計算機操作系統(tǒng)的安全加固技術探究

王坤

關鍵詞：計算機平臺;操作系統(tǒng);安全加固

前言：計算機應用隨著信息化理念的落實，開始走入社會各行各業(yè)。然而，由于計算機需要依賴操作系統(tǒng)才能夠完成執(zhí)行任務，因此操作系統(tǒng)存在的風險漏洞問題會直接影響用戶利益。為盡可能提高計算機應用可靠性，應當重視安全加固技術，確保其能夠得到科學部署，從根源層面強化操作系統(tǒng)健全性，實現(xiàn)理想計算機應用目標。

1 計算機操作系統(tǒng)的要求

1.1真實可靠

計算機平臺應用操作系統(tǒng)，需要保證其具有基本的真實、可靠特征。用戶需要在完成身份信息檢驗的情況下，被賦予身份密鑰用于后續(xù)執(zhí)行相關任務活動。通過遵循真實可靠標準，操作系統(tǒng)能夠保證信息操作處于安全狀態(tài)下，最大限度降低出現(xiàn)不良問題的概率，能夠為防御體系構(gòu)建基礎環(huán)境。因此，操作系統(tǒng)需要滿足真實、可靠的執(zhí)行要求。

1.2保密完整

操作系統(tǒng)針對信息與數(shù)據(jù)進行處理時，應當達到保密、完整要求標準，確保敏感信息存儲區(qū)能夠得到正確保護，避免產(chǎn)生泄露問題。由于任務面向群體存在差異，因此操作系統(tǒng)需要同時執(zhí)行機密與非機密任務。若未達到保密、完整原則，便容易導致相關信息出現(xiàn)混淆問題，容易引發(fā)惡意篡改或敏感數(shù)據(jù)泄露現(xiàn)象。因此，操作系統(tǒng)需要實現(xiàn)保密與完整特性，確保相關要求得到正確落實。

1.3可控占有

可控與占有性屬于操作系統(tǒng)的基礎要求之一，在正常應用環(huán)境下，信息的傳遞需要正確進行控制，才能夠達到理想執(zhí)行標準。若該流程可控性不足，可能會導致操作系統(tǒng)無法正常響應用戶需求，最終引發(fā)意外情況。占有要求則屬于用戶的獨立操作特征之一，通過維持操作系統(tǒng)獨占狀態(tài)，能夠使授權(quán)用戶在理想條件下執(zhí)行多種任務，保證相關請求得到充分、隨時響應，提高工作效率與質(zhì)量。

2 計算機操作系統(tǒng)的安全困境

2.1系統(tǒng)安全困境

目前，計算機操作系統(tǒng)普遍面臨安全困境問題，需要采取有效加固措施進行處理。系統(tǒng)漏洞屬于安全困境的典型表現(xiàn)，在操作系統(tǒng)設計過程中，其需要基于程序語言構(gòu)建內(nèi)核與應用服務。但是，由于程序本身存在的局限特征，整體構(gòu)架往往會出現(xiàn)一些漏洞問題，導致執(zhí)行流程不標準或出現(xiàn)敏感數(shù)據(jù)泄露、任務處理不當?shù)痊F(xiàn)象。在這種情況下，黑客等違法分子可能會通過技術手段挖掘操作系統(tǒng)漏洞，并設計相關工具，通過漏洞入侵系統(tǒng)內(nèi)部，進而實現(xiàn)獲取敏感信息或破壞勒索的最終目標[1]。除此之外，人為設計的計算機病毒、木馬、蠕蟲等也可以利用系統(tǒng)漏洞，繼而實現(xiàn)內(nèi)部權(quán)限提升或遠程代碼注入等非法目標，最終導致用戶承受不必要的損失。因此，需要重視計算機操作系統(tǒng)在應用階段存在的漏洞問題，確保加固技術可以得到正確部署，使漏洞負面影響控制在最低范圍內(nèi)，提高整體安全級別。

