通用型安全操作系统解决方案浅析

【 摘 要 】 在信息安全领域，随着攻击技术的不断升级和数据泄露事件的激增，业界越来越重视服务器操作系统的安全问题。文章从等级保护安全操作系统研究入手，介绍了两种安全操作系统解决方案，对比了通用型安全操作系统相比传统自主研发的安全操作系统的优势所在。文中重点阐述了通用型安全操作系统解决方案的技术优势和实现原理，结合增强型DTE、RBAC、BLP三种访问控制安全模型，重构操作系统的安全子系统（SSOOS），动态、透明提升操作系统安全等级，以实现通用型安全操作系统的解决方案。

【 关键词 】 安全操作系统；操作系统安全子系统(SSOOS)；等级保护

Analysis on General-purpose Security Operating System Solution

Li Ke

（JOWTO Technology Company Limited GuangdongShenzh 518057）

【 Abstract 】 With the continuous upgrade of attack technologies and the sharp rise in the data disclosure events, the people in the information security industry attach greater importance to the security problems of server operating system. Starting with the research on the classified protection security operating system, this article introduced the solutions of two kinds of security operating systems and analyzed the advantages of the general purpose security operating system over the traditional independently developed security operating system. In this article, we give full priority to represent the technical advantages of general purpose security operating system solution and the principles for achieving such solution. In combination with three enhanced type access control security models, namely DTE, RBAC and BLP, we reconstructed the security subsystem of operating system (SSOOS) and promote the security class of operating system in dynamic and transparent manner, so as to achieve the solution of general-purpose security operating system.

【 Keywords 】 security operating system；security Subsystem of operating system（SSOOS）；classification protection

0 引言

随着网络安全威胁的日益严重，用户对信息安全的建设越来越重视。而现阶段的安全威胁不仅种类越发丰富，攻击形式也日趋多样。从早期的病毒蠕虫到现在非常普遍的恶意代码、盗号木马、间谍软件、网络钓鱼以及大量的垃圾邮件等，无一不给用户的正常应用带来严重的安全威胁。受到攻击的用户轻则黑屏死机，重则造成个人经济利益损失。

同时，针对服务器的Web应用层攻击(包括SQL注入、跨站脚本攻击等)已成为目前流行的方式，造成大量对外提供业务的服务器网页被篡改，或者服务器瘫痪等问题。近期发生的大规模数据泄露事件，涉及多个大型网站，信息泄露数量高达1亿多条用户信息，严重侵害了互联网用户的合法权益、危害了互联网安全。

1 安全操作系统需要解决的问题

人们对网络安全问题及造成的危害早已认识，对其防范措施也是多种多样，虽煞费苦心但效果并不理想。其实防火墙、防病毒、入侵检测、UTM等网络层和应用层的防护手段已趋于成熟，信息系统产生安全问题的最基本原因在于操作系统的结构和机制的不安全。其根源在于PC 机硬件结构的简化，系统不分执行“态”，内存无越界保护等等，使操作系统难以建立真正的TCB（可信计算基）。这样就导致资源配置被篡改、恶意程序被植入执行、利用缓冲区溢出攻击、非法接管系统管理员权限等安全事故的发生。

随着病毒在全球范围内的泛滥传播、黑客利用各种漏洞发起的攻击、非授权者任意窃取信息资源等各类安全风险的激增，使得传统的信息安全产品“老三样”（防火墙、防病毒、入侵检测）、IPS等构筑的防护体系日趋显得被动。

信息安全问题的根本解决，需要从系统工程的角度来考虑，通过建立安全操作系统构建可信计算基(TCB)，建立动态、完整的安全体系。没有安全操作系统的保护，就不可能有网络系统的安全，也不可能有应用软件信息处理的安全性。

信息安全框架的构造如果只停留在网络防护的层面上, 而忽略了操作系统内核安全这一基本要素,就如同将坚固的堡垒建立在沙丘之上,安全隐患极大。

根据国家《GB/T 20272-2006 信息安全技术 操作系统安全技术要求》，安全操作系统需要解决几个问题：第一，身份鉴别；第二，访问控制，包括自主访问控制和强制访问控制要求；第三，数据流控制；第四，安全审计；第五，用户数据完整性保护；第六，用户数据保密性保护；第七，SSOOS自身安全保护。

