通用型安全操作系統(tǒng)解決方案

千里之行，始于足下。第2頁/共2頁精品文檔推薦通用型安全操作系統(tǒng)解決方案通用型安全操作系統(tǒng)解決方案淺析

【摘要】在信息安全領(lǐng)域，隨著攻擊技術(shù)的別斷升級和數(shù)據(jù)泄露事件的激增，業(yè)界越來越重視服務(wù)器操作系統(tǒng)的安全咨詢題。文章從等級愛護(hù)安全操作系統(tǒng)研究入手，介紹了兩種安全操作系統(tǒng)解決方案，對照了通用型安全操作系統(tǒng)相比傳統(tǒng)自主研發(fā)的安全操作系統(tǒng)的優(yōu)勢所在。文中重點(diǎn)闡述了通用型安全操作系統(tǒng)解決方案的技術(shù)優(yōu)勢和實(shí)現(xiàn)原理，結(jié)合增強(qiáng)型dte、rbac、blp三種拜訪操縱安全模型，重構(gòu)操作系統(tǒng)的安全子系統(tǒng)（ssoos），動態(tài)、透明提升操作系統(tǒng)安全等級，以實(shí)現(xiàn)通用型安全操作系統(tǒng)的解決方案?！娟P(guān)鍵詞】安全操作系統(tǒng)；操作系統(tǒng)安全子系統(tǒng)(ssoos)；等級愛護(hù)

【abstract】withthecontinuousupgradeofattacktechnologiesandthesharpriseinthedatadisclosureevents,thepeopleintheinformationsecurityindustryattachgreaterimportancetothesecurityproblemsofserveroperatingsystem.startingwiththeresearchontheclassifiedprotectionsecurityoperatingsystem,his

article,wegivefullprioritytorepresentthetechnicaladvantagesofgeneralpurposesecurityoperatingsystemsolutionandtheprinciplesforachievingsuchsolution.incombinationwiththreeenhancedtypeaccesscontrolsecuritymodels,namelydte,rbacandblp,wereconstructedthesecuritysubsystemofoperatingsystem(ssoos)andpromotethesecurityclassofoperatingsystemindynamicandtransparentmanner,soastoachievethesolutionofgeneral-purposesecurityoperatingsystem.

【keywords】securityoperatingsystem；securitysubsystemofoperatingsystem（ssoos）；classificationprotection

0引言

隨著網(wǎng)絡(luò)安全威脅的日益嚴(yán)峻，用戶對信息安全的建設(shè)越來越重視。而現(xiàn)時(shí)期的安全威脅別僅種類越發(fā)豐富，攻擊形式也日趨多樣。從早期的病毒蠕蟲到如今很普遍的惡意代碼、盜號木馬、間諜軟件、網(wǎng)絡(luò)釣魚以及大量的垃圾郵件等，無一別給用戶的正常應(yīng)用帶來嚴(yán)峻的安全威脅。受到攻擊的用戶輕則黑屏死機(jī)，重則造成個(gè)人經(jīng)濟(jì)利益損失。

并且，針對服務(wù)器的web應(yīng)用層攻擊(包括sql注入、跨站足本攻擊等)已成為目前流行的方式，造成大量對外提供業(yè)務(wù)的服務(wù)器網(wǎng)頁被篡改，或者服務(wù)器癱瘓等咨詢題。近期發(fā)生的大規(guī)模數(shù)據(jù)泄露事

件，涉及多個(gè)大型網(wǎng)站，信息泄露數(shù)量高達(dá)1億多條用戶信息，嚴(yán)峻侵害了互聯(lián)網(wǎng)用戶的合法權(quán)益、危害了互聯(lián)網(wǎng)安全。

1安全操作系統(tǒng)需要解決的咨詢題

人們對網(wǎng)絡(luò)安全咨詢題及造成的危害早已認(rèn)識，對其防范措施也是多種多樣，雖煞費(fèi)苦心但效果并別理想。事實(shí)上防火墻、防病毒、入侵檢測、utm等網(wǎng)絡(luò)層和應(yīng)用層的防護(hù)手段已趨于成熟，信息系統(tǒng)產(chǎn)生安全咨詢題的最基本緣故在于操作系統(tǒng)的結(jié)構(gòu)和機(jī)制的別安全。其根源在于pc機(jī)硬件結(jié)構(gòu)的簡化，系統(tǒng)別分執(zhí)行“態(tài)”，內(nèi)存無越界愛護(hù)等等，使操作系統(tǒng)難以建立真正的tcb（可信計(jì)算基）。如此就導(dǎo)致資源配置被篡改、惡意程序被植入執(zhí)行、利用緩沖區(qū)溢出攻擊、非法接管系統(tǒng)治理員權(quán)限等安全事故的發(fā)生。

