系統(tǒng)安全

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇系統(tǒng)安全范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

系統(tǒng)安全范文第1篇

關(guān)鍵詞：Windows系統(tǒng)；遠(yuǎn)程攻擊；密碼；權(quán)限；防火墻；組策略

中圖分類號：TP316 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）10-2314-03

從1998年開始，微軟平均每年對自己的產(chǎn)品公布大約70份安全報告，一直在堅持不懈的給人們發(fā)現(xiàn)的那些漏洞打補丁，Windows這種操作系統(tǒng)之所以安全風(fēng)險最高可能是因為它的復(fù)雜性和普及度廣，百度一下你就知道從NT3.51到Vista，操作系統(tǒng)的代碼差不多增加了10倍，因為版本要更新，所以Windows系統(tǒng)上被悄悄激活的功能會越來越多，因此越來越多的漏洞會被人們發(fā)現(xiàn)。

1 以前遠(yuǎn)程攻擊Windows系統(tǒng)的途徑包括

1） 對用戶帳戶密碼的猜測：Windows系統(tǒng)主要的把關(guān)者多半都是密碼，通過字典密碼猜測和認(rèn)證欺騙的方法都可以實現(xiàn)對系統(tǒng)的攻擊。

2） 系統(tǒng)的網(wǎng)絡(luò)服務(wù)：現(xiàn)代工具使得存在漏洞的網(wǎng)絡(luò)服務(wù)被攻擊相當(dāng)容易，點擊之間即可實現(xiàn)。

3） 軟件客戶端漏洞：諸如Internet Explorer瀏覽器，MSN，Office和其他客戶端軟件都受到攻擊者的密切監(jiān)視，發(fā)現(xiàn)其中的漏洞，并伺機(jī)直接訪問用戶數(shù)據(jù)。

4） 設(shè)備驅(qū)動：攻擊者持續(xù)不斷的在分析操作系統(tǒng)上像無線網(wǎng)絡(luò)接口，usb和cd-rom等設(shè)備提交的所有原始數(shù)據(jù)中，發(fā)現(xiàn)新的攻擊點。

比如說很早以前，如果系統(tǒng)開放了smb服務(wù)，入侵系統(tǒng)最有效是古老的方法是遠(yuǎn)程共享加載：試著連接一個發(fā)現(xiàn)的共享卷（比如c$共享卷或者ipc$），嘗試各種用戶名/密碼組合，直到找出一個能進(jìn)入目標(biāo)系統(tǒng)的組合為止。其中很容易用腳本語言實現(xiàn)對密碼的猜測，比如說，在Windows的命令窗口里用net use語法和for命令編寫一個簡單的循環(huán)就可以進(jìn)行自動化密碼猜測。

5） 針對密碼猜測活動的防范措施：使用網(wǎng)絡(luò)防火墻來限制對可能存在漏洞的服務(wù)（例如在tcp 139和445號端口上的smb服務(wù)，tcp1355上的msrpc服務(wù)，tcp3389上的ts服務(wù)）的訪問。

使用Windows的主機(jī)防火墻（win xp和更高版本）來限制對有關(guān)服務(wù)的訪問。

禁用不必要的服務(wù)（尤其注意tcp139和445號端口的smb服務(wù)）。

制定和實施強(qiáng)口令字策略。

設(shè)置一個賬戶鎖定值，并確保該值夜應(yīng)用于內(nèi)建的Administrator帳戶。

記錄賬戶登錄失敗事件，并定期查看event logs日志文件。

2 取得合法身份后的攻擊手段

1） 權(quán)限提升：在Windows系統(tǒng)上獲得用戶帳戶，之后就要獲得Administrator或System帳戶。Windows系統(tǒng)最偉大的黑客技術(shù)之一就是所謂的Getadmin系列，它是一個針對Windows nt4的重要權(quán)限提升攻擊工具，盡管相關(guān)漏洞的補丁已經(jīng)，該攻擊所采用的基本技術(shù)”dll注入”仍然具有生命力.因為Getadmin必須在目標(biāo)系統(tǒng)本地以交換方式運行，因此其強(qiáng)大功能受到了局限.

2） 對于權(quán)限提升的防范措施：首先要及時更新補丁，并且對于存儲私人信息的計算機(jī)的交互登錄權(quán)限作出非常嚴(yán)格限制，因為一旦獲得了這個重要的立足點之后，這些權(quán)限提升攻擊手段就非常容易實現(xiàn)了 ，在Windows2000和更高版本上檢查交互登錄權(quán)限的方法是：運行“l(fā)ocal/group security policy（本地策略＼組安全策略）”工具，找到“l(fā)ocal policies＼user rights assignment（本地策略＼用戶權(quán)限）”結(jié)點，然后檢查log on locally（本地登錄）權(quán)限的授予情況。

3） 獲取并破解密碼：獲得相當(dāng)于Administrator的地位之后，攻擊者需要安裝一些攻擊工具才能更近一步的控制用戶計算機(jī)，所以攻擊者攻擊系統(tǒng)之后的活動之一就是收集更多的用戶名和密碼。針對Windows xp sp2及以后的版本，攻擊者侵入后用戶計算機(jī)后首先做的一件事就是關(guān)掉防火墻，因為默認(rèn)配置的系統(tǒng)防火墻能夠阻擋很多依賴于Windows網(wǎng)絡(luò)輔助的工具制造的入侵。

4） 對于密碼破解攻擊的防范措施：最簡單的方法就是選擇高強(qiáng)度密碼，現(xiàn)在多數(shù)Windows系統(tǒng)都默認(rèn)使用的安全規(guī)則“密碼必須滿足復(fù)雜性要求”，創(chuàng)建和更改用戶的密碼的時候要滿足以下要求（以Windows Server 2008為例）：

