基于Linux的電力辦公桌面操作系統(tǒng)安全性研究

張春光，李祉岐，吳　舜，來　驥，江　浩ZHANG Chun-guang，　LI Qi-qi，　WU Shun，　LAI Ji，　JIANG Hao（.北京國電通網(wǎng)絡(luò)技術(shù)有限公司，北京00070；.國網(wǎng)冀北電力有限公司信息通信分公司，北京 0005；.國網(wǎng)荊州供電公司，荊州 44007）

基于Linux的電力辦公桌面操作系統(tǒng)安全性研究

張春光1，李祉岐1，吳舜2，來驥2，江浩3
ZHANG Chun-guang1，LI Qi-qi1，WU Shun2，LAI Ji2，JIANG Hao3
（1.北京國電通網(wǎng)絡(luò)技術(shù)有限公司，北京100070；2.國網(wǎng)冀北電力有限公司信息通信分公司，北京 100053；3.國網(wǎng)荊州供電公司，荊州 434007）

電力辦公桌面操作系統(tǒng)基于開源社區(qū)穩(wěn)定Linux內(nèi)核進行國產(chǎn)化定制開發(fā)。重點分析了Linux操作系統(tǒng)自身安全架構(gòu)存在的安全隱患，并結(jié)合電力辦公桌面操作系統(tǒng)的業(yè)務(wù)特點，對電力辦公桌面操作系統(tǒng)的安全模塊進行了設(shè)計，完成了系統(tǒng)安全加固，極大的提高了電力辦公桌面操作系統(tǒng)的安全性。

操作系統(tǒng)；安全性；訪問控制

0　引言

近年來，Windows XP停止了官方服務(wù)，操作系統(tǒng)的安全性受到一定的威脅，同時，“棱鏡門”、斯諾登等安全事件的不斷發(fā)生，給我們敲響了信息安全的警鐘，企業(yè)信息安全和網(wǎng)絡(luò)安全越來越引起人們的關(guān)注。

在國家自主可控戰(zhàn)略的指導(dǎo)下，基于開源社區(qū)穩(wěn)定Linux內(nèi)核開發(fā)的國產(chǎn)操作系統(tǒng)迎來了快速發(fā)展的機遇，由于國產(chǎn)操作系統(tǒng)涉及政府、國防、能源、金融等關(guān)系國計民生、國家安全等領(lǐng)域，如何保障國產(chǎn)操作系統(tǒng)的應(yīng)用安全成為大家關(guān)注的焦點問題。

1　Linux的安全隱患

Linux操作系統(tǒng)作為一種類似UINX的系統(tǒng)，在開放、自由思想的指導(dǎo)下，全世界成千上萬的IT精英參與到系統(tǒng)的安全性開發(fā)中，安全性得到很大程度的保障。但大規(guī)模應(yīng)用在政府、金融、能源電力等關(guān)系民生國計的行業(yè)時，其安全性仍然存在一定局限性，面臨著很大的安全挑戰(zhàn)。主要體現(xiàn)在以下四方面：

1）超級用戶root擁有特權(quán)，其權(quán)限過大

root超級用戶在DAC（Discretionary Access Control）中不受任何限制，一旦獲得超級管理員root的權(quán)限，便可完全控制計算機，因此操作系統(tǒng)對抵御外界攻擊超級管理員root的要求異常苛刻，如若該權(quán)限被竊取，則系統(tǒng)便被曝露在任人宰割的危險之下。

2）緩沖區(qū)溢出

在部分程序內(nèi)，時常會缺少對預(yù)留緩沖區(qū)的邊界檢測，如果執(zhí)行程序一旦發(fā)生緩沖區(qū)越界，就會產(chǎn)生錯誤操作，導(dǎo)致程序運行紊亂。通常情形下，系統(tǒng)堆棧參數(shù)會發(fā)生重置，函數(shù)的返回地址被修改，因而跳轉(zhuǎn)至錯誤代碼或程序安全控制代碼，例如權(quán)限分配。