2.2程序安全困境

操作系統(tǒng)本質(zhì)上由多種程序共同構(gòu)成，這些程序的執(zhí)行目標各不相同，其中一部分屬于底層執(zhí)行邏輯，需要負責與硬件設備進行交互。同時，另一部分主要面向用戶界面，為操作人員提供多種基礎功能，如移動文件、執(zhí)行計算程序、連接互聯(lián)網(wǎng)等。這些程序共同構(gòu)成了操作系統(tǒng)體系，因此如果其出現(xiàn)安全問題，便會導致操作系統(tǒng)安全性下降，容易出現(xiàn)不良現(xiàn)象。例如，用戶程序出錯可能會導致CPU陷入死鎖狀態(tài)，迫使用戶重新啟動系統(tǒng)[2]。在服務器等架構(gòu)中，重新啟動需要消耗大量時間，同時還會導致服務中斷，容易造成經(jīng)濟損失問題。內(nèi)核程序一旦出現(xiàn)安全問題，便會嚴重削弱操作系統(tǒng)實際防范效果，有可能引發(fā)擴大化故障等現(xiàn)象，威脅用戶文件與信息安全。

2.3數(shù)據(jù)安全困境

操作系統(tǒng)需要依靠數(shù)據(jù)存儲結(jié)構(gòu)完成信息的轉(zhuǎn)移與處理，這一結(jié)構(gòu)也可以稱之為數(shù)據(jù)庫。在實際應用過程中，數(shù)據(jù)庫安全性會直接關聯(lián)用戶實際體驗。若操作系統(tǒng)未采取可靠加固措施，便有可能導致數(shù)據(jù)庫遭到非法訪問或破壞，最終引發(fā)不必要的損失出現(xiàn)。例如，未正確設置權(quán)限訪問系統(tǒng)，便會導致用戶文件直接暴露在常規(guī)環(huán)境下，能夠被程序隨意修改。一旦計算機環(huán)境內(nèi)出現(xiàn)勒索病毒，便會導致用戶數(shù)據(jù)庫被全面加密，最終造成不可預見的損失。

3 計算機操作系統(tǒng)的安全加固技術

3.1WINDOWS系統(tǒng)平臺

3.1.1檢查系統(tǒng)版本與漏洞

WINDOWS平臺安全加固需要從多方面入手，確保其運行可靠性能夠符合實際需求。相對于LINUX平臺，WINDOWS對于安全更新的需求較高，同時新版本系統(tǒng)也會加入全新特性，使加固效果得到重要保障。因此，在實際操作階段應當針對系統(tǒng)版本與更新情況進行檢查，及時發(fā)現(xiàn)并下載安裝相關內(nèi)容，實現(xiàn)理想加固目標。檢查操作可通過管理員模式運行winver命令，判斷操作系統(tǒng)版本是否與當前最新版本號一致[3]。若版本號過低，則應當及時運行系統(tǒng)更新，通過自動化方式完成檢查與安裝，并及時重啟系統(tǒng)平臺，確保補丁能夠正常生效。

3.1.2重視審計信息對比與加固

審計信息加固屬于WINDOWS平臺較為關鍵的技術之一，通常情況下其信息內(nèi)容包括密碼登錄狀態(tài)、賬號鎖定情況、審核實際應用方案、日志文件大小、用戶權(quán)限管理與安全選項設定等多個基礎部分。加固過程中，應當針對密碼與賬號進行鎖定處理。這些操作可以通過組策略體系進行，通過在管理員模式下運行gpedit.msc，可以打開組策略設定界面。在界面中應當設置賬號與密碼鎖定選項，并針對審核策略進行規(guī)劃，包括登陸時間、對象訪問、操作流程追蹤等。同時，除組策略外還需要進入事件查看器，定期對日志內(nèi)容進行對照檢查，及時發(fā)現(xiàn)可能存在的入侵問題。對比過程應當根據(jù)應用程序與安全日志模塊展開分析，確保系統(tǒng)得到充分加固。除此之外，本地策略需要針對暫停空閑時間、交互式登錄等環(huán)節(jié)進行設置，確保敏感信息能夠得到充分保護，避免出現(xiàn)意外泄露問題，提高對外界登錄的審核力度。例如，修改交互式登錄環(huán)節(jié)必須按下CTRL鍵、ALT鍵、DEL鍵以實現(xiàn)確認處理[4]。通過這種方式，能夠避免遠程登錄模擬鍵盤等特殊入侵方式威脅系統(tǒng)安全，具有加固系統(tǒng)的重要作用。

