1 引言
当前,我国信息安全面临的形势十分严峻,维护国家信息安全的任务非常艰巨、繁重。随着我国经济的持续发展和国际地位的不断提高,我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患比较严重,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,犯罪分子利用一些安全漏洞,使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行违法犯罪,给用户造成严重损失。
为规范我国信息安全建设,2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。标志着等级保护制度已经上升到国家信息安全保障的基本制度 。
在等级保护的安全体系规划中,物理层、网络层等安全是人们比较容易理解的部分,在自身的网络安全建设中,已经通过部署了满足等保要求的相关产品。而在实际的等保及保护评估和整改过程中,计算环境安全,尤其是涉及操作系统的标记和强制访问控制,是很多用户困惑的地方。常见的WINDOWS、Linux、UNIX等商用操作系统虽然提供了一些安全措施,但是其功能非常有限,并且经常存在各种漏洞,所以如何通过合理的标记和强制访问控制保证主机安全,同时防止内、外非法用户的攻击就成为当前信息系统等级化建设中一个至关重要的问题。
本文就等级保护技术标准要求中的标记和强制访问控制,谈谈作者的见解,也希望能对对等保工作的顺利推进起到一定积极作用。
2 安全标记
敏感安全标记是强制访问控制的依据,主客体都有,它存在的形式无所谓,可能是整形的数字,也可能是字母,总之它表示主客体的安全级别;强制访问控制就是依据这个级别来决定主体以何种权限对客体进行操作,敏感标记是由强认证的安全管理员进行设置的。敏感标记在安全领域的概念,就是根据不同需求的网络 划分级别,每个级别的数据都有各个级别的标记,不同级别之间的数据流动是受保护的,每个安全域里面的数据都带有敏感标记,比如三级域的数据就带有三级敏感 标记,二级域就带有二级敏感标记,当数据在不同级别安全域之间互联互通的时候,敏感标记是携带的,也就是说低可信等级的安全域对高可信等级安全域的数据是 受一定访问限制的,除非被授权。
3 强制访问控制(MAC)
操作系统的某一合法用户可任意运行一段程序来修改该用户拥有的文件访问控制信息,而操作系统无法区别这种修改是用户自己的合法操作还是计算机 病毒的非法操作;另外,也没有什么一般的方法能够防止计算机病毒将信息通过共享客体从一个进程传送给另一个进程。为此,人们认识到必须采取更强有力的访问 控制手段,这就是强制访问控制。在强制访问控制中,系统对主体与客体都分配一个特殊的一般不能更改的安全属性,系统通过比较主体与客体的安全属性来决定一 个主体是否能够访问某个客体。用户为某个目的而运行的程序,不能改变它自己及任何其它客体的安全属性,包括该用户自己拥有的客体。强制访问控制还可以阻止 某个进程生成共享文件并通过这个共享文件向其它进程传递信息。
一般强制访问控制采用以下几种方法:
(1)限制访问控制。
一个特洛伊木马可以攻破任何形式的自主访问控制,由于自主控制方式允许用户程序来修改他拥有文件的存取控制表,因而为非法者带来可乘之机。 MAC可以不提供这一方便,在这类系统中,用户要修改存取控制表的唯一途径是请求一个特权系统调用。该调用的功能是依据用户终端输入的信息,而不是靠另一 个程序提供的信息来修改存取控制信息。
(2)过程控制
在通常的计算机系统中,只要系统允许用户自己编程,就没办法杜绝特洛伊木马。但可以对其过程采取某些措施,这种方法称为过程控制。例如,警告 用户不要运行系统目录以外的任何程序。提醒用户注意,如果偶然调用一个其它目录的文件时,不要做任何动作,等等。需要说明的一点是,这些限制取决于用户本 身执行与否。
(3)系统限制
要对系统的功能实施一些限制。比如,限制共享文件,但共享文件是计算机系统的优点,所以是不可能加以完全限制的。再者,就是限制用户编程。不过这种做法只适用于某些专用系统。在大型的,通用系统中,编程能力是不可能去除的。
国家等级保护的基本理念,可以理解为网络安全的一切问题都是在解决访问控制的问题。因此,服务器操作系统安全,就是访问控制的安全。回归到操作系统的标记和访问控制,目前主要的技术实现方式有两种:一种是利用Windows提供的应用编程接口(Application Programming Interface),第二种方式是开发过滤驱动。开发过滤驱动的方法更为可靠,尤其是对于我国等级保护一贯倡导的使用自主知识产权产品,但就要求开发者对WINDOWS文件系统驱动、输入输出子系统(Input/Output,IO)非常熟悉,技术门槛较高。
(责任编辑:)
