深度分析：信息保障切忌花錢買破壞

申請免費試用、咨詢電話：400-8352-114

　　人們常說要花錢買安全，誰也不愿意花錢買破壞，但是，如果我們對信息保障理論不能很好地理解，就有可能花錢買破壞!

　　很多單位買了安全產(chǎn)品，而不做相應(yīng)的策略，或者買的產(chǎn)品不適合，結(jié)果安全事件發(fā)生時，這些產(chǎn)品不但起不到應(yīng)有地作用，甚至還會適得其反。

　　等級保護制度推進之后，許多信息系統(tǒng)確定的安全等級為三級以上，而三級以上的信息系統(tǒng)應(yīng)該按照合理的策略實行主體對客體的強制訪問控制。如果策略不合理，就很可能“花錢買破壞”。

　　強制訪問控制是要對主體和客體打上相應(yīng)的標記，然后按照一定地策略規(guī)則進行的訪問。在國家標準GB/T22239—2008（《信息安全等級保護基本要求》）中就有相關(guān)的要求。要求誠然是對的，但是，按照什么策略規(guī)則進行訪問，此標準并沒有明確提出。這不能不說是這個標準的瑕疵。應(yīng)該按照什么樣策略進行訪問，恰恰是很多單位沒有搞明白的問題，這也是導(dǎo)致可能會花錢買破壞的關(guān)鍵原因所在。一位專家在介紹其單位在等級保護方面的成績時說，他們實行了“低安全等級的主體不能訪問高安全等級的客體”的安全策略。實際上，這個說法就非常令人擔憂。

　　在信息系統(tǒng)中，我們所要保護的只有兩大目標，一是用戶的數(shù)據(jù)，二是系統(tǒng)的服務(wù)功能。在國家標準GB/T22240—2008中，定級的依據(jù)也只是這兩個。在GB/T22239—2008中，將信息保障技術(shù)分為了用于保護用戶數(shù)據(jù)的技術(shù)（S）類和用于保護系統(tǒng)的服務(wù)功能的技術(shù)（A）類及對兩者都有作用的通用技術(shù)（G）類。而用戶數(shù)據(jù)，則是我們所要保護的第一目標，因為數(shù)據(jù)被破壞，也就無從談起系統(tǒng)的服務(wù)功能了。

　　保護數(shù)據(jù)，要保護數(shù)據(jù)的什么?我們必須清楚。保護數(shù)據(jù)就是要保護數(shù)據(jù)的安全屬性不被破壞，也就是要保護數(shù)據(jù)的機密性（C）、完整性（I）和數(shù)據(jù)的可用性（A）。而實際上數(shù)據(jù)的可用性是建立在數(shù)據(jù)的機密性、完整性及系統(tǒng)的可用性基礎(chǔ)上的，而系統(tǒng)的可用性實際上就是對系統(tǒng)服務(wù)功能的保護。所以，從保護數(shù)據(jù)的角度來看，我們只要注重保護數(shù)據(jù)的機密性和完整性就足夠了。

　　數(shù)據(jù)的機密性保護和數(shù)據(jù)的完整性保護是信息保障中對數(shù)據(jù)保護的最基本任務(wù)。強制訪問控制策略也是要依據(jù)這兩種屬性來制定，如果不清楚，就有可能花錢買破壞。

　　這是因為對于數(shù)據(jù)的機密性保護和完整性保護從策略上說是存在矛盾的，用全國信息安全標準化技術(shù)委員會委員、原信息安全國家重點實驗室主任趙戰(zhàn)生專家的話來說，它們是在“打架”。一個主體對于客體的訪問應(yīng)該有以下操作：讀寫、只讀、只寫、執(zhí)行和控制。其中，讀和寫是最基本的操作。由于主、客體安全屬性的不同，就需要采取不同的并且相適應(yīng)的安全策略，而不是簡單的“低安全等級的主體不能訪問高安全等級的客體”。

　　對于保護數(shù)據(jù)的機密性：低安全等級的主體不能“讀”高安全等級的客體，而高安全等級的主體則不能“寫”低安全等級的客體。即不準“向上讀”，不準“向下寫”。如果可以向下作寫訪問，就意味著信息有泄露的可能。

