引言

等级保护2.0相比等级保护1.0，变化最大之一就是安全计算环境，因为在等级保护2.0中，安全计算环境包含了等级保护1.0中的主机安全、数据安全和应用安全这三个重要的部分。

相比于常见的二级和三级系统，四级系统在安全计算环境设计要求中针对访问控制、安全审计、可信验证和数据完整性等方面提出了更多扩展性要求。本文将针对四级系统中安全计算环境的关键点进行解读，以加深读者对于等保四级系统中安全计算环境的理解。

等保四级安全计算环境关键点

 1

访问控制

等保标准中对计算环境的访问控制做了详细要求，下面表格中列出了等保2.0对访问控制的要求，黑色字体表示是针对上一安全级别增强的要求：

在三级等保系统中，要求对重要的主体、客体采用强制访问控制机制。

在四级等保系统中，要求对所有的主体、客体采用强制访问控制机制。

不难看出，四级系统相比三级系统在应用主客体强制访问控制的范围上进一步扩大，由三级的“重要”提升为“所有”，这就使得在进行四级等保建设过程中，必须将强制访问控制机制纳入安全建设的考量。

从等保2.0的适用范围来看，等保2.0在原来基础上，扩展了对工控系统、大数据、云计算等领域的安全要求。工控系统中很多是涉及国计民生的关键基础设施（比如：发电控制系统、、轨道交通控制系统、自来水控制系统、石油石化生产控制系统等），定级一般比较高，必须采用强制访问控制机制来保证系统的安全性。

在等保2.0的设计技术要求中，强制访问控制机制的系统结构如下图所示：

强制访问控制系统的工作流程说明：

初始化：管理员根据需求确定强制访问控制策略，对主体、客体进行安全标记。

启动：系统启动时，加载主体、客体安全标记以及访问控制规则表，并对其进行初始化。

访问控制：当执行程序主体发出访问客体的请求后，系统安全机制截获该请求，并从中取出访问控制相关的主体、客体、操作三要素信息，然后查询主体、客体安全标记，得到安全标记信息，并依据强制访问控制策略对该请求实施策略符合性检查。如果该请求符合系统强制访问控制策略，则系统将允许该主体执行资源访问。否则，该请求将被系统拒绝执行。

级别调整：管理员可以根据需要进行级别调整，级别调整后，相关信息及时更新到访问控制内核。

审计：所有安全配置的修改调整及主体对客体的访问信息都支持进行日志审计。

威努特工控主机卫士产品（以下简称“工控主机卫士” ）是国内首款针对操作员站、工程师站、 数据服务器等工业现场主机进行安全加固的软件产品。产品颠覆了传统防病毒软件的“黑名单” 思想，采用与其相反的轻量级“白名单” 机制，可以有效阻止包括震网病毒、Flame、 Havex、 BlackEnergy 等在内的工控恶意程序或代码在工控主机上的感染、执行和扩散。

2018年，工控主机卫士融合了BLP、Biba和DTE三种强制访问控制模型，为用户提供针对计算环境的强制访问控制解决方案，可以满足等保三级和四级的强访要求。

下面对文件强制访问控制的运作机制进行简单介绍：

文件强制访问控制采用了BLP和Biba模型，并在此基础上增强，要求为所有的进程和用户赋予权限，实现保密性和完整性兼顾的强制访问控制模型，同时把强制访问控制和自主访问控制结合，解决工控环境下不同文件对机密性和完整性的要求。

工控主机卫士把文件安全标记分成系统级安全标记库和应用级安全标记库。系统级安全标记库记录操作系统内主体和客体的安全标记集合，在安装之后，根据操作系统运行自动学习，并生成操作系统相关的主客体安全标记，因此，生成之后的安全标记及相应的安全策略能够允许操作系统的正常运行；应用级安全标记指操作系统之外的应用软件的主客体安全标记集合，对在操作系统之外的其他应用软件在安装之后自动生成安全标记，系统在生成应用及安全标记及其策略之后，默认会拒绝所有的应用软件使用。