① 不能包含用戶名和用戶名字中兩個以上的連貫字符；

② 密碼長度至少要6位；

③ 必須包含以下四組符號中的三組：

大寫字母（A到Z）

小寫字母（a到z）

數(shù)字（0到9）

其他字符（例如$，%，&，*）

3 Windows安全功能

3.1 Windows防火墻

Windows xp里有一個名為Internetconnectionfirewall（icf因特網(wǎng)連接防火墻）的組件，微軟在XP后續(xù)版本里對這個防火墻做了很多改進(jìn)并把它重新命名為Windows Firewall。新名字的防火墻提供了更好的用戶操作界面：保留了“Exception”（例外）設(shè)置項，可以只允許“例外”的應(yīng)用程序通過防火墻；新增加了一個“Advanced”（高級）選項卡，用戶可以對防火墻的各種細(xì)節(jié)配置做出調(diào)整。另外，現(xiàn)在還可以通過組策略去配置防火墻，為需要對很多系統(tǒng)的防火墻進(jìn)行分布式管理的系統(tǒng)管理員提供了便捷。

3.2 Windows 安全中心

安全中心（Seccurity Center）可以讓用戶察看和配置很多系統(tǒng)安全安防功能：Windows Firewall（防火墻），Windows Update（自動更新），Internet Options（因特網(wǎng)選項）。

安全中心的目標(biāo)瞄準(zhǔn)的普通消費者而并不是IT專業(yè)人員，這一點可以從它沒有提供Security Policy（安全策略）和Certificate Manager（證書管理器）等高級安全功能配置界面上看出來。

3.3 Windows組策略

怎樣去管理一個很大的計算機(jī)群組？這就需要組策略（Group Policy），它是功能非常強(qiáng)大的工具之一。組策略對象GPO（group policy objects，gpo）被保存在活動目錄（Active Directory）或一臺本地計算機(jī)上，這些對象對某個域或本地機(jī)器的特定配置參數(shù)做出了定義。GPO作用于站點，域，或組織單元（Organizational Unit，ou），包含在其中的用戶或計算機(jī)（稱為有關(guān)GPO的“成員” ）將繼承GPO的設(shè)置。用戶可以從“組策略”頁上看到施加在選定對象上的GPO規(guī)則（按優(yōu)先級排列）以及這些規(guī)則是否允許繼承，還可以對GPO規(guī)則進(jìn)行編輯。GPO似乎是對使用Windows2000及其后續(xù)版本的大規(guī)模網(wǎng)絡(luò)進(jìn)行安全配置的終極手段，但在同時激活本地和域級別的策略時，可能會出現(xiàn)一些奇怪的問題，而組策略生效前的延遲也很讓人惱火。消除這個個延遲的辦法之一是用secedit工具立刻刷新有關(guān)策略。用secedit 命令刷新策略的具體做法是打開“運行”（run）對話框并輸入：

secedit/refreshpolicy MACHINE_POLICY

如果你想刷新“user configuration”結(jié)點下的策略，就要輸入：

secedit/refreshpolicy USER_POLICY

3.4 Windows資源保護(hù)

Windows 2000和xp新增一項名為Windows File Protection（wfp，windows文件保護(hù)）的功能，它能保護(hù)由Windows安裝程序安裝的系統(tǒng)文件不被覆蓋。并且之后在Windows Vista版本中做了更新，增加了重要的注冊鍵值和文件，并更名為WRP（Windows資源保護(hù)）。WRP有一個弱點在于管理員用于更改被保護(hù)資源的ACL（Access Control List，訪問控制列表）。默認(rèn)設(shè)置下，本地管理員組別用于setakeownership權(quán)限并接管任何受WRP保護(hù)資源的所有權(quán)。因此被保護(hù)資源的訪問權(quán)限可能被擁有者任意更改，這些文件也可能被修改，替換或刪除。WRP并非被制作用來抵御假的系統(tǒng)管理員，它的主要目的是為了防止第三方安裝者修改對系統(tǒng)穩(wěn)定性有重大影響的受保護(hù)文件。

3.5 內(nèi)存保護(hù)：dep

微軟的Data Execution Prevention（DEP，防止數(shù)據(jù)執(zhí)行）機(jī)制由硬件和軟件協(xié)同構(gòu)成。DEP機(jī)制將在滿足其運行要求的硬件上自動運行，它會把內(nèi)存中的特定區(qū)域標(biāo)注為“不可執(zhí)行區(qū)”――除非這個區(qū)域明確地包含著可執(zhí)行代碼。很明顯，這種做法可以防住絕大多數(shù)堆棧型緩沖區(qū)溢出攻擊。除了依靠硬件實現(xiàn)DEP機(jī)制外，XP SP2和更高版本還實現(xiàn)了基于軟件的DEP機(jī)制去阻斷各種利用windows異常處理機(jī)制中的漏洞的攻擊手段。Windows體系的Strucctured Exception Handling（SEH，結(jié)構(gòu)化異常處理）機(jī)制一直是攻擊者認(rèn)為最靠普的可執(zhí)行代碼注入點。

4 結(jié)束語

Windows的系統(tǒng)安全挑戰(zhàn)：

對于Windows操作系統(tǒng)是否安全的爭論已經(jīng)有很多，并且以后肯定還會有更多，不管這些消息是來自微軟，微軟的支持者，還是來自微軟的反對者，只有時間才能證明它們是對還是錯。

Windows很多轟動一時的安全漏洞地絕大多數(shù)在很多其他技術(shù)里也同樣存在很長時間了―――它們之所以成為“著名的”Windows安全漏洞，原因只是因為Windows 的用戶數(shù)量更為巨大而已。既然因為Windows 的公認(rèn)優(yōu)點，比如使用方便，兼容性強(qiáng)等等，而選用了這種操作系統(tǒng)，就不能逃避為了讓它安全，持久地運轉(zhuǎn)下去而要承受的安全風(fēng)險，所以Windows一直會面對嚴(yán)峻的系統(tǒng)安全挑戰(zhàn)。

參考文獻(xiàn)：

[1] 徐顯秋. Windows 2000和XP系統(tǒng)常用安全策略[J].重慶科技學(xué)院學(xué)報，2005 （4）.

[2] 賴宏應(yīng).信息化建設(shè)中的信息網(wǎng)絡(luò)安全專題―安全威脅和安全策略[C]//四川省通信學(xué)會2003年學(xué)術(shù)年會論文集，2003.

