王坤
关键词:计算机平台;操作系统;安全加固
前言:计算机应用随着信息化理念的落实,开始走入社会各行各业。然而,由于计算机需要依赖操作系统才能够完成执行任务,因此操作系统存在的风险漏洞问题会直接影响用户利益。为尽可能提高计算机应用可靠性,应当重视安全加固技术,确保其能够得到科学部署,从根源层面强化操作系统健全性,实现理想计算机应用目标。
1 计算机操作系统的要求
1.1真实可靠
计算机平台应用操作系统,需要保证其具有基本的真实、可靠特征。用户需要在完成身份信息检验的情况下,被赋予身份密钥用于后续执行相关任务活动。通过遵循真实可靠标准,操作系统能够保证信息操作处于安全状态下,最大限度降低出现不良问题的概率,能够为防御体系构建基础环境。因此,操作系统需要满足真实、可靠的执行要求。
1.2保密完整
操作系统针对信息与数据进行处理时,应当达到保密、完整要求标准,确保敏感信息存储区能够得到正确保护,避免产生泄露问题。由于任务面向群体存在差异,因此操作系统需要同时执行机密与非机密任务。若未达到保密、完整原则,便容易导致相关信息出现混淆问题,容易引发恶意篡改或敏感数据泄露现象。因此,操作系统需要实现保密与完整特性,确保相关要求得到正确落实。
1.3可控占有
可控与占有性属于操作系统的基础要求之一,在正常应用环境下,信息的传递需要正确进行控制,才能够达到理想执行标准。若该流程可控性不足,可能会导致操作系统无法正常响应用户需求,最终引发意外情况。占有要求则属于用户的独立操作特征之一,通过维持操作系统独占状态,能够使授权用户在理想条件下执行多种任务,保证相关请求得到充分、随时响应,提高工作效率与质量。
2 计算机操作系统的安全困境
2.1系统安全困境
目前,计算机操作系统普遍面临安全困境问题,需要采取有效加固措施进行处理。系统漏洞属于安全困境的典型表现,在操作系统设计过程中,其需要基于程序语言构建内核与应用服务。但是,由于程序本身存在的局限特征,整体构架往往会出现一些漏洞问题,导致执行流程不标准或出现敏感数据泄露、任务处理不当等现象。在这种情况下,黑客等违法分子可能会通过技术手段挖掘操作系统漏洞,并设计相关工具,通过漏洞入侵系统内部,进而实现获取敏感信息或破坏勒索的最终目标[1]。除此之外,人为设计的计算机病毒、木马、蠕虫等也可以利用系统漏洞,继而实现内部权限提升或远程代码注入等非法目标,最终导致用户承受不必要的损失。因此,需要重视计算机操作系统在应用阶段存在的漏洞问题,确保加固技术可以得到正确部署,使漏洞负面影响控制在最低范围内,提高整体安全级别。
2.2程序安全困境
操作系统本质上由多种程序共同构成,这些程序的执行目标各不相同,其中一部分属于底层执行逻辑,需要负责与硬件设备进行交互。同时,另一部分主要面向用户界面,为操作人员提供多种基础功能,如移动文件、执行计算程序、连接互联网等。这些程序共同构成了操作系统体系,因此如果其出现安全问题,便会导致操作系统安全性下降,容易出现不良现象。例如,用户程序出错可能会导致CPU陷入死锁状态,迫使用户重新启动系统[2]。在服务器等架构中,重新启动需要消耗大量时间,同时还会导致服务中断,容易造成经济损失问题。内核程序一旦出现安全问题,便会严重削弱操作系统实际防范效果,有可能引发扩大化故障等现象,威胁用户文件与信息安全。
2.3数据安全困境
操作系统需要依靠数据存储结构完成信息的转移与处理,这一结构也可以称之为数据库。在实际应用过程中,数据库安全性会直接关联用户实际体验。若操作系统未采取可靠加固措施,便有可能导致数据库遭到非法访问或破坏,最终引发不必要的损失出现。例如,未正确设置权限访问系统,便会导致用户文件直接暴露在常规环境下,能够被程序随意修改。一旦计算机环境内出现勒索病毒,便会导致用户数据库被全面加密,最终造成不可预见的损失。
3 计算机操作系统的安全加固技术
3.1WINDOWS系统平台
3.1.1检查系统版本与漏洞
