第一篇:操作系统安全保障措施
操作系统安全保障措施
系统安全防护能力 一.文件访问控制
1.所有办公终端的命名应符合公司计算机命名规范。2.所有的办公终端应加入公司的域管理模式,正确是使用公司的各项资源。
3.所有的办公终端应正确安装防病毒系统,确保及时更新病毒码。
4.所有的办公终端应及时安装系统补丁,应与公司发布的补丁保持一致。
5.公司所有办公终端的密码不能为空,根据《云南地方IT系统使用手册》中的密码规定严格执行。
6.所有办公终端不得私自装配并使用可读写光驱、磁带机、磁光盘机和USB硬盘等外置存储设备。
7.所有办公终端不得私自转借给他人使用,防止信息的泄密和数据破坏。
8.所有移动办公终端在外出办公时,不要使其处于无人看管状态。
9.办公终端不得私自安装盗版软件和与工作无关的软件,不得私自安装扫描软件或黑客攻击工具。
10.未经公司IT服务部门批准,员工不得在公司使用modem进行拨号上网。
11.员工不允许向外面发送涉及公司秘密、机密和绝密的信息。二.用户权限级别
1.各系统应根据“最小授权”的原则设定账户访问权限,控制用户仅能够访问到工作需要的信息。
2.从账号管理的角度,应进行基于角色的访问控制权限的设定,即对系统的访问控制权限是以角色或组为单位进行授予。
3.细分角色根据系统的特性和功能长期存在,基本不随人员和管理岗位的变更而变更。
4.一个用户根据实际情况可以分配多个角色。
5.各系统应该设置审计用户的权限,审计用户应当具备比较完整的读权限,审计用户应当能够读取系统关键文件,检查系统设置、系统日志等信息。
三.防病毒软件/硬件
1.所有业务系统服务器、生产终端和办公电脑都应当按照公司要求安装了相应的病毒防护软件或采用了相应的病毒防护手段。
2.应当确保防止病毒软件每天进行病毒库更新,设置防病毒软件定期(每周或没月)对全部硬盘进行病毒扫描。
3.如果自己无法对病毒防护措施的有效性进行判断,应及时通知公司IT服务部门进行解决。4.各系统防病毒系统应遵循公司病毒防护系统整体规划。5.如果发现个人办公终端感染病毒,应首先拔掉网线,降低可能对公司网络造成的影响,然后进行杀毒处理。
6.各系统管理员在生产和业务网络发现病毒,应立即进行处理。操作日志记录
一、对各项操作均应进行日志记录,内容包括操作人、操作时间和操作内容等详细信息。各级维护部门维护人员每日对操作日志、安全日志进行审查,对异常事件及时跟进解决,并每周形成日志审查汇总意见报上级维护主管部门审核。安全日志包括但不局限于以下内容:
1、对于应用系统,包括系统管理员的所有系统操作记录、所有的登录访问记录、对敏感数据或关键数据有重大影响的系统操作记录以及其他重要系统操作记录的日志;
2、对于操作系统,包括系统管理员的所有操作记录、所有的登录日志;
3、对于数据库系统,包括数据库登录、库表结构的变更记录。
二、系统的日常运行维护由专人负责,定期进行保养,并检查系统运行日志。
1.对于应用程序级别的备份有运维部制定工程师做每周的备份,重大变更前要整体做备份。
2.对于操作系统的日志备份通过定制计划任务定期执行,并有制定人员检查运行情况,并登记在案。
3.对于数据库系统的日志备份有DBA制定计划任务定期执行,并有DBA人员检查运行情况,并登记在案。
三、各级维护部门针对所维护系统,依据数据变动的频繁程度以及业务数据重要性制定备份计划,经过上级维护主管部门批准后组织实施。
四.备份数据包括系统软件和数据、业务数据、操作日志。
五、重要系统的运行日志定期异地备份。说明:除在本地备份,每天晚上同步到异地机房。
六、对系统的操作、使用进行详细记录。
七、各级维护部门按照备份计划,对所维护系统进行定期备份,原则上对于在线系统应实施每天一次的增量备份、每月一次的数据库级备份以及每季度一次的系统级备份。对于需实施变更的系统,在变更实施前后均进行数据备份,必要时进行系统级备份。
八、各级维护部门定期对备份日志进行检查,发现问题及时整改补救。
