1、通用型平安操作系統解決方案淺析通用型平安操作系統解決方案淺析0引言隨著網絡平安威脅的日益嚴重，用戶對信息平安的建立越來越重視。而現階段的平安威脅不僅種類越發豐富，攻擊形式也日趨多樣。從早期的病毒蠕蟲到如今非常普遍的惡意代碼、盜號木馬、間諜軟件、網絡釣魚以及大量的垃圾郵件等，無一不給用戶的正常應用帶來嚴重的平安威脅。受到攻擊的用戶輕那么黑屏死機，重那么造成個人經濟利益損失。同時，針對效勞器的eb應用層攻擊(包括SQL注入、跨站腳本攻擊等)已成為目前流行的方式，造成大量對外提供業務的效勞器網頁被篡改，或者效勞器癱瘓等問題。近期發生的大規模數據泄露事件，涉及多個大型網站，信息泄露數量高達1億多條用戶

2、信息，嚴重損害了互聯網用戶的合法權益、危害了互聯網平安。1平安操作系統需要解決的問題人們對網絡平安問題及造成的危害早已認識，對其防范措施也是多種多樣，雖煞費苦心但效果并不理想。其實防火墻、防病毒、入侵檢測、UT等網絡層和應用層的防護手段已趨于成熟，信息系統產生平安問題的最根本原因在于操作系統的構造和機制的不平安。其根源在于P機硬件構造的簡化，系統不分執行態，內存無越界保護等等，使操作系統難以建立真正的TB可信計算基。這樣就導致資源配置被篡改、惡意程序被植入執行、利用緩沖區溢出攻擊、非法接收系統管理員權限等平安事故的發生。隨著病毒在全球范圍內的泛濫傳播、黑客利用各種破綻發起的攻擊、非授權者任意竊

3、取信息資源等各類平安風險的激增，使得傳統的信息平安產品老三樣防論文聯盟火墻、防病毒、入侵檢測、IPS等構筑的防護體系日趨顯得被動。信息平安問題的根本解決，需要從系統工程的角度來考慮，通過建立平安操作系統構建可信計算基(TB)，建立動態、完好的平安體系。沒有平安操作系統的保護，就不可能有網絡系統的平安，也不可能有應用軟件信息處理的平安性。信息平安框架的構造假設只停留在網絡防護的層面上,而忽略了操作系統內核平安這一根本要素,就如同將穩固的堡壘建立在沙丘之上,平安隱患極大。根據國家?GB/T20272-2022信息平安技術操作系統平安技術要求?，平安操作系統需要解決幾個問題：第一，身份鑒別；第二，訪

4、問控制，包括自主訪問控制和強迫訪問控制要求；第三，數據流控制；第四，平安審計；第五，用戶數據完好性保護；第六，用戶數據保密性保護；第七，SSS自身平安保護。如何解決上述七點問題成為平安操作系統開發的難點。3提升操作系統平安等級的主要方式當前國內使用的效勞器操作系統主要來自國外如AIX、HP-UX、Slaris、indsServer、LinuxServer等，由于多數商用效勞器操作系統不開源，所以現階段要提升操作系統平安等級主要有兩種方式：一是依靠使用開源的Linux源代碼自主研發平安操作系統；二是通過重構操作系統平安子系統SSS提升現有操作系統的平安等級，從而實現平安操作系統。基于Linux開

5、源代碼研究的根底上，對Linux操作系統進展平安改造，重新構建一個新的平安的操作系統，可以保證操作系統的可控性、可信性。通過重構開源操作系統內核，雖然可以實現操作系統平安等級的提升，但缺乏之處是其對上層應用軟件、配套硬件、網絡支持上還不夠完善。我國的效勞器操作系統高端市場根本是IBAIX、HPHP-UX、SunSlaris，而中低端根本上都采用的是indsServer。這種方式只限于公開內核源代碼的操作系統，對部分商用效勞器操作系統包括indsServer、Slaris、AIX等不適用。假設采用此種方案需要放棄如今使用的操作系統，而使用一個全新的操作系統，這將嚴重影響企業的業務連續性和業務邏輯

6、，也因此多數企業不愿采用而無法得到普及。可以看出，這種方式并不適宜當前通用平安操作系統解決方案。相對于使用Linux源代碼自主研發平安操作系統，采用重構操作系統平安子系統SSS實現平安操作系統的方法，是在內核層面上對操作系統進展重構和擴大。這種方式對安裝在操作系統之上的合法應用軟件和數據庫的正常使用不會造成任何影響，對底層硬件驅動也是透明發生，其不會影響現有業務的連續性，甚至不用重啟效勞器，就能對整個操作系統的平安級別進展動態提升，以到達解決操作系統平安隱患的目的，是目前較為理想的通用平安操作系統解決方案。在操作系統中，SSS是構成一個平安操作系統的所有平安保護裝置的組合體。一個SSS可以包含

