近期，网络信息安全事件层出不穷，对用户信息系统造成严重的危害，引起了信息安全行业及相关用户的集体反思。作为信息系统的重要组成部分，操作系统承担着连接底层硬件和上层业务应用的重任，在诸多安全事件中首当其冲，面临着巨大的安全压力。

掀开自主访问控制的面纱

为了增强信息系统安全、可靠运行的能力，操作系统内置了一些防护措施，例如身份鉴别、访问控制、入侵防范等。其中，访问控制是计算机安全防护体系中的重要环节，包含主体、客体、控制策略三个要素。其中，主体是指可以对其他实体施加动作的主动实体，例如用户、进程等；客体包括数据、文件、程序等，是接受其他实体访问的被动实体；控制策略则定义了主体与客体相互作用的途径。简而言之，访问控制是一种通过控制策略授予、约束主体访问客体行为的安全机制。

访问控制分为三种模型，即自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC）。其中，自主访问控制在C2级操作系统中应用广泛，是根据自主访问控制策略建立的一种模型，允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己所拥有的客体的访问权限授予其他用户。

自主访问控制的实现方式包括目录式访问控制模式、访问控制表（ACL）、访问控制矩阵、面向过程的访问控制等，访问控制表是自主访问控制机制通常采用的一种方式。访问控制表是存放在计算机中的一张表，本质上是带有访问权限的矩阵，其访问权限包括读文件、写文件、执行文件等等。在自主访问控制机制下，每个客体都有一个特定的安全属性，同时访问控制表也授予或禁止主体对客体的访问权限。在工作中，安全管理员通过维护访问控制表，控制用户对文件、数据等IT系统资源的访问行为，来达到安全防控的目的。

从安全性上看，现有操作系统中基于访问控制表的自主访问控制存在着明显的缺陷：一方面，超级用户（root/Administrator）权力过度集中，可以随意修改客体的访问控制表，只要拥有超级管理员权限就可以对服务器所有的资源进行任意操作；另一方面，客体的属主可以自主地将权限转授给别的主体，一旦把某个客体的ACL修改权转授出去以后，拥有者便很难对自己的客体实施控制了。因此，在现有的这种访问控制模型下，操作系统存在很多安全风险。

自主访问控制下的安全风险

按照访问许可机制的不同，自主访问控制又分为三个类型，即自由型、等级型和宿主型。其中，在自由型自主访问控制机制中，不同主体之间可以自由转让客体访问控制表的修改权限，意味着任何主体都有可能对某一客体进行操作，系统安全性很难得到保障；在等级型自主访问控制机制中，用户可以将拥有修改客体访问控制表权限的主体组织成等级型结构，例如按照等级将不同的主体排列成树型结构，高等级主体自动获得低等级客体的控制权限。这种方案的优点是可以选择值得信任的人担任各级领导，从而实现对客体的分级控制，缺点是同时有多个主体有能力修改某一客体的访问权限。

从市场应用情况看，等级型自主访问控制是使用范围最为广泛的安全机制，现有C2级大型商用服务器操作系统（如AIX、HP-UX、Solaris、Windows Server、LinuxServer等）中的访问控制机制均为等级型自主访问控制，涉及金融、能源、军工等国家命脉行业。在这些系统中，位于树型结构顶端的超级用户拥有无上的权限，可以对其他用户拥有的资源进行任意修改和访问。权限的高度集中，客观上放大了系统的安全风险。针对等级型自主访问控制，攻击者可以通过暴力破解、系统漏洞利用、木马攻击等多种方式窃取管理员权限，进而实现对目标系统的完全控制。事实证明确实如此，无论是曾经肆虐的“灰鸽子”木马，还是震惊全球的“震网”、“火焰”等病毒，都将获得管理权限作为一种重要手段，在此基础上成功入侵系统并实施破坏行为。

椒图科技推出的JHSE椒图主机安全环境系统（以下简称JHSE），就基于宿主型自主访问控制机制保障操作系统的安全。此外，JHSE还采用了强制访问控制模型，为访问主体和受保护的客体分配不同的安全级别属性，在实施访问控制的过程中，系统将对主体和客体的安全级别属性进行比较，之后再决定主体是否可以访问受保护的客体，从而实现了细粒度的安全访问控制机制。

完善自主访问控制机制

为了提升信息系统的安全防护能力，我国颁布了《信息安全等级保护管理办法》，并制定了一系列国家标准，为用户开展信息安全等级保护工作提供指导意义。其中，《GB/T 20272-2006信息安全技术-操作系统安全技术要求》是专门针对操作系统安全防护的国家标准，该标准在“自主访问控制”部分提出了明确的要求：“客体的拥有者应是唯一有权修改客体访问权限的主体，拥有者对其拥有的客体应具有全部控制权，但是，不充许客体拥有者把该客体的控制权分配给其他主体。”

从技术要求的细节上看，满足等级保护标准的自主访问控制机制实质上是宿主型自主访问控制。在这种机制下，用户需要对客体设置一个拥有者，并使其成为唯一有权访问该客体访问控制表的主体，确保了受保护客体访问控制表控制权的唯一性，有效规避由于系统管理员信息泄露而给系统带来的巨大危害，同时也限制了病毒对系统的破坏行为，帮助用户提升防病毒、防黑客攻击的能力。

令人欣喜的是，目前国内已经出现了一些满足等级保护操作系统技术要求的安全产品，可以相信，随着安全技术的持续进步和用户安全意识的不断增强，操作系统将会在面对病毒、木马及黑客攻击时扭转不利局面，为整体信息系统的安全运行提供可靠支撑。