在信息安全領(lǐng)域，隨著攻擊技術(shù)的不斷升級(jí)和數(shù)據(jù)泄露事件的激增，業(yè)界越來越重視服務(wù)器操作系統(tǒng)的安全問題。本文從等級(jí)保護(hù)安全操作系統(tǒng)研究入手，介紹了兩種安全操作系統(tǒng)解決方案，對比了通用型安全操作系統(tǒng)相比傳統(tǒng)自主研發(fā)的安全操作系統(tǒng)的優(yōu)勢所在。文中重點(diǎn)闡述了通用型安全操作系統(tǒng)解決方案的技術(shù)優(yōu)勢和實(shí)現(xiàn)原理，結(jié)合增強(qiáng)型DTE、RBAC、BLP三種訪問控制安全模型，重構(gòu)操作系統(tǒng)的安全子系統(tǒng)(SSOOS)，動(dòng)態(tài)、透明提升操作系統(tǒng)安全等級(jí)，以實(shí)現(xiàn)通用型安全操作系統(tǒng)的解決方案。

隨著網(wǎng)絡(luò)安全威脅的日益嚴(yán)重，用戶對信息安全的建設(shè)越來越重視。而現(xiàn)階段的安全威脅不僅種類越發(fā)豐富，攻擊形式也日趨多樣。從早期的病毒蠕蟲到現(xiàn)在非常普遍的惡意代碼、盜號(hào)木馬、間諜軟件、網(wǎng)絡(luò)釣魚以及大量的垃圾郵件等，無一不給用戶的正常應(yīng)用帶來嚴(yán)重的安全威脅。受到攻擊的用戶輕則黑屏死機(jī)，重則造成個(gè)人經(jīng)濟(jì)利益損失。同時(shí)，針對服務(wù)器的Web應(yīng)用層攻擊(包括SQL注入、跨站腳本攻擊等)已成為目前流行的方式，造成大量對外提供業(yè)務(wù)的服務(wù)器網(wǎng)頁被篡改，或者服務(wù)器癱瘓等問題。近期發(fā)生的大規(guī)模數(shù)據(jù)泄露事件，涉及多個(gè)大型網(wǎng)站，信息泄露數(shù)量高達(dá)1億多條用戶信息，嚴(yán)重侵害了互聯(lián)網(wǎng)用戶的合法權(quán)益、危害了互聯(lián)網(wǎng)安全。

人們對網(wǎng)絡(luò)安全問題及造成的危害早已認(rèn)識(shí)，對其防范措施也是多種多樣，雖煞費(fèi)苦心但效果并不理想。其實(shí)防火墻、防病毒、入侵檢測、UTM等網(wǎng)絡(luò)層和應(yīng)用層的防護(hù)手段已趨于成熟，信息系統(tǒng)產(chǎn)生安全問題的最基本原因在于操作系統(tǒng)的結(jié)構(gòu)和機(jī)制的不安全。其根源在于PC機(jī)硬件結(jié)構(gòu)的簡化，系統(tǒng)不分執(zhí)行“態(tài)”，內(nèi)存無越界保護(hù)等等，使操作系統(tǒng)難以建立真正的TCB(可信計(jì)算基)。這樣就導(dǎo)致：資源配置被篡改;惡意程序被植入執(zhí)行;利用緩沖區(qū)溢出攻擊;非法接管系統(tǒng)管理員權(quán)限等安全事故的發(fā)生。隨著病毒在全球范圍內(nèi)的泛濫傳播、黑客利用各種漏洞發(fā)起的攻擊、非授權(quán)者任意竊取信息資源等各類安全風(fēng)險(xiǎn)的激增，使得傳統(tǒng)的信息安全產(chǎn)品如“老三樣”(防火墻、防病毒、入侵檢測)、IPS等構(gòu)筑的防護(hù)體系日趨顯得被動(dòng)。

信息安全問題的根本解決，需要從系統(tǒng)工程的角度來考慮，通過建立安全操作系統(tǒng)構(gòu)建可信計(jì)算基(TCB)，建立動(dòng)態(tài)、完整的安全體系。沒有安全操作系統(tǒng)的保護(hù)，就不可能有網(wǎng)絡(luò)系統(tǒng)的安全，也不可能有應(yīng)用軟件信息處理的安全性。

信息安全框架的構(gòu)造如果只停留在網(wǎng)絡(luò)防護(hù)的層面上,而忽略了操作系統(tǒng)內(nèi)核安全這一基本要素,就如同將堅(jiān)固的堡壘建立在沙丘之上,安全隱患極大。

