操作系統(tǒng)是整個計算機信息系統(tǒng)的核心，操作系統(tǒng)安全是整個安全防范體系的基礎(chǔ)，同時也是信息保障的關(guān)鍵所在。隨著計算機及網(wǎng)絡(luò)技術(shù)與應(yīng)用的不斷發(fā)展，伴隨而來的計算機系統(tǒng)安全問題越來越引起人們的關(guān)注，信息安全業(yè)界越來越重視服務(wù)器操作系統(tǒng)的安全問題。

操作系統(tǒng)安全主要以隔離和控制為核心機制來實現(xiàn)的，從某種意義上說，服務(wù)器操作系統(tǒng)的安全，就是訪問控制的安全，實現(xiàn)了合理的訪問控制，就保證了操作系統(tǒng)中數(shù)據(jù)的安全。自主訪問控制作為一種最早被提出而且最普遍的訪問控制安全策略，在操作系統(tǒng)訪問控制機制中占有十分重要的位置。

一.訪問控制的基本概念

訪問控制是指控制系統(tǒng)中主體對客體的訪問。訪問控制的目的是為了限制主體對客體的訪問權(quán)限，從而使計算機系統(tǒng)在合法范圍內(nèi)使用。訪問控制又可以分為自主性訪問控制和強制性訪問控制。

1.1訪問控制三要素

主體(Subject)：可以對其他實體施加動作的主動實體，如用戶、進程、I/O設(shè)備等。

客體(Object)：接受其他實體訪問的被動實體，如文件、共享內(nèi)存、管道等。

控制策略(Control Strategy)：主體對客體的操作行為集和約束條件集，如訪問矩陣、訪問控制表等。

1.2訪問控制與操作系統(tǒng)安全的關(guān)系

訪問控制是操作系統(tǒng)安全機制的主要內(nèi)容，也是操作系統(tǒng)安全的核心。訪問控制的基本功能是允許授權(quán)用戶按照權(quán)限對相關(guān)客體進行相應(yīng)的操作，阻止非授權(quán)用戶對相關(guān)客體進行任何操作，以此來規(guī)范和控制系統(tǒng)內(nèi)部主體對客體的訪問操作。

在系統(tǒng)中訪問控制需要完成以下兩種任務(wù)：

1)識別和確認(rèn)訪問系統(tǒng)的用戶;

2)決定該用戶可以對某一系統(tǒng)資源進行何種類型的訪問。

二. 自主訪問控制

自主訪問控制(Discretionary Access Control，DAC)是一種最普遍的訪問控制安全策略，其最早出現(xiàn)在20世紀(jì)70年代初期的分時系統(tǒng)中，基本思想伴隨著訪問矩陣【1】被提出，在目前流行的操作系統(tǒng)(如AIX、HP-UX、Solaris、、Windows Server、Linux Server等)中被廣泛使用，是由客體的屬主對自己的客體進行管理的一種控制方式。這種控制方式是自由的，也就是說由屬主自己決定是否將自己的客體訪問權(quán)或部分訪問權(quán)授予其他主體。在自主訪問控制下，用戶可以按自己的意愿，有選擇地與其他用戶共享他的文件。自主訪問控制的實現(xiàn)方式通常包括目錄式訪問控制模式、訪問控制表、訪問控制矩陣和面向過程的訪問控制等方式【2】。

2.1自主訪問控制特點

自主訪問控制是基于對主體的識別來限制對客體的訪問，這種控制是自主的，在自主訪問控制下，一個用戶可以自主選擇哪些用戶可以共享他的文件。其基本特征是用戶所創(chuàng)建的文件的訪問權(quán)限由用戶自己來控制，系統(tǒng)通過設(shè)置的自主訪問控制策略為用戶提供這種支持。也就是說，用戶在創(chuàng)建了一個文件以后，其自身首先就具有了對該文件的一切訪問操作權(quán)限，同時創(chuàng)建者用戶還可以通過“授權(quán)”操作將這些訪問操作權(quán)限有選擇地授予其他用戶，而且這種“授權(quán)”的權(quán)限也可以通過稱為“權(quán)限轉(zhuǎn)移”的操作授予其他用戶，使其具有使用“授權(quán)”操作另外的用戶授予對該文件進行確定的訪問操作權(quán)限的能力。

