通用型安全操作系统解决方案

千里之行，始于足下。第2页/共2页精品文档推荐通用型安全操作系统解决方案通用型安全操作系统解决方案浅析

【摘要】在信息安全领域，随着攻击技术的别断升级和数据泄露事件的激增，业界越来越重视服务器操作系统的安全咨询题。文章从等级爱护安全操作系统研究入手，介绍了两种安全操作系统解决方案，对照了通用型安全操作系统相比传统自主研发的安全操作系统的优势所在。文中重点阐述了通用型安全操作系统解决方案的技术优势和实现原理，结合增强型dte、rbac、blp三种拜访操纵安全模型，重构操作系统的安全子系统（ssoos），动态、透明提升操作系统安全等级，以实现通用型安全操作系统的解决方案。【关键词】安全操作系统；操作系统安全子系统(ssoos)；等级爱护

【abstract】withthecontinuousupgradeofattacktechnologiesandthesharpriseinthedatadisclosureevents,thepeopleintheinformationsecurityindustryattachgreaterimportancetothesecurityproblemsofserveroperatingsystem.startingwiththeresearchontheclassifiedprotectionsecurityoperatingsystem,his

article,wegivefullprioritytorepresentthetechnicaladvantagesofgeneralpurposesecurityoperatingsystemsolutionandtheprinciplesforachievingsuchsolution.incombinationwiththreeenhancedtypeaccesscontrolsecuritymodels,namelydte,rbacandblp,wereconstructedthesecuritysubsystemofoperatingsystem(ssoos)andpromotethesecurityclassofoperatingsystemindynamicandtransparentmanner,soastoachievethesolutionofgeneral-purposesecurityoperatingsystem.

【keywords】securityoperatingsystem；securitysubsystemofoperatingsystem（ssoos）；classificationprotection

0引言

随着网络安全威胁的日益严峻，用户对信息安全的建设越来越重视。而现时期的安全威胁别仅种类越发丰富，攻击形式也日趋多样。从早期的病毒蠕虫到如今很普遍的恶意代码、盗号木马、间谍软件、网络钓鱼以及大量的垃圾邮件等，无一别给用户的正常应用带来严峻的安全威胁。受到攻击的用户轻则黑屏死机，重则造成个人经济利益损失。

并且，针对服务器的web应用层攻击(包括sql注入、跨站足本攻击等)已成为目前流行的方式，造成大量对外提供业务的服务器网页被篡改，或者服务器瘫痪等咨询题。近期发生的大规模数据泄露事

件，涉及多个大型网站，信息泄露数量高达1亿多条用户信息，严峻侵害了互联网用户的合法权益、危害了互联网安全。

1安全操作系统需要解决的咨询题

人们对网络安全咨询题及造成的危害早已认识，对其防范措施也是多种多样，虽煞费苦心但效果并别理想。事实上防火墙、防病毒、入侵检测、utm等网络层和应用层的防护手段已趋于成熟，信息系统产生安全咨询题的最基本缘故在于操作系统的结构和机制的别安全。其根源在于pc机硬件结构的简化，系统别分执行“态”，内存无越界爱护等等，使操作系统难以建立真正的tcb（可信计算基）。如此就导致资源配置被篡改、恶意程序被植入执行、利用缓冲区溢出攻击、非法接管系统治理员权限等安全事故的发生。

随着病毒在全球范围内的泛滥传播、黑客利用各种漏洞发起的攻击、非授权者任意窃取信息资源等各类安全风险的激增，使得传统的信息安全产品“老三样”（防火墙、防病毒、入侵检测）、ips等构筑的防护体系日趋显得被动。

信息安全咨询题的全然解决，需要从系统工程的角度来思考，经过建立安全操作系统构建可信计算基(tcb)，建立动态、完整的安全体系。没有安全操作系统的爱护，就不会有网络系统的安全，也不会有应用软件信息处理的安全性。

信息安全框架的构造假如只停留在网络防护的层面上,而忽略了操作系统内核安全这一基本要素,就如同将牢固的堡垒建立在沙丘

之上,安全隐患极大。

依照国家《gb/t20272-2006信息安全技术操作系统安全技术要求》，安全操作系统需要解决几个咨询题：第一，身份鉴不；第二，拜访操纵，包括自主拜访操纵和强制拜访操纵要求；第三，数据流操纵；第四，安全审计；第五，用户数据完整性爱护；第六，用户数据保密性爱护；第七，ssoos自身安全爱护。

怎么解决上述七点咨询题成为安全操作系统开辟的难点。

3提升操作系统安全等级的要紧方式

当前国内使用的服务器操作系统要紧来自国外（如aix、hp-ux、solaris、windowsserver、linuxserver等），由于多数商用服务器操作系统别开源，因此现时期要提升操作系统安全等级要紧有两种方式：一是依赖使用开源的linux源代码自主研发安全操作系统；二是经过重构操作系统安全子系统（ssoos）提升现有操作系统的安全等级，从而实现安全操作系统。

基于linux开源代码研究的基础上，对linux操作系统举行安全改造，重新构建一具新的安全的操作系统，能够保证操作系统的可控性、可信性。经过重构开源操作系统内核，尽管能够实现操作系统安全等级的提升，但别脚之处是其对上层应用软件、配套硬件、网络支持上还别够完善。我国的服务器操作系统高端市场基本是ibmaix、hphp-ux、sunsolaris，而中低端都是都采纳的是windowsserver。这种方式只限于公开内核源代码的操作系统，对

