國(guó)產(chǎn)操作系統(tǒng)應(yīng)用軟件集中安全管理分發(fā)技術(shù)研究

◆李繼勇 周迎輝 陳明祖

國(guó)產(chǎn)操作系統(tǒng)應(yīng)用軟件集中安全管理分發(fā)技術(shù)研究

◆李繼勇 周迎輝 陳明祖

（中鐵信安（北京）信息安全技術(shù)有限公司 北京 100094）

近年來(lái)，信息技術(shù)得到了越來(lái)越廣泛的運(yùn)用，其所帶來(lái)的安全威脅也日益被世界各國(guó)所重視。為解決我國(guó)信息技術(shù)被他人控制的問(wèn)題，我國(guó)明確了“數(shù)字中國(guó)”建設(shè)戰(zhàn)略，支持國(guó)產(chǎn)操作系統(tǒng)的應(yīng)用軟件成為重點(diǎn)。本文以信息安全為出發(fā)點(diǎn)，以可信計(jì)算為核心技術(shù)，對(duì)國(guó)產(chǎn)操作系統(tǒng)應(yīng)用軟件的使用進(jìn)行了研究。

可信計(jì)算；國(guó)產(chǎn)軟件；集中管理

1 安全需求

計(jì)算機(jī)軟件（Software）出現(xiàn)于20世紀(jì)50年代，是當(dāng)代信息技術(shù)領(lǐng)域技術(shù)創(chuàng)新的重要成果之一。隨著20世紀(jì)60年代以后計(jì)算機(jī)技術(shù)的進(jìn)步，軟件業(yè)得到了飛速的發(fā)展，并逐漸從計(jì)算行業(yè)中獨(dú)立出來(lái)，而且乘著信息化革命的大潮成為當(dāng)代社會(huì)經(jīng)濟(jì)、生活中最活躍的組成部分?，F(xiàn)在軟件產(chǎn)業(yè)已經(jīng)成為信息產(chǎn)業(yè)的主導(dǎo)力量和信息化建設(shè)的關(guān)鍵部分，并為國(guó)家的經(jīng)濟(jì)發(fā)展和產(chǎn)業(yè)升級(jí)起著基礎(chǔ)性、引導(dǎo)性和戰(zhàn)略性的作用，極大促進(jìn)了國(guó)民經(jīng)濟(jì)的發(fā)展。

隨著國(guó)產(chǎn)操作系統(tǒng)成為越來(lái)越多用戶的選擇，其中的軟件管理已經(jīng)成為與之的相關(guān)企業(yè)不得不考慮的課題，因?yàn)檫@不僅便于企業(yè)自身的統(tǒng)一管理，還可以避免未知軟件帶來(lái)的各種風(fēng)險(xiǎn)。

1.1 軟件來(lái)源未知的信息安全風(fēng)險(xiǎn)問(wèn)題

（1）軟件侵犯著作權(quán)有可能導(dǎo)致經(jīng)濟(jì)和法律后果，包括以賠償損失、賠禮道歉等方式承擔(dān)民事責(zé)任。

（2）黑客通過(guò)在軟件中加入惡意代碼的方式對(duì)使用者進(jìn)行攻擊。如果用戶無(wú)意在操作時(shí)使用了這類軟件，將會(huì)被黑客所利用，對(duì)自身甚至對(duì)其他系統(tǒng)的信息安全造成不可估量的傷害。

（3）盜版軟件較難識(shí)別，尤其是非法制造或復(fù)制的軟件。用戶一旦使用了盜版軟件就會(huì)面臨出現(xiàn)質(zhì)量或其他方面的問(wèn)題時(shí)無(wú)法從正規(guī)軟件開(kāi)發(fā)商處得到相應(yīng)的售后或升級(jí)服務(wù)，因此可能導(dǎo)致的損失是無(wú)法彌補(bǔ)的。

