操作系統(tǒng)是整個(gè)計(jì)算機(jī)信息系統(tǒng)的核心，操作系統(tǒng)安全是整個(gè)安全防范體系的基礎(chǔ)，同時(shí)也是信息保障的關(guān)鍵所在。隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)與應(yīng)用的不斷發(fā)展，伴隨而來(lái)的計(jì)算機(jī)系統(tǒng)安全問題越來(lái)越引起人們的關(guān)注，信息安全業(yè)界越來(lái)越重視服務(wù)器操作系統(tǒng)的安全問題。

操作系統(tǒng)安全主要以隔離和控制為核心機(jī)制來(lái)實(shí)現(xiàn)的，從某種意義上說，服務(wù)器操作系統(tǒng)的安全，就是訪問控制的安全，實(shí)現(xiàn)了合理的訪問控制，就保證了操作系統(tǒng)中數(shù)據(jù)的安全。自主訪問控制作為一種最早被提出而且最普遍的訪問控制安全策略，在操作系統(tǒng)訪問控制機(jī)制中占有十分重要的位置。

一.訪問控制的基本概念

訪問控制是指控制系統(tǒng)中主體對(duì)客體的訪問。訪問控制的目的是為了限制主體對(duì)客體的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用。訪問控制又可以分為自主性訪問控制和強(qiáng)制性訪問控制。

1.1訪問控制三要素

主體(Subject)：可以對(duì)其他實(shí)體施加動(dòng)作的主動(dòng)實(shí)體，如用戶、進(jìn)程、I/O設(shè)備等。

客體(Object)：接受其他實(shí)體訪問的被動(dòng)實(shí)體，如文件、共享內(nèi)存、管道等。

控制策略(Control Strategy)：主體對(duì)客體的操作行為集和約束條件集，如訪問矩陣、訪問控制表等。

1.2訪問控制與操作系統(tǒng)安全的關(guān)系

訪問控制是操作系統(tǒng)安全機(jī)制的主要內(nèi)容，也是操作系統(tǒng)安全的核心。訪問控制的基本功能是允許授權(quán)用戶按照權(quán)限對(duì)相關(guān)客體進(jìn)行相應(yīng)的操作，阻止非授權(quán)用戶對(duì)相關(guān)客體進(jìn)行任何操作，以此來(lái)規(guī)范和控制系統(tǒng)內(nèi)部主體對(duì)客體的訪問操作。

在系統(tǒng)中訪問控制需要完成以下兩種任務(wù)：

1)識(shí)別和確認(rèn)訪問系統(tǒng)的用戶;

2)決定該用戶可以對(duì)某一系統(tǒng)資源進(jìn)行何種類型的訪問。

二. 自主訪問控制

自主訪問控制(Discretionary Access Control，DAC)是一種最普遍的訪問控制安全策略，其最早出現(xiàn)在20世紀(jì)70年代初期的分時(shí)系統(tǒng)中，基本思想伴隨著訪問矩陣【1】被提出，在目前流行的操作系統(tǒng)(如AIX、HP-UX、Solaris、、Windows Server、Linux Server等)中被廣泛使用，是由客體的屬主對(duì)自己的客體進(jìn)行管理的一種控制方式。這種控制方式是自由的，也就是說由屬主自己決定是否將自己的客體訪問權(quán)或部分訪問權(quán)授予其他主體。在自主訪問控制下，用戶可以按自己的意愿，有選擇地與其他用戶共享他的文件。自主訪問控制的實(shí)現(xiàn)方式通常包括目錄式訪問控制模式、訪問控制表、訪問控制矩陣和面向過程的訪問控制等方式【2】。

2.1自主訪問控制特點(diǎn)

自主訪問控制是基于對(duì)主體的識(shí)別來(lái)限制對(duì)客體的訪問，這種控制是自主的，在自主訪問控制下，一個(gè)用戶可以自主選擇哪些用戶可以共享他的文件。其基本特征是用戶所創(chuàng)建的文件的訪問權(quán)限由用戶自己來(lái)控制，系統(tǒng)通過設(shè)置的自主訪問控制策略為用戶提供這種支持。也就是說，用戶在創(chuàng)建了一個(gè)文件以后，其自身首先就具有了對(duì)該文件的一切訪問操作權(quán)限，同時(shí)創(chuàng)建者用戶還可以通過“授權(quán)”操作將這些訪問操作權(quán)限有選擇地授予其他用戶，而且這種“授權(quán)”的權(quán)限也可以通過稱為“權(quán)限轉(zhuǎn)移”的操作授予其他用戶，使其具有使用“授權(quán)”操作另外的用戶授予對(duì)該文件進(jìn)行確定的訪問操作權(quán)限的能力。