3）掃描工具

掃描工具，作為系統(tǒng)安全漏洞檢測工具，可根據(jù)用戶需求對系統(tǒng)進行定期或非定期掃描以檢測主機安全。掃描工具自身不具有攻擊性，但當(dāng)其被配置為惡意攻擊腳本自動攻擊系統(tǒng)時，就會產(chǎn)生危害。為避免因掃描工具帶來的威脅導(dǎo)致的系統(tǒng)崩潰，需要系統(tǒng)對日志文件中的端口掃描記錄進行監(jiān)查。

4）拒絕服務(wù)性攻擊

在迅猛發(fā)展的網(wǎng)絡(luò)時代背景下，拒絕服務(wù)性攻擊愈發(fā)常態(tài)化。例如smurf，在多路廣播網(wǎng)絡(luò)中，通過向主機發(fā)送含有非真實源地址的大量ICMP數(shù)據(jù)包，引發(fā)主機響應(yīng)每一個數(shù)據(jù)包，導(dǎo)致系統(tǒng)忙于應(yīng)付，直至癱瘓。一般情況下，拒絕服務(wù)性攻擊是由普通網(wǎng)絡(luò)用戶竊入高速網(wǎng)絡(luò)的主機，強制安裝工具，從主機發(fā)動攻擊。

2　電力操作系統(tǒng)安全設(shè)計

基于LINUX系統(tǒng)較成熟的SELinux安全子系統(tǒng)框架，綜合考慮電力辦公場景對桌面操作系統(tǒng)安全性的要求，對電力辦公桌面操作系統(tǒng)進行了安全模塊的設(shè)計，安全模塊以插件的模式通過SELinux安全子系統(tǒng)框架與內(nèi)核對接交互，主體對客體的操作都經(jīng)過安全策略模塊的決策通過后才能執(zhí)行，從而保證操作系統(tǒng)訪問控制的安全。

電力辦公桌面操作系統(tǒng)支持國際最新可信規(guī)范TPM2.0，支持TCM/TPCM可信芯片，在提供可信引導(dǎo)、可信啟動、可信運行，并在可信芯片的基礎(chǔ)上，實現(xiàn)可信鏈的建立以及動態(tài)擴展。電力辦公桌面操作系統(tǒng)不僅提供對進程的動態(tài)度量，還對系統(tǒng)文件完整性進行度量保護，實現(xiàn)可信芯片上層的可信功能。無論是在物理主機還是在虛擬化平臺上，都實現(xiàn)了信任鏈保證系統(tǒng)的安全。

系統(tǒng)采用可信grub引導(dǎo)、可信啟動、進程運行控制、基于TPM的虛擬智能卡登錄認證和基于TCM/TPM的安全保密箱等可信功能來緩解系統(tǒng)所受到的安全威脅，實現(xiàn)操作系統(tǒng)底座的安全，通過權(quán)限管理、訪問控制、數(shù)據(jù)加密、操作審計等多種技術(shù)確保操作系統(tǒng)的安全可靠。同時在實現(xiàn)電力辦公桌面操作系統(tǒng)的高安全性的同時，兼顧電力辦公桌面操作系統(tǒng)的易用性，提高系統(tǒng)的管理效率。

2.1可信引導(dǎo)

為保證操作系統(tǒng)在啟動之前的安全，系統(tǒng)以TCM芯片為信任根，構(gòu)建了TCM→BIOS→MBR→OS Loader →Kernel→App完整的信任鏈，在信任擴展的過程中采用信用度量和報告機制，在系統(tǒng)引導(dǎo)啟動過程中對引導(dǎo)文件進行安全度量，阻止可疑的、不可信的本地配置啟動。

圖1　系統(tǒng)安全框架圖

2.2內(nèi)核級可信功能

電力辦公桌面操作系統(tǒng)基于國產(chǎn)可信芯片，從不同的層面對系統(tǒng)內(nèi)核、運行進程和相關(guān)文件進行安全可信度量，從內(nèi)核層確保操作系統(tǒng)的安全可信。主要包括以下四點：

