通用型安全操作系統(tǒng)解決方案淺析

1、通用型平安操作系統(tǒng)解決方案淺析通用型平安操作系統(tǒng)解決方案淺析0引言隨著網(wǎng)絡(luò)平安威脅的日益嚴(yán)重，用戶對(duì)信息平安的建立越來(lái)越重視。而現(xiàn)階段的平安威脅不僅種類越發(fā)豐富，攻擊形式也日趨多樣。從早期的病毒蠕蟲(chóng)到如今非常普遍的惡意代碼、盜號(hào)木馬、間諜軟件、網(wǎng)絡(luò)釣魚(yú)以及大量的垃圾郵件等，無(wú)一不給用戶的正常應(yīng)用帶來(lái)嚴(yán)重的平安威脅。受到攻擊的用戶輕那么黑屏死機(jī)，重那么造成個(gè)人經(jīng)濟(jì)利益損失。同時(shí)，針對(duì)效勞器的eb應(yīng)用層攻擊(包括SQL注入、跨站腳本攻擊等)已成為目前流行的方式，造成大量對(duì)外提供業(yè)務(wù)的效勞器網(wǎng)頁(yè)被篡改，或者效勞器癱瘓等問(wèn)題。近期發(fā)生的大規(guī)模數(shù)據(jù)泄露事件，涉及多個(gè)大型網(wǎng)站，信息泄露數(shù)量高達(dá)1億多條用戶

2、信息，嚴(yán)重?fù)p害了互聯(lián)網(wǎng)用戶的合法權(quán)益、危害了互聯(lián)網(wǎng)平安。1平安操作系統(tǒng)需要解決的問(wèn)題人們對(duì)網(wǎng)絡(luò)平安問(wèn)題及造成的危害早已認(rèn)識(shí)，對(duì)其防范措施也是多種多樣，雖煞費(fèi)苦心但效果并不理想。其實(shí)防火墻、防病毒、入侵檢測(cè)、UT等網(wǎng)絡(luò)層和應(yīng)用層的防護(hù)手段已趨于成熟，信息系統(tǒng)產(chǎn)生平安問(wèn)題的最根本原因在于操作系統(tǒng)的構(gòu)造和機(jī)制的不平安。其根源在于P機(jī)硬件構(gòu)造的簡(jiǎn)化，系統(tǒng)不分執(zhí)行態(tài)，內(nèi)存無(wú)越界保護(hù)等等，使操作系統(tǒng)難以建立真正的TB可信計(jì)算基。這樣就導(dǎo)致資源配置被篡改、惡意程序被植入執(zhí)行、利用緩沖區(qū)溢出攻擊、非法接收系統(tǒng)管理員權(quán)限等平安事故的發(fā)生。隨著病毒在全球范圍內(nèi)的泛濫傳播、黑客利用各種破綻發(fā)起的攻擊、非授權(quán)者任意竊

3、取信息資源等各類平安風(fēng)險(xiǎn)的激增，使得傳統(tǒng)的信息平安產(chǎn)品老三樣防論文聯(lián)盟火墻、防病毒、入侵檢測(cè)、IPS等構(gòu)筑的防護(hù)體系日趨顯得被動(dòng)。信息平安問(wèn)題的根本解決，需要從系統(tǒng)工程的角度來(lái)考慮，通過(guò)建立平安操作系統(tǒng)構(gòu)建可信計(jì)算基(TB)，建立動(dòng)態(tài)、完好的平安體系。沒(méi)有平安操作系統(tǒng)的保護(hù)，就不可能有網(wǎng)絡(luò)系統(tǒng)的平安，也不可能有應(yīng)用軟件信息處理的平安性。信息平安框架的構(gòu)造假設(shè)只停留在網(wǎng)絡(luò)防護(hù)的層面上,而忽略了操作系統(tǒng)內(nèi)核平安這一根本要素,就如同將穩(wěn)固的堡壘建立在沙丘之上,平安隱患極大。根據(jù)國(guó)家?GB/T20272-2022信息平安技術(shù)操作系統(tǒng)平安技術(shù)要求?，平安操作系統(tǒng)需要解決幾個(gè)問(wèn)題：第一，身份鑒別；第二，訪

