操作系統是整個計算機信息系統的核心，操作系統安全是整個安全防范體系的基礎，同時也是信息保障的關鍵所在。隨著計算機及網絡技術與應用的不斷發展，伴隨而來的計算機系統安全問題越來越引起人們的關注，信息安全業界越來越重視服務器操作系統的安全問題。

操作系統安全主要以隔離和控制為核心機制來實現的，從某種意義上說，服務器操作系統的安全，就是訪問控制的安全，實現了合理的訪問控制，就保證了操作系統中數據的安全。自主訪問控制作為一種最早被提出而且最普遍的訪問控制安全策略，在操作系統訪問控制機制中占有十分重要的位置。

一.訪問控制的基本概念

訪問控制是指控制系統中主體對客體的訪問。訪問控制的目的是為了限制主體對客體的訪問權限，從而使計算機系統在合法范圍內使用。訪問控制又可以分為自主性訪問控制和強制性訪問控制。

1.1訪問控制三要素

主體(Subject)：可以對其他實體施加動作的主動實體，如用戶、進程、I/O設備等。

客體(Object)：接受其他實體訪問的被動實體，如文件、共享內存、管道等。

控制策略(Control Strategy)：主體對客體的操作行為集和約束條件集，如訪問矩陣、訪問控制表等。

1.2訪問控制與操作系統安全的關系

訪問控制是操作系統安全機制的主要內容，也是操作系統安全的核心。訪問控制的基本功能是允許授權用戶按照權限對相關客體進行相應的操作，阻止非授權用戶對相關客體進行任何操作，以此來規范和控制系統內部主體對客體的訪問操作。

在系統中訪問控制需要完成以下兩種任務：

1)識別和確認訪問系統的用戶;

2)決定該用戶可以對某一系統資源進行何種類型的訪問。

二. 自主訪問控制

自主訪問控制(Discretionary Access Control，DAC)是一種最普遍的訪問控制安全策略，其最早出現在20世紀70年代初期的分時系統中，基本思想伴隨著訪問矩陣【1】被提出，在目前流行的操作系統(如AIX、HP-UX、Solaris、、Windows Server、Linux Server等)中被廣泛使用，是由客體的屬主對自己的客體進行管理的一種控制方式。這種控制方式是自由的，也就是說由屬主自己決定是否將自己的客體訪問權或部分訪問權授予其他主體。在自主訪問控制下，用戶可以按自己的意愿，有選擇地與其他用戶共享他的文件。自主訪問控制的實現方式通常包括目錄式訪問控制模式、訪問控制表、訪問控制矩陣和面向過程的訪問控制等方式【2】。

2.1自主訪問控制特點

自主訪問控制是基于對主體的識別來限制對客體的訪問，這種控制是自主的，在自主訪問控制下，一個用戶可以自主選擇哪些用戶可以共享他的文件。其基本特征是用戶所創建的文件的訪問權限由用戶自己來控制，系統通過設置的自主訪問控制策略為用戶提供這種支持。也就是說，用戶在創建了一個文件以后，其自身首先就具有了對該文件的一切訪問操作權限，同時創建者用戶還可以通過“授權”操作將這些訪問操作權限有選擇地授予其他用戶，而且這種“授權”的權限也可以通過稱為“權限轉移”的操作授予其他用戶，使其具有使用“授權”操作另外的用戶授予對該文件進行確定的訪問操作權限的能力。

2.2自主訪問控制三大類型

2.2.1自由型的自主訪問控制

自由型自主訪問控制中，一個客體的創建者(擁有者)可以把自己對客體的許可權轉授給其他主體，即對客體的存取控制表有修改權，并且還可使其對其他主體也具有分配這種權利的能力，而且這種轉授能力不受創建者自己的控制。在這種系統中，一旦訪問許可權被分配出去，擁有者就很難對自己的客體實施控制。雖然可以通過客體的ACL表查詢出所有能夠修改該表的主體，但是卻沒有任何主體對該客體的安全負責，因此，這種對訪問權修改的控制方式是很不安全的。