2.2自主訪問控制三大類型

2.2.1自由型的自主訪問控制

自由型自主訪問控制中，一個客體的創(chuàng)建者(擁有者)可以把自己對客體的許可權(quán)轉(zhuǎn)授給其他主體，即對客體的存取控制表有修改權(quán)，并且還可使其對其他主體也具有分配這種權(quán)利的能力，而且這種轉(zhuǎn)授能力不受創(chuàng)建者自己的控制。在這種系統(tǒng)中，一旦訪問許可權(quán)被分配出去，擁有者就很難對自己的客體實施控制。雖然可以通過客體的ACL表查詢出所有能夠修改該表的主體，但是卻沒有任何主體對該客體的安全負(fù)責(zé)，因此，這種對訪問權(quán)修改的控制方式是很不安全的。

2.2.2等級型的自主訪問控制

在等級型自主訪問控制中，可以將對客體存取控制表的修改能力劃分成等級。例如，可以將控制關(guān)系組成一個樹型結(jié)構(gòu)。最高等級主體可以修改所有客體存取控制表的能力，并且具有向任意一個主體分配這種修改權(quán)限的能力。最低級的主體不再具有訪問許可，也就是說他們對相應(yīng)的客體的存取控制表不再具有修改權(quán)。有訪問許可的主體(即有能力修改客體的存取控制表)，可以對自己授予任何訪問模式的訪問權(quán)。其優(yōu)點是通過選擇可信任的人擔(dān)任各級權(quán)限管理員，使得能夠以可信方式對客體施加控制。缺點是，對于一個客體而言，可能會同時有多個主體有能力修改它的存取控制表。

2.3.3宿主型的自主訪問控制

宿主型自主訪問控制是對每個客體設(shè)置一個擁有者，它是唯一有權(quán)訪問客體訪問控制表(ACL)的主體。擁有者對其擁有的客體具有全部控制權(quán)。但是，擁有者無權(quán)將其對客體的控制權(quán)分配給其它主體。因此，客體擁有者在任何時候都可以改變其所屬客體的存取控制表，并可以對其它主體授予或者撤消其對客體的任何一種訪問模式。宿主型自主訪問控制方式的優(yōu)點是修改權(quán)限的責(zé)任明確，由于擁有者關(guān)心自己客體的安全，便不會隨意把訪問控制權(quán)轉(zhuǎn)授給不可信的主體，這種方式更有利于系統(tǒng)的安全性。因此，許多重要信息系統(tǒng)(等級保護中三級以上的信息系統(tǒng))的自主訪問控制機制必須要使用宿主型訪問權(quán)限控制方式。

三.等級保護三級標(biāo)準(zhǔn)的自主訪問控制要求

自主訪問控制機制(Discretionary Access Control)是安全操作系統(tǒng)必不可少的、應(yīng)用最廣泛的安全機制之一。目前大型行業(yè)應(yīng)用中所使用的AIX、HP-UX、Solaris、Windows Server操作系統(tǒng)主要為等級型的自主訪問控制。對于等級型的自主訪問控制，管理員root或 Administrator對其他用戶的資源可直接做任意修改和訪問。

而在GB/T20272[3]等級保護三級的4.3.1.2自主訪問控制要求中，則要求實現(xiàn)宿主型的自主訪問控制，即：客體的擁有者是唯一有權(quán)訪問客體訪問控制列表(ACL)的主體，擁有者對其擁有的客體具有全部的控制權(quán)，但無權(quán)將客體的控制權(quán)分配給其他主體。

四.符合三級操作系統(tǒng)標(biāo)準(zhǔn)的自主訪問控制的實現(xiàn)

