基于Linux的電力辦公桌面操作系統(tǒng)安全性研究

張春光，李祉岐，吳　舜，來　驥，江　浩ZHANG Chun-guang，　LI Qi-qi，　WU Shun，　LAI Ji，　JIANG Hao（.北京國電通網(wǎng)絡(luò)技術(shù)有限公司，北京00070；.國網(wǎng)冀北電力有限公司信息通信分公司，北京 0005；.國網(wǎng)荊州供電公司，荊州 44007）

基于Linux的電力辦公桌面操作系統(tǒng)安全性研究

張春光1，李祉岐1，吳舜2，來驥2，江浩3
ZHANG Chun-guang1，LI Qi-qi1，WU Shun2，LAI Ji2，JIANG Hao3
（1.北京國電通網(wǎng)絡(luò)技術(shù)有限公司，北京100070；2.國網(wǎng)冀北電力有限公司信息通信分公司，北京 100053；3.國網(wǎng)荊州供電公司，荊州 434007）

電力辦公桌面操作系統(tǒng)基于開源社區(qū)穩(wěn)定Linux內(nèi)核進(jìn)行國產(chǎn)化定制開發(fā)。重點(diǎn)分析了Linux操作系統(tǒng)自身安全架構(gòu)存在的安全隱患，并結(jié)合電力辦公桌面操作系統(tǒng)的業(yè)務(wù)特點(diǎn)，對(duì)電力辦公桌面操作系統(tǒng)的安全模塊進(jìn)行了設(shè)計(jì)，完成了系統(tǒng)安全加固，極大的提高了電力辦公桌面操作系統(tǒng)的安全性。

操作系統(tǒng)；安全性；訪問控制

0　引言

近年來，Windows XP停止了官方服務(wù)，操作系統(tǒng)的安全性受到一定的威脅，同時(shí)，“棱鏡門”、斯諾登等安全事件的不斷發(fā)生，給我們敲響了信息安全的警鐘，企業(yè)信息安全和網(wǎng)絡(luò)安全越來越引起人們的關(guān)注。

在國家自主可控戰(zhàn)略的指導(dǎo)下，基于開源社區(qū)穩(wěn)定Linux內(nèi)核開發(fā)的國產(chǎn)操作系統(tǒng)迎來了快速發(fā)展的機(jī)遇，由于國產(chǎn)操作系統(tǒng)涉及政府、國防、能源、金融等關(guān)系國計(jì)民生、國家安全等領(lǐng)域，如何保障國產(chǎn)操作系統(tǒng)的應(yīng)用安全成為大家關(guān)注的焦點(diǎn)問題。

1　Linux的安全隱患

Linux操作系統(tǒng)作為一種類似UINX的系統(tǒng)，在開放、自由思想的指導(dǎo)下，全世界成千上萬的IT精英參與到系統(tǒng)的安全性開發(fā)中，安全性得到很大程度的保障。但大規(guī)模應(yīng)用在政府、金融、能源電力等關(guān)系民生國計(jì)的行業(yè)時(shí)，其安全性仍然存在一定局限性，面臨著很大的安全挑戰(zhàn)。主要體現(xiàn)在以下四方面：

1）超級(jí)用戶root擁有特權(quán)，其權(quán)限過大

root超級(jí)用戶在DAC（Discretionary Access Control）中不受任何限制，一旦獲得超級(jí)管理員root的權(quán)限，便可完全控制計(jì)算機(jī)，因此操作系統(tǒng)對(duì)抵御外界攻擊超級(jí)管理員root的要求異常苛刻，如若該權(quán)限被竊取，則系統(tǒng)便被曝露在任人宰割的危險(xiǎn)之下。

2）緩沖區(qū)溢出

在部分程序內(nèi)，時(shí)常會(huì)缺少對(duì)預(yù)留緩沖區(qū)的邊界檢測(cè)，如果執(zhí)行程序一旦發(fā)生緩沖區(qū)越界，就會(huì)產(chǎn)生錯(cuò)誤操作，導(dǎo)致程序運(yùn)行紊亂。通常情形下，系統(tǒng)堆棧參數(shù)會(huì)發(fā)生重置，函數(shù)的返回地址被修改，因而跳轉(zhuǎn)至錯(cuò)誤代碼或程序安全控制代碼，例如權(quán)限分配。

3）掃描工具

掃描工具，作為系統(tǒng)安全漏洞檢測(cè)工具，可根據(jù)用戶需求對(duì)系統(tǒng)進(jìn)行定期或非定期掃描以檢測(cè)主機(jī)安全。掃描工具自身不具有攻擊性，但當(dāng)其被配置為惡意攻擊腳本自動(dòng)攻擊系統(tǒng)時(shí)，就會(huì)產(chǎn)生危害。為避免因掃描工具帶來的威脅導(dǎo)致的系統(tǒng)崩潰，需要系統(tǒng)對(duì)日志文件中的端口掃描記錄進(jìn)行監(jiān)查。

