五一長(zhǎng)假里，51CTO安全頻道的記者走訪了中科院國家重點(diǎn)實(shí)驗(yàn)室聶曉偉博士，我們交流了網(wǎng)絡(luò)安全的重要組成部分——安全操作系統(tǒng)的重要性和在中國的獨(dú)立自主開發(fā)問題。
操作系統(tǒng)是應(yīng)用軟件同系統(tǒng)硬件的接口，其目標(biāo)是高效地、最大限度地、合理地使用計(jì)算機(jī)資源。而安全操作系統(tǒng)是增強(qiáng)安全機(jī)制與功能，保障計(jì)算資源使用的保密性、完整性和可用性。為此，二十世紀(jì)八十年代初提出的可信計(jì)算基（TCB）概念成為TCSEC 的主線。安全操作系統(tǒng)處于硬件和上層應(yīng)用的中間環(huán)節(jié)，可以提供對(duì)數(shù)據(jù)庫、應(yīng)用軟件、網(wǎng)絡(luò)系統(tǒng)提供全方位的保護(hù)。

操作系統(tǒng)的安全現(xiàn)狀

談到安全操作系統(tǒng)的重要性，聶曉偉博士說，沒有安全操作系統(tǒng)的保護(hù)，就不可能有網(wǎng)絡(luò)系統(tǒng)的安全，也不可能有應(yīng)用軟件信息處理的安全性。因此，安全操作系統(tǒng)是整個(gè)信息系統(tǒng)安全的基礎(chǔ)。
信息安全框架的構(gòu)造如果只停留在網(wǎng)絡(luò)防護(hù)的層面上, 而忽略了操作系統(tǒng)內(nèi)核安全這一基本要素,這如同將堅(jiān)固的堡壘建立在沙丘之上,安全隱患極大。
造成現(xiàn)在信息系統(tǒng)安全問題的被動(dòng)局面，其關(guān)鍵是什么？
當(dāng)今的信息系統(tǒng)產(chǎn)生安全問題的基本原因是操作系統(tǒng)的結(jié)構(gòu)和機(jī)制不安全。其根源在于PC 機(jī)硬件結(jié)構(gòu)的簡(jiǎn)化，系統(tǒng)不分執(zhí)行"態(tài)"，內(nèi)存無越界保護(hù)等等，使操作系統(tǒng)難以建立真正的TCB。這樣就導(dǎo)致：資源配置可以被篡改；惡意程序被植入執(zhí)行；利用緩沖區(qū)（棧）溢出攻擊；非法接管系統(tǒng)管理員權(quán)限等安全事故。病毒在世界范圍內(nèi)傳播泛濫，黑客利用各種漏洞攻擊入侵，非授權(quán)者任意竊取信息資源，使得安全防護(hù)形成了防火墻、防病毒和入侵檢測(cè)老三樣的被動(dòng)局面。
因此，信息安全的根本解決，需要從系統(tǒng)工程的角度來考慮，通過建立安全操作系統(tǒng)構(gòu)建可信計(jì)算基(TCB)，建立動(dòng)態(tài)、完整的安全體系。而其中，安全操作系統(tǒng)是最為基本與關(guān)鍵的技術(shù)之一。
我國操作系統(tǒng)的安全現(xiàn)狀：玻璃盒子和供求缺口
長(zhǎng)期以來，我國廣泛應(yīng)用的主流操作系統(tǒng)都是從國外引進(jìn)直接使用的產(chǎn)品。這些系統(tǒng)安全性很差。Windows中存在著漏洞和陷門，不斷引起世界性的"沖擊波"和"震蕩波"等安全事件，如果在電子政務(wù)等要害部門使用，將存在極大風(fēng)險(xiǎn)。以Linux為代表的國際自由軟件的發(fā)展為我國發(fā)展具有自主版權(quán)的系統(tǒng)軟件提供了良好的機(jī)遇。
是不是可以認(rèn)為，Linux等開源操作系統(tǒng)就可以解決我國目前對(duì)于安全操作系統(tǒng)的要求嗎？