部分商用服务器操作系统（包括windowsserver、solaris、aix等）别适用。

若采纳此种方案需要放弃如今使用的操作系统，而使用一具全新的操作系统，这将严峻妨碍企业的业务延续性和业务逻辑，也所以多数企业别愿采纳而无法得到普及。能够看出，这种方式并别适合当前通用安全操作系统解决方案。

相关于使用linux源代码自主研发安全操作系统，采纳重构操作系统安全子系统（ssoos）实现安全操作系统的办法，是在内核层面上对操作系统举行重构和扩充。这种方式对安装在操作系统之上的合法应用软件和数据库的正常使用不可能造成任何妨碍，对底层硬件驱动也是透明发生，其不可能妨碍现有业务的延续性，甚至别用重启服务器，就能对整个操作系统的安全级不举行动态提升，以达到解决操作系统安全隐患的目的，是目前较为理想的通用安全操作系统解决方案。

在操作系统中，ssoos是构成一具安全操作系统的所有安全爱护装置的组合体。一具ssoos能够包含多个ssf（ssoos安全功能模块）,每个ssf是一具或多个sfp（安全功能策略）的实现。ssp（ssoos安全功能策略）是这些sfp的总称，构成一具安全域，以防止别可信主体的干扰和篡改。实现ssf有两种办法，一种是设置前端过滤器，另一种是设置拜访监控器。

以下解决方案为采纳设置拜访监控器实现ssf的办法，是经过在ssoos中设置多个资源拜访监控器，操纵的客体范围包括文件、进程、服务、共享资源、磁盘、端口、注册表(仅windows)等；主体包括用户、进程和ip，并且支持用户与进程的绑定，能够操纵到指定用户的指定进程。将主机资源各个层面密切的结合，能够依照实际需要对资源举行合理操纵，实现权限最小原则。并结合增强型dte、rbac、blp三种拜访操纵安全模型，重构操作系统的安全子系统（ssoos）,用重构后的“强化安全子系统监控器”监控资源拜访的行为，遵循增强型dte、rbac、blp模型来实现系统的安全策略。经过三种模型的相互作用和制约，确保系统中信息和系统自身安全性，以保障操作系统的保密性、完整性、可用性、可靠性。

4增强型安全模型与传统安全模型的区不

4.1增强型dte模型

dte（domainandtypeenforcement）模型是有效实施细粒度强制拜访操纵的安全策略机制。其中安全域隔离技术作为构建可信系统的基本要求之一，是操作系统核心强制执行的一种拜访操纵机制，特点是经过严格的隔离，阻挠安全域内、外部主体对客体的越权拜访，实现保密性、完整性、最小特权等安全爱护。

增强型dte是在传统dte模型基础之上举行扩充，实现域内别仅分配主体也能够分配客体，使别同域内的主客体拜访达到多对多的拜访关系。经过定义别同域的主客体拜访权限，解决现有dte模型

存在的安全目标别准确、系统的安全性难以操纵等咨询题。

经过配置严格的隔离策略，阻挠安全域内、外部主体对客体的越权拜访，从而实现保密性、完整性、最小特权等安全爱护。为域间通信提供安全可靠的可信管道机制，从而得出系统处于可信状态的形式定义。采纳增强型dte安全域能够依照安全需求将应用和功能划分到别同的域，使进入域的主体权限得到有效操纵，离开域的主体权限最小化。对照如图1所示。

4.2增强型rbac模型

基于角XXX的拜访操纵（role-basedaccesscontrol）因为有着替代传统拜访操纵（自主拜访、强制拜访）的前景而受到广泛关注。在rbac中，权限与角群相关联，用户经过成为适当角群成员而得到这些角XXX的权限，这就极大地简化了权限的治理。

在一具组织中，角群是为了完成各种工作而制造的，用户则依据它的责任和资格来被指派相应的角XXX，用户能够非常容易地从一具角群被指派到另一具角群。角群可依据新的需求和系统的合并而给予新的权限，而权限也可依照需要从某角XXX中回收。角群与角XXX的关系能够建立起来以囊括更广泛的客观事情。

增强型rbac模型能够支持细粒度的配置，其主客体对应关系如图2所示。

4.3增强型blp模型

blp模型的基本安全策略是“上读下写”，高安全级不主体只能够

读安全级不比它低的客体，低安全级不主体只能够写安全级不比它高的客体，同级不主客体间可读写。“上读下写”的安全策略保证了数据流向中的所有数据只能按照安全级不从低到高的流向流淌，从而保证了敏感数据别被泄露。

增强型blp模型读和写的权限更注重细粒度的操纵，读权限包括读数据、读acl等。写权限包括写数据、追加写、写acl等。blp模型示意如图3。

椒图科技以上述解决方案为基础举行深入的技术研究和拓展，领先研发出了新一代的椒图主机安全环境系统，简称：jhse（jowtohostsecurityenviroXXXent的字母缩写）。jhse以国家等级爱护标准为依据，是针对服务器操作系统存在的安全隐患而提供的通用型安全操作系统解决方案，解决操作系统层面所面临的恶意代码执行、越权拜访、数据泄露、破坏数据完整性等各种攻击行为。

5总结

椒图科技jhse可以经过可视虚拟化技术将每个应用或者功能单独划分成安全域，各安全域之间如同独立的主机相互隔离；利用增强型dte所生成的每个安全域中均具备增强型rbac安全机制，可对域内资源举行强制拜访操纵，让每个域的安全性很茁壮；而增强型dte则隔离了域与域之间的拜访，即便治理员不记得对某个域举行安全配置，浮现了安全事故，所产生的妨碍也仅局限在该域内，不可能妨碍和扩散到其他域。

这种默认的最小化安全拜访机制，有效地隔离了已知、未知攻击和恶意代码对系统与应用