2.2自主訪問控制三大類型

2.2.1自由型的自主訪問控制

自由型自主訪問控制中，一個(gè)客體的創(chuàng)建者(擁有者)可以把自己對(duì)客體的許可權(quán)轉(zhuǎn)授給其他主體，即對(duì)客體的存取控制表有修改權(quán)，并且還可使其對(duì)其他主體也具有分配這種權(quán)利的能力，而且這種轉(zhuǎn)授能力不受創(chuàng)建者自己的控制。在這種系統(tǒng)中，一旦訪問許可權(quán)被分配出去，擁有者就很難對(duì)自己的客體實(shí)施控制。雖然可以通過客體的ACL表查詢出所有能夠修改該表的主體，但是卻沒有任何主體對(duì)該客體的安全負(fù)責(zé)，因此，這種對(duì)訪問權(quán)修改的控制方式是很不安全的。

2.2.2等級(jí)型的自主訪問控制

在等級(jí)型自主訪問控制中，可以將對(duì)客體存取控制表的修改能力劃分成等級(jí)。例如，可以將控制關(guān)系組成一個(gè)樹型結(jié)構(gòu)。最高等級(jí)主體可以修改所有客體存取控制表的能力，并且具有向任意一個(gè)主體分配這種修改權(quán)限的能力。最低級(jí)的主體不再具有訪問許可，也就是說他們對(duì)相應(yīng)的客體的存取控制表不再具有修改權(quán)。有訪問許可的主體(即有能力修改客體的存取控制表)，可以對(duì)自己授予任何訪問模式的訪問權(quán)。其優(yōu)點(diǎn)是通過選擇可信任的人擔(dān)任各級(jí)權(quán)限管理員，使得能夠以可信方式對(duì)客體施加控制。缺點(diǎn)是，對(duì)于一個(gè)客體而言，可能會(huì)同時(shí)有多個(gè)主體有能力修改它的存取控制表。

2.3.3宿主型的自主訪問控制

宿主型自主訪問控制是對(duì)每個(gè)客體設(shè)置一個(gè)擁有者，它是唯一有權(quán)訪問客體訪問控制表(ACL)的主體。擁有者對(duì)其擁有的客體具有全部控制權(quán)。但是，擁有者無(wú)權(quán)將其對(duì)客體的控制權(quán)分配給其它主體。因此，客體擁有者在任何時(shí)候都可以改變其所屬客體的存取控制表，并可以對(duì)其它主體授予或者撤消其對(duì)客體的任何一種訪問模式。宿主型自主訪問控制方式的優(yōu)點(diǎn)是修改權(quán)限的責(zé)任明確，由于擁有者關(guān)心自己客體的安全，便不會(huì)隨意把訪問控制權(quán)轉(zhuǎn)授給不可信的主體，這種方式更有利于系統(tǒng)的安全性。因此，許多重要信息系統(tǒng)(等級(jí)保護(hù)中三級(jí)以上的信息系統(tǒng))的自主訪問控制機(jī)制必須要使用宿主型訪問權(quán)限控制方式。

三.等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)的自主訪問控制要求

自主訪問控制機(jī)制(Discretionary Access Control)是安全操作系統(tǒng)必不可少的、應(yīng)用最廣泛的安全機(jī)制之一。目前大型行業(yè)應(yīng)用中所使用的AIX、HP-UX、Solaris、Windows Server操作系統(tǒng)主要為等級(jí)型的自主訪問控制。對(duì)于等級(jí)型的自主訪問控制，管理員root或 Administrator對(duì)其他用戶的資源可直接做任意修改和訪問。

而在GB/T20272[3]等級(jí)保護(hù)三級(jí)的4.3.1.2自主訪問控制要求中，則要求實(shí)現(xiàn)宿主型的自主訪問控制，即：客體的擁有者是唯一有權(quán)訪問客體訪問控制列表(ACL)的主體，擁有者對(duì)其擁有的客體具有全部的控制權(quán)，但無(wú)權(quán)將客體的控制權(quán)分配給其他主體。

四.符合三級(jí)操作系統(tǒng)標(biāo)準(zhǔn)的自主訪問控制的實(shí)現(xiàn)

