五一長假里，51CTO安全頻道的記者走訪了中科院國家重點實驗室聶曉偉博士，我們交流了網絡安全的重要組成部分——安全操作系統的重要性和在中國的獨立自主開發問題。
操作系統是應用軟件同系統硬件的接口，其目標是高效地、最大限度地、合理地使用計算機資源。而安全操作系統是增強安全機制與功能，保障計算資源使用的保密性、完整性和可用性。為此，二十世紀八十年代初提出的可信計算基（TCB）概念成為TCSEC 的主線。安全操作系統處于硬件和上層應用的中間環節，可以提供對數據庫、應用軟件、網絡系統提供全方位的保護。

操作系統的安全現狀

談到安全操作系統的重要性，聶曉偉博士說，沒有安全操作系統的保護，就不可能有網絡系統的安全，也不可能有應用軟件信息處理的安全性。因此，安全操作系統是整個信息系統安全的基礎。
信息安全框架的構造如果只停留在網絡防護的層面上, 而忽略了操作系統內核安全這一基本要素,這如同將堅固的堡壘建立在沙丘之上,安全隱患極大。
造成現在信息系統安全問題的被動局面，其關鍵是什么？
當今的信息系統產生安全問題的基本原因是操作系統的結構和機制不安全。其根源在于PC 機硬件結構的簡化，系統不分執行"態"，內存無越界保護等等，使操作系統難以建立真正的TCB。這樣就導致：資源配置可以被篡改；惡意程序被植入執行；利用緩沖區（棧）溢出攻擊；非法接管系統管理員權限等安全事故。病毒在世界范圍內傳播泛濫，黑客利用各種漏洞攻擊入侵，非授權者任意竊取信息資源，使得安全防護形成了防火墻、防病毒和入侵檢測老三樣的被動局面。
因此，信息安全的根本解決，需要從系統工程的角度來考慮，通過建立安全操作系統構建可信計算基(TCB)，建立動態、完整的安全體系。而其中，安全操作系統是最為基本與關鍵的技術之一。
我國操作系統的安全現狀：玻璃盒子和供求缺口
長期以來，我國廣泛應用的主流操作系統都是從國外引進直接使用的產品。這些系統安全性很差。Windows中存在著漏洞和陷門，不斷引起世界性的"沖擊波"和"震蕩波"等安全事件，如果在電子政務等要害部門使用，將存在極大風險。以Linux為代表的國際自由軟件的發展為我國發展具有自主版權的系統軟件提供了良好的機遇。
是不是可以認為，Linux等開源操作系統就可以解決我國目前對于安全操作系統的要求嗎？
在這個問題上，聶曉偉博士表示，Linux的內核設計缺乏模塊化，從而導致基于Linux平臺研制安全操作系統的做法缺乏科學的安全模型支持。同時，根據自由軟件協議（GPL），任何基于自由軟件的源代碼必須公開。就安全性而言，非開放源碼的操作系統是個黑盒子，而一個源代碼公開的系統更像是一個玻璃盒子，這恐怕也沒法讓人安心。目前國內基本上都是利用國外的技術甚至是部分源代碼，根據市場需要自己組合成的操作系統，這種系統不具有我們的自主知識產權，而且還沒有一個可信基(TCB)。我國現在還沒有一個自主可用的安全操作系統，西方禁止高等級安全操作系統向我國出口，即使允許也不敢應用在要害部門。
對于開發安全操作系統，國內現有的成果如何
我國從上世紀90年代開始研究安全操作系統，到目前已經取得了一些成果。從1993年我國宣布開發成功具有B2 集功能的操作系統，現在已有眾多的公司和科研單位開始注重安全操作系統的研發，比如中科紅旗公司開發的紅旗Linux，南京大學的Softos，國防科大的麒麟安全操作系統(注1)，中科安勝公司的安勝操作系統等。安全操作系統具有操作系統的本質特點，安全操作系統的開發是一項龐大復雜的工程。但是目前我們的安全操作系統的開發還存在著某些問題，例如，或者研發隊伍不是專業從事操作系統研發的，或者開發者不是直接面向市場來做的，或者有的壓根兒就沒有專業的安全操作系統研發隊伍，在安全操作系統的研發方面，在不同程度上存在固有的不足。從這些機構現在開發的安全操作系統來看，主要還是以美國的TCSEC安全評價標準為基礎的。
