◆李墨泚 趙華容 陳宇飛

操作系統(tǒng)、網(wǎng)絡(luò)體系與服務(wù)器技術(shù)

基于可信計(jì)算的操作系統(tǒng)加固技術(shù)研究

◆李墨泚 趙華容 陳宇飛

（海軍參謀部 北京 100841）

可信計(jì)算是當(dāng)前信息安全領(lǐng)域的一個(gè)全新課題，它為計(jì)算機(jī)系統(tǒng)的信息安全提供主動(dòng)防御的解決方案。本文以可信計(jì)算技術(shù)的基本概念為基礎(chǔ)，介紹了可信計(jì)算在操作系統(tǒng)安全加固領(lǐng)域的研究情況，通過(guò)對(duì)當(dāng)前信息系統(tǒng)存在的安全漏洞分析，對(duì)安全加固方案進(jìn)行研究，實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)的安全。

可信計(jì)算；可信計(jì)算基；操作系統(tǒng)加固；可信度量

當(dāng)前，隨著計(jì)算機(jī)的發(fā)展及互聯(lián)網(wǎng)的普遍應(yīng)用，信息安全、網(wǎng)絡(luò)安全和個(gè)人計(jì)算機(jī)安全已經(jīng)成為一個(gè)迫切需要解決的問(wèn)題。而當(dāng)前大部分信息安全系統(tǒng)主要是由防火墻、入侵監(jiān)測(cè)和病毒防范等系統(tǒng)組成，屬于被動(dòng)防御手段，惡意用戶的攻擊手段越來(lái)越高明導(dǎo)致這種系統(tǒng)的使用效率大大降低，尤其是在對(duì)信息安全要求很高的軍用領(lǐng)域，這種傳統(tǒng)防護(hù)手段已經(jīng)不能從根本上解決信息安全問(wèn)題了。由信息和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)構(gòu)成的信息系統(tǒng)中，最薄弱、易受攻擊、而保護(hù)力度又相對(duì)缺乏的就是對(duì)計(jì)算機(jī)系統(tǒng)的保護(hù)。計(jì)算機(jī)系統(tǒng)是信息系統(tǒng)中敏感信息的直接載體，也是各類應(yīng)用運(yùn)行的平臺(tái)，因此對(duì)計(jì)算機(jī)系統(tǒng)的保護(hù)是保證整個(gè)信息系統(tǒng)安全的基礎(chǔ)，而對(duì)計(jì)算機(jī)操作系統(tǒng)安全保障又是保證計(jì)算機(jī)系統(tǒng)安全的核心所在。

因此引入可信計(jì)算技術(shù)，它是當(dāng)前計(jì)算機(jī)信息安全領(lǐng)域的一個(gè)全新課題，與傳統(tǒng)的防火墻等被動(dòng)防御手段不同，其核心思想是采取主動(dòng)防御措施，從硬件平臺(tái)和操作系統(tǒng)建立信任源點(diǎn)，利用密碼機(jī)制建立信任鏈，從而提高整個(gè)系統(tǒng)的安全性。

本文從可信計(jì)算技術(shù)的基本概念開(kāi)始，分析目前主流操作系統(tǒng)面臨的主要威脅和漏洞，結(jié)合可信計(jì)算技術(shù)，對(duì)操作系統(tǒng)的加固技術(shù)做了研究。

1 可信計(jì)算技術(shù)

1.1 可信計(jì)算技術(shù)概述

可信計(jì)算技術(shù)是解決當(dāng)前計(jì)算機(jī)系統(tǒng)的安全問(wèn)題的最佳方案?？尚庞?jì)算是指計(jì)算運(yùn)算的同時(shí)進(jìn)行安全防護(hù)，使操作和過(guò)程行為在任意條件下，其結(jié)果總是與預(yù)期一樣，計(jì)算全程可測(cè)可控，不被干擾。

為了實(shí)現(xiàn)這一目的，人們陸續(xù)提出了在應(yīng)用程序?qū)印⒉僮飨到y(tǒng)層、硬件層來(lái)實(shí)現(xiàn)可信計(jì)算基，而目前最為權(quán)威的概念是以硬件平臺(tái)為基礎(chǔ)，包含可信BIOS程序、可信操作系統(tǒng)及可信應(yīng)用層組件等綜合的體系，稱之為可信計(jì)算平臺(tái)。