根據(jù)國家《GB/T20272-2006信息安全技術(shù)—操作系統(tǒng)安全技術(shù)要求》，安全操作系統(tǒng)需要解決以下幾個(gè)問題：

第一，身份鑒別;

第二，訪問控制，包括自主訪問控制和強(qiáng)制訪問控制要求;

第三，數(shù)據(jù)流控制;

第四，安全審計(jì);

第五，用戶數(shù)據(jù)完整性保護(hù);

第六，用戶數(shù)據(jù)保密性保護(hù);

第七，SSOOS自身安全保護(hù)。

如何解決上述七點(diǎn)問題成為安全操作系統(tǒng)開發(fā)的難點(diǎn)。

當(dāng)前國內(nèi)使用的服務(wù)器操作系統(tǒng)主要來自國外(如AIX、HP-UX、Solaris、WindowsServer、LinuxServer等)，由于多數(shù)商用服務(wù)器操作系統(tǒng)不開源，所以現(xiàn)階段要提升操作系統(tǒng)安全等級(jí)主要有兩種方式：一是依靠使用開源的Linux源代碼自主研發(fā)安全操作系統(tǒng);二是通過重構(gòu)操作系統(tǒng)安全子系統(tǒng)(SSOOS)提升現(xiàn)有操作系統(tǒng)的安全等級(jí)，從而實(shí)現(xiàn)安全操作系統(tǒng)。

基于Linux開源代碼研究的基礎(chǔ)上，對Linux操作系統(tǒng)進(jìn)行安全改造，重新構(gòu)建一個(gè)新的安全的操作系統(tǒng)，可以保證操作系統(tǒng)的可控性、可信性。通過重構(gòu)開源操作系統(tǒng)內(nèi)核，雖然可以實(shí)現(xiàn)操作系統(tǒng)安全等級(jí)的提升，但不足之處是其對上層應(yīng)用軟件、配套硬件、網(wǎng)絡(luò)支持上還不夠完善。我國的服務(wù)器操作系統(tǒng)高端市場基本是IBMAIX、HPHP-UX、SUNSolaris，而中低端基本上都采用的是WindowsServer。這種方式只限于公開內(nèi)核源代碼的操作系統(tǒng)，對部分商用服務(wù)器操作系統(tǒng)(包括WindowsServer、Solaris、AIX等)不適用。若采用此種方案需要放棄現(xiàn)在使用的操作系統(tǒng)，而使用一個(gè)全新的操作系統(tǒng)，這將嚴(yán)重影響企業(yè)的業(yè)務(wù)連續(xù)性和業(yè)務(wù)邏輯，也因此多數(shù)企業(yè)不愿采用而無法得到普及。可以看出，這種方式并不適合當(dāng)前通用安全操作系統(tǒng)解決方案。

相對于使用Linux源代碼自主研發(fā)安全操作系統(tǒng)，采用重構(gòu)操作系統(tǒng)安全子系統(tǒng)(SSOOS)實(shí)現(xiàn)安全操作系統(tǒng)的方法，是在內(nèi)核層面上對操作系統(tǒng)進(jìn)行重構(gòu)和擴(kuò)充。這種方式對安裝在操作系統(tǒng)之上的合法應(yīng)用軟件和數(shù)據(jù)庫的正常使用不會(huì)造成任何影響，對底層硬件驅(qū)動(dòng)也是透明發(fā)生，其不會(huì)影響現(xiàn)有業(yè)務(wù)的連續(xù)性，甚至不用重啟服務(wù)器，就能對整個(gè)操作系統(tǒng)的安全級(jí)別進(jìn)行動(dòng)態(tài)提升，以達(dá)到解決操作系統(tǒng)安全隱患的目的，是目前較為理想的通用安全操作系統(tǒng)解決方案。

在操作系統(tǒng)中，SSOOS(操作系統(tǒng)安全子系統(tǒng))是構(gòu)成一個(gè)安全操作系統(tǒng)的所有安全保護(hù)裝置的組合體。一個(gè)SSOOS可以包含多個(gè)SSF(SSOOS安全功能模塊),每個(gè)SSF是一個(gè)或多個(gè)SFP(安全功能策略)的實(shí)現(xiàn)。SSP(SSOOS安全功能策略)是這些SFP的總稱，構(gòu)成一個(gè)安全域，以防止不可信主體的干擾和篡改。實(shí)現(xiàn)SSF有兩種方法，一種是設(shè)置前端過濾器，另一種是設(shè)置訪問監(jiān)控器。

