学习目标

（1）描述加固操作系统的一般步骤。

（2）了解加固操作系统的4个关键策略。

（3）了解维护系统安全的主要内容。

（4）了解加固Unix/Linux系统的一般性指南。

（5）了解加固Windows系统的一般性指南。

（6）比较本地虚拟化和主机虚拟化。

（7）描述加固虚拟化系统的要点。

操作系统是用户和计算机的接口，同时也是计算机硬件和其他软件的接口。操作系统的功能包括管理计算机系统的硬件、软件及数据资源，控制程序运行，改善人机界面，为其他应用软件提供支持，让计算机系统所有资源最大限度地发挥作用，提供各种形式的用户界面，使用户有一个好的工作环境，为其他软件的开发提供必要的服务和相应的接口等。所有信息系统的所有主机或设备中都有操作系统。因此，操作系统本身的安全就成为信息安全中一个重要内容。本章主要讨论如何加固操作系统，加固的过程包括操作系统和关键应用的规划、安装、配置、更新和维护。我们首先介绍一下加固操作系统和关键应用的一般过程，然后讨论与Linux系统和Windows系统相关的特定的加固，最后讨论虚拟化系统的加固。(www.daowen.com)

一个计算机系统可以看成由若干层组成，如图6-1所示。物理硬件位于最底层，在它上面是操作系统，包含拥有特权的内核代码、API和服务。最顶层是用户应用程序和公共组件。该图也展示了BIOS和其他代码的存在。此处的其他代码是指位于操作系统内核的外部、对于操作系统内核来说不可见的、但是在系统启动和控制底层硬件过程中使用的代码。这些层中的每一层都需要采用适当的加固措施来提供合适的安全服务。由于每一层在面对来自它的下层攻击时都是脆弱的，因此只对底层进行加固是不够的。

图6-1　操作系统的安全分层

许多报告指出，使用少量的基本加固措施就能抵御大量近几年已知的攻击。调查发现，仅仅实施如下4条策略，就可以阻止至少85%的有目标的网络入侵：

（1）白名单许可的应用。

（2）给第三方应用和操作系统漏洞打补丁。

（3）限制管理员的权限。

（4）创建深度防御系统。