如何解决上述七点问题成为安全操作系统开发的难点。

3 提升操作系统安全等级的主要方式

当前国内使用的服务器操作系统主要来自国外（如AIX、HP-UX、Solaris、Windows Server、Linux Server等），由于多数商用服务器操作系统不开源，所以现阶段要提升操作系统安全等级主要有两种方式：一是依靠使用开源的Linux源代码自主研发安全操作系统；二是通过重构操作系统安全子系统（SSOOS）提升现有操作系统的安全等级，从而实现安全操作系统。

基于Linux开源代码研究的基础上，对Linux操作系统进行安全改造，重新构建一个新的安全的操作系统，可以保证操作系统的可控性、可信性。通过重构开源操作系统内核，虽然可以实现操作系统安全等级的提升，但不足之处是其对上层应用软件、配套硬件、网络支持上还不够完善。我国的服务器操作系统高端市场基本是IBM AIX、HP HP-UX、Sun Solaris，而中低端基本上都采用的是Windows Server。这种方式只限于公开内核源代码的操作系统，对部分商用服务器操作系统（包括Windows Server、Solaris、AIX等）不适用。

若采用此种方案需要放弃现在使用的操作系统，而使用一个全新的操作系统，这将严重影响企业的业务连续性和业务逻辑，也因此多数企业不愿采用而无法得到普及。可以看出，这种方式并不适合当前通用安全操作系统解决方案。

相对于使用Linux源代码自主研发安全操作系统，采用重构操作系统安全子系统（SSOOS）实现安全操作系统的方法，是在内核层面上对操作系统进行重构和扩充。这种方式对安装在操作系统之上的合法应用软件和数据库的正常使用不会造成任何影响，对底层硬件驱动也是透明发生，其不会影响现有业务的连续性，甚至不用重启服务器，就能对整个操作系统的安全级别进行动态提升，以达到解决操作系统安全隐患的目的，是目前较为理想的通用安全操作系统解决方案。

在操作系统中，SSOOS是构成一个安全操作系统的所有安全保护装置的组合体。一个SSOOS可以包含多个SSF（SSOOS安全功能模块）,每个SSF是一个或多个SFP（安全功能策略）的实现。SSP（SSOOS安全功能策略）是这些SFP的总称，构成一个安全域，以防止不可信主体的干扰和篡改。实现SSF有两种方法，一种是设置前端过滤器，另一种是设置访问监控器。

以下解决方案为采用设置访问监控器实现SSF的方法，是通过在SSOOS中设置多个资源访问监控器，控制的客体范围包括文件、进程、服务、共享资源、磁盘、端口、注册表(仅Windows)等；主体包括用户、进程和IP，同时支持用户与进程的绑定，可以控制到指定用户的指定进程。将主机资源各个层面紧密的结合，可以根据实际需要对资源进行合理控制，实现权限最小原则。并结合增强型DTE、RBAC、BLP三种访问控制安全模型，重构操作系统的安全子系统（SSOOS）,用重构后的“强化安全子系统监控器”监控资源访问的行为，遵循增强型DTE、RBAC、BLP模型来实现系统的安全策略。通过三种模型的相互作用和制约，确保系统中信息和系统自身安全性，以保障操作系统的保密性、完整性、可用性、可靠性。

4 增强型安全模型与传统安全模型的区别

4.1 增强型DTE模型

DTE （Domain and Type Enforcement）模型是有效实施细粒度强制访问控制的安全策略机制。其中安全域隔离技术作为构建可信系统的基本要求之一，是操作系统核心强制执行的一种访问控制机制，特点是通过严格的隔离，阻止安全域内、外部主体对客体的越权访问，实现保密性、完整性、最小特权等安全保护。

增强型DTE是在传统DTE模型基础之上进行扩充，实现域内不仅分配主体也可以分配客体，使不同域内的主客体访问达到多对多的访问关系。通过定义不同域的主客体访问权限，解决现有DTE模型存在的安全目标不准确、系统的安全性难以控制等问题。

通过配置严格的隔离策略，阻止安全域内、外部主体对客体的越权访问，从而实现保密性、完整性、最小特权等安全保护。为域间通信提供安全可靠的可信管道机制，从而得出系统处于可信状态的形式定义。采用增强型DTE安全域可以根据安全需求将应用和功能划分到不同的域，使进入域的主体权限得到有效控制，离开域的主体权限最小化。对比如图1所示。