隨著病毒在全球范圍內(nèi)的泛濫傳播、黑客利用各種漏洞發(fā)起的攻擊、非授權(quán)者任意竊取信息資源等各類安全風(fēng)險(xiǎn)的激增，使得傳統(tǒng)的信息安全產(chǎn)品“老三樣”（防火墻、防病毒、入侵檢測）、ips等構(gòu)筑的防護(hù)體系日趨顯得被動。

信息安全咨詢題的全然解決，需要從系統(tǒng)工程的角度來思考，經(jīng)過建立安全操作系統(tǒng)構(gòu)建可信計(jì)算基(tcb)，建立動態(tài)、完整的安全體系。沒有安全操作系統(tǒng)的愛護(hù)，就不會有網(wǎng)絡(luò)系統(tǒng)的安全，也不會有應(yīng)用軟件信息處理的安全性。

信息安全框架的構(gòu)造假如只停留在網(wǎng)絡(luò)防護(hù)的層面上,而忽略了操作系統(tǒng)內(nèi)核安全這一基本要素,就如同將牢固的堡壘建立在沙丘

之上,安全隱患極大。

依照國家《gb/t20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》，安全操作系統(tǒng)需要解決幾個(gè)咨詢題：第一，身份鑒不；第二，拜訪操縱，包括自主拜訪操縱和強(qiáng)制拜訪操縱要求；第三，數(shù)據(jù)流操縱；第四，安全審計(jì)；第五，用戶數(shù)據(jù)完整性愛護(hù)；第六，用戶數(shù)據(jù)保密性愛護(hù)；第七，ssoos自身安全愛護(hù)。

怎么解決上述七點(diǎn)咨詢題成為安全操作系統(tǒng)開辟的難點(diǎn)。

3提升操作系統(tǒng)安全等級的要緊方式

當(dāng)前國內(nèi)使用的服務(wù)器操作系統(tǒng)要緊來自國外（如aix、hp-ux、solaris、windowsserver、linuxserver等），由于多數(shù)商用服務(wù)器操作系統(tǒng)別開源，因此現(xiàn)時(shí)期要提升操作系統(tǒng)安全等級要緊有兩種方式：一是依賴使用開源的linux源代碼自主研發(fā)安全操作系統(tǒng)；二是經(jīng)過重構(gòu)操作系統(tǒng)安全子系統(tǒng)（ssoos）提升現(xiàn)有操作系統(tǒng)的安全等級，從而實(shí)現(xiàn)安全操作系統(tǒng)。

基于linux開源代碼研究的基礎(chǔ)上，對linux操作系統(tǒng)舉行安全改造，重新構(gòu)建一具新的安全的操作系統(tǒng)，能夠保證操作系統(tǒng)的可控性、可信性。經(jīng)過重構(gòu)開源操作系統(tǒng)內(nèi)核，盡管能夠?qū)崿F(xiàn)操作系統(tǒng)安全等級的提升，但別腳之處是其對上層應(yīng)用軟件、配套硬件、網(wǎng)絡(luò)支持上還別夠完善。我國的服務(wù)器操作系統(tǒng)高端市場基本是ibmaix、hphp-ux、sunsolaris，而中低端都是都采納的是windowsserver。這種方式只限于公開內(nèi)核源代碼的操作系統(tǒng)，對

部分商用服務(wù)器操作系統(tǒng)（包括windowsserver、solaris、aix等）別適用。

若采納此種方案需要放棄如今使用的操作系統(tǒng)，而使用一具全新的操作系統(tǒng)，這將嚴(yán)峻妨礙企業(yè)的業(yè)務(wù)延續(xù)性和業(yè)務(wù)邏輯，也所以多數(shù)企業(yè)別愿采納而無法得到普及。能夠看出，這種方式并別適合當(dāng)前通用安全操作系統(tǒng)解決方案。

