目前對作業系統安全的研究主要集中在邏輯安全領域,及防止未經授權的使用者/程序訪問高特權級別的敏感資料,現有的研究成果包括美國****局主導研發的selinux模組(現已新增到linux核心中)等。
但是,這樣的保護對於能夠從物理上接觸到敏感計算機的攻擊者而言是完全無效的。 攻擊者可以通過軟盤、光碟或者u盤來引導進入乙個新的系統,並訪問磁碟上的任意資料,從而使得原有的保護措施失去其應有的功效。儘管這種通過物理攻擊的概率要遠小於通過系統漏洞進行邏輯攻擊的概率,但我們也必須看到,儲存有敏感資料的膝上型電腦失竊,從而導致機密外洩的事件並不少見:
1、06年中旬,美國老兵事務辦公室膝上型電腦被盜,其中存放有2023年以來的2650萬退役士兵資料。
2、06年下半年,通用電器公司一膝上型電腦被盜,其中存放有5萬名員工的資料。
3、06年底,波音公司一膝上型電腦被盜,其中存放有近40萬在職/退休員工的資料。
而就在本月,美國最大服裝零售商蓋普公司的一台存放有約80萬工作申請人個人資訊的膝上型電腦被盜,其中包括這些人的社會保險號等重要資訊!同樣,這類事件在國內也屢有發生,並造成大量國家和軍事機密洩露,只不過是為了保密和影響起見,這類事件很少被暴光罷了!
從資訊保安的角度來說,這類問題的根源在於敏感資料以明文,而非密文的形式存放在磁碟上。目前的主要加密手段是通過諸如pgp、truecrypt等第三方軟體,或者word等軟體的加密功能對資料進行保護,顯然對於使用者而言,這樣的保護用起來是相當繁瑣的。此外,大多使用者的密碼設定過於簡單,也給攻擊者留下了可乘之機。
1、cfs(cryptographic file system):由at&t的matt blaze開發,是最早的加密檔案系統之一。
2、tcfs:義大利salerno大學在cfs的基礎上開發的加密檔案系統。
這兩款加密檔案系統均是通過nfs來提供加密服務的,並且僅僅使用了des演算法進行加密,操作複雜、效能較差,且不能對交換分割槽和臨時檔案進行保護,容易造成洩密。
3、cryptfs:由erez zadok開發的加密檔案系統,基於其本人提出的stackable file system實現。該系統是在乙個虛擬檔案系統層上實現的,但效能不夠理想。
4、reiserfs v4:linux上著名的日誌檔案系統,從第4版開始提供加密功能。
5、efs:微軟windows 2000開始提供的加密檔案系統。
加密檔案系統
1,加密檔案轉移到別的物理介質上時,沒有額外的加密 解密開銷。2,支援檔案粒度的加密,也就是說,使用者可以選擇對哪些檔案或目錄加密。而且,應用程式不用關心檔案是否被加密,可以完全透明地訪問加密檔案。3,無需預先保留足夠的空間,使用者可以隨時加密或恢復檔案。4,對單個加密檔案更改金鑰和加密演算法比較容...
Linux檔案系統加密
使用loop modprobe cryptoloop dd if dev zero of partition file0 bs 1k count 1024 losetup e aes dev loop0 partition file0 不必需partion file0,直接使用 dev sd 分割槽...
禁止加密檔案系統
加密檔案系統 efs,encrypting file system 功能在windows 2000中被介紹,並且在windows xp professional同樣可用。這個資料保護和資料恢復功能並不需要其它額外的設定,因為它在windows xp professional中是預設啟用的。儘管這個功...