基于可信計算的操作系統(tǒng)加固技術研究

◆李墨泚 趙華容 陳宇飛

操作系統(tǒng)、網(wǎng)絡體系與服務器技術

基于可信計算的操作系統(tǒng)加固技術研究

◆李墨泚 趙華容 陳宇飛

（海軍參謀部 北京 100841）

可信計算是當前信息安全領域的一個全新課題，它為計算機系統(tǒng)的信息安全提供主動防御的解決方案。本文以可信計算技術的基本概念為基礎，介紹了可信計算在操作系統(tǒng)安全加固領域的研究情況，通過對當前信息系統(tǒng)存在的安全漏洞分析，對安全加固方案進行研究，實現(xiàn)計算機系統(tǒng)的安全。

可信計算；可信計算基；操作系統(tǒng)加固；可信度量

當前，隨著計算機的發(fā)展及互聯(lián)網(wǎng)的普遍應用，信息安全、網(wǎng)絡安全和個人計算機安全已經(jīng)成為一個迫切需要解決的問題。而當前大部分信息安全系統(tǒng)主要是由防火墻、入侵監(jiān)測和病毒防范等系統(tǒng)組成，屬于被動防御手段，惡意用戶的攻擊手段越來越高明導致這種系統(tǒng)的使用效率大大降低，尤其是在對信息安全要求很高的軍用領域，這種傳統(tǒng)防護手段已經(jīng)不能從根本上解決信息安全問題了。由信息和計算機網(wǎng)絡系統(tǒng)構(gòu)成的信息系統(tǒng)中，最薄弱、易受攻擊、而保護力度又相對缺乏的就是對計算機系統(tǒng)的保護。計算機系統(tǒng)是信息系統(tǒng)中敏感信息的直接載體，也是各類應用運行的平臺，因此對計算機系統(tǒng)的保護是保證整個信息系統(tǒng)安全的基礎，而對計算機操作系統(tǒng)安全保障又是保證計算機系統(tǒng)安全的核心所在。

因此引入可信計算技術，它是當前計算機信息安全領域的一個全新課題，與傳統(tǒng)的防火墻等被動防御手段不同，其核心思想是采取主動防御措施，從硬件平臺和操作系統(tǒng)建立信任源點，利用密碼機制建立信任鏈，從而提高整個系統(tǒng)的安全性。

本文從可信計算技術的基本概念開始，分析目前主流操作系統(tǒng)面臨的主要威脅和漏洞，結(jié)合可信計算技術，對操作系統(tǒng)的加固技術做了研究。

1 可信計算技術

1.1 可信計算技術概述

可信計算技術是解決當前計算機系統(tǒng)的安全問題的最佳方案。可信計算是指計算運算的同時進行安全防護，使操作和過程行為在任意條件下，其結(jié)果總是與預期一樣，計算全程可測可控，不被干擾。

為了實現(xiàn)這一目的，人們陸續(xù)提出了在應用程序?qū)印⒉僮飨到y(tǒng)層、硬件層來實現(xiàn)可信計算基，而目前最為權威的概念是以硬件平臺為基礎，包含可信BIOS程序、可信操作系統(tǒng)及可信應用層組件等綜合的體系，稱之為可信計算平臺。

可信計算平臺包含一個完整的體系，其基礎是在計算機的硬件平臺上引入可信模塊硬件，即可信密碼模塊TCM，該模塊內(nèi)部運行密碼算法，是計算機系統(tǒng)的信任源點，利用密碼機制建立信任鏈，構(gòu)建可信賴的計算環(huán)境，而從提高系統(tǒng)的安全性。

1.2 引入可信計算的必要性

為了從根本上解決目前計算機系統(tǒng)存在的基礎安全缺陷，必須以密碼為基礎，采用可信計算技術，對計算機軟、硬件體系結(jié)構(gòu)進行全面改造，在PC終端硬件平臺上引入具有自身保護能力和密碼運算功能的硬件部件（可信密碼模塊），以可信密碼模塊作為平臺安全保密的核心（可信根），對系統(tǒng)軟件進行可信安全增強，構(gòu)造可信計算密碼平臺，解決PC終端存在的基礎性安全缺陷問題，從而為軍事信息系統(tǒng)建立牢固可靠的安全運行基礎環(huán)境，為從根本上解決當前軍事信息系統(tǒng)存在的安全保密問題奠定基礎。