可信計(jì)算平臺(tái)包含一個(gè)完整的體系，其基礎(chǔ)是在計(jì)算機(jī)的硬件平臺(tái)上引入可信模塊硬件，即可信密碼模塊TCM，該模塊內(nèi)部運(yùn)行密碼算法，是計(jì)算機(jī)系統(tǒng)的信任源點(diǎn)，利用密碼機(jī)制建立信任鏈，構(gòu)建可信賴的計(jì)算環(huán)境，而從提高系統(tǒng)的安全性。

1.2 引入可信計(jì)算的必要性

為了從根本上解決目前計(jì)算機(jī)系統(tǒng)存在的基礎(chǔ)安全缺陷，必須以密碼為基礎(chǔ)，采用可信計(jì)算技術(shù)，對(duì)計(jì)算機(jī)軟、硬件體系結(jié)構(gòu)進(jìn)行全面改造，在PC終端硬件平臺(tái)上引入具有自身保護(hù)能力和密碼運(yùn)算功能的硬件部件（可信密碼模塊），以可信密碼模塊作為平臺(tái)安全保密的核心（可信根），對(duì)系統(tǒng)軟件進(jìn)行可信安全增強(qiáng)，構(gòu)造可信計(jì)算密碼平臺(tái)，解決PC終端存在的基礎(chǔ)性安全缺陷問(wèn)題，從而為軍事信息系統(tǒng)建立牢固可靠的安全運(yùn)行基礎(chǔ)環(huán)境，為從根本上解決當(dāng)前軍事信息系統(tǒng)存在的安全保密問(wèn)題奠定基礎(chǔ)。

可信計(jì)算不是一個(gè)孤立的個(gè)體，它是由計(jì)算機(jī)軟、硬件體系共同構(gòu)成的一個(gè)整體，其概念是以可信硬件平臺(tái)為基礎(chǔ)，包含可信密碼模塊、可信操作系統(tǒng)、可信應(yīng)用程序等綜合的體系。它與傳統(tǒng)的防火墻、病毒防護(hù)工具等被動(dòng)防御手段不同，可信計(jì)算強(qiáng)調(diào)的是主動(dòng)防御，即在硬件平臺(tái)上增加專用的可信密碼模塊作為可信根，通過(guò)用戶身份認(rèn)證、平臺(tái)軟硬件配置完整性驗(yàn)證、應(yīng)用程序的完整性度量與驗(yàn)證、數(shù)據(jù)的安全保護(hù)等手段，實(shí)現(xiàn)平臺(tái)上數(shù)據(jù)及程序代碼的機(jī)密性、受保護(hù)性，防止病毒惡意代碼攻擊、保證用戶的機(jī)密信息不被竊取、保障數(shù)據(jù)和系統(tǒng)不被非法破壞，從而構(gòu)建安全可信賴的計(jì)算環(huán)境?？尚庞?jì)算框架如圖1所示。

圖1 可信計(jì)算架構(gòu)

綜上所述，可信計(jì)算技術(shù)已成為信息安全領(lǐng)域的發(fā)展要?jiǎng)?wù)，同時(shí)也是業(yè)界公認(rèn)的信息安全技術(shù)手段，可信計(jì)算機(jī)技術(shù)的應(yīng)用將從硬件結(jié)構(gòu)上為計(jì)算平臺(tái)構(gòu)建免疫系統(tǒng)，將根本性解決目前的安全難題，對(duì)全面提高我國(guó)計(jì)算機(jī)系統(tǒng)的安全防護(hù)水平具有重要的意義。

2 當(dāng)前信息系統(tǒng)面臨威脅分析

當(dāng)前信息系統(tǒng)面臨安全威脅主要是由于邊界類安全產(chǎn)品的安全機(jī)制容易被惡意攻擊者通過(guò)某些技術(shù)手段旁路，并且也無(wú)法防御新型攻擊和來(lái)自局域網(wǎng)內(nèi)部攻擊的安全威脅。