美國的TCSEC安全評價標準對我們有什么樣的影響？
美國的TCSEC標準(注2)是七十年代末著手制訂、八十年代中頒布的，它基于當時的歷史條件，對安全產品的安全功能有比較明確的限定。而安全操作系統的特點是其安全職能目前還無法清楚確定，在安全操作系統的總體安全職能中，有些是已知的，有些是未知的，隨著新的安全威脅的不斷出現，不可避免地可能需要設計必要的新的安全職能來提供應對支持。當前我國實施等級保護制度，迫切需要高等級的安全操作系統這是發展安全操作系統的大好機遇。中科院正在下大力氣抓緊開發高可信的安全操作系統產品，以解決國家的燃眉之急。
開發一個這樣的安全操作系統，碰到的問題以什么最關鍵
聶博士：其一是安全理論與模型問題，在整個安全操作系統開發中，建立適合的安全理論和模型是基礎與依據。當前安全操作系統開發所依據的模型多數依據與傳統的BLP模型，該模型偏重于信息的保密性，同時在具體實施中存在著若干的諸如隱通道等安全隱患，難以適應安全操作系統的發展要求，這就需要我們研究如何將要重點進行安全模型的研究及相應的策略制定，加強評估準則與方法的研究，將保密性和完整性有機結合。其二是安全體系結構的問題，高安全等級不是安全功能的簡單疊加，必須要有嚴密科學的結構加以保證。加強安全操作系統體系結構的研究，提供符合安全標準的安全核心體系結構，從形式化描述與驗證上下功夫，為解決操作系統安全提供一個整體的理論指導和基礎構件的支撐，并為工程實現奠定堅實的基礎。可信計算基（TCB）是操作系統安全的基礎，其內部要結構化，模塊間相互獨立，要用硬件資源隔離關鍵和非關鍵部件。第三，必須按需分級，以對專用安全操作系統的研究和設計作為工程契入點，針對安全性要求高的應用環境配置特定的安全策略，提供靈活、有效的安全機制，設計符合相應安全目標的專用安全系統，以滿足國家等級保護的急需。第四，以密碼技術重構內核，要想具有完全的安全操作系統自主知識產權，必須重構內核，要以密碼技術為核心，充分利用所提供的可信功能構建具有自我免疫能力的高安全等級的內核。密碼技術為在內核中可以實現以下主要功能：確保用戶唯一身份、權限、工作空間的完整性/可用性;確保存儲、處理、傳輸的機密性/完整性;確保硬件環境配置、操作系統內核、服務及應用程序的完整性;確保密鑰操作和存儲的安全;確保系統具有免疫能力，從根本上阻止病毒和黑客等軟件攻擊。第六是安全加固問題，對于當前無法從內核進行改造的系統，則可以進行安全加強。例如對占我國市場90% 以上的Windows 操作系統，它的源碼不公開，因此只能采用設計安全隔離層-- 中間件的方式，增強其安全性，基于應用對象，實施安全封裝、主動服務。
編者按：信息安全中我們反復強調了自主知識產權，目前我國安全操作系統的研究正處在一個關鍵時期，我們必須把握住正確的研究方向，制定相應的發展戰略，走符合我國國情的發展道路，采用國際先進技術，借助開源技術提供的資源，開發具有我國自主知識產權的安全操作系統產品。

注1：關于麒麟安全操作系統的爭議
參見本站文章：
　

注2：關于美國的TCSEC安全評價標準
參見本站文章： 68476636-8007）