[3] 耿翕，崔之祜.網(wǎng)絡(luò)防火墻技術(shù)的應(yīng)用及分析[C]//第十九次全國計算機(jī)安全學(xué)術(shù)交流會論文集，2004.

[4] 李超.網(wǎng)絡(luò)安全技術(shù)及策略[C]//第六屆全國計算機(jī)應(yīng)用聯(lián)合學(xué)術(shù)會議論文集，2002.

[5] 王全民，王淞，金華鋒，張麗艷.基于windows nt平臺文件隱藏和檢測系統(tǒng)的設(shè)計[J].計算機(jī)安全，2010（6）.

[6] 張昌宏，胡衛(wèi)，廖巍.計算機(jī)桌面安全防護(hù)系統(tǒng)設(shè)計與實現(xiàn)[C]//中國通信學(xué)會第六屆學(xué)術(shù)年會論文集（上），2009.

[7] 馮先強(qiáng). windows內(nèi)核級木馬架構(gòu)模型的改進(jìn)與實現(xiàn)[D]. 大連：大連理工大學(xué)，2010.

系統(tǒng)安全范文第2篇

關(guān)鍵字：安全模型；訪問控制；BLP模型；CW模型；BRAC模型

中圖分類號：TP309文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044(2007)05-11394-01

1 引言

操作系統(tǒng)是軟件系統(tǒng)的底層，是系統(tǒng)資源的管理者，是軟硬件的接口，起著重要的作用，因而更容易受到攻擊。因此，操作系統(tǒng)必須提供必要的手段防止由用戶的誤操作或攻擊者的人為破壞而造成的錯誤。

2 操作系統(tǒng)的安全機(jī)制

目前的多數(shù)操作系統(tǒng)支持多道程序設(shè)計和資源的共享，然而，資源的共享和對象的保護(hù)又往往是相互矛盾的。在設(shè)計操作系統(tǒng)時，必須有安全的支持機(jī)構(gòu)，實現(xiàn)對用戶進(jìn)行身份識別；根據(jù)安全策略，進(jìn)行訪問控制，防止對計算機(jī)資源的非法存取；標(biāo)識系統(tǒng)中的實體；監(jiān)視系統(tǒng)的安全運行；確保自身的安全性和完整性。

操作系統(tǒng)的安全機(jī)制主要有實體保護(hù)機(jī)制，標(biāo)識與認(rèn)證、訪問控制機(jī)制等。

2.1 實體保護(hù)

2.1.1 操作系統(tǒng)保護(hù)的實體

操作系統(tǒng)需要為整個計算機(jī)系統(tǒng)提供安全保護(hù)措施，因此需要保護(hù)系統(tǒng)中一系列有關(guān)的對象，包括存儲器；I/O設(shè)備；程序；數(shù)據(jù)等。

2.1.2 保護(hù)方法

(1)隔離保護(hù)：在支持多進(jìn)程和多線程的操作系統(tǒng)中,必須保證同時運行的多個進(jìn)程和線程之間是相互隔離的，即各個進(jìn)程和線程分別調(diào)用不同的系統(tǒng)資源，且每一個進(jìn)程和線程都無法判斷是否還有其它的進(jìn)程或線程在同時運行。一般的隔離保護(hù)措施有以下4種：

①物理隔離：不同的進(jìn)程和線程使用不同的對象和設(shè)備資源。

②暫時隔離：同一進(jìn)程在不同的時間按不同的安全需要執(zhí)行。

③邏輯隔離：操作系統(tǒng)限制程序的訪問，以使該程序不能訪問允許范圍之外的客體。

④加密隔離：采用加密算法對相應(yīng)的對象進(jìn)行加密。

(2)隔絕

當(dāng)操作系統(tǒng)提供隔絕時，并發(fā)運行的不同處理不能察覺對方的存在。每個處理有自己的地址空間、文件和其它客體。操作系統(tǒng)限制每個處理，使其它處理的客體完全隱蔽

2.1.3 存儲器的保護(hù)

多道程序的最重要問題是如何防止一個程序影響其他程序的存儲空間。這種保護(hù)機(jī)制建立在硬件中，可以保護(hù)存儲器的有效使用，且成本很低。對存儲器得固態(tài)保護(hù)一般有柵欄保護(hù)、基址邊界保護(hù)和段頁式保護(hù)等。

2.1.4 運行保護(hù)

根據(jù)安全策略，把進(jìn)程的運行區(qū)域劃分為一些同心環(huán)，進(jìn)行運行的安全保護(hù)。

2.1.5 I/O保護(hù)

把IO設(shè)備視為文件，且規(guī)定IO是僅由操作系統(tǒng)完成的一個特權(quán)操作，對讀寫操作提供一個高層系統(tǒng)調(diào)用。在這一過程中，用戶不控制IO操作的細(xì)節(jié)。

2.2 標(biāo)識與認(rèn)證

標(biāo)識是系統(tǒng)為了正確識別、認(rèn)證和管理實體而給實體的一種符號；用戶名是一種標(biāo)識，為的是進(jìn)行身份認(rèn)證；安全級別也是一種標(biāo)識，為的是進(jìn)行安全的訪問控制。標(biāo)識需要管理；標(biāo)識活性化、智能化，是值得研究的新方向。認(rèn)證在操作系統(tǒng)中主要是用戶的身份認(rèn)證。

2.3 訪問控制機(jī)制

訪問控制機(jī)制是操作系統(tǒng)安全保障機(jī)制的核心內(nèi)容，它是實現(xiàn)數(shù)據(jù)機(jī)密性和完整性機(jī)制的主要手段。訪問控制是為了限制訪問主體對被訪問客體的訪問權(quán)限，確保主體對客體的訪問只能是授權(quán)的，而未授權(quán)的訪問是不能進(jìn)行的，而且授權(quán)策略是安全的。從而使計算機(jī)系統(tǒng)在合法范圍內(nèi)使用。

