信息安全等級保護(hù)制度是我國信息安全保障工作的基本制度，在等級保護(hù)操作系統(tǒng)安全技術(shù)要求中，自主訪問控制機(jī)制貫穿一到五級信息系統(tǒng)，并隨著安全保護(hù)等級的遞增而不斷提升安全防護(hù)的深度和廣度，是構(gòu)建安全操作系統(tǒng)的重要環(huán)節(jié)。作為專注于安全操作系統(tǒng)研究的信息安全廠商，椒圖科技在其拳頭產(chǎn)品JHSE椒圖主機(jī)安全環(huán)境系統(tǒng)中采用了等級保護(hù)要求的宿主型自主訪問控制機(jī)制，消除傳統(tǒng)自主訪問控制給操作系統(tǒng)埋下的安全隱患，使操作系統(tǒng)安全防護(hù)水平進(jìn)一步提升，并為構(gòu)建三級安全操作系統(tǒng)打下了堅(jiān)實(shí)的基礎(chǔ)。

現(xiàn)有自主訪問控制機(jī)制缺陷

眾所周知，操作系統(tǒng)是計(jì)算機(jī)系統(tǒng)的重要組成部分，承擔(dān)著管理計(jì)算機(jī)資源的重任，并在用戶使用計(jì)算機(jī)時(shí)提供操作界面。在操作系統(tǒng)上，每一個(gè)實(shí)體成分如用戶、用戶組、進(jìn)程、文件、數(shù)據(jù)等等，都被稱為主體或客體，部分實(shí)體兼具主體、客體兩種身份。訪問控制定義了不同主體與客體的關(guān)系。其中，自主訪問控制是操作系統(tǒng)中普遍采用的一種訪問控制機(jī)制，允許合法用戶以用戶或用戶組的身份訪問策略規(guī)定的客體，同時(shí)阻止非授權(quán)用戶訪問客體。現(xiàn)有的自主訪問控制機(jī)制如下圖所示：

ａ、超級管理員用戶（組）可以對客體資源進(jìn)行修改訪問權(quán)限、修改客體的所有者等操作。

ｂ、主體可以修改其客體資源的訪問權(quán)限，并可自主地將控制權(quán)轉(zhuǎn)授給別的主體。

需要指出的是，目前普遍使用的商業(yè)服務(wù)器操作系統(tǒng)屬于C2級，低于國標(biāo)GB/T 20272-2006規(guī)定的第二級操作系統(tǒng)安全要求，都采用傳統(tǒng)的自主訪問控制機(jī)制。在這種自主訪問控制機(jī)制下，均存在以下缺陷，即超級管理員擁有無上的權(quán)限，可以對服務(wù)器所有的資源進(jìn)行任意操作，一旦其賬號(hào)、密碼被攻擊者竊取，整個(gè)操作系統(tǒng)將可能遭受無法預(yù)估的巨大損失。同時(shí)，客體的控制權(quán)限可以在不同主體之間流轉(zhuǎn)，導(dǎo)致具備訪問控制權(quán)限的主體具有不確定性，使得操作系統(tǒng)安全性也難以得到保障。

JHSE自主訪問控制兼顧安全與應(yīng)用

為了增強(qiáng)操作系統(tǒng)安全防護(hù)能力，椒圖科技JHSE通過對操作系統(tǒng)安全子系統(tǒng)（SSOOS）進(jìn)行重構(gòu)和擴(kuò)充，使SSOOS具有了捕獲所有主體對客體訪問監(jiān)控的能力，在實(shí)現(xiàn)新的SSF時(shí)，安裝"訪問監(jiān)控器"可準(zhǔn)確識(shí)別出主體的唯一性，同時(shí)新的"訪問監(jiān)控器"也具備了準(zhǔn)確地識(shí)別客體原擁有者的能力，以對抗各種欺騙和非法操作。JHSE改變了傳統(tǒng)自主訪問控制機(jī)制的不足，達(dá)到了符合等級保護(hù)標(biāo)準(zhǔn)的宿主型自主訪問控制。如下圖所示：

ａ、當(dāng)超級管理員用戶（組）對客體的訪問控制表（ACL）進(jìn)行修改操作時(shí)，SSOOS能夠準(zhǔn)確獲取當(dāng)前操作，并判斷當(dāng)前操作主體是否為此客體的擁有者，如不是操作將被拒絕。