4.2 增强型RBAC模型

基于角色的访问控制（Role-Based Access Control）因为有着替代传统访问控制（自主访问、强制访问）的前景而受到广泛关注。在RBAC中，权限与角色相关联，用户通过成为适当角色成员而得到这些角色的权限，这就极大地简化了权限的管理。

在一个组织中，角色是为了完成各种工作而创造的，用户则依据它的责任和资格来被指派相应的角色，用户可以很容易地从一个角色被指派到另一个角色。角色可依据新的需求和系统的合并而赋予新的权限，而权限也可根据需要从某角色中回收。角色与角色的关系可以建立起来以囊括更广泛的客观情况。

增强型RBAC模型可以支持细粒度的配置，其主客体对应关系如图2所示。

4.3 增强型BLP模型

BLP模型的基本安全策略是“上读下写”，高安全级别主体只可以读安全级别比它低的客体，低安全级别主体只可以写安全级别比它高的客体，同级别主客体间可读写。“上读下写”的安全策略保证了数据流向中的所有数据只能按照安全级别从低到高的流向流动，从而保证了敏感数据不被泄露。

增强型BLP模型读和写的权限更注重细粒度的控制，读权限包括读数据、读ACL等。写权限包括写数据、追加写、写ACL 等。BLP模型示意如图3。

椒图科技以上述解决方案为基础进行深入的技术研究和拓展，率先研发出了新一代的椒图主机安全环境系统，简称：JHSE（JOWTO Host Security Environment的字母缩写）。JHSE以国家等级保护标准为依据，是针对服务器操作系统存在的安全隐患而提供的通用型安全操作系统解决方案，解决操作系统层面所面临的恶意代码执行、越权访问、数据泄露、破坏数据完整性等各种攻击行为。

5 总结

椒图科技JHSE能够通过可视虚拟化技术将每个应用或者功能单独划分成安全域，各安全域之间如同独立的主机相互隔离；利用增强型DTE所生成的每个安全域中均具备增强型RBAC安全机制，可对域内资源进行强制访问控制，让每个域的安全性非常健壮；而增强型DTE则隔离了域与域之间的访问，即便管理员忘记对某个域进行安全配置，出现了安全事故，所产生的影响也仅局限在该域内，不会影响和扩散到其他域。

这种默认的最小化安全访问机制，有效地隔离了已知、未知攻击和恶意代码对系统与应用资源的访问，确保了系统资源的保密性和完整性，从而也提供了高可用和高可靠的业务连续性。JHSE通过对安全子系统（SSOOS）的重构和扩充，它将原有操作系统中自由型、层次型的自主访问控制模型，改变为符合《GB/T 20272-2006信息安全技术-操作系统安全技术要求》的宿主型自主访问控制模型。

JHSE严格按照三级操作系统安全标准，使操作系统安全达到身份鉴别、强制访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范，资源控制等标准，为信息系统提供纵深防御体系。

同时，JHSE适用于AIX、HP-UX、Solaris、Windows Server、Linux Server等主流商用服务器操作系统，其安装、应用都不会影响原有业务的逻辑和连续性，从而实现了对服务器操作系统安全等级的动态、透明提升。椒图科技JHSE为我国首个通过国标三级检测的通用型安全操作系统，是适用于金融、电信、海关、税务等多个领域的通用型安全操作系统解决方案。

参考文献

[1] 《GB/T20272-2006 信息安全技术 操作系统安全技术要求》.

[2] 《信息系统安全等级保护定级指南》.

[3] 《信息安全技术 信息系统安全等级保护基本要求》（GB/

T22239-2008）.

[4] 《信息安全技术 服务器安全技术要求》（GB/T21028-2007）.

作者简介：

李科(1981-),男,中南大学,本科,现任职于深圳市安盾椒图科技有限公司，常务副总经理。拥有自主知识产权软件和技术专利（专利号：201110169741.9，201010526718.6），曾参与国家973课题、十二五规划课题研究，任奥组委、世博局特聘安全专家等；研究或关注领域：信息安全、操作系统安全、等级保护。