2.1 操作系統(tǒng)自身安全漏洞問(wèn)題

目前主流的辦公操作系統(tǒng)（如Windows、Linux等）存在較多安全漏洞，以微軟的windows系統(tǒng)為例，僅在2009年一年，微軟公司就發(fā)布了72個(gè)補(bǔ)丁修復(fù)了近190個(gè)安全漏洞。而其中很多漏洞會(huì)被黑客利用，成為黑客攻擊的目標(biāo)或跳板。傳統(tǒng)的安全工具都是通過(guò)打補(bǔ)丁的方式對(duì)操作系統(tǒng)漏洞進(jìn)行修復(fù)，但是這種事后補(bǔ)救的方式存在著較大的安全隱患，往往在補(bǔ)丁沒(méi)有發(fā)布之前，黑客就已經(jīng)利用這些漏洞對(duì)計(jì)算機(jī)系統(tǒng)造成極大的破壞。

2.2 操作系統(tǒng)完整性破壞

操作系統(tǒng)完整性破壞是當(dāng)前計(jì)算機(jī)系統(tǒng)面臨的主要安全威脅。現(xiàn)有操作系統(tǒng)，從開(kāi)機(jī)啟動(dòng)到運(yùn)行服務(wù)過(guò)程中，對(duì)執(zhí)行代碼不做任何完整性檢查，導(dǎo)致病毒、木馬程序可以嵌入到執(zhí)行代碼程序或者直接替換原有程序，實(shí)現(xiàn)病毒、木馬等惡意代碼的傳播。這些惡意代碼一旦被激活，就會(huì)繼承當(dāng)前用戶的權(quán)限，從而肆無(wú)忌憚地進(jìn)行傳播，為所欲為地破壞操作系統(tǒng)的完整性，例如在管理員毫不知情的情況下修改或刪除計(jì)算機(jī)系統(tǒng)中的重要信息，導(dǎo)致操作系統(tǒng)無(wú)法正常運(yùn)作等。

雖然用戶往往在計(jì)算機(jī)系統(tǒng)上部署了病毒查殺類產(chǎn)品，但是目前的病毒查殺類產(chǎn)品都是采用病毒庫(kù)的方式，因此只能防范已知的病毒、木馬、攻擊程序等惡意代碼，對(duì)于新型的、未知的病毒、木馬、攻擊程序等惡意代碼是無(wú)能為力的，這種被動(dòng)防御的方式帶來(lái)的安全滯后性問(wèn)題將嚴(yán)重威脅計(jì)算機(jī)系統(tǒng)的安全。

2.3 重要資源泄密的安全威脅

傳統(tǒng)的操作系統(tǒng)在對(duì)重要文件的訪問(wèn)時(shí)沒(méi)有進(jìn)行嚴(yán)格的控制，一旦這些重要的資料泄漏會(huì)帶來(lái)極其嚴(yán)重的影響，甚至威脅國(guó)家安全或企業(yè)利益。

局域網(wǎng)內(nèi)部針對(duì)計(jì)算機(jī)系統(tǒng)的訪問(wèn)行為一般是通過(guò)傳統(tǒng)的操作系統(tǒng)的口令認(rèn)證方式實(shí)現(xiàn)，這種安全機(jī)制很容易被內(nèi)部惡意用戶利用提權(quán)、密碼攻擊等方式破解，所以往往無(wú)法防止來(lái)自內(nèi)部的非授權(quán)訪問(wèn)問(wèn)題，這種非授權(quán)訪問(wèn)帶來(lái)的主要威脅是通過(guò)內(nèi)部網(wǎng)絡(luò)竊取重要資源和機(jī)密文件、植入病毒木馬等惡意代碼威脅局域網(wǎng)安全。

2.4 數(shù)據(jù)完整性破壞

數(shù)據(jù)完整性面臨的威脅主要指計(jì)算機(jī)系統(tǒng)中的重要數(shù)據(jù)在存儲(chǔ)期間被惡意篡改，使得重要數(shù)據(jù)失去了原有的真實(shí)性，從而變得不可用或造成廣泛的負(fù)面影響，惡意用戶可以通過(guò)網(wǎng)絡(luò)或其他方式對(duì)沒(méi)有采取安全措施的計(jì)算機(jī)系統(tǒng)上存放的重要數(shù)據(jù)進(jìn)行修改或傳達(dá)一些虛假信息，從而影響工作的正常進(jìn)行。