（4）盜版軟件不僅存在質(zhì)量低劣的問(wèn)題，而且本身可能就帶有病毒。很大程度上講，盜版軟件就是病毒等的一個(gè)主要傳播源。

（5）使用了來(lái)源未知軟件的企業(yè)其業(yè)務(wù)的市場(chǎng)競(jìng)爭(zhēng)力極有可能會(huì)因此受到影響，甚至企業(yè)長(zhǎng)期發(fā)展也受到拖累。盜版軟件可能存在的質(zhì)量、服務(wù)、信息安全等種種問(wèn)題嚴(yán)重影響了企業(yè)業(yè)務(wù)運(yùn)行與推廣，為企業(yè)發(fā)展帶來(lái)不可預(yù)知的風(fēng)險(xiǎn)。

1.2 國(guó)產(chǎn)系統(tǒng)軟件的易用性和兼容性問(wèn)題

隨著國(guó)產(chǎn)操作系統(tǒng)使用人數(shù)的逐步增加，國(guó)產(chǎn)化平臺(tái)自身局限性導(dǎo)致系統(tǒng)軟件推廣過(guò)程中顯露出諸多問(wèn)題

（1）國(guó)產(chǎn)化應(yīng)用生態(tài)體系尚待完善，軟件產(chǎn)品種類及數(shù)量少。

（2）電子政務(wù)外網(wǎng)范圍內(nèi)物理隔離，用戶單位無(wú)法通過(guò)互聯(lián)網(wǎng)下載應(yīng)用軟件。

（3）用戶獲取到軟件包后，需要通過(guò)命令行進(jìn)行安裝，對(duì)用戶的計(jì)算機(jī)水平有一定要求，用戶容易產(chǎn)生抵觸心理。

（4）軟件產(chǎn)品的穩(wěn)定性、可靠性和安全性普遍未經(jīng)過(guò)充分驗(yàn)證，產(chǎn)品的質(zhì)量難以保障，并可能導(dǎo)致一系列與之相關(guān)的安全問(wèn)題。

（5）用戶單位安裝部署新應(yīng)用系統(tǒng)時(shí)，軟件分發(fā)下載難，工作量大。

（6）信創(chuàng)工程設(shè)備替換數(shù)量大，運(yùn)維管理系統(tǒng)無(wú)法全面覆蓋到桌面終端，存在一定安全隱患。

1.3 軟件的集中管理與維護(hù)

硬件設(shè)備由于以實(shí)物形式存在所以通常會(huì)得到企業(yè)管理上的重視，但是由于軟件相對(duì)來(lái)說(shuō)是“無(wú)形”的，所以存在管理上被忽視的可能性。而這種軟件管理上的忽視，將可能帶來(lái)更大的安全風(fēng)險(xiǎn)。

1.4 傳統(tǒng)安全防御的不足

目前的計(jì)算機(jī)信息系統(tǒng)均存在體系結(jié)構(gòu)簡(jiǎn)單，任務(wù)難以隔離，內(nèi)存無(wú)法實(shí)現(xiàn)越界保護(hù)等問(wèn)題。而傳統(tǒng)的安全機(jī)制所使用的是“封堵”、“查殺”的方式[1]，即構(gòu)建防火墻、實(shí)施入侵檢測(cè)和查殺病毒的方式。這種安全機(jī)制的基礎(chǔ)是收集已知病毒信息并形成資料庫(kù)，然后利用資料庫(kù)內(nèi)容對(duì)攻擊程序及行為進(jìn)行比對(duì)，因此只能對(duì)已知攻擊程序、病毒和惡意代碼進(jìn)行防御。而對(duì)于存儲(chǔ)重大價(jià)值的系統(tǒng)而言所面臨的通常是人為的具有組織性、計(jì)劃性、針對(duì)性的和持續(xù)性的高強(qiáng)度攻擊。傳統(tǒng)的找漏洞、打補(bǔ)丁的方式對(duì)于這種情況不僅難以應(yīng)對(duì)這種攻擊，反而容易被攻擊者找到漏洞。從而嚴(yán)重影響系統(tǒng)安全。因此建設(shè)具有主動(dòng)防御能力，能夠?qū)崿F(xiàn)對(duì)病毒、攻擊行為和惡意程序自主進(jìn)行免疫的安全系統(tǒng)，已成為信息安全建設(shè)的重中之重。