2.2.2等級型的自主訪問控制

在等級型自主訪問控制中，可以將對客體存取控制表的修改能力劃分成等級。例如，可以將控制關系組成一個樹型結構。最高等級主體可以修改所有客體存取控制表的能力，并且具有向任意一個主體分配這種修改權限的能力。最低級的主體不再具有訪問許可，也就是說他們對相應的客體的存取控制表不再具有修改權。有訪問許可的主體(即有能力修改客體的存取控制表)，可以對自己授予任何訪問模式的訪問權。其優點是通過選擇可信任的人擔任各級權限管理員，使得能夠以可信方式對客體施加控制。缺點是，對于一個客體而言，可能會同時有多個主體有能力修改它的存取控制表。

2.3.3宿主型的自主訪問控制

宿主型自主訪問控制是對每個客體設置一個擁有者，它是唯一有權訪問客體訪問控制表(ACL)的主體。擁有者對其擁有的客體具有全部控制權。但是，擁有者無權將其對客體的控制權分配給其它主體。因此，客體擁有者在任何時候都可以改變其所屬客體的存取控制表，并可以對其它主體授予或者撤消其對客體的任何一種訪問模式。宿主型自主訪問控制方式的優點是修改權限的責任明確，由于擁有者關心自己客體的安全，便不會隨意把訪問控制權轉授給不可信的主體，這種方式更有利于系統的安全性。因此，許多重要信息系統(等級保護中三級以上的信息系統)的自主訪問控制機制必須要使用宿主型訪問權限控制方式。

三.等級保護三級標準的自主訪問控制要求

自主訪問控制機制(Discretionary Access Control)是安全操作系統必不可少的、應用最廣泛的安全機制之一。目前大型行業應用中所使用的AIX、HP-UX、Solaris、Windows Server操作系統主要為等級型的自主訪問控制。對于等級型的自主訪問控制，管理員root或 Administrator對其他用戶的資源可直接做任意修改和訪問。

而在GB/T20272[3]等級保護三級的4.3.1.2自主訪問控制要求中，則要求實現宿主型的自主訪問控制，即：客體的擁有者是唯一有權訪問客體訪問控制列表(ACL)的主體，擁有者對其擁有的客體具有全部的控制權，但無權將客體的控制權分配給其他主體。

四.符合三級操作系統標準的自主訪問控制的實現

在系統中實施訪問控制是為了保證系統資源(操作系統和數據庫管理系統)受控合法地使用。用戶只能根據自己的權限大小來訪問系統資源，不得越權訪問。不同等級的訪問控制要求在操作系統安全方面所體現的也不同。

4.1三級操作系統安全標準的自主訪問控制要求

根據等級保護《GB/T 20272-2006信息安全技術-操作系統安全技術要求》規定，在等級保護三級操作系統安全標準中，引入和提出了強制訪問控制的概念。但是，大部分人認為強制訪問控制模型是用來代替自主訪問控制模型的，有了強制訪問控制就不需要自主訪問控制了，這種理解是完全錯誤的。在國家標準GB/T20272中對于各級操作系統中的自主訪問控制都有不同的技術要求，尤其是對三級操作系統中對自主訪問控制有明確的要求，即：操作系統中客體的擁有者應是唯一有修改客體訪問權限的主體，擁有者擁有對自己客體的全部控制權，但擁有者不允許把客體控制權分配給其他主體。在保密性訪問控制BLP【4】模型中，也明確的提出了自主訪問控制的策略。

4.2現有操作系統在自主訪問控制中的缺陷

在等級保護標準三級操作系統中，強調了最小授權原則，使得用戶的權限最小化，同時要求對重要信息資源設置敏感標記【5】【6】。目前，我國使用的主流商用服務器操作系統(如AIX、HP-UX、Solaris、Windows Server、Linux Server等)的自主訪問控制并沒有達到相應技術要求和功能提升，無法達到三級安全操作系統的技術標準。