2.5 沒(méi)有足夠強(qiáng)度身份驗(yàn)證的安全威脅

目前計(jì)算機(jī)系統(tǒng)普遍存在的問(wèn)題就是管理員身份單一，致使管理員權(quán)限過(guò)大，這樣會(huì)對(duì)計(jì)算機(jī)系統(tǒng)帶來(lái)一定的安全隱患。并且出于業(yè)務(wù)操作和運(yùn)行維護(hù)的需要，計(jì)算機(jī)系統(tǒng)經(jīng)常是混用的，即多人可對(duì)同一臺(tái)計(jì)算機(jī)進(jìn)行操作。而操作系統(tǒng)本身只提供用戶名/口令認(rèn)證方式，因此多人不得不共用計(jì)算機(jī)系統(tǒng)賬戶和口令，這樣就造成計(jì)算機(jī)系統(tǒng)用戶身份鑒別不明，難以根據(jù)用戶的身份和角色分配權(quán)限，無(wú)法進(jìn)行嚴(yán)格地訪問(wèn)控制，容易產(chǎn)生誤操作；也不能根據(jù)用戶身份進(jìn)行行為審計(jì)，無(wú)法實(shí)現(xiàn)事后追查。另外，單純的用戶名/口令認(rèn)證方式容易受到字典攻擊等攻擊方式，導(dǎo)致黑客獲取口令執(zhí)行惡意操作。

2.6 沒(méi)有可執(zhí)行程序控制帶來(lái)的安全威脅

操作系統(tǒng)自身有很多的可執(zhí)行程序，當(dāng)這些可執(zhí)行程序執(zhí)行或修改的時(shí)候，操作系統(tǒng)對(duì)其執(zhí)行或修改行為沒(méi)有嚴(yán)格的控制手段，無(wú)法驗(yàn)證其是否是安全的操作行為，是否會(huì)給計(jì)算機(jī)系統(tǒng)的安全帶來(lái)威脅；計(jì)算機(jī)系統(tǒng)上還會(huì)安裝支撐服務(wù)的軟件，這些軟件本身存在諸多漏洞會(huì)增加計(jì)算機(jī)系統(tǒng)的風(fēng)險(xiǎn)，對(duì)于這些軟件的執(zhí)行或修改的操作行為無(wú)法進(jìn)行安全驗(yàn)證。攻擊手段如下：

（1）惡意程序攻擊

向計(jì)算機(jī)系統(tǒng)植入未知的病毒、木馬、竊取軟件等惡意代碼躲避殺毒軟件的查殺，他們將破壞計(jì)算機(jī)的操作系統(tǒng)及應(yīng)用服務(wù)系統(tǒng)，盜取用戶機(jī)密信息，感染操作系統(tǒng)的可執(zhí)行程序使操作系統(tǒng)無(wú)法正常使用，向訪問(wèn)該計(jì)算機(jī)系統(tǒng)的終端傳播病毒造成更嚴(yán)重的破壞。

（2）安裝不安全軟件

由于操作系統(tǒng)本身不會(huì)對(duì)安裝軟件等行為的安全性進(jìn)行驗(yàn)證，計(jì)算機(jī)系統(tǒng)用戶在未授權(quán)的情況下，可以在計(jì)算機(jī)系統(tǒng)安裝任何的軟件，一些帶有漏洞甚至本身就不安全的軟件有可能被安裝在計(jì)算機(jī)系統(tǒng)上，威脅計(jì)算機(jī)系統(tǒng)的安全。

2.7 接入移動(dòng)存儲(chǔ)設(shè)備的安全威脅

計(jì)算機(jī)系統(tǒng)對(duì)于接入的移動(dòng)存儲(chǔ)設(shè)備（U盤等）沒(méi)有進(jìn)行安全認(rèn)證，會(huì)給其帶來(lái)安全威脅。攻擊手段如下：