备份操作人员须检查每次备份是否成功,并填写《备份工作汇总记录》,对备份结果以及失败的备份操作处理需进行记录、汇报及跟进。
九、备份介质由专人管理,与生产系统异地存放,并保证一定的环境条件。除介质保管人员外,其他人员未经授权,不得进入介质存放地点。介质保管应建立档案,对于介质出入库进行详细记录。对于承载备份数据的备份介质,确保在其安全使用期限内使用。对于需长期保存数据,考虑通过光盘等方式进行保存。对于有安全使用期限限制的存储介质,在安全使用期限内更换,确保数据存储安全。
十、对网站的运行情况做到每日一统计,每周一报告。
十一、各级维护部门按照本级维护工作相关要求,根据业务数据的性质,确定备份数据保存期限,根据备份介质使用寿命至少每年进行一次恢复性测试,并记录测试结果。
十二、信息技术部负责人制定相应的备份日志审查计划,包括由于业务需求发起的备份日志审查以及日志文件的格式时间的内容审查。计划中遵循数据重要性等级分类,保证按照优先级对备份日志审查。
十三、需要备份日志审查数据时,需求部门应填写《备份日志审查表》,内容包括数据内容、备份时间、数据来源、操作系统时间等,由需求部门以及信息技术部门相关负责人审批。
十四、备份管理员按照备份恢复计划制定详细的备份恢复操作手册,手册包含备份恢复的操作步骤、恢复前的准备工作、恢复失败的处理方法和跟进步骤、验收标准等。备份功能
1.各系统管理员对本系统的设备、系统等IT资产的配置进行记录,并备份配置记录信息。
2.各系统在发生变更操作时,根据《地方信息安全管理流程-安全配置变更管理流程》进行审批、测试。
3.各系统执行变更操作前,要对变更操作进行测试;确定无不利影响后,提交系统测试结果、系统配置变更实施方案和回退方案,由本部门三级经理和公司相关主管部门提出配置变更申请。
4.申请审批通过后,才可以进行配置变更操作;进行配置变更操作前,需要对变更设备进行配置备份。
5.各系统管理员对变更操作的具体步骤进行记录并保存。6.各系统管理员进行配置变更操作后,将变更后的配置信息进行记录。
7.各系统发生配置变更后,在公司信息安全小组进行备案。
专人定时负责软件升级和补丁
已配备专人负责进行软件升级,查看最新的系统安全公告,随时为系统打补丁(系统补丁公布之后,会在 1 周之内完成升级工作)等工作。
弱口令管理
1.系统管理员对系统帐号使用情况进行统一管理,并对每个帐号的使用者信息、帐号权限、使用期限进行记录。
2.禁止随意使用系统默认账号,系统管理员为每一个系统用户设置一个帐号,坚决杜绝系统内部存在共享帐号。
3.各系统管理员对系统中存在的账号进行定期检查,确保系统中不存在无用或匿名账号。
4.部门信息安全组定期检查各系统帐号管理情况,内容应包含如下几个方面:
(1)员工离职或帐号已经过期,相应的帐号在系统中仍然存在上;
(2)用户是否被授予了与其工作职责不相符的系统访问权限;
(3)帐号使用情况是否和系统管理员备案的用户账号权限情况一致;
(4)是否存在非法账号或者长期未使用账号;
(5)是否存在弱口令账号。
5.各系统具有系统安全日志功能,能够记录系统帐号的登录和访问时间、操作内容、IP地址等信息。
6.系统在创建账号、变更账号以及撤销账号的过程中,应到得到部门经理的审批后才可实施。漏洞扫描
至少两周进行一次系统漏洞扫描,包括操作系统漏洞和系统下软件漏洞,发现最新系统漏洞应及时打上修复补丁。配备专人负责查看最新的病毒公告。出现破坏力强的病毒会及时向公司相关部门通告。
第二篇:系统安全保障措施
系统安全保障措施
一、为确保煤矿安全监控系统安全、可靠、正常的运行,充分发挥安全保障作用,制定系统安全保障措施。
二、矿井通风安全监控装置的使用管理必须严格执行矿下发的《通风安全监控系统维护使用管理办法》。
三、煤矿安全监控系统24小时值班制度,每班至少2人。工作人员应当具备计算机、煤矿安全及生产技术等专业知识。
