基于Linux的电力办公桌面操作系统安全性研究

2016-08-26张春光李祉岐浩ZHANGChunguangLIQiqiWUShunLAIJiJIANGHao北京国电通网络技术有限公司北京00070国网冀北电力有限公司信息通信分公司北京0005国网荆州供电公司荆州44007

制造业自动化 2016年6期

张春光，李祉岐，吴　舜，来　骥，江　浩ZHANG Chun-guang，　LI Qi-qi，　WU Shun，　LAI Ji，　JIANG Hao（.北京国电通网络技术有限公司，北京00070；.国网冀北电力有限公司信息通信分公司，北京 0005；.国网荆州供电公司，荆州 44007）

张春光1，李祉岐1，吴舜2，来骥2，江浩3
ZHANG Chun-guang1，LI Qi-qi1，WU Shun2，LAI Ji2，JIANG Hao3
（1.北京国电通网络技术有限公司，北京100070；2.国网冀北电力有限公司信息通信分公司，北京 100053；3.国网荆州供电公司，荆州 434007）

电力办公桌面操作系统基于开源社区稳定Linux内核进行国产化定制开发。重点分析了Linux操作系统自身安全架构存在的安全隐患，并结合电力办公桌面操作系统的业务特点，对电力办公桌面操作系统的安全模块进行了设计，完成了系统安全加固，极大的提高了电力办公桌面操作系统的安全性。

操作系统；安全性；访问控制

0　引言

近年来，Windows XP停止了官方服务，操作系统的安全性受到一定的威胁，同时，“棱镜门”、斯诺登等安全事件的不断发生，给我们敲响了信息安全的警钟，企业信息安全和网络安全越来越引起人们的关注。

在国家自主可控战略的指导下，基于开源社区稳定Linux内核开发的国产操作系统迎来了快速发展的机遇，由于国产操作系统涉及政府、国防、能源、金融等关系国计民生、国家安全等领域，如何保障国产操作系统的应用安全成为大家关注的焦点问题。

1　Linux的安全隐患

Linux操作系统作为一种类似UINX的系统，在开放、自由思想的指导下，全世界成千上万的IT精英参与到系统的安全性开发中，安全性得到很大程度的保障。但大规模应用在政府、金融、能源电力等关系民生国计的行业时，其安全性仍然存在一定局限性，面临着很大的安全挑战。主要体现在以下四方面：

1）超级用户root拥有特权，其权限过大

root超级用户在DAC（Discretionary Access Control）中不受任何限制，一旦获得超级管理员root的权限，便可完全控制计算机，因此操作系统对抵御外界攻击超级管理员root的要求异常苛刻，如若该权限被窃取，则系统便被曝露在任人宰割的危险之下。

2）缓冲区溢出

在部分程序内，时常会缺少对预留缓冲区的边界检测，如果执行程序一旦发生缓冲区越界，就会产生错误操作，导致程序运行紊乱。通常情形下，系统堆栈参数会发生重置，函数的返回地址被修改，因而跳转至错误代码或程序安全控制代码，例如权限分配。

3）扫描工具

扫描工具，作为系统安全漏洞检测工具，可根据用户需求对系统进行定期或非定期扫描以检测主机安全。扫描工具自身不具有攻击性，但当其被配置为恶意攻击脚本自动攻击系统时，就会产生危害。为避免因扫描工具带来的威胁导致的系统崩溃，需要系统对日志文件中的端口扫描记录进行监查。

4）拒绝服务性攻击

在迅猛发展的网络时代背景下，拒绝服务性攻击愈发常态化。例如smurf，在多路广播网络中，通过向主机发送含有非真实源地址的大量ICMP数据包，引发主机响应每一个数据包，导致系统忙于应付，直至瘫痪。一般情况下，拒绝服务性攻击是由普通网络用户窃入高速网络的主机，强制安装工具，从主机发动攻击。

2　电力操作系统安全设计

基于LINUX系统较成熟的SELinux安全子系统框架，综合考虑电力办公场景对桌面操作系统安全性的要求，对电力办公桌面操作系统进行了安全模块的设计，安全模块以插件的模式通过SELinux安全子系统框架与内核对接交互，主体对客体的操作都经过安全策略模块的决策通过后才能执行，从而保证操作系统访问控制的安全。

电力办公桌面操作系统支持国际最新可信规范TPM2.0，支持TCM/TPCM可信芯片，在提供可信引导、可信启动、可信运行，并在可信芯片的基础上，实现可信链的建立以及动态扩展。电力办公桌面操作系统不仅提供对进程的动态度量，还对系统文件完整性进行度量保护，实现可信芯片上层的可信功能。无论是在物理主机还是在虚拟化平台上，都实现了信任链保证系统的安全。