4、問(wèn)控制，包括自主訪問(wèn)控制和強(qiáng)迫訪問(wèn)控制要求；第三，數(shù)據(jù)流控制；第四，平安審計(jì)；第五，用戶數(shù)據(jù)完好性保護(hù)；第六，用戶數(shù)據(jù)保密性保護(hù)；第七，SSS自身平安保護(hù)。如何解決上述七點(diǎn)問(wèn)題成為平安操作系統(tǒng)開(kāi)發(fā)的難點(diǎn)。3提升操作系統(tǒng)平安等級(jí)的主要方式當(dāng)前國(guó)內(nèi)使用的效勞器操作系統(tǒng)主要來(lái)自國(guó)外如AIX、HP-UX、Slaris、indsServer、LinuxServer等，由于多數(shù)商用效勞器操作系統(tǒng)不開(kāi)源，所以現(xiàn)階段要提升操作系統(tǒng)平安等級(jí)主要有兩種方式：一是依靠使用開(kāi)源的Linux源代碼自主研發(fā)平安操作系統(tǒng)；二是通過(guò)重構(gòu)操作系統(tǒng)平安子系統(tǒng)SSS提升現(xiàn)有操作系統(tǒng)的平安等級(jí)，從而實(shí)現(xiàn)平安操作系統(tǒng)?；贚inux開(kāi)

5、源代碼研究的根底上，對(duì)Linux操作系統(tǒng)進(jìn)展平安改造，重新構(gòu)建一個(gè)新的平安的操作系統(tǒng)，可以保證操作系統(tǒng)的可控性、可信性。通過(guò)重構(gòu)開(kāi)源操作系統(tǒng)內(nèi)核，雖然可以實(shí)現(xiàn)操作系統(tǒng)平安等級(jí)的提升，但缺乏之處是其對(duì)上層應(yīng)用軟件、配套硬件、網(wǎng)絡(luò)支持上還不夠完善。我國(guó)的效勞器操作系統(tǒng)高端市場(chǎng)根本是IBAIX、HPHP-UX、SunSlaris，而中低端根本上都采用的是indsServer。這種方式只限于公開(kāi)內(nèi)核源代碼的操作系統(tǒng)，對(duì)部分商用效勞器操作系統(tǒng)包括indsServer、Slaris、AIX等不適用。假設(shè)采用此種方案需要放棄如今使用的操作系統(tǒng)，而使用一個(gè)全新的操作系統(tǒng)，這將嚴(yán)重影響企業(yè)的業(yè)務(wù)連續(xù)性和業(yè)務(wù)邏輯

6、，也因此多數(shù)企業(yè)不愿采用而無(wú)法得到普及。可以看出，這種方式并不適宜當(dāng)前通用平安操作系統(tǒng)解決方案。相對(duì)于使用Linux源代碼自主研發(fā)平安操作系統(tǒng)，采用重構(gòu)操作系統(tǒng)平安子系統(tǒng)SSS實(shí)現(xiàn)平安操作系統(tǒng)的方法，是在內(nèi)核層面上對(duì)操作系統(tǒng)進(jìn)展重構(gòu)和擴(kuò)大。這種方式對(duì)安裝在操作系統(tǒng)之上的合法應(yīng)用軟件和數(shù)據(jù)庫(kù)的正常使用不會(huì)造成任何影響，對(duì)底層硬件驅(qū)動(dòng)也是透明發(fā)生，其不會(huì)影響現(xiàn)有業(yè)務(wù)的連續(xù)性，甚至不用重啟效勞器，就能對(duì)整個(gè)操作系統(tǒng)的平安級(jí)別進(jìn)展動(dòng)態(tài)提升，以到達(dá)解決操作系統(tǒng)平安隱患的目的，是目前較為理想的通用平安操作系統(tǒng)解決方案。在操作系統(tǒng)中，SSS是構(gòu)成一個(gè)平安操作系統(tǒng)的所有平安保護(hù)裝置的組合體。一個(gè)SSS可以包含