在系統(tǒng)中實(shí)施訪問控制是為了保證系統(tǒng)資源(操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng))受控合法地使用。用戶只能根據(jù)自己的權(quán)限大小來(lái)訪問系統(tǒng)資源，不得越權(quán)訪問。不同等級(jí)的訪問控制要求在操作系統(tǒng)安全方面所體現(xiàn)的也不同。

4.1三級(jí)操作系統(tǒng)安全標(biāo)準(zhǔn)的自主訪問控制要求

根據(jù)等級(jí)保護(hù)《GB/T 20272-2006信息安全技術(shù)-操作系統(tǒng)安全技術(shù)要求》規(guī)定，在等級(jí)保護(hù)三級(jí)操作系統(tǒng)安全標(biāo)準(zhǔn)中，引入和提出了強(qiáng)制訪問控制的概念。但是，大部分人認(rèn)為強(qiáng)制訪問控制模型是用來(lái)代替自主訪問控制模型的，有了強(qiáng)制訪問控制就不需要自主訪問控制了，這種理解是完全錯(cuò)誤的。在國(guó)家標(biāo)準(zhǔn)GB/T20272中對(duì)于各級(jí)操作系統(tǒng)中的自主訪問控制都有不同的技術(shù)要求，尤其是對(duì)三級(jí)操作系統(tǒng)中對(duì)自主訪問控制有明確的要求，即：操作系統(tǒng)中客體的擁有者應(yīng)是唯一有修改客體訪問權(quán)限的主體，擁有者擁有對(duì)自己客體的全部控制權(quán)，但擁有者不允許把客體控制權(quán)分配給其他主體。在保密性訪問控制BLP【4】模型中，也明確的提出了自主訪問控制的策略。

4.2現(xiàn)有操作系統(tǒng)在自主訪問控制中的缺陷

在等級(jí)保護(hù)標(biāo)準(zhǔn)三級(jí)操作系統(tǒng)中，強(qiáng)調(diào)了最小授權(quán)原則，使得用戶的權(quán)限最小化，同時(shí)要求對(duì)重要信息資源設(shè)置敏感標(biāo)記【5】【6】。目前，我國(guó)使用的主流商用服務(wù)器操作系統(tǒng)(如AIX、HP-UX、Solaris、Windows Server、Linux Server等)的自主訪問控制并沒有達(dá)到相應(yīng)技術(shù)要求和功能提升，無(wú)法達(dá)到三級(jí)安全操作系統(tǒng)的技術(shù)標(biāo)準(zhǔn)。

現(xiàn)有的主流商用操作系統(tǒng)普遍存在以下缺陷，本文以Windows 2008 Server舉例說明：

在普通的Windows 2008 Server中，存在用戶 Test，此用戶屬于Users 組，使用 Test 用戶進(jìn)行登錄并創(chuàng)建文件 DAC.TXT 并賦予了 Test 用戶“全部控制權(quán)限”，同時(shí)針對(duì) Administrators 組用戶只有“讀”權(quán)限，此時(shí)切換用戶至Administrator管理員用戶對(duì) DAC.TXT 文件進(jìn)行寫操作，系統(tǒng)提示“訪問被拒絕”。在現(xiàn)有普通操作系統(tǒng)的安全機(jī)制中Administrator 用戶可以設(shè)置客體DAC.TXT的ACL，修改其擁有者與訪問控制權(quán)限，或把自身加入到其ACL中，使自身有“全部控制權(quán)限”。

4.3符合三級(jí)操作系統(tǒng)安全標(biāo)準(zhǔn)的自主訪問控制實(shí)現(xiàn)要求

根據(jù)以上示例，在滿足GB/T20272中4.3.1.2中自主訪問控制的要求中(即符合等級(jí)保護(hù)標(biāo)準(zhǔn)三級(jí)要求的宿主型自主訪問控制)，Windows 2008 Server的自主訪問控制應(yīng)具備以下提升：

a.當(dāng)Administrators組戶對(duì) Test 用戶創(chuàng)建的客體DAC.TXT文件進(jìn)行修改擁有者操作時(shí)，SSOOS 應(yīng)準(zhǔn)確獲取當(dāng)前操作，并判斷當(dāng)前操作主體是否為此客體的擁有者，如不是SSOOS應(yīng)返回拒絕。

b.當(dāng)Administrators組用戶對(duì) Test 用戶創(chuàng)建的客體DAC.TXT文件的ACL進(jìn)行修改操作時(shí)，SSOOS 應(yīng)準(zhǔn)確獲取當(dāng)前操作，并判斷當(dāng)前操作主體是否為此客體的擁有者，如不是SSOOS應(yīng)返回拒絕。

c.當(dāng) Test 用戶試圖修改客體DAC.TXT文件的擁有者時(shí)，SSOOS 應(yīng)準(zhǔn)確獲取當(dāng)前操作，并判斷當(dāng)前操作主體是否為此客體的擁有者，如是客體擁有者，需進(jìn)一步判斷是否在修改客體擁有者，如是SSOOS應(yīng)返回拒絕。