可信計算不是一個孤立的個體，它是由計算機軟、硬件體系共同構(gòu)成的一個整體，其概念是以可信硬件平臺為基礎，包含可信密碼模塊、可信操作系統(tǒng)、可信應用程序等綜合的體系。它與傳統(tǒng)的防火墻、病毒防護工具等被動防御手段不同，可信計算強調(diào)的是主動防御，即在硬件平臺上增加專用的可信密碼模塊作為可信根，通過用戶身份認證、平臺軟硬件配置完整性驗證、應用程序的完整性度量與驗證、數(shù)據(jù)的安全保護等手段，實現(xiàn)平臺上數(shù)據(jù)及程序代碼的機密性、受保護性，防止病毒惡意代碼攻擊、保證用戶的機密信息不被竊取、保障數(shù)據(jù)和系統(tǒng)不被非法破壞，從而構(gòu)建安全可信賴的計算環(huán)境?？尚庞嬎憧蚣苋鐖D1所示。

圖1 可信計算架構(gòu)

綜上所述，可信計算技術已成為信息安全領域的發(fā)展要務，同時也是業(yè)界公認的信息安全技術手段，可信計算機技術的應用將從硬件結(jié)構(gòu)上為計算平臺構(gòu)建免疫系統(tǒng)，將根本性解決目前的安全難題，對全面提高我國計算機系統(tǒng)的安全防護水平具有重要的意義。

2 當前信息系統(tǒng)面臨威脅分析

當前信息系統(tǒng)面臨安全威脅主要是由于邊界類安全產(chǎn)品的安全機制容易被惡意攻擊者通過某些技術手段旁路，并且也無法防御新型攻擊和來自局域網(wǎng)內(nèi)部攻擊的安全威脅。

2.1 操作系統(tǒng)自身安全漏洞問題

目前主流的辦公操作系統(tǒng)（如Windows、Linux等）存在較多安全漏洞，以微軟的windows系統(tǒng)為例，僅在2009年一年，微軟公司就發(fā)布了72個補丁修復了近190個安全漏洞。而其中很多漏洞會被黑客利用，成為黑客攻擊的目標或跳板。傳統(tǒng)的安全工具都是通過打補丁的方式對操作系統(tǒng)漏洞進行修復，但是這種事后補救的方式存在著較大的安全隱患，往往在補丁沒有發(fā)布之前，黑客就已經(jīng)利用這些漏洞對計算機系統(tǒng)造成極大的破壞。

2.2 操作系統(tǒng)完整性破壞

操作系統(tǒng)完整性破壞是當前計算機系統(tǒng)面臨的主要安全威脅?，F(xiàn)有操作系統(tǒng)，從開機啟動到運行服務過程中，對執(zhí)行代碼不做任何完整性檢查，導致病毒、木馬程序可以嵌入到執(zhí)行代碼程序或者直接替換原有程序，實現(xiàn)病毒、木馬等惡意代碼的傳播。這些惡意代碼一旦被激活，就會繼承當前用戶的權限，從而肆無忌憚地進行傳播，為所欲為地破壞操作系統(tǒng)的完整性，例如在管理員毫不知情的情況下修改或刪除計算機系統(tǒng)中的重要信息，導致操作系統(tǒng)無法正常運作等。

雖然用戶往往在計算機系統(tǒng)上部署了病毒查殺類產(chǎn)品，但是目前的病毒查殺類產(chǎn)品都是采用病毒庫的方式，因此只能防范已知的病毒、木馬、攻擊程序等惡意代碼，對于新型的、未知的病毒、木馬、攻擊程序等惡意代碼是無能為力的，這種被動防御的方式帶來的安全滯后性問題將嚴重威脅計算機系統(tǒng)的安全。

