APP下载

基于Linux的电力办公桌面操作系统安全性研究

2016-08-26张春光李祉岐浩ZHANGChunguangLIQiqiWUShunLAIJiJIANGHao北京国电通网络技术有限公司北京00070国网冀北电力有限公司信息通信分公司北京0005国网荆州供电公司荆州44007

制造业自动化 2016年6期
关键词:系统安全内核办公

张春光,李祉岐,吴 舜,来 骥,江 浩ZHANG Chun-guang, LI Qi-qi, WU Shun, LAI Ji, JIANG Hao(.北京国电通网络技术有限公司,北京00070;.国网冀北电力有限公司信息通信分公司,北京 0005;.国网荆州供电公司,荆州 44007)

基于Linux的电力办公桌面操作系统安全性研究

张春光1,李祉岐1,吴舜2,来骥2,江浩3
ZHANG Chun-guang1,LI Qi-qi1,WU Shun2,LAI Ji2,JIANG Hao3
(1.北京国电通网络技术有限公司,北京100070;2.国网冀北电力有限公司信息通信分公司,北京 100053;3.国网荆州供电公司,荆州 434007)

电力办公桌面操作系统基于开源社区稳定Linux内核进行国产化定制开发。重点分析了Linux操作系统自身安全架构存在的安全隐患,并结合电力办公桌面操作系统的业务特点,对电力办公桌面操作系统的安全模块进行了设计,完成了系统安全加固,极大的提高了电力办公桌面操作系统的安全性。

操作系统;安全性;访问控制

0 引言

近年来,Windows XP停止了官方服务,操作系统的安全性受到一定的威胁,同时,“棱镜门”、斯诺登等安全事件的不断发生,给我们敲响了信息安全的警钟,企业信息安全和网络安全越来越引起人们的关注。

在国家自主可控战略的指导下,基于开源社区稳定Linux内核开发的国产操作系统迎来了快速发展的机遇,由于国产操作系统涉及政府、国防、能源、金融等关系国计民生、国家安全等领域,如何保障国产操作系统的应用安全成为大家关注的焦点问题。

1 Linux的安全隐患

Linux操作系统作为一种类似UINX的系统,在开放、自由思想的指导下,全世界成千上万的IT精英参与到系统的安全性开发中,安全性得到很大程度的保障。但大规模应用在政府、金融、能源电力等关系民生国计的行业时,其安全性仍然存在一定局限性,面临着很大的安全挑战。主要体现在以下四方面:

1)超级用户root拥有特权,其权限过大

root超级用户在DAC(Discretionary Access Control)中不受任何限制,一旦获得超级管理员root的权限,便可完全控制计算机,因此操作系统对抵御外界攻击超级管理员root的要求异常苛刻,如若该权限被窃取,则系统便被曝露在任人宰割的危险之下。

2)缓冲区溢出

在部分程序内,时常会缺少对预留缓冲区的边界检测,如果执行程序一旦发生缓冲区越界,就会产生错误操作,导致程序运行紊乱。通常情形下,系统堆栈参数会发生重置,函数的返回地址被修改,因而跳转至错误代码或程序安全控制代码,例如权限分配。

3)扫描工具

扫描工具,作为系统安全漏洞检测工具,可根据用户需求对系统进行定期或非定期扫描以检测主机安全。扫描工具自身不具有攻击性,但当其被配置为恶意攻击脚本自动攻击系统时,就会产生危害。为避免因扫描工具带来的威胁导致的系统崩溃,需要系统对日志文件中的端口扫描记录进行监查。

4)拒绝服务性攻击

在迅猛发展的网络时代背景下,拒绝服务性攻击愈发常态化。例如smurf,在多路广播网络中,通过向主机发送含有非真实源地址的大量ICMP数据包,引发主机响应每一个数据包,导致系统忙于应付,直至瘫痪。一般情况下,拒绝服务性攻击是由普通网络用户窃入高速网络的主机,强制安装工具,从主机发动攻击。