訪問控制有兩個重要過程：

(1)通過“鑒別(authentication)”來檢驗主體的合法身份。

(2)通過“授權(quán)(authorization)”來限制用戶對資源的訪問級別。

操作系統(tǒng)的訪問控制機(jī)制可分為自主訪問控制（DAC）、強(qiáng)制訪問控制（MAC）和基于角色的訪問控制（RBAC）等。目前主流的操作系統(tǒng)均提供不同級別的訪問控制功能。通常，操作系統(tǒng)借助訪問控制機(jī)制來限制對文件及系統(tǒng)設(shè)備的訪問。如Windows 2000利用訪問控制列表(ACL)實現(xiàn)對本地文件的保護(hù)：訪問控制列表指定某個用戶可讀、寫或使用某個文件；文件的管理者可改變該文件的訪問控制列表的屬性。

3 安全模型

安全模型是設(shè)計并實現(xiàn)一個安全操作系統(tǒng)的基礎(chǔ)。它的兩種定義分別如下：

安全模型是安全策略形式化的表述，它是安全策略所管理的實體以及構(gòu)成策略的規(guī)則。

安全模型是被用來描述一個系統(tǒng)的保密性、可用性和完整性的需求的任何形式化的表述。

3.1 BLP（Bell&Lapadula）模型

BLP模型是目前應(yīng)用最廣泛的安全模型，是最典型的信息保密性多極安全模型，同時也是許多軍用計算機(jī)系統(tǒng)的安全原型。該模型應(yīng)用了其開發(fā)者所證明的基本安全理論(Basic Secure Theorem，BST)，以狀態(tài)機(jī)為基礎(chǔ)，并通過歸納證明的方法得出系統(tǒng)是安全的結(jié)論。它包括強(qiáng)制訪問控制和自主訪問控制兩部分。強(qiáng)制訪問控制中的安全特性，要求對給定安全級別的主體，僅被允許對同一安全級別和較低安全級別上的客體進(jìn)行“讀”，對給定安全級別上的主體，僅被允許向相同安全級別或較高安全級別上的客體進(jìn)行“寫”，任意訪問控制允許用戶自行定義是否讓個人或組織存取數(shù)據(jù)。其信息流動如圖1所示：

圖1 信息流動圖

3.2 CW（Clark-Wilson）模型

CW模型由三個部分主成：①數(shù)據(jù)。分為完整性約束數(shù)據(jù)、非完整性約束數(shù)據(jù)。②過程IVPs。用于校驗數(shù)據(jù)的完整性，由系統(tǒng)的“安全官員”執(zhí)行(安全官員不執(zhí)行TP)。③過程TPs。是主體對客體的訪問方式，使完整性約束數(shù)據(jù)從一種約束狀態(tài)轉(zhuǎn)變?yōu)榱硪环N約束狀態(tài)，保證數(shù)據(jù)的完整性。該過程由一般用戶執(zhí)行。

CW的基本原則:

(1)Separation of Duty原則。規(guī)定一個任務(wù)從開始到結(jié)束，將被分給至少兩個人完成，防止個人可能造成的欺騙。

(2)Well-formed Transaction原則。用戶不能夠任意地處理數(shù)據(jù)，但是可以通過能夠確保數(shù)據(jù)完整性的方法進(jìn)行。

CW策略對數(shù)據(jù)的操作與數(shù)據(jù)的安全等級無關(guān)，主要防止對數(shù)據(jù)進(jìn)行非法修改，容易發(fā)生信息的泄漏。

3.3 BRAC模型

基于角色的訪問控制模型（BRAC）根據(jù)用戶所擔(dān)任的角色來決定用戶在系統(tǒng)中的訪問權(quán)限。RBAC包括四個基本的要素：用戶、角色、權(quán)限和授權(quán)。系統(tǒng)管理員管理系統(tǒng)的角色集合和權(quán)限集合，將這些權(quán)限通過相應(yīng)的角色分別賦予承擔(dān)不同職責(zé)的用戶。并根據(jù)業(yè)務(wù)或安全策略的變化對角色的權(quán)限和用戶擔(dān)當(dāng)?shù)慕巧M(jìn)行調(diào)整。BRAC模型如圖2所示。

在用戶和訪問權(quán)限之間引入角色的概念，用戶與特定的一個或多個角色相關(guān)聯(lián)，角色與一個或多個訪問權(quán)限相關(guān)聯(lián)，角色可以根據(jù)實際工作需要生成或取消，而用戶可以根據(jù)自己的需要動態(tài)地激活自己擁有的角色，避免了用戶無意中危害操作系統(tǒng)安全。

圖2 BRAC模型

4 模型比較

BLP模型是安全操作系統(tǒng)中最經(jīng)典的多級安全策略模型，但它強(qiáng)調(diào)軍隊安全策略，過于注重系統(tǒng)安全的保密性方面，對系統(tǒng)的完整性和真實性考慮不夠，不能控制低安全級主體對高安全級客體的“向上寫”，所以要對“向上寫”操作作出限制。CW模型是強(qiáng)數(shù)據(jù)類型和面向事務(wù)處理的商用完整性模型。與BLP模型不同，CW模型強(qiáng)調(diào)商業(yè)等許多領(lǐng)域中防止信息的未授權(quán)修改問題。BLP對數(shù)據(jù)指定安全層次，訪問授權(quán)的模式依賴于這個安全層次和主體的層次比較；CW與數(shù)據(jù)相關(guān)的不是安全層次，而是允許訪問和操作數(shù)據(jù)的程序集合；BLP模型對主體的授權(quán)內(nèi)容受其所能訪問的數(shù)據(jù)的限制；CW模型主體受其所能執(zhí)行的程序的限制，沒有獲得對某個或某類數(shù)據(jù)的訪問授權(quán)，但是被授予訪問或執(zhí)行某些程序進(jìn)而訪問特定的數(shù)據(jù)；BLP模型用三元組（主體，客體，模式）決定訪問限制；CW用三元組（主體，客體，程序塊）決定訪問限制。RBAC的結(jié)構(gòu)簡單, 易于實現(xiàn), 也易與其他模型結(jié)合，但很難控制同一用戶以不同的身份進(jìn)入系統(tǒng)而破壞系統(tǒng)的安全。