在這個(gè)問題上，聶曉偉博士表示，Linux的內(nèi)核設(shè)計(jì)缺乏模塊化，從而導(dǎo)致基于Linux平臺(tái)研制安全操作系統(tǒng)的做法缺乏科學(xué)的安全模型支持。同時(shí)，根據(jù)自由軟件協(xié)議（GPL），任何基于自由軟件的源代碼必須公開。就安全性而言，非開放源碼的操作系統(tǒng)是個(gè)黑盒子，而一個(gè)源代碼公開的系統(tǒng)更像是一個(gè)玻璃盒子，這恐怕也沒法讓人安心。目前國內(nèi)基本上都是利用國外的技術(shù)甚至是部分源代碼，根據(jù)市場(chǎng)需要自己組合成的操作系統(tǒng)，這種系統(tǒng)不具有我們的自主知識(shí)產(chǎn)權(quán)，而且還沒有一個(gè)可信基(TCB)。我國現(xiàn)在還沒有一個(gè)自主可用的安全操作系統(tǒng)，西方禁止高等級(jí)安全操作系統(tǒng)向我國出口，即使允許也不敢應(yīng)用在要害部門。
對(duì)于開發(fā)安全操作系統(tǒng)，國內(nèi)現(xiàn)有的成果如何
我國從上世紀(jì)90年代開始研究安全操作系統(tǒng)，到目前已經(jīng)取得了一些成果。從1993年我國宣布開發(fā)成功具有B2 集功能的操作系統(tǒng)，現(xiàn)在已有眾多的公司和科研單位開始注重安全操作系統(tǒng)的研發(fā)，比如中科紅旗公司開發(fā)的紅旗Linux，南京大學(xué)的Softos，國防科大的麒麟安全操作系統(tǒng)(注1)，中科安勝公司的安勝操作系統(tǒng)等。安全操作系統(tǒng)具有操作系統(tǒng)的本質(zhì)特點(diǎn)，安全操作系統(tǒng)的開發(fā)是一項(xiàng)龐大復(fù)雜的工程。但是目前我們的安全操作系統(tǒng)的開發(fā)還存在著某些問題，例如，或者研發(fā)隊(duì)伍不是專業(yè)從事操作系統(tǒng)研發(fā)的，或者開發(fā)者不是直接面向市場(chǎng)來做的，或者有的壓根兒就沒有專業(yè)的安全操作系統(tǒng)研發(fā)隊(duì)伍，在安全操作系統(tǒng)的研發(fā)方面，在不同程度上存在固有的不足。從這些機(jī)構(gòu)現(xiàn)在開發(fā)的安全操作系統(tǒng)來看，主要還是以美國的TCSEC安全評(píng)價(jià)標(biāo)準(zhǔn)為基礎(chǔ)的。
美國的TCSEC安全評(píng)價(jià)標(biāo)準(zhǔn)對(duì)我們有什么樣的影響？
美國的TCSEC標(biāo)準(zhǔn)(注2)是七十年代末著手制訂、八十年代中頒布的，它基于當(dāng)時(shí)的歷史條件，對(duì)安全產(chǎn)品的安全功能有比較明確的限定。而安全操作系統(tǒng)的特點(diǎn)是其安全職能目前還無法清楚確定，在安全操作系統(tǒng)的總體安全職能中，有些是已知的，有些是未知的，隨著新的安全威脅的不斷出現(xiàn)，不可避免地可能需要設(shè)計(jì)必要的新的安全職能來提供應(yīng)對(duì)支持。當(dāng)前我國實(shí)施等級(jí)保護(hù)制度，迫切需要高等級(jí)的安全操作系統(tǒng)這是發(fā)展安全操作系統(tǒng)的大好機(jī)遇。中科院正在下大力氣抓緊開發(fā)高可信的安全操作系統(tǒng)產(chǎn)品，以解決國家的燃眉之急。
開發(fā)一個(gè)這樣的安全操作系統(tǒng)，碰到的問題以什么最關(guān)鍵
