信息安全等级保护制度是我国信息安全保障工作的基本制度,在等级保护操作系统安全技术要求中,自主访问控制机制贯穿一到五级信息系统,并随着安全保护等级的递增而不断提升安全防护的深度和广度,是构建安全操作系统的重要环节。作为专注于安全操作系统研究的信息安全厂商,椒图科技在其拳头产品JHSE椒图主机安全环境系统中采用了等级保护要求的宿主型自主访问控制机制,消除传统自主访问控制给操作系统埋下的安全隐患,使操作系统安全防护水平进一步提升,并为构建三级安全操作系统打下了坚实的基础。
现有自主访问控制机制缺陷
众所周知,操作系统是计算机系统的重要组成部分,承担着管理计算机资源的重任,并在用户使用计算机时提供操作界面。在操作系统上,每一个实体成分如用户、用户组、进程、文件、数据等等,都被称为主体或客体,部分实体兼具主体、客体两种身份。访问控制定义了不同主体与客体的关系。其中,自主访问控制是操作系统中普遍采用的一种访问控制机制,允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体。现有的自主访问控制机制如下图所示:
a、超级管理员用户(组)可以对客体资源进行修改访问权限、修改客体的所有者等操作。
b、主体可以修改其客体资源的访问权限,并可自主地将控制权转授给别的主体。
需要指出的是,目前普遍使用的商业服务器操作系统属于C2级,低于国标GB/T 20272-2006规定的第二级操作系统安全要求,都采用传统的自主访问控制机制。在这种自主访问控制机制下,均存在以下缺陷,即超级管理员拥有无上的权限,可以对服务器所有的资源进行任意操作,一旦其账号、密码被攻击者窃取,整个操作系统将可能遭受无法预估的巨大损失。同时,客体的控制权限可以在不同主体之间流转,导致具备访问控制权限的主体具有不确定性,使得操作系统安全性也难以得到保障。
JHSE自主访问控制兼顾安全与应用
为了增强操作系统安全防护能力,椒图科技JHSE通过对操作系统安全子系统(SSOOS)进行重构和扩充,使SSOOS具有了捕获所有主体对客体访问监控的能力,在实现新的SSF时,安装"访问监控器"可准确识别出主体的唯一性,同时新的"访问监控器"也具备了准确地识别客体原拥有者的能力,以对抗各种欺骗和非法操作。JHSE改变了传统自主访问控制机制的不足,达到了符合等级保护标准的宿主型自主访问控制。如下图所示:
a、当超级管理员用户(组)对客体的访问控制表(ACL)进行修改操作时,SSOOS能够准确获取当前操作,并判断当前操作主体是否为此客体的拥有者,如不是操作将被拒绝。
b、当超级管理员用户(组)对客体进行修改拥有者操作时,SSOOS能够准确获取当前操作,并判断当前操作主体是否为此客体的拥有者,如不是操作将被拒绝。
c、当客体的拥有者对客体进行操作时,SSOOS能够准确获取当前操作,并判断当前操作主体是否为此客体的拥有者,如是客体拥有者,需进一步判断是否在修改客体拥有者,如是操作将被拒绝。
如上所示,在JHSE椒图主机安全环境系统构建的自主访问控制机制下,系统为每一个受保护的客体设置了一个拥有者(客体属主),后者是唯一有权访问客体访问控制表(ACL)的主体,对相应的客体具有全部控制权,但无法将控制权转让给其他主体,保证了客体控制权的唯一性。同时,客体创建者还可以根据需要,将客体的访问权限授予特定的用户,为操作系统的正常运行提供便利。可以说,宿主型自主访问控制机制的实现,既保证了数据的保密性、可靠性和完整性,又能支撑操作系统高效运行,实现了安全性与实用性的完美融合。
以国标为依据提升操作系统安全等级
在操作系统安全防护方面,我国制定了一系列国家标准,其中《GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求》和《GB/T 20272-2006信息安全技术 操作系统安全技术要求》(以下简称"GB/T 20272-2006")的成功推出,为用户提供了一整套行之有效地自主访问控制设计和实现方法。根据GB/T 20272-2006的要求,一级操作系统的自主访问控制允许命名用户以用户的身份规定并控制对客体的访问,并阻止非授权用户对客体的访问;二、三级系统是在一级系统自主访问控制的基础上,增加访问控制属性、访问控制粒度等要求,明确要求"客体的拥有者应是唯一有权修改客体访问权限的主体,拥有者对其拥有的客体应具有全部控制权,但是,不允许客体拥有者把该客体的控制权分配给其他主体"。由此可见,二、三级系统实际上采用的是宿主型自主访问控制机制。
在深入分析传统操作系统安全隐患的基础上,椒图科技将宿主型自主访问控制机制应用于JHSE产品,增强操作系统的安全性。同时,作为一款严格按照等级保护国标进行设计的专业安全产品,JHSE还采用了强制访问控制机制,控制范围包括用户、IP、文件、进程、服务、共享资源、磁盘、端口、注册表(仅Windows)等主客体,并能支持用户与进程的绑定,将控制策略细化到指定用户的指定进程,实现细粒度的强制访问控制,确保操作系统安全运行。此外,JHSE还拥有双重身份鉴别、敏感标记、剩余信息保护、入侵防范等安全技术与功能,完全符合国标对三级操作系统的检测要求,帮助用户打造出三级安全操作系统,促使信息安全等级保护工作顺利实施。