WINDOWS平台安全加固需要从多方面入手,确保其运行可靠性能够符合实际需求。相对于LINUX平台,WINDOWS对于安全更新的需求较高,同时新版本系统也会加入全新特性,使加固效果得到重要保障。因此,在实际操作阶段应当针对系统版本与更新情况进行检查,及时发现并下载安装相关内容,实现理想加固目标。检查操作可通过管理员模式运行winver命令,判断操作系统版本是否与当前最新版本号一致[3]。若版本号过低,则应当及时运行系统更新,通过自动化方式完成检查与安装,并及时重启系统平台,确保补丁能够正常生效。
3.1.2重视审计信息对比与加固
审计信息加固属于WINDOWS平台较为关键的技术之一,通常情况下其信息内容包括密码登录状态、账号锁定情况、审核实际应用方案、日志文件大小、用户权限管理与安全选项设定等多个基础部分。加固过程中,应当针对密码与账号进行锁定处理。这些操作可以通过组策略体系进行,通过在管理員模式下运行gpedit.msc,可以打开组策略设定界面。在界面中应当设置账号与密码锁定选项,并针对审核策略进行规划,包括登陆时间、对象访问、操作流程追踪等。同时,除组策略外还需要进入事件查看器,定期对日志内容进行对照检查,及时发现可能存在的入侵问题。对比过程应当根据应用程序与安全日志模块展开分析,确保系统得到充分加固。除此之外,本地策略需要针对暂停空闲时间、交互式登录等环节进行设置,确保敏感信息能够得到充分保护,避免出现意外泄露问题,提高对外界登录的审核力度。例如,修改交互式登录环节必须按下CTRL键、ALT键、DEL键以实现确认处理[4]。通过这种方式,能够避免远程登录模拟键盘等特殊入侵方式威胁系统安全,具有加固系统的重要作用。
3.1.3针对系统服务进行加固
相对于LINUX系统平台而言,WINDOWS服务体系属于功能较为丰富、应用范围广泛的特性之一。但是,服务体系中存在一些无用服务,不仅无法为用户提供便利,同时还会导致不必要的风险产生。因此,在系统加固阶段应当针对服务进行技术性处理,确保不必要服务得到禁用,提高系统安全性。操作阶段,可以在管理员模式下运行WINDOWS POWERSHELL,并输入net start命令检查当前处于运行状态下的服务。针对不必要的服务可以在服务控制界面禁用,如DHCP CLIENT、REMOTE REGISTRY等。这些服务面向网络模块,容易产生漏洞问题,同时用户通常不会涉及相关功能,因此可以在加固过程中予以禁用。
3.1.4加固注册表模块
注册表属于WINDOWS操作系统的核心模块之一,其同样需要采取加固技术进行处理,以确保安全性达到基础标准。在加固注册表项的过程中,可以结合系统版本情况应用相关处理方式,避免出现版本不一致导致的偏差问题。例如,在WINDOWS 7及以上版本中,CD自动运行功能已经得到了完善,通常安全风险较低。而在WINDOWS XP及以下版本中,CD自动运行会直接读取相关配置文件,容易导致病毒或木马进入系统内存,影响基础安全性。因此,在加固注册表项时需要结合系统版本进行设置,确保相关项目能够得到正确处理。
3.2LINUX系统平台
3.2.1检查内核更新
LINUX系统更新需求相对较低,其更加注重运行稳定性与长期可靠性。但是,部分涉及到内核的安全漏洞仍然会对系统平台造成威胁,因此在加固过程中需要针对LINUX内核版本进行检查,并结合技术新闻分析是否存在致命漏洞。LINUX检查指令可采用lsb_release -a方式分析发行版本,或采用uname -a检查内核版本状态,确保后续更新活动能够正常进行,完成系统加固。
3.2.2加固账号管理
LINUX操作系统对于用户权限的管控较为严格,在被入侵的条件下,不法分子往往需要首先建立超级管理员账户以取得控制权。因此加固过程中技术人员需要利用命令或查看方式,检查/etc/passwd文件内root权限是否处于唯一状态,同时对照分析是否存在不必要的账户,为后续加固提供重要支持[5]。
3.2.3加固权限访问
