深度分析：信息保障切忌花錢買破壞

申請免費(fèi)試用、咨詢電話：400-8352-114

　　人們常說要花錢買安全，誰也不愿意花錢買破壞，但是，如果我們對信息保障理論不能很好地理解，就有可能花錢買破壞!

　　很多單位買了安全產(chǎn)品，而不做相應(yīng)的策略，或者買的產(chǎn)品不適合，結(jié)果安全事件發(fā)生時，這些產(chǎn)品不但起不到應(yīng)有地作用，甚至還會適得其反。

　　等級保護(hù)制度推進(jìn)之后，許多信息系統(tǒng)確定的安全等級為三級以上，而三級以上的信息系統(tǒng)應(yīng)該按照合理的策略實(shí)行主體對客體的強(qiáng)制訪問控制。如果策略不合理，就很可能“花錢買破壞”。

　　強(qiáng)制訪問控制是要對主體和客體打上相應(yīng)的標(biāo)記，然后按照一定地策略規(guī)則進(jìn)行的訪問。在國家標(biāo)準(zhǔn)GB/T22239—2008（《信息安全等級保護(hù)基本要求》）中就有相關(guān)的要求。要求誠然是對的，但是，按照什么策略規(guī)則進(jìn)行訪問，此標(biāo)準(zhǔn)并沒有明確提出。這不能不說是這個標(biāo)準(zhǔn)的瑕疵。應(yīng)該按照什么樣策略進(jìn)行訪問，恰恰是很多單位沒有搞明白的問題，這也是導(dǎo)致可能會花錢買破壞的關(guān)鍵原因所在。一位專家在介紹其單位在等級保護(hù)方面的成績時說，他們實(shí)行了“低安全等級的主體不能訪問高安全等級的客體”的安全策略。實(shí)際上，這個說法就非常令人擔(dān)憂。

　　在信息系統(tǒng)中，我們所要保護(hù)的只有兩大目標(biāo)，一是用戶的數(shù)據(jù)，二是系統(tǒng)的服務(wù)功能。在國家標(biāo)準(zhǔn)GB/T22240—2008中，定級的依據(jù)也只是這兩個。在GB/T22239—2008中，將信息保障技術(shù)分為了用于保護(hù)用戶數(shù)據(jù)的技術(shù)（S）類和用于保護(hù)系統(tǒng)的服務(wù)功能的技術(shù)（A）類及對兩者都有作用的通用技術(shù)（G）類。而用戶數(shù)據(jù)，則是我們所要保護(hù)的第一目標(biāo)，因?yàn)閿?shù)據(jù)被破壞，也就無從談起系統(tǒng)的服務(wù)功能了。

　　保護(hù)數(shù)據(jù)，要保護(hù)數(shù)據(jù)的什么?我們必須清楚。保護(hù)數(shù)據(jù)就是要保護(hù)數(shù)據(jù)的安全屬性不被破壞，也就是要保護(hù)數(shù)據(jù)的機(jī)密性（C）、完整性（I）和數(shù)據(jù)的可用性（A）。而實(shí)際上數(shù)據(jù)的可用性是建立在數(shù)據(jù)的機(jī)密性、完整性及系統(tǒng)的可用性基礎(chǔ)上的，而系統(tǒng)的可用性實(shí)際上就是對系統(tǒng)服務(wù)功能的保護(hù)。所以，從保護(hù)數(shù)據(jù)的角度來看，我們只要注重保護(hù)數(shù)據(jù)的機(jī)密性和完整性就足夠了。

　　數(shù)據(jù)的機(jī)密性保護(hù)和數(shù)據(jù)的完整性保護(hù)是信息保障中對數(shù)據(jù)保護(hù)的最基本任務(wù)。強(qiáng)制訪問控制策略也是要依據(jù)這兩種屬性來制定，如果不清楚，就有可能花錢買破壞。

　　這是因?yàn)閷τ跀?shù)據(jù)的機(jī)密性保護(hù)和完整性保護(hù)從策略上說是存在矛盾的，用全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會委員、原信息安全國家重點(diǎn)實(shí)驗(yàn)室主任趙戰(zhàn)生專家的話來說，它們是在“打架”。一個主體對于客體的訪問應(yīng)該有以下操作：讀寫、只讀、只寫、執(zhí)行和控制。其中，讀和寫是最基本的操作。由于主、客體安全屬性的不同，就需要采取不同的并且相適應(yīng)的安全策略，而不是簡單的“低安全等級的主體不能訪問高安全等級的客體”。

　　對于保護(hù)數(shù)據(jù)的機(jī)密性：低安全等級的主體不能“讀”高安全等級的客體，而高安全等級的主體則不能“寫”低安全等級的客體。即不準(zhǔn)“向上讀”，不準(zhǔn)“向下寫”。如果可以向下作寫訪問，就意味著信息有泄露的可能。