1）內(nèi)核與應(yīng)用層的可信接口；

2）內(nèi)核的可信度量；

3）運行進程的可信度量；

4）特殊文件的可信度量。

圖2　內(nèi)核可信計算架構(gòu)圖

2.3上層應(yīng)用可信功能

基于國產(chǎn)TCM芯片，電力辦公桌面操作系統(tǒng)能夠提供上層應(yīng)用的可信功能，主要包括：登錄認證、存儲加密、文件簽名等可信功能。

2.4安全管理中心（SMC）

安全管理中心（SMC）是一種圖形化、集中式的技術(shù)框架，能夠統(tǒng)一管理和控制各類安全機制，有效平衡了系統(tǒng)的安全性和易用性。

安全管理中心（SMC），作為安全管理軟件，具有圖形化、集中式的特點，可通過遠程Web對系統(tǒng)進行集中式管理，包括以下五個子系統(tǒng)，分別為：系統(tǒng)管理、安全策略、認證與授權(quán)子、報表和審計。

安全管理中心（SMC），同時是一款全面的安全防護軟件，可對網(wǎng)絡(luò)安全服務(wù)提供良好的安全加固和防護。

3　增強的安全特性

3.1三權(quán)分立機制

超級用戶權(quán)限過大，給系統(tǒng)安全帶來了極大的威脅，為了提高系統(tǒng)的安全性，電力辦公桌面操作系統(tǒng)禁用超級用戶root，使用三個特權(quán)角色來取代超級用戶的方案。系統(tǒng)管理員（默認角色）、安全管理員和安全審計員，共三個角色，分享了超級用戶root權(quán)限，并相互監(jiān)督、相互制約，無論是在用戶登錄，還是系統(tǒng)運行期間進行身份切換時，在同一時刻特權(quán)用戶只能具備上述三個角色中的一種，而且每個角色都是獨立進行鑒別的，口令和雙因子認證也是根據(jù)角色來制定的，原來超級用戶所具有的權(quán)限一分為三，三者相互制約。

系統(tǒng)管理員（sysadm_r），負責(zé)系統(tǒng)維護管理；安全管理員（secadm_r），負責(zé)系統(tǒng)安全相關(guān)的管理和維護；安全審計員（auditadm_r），負責(zé)系統(tǒng)安全審計。其他用戶則默認分配一個普通用戶角色（user_r）。

3.2雙因子認證體系

用戶數(shù)字證書的頒發(fā)和管理是以標(biāo)準格式的數(shù)字認證中心，安裝在安全載體Ukey內(nèi)實現(xiàn)的。該證書可以理解為在計算機上使用的身份標(biāo)識，也可以理解為是在計算機上的“身份證”。

在登錄時借助數(shù)字證書中數(shù)字簽名的功能，系統(tǒng)對該證書做一系列的檢查，驗證其有效性，并通過系統(tǒng)識別數(shù)字證書內(nèi)容，完成特定系統(tǒng)用戶認證功能。

3.3進程最小權(quán)限管理

電力辦公桌面操作系統(tǒng)中每個運行的進程都有自己特定的域，各個域之間通過安全上下文來區(qū)分，而系統(tǒng)中所有客體資源也同樣被標(biāo)記上安全上下文；系統(tǒng)通過存取向量在策略中對進程可執(zhí)行操作進行預(yù)設(shè)，程序按照系統(tǒng)賦予的最小運行權(quán)限完成所需的任務(wù)操作。

圖3　三權(quán)分立示意圖

3.4強制訪問控制

SELlinux系統(tǒng)作為Linux系統(tǒng)所下屬的一個子系統(tǒng)，具有強制訪問的功能，鑒于其功效，該系統(tǒng)構(gòu)成了安全系統(tǒng)的重要組成部分。系統(tǒng)以數(shù)據(jù)機密性和數(shù)據(jù)完整性的信息隔離為基礎(chǔ)，采用三權(quán)分立方式進行管理，能夠有效抵御欺騙和試圖旁路安全機制的威脅，有效降低了惡意代碼和應(yīng)用程序缺陷產(chǎn)生的危害。SELinux具有安全策略模型多樣化、策略變換靈活的特點，可以采用類型實施（TE）、基于角色的訪問控制（RBAC）和多級安全技術(shù)（MLS）等手段完成系統(tǒng)安全保障。

