張春光，李祉岐，吳　舜，來　驥，江　浩ZHANG Chun-guang，　LI Qi-qi，　WU Shun，　LAI Ji，　JIANG Hao（.北京國電通網絡技術有限公司，北京00070；.國網冀北電力有限公司信息通信分公司，北京 0005；.國網荊州供電公司，荊州 44007）

基于Linux的電力辦公桌面操作系統(tǒng)安全性研究

張春光1，李祉岐1，吳舜2，來驥2，江浩3
ZHANG Chun-guang1，LI Qi-qi1，WU Shun2，LAI Ji2，JIANG Hao3
（1.北京國電通網絡技術有限公司，北京100070；2.國網冀北電力有限公司信息通信分公司，北京 100053；3.國網荊州供電公司，荊州 434007）

電力辦公桌面操作系統(tǒng)基于開源社區(qū)穩(wěn)定Linux內核進行國產化定制開發(fā)。重點分析了Linux操作系統(tǒng)自身安全架構存在的安全隱患，并結合電力辦公桌面操作系統(tǒng)的業(yè)務特點，對電力辦公桌面操作系統(tǒng)的安全模塊進行了設計，完成了系統(tǒng)安全加固，極大的提高了電力辦公桌面操作系統(tǒng)的安全性。

操作系統(tǒng)；安全性；訪問控制

0　引言

近年來，Windows XP停止了官方服務，操作系統(tǒng)的安全性受到一定的威脅，同時，“棱鏡門”、斯諾登等安全事件的不斷發(fā)生，給我們敲響了信息安全的警鐘，企業(yè)信息安全和網絡安全越來越引起人們的關注。

在國家自主可控戰(zhàn)略的指導下，基于開源社區(qū)穩(wěn)定Linux內核開發(fā)的國產操作系統(tǒng)迎來了快速發(fā)展的機遇，由于國產操作系統(tǒng)涉及政府、國防、能源、金融等關系國計民生、國家安全等領域，如何保障國產操作系統(tǒng)的應用安全成為大家關注的焦點問題。

1　Linux的安全隱患

Linux操作系統(tǒng)作為一種類似UINX的系統(tǒng)，在開放、自由思想的指導下，全世界成千上萬的IT精英參與到系統(tǒng)的安全性開發(fā)中，安全性得到很大程度的保障。但大規(guī)模應用在政府、金融、能源電力等關系民生國計的行業(yè)時，其安全性仍然存在一定局限性，面臨著很大的安全挑戰(zhàn)。主要體現(xiàn)在以下四方面：

1）超級用戶root擁有特權，其權限過大

root超級用戶在DAC（Discretionary Access Control）中不受任何限制，一旦獲得超級管理員root的權限，便可完全控制計算機，因此操作系統(tǒng)對抵御外界攻擊超級管理員root的要求異常苛刻，如若該權限被竊取，則系統(tǒng)便被曝露在任人宰割的危險之下。

2）緩沖區(qū)溢出

在部分程序內，時常會缺少對預留緩沖區(qū)的邊界檢測，如果執(zhí)行程序一旦發(fā)生緩沖區(qū)越界，就會產生錯誤操作，導致程序運行紊亂。通常情形下，系統(tǒng)堆棧參數會發(fā)生重置，函數的返回地址被修改，因而跳轉至錯誤代碼或程序安全控制代碼，例如權限分配。

3）掃描工具

掃描工具，作為系統(tǒng)安全漏洞檢測工具，可根據用戶需求對系統(tǒng)進行定期或非定期掃描以檢測主機安全。掃描工具自身不具有攻擊性，但當其被配置為惡意攻擊腳本自動攻擊系統(tǒng)時，就會產生危害。為避免因掃描工具帶來的威脅導致的系統(tǒng)崩潰，需要系統(tǒng)對日志文件中的端口掃描記錄進行監(jiān)查。

4）拒絕服務性攻擊

在迅猛發(fā)展的網絡時代背景下，拒絕服務性攻擊愈發(fā)常態(tài)化。例如smurf，在多路廣播網絡中，通過向主機發(fā)送含有非真實源地址的大量ICMP數據包，引發(fā)主機響應每一個數據包，導致系統(tǒng)忙于應付，直至癱瘓。一般情況下，拒絕服務性攻擊是由普通網絡用戶竊入高速網絡的主機，強制安裝工具，從主機發(fā)動攻擊。

2　電力操作系統(tǒng)安全設計

基于LINUX系統(tǒng)較成熟的SELinux安全子系統(tǒng)框架，綜合考慮電力辦公場景對桌面操作系統(tǒng)安全性的要求，對電力辦公桌面操作系統(tǒng)進行了安全模塊的設計，安全模塊以插件的模式通過SELinux安全子系統(tǒng)框架與內核對接交互，主體對客體的操作都經過安全策略模塊的決策通過后才能執(zhí)行，從而保證操作系統(tǒng)訪問控制的安全。

