桌面操作系统平台的安全性张建宇（19908065）引言在安全层次模型中，桌面操作系统的安全性属于系统级安全的范畴。桌面操作系统向上为文件、目录、网络和群件系统等提供底层的安全保障平台。桌面操作系统中的安全缺陷和安全漏洞，往往会造成严重的后果。因此，安全机制是桌面操作系统的一个重要组成部分；平台的安全级别是对其性能进行评估的一个重要指标。本文将结合Linux、WindowsNT4.x中具体的安全策略，阐述桌面操作系统中常见的安全问题、安全性设计的主要原则和安全服务的主要内容。桌面操作系统中常见的安全问题对提供网络服务的系统平台来说，安全性问题主要体现在网络通信安全、网络非法入侵等方面。但是，桌面操作系统所面对的安全问题和任务则不大一样。关于桌面操作系统的安全，主要考虑的有如下几个：恶意程序的威胁。包括病毒、逻辑炸弹、后门、特洛伊木马等等。不合法使用。包括合法用户在未授权使用某些数据、资源或程序的情况下越过系统的安全检查而越权访问；或者虽然属合法授权，但有意或无意地错误使用某些功能而导致重要信息失密。恶意入侵者。他们的主要目的是窃取数据和非法修改系统。其手段之一是窃取合法用户的口令，在合法身份的掩护下进行非法操作；其手段之二便是利用操作系统的某些合法但不为系统管理员和合法用户所熟知的操作指令。应用程序的安全性。系统应监督应用程序使用数据或资源权限的合法性。程序的执行还应该采用“最小特权”原则，即程序应按照它能做事的最小权限运行，否则就有可能被人利用。数据的安全性。机密数据如果没有保存在安全的空间内，或者数据的加密处理不够规范和健壮，也可能带来安全问题。A项涉及到病毒预防和病毒防治的问题，E项则与数据加密相关，本文不做讨论。B项和D项与系统的访问控制机制有关，C项则对应于系统的用户管理和用户身份认证机制，是本文讨论的重点。安全性设计的原则针对桌面操作系统平台的安全性设计，Saltzer和Schroeder提出了一些基本原则：系统设计必须公开。认为入侵者由于不知道系统的工作原理而会减少入侵可能性的想法是错误的，这样只能迷惑管理者。默认情况应是拒绝访问。合法访问被拒绝的情况比未授权访问被允许的情况更容易获知。检查操作的当前授权信息。系统不应只检查访问是否允许，然后只根据第一次的检查结果而不理会后续的操作。为每个进程赋予可能的最小权限。每个进程只应当具备完成其特定功能的最小权限。保护机制必须简单、一致并建立到系统底层。系统的安全性和系统的正确性一样，不应当是一种附加特性，而必须建立到系统底层而成为系统固有的特性。方案必须是心理上可接收的。如果用户感觉到为保护自己的文件而必须做这做那的话，用户就会有厌烦心理，并且可能因侥幸心理而不会利用所提供的方案保护数据。桌面操作系统的安全服务与提供网络服务的系统不同，桌面操作系统的安全服务主要包括如下两个方面：用户管理的安全性。首先，是用户帐号的管理。通常对用户帐号进行分组管理，并且这种分组管理应该是针对安全性问题而考虑的分组。也就是说，应该根据不同的安全级别将用户分为若干等级，每一等级的用户只能访问与其等级相对应的系统资源和数据，执行指定范围的程序。其次，是用户口令的加密机制。用户口令的加密算法必须有足够的安全强度，用户的口令存放必须安全，不能被轻易窃取。最后，是认证机制。身份认证必须强有力，在用户登录时，与系统的交互过程必须有安全保护，不会被第三方干扰或截取。认证机制是用户安全管理的重点。访问控制。访问控制实质上是对资源使用的限制，它决定主体是否被授权对客体执行某种操作。它依赖于鉴别使主体合法化，并将组成员关系和特权与主体联系起来。只有经授权的用户，才允许访问特定的网络资源。用户访问系统资源或执行程序时，系统应该先进行进行合法性检查，没有得到授权的用户的访问或执行请求将被拒绝。系统还要对访问或执行的过程进行监控，防止用户越权。程序的执行也应该受到监控。程序执行应遵循“最小”特权原则，程序不能越权调用执行另外一些与本程序执行无关的程序，特别是某些重要的系统调用；也不能越权访问无关的重要资源。用户身份认证用户身份认证通常采用帐号/密码的方案。用户提供正确的帐号和密码后，系统才能确认他的合法身份。不同的系统内部采用的认证机制和过程一般是不同的。Linux的登录过程相对比较简单。WindowsNT采用的是NTLANManager（或NTLM,建立于1988年）安全技术进行身份认证。下面以Linux的认证过程为例。通过终端登录Linux的过程描述如下：init确保为每个终端连接（或虚拟终端）运行一个getty程序。getty监听对应的终端并等待用户准备登录。getty输出一条欢迎信息（保存在/etc/issue中），