2 电力操作系统安全设计

基于LINUX系统较成熟的SELinux安全子系统框架,综合考虑电力办公场景对桌面操作系统安全性的要求,对电力办公桌面操作系统进行了安全模块的设计,安全模块以插件的模式通过SELinux安全子系统框架与内核对接交互,主体对客体的操作都经过安全策略模块的决策通过后才能执行,从而保证操作系统访问控制的安全。

电力办公桌面操作系统支持国际最新可信规范TPM2.0,支持TCM/TPCM可信芯片,在提供可信引导、可信启动、可信运行,并在可信芯片的基础上,实现可信链的建立以及动态扩展。电力办公桌面操作系统不仅提供对进程的动态度量,还对系统文件完整性进行度量保护,实现可信芯片上层的可信功能。无论是在物理主机还是在虚拟化平台上,都实现了信任链保证系统的安全。

系统采用可信grub引导、可信启动、进程运行控制、基于TPM的虚拟智能卡登录认证和基于TCM/TPM的安全保密箱等可信功能来缓解系统所受到的安全威胁,实现操作系统底座的安全,通过权限管理、访问控制、数据加密、操作审计等多种技术确保操作系统的安全可靠。同时在实现电力办公桌面操作系统的高安全性的同时,兼顾电力办公桌面操作系统的易用性,提高系统的管理效率。

2.1可信引导

为保证操作系统在启动之前的安全,系统以TCM芯片为信任根,构建了TCM→BIOS→MBR→OS Loader →Kernel→App完整的信任链,在信任扩展的过程中采用信用度量和报告机制,在系统引导启动过程中对引导文件进行安全度量,阻止可疑的、不可信的本地配置启动。

图1 系统安全框架图

2.2内核级可信功能

电力办公桌面操作系统基于国产可信芯片,从不同的层面对系统内核、运行进程和相关文件进行安全可信度量,从内核层确保操作系统的安全可信。主要包括以下四点:

1)内核与应用层的可信接口;

2)内核的可信度量;

3)运行进程的可信度量;

4)特殊文件的可信度量。

图2 内核可信计算架构图

2.3上层应用可信功能

基于国产TCM芯片,电力办公桌面操作系统能够提供上层应用的可信功能,主要包括:登录认证、存储加密、文件签名等可信功能。

2.4安全管理中心(SMC)

安全管理中心(SMC)是一种图形化、集中式的技术框架,能够统一管理和控制各类安全机制,有效平衡了系统的安全性和易用性。

安全管理中心(SMC),作为安全管理软件,具有图形化、集中式的特点,可通过远程Web对系统进行集中式管理,包括以下五个子系统,分别为:系统管理、安全策略、认证与授权子、报表和审计。

安全管理中心(SMC),同时是一款全面的安全防护软件,可对网络安全服务提供良好的安全加固和防护。

3 增强的安全特性

3.1三权分立机制

超级用户权限过大,给系统安全带来了极大的威胁,为了提高系统的安全性,电力办公桌面操作系统禁用超级用户root,使用三个特权角色来取代超级用户的方案。系统管理员(默认角色)、安全管理员和安全审计员,共三个角色,分享了超级用户root权限,并相互监督、相互制约,无论是在用户登录,还是系统运行期间进行身份切换时,在同一时刻特权用户只能具备上述三个角色中的一种,而且每个角色都是独立进行鉴别的,口令和双因子认证也是根据角色来制定的,原来超级用户所具有的权限一分为三,三者相互制约。

系统管理员(sysadm_r),负责系统维护管理;安全管理员(secadm_r),负责系统安全相关的管理和维护;安全审计员(auditadm_r),负责系统安全审计。其他用户则默认分配一个普通用户角色(user_r)。

3.2双因子认证体系

用户数字证书的颁发和管理是以标准格式的数字认证中心,安装在安全载体Ukey内实现的。该证书可以理解为在计算机上使用的身份标识,也可以理解为是在计算机上的“身份证”。

在登录时借助数字证书中数字签名的功能,系统对该证书做一系列的检查,验证其有效性,并通过系统识别数字证书内容,完成特定系统用户认证功能。

3.3进程最小权限管理

电力办公桌面操作系统中每个运行的进程都有自己特定的域,各个域之间通过安全上下文来区分,而系统中所有客体资源也同样被标记上安全上下文;系统通过存取向量在策略中对进程可执行操作进行预设,程序按照系统赋予的最小运行权限完成所需的任务操作。

