訪問控制是信息安全防范和保護的主要策略,用于保證信息資源不被非法使用和訪問。訪問控制大致分為自主訪問控制和強制訪問控制兩大類:在自主訪問控制下,用戶可以對其創(chuàng)建的文件、數(shù)據(jù)表等進行訪問,并可自主地將訪問權(quán)授予其他用戶;在強制訪問控制下,系統(tǒng)對需要保護的信息資源進行統(tǒng)一的強制性控制,按照預先設定的規(guī)則控制用戶、進程等主體對信息資源的訪問行為。通過自主訪問控制與強制訪問控制的協(xié)同運作,安全操作系統(tǒng)的訪問控制機制可以同時保障系統(tǒng)及系統(tǒng)上應用的安全性與易用性。
在我國信息安全等級保護制度中,三級及三級以上系統(tǒng)為重要信息系統(tǒng),對國民經(jīng)濟和社會發(fā)展具有深遠的影響。這其中,操作系統(tǒng)作為承載核心業(yè)務應用與重要數(shù)據(jù)的平臺,其安全性關(guān)系到信息系統(tǒng)本身的安全防護能力。因此,如何構(gòu)建安全的三級操作系統(tǒng),特別是完善操作系統(tǒng)本身的訪問控制機制,已成為當前信息安全領(lǐng)域的一個重要命題。
現(xiàn)有C2級操作系統(tǒng)訪問控制缺陷
目前,我國使用的操作系統(tǒng)大多數(shù)依賴于進口,由于發(fā)達國家在核心產(chǎn)品及技術(shù)出口上的限制,B1級以上系統(tǒng)不對我國出口,所以國內(nèi)普遍使用的商用服務器操作系統(tǒng)為C2級,低于我國等級保護國標規(guī)定的系統(tǒng)審計保護級(第二級)和安全標記保護級(第三級),主要表現(xiàn)在兩方面:首先自主訪問控制機制存在缺陷,其次沒有強制訪問控制機制,操作系統(tǒng)在訪問控制方面是不完善的。
在自主訪問控制方面,主流的商用服務器操作系統(tǒng)通常采用等級型自主訪問控制機制,高等級主體如系統(tǒng)管理員等自動獲得各類低等級客體的訪問控制權(quán),一旦位于最高等級的超級管理員賬號、密碼等信息被攻擊者盜取并成功利用,操作系統(tǒng)將無安全性可言。例如近年來曝光的一些“本地提權(quán)”漏洞,攻擊者就可以利用漏洞修改自己擁有的文件訪問控制信息,進而可對系統(tǒng)上的相關(guān)文件等資源進行查看、修改、刪除等操作,而且,傳統(tǒng)的自主訪問控制也難以防止計算機病毒將信息通過共享客體從一個進程傳送給另一個進程。
等級保護國標對三級操作系統(tǒng)的訪問控制要求
根據(jù)國家標準《信息安全技術(shù)-信息系統(tǒng)安全等級保護基本要求》(GB/T22239-2008)的規(guī)定,信息系統(tǒng)安全保護等級由低到高劃分為五級,其中,在主機安全訪問控制方面,三級信息系統(tǒng)比二級系統(tǒng)增加了新的內(nèi)容:“應根據(jù)管理用戶的角色分配權(quán)限,實現(xiàn)管理用戶的權(quán)限分離,僅授予管理用戶所需的最小權(quán)限;應對重要信息資源設置敏感標記;應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。”
具體到三級操作系統(tǒng)的訪問控制方面,則根據(jù)國家標準《信息安全技術(shù)-操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)的規(guī)定來執(zhí)行,主要包括自主訪問控制和強制訪問控制:
自主訪問控制(DAC)
與傳統(tǒng)操作系統(tǒng)的自主訪問控制相比,三級系統(tǒng)自主訪問控制機制更為嚴格,客體的擁有者是唯一有權(quán)修改客體訪問權(quán)限的主體,擁有者對其擁有的客體應具有全部控制權(quán),但是,不允許客體擁有者把該客體的控制權(quán)分配給其他主體。即使是高安全等級的主體,如果沒有獲得客體擁有者授予的訪問權(quán),也無法訪問受保護的客體,更不能對客體進行修改、刪除等操作,保障了受保護資源的安全性。