5 結(jié)束語

操作系統(tǒng)安全涉及許多方面，現(xiàn)今主要有兩條路線：一是通過研究設(shè)計各種安全機(jī)制，在通用操作系統(tǒng)中綜合應(yīng)用多項安全技術(shù)，逐步發(fā)展和完善，從而實現(xiàn)操作系統(tǒng)的應(yīng)用安全，達(dá)到C2安全等級；另一路線是設(shè)計安全操作系統(tǒng)模型，從整體構(gòu)架上設(shè)計全新的安全操作系統(tǒng)(安全內(nèi)核)，達(dá)B1安全等級。上面介紹的三種模型，各有利弊。在目前現(xiàn)有的安全模型基礎(chǔ)上，將三種模型相結(jié)合，能夠滿足操作系統(tǒng)保密性與完整性要求。此外，可以在安全內(nèi)核基本安全機(jī)制的基礎(chǔ)上加入實用的安全認(rèn)證等安全機(jī)制，可增加操作系統(tǒng)的可用性。

參考文獻(xiàn)：

[1]GA/T 388-2002 計算機(jī)信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求[S]. 2002.

[2]李克洪，王大玲，董曉梅.實用密碼學(xué)與計算機(jī)數(shù)據(jù)安全[M].東北大學(xué)出版社，2004.

[3]梁彬，孫玉芳，石文昌，孫波. 一種改進(jìn)的以基于角色的訪問控制實施BLP模型及其變種的方法[J].計算機(jī)學(xué)報，2004.

系統(tǒng)安全范文第3篇

關(guān)鍵詞：Windows系統(tǒng)；安全；保護(hù)

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1007-9599 (2012) 01-0000-02

Analysis of the Windows System Security

Wu Li

(Neijiang Normal University College of Computer Science,Neijiang641112,China)

Abstract:With the widely used Windows in the areas of human life,the attacks against Windows systems also will increase.The purpose of monitoring and modifying the registry,and using encryption technology to meet defense and remove computer viruses,secure Windows systems.

Keywords:Windows system;Security;Protection

隨著科學(xué)技術(shù)的不斷提高，Windows系統(tǒng)日漸成熟，其強(qiáng)大的功能已為人們深刻認(rèn)識，它已進(jìn)入人類社會的各個領(lǐng)域并發(fā)揮著重要的作用，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，以及網(wǎng)絡(luò)應(yīng)用的普遍化，Windows系統(tǒng)安全正面臨著前所未有的挑戰(zhàn)。

一、Windows系統(tǒng)安全的現(xiàn)狀

多年來，黑客對計算機(jī)信息系統(tǒng)的攻擊一直沒有停止過，其手段也越來越高明，從最初的猜測用戶口令、利用計算機(jī)軟件缺陷，發(fā)展到現(xiàn)在的通過操作系統(tǒng)源代碼分析操作系統(tǒng)漏洞。同時網(wǎng)絡(luò)的普及使得攻擊工具和代碼更容易被一般用戶獲得，這無疑給Windows系統(tǒng)安全帶來了更大的挑戰(zhàn)。解決Windows系統(tǒng)安全問題，任重而道遠(yuǎn)。

二、Windows系統(tǒng)的安全防護(hù)措施

（一）用注冊表保護(hù)Windows系統(tǒng)安全

在Windows時代，微軟采用注冊表統(tǒng)一管理軟硬件配置，從而大大提高了系統(tǒng)的安全性和穩(wěn)定性，同時也使我們更容易的對系統(tǒng)進(jìn)行維護(hù)和管理，總的來說，注冊表實際上是一個龐大的數(shù)據(jù)庫，他包含了應(yīng)用程序、系統(tǒng)軟硬件的全部配置信息。通過修改注冊表能很好維護(hù)系統(tǒng)安全和清除一些頑固病毒。

1.IE連接首頁被惡意修改

許多用戶在下載安裝一些軟件后，會發(fā)現(xiàn)自己IE首頁被修改，并且改不回來，那么可以用注冊表來解決這個問題。被惡意更改的注冊表為：

HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer

Main\StartPage

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage

通過修改StartPage的鍵值，使修改者達(dá)到連接IE默認(rèn)首頁的目的。那么該如何通過注冊表解決這個問題呢，點擊開始運行菜單項，在打開欄中鍵入regedit，然后按確定鍵；展開注冊表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下，找到StartPage雙擊，將StartPage的值改為about：blank即同理，展開：

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main找到StartPage，按照相同的辦法修改，然后重新啟動計算機(jī)。

2.利用注冊表清除病毒

隨著信息時代的來臨，我們在享受網(wǎng)絡(luò)帶來的便捷的同時，不可避免的會遭受計算機(jī)病毒的騷擾，在沒有殺毒軟件的情況下，大多數(shù)人會束手無策，或者在殺毒軟件清除了病毒程序，重啟系統(tǒng)后，有些頑固的計算機(jī)病毒又會卷土重來，如果您發(fā)現(xiàn)計算機(jī)已經(jīng)中了木馬，最安全最有效的方法就是馬上與網(wǎng)絡(luò)段開，防止計算機(jī)黑客通過網(wǎng)絡(luò)對您進(jìn)行攻擊，執(zhí)行如下步驟：編輯Win.ini文件，將[Windows]小節(jié)下面的“run=木馬程序”或“l(fā)oad=木馬程序”更改為“run=”，“l(fā)oad=”。編輯System.ini文件，將[boot]小節(jié)下面的“shell=木馬文件”更改為

“shell=Explorer.exe”。

在Windows XP注冊表中進(jìn)行修改：先在HKEY_LOCAL_MACHINESOF-

TWAREMicrosoftWindowsCurrentVersionRun子鍵分支下找到木馬程序的文件名刪除，并在整個注冊表中查找木馬程序，將其刪除或替換。但并不是所有的木馬程序都只要刪除就能萬事大吉的，有的木馬程序被刪除后會立即自動添上，這時，你需要記下木馬的位置，即它的路徑和文件名，然后退到DOS系統(tǒng)下，找到這個文件并刪除。重啟計算機(jī)，再次回到注冊表中，將所有的木馬文件的鍵值項刪除。