（1）竊取重要資源

由于對(duì)接入的移動(dòng)存儲(chǔ)設(shè)備缺乏認(rèn)證，內(nèi)部的惡意用戶可以通過(guò)接入移動(dòng)存儲(chǔ)設(shè)備的方式竊取重要的資源和機(jī)密文件。

（2）植入惡意代碼

內(nèi)部惡意用戶還能夠通過(guò)移動(dòng)存儲(chǔ)設(shè)備向計(jì)算機(jī)系統(tǒng)植入新型的病毒、木馬等惡意代碼，使服務(wù)器和終端無(wú)法正常工作，通過(guò)移動(dòng)存儲(chǔ)設(shè)備竊取重要的資源和機(jī)密文件。

2.8 缺乏統(tǒng)一的計(jì)算機(jī)系統(tǒng)管理

目前大多數(shù)計(jì)算機(jī)系統(tǒng)仍采用單機(jī)管理模式，即計(jì)算機(jī)系統(tǒng)管理員對(duì)每一臺(tái)計(jì)算機(jī)系統(tǒng)單獨(dú)進(jìn)行管理維護(hù)，這樣的管理模式會(huì)存在一定的安全滯后性。計(jì)算機(jī)系統(tǒng)要實(shí)現(xiàn)真正有效的安全管理，必須能實(shí)現(xiàn)對(duì)所有計(jì)算機(jī)系統(tǒng)的統(tǒng)一集中管理、統(tǒng)一安全策略下發(fā)，以及安全事件的統(tǒng)一監(jiān)控和協(xié)同處理，才有可能構(gòu)建健康的計(jì)算機(jī)系統(tǒng)安全管理體系。

3 計(jì)算機(jī)系統(tǒng)安全加固解決方案

3.1 整體架構(gòu)

在對(duì)當(dāng)前計(jì)算機(jī)系統(tǒng)安全情況和面臨的威脅調(diào)研分析后，我們提出以先進(jìn)的可信計(jì)算技術(shù)為基礎(chǔ)，以有效的訪問(wèn)控制為核心，操作系統(tǒng)安全支持應(yīng)用系統(tǒng)安全，構(gòu)造完整可信的信息安全立體防護(hù)體系的設(shè)計(jì)思路，實(shí)現(xiàn)“防失竊密”、“防系統(tǒng)破壞”、“確保系統(tǒng)可用”的安全目標(biāo)?？傮w設(shè)計(jì)思路如圖2所示。

在安全管理平臺(tái)的統(tǒng)一管控下，通過(guò)基于“白名單”的主動(dòng)防御機(jī)制，從操作系統(tǒng)層出發(fā)，對(duì)全部執(zhí)行程序進(jìn)行“預(yù)期式”控制。該解決方案在提升了計(jì)算機(jī)系統(tǒng)終端用戶的抗攻擊能力、達(dá)到安全防御手段自主可控、形成由操作系統(tǒng)底層對(duì)應(yīng)用及數(shù)據(jù)安全的基礎(chǔ)支撐、體現(xiàn)了技術(shù)與管理相結(jié)合的特點(diǎn)等眾多基礎(chǔ)上，全面保護(hù)了服務(wù)器和終端上數(shù)據(jù)的機(jī)密性和完整性以及系統(tǒng)的可用性，構(gòu)建了計(jì)算機(jī)系統(tǒng)安全保護(hù)的堅(jiān)固堡壘。

圖2 計(jì)算機(jī)系統(tǒng)安全加固方案

本方案的核心內(nèi)容可以總結(jié)為主動(dòng)防御機(jī)制、操作系統(tǒng)層保護(hù)機(jī)制和三權(quán)分立的管理機(jī)制：

（1）主動(dòng)防御機(jī)制

通過(guò)對(duì)可執(zhí)行程序的有效控制，使系統(tǒng)具備主動(dòng)防御的能力，達(dá)到防御未知病毒、未知威脅的目的。所謂“主動(dòng)防御”其實(shí)是針對(duì)傳統(tǒng)的“特征值掃描技術(shù)”而言。如果說(shuō)傳統(tǒng)的“特征值掃描技術(shù)”是通過(guò)建立黑名單實(shí)現(xiàn)對(duì)病毒、惡意代碼等的過(guò)濾和查殺，那么，主動(dòng)防御機(jī)制就是建立可信程序的“白名單”，只有“白名單”中的程序才能夠運(yùn)行，這樣，任何新型病毒、新型惡意代碼都會(huì)因?yàn)椴辉凇鞍酌麊巍敝隙鵁o(wú)法運(yùn)行，從而能夠?qū)崿F(xiàn)對(duì)未知病毒、木馬、惡意代碼等的有效防御。