3.5數(shù)據(jù)加密存儲與保護

安全保密箱，能夠?qū)λ接袛?shù)據(jù)進行安全、有效的保護。受保護數(shù)據(jù)以密文的形式存儲在磁盤上，用戶不用擔(dān)心非法入侵者通過直接讀磁盤等方式所實施的攻擊。密文被保存在一個容器中，容器可以是一個文件，也可以是任何合法的塊設(shè)備，如軟驅(qū)、硬盤分區(qū)等。通過把容器作為一個文件系統(tǒng)掛載到一個掛載點，便可以對容器中的內(nèi)容進行存取、修改。其中，加密算法模塊為安全保密箱提供了數(shù)據(jù)加密服務(wù)。它包含了加密和解密，是一種獨立內(nèi)核模式驅(qū)動程序。

3.6增強的安全審計

安全審計，主要采取事后追查的方式來維護系統(tǒng)的安全，因此其需要對任何與操作系統(tǒng)安全相關(guān)的操作進行記錄，以備系統(tǒng)安全問題發(fā)生時有效追查產(chǎn)生危害的責(zé)任人、時間、地點和過程細節(jié)。審計多為事后追責(zé)，無法有效杜絕安全問題發(fā)生，如何才能有效利用安全審計達到預(yù)防效果呢？以審計為基礎(chǔ)，融合主動防御措

圖4　安全審計結(jié)構(gòu)圖

表1　電力辦公桌面操作系統(tǒng)和開源LINUX操作系統(tǒng)安全性對比說明

【】【】施，例如預(yù)警等，在危害發(fā)生前通知管理員或采取既定措施阻止危險操作。

重點審計的事件類型有：鑒別驗證機制（如登錄過程），對象引入用戶空間（如創(chuàng)建文件），客體的刪除和修改，特權(quán)用戶（系統(tǒng)管理員和安全管理員等）進行的管理操作。

電力辦公桌面操作系統(tǒng)可利用增強的安全審計子系統(tǒng)完成進程級安全審計，能夠?qū)徲嬋罩具M行創(chuàng)建、維護和保護，避免遭到非法訪問、破壞和修改。

系統(tǒng)安全審計子系統(tǒng)體系結(jié)構(gòu)如圖4所示。

4　結(jié)束語

伴隨計算機及網(wǎng)絡(luò)技術(shù)的日趨成熟和應(yīng)用的日益普遍，計算機系統(tǒng)安全愈來愈受到大家矚目。計算機系統(tǒng)的意外損毀或遭受破壞，會對日常工作造成嚴重的影響，特別是國家企事業(yè)單位，將會因此產(chǎn)生難以估量的損失。強化計算機系統(tǒng)安全，是在信息化建設(shè)過程中不可忽視的一項重要工作。

電力辦公桌面操作系統(tǒng)在通用操作系統(tǒng)安全基礎(chǔ)上實現(xiàn)內(nèi)核級安全增強和系統(tǒng)加固與優(yōu)化，一方面有效解決用戶的實際安全需求，另一方面也最大限度的保證了系統(tǒng)的易用性與兼容性。

［1］ 鳥哥，鳥哥的linux私房菜［M］.人民郵電出版社.

［2］ 劉海燕，王子強，邵立嵩安全分析檢測安全增強［J］.計算機工程與設(shè)計，2005，26（1）:100-103.

［3］ 楊登摹.基于Linux系統(tǒng)的安全分析與防范策略［J］.福建電腦，2009（05）.

［4］ 李遠征.操作系統(tǒng)訪問控制模型關(guān)鍵技術(shù)研究［J］.計算機工程與設(shè)計，2005，26（4）.

［5］ 夏世遠.基于Linux的安全操作系統(tǒng)的審計機制的研究與實現(xiàn)［D］.北京交通大學(xué)，2004.

The research on the security of electric power system based on Linux

TP316

A

1009-0134（2016）06-0117-04

2016-04-11

張春光（1978 -），男，遼寧丹東人，高級工程師，碩士，主要研究方向為電力信息系統(tǒng)。