近期，網絡信息安全事件層出不窮，對用戶信息系統造成嚴重的危害，引起了信息安全行業及相關用戶的集體反思。作為信息系統的重要組成部分，操作系統承擔著連接底層硬件和上層業務應用的重任，在諸多安全事件中首當其沖，面臨著巨大的安全壓力。

掀開自主訪問控制的面紗

為了增強信息系統安全、可靠運行的能力，操作系統內置了一些防護措施，例如身份鑒別、訪問控制、入侵防范等。其中，訪問控制是計算機安全防護體系中的重要環節，包含主體、客體、控制策略三個要素。其中，主體是指可以對其他實體施加動作的主動實體，例如用戶、進程等；客體包括數據、文件、程序等，是接受其他實體訪問的被動實體；控制策略則定義了主體與客體相互作用的途徑。簡而言之，訪問控制是一種通過控制策略授予、約束主體訪問客體行為的安全機制。

訪問控制分為三種模型，即自主訪問控制（DAC）、強制訪問控制（MAC）和基于角色的訪問控制（RBAC）。其中，自主訪問控制在C2級操作系統中應用廣泛，是根據自主訪問控制策略建立的一種模型，允許合法用戶以用戶或用戶組的身份訪問策略規定的客體，同時阻止非授權用戶訪問客體，某些用戶還可以自主地把自己所擁有的客體的訪問權限授予其他用戶。

自主訪問控制的實現方式包括目錄式訪問控制模式、訪問控制表（ACL）、訪問控制矩陣、面向過程的訪問控制等，訪問控制表是自主訪問控制機制通常采用的一種方式。訪問控制表是存放在計算機中的一張表，本質上是帶有訪問權限的矩陣，其訪問權限包括讀文件、寫文件、執行文件等等。在自主訪問控制機制下，每個客體都有一個特定的安全屬性，同時訪問控制表也授予或禁止主體對客體的訪問權限。在工作中，安全管理員通過維護訪問控制表，控制用戶對文件、數據等IT系統資源的訪問行為，來達到安全防控的目的。

從安全性上看，現有操作系統中基于訪問控制表的自主訪問控制存在著明顯的缺陷：一方面，超級用戶（root/Administrator）權力過度集中，可以隨意修改客體的訪問控制表，只要擁有超級管理員權限就可以對服務器所有的資源進行任意操作；另一方面，客體的屬主可以自主地將權限轉授給別的主體，一旦把某個客體的ACL修改權轉授出去以后，擁有者便很難對自己的客體實施控制了。因此，在現有的這種訪問控制模型下，操作系統存在很多安全風險。

自主訪問控制下的安全風險

按照訪問許可機制的不同，自主訪問控制又分為三個類型，即自由型、等級型和宿主型。其中，在自由型自主訪問控制機制中，不同主體之間可以自由轉讓客體訪問控制表的修改權限，意味著任何主體都有可能對某一客體進行操作，系統安全性很難得到保障；在等級型自主訪問控制機制中，用戶可以將擁有修改客體訪問控制表權限的主體組織成等級型結構，例如按照等級將不同的主體排列成樹型結構，高等級主體自動獲得低等級客體的控制權限。這種方案的優點是可以選擇值得信任的人擔任各級領導，從而實現對客體的分級控制，缺點是同時有多個主體有能力修改某一客體的訪問權限。

從市場應用情況看，等級型自主訪問控制是使用范圍最為廣泛的安全機制，現有C2級大型商用服務器操作系統（如AIX、HP-UX、Solaris、Windows Server、LinuxServer等）中的訪問控制機制均為等級型自主訪問控制，涉及金融、能源、軍工等國家命脈行業。在這些系統中，位于樹型結構頂端的超級用戶擁有無上的權限，可以對其他用戶擁有的資源進行任意修改和訪問。權限的高度集中，客觀上放大了系統的安全風險。針對等級型自主訪問控制，攻擊者可以通過暴力破解、系統漏洞利用、木馬攻擊等多種方式竊取管理員權限，進而實現對目標系統的完全控制。事實證明確實如此，無論是曾經肆虐的“灰鴿子”木馬，還是震驚全球的“震網”、“火焰”等病毒，都將獲得管理權限作為一種重要手段，在此基礎上成功入侵系統并實施破壞行為。

椒圖科技推出的JHSE椒圖主機安全環境系統（以下簡稱JHSE），就基于宿主型自主訪問控制機制保障操作系統的安全。此外，JHSE還采用了強制訪問控制模型，為訪問主體和受保護的客體分配不同的安全級別屬性，在實施訪問控制的過程中，系統將對主體和客體的安全級別屬性進行比較，之后再決定主體是否可以訪問受保護的客體，從而實現了細粒度的安全訪問控制機制。

完善自主訪問控制機制

為了提升信息系統的安全防護能力，我國頒布了《信息安全等級保護管理辦法》，并制定了一系列國家標準，為用戶開展信息安全等級保護工作提供指導意義。其中，《GB/T 20272-2006信息安全技術-操作系統安全技術要求》是專門針對操作系統安全防護的國家標準，該標準在“自主訪問控制”部分提出了明確的要求：“客體的擁有者應是唯一有權修改客體訪問權限的主體，擁有者對其擁有的客體應具有全部控制權，但是，不充許客體擁有者把該客體的控制權分配給其他主體。”

從技術要求的細節上看，滿足等級保護標準的自主訪問控制機制實質上是宿主型自主訪問控制。在這種機制下，用戶需要對客體設置一個擁有者，并使其成為唯一有權訪問該客體訪問控制表的主體，確保了受保護客體訪問控制表控制權的唯一性，有效規避由于系統管理員信息泄露而給系統帶來的巨大危害，同時也限制了病毒對系統的破壞行為，幫助用戶提升防病毒、防黑客攻擊的能力。

令人欣喜的是，目前國內已經出現了一些滿足等級保護操作系統技術要求的安全產品，可以相信，隨著安全技術的持續進步和用戶安全意識的不斷增強，操作系統將會在面對病毒、木馬及黑客攻擊時扭轉不利局面，為整體信息系統的安全運行提供可靠支撐。