主動(dòng)防御技術(shù)比較好的彌補(bǔ)了傳統(tǒng)殺毒軟件采用“特征碼查殺”和“監(jiān)控”相對(duì)滯后的技術(shù)弱點(diǎn)，同時(shí)規(guī)避了補(bǔ)丁內(nèi)容不可預(yù)知性的缺陷，可以在病毒發(fā)作之前進(jìn)行主動(dòng)而有效的全面防范，從技術(shù)層面上有效遏制了未知病毒的爆發(fā)與擴(kuò)散。

（2）操作系統(tǒng)層保護(hù)機(jī)制

從操作系統(tǒng)層面的保護(hù)出發(fā)，利用文件過(guò)濾驅(qū)動(dòng)技術(shù)，進(jìn)行執(zhí)行程序可信度量和訪問(wèn)行為的控制，構(gòu)筑系統(tǒng)底層的加固機(jī)制，同時(shí)形成對(duì)上層應(yīng)用和數(shù)據(jù)的安全支撐。

執(zhí)行程序可信度量可以確保系統(tǒng)中的執(zhí)行程序免受非授權(quán)修改，從而保護(hù)其完整性。用來(lái)保證系統(tǒng)所啟動(dòng)的進(jìn)程都是可信的。計(jì)算機(jī)系統(tǒng)上的執(zhí)行程序經(jīng)過(guò)安全管理員的安全性檢查后，其正常啟動(dòng)所依賴相關(guān)模塊的摘要值被記錄在系統(tǒng)策略文件中，由安全管理平臺(tái)統(tǒng)一管理與分發(fā)。執(zhí)行程序啟動(dòng)前，系統(tǒng)會(huì)度量該程序相關(guān)模塊的完整性，只有在度量結(jié)果和預(yù)存值一致的前提下，該程序才被認(rèn)為是可信的，從而允許啟動(dòng)，否則拒絕其執(zhí)行。因此即使系統(tǒng)中的某一執(zhí)行程序被惡意修改，由于其不再可信，系統(tǒng)將禁止其執(zhí)行，從而阻止了惡意行為繼續(xù)傳播和破壞，降低了系統(tǒng)完整性被破壞的風(fēng)險(xiǎn)。訪問(wèn)行為的控制機(jī)制通過(guò)安全策略限制執(zhí)行程序的權(quán)限，使其只擁有完成任務(wù)的最小權(quán)限，防止非法訪問(wèn)行為的發(fā)生，即使系統(tǒng)被惡意腳本入侵，其破壞范圍也是有限的，無(wú)法波及整個(gè)系統(tǒng)，保證了數(shù)據(jù)的機(jī)密性，應(yīng)用的完整性，同時(shí)也形成了對(duì)應(yīng)用安全的有力支撐。

（3）三權(quán)分立的管理機(jī)制

通過(guò)建立安全管理平臺(tái)，制定并強(qiáng)制服務(wù)器和被保護(hù)的安全終端執(zhí)行統(tǒng)一的系統(tǒng)安全策略，確保計(jì)算機(jī)系統(tǒng)的運(yùn)行狀態(tài)始終可控、可管，從而建立基于可信計(jì)算技術(shù)的安全應(yīng)用環(huán)境，使得系統(tǒng)中的不同用戶相互監(jiān)督、相互制約，每個(gè)用戶各司其職，共同保障信息系統(tǒng)的安全。