访问控制加固属于LINUX平台较为关键的安全技术处理之一,在实际操作过程中,技术人员应当利用umask命令对系统内部数值进行对比,分析其是否符合0022,。同时,还应当检查系统内部用户组状态,分析是否存在被异常删除的用户组。为确保访问能够符合实际应用需求,本地环境下的LINUX平台需要禁止root权限用户进行远程登录,以确保系统能够得到充分加固。同时,系统内部关键文件应当保证访问权限处于644或600状态,防止其遭到非法修改。为贯彻落实加固目标,LINUX操作系统主机应当避免与其它主机建立信任关系。因此技术人员需要检查系统内是否存在信任文件,如host.equiv等,并保证其内容处于空白状态,确保系统安全稳定性符合基础需求。
3.2.4加固服务与关键目录
LINUX系统服务同样需要进行加固处理,通过应用chkconfig --list命令,可以直接检查LINUX系统内部服务运行状态。在对比实际需要的服务后,即可禁用其它服务进程,使系统得到充分加固。除此之外,LINUX还应当针对文件目录进行加固处理。技术人员可以针对/tmp与/var目录设置占粘滞位,避免未经授权的用户意外删除相关内容,提高系统加固效果。
3.3平台通用
3.3.1访问控制技术
在操作系统安全加固体系中,访问控制属于较为常用的技术方案之一。通常情况下,访问控制主要分为两种基础策略,即自主与强制。自主策略操作主体,即用户可以对资源访问进行设定,并规范其它主体实际权限。这一策略在NT内核与UNIX内核操作系统中均得到了广泛应用,但其管理权限相对较为分散,容易产生信息泄露问题,因此需要通过进一步改进方式,使其加固效果能够得到显著提升[6]。强制策略通过预先规定资源访问权限与主体,使加固安全性可以充分发挥。这一规定通常由超级管理员执行,因此即使操作系统被感染,通常也不会对数据内容造成损害。但是,强制策略相对于自主式存在一定程度的局限性,应当结合实际情况条件进行应用。
3.3.2可信计算技术
可信计算技术属于当前较为新颖的应用方案之一,其能夠有效替代传统加固体系中存在的数据处理策略,有利于保障信息安全,提高系统加固效果。通过在处理器内集成可信计算芯片,即TPM芯片、A-TPM芯片,能够有效解决数据在敏感内存区域出现泄露的问题,可以强化安全防护效果,为关键任务执行提供可信空间[7]。通过应用可信计算方案,操作系统可以在保护指定区内存储数据或处理数据,防止物理环境或用户环境进行干涉。同时,其还能够赋予计算平台特殊执行代码,用于标识该任务在未经篡改环境内运行,能够为厂商或用户提供更为多元化的执行途径。因此,可信计算技术属于较为关键的系统加固方案,未来应当进一步推广相关体系,确保操作系统得到充分加固。
4 结束语
综上所述,计算机操作系统可以采取多种安全加固技术方案,使内在薄弱环节或漏洞问题得到有效处理,尽可能降低意外情况出现概率,保障用户信息或任务安全。因此,需要重视相关技术的应用,确保其能够得到科学部署,实现理想加固目标。
参考文献:
[1]莫怀海.操作系统安全加固技术研究[J].网络安全技术与应用,2019(3):2.
[2]吴宇佳,黄克敏,徐伟.Windows安全应急响应方法[J].网络安全技术与应用,2020(6):3.
[3]李葳.WindowsServer2019操作系统安全配置与系统加固探讨[J].数字技术与应用,2019,37(07):191-193.
[4]李墨泚、赵华容、陈宇飞.基于可信计算的操作系统加固技术研究[J].网络安全技术与应用,2020(11):4.
[5]肖堃,金宙贤.多操作系统拓扑网络潜在多步攻击实时检测[J].计算机仿真,2020,37(12):5.
[6]廖婷.云计算环境下的计算机安全理论与实践分析——评《计算机安全:原理与实践》[J].安全与环境学报,2020,20(2):1.
[7]李贺,张超,杨鑫,等.操作系统内核模糊测试技术综述[J].小型微型计算机系统,2019,40(9):6.