向华伟

（云南电网有限责任公司信息中心 云南省昆明市 650011）

1 基于Linux的桌面操作系统常见安全隐患

对于提供网络服务的操作系统而言，其安全隐患主要来自于网络通信安全、非法入侵等方面，而对于桌面操作系统而言，其所面临的安全隐患则主要表现为以下几个方面：

（1）攻击者入侵。攻击者为窃取重要机密数据或非法修改系统而实施入侵，其主要通过身份掩护而非法获取合法用户口令来进行非法操作；另外，攻击者利用系统安全漏洞或管理员所不熟悉的操作指令实施入侵。

（2）非法使用或操作不当。合法用户在未经授权的情况下越过系统的安全检查访问或使用某些数据、资源等情况；或是在授权访问的情况下，用户操作不当或错误使用系统某些功能而导致重要数据信息泄密。

（3）超级用户root 权限过大。超级用户root 因权限过大而不受到任何限制与制约，因此，一旦攻击者非法获得超级用户root 权限，就能获得计算机的完全控制权，从而导致系统处于“任人宰割”的危险之中。

（4）恶意程序威胁。因部分机器存在弱口令而被攻击者植入病毒，或入侵者绕过系统安全控制设置后门，或通过植入逻辑炸弹代码的形式对计算机程序进行破坏，一旦触发恶意程序就会导致出现灾难性后果，例如某个进程无法正常运行、重要磁盘分区被删除、重要数据被破坏等，从而使系统出现死机、瘫痪等。

2 基于Linux的桌面操作系统安全防范策略

2.1 安全设计

2.1.1 安全设计原则

首先，全面性原则。由于攻击者所采用的“最易渗透原则”，也决定了其往往会选择系统的薄弱环节发动攻击，因此，全面分析系统的漏洞及潜在安全隐患，并对系统的安全性能做好评估及检测，进而有效提升系统“安全最低点”的安全性能。其次，公开性原则。为减少或防止攻击者入侵而对桌面操作系统的工作原理进行一味保密的，在很大程度上会对管理员造成迷惑而导致误操作。另外，易操作原则。如若系统的安全防护措施过于复杂，就会使操作难度大大提升，并加大了对管理人员的要求，这也在一定程度上降低了系统安全性。此外，最小特权原则。系统程序的执行应按照最小特权原则，严禁越权调用或执行与程序不相关的程序，或禁止越权访问超过权限的重要数据资源。

2.1.2 安全模块设计

以较为成熟的SELinux（全称Security Enhanced Linux 即安全强化Linux）安全子系统框架为基础，根据电力企业办公对桌面操作系统的安全需求，进行安全模块的设计，确保所有主体发起对客体的访问时均须通过安全控制策略模块的决策后方可执行，进而有效提升访问控制的安全性（如图1）。而Linux 桌面操作系统在可信安全芯片（可信平台模块）的基础上，通过可信引导、可信启动以及可信运行等建立可信链，并进一步实现了对进程的动态度量以及系统文件的度量保护，从而通过可信芯片上层的可信功能大大降低了系统所遭受的安全威胁，并通过多种安全加固技术实现了对基于安全模块的桌面操作系统的安全防护。

图1：访问控制关系示意图

图2：“三权分立”示意图

首先，可信引导。为有效确保启动系统前的安全性，可通过TCM 芯片的可信模块作为硬件可信根，建立由TCM 可信根→BIOS 固件→MBR 引导记录→OS Loader →OS Kernel 系统内核→应用层的完整信任链关系，在信任关系的进一步扩展时通过可信度量机制与相关报告保护机制，对Linux 系统引导启动时的引导文件实施安全度量与动态监控，并通过BIOS 固件及操作系统加载器及系统内核的层层检验，防止rootkit 级别的恶意程序攻击系统，阻止本地不安全以及可疑的配置启动，并在终端遭受外界的攻击时，实现自我保护、自我管理及恢复。

其次，内核级可信功能。基于Linux 的桌面操作系统以国产可信芯片为基础，通过多个层面实现对系统内核、运行中的进程以及重要文件的安全可信度量，进而从系统的内核层提升桌面操作系统平台的安全性与可信性。主要由以下四个方面所组成：一是，Linux 系统内核与应用层采用可信计算接口实现对重要文件进行加密解密；二是，系统内核的动态可信度量作为可信计算的关键技术，可信操作系统启动时基于硬件可信启动链，对系统状态信息的采集、度量，并判断系统是否被篡改；三是，应用进程的可信度量机制，能够将可信进程与不可信进度予以隔离，从而防止不可信进程对系统文件造成破坏，以减少因未知因素而导致攻击的可能性。四是，重要文件的可信度量，能够防止并限制病毒的越权访问，避免外界攻击造成重要文件的损坏。

另外，上层应用可信功能。基于可信芯片的可信模块，Linux桌面操作系统能够为上层应用提供可信启动、登录认证、动态监控、文件存储加密及签名等可信功能。

此外，安全管理中心（SMC）。SMC 包括配置、监控、分析、响应等四个相关联的部分，通过对整个系统的安全状态和安全趋势进行分析，从而对危害严重的安全事件及时做出反应，以保证实现对系统的安全保护与加固。