3.1.3針對系統(tǒng)服務進行加固

相對于LINUX系統(tǒng)平臺而言，WINDOWS服務體系屬于功能較為豐富、應用范圍廣泛的特性之一。但是，服務體系中存在一些無用服務，不僅無法為用戶提供便利，同時還會導致不必要的風險產(chǎn)生。因此，在系統(tǒng)加固階段應當針對服務進行技術性處理，確保不必要服務得到禁用，提高系統(tǒng)安全性。操作階段，可以在管理員模式下運行WINDOWS POWERSHELL，并輸入net start命令檢查當前處于運行狀態(tài)下的服務。針對不必要的服務可以在服務控制界面禁用，如DHCP CLIENT、REMOTE REGISTRY等。這些服務面向網(wǎng)絡模塊，容易產(chǎn)生漏洞問題，同時用戶通常不會涉及相關功能，因此可以在加固過程中予以禁用。

3.1.4加固注冊表模塊

注冊表屬于WINDOWS操作系統(tǒng)的核心模塊之一，其同樣需要采取加固技術進行處理，以確保安全性達到基礎標準。在加固注冊表項的過程中，可以結(jié)合系統(tǒng)版本情況應用相關處理方式，避免出現(xiàn)版本不一致導致的偏差問題。例如，在WINDOWS 7及以上版本中，CD自動運行功能已經(jīng)得到了完善，通常安全風險較低。而在WINDOWS XP及以下版本中，CD自動運行會直接讀取相關配置文件，容易導致病毒或木馬進入系統(tǒng)內(nèi)存，影響基礎安全性。因此，在加固注冊表項時需要結(jié)合系統(tǒng)版本進行設置，確保相關項目能夠得到正確處理。

3.2LINUX系統(tǒng)平臺

3.2.1檢查內(nèi)核更新

LINUX系統(tǒng)更新需求相對較低，其更加注重運行穩(wěn)定性與長期可靠性。但是，部分涉及到內(nèi)核的安全漏洞仍然會對系統(tǒng)平臺造成威脅，因此在加固過程中需要針對LINUX內(nèi)核版本進行檢查，并結(jié)合技術新聞分析是否存在致命漏洞。LINUX檢查指令可采用lsb_release -a方式分析發(fā)行版本，或采用uname -a檢查內(nèi)核版本狀態(tài)，確保后續(xù)更新活動能夠正常進行，完成系統(tǒng)加固。

3.2.2加固賬號管理

LINUX操作系統(tǒng)對于用戶權(quán)限的管控較為嚴格，在被入侵的條件下，不法分子往往需要首先建立超級管理員賬戶以取得控制權(quán)。因此加固過程中技術人員需要利用命令或查看方式，檢查/etc/passwd文件內(nèi)root權(quán)限是否處于唯一狀態(tài)，同時對照分析是否存在不必要的賬戶，為后續(xù)加固提供重要支持[5]。

3.2.3加固權(quán)限訪問

訪問控制加固屬于LINUX平臺較為關鍵的安全技術處理之一，在實際操作過程中，技術人員應當利用umask命令對系統(tǒng)內(nèi)部數(shù)值進行對比，分析其是否符合0022，。同時，還應當檢查系統(tǒng)內(nèi)部用戶組狀態(tài)，分析是否存在被異常刪除的用戶組。為確保訪問能夠符合實際應用需求，本地環(huán)境下的LINUX平臺需要禁止root權(quán)限用戶進行遠程登錄，以確保系統(tǒng)能夠得到充分加固。同時，系統(tǒng)內(nèi)部關鍵文件應當保證訪問權(quán)限處于644或600狀態(tài)，防止其遭到非法修改。為貫徹落實加固目標，LINUX操作系統(tǒng)主機應當避免與其它主機建立信任關系。因此技術人員需要檢查系統(tǒng)內(nèi)是否存在信任文件，如host.equiv等，并保證其內(nèi)容處于空白狀態(tài)，確保系統(tǒng)安全穩(wěn)定性符合基礎需求。