2 總體建設(shè)思路及目標(biāo)

通過(guò)可信計(jì)算技術(shù)安全采集軟件，同時(shí)將軟件打上可信標(biāo)記，從軟件源頭進(jìn)行認(rèn)證，保證軟件的生命周期安全可信。對(duì)軟件進(jìn)行系統(tǒng)適配，保證軟件部署安裝方便快捷，并良好兼容目標(biāo)系統(tǒng)。

采用集中管理平臺(tái)對(duì)所有計(jì)算節(jié)點(diǎn)全面進(jìn)行安全管理，對(duì)以軟件為主體的對(duì)象進(jìn)行安全策略配置，規(guī)范和管控軟件的行為，形成統(tǒng)一的軟件安全基線。

同時(shí)對(duì)計(jì)算環(huán)境進(jìn)行可信防護(hù)，在計(jì)算節(jié)點(diǎn)上形成系統(tǒng)和應(yīng)用軟件和相關(guān)數(shù)據(jù)文件、配置文件的可信驗(yàn)證，給軟件的安全運(yùn)行提供可信基石，從系統(tǒng)到應(yīng)用全面提供主動(dòng)防御能力，實(shí)現(xiàn)等保2.0中安全計(jì)算環(huán)境的要求。

可信安全管理流程如下圖1所示。

圖1 可信安全管理流程

2.1 可信軟件集中管理

集中管理軟件來(lái)源和分發(fā)，在軟件入庫(kù)前進(jìn)行軟件適配和認(rèn)證，對(duì)軟件的使用無(wú)論是安裝部署還是升級(jí)卸載都進(jìn)行嚴(yán)格管理和控制，避免盜版軟件和軟件濫用對(duì)系統(tǒng)造成的破壞。

2.2 安全策略集中管控

建立統(tǒng)一的集中管理平臺(tái)，對(duì)全局的計(jì)算節(jié)點(diǎn)安全策略實(shí)行統(tǒng)一管理，形成整體安全防護(hù)形式，避免安全短板出現(xiàn)。

2.3 計(jì)算節(jié)點(diǎn)安全可信

設(shè)計(jì)缺陷在可信計(jì)算理論中被認(rèn)為是使計(jì)算節(jié)點(diǎn)出現(xiàn)安全問(wèn)題的根本原因。而傳統(tǒng)體系機(jī)構(gòu)更在于強(qiáng)調(diào)計(jì)算能力而忽視系統(tǒng)安全防護(hù)，等于將沒(méi)有免疫能力的人置于非無(wú)菌的環(huán)境之中。而目前對(duì)系統(tǒng)安全防護(hù)是通過(guò)構(gòu)建防火墻、實(shí)施入侵檢測(cè)和病毒查殺來(lái)實(shí)現(xiàn)的，這種被動(dòng)的防護(hù)方式已經(jīng)被證明是不可靠的?？尚庞?jì)算是實(shí)現(xiàn)計(jì)算和防護(hù)能力同時(shí)兼顧的權(quán)限的模式，其目的就是構(gòu)建計(jì)算機(jī)免疫系統(tǒng)，是保證計(jì)算機(jī)計(jì)算能力并可同時(shí)兼具身份識(shí)別、訪問(wèn)控制及系統(tǒng)度量的模式，能夠及時(shí)識(shí)別自身和非自身的部分，進(jìn)而排斥或破壞進(jìn)入系統(tǒng)的惡意內(nèi)容[2]。