四、建立健全煤矿安全监控系统规章制度,配备相应的工作人员,保证24小时不间断值班。工作人员按特殊工种管理,经培训合格后持证上岗。
五、矿井应当为煤矿安全监控系统架设供电专线,安装防雷电接地装置,配备消防器材等安全防护设施,确保设备完好和传输数据准确。
六、安全监控系统应当配备防病毒软件,实时监测网络病毒,及时更新病毒库和客户端防病毒软件,并定期备份监测数据库信息,确保数据安全。
七、任何单位和个人不得擅自变更煤矿安全监控系统网络平台的设置和参数。
八、故意破坏、损坏、改变煤矿安全监控系统设施,造成安全监控数据上传中断或者数据失真的,由公安机关根据《中华人民共和国治安管理处罚法》的相关规定处理;构成犯罪的,依法追究刑事责任。
第三篇:监控系统安全保障措施
监控系统安全保障措施
一、为确保煤矿安全监控系统安全、可靠、正常的运行,充分发挥安全保障作用,制定本系统安全保障措施。
二、矿井通风安全监控装置的使用管理必须严格执行公司及矿上各项规定。
三、煤矿安全监控系统必须24小时有人值班,每班至少1人。工作人员应当具备计算机、煤矿安全及生产技术等专业知识。
四、建立健全煤矿安全监控系统规章制度,配备相应的工作人员,保证24小时不间断值班。工作人员经培训合格后持证上岗。
五、安全监控系统必须保证双回路供电,安装防雷电接地装置,配备消防器材等安全防护设施,确保设备完好和传输数据准确。
六、安全监控系统应当配备防病毒软件,实时监测网络病毒,确保数据安全。
七、任何单位和个人不得擅自变更煤矿安全监控系统网络平台的设置和参数。
八、故意破坏、损坏、改变煤矿安全监控系统设施,造成安全监控数据上传中断或者数据失真的,由公安机关根据《中华人民共和国治安管理处罚法》的相关规定处理;构成犯罪的,依法追究刑事责任。
第四篇:操作系统安全 复习资料
第三章 windows server 2003 用户账号安全
一、密码安全设置原则
1.不可让账号与密码相同
2.不可使用自己的姓名
3.不可使用英文词组
4.不可使用特定意义的日期
5.不可使用简单的密码
二、要保证密码的安全,应当遵循以下规则:
1.用户密码应包含英文字母的大小写、数字、可打印字符,甚至是非打印字符。建议将这些符号排列组合使用,以期达到最好的保密效果。
2.用户密码不要太规则,不要使用用户姓名、生日、电话号码以及常用单词作为密码。
3.根据Windows系统密码的散列算法原理,密码长度设置应超过7位,最好为14位。
4.密码不得以明文方式存放在系统中,确保密码以加密的形式写在硬盘上并包含密码的文件是只读的。
5.密码应定期修改,应避免重复使用旧密码,应采用多套密码的命名规则。
6.建立账号锁定机制。一旦同一账号密码校验错误若干次,即断开连接并锁定该账号,经过一段时间才解锁。
三、在Windows Server 2003系统中,如果在“密码策略”中启用了“密码必须符合复杂性要求”设置的话,则对用户的密码设置有如下要求:
1.不包含全部或部分的用户账户名。
2.长度至少为7个字符。
3.包含以下4种类型字符中的3种字符。
(1)英文大写字母(从A到Z)
(2)英文小写字母(从a到z)
(3)10个基本数字(从0到9)
(4)非字母字符(如!、$、#、%)
四、强密码则具有以下特征:
1.长度至少有7个字符。
2.不包含用户的生日、电话、用户名、真实姓名或公司名等。
3.不包含完整的字典词汇。
4.包含全部4种类型的字符。
除此之外,管理员账户的密码应当定期修改,尤其是当发现有不良攻击时,更应及时修改复杂密码,以免被破解。为避免密码因过于复杂而忘记,可用笔记录下来,并保存在安全的地方,或随身携带避免丢失。
五、账户策略包含两个子集:密码策略和账户锁定策略
六、密码策略包含以下6个策略:
1.密码必须符合复杂性要求。
2.密码长度最小值。
3.密码最长使用期限。
4.密码最短使用期限。
5.强制密码历史。
6.用可还原的加密来储存密码。