3.2 部署實(shí)施計(jì)劃

在具體設(shè)計(jì)時(shí)，計(jì)算機(jī)系統(tǒng)安全加固將重點(diǎn)圍繞“一個(gè)中心，兩個(gè)基本點(diǎn)”的思路加以展開(kāi)?！耙粋€(gè)中心”即安全管理平臺(tái)，“兩個(gè)基本點(diǎn)”包括用戶身份認(rèn)證的安全性增強(qiáng)，以及操作系統(tǒng)內(nèi)核的安全性增強(qiáng)。安全管理平臺(tái)負(fù)責(zé)給用戶下發(fā)身份認(rèn)證信息，確保用戶身份的安全可信；同時(shí)，安全管理平臺(tái)還負(fù)責(zé)向所有安全終端的操作系統(tǒng)內(nèi)核，下發(fā)統(tǒng)一的安全策略，實(shí)現(xiàn)內(nèi)核級(jí)的訪問(wèn)控制，如圖3。

圖3 可信計(jì)算機(jī)系統(tǒng)安全部署總體架構(gòu)

圍繞總體設(shè)計(jì)思路，為所有的安全終端部署可信軟件基系統(tǒng)，該系統(tǒng)由三部分組成：可信安全管理平臺(tái)（簡(jiǎn)稱“安全管理平臺(tái)”）、可信軟件基軟件和可信密碼模塊USB－KEY。安全管理平臺(tái)是核心，各終端和服務(wù)器在安全管理平臺(tái)的支撐下，接受安全管理員的統(tǒng)一管理，以實(shí)現(xiàn)各終端的運(yùn)行狀態(tài)始終可控、可管。

在現(xiàn)有服務(wù)器和終端硬件平臺(tái)上，增加一個(gè)硬件模塊USB-KEY，作為系統(tǒng)的信任根以及用戶身份的唯一標(biāo)識(shí)；在每臺(tái)終端操作系統(tǒng)內(nèi)核層，安裝安全代理，執(zhí)行安全策略。

圖4 計(jì)算機(jī)系統(tǒng)安全加固整體部署

3.3 技術(shù)特色

（1）結(jié)合可信計(jì)算技術(shù)

基于可信計(jì)算機(jī)技術(shù)，在操作系統(tǒng)底層建立一個(gè)信任根，從信任根開(kāi)始到硬件平臺(tái)，再到應(yīng)用進(jìn)程、文件等，一級(jí)認(rèn)證一級(jí)，一級(jí)信任一級(jí)，建立一條信任鏈，從而把這種信任擴(kuò)展到整個(gè)計(jì)算機(jī)系統(tǒng)，提高計(jì)算機(jī)系統(tǒng)的安全性。

（2）強(qiáng)制訪問(wèn)控制技術(shù)

在原有操作系統(tǒng)自主訪問(wèn)控制基礎(chǔ)上，研發(fā)基于BLP模型與BIBA模型相結(jié)合的強(qiáng)制訪問(wèn)控制模型，通過(guò)對(duì)重要主體及客體的安全標(biāo)記，控制主體對(duì)于客體的訪問(wèn)權(quán)限，實(shí)施強(qiáng)制訪問(wèn)控制，嚴(yán)格控制用戶行為。保證用戶任何行為都在安全策略的支撐下，使得用戶登錄計(jì)算機(jī)系統(tǒng)后，其權(quán)限受到安全策略的嚴(yán)格限制，不能為所欲為。

（3）主動(dòng)防御技術(shù)

采用主動(dòng)防御技術(shù)，當(dāng)有惡意代碼啟動(dòng)時(shí)進(jìn)行有效的攔截并進(jìn)行審計(jì)，從中了解黑客意圖、手段，通過(guò)對(duì)啟動(dòng)程序進(jìn)行分析取證找到破壞的根源，以保證計(jì)算機(jī)系統(tǒng)的操作系統(tǒng)安全，將惡意事件控制在源頭。

（4）內(nèi)核級(jí)安全加固技術(shù)

計(jì)算機(jī)系統(tǒng)的安全加固工作建立于操作系統(tǒng)內(nèi)核層，既能準(zhǔn)確全面的截獲應(yīng)用層的訪問(wèn)請(qǐng)求，又降低了系統(tǒng)安全機(jī)制被旁路的危險(xiǎn)，這也為系統(tǒng)的安全模塊自我保護(hù)、防卸載等構(gòu)筑了堅(jiān)固的防線。