以下解決方案為采用設(shè)置訪問監(jiān)控器實(shí)現(xiàn)SSF的方法，是通過在SSOOS中設(shè)置多個(gè)資源訪問監(jiān)控器，控制的客體范圍包括文件、進(jìn)程、服務(wù)、共享資源、磁盤、端口、注冊表(僅windows)等;主體包括用戶、進(jìn)程和IP，同時(shí)支持用戶與進(jìn)程的綁定，可以控制到指定用戶的指定進(jìn)程。將主機(jī)資源各個(gè)層面緊密的結(jié)合，可以根據(jù)實(shí)際需要對資源進(jìn)行合理控制，實(shí)現(xiàn)權(quán)限最小原則。并結(jié)合增強(qiáng)型DTE、RBAC、BLP三種訪問控制安全模型，重構(gòu)操作系統(tǒng)的安全子系統(tǒng)(SSOOS),用重構(gòu)后的“強(qiáng)化安全子系統(tǒng)監(jiān)控器”監(jiān)控資源訪問的行為。遵循增強(qiáng)型DTE、RBAC、BLP模型來實(shí)現(xiàn)系統(tǒng)的安全策略。通過三種模型的相互作用和制約，確保系統(tǒng)中信息和系統(tǒng)自身安全性，以保障操作系統(tǒng)的保密性、完整性、可用性、可靠性。

增強(qiáng)型安全模型與傳統(tǒng)安全模型的區(qū)別

增強(qiáng)型DTE模型

DTE(DomainandTypeEnforcement)模型是有效實(shí)施細(xì)粒度強(qiáng)制訪問控制的安全策略機(jī)制。其中安全域隔離技術(shù)作為構(gòu)建可信系統(tǒng)的基本要求之一，是操作系統(tǒng)核心強(qiáng)制執(zhí)行的一種訪問控制機(jī)制，特點(diǎn)是通過嚴(yán)格的隔離，阻止安全域內(nèi)、外部主體對客體的越權(quán)訪問，實(shí)現(xiàn)保密性、完整性、最小特權(quán)等安全保護(hù)。

增強(qiáng)型DTE是在傳統(tǒng)DTE模型基礎(chǔ)之上進(jìn)行擴(kuò)充，實(shí)現(xiàn)域內(nèi)不僅分配主體也可以分配客體，使不同域內(nèi)的主客體訪問達(dá)到多對多的訪問關(guān)系。通過定義不同域的主客體訪問權(quán)限，解決現(xiàn)有DTE模型存在的安全目標(biāo)不準(zhǔn)確、系統(tǒng)的安全性難以控制等問題。通過配置嚴(yán)格的隔離策略，阻止安全域內(nèi)、外部主體對客體的越權(quán)訪問，從而實(shí)現(xiàn)保密性、完整性、最小特權(quán)等安全保護(hù)。為域間通信提供安全可靠的可信管道機(jī)制，從而得出系統(tǒng)處于可信狀態(tài)的形式定義。采用增強(qiáng)型DTE安全域可以根據(jù)安全需求將應(yīng)用和功能劃分到不同的域，使進(jìn)入域的主體權(quán)限得到有效控制，離開域的主體權(quán)限最小化。對比如下圖所示：

增強(qiáng)型DTE與傳統(tǒng)DTE對比圖

增強(qiáng)型RBAC模型

基于角色的訪問控制(Role-BasedAccessControl)因?yàn)橛兄娲鷤鹘y(tǒng)訪問控制(自主訪問、強(qiáng)制訪問)的前景而受到廣泛關(guān)注。在RBAC中，權(quán)限與角色相關(guān)聯(lián)，用戶通過成為適當(dāng)角色成員而得到這些角色的權(quán)限，這就極大地簡化了權(quán)限的管理。在一個(gè)組織中，角色是為了完成各種工作而創(chuàng)造的，用戶則依據(jù)它的責(zé)任和資格來被指派相應(yīng)的角色，用戶可以很容易地從一個(gè)角色被指派到另一個(gè)角色。角色可依據(jù)新的需求和系統(tǒng)的合并而賦予新的權(quán)限，而權(quán)限也可根據(jù)需要從某角色中回收。角色與角色的關(guān)系可以建立起來以囊括更廣泛的客觀情況。