七、“强制密码历史”策略
该策略通过确保旧密码不能继续使用,从而使管理员能够增强安全性。重新使用旧密码之前,该安全设置确定与某个用户账户相关的唯一新密码的数量。该值必须为0~24之间的一个数值,推荐值为8
八、双击“密码最长使用期限”,选中“定义这个策略设置”复选框
该安全设置要求用户更改密码之前可以使用该密码的时间(单位为天)。可将密码的过期天数设置在1~999天之间,或将天数设置为0,可指定密码永不过期。如果密码最长使用期限在1~999天之间,那么密码最短使用期限必须小于密码最长使用期限。如果密码最长使用期限设置为0,则密码最短使用期限可以是1~998天之间的任意值。
九、双击“密码最短使用期限”,选中“定义这个策略设置”复选框
该安全策略设置确定用户可以更改密码之前必须使用该密码的时间(单位为天)。可以设置1~998天之间的某个值,或者通过将天数设置为0,允许立即更改密码。
十、双击“最小密码长度”,选中“定义这个策略设置”复选框
将“密码必须至少是”的值设置为 8, 然后双击“确定”。通过将字符数设置为0,可设置不需要密码。
十一、账户锁定阈值
该安全设置确定造成用户账户被锁定的登录失败尝试的次数。在锁定时间内,无法使用锁定的账户,除非管理员进行了重新设置或该账户的锁定时间已过期。登录尝试失败的范围可设置为0~999之间,建议值为3~5,既允许用户输或记忆错误,又避免恶意用户反复尝试用不同密码登录系统。如果将锁定阈值设为0,将无法锁定账户。对于使用Ctrl+Alt+Delete组合键或带有密码保护的屏幕保护程序锁定的计算机上,失败的密码尝试计入失败的登录尝试次数中。
十二、账户锁定时间
该安全设置确定锁定的账户在自动解锁前保持锁定状态的分钟数。有效范围从0~99,999分钟。如果将账户锁定时间设置为0,那么在管理员明确将其解锁前,该账户将一直被锁定。如果定义了账户锁定阈值,则账户锁定时间必须大于或等于重置时间。
十三、复位账户锁定计数器
确定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数。有效范围为1~99,999分钟之间。如果定义了账户锁定阈值,则该复位时间必须小于或等于账户锁定时间
十四、系统管理员设置原则
1.更改管理员账户名
2.禁用Administrator账户
3.强密码设置
十五、除非有特殊应用,否则Guest账户应当被禁用。事实上,许多网络攻击就是借助Guest用户来实现的。即使启用Guest账户,也应当为其指定最低的访问权限
十六、共享文件夹权限
当将文件夹设置为共享资源时,除了必须为文件和文件夹指定NTFS访问权限以外,还应当为共享文件夹指定相应的访问权限。共享文件夹权限比NTFS权限简单一些,而且NTFS权限的优先级要高于共享文件夹权限。因此,共享文件夹的权限可以粗略设置,而NTFS权限则必须详细划分
十七、为用户组指定权限时,有以下两点需要注意
1.权限是叠加的用户可以同时属于多个用户组,用户所拥有的权限,是其所属组权限的总和。对组指派的用户权限应用到该组的所有成员(在它们还是成员的时候)。如果用户是多个组的成员,则用户权限是累积的,这意味着用户有多组权限。
2.拒绝权限优先
无论用户在其他组拥有怎样大的权限,只要其所属组中有一个明确设置了“拒绝”权限,那么该权限及其包含的权限也都将被拒绝。
第四章 文件访问安全
一、多重NTFS权限
1)权限的积累
用户对资源的有效权限是分配给该个人用户帐户和用户所属的组的所有权限的总和。如果用户对文件具有“读取”权限,该用户所属的组又对该文件具有“写入”的权限,那么该用户就对该文件同时具有“读取”和“写入”的权限,举例如下:
假设情况如下所示:有一个文件叫FILE。USER1用户属于GROUP1组
2)文件权限高于文件夹权限
意思就是说NTFS文件权限对于NTFS文件夹权限具有优先权,假设用户能够访问一个文件,那么即使该文件位于用户不具有访问权限的文件夹中,也可以进行访问(前提是该文件没有继承它所属的文件夹的权限)。