4）拒絕服務(wù)性攻擊

在迅猛發(fā)展的網(wǎng)絡(luò)時(shí)代背景下，拒絕服務(wù)性攻擊愈發(fā)常態(tài)化。例如smurf，在多路廣播網(wǎng)絡(luò)中，通過向主機(jī)發(fā)送含有非真實(shí)源地址的大量ICMP數(shù)據(jù)包，引發(fā)主機(jī)響應(yīng)每一個(gè)數(shù)據(jù)包，導(dǎo)致系統(tǒng)忙于應(yīng)付，直至癱瘓。一般情況下，拒絕服務(wù)性攻擊是由普通網(wǎng)絡(luò)用戶竊入高速網(wǎng)絡(luò)的主機(jī)，強(qiáng)制安裝工具，從主機(jī)發(fā)動(dòng)攻擊。

2　電力操作系統(tǒng)安全設(shè)計(jì)

基于LINUX系統(tǒng)較成熟的SELinux安全子系統(tǒng)框架，綜合考慮電力辦公場(chǎng)景對(duì)桌面操作系統(tǒng)安全性的要求，對(duì)電力辦公桌面操作系統(tǒng)進(jìn)行了安全模塊的設(shè)計(jì)，安全模塊以插件的模式通過SELinux安全子系統(tǒng)框架與內(nèi)核對(duì)接交互，主體對(duì)客體的操作都經(jīng)過安全策略模塊的決策通過后才能執(zhí)行，從而保證操作系統(tǒng)訪問控制的安全。

電力辦公桌面操作系統(tǒng)支持國際最新可信規(guī)范TPM2.0，支持TCM/TPCM可信芯片，在提供可信引導(dǎo)、可信啟動(dòng)、可信運(yùn)行，并在可信芯片的基礎(chǔ)上，實(shí)現(xiàn)可信鏈的建立以及動(dòng)態(tài)擴(kuò)展。電力辦公桌面操作系統(tǒng)不僅提供對(duì)進(jìn)程的動(dòng)態(tài)度量，還對(duì)系統(tǒng)文件完整性進(jìn)行度量保護(hù)，實(shí)現(xiàn)可信芯片上層的可信功能。無論是在物理主機(jī)還是在虛擬化平臺(tái)上，都實(shí)現(xiàn)了信任鏈保證系統(tǒng)的安全。

系統(tǒng)采用可信grub引導(dǎo)、可信啟動(dòng)、進(jìn)程運(yùn)行控制、基于TPM的虛擬智能卡登錄認(rèn)證和基于TCM/TPM的安全保密箱等可信功能來緩解系統(tǒng)所受到的安全威脅，實(shí)現(xiàn)操作系統(tǒng)底座的安全，通過權(quán)限管理、訪問控制、數(shù)據(jù)加密、操作審計(jì)等多種技術(shù)確保操作系統(tǒng)的安全可靠。同時(shí)在實(shí)現(xiàn)電力辦公桌面操作系統(tǒng)的高安全性的同時(shí)，兼顧電力辦公桌面操作系統(tǒng)的易用性，提高系統(tǒng)的管理效率。

2.1可信引導(dǎo)

為保證操作系統(tǒng)在啟動(dòng)之前的安全，系統(tǒng)以TCM芯片為信任根，構(gòu)建了TCM→BIOS→MBR→OS Loader →Kernel→App完整的信任鏈，在信任擴(kuò)展的過程中采用信用度量和報(bào)告機(jī)制，在系統(tǒng)引導(dǎo)啟動(dòng)過程中對(duì)引導(dǎo)文件進(jìn)行安全度量，阻止可疑的、不可信的本地配置啟動(dòng)。

圖1　系統(tǒng)安全框架圖

2.2內(nèi)核級(jí)可信功能

電力辦公桌面操作系統(tǒng)基于國產(chǎn)可信芯片，從不同的層面對(duì)系統(tǒng)內(nèi)核、運(yùn)行進(jìn)程和相關(guān)文件進(jìn)行安全可信度量，從內(nèi)核層確保操作系統(tǒng)的安全可信。主要包括以下四點(diǎn)：

1）內(nèi)核與應(yīng)用層的可信接口；

2）內(nèi)核的可信度量；

3）運(yùn)行進(jìn)程的可信度量；

4）特殊文件的可信度量。

圖2　內(nèi)核可信計(jì)算架構(gòu)圖

2.3上層應(yīng)用可信功能

基于國產(chǎn)TCM芯片，電力辦公桌面操作系統(tǒng)能夠提供上層應(yīng)用的可信功能，主要包括：登錄認(rèn)證、存儲(chǔ)加密、文件簽名等可信功能。

