操作系统安全与信息安全.docxVIP

操作系统安全与信息安全?信息安全体系相当于整个信息系统的免疫系统，免疫系统不健全，信息系统不仅是低效的，甚至是危险的。党和国家领导人多次指示：信息安全是个大问题，必须把安全问题放到至关重要的位置上，信息安全问题解决不好，?后果不堪设想。?国家计算机信息系统安全保护条例要求，信息安全等级保护要实现五个安全层面（即物理层、网络层、系统层、应用层和管理层）的整体防护。其中系统层面所要求的安全操作系统是全部安全策略中的重要一环，也是国内外安全专家提倡的建立可信计算环境的核心。操作系统的安全是网络系统信息安全的基础。所有的信息化应用和安全措施都依赖操作系统提供底层支持。操作系统的漏洞或配置不当有可能导致整个安全体系的崩溃。各种操作系统之上的应用要想获得运行的高可靠性和信息的完整性、机密性、可用性和可控性，必须依赖于操作系统提供的系统软件基础，任何脱离操作系统的应用软件的安全性都是不可能的。目前，普遍采用的国际主流C级操作系统其安全性远远不够，访问控制粒度粗、超级用户的存在以及不断被发现的安全漏洞，是操作系统存在的几个致命性问题。中共中央办公厅、国务院办公厅近期印发的《2006-2020年国家信息化发展战略》中明确指出:?“我国信息技术领域存在着自主创新技术不足，核心技术和关键设备主要依赖进口。”长期以来，我国广泛应用的主流操作系统都是进口产品，无安全性可言。如不从根本上解决，长此以往，就无法保障国家安全与经济社会安全。我们国家计算机信息系统中的主流操作系统基本采用的是国外进口的C级操作系统，即商用操作系统。商用操作系统不是安全的操作系统，它在为我们计算机信息系统带来无限便捷的同时，也为我们的信息安全、通信保密乃至国家安全带来了非常令人担忧的隐患！操作系统是计算机系统软硬件资源和数据的“总管”，担负着计算机系统庞大的资源管理，频繁的输入输出控制以及不可间断的用户与操作系统之间的通信等重要功能。?一般来讲，包括病毒在内的各种网络安全问题的根源和症结，主要是由于商用操作系统的安全脆弱性。当今的信息系统产生安全问题的基本原因是操作系统的结构和机制不安全。这样就导致：资源配置可以被篡改、恶意程序被植入执行、利用缓冲区（栈）溢出攻击非法接管系统管理员权限等安全事故。病毒在世界范围内传播泛滥，黑客利用各种漏洞攻击入侵，非授权者任意窃取信息资源，使得安全防护形成了防火墙、防病毒、入侵检测、漏洞检测和加密这老几样防不胜防的被动局面。?计算机病毒是利用操作系统漏洞，将病毒代码嵌入到执行代码、程序中实现病毒传播的；?黑客是利用操作系统漏洞，窃取超级用户权限，植入攻击程序，实现对系统的肆意破坏；?更为严重的是由于操作系统没有严格的访问控制，即便是合法用户也可以越权访问，造成不经意的安全事故；?而内部人员犯罪则可以利用操作系统的这种脆弱性，不受任何限制地、轻而易举地达到内外勾结，窃取机密信息等严重犯罪。?特别是，据中科院2003年《中国高新技术成果报告》中所载：有调查证实：美国国家安全局(NSA)对销往全球的信息产品，尤其是大规模集成电路芯片和操作系统安装了NSA所需要的技术后门，用于平时搜集这些信息产品使用国的敏感信息和数据；战时启动后门程序，瘫痪对方的政治、经济、军事等运行系统，使其不战自败。这是令人触目惊心的国家安全和民族经济的巨大隐患！?我们在实践中所经历的一次又一次的教训也充分证明了，没有安全操作系统的保护，就不可能有网络系统的安全，也不可能有应用软件信息处理的安全性。因此，安全操作系统是整个信息系统安全的基础。各种操作系统之上的应用要想获得运行的高可靠性和信息的完整性、机密性、可用性和可控性，必须依赖于操作系统提供的系统软件基础，任何脱离操作系统的应用软件的安全性都是不可能的。正如信息安全专家所言：没有一个安全的操作系统，任何安全产品和措施就如构建在沙滩上的城堡。脱离了对网络安全最核心环节----操作系统的保护，仅仅依靠其它层面的防护手段阻止黑客和病毒对网络信息系统的攻击就显得力不从心。所以信息安全的根本解决，需要通过建立安全操作系统，构建动态、完整的安全体系。?而现在广泛采用的进口主流C级商用操作系统的安全功能在严格的配置下也达不到电子政务所需的安全操作系统的要求。?依据国家保密局文件（国家保密标准BMB17-2006）的要求，系统内重要服务器和安全保密设备应尽可能采用安全操作系统或对操作系统采取安全加固措施。另根据中华人民共和国国家标准GB/T20272-2006（信息安全技术操作系统安全技术要求），第三级系统安全要实现：信息主、客体安全标记和强制访问控制。??为了安全而重新开发一个新的高等级的操作系统，是解决操作系统安全问题的根本办法。但开发操作系统是一件复杂的系统工程，更困难的是，一个成功的操作系统还必须有大量的应用软件的支持，因此指望一蹴而