近期，網(wǎng)絡(luò)信息安全事件層出不窮，對(duì)用戶信息系統(tǒng)造成嚴(yán)重的危害，引起了信息安全行業(yè)及相關(guān)用戶的集體反思。作為信息系統(tǒng)的重要組成部分，操作系統(tǒng)承擔(dān)著連接底層硬件和上層業(yè)務(wù)應(yīng)用的重任，在諸多安全事件中首當(dāng)其沖，面臨著巨大的安全壓力。

掀開(kāi)自主訪問(wèn)控制的面紗

為了增強(qiáng)信息系統(tǒng)安全、可靠運(yùn)行的能力，操作系統(tǒng)內(nèi)置了一些防護(hù)措施，例如身份鑒別、訪問(wèn)控制、入侵防范等。其中，訪問(wèn)控制是計(jì)算機(jī)安全防護(hù)體系中的重要環(huán)節(jié)，包含主體、客體、控制策略三個(gè)要素。其中，主體是指可以對(duì)其他實(shí)體施加動(dòng)作的主動(dòng)實(shí)體，例如用戶、進(jìn)程等；客體包括數(shù)據(jù)、文件、程序等，是接受其他實(shí)體訪問(wèn)的被動(dòng)實(shí)體；控制策略則定義了主體與客體相互作用的途徑。簡(jiǎn)而言之，訪問(wèn)控制是一種通過(guò)控制策略授予、約束主體訪問(wèn)客體行為的安全機(jī)制。

訪問(wèn)控制分為三種模型，即自主訪問(wèn)控制（DAC）、強(qiáng)制訪問(wèn)控制（MAC）和基于角色的訪問(wèn)控制（RBAC）。其中，自主訪問(wèn)控制在C2級(jí)操作系統(tǒng)中應(yīng)用廣泛，是根據(jù)自主訪問(wèn)控制策略建立的一種模型，允許合法用戶以用戶或用戶組的身份訪問(wèn)策略規(guī)定的客體，同時(shí)阻止非授權(quán)用戶訪問(wèn)客體，某些用戶還可以自主地把自己所擁有的客體的訪問(wèn)權(quán)限授予其他用戶。

自主訪問(wèn)控制的實(shí)現(xiàn)方式包括目錄式訪問(wèn)控制模式、訪問(wèn)控制表（ACL）、訪問(wèn)控制矩陣、面向過(guò)程的訪問(wèn)控制等，訪問(wèn)控制表是自主訪問(wèn)控制機(jī)制通常采用的一種方式。訪問(wèn)控制表是存放在計(jì)算機(jī)中的一張表，本質(zhì)上是帶有訪問(wèn)權(quán)限的矩陣，其訪問(wèn)權(quán)限包括讀文件、寫(xiě)文件、執(zhí)行文件等等。在自主訪問(wèn)控制機(jī)制下，每個(gè)客體都有一個(gè)特定的安全屬性，同時(shí)訪問(wèn)控制表也授予或禁止主體對(duì)客體的訪問(wèn)權(quán)限。在工作中，安全管理員通過(guò)維護(hù)訪問(wèn)控制表，控制用戶對(duì)文件、數(shù)據(jù)等IT系統(tǒng)資源的訪問(wèn)行為，來(lái)達(dá)到安全防控的目的。

從安全性上看，現(xiàn)有操作系統(tǒng)中基于訪問(wèn)控制表的自主訪問(wèn)控制存在著明顯的缺陷：一方面，超級(jí)用戶（root/Administrator）權(quán)力過(guò)度集中，可以隨意修改客體的訪問(wèn)控制表，只要擁有超級(jí)管理員權(quán)限就可以對(duì)服務(wù)器所有的資源進(jìn)行任意操作；另一方面，客體的屬主可以自主地將權(quán)限轉(zhuǎn)授給別的主體，一旦把某個(gè)客體的ACL修改權(quán)轉(zhuǎn)授出去以后，擁有者便很難對(duì)自己的客體實(shí)施控制了。因此，在現(xiàn)有的這種訪問(wèn)控制模型下，操作系統(tǒng)存在很多安全風(fēng)險(xiǎn)。

自主訪問(wèn)控制下的安全風(fēng)險(xiǎn)

按照訪問(wèn)許可機(jī)制的不同，自主訪問(wèn)控制又分為三個(gè)類型，即自由型、等級(jí)型和宿主型。其中，在自由型自主訪問(wèn)控制機(jī)制中，不同主體之間可以自由轉(zhuǎn)讓客體訪問(wèn)控制表的修改權(quán)限，意味著任何主體都有可能對(duì)某一客體進(jìn)行操作，系統(tǒng)安全性很難得到保障；在等級(jí)型自主訪問(wèn)控制機(jī)制中，用戶可以將擁有修改客體訪問(wèn)控制表權(quán)限的主體組織成等級(jí)型結(jié)構(gòu)，例如按照等級(jí)將不同的主體排列成樹(shù)型結(jié)構(gòu)，高等級(jí)主體自動(dòng)獲得低等級(jí)客體的控制權(quán)限。這種方案的優(yōu)點(diǎn)是可以選擇值得信任的人擔(dān)任各級(jí)領(lǐng)導(dǎo)，從而實(shí)現(xiàn)對(duì)客體的分級(jí)控制，缺點(diǎn)是同時(shí)有多個(gè)主體有能力修改某一客體的訪問(wèn)權(quán)限。