2.3 重要資源泄密的安全威脅

傳統(tǒng)的操作系統(tǒng)在對重要文件的訪問時沒有進行嚴格的控制，一旦這些重要的資料泄漏會帶來極其嚴重的影響，甚至威脅國家安全或企業(yè)利益。

局域網(wǎng)內(nèi)部針對計算機系統(tǒng)的訪問行為一般是通過傳統(tǒng)的操作系統(tǒng)的口令認證方式實現(xiàn)，這種安全機制很容易被內(nèi)部惡意用戶利用提權、密碼攻擊等方式破解，所以往往無法防止來自內(nèi)部的非授權訪問問題，這種非授權訪問帶來的主要威脅是通過內(nèi)部網(wǎng)絡竊取重要資源和機密文件、植入病毒木馬等惡意代碼威脅局域網(wǎng)安全。

2.4 數(shù)據(jù)完整性破壞

數(shù)據(jù)完整性面臨的威脅主要指計算機系統(tǒng)中的重要數(shù)據(jù)在存儲期間被惡意篡改，使得重要數(shù)據(jù)失去了原有的真實性，從而變得不可用或造成廣泛的負面影響，惡意用戶可以通過網(wǎng)絡或其他方式對沒有采取安全措施的計算機系統(tǒng)上存放的重要數(shù)據(jù)進行修改或傳達一些虛假信息，從而影響工作的正常進行。

2.5 沒有足夠強度身份驗證的安全威脅

目前計算機系統(tǒng)普遍存在的問題就是管理員身份單一，致使管理員權限過大，這樣會對計算機系統(tǒng)帶來一定的安全隱患。并且出于業(yè)務操作和運行維護的需要，計算機系統(tǒng)經(jīng)常是混用的，即多人可對同一臺計算機進行操作。而操作系統(tǒng)本身只提供用戶名/口令認證方式，因此多人不得不共用計算機系統(tǒng)賬戶和口令，這樣就造成計算機系統(tǒng)用戶身份鑒別不明，難以根據(jù)用戶的身份和角色分配權限，無法進行嚴格地訪問控制，容易產(chǎn)生誤操作；也不能根據(jù)用戶身份進行行為審計，無法實現(xiàn)事后追查。另外，單純的用戶名/口令認證方式容易受到字典攻擊等攻擊方式，導致黑客獲取口令執(zhí)行惡意操作。

2.6 沒有可執(zhí)行程序控制帶來的安全威脅

操作系統(tǒng)自身有很多的可執(zhí)行程序，當這些可執(zhí)行程序執(zhí)行或修改的時候，操作系統(tǒng)對其執(zhí)行或修改行為沒有嚴格的控制手段，無法驗證其是否是安全的操作行為，是否會給計算機系統(tǒng)的安全帶來威脅；計算機系統(tǒng)上還會安裝支撐服務的軟件，這些軟件本身存在諸多漏洞會增加計算機系統(tǒng)的風險，對于這些軟件的執(zhí)行或修改的操作行為無法進行安全驗證。攻擊手段如下：

（1）惡意程序攻擊

向計算機系統(tǒng)植入未知的病毒、木馬、竊取軟件等惡意代碼躲避殺毒軟件的查殺，他們將破壞計算機的操作系統(tǒng)及應用服務系統(tǒng)，盜取用戶機密信息，感染操作系統(tǒng)的可執(zhí)行程序使操作系統(tǒng)無法正常使用，向訪問該計算機系統(tǒng)的終端傳播病毒造成更嚴重的破壞。

（2）安裝不安全軟件

由于操作系統(tǒng)本身不會對安裝軟件等行為的安全性進行驗證，計算機系統(tǒng)用戶在未授權的情況下，可以在計算機系統(tǒng)安裝任何的軟件，一些帶有漏洞甚至本身就不安全的軟件有可能被安裝在計算機系統(tǒng)上，威脅計算機系統(tǒng)的安全。