在系統(tǒng)中實施訪問控制是為了保證系統(tǒng)資源(操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng))受控合法地使用。用戶只能根據(jù)自己的權(quán)限大小來訪問系統(tǒng)資源，不得越權(quán)訪問。不同等級的訪問控制要求在操作系統(tǒng)安全方面所體現(xiàn)的也不同。

4.1三級操作系統(tǒng)安全標(biāo)準(zhǔn)的自主訪問控制要求

根據(jù)等級保護《GB/T 20272-2006信息安全技術(shù)-操作系統(tǒng)安全技術(shù)要求》規(guī)定，在等級保護三級操作系統(tǒng)安全標(biāo)準(zhǔn)中，引入和提出了強制訪問控制的概念。但是，大部分人認(rèn)為強制訪問控制模型是用來代替自主訪問控制模型的，有了強制訪問控制就不需要自主訪問控制了，這種理解是完全錯誤的。在國家標(biāo)準(zhǔn)GB/T20272中對于各級操作系統(tǒng)中的自主訪問控制都有不同的技術(shù)要求，尤其是對三級操作系統(tǒng)中對自主訪問控制有明確的要求，即：操作系統(tǒng)中客體的擁有者應(yīng)是唯一有修改客體訪問權(quán)限的主體，擁有者擁有對自己客體的全部控制權(quán)，但擁有者不允許把客體控制權(quán)分配給其他主體。在保密性訪問控制BLP【4】模型中，也明確的提出了自主訪問控制的策略。

4.2現(xiàn)有操作系統(tǒng)在自主訪問控制中的缺陷

在等級保護標(biāo)準(zhǔn)三級操作系統(tǒng)中，強調(diào)了最小授權(quán)原則，使得用戶的權(quán)限最小化，同時要求對重要信息資源設(shè)置敏感標(biāo)記【5】【6】。目前，我國使用的主流商用服務(wù)器操作系統(tǒng)(如AIX、HP-UX、Solaris、Windows Server、Linux Server等)的自主訪問控制并沒有達(dá)到相應(yīng)技術(shù)要求和功能提升，無法達(dá)到三級安全操作系統(tǒng)的技術(shù)標(biāo)準(zhǔn)。

現(xiàn)有的主流商用操作系統(tǒng)普遍存在以下缺陷，本文以Windows 2008 Server舉例說明：

在普通的Windows 2008 Server中，存在用戶 Test，此用戶屬于Users 組，使用 Test 用戶進行登錄并創(chuàng)建文件 DAC.TXT 并賦予了 Test 用戶“全部控制權(quán)限”，同時針對 Administrators 組用戶只有“讀”權(quán)限，此時切換用戶至Administrator管理員用戶對 DAC.TXT 文件進行寫操作，系統(tǒng)提示“訪問被拒絕”。在現(xiàn)有普通操作系統(tǒng)的安全機制中Administrator 用戶可以設(shè)置客體DAC.TXT的ACL，修改其擁有者與訪問控制權(quán)限，或把自身加入到其ACL中，使自身有“全部控制權(quán)限”。

4.3符合三級操作系統(tǒng)安全標(biāo)準(zhǔn)的自主訪問控制實現(xiàn)要求

根據(jù)以上示例，在滿足GB/T20272中4.3.1.2中自主訪問控制的要求中(即符合等級保護標(biāo)準(zhǔn)三級要求的宿主型自主訪問控制)，Windows 2008 Server的自主訪問控制應(yīng)具備以下提升：

a.當(dāng)Administrators組戶對 Test 用戶創(chuàng)建的客體DAC.TXT文件進行修改擁有者操作時，SSOOS 應(yīng)準(zhǔn)確獲取當(dāng)前操作，并判斷當(dāng)前操作主體是否為此客體的擁有者，如不是SSOOS應(yīng)返回拒絕。

b.當(dāng)Administrators組用戶對 Test 用戶創(chuàng)建的客體DAC.TXT文件的ACL進行修改操作時，SSOOS 應(yīng)準(zhǔn)確獲取當(dāng)前操作，并判斷當(dāng)前操作主體是否為此客體的擁有者，如不是SSOOS應(yīng)返回拒絕。

c.當(dāng) Test 用戶試圖修改客體DAC.TXT文件的擁有者時，SSOOS 應(yīng)準(zhǔn)確獲取當(dāng)前操作，并判斷當(dāng)前操作主體是否為此客體的擁有者，如是客體擁有者，需進一步判斷是否在修改客體擁有者，如是SSOOS應(yīng)返回拒絕。