举例说明如下:假设用户对文件夹FOLDER没有访问权限,但是该文件夹下的文件FILE.TXT没有继承FOLDER的权限,也就是说用户对FILE.TXT文件是有权限访问的,只不过无法用资源管理器之类的东西来打开FOLDER文件夹,无法看到文件FILE而已(因为对FOLDER没有访问权限),但是可以通过输入它的完整的路径来访问该文件。比如可以用 c:folderfile.txt来访问FILE文件(假设在C盘)。
3)拒绝高于其他权限
拒绝权限可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件,但是该组被拒绝访问,那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件。也就是说上面第一点的权限累积原则将失效。举例说明如下:
假设情况如下:有一个文件叫FILE。USER1用户属于GROUP1组
有一个文件叫FILE。
USER1用户属于GROUP1组,同时也属于GROUP2组,二、NTFS 权限继承
1.在同一NTFS分区间复制或移动
2.在不同NTFS分区间复制或移动
3.从NTFS分区复制或移动到FAT格式分区
三、创建配额
可以创建两种方式的配额:
普通配额:普通配额只是应用到某个卷或文件夹,并限制整个文件夹树(此文件夹本身和它的所有子文件夹)所使用的磁盘空间;比如可以使用普通配额来限制用户在某个文件夹中存储的数据大小;
自动配额:自动配额允许用户为某个卷或文件夹指派一个配额模板,FSRM将基于此配额模板自动为现有子文件夹或任何将来创建的新子文件夹生成普通配额,但是FSRM并不会针对此文件夹本身创建普通配额。自动配额通常使用在以下场景:用户数据分别按子目录存放在一个公用的文件夹中,那么可以针对公用文件夹启用自动配额。
第五章 网络通信安全
一、在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等。二是逻辑意义上的端口,一般是指TCP/IP协议中的端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等等
二、端口分类
1.按端口号分布划分
(1)知名端口(Well-Known Ports)
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给HTTP服务,135端口分配给RPC(远程过程调用)服务等等。
(2)动态端口(Dynamic Ports)
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后,就会释放所占用的端口号。
2.按协议类型划分
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下面主要介绍TCP和UDP端口:
(1)TCP端口
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以及HTTP服务的80端口等等。
(2)UDP端口
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的8000和4000端口等等。
第六章 应用程序和服务安全
一、IIS 6.0版本支持以下6种身份验证方法,使用这些方法可以确认任何请求访问网站的用
户的身份,以及授予访问站点公共区域的权限,同时又可防止未经授权的用户访问专用文件和目录。
匿名身份验证。允许网络中的任意用户进行访问,不需要使用用户名和密码登录。
基本身份验证。需要用户键入用户名和密码,然后通过网络“非加密”将这些信息传送到服务器,经过验证后方可允许用户访问。
摘要式身份验证。与“基本身份验证”非常类似,所不同的是将密码作为“哈希”值发送。摘要式身份验证仅用于Windows域控制器的域。