從市場(chǎng)應(yīng)用情況看，等級(jí)型自主訪問(wèn)控制是使用范圍最為廣泛的安全機(jī)制，現(xiàn)有C2級(jí)大型商用服務(wù)器操作系統(tǒng)（如AIX、HP-UX、Solaris、Windows Server、LinuxServer等）中的訪問(wèn)控制機(jī)制均為等級(jí)型自主訪問(wèn)控制，涉及金融、能源、軍工等國(guó)家命脈行業(yè)。在這些系統(tǒng)中，位于樹(shù)型結(jié)構(gòu)頂端的超級(jí)用戶擁有無(wú)上的權(quán)限，可以對(duì)其他用戶擁有的資源進(jìn)行任意修改和訪問(wèn)。權(quán)限的高度集中，客觀上放大了系統(tǒng)的安全風(fēng)險(xiǎn)。針對(duì)等級(jí)型自主訪問(wèn)控制，攻擊者可以通過(guò)暴力破解、系統(tǒng)漏洞利用、木馬攻擊等多種方式竊取管理員權(quán)限，進(jìn)而實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的完全控制。事實(shí)證明確實(shí)如此，無(wú)論是曾經(jīng)肆虐的“灰鴿子”木馬，還是震驚全球的“震網(wǎng)”、“火焰”等病毒，都將獲得管理權(quán)限作為一種重要手段，在此基礎(chǔ)上成功入侵系統(tǒng)并實(shí)施破壞行為。

椒圖科技推出的JHSE椒圖主機(jī)安全環(huán)境系統(tǒng)（以下簡(jiǎn)稱JHSE），就基于宿主型自主訪問(wèn)控制機(jī)制保障操作系統(tǒng)的安全。此外，JHSE還采用了強(qiáng)制訪問(wèn)控制模型，為訪問(wèn)主體和受保護(hù)的客體分配不同的安全級(jí)別屬性，在實(shí)施訪問(wèn)控制的過(guò)程中，系統(tǒng)將對(duì)主體和客體的安全級(jí)別屬性進(jìn)行比較，之后再?zèng)Q定主體是否可以訪問(wèn)受保護(hù)的客體，從而實(shí)現(xiàn)了細(xì)粒度的安全訪問(wèn)控制機(jī)制。

完善自主訪問(wèn)控制機(jī)制

為了提升信息系統(tǒng)的安全防護(hù)能力，我國(guó)頒布了《信息安全等級(jí)保護(hù)管理辦法》，并制定了一系列國(guó)家標(biāo)準(zhǔn)，為用戶開(kāi)展信息安全等級(jí)保護(hù)工作提供指導(dǎo)意義。其中，《GB/T 20272-2006信息安全技術(shù)-操作系統(tǒng)安全技術(shù)要求》是專門(mén)針對(duì)操作系統(tǒng)安全防護(hù)的國(guó)家標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)在“自主訪問(wèn)控制”部分提出了明確的要求：“客體的擁有者應(yīng)是唯一有權(quán)修改客體訪問(wèn)權(quán)限的主體，擁有者對(duì)其擁有的客體應(yīng)具有全部控制權(quán)，但是，不充許客體擁有者把該客體的控制權(quán)分配給其他主體。”

從技術(shù)要求的細(xì)節(jié)上看，滿足等級(jí)保護(hù)標(biāo)準(zhǔn)的自主訪問(wèn)控制機(jī)制實(shí)質(zhì)上是宿主型自主訪問(wèn)控制。在這種機(jī)制下，用戶需要對(duì)客體設(shè)置一個(gè)擁有者，并使其成為唯一有權(quán)訪問(wèn)該客體訪問(wèn)控制表的主體，確保了受保護(hù)客體訪問(wèn)控制表控制權(quán)的唯一性，有效規(guī)避由于系統(tǒng)管理員信息泄露而給系統(tǒng)帶來(lái)的巨大危害，同時(shí)也限制了病毒對(duì)系統(tǒng)的破壞行為，幫助用戶提升防病毒、防黑客攻擊的能力。

令人欣喜的是，目前國(guó)內(nèi)已經(jīng)出現(xiàn)了一些滿足等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求的安全產(chǎn)品，可以相信，隨著安全技術(shù)的持續(xù)進(jìn)步和用戶安全意識(shí)的不斷增強(qiáng)，操作系統(tǒng)將會(huì)在面對(duì)病毒、木馬及黑客攻擊時(shí)扭轉(zhuǎn)不利局面，為整體信息系統(tǒng)的安全運(yùn)行提供可靠支撐。