图3 三权分立示意图

3.4强制访问控制

SELlinux系统作为Linux系统所下属的一个子系统,具有强制访问的功能,鉴于其功效,该系统构成了安全系统的重要组成部分。系统以数据机密性和数据完整性的信息隔离为基础,采用三权分立方式进行管理,能够有效抵御欺骗和试图旁路安全机制的威胁,有效降低了恶意代码和应用程序缺陷产生的危害。SELinux具有安全策略模型多样化、策略变换灵活的特点,可以采用类型实施(TE)、基于角色的访问控制(RBAC)和多级安全技术(MLS)等手段完成系统安全保障。

3.5数据加密存储与保护

安全保密箱,能够对私有数据进行安全、有效的保护。受保护数据以密文的形式存储在磁盘上,用户不用担心非法入侵者通过直接读磁盘等方式所实施的攻击。密文被保存在一个容器中,容器可以是一个文件,也可以是任何合法的块设备,如软驱、硬盘分区等。通过把容器作为一个文件系统挂载到一个挂载点,便可以对容器中的内容进行存取、修改。其中,加密算法模块为安全保密箱提供了数据加密服务。它包含了加密和解密,是一种独立内核模式驱动程序。

3.6增强的安全审计

安全审计,主要采取事后追查的方式来维护系统的安全,因此其需要对任何与操作系统安全相关的操作进行记录,以备系统安全问题发生时有效追查产生危害的责任人、时间、地点和过程细节。审计多为事后追责,无法有效杜绝安全问题发生,如何才能有效利用安全审计达到预防效果呢?以审计为基础,融合主动防御措

图4 安全审计结构图

表1 电力办公桌面操作系统和开源LINUX操作系统安全性对比说明

【】【】施,例如预警等,在危害发生前通知管理员或采取既定措施阻止危险操作。

重点审计的事件类型有:鉴别验证机制(如登录过程),对象引入用户空间(如创建文件),客体的删除和修改,特权用户(系统管理员和安全管理员等)进行的管理操作。

电力办公桌面操作系统可利用增强的安全审计子系统完成进程级安全审计,能够对审计日志进行创建、维护和保护,避免遭到非法访问、破坏和修改。

系统安全审计子系统体系结构如图4所示。

4 结束语

伴随计算机及网络技术的日趋成熟和应用的日益普遍,计算机系统安全愈来愈受到大家瞩目。计算机系统的意外损毁或遭受破坏,会对日常工作造成严重的影响,特别是国家企事业单位,将会因此产生难以估量的损失。强化计算机系统安全,是在信息化建设过程中不可忽视的一项重要工作。

电力办公桌面操作系统在通用操作系统安全基础上实现内核级安全增强和系统加固与优化,一方面有效解决用户的实际安全需求,另一方面也最大限度的保证了系统的易用性与兼容性。

[1] 鸟哥,鸟哥的linux私房菜[M].人民邮电出版社.

[2] 刘海燕,王子强,邵立嵩安全分析检测安全增强[J].计算机工程与设计,2005,26(1):100-103.

[3] 杨登摹.基于Linux系统的安全分析与防范策略[J].福建电脑,2009(05).

[4] 李远征.操作系统访问控制模型关键技术研究[J].计算机工程与设计,2005,26(4).

[5] 夏世远.基于Linux的安全操作系统的审计机制的研究与实现[D].北京交通大学,2004.

The research on the security of electric power system based on Linux

TP316

A

1009-0134(2016)06-0117-04

2016-04-11

张春光(1978 -),男,辽宁丹东人,高级工程师,硕士,主要研究方向为电力信息系统。

猜你喜欢

系统安全内核办公
新型电力系统安全稳定运行分析
多内核操作系统综述①
强化『高新』内核 打造农业『硅谷』
活化非遗文化 承启设计内核
铁路信号集中监测系统安全隔离机制研究
Sharecuse共享办公空间
X-workingspace办公空间
提升电力系统安全稳定性的有效措施探究
微软发布新Edge浏览器预览版下载换装Chrome内核
铁路信号系统安全输入输出平台