從操作系統(tǒng)層面談信息安全與自主訪問控制

近期，網(wǎng)絡(luò)信息安全事件層出不窮，對用戶信息系統(tǒng)造成嚴(yán)重的危害，引起了信息安全行業(yè)及相關(guān)用戶的集體反思。作為信息系統(tǒng)的重要組成部分，操作系統(tǒng)承擔(dān)著連接底層硬件和上層業(yè)務(wù)應(yīng)用的重任，在諸多安全事件中首當(dāng)其沖，面臨著巨大的安全壓力。

掀開自主訪問控制的面紗

為了增強(qiáng)信息系統(tǒng)安全、可靠運行的能力，操作系統(tǒng)內(nèi)置了一些防護(hù)措施，例如身份鑒別、訪問控制、入侵防范等。其中，訪問控制是計算機(jī)安全防護(hù)體系中的重要環(huán)節(jié)，包含主體、客體、控制策略三個要素。其中，主體是指可以對其他實體施加動作的主動實體，例如用戶、進(jìn)程等；客體包括數(shù)據(jù)、文件、程序等，是接受其他實體訪問的被動實體；控制策略則定義了主體與客體相互作用的途徑。簡而言之，訪問控制是一種通過控制策略授予、約束主體訪問客體行為的安全機(jī)制。

訪問控制分為三種模型，即自主訪問控制（DAC）、強(qiáng)制訪問控制（MAC）和基于角色的訪問控制（RBAC）。其中，自主訪問控制在C2級操作系統(tǒng)中應(yīng)用廣泛，是根據(jù)自主訪問控制策略建立的一種模型，允許合法用戶以用戶或用戶組的身份訪問策略規(guī)定的客體，同時阻止非授權(quán)用戶訪問客體，某些用戶還可以自主地把自己所擁有的客體的訪問權(quán)限授予其他用戶。

自主訪問控制的實現(xiàn)方式包括目錄式訪問控制模式、訪問控制表（ACL）、訪問控制矩陣、面向過程的訪問控制等，訪問控制表是自主訪問控制機(jī)制通常采用的一種方式。訪問控制表是存放在計算機(jī)中的一張表，本質(zhì)上是帶有訪問權(quán)限的矩陣，其訪問權(quán)限包括讀文件、寫文件、執(zhí)行文件等等。在自主訪問控制機(jī)制下，每個客體都有一個特定的安全屬性，同時訪問控制表也授予或禁止主體對客體的訪問權(quán)限。在工作中，安全管理員通過維護(hù)訪問控制表，控制用戶對文件、數(shù)據(jù)等IT系統(tǒng)資源的訪問行為，來達(dá)到安全防控的目的。

從安全性上看，現(xiàn)有操作系統(tǒng)中基于訪問控制表的自主訪問控制存在著明顯的缺陷：一方面，超級用戶（root/Administrator）權(quán)力過度集中，可以隨意修改客體的訪問控制表，只要擁有超級管理員權(quán)限就可以對服務(wù)器所有的資源進(jìn)行任意操作；另一方面，客體的屬主可以自主地將權(quán)限轉(zhuǎn)授給別的主體，一旦把某個客體的ACL修改權(quán)轉(zhuǎn)授出去以后，擁有者便很難對自己的客體實施控制了。因此，在現(xiàn)有的這種訪問控制模型下，操作系統(tǒng)存在很多安全風(fēng)險。

自主訪問控制下的安全風(fēng)險

按照訪問許可機(jī)制的不同，自主訪問控制又分為三個類型，即自由型、等級型和宿主型。其中，在自由型自主訪問控制機(jī)制中，不同主體之間可以自由轉(zhuǎn)讓客體訪問控制表的修改權(quán)限，意味著任何主體都有可能對某一客體進(jìn)行操作，系統(tǒng)安全性很難得到保障；在等級型自主訪問控制機(jī)制中，用戶可以將擁有修改客體訪問控制表權(quán)限的主體組織成等級型結(jié)構(gòu)，例如按照等級將不同的主體排列成樹型結(jié)構(gòu)，高等級主體自動獲得低等級客體的控制權(quán)限。這種方案的優(yōu)點是可以選擇值得信任的人擔(dān)任各級領(lǐng)導(dǎo)，從而實現(xiàn)對客體的分級控制，缺點是同時有多個主體有能力修改某一客體的訪問權(quán)限。