7、多個SSFSSS平安功能模塊,每個SSF是一個或多個SFP平安功能策略的實現。SSPSSS平安功能策略是這些SFP的總稱，構成一個平安域，以防止不可信主體的干擾和篡改。實現SSF有兩種方法，一種是設置前端過濾器，另一種是設置訪問監控器。以下解決方案為采用設置訪問監控器實現SSF的方法，是通過在SSS中設置多個資源訪問監控器，控制的客體范圍包括文件、進程、效勞、共享資源、磁盤、端口、注冊表(僅inds)等；主體包括用戶、進程和IP，同時支持用戶與進程的綁定，可以控制到指定用戶的指定進程。將主機資源各個層面嚴密的結合，可以根據實際需要對資源進展合理控制，實現權限最小原那么。并結合增強型DTE、RB

8、A、BLP三種訪問控制平安模型，重構操作系統的平安子系統SSS,用重構后的強化平安子系統監控器監控資源訪問的行為，遵循增強型DTE、RBA、BLP模型來實現系統的平安策略。通過三種模型的互相作用和制約，確保系統中信息和系統自身平安性，以保障操作系統的保密性、完好性、可用性、可靠性。4增強型平安模型與傳統平安模型的區別4.1增強型DTE模型DTEDainandTypeEnfreent模型是有效施行細粒度強迫訪問控制的平安策略機制。其中平安域隔離技術作為構建可信系統的根本要求之一，是操作系統核心強迫執行的一種訪問控制機制，特點是通過嚴格的隔離，阻止平安域內、外部主體對客體的越權訪問，實現保密性、完

9、好性、最小特權等平安保護。增強型DTE是在傳統DTE模型根底之上進展擴大，實現域內不僅分配主體也可以分配客體，使不同域內的主客體訪問到達多對多的訪問關系。通過定義不同域的主客體訪問權限，解決現有DTE模型存在的平安目的不準確、系統的平安性難以控制等問題。通過配置嚴格的隔離策略，阻止平安域內、外部主體對客體的越權訪問，從而實現保密性、完好性、最小特權等平安保護。為域間通信提供平安可靠的可信管道機制，從而得出系統處于可信狀態的形式定義。采用增強型DTE平安域可以根據平安需求將應用和功能劃分到不同的域，使進入域的主體權限得到有效控制，分開域的主體權限最小化。比照方圖1所示。4.2增強型RBA模型基于

10、角色的訪問控制Rle-BasedAessntrl因為有著替代傳統訪問控制自主訪問、強迫訪問的前景而受到廣泛關注。在RBA中，權限與角色相關聯，用戶通過成為適當角色成員而得到這些角色的權限，這就極大地簡化了權限的管理。在一個組織中，角色是為了完成各種工作而創造的，用戶那么根據它的責任和資格來被指派相應的角色，用戶可以很容易地從一個角色被指派到另一個角色。角色可根據新的需求和系統的合并而賦予新的權限，而權限也可根據需要從某角色中回收。角色與角色的關系可以建立起來以囊括更廣泛的客觀情況。增強型RBA模型可以支持細粒度的配置，其主客體對應關系如圖2所示。4.3增強型BLP模型BLP模型的根本平安策略是

11、上讀下寫，高平安級別主體只可以讀平安級別比它低的客體，低平安級別主體只可以寫平安級別比它高的客體，同級別主客體間可讀寫。上讀下寫的平安策略保證了數據流向中的所有數據只能按照平安級別從低到高的流向流動，從而保證了敏感數據不被泄露。增強型BLP模型讀和寫的權限更注重細粒度的控制，讀權限包括讀數據、讀AL等。寫權限包括寫數據、追加寫、寫AL等。BLP模型示意如圖3。椒圖科技以上述解決方案為根底進展深化的技術研究和拓展，率先研發出了新一代的椒圖主機平安環境系統，簡稱：JHSEJTHstSeurityEnvirnent的字母縮寫。JHSE以國家等級保護標準為根據，是針對效勞器操作系統存在的平安隱患而提供

12、的通用型平安操作系統解決方案，解決操作系統層面所面臨的惡意代碼執行、越權訪問、數據泄露、破壞數據完好性等各種攻擊行為。5總結椒圖科技JHSE可以通過可視虛擬化技術將每個應用或者功能單獨劃分成平安域，各平安域之間如同獨立的主機互相隔離；利用增強型DTE所生成的每個平安域中均具備增強型RBA平安機制，可對域內資源進展強迫訪問控制，讓每個域的平安性非常強健；而增強型DTE那么隔離了域與域之間的訪問，即便管理員忘記對某個域進展平安配置，出現了平安事故，所產生的影響也僅局限在該域內，不會影響和擴散到其他域。這種默認的最小化平安訪問機制，有效地隔離了、未知攻擊和惡意代碼對系統與應用資源的訪問，確保了系統資

13、源的保密性和完好性，從而也提供了高可用和高可靠的業務連續性。JHSE通過對平安子系統SSS的重構和擴大，它將原有操作系統中自由型、層次型的自主訪問控制模型，改變為符合?GB/T20272-2022信息平安技術-操作系統平安技術要求?的宿主型自主訪問控制模型。JHSE嚴格按照三級操作系統平安標準，使操作系統平安到達身份鑒別、強迫訪問控制、平安審計、剩余信息保護、入侵防范、惡意代碼防范，資源控制等標準，為信息系統提供縱深防御體系。同時，JHSE適用于AIX、HP-UX、Slaris、indsServer、LinuxServer等主流商用效勞器操作系統，其安裝、應用都不會影響原有業務的邏輯和連續性，從而實現了對效勞器操作系統平