特洛伊等恶意程序。
安装专用的安全工具软件。针对Windows漏洞修补问题,用户可以安装自动补丁管理程序。
(四)Windows系统安全增强基本步骤
(五)Windows系统安全增强实例
三、UNIX/Linux操作系统安全分析与防护
UNIX/Linux操作系统分为三层:硬件层、系统内核和应用层,
UNIX/Linux是一种多用户(并非系统设置多个账户,而是多个用户可以同时使用系统资源)、多任务的操作系统,具备如下安全机制:
(一)UNIX/Linux认证
基于口令的认证方式。
终端认证。在UNIX/Linux系统中,还提供一个限制超级用户从远程登录的终端认证(即限定root用户从指定IP地址登录,换了不信任的IP,即便使用正确的用户名和密码也无法直接登录)。
主机信任机制。系统提供不同主机之间的相互信任机制,使得不同主机用户之间无须系统认证就可以登录。
第三方认证。例如一次一密口令认证S/Key、Kerberos认证系统、插入式身份认证PAM。
(二)UNIX/Linux审计机制
不同版本UNIX/Linux日志文件的目录是不同的,早期版本UNIX的审计日志目录放在/usr/adm;较新版本的在/var/adm;
Solaris,Linux和BSD在UNIX/var/log
(三)UNIX/Linux访问控制
UNIX/Linux一般通过文件访问控制列表ACL来实现系统资源的控制,也就是常说的通过“9bit位来实现
例如某个文件信息:-nwx r-xr-- 1 test test 4月9日 17:50 sample.txt
用户test对文件sample.txt的访问权限有“读、写、执行”,而test组的其他用户只能“读、执行”,除此以外的其他用户只有“读”权限
(四)UNIX/Linux系统安全增强技术
(五)UNIX/Linux安全配置参考
(六)UNIX/Linux安全模块应用参考
Linux安全模块(LSM)为Linux内核提供了一个轻量级的、通用目的的访问控制框架,使得很多不同的访问控制模型可以作为可加载模块来实现。LSM采用了在内核源代码中放置钩子的方法,对内核内部对象的访问进行控制
通过LSM,相关安全组织可以根据安全需要开发特定的安全模块,挂接到Linux操作系统。目前,采取这种方式来增强Linux安全的主要有插件式身份验证模块框架(PAM)、SELinux等。
PAM,通过“插件”增加UNIX/Linux新的身份验证服务,而无须更改原有的系统登录服务,例如Login, FTPTelnet同时,可以使用PAM将UNIX/Linux登录与其他安全机制(例如Kerberos)集成在一起。
SELinux(Security Enhanced Linux),由策略和实施组成,策略封装在安全服务器中,实施由对象管理器具体执行。
SELinux可以实现基于角色的访问控制和强制访问控制
四、国产操作系统安全分析与防护
国产操作系统:中科方德、中标麒麟、北京凝思科技、普华、深度Linux、华为鸿蒙操作系统、阿里飞天云操作系统、统信UOS
国产操作系统安全分析
Linux内核的安全风险。内核漏洞:输入验证错误、缓冲区溢出错误、边界条件错误、访问验证错误、异常条件处理错误、环境错误、配置错误、条件竞争错误、设计错误等。
自主研发系统组件的安全。因为软件的复杂性,国产操作系统自主研发系统组件可能存在安全漏洞,导致操作系统面临安全风险。
依赖第三方系统组件的安全。依赖的第三方系统组件存在安全漏洞,引发操作系统安全风险问题。
系统安全配置的安全。对国产操作系统的安全配置不当,构成系统安全威胁。常见的安全配置不当包括未启用系统安全功能、设置弱口令、开放过多的服务端口、使用非安全远程登录工具等。
硬件的安全。国产操作系统受制于硬件而产生的安全问题。
国产操作系统安全增强措施:国产操作系统在自主可控、安全可信方面,对开源操作系统Linux进行安全增强,从多个方面对Linux操作系统提供安全保障,包括管理员分权、最小特权、结合角色的基于类型的访问控制、细粒度的自主访问控制、多级安全(即禁止上读下写)等多项安全功能,从内核到应用提供全方位的安全保护。
《网络安全从零到精通全套学习大礼包》
96节从入门到精通的全套视频教程免费领取
如果你也想通过学网络安全技术去帮助就业和转行,我可以把我自己亲自录制的96节 从零基础到精通的视频教程以及配套学习资料无偿分享给你。
网络安全学习路线图
想要学习 网络安全,作为新手一定要先按照路线图学习,方向不对,努力白费。对于从来没有接触过网络安全的同学,我帮大家准备了从零基础到精通学习成长路线图以及学习规划。可以说是最科学最系统的学习路线,大家跟着这个路线图学习准没错。
配套实战项目/源码
所有视频教程所涉及的实战项目和项目源码
学习电子书籍
学习网络安全必看的书籍和文章的PDF,市面上网络安全书籍确实太多了,这些是我精选出来的
面试真题/经验
以上资料如何领取?
dnimg.cn/direct/5458f21c6efa4e739621ffb5d4309b20.jpeg#pic_center)