ｂ、當(dāng)超級管理員用戶（組）對客體進(jìn)行修改擁有者操作時(shí)，SSOOS能夠準(zhǔn)確獲取當(dāng)前操作，并判斷當(dāng)前操作主體是否為此客體的擁有者，如不是操作將被拒絕。

ｃ、當(dāng)客體的擁有者對客體進(jìn)行操作時(shí)，SSOOS能夠準(zhǔn)確獲取當(dāng)前操作，并判斷當(dāng)前操作主體是否為此客體的擁有者，如是客體擁有者，需進(jìn)一步判斷是否在修改客體擁有者，如是操作將被拒絕。

如上所示，在JHSE椒圖主機(jī)安全環(huán)境系統(tǒng)構(gòu)建的自主訪問控制機(jī)制下，系統(tǒng)為每一個(gè)受保護(hù)的客體設(shè)置了一個(gè)擁有者（客體屬主），后者是唯一有權(quán)訪問客體訪問控制表（ACL）的主體，對相應(yīng)的客體具有全部控制權(quán)，但無法將控制權(quán)轉(zhuǎn)讓給其他主體，保證了客體控制權(quán)的唯一性。同時(shí)，客體創(chuàng)建者還可以根據(jù)需要，將客體的訪問權(quán)限授予特定的用戶，為操作系統(tǒng)的正常運(yùn)行提供便利?？梢哉f，宿主型自主訪問控制機(jī)制的實(shí)現(xiàn)，既保證了數(shù)據(jù)的保密性、可靠性和完整性，又能支撐操作系統(tǒng)高效運(yùn)行，實(shí)現(xiàn)了安全性與實(shí)用性的完美融合。

以國標(biāo)為依據(jù)提升操作系統(tǒng)安全等級

在操作系統(tǒng)安全防護(hù)方面，我國制定了一系列國家標(biāo)準(zhǔn)，其中《GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》和《GB/T 20272-2006信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（以下簡稱"GB/T 20272-2006"）的成功推出，為用戶提供了一整套行之有效地自主訪問控制設(shè)計(jì)和實(shí)現(xiàn)方法。根據(jù)GB/T 20272-2006的要求，一級操作系統(tǒng)的自主訪問控制允許命名用戶以用戶的身份規(guī)定并控制對客體的訪問，并阻止非授權(quán)用戶對客體的訪問；二、三級系統(tǒng)是在一級系統(tǒng)自主訪問控制的基礎(chǔ)上，增加訪問控制屬性、訪問控制粒度等要求，明確要求"客體的擁有者應(yīng)是唯一有權(quán)修改客體訪問權(quán)限的主體，擁有者對其擁有的客體應(yīng)具有全部控制權(quán)，但是，不允許客體擁有者把該客體的控制權(quán)分配給其他主體"。由此可見，二、三級系統(tǒng)實(shí)際上采用的是宿主型自主訪問控制機(jī)制。

在深入分析傳統(tǒng)操作系統(tǒng)安全隱患的基礎(chǔ)上，椒圖科技將宿主型自主訪問控制機(jī)制應(yīng)用于JHSE產(chǎn)品，增強(qiáng)操作系統(tǒng)的安全性。同時(shí)，作為一款嚴(yán)格按照等級保護(hù)國標(biāo)進(jìn)行設(shè)計(jì)的專業(yè)安全產(chǎn)品，JHSE還采用了強(qiáng)制訪問控制機(jī)制，控制范圍包括用戶、IP、文件、進(jìn)程、服務(wù)、共享資源、磁盤、端口、注冊表（僅Windows）等主客體，并能支持用戶與進(jìn)程的綁定，將控制策略細(xì)化到指定用戶的指定進(jìn)程，實(shí)現(xiàn)細(xì)粒度的強(qiáng)制訪問控制，確保操作系統(tǒng)安全運(yùn)行。此外，JHSE還擁有雙重身份鑒別、敏感標(biāo)記、剩余信息保護(hù)、入侵防范等安全技術(shù)與功能，完全符合國標(biāo)對三級操作系統(tǒng)的檢測要求，幫助用戶打造出三級安全操作系統(tǒng)，促使信息安全等級保護(hù)工作順利實(shí)施。