基于安全內(nèi)核的主機(jī)防護(hù)系統(tǒng)研究

摘要:隨著計(jì)算機(jī)及互聯(lián)網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)安全威脅的日益加劇，傳統(tǒng)的安全防御手段已不能完全滿足安全要求。本文提出了一種基于安全內(nèi)核結(jié)構(gòu)的主機(jī)防護(hù)系統(tǒng)，并對(duì)基于安全內(nèi)核的應(yīng)用展開了研究。

關(guān)鍵詞:安全內(nèi)核;主機(jī)防護(hù)系統(tǒng);安全操作系統(tǒng)

中圖分類號(hào):TP311文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2010)21-5849-02

Research of Host Protection System Based on Security Kernel

WANG Wei

(School of Computer and Information，Hefei University of Technology，Hefei 230009，China)

Abstract: With the wide range of computer and internet applications， network security threats growing， the traditional safe means of defense can not fully meet the safety requirements. This paper presents a security kernel based on the structure of the host defense system， and the application of kernel-based security study launched..

Key words: security kernel; host protection system; secure operating system

1 概述

隨著計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，現(xiàn)在，網(wǎng)絡(luò)應(yīng)用已經(jīng)深入到經(jīng)濟(jì)社會(huì)的各個(gè)領(lǐng)域，同時(shí)，各類安全威脅層出不窮。為了應(yīng)對(duì)這些安全威脅，各類網(wǎng)絡(luò)安全技術(shù)及網(wǎng)絡(luò)安全產(chǎn)品不斷涌現(xiàn)，如防火墻、IDS、VPN、防病毒工具等，這些安全技術(shù)及安全工具的應(yīng)用，極大地解決了網(wǎng)絡(luò)安全威脅的現(xiàn)狀，但也應(yīng)該看出，還是有相當(dāng)多的網(wǎng)絡(luò)安全問題沒有解決，對(duì)于網(wǎng)絡(luò)用戶已經(jīng)造成了巨大的危害。本文提出了一種基于安全內(nèi)核的主機(jī)保護(hù)系統(tǒng)設(shè)計(jì)方案，能夠很好地解決上述問題。

2 基于安全內(nèi)核的主機(jī)防護(hù)系統(tǒng)

1)系統(tǒng)特征

基于數(shù)字簽名認(rèn)證的安全內(nèi)核的實(shí)現(xiàn)是本系統(tǒng)的基本特征，從內(nèi)核級(jí)別上防止網(wǎng)絡(luò)黑客對(duì)主頁及文件系統(tǒng)的惡意攻擊和破壞，并利用禁止未授權(quán)的訪問這一安全策略來保護(hù)關(guān)鍵業(yè)務(wù)數(shù)據(jù)和應(yīng)用。

2)安全操作系統(tǒng)

安全操作系統(tǒng)是指具備基于數(shù)字簽名認(rèn)證的安全內(nèi)核的，能夠應(yīng)對(duì)各類安全威脅的主機(jī)操作系統(tǒng)，其結(jié)構(gòu)圖如圖1所示，可見，基于數(shù)字簽名認(rèn)證的安全內(nèi)核是本系統(tǒng)的核心，對(duì)于主機(jī)的各類操作均是以安全內(nèi)核為基礎(chǔ)的。

對(duì)于傳統(tǒng)的操作系統(tǒng)而言，用戶通過操作或命令，操作系統(tǒng)訪問界面，對(duì)系統(tǒng)內(nèi)核資源進(jìn)行使用，這樣，網(wǎng)絡(luò)黑客可以通過獲得系統(tǒng)管理員權(quán)限進(jìn)入文件系統(tǒng)，從而達(dá)到入侵的目標(biāo)。對(duì)于基于安全內(nèi)核的安全操作系統(tǒng)而言，在用戶級(jí)和內(nèi)核級(jí)分別通過使用諸如數(shù)字簽名與證書、訪問控制列表等安全手段，通過安全內(nèi)核的審核，方可獲得對(duì)系統(tǒng)內(nèi)核資源的使用權(quán)，安全內(nèi)核進(jìn)程結(jié)構(gòu)如圖2所示。應(yīng)用基于數(shù)字簽名的安全內(nèi)核的安全操作系統(tǒng)后，即使黑客獲得了系統(tǒng)的管理員權(quán)限，由于其不能通過安全內(nèi)核的審核，因此無法訪問文件系統(tǒng)，也就是獲得了安全保護(hù)系統(tǒng)的功能。

3)安全保護(hù)系統(tǒng)功能

本系統(tǒng)的功能有:具有基于數(shù)字簽名進(jìn)行訪問控制的能力，能夠?qū)ψ陨淼膬?nèi)核模塊進(jìn)行隱藏，能夠?qū)崿F(xiàn)對(duì)系統(tǒng)內(nèi)核的密封，具備對(duì)于未被授權(quán)的管理員的訪問控制功能

3 安全保護(hù)系統(tǒng)的應(yīng)用

1)Web Griffin

Web Griffin是基于數(shù)字簽名與證書的訪問控制方法，通過對(duì)于未被授權(quán)的管理員進(jìn)行訪問控制、密封系統(tǒng)內(nèi)核，同時(shí)保護(hù)自身的目錄和文件系統(tǒng)安全，其核心目標(biāo)是通過對(duì)文件的寫權(quán)限進(jìn)行訪問控制保護(hù)系統(tǒng)安全。

2)File Griffin

與Web Griffin相比，F(xiàn)ile Griffin可以對(duì)文件的讀、寫操作均執(zhí)行進(jìn)行訪問控制，更好地滿足系統(tǒng)安全的要求。

3)保護(hù)主要的守護(hù)進(jìn)程

守護(hù)進(jìn)程(daemon)是脫離于終端并且在后臺(tái)運(yùn)行的進(jìn)程，通常在系統(tǒng)引導(dǎo)裝入時(shí)啟動(dòng)，在系統(tǒng)關(guān)閉時(shí)終止。大部分系統(tǒng)服務(wù)都是通過守護(hù)進(jìn)程實(shí)現(xiàn)的，同時(shí)，守護(hù)進(jìn)程還能完成許多系統(tǒng)任務(wù)，常用安全保護(hù)系統(tǒng)可以對(duì)守護(hù)進(jìn)程進(jìn)行很好的保護(hù)。

4 結(jié)束語

依賴安全工具并不能解決所有的安全問題，網(wǎng)絡(luò)信息安全是一個(gè)安全過程，重點(diǎn)是安全管理，需要建立完善的安全管理規(guī)章制度，同時(shí)更需要關(guān)注系統(tǒng)風(fēng)險(xiǎn)管理，降低系統(tǒng)風(fēng)險(xiǎn)，進(jìn)行深度防御，正確使用安全工具，合理搭配，建立起多層次的立體的網(wǎng)絡(luò)安全防護(hù)體系，即使用防火墻、IDS、主機(jī)保護(hù)系統(tǒng)、防病毒、VPN等產(chǎn)品一起組成多層次的立體網(wǎng)絡(luò)安全防護(hù)體系。

參考文獻(xiàn):

[1] 王鳳英，程震.網(wǎng)絡(luò)與信息安全[M].北京:中國鐵道出版社，2006:305-318.

[2] 朱元忠，方園.網(wǎng)絡(luò)操作系統(tǒng)案例教程[M].北京:機(jī)械工業(yè)出版社，2008:127-136.

[3] 肖道舉，葉翔，陳曉蘇.主機(jī)攻擊分析及安全防護(hù)初探[J].華中科技大學(xué)學(xué)報(bào)，2004(3):77-79.

注:本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文