近年来,随着市场竞争的激烈化与网络攻击技术的飞速发展,CSDN数据泄露等安全事件爆发的频率越来越高,国内外信息安全形势变得日益严峻。在信息攻防战中,信息系统内部的重要数据通常是攻击者发动攻击行为的驱动力和重要目标,同时也是用户着力保护的对象,围绕数据机密性与完整性展开的安全保护工作逐渐成为信息安全建设的重心,同时也是横亘在用户面前的一道重要命题,引起了用户、专家、信息安全产品与服务提供商等业界各方的广泛关注。
数据机密性与完整性难以两全?
信息安全建设是一项复杂的系统工程,内容涵盖物理安全、系统安全、网络安全等等,数据安全是其中较为重要的一个环节。国家标准《信息安全技术-信息系统安全等级保护基本要求》(GB/T 22239-2008)明确指出,在基本安全要求中,技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现。根据保护侧重点的不同,技术类安全要求细分为数据保护、系统服务功能保护、通用安全保护三大类,其中数据保护是信息安全建设的重要目标和核心内容。
“保护数据,要保护数据的什么?我们必须清楚,保护数据就是要保护数据的安全属性不被破坏,也就是保护数据的机密性(C)、完整性(I)和数据的可用性(A)。”信息安全专家陆宝华指出,由于数据的可用性是建立在数据的机密性、完整性及系统的可用性基础上,而系统的可用性实际上是对系统服务功能的保护,所以,“从保护数据的角度看,我们只要注重保护数据的机密性和完整性就足够了。”
从安全策略的角度看,数据机密性保护和完整性保护是相互矛盾的:数据机密性是指信息不能被非授权者、实体或进程利用或泄露的特性,可以通过禁止“向上读、向下写”的策略,确保数据不会被泄露;而数据完整性是指数据没有受到非授权方式所做的篡改,同时也没有出现未经授权的使用情况,如果充许“向上写、向下读”,那么高安全等级的数据就有可能被低安全等级的用户、进程等主体篡改,数据完整性将没有任何安全保障可言。
那么,在安全风险变化难测的信息化应用环境下,如何兼顾数据的机密性与完整性保护,最大限度地提升数据的安全水平?
“问题”系统难以承载安全构想
在IT系统架构中,操作系统是计算机资源的直接管理者,承载着大量重要的数据信息和关键的业务应用,在数据保护中占据着非常重要的地位。为了提升数据的安全性,国家标准《信息安全技术-操作系统安全技术要求》(GB/T 20272-2006)对数据机密性和完整性制定了详细的规范,例如在三级操作系统的数据机密性保护方面,要求“非授权用户不能查找系统现已分配给他的记录介质中以前的信息内容”;数据完整性方面,GB/T 20272-2006建议为主体和客体设置完整性标签,并建立完整性保护策略模型,保护用户数据在存储、传输和处理过程中的完整性。此外,GB/T 20272-2006还从磁盘扫描、逻辑隔离等方面制定规范,增强三级操作系统对数据机密性和完整性的保护力度。
然而,在实际应用中,国内普遍使用的操作系统大多数来自国外,根据TCSEC标准安全等级为C2级,低于国标GB/T 20272-2006第二、三级操作系统的安全水平,存在超级管理员(root/Administrator)权力过度集中的问题,攻击者一旦通过非法手段获得管理员权限,就可以对数据机密性和完整性进行破坏。此外,传统安全加固产品虽然通过三权分立、强制访问控制等安全机制增强操作系统的安全性,但由于访问控制的粒度仅仅限于文件/文件夹、用户、进程等,存在着安全机制可能被绕过的风险,仍然不能很好地保障数据机密性和完整性。
权威专家分析指出,安全操作系统是整个信息系统安全的基础,如果信息安全框架的构造只停留在网络防护的层面上,而忽略了操作系统内核安全这一基本要素,就如同将坚固的堡垒建立在沙丘之上,安全隐患极大。由此可见,当务之急是对操作系统安全子系统(SSOOS)进行重构和扩充,构建出真正意义上的安全操作系统,让“问题”系统不再出现问题。
椒图科技JHSE保障数据安全
椒图科技是国内专注于安全操作系统研究的专业信息安全厂商,在长期的安全产品与技术研发工作中,积累了多项国家发明专利和200多项全新技术。在此基础上,椒图科技成功开发出椒图主机安全环境系统(简称JHSE),通过增强型RBAC、DTE、BLP三种安全模型的相互作用和制约,重构和扩充操作系统安全子系统(SSOOS),实现数据机密性与完整性的双向提升。目前,JHSE已成功通过公安部计算机信息系统安全产品质量监督检验中心的检验,成为国内首款通过国标三级检测的通用型安全操作系统。
首先在数据机密性保护方面,JHSE遵循增强型BLP安全模型原则,限制数据游走的方向,实现数据流控制。同时,JHSE采用了核心层的动态透明加解密技术,根据不同主体之间的差异对数据进行自动加解密,当用户、进程等获得授权的主体访问目标数据时,加密数据将自动转换成明文,而非授权主体访问时加密数据的呈现内容则为密文,因此,即使攻击者获得受保护的数据,也无法读取和使用。此外,JHSE还拥有“剩余信息保护”功能,当合法用户进行删除操作时,“剩余信息保护”模块将自动启动,完全清除存储空间中的信息,符合国标GB/T 20272-2006 规定的“非授权用户不能查找系统现已分配给他的记录介质中以前的信息内容”,确保用户数据机密性不受到损害。
其次是在数据完整性保护上,JHSE使用增强型DTE安全模型在操作系统上构建多个虚拟的独立空间(即安全域),每个域内均具备增强型RBAC安全模型,然后将需要保护的文件、进程、服务、共享资源、磁盘、端口、注册表(仅Windows)等主客体添加进相应的安全域内,实现域内外、域与域之间主客体的安全隔离和强制访问控制,保障数据的完整性。例如在文件完整性方面,JHSE将自动记录其属性和内容校验值,可对修改过的文件进行完整性审计,报告出修改的日期和内容,同时提供完整性还原操作。此外,JHSE完整性保护的范围还包括账户、服务、注册表(仅windows)等,实现细粒度数据完整性保护。
特别需要指出的是,JHSE的数据机密性保护和数据完整性保护并不是相互独立的,而是相辅相成的。在使用增强型DTE、RBAC安全模型实现主客体之间隔离的同时,JHSE通过增强型BLP安全模型和敏感标记功能,确保敏感数据在游走的过程中不会被泄露,解决了传统安全防护模式下数据机密性保护和完整性保护难以两全的问题,实现动态的数据机密性与完整性保护功能,为系统及系统内重要数据的安全提供保障。