電力辦公桌面操作系統(tǒng)支持國際最新可信規(guī)范TPM2.0，支持TCM/TPCM可信芯片，在提供可信引導、可信啟動、可信運行，并在可信芯片的基礎上，實現(xiàn)可信鏈的建立以及動態(tài)擴展。電力辦公桌面操作系統(tǒng)不僅提供對進程的動態(tài)度量，還對系統(tǒng)文件完整性進行度量保護，實現(xiàn)可信芯片上層的可信功能。無論是在物理主機還是在虛擬化平臺上，都實現(xiàn)了信任鏈保證系統(tǒng)的安全。

系統(tǒng)采用可信grub引導、可信啟動、進程運行控制、基于TPM的虛擬智能卡登錄認證和基于TCM/TPM的安全保密箱等可信功能來緩解系統(tǒng)所受到的安全威脅，實現(xiàn)操作系統(tǒng)底座的安全，通過權限管理、訪問控制、數據加密、操作審計等多種技術確保操作系統(tǒng)的安全可靠。同時在實現(xiàn)電力辦公桌面操作系統(tǒng)的高安全性的同時，兼顧電力辦公桌面操作系統(tǒng)的易用性，提高系統(tǒng)的管理效率。

2.1可信引導

為保證操作系統(tǒng)在啟動之前的安全，系統(tǒng)以TCM芯片為信任根，構建了TCM→BIOS→MBR→OS Loader →Kernel→App完整的信任鏈，在信任擴展的過程中采用信用度量和報告機制，在系統(tǒng)引導啟動過程中對引導文件進行安全度量，阻止可疑的、不可信的本地配置啟動。

圖1　系統(tǒng)安全框架圖

2.2內核級可信功能

電力辦公桌面操作系統(tǒng)基于國產可信芯片，從不同的層面對系統(tǒng)內核、運行進程和相關文件進行安全可信度量，從內核層確保操作系統(tǒng)的安全可信。主要包括以下四點：

1）內核與應用層的可信接口；

2）內核的可信度量；

3）運行進程的可信度量；

4）特殊文件的可信度量。

圖2　內核可信計算架構圖

2.3上層應用可信功能

基于國產TCM芯片，電力辦公桌面操作系統(tǒng)能夠提供上層應用的可信功能，主要包括：登錄認證、存儲加密、文件簽名等可信功能。

2.4安全管理中心（SMC）

安全管理中心（SMC）是一種圖形化、集中式的技術框架，能夠統(tǒng)一管理和控制各類安全機制，有效平衡了系統(tǒng)的安全性和易用性。

安全管理中心（SMC），作為安全管理軟件，具有圖形化、集中式的特點，可通過遠程Web對系統(tǒng)進行集中式管理，包括以下五個子系統(tǒng)，分別為：系統(tǒng)管理、安全策略、認證與授權子、報表和審計。

安全管理中心（SMC），同時是一款全面的安全防護軟件，可對網絡安全服務提供良好的安全加固和防護。

3　增強的安全特性

3.1三權分立機制

超級用戶權限過大，給系統(tǒng)安全帶來了極大的威脅，為了提高系統(tǒng)的安全性，電力辦公桌面操作系統(tǒng)禁用超級用戶root，使用三個特權角色來取代超級用戶的方案。系統(tǒng)管理員（默認角色）、安全管理員和安全審計員，共三個角色，分享了超級用戶root權限，并相互監(jiān)督、相互制約，無論是在用戶登錄，還是系統(tǒng)運行期間進行身份切換時，在同一時刻特權用戶只能具備上述三個角色中的一種，而且每個角色都是獨立進行鑒別的，口令和雙因子認證也是根據角色來制定的，原來超級用戶所具有的權限一分為三，三者相互制約。

系統(tǒng)管理員（sysadm_r），負責系統(tǒng)維護管理；安全管理員（secadm_r），負責系統(tǒng)安全相關的管理和維護；安全審計員（auditadm_r），負責系統(tǒng)安全審計。其他用戶則默認分配一個普通用戶角色（user_r）。

3.2雙因子認證體系

用戶數字證書的頒發(fā)和管理是以標準格式的數字認證中心，安裝在安全載體Ukey內實現(xiàn)的。該證書可以理解為在計算機上使用的身份標識，也可以理解為是在計算機上的“身份證”。

在登錄時借助數字證書中數字簽名的功能，系統(tǒng)對該證書做一系列的檢查，驗證其有效性，并通過系統(tǒng)識別數字證書內容，完成特定系統(tǒng)用戶認證功能。

