五一长假里,51CTO安全频道的记者走访了中科院国家重点实验室聂晓伟博士,我们交流了网络安全的重要组成部分——安全操作系统的重要性和在中国的独立自主开发问题。
操作系统是应用软件同系统硬件的接口,其目标是高效地、最大限度地、合理地使用计算机资源。而安全操作系统是增强安全机制与功能,保障计算资源使用的保密性、完整性和可用性。为此,二十世纪八十年代初提出的可信计算基(TCB)概念成为TCSEC 的主线。安全操作系统处于硬件和上层应用的中间环节,可以提供对数据库、应用软件、网络系统提供全方位的保护。
操作系统的安全现状
谈到安全操作系统的重要性,聂晓伟博士说,没有安全操作系统的保护,就不可能有网络系统的安全,也不可能有应用软件信息处理的安全性。因此,安全操作系统是整个信息系统安全的基础。信息安全框架的构造如果只停留在网络防护的层面上, 而忽略了操作系统内核安全这一基本要素,这如同将坚固的堡垒建立在沙丘之上,安全隐患极大。
造成现在信息系统安全问题的被动局面,其关键是什么?
当今的信息系统产生安全问题的基本原因是操作系统的结构和机制不安全。其根源在于PC 机硬件结构的简化,系统不分执行"态",内存无越界保护等等,使操作系统难以建立真正的TCB。这样就导致:资源配置可以被篡改;恶意程序被植入执行;利用缓冲区(栈)溢出攻击;非法接管系统管理员权限等安全事故。病毒在世界范围内传播泛滥,黑客利用各种漏洞攻击入侵,非授权者任意窃取信息资源,使得安全防护形成了防火墙、防病毒和入侵检测老三样的被动局面。
因此,信息安全的根本解决,需要从系统工程的角度来考虑,通过建立安全操作系统构建可信计算基(TCB),建立动态、完整的安全体系。而其中,安全操作系统是最为基本与关键的技术之一。
我国操作系统的安全现状:玻璃盒子和供求缺口
长期以来,我国广泛应用的主流操作系统都是从国外引进直接使用的产品。这些系统安全性很差。Windows中存在着漏洞和陷门,不断引起世界性的"冲击波"和"震荡波"等安全事件,如果在电子政务等要害部门使用,将存在极大风险。以Linux为代表的国际自由软件的发展为我国发展具有自主版权的系统软件提供了良好的机遇。
是不是可以认为,Linux等开源操作系统就可以解决我国目前对于安全操作系统的要求吗?
在这个问题上,聂晓伟博士表示,Linux的内核设计缺乏模块化,从而导致基于Linux平台研制安全操作系统的做法缺乏科学的安全模型支持。同时,根据自由软件协议(GPL),任何基于自由软件的源代码必须公开。就安全性而言,非开放源码的操作系统是个黑盒子,而一个源代码公开的系统更像是一个玻璃盒子,这恐怕也没法让人安心。目前国内基本上都是利用国外的技术甚至是部分源代码,根据市场需要自己组合成的操作系统,这种系统不具有我们的自主知识产权,而且还没有一个可信基(TCB)。我国现在还没有一个自主可用的安全操作系统,西方禁止高等级安全操作系统向我国出口,即使允许也不敢应用在要害部门。
对于开发安全操作系统,国内现有的成果如何
我国从上世纪90年代开始研究安全操作系统,到目前已经取得了一些成果。从1993年我国宣布开发成功具有B2 集功能的操作系统,现在已有众多的公司和科研单位开始注重安全操作系统的研发,比如中科红旗公司开发的红旗Linux,南京大学的Softos,国防科大的麒麟安全操作系统(注1),中科安胜公司的安胜操作系统等。安全操作系统具有操作系统的本质特点,安全操作系统的开发是一项庞大复杂的工程。但是目前我们的安全操作系统的开发还存在着某些问题,例如,或者研发队伍不是专业从事操作系统研发的,或者开发者不是直接面向市场来做的,或者有的压根儿就没有专业的安全操作系统研发队伍,在安全操作系统的研发方面,在不同程度上存在固有的不足。从这些机构现在开发的安全操作系统来看,主要还是以美国的TCSEC安全评价标准为基础的。
美国的TCSEC安全评价标准对我们有什么样的影响?
美国的TCSEC标准(注2)是七十年代末着手制订、八十年代中颁布的,它基于当时的历史条件,对安全产品的安全功能有比较明确的限定。而安全操作系统的特点是其安全职能目前还无法清楚确定,在安全操作系统的总体安全职能中,有些是已知的,有些是未知的,随着新的安全威胁的不断出现,不可避免地可能需要设计必要的新的安全职能来提供应对支持。当前我国实施等级保护制度,迫切需要高等级的安全操作系统这是发展安全操作系统的大好机遇。中科院正在下大力气抓紧开发高可信的安全操作系统产品,以解决国家的燃眉之急。
开发一个这样的安全操作系统,碰到的问题以什么最关键
聂博士:其一是安全理论与模型问题,在整个安全操作系统开发中,建立适合的安全理论和模型是基础与依据。当前安全操作系统开发所依据的模型多数依据与传统的BLP模型,该模型偏重于信息的保密性,同时在具体实施中存在着若干的诸如隐通道等安全隐患,难以适应安全操作系统的发展要求,这就需要我们研究如何将要重点进行安全模型的研究及相应的策略制定,加强评估准则与方法的研究,将保密性和完整性有机结合。其二是安全体系结构的问题,高安全等级不是安全功能的简单叠加,必须要有严密科学的结构加以保证。加强安全操作系统体系结构的研究,提供符合安全标准的安全核心体系结构,从形式化描述与验证上下功夫,为解决操作系统安全提供一个整体的理论指导和基础构件的支撑,并为工程实现奠定坚实的基础。可信计算基(TCB)是操作系统安全的基础,其内部要结构化,模块间相互独立,要用硬件资源隔离关键和非关键部件。第三,必须按需分级,以对专用安全操作系统的研究和设计作为工程契入点,针对安全性要求高的应用环境配置特定的安全策略,提供灵活、有效的安全机制,设计符合相应安全目标的专用安全系统,以满足国家等级保护的急需。第四,以密码技术重构内核,要想具有完全的安全操作系统自主知识产权,必须重构内核,要以密码技术为核心,充分利用所提供的可信功能构建具有自我免疫能力的高安全等级的内核。密码技术为在内核中可以实现以下主要功能:确保用户唯一身份、权限、工作空间的完整性/可用性;确保存储、处理、传输的机密性/完整性;确保硬件环境配置、操作系统内核、服务及应用程序的完整性;确保密钥操作和存储的安全;确保系统具有免疫能力,从根本上阻止病毒和黑客等软件攻击。第六是安全加固问题,对于当前无法从内核进行改造的系统,则可以进行安全加强。例如对占我国市场90% 以上的Windows 操作系统,它的源码不公开,因此只能采用设计安全隔离层-- 中间件的方式,增强其安全性,基于应用对象,实施安全封装、主动服务。
编者按:信息安全中我们反复强调了自主知识产权,目前我国安全操作系统的研究正处在一个关键时期,我们必须把握住正确的研究方向,制定相应的发展战略,走符合我国国情的发展道路,采用国际先进技术,借助开源技术提供的资源,开发具有我国自主知识产权的安全操作系统产品。 注2:关于美国的TCSEC安全评价标准
参见本站文章: 68476636-8007)