　　而對于保護(hù)數(shù)據(jù)的完整性來說，這樣的“讀、寫”操作恰恰是對安全策略的破壞。試想能允許一個普通的科員，在未授權(quán)的情況下修改（“寫”操作）處長已經(jīng)定稿的文件嗎?當(dāng)然，高級別的主體在“讀”低安全等級的客體時，可能會被污染。

　　實(shí)際上，對于正在處理的客體，“回滾”對于保護(hù)完整性是非常必要的，但是“回滾”卻可能導(dǎo)致一些信息的泄露。同樣，“殘余信息保護(hù)”，是保護(hù)用戶數(shù)據(jù)的機(jī)密性的關(guān)鍵技術(shù)之一，但卻會造成數(shù)據(jù)永遠(yuǎn)不能被恢復(fù)。

　　由于這種“打架”原因的存在，如果搞不清楚數(shù)據(jù)應(yīng)該保護(hù)的屬性是什么，而只是簡單采取“低安全等級的主體不能訪問高安全等級的客體”的策略，很可能導(dǎo)致數(shù)據(jù)某個屬性的破壞。

　　目前，國內(nèi)主流的商用操作系統(tǒng)（如AIX、HP—UX、Solaris、WindowsServer、LinuxServer）都是C2級的，系統(tǒng)自身存在缺陷，安全性難以得到有效地保障，未能達(dá)到我國等級保護(hù)標(biāo)準(zhǔn)中的第二級和第三級要求。因此，一些安全廠商開發(fā)出了相應(yīng)的操作系統(tǒng)改造或者叫加固產(chǎn)品，用于提升操作系統(tǒng)的安全等級，這是值得鼓勵和欣喜的。但是，這些產(chǎn)品必須支持對數(shù)據(jù)的機(jī)密性和完整性保護(hù)策略，最好能夠按照嚴(yán)格的形式化模型來支持訪問控制策略，并且應(yīng)該解決好這兩個屬性在保護(hù)方面的“打架”問題。如果僅能支持某一方面的保護(hù)，那在使用中就要受到限制。

　　2006年，當(dāng)筆者獲悉國內(nèi)某公司已經(jīng)開發(fā)出了操作系統(tǒng)加固產(chǎn)品后，極為興奮，并受邀訪問了該公司，應(yīng)當(dāng)說這款產(chǎn)品對于提升操作系統(tǒng)的安全功能起到了革命性的作用，并且由于引入了強(qiáng)制訪問控制和三權(quán)分立，使得操作系統(tǒng)本身的完整性也得到了一定的保護(hù)。但是，十分遺憾的是，這款產(chǎn)品當(dāng)時還沒有嚴(yán)格地按照相應(yīng)的形式化模型來解決訪問控制策略問題，對于保護(hù)數(shù)據(jù)的機(jī)密性存在著機(jī)制上的嚴(yán)重不足。并且僅部分地達(dá)到了GB/T20272—2006（操作系統(tǒng)安全要求）（當(dāng)時為討論稿）。并且安全機(jī)制也可能被繞過。當(dāng)時筆者就指出了這一問題，也引起了開發(fā)技術(shù)人員的重視?？上У厥牵捎谀承┰?，這些問題最終沒有得到很好地解決。

　　應(yīng)當(dāng)說這是一款相對完善的主機(jī)安全產(chǎn)品，經(jīng)專家論證及測評中心的檢測，完全符合國家標(biāo)準(zhǔn)GB/T20272的要求。安裝后完全達(dá)到了國家標(biāo)準(zhǔn)中對三級信息系統(tǒng)中主機(jī)安全的目標(biāo)要求。

　　在現(xiàn)有的主流商用操作系統(tǒng)和安全加固類產(chǎn)品中，對于自主訪問控制和強(qiáng)制訪問控制某些產(chǎn)品中還存在以下缺陷：

　　自主訪問控制方面，現(xiàn)有的操作系統(tǒng)存在超級用戶（root/Administrator）權(quán)力過大，可對服務(wù)器所有資源進(jìn)行任意操作，以及客體屬主可以自主將權(quán)限轉(zhuǎn)授給其他主體的兩大缺陷。在這樣自主訪問控制機(jī)制下，數(shù)據(jù)的保密性和完整性都很難得到相應(yīng)的保障，如果某一個應(yīng)用存在漏洞，可能會導(dǎo)致其它應(yīng)用受到影響，甚至嚴(yán)重影響到操作系統(tǒng)的安全。因此，《GB/T20272—2006信息安全技術(shù)—操作系統(tǒng)安全技術(shù)要求》對自主訪問控制要求客體的擁有者是唯一有權(quán)訪問該客體訪問控制列表（ACL）的主體，擁有者對其擁有的客體具有全部的控制權(quán)，但無權(quán)將客體的控制權(quán)分配給其他主體。這就需要操作系統(tǒng)具有捕獲所有主體對客體訪問監(jiān)控的能力，使得自主訪問控制機(jī)制得到以下提升：

