欧洲国产视频_自拍视频在线_www.精品_国产小视频免费_日韩在线_av黄色天堂

根據國家標準《信息安全技術-信息系統安全等級保護基本要求》（GB/T22239-2008）的規定，信息系統安全保護等級由低到高劃分為五級，其中，在主機安全訪問控制方面，三級信息系統比二級系統增加了新的內容：“應根據管理用戶的角色分配權限，實現管理用戶的權限分離，僅授予管理用戶所需的最小權限;應對重要信息資源設置敏感標記;應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作�！�

訪問控制是信息安全防范和保護的主要策略，用于保證信息資源不被非法使用和訪問。訪問控制大致分為自主訪問控制和強制訪問控制兩大類：在自主訪問控制下，用戶可以對其創建的文件、數據表等進行訪問，并可自主地將訪問權授予其他用戶;在強制訪問控制下，系統對需要保護的信息資源進行統一的強制性控制，按照預先設定的規則控制用戶、進程等主體對信息資源的訪問行為。通過自主訪問控制與強制訪問控制的協同運作，安全操作系統的訪問控制機制可以同時保障系統及系統上應用的安全性與易用性。

在我國信息安全等級保護制度中，三級及三級以上系統為重要信息系統，對國民經濟和社會發展具有深遠的影響。這其中，操作系統作為承載核心業務應用與重要數據的平臺，其安全性關系到信息系統本身的安全防護能力。因此，如何構建安全的三級操作系統，特別是完善操作系統本身的訪問控制機制，已成為當前信息安全領域的一個重要命題。

現有C2級操作系統訪問控制缺陷

目前，我國使用的操作系統大多數依賴于進口，由于發達國家在核心產品及技術出口上的限制，B1級以上系統不對我國出口，所以國內普遍使用的商用服務器操作系統為C2級，低于我國等級保護國標規定的系統審計保護級（第二級）和安全標記保護級（第三級），主要表現在兩方面：首先自主訪問控制機制存在缺陷，其次沒有強制訪問控制機制，操作系統在訪問控制方面是不完善的。

在自主訪問控制方面，主流的商用服務器操作系統通常采用等級型自主訪問控制機制，高等級主體如系統管理員等自動獲得各類低等級客體的訪問控制權，一旦位于最高等級的超級管理員賬號、密碼等信息被攻擊者盜取并成功利用，操作系統將無安全性可言。例如近年來曝光的一些“本地提權”漏洞，攻擊者就可以利用漏洞修改自己擁有的文件訪問控制信息，進而可對系統上的相關文件等資源進行查看、修改、刪除等操作，而且，傳統的自主訪問控制也難以防止計算機病毒將信息通過共享客體從一個進程傳送給另一個進程。

等級保護國標對三級操作系統的訪問控制要求

根據國家標準《信息安全技術-信息系統安全等級保護基本要求》（GB/T22239-2008）的規定，信息系統安全保護等級由低到高劃分為五級，其中，在主機安全訪問控制方面，三級信息系統比二級系統增加了新的內容：“應根據管理用戶的角色分配權限，實現管理用戶的權限分離，僅授予管理用戶所需的最小權限;應對重要信息資源設置敏感標記;應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。”

具體到三級操作系統的訪問控制方面，則根據國家標準《信息安全技術-操作系統安全技術要求》（GB/T20272-2006）的規定來執行，主要包括自主訪問控制和強制訪問控制：

自主訪問控制（DAC）

與傳統操作系統的自主訪問控制相比，三級系統自主訪問控制機制更為嚴格，客體的擁有者是唯一有權修改客體訪問權限的主體，擁有者對其擁有的客體應具有全部控制權，但是，不允許客體擁有者把該客體的控制權分配給其他主體。即使是高安全等級的主體，如果沒有獲得客體擁有者授予的訪問權，也無法訪問受保護的客體，更不能對客體進行修改、刪除等操作，保障了受保護資源的安全性。

同時，三級系統自主訪問控制還與身份鑒別、安全審計等安全功能相結合，通過確認用戶身份的真實性和記錄用戶的各種成功的或不成功的訪問，提升操作系統的安全性與安全管理水平。

強制訪問控制（MAC）

強制訪問控制是三級操作系統與二級系統之間的一道“分水嶺”，其主要特點是系統對訪問主體和受控對象實行強制訪問控制，系統事先給訪問主體和受控對象分配不同的安全級別屬性，在實施訪問控制時，系統先對訪問主體和受控對象的安全級別屬性進行比較，再決定訪問主體能否訪問該受控對象。

強制訪問控制主要從如下幾個方面來設計和實現：

1、管理員權限分離

在傳統操作系統中，超級管理員一家獨大，擁有無上的權限，因此，很多攻擊者通常通過竊取管理員賬號密碼或利用漏洞將自身提升為管理員的方式，實現對目標操作系統的完全控制。三級操作系統將管理員權限進行分離，設立了系統安全員、系統管理員及系統審計員，其中，系統安全員統一管理操作系統中與強制訪問控制等安全機制有關的事件和信息，系統管理員、系統審計員則分別進行系統常規管理及審計管理，各管理人員之間相互獨立、相互制約。

2、多個安全功能聯動防御

強制訪問控制與用戶身份鑒別、標記等安全功能密切配合，使系統對用戶的安全控制包含從用戶進入系統到退出系統的全過程，對客體的控制范圍涉及操作系統內部的存儲、處理和傳輸過程。

3、多個操作系統集中管理

多個操作系統的強制訪問控制包括如下兩個方面：運行于網絡環境的分布式操作系統，應統一實現強制訪問控制功能;運行于網絡環境的多臺計算機系統上的網絡操作系統，在需要進行統一管理時，應考慮各臺計算機操作系統的主、客體安全屬性設置的一致性，并實現跨網絡的SSOOS間用戶數據保密性和完整性保護。

隨著等級保護國家標準的出臺與深入實施，目前國內已經涌現出一批國家自主可控的操作系統層安全產品與技術，椒圖科技推出的JHSE椒圖主機安全環境系統，就能夠同時支持符合三級操作系統標準的自主訪問控制和強制訪問控制，同時也完全滿足等級保護國標對三級操作系統的安全要求。可以相信，隨著我國等級保護工作的深入推進與相關安全產品的日益豐富，操作系統本身的訪問控制狀況將會得到改善，推動我國信息安全水平持續攀升。

　　推薦閱讀

　　從海爾電腦躋身IDC銷量前三 看未來臺式機發展

也許海爾電腦所推出的這些應用、設計看似十分簡單，但這恰恰是海爾電腦“不賣產品賣體驗，不賣性能賣健康”研發理念的最好體現，因為家庭消費者需要這種體驗。實際上，這也是海爾一體電腦成為了最能夠滿足當前消費者>>>詳細閱讀

本文標題：等保三級安全操作系統的訪問控制要求及實現方法

地址：http://www.xglongwei.com/a/xie/20121229/114134.html

 1/2    1  2 下一頁