聶博士：其一是安全理論與模型問題，在整個(gè)安全操作系統(tǒng)開發(fā)中，建立適合的安全理論和模型是基礎(chǔ)與依據(jù)。當(dāng)前安全操作系統(tǒng)開發(fā)所依據(jù)的模型多數(shù)依據(jù)與傳統(tǒng)的BLP模型，該模型偏重于信息的保密性，同時(shí)在具體實(shí)施中存在著若干的諸如隱通道等安全隱患，難以適應(yīng)安全操作系統(tǒng)的發(fā)展要求，這就需要我們研究如何將要重點(diǎn)進(jìn)行安全模型的研究及相應(yīng)的策略制定，加強(qiáng)評(píng)估準(zhǔn)則與方法的研究，將保密性和完整性有機(jī)結(jié)合。其二是安全體系結(jié)構(gòu)的問題，高安全等級(jí)不是安全功能的簡(jiǎn)單疊加，必須要有嚴(yán)密科學(xué)的結(jié)構(gòu)加以保證。加強(qiáng)安全操作系統(tǒng)體系結(jié)構(gòu)的研究，提供符合安全標(biāo)準(zhǔn)的安全核心體系結(jié)構(gòu)，從形式化描述與驗(yàn)證上下功夫，為解決操作系統(tǒng)安全提供一個(gè)整體的理論指導(dǎo)和基礎(chǔ)構(gòu)件的支撐，并為工程實(shí)現(xiàn)奠定堅(jiān)實(shí)的基礎(chǔ)?？尚庞?jì)算基（TCB）是操作系統(tǒng)安全的基礎(chǔ)，其內(nèi)部要結(jié)構(gòu)化，模塊間相互獨(dú)立，要用硬件資源隔離關(guān)鍵和非關(guān)鍵部件。第三，必須按需分級(jí)，以對(duì)專用安全操作系統(tǒng)的研究和設(shè)計(jì)作為工程契入點(diǎn)，針對(duì)安全性要求高的應(yīng)用環(huán)境配置特定的安全策略，提供靈活、有效的安全機(jī)制，設(shè)計(jì)符合相應(yīng)安全目標(biāo)的專用安全系統(tǒng)，以滿足國家等級(jí)保護(hù)的急需。第四，以密碼技術(shù)重構(gòu)內(nèi)核，要想具有完全的安全操作系統(tǒng)自主知識(shí)產(chǎn)權(quán)，必須重構(gòu)內(nèi)核，要以密碼技術(shù)為核心，充分利用所提供的可信功能構(gòu)建具有自我免疫能力的高安全等級(jí)的內(nèi)核。密碼技術(shù)為在內(nèi)核中可以實(shí)現(xiàn)以下主要功能：確保用戶唯一身份、權(quán)限、工作空間的完整性/可用性;確保存儲(chǔ)、處理、傳輸?shù)臋C(jī)密性/完整性;確保硬件環(huán)境配置、操作系統(tǒng)內(nèi)核、服務(wù)及應(yīng)用程序的完整性;確保密鑰操作和存儲(chǔ)的安全;確保系統(tǒng)具有免疫能力，從根本上阻止病毒和黑客等軟件攻擊。第六是安全加固問題，對(duì)于當(dāng)前無法從內(nèi)核進(jìn)行改造的系統(tǒng)，則可以進(jìn)行安全加強(qiáng)。例如對(duì)占我國市場(chǎng)90% 以上的Windows 操作系統(tǒng)，它的源碼不公開，因此只能采用設(shè)計(jì)安全隔離層-- 中間件的方式，增強(qiáng)其安全性，基于應(yīng)用對(duì)象，實(shí)施安全封裝、主動(dòng)服務(wù)。
編者按：信息安全中我們反復(fù)強(qiáng)調(diào)了自主知識(shí)產(chǎn)權(quán)，目前我國安全操作系統(tǒng)的研究正處在一個(gè)關(guān)鍵時(shí)期，我們必須把握住正確的研究方向，制定相應(yīng)的發(fā)展戰(zhàn)略，走符合我國國情的發(fā)展道路，采用國際先進(jìn)技術(shù)，借助開源技術(shù)提供的資源，開發(fā)具有我國自主知識(shí)產(chǎn)權(quán)的安全操作系統(tǒng)產(chǎn)品。

注1：關(guān)于麒麟安全操作系統(tǒng)的爭(zhēng)議
參見本站文章：
　

注2：關(guān)于美國的TCSEC安全評(píng)價(jià)標(biāo)準(zhǔn)
參見本站文章： 68476636-8007）