通过监控操作系统中各种客体资源的使用，按照安全策略执行强制访问策略。文件强制访问控制包括安全标记管理、客体属性监控、访问控制执行和访问控制结果审计四个部分，系统实现如下图所示： 

系统采用多级访问控制策略模型，为系统中的主体和客体进行标记安全属性。安全标记中保密级别、完整级别，它们在系统调用中作为进行权限判决的依据。

2 

安全审计

图5 安全计算环境安全审计要求对比

因为在四级等保中要求对所有的主体、客体采用强制访问控制机制，故在进行安全审计时也在三级等保审计内容与手段的基础上增加了针对主客体标识和访问结果的审计内容和要求。同时针对强制访问控制主客体和结果的审计也照应了强制访问控制系统的工作流程。

3 

恶意代码防范

随着等保级别的提升，针对恶意代码防范的要求也逐渐提高，三级系统除了要求使用恶意代码防范技术外，开始引入主动免疫可信验证机制来进行入侵和病毒行为的识别，并针对防御效果提出要求，即“有效阻断”。四级系统相比于三级系统最大的区别是去掉了“采用免受恶意代码攻击的技术措施”，将使用“主动免疫可信验证机制”作为唯一的恶意代码访问机制。

从主机防护的角度看，采用主动免疫可信验证机制可以避免传统的杀毒、EDR等恶意代码防护软件因自身安全机制被绕过带来的安全风险。基于硬件可信机制进行主动免疫防护也规避了传统恶意代码防护措施被动响应的局面，在高安全等级的系统中是实现主机安全的关键措施。

4 

可信验证

可信计算3.0是等级保护的关键支撑技术，对落实网络安全等级保护制度发挥着重要作用。因此，在等级保护2.0标准体系中，根据不同等级的安全要求，从第一级到第四级均在“安全通信网络”、“安全区域边界”和“安全计算环境”中增加了“可信验证”控制点，针对访问控制的主体、客体、操作和执行环境进行不同完备程度的可信验证，并对三级、四级网络中的安全管理中心中提出“可信验证策略配置”的功能需求。

等级保护三级：信任链传递到动态度量阶段，在等级保护二级可信要求的基础上，实现对安全配置等实体的可信验证，并在应用程序的关键执行环节对系统调用的主体、客体、操作进行可信验证，并对终端、关键内存区域等执行资源进行可信验证，并将验证结果形成审计记录，送到管理中心，并利用可信连接机制，在设备加入网络时对其身份、执行程序及其关键执行环节的执行资源进行认证。

等级保护四级：信任链传递到动态度量阶段，在等级保护三级可信要求的基础上，将可信验证的范围扩展到应用程序的所有执行环节，并对可信验证结果进行动态关联感知，以及在检测到其可信性收到破坏时采取措施恢复。

可信验证的技术原理是基于可信根，构建信任链， 一级度量一级， 一级信任一级，把信任关系扩大到整个计算节点，从而确保计算节点可信。可信验证实施框架如图8所示。

威努特工控主机卫士可以提供操作系统关键文件、配置参数和注册表项键值验证，通过监控操作系统关键文件、重要配置参数和注册表项的变更，在发现工业主机操作系统完整性被破坏时进行告警。

总结

相比于三级等保系统，四级等保针对访问控制、安全审计、恶意代码防范和可信验证四个方面提出更高要求，企业网络安全责任人在进行四级等保建设和测评过程中也应关注这些建设关键点，对标现有建设成果补齐建设短板。

需要注意的是，满足等级保护建设的要求并不是一味的累加产品，更多的是需要对网络、对业务系统的梳理，只有符合企业网络特点，业务特点的方案设计才是合适的等级保护解决方案。

原文始发于微信公众号（威努特工控安全）：【等保专题】等保四级主机安全加固关键点总结