2.7 接入移動存儲設備的安全威脅

計算機系統(tǒng)對于接入的移動存儲設備（U盤等）沒有進行安全認證，會給其帶來安全威脅。攻擊手段如下：

（1）竊取重要資源

由于對接入的移動存儲設備缺乏認證，內(nèi)部的惡意用戶可以通過接入移動存儲設備的方式竊取重要的資源和機密文件。

（2）植入惡意代碼

內(nèi)部惡意用戶還能夠通過移動存儲設備向計算機系統(tǒng)植入新型的病毒、木馬等惡意代碼，使服務器和終端無法正常工作，通過移動存儲設備竊取重要的資源和機密文件。

2.8 缺乏統(tǒng)一的計算機系統(tǒng)管理

目前大多數(shù)計算機系統(tǒng)仍采用單機管理模式，即計算機系統(tǒng)管理員對每一臺計算機系統(tǒng)單獨進行管理維護，這樣的管理模式會存在一定的安全滯后性。計算機系統(tǒng)要實現(xiàn)真正有效的安全管理，必須能實現(xiàn)對所有計算機系統(tǒng)的統(tǒng)一集中管理、統(tǒng)一安全策略下發(fā)，以及安全事件的統(tǒng)一監(jiān)控和協(xié)同處理，才有可能構(gòu)建健康的計算機系統(tǒng)安全管理體系。

3 計算機系統(tǒng)安全加固解決方案

3.1 整體架構(gòu)

在對當前計算機系統(tǒng)安全情況和面臨的威脅調(diào)研分析后，我們提出以先進的可信計算技術為基礎，以有效的訪問控制為核心，操作系統(tǒng)安全支持應用系統(tǒng)安全，構(gòu)造完整可信的信息安全立體防護體系的設計思路，實現(xiàn)“防失竊密”、“防系統(tǒng)破壞”、“確保系統(tǒng)可用”的安全目標?？傮w設計思路如圖2所示。

在安全管理平臺的統(tǒng)一管控下，通過基于“白名單”的主動防御機制，從操作系統(tǒng)層出發(fā)，對全部執(zhí)行程序進行“預期式”控制。該解決方案在提升了計算機系統(tǒng)終端用戶的抗攻擊能力、達到安全防御手段自主可控、形成由操作系統(tǒng)底層對應用及數(shù)據(jù)安全的基礎支撐、體現(xiàn)了技術與管理相結(jié)合的特點等眾多基礎上，全面保護了服務器和終端上數(shù)據(jù)的機密性和完整性以及系統(tǒng)的可用性，構(gòu)建了計算機系統(tǒng)安全保護的堅固堡壘。

圖2 計算機系統(tǒng)安全加固方案

本方案的核心內(nèi)容可以總結(jié)為主動防御機制、操作系統(tǒng)層保護機制和三權分立的管理機制：

（1）主動防御機制

通過對可執(zhí)行程序的有效控制，使系統(tǒng)具備主動防御的能力，達到防御未知病毒、未知威脅的目的。所謂“主動防御”其實是針對傳統(tǒng)的“特征值掃描技術”而言。如果說傳統(tǒng)的“特征值掃描技術”是通過建立黑名單實現(xiàn)對病毒、惡意代碼等的過濾和查殺，那么，主動防御機制就是建立可信程序的“白名單”，只有“白名單”中的程序才能夠運行，這樣，任何新型病毒、新型惡意代碼都會因為不在“白名單”之上而無法運行，從而能夠?qū)崿F(xiàn)對未知病毒、木馬、惡意代碼等的有效防御。

主動防御技術比較好的彌補了傳統(tǒng)殺毒軟件采用“特征碼查殺”和“監(jiān)控”相對滯后的技術弱點，同時規(guī)避了補丁內(nèi)容不可預知性的缺陷，可以在病毒發(fā)作之前進行主動而有效的全面防范，從技術層面上有效遏制了未知病毒的爆發(fā)與擴散。

（2）操作系統(tǒng)層保護機制

從操作系統(tǒng)層面的保護出發(fā)，利用文件過濾驅(qū)動技術，進行執(zhí)行程序可信度量和訪問行為的控制，構(gòu)筑系統(tǒng)底層的加固機制，同時形成對上層應用和數(shù)據(jù)的安全支撐。