增強(qiáng)型RBAC模型可以支持細(xì)粒度的配置，其主客體對應(yīng)關(guān)系如下圖所示：

RBAC安全模型示意圖

增強(qiáng)型BLP模型

BLP模型的基本安全策略是“上讀下寫”，高安全級(jí)別主體只可以讀安全級(jí)別比它低的客體，低安全級(jí)別主體只可以寫安全級(jí)別比它高的客體，同級(jí)別主客體間可讀寫。“上讀下寫”的安全策略保證了數(shù)據(jù)流向中的所有數(shù)據(jù)只能按照安全級(jí)別從低到高的流向流動(dòng)，從而保證了敏感數(shù)據(jù)不被泄露。

增強(qiáng)型BLP模型讀和寫的權(quán)限更注重細(xì)粒度的控制，讀權(quán)限包括讀數(shù)據(jù)、讀ACL等。寫權(quán)限包括寫數(shù)據(jù)、追加寫，寫ACL等。

BLP模型示意圖如下：

BLP安全模型示意圖

椒圖科技以上述解決方案為基礎(chǔ)進(jìn)行深入的技術(shù)研究和拓展，率先研發(fā)出了新一代的椒圖主機(jī)安全環(huán)境系統(tǒng)，簡稱：JHSE(JOWTOHostSecurityEnvironment的字母縮寫)。JHSE以國家等級(jí)保護(hù)標(biāo)準(zhǔn)為依據(jù)，是針對服務(wù)器操作系統(tǒng)存在的安全隱患而提供的通用型安全操作系統(tǒng)解決方案，解決操作系統(tǒng)層面所面臨的惡意代碼執(zhí)行、越權(quán)訪問、數(shù)據(jù)泄露、破壞數(shù)據(jù)完整性等各種攻擊行為。

椒圖科技JHSE能夠通過可視虛擬化技術(shù)將每個(gè)應(yīng)用或者功能單獨(dú)劃分成安全域，各安全域之間如同獨(dú)立的主機(jī)相互隔離;利用增強(qiáng)型DTE所生成的每個(gè)安全域中均具備增強(qiáng)型RBAC安全機(jī)制，可對域內(nèi)資源進(jìn)行強(qiáng)制訪問控制，讓每個(gè)域的安全性非常健壯;而增強(qiáng)型DTE則隔離了域與域之間的訪問，即便管理員忘記對某個(gè)域進(jìn)行安全配置，出現(xiàn)了安全事故，所產(chǎn)生的影響也僅局限在該域內(nèi)，不會(huì)影響和擴(kuò)散到其他域。這種默認(rèn)的最小化安全訪問機(jī)制，有效地隔離了已知、未知攻擊和惡意代碼對系統(tǒng)與應(yīng)用資源的訪問，確保了系統(tǒng)資源的保密性和完整性，從而也提供了高可用和高可靠的業(yè)務(wù)連續(xù)性。JHSE通過對安全子系統(tǒng)(SSOOS)的重構(gòu)和擴(kuò)充，將原有操作系統(tǒng)中自由型、層次型的自主訪問控制模型改變?yōu)榉稀禛B/T20272-2006信息安全技術(shù)-操作系統(tǒng)安全技術(shù)要求》的宿主型自主訪問控制模型。

JHSE嚴(yán)格按照三級(jí)操作系統(tǒng)安全標(biāo)準(zhǔn)，使操作系統(tǒng)安全達(dá)到身份鑒別、強(qiáng)制訪問控制、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范，資源控制等標(biāo)準(zhǔn)，為信息系統(tǒng)提供縱深防御體系。同時(shí)，JHSE適用于AIX、HP-UX、Solaris、WindowsServer、LinuxServer等主流商用服務(wù)器操作系統(tǒng)，其安裝、應(yīng)用都不會(huì)影響原有業(yè)務(wù)的邏輯和連續(xù)性，從而實(shí)現(xiàn)了對服務(wù)器操作系統(tǒng)安全等級(jí)的動(dòng)態(tài)、透明提升。椒圖科技JHSE為我國首個(gè)通過國標(biāo)三級(jí)檢測的通用型安全操作系統(tǒng)，是適用于金融、電信、海關(guān)、稅務(wù)等多個(gè)領(lǐng)域的通用型安全操作系統(tǒng)解決方案。

【編輯推薦】

1. 細(xì)數(shù)Win 8操作系統(tǒng)難題 開發(fā)者要hold住
2. 盤點(diǎn)2011國內(nèi)僅存幾款Linux操作系統(tǒng)
3. 服務(wù)器操作系統(tǒng)的先進(jìn)性分析