通用型安全操作系统解决方案浅析

1、通用型平安操作系统解决方案浅析通用型平安操作系统解决方案浅析0引言随着网络平安威胁的日益严重，用户对信息平安的建立越来越重视。而现阶段的平安威胁不仅种类越发丰富，攻击形式也日趋多样。从早期的病毒蠕虫到如今非常普遍的恶意代码、盗号木马、间谍软件、网络钓鱼以及大量的垃圾邮件等，无一不给用户的正常应用带来严重的平安威胁。受到攻击的用户轻那么黑屏死机，重那么造成个人经济利益损失。同时，针对效劳器的eb应用层攻击(包括SQL注入、跨站脚本攻击等)已成为目前流行的方式，造成大量对外提供业务的效劳器网页被篡改，或者效劳器瘫痪等问题。近期发生的大规模数据泄露事件，涉及多个大型网站，信息泄露数量高达1亿多条用户

2、信息，严重损害了互联网用户的合法权益、危害了互联网平安。1平安操作系统需要解决的问题人们对网络平安问题及造成的危害早已认识，对其防范措施也是多种多样，虽煞费苦心但效果并不理想。其实防火墙、防病毒、入侵检测、UT等网络层和应用层的防护手段已趋于成熟，信息系统产生平安问题的最根本原因在于操作系统的构造和机制的不平安。其根源在于P机硬件构造的简化，系统不分执行态，内存无越界保护等等，使操作系统难以建立真正的TB可信计算基。这样就导致资源配置被篡改、恶意程序被植入执行、利用缓冲区溢出攻击、非法接收系统管理员权限等平安事故的发生。随着病毒在全球范围内的泛滥传播、黑客利用各种破绽发起的攻击、非授权者任意窃

3、取信息资源等各类平安风险的激增，使得传统的信息平安产品老三样防论文联盟火墙、防病毒、入侵检测、IPS等构筑的防护体系日趋显得被动。信息平安问题的根本解决，需要从系统工程的角度来考虑，通过建立平安操作系统构建可信计算基(TB)，建立动态、完好的平安体系。没有平安操作系统的保护，就不可能有网络系统的平安，也不可能有应用软件信息处理的平安性。信息平安框架的构造假设只停留在网络防护的层面上,而忽略了操作系统内核平安这一根本要素,就如同将稳固的堡垒建立在沙丘之上,平安隐患极大。根据国家?GB/T20272-2022信息平安技术操作系统平安技术要求?，平安操作系统需要解决几个问题：第一，身份鉴别；第二，访

4、问控制，包括自主访问控制和强迫访问控制要求；第三，数据流控制；第四，平安审计；第五，用户数据完好性保护；第六，用户数据保密性保护；第七，SSS自身平安保护。如何解决上述七点问题成为平安操作系统开发的难点。3提升操作系统平安等级的主要方式当前国内使用的效劳器操作系统主要来自国外如AIX、HP-UX、Slaris、indsServer、LinuxServer等，由于多数商用效劳器操作系统不开源，所以现阶段要提升操作系统平安等级主要有两种方式：一是依靠使用开源的Linux源代码自主研发平安操作系统；二是通过重构操作系统平安子系统SSS提升现有操作系统的平安等级，从而实现平安操作系统。基于Linux开

5、源代码研究的根底上，对Linux操作系统进展平安改造，重新构建一个新的平安的操作系统，可以保证操作系统的可控性、可信性。通过重构开源操作系统内核，虽然可以实现操作系统平安等级的提升，但缺乏之处是其对上层应用软件、配套硬件、网络支持上还不够完善。我国的效劳器操作系统高端市场根本是IBAIX、HPHP-UX、SunSlaris，而中低端根本上都采用的是indsServer。这种方式只限于公开内核源代码的操作系统，对部分商用效劳器操作系统包括indsServer、Slaris、AIX等不适用。假设采用此种方案需要放弃如今使用的操作系统，而使用一个全新的操作系统，这将严重影响企业的业务连续性和业务逻辑

6、，也因此多数企业不愿采用而无法得到普及。可以看出，这种方式并不适宜当前通用平安操作系统解决方案。相对于使用Linux源代码自主研发平安操作系统，采用重构操作系统平安子系统SSS实现平安操作系统的方法，是在内核层面上对操作系统进展重构和扩大。这种方式对安装在操作系统之上的合法应用软件和数据库的正常使用不会造成任何影响，对底层硬件驱动也是透明发生，其不会影响现有业务的连续性，甚至不用重启效劳器，就能对整个操作系统的平安级别进展动态提升，以到达解决操作系统平安隐患的目的，是目前较为理想的通用平安操作系统解决方案。在操作系统中，SSS是构成一个平安操作系统的所有平安保护装置的组合体。一个SSS可以包含