3.3進程最小權限管理

電力辦公桌面操作系統(tǒng)中每個運行的進程都有自己特定的域，各個域之間通過安全上下文來區(qū)分，而系統(tǒng)中所有客體資源也同樣被標記上安全上下文；系統(tǒng)通過存取向量在策略中對進程可執(zhí)行操作進行預設，程序按照系統(tǒng)賦予的最小運行權限完成所需的任務操作。

圖3　三權分立示意圖

3.4強制訪問控制

SELlinux系統(tǒng)作為Linux系統(tǒng)所下屬的一個子系統(tǒng)，具有強制訪問的功能，鑒于其功效，該系統(tǒng)構成了安全系統(tǒng)的重要組成部分。系統(tǒng)以數據機密性和數據完整性的信息隔離為基礎，采用三權分立方式進行管理，能夠有效抵御欺騙和試圖旁路安全機制的威脅，有效降低了惡意代碼和應用程序缺陷產生的危害。SELinux具有安全策略模型多樣化、策略變換靈活的特點，可以采用類型實施（TE）、基于角色的訪問控制（RBAC）和多級安全技術（MLS）等手段完成系統(tǒng)安全保障。

3.5數據加密存儲與保護

安全保密箱，能夠對私有數據進行安全、有效的保護。受保護數據以密文的形式存儲在磁盤上，用戶不用擔心非法入侵者通過直接讀磁盤等方式所實施的攻擊。密文被保存在一個容器中，容器可以是一個文件，也可以是任何合法的塊設備，如軟驅、硬盤分區(qū)等。通過把容器作為一個文件系統(tǒng)掛載到一個掛載點，便可以對容器中的內容進行存取、修改。其中，加密算法模塊為安全保密箱提供了數據加密服務。它包含了加密和解密，是一種獨立內核模式驅動程序。

3.6增強的安全審計

安全審計，主要采取事后追查的方式來維護系統(tǒng)的安全，因此其需要對任何與操作系統(tǒng)安全相關的操作進行記錄，以備系統(tǒng)安全問題發(fā)生時有效追查產生危害的責任人、時間、地點和過程細節(jié)。審計多為事后追責，無法有效杜絕安全問題發(fā)生，如何才能有效利用安全審計達到預防效果呢？以審計為基礎，融合主動防御措

圖4　安全審計結構圖

表1　電力辦公桌面操作系統(tǒng)和開源LINUX操作系統(tǒng)安全性對比說明

【】【】施，例如預警等，在危害發(fā)生前通知管理員或采取既定措施阻止危險操作。

重點審計的事件類型有：鑒別驗證機制（如登錄過程），對象引入用戶空間（如創(chuàng)建文件），客體的刪除和修改，特權用戶（系統(tǒng)管理員和安全管理員等）進行的管理操作。

電力辦公桌面操作系統(tǒng)可利用增強的安全審計子系統(tǒng)完成進程級安全審計，能夠對審計日志進行創(chuàng)建、維護和保護，避免遭到非法訪問、破壞和修改。

系統(tǒng)安全審計子系統(tǒng)體系結構如圖4所示。

4　結束語

伴隨計算機及網絡技術的日趨成熟和應用的日益普遍，計算機系統(tǒng)安全愈來愈受到大家矚目。計算機系統(tǒng)的意外損毀或遭受破壞，會對日常工作造成嚴重的影響，特別是國家企事業(yè)單位，將會因此產生難以估量的損失。強化計算機系統(tǒng)安全，是在信息化建設過程中不可忽視的一項重要工作。

電力辦公桌面操作系統(tǒng)在通用操作系統(tǒng)安全基礎上實現(xiàn)內核級安全增強和系統(tǒng)加固與優(yōu)化，一方面有效解決用戶的實際安全需求，另一方面也最大限度的保證了系統(tǒng)的易用性與兼容性。

［1］ 鳥哥，鳥哥的linux私房菜［M］.人民郵電出版社.

［2］ 劉海燕，王子強，邵立嵩安全分析檢測安全增強［J］.計算機工程與設計，2005，26（1）:100-103.

［3］ 楊登摹.基于Linux系統(tǒng)的安全分析與防范策略［J］.福建電腦，2009（05）.

［4］ 李遠征.操作系統(tǒng)訪問控制模型關鍵技術研究［J］.計算機工程與設計，2005，26（4）.

［5］ 夏世遠.基于Linux的安全操作系統(tǒng)的審計機制的研究與實現(xiàn)［D］.北京交通大學，2004.

The research on the security of electric power system based on Linux

TP316

A

1009-0134（2016）06-0117-04

2016-04-11

張春光（1978 -），男，遼寧丹東人，高級工程師，碩士，主要研究方向為電力信息系統(tǒng)。