檔案系統中的保護

---

檔案系統被定義為在計算機作業系統中儲存使用者資料的過程。這些資料可以儲存在主存或輔助儲存裝置中以儲存和檢索資訊。檔案以位、位元組或任何可以由檔案作者定義的記錄來表示。每個檔案都有一個邏輯地址或位置，用於儲存和檢索過程。如果沒有在檔案目錄中使用有組織的層次結構，從使用者的角度來看，選擇一個孤立的單個檔案是一項繁瑣的任務。

檔案系統配置因作業系統而異，例如MacOS、Windows或Unix 系統。系統管理員必須在多使用者環境或單一作者環境中提供檔案的保護，以保護儲存在檔案系統中的資訊免遭未經授權或非法訪問以及裝置上發生的任何物理損壞。

檔案系統遵循分層樹狀結構，其中檔案排列在目錄或資料夾中，幷包含有關其自身的詳細資訊，這些詳細資訊稱為元資料。元資料內容包括檔案建立日期、上次修改日期、訪問許可權、上次訪問日期、作者姓名和檔案大小。元資料的儲存在 Windows 和 UNIX 作業系統中有所不同。

訪問方法

當單個使用者使用檔案系統時，提供安全因素是一項相當容易的任務，但當多個使用者訪問檔案系統時，則需要使用安全機制來為資料提供更好的保護。檔案系統可能會由於任何物理損壞或過熱等原因而發生一些硬體崩潰，在這種情況下，必須預先定義備份使用者資料的正確配置。

可以向單個或一組使用者授予訪問包含使用者資訊的檔案系統的許可權。當資料在組織中的許多員工之間共享時，將根據共享資料的敏感程度向員工提供部分或全部訪問許可權。

訪問方法以三種方式完成，以讀取資料並將其儲存到記憶體單元中。

順序方法

在這種方法中，使用者記錄按預定義的順序儲存和訪問，並且處理一個接一個地進行，大多數編譯器都使用這種方法。

索引順序方法

在這種方法中，每個檔案都有一個索引，並帶有一個指向記憶體塊的指標。當使用索引值進行搜尋時，將依次搜尋相應的檔案，並且指標將檔案位置帶到使用者。

隨機方法

根據為每個檔案記錄分配的地址，使用者可以透過知道其地址來搜尋記錄，並且可以對檔案執行讀或寫操作。

檔案保護方法

可以根據使用者或僱主對資料執行的操作來控制訪問機制，這些操作包括讀取、寫入、執行、追加、刪除和列出。檔案的擁有者擁有完全的權利來控制可以對檔案執行哪些操作以及誰有權執行這些操作。

以下是可應用於系統中檔案的各種保護方法：

• 為一組使用者啟用密碼保護以限制讀寫操作。

• 使用加密技術可以限制檔案訪問。只有擁有正確金鑰的授權人員才能解密檔案並在其中使用資料。此功能為單使用者或多使用者環境中的機密資料增加了安全性。駭客可能會獲得使用足夠金鑰來解密檔案的加密演算法的知識。因此，在這種情況下，應定期進行適當的審計以防止任何駭客侵入該過程。

• 指紋、多因素身份驗證、設定使用者名稱和密碼組合、使用卡等是保護資料免遭非法訪問的實用方法。

• 必須為儲存在作業系統資料庫中的每個檔案記錄指定訪問控制列表。此列表提供了哪些使用者以及允許哪些操作來訪問檔案。這些操作為使用者提供了從單個檔案或目錄讀取資料的許可權、向開啟的檔案寫入一些新資料以及執行該檔案。

訪問控制列表

每個 ACL 列表包含兩個引數，例如主體（授予誰訪問許可權）和操作（允許哪些操作）用於使用者。考慮一個檔案物件的 ACL 示例，該示例具有 (John: read; Bob: write, execute)，這意味著 John 只能讀取檔案，而 Bob 可以執行寫入和執行操作。訪問使用 ACL 列出的檔案具有三種訪問許可權模式：讀取、寫入和執行。

根據訪問級別對使用者進行三類分類，它們是：

所有者或作者

建立檔案的擁有者擁有執行所有三種模式（讀取、寫入和執行）的完全訪問許可權，可以表示為 RWX。

組使用者

為某些特定組提供的許可權，通常用於讀取、寫入，而不是執行檔案。這可以根據安全因素和資料訪問級別進行重新配置。

公眾使用者

所有其他使用者都屬於公共部門，需要仔細分配檔案許可權，因為它對公眾開放，提供完全訪問許可權可能會導致安全威脅。

結論

可以根據需要在單使用者或多使用者系統中實現安全性的環境來實施檔案保護技術。上述方法在資料儲存在檔案系統目錄的每一層中都提供了安全措施，並且可以防止非法訪問機密資訊。選擇合適的防檔案保護方法取決於組織中的擁有者或使用者組，以保護其資料免受任何安全攻擊。