3.2.4加固服務與關鍵目錄

LINUX系統(tǒng)服務同樣需要進行加固處理，通過應用chkconfig --list命令，可以直接檢查LINUX系統(tǒng)內(nèi)部服務運行狀態(tài)。在對比實際需要的服務后，即可禁用其它服務進程，使系統(tǒng)得到充分加固。除此之外，LINUX還應當針對文件目錄進行加固處理。技術人員可以針對/tmp與/var目錄設置占粘滯位，避免未經(jīng)授權(quán)的用戶意外刪除相關內(nèi)容，提高系統(tǒng)加固效果。

3.3平臺通用

3.3.1訪問控制技術

在操作系統(tǒng)安全加固體系中，訪問控制屬于較為常用的技術方案之一。通常情況下，訪問控制主要分為兩種基礎策略，即自主與強制。自主策略操作主體，即用戶可以對資源訪問進行設定，并規(guī)范其它主體實際權(quán)限。這一策略在NT內(nèi)核與UNIX內(nèi)核操作系統(tǒng)中均得到了廣泛應用，但其管理權(quán)限相對較為分散，容易產(chǎn)生信息泄露問題，因此需要通過進一步改進方式，使其加固效果能夠得到顯著提升[6]。強制策略通過預先規(guī)定資源訪問權(quán)限與主體，使加固安全性可以充分發(fā)揮。這一規(guī)定通常由超級管理員執(zhí)行，因此即使操作系統(tǒng)被感染，通常也不會對數(shù)據(jù)內(nèi)容造成損害。但是，強制策略相對于自主式存在一定程度的局限性，應當結(jié)合實際情況條件進行應用。

3.3.2可信計算技術

可信計算技術屬于當前較為新穎的應用方案之一，其能夠有效替代傳統(tǒng)加固體系中存在的數(shù)據(jù)處理策略，有利于保障信息安全，提高系統(tǒng)加固效果。通過在處理器內(nèi)集成可信計算芯片，即TPM芯片、A-TPM芯片，能夠有效解決數(shù)據(jù)在敏感內(nèi)存區(qū)域出現(xiàn)泄露的問題，可以強化安全防護效果，為關鍵任務執(zhí)行提供可信空間[7]。通過應用可信計算方案，操作系統(tǒng)可以在保護指定區(qū)內(nèi)存儲數(shù)據(jù)或處理數(shù)據(jù)，防止物理環(huán)境或用戶環(huán)境進行干涉。同時，其還能夠賦予計算平臺特殊執(zhí)行代碼，用于標識該任務在未經(jīng)篡改環(huán)境內(nèi)運行，能夠為廠商或用戶提供更為多元化的執(zhí)行途徑。因此，可信計算技術屬于較為關鍵的系統(tǒng)加固方案，未來應當進一步推廣相關體系，確保操作系統(tǒng)得到充分加固。

4 結(jié)束語

綜上所述，計算機操作系統(tǒng)可以采取多種安全加固技術方案，使內(nèi)在薄弱環(huán)節(jié)或漏洞問題得到有效處理，盡可能降低意外情況出現(xiàn)概率，保障用戶信息或任務安全。因此，需要重視相關技術的應用，確保其能夠得到科學部署，實現(xiàn)理想加固目標。

參考文獻：

[1]莫懷海.操作系統(tǒng)安全加固技術研究[J].網(wǎng)絡安全技術與應用，2019（3）：2.

[2]吳宇佳，黃克敏，徐偉.Windows安全應急響應方法[J].網(wǎng)絡安全技術與應用，2020（6）：3.

[3]李葳.WindowsServer2019操作系統(tǒng)安全配置與系統(tǒng)加固探討[J].數(shù)字技術與應用，2019，37（07）：191-193.

[4]李墨泚、趙華容、陳宇飛.基于可信計算的操作系統(tǒng)加固技術研究[J].網(wǎng)絡安全技術與應用，2020（11）：4.

[5]肖堃，金宙賢.多操作系統(tǒng)拓撲網(wǎng)絡潛在多步攻擊實時檢測[J].計算機仿真，2020，37（12）：5.

[6]廖婷.云計算環(huán)境下的計算機安全理論與實踐分析——評《計算機安全：原理與實踐》[J].安全與環(huán)境學報，2020，20（2）：1.

[7]李賀，張超，楊鑫，等.操作系統(tǒng)內(nèi)核模糊測試技術綜述[J].小型微型計算機系統(tǒng)，2019，40（9）：6.