深度分析：信息保障切忌花钱买破坏

申请免费试用、咨询电话：400-8352-114

　　人们常说要花钱买安全，谁也不愿意花钱买破坏，但是，如果我们对信息保障理论不能很好地理解，就有可能花钱买破坏!

　　很多单位买了安全产品，而不做相应的策略，或者买的产品不适合，结果安全事件发生时，这些产品不但起不到应有地作用，甚至还会适得其反。

　　等级保护制度推进之后，许多信息系统确定的安全等级为三级以上，而三级以上的信息系统应该按照合理的策略实行主体对客体的强制访问控制。如果策略不合理，就很可能“花钱买破坏”。

　　强制访问控制是要对主体和客体打上相应的标记，然后按照一定地策略规则进行的访问。在国家标准GB/T22239—2008（《信息安全等级保护基本要求》）中就有相关的要求。要求诚然是对的，但是，按照什么策略规则进行访问，此标准并没有明确提出。这不能不说是这个标准的瑕疵。应该按照什么样策略进行访问，恰恰是很多单位没有搞明白的问题，这也是导致可能会花钱买破坏的关键原因所在。一位专家在介绍其单位在等级保护方面的成绩时说，他们实行了“低安全等级的主体不能访问高安全等级的客体”的安全策略。实际上，这个说法就非常令人担忧。

　　在信息系统中，我们所要保护的只有两大目标，一是用户的数据，二是系统的服务功能。在国家标准GB/T22240—2008中，定级的依据也只是这两个。在GB/T22239—2008中，将信息保障技术分为了用于保护用户数据的技术（S）类和用于保护系统的服务功能的技术（A）类及对两者都有作用的通用技术（G）类。而用户数据，则是我们所要保护的第一目标，因为数据被破坏，也就无从谈起系统的服务功能了。

　　保护数据，要保护数据的什么?我们必须清楚。保护数据就是要保护数据的安全属性不被破坏，也就是要保护数据的机密性（C）、完整性（I）和数据的可用性（A）。而实际上数据的可用性是建立在数据的机密性、完整性及系统的可用性基础上的，而系统的可用性实际上就是对系统服务功能的保护。所以，从保护数据的角度来看，我们只要注重保护数据的机密性和完整性就足够了。

　　数据的机密性保护和数据的完整性保护是信息保障中对数据保护的最基本任务。强制访问控制策略也是要依据这两种属性来制定，如果不清楚，就有可能花钱买破坏。

　　这是因为对于数据的机密性保护和完整性保护从策略上说是存在矛盾的，用全国信息安全标准化技术委员会委员、原信息安全国家重点实验室主任赵战生专家的话来说，它们是在“打架”。一个主体对于客体的访问应该有以下操作：读写、只读、只写、执行和控制。其中，读和写是最基本的操作。由于主、客体安全属性的不同，就需要采取不同的并且相适应的安全策略，而不是简单的“低安全等级的主体不能访问高安全等级的客体”。

　　对于保护数据的机密性：低安全等级的主体不能“读”高安全等级的客体，而高安全等级的主体则不能“写”低安全等级的客体。即不准“向上读”，不准“向下写”。如果可以向下作写访问，就意味着信息有泄露的可能。

　　而对于保护数据的完整性来说，这样的“读、写”操作恰恰是对安全策略的破坏。试想能允许一个普通的科员，在未授权的情况下修改（“写”操作）处长已经定稿的文件吗?当然，高级别的主体在“读”低安全等级的客体时，可能会被污染。

　　实际上，对于正在处理的客体，“回滚”对于保护完整性是非常必要的，但是“回滚”却可能导致一些信息的泄露。同样，“残余信息保护”，是保护用户数据的机密性的关键技术之一，但却会造成数据永远不能被恢复。

　　由于这种“打架”原因的存在，如果搞不清楚数据应该保护的属性是什么，而只是简单采取“低安全等级的主体不能访问高安全等级的客体”的策略，很可能导致数据某个属性的破坏。

　　目前，国内主流的商用操作系统（如AIX、HP—UX、Solaris、WindowsServer、LinuxServer）都是C2级的，系统自身存在缺陷，安全性难以得到有效地保障，未能达到我国等级保护标准中的第二级和第三级要求。因此，一些安全厂商开发出了相应的操作系统改造或者叫加固产品，用于提升操作系统的安全等级，这是值得鼓励和欣喜的。但是，这些产品必须支持对数据的机密性和完整性保护策略，最好能够按照严格的形式化模型来支持访问控制策略，并且应该解决好这两个属性在保护方面的“打架”问题。如果仅能支持某一方面的保护，那在使用中就要受到限制。