4.4符合三級(jí)操作系統(tǒng)安全標(biāo)準(zhǔn)的自主訪問控制實(shí)現(xiàn)方法

基于以上要求，要實(shí)現(xiàn)符合等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)要求的宿主型自主訪問控制，需要對(duì)操作系統(tǒng)現(xiàn)有的安全機(jī)制進(jìn)行擴(kuò)充與改造，即對(duì)原有的 SSOOS 進(jìn)行動(dòng)態(tài)的擴(kuò)充與增強(qiáng)，經(jīng)過改造與擴(kuò)充后的 SSOOS 要具有捕獲所有主體對(duì)客體訪問監(jiān)控的能力，如在實(shí)現(xiàn)新的 SSF 時(shí)，安裝“訪問監(jiān)控器”，對(duì)“訪問監(jiān)控器”的要求是可準(zhǔn)確識(shí)別出主體的唯一性，如以上示例中，當(dāng)DAC.TXT 客體所屬主體 Test 用戶改變了用戶名稱，或Administartor用戶改變用戶名稱為 Test 試圖欺騙與繞過訪問限制時(shí)，新的“訪問監(jiān)控器”要具備準(zhǔn)確的識(shí)別客體原擁有者的能力，以對(duì)抗此種欺騙與攻擊。

椒圖科技以上述方法原理為基礎(chǔ)進(jìn)行深入的研究和拓展，自主研發(fā)了“JHSE椒圖主機(jī)安全環(huán)境系統(tǒng)”(簡(jiǎn)稱JHSE)。JHSE以國(guó)家等級(jí)保護(hù)標(biāo)準(zhǔn)為依據(jù)，嚴(yán)格按照三級(jí)操作系統(tǒng)安全標(biāo)準(zhǔn)中對(duì)自主訪問控制要求，通過對(duì)安全子系統(tǒng)(SSOOS)的重構(gòu)和擴(kuò)充，將原有操作系統(tǒng)中的自主訪問控制模型動(dòng)態(tài)的更新為符合《GB/T20272-2006信息安全技術(shù)-操作系統(tǒng)安全技術(shù)要求》中第三級(jí)要求的自主訪問控制模型。同時(shí)，JHSE不僅具有文中所說的符合三級(jí)標(biāo)準(zhǔn)的自主訪問控制，還具有三權(quán)分立和增強(qiáng)型DTE、RBAC、BLP 三種訪問控制功能，以及剩余信息清除，完整性檢測(cè)(包括文件、賬戶、服務(wù)、注冊(cè)表)、雙重身份認(rèn)證、訪問控制、安全審計(jì)、資源控制及異常檢測(cè)等多種功能。 JHSE完全遵循安全操作系統(tǒng)理念，集合多項(xiàng)發(fā)明專利和200余項(xiàng)全新技術(shù)，打造了系統(tǒng)層的立體防護(hù)體系，實(shí)現(xiàn)了對(duì)服務(wù)器操作系統(tǒng)安全等級(jí)的動(dòng)態(tài)、透明提升。

參考文獻(xiàn)：

[1]陸寶華，信息安全等級(jí)保護(hù)基本要求培訓(xùn)教程[M]，北京：電子工業(yè)出版社，2009：第78頁(yè)至109頁(yè)

[2]陸寶華，信息系統(tǒng)安全原理與應(yīng)用[M]，北京：清華大學(xué)出版社，2006：第42頁(yè)至54頁(yè)

[3] GB/T20272-2006，信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求[S]

[4]卿斯?jié)h等，《操作系統(tǒng)安全》(第二版)[M]，北京：清華大學(xué)出版社，2011：第65至76頁(yè)

[5] GB/T22239-2008，信息安全技術(shù)信息安全等級(jí)保護(hù)基本要求[S]

[6] GB/T20271-2006，信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求[S]

李科(1981-)，男，學(xué)士，深圳市安盾椒圖科技有限公司常務(wù)副總經(jīng)理，主要研究方向：等級(jí)保護(hù)，安全操作系統(tǒng)，信息安全，網(wǎng)絡(luò)安全。