相關(guān)于使用linux源代碼自主研發(fā)安全操作系統(tǒng)，采納重構(gòu)操作系統(tǒng)安全子系統(tǒng)（ssoos）實(shí)現(xiàn)安全操作系統(tǒng)的辦法，是在內(nèi)核層面上對操作系統(tǒng)舉行重構(gòu)和擴(kuò)充。這種方式對安裝在操作系統(tǒng)之上的合法應(yīng)用軟件和數(shù)據(jù)庫的正常使用不可能造成任何妨礙，對底層硬件驅(qū)動也是透明發(fā)生，其不可能妨礙現(xiàn)有業(yè)務(wù)的延續(xù)性，甚至別用重啟服務(wù)器，就能對整個(gè)操作系統(tǒng)的安全級不舉行動態(tài)提升，以達(dá)到解決操作系統(tǒng)安全隱患的目的，是目前較為理想的通用安全操作系統(tǒng)解決方案。

在操作系統(tǒng)中，ssoos是構(gòu)成一具安全操作系統(tǒng)的所有安全愛護(hù)裝置的組合體。一具ssoos能夠包含多個(gè)ssf（ssoos安全功能模塊）,每個(gè)ssf是一具或多個(gè)sfp（安全功能策略）的實(shí)現(xiàn)。ssp（ssoos安全功能策略）是這些sfp的總稱，構(gòu)成一具安全域，以防止別可信主體的干擾和篡改。實(shí)現(xiàn)ssf有兩種辦法，一種是設(shè)置前端過濾器，另一種是設(shè)置拜訪監(jiān)控器。

以下解決方案為采納設(shè)置拜訪監(jiān)控器實(shí)現(xiàn)ssf的辦法，是經(jīng)過在ssoos中設(shè)置多個(gè)資源拜訪監(jiān)控器，操縱的客體范圍包括文件、進(jìn)程、服務(wù)、共享資源、磁盤、端口、注冊表(僅windows)等；主體包括用戶、進(jìn)程和ip，并且支持用戶與進(jìn)程的綁定，能夠操縱到指定用戶的指定進(jìn)程。將主機(jī)資源各個(gè)層面密切的結(jié)合，能夠依照實(shí)際需要對資源舉行合理操縱，實(shí)現(xiàn)權(quán)限最小原則。并結(jié)合增強(qiáng)型dte、rbac、blp三種拜訪操縱安全模型，重構(gòu)操作系統(tǒng)的安全子系統(tǒng)（ssoos）,用重構(gòu)后的“強(qiáng)化安全子系統(tǒng)監(jiān)控器”監(jiān)控資源拜訪的行為，遵循增強(qiáng)型dte、rbac、blp模型來實(shí)現(xiàn)系統(tǒng)的安全策略。經(jīng)過三種模型的相互作用和制約，確保系統(tǒng)中信息和系統(tǒng)自身安全性，以保障操作系統(tǒng)的保密性、完整性、可用性、可靠性。

4增強(qiáng)型安全模型與傳統(tǒng)安全模型的區(qū)不

4.1增強(qiáng)型dte模型

dte（domainandtypeenforcement）模型是有效實(shí)施細(xì)粒度強(qiáng)制拜訪操縱的安全策略機(jī)制。其中安全域隔離技術(shù)作為構(gòu)建可信系統(tǒng)的基本要求之一，是操作系統(tǒng)核心強(qiáng)制執(zhí)行的一種拜訪操縱機(jī)制，特點(diǎn)是經(jīng)過嚴(yán)格的隔離，阻撓安全域內(nèi)、外部主體對客體的越權(quán)拜訪，實(shí)現(xiàn)保密性、完整性、最小特權(quán)等安全愛護(hù)。

增強(qiáng)型dte是在傳統(tǒng)dte模型基礎(chǔ)之上舉行擴(kuò)充，實(shí)現(xiàn)域內(nèi)別僅分配主體也能夠分配客體，使別同域內(nèi)的主客體拜訪達(dá)到多對多的拜訪關(guān)系。經(jīng)過定義別同域的主客體拜訪權(quán)限，解決現(xiàn)有dte模型

