隔離是作業系統安全保障的措施之一嗎?

2020-10-19 18:00:46

隔離是作業系統安全保障的措施之一。作業系統安全保障的措施有:隔離、分層和內控;其中,隔離可分為物理隔離、時間隔離、邏輯隔離和密碼隔離4個方面。

隔離作為作業系統的安全保障措施之一,可分為物理隔離、時間隔離、邏輯隔離和密碼隔離4個方面。

作業系統的安全保護措施

一、使用強密碼

要提高安全性,最簡單的方法之一就是使用不會被蠻力攻擊輕易猜到的密碼。蠻力攻擊是指這樣一種攻擊:攻擊者使用自動系統來儘快猜中密碼,希望不用多久就能找出正確的密碼。

密碼應當包含特殊字元和空格、使用大小寫字母,避免單純的數位以及能在字典中找到的單詞;破解這種密碼比破解你家人的姓名或者你的週年紀念日期組成的密碼要難的多。另外要記住:密碼長度每增加一個字元,可能出現的密碼字元組合就會成倍增加。一般來說,不到8個字元的任何密碼都被認為太容易被破解。10個、12個甚至16個字元作為密碼來得比較安全。但也不要把密碼設得過長,以免記不住,或者輸入起來太麻煩。

二、做好邊界防禦

不是所有的安全問題都發生在桌面系統上。使用外部防火牆/路由器來幫助保護你的計算機是個好想法,哪怕你只有一臺計算機。如果考慮低端產品,可以購買一個零售路由器裝置,比如Linksys、D-Link和Netgear等廠商的路由器,可以從當地的電子產品商店買到。如果考慮比較高階的產品,可以向思科、Vyatta和Foundry Networks等企業級廠商購買管理型交換機、路由器和防火牆。

你也可以另闢蹊徑,「從頭開始」自行組裝防火牆;或者使用預先封裝的防火牆/路由器安裝程式來自行組建防火牆,比如m0n0wall和IPCoP,完全能做到功能與各大企業級廠商的解決方案不相上下。代理伺服器、防病毒閘道器和垃圾郵件過濾閘道器也都有助於提高邊界的安全性。請記住:一般來說,交換機的安全功能勝過集線器;使用網路地址轉換(NAT)協定的路由器勝過交換機;防火牆絕對是必不可少的裝置。

三、更新軟體

儘管在很多情況下,把修補程式部署到生產系統之前先進行測試之類的問題可能極其重要,但安全修補程式最終還是必須部署到系統上。如果長時間沒有更新安全修補程式,可能會導致你使用的計算機很容易成為肆無忌憚的攻擊者的下手目標。

別讓安裝在計算機上的軟體遲遲沒有打上最新的安全修補程式。同樣的情況適用於任何基於特徵碼的惡意軟體保護軟體,比如反病毒軟體(如果你的系統需要它們):只有它們處於最新版本狀態,新增了最新的惡意軟體特徵碼,才能發揮最佳的保護效果。

四、關閉沒有使用的服務

計算機使用者常常甚至不知道自己的系統上執行著哪些可以通過網路存取的服務。Telnet和FTP是兩種經常會帶來問題的服務:如果你的計算機不需要這兩種服務,就應當關閉。確保你瞭解在計算機上執行的每一種服務,並且知道它為什麼要執行。在某些情況下,這可能需要弄清楚該服務對你特定需要的重要性,以便不會犯在微軟Windows計算機上關閉遠端過程呼叫(RPC)服務這樣的錯誤,而且不會禁用登入,不過關閉實際上沒有使用的服務始終是個好想法。

五、使用資料加密

對關注安全的計算機使用者或者系統管理員來說,有不同級別的資料加密方法可供使用;選擇合理的加密級別以滿足自己的需要,這必須根本實際情況來決定。資料加密方法有很多,從使用密碼工具對檔案逐個加密,到檔案系統加密,直到整個磁碟的加密。

上述加密方法通常不包括引導分割區,因為那樣需要專門硬體幫助解密;但是如果非常需要加密引導分割區以確保隱私、有必要投入這筆開支,也可以獲得這種整個系統的加密。針對除了引導分割區加密外的任何應用,每一種所需的加密級別都有許多種解決方案,包括可在各大桌面作業系統上實現整個磁碟加密的商業化專有系統和開源系統。

六、通過備份保護資料

對資料進行備份是你用來保護自己、避免災難的最重要的方法之一。確保資料冗餘的策略有很多,既有像定期把資料拷貝到光碟上這樣簡單、基本的策略,也有像定期自動備份到伺服器上這樣複雜的策略。如果系統必須維持不斷執行、服務又不得中斷,冗餘廉價磁碟陣列(RAID)可以提供故障自動切換的冗餘機制,以免磁碟出現故障。

