信息安全等級保護制度是我國信息安全保障工作的基本制度，在等級保護操作系統(tǒng)安全技術(shù)要求中，自主訪問控制機制貫穿一到五級信息系統(tǒng)，并隨著安全保護等級的遞增而不斷提升安全防護的深度和廣度，是構(gòu)建安全操作系統(tǒng)的重要環(huán)節(jié)。作為專注于安全操作系統(tǒng)研究的信息安全廠商，椒圖科技在其拳頭產(chǎn)品JHSE椒圖主機安全環(huán)境系統(tǒng)中采用了等級保護要求的宿主型自主訪問控制機制，消除傳統(tǒng)自主訪問控制給操作系統(tǒng)埋下的安全隱患，使操作系統(tǒng)安全防護水平進一步提升，并為構(gòu)建三級安全操作系統(tǒng)打下了堅實的基礎(chǔ)。

現(xiàn)有自主訪問控制機制缺陷

眾所周知，操作系統(tǒng)是計算機系統(tǒng)的重要組成部分，承擔(dān)著管理計算機資源的重任，并在用戶使用計算機時提供操作界面。在操作系統(tǒng)上，每一個實體成分如用戶、用戶組、進程、文件、數(shù)據(jù)等等，都被稱為主體或客體，部分實體兼具主體、客體兩種身份。訪問控制定義了不同主體與客體的關(guān)系。其中，自主訪問控制是操作系統(tǒng)中普遍采用的一種訪問控制機制，允許合法用戶以用戶或用戶組的身份訪問策略規(guī)定的客體，同時阻止非授權(quán)用戶訪問客體。現(xiàn)有的自主訪問控制機制如下圖所示：

ａ、超級管理員用戶（組）可以對客體資源進行修改訪問權(quán)限、修改客體的所有者等操作。

ｂ、主體可以修改其客體資源的訪問權(quán)限，并可自主地將控制權(quán)轉(zhuǎn)授給別的主體。

需要指出的是，目前普遍使用的商業(yè)服務(wù)器操作系統(tǒng)屬于C2級，低于國標(biāo)GB/T 20272-2006規(guī)定的第二級操作系統(tǒng)安全要求，都采用傳統(tǒng)的自主訪問控制機制。在這種自主訪問控制機制下，均存在以下缺陷，即超級管理員擁有無上的權(quán)限，可以對服務(wù)器所有的資源進行任意操作，一旦其賬號、密碼被攻擊者竊取，整個操作系統(tǒng)將可能遭受無法預(yù)估的巨大損失。同時，客體的控制權(quán)限可以在不同主體之間流轉(zhuǎn)，導(dǎo)致具備訪問控制權(quán)限的主體具有不確定性，使得操作系統(tǒng)安全性也難以得到保障。

JHSE自主訪問控制兼顧安全與應(yīng)用

為了增強操作系統(tǒng)安全防護能力，椒圖科技JHSE通過對操作系統(tǒng)安全子系統(tǒng)（SSOOS）進行重構(gòu)和擴充，使SSOOS具有了捕獲所有主體對客體訪問監(jiān)控的能力，在實現(xiàn)新的SSF時，安裝"訪問監(jiān)控器"可準(zhǔn)確識別出主體的唯一性，同時新的"訪問監(jiān)控器"也具備了準(zhǔn)確地識別客體原擁有者的能力，以對抗各種欺騙和非法操作。JHSE改變了傳統(tǒng)自主訪問控制機制的不足，達到了符合等級保護標(biāo)準(zhǔn)的宿主型自主訪問控制。如下圖所示：

ａ、當(dāng)超級管理員用戶（組）對客體的訪問控制表（ACL）進行修改操作時，SSOOS能夠準(zhǔn)確獲取當(dāng)前操作，并判斷當(dāng)前操作主體是否為此客體的擁有者，如不是操作將被拒絕。

ｂ、當(dāng)超級管理員用戶（組）對客體進行修改擁有者操作時，SSOOS能夠準(zhǔn)確獲取當(dāng)前操作，并判斷當(dāng)前操作主體是否為此客體的擁有者，如不是操作將被拒絕。

ｃ、當(dāng)客體的擁有者對客體進行操作時，SSOOS能夠準(zhǔn)確獲取當(dāng)前操作，并判斷當(dāng)前操作主體是否為此客體的擁有者，如是客體擁有者，需進一步判斷是否在修改客體擁有者，如是操作將被拒絕。

如上所示，在JHSE椒圖主機安全環(huán)境系統(tǒng)構(gòu)建的自主訪問控制機制下，系統(tǒng)為每一個受保護的客體設(shè)置了一個擁有者（客體屬主），后者是唯一有權(quán)訪問客體訪問控制表（ACL）的主體，對相應(yīng)的客體具有全部控制權(quán)，但無法將控制權(quán)轉(zhuǎn)讓給其他主體，保證了客體控制權(quán)的唯一性。同時，客體創(chuàng)建者還可以根據(jù)需要，將客體的訪問權(quán)限授予特定的用戶，為操作系統(tǒng)的正常運行提供便利?？梢哉f，宿主型自主訪問控制機制的實現(xiàn)，既保證了數(shù)據(jù)的保密性、可靠性和完整性，又能支撐操作系統(tǒng)高效運行，實現(xiàn)了安全性與實用性的完美融合。

以國標(biāo)為依據(jù)提升操作系統(tǒng)安全等級

在操作系統(tǒng)安全防護方面，我國制定了一系列國家標(biāo)準(zhǔn)，其中《GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》和《GB/T 20272-2006信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（以下簡稱"GB/T 20272-2006"）的成功推出，為用戶提供了一整套行之有效地自主訪問控制設(shè)計和實現(xiàn)方法。根據(jù)GB/T 20272-2006的要求，一級操作系統(tǒng)的自主訪問控制允許命名用戶以用戶的身份規(guī)定并控制對客體的訪問，并阻止非授權(quán)用戶對客體的訪問；二、三級系統(tǒng)是在一級系統(tǒng)自主訪問控制的基礎(chǔ)上，增加訪問控制屬性、訪問控制粒度等要求，明確要求"客體的擁有者應(yīng)是唯一有權(quán)修改客體訪問權(quán)限的主體，擁有者對其擁有的客體應(yīng)具有全部控制權(quán)，但是，不允許客體擁有者把該客體的控制權(quán)分配給其他主體"。由此可見，二、三級系統(tǒng)實際上采用的是宿主型自主訪問控制機制。

在深入分析傳統(tǒng)操作系統(tǒng)安全隱患的基礎(chǔ)上，椒圖科技將宿主型自主訪問控制機制應(yīng)用于JHSE產(chǎn)品，增強操作系統(tǒng)的安全性。同時，作為一款嚴(yán)格按照等級保護國標(biāo)進行設(shè)計的專業(yè)安全產(chǎn)品，JHSE還采用了強制訪問控制機制，控制范圍包括用戶、IP、文件、進程、服務(wù)、共享資源、磁盤、端口、注冊表（僅Windows）等主客體，并能支持用戶與進程的綁定，將控制策略細化到指定用戶的指定進程，實現(xiàn)細粒度的強制訪問控制，確保操作系統(tǒng)安全運行。此外，JHSE還擁有雙重身份鑒別、敏感標(biāo)記、剩余信息保護、入侵防范等安全技術(shù)與功能，完全符合國標(biāo)對三級操作系統(tǒng)的檢測要求，幫助用戶打造出三級安全操作系統(tǒng)，促使信息安全等級保護工作順利實施。