存在的安全目標(biāo)別準(zhǔn)確、系統(tǒng)的安全性難以操縱等咨詢題。

經(jīng)過配置嚴(yán)格的隔離策略，阻撓安全域內(nèi)、外部主體對客體的越權(quán)拜訪，從而實(shí)現(xiàn)保密性、完整性、最小特權(quán)等安全愛護(hù)。為域間通信提供安全可靠的可信管道機(jī)制，從而得出系統(tǒng)處于可信狀態(tài)的形式定義。采納增強(qiáng)型dte安全域能夠依照安全需求將應(yīng)用和功能劃分到別同的域，使進(jìn)入域的主體權(quán)限得到有效操縱，離開域的主體權(quán)限最小化。對照如圖1所示。

4.2增強(qiáng)型rbac模型

基于角XXX的拜訪操縱（role-basedaccesscontrol）因?yàn)橛兄娲鷤鹘y(tǒng)拜訪操縱（自主拜訪、強(qiáng)制拜訪）的前景而受到廣泛關(guān)注。在rbac中，權(quán)限與角群相關(guān)聯(lián)，用戶經(jīng)過成為適當(dāng)角群成員而得到這些角XXX的權(quán)限，這就極大地簡化了權(quán)限的治理。

在一具組織中，角群是為了完成各種工作而制造的，用戶則依據(jù)它的責(zé)任和資格來被指派相應(yīng)的角XXX，用戶能夠非常容易地從一具角群被指派到另一具角群。角群可依據(jù)新的需求和系統(tǒng)的合并而給予新的權(quán)限，而權(quán)限也可依照需要從某角XXX中回收。角群與角XXX的關(guān)系能夠建立起來以囊括更廣泛的客觀事情。

增強(qiáng)型rbac模型能夠支持細(xì)粒度的配置，其主客體對應(yīng)關(guān)系如圖2所示。

4.3增強(qiáng)型blp模型

blp模型的基本安全策略是“上讀下寫”，高安全級不主體只能夠

讀安全級不比它低的客體，低安全級不主體只能夠?qū)懓踩壊槐人叩目腕w，同級不主客體間可讀寫?！吧献x下寫”的安全策略保證了數(shù)據(jù)流向中的所有數(shù)據(jù)只能按照安全級不從低到高的流向流淌，從而保證了敏感數(shù)據(jù)別被泄露。

增強(qiáng)型blp模型讀和寫的權(quán)限更注重細(xì)粒度的操縱，讀權(quán)限包括讀數(shù)據(jù)、讀acl等。寫權(quán)限包括寫數(shù)據(jù)、追加寫、寫acl等。blp模型示意如圖3。

椒圖科技以上述解決方案為基礎(chǔ)舉行深入的技術(shù)研究和拓展，領(lǐng)先研發(fā)出了新一代的椒圖主機(jī)安全環(huán)境系統(tǒng)，簡稱：jhse（jowtohostsecurityenviroXXXent的字母縮寫）。jhse以國家等級愛護(hù)標(biāo)準(zhǔn)為依據(jù)，是針對服務(wù)器操作系統(tǒng)存在的安全隱患而提供的通用型安全操作系統(tǒng)解決方案，解決操作系統(tǒng)層面所面臨的惡意代碼執(zhí)行、越權(quán)拜訪、數(shù)據(jù)泄露、破壞數(shù)據(jù)完整性等各種攻擊行為。

5總結(jié)

椒圖科技jhse可以經(jīng)過可視虛擬化技術(shù)將每個(gè)應(yīng)用或者功能單獨(dú)劃分成安全域，各安全域之間如同獨(dú)立的主機(jī)相互隔離；利用增強(qiáng)型dte所生成的每個(gè)安全域中均具備增強(qiáng)型rbac安全機(jī)制，可對域內(nèi)資源舉行強(qiáng)制拜訪操縱，讓每個(gè)域的安全性很茁壯；而增強(qiáng)型dte則隔離了域與域之間的拜訪，即便治理員不記得對某個(gè)域舉行安全配置，浮現(xiàn)了安全事故，所產(chǎn)生的妨礙也僅局限在該域內(nèi)，不可能妨礙和擴(kuò)散到其他域。

這種默認(rèn)的最小化安全拜訪機(jī)制，有效地隔離了已知、未知攻擊和惡意代碼對系統(tǒng)與應(yīng)用