　　而對于保護數(shù)據(jù)的完整性來說，這樣的“讀、寫”操作恰恰是對安全策略的破壞。試想能允許一個普通的科員，在未授權(quán)的情況下修改（“寫”操作）處長已經(jīng)定稿的文件嗎?當然，高級別的主體在“讀”低安全等級的客體時，可能會被污染。

　　實際上，對于正在處理的客體，“回滾”對于保護完整性是非常必要的，但是“回滾”卻可能導(dǎo)致一些信息的泄露。同樣，“殘余信息保護”，是保護用戶數(shù)據(jù)的機密性的關(guān)鍵技術(shù)之一，但卻會造成數(shù)據(jù)永遠不能被恢復(fù)。

　　由于這種“打架”原因的存在，如果搞不清楚數(shù)據(jù)應(yīng)該保護的屬性是什么，而只是簡單采取“低安全等級的主體不能訪問高安全等級的客體”的策略，很可能導(dǎo)致數(shù)據(jù)某個屬性的破壞。

　　目前，國內(nèi)主流的商用操作系統(tǒng)（如AIX、HP—UX、Solaris、WindowsServer、LinuxServer）都是C2級的，系統(tǒng)自身存在缺陷，安全性難以得到有效地保障，未能達到我國等級保護標準中的第二級和第三級要求。因此，一些安全廠商開發(fā)出了相應(yīng)的操作系統(tǒng)改造或者叫加固產(chǎn)品，用于提升操作系統(tǒng)的安全等級，這是值得鼓勵和欣喜的。但是，這些產(chǎn)品必須支持對數(shù)據(jù)的機密性和完整性保護策略，最好能夠按照嚴格的形式化模型來支持訪問控制策略，并且應(yīng)該解決好這兩個屬性在保護方面的“打架”問題。如果僅能支持某一方面的保護，那在使用中就要受到限制。

　　2006年，當筆者獲悉國內(nèi)某公司已經(jīng)開發(fā)出了操作系統(tǒng)加固產(chǎn)品后，極為興奮，并受邀訪問了該公司，應(yīng)當說這款產(chǎn)品對于提升操作系統(tǒng)的安全功能起到了革命性的作用，并且由于引入了強制訪問控制和三權(quán)分立，使得操作系統(tǒng)本身的完整性也得到了一定的保護。但是，十分遺憾的是，這款產(chǎn)品當時還沒有嚴格地按照相應(yīng)的形式化模型來解決訪問控制策略問題，對于保護數(shù)據(jù)的機密性存在著機制上的嚴重不足。并且僅部分地達到了GB/T20272—2006（操作系統(tǒng)安全要求）（當時為討論稿）。并且安全機制也可能被繞過。當時筆者就指出了這一問題，也引起了開發(fā)技術(shù)人員的重視。可惜地是，由于某些原因，這些問題最終沒有得到很好地解決。

　　應(yīng)當說這是一款相對完善的主機安全產(chǎn)品，經(jīng)專家論證及測評中心的檢測，完全符合國家標準GB/T20272的要求。安裝后完全達到了國家標準中對三級信息系統(tǒng)中主機安全的目標要求。

　　在現(xiàn)有的主流商用操作系統(tǒng)和安全加固類產(chǎn)品中，對于自主訪問控制和強制訪問控制某些產(chǎn)品中還存在以下缺陷：

　　自主訪問控制方面，現(xiàn)有的操作系統(tǒng)存在超級用戶（root/Administrator）權(quán)力過大，可對服務(wù)器所有資源進行任意操作，以及客體屬主可以自主將權(quán)限轉(zhuǎn)授給其他主體的兩大缺陷。在這樣自主訪問控制機制下，數(shù)據(jù)的保密性和完整性都很難得到相應(yīng)的保障，如果某一個應(yīng)用存在漏洞，可能會導(dǎo)致其它應(yīng)用受到影響，甚至嚴重影響到操作系統(tǒng)的安全。因此，《GB/T20272—2006信息安全技術(shù)—操作系統(tǒng)安全技術(shù)要求》對自主訪問控制要求客體的擁有者是唯一有權(quán)訪問該客體訪問控制列表（ACL）的主體，擁有者對其擁有的客體具有全部的控制權(quán)，但無權(quán)將客體的控制權(quán)分配給其他主體。這就需要操作系統(tǒng)具有捕獲所有主體對客體訪問監(jiān)控的能力，使得自主訪問控制機制得到以下提升：