3.利用注冊表來防護(hù)病毒

查殺病毒只是補救工作，為了更好的保護(hù)我們的Windows系統(tǒng)，最好的辦法就是防范于未然，把病毒拒之門外。Windows的注冊表不僅可本地訪問，還可遠(yuǎn)程訪問。因此，攻擊者或者未經(jīng)授權(quán)的用戶可能會像管理員一樣嘗試遠(yuǎn)程訪問系統(tǒng)的注冊表，這無疑會帶來極大的安全風(fēng)險。我們可將遠(yuǎn)程注冊表服務(wù)(Remote Registry)的啟動方式設(shè)置為禁用。不過，黑客在入侵我們的計算機(jī)后，仍然可以通過簡單的操作將該服務(wù)從禁用轉(zhuǎn)換為自動啟動。通常情況下，對于個人系統(tǒng)我們不會遠(yuǎn)程訪問注冊表，那么就可以禁止注冊表的遠(yuǎn)程訪問。找到注冊表中：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

下的RemoteRegistry項，右鍵點擊該項選擇刪除，將該項刪除后就無法啟動該服務(wù)了。這樣以后攻擊者就不能通過遠(yuǎn)程訪問系統(tǒng)的注冊表了。

（二）RSA算法加密設(shè)計

RSA算法是第一個既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法。它易于理解和操作，經(jīng)歷了各種攻擊的考驗，逐漸為人們接受，普遍認(rèn)為是目前最優(yōu)秀的公鑰方案之一。

1.加密和解密函數(shù)的實現(xiàn)

encrypt（）函數(shù)和decrypt（）函數(shù)是實現(xiàn)RSA算法中的對明文加密和對密文解密功能的，其中調(diào)用了大整數(shù)類中的RsaTrans（）函數(shù)用做RSA加密和解密算法中的模冪運算。

encrypt(CBigInt&m，CBigInt&n，CBigInt&e)

{

CBigInt c；

//c.Mov(m.RsaTrans(e，n))實現(xiàn)了c的模冪運算

c.Mov(m.RsaTrans(e，n))；

return c；

decrypt(CBigInt&c，CBigInt&n，CBigInt&d)

{

CBigInt m；

m.Mov(c.RsaTrans(d，n))；

return m；

}

2.加密模塊

此模塊主要是實現(xiàn)了對文本文件進(jìn)行加密的功能。在加密的時候運用了加密模encrypt(dig，n，pk)，加密文本文件。如果在用戶沒有導(dǎo)入私鑰時就要求加密時，會彈出請導(dǎo)入私鑰的提示信息。

void CMyRSADlg：：OnEncrypt()

{

if(m_strPK.IsEmpty()){

MessageBox("請導(dǎo)入私鑰"，NULL，MB_ICONERROR|MB_OK)//如果沒有填寫加密密鑰彈出的提示信息

return；

}

unsigned char digest[100]；

FILE* file；

if(!(file=fopen(LPCTSTR(m_strF)，"rb"))){

MessageBox("無法打開文件!")；

return；

}

fread(digest， 1， 100， file)；

fclose(file)；

dig.Mov(0)；

for(int j=0；j

memcpy(&dig.m_ulValue[j]，&digest[j*4]，4)；

}

dig.m_nLength=25；

CRsa enc；

sig.Mov(enc.encrypt(dig，n，pk))；

//調(diào)用CBigInt類中的函數(shù)encrypt（）進(jìn)行加密

sig.Put(m_strCipher)；

UpdateData(FALSE)；//顯示密文

}

三、結(jié)束語

系統(tǒng)安全范文第4篇

認(rèn)真貫徹落實中央主要領(lǐng)導(dǎo)同志近期重要批示和國務(wù)院常務(wù)會議以及省市關(guān)于加強(qiáng)安全生產(chǎn)工作的部署，把集中開展大檢查作為當(dāng)前安全生產(chǎn)的首要任務(wù)，按照全覆蓋、零容忍、嚴(yán)執(zhí)法、重實效的總要求，采取更加堅決、更加有力、更加有效的措施，在糧食系統(tǒng)全面深入排查治理安全生產(chǎn)隱患，堵塞安全監(jiān)管漏洞，強(qiáng)化安全生產(chǎn)措施，督促企業(yè)落實安全生產(chǎn)責(zé)任，鐵腕打擊非法違法和違規(guī)違章行為，全面摸清安全隱患和薄弱環(huán)節(jié)，認(rèn)真整改、健全制度，逐步建立橫向到邊、縱向到底的隱患排查治理體系，進(jìn)一步夯實安全生產(chǎn)基礎(chǔ)，有效防范和堅決遏制安全生產(chǎn)事故的發(fā)生，促進(jìn)全市糧食系統(tǒng)安全生產(chǎn)形勢持續(xù)穩(wěn)定。

二、檢查內(nèi)容

各單位貫徹落實國務(wù)院、省、市人民政府關(guān)于安全生產(chǎn)工作電視電話會議精神，開展“安全生產(chǎn)重點整治百日行動”工作情況；落實安全生產(chǎn)“一崗雙責(zé)”，依法履行安全生產(chǎn)監(jiān)管情況；加大監(jiān)管力度，嚴(yán)厲打擊生產(chǎn)經(jīng)營單位非法違法違規(guī)違章工作情況；重點是糧油倉庫、在建（維修）工程等倉儲設(shè)施，出租場所、學(xué)校和辦公樓等人員密集區(qū)，以及用油用氣用電安全、糧食安全度夏度汛措施落實等情況。

三、組織領(lǐng)導(dǎo)

局成立安全生產(chǎn)大檢查活動領(lǐng)導(dǎo)小組，工作職責(zé)是安排部署、組織指導(dǎo)、督促檢查各單位開展工作。

領(lǐng)導(dǎo)小組下設(shè)辦公室，由局行業(yè)管理處具體承擔(dān)安全生產(chǎn)大檢查活動日常工作。

辦公室主任：方胥鈔行業(yè)管理處主任科員

四、實施步驟

活動從2013年即日起開始，至9月底結(jié)束。分動員部署、自查自糾、督查整改、總結(jié)提高四個階段組織實施。

（一）動員部署階段（即日起至7月10日）

按照國務(wù)院、省、市政府總體部署，結(jié)合本地區(qū)、本單位實際，制定工作方案，明確整治目標(biāo)、內(nèi)容及措施要求；成立專門工作機(jī)構(gòu)，明確相關(guān)部門職責(zé)分工；采取多種形式，大力宣傳安全生產(chǎn)大檢查的目的和意義，增強(qiáng)行動的自覺性和主動性。