從計(jì)算機(jī)啟動(dòng)開(kāi)始，依照系統(tǒng)驅(qū)動(dòng)和軟件的加載過(guò)程，在每一個(gè)階段都進(jìn)行可信驗(yàn)證，在系統(tǒng)運(yùn)行過(guò)程中即采取主動(dòng)防御技術(shù)手段，使得無(wú)論是已知還是未知病毒及木馬這類惡意代碼的攻擊無(wú)法實(shí)現(xiàn)，從而起到對(duì)系統(tǒng)整體性的保護(hù)，從源頭上解除對(duì)計(jì)算機(jī)的安全威脅。

3 基于可信的軟件集中管理分發(fā)建設(shè)內(nèi)容

在操作系統(tǒng)層面構(gòu)建免疫平臺(tái)，以可信計(jì)算技術(shù)為核心，為現(xiàn)有系統(tǒng)構(gòu)建自主防御體系，打造可信應(yīng)用環(huán)境，抵御一切已知及未知病毒、木馬、惡意代碼的攻擊。

免疫平臺(tái)由可信安全管理平臺(tái)、可信軟件基（可信計(jì)算節(jié)點(diǎn)）、可信軟件商店三部分構(gòu)成。可信安全管理平臺(tái)對(duì)所有接入終端的應(yīng)用、安全軟件、系統(tǒng)環(huán)境進(jìn)行統(tǒng)一管理，可信終端軟件是安裝在終端操作系統(tǒng)中的安全執(zhí)行部件，可信軟件商店為信息系統(tǒng)提供可信軟件管理，免疫平臺(tái)技術(shù)架構(gòu)如圖2所示。

圖2 免疫平臺(tái)技術(shù)架構(gòu)

3.1 建設(shè)可信軟件商店

所謂可信軟件商店就是將信創(chuàng)環(huán)境中常用的系統(tǒng)及應(yīng)用軟件在進(jìn)行安全檢測(cè)后置于其中，而用戶則可以通過(guò)商店提供的安全機(jī)制對(duì)這些軟件進(jìn)行下載并使用，從而保證了軟件從收集到下載整個(gè)過(guò)程的安全可靠。在這個(gè)過(guò)程中首先收集被當(dāng)前系統(tǒng)所使用的軟件信息，然后經(jīng)過(guò)分析和整理后再形成可信基準(zhǔn)與規(guī)則庫(kù)與之配套。然后再以此為基礎(chǔ)對(duì)軟件采取合規(guī)檢查，進(jìn)行版本管理和規(guī)范化儲(chǔ)存，以實(shí)現(xiàn)軟件規(guī)范化管理的目的。在商店中每個(gè)軟件都會(huì)進(jìn)行安全分析并制定一個(gè)與之相匹配的安全規(guī)則。如果攻擊者通過(guò)軟件的缺陷或漏洞對(duì)其發(fā)動(dòng)攻擊，則可信軟件會(huì)根據(jù)安全規(guī)則對(duì)這類攻擊行為進(jìn)行防御，從而有效消除因軟件自身漏洞而導(dǎo)致的此類安全威脅?？尚跑浖杉鐖D3所示。

圖3 可信軟件采集

對(duì)于需要軟件統(tǒng)一管理的用戶單位，軟件管理平臺(tái)提供一鍵下發(fā)服務(wù)，用戶單位系統(tǒng)管理員可通過(guò)后臺(tái)系統(tǒng)向軟件管理平臺(tái)客戶端下發(fā)指定軟件批量安裝的指令，針對(duì)指定用戶群安裝相應(yīng)軟件，實(shí)現(xiàn)軟件的統(tǒng)一部署與快速下發(fā)?？尚跑浖泄芾砗头职l(fā)過(guò)程如圖4所示。

圖4 可信軟件集中管理和分發(fā)

軟件管理平臺(tái)為用戶提供本地安裝服務(wù)，用戶可以通過(guò)點(diǎn)擊本地安裝按鈕瀏覽本地安裝包文件，此軟件可自行識(shí)別操作系統(tǒng)版本及本地安裝包依賴關(guān)系，自動(dòng)安裝本地軟件包，滿足用戶本地軟件安裝需求，提升本地安裝的可靠性。可信應(yīng)用商店如圖5所示。

