前言
强制访问控制机制以主客体标记技术为基础,能够实现严格的计算机资源访问控制。但多年以来,由于主客体标记代价高昂,策略开发配置复杂,强制访问控制始终未能大规模推广应用,相关问题在等级保护测评等中成为难以整改的“硬骨头”。
因此,在此篇文章中积极探索利用开源工具secPaver提升SELinux强制访问控制策略的开发部署效率,研究提高信创操作系统openEuler的安全加固,验证了该工具在主机安全管理的可行性,为进一步探索提升主机安全防护水平,高质量推动信息技术创新应用积累了宝贵经验。
一、主机安全的背景概况
网络安全等级保护标准中早已提出基于主客体标记技术实现计算机资源强制访问控制(Mandatory Access Control,简称MAC)的要求,但由于相关安全技术应用难度很高,不仅需要底层操作系统兼容支持,而且安全控制策略开发困难,稍有不慎就会影响业务系统正常运行,实际工作中极少有规模部署应用的成功样板。
随着信息系统整合与信息化转型,信创操作系统应用推广逐步深入,新老基础设施持续更新换代,在提出更高安全防护要求的同时,也给基于主客体标记技术的强制访问控制带来难得的应用契机。认真贯彻落实网络安全“三同步”要求,积极探索利用secPaver主客体标记工具开发openEuler操作系统的SELinux强制访问控制机制,厘清程序、数据、端口、服务等各类资源的权限关系,研究实现基于主客体标记技术的资源强制访问控制,提高对非授权访问和误操作行为的精准识别和实时阻断,大幅提升服务器主机的安全防护水平。
二、技术实现原理
强