通用型安全操作系统解决方案浅析.docVIP

　　通用型安全操作系统解决方案浅析 通用型安全操作系统解决方案浅析 　0 引言 　　随着网络安全威胁的日益严重，用户对信息安全的建设越来越重视。而现阶段的安全威胁不仅种类越发丰富，攻击形式也日趋多样。从早期的病毒蠕虫到现在非常普遍的恶意代码、盗号木马、间谍软件、网络钓鱼以及大量的垃圾邮件等，无一不给用户的正常应用带来严重的安全威胁。受到攻击的用户轻则黑屏死机，重则造成个人经济利益损失。 　　同时，针对服务器的等网络层和应用层的防护手段已趋于成熟，信息系统产生安全问题的最基本原因在于操作系统的结构和机制的不安全。其根源在于PC 机硬件结构的简化，系统不分执行态，内存无越界保护等等，使操作系统难以建立真正的TCB（可信计算基）。这样就导致资源配置被篡改、恶意程序被植入执行、利用缓冲区溢出攻击、非法接管系统管理员权限等安全事故的发生。 　　随着病毒在全球范围内的泛滥传播、黑客利用各种漏洞发起的攻击、非授权者任意窃取信息资源等各类安全风险的激增，使得传统的信息安全产品老三样（防.L.火墙、防病毒、入侵检测）、IPS等构筑的防护体系日趋显得被动。 　　信息安全问题的根本解决，需要从系统工程的角度来考虑，通过建立安全操作系统构建可信计算基(TCB)，建立动态、完整的安全体系。没有安全操作系统的保护，就不可能有网络系统的安全，也不可能有应用软件信息处理的安全性。 　　信息安全框架的构造如果只停留在网络防护的层面上, 而忽略了操作系统内核安全这一基本要素,就如同将坚固的堡垒建立在沙丘之上,安全隐患极大。 　　根据国家《GB/T 20272-2006 信息安全技术 操作系统安全技术要求》，安全操作系统需要解决几个问题：第一，身份鉴别；第二，访问控制，包括自主访问控制和强制访问控制要求；第三，数据流控制；第四，安全审计；第五，用户数据完整性保护；第六，用户数据保密性保护；第七，SSOOS自身安全保护。 　　如何解决上述七点问题成为安全操作系统开发的难点。 　　3 提升操作系统安全等级的主要方式 　　当前国内使用的服务器操作系统主要来自国外（如AIX、HP-UX、Solaris、ent）模型是有效实施细粒度强制访问控制的安全策略机制。其中安全域隔离技术作为构建可信系统的基本要求之一，是操作系统核心强制执行的一种访问控制机制，特点是通过严格的隔离，阻止安全域内、外部主体对客体的越权访问，实现保密性、完整性、最小特权等安全保护。 　　增强型DTE是在传统DTE模型基础之上进行扩充，实现域内不仅分配主体也可以分配客体，使不同域内的主客体访问达到多对多的访问关系。通过定义不同域的主客体访问权限，解决现有DTE模型存在的安全目标不准确、系统的安全性难以控制等问题。 　　通过配置严格的隔离策略，阻止安全域内、外部主体对客体的越权访问，从而实现保密性、完整性、最小特权等安全保护。为域间通信提供安全可靠的可信管道机制，从而得出系统处于可信状态的形式定义。采用增强型DTE安全域可以根据安全需求将应用和功能划分到不同的域，使进入域的主体权限得到有效控制，离开域的主体权限最小化。对比如图1所示。 　　4.2 增强型RBAC模型 　　基于角色的访问控制（Role-Based Access Control）因为有着替代传统访问控制（自主访问、强制访问）的前景而受到广泛关注。在RBAC中，权限与角色相关联，用户通过成为适当角色成员而得到这些角色的权限，这就极大地简化了权限的管理。 　　在一个组织中，角色是为了完成各种工作而创造的，用户则依据它的责任和资格来被指派相应的角色，用户可以很容易地从一个角色被指派到另一个角色。角色可依据新的需求和系统的合并而赋予新的权限，而权限也可根据需要从某角色中回收。角色与角色的关系可以建立起来以囊括更广泛的客观情况。 　　增强型RBAC模型可以支持细粒度的配置，其主客体对应关系如图2所示。 　　4.3 增强型BLP模型 　　BLP模型的基本安全策略是上读下写，高安全级别主体只可以读安全级别比它低的客体，低安全级别主体只可以写安全级别比它高的客体，同级别主客体间可读写。上读下写的安全策略保证了数据流向中的所有数据只能按照安全级别从低到高的流向流动，从而保证了敏感数据不被泄露。 　　增强型BLP模型读和写的权限更注重细粒度的控制，读权限包括读数据、读ACL等。写权限包括写数据、追加写、写ACL 等。BLP模型示意如图3。 　　椒图科技以上述解决方案为基础进行深入的技术研究和拓展，率先研发出了新一代的椒图主机安全环境系统，简称：JHSE（JOent的字母缩写）。JHSE以国家等级保护标准为依据，是针对服务器操作系统存在的安全隐患而提供的通用型安全操作系统解决方案，解决操作系统层面所面临的恶意代码执行、越权访问、数据泄露、破坏数据完整性等各种攻击行为。