拥抱安全性
越来越先进的攻击正在导致越来越先进的防御。有趣的是,许多这些安全创新最初并非来自操作系统供应商或大型开源内核团队,而是“来自外部”——有时是学术研究人员,但在操作系统安全方面,也经常 来自GRSecurity和PaX团队等独立团体。 例如,PaX团队早在2001 年就引入了ASLR,在使数据区域不可执行和可执行部分不可写以及确保内核方面发挥了先锋作用。无法访问/执行用户内存。令人惊讶的是,您可能认为主要操作系统会热情地接受这些创新,但事实往往恰恰相反,并且采用的安全措施不一致。
结论
在这个知识领域,我们解决了软件堆栈最低级别的安全问题:操作系统和虚拟机管理程序。操作系统/虚拟机管理程序安全性涉及操作系统/虚拟机管理程序的安全性和操作系统提供的安全保证/ 虚拟机监控程序。作为最特权的组件,操作系统和虚拟机管理程序在使系统(不安全)安全方面发挥着关键作用。不幸的是,现代操作系统或虚拟机管理程序的攻击面通常很大,涉及软件和硬件的日益复杂的威胁需要越来越强大的防御,也涉及软件和硬件。从安全原则和基本原理开始,我们表明系统的安全性受到系统设计(例如,在安全域的隔离中)以及可用的安全原语和机制(例如,内存隔离,功能,保护环)的影响。操作系统设计的许多原则在许多应用领域都很有用,并且通常应用于其他领域,例如数据库管理系统。与大多数领域一样,我们看到操作系统/虚拟机管理程序级别的设计决策是安全性和性能之间的权衡,这种平衡行为通常会减慢安全措施的采用速度。
思维导图下载:GB-T 39276-2020 网络产品和服务安全通用要求
原文始发于微信公众号(河南等级保护测评):操作系统/虚拟化安全知识域:拥抱安全性及结论
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论