1、系统控制也是运营安全的一部分。在操作系统内,必须实施某些控制,以确保指令在正确的安全上下文中执行。系统采用某些机制来限制一些类型的指令的执行,以便它们只有当操作系统在特权或管理员状态中时才能运行。这样做可以保护系统的总体安全和状态,有助于确保它以稳定和可预期的方式运行。1当一个操作系统或应用程序崩溃或死机时,不应让系统处于任何类型的不安全状态。对于系统崩溃的通常原因,首先考虑的是因为系统遇到了某些它感到不安全的或不理解的事情,并认为死机、关机和重启要比执行当前的活动更为安全。在系统崩溃后应采取的正确步骤:(1)进入单用户或安全模式 如果由于系统无法自动恢复到安全状态而发生系统冷启动,那么管理员
2、必须进行干预。系统要么自动进入单用户模式,要么必须手动引导到一个恢复控制台。在这些模式下,系统尚未开始为用户或网络提供服务,文件系统通常仍未安装,并且只有本地控制台可以访问。因此,管理员必须手动进入控制台,或者使用外部技术,如附加到控制台串行端口上的拨入/拨回调制解调器、附加到图形控制台上的远程键盘/显示器/鼠标(Keyboard Video Mouse,KVM)切换器。(2)修复问题并恢复文件 在单用户模式下,管理员会抢救由于系统突然关闭而导致损害的文件系统,然后设法确定系统关闭的原因,以防止这种情况再次发生。有时候,管理员还必须回滚或前滚用户模式下的数据库或其他应用程序。一般情况下,这些行
3、为会在管理员让系统离开单用户模式时自动发生,或者在应用程序和服务返回到正常状态前由系统管理员手动完成。(3)确证关键的文件和操作 如果对突然关闭的原因进行调查的结果表明破坏已经发生(例如软件或硬件故障、用户/管理员重新配置、某种攻击),那么管理员必须确证配置文件的内容,并确保系统文件(操作系统程序文件、共事库文件、可能的应用程序文件等)与它们预期的状态保持一致。这些文件的密码校验和(由诸如Tripwire 的程序验证)可以执行对系统文件的确证。管理员必须根据系统文挡来验证系统配置文件的内容。在可信恢复进程中应该正确应对的安全问题。引导顺序(C:、A:、D:)应当不能重新配置 为了确保系统恢复到
4、安全状态,设计系统时必须防止攻击者改变系统的引导顺序。例如,在Windows 工作站或服务器上,应当只允许授权用户访问BIOS 设置,以改变由硬件检查的可引导设备的顺序。如果认可的硬盘只有C:(主要的硬盘驱动器)而没有其他硬盘,也不允许可移动设备(如软盘、CD/DVD 或USB),那么硬件配置必须禁止用户(及攻击者)改变这些选择的设备以及它们的使用顺序。如果用户或攻击者能够改变选择的可引导设备或引导顺序,并让系统重启(通常需要物理访问系统才有可能),那么他们就能引导自己的媒介并攻击系统上的软件或数据。不应避开在系统日志中写入动作 系统日志和系统状态文件必须通过职责分离和访问控制加以保护,防止用
5、户/攻击者试图隐藏他们的动作或改变系统下次重启所进入的状态。如果任何系统配置文件可被未授权用户修改,那么用户就可以找到方法使系统重启,新的(可能不安全的)配置就会生效。应当禁止系统被迫关闭 为降低未授权配置修改生效的可能性,避免通过不适当的关闭而拒绝服务的可能性,应当只允许关键系统在管理员的指示下关闭。应禁止输入变更路线 系统的诊断性输出中可能包含敏感信息。诊断性日志文件(包括控制台输出)必须通过访问控制进行保护,防止其被未授权用户以外的其他人读取。未授权用户不得改变诊断日志和控制台输出的目的地。2处理不当可能会造成的I/O问题。输入到系统中的数据应格式正确并经过确证,以确保这样的数据不是恶意
6、的。事务应该是原子的,这意味着它们不能在所提供的输入和输出的过程之间中断。(原子性可防止称为检验时间/使用时间,或TOCTOU的一类攻击。)在线交易必须记录在案并添加时间标记。应该防御措施来确保输出安全到达目的地:加密散列或更好的消息认证码(即数字签名哈希)应用于确保关键文件的完整性。输出应明确标注,以表示数据的敏感度或分类。创建输出后,必须对它实现适当的访问控制,无论它是什么格式(纸质文件、数字、磁带)。如果一份报告中不含有信息(无报告内容),那么应当包含没有输出。34一些远程管理指南:为获得最佳的安全性,需要通过双因素身份验证保护的虚拟专用网络(VPN)连接,以便从外部(如互联网)主机进入任何内部系统进行访问。不得以明文形式传送命令和数据(也就是说,应对它们进行加密),即使使用VPN远程连接到网络。例如,应该被使用SSH应对任何管理活动实施强身份验证。应当在本地而不是远程管理真正关键的系统。应当只允许少数管理员执行这种远程功能。56