（二）自查自糾階段（7月11日至7月31日）

各單位要圍繞工作目標(biāo)，劃分責(zé)任區(qū)域，實行任務(wù)包干，開展拉網(wǎng)式排查，做到不漏一個單位、不漏一個部位、不漏一個隱患，對每一個環(huán)節(jié)、每一個崗位、每一項安全措施落實情況進(jìn)行全面徹底的隱患排查。對自查中發(fā)現(xiàn)的問題和隱患，要認(rèn)真登記，建立隱患信息檔案，及時落實整改。

（三）督查整改階段（8月1日至8月31日）

局領(lǐng)導(dǎo)小組在企事業(yè)單位自查自糾的基礎(chǔ)上，深入生產(chǎn)一線加強(qiáng)督促、檢查和指導(dǎo)，按照國家有關(guān)法律法規(guī)對各單位安全生產(chǎn)狀況進(jìn)行全面檢查，對排查出的隱患要立即整治，不能當(dāng)場整改的要督促落實整改責(zé)任人、整改期限和整改措施，確保整改工作落到實處。同時，各單位還要做好迎接上一級糧食行政部門或安監(jiān)部門組織的明察暗訪活動。

（四）總結(jié)提高階段（9月1日至9月底）。

各單位對安全生產(chǎn)大檢查活動開展情況認(rèn)真進(jìn)行梳理、分析，總結(jié)經(jīng)驗教訓(xùn)，完善應(yīng)急體系，建立隱患排查治理的長效機(jī)制。

五、工作要求

（一）加強(qiáng)領(lǐng)導(dǎo)，明確職責(zé)。各單位要切實加強(qiáng)組織領(lǐng)導(dǎo)，迅速制定活動方案，立即動員部署，做到層層發(fā)動、層層部署、層層落實，提供必要的人力、物力和財力保障，確保活動全面徹底、不走過場。企事業(yè)單位主要負(fù)責(zé)人要切實履行安全生產(chǎn)主體責(zé)任，要親自帶隊深入基層開展督促檢查，迅速組織開展自查自糾工作，將排查任務(wù)落實到車間、班組和每個崗位，全面排查治理事故隱患，對發(fā)現(xiàn)的重大隱患和突出問題要跟蹤到底、整改到位。

（二）全面排查，落實責(zé)任。各單位要進(jìn)行拉網(wǎng)式檢查，逐一庫點、逐一環(huán)節(jié)進(jìn)行驗收，做到“有庫必到、有廠必查、查必徹底”，要對事故易發(fā)的重點場所、要害部位、關(guān)鍵環(huán)節(jié)列出問題清單，建立隱患臺賬。要堅持邊排查邊整改，以排查促整改。對排查發(fā)現(xiàn)有問題的企業(yè)，要進(jìn)行切實整頓，及時消除隱患和問題，檢查和整改結(jié)果均要由相關(guān)負(fù)責(zé)人簽字確認(rèn)；對暫時不能整改的隱患和問題，要制定并督促落實整改責(zé)任人、整改期限和整改措施，確保整改工作落到實處；對不具備安全生產(chǎn)條件且難以整改到位的企業(yè)，要依法堅決予以關(guān)閉取締。

系統(tǒng)安全范文第5篇

關(guān)鍵詞：Web應(yīng)用系統(tǒng) 安全 防護(hù)

Web應(yīng)用系統(tǒng)就是利用各種動態(tài)Web技術(shù)開發(fā)的，基于B/S（瀏覽器/服務(wù)器）模式的事務(wù)處理系統(tǒng)。用戶直接面對的是客戶端瀏覽器，使用Web應(yīng)用系統(tǒng)時，用戶通過瀏覽器發(fā)出的請求，其之后的事務(wù)邏輯處理和數(shù)據(jù)的邏輯運算由服務(wù)器與數(shù)據(jù)庫系統(tǒng)共同完成，對用戶而言是完全透明的。運算后得到的結(jié)果再通過網(wǎng)絡(luò)傳輸給瀏覽器，返回給用戶。

1.Web應(yīng)用系統(tǒng)面臨的安全問題

目前，互聯(lián)網(wǎng)已經(jīng)成為各大機(jī)構(gòu)發(fā)展的一個重要基礎(chǔ)平臺，由于Web應(yīng)用的開放性，以及各種Web軟硬件漏洞的不可避免性，加上網(wǎng)絡(luò)攻擊技術(shù)日趨成熟，黑客們也將注意力從以往對網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對Web應(yīng)用的攻擊上。然而，目前大多數(shù)企業(yè)仍是把網(wǎng)絡(luò)和服務(wù)器的安全放在第一位，Web應(yīng)用系統(tǒng)的安全并未得到足夠的重視。在2011年底，國內(nèi)互聯(lián)網(wǎng)業(yè)界爆發(fā)的CSDN等眾多網(wǎng)站“泄密門”系列事件，就掀開了Web應(yīng)用威脅的冰山一角。

Web應(yīng)用系統(tǒng)在日常運行過程中，會遇到多種方式的攻擊，主要有以下四個方面：

1.1 操作系統(tǒng)、后臺數(shù)據(jù)庫的安全問題

這里指操作系統(tǒng)和后臺數(shù)據(jù)庫的漏洞，配置不當(dāng)，如弱口令等，導(dǎo)致黑客、病毒可以利用這些缺陷對網(wǎng)站進(jìn)行攻擊。

1.2Web系統(tǒng)的漏洞

We b業(yè)務(wù)常用的系統(tǒng)(即Web服務(wù)器)，如IIS、Apache等，這些系統(tǒng)存在的安全漏洞，會給入侵者可乘之機(jī)。 1.3Web應(yīng)用程序的漏洞