7、多個(gè)SSFSSS平安功能模塊,每個(gè)SSF是一個(gè)或多個(gè)SFP平安功能策略的實(shí)現(xiàn)。SSPSSS平安功能策略是這些SFP的總稱，構(gòu)成一個(gè)平安域，以防止不可信主體的干擾和篡改。實(shí)現(xiàn)SSF有兩種方法，一種是設(shè)置前端過(guò)濾器，另一種是設(shè)置訪問(wèn)監(jiān)控器。以下解決方案為采用設(shè)置訪問(wèn)監(jiān)控器實(shí)現(xiàn)SSF的方法，是通過(guò)在SSS中設(shè)置多個(gè)資源訪問(wèn)監(jiān)控器，控制的客體范圍包括文件、進(jìn)程、效勞、共享資源、磁盤(pán)、端口、注冊(cè)表(僅inds)等；主體包括用戶、進(jìn)程和IP，同時(shí)支持用戶與進(jìn)程的綁定，可以控制到指定用戶的指定進(jìn)程。將主機(jī)資源各個(gè)層面嚴(yán)密的結(jié)合，可以根據(jù)實(shí)際需要對(duì)資源進(jìn)展合理控制，實(shí)現(xiàn)權(quán)限最小原那么。并結(jié)合增強(qiáng)型DTE、RB

8、A、BLP三種訪問(wèn)控制平安模型，重構(gòu)操作系統(tǒng)的平安子系統(tǒng)SSS,用重構(gòu)后的強(qiáng)化平安子系統(tǒng)監(jiān)控器監(jiān)控資源訪問(wèn)的行為，遵循增強(qiáng)型DTE、RBA、BLP模型來(lái)實(shí)現(xiàn)系統(tǒng)的平安策略。通過(guò)三種模型的互相作用和制約，確保系統(tǒng)中信息和系統(tǒng)自身平安性，以保障操作系統(tǒng)的保密性、完好性、可用性、可靠性。4增強(qiáng)型平安模型與傳統(tǒng)平安模型的區(qū)別4.1增強(qiáng)型DTE模型DTEDainandTypeEnfreent模型是有效施行細(xì)粒度強(qiáng)迫訪問(wèn)控制的平安策略機(jī)制。其中平安域隔離技術(shù)作為構(gòu)建可信系統(tǒng)的根本要求之一，是操作系統(tǒng)核心強(qiáng)迫執(zhí)行的一種訪問(wèn)控制機(jī)制，特點(diǎn)是通過(guò)嚴(yán)格的隔離，阻止平安域內(nèi)、外部主體對(duì)客體的越權(quán)訪問(wèn)，實(shí)現(xiàn)保密性、完

9、好性、最小特權(quán)等平安保護(hù)。增強(qiáng)型DTE是在傳統(tǒng)DTE模型根底之上進(jìn)展擴(kuò)大，實(shí)現(xiàn)域內(nèi)不僅分配主體也可以分配客體，使不同域內(nèi)的主客體訪問(wèn)到達(dá)多對(duì)多的訪問(wèn)關(guān)系。通過(guò)定義不同域的主客體訪問(wèn)權(quán)限，解決現(xiàn)有DTE模型存在的平安目的不準(zhǔn)確、系統(tǒng)的平安性難以控制等問(wèn)題。通過(guò)配置嚴(yán)格的隔離策略，阻止平安域內(nèi)、外部主體對(duì)客體的越權(quán)訪問(wèn)，從而實(shí)現(xiàn)保密性、完好性、最小特權(quán)等平安保護(hù)。為域間通信提供平安可靠的可信管道機(jī)制，從而得出系統(tǒng)處于可信狀態(tài)的形式定義。采用增強(qiáng)型DTE平安域可以根據(jù)平安需求將應(yīng)用和功能劃分到不同的域，使進(jìn)入域的主體權(quán)限得到有效控制，分開(kāi)域的主體權(quán)限最小化。比照方圖1所示。4.2增強(qiáng)型RBA模型基于

10、角色的訪問(wèn)控制Rle-BasedAessntrl因?yàn)橛兄娲鷤鹘y(tǒng)訪問(wèn)控制自主訪問(wèn)、強(qiáng)迫訪問(wèn)的前景而受到廣泛關(guān)注。在RBA中，權(quán)限與角色相關(guān)聯(lián)，用戶通過(guò)成為適當(dāng)角色成員而得到這些角色的權(quán)限，這就極大地簡(jiǎn)化了權(quán)限的管理。在一個(gè)組織中，角色是為了完成各種工作而創(chuàng)造的，用戶那么根據(jù)它的責(zé)任和資格來(lái)被指派相應(yīng)的角色，用戶可以很容易地從一個(gè)角色被指派到另一個(gè)角色。角色可根據(jù)新的需求和系統(tǒng)的合并而賦予新的權(quán)限，而權(quán)限也可根據(jù)需要從某角色中回收。角色與角色的關(guān)系可以建立起來(lái)以囊括更廣泛的客觀情況。增強(qiáng)型RBA模型可以支持細(xì)粒度的配置，其主客體對(duì)應(yīng)關(guān)系如圖2所示。4.3增強(qiáng)型BLP模型BLP模型的根本平安策略是