　　1、原系統(tǒng)管理員/組（Administrators）無法更改低級別用戶/組（Users、Guests）的ACL。

　　2、原系統(tǒng)管理員/組（Administrators）無法更改低級別用戶/組（Users）屬主（Owner）。

　　3、客體屬主無權(quán)改變自身屬主。

　　在這種機(jī)制下，用戶需要對客體設(shè)置一個擁有者，并使其成為唯一有權(quán)訪問該客體訪問控制表（ACL）的主體，確保了受保護(hù)客體ACL控制權(quán)的唯一性，有效規(guī)避由于系統(tǒng)管理員信息泄露而給系統(tǒng)帶來的巨大危害。

　　強(qiáng)制訪問控制方面，目前市面上比較流行的傳統(tǒng)主機(jī)安全加固類產(chǎn)品中，大多支持對文件/文件夾、用戶、進(jìn)程等的強(qiáng)制訪問控制。但是，在訪問數(shù)據(jù)庫方式日益多樣的今天，僅僅在這些方面實(shí)施安全策略進(jìn)行訪問控制設(shè)計是不夠的，必須對主客體進(jìn)行更細(xì)粒度的管理，客體應(yīng)不僅可以對文件/文件夾、進(jìn)程客體進(jìn)行強(qiáng)制訪問控制，也要重點(diǎn)對磁盤進(jìn)行保護(hù)，以防止惡意程序通過直接讀寫磁盤等操作繞過強(qiáng)制訪問控制對數(shù)據(jù)進(jìn)行破壞。同時，還應(yīng)加入服務(wù)、共享資源、端口、注冊表（僅windows）等資源客體的保護(hù)。而主體應(yīng)不僅包含用戶和進(jìn)程，還應(yīng)加入IP主體，以對遠(yuǎn)程訪問進(jìn)行訪問控制。

　　此外，對于主體對客體的訪問權(quán)限方面，目前一般只設(shè)立“讀”，“寫”，“完全控制”，“禁止訪問”四種權(quán)限。這樣會造成系統(tǒng)中某些應(yīng)用的訪問出現(xiàn)問題，所以，主體對客體的訪問權(quán)限應(yīng)進(jìn)行更加細(xì)粒度的設(shè)置，進(jìn)而提供廣泛的訪問能力和強(qiáng)大的控制功能。

　　除了安全功能外，對這些安全功能的保證機(jī)制是十分重要的，國際標(biāo)準(zhǔn)CC和我國標(biāo)準(zhǔn)GB/T20271及系列標(biāo)準(zhǔn)中對此都有明確的要求，所謂保證就是要保證所有的安全功能能夠有效的實(shí)現(xiàn)而不會被繞過、破壞和廢除。這個保證機(jī)制是從技術(shù)和管理的角度上對安全子系統(tǒng)的保護(hù)，同時在工程開發(fā)過程中，也要有相應(yīng)的機(jī)制進(jìn)行保護(hù)。這一點(diǎn)某些加固類產(chǎn)品肯定是存在問題的。

　　現(xiàn)如今，各種類型和規(guī)模的企業(yè)都在努力為其應(yīng)用和相關(guān)信息資源提供廣泛的訪問。

　　但是，實(shí)現(xiàn)這一切的方式必須符合一定目標(biāo)：保護(hù)敏感信息的機(jī)密性和完整性，保持信息系統(tǒng)的完整性和可用性，達(dá)到國家等級保護(hù)制度要求。但是，在實(shí)踐中，訪問資源將會受到細(xì)粒度訪問控制有效程度的限制。正如我們前面討論所講，由于對數(shù)據(jù)的保密性保護(hù)和完整性保護(hù)的要求是存在相互沖突的問題，現(xiàn)有的多級安全系統(tǒng)大多采用犧牲數(shù)據(jù)完整性和可用性的方法來獲得較高的保密性，但是，如果數(shù)據(jù)的完整性得不到保證，保密性也將存在失去的價值。因此，如何構(gòu)造同時具備較高的保密性、數(shù)據(jù)完整性和可用性的多級安全數(shù)據(jù)模型一直是一大難題。寫本文的目的，就是希望讀者能夠清楚自己所要保護(hù)數(shù)據(jù)的屬性，并按照屬性所對應(yīng)的策略來解決數(shù)據(jù)的保護(hù)問題，千萬不能花錢買破壞。