2.4安全管理中心（SMC）

安全管理中心（SMC）是一種圖形化、集中式的技術(shù)框架，能夠統(tǒng)一管理和控制各類安全機(jī)制，有效平衡了系統(tǒng)的安全性和易用性。

安全管理中心（SMC），作為安全管理軟件，具有圖形化、集中式的特點(diǎn)，可通過遠(yuǎn)程Web對(duì)系統(tǒng)進(jìn)行集中式管理，包括以下五個(gè)子系統(tǒng)，分別為：系統(tǒng)管理、安全策略、認(rèn)證與授權(quán)子、報(bào)表和審計(jì)。

安全管理中心（SMC），同時(shí)是一款全面的安全防護(hù)軟件，可對(duì)網(wǎng)絡(luò)安全服務(wù)提供良好的安全加固和防護(hù)。

3　增強(qiáng)的安全特性

3.1三權(quán)分立機(jī)制

超級(jí)用戶權(quán)限過大，給系統(tǒng)安全帶來了極大的威脅，為了提高系統(tǒng)的安全性，電力辦公桌面操作系統(tǒng)禁用超級(jí)用戶root，使用三個(gè)特權(quán)角色來取代超級(jí)用戶的方案。系統(tǒng)管理員（默認(rèn)角色）、安全管理員和安全審計(jì)員，共三個(gè)角色，分享了超級(jí)用戶root權(quán)限，并相互監(jiān)督、相互制約，無論是在用戶登錄，還是系統(tǒng)運(yùn)行期間進(jìn)行身份切換時(shí)，在同一時(shí)刻特權(quán)用戶只能具備上述三個(gè)角色中的一種，而且每個(gè)角色都是獨(dú)立進(jìn)行鑒別的，口令和雙因子認(rèn)證也是根據(jù)角色來制定的，原來超級(jí)用戶所具有的權(quán)限一分為三，三者相互制約。

系統(tǒng)管理員（sysadm_r），負(fù)責(zé)系統(tǒng)維護(hù)管理；安全管理員（secadm_r），負(fù)責(zé)系統(tǒng)安全相關(guān)的管理和維護(hù)；安全審計(jì)員（auditadm_r），負(fù)責(zé)系統(tǒng)安全審計(jì)。其他用戶則默認(rèn)分配一個(gè)普通用戶角色（user_r）。

3.2雙因子認(rèn)證體系

用戶數(shù)字證書的頒發(fā)和管理是以標(biāo)準(zhǔn)格式的數(shù)字認(rèn)證中心，安裝在安全載體Ukey內(nèi)實(shí)現(xiàn)的。該證書可以理解為在計(jì)算機(jī)上使用的身份標(biāo)識(shí)，也可以理解為是在計(jì)算機(jī)上的“身份證”。

在登錄時(shí)借助數(shù)字證書中數(shù)字簽名的功能，系統(tǒng)對(duì)該證書做一系列的檢查，驗(yàn)證其有效性，并通過系統(tǒng)識(shí)別數(shù)字證書內(nèi)容，完成特定系統(tǒng)用戶認(rèn)證功能。

3.3進(jìn)程最小權(quán)限管理

電力辦公桌面操作系統(tǒng)中每個(gè)運(yùn)行的進(jìn)程都有自己特定的域，各個(gè)域之間通過安全上下文來區(qū)分，而系統(tǒng)中所有客體資源也同樣被標(biāo)記上安全上下文；系統(tǒng)通過存取向量在策略中對(duì)進(jìn)程可執(zhí)行操作進(jìn)行預(yù)設(shè)，程序按照系統(tǒng)賦予的最小運(yùn)行權(quán)限完成所需的任務(wù)操作。

圖3　三權(quán)分立示意圖

3.4強(qiáng)制訪問控制

SELlinux系統(tǒng)作為Linux系統(tǒng)所下屬的一個(gè)子系統(tǒng)，具有強(qiáng)制訪問的功能，鑒于其功效，該系統(tǒng)構(gòu)成了安全系統(tǒng)的重要組成部分。系統(tǒng)以數(shù)據(jù)機(jī)密性和數(shù)據(jù)完整性的信息隔離為基礎(chǔ)，采用三權(quán)分立方式進(jìn)行管理，能夠有效抵御欺騙和試圖旁路安全機(jī)制的威脅，有效降低了惡意代碼和應(yīng)用程序缺陷產(chǎn)生的危害。SELinux具有安全策略模型多樣化、策略變換靈活的特點(diǎn)，可以采用類型實(shí)施（TE）、基于角色的訪問控制（RBAC）和多級(jí)安全技術(shù)（MLS）等手段完成系統(tǒng)安全保障。