圖5 可信應(yīng)用商店一覽

可信軟件商店立足為政務(wù)、金融、電信、能源等領(lǐng)域客戶提供局域網(wǎng)軟件管理解決方案，解決物理隔離的局域網(wǎng)環(huán)境下，國(guó)產(chǎn)平臺(tái)軟件資源少，軟件下載、安裝難，系統(tǒng)兼容性及安全性低等問(wèn)題。

3.2 建設(shè)可信安全管理平臺(tái)

（1）采用統(tǒng)一集中策略配置

以創(chuàng)建統(tǒng)一安全管理平臺(tái)的方式使分屬于不同安全區(qū)域的安全管理機(jī)制整合為信息安全體系。在這個(gè)體系中各區(qū)域及層面的安全機(jī)制將被納入平臺(tái)管理中心進(jìn)行統(tǒng)一管理及執(zhí)行。平臺(tái)以對(duì)應(yīng)用系統(tǒng)的計(jì)算分析為基礎(chǔ)，以系統(tǒng)、安全及審計(jì)三項(xiàng)管理內(nèi)容為方向?qū)⒐芾頇C(jī)制進(jìn)行集中。構(gòu)建具有軟件管理、對(duì)可信執(zhí)行程序?qū)嵤┌踩珮?biāo)記、保護(hù)、訪問(wèn)控制及系統(tǒng)安全和邊界審計(jì)等功能于一體的軟件管理和設(shè)備監(jiān)測(cè)平臺(tái)。平臺(tái)對(duì)其中系統(tǒng)實(shí)現(xiàn)了統(tǒng)一配置、管理、監(jiān)測(cè)和審計(jì)，還通過(guò)監(jiān)測(cè)和對(duì)審計(jì)數(shù)據(jù)進(jìn)行分析得出的結(jié)果對(duì)當(dāng)前系統(tǒng)所面臨的威脅啟動(dòng)實(shí)時(shí)響應(yīng)。可信策略集中管理如圖6所示。

圖6 可信策略集中管理

（2）計(jì)算節(jié)點(diǎn)可信狀態(tài)監(jiān)控

可信計(jì)算節(jié)點(diǎn)先保證自身的環(huán)境處于可信狀態(tài)[3]，再以這種狀態(tài)為基礎(chǔ)對(duì)計(jì)算節(jié)點(diǎn)運(yùn)行的數(shù)據(jù)與系統(tǒng)狀態(tài)進(jìn)行收集，以判斷當(dāng)前計(jì)算環(huán)境是否存在被破壞的可能或已遭破壞，并進(jìn)一步通過(guò)數(shù)據(jù)度量為可信連接提供狀態(tài)與身份證明。

3.3 建設(shè)可信計(jì)算節(jié)點(diǎn)

（1）通過(guò)可信度量形成的病毒木馬免疫能力

可信計(jì)算節(jié)點(diǎn)以自身環(huán)境可信為基礎(chǔ)，提供主動(dòng)免疫預(yù)防機(jī)制。此機(jī)制以執(zhí)行程序的可信度量為基礎(chǔ)，對(duì)未授權(quán)及不符合預(yù)期的執(zhí)行程序予以阻止，從而實(shí)現(xiàn)對(duì)未知及已知惡意代碼的主動(dòng)防御，使操作系統(tǒng)完整性及有效性被破壞的風(fēng)險(xiǎn)得以有效降低。就管理角度而言，操作系統(tǒng)的可信軟件僅允許通過(guò)系統(tǒng)提供的程序安裝接口進(jìn)行完整性安裝，并在此過(guò)程中形成采集模板。管理員對(duì)此模板進(jìn)行授權(quán)后，后續(xù)此類程序都可以采用模板的方式實(shí)現(xiàn)批量安裝，這種模板避免未知來(lái)源軟件與插件被安裝，也就保證了系統(tǒng)的安裝安全和運(yùn)行有效。

