通用型安全操作系統解決方案淺析
在信息安全領域,隨著攻擊技術的不斷升級和數據泄露事件的激增,業界越來越重視服務器操作系統的安全問題。本文從等級保護安全操作系統研究入手,介紹了兩種安全操作系統解決方案,對比了通用型安全操作系統相比傳統自主研發的安全操作系統的優勢所在。文中重點闡述了通用型安全操作系統解決方案的技術優勢和實現原理,結合增強型DTE、RBAC、BLP三種訪問控制安全模型,重構操作系統的安全子系統(SSOOS),動態、透明提升操作系統安全等級,以實現通用型安全操作系統的解決方案。
隨著網絡安全威脅的日益嚴重,用戶對信息安全的建設越來越重視。而現階段的安全威脅不僅種類越發豐富,攻擊形式也日趨多樣。從早期的病毒蠕蟲到現在非常普遍的惡意代碼、盜號木馬、間諜軟件、網絡釣魚以及大量的垃圾郵件等,無一不給用戶的正常應用帶來嚴重的安全威脅。受到攻擊的用戶輕則黑屏死機,重則造成個人經濟利益損失。同時,針對服務器的Web應用層攻擊(包括SQL注入、跨站腳本攻擊等)已成為目前流行的方式,造成大量對外提供業務的服務器網頁被篡改,或者服務器癱瘓等問題。近期發生的大規模數據泄露事件,涉及多個大型網站,信息泄露數量高達1億多條用戶信息,嚴重侵害了互聯網用戶的合法權益、危害了互聯網安全。
人們對網絡安全問題及造成的危害早已認識,對其防范措施也是多種多樣,雖煞費苦心但效果并不理想。其實防火墻、防病毒、入侵檢測、UTM等網絡層和應用層的防護手段已趨于成熟,信息系統產生安全問題的最基本原因在于操作系統的結構和機制的不安全。其根源在于PC機硬件結構的簡化,系統不分執行“態”,內存無越界保護等等,使操作系統難以建立真正的TCB(可信計算基)。這樣就導致:資源配置被篡改;惡意程序被植入執行;利用緩沖區溢出攻擊;非法接管系統管理員權限等安全事故的發生。隨著病毒在全球范圍內的泛濫傳播、黑客利用各種漏洞發起的攻擊、非授權者任意竊取信息資源等各類安全風險的激增,使得傳統的信息安全產品如“老三樣”(防火墻、防病毒、入侵檢測)、IPS等構筑的防護體系日趨顯得被動。
信息安全問題的根本解決,需要從系統工程的角度來考慮,通過建立安全操作系統構建可信計算基(TCB),建立動態、完整的安全體系。沒有安全操作系統的保護,就不可能有網絡系統的安全,也不可能有應用軟件信息處理的安全性。
信息安全框架的構造如果只停留在網絡防護的層面上,而忽略了操作系統內核安全這一基本要素,就如同將堅固的堡壘建立在沙丘之上,安全隱患極大。
根據國家《GB/T20272-2006信息安全技術—操作系統安全技術要求》,安全操作系統需要解決以下幾個問題:
第一,身份鑒別;
第二,訪問控制,包括自主訪問控制和強制訪問控制要求;
第三,數據流控制;
第四,安全審計;
第五,用戶數據完整性保護;
第六,用戶數據保密性保護;
第七,SSOOS自身安全保護。
如何解決上述七點問題成為安全操作系統開發的難點。
當前國內使用的服務器操作系統主要來自國外(如AIX、HP-UX、Solaris、WindowsServer、LinuxServer等),由于多數商用服務器操作系統不開源,所以現階段要提升操作系統安全等級主要有兩種方式:一是依靠使用開源的Linux源代碼自主研發安全操作系統;二是通過重構操作系統安全子系統(SSOOS)提升現有操作系統的安全等級,從而實現安全操作系統。
基于Linux開源代碼研究的基礎上,對Linux操作系統進行安全改造,重新構建一個新的安全的操作系統,可以保證操作系統的可控性、可信性。通過重構開源操作系統內核,雖然可以實現操作系統安全等級的提升,但不足之處是其對上層應用軟件、配套硬件、網絡支持上還不夠完善。我國的服務器操作系統高端市場基本是IBMAIX、HPHP-UX、SUNSolaris,而中低端基本上都采用的是WindowsServer。這種方式只限于公開內核源代碼的操作系統,對部分商用服務器操作系統(包括WindowsServer、Solaris、AIX等)不適用。若采用此種方案需要放棄現在使用的操作系統,而使用一個全新的操作系統,這將嚴重影響企業的業務連續性和業務邏輯,也因此多數企業不愿采用而無法得到普及。可以看出,這種方式并不適合當前通用安全操作系統解決方案。
相對于使用Linux源代碼自主研發安全操作系統,采用重構操作系統安全子系統(SSOOS)實現安全操作系統的方法,是在內核層面上對操作系統進行重構和擴充。這種方式對安裝在操作系統之上的合法應用軟件和數據庫的正常使用不會造成任何影響,對底層硬件驅動也是透明發生,其不會影響現有業務的連續性,甚至不用重啟服務器,就能對整個操作系統的安全級別進行動態提升,以達到解決操作系統安全隱患的目的,是目前較為理想的通用安全操作系統解決方案。
在操作系統中,SSOOS(操作系統安全子系統)是構成一個安全操作系統的所有安全保護裝置的組合體。一個SSOOS可以包含多個SSF(SSOOS安全功能模塊),每個SSF是一個或多個SFP(安全功能策略)的實現。SSP(SSOOS安全功能策略)是這些SFP的總稱,構成一個安全域,以防止不可信主體的干擾和篡改。實現SSF有兩種方法,一種是設置前端過濾器,另一種是設置訪問監控器。