同時,三級系統(tǒng)自主訪問控制還與身份鑒別、安全審計等安全功能相結(jié)合,通過確認用戶身份的真實性和記錄用戶的各種成功的或不成功的訪問,提升操作系統(tǒng)的安全性與安全管理水平。
強制訪問控制(MAC)
強制訪問控制是三級操作系統(tǒng)與二級系統(tǒng)之間的一道“分水嶺”,其主要特點是系統(tǒng)對訪問主體和受控對象實行強制訪問控制,系統(tǒng)事先給訪問主體和受控對象分配不同的安全級別屬性,在實施訪問控制時,系統(tǒng)先對訪問主體和受控對象的安全級別屬性進行比較,再決定訪問主體能否訪問該受控對象。
強制訪問控制主要從如下幾個方面來設計和實現(xiàn):
1、管理員權(quán)限分離
在傳統(tǒng)操作系統(tǒng)中,超級管理員一家獨大,擁有無上的權(quán)限,因此,很多攻擊者通常通過竊取管理員賬號密碼或利用漏洞將自身提升為管理員的方式,實現(xiàn)對目標操作系統(tǒng)的完全控制。三級操作系統(tǒng)將管理員權(quán)限進行分離,設立了系統(tǒng)安全員、系統(tǒng)管理員及系統(tǒng)審計員,其中,系統(tǒng)安全員統(tǒng)一管理操作系統(tǒng)中與強制訪問控制等安全機制有關(guān)的事件和信息,系統(tǒng)管理員、系統(tǒng)審計員則分別進行系統(tǒng)常規(guī)管理及審計管理,各管理人員之間相互獨立、相互制約。
2、多個安全功能聯(lián)動防御
強制訪問控制與用戶身份鑒別、標記等安全功能密切配合,使系統(tǒng)對用戶的安全控制包含從用戶進入系統(tǒng)到退出系統(tǒng)的全過程,對客體的控制范圍涉及操作系統(tǒng)內(nèi)部的存儲、處理和傳輸過程。
3、多個操作系統(tǒng)集中管理
多個操作系統(tǒng)的強制訪問控制包括如下兩個方面:運行于網(wǎng)絡環(huán)境的分布式操作系統(tǒng),應統(tǒng)一實現(xiàn)強制訪問控制功能;運行于網(wǎng)絡環(huán)境的多臺計算機系統(tǒng)上的網(wǎng)絡操作系統(tǒng),在需要進行統(tǒng)一管理時,應考慮各臺計算機操作系統(tǒng)的主、客體安全屬性設置的一致性,并實現(xiàn)跨網(wǎng)絡的SSOOS間用戶數(shù)據(jù)保密性和完整性保護。
隨著等級保護國家標準的出臺與深入實施,目前國內(nèi)已經(jīng)涌現(xiàn)出一批國家自主可控的操作系統(tǒng)層安全產(chǎn)品與技術(shù),椒圖科技推出的JHSE椒圖主機安全環(huán)境系統(tǒng),就能夠同時支持符合三級操作系統(tǒng)標準的自主訪問控制和強制訪問控制,同時也完全滿足等級保護國標對三級操作系統(tǒng)的安全要求。可以相信,隨著我國等級保護工作的深入推進與相關(guān)安全產(chǎn)品的日益豐富,操作系統(tǒng)本身的訪問控制狀況將會得到改善,推動我國信息安全水平持續(xù)攀升。
推薦閱讀
也許海爾電腦所推出的這些應用、設計看似十分簡單,但這恰恰是海爾電腦“不賣產(chǎn)品賣體驗,不賣性能賣健康”研發(fā)理念的最好體現(xiàn),因為家庭消費者需要這種體驗。實際上,這也是海爾一體電腦成為了最能夠滿足當前消費者>>>詳細閱讀
本文標題:等保三級安全操作系統(tǒng)的訪問控制要求及實現(xiàn)方法
地址:http://m.sdlzkt.com/a/xie/20121229/114134.html
網(wǎng)友點評
精彩導讀
科技快報
品牌展示