系统采用可信grub引导、可信启动、进程运行控制、基于TPM的虚拟智能卡登录认证和基于TCM/TPM的安全保密箱等可信功能来缓解系统所受到的安全威胁，实现操作系统底座的安全，通过权限管理、访问控制、数据加密、操作审计等多种技术确保操作系统的安全可靠。同时在实现电力办公桌面操作系统的高安全性的同时，兼顾电力办公桌面操作系统的易用性，提高系统的管理效率。

2.1可信引导

为保证操作系统在启动之前的安全，系统以TCM芯片为信任根，构建了TCM→BIOS→MBR→OS Loader →Kernel→App完整的信任链，在信任扩展的过程中采用信用度量和报告机制，在系统引导启动过程中对引导文件进行安全度量，阻止可疑的、不可信的本地配置启动。

图1　系统安全框架图

2.2内核级可信功能

电力办公桌面操作系统基于国产可信芯片，从不同的层面对系统内核、运行进程和相关文件进行安全可信度量，从内核层确保操作系统的安全可信。主要包括以下四点：

1）内核与应用层的可信接口；

2）内核的可信度量；

3）运行进程的可信度量；

4）特殊文件的可信度量。

图2　内核可信计算架构图

2.3上层应用可信功能

基于国产TCM芯片，电力办公桌面操作系统能够提供上层应用的可信功能，主要包括：登录认证、存储加密、文件签名等可信功能。

2.4安全管理中心（SMC）

安全管理中心（SMC）是一种图形化、集中式的技术框架，能够统一管理和控制各类安全机制，有效平衡了系统的安全性和易用性。

安全管理中心（SMC），作为安全管理软件，具有图形化、集中式的特点，可通过远程Web对系统进行集中式管理，包括以下五个子系统，分别为：系统管理、安全策略、认证与授权子、报表和审计。

安全管理中心（SMC），同时是一款全面的安全防护软件，可对网络安全服务提供良好的安全加固和防护。

3　增强的安全特性

3.1三权分立机制

超级用户权限过大，给系统安全带来了极大的威胁，为了提高系统的安全性，电力办公桌面操作系统禁用超级用户root，使用三个特权角色来取代超级用户的方案。系统管理员（默认角色）、安全管理员和安全审计员，共三个角色，分享了超级用户root权限，并相互监督、相互制约，无论是在用户登录，还是系统运行期间进行身份切换时，在同一时刻特权用户只能具备上述三个角色中的一种，而且每个角色都是独立进行鉴别的，口令和双因子认证也是根据角色来制定的，原来超级用户所具有的权限一分为三，三者相互制约。

系统管理员（sysadm_r），负责系统维护管理；安全管理员（secadm_r），负责系统安全相关的管理和维护；安全审计员（auditadm_r），负责系统安全审计。其他用户则默认分配一个普通用户角色（user_r）。

3.2双因子认证体系

用户数字证书的颁发和管理是以标准格式的数字认证中心，安装在安全载体Ukey内实现的。该证书可以理解为在计算机上使用的身份标识，也可以理解为是在计算机上的“身份证”。

在登录时借助数字证书中数字签名的功能，系统对该证书做一系列的检查，验证其有效性，并通过系统识别数字证书内容，完成特定系统用户认证功能。

3.3进程最小权限管理

电力办公桌面操作系统中每个运行的进程都有自己特定的域，各个域之间通过安全上下文来区分，而系统中所有客体资源也同样被标记上安全上下文；系统通过存取向量在策略中对进程可执行操作进行预设，程序按照系统赋予的最小运行权限完成所需的任务操作。

图3　三权分立示意图

3.4强制访问控制

SELlinux系统作为Linux系统所下属的一个子系统，具有强制访问的功能，鉴于其功效，该系统构成了安全系统的重要组成部分。系统以数据机密性和数据完整性的信息隔离为基础，采用三权分立方式进行管理，能够有效抵御欺骗和试图旁路安全机制的威胁，有效降低了恶意代码和应用程序缺陷产生的危害。SELinux具有安全策略模型多样化、策略变换灵活的特点，可以采用类型实施（TE）、基于角色的访问控制（RBAC）和多级安全技术（MLS）等手段完成系统安全保障。

3.5数据加密存储与保护

安全保密箱，能够对私有数据进行安全、有效的保护。受保护数据以密文的形式存储在磁盘上，用户不用担心非法入侵者通过直接读磁盘等方式所实施的攻击。密文被保存在一个容器中，容器可以是一个文件，也可以是任何合法的块设备，如软驱、硬盘分区等。通过把容器作为一个文件系统挂载到一个挂载点，便可以对容器中的内容进行存取、修改。其中，加密算法模块为安全保密箱提供了数据加密服务。它包含了加密和解密，是一种独立内核模式驱动程序。

3.6增强的安全审计

安全审计，主要采取事后追查的方式来维护系统的安全，因此其需要对任何与操作系统安全相关的操作进行记录，以备系统安全问题发生时有效追查产生危害的责任人、时间、地点和过程细节。审计多为事后追责，无法有效杜绝安全问题发生，如何才能有效利用安全审计达到预防效果呢？以审计为基础，融合主动防御措