在信息安全领域,随着攻击技术的不断升级和数据泄露事件的激增,业界越来越重视服务器操作系统的安全问题。本文从等级保护安全操作系统研究入手,介绍了两种安全操作系统解决方案,对比了通用型安全操作系统相比传统自主研发的安全操作系统的优势所在。文中重点阐述了通用型安全操作系统解决方案的技术优势和实现原理,结合增强型DTE、RBAC、BLP三种访问控制安全模型,重构操作系统的安全子系统(SSOOS),动态、透明提升操作系统安全等级,以实现通用型安全操作系统的解决方案。
随着网络安全威胁的日益严重,用户对信息安全的建设越来越重视。而现阶段的安全威胁不仅种类越发丰富,攻击形式也日趋多样。从早期的病毒蠕虫到现在非常普遍的恶意代码、盗号木马、间谍软件、网络钓鱼以及大量的垃圾邮件等,无一不给用户的正常应用带来严重的安全威胁。受到攻击的用户轻则黑屏死机,重则造成个人经济利益损失。同时,针对服务器的Web应用层攻击(包括SQL注入、跨站脚本攻击等)已成为目前流行的方式,造成大量对外提供业务的服务器网页被篡改,或者服务器瘫痪等问题。近期发生的大规模数据泄露事件,涉及多个大型网站,信息泄露数量高达1亿多条用户信息,严重侵害了互联网用户的合法权益、危害了互联网安全。
人们对网络安全问题及造成的危害早已认识,对其防范措施也是多种多样,虽煞费苦心但效果并不理想。其实防火墙、防病毒、入侵检测、UTM等网络层和应用层的防护手段已趋于成熟,信息系统产生安全问题的最基本原因在于操作系统的结构和机制的不安全。其根源在于PC机硬件结构的简化,系统不分执行“态”,内存无越界保护等等,使操作系统难以建立真正的TCB(可信计算基)。这样就导致:资源配置被篡改;恶意程序被植入执行;利用缓冲区溢出攻击;非法接管系统管理员权限等安全事故的发生。随着病毒在全球范围内的泛滥传播、黑客利用各种漏洞发起的攻击、非授权者任意窃取信息资源等各类安全风险的激增,使得传统的信息安全产品如“老三样”(防火墙、防病毒、入侵检测)、IPS等构筑的防护体系日趋显得被动。
信息安全问题的根本解决,需要从系统工程的角度来考虑,通过建立安全操作系统构建可信计算基(TCB),建立动态、完整的安全体系。没有安全操作系统的保护,就不可能有网络系统的安全,也不可能有应用软件信息处理的安全性。
信息安全框架的构造如果只停留在网络防护的层面上,而忽略了操作系统内核安全这一基本要素,就如同将坚固的堡垒建立在沙丘之上,安全隐患极大。
根据国家《GB/T20272-2006信息安全技术—操作系统安全技术要求》,安全操作系统需要解决以下几个问题:
第一,身份鉴别;
第二,访问控制,包括自主访问控制和强制访问控制要求;
第三,数据流控制;
第四,安全审计;
第五,用户数据完整性保护;
第六,用户数据保密性保护;
第七,SSOOS自身安全保护。
如何解决上述七点问题成为安全操作系统开发的难点。
当前国内使用的服务器操作系统主要来自国外(如AIX、HP-UX、Solaris、WindowsServer、LinuxServer等),由于多数商用服务器操作系统不开源,所以现阶段要提升操作系统安全等级主要有两种方式:一是依靠使用开源的Linux源代码自主研发安全操作系统;二是通过重构操作系统安全子系统(SSOOS)提升现有操作系统的安全等级,从而实现安全操作系统。
基于Linux开源代码研究的基础上,对Linux操作系统进行安全改造,重新构建一个新的安全的操作系统,可以保证操作系统的可控性、可信性。通过重构开源操作系统内核,虽然可以实现操作系统安全等级的提升,但不足之处是其对上层应用软件、配套硬件、网络支持上还不够完善。我国的服务器操作系统高端市场基本是IBMAIX、HPHP-UX、SUNSolaris,而中低端基本上都采用的是WindowsServer。这种方式只限于公开内核源代码的操作系统,对部分商用服务器操作系统(包括WindowsServer、Solaris、AIX等)不适用。若采用此种方案需要放弃现在使用的操作系统,而使用一个全新的操作系统,这将严重影响企业的业务连续性和业务逻辑,也因此多数企业不愿采用而无法得到普及。可以看出,这种方式并不适合当前通用安全操作系统解决方案。
相对于使用Linux源代码自主研发安全操作系统,采用重构操作系统安全子系统(SSOOS)实现安全操作系统的方法,是在内核层面上对操作系统进行重构和扩充。这种方式对安装在操作系统之上的合法应用软件和数据库的正常使用不会造成任何影响,对底层硬件驱动也是透明发生,其不会影响现有业务的连续性,甚至不用重启服务器,就能对整个操作系统的安全级别进行动态提升,以达到解决操作系统安全隐患的目的,是目前较为理想的通用安全操作系统解决方案。
在操作系统中,SSOOS(操作系统安全子系统)是构成一个安全操作系统的所有安全保护装置的组合体。一个SSOOS可以包含多个SSF(SSOOS安全功能模块),每个SSF是一个或多个SFP(安全功能策略)的实现。SSP(SSOOS安全功能策略)是这些SFP的总称,构成一个安全域,以防止不可信主体的干扰和篡改。实现SSF有两种方法,一种是设置前端过滤器,另一种是设置访问监控器。
以下解决方案为采用设置访问监控器实现SSF的方法,是通过在SSOOS中设置多个资源访问监控器,控制的客体范围包括文件、进程、服务、共享资源、磁盘、端口、注册表(仅windows)等;主体包括用户、进程和IP,同时支持用户与进程的绑定,可以控制到指定用户的指定进程。将主机资源各个层面紧密的结合,可以根据实际需要对资源进行合理控制,实现权限最小原则。并结合增强型DTE、RBAC、BLP三种访问控制安全模型,重构操作系统的安全子系统(SSOOS),用重构后的“强化安全子系统监控器”监控资源访问的行为。遵循增强型DTE、RBAC、BLP模型来实现系统的安全策略。通过三种模型的相互作用和制约,确保系统中信息和系统自身安全性,以保障操作系统的保密性、完整性、可用性、可靠性。
增强型安全模型与传统安全模型的区别
增强型DTE模型
DTE(DomainandTypeEnforcement)模型是有效实施细粒度强制访问控制的安全策略机制。其中安全域隔离技术作为构建可信系统的基本要求之一,是操作系统核心强制执行的一种访问控制机制,特点是通过严格的隔离,阻止安全域内、外部主体对客体的越权访问,实现保密性、完整性、最小特权等安全保护。
微笑的去寻找一个不可能出现的你。