執(zhí)行程序可信度量可以確保系統(tǒng)中的執(zhí)行程序免受非授權修改，從而保護其完整性。用來保證系統(tǒng)所啟動的進程都是可信的。計算機系統(tǒng)上的執(zhí)行程序經(jīng)過安全管理員的安全性檢查后，其正常啟動所依賴相關模塊的摘要值被記錄在系統(tǒng)策略文件中，由安全管理平臺統(tǒng)一管理與分發(fā)。執(zhí)行程序啟動前，系統(tǒng)會度量該程序相關模塊的完整性，只有在度量結(jié)果和預存值一致的前提下，該程序才被認為是可信的，從而允許啟動，否則拒絕其執(zhí)行。因此即使系統(tǒng)中的某一執(zhí)行程序被惡意修改，由于其不再可信，系統(tǒng)將禁止其執(zhí)行，從而阻止了惡意行為繼續(xù)傳播和破壞，降低了系統(tǒng)完整性被破壞的風險。訪問行為的控制機制通過安全策略限制執(zhí)行程序的權限，使其只擁有完成任務的最小權限，防止非法訪問行為的發(fā)生，即使系統(tǒng)被惡意腳本入侵，其破壞范圍也是有限的，無法波及整個系統(tǒng)，保證了數(shù)據(jù)的機密性，應用的完整性，同時也形成了對應用安全的有力支撐。

（3）三權分立的管理機制

通過建立安全管理平臺，制定并強制服務器和被保護的安全終端執(zhí)行統(tǒng)一的系統(tǒng)安全策略，確保計算機系統(tǒng)的運行狀態(tài)始終可控、可管，從而建立基于可信計算技術的安全應用環(huán)境，使得系統(tǒng)中的不同用戶相互監(jiān)督、相互制約，每個用戶各司其職，共同保障信息系統(tǒng)的安全。

3.2 部署實施計劃

在具體設計時，計算機系統(tǒng)安全加固將重點圍繞“一個中心，兩個基本點”的思路加以展開?！耙粋€中心”即安全管理平臺，“兩個基本點”包括用戶身份認證的安全性增強，以及操作系統(tǒng)內(nèi)核的安全性增強。安全管理平臺負責給用戶下發(fā)身份認證信息，確保用戶身份的安全可信；同時，安全管理平臺還負責向所有安全終端的操作系統(tǒng)內(nèi)核，下發(fā)統(tǒng)一的安全策略，實現(xiàn)內(nèi)核級的訪問控制，如圖3。

圖3 可信計算機系統(tǒng)安全部署總體架構(gòu)

圍繞總體設計思路，為所有的安全終端部署可信軟件基系統(tǒng)，該系統(tǒng)由三部分組成：可信安全管理平臺（簡稱“安全管理平臺”）、可信軟件基軟件和可信密碼模塊USB－KEY。安全管理平臺是核心，各終端和服務器在安全管理平臺的支撐下，接受安全管理員的統(tǒng)一管理，以實現(xiàn)各終端的運行狀態(tài)始終可控、可管。

在現(xiàn)有服務器和終端硬件平臺上，增加一個硬件模塊USB-KEY，作為系統(tǒng)的信任根以及用戶身份的唯一標識；在每臺終端操作系統(tǒng)內(nèi)核層，安裝安全代理，執(zhí)行安全策略。

圖4 計算機系統(tǒng)安全加固整體部署

3.3 技術特色

（1）結(jié)合可信計算技術

基于可信計算機技術，在操作系統(tǒng)底層建立一個信任根，從信任根開始到硬件平臺，再到應用進程、文件等，一級認證一級，一級信任一級，建立一條信任鏈，從而把這種信任擴展到整個計算機系統(tǒng)，提高計算機系統(tǒng)的安全性。

