1、系統(tǒng)控制也是運營安全的一部分。在操作系統(tǒng)內(nèi)，必須實施某些控制，以確保指令在正確的安全上下文中執(zhí)行。系統(tǒng)采用某些機制來限制一些類型的指令的執(zhí)行，以便它們只有當操作系統(tǒng)在 或管理員狀態(tài)中時才能運行。這樣做可以保護系統(tǒng)的總體安全和狀態(tài)，有助于確保它以穩(wěn)定和可預(yù)期的方式運行。1當一個操作系統(tǒng)或應(yīng)用程序或死機時，不應(yīng)讓系統(tǒng)處于任何類型的不安全狀態(tài)。對于系統(tǒng)的通常原因，首先考慮的是因為系統(tǒng)遇到了某些它感到不安全的或不理解的事情，并認為死機、關(guān)機和重啟要比執(zhí)行當前的活動更為安全。在系統(tǒng)后應(yīng)采取的正確步驟：（1） 進入單用戶或安全模式 如果由于系統(tǒng)無法自動恢復(fù)到安全狀態(tài)而發(fā)生系統(tǒng)冷啟動，那么管理員必須進行干預(yù)

2、。系統(tǒng)要么自動進入單用戶模式，要么必須手動引導(dǎo)到一個恢復(fù)控制臺。在這些模式下，系統(tǒng)尚未開始為用戶或網(wǎng)絡(luò) 提供服務(wù)，文件系統(tǒng)通常仍未安裝，并且只有本地控制臺可以訪問。因此，管理員必須手動進入控制臺，或者使用外部 技術(shù)，如附加到控制臺串行端口上的撥入/撥回調(diào)制解調(diào)器、附加到圖形控制臺上的遠程鍵盤/顯示器/鼠標(Keyboard Video Mouse，KVM)切換器。（2） 修復(fù)問題并恢復(fù)文件 在單用戶模式下，管理員會搶救由于系統(tǒng)突然關(guān)閉而導(dǎo)致?lián)p害的文件系統(tǒng)，然后設(shè)法確定系統(tǒng)關(guān)閉的原因，以防止這種情況再次發(fā)生。有時候，管理員還必須回滾或前滾用戶模式下的數(shù)據(jù)庫或其他應(yīng)用程序。 一般情況下，這些行為會

3、在管理員讓系統(tǒng)離開單用戶模式時自動發(fā)生，或者在應(yīng)用程序和服務(wù)返回到正常狀態(tài)前由系統(tǒng) 管理員手動完成。（3） 確證關(guān)鍵的文件和操作 如果對突然關(guān)閉的原因進行調(diào)查的結(jié)果表明破壞已經(jīng)發(fā)生（例如軟件或硬件故障、用戶/ 管理員重新配置、某種攻擊），那么管理員必須確證配置文件的內(nèi)容，并確保系統(tǒng)文件（操作系統(tǒng)程序文件、共事庫文件、可能的應(yīng)用程序文件等）與它們預(yù)期的狀態(tài)保持一致。這些文件的 校驗和（由諸如Tripwire 的程序驗證）可以執(zhí)行對系統(tǒng)文件的確證。管理員必須根據(jù)系統(tǒng)文擋來驗證系統(tǒng)配置文件的內(nèi)容。在可信恢復(fù)進程中應(yīng)該正確應(yīng)對的安全問題。引導(dǎo)順序（C：、A：、D：）應(yīng)當不能重新配置 為了確保系統(tǒng)恢復(fù)到

4、安全狀態(tài)，設(shè)計系統(tǒng)時必須防止攻擊者改變系統(tǒng)的引導(dǎo)順序。例如，在Windows 工作站或服務(wù)器上，應(yīng)當只允許授權(quán)用戶訪問BIOS 設(shè)置，以改變由硬件檢查的可引導(dǎo)設(shè)備的順序。如果認可的硬盤只有C：（主要的硬盤驅(qū)動器）而沒有其他硬盤，也不允許可移動設(shè)備（如軟盤、CD/DVD 或USB） ，那么硬件配置必須禁止用戶（及攻擊者）改變這些選擇的設(shè)備以及它們的使用順序。如果用戶或攻擊者能夠改變選擇的可引導(dǎo)設(shè)備或引導(dǎo)順序，并讓系統(tǒng)重啟（通常需要物理訪問系統(tǒng)才有可能），那么他們就能引導(dǎo) 自己的媒介并攻擊系統(tǒng)上的軟件或數(shù)據(jù)。不應(yīng)避開在系統(tǒng)日志中寫入動作 系統(tǒng)日志和系統(tǒng)狀態(tài)文件必須通過職責分離和訪問控制加以保護，防

5、止用戶/攻擊者試圖隱藏他們的動作或改變系統(tǒng)下次重啟所進入的狀態(tài)。如果任何系統(tǒng)配置文件可被未授權(quán)用戶修改，那么用戶就可以找到方法使系統(tǒng)重啟，新的（可能不安全的）配置就會生效。應(yīng)當禁止系統(tǒng)被迫關(guān)閉 為降低未授權(quán)配置修改生效的可能性，避免通過不適當?shù)年P(guān)閉而拒絕服務(wù)的可能性，應(yīng)當只允許關(guān)鍵系統(tǒng)在管理員的指示下關(guān)閉。應(yīng)禁止輸入變更路線 系統(tǒng)的診斷性輸出中可能包含敏感信息。診斷性日志文件（包括控制臺輸出）必須通過訪問控制進行保護，防止其被未授權(quán)用戶以外的其他人讀取。未授權(quán)用戶不得改變診斷日志和控制臺輸出的目的地。2處理不當可能會造成的I/O問題。輸入到系統(tǒng)中的數(shù)據(jù)應(yīng)格式正確并經(jīng)過確證，以確保這樣的數(shù)據(jù)不是

6、惡意的。事務(wù)應(yīng)該是原子的，這意味著它們不能在所提供的輸入和輸出的過程之間中斷。（原子性可防止稱為檢驗時間/使用時間,或TOCTOU的一類攻擊。） 在線交易必須記錄在案并添加時間標記。應(yīng)該防御措施來確保輸出安全到達目的地：加密散列或更好的消息認證碼（即數(shù)字簽名哈希）應(yīng)用于確保關(guān)鍵文件的完整性。輸出應(yīng)明確標注，以表示數(shù)據(jù)的敏感度或分類。創(chuàng)建輸出后，必須對它實現(xiàn)適當?shù)脑L問控制，無論它是什么格式（紙質(zhì)文件、數(shù)字、磁帶）。如果一份報告中不含有信息（無報告內(nèi)容），那么應(yīng)當包含沒有輸出。34一些遠程管理指南：為獲得最佳的安全性，需要通過雙因素身份驗證保護的虛擬專用網(wǎng)絡(luò)（VPN） 連接，以便從外部（如互聯(lián)網(wǎng)）主機進入任何內(nèi)部系統(tǒng)進行訪問。不得以明文形式傳送命令和數(shù)據(jù)（也就