像rsync和Bacula這些免費的備份工具可以把不管多麼複雜的自動備份方案組合起來。像Subversion這些版本控制系統可以提供靈活的資料管理功能,那樣不但可以在另一臺計算機上進行備份;而且不用吹灰之力,就可以讓多臺桌面機或者筆記型電腦擁有同樣的最新資料。

七、加密敏感通訊

用於保護通訊、避免被人竊聽的密碼系統極其普遍。針對電子郵件的支援OpenPGP協定的軟體,針對即時通訊(IM)客戶軟體的Off The Record外掛,針對使用像SSH和SSL這些安全協定的持續通訊的加密隧道軟體,以及許多其他工具,都用來確保資料在傳輸過程中沒有受到破壞。當然,在個人對個人的通訊中,有時很難說服另一方使用加密軟體來保護通訊,但有時候這種保護至關重要。

八、不要信任外來網路

對於像本地咖啡店裡面的無線網路這樣的開放無線網路,這一點顯得尤其重要。就因為你在安全方面非常謹慎,所以無法在咖啡店或者另外某個不可信任的外來網路上使用無線網路,這是沒有道理的。但關鍵是你必須通過自己的系統來確保安全;不要相信外來網路很安全、遠離不懷好意的攻擊者。比如說在開放的無線網路上,使用加密措施來保護敏感通訊極其重要,包括連線到這樣的網站:使用登入對談cookie來自動驗證身份,或者輸入使用者名稱和密碼。

不太明顯的一方面是,你要確保沒有在執行並不完全必要的任何網路服務;因為如果存在沒有打上相應修補程式的漏洞,這些服務就會被人利用。這適用於像NFS或者微軟CIFS這些網路檔案系統軟體、SSH伺服器、活動目錄服務以及其他眾多可能使用的服務。裡裡外外檢查一下自己的系統,查明不懷好意的攻擊者可能會藉助怎樣的機會來企圖闖入你的計算機,並確保這些入口點採取儘可能合理的措施嚴加保護起來。在某些方面,這只是關閉不需要的服務、加密敏感通訊這兩個安全方法的一種延伸;只不過在對待外來網路時,你在允許系統上執行的服務以及自認為「敏感」的通訊方面必須格外謹慎。

在不可信任的外來網路上保護自己,實際上需要重新全面評估系統的安全狀況。

九、使用不間斷電源(UPS)

UPS的作用不僅僅是停電時可以避免丟失檔案。使用UPS還有更重要的原因,比如功率調節、避免檔案系統受到損壞。由於這個原因,就要確保購買的UPS能夠與作業系統協同執行,以便通知作業系統什麼時候UPS需要關閉,免得電源用盡時你不在家;還要確保購買的UPS可提供電池供電和功率調節功能。浪湧保護器根本不足以保護你的系統免遭「髒」電源的破壞。記住:UPS對保護你的硬體和資料而言都很關鍵。

十、監控系統、查詢安全威脅和漏洞

千萬不要想當然地認為:就因為已經採取了一系列安全防備措施,系統就肯定不會遭到攻擊者的破壞。你應該總是要建立某種日常監控機制,確保可疑事件會迅速引起你的注意;可以針對可能的安全漏洞或者安全威脅採取相應措施。我們不但需要把這種注意力放在網路監控上,還要放在完整性審查以及/或者其他的本地系統安全監控技術上。

其他的安全防範措施可能適用,這要看你具體使用哪一種作業系統。有些作業系統由於設計上的特點,導致安全狀況不盡如這意,這就帶來了另外的安全挑戰;而有些作業系統為有經驗的系統管理員賦予了提高安全性的功能。無論你用的是像微軟Windows和Apple Mac OS X這樣的專有系統,還是像Linux發行版、FreeBSD、NetBSD、甚至非常注重安全的OpenBSD這樣的開源系統,在保護系統安全時都要牢記上面這幾點。

你選擇的作業系統採用了預設的安裝方法,沒有進一步考慮保護系統安全,卻足夠安全,這樣的情況只是極個別現象。不管你用的是什麼作業系統,都要從上面提到的幾個方面開始入手,然後考慮作業系統平臺的特定安全要求。系統安全的完整性不能靠運氣來保證。

以上就是隔離是作業系統安全保障的措施之一嗎?的詳細內容,更多請關注TW511.COM其它相關文章!