從市場應(yīng)用情況看，等級型自主訪問控制是使用范圍最為廣泛的安全機(jī)制，現(xiàn)有C2級大型商用服務(wù)器操作系統(tǒng)（如AIX、HP-UX、Solaris、Windows Server、LinuxServer等）中的訪問控制機(jī)制均為等級型自主訪問控制，涉及金融、能源、軍工等國家命脈行業(yè)。在這些系統(tǒng)中，位于樹型結(jié)構(gòu)頂端的超級用戶擁有無上的權(quán)限，可以對其他用戶擁有的資源進(jìn)行任意修改和訪問。權(quán)限的高度集中，客觀上放大了系統(tǒng)的安全風(fēng)險。針對等級型自主訪問控制，攻擊者可以通過暴力破解、系統(tǒng)漏洞利用、木馬攻擊等多種方式竊取管理員權(quán)限，進(jìn)而實現(xiàn)對目標(biāo)系統(tǒng)的完全控制。事實證明確實如此，無論是曾經(jīng)肆虐的“灰鴿子”木馬，還是震驚全球的“震網(wǎng)”、“火焰”等病毒，都將獲得管理權(quán)限作為一種重要手段，在此基礎(chǔ)上成功入侵系統(tǒng)并實施破壞行為。

椒圖科技推出的JHSE椒圖主機(jī)安全環(huán)境系統(tǒng)（以下簡稱JHSE），就基于宿主型自主訪問控制機(jī)制保障操作系統(tǒng)的安全。此外，JHSE還采用了強(qiáng)制訪問控制模型，為訪問主體和受保護(hù)的客體分配不同的安全級別屬性，在實施訪問控制的過程中，系統(tǒng)將對主體和客體的安全級別屬性進(jìn)行比較，之后再決定主體是否可以訪問受保護(hù)的客體，從而實現(xiàn)了細(xì)粒度的安全訪問控制機(jī)制。

完善自主訪問控制機(jī)制

為了提升信息系統(tǒng)的安全防護(hù)能力，我國頒布了《信息安全等級保護(hù)管理辦法》，并制定了一系列國家標(biāo)準(zhǔn)，為用戶開展信息安全等級保護(hù)工作提供指導(dǎo)意義。其中，《GB/T 20272-2006信息安全技術(shù)-操作系統(tǒng)安全技術(shù)要求》是專門針對操作系統(tǒng)安全防護(hù)的國家標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)在“自主訪問控制”部分提出了明確的要求：“客體的擁有者應(yīng)是唯一有權(quán)修改客體訪問權(quán)限的主體，擁有者對其擁有的客體應(yīng)具有全部控制權(quán)，但是，不充許客體擁有者把該客體的控制權(quán)分配給其他主體?！?/p>

從技術(shù)要求的細(xì)節(jié)上看，滿足等級保護(hù)標(biāo)準(zhǔn)的自主訪問控制機(jī)制實質(zhì)上是宿主型自主訪問控制。在這種機(jī)制下，用戶需要對客體設(shè)置一個擁有者，并使其成為唯一有權(quán)訪問該客體訪問控制表的主體，確保了受保護(hù)客體訪問控制表控制權(quán)的唯一性，有效規(guī)避由于系統(tǒng)管理員信息泄露而給系統(tǒng)帶來的巨大危害，同時也限制了病毒對系統(tǒng)的破壞行為，幫助用戶提升防病毒、防黑客攻擊的能力。

令人欣喜的是，目前國內(nèi)已經(jīng)出現(xiàn)了一些滿足等級保護(hù)操作系統(tǒng)技術(shù)要求的安全產(chǎn)品，可以相信，隨著安全技術(shù)的持續(xù)進(jìn)步和用戶安全意識的不斷增強(qiáng)，操作系統(tǒng)將會在面對病毒、木馬及黑客攻擊時扭轉(zhuǎn)不利局面，為整體信息系統(tǒng)的安全運行提供可靠支撐。