（2）強制訪問控制技術

在原有操作系統(tǒng)自主訪問控制基礎上，研發(fā)基于BLP模型與BIBA模型相結(jié)合的強制訪問控制模型，通過對重要主體及客體的安全標記，控制主體對于客體的訪問權限，實施強制訪問控制，嚴格控制用戶行為。保證用戶任何行為都在安全策略的支撐下，使得用戶登錄計算機系統(tǒng)后，其權限受到安全策略的嚴格限制，不能為所欲為。

（3）主動防御技術

采用主動防御技術，當有惡意代碼啟動時進行有效的攔截并進行審計，從中了解黑客意圖、手段，通過對啟動程序進行分析取證找到破壞的根源，以保證計算機系統(tǒng)的操作系統(tǒng)安全，將惡意事件控制在源頭。

（4）內(nèi)核級安全加固技術

計算機系統(tǒng)的安全加固工作建立于操作系統(tǒng)內(nèi)核層，既能準確全面的截獲應用層的訪問請求，又降低了系統(tǒng)安全機制被旁路的危險，這也為系統(tǒng)的安全模塊自我保護、防卸載等構(gòu)筑了堅固的防線。

4 實施后可實現(xiàn)的效果

4.1 構(gòu)建業(yè)務系統(tǒng)源于底層安全環(huán)境，抵御各種入侵行為

通過對計算機系統(tǒng)的操作系統(tǒng)進行安全加固，從系統(tǒng)底層為出發(fā)點，以可信計算技術為基礎、訪問控制為核心，保證計算機系統(tǒng)的安全，形成嚴密的安全保護環(huán)境，抵御病毒木馬等惡意代碼的入侵行為。

4.2 以技術手段輔助管理，防止內(nèi)部人員的非法訪問

通過對用戶行為的控制，有效防止非授權用戶訪問和授權用戶的越權訪問行為的發(fā)生，確保信息和信息系統(tǒng)的機密性和完整性，從而為應用系統(tǒng)的正常運行和免遭惡意破壞提供支撐和保障。

4.3 彌補常規(guī)防護手段的不足，提高整體防御力

通過對操作系統(tǒng)本身的安全加固，打造計算機系統(tǒng)本身的免疫系統(tǒng)?？梢杂行б?guī)避因打補丁給計算機系統(tǒng)帶來的風險，切斷黑客的攻擊途徑。同時，本方案通過主動防御和防網(wǎng)絡攻擊等功能彌補了傳統(tǒng)安全產(chǎn)品的不足，避免出現(xiàn)信息安全的短板效應，提高了系統(tǒng)的整體防御能力。

4.4 構(gòu)建統(tǒng)一安全管理平臺，集中管控全部計算機系統(tǒng)

通過構(gòu)建統(tǒng)一安全管理平臺，對整個網(wǎng)絡系統(tǒng)的計算機系統(tǒng)統(tǒng)一管理、集中控制，保證各項安全機制的高度協(xié)調(diào)統(tǒng)一。消除各個計算機系統(tǒng)由于配置不同造成的安全隱患，最終構(gòu)建一道針對整個計算機系統(tǒng)的整體安全防線，有效保護計算機系統(tǒng)中的信息安全。

5 結(jié)束語

可信計算是當前信息安全領域的一個全新課題，它為計算機系統(tǒng)的信息安全提供主動防御的解決方案。本文詳細闡述了可信計算技術的基本概念和原理，并以基于可信計算技術的，運用USB-Key可信模塊的計算機系統(tǒng)為平臺，對計算機操作系統(tǒng)安全增強做了全面的研究，闡述了詳細的解決方案，并對實施效果進行了分析。

[1]S.W Smith（馮登國等翻譯）.可信計算平臺：設計與應用[M].清華大學出版社，2006.

[2]胡錚.網(wǎng)絡與信息安全[M].清華大學出版社，2006.

[3]蔡勉，衛(wèi)宏儒.信息系統(tǒng)安全理論與技術[M].北京工業(yè)大學出版社，2006.

[4]張常有.網(wǎng)絡安全體系結(jié)構(gòu)[M].電子科技大學出版社，2006.

[5]張煥國，羅捷，金剛，朱智強.可信計算機技術與應用綜述[J].武漢大學學報，2006.