（2）應(yīng)用軟件自我保護(hù)

應(yīng)用軟件利用可信程序的保護(hù)機(jī)制實(shí)現(xiàn)對(duì)自身的保護(hù)，從而避免所有用戶及程序篡改可信程序。計(jì)算機(jī)節(jié)點(diǎn)的程序在這種機(jī)制下可以穩(wěn)定地運(yùn)行，同時(shí)機(jī)制還提供了運(yùn)營(yíng)維護(hù)可以使用的接口以方便實(shí)現(xiàn)對(duì)可信程序的包括升級(jí)及卸載操作在內(nèi)的維護(hù)。機(jī)制支持對(duì)以可信計(jì)算為基礎(chǔ)的，在計(jì)算節(jié)點(diǎn)中運(yùn)行的應(yīng)用程序及其他程序?qū)嵤┓来鄹臋z查。在檢查過(guò)程中，如果發(fā)現(xiàn)有對(duì)計(jì)算節(jié)點(diǎn)中的程序進(jìn)行修改或刪除的行為都會(huì)進(jìn)行及時(shí)攔截；如果可信程序發(fā)生變更則進(jìn)行記錄變更過(guò)程并在得到授權(quán)允許后對(duì)變更進(jìn)行恢復(fù)；提供升級(jí)接口，如程序通過(guò)了升級(jí)請(qǐng)求驗(yàn)證則利用接口進(jìn)行對(duì)其進(jìn)行升級(jí)及變更等；通過(guò)可信檢測(cè)平臺(tái)的聯(lián)動(dòng)，實(shí)現(xiàn)可信檢測(cè)平臺(tái)對(duì)應(yīng)程序的自動(dòng)下載以動(dòng)態(tài)調(diào)整程序的防護(hù)策略。

（3）應(yīng)用軟件的數(shù)據(jù)文件完整性及保密性保護(hù)

免疫平臺(tái)依據(jù)系統(tǒng)訪問(wèn)需求對(duì)進(jìn)程對(duì)數(shù)據(jù)文件的訪問(wèn)權(quán)限進(jìn)行授權(quán)，從而使其他進(jìn)程無(wú)法違規(guī)訪問(wèn)受保護(hù)文件。同時(shí)可以對(duì)進(jìn)程訪問(wèn)授權(quán)文件之外的文件進(jìn)行訪問(wèn)權(quán)限設(shè)置，使得進(jìn)程被強(qiáng)制限制為僅擁有合理訪問(wèn)權(quán)限。在此基礎(chǔ)上即使由于用戶被欺騙或誤操作使病毒被授予了可執(zhí)行權(quán)限，數(shù)據(jù)文件在平臺(tái)中依然被指定僅訪問(wèn)合法的訪問(wèn)進(jìn)程，從而阻止關(guān)鍵數(shù)據(jù)被病毒破壞。

（4）應(yīng)用軟件配置文件的完整性保護(hù)

在可信計(jì)算的防護(hù)體系中的強(qiáng)制訪問(wèn)控制組件提供基于標(biāo)記的權(quán)限分配功能給每個(gè)主、客體，并按最小特權(quán)的原則保證主體須嚴(yán)格遵照安全策略實(shí)現(xiàn)對(duì)資源的訪問(wèn)，并通過(guò)可信計(jì)算的度量功能保障主、客體標(biāo)記完整性[4]，從而使操作系統(tǒng)自身文件訪問(wèn)控制薄弱及超級(jí)用戶導(dǎo)致的風(fēng)險(xiǎn)得以有效解決。安全機(jī)制使用設(shè)置用戶或進(jìn)程讀寫(xiě)權(quán)限方式對(duì)用戶或進(jìn)程對(duì)文件的訪問(wèn)，包括讀取，修改和拒絕等進(jìn)行限制，以避免攻擊者破壞或篡改重要的系統(tǒng)文件。