　　2006年，当笔者获悉国内某公司已经开发出了操作系统加固产品后，极为兴奋，并受邀访问了该公司，应当说这款产品对于提升操作系统的安全功能起到了革命性的作用，并且由于引入了强制访问控制和三权分立，使得操作系统本身的完整性也得到了一定的保护。但是，十分遗憾的是，这款产品当时还没有严格地按照相应的形式化模型来解决访问控制策略问题，对于保护数据的机密性存在着机制上的严重不足。并且仅部分地达到了GB/T20272—2006（操作系统安全要求）（当时为讨论稿）。并且安全机制也可能被绕过。当时笔者就指出了这一问题，也引起了开发技术人员的重视。可惜地是，由于某些原因，这些问题最终没有得到很好地解决。

　　应当说这是一款相对完善的主机安全产品，经专家论证及测评中心的检测，完全符合国家标准GB/T20272的要求。安装后完全达到了国家标准中对三级信息系统中主机安全的目标要求。

　　在现有的主流商用操作系统和安全加固类产品中，对于自主访问控制和强制访问控制某些产品中还存在以下缺陷：

　　自主访问控制方面，现有的操作系统存在超级用户（root/Administrator）权力过大，可对服务器所有资源进行任意操作，以及客体属主可以自主将权限转授给其他主体的两大缺陷。在这样自主访问控制机制下，数据的保密性和完整性都很难得到相应的保障，如果某一个应用存在漏洞，可能会导致其它应用受到影响，甚至严重影响到操作系统的安全。因此，《GB/T20272—2006信息安全技术—操作系统安全技术要求》对自主访问控制要求客体的拥有者是唯一有权访问该客体访问控制列表（ACL）的主体，拥有者对其拥有的客体具有全部的控制权，但无权将客体的控制权分配给其他主体。这就需要操作系统具有捕获所有主体对客体访问监控的能力，使得自主访问控制机制得到以下提升：

　　1、原系统管理员/组（Administrators）无法更改低级别用户/组（Users、Guests）的ACL。

　　2、原系统管理员/组（Administrators）无法更改低级别用户/组（Users）属主（Owner）。

　　3、客体属主无权改变自身属主。

　　在这种机制下，用户需要对客体设置一个拥有者，并使其成为唯一有权访问该客体访问控制表（ACL）的主体，确保了受保护客体ACL控制权的唯一性，有效规避由于系统管理员信息泄露而给系统带来的巨大危害。

　　强制访问控制方面，目前市面上比较流行的传统主机安全加固类产品中，大多支持对文件/文件夹、用户、进程等的强制访问控制。但是，在访问数据库方式日益多样的今天，仅仅在这些方面实施安全策略进行访问控制设计是不够的，必须对主客体进行更细粒度的管理，客体应不仅可以对文件/文件夹、进程客体进行强制访问控制，也要重点对磁盘进行保护，以防止恶意程序通过直接读写磁盘等操作绕过强制访问控制对数据进行破坏。同时，还应加入服务、共享资源、端口、注册表（仅windows）等资源客体的保护。而主体应不仅包含用户和进程，还应加入IP主体，以对远程访问进行访问控制。

　　此外，对于主体对客体的访问权限方面，目前一般只设立“读”，“写”，“完全控制”，“禁止访问”四种权限。这样会造成系统中某些应用的访问出现问题，所以，主体对客体的访问权限应进行更加细粒度的设置，进而提供广泛的访问能力和强大的控制功能。

　　除了安全功能外，对这些安全功能的保证机制是十分重要的，国际标准CC和我国标准GB/T20271及系列标准中对此都有明确的要求，所谓保证就是要保证所有的安全功能能够有效的实现而不会被绕过、破坏和废除。这个保证机制是从技术和管理的角度上对安全子系统的保护，同时在工程开发过程中，也要有相应的机制进行保护。这一点某些加固类产品肯定是存在问题的。

　　现如今，各种类型和规模的企业都在努力为其应用和相关信息资源提供广泛的访问。

　　但是，实现这一切的方式必须符合一定目标：保护敏感信息的机密性和完整性，保持信息系统的完整性和可用性，达到国家等级保护制度要求。但是，在实践中，访问资源将会受到细粒度访问控制有效程度的限制。正如我们前面讨论所讲，由于对数据的保密性保护和完整性保护的要求是存在相互冲突的问题，现有的多级安全系统大多采用牺牲数据完整性和可用性的方法来获得较高的保密性，但是，如果数据的完整性得不到保证，保密性也将存在失去的价值。因此，如何构造同时具备较高的保密性、数据完整性和可用性的多级安全数据模型一直是一大难题。写本文的目的，就是希望读者能够清楚自己所要保护数据的属性，并按照属性所对应的策略来解决数据的保护问题，千万不能花钱买破坏。