4.4符合三級操作系統(tǒng)安全標(biāo)準(zhǔn)的自主訪問控制實現(xiàn)方法

基于以上要求，要實現(xiàn)符合等級保護三級標(biāo)準(zhǔn)要求的宿主型自主訪問控制，需要對操作系統(tǒng)現(xiàn)有的安全機制進行擴充與改造，即對原有的 SSOOS 進行動態(tài)的擴充與增強，經(jīng)過改造與擴充后的 SSOOS 要具有捕獲所有主體對客體訪問監(jiān)控的能力，如在實現(xiàn)新的 SSF 時，安裝“訪問監(jiān)控器”，對“訪問監(jiān)控器”的要求是可準(zhǔn)確識別出主體的唯一性，如以上示例中，當(dāng)DAC.TXT 客體所屬主體 Test 用戶改變了用戶名稱，或Administartor用戶改變用戶名稱為 Test 試圖欺騙與繞過訪問限制時，新的“訪問監(jiān)控器”要具備準(zhǔn)確的識別客體原擁有者的能力，以對抗此種欺騙與攻擊。

椒圖科技以上述方法原理為基礎(chǔ)進行深入的研究和拓展，自主研發(fā)了“JHSE椒圖主機安全環(huán)境系統(tǒng)”(簡稱JHSE)。JHSE以國家等級保護標(biāo)準(zhǔn)為依據(jù)，嚴(yán)格按照三級操作系統(tǒng)安全標(biāo)準(zhǔn)中對自主訪問控制要求，通過對安全子系統(tǒng)(SSOOS)的重構(gòu)和擴充，將原有操作系統(tǒng)中的自主訪問控制模型動態(tài)的更新為符合《GB/T20272-2006信息安全技術(shù)-操作系統(tǒng)安全技術(shù)要求》中第三級要求的自主訪問控制模型。同時，JHSE不僅具有文中所說的符合三級標(biāo)準(zhǔn)的自主訪問控制，還具有三權(quán)分立和增強型DTE、RBAC、BLP 三種訪問控制功能，以及剩余信息清除，完整性檢測(包括文件、賬戶、服務(wù)、注冊表)、雙重身份認(rèn)證、訪問控制、安全審計、資源控制及異常檢測等多種功能。 JHSE完全遵循安全操作系統(tǒng)理念，集合多項發(fā)明專利和200余項全新技術(shù)，打造了系統(tǒng)層的立體防護體系，實現(xiàn)了對服務(wù)器操作系統(tǒng)安全等級的動態(tài)、透明提升。

參考文獻(xiàn)：

[1]陸寶華，信息安全等級保護基本要求培訓(xùn)教程[M]，北京：電子工業(yè)出版社，2009：第78頁至109頁

[2]陸寶華，信息系統(tǒng)安全原理與應(yīng)用[M]，北京：清華大學(xué)出版社，2006：第42頁至54頁

[3] GB/T20272-2006，信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求[S]

[4]卿斯?jié)h等，《操作系統(tǒng)安全》(第二版)[M]，北京：清華大學(xué)出版社，2011：第65至76頁

[5] GB/T22239-2008，信息安全技術(shù)信息安全等級保護基本要求[S]

[6] GB/T20271-2006，信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求[S]

李科(1981-)，男，學(xué)士，深圳市安盾椒圖科技有限公司常務(wù)副總經(jīng)理，主要研究方向：等級保護，安全操作系統(tǒng)，信息安全，網(wǎng)絡(luò)安全。