11、上讀下寫(xiě)，高平安級(jí)別主體只可以讀平安級(jí)別比它低的客體，低平安級(jí)別主體只可以寫(xiě)平安級(jí)別比它高的客體，同級(jí)別主客體間可讀寫(xiě)。上讀下寫(xiě)的平安策略保證了數(shù)據(jù)流向中的所有數(shù)據(jù)只能按照平安級(jí)別從低到高的流向流動(dòng)，從而保證了敏感數(shù)據(jù)不被泄露。增強(qiáng)型BLP模型讀和寫(xiě)的權(quán)限更注重細(xì)粒度的控制，讀權(quán)限包括讀數(shù)據(jù)、讀AL等。寫(xiě)權(quán)限包括寫(xiě)數(shù)據(jù)、追加寫(xiě)、寫(xiě)AL等。BLP模型示意如圖3。椒圖科技以上述解決方案為根底進(jìn)展深化的技術(shù)研究和拓展，率先研發(fā)出了新一代的椒圖主機(jī)平安環(huán)境系統(tǒng)，簡(jiǎn)稱：JHSEJTHstSeurityEnvirnent的字母縮寫(xiě)。JHSE以國(guó)家等級(jí)保護(hù)標(biāo)準(zhǔn)為根據(jù)，是針對(duì)效勞器操作系統(tǒng)存在的平安隱患而提供

12、的通用型平安操作系統(tǒng)解決方案，解決操作系統(tǒng)層面所面臨的惡意代碼執(zhí)行、越權(quán)訪問(wèn)、數(shù)據(jù)泄露、破壞數(shù)據(jù)完好性等各種攻擊行為。5總結(jié)椒圖科技JHSE可以通過(guò)可視虛擬化技術(shù)將每個(gè)應(yīng)用或者功能單獨(dú)劃分成平安域，各平安域之間如同獨(dú)立的主機(jī)互相隔離；利用增強(qiáng)型DTE所生成的每個(gè)平安域中均具備增強(qiáng)型RBA平安機(jī)制，可對(duì)域內(nèi)資源進(jìn)展強(qiáng)迫訪問(wèn)控制，讓每個(gè)域的平安性非常強(qiáng)??；而增強(qiáng)型DTE那么隔離了域與域之間的訪問(wèn)，即便管理員忘記對(duì)某個(gè)域進(jìn)展平安配置，出現(xiàn)了平安事故，所產(chǎn)生的影響也僅局限在該域內(nèi)，不會(huì)影響和擴(kuò)散到其他域。這種默認(rèn)的最小化平安訪問(wèn)機(jī)制，有效地隔離了、未知攻擊和惡意代碼對(duì)系統(tǒng)與應(yīng)用資源的訪問(wèn)，確保了系統(tǒng)資

13、源的保密性和完好性，從而也提供了高可用和高可靠的業(yè)務(wù)連續(xù)性。JHSE通過(guò)對(duì)平安子系統(tǒng)SSS的重構(gòu)和擴(kuò)大，它將原有操作系統(tǒng)中自由型、層次型的自主訪問(wèn)控制模型，改變?yōu)榉?GB/T20272-2022信息平安技術(shù)-操作系統(tǒng)平安技術(shù)要求?的宿主型自主訪問(wèn)控制模型。JHSE嚴(yán)格按照三級(jí)操作系統(tǒng)平安標(biāo)準(zhǔn)，使操作系統(tǒng)平安到達(dá)身份鑒別、強(qiáng)迫訪問(wèn)控制、平安審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范，資源控制等標(biāo)準(zhǔn)，為信息系統(tǒng)提供縱深防御體系。同時(shí)，JHSE適用于AIX、HP-UX、Slaris、indsServer、LinuxServer等主流商用效勞器操作系統(tǒng)，其安裝、應(yīng)用都不會(huì)影響原有業(yè)務(wù)的邏輯和連續(xù)性，從而實(shí)現(xiàn)了對(duì)效勞器操作系統(tǒng)平