2.2 安全加固

2.2.1 引入“三权分立”

root 权限过大而给了攻击者以可乘之机，一旦攻击者非法获得root 权限，就会控制计算机而给系统安全造成威胁。而为有效提升系统的安全性，可通过禁用桌面操作系统root 权限，并引入“三权分立”安全机制的方式，即由系统管理员、安全管理员以及安全审计员三个角色共同分享root 权限，将原超级用户的root 权限进行分立（如图2），从而通过三方的相互监督与制约，使用户登录系统或在系统的运行过程中切换身份时，均能够根据不同角色予以独立鉴别，并制定相应角色的口令与双因子认证对超级用户权限予以制约。其中，系统管理员主要负责系统运行与维护，安全管理员主要负责系统安全管理与运维，安全审计员主要负责查看日志及文件等系统的安全审计工作。

2.2.2 最小权限管理

Linux 桌面操作系统中所有运行中的进程均有各自特定的域，且不同域之间主要依据安全上下文予以区分，而系统中的所有客体（文件、进程间通信、网络主机等）也同样标记上与之相关的安全标记即安全上下文。当安全上下文匹配时，才会被访问允许；反之，若安全上下文不匹配时则访问不被允许；而系统通过对应用进程的可执行操作提前预设，使程序能够按照系统预设时赋予其的最小权限完成相关的操作。该安全策略的显著优点在于最大程度限制了主体实施授权的行为，从而有效规避突发事件、操作失误以及未授权用户主体的风险。

2.2.3 强制访问控制SELinux 作为有史以来Linux 系统下最杰出的安全子系统，其所具有的强制访问控制体系，能够强制主体服从访问控制策略，具有限制主体或发起者访问或对对象或目标执行某种操作的能力，例如，能够指明某一进程能够访问哪些资源。当主体尝试访问对象时，系统内核强制实行授权规则，检查其是否安全并决定是否能够进行访问，任何主体进行任何目标对象的访问时，都将根据一组控制策略即授权规则进行认证，并决定该访问操作是否允许。通过强制访问控制，能够显著增强系统抵御攻击的能力，有效地防止特洛伊木马攻击以及root 身份冒用、盗用或误操作等而对系统造成的安全威胁。因此，对于非常注重数据安全的政府、能源以及电力等企业级用户，通过SELinux 的应用能够有效增强系统的安全性以及资源访问的安全性。

2.2.4 数据加密存储

利用安全数据保密箱，能够保护重要数据以密文的形式进行存储，从而有效防止了入侵者通过读取磁盘而对系统发动攻击，并窃取重要数据。加密的密文存储在“容器”里，而存储密文的容器既有可能是一个文件，也可能是软驱、硬盘分区等合法的设备。而通过将存储密文的容器作为文件系统挂载至某个挂载点，便能对容器内的数据进行存取或修改操作，从而大大提升了存储数据安全性。其中，加密算法模块作为独立内核模式驱动程序，能够对保密箱内的重要数据进行加密、解密，从而实现对重要数据安全的保护。

2.2.5 增强安全审计

安全审计即是通过事后追踪的形式检查系统漏洞及安全隐患来提升系统的安全性，安全审计通过对所有涉及系统安全的相关操作予以记录，以确保在系统受到攻击时能够及时追踪查找对系统造成威胁的具体时间、地点、人员以及过程细节等。由于审计主要通过事后追责，因此，无法做到对系统安全的主动防御与保护。因而，如何通过安全审计实现对系统安全威胁的有效防护，抵御不断发生的入侵行为，成为当前安全管理人员的工作重点。对此，可基于安全审计并融合相应的主动防御措施，如安全威胁预警等，使安全威胁发生前通过预警提前通知系统管理员或采取相应的安全防御措施对威胁系统的行为进行阻止。

增强的安全审计中审计日志主要对以下几类事件类型予以重点记录，包括：身份鉴别验证机制（在登录系统的过程中对用户身份的安全性进行验证），客体资源的修改或删除（被操作的信息、资源、对象等被入侵者删除或篡改，如篡改文件访问权限等），特权访问滥用（系统管理员以及安全管理员的操作行为予以审计），对象导入用户空间（如创建文件等）等实施管理操作。其中，基于Linux 的桌面操作系统能够通过增强的安全审计子系统对进程级安全审计，并通过创建以及保护审计日志，从而防止受到入侵者的非法访问、破坏与修改。

3 结语

“系统安全无小事”，尤其是对于关系着“民生”与“国计”的电网企业而言，其所用操作系统是否安全稳定、是否难于被攻破极为关键。而受益于Linux 可高度自定制、自带多种安全工具等先天优势，其较其它常用操作系统而言更加的安全可信赖。但任何系统的安防均离不开勤于维护，因此，相应系统设计、维护人员务须对Linux 的常见系统缺陷与安全隐患做到“了如指掌”，并于系统的选定、设计、维护之中切实做到全面统筹、追求完美，竭尽己能的将潜在系统漏洞予以妥善修复与全面加防，力促操作系统“完美无瑕”，为电网的安稳运营“保驾护航”。