高级摘要式身份验证。与“摘要式身份验证”基本相同,所不同的是,“高级摘要式身份验证”将客户端凭据作为MD5哈希存储在Windows Server 2003域控制器的Active Directory(活动目录)服务中,从而提高了安全性。
集成Windows身份验证。使用哈希技术来标识用户,而不通过网络实际发送密码。证书。可以用来建立安全套接字层(SSL)连接的数字凭据,也可以用于验证。
当不允许用户匿名访问时,就应当为IIS用户账户设置强密码以实现IIS的访问安全。
第五篇:操作系统安全实验报告
云终端:安全访地问来自不可靠系统的敏感应用程序
摘要:
目前的电脑和基于web的应用程序提供安全不足的信息访问,因为任何漏洞在一个大的客户端软件堆栈都可以威胁机密性和完整性。我们提出一种新的安全的应用程序架构,云终端,其中唯一运行在端主机的软件是一个轻量级的安全终端,最薄的应用程序逻辑是在一个偏远的云的渲染引擎。安全瘦终端有一个非常小的TCB(23 KLOC)和不依赖不可信操作系统,所以它可以很容易地检查和远程证明。终端也是通用的:它只提供一个到远程软件的安全的显示和输入路径。云渲染引擎在一个受限制的VM主办的提供者上运行一个现成的应用程序,但是资源共享可以让一台服务器之间VM支持数以百计的用户。我们实现了一个安全的瘦终端,运行在标准的PC硬件和应用程序提供了一个灵活的界面,如银行业、电子邮件和文档编辑。我们也表明,我们的云渲染引擎可以提供安全的网上银行业务,每用户每月5-10美分。{瘦客户端(Thin Client)指的是在客户端-服务器网络体系中的一个基本无需应用程序的计算机终端。它通过一些协议和服务器通信,进而接入局域网。作为应用程序平台的Internet的到来为企业应用程序提供了一个全新的领域:一个基于Internet/intranet的应用程序运用一个只包含一个浏览器的瘦客户端。这个浏览器负责解释、显示和处理应用程序的图形用户界面(GUI)和它的数据。这样的一个应用程序只需要被安装在一个Web服务器上,用户可以自动接收升级。一个解决方案只需要部署一次,甚至对成千的用户也是如此,这种想法的确很吸引人,尤其是Internet技术帮我们缓解了一些传统的应用程序的障碍,比如防火墙和对多平台的支持。}
二、概述,包括使用的情况,我们的威胁模型,与现有系统的比较,和设计的概述等
2.1使用情况。云终端是专为公众和企业提高信息安全的应用程序,但不做密集的计算或渲染
公共服务
通过使用一个单一的安全的瘦终端,最终用户和机构有激励措施,以防止攻击,用户界面的要求很简单
公司情况:
通过使用一个安全的瘦终端,员工可以减少数据盗窃和恶意软件的攻击面。
2.2目标和威胁模型
目标
1。此解决方案应该是可安装在现有的pc和一个潜在的破坏商品操作系统,而不需要用户重新形象她的系统。
2。该解决方案应该不需要信任主机操作系统。
3。解决方案应该能够证明它的存在,两个用户和应用程序提供商,以防止欺骗和钓鱼。
4。系统应该支持广泛的敏感的应用程序。
5。TCB的系统应该小。
一些假设。
我们的目标是防止攻击者查看和修改用户和安全的应用程序之间的相互作用,并把它作为用户登录
云终端也防止一些社会工程攻击,如用户被骗来运行一个假的客户,通过远程认证。此外,它提供了两种防御网络钓鱼:共享密钥之间的用户和安全的薄的形式终端,终端图形主题的UI,并能够使用用户的TPM作为第二,un-phishable身份验证因素和检测登录从一个新的设备。这些机制类似于常见的机制在web应用程序(例如。,SiteKey[32]和cookies来检测登录从新的机),重要的区别,这个秘密图像和TPM私有密钥不能被检索到的恶意软件或通过中间人攻击。然而,我们认识到,有开放的问题对社会工程保护用户和我们不旨在创新在这一点上,问题是我们所关注的正交设计好孤立的客户端。