7、多个SSFSSS平安功能模块,每个SSF是一个或多个SFP平安功能策略的实现。SSPSSS平安功能策略是这些SFP的总称，构成一个平安域，以防止不可信主体的干扰和篡改。实现SSF有两种方法，一种是设置前端过滤器，另一种是设置访问监控器。以下解决方案为采用设置访问监控器实现SSF的方法，是通过在SSS中设置多个资源访问监控器，控制的客体范围包括文件、进程、效劳、共享资源、磁盘、端口、注册表(仅inds)等；主体包括用户、进程和IP，同时支持用户与进程的绑定，可以控制到指定用户的指定进程。将主机资源各个层面严密的结合，可以根据实际需要对资源进展合理控制，实现权限最小原那么。并结合增强型DTE、RB

8、A、BLP三种访问控制平安模型，重构操作系统的平安子系统SSS,用重构后的强化平安子系统监控器监控资源访问的行为，遵循增强型DTE、RBA、BLP模型来实现系统的平安策略。通过三种模型的互相作用和制约，确保系统中信息和系统自身平安性，以保障操作系统的保密性、完好性、可用性、可靠性。4增强型平安模型与传统平安模型的区别4.1增强型DTE模型DTEDainandTypeEnfreent模型是有效施行细粒度强迫访问控制的平安策略机制。其中平安域隔离技术作为构建可信系统的根本要求之一，是操作系统核心强迫执行的一种访问控制机制，特点是通过严格的隔离，阻止平安域内、外部主体对客体的越权访问，实现保密性、完

9、好性、最小特权等平安保护。增强型DTE是在传统DTE模型根底之上进展扩大，实现域内不仅分配主体也可以分配客体，使不同域内的主客体访问到达多对多的访问关系。通过定义不同域的主客体访问权限，解决现有DTE模型存在的平安目的不准确、系统的平安性难以控制等问题。通过配置严格的隔离策略，阻止平安域内、外部主体对客体的越权访问，从而实现保密性、完好性、最小特权等平安保护。为域间通信提供平安可靠的可信管道机制，从而得出系统处于可信状态的形式定义。采用增强型DTE平安域可以根据平安需求将应用和功能划分到不同的域，使进入域的主体权限得到有效控制，分开域的主体权限最小化。比照方图1所示。4.2增强型RBA模型基于

10、角色的访问控制Rle-BasedAessntrl因为有着替代传统访问控制自主访问、强迫访问的前景而受到广泛关注。在RBA中，权限与角色相关联，用户通过成为适当角色成员而得到这些角色的权限，这就极大地简化了权限的管理。在一个组织中，角色是为了完成各种工作而创造的，用户那么根据它的责任和资格来被指派相应的角色，用户可以很容易地从一个角色被指派到另一个角色。角色可根据新的需求和系统的合并而赋予新的权限，而权限也可根据需要从某角色中回收。角色与角色的关系可以建立起来以囊括更广泛的客观情况。增强型RBA模型可以支持细粒度的配置，其主客体对应关系如图2所示。4.3增强型BLP模型BLP模型的根本平安策略是

11、上读下写，高平安级别主体只可以读平安级别比它低的客体，低平安级别主体只可以写平安级别比它高的客体，同级别主客体间可读写。上读下写的平安策略保证了数据流向中的所有数据只能按照平安级别从低到高的流向流动，从而保证了敏感数据不被泄露。增强型BLP模型读和写的权限更注重细粒度的控制，读权限包括读数据、读AL等。写权限包括写数据、追加写、写AL等。BLP模型示意如图3。椒图科技以上述解决方案为根底进展深化的技术研究和拓展，率先研发出了新一代的椒图主机平安环境系统，简称：JHSEJTHstSeurityEnvirnent的字母缩写。JHSE以国家等级保护标准为根据，是针对效劳器操作系统存在的平安隐患而提供

12、的通用型平安操作系统解决方案，解决操作系统层面所面临的恶意代码执行、越权访问、数据泄露、破坏数据完好性等各种攻击行为。5总结椒图科技JHSE可以通过可视虚拟化技术将每个应用或者功能单独划分成平安域，各平安域之间如同独立的主机互相隔离；利用增强型DTE所生成的每个平安域中均具备增强型RBA平安机制，可对域内资源进展强迫访问控制，让每个域的平安性非常强健；而增强型DTE那么隔离了域与域之间的访问，即便管理员忘记对某个域进展平安配置，出现了平安事故，所产生的影响也仅局限在该域内，不会影响和扩散到其他域。这种默认的最小化平安访问机制，有效地隔离了、未知攻击和恶意代码对系统与应用资源的访问，确保了系统资

13、源的保密性和完好性，从而也提供了高可用和高可靠的业务连续性。JHSE通过对平安子系统SSS的重构和扩大，它将原有操作系统中自由型、层次型的自主访问控制模型，改变为符合?GB/T20272-2022信息平安技术-操作系统平安技术要求?的宿主型自主访问控制模型。JHSE严格按照三级操作系统平安标准，使操作系统平安到达身份鉴别、强迫访问控制、平安审计、剩余信息保护、入侵防范、恶意代码防范，资源控制等标准，为信息系统提供纵深防御体系。同时，JHSE适用于AIX、HP-UX、Slaris、indsServer、LinuxServer等主流商用效劳器操作系统，其安装、应用都不会影响原有业务的逻辑和连续性，从而实现了对效劳器操作系统平