3.5數(shù)據(jù)加密存儲(chǔ)與保護(hù)

安全保密箱，能夠?qū)λ接袛?shù)據(jù)進(jìn)行安全、有效的保護(hù)。受保護(hù)數(shù)據(jù)以密文的形式存儲(chǔ)在磁盤上，用戶不用擔(dān)心非法入侵者通過直接讀磁盤等方式所實(shí)施的攻擊。密文被保存在一個(gè)容器中，容器可以是一個(gè)文件，也可以是任何合法的塊設(shè)備，如軟驅(qū)、硬盤分區(qū)等。通過把容器作為一個(gè)文件系統(tǒng)掛載到一個(gè)掛載點(diǎn)，便可以對(duì)容器中的內(nèi)容進(jìn)行存取、修改。其中，加密算法模塊為安全保密箱提供了數(shù)據(jù)加密服務(wù)。它包含了加密和解密，是一種獨(dú)立內(nèi)核模式驅(qū)動(dòng)程序。

3.6增強(qiáng)的安全審計(jì)

安全審計(jì)，主要采取事后追查的方式來維護(hù)系統(tǒng)的安全，因此其需要對(duì)任何與操作系統(tǒng)安全相關(guān)的操作進(jìn)行記錄，以備系統(tǒng)安全問題發(fā)生時(shí)有效追查產(chǎn)生危害的責(zé)任人、時(shí)間、地點(diǎn)和過程細(xì)節(jié)。審計(jì)多為事后追責(zé)，無法有效杜絕安全問題發(fā)生，如何才能有效利用安全審計(jì)達(dá)到預(yù)防效果呢？以審計(jì)為基礎(chǔ)，融合主動(dòng)防御措

圖4　安全審計(jì)結(jié)構(gòu)圖

表1　電力辦公桌面操作系統(tǒng)和開源LINUX操作系統(tǒng)安全性對(duì)比說明

【】【】施，例如預(yù)警等，在危害發(fā)生前通知管理員或采取既定措施阻止危險(xiǎn)操作。

重點(diǎn)審計(jì)的事件類型有：鑒別驗(yàn)證機(jī)制（如登錄過程），對(duì)象引入用戶空間（如創(chuàng)建文件），客體的刪除和修改，特權(quán)用戶（系統(tǒng)管理員和安全管理員等）進(jìn)行的管理操作。

電力辦公桌面操作系統(tǒng)可利用增強(qiáng)的安全審計(jì)子系統(tǒng)完成進(jìn)程級(jí)安全審計(jì)，能夠?qū)徲?jì)日志進(jìn)行創(chuàng)建、維護(hù)和保護(hù)，避免遭到非法訪問、破壞和修改。

系統(tǒng)安全審計(jì)子系統(tǒng)體系結(jié)構(gòu)如圖4所示。

4　結(jié)束語

伴隨計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的日趨成熟和應(yīng)用的日益普遍，計(jì)算機(jī)系統(tǒng)安全愈來愈受到大家矚目。計(jì)算機(jī)系統(tǒng)的意外損毀或遭受破壞，會(huì)對(duì)日常工作造成嚴(yán)重的影響，特別是國家企事業(yè)單位，將會(huì)因此產(chǎn)生難以估量的損失。強(qiáng)化計(jì)算機(jī)系統(tǒng)安全，是在信息化建設(shè)過程中不可忽視的一項(xiàng)重要工作。

電力辦公桌面操作系統(tǒng)在通用操作系統(tǒng)安全基礎(chǔ)上實(shí)現(xiàn)內(nèi)核級(jí)安全增強(qiáng)和系統(tǒng)加固與優(yōu)化，一方面有效解決用戶的實(shí)際安全需求，另一方面也最大限度的保證了系統(tǒng)的易用性與兼容性。

［1］ 鳥哥，鳥哥的linux私房菜［M］.人民郵電出版社.

［2］ 劉海燕，王子強(qiáng)，邵立嵩安全分析檢測(cè)安全增強(qiáng)［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2005，26（1）:100-103.

［3］ 楊登摹.基于Linux系統(tǒng)的安全分析與防范策略［J］.福建電腦，2009（05）.

［4］ 李遠(yuǎn)征.操作系統(tǒng)訪問控制模型關(guān)鍵技術(shù)研究［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2005，26（4）.

［5］ 夏世遠(yuǎn).基于Linux的安全操作系統(tǒng)的審計(jì)機(jī)制的研究與實(shí)現(xiàn)［D］.北京交通大學(xué)，2004.

The research on the security of electric power system based on Linux

TP316

A

1009-0134（2016）06-0117-04

2016-04-11

張春光（1978 -），男，遼寧丹東人，高級(jí)工程師，碩士，主要研究方向?yàn)殡娏π畔⑾到y(tǒng)。