現有的主流商用操作系統普遍存在以下缺陷，本文以Windows 2008 Server舉例說明：

在普通的Windows 2008 Server中，存在用戶 Test，此用戶屬于Users 組，使用 Test 用戶進行登錄并創建文件 DAC.TXT 并賦予了 Test 用戶“全部控制權限”，同時針對 Administrators 組用戶只有“讀”權限，此時切換用戶至Administrator管理員用戶對 DAC.TXT 文件進行寫操作，系統提示“訪問被拒絕”。在現有普通操作系統的安全機制中Administrator 用戶可以設置客體DAC.TXT的ACL，修改其擁有者與訪問控制權限，或把自身加入到其ACL中，使自身有“全部控制權限”。

4.3符合三級操作系統安全標準的自主訪問控制實現要求

根據以上示例，在滿足GB/T20272中4.3.1.2中自主訪問控制的要求中(即符合等級保護標準三級要求的宿主型自主訪問控制)，Windows 2008 Server的自主訪問控制應具備以下提升：

a.當Administrators組戶對 Test 用戶創建的客體DAC.TXT文件進行修改擁有者操作時，SSOOS 應準確獲取當前操作，并判斷當前操作主體是否為此客體的擁有者，如不是SSOOS應返回拒絕。

b.當Administrators組用戶對 Test 用戶創建的客體DAC.TXT文件的ACL進行修改操作時，SSOOS 應準確獲取當前操作，并判斷當前操作主體是否為此客體的擁有者，如不是SSOOS應返回拒絕。

c.當 Test 用戶試圖修改客體DAC.TXT文件的擁有者時，SSOOS 應準確獲取當前操作，并判斷當前操作主體是否為此客體的擁有者，如是客體擁有者，需進一步判斷是否在修改客體擁有者，如是SSOOS應返回拒絕。

4.4符合三級操作系統安全標準的自主訪問控制實現方法

基于以上要求，要實現符合等級保護三級標準要求的宿主型自主訪問控制，需要對操作系統現有的安全機制進行擴充與改造，即對原有的 SSOOS 進行動態的擴充與增強，經過改造與擴充后的 SSOOS 要具有捕獲所有主體對客體訪問監控的能力，如在實現新的 SSF 時，安裝“訪問監控器”，對“訪問監控器”的要求是可準確識別出主體的唯一性，如以上示例中，當DAC.TXT 客體所屬主體 Test 用戶改變了用戶名稱，或Administartor用戶改變用戶名稱為 Test 試圖欺騙與繞過訪問限制時，新的“訪問監控器”要具備準確的識別客體原擁有者的能力，以對抗此種欺騙與攻擊。

椒圖科技以上述方法原理為基礎進行深入的研究和拓展，自主研發了“JHSE椒圖主機安全環境系統”(簡稱JHSE)。JHSE以國家等級保護標準為依據，嚴格按照三級操作系統安全標準中對自主訪問控制要求，通過對安全子系統(SSOOS)的重構和擴充，將原有操作系統中的自主訪問控制模型動態的更新為符合《GB/T20272-2006信息安全技術-操作系統安全技術要求》中第三級要求的自主訪問控制模型。同時，JHSE不僅具有文中所說的符合三級標準的自主訪問控制，還具有三權分立和增強型DTE、RBAC、BLP 三種訪問控制功能，以及剩余信息清除，完整性檢測(包括文件、賬戶、服務、注冊表)、雙重身份認證、訪問控制、安全審計、資源控制及異常檢測等多種功能。 JHSE完全遵循安全操作系統理念，集合多項發明專利和200余項全新技術，打造了系統層的立體防護體系，實現了對服務器操作系統安全等級的動態、透明提升。

參考文獻：

[1]陸寶華，信息安全等級保護基本要求培訓教程[M]，北京：電子工業出版社，2009：第78頁至109頁

[2]陸寶華，信息系統安全原理與應用[M]，北京：清華大學出版社，2006：第42頁至54頁

[3] GB/T20272-2006，信息安全技術操作系統安全技術要求[S]

[4]卿斯漢等，《操作系統安全》(第二版)[M]，北京：清華大學出版社，2011：第65至76頁

[5] GB/T22239-2008，信息安全技術信息安全等級保護基本要求[S]

[6] GB/T20271-2006，信息安全技術信息系統通用安全技術要求[S]

李科(1981-)，男，學士，深圳市安盾椒圖科技有限公司常務副總經理，主要研究方向：等級保護，安全操作系統，信息安全，網絡安全。