　　1、原系統(tǒng)管理員/組（Administrators）無法更改低級別用戶/組（Users、Guests）的ACL。

　　2、原系統(tǒng)管理員/組（Administrators）無法更改低級別用戶/組（Users）屬主（Owner）。

　　3、客體屬主無權(quán)改變自身屬主。

　　在這種機制下，用戶需要對客體設(shè)置一個擁有者，并使其成為唯一有權(quán)訪問該客體訪問控制表（ACL）的主體，確保了受保護客體ACL控制權(quán)的唯一性，有效規(guī)避由于系統(tǒng)管理員信息泄露而給系統(tǒng)帶來的巨大危害。

　　強制訪問控制方面，目前市面上比較流行的傳統(tǒng)主機安全加固類產(chǎn)品中，大多支持對文件/文件夾、用戶、進程等的強制訪問控制。但是，在訪問數(shù)據(jù)庫方式日益多樣的今天，僅僅在這些方面實施安全策略進行訪問控制設(shè)計是不夠的，必須對主客體進行更細粒度的管理，客體應(yīng)不僅可以對文件/文件夾、進程客體進行強制訪問控制，也要重點對磁盤進行保護，以防止惡意程序通過直接讀寫磁盤等操作繞過強制訪問控制對數(shù)據(jù)進行破壞。同時，還應(yīng)加入服務(wù)、共享資源、端口、注冊表（僅windows）等資源客體的保護。而主體應(yīng)不僅包含用戶和進程，還應(yīng)加入IP主體，以對遠程訪問進行訪問控制。

　　此外，對于主體對客體的訪問權(quán)限方面，目前一般只設(shè)立“讀”，“寫”，“完全控制”，“禁止訪問”四種權(quán)限。這樣會造成系統(tǒng)中某些應(yīng)用的訪問出現(xiàn)問題，所以，主體對客體的訪問權(quán)限應(yīng)進行更加細粒度的設(shè)置，進而提供廣泛的訪問能力和強大的控制功能。

　　除了安全功能外，對這些安全功能的保證機制是十分重要的，國際標準CC和我國標準GB/T20271及系列標準中對此都有明確的要求，所謂保證就是要保證所有的安全功能能夠有效的實現(xiàn)而不會被繞過、破壞和廢除。這個保證機制是從技術(shù)和管理的角度上對安全子系統(tǒng)的保護，同時在工程開發(fā)過程中，也要有相應(yīng)的機制進行保護。這一點某些加固類產(chǎn)品肯定是存在問題的。

　　現(xiàn)如今，各種類型和規(guī)模的企業(yè)都在努力為其應(yīng)用和相關(guān)信息資源提供廣泛的訪問。

　　但是，實現(xiàn)這一切的方式必須符合一定目標：保護敏感信息的機密性和完整性，保持信息系統(tǒng)的完整性和可用性，達到國家等級保護制度要求。但是，在實踐中，訪問資源將會受到細粒度訪問控制有效程度的限制。正如我們前面討論所講，由于對數(shù)據(jù)的保密性保護和完整性保護的要求是存在相互沖突的問題，現(xiàn)有的多級安全系統(tǒng)大多采用犧牲數(shù)據(jù)完整性和可用性的方法來獲得較高的保密性，但是，如果數(shù)據(jù)的完整性得不到保證，保密性也將存在失去的價值。因此，如何構(gòu)造同時具備較高的保密性、數(shù)據(jù)完整性和可用性的多級安全數(shù)據(jù)模型一直是一大難題。寫本文的目的，就是希望讀者能夠清楚自己所要保護數(shù)據(jù)的屬性，并按照屬性所對應(yīng)的策略來解決數(shù)據(jù)的保護問題，千萬不能花錢買破壞。