主要指Web應(yīng)用程序的編寫人員，在編程的過程中沒有考慮到安全的因素，使得黑客能夠利用這些漏洞發(fā)起對網(wǎng)站的攻擊，比如SQL注入、跨站腳本攻擊等。

1.4自身網(wǎng)絡(luò)的安全狀況

網(wǎng)站服務(wù)器所處的網(wǎng)絡(luò)安全狀況也影響著網(wǎng)站的安全，比如網(wǎng)絡(luò)中存在的DoS攻擊等，也會影響到網(wǎng)站的正常運營。

2.Web應(yīng)用系統(tǒng)安全防護(hù)策略

2.1事前防范，提升安全意識

一是設(shè)置網(wǎng)站安全基線，制定防篡改、防掛馬安全規(guī)范，提出監(jiān)測、防護(hù)與處置機(jī)制和要求。二是輔助以自動檢測工具、檢查列表定期開展檢查工作。三是不定期進(jìn)行Web威脅掃描、源代碼評估及滲透測試，查找系統(tǒng)應(yīng)用漏洞、是否掛馬，及時對系統(tǒng)進(jìn)行更新升級。四是建立網(wǎng)站安全管理中心，在各安裝網(wǎng)站部署探針，對收集的數(shù)據(jù)進(jìn)行統(tǒng)計、分析，定期形成系統(tǒng)安全態(tài)勢分析報告。五是安裝防病毒、通訊監(jiān)視等軟件，防止流行病毒、木馬的攻擊。

2.2 事中防御，安裝安全產(chǎn)品

圍繞Web應(yīng)用系統(tǒng)的安全，市場上的產(chǎn)品形形，但結(jié)合安全防護(hù)需要，一般可以安裝以下幾種產(chǎn)品：

2.2.1網(wǎng)頁防篡改產(chǎn)品

網(wǎng)頁防篡改技術(shù)的基本原理是對Web服務(wù)器上的頁面文件進(jìn)行監(jiān)控，發(fā)現(xiàn)有更新及時恢復(fù)，屬于典型的被動防護(hù)技術(shù)。網(wǎng)頁防篡改系統(tǒng)可以用于Web服務(wù)器，也可以用于中間件服務(wù)器，其目的是保障網(wǎng)頁文件的完整性。

2.2.2 Web防火墻產(chǎn)品

Web防火墻能主動阻斷入侵行為，對Web特有入侵方式加強(qiáng)防護(hù)，如DDoS防護(hù)、SQL注入、XML注入、XSS等，重點是防止SQL注入。Web防火墻產(chǎn)品部署在Web服務(wù)器前面，串行接入，不僅在硬件性能上要求高，而且不會影響Web服務(wù)。

2.2.3 Web木馬檢查工具

Web安全不僅是維護(hù)服務(wù)器自身的安全，通過網(wǎng)站入侵用戶電腦的危害也必須能夠防護(hù)。Web木馬檢查工具，按照一定的規(guī)則重點查看網(wǎng)頁是否被掛木馬，或被XSS利用，一般作為安全服務(wù)檢查使用，定期對網(wǎng)站進(jìn)行檢查，發(fā)現(xiàn)問題及時報警。

2.2.4 主機(jī)Web網(wǎng)關(guān)

主機(jī)Web網(wǎng)關(guān)采用軟件形式，能夠?qū)崿F(xiàn)Web應(yīng)用入侵防護(hù)，頁面文件防篡改，Web網(wǎng)頁自動學(xué)習(xí)功能，Web用戶訪問行為的自學(xué)功能，不需要關(guān)心Web服務(wù)的網(wǎng)絡(luò)結(jié)構(gòu)，避免了Web服務(wù)使用加密協(xié)議時網(wǎng)關(guān)安全設(shè)備對應(yīng)用層攻擊無能為力得弊端。

2.3 事后響應(yīng)，安全監(jiān)控與恢復(fù)

2.3.1 對檢測階段的結(jié)果進(jìn)行響應(yīng)

在檢測完成后，對結(jié)果進(jìn)行分析總結(jié),修訂安全計劃、政策、程序，修補系統(tǒng)漏洞，完善網(wǎng)頁編碼，清除網(wǎng)頁木馬和惡意代碼，并進(jìn)行訓(xùn)練以防止入侵。

2.3.2 對防御階段的結(jié)果進(jìn)行響應(yīng)

有效恢復(fù)是Web應(yīng)用系統(tǒng)安全保障的一個重要內(nèi)容。Web數(shù)據(jù)庫審計系統(tǒng)是針對業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度審計的合規(guī)性管理系統(tǒng)，其作用就是通過對被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進(jìn)行解析、分析、記錄、匯報，可以幫助用戶事前規(guī)劃預(yù)防、事中實時監(jiān)控、違規(guī)行為響應(yīng)、事后合規(guī)報告、事故追蹤溯源，加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管，使得運營狀態(tài)具備可恢復(fù)性。

3.結(jié)語

網(wǎng)絡(luò)技術(shù)日新月異，Web應(yīng)用飛速發(fā)展，但隨之而來的是其受到的攻擊也越來越多，防護(hù)難度也越來越大，面對日趨嚴(yán)重的網(wǎng)絡(luò)威脅，Web應(yīng)用系統(tǒng)管理者應(yīng)提高安全意識，應(yīng)用全面的安全防護(hù)策略，搭建立體的防護(hù)架構(gòu)，利用先進(jìn)的技術(shù)和手段，確保Web應(yīng)用系統(tǒng)符合安全性的要求，保持良好穩(wěn)定運行。

參考文獻(xiàn):

[1]趙濤，李先國，胡曉東. MVC設(shè)計模式在Web應(yīng)用系統(tǒng)框架中的擴(kuò)展[J]. 安徽大學(xué)學(xué)報(自然科學(xué)版)，2005，29(4)：29-32.

[2]海吉（Yusuf Bhaiji），田果，劉丹寧.網(wǎng)絡(luò)安全技術(shù)與解決方案（修訂版）[M].人民郵電出版社，2010，1.