4 實(shí)施后可實(shí)現(xiàn)的效果

4.1 構(gòu)建業(yè)務(wù)系統(tǒng)源于底層安全環(huán)境，抵御各種入侵行為

通過(guò)對(duì)計(jì)算機(jī)系統(tǒng)的操作系統(tǒng)進(jìn)行安全加固，從系統(tǒng)底層為出發(fā)點(diǎn)，以可信計(jì)算技術(shù)為基礎(chǔ)、訪問(wèn)控制為核心，保證計(jì)算機(jī)系統(tǒng)的安全，形成嚴(yán)密的安全保護(hù)環(huán)境，抵御病毒木馬等惡意代碼的入侵行為。

4.2 以技術(shù)手段輔助管理，防止內(nèi)部人員的非法訪問(wèn)

通過(guò)對(duì)用戶行為的控制，有效防止非授權(quán)用戶訪問(wèn)和授權(quán)用戶的越權(quán)訪問(wèn)行為的發(fā)生，確保信息和信息系統(tǒng)的機(jī)密性和完整性，從而為應(yīng)用系統(tǒng)的正常運(yùn)行和免遭惡意破壞提供支撐和保障。

4.3 彌補(bǔ)常規(guī)防護(hù)手段的不足，提高整體防御力

通過(guò)對(duì)操作系統(tǒng)本身的安全加固，打造計(jì)算機(jī)系統(tǒng)本身的免疫系統(tǒng)?？梢杂行б?guī)避因打補(bǔ)丁給計(jì)算機(jī)系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)，切斷黑客的攻擊途徑。同時(shí)，本方案通過(guò)主動(dòng)防御和防網(wǎng)絡(luò)攻擊等功能彌補(bǔ)了傳統(tǒng)安全產(chǎn)品的不足，避免出現(xiàn)信息安全的短板效應(yīng)，提高了系統(tǒng)的整體防御能力。

4.4 構(gòu)建統(tǒng)一安全管理平臺(tái)，集中管控全部計(jì)算機(jī)系統(tǒng)

通過(guò)構(gòu)建統(tǒng)一安全管理平臺(tái)，對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的計(jì)算機(jī)系統(tǒng)統(tǒng)一管理、集中控制，保證各項(xiàng)安全機(jī)制的高度協(xié)調(diào)統(tǒng)一。消除各個(gè)計(jì)算機(jī)系統(tǒng)由于配置不同造成的安全隱患，最終構(gòu)建一道針對(duì)整個(gè)計(jì)算機(jī)系統(tǒng)的整體安全防線，有效保護(hù)計(jì)算機(jī)系統(tǒng)中的信息安全。

5 結(jié)束語(yǔ)

可信計(jì)算是當(dāng)前信息安全領(lǐng)域的一個(gè)全新課題，它為計(jì)算機(jī)系統(tǒng)的信息安全提供主動(dòng)防御的解決方案。本文詳細(xì)闡述了可信計(jì)算技術(shù)的基本概念和原理，并以基于可信計(jì)算技術(shù)的，運(yùn)用USB-Key可信模塊的計(jì)算機(jī)系統(tǒng)為平臺(tái)，對(duì)計(jì)算機(jī)操作系統(tǒng)安全增強(qiáng)做了全面的研究，闡述了詳細(xì)的解決方案，并對(duì)實(shí)施效果進(jìn)行了分析。

[1]S.W Smith（馮登國(guó)等翻譯）.可信計(jì)算平臺(tái)：設(shè)計(jì)與應(yīng)用[M].清華大學(xué)出版社，2006.

[2]胡錚.網(wǎng)絡(luò)與信息安全[M].清華大學(xué)出版社，2006.

[3]蔡勉，衛(wèi)宏儒.信息系統(tǒng)安全理論與技術(shù)[M].北京工業(yè)大學(xué)出版社，2006.

[4]張常有.網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M].電子科技大學(xué)出版社，2006.

[5]張煥國(guó)，羅捷，金剛，朱智強(qiáng).可信計(jì)算機(jī)技術(shù)與應(yīng)用綜述[J].武漢大學(xué)學(xué)報(bào)，2006.