武成岗：安全操作系统的构建与评测 | CNCC专家谈

CNCC早鸟票火热进行中，限期优惠，早鸟票购票成功更有机会获得炙手可热的“CCF会员之夜”入场资格，敬请尽快报名！

操作系统安全是当今信息技术领域中无可忽视的核心要素，关乎着整个数字化社会的稳定与繁荣。在当今这个高度互联的时代，我们的生活、工作、交流和交易几乎都离不开计算机系统，而操作系统安全则是支撑这一切的基石。操作系统作为计算机硬件和软件之间的纽带，负责管理和分配资源，确保不同应用程序和用户之间的隔离和稳定运行。一旦操作系统的安全性受到威胁，恶意软件、病毒和黑客攻击等就可能找到入口，危及整个系统的正常功能，可能导致系统崩溃、数据损坏甚至信息泄露，从而造成不可挽回的损失。此外，随着计算机系统之间的网络连接越来越密切，操作系统的弱点可能会被黑客用来渗透、传播恶意软件或者发动网络攻击。通过加强操作系统的安全性，可以有效减少这些威胁，维护整个网络生态的健康运转。总的来说，操作系统安全涵盖了计算机系统的稳定性、个人隐私的保护以及整个数字社会的安全运行。加强操作系统的安全性，对于应对日益复杂和多样化的安全挑战至关重要。

为了加强和提升操作系统的安全性，国际组织采取了一系列措施，其中引入合规性安全标准是关键之一。合规性安全标准旨在规范操作系统和软件的开发、测试和运行过程，以确保它们满足一定的安全要求，从而减少潜在的漏洞和风险。

 信息系统安全规范的发展过程

TCSEC("Trusted Computer System Evaluation Criteria"，也被称为“Orange Book”)是美国国防部于1983年发布的一套安全性准则，用于评估和认证计算机系统的安全性能。而后加拿大推出了CTCPEC，英、法、德、荷推出了ITSEC。1996年，由国际电工委员会(IEC)和国际标准化组织(ISO)于1996年共同发布了Common Criteria(通用标准，CC)。我国于1999年推出了GB17859，2015年推出了GB18336。CC标准应用最为广泛，它将系统的安全性分为7个等级，并定义了一系列的安全功能需求和评估方法。通过对操作系统和软件进行基于CC的评估，可以指导开发者改进产品的安全性。这些合规性安全标准的引入，为操作系统和软件的开发提供了指导和标准，有助于提高系统的整体安全性和可信度。

但合规性安全并不意味着安全问题得以妥善解决，原因是合规的操作系统依然会存在安全漏洞。以下是一些可能导致安全漏洞的主要原因：

（1）现代操作系统内核规模已达到数千万行代码，模块间的交互极为复杂，如此庞大的代码中，即使开发人员严格遵循合规性标准，也因模块间的交互的细节不一致而导致漏洞的存在。

（2）安全威胁是不断演化的，新的攻击技术和漏洞可能在合规性标准发布之后才被发现。合规性标准通常会有一定的滞后性，无法即时适应新出现的威胁，这意味着合规的操作系统仍可能存在安全问题。

（3）尽管有合规性标准，但实际操作中可能出现对标准的不完全理解或者不正确实施的情况。如果开发者或监管机构没有充分理解并正确遵循合规性要求，那么即使通过了认证，系统仍可能存在安全漏洞。

关于如何防御漏洞，在2010年前后，出现了两个观点的争论。早期内核社区认为Security bugs are just bugs，Linux之父Linus Torvalds建议发现并及时修复即可。而在Canonical负责Ubuntu Kernel Hardening的Kees Cook提出“Security is more than bug fixing”，建议采用主动防御机制提前发现问题，或封堵漏洞利用路径。2015年后，人们逐步接受了Kees Cook的思想，开始对操作系统内核进行安全加固。

因此，提升操作系统的安全性，除了进行合规性评测外，还需要在操作系统内部机制中，构建防利用机制，阻断攻击渠道。同时，还应该提供一种关于抗攻击能力的评测标准和手段，促使操作系统开发人员从抗攻击的角度完善操作系统。

本论坛邀请了来自于国内操作系统安全创新团队、操作系统厂家、和测评机构的专家，介绍最新的研究成果，研讨操作系统抗攻击能力的构建和评测的方法。如果你想了解这个方面的最新进展，敬请关注今年10月28日下午CNCC的“安全操作系统的构建与评测”技术论坛，共同探讨操作系统抗攻击能力的构建方法和评测机制。

识别下方二维码，立即参会报名CNCC