（5）計(jì)算環(huán)境的實(shí)時(shí)防護(hù)

動(dòng)態(tài)度量是系統(tǒng)的核心保障。實(shí)時(shí)防護(hù)動(dòng)態(tài)度量模塊是可信計(jì)算的核心部分，保障系統(tǒng)的安全運(yùn)行并保障安全機(jī)制不會(huì)被篡改和旁路。對(duì)系統(tǒng)數(shù)據(jù)結(jié)構(gòu)、執(zhí)行代碼、全部關(guān)鍵進(jìn)程及重要跳轉(zhuǎn)表加以實(shí)時(shí)監(jiān)控并對(duì)控制進(jìn)程的資源訪問(wèn)操作進(jìn)行實(shí)時(shí)度量。采用合理度量方法對(duì)不同度量對(duì)象進(jìn)行動(dòng)態(tài)度量，再選擇合適的度量時(shí)機(jī)對(duì)系統(tǒng)的運(yùn)行過(guò)程進(jìn)行全面度量，從而使系統(tǒng)的安全可信能得以確保。動(dòng)態(tài)度量策略配置如圖7所示。

圖7 動(dòng)態(tài)度量策略配置

4 總結(jié)

本方案采用自主可信、主動(dòng)防御的新型可信計(jì)算技術(shù)，為國(guó)產(chǎn)操作系統(tǒng)應(yīng)用軟件集中管理分發(fā)提供可信支撐，達(dá)到以下安全效果：

（1）從操作系統(tǒng)層面出發(fā)，以可信計(jì)算核心、訪問(wèn)控制為手段，為計(jì)算機(jī)系統(tǒng)構(gòu)建完善的安全體系，使計(jì)算機(jī)能得以在嚴(yán)格的安全環(huán)境運(yùn)行，從而有效避免病毒木馬等惡意代碼對(duì)系統(tǒng)的入侵。

（2）軟件管理平臺(tái)的軟件源均經(jīng)過(guò)專業(yè)嚴(yán)格的適配測(cè)試，極大程度上提升了軟件的兼容性、可靠性與安全性。

（3）通過(guò)軟件安裝的可信驗(yàn)證機(jī)制，對(duì)軟件包進(jìn)行整體校驗(yàn)，從軟件的安裝和使用環(huán)節(jié)控制用戶的使用行為，只允許用戶安裝使用經(jīng)過(guò)授權(quán)的合法軟件，阻止用戶安全和使用未經(jīng)授權(quán)的非法軟件。

（4）通過(guò)對(duì)系統(tǒng)行為的管控，按照業(yè)務(wù)預(yù)期設(shè)計(jì)軟件的行為，阻止軟件程序的越權(quán)操作，有效解決了信息系統(tǒng)面臨的已知、未知漏洞帶來(lái)的安全威脅，同時(shí)有效規(guī)避因打補(bǔ)丁給計(jì)算機(jī)帶來(lái)的應(yīng)用中斷風(fēng)險(xiǎn)。

[1]沈昌祥，陳興蜀.基于可信計(jì)算構(gòu)建縱深防御的信息安全保障體系[N].四川大學(xué)學(xué)報(bào)，2014，46（1）.

[2]沈昌祥，張煥國(guó).可信計(jì)算的研究與發(fā)展[J].中國(guó)科學(xué)：信息科學(xué)，2010，40（2）：139-166.

[3]詹靜，張煥國(guó)，徐卜偉，等.基于狀態(tài)機(jī)理論的可信平臺(tái)模塊測(cè)試研究[J].武漢大學(xué)學(xué)報(bào)（信息學(xué)版），2008（33）：1067-1069.

[4]中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》[S].GB/T 22239.

中國(guó)鐵路信息科技集團(tuán)有限公司科技研究開(kāi)發(fā)計(jì)劃課題（《桌面國(guó)產(chǎn)操作系統(tǒng)安全加固及集中管控系統(tǒng)研究》KGZG-CKY-2020004（2020A02））