云终端必须与不受信任的操作系统共存
2.3现有方法
我们比较现有的几种建议,并解释我们的方法,让它符合目标的元素。
建议的做法是使用虚拟机隔离敏感的应用,包括内部的应用程序在TCB可信的虚拟机(例如,一个Web浏览器)。基于虚拟机的系统增加对用户的管理负担。相比之下,Chrome OS的浏览器的操作系统,限制他们的攻击面不允许二进制应用程序,并提供强大的Web应用程序之间的隔离。但是,这意味着他们不能运行现有的传统用户的软件或访问非Web
瘦客户端系统允许组织集中管理他们的台式机和消除感染,他们仍然遭受基本限制云终端相比,用户的所有应用程序运行在同一个虚拟机并不是互相隔绝远程认证是最具挑战性的基于虚拟机的方法
这些方法错过这样一个大好机会,提供强大的安全保证通过TPM认证。
云终端实现现有系统,支持一般的应用,远程认证,并通过两个设计元素来完成一个小任务。
小,一般客户:云终端访问所有敏感的应用程序通过相同,简单的组件:一个安全瘦终端能够显示任意远程ui。因此,用户不需要管理多个vm,服务提供者可以运行他们的应用程序在他们自己的数据中心的严格控制。不像在虚拟桌面系统、敏感的应用程序也互相隔离的(而不是运行在同一个VM),瘦终端保护,免受不可信主机操作系统。
Microvisor:安全瘦终端隔离本身从操作系统通过hypervisor像层,但这种“Microvisor”规模远小于一个完整的管理程序,因为它不是被设计来运行多个虚拟机。例如,访问网络和存储microvisor设备通过可信操作系统(但它加密数据),利用操作系统现有的司机不必信任他们。同样,它不需要代码来管理多个vm,甚至对于启动不可信操作系统,它可以自动安装下面的运行实例操作系统,只需要保护一个内存区域的操作系统。这个设计可以让云终端实现一个“甜点”安全之间,信任代码大小和普遍性:它可以通过一个小的,孤立的,和远程核查客户端访问广泛的应用.2.4结构
云终端体系结构安全的瘦终端上的客户端和服务器上的云的渲染引擎.我们现在描述这些抽象和展示他们如何与其它系统组件交互。安全的瘦终端(STT)。软件运行的STT是在用户的电脑和提供安全访问远程应用程序,而不需要任何其他软件的信任在设备上。暂时接管的STT通用系统,并将其转化为一个较为有限,但值得信赖的设备访问通用远程应用程序。这个STT具有以下特点:
STT提供了一个通用的图形终端的功能,可用于许多应用程序。
STT隔离本身,所以,不信任的系统无法访问其数据。
STT实现是轻量级的,使其更容易检查校正.安全的STT来自于它的简单性:它仅仅关注提供一个接口,其他地方运行的应用程序。它提供了这个接口仅仅通过继电保护输入事件和远程呈现的位图。共同存在于一个预先存在的STT不可信操作系统,但不依赖于不可信系统安全至关重要的功能。使用硬件虚拟化,STT隔离本身的不可信操作系统:操作系统从未加密的访问的数据,当STT是活跃的不能读取输入事件或访问视频内存。
一种硬件信任根,可以开始远程各方证明机器的完全控制,即它的代码是未经修改的,它直接访问一个真正的(非仿真)的CPU。STT由微镜,它提供了从操作系统隔离;云终端客户,这与远程应用程序,使其显示;和一个不受信任的用户空间辅助隧道加密的数据通过不可信操作系统。云的渲染引擎(CRE)。CRE STT的服务器端。它具有以下属性:几乎所有的CRE包含应用程序功能,重要的位图显示的生产。
一个孤立的CRE运行应用程序的实例为每个STT,在一个单独的虚拟机
执行应用程序的实例为每个用户会话在一个单独的虚拟机提供强大的隔离 最后 CRE作为“云”虚拟机的主机。瘦终端和云安全的渲染引擎和网络使用云终端协议。云终端协议扩展了现有的帧缓冲级远程桌面协议(VNC)通过添加额外的级别的安全性。具体地说,云终端协议使用端到端加密在云终端客户和CRE STT,执行远程认证的客户端,并提供之间的相互认证用户和应用程序
公共设施服务:目录服务、验证服务