以下解決方案為采用設置訪問監控器實現SSF的方法,是通過在SSOOS中設置多個資源訪問監控器,控制的客體范圍包括文件、進程、服務、共享資源、磁盤、端口、注冊表(僅windows)等;主體包括用戶、進程和IP,同時支持用戶與進程的綁定,可以控制到指定用戶的指定進程。將主機資源各個層面緊密的結合,可以根據實際需要對資源進行合理控制,實現權限最小原則。并結合增強型DTE、RBAC、BLP三種訪問控制安全模型,重構操作系統的安全子系統(SSOOS),用重構后的“強化安全子系統監控器”監控資源訪問的行為。遵循增強型DTE、RBAC、BLP模型來實現系統的安全策略。通過三種模型的相互作用和制約,確保系統中信息和系統自身安全性,以保障操作系統的保密性、完整性、可用性、可靠性。
增強型安全模型與傳統安全模型的區別
增強型DTE模型
DTE(DomainandTypeEnforcement)模型是有效實施細粒度強制訪問控制的安全策略機制。其中安全域隔離技術作為構建可信系統的基本要求之一,是操作系統核心強制執行的一種訪問控制機制,特點是通過嚴格的隔離,阻止安全域內、外部主體對客體的越權訪問,實現保密性、完整性、最小特權等安全保護。
增強型DTE是在傳統DTE模型基礎之上進行擴充,實現域內不僅分配主體也可以分配客體,使不同域內的主客體訪問達到多對多的訪問關系。通過定義不同域的主客體訪問權限,解決現有DTE模型存在的安全目標不準確、系統的安全性難以控制等問題。通過配置嚴格的隔離策略,阻止安全域內、外部主體對客體的越權訪問,從而實現保密性、完整性、最小特權等安全保護。為域間通信提供安全可靠的可信管道機制,從而得出系統處于可信狀態的形式定義。采用增強型DTE安全域可以根據安全需求將應用和功能劃分到不同的域,使進入域的主體權限得到有效控制,離開域的主體權限最小化。對比如下圖所示:
增強型DTE與傳統DTE對比圖
增強型RBAC模型
基于角色的訪問控制(Role-BasedAccessControl)因為有著替代傳統訪問控制(自主訪問、強制訪問)的前景而受到廣泛關注。在RBAC中,權限與角色相關聯,用戶通過成為適當角色成員而得到這些角色的權限,這就極大地簡化了權限的管理。在一個組織中,角色是為了完成各種工作而創造的,用戶則依據它的責任和資格來被指派相應的角色,用戶可以很容易地從一個角色被指派到另一個角色。角色可依據新的需求和系統的合并而賦予新的權限,而權限也可根據需要從某角色中回收。角色與角色的關系可以建立起來以囊括更廣泛的客觀情況。
增強型RBAC模型可以支持細粒度的配置,其主客體對應關系如下圖所示:
RBAC安全模型示意圖
增強型BLP模型
BLP模型的基本安全策略是“上讀下寫”,高安全級別主體只可以讀安全級別比它低的客體,低安全級別主體只可以寫安全級別比它高的客體,同級別主客體間可讀寫。“上讀下寫”的安全策略保證了數據流向中的所有數據只能按照安全級別從低到高的流向流動,從而保證了敏感數據不被泄露。
增強型BLP模型讀和寫的權限更注重細粒度的控制,讀權限包括讀數據、讀ACL等。寫權限包括寫數據、追加寫,寫ACL等。
BLP模型示意圖如下:
BLP安全模型示意圖
椒圖科技以上述解決方案為基礎進行深入的技術研究和拓展,率先研發出了新一代的椒圖主機安全環境系統,簡稱:JHSE(JOWTOHostSecurityEnvironment的字母縮寫)。JHSE以國家等級保護標準為依據,是針對服務器操作系統存在的安全隱患而提供的通用型安全操作系統解決方案,解決操作系統層面所面臨的惡意代碼執行、越權訪問、數據泄露、破壞數據完整性等各種攻擊行為。
椒圖科技JHSE能夠通過可視虛擬化技術將每個應用或者功能單獨劃分成安全域,各安全域之間如同獨立的主機相互隔離;利用增強型DTE所生成的每個安全域中均具備增強型RBAC安全機制,可對域內資源進行強制訪問控制,讓每個域的安全性非常健壯;而增強型DTE則隔離了域與域之間的訪問,即便管理員忘記對某個域進行安全配置,出現了安全事故,所產生的影響也僅局限在該域內,不會影響和擴散到其他域。這種默認的最小化安全訪問機制,有效地隔離了已知、未知攻擊和惡意代碼對系統與應用資源的訪問,確保了系統資源的保密性和完整性,從而也提供了高可用和高可靠的業務連續性。JHSE通過對安全子系統(SSOOS)的重構和擴充,將原有操作系統中自由型、層次型的自主訪問控制模型改變為符合《GB/T20272-2006信息安全技術-操作系統安全技術要求》的宿主型自主訪問控制模型。
JHSE嚴格按照三級操作系統安全標準,使操作系統安全達到身份鑒別、強制訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范,資源控制等標準,為信息系統提供縱深防御體系。同時,JHSE適用于AIX、HP-UX、Solaris、WindowsServer、LinuxServer等主流商用服務器操作系統,其安裝、應用都不會影響原有業務的邏輯和連續性,從而實現了對服務器操作系統安全等級的動態、透明提升。椒圖科技JHSE為我國首個通過國標三級檢測的通用型安全操作系統,是適用于金融、電信、海關、稅務等多個領域的通用型安全操作系統解決方案。
【編輯推薦】
