用全域安全防范美国NSA对西工大的 络攻击

上周写的一篇文章《全域安全：一种运行时安全管理模型》，向大家介绍了全域安全管理模型，它是如何在Laxcus分布式操作系统的分布环境下，解决了分布式应用业务的全流程安全管理问题。其中顺便提到，如果把全域安全管理模型放到西工大，也能防范美国国家安全局TAO针对西工大的 络攻击。因为文章主要是讲解全域安全管理模型的处理流程，并不是防范 络攻击的介绍，这些天持续有人在后台私信我，希望了解全域安全管理模型防范 络攻击的具体细节。那么今天再写一篇，详细说说这方面的事情。
在介绍防范 络攻击手段之前，希望各位对全域安全管理模型有点了解，不清楚的地方，可以看上面那篇文章。闲话不多说，咱们直奔主题。
全域安全管理模型是一个体系化的分布式监管模型，它从系统架构到应用操作行为，进行着全方位的安全管控。除了防范攻击行为，更主要是给用户提供了一个放心使用的安全运行环境。按照从上至下的顺序，采用了下列管控措施，这些措施被Laxcus分布式操作系统强制执行，全部属于必选项。
一、计算机集群 络分成内 和外 ，中间用 关分隔。
二、使用虚拟化技术，把物理的计算机集群，分成多个独立的虚拟计算机集群空间，一个用户独享一段虚拟空间。
三、可信 络的基础，CA证书被密钥令牌取代。
四、重新设计 络加密通信。
五、隔离管理员和用户，并且不允许身份互换。
六、用户使用计算机需要获得授权，没有获得授权时，不能执行任何操作。
七、执行应用业务也要获得授权。运行过程中的任何操作，都被严格监控，接受管制。

咱们先说第一项和第二项。
第一项是针对计算机集群的环境安全部署，逻辑上把计算机 络分成内外两个 段。外 属于注册用户所有，体系设计上定义为非安全环境，它提供人机交互能力和结果展示，具体的存储和计算工作被投递到内 执行。内 由集群管理员负责维护，用户所有的存储和计算工作都在内 处理，属于高安全可靠运行环境，管理员有义务保证计算机集群内 安全。为了实现内外 的互联互通互操作，且能够隐藏内 拓扑，避免将内 暴露给外 ，它们之间用 关进行了连接隔离。 关的作用是反向代理，来自外 的任何操作，都要接受 关的检查，只有通过安全校验确认后， 关才会把外 请求转发给内 处理。这样从物理环境布局上，一定程度限制了 络攻击行为。

Laxcus内外 络环境，中间有 关分隔。

第二项属于虚拟化技术的延伸创新。不同与传统虚拟化针对一台计算机，Laxcus分布式操作系统的虚拟化，针对计算机集群。它把硬件的计算机集群进行软件切割，在一定范围内分成N多个片段，即虚拟计算机集群，每个用户登录后独享其中一段空间，用户所做的工作，只能在自己的空间，与他人老死不相往来。在这种情况下，如果某位用户虚拟空间遭到破坏，也只局限于自己的虚拟空间范围内，其它用户不受影响。这样就进一步压缩了破坏影响范围。

虚拟化集群在用户登录时分配，退出后释放，通过虚拟化+资源复用，大幅提高了计算机集群的使用效率，降低了用户使用成本。保守估算，这个成本大概是原来的1/20 – 1/50之间。

为“192.168.100” 段用户配属密钥令牌，实现与其它 段一致但有区别的加密通信

第四项属于Laxcus分布式操作系统FIXP 络的一部分，这个时候已经进入到个体业务处理阶段。目前的FIXP 络，强制全流程执行加密通信。如果截获这些加密通信，打开它们，你会看到的只是一堆无意义的二进制数字。FIXP 络的加密通信处理流程，类似SSL/TLS，但是在部分实现细节上，加入了新的元素。比如通信采用了短 文通信技术，即每一次RPC调用，按照需求，被系统分成N个步骤来处理。每一次通信IO，都是一次一密的执行，对称密钥、数字签名、非对称密钥都可以随机动态更换。并且非对称密钥、数字签名、对称密钥，它们不允许接触任何物理存储设备，被严格限制在 络、内存、CPU之间的传递。因为一次一密的机制，保证了上次通信的密钥和本次不同，即使数据明文是完全一样的信息，也会呈现不同的传输内容。这样的 络通信有相当的迷惑性，它降低密钥被截获后破解的概率，强化了个体业务的安全强度。再加上多密钥令牌机制，即使用上Laxcus这样超级强大的分布式处理系统来逆向计算，也难以破解这些加密密码。

FIXP 络管理非对称加密、数字签名、对称加密，是个人安全服务的入口。

第五项涉及的是权限管理问题。在全域安全管理模型中，系统将管理员的管理权限和用户的使用权限，进行了严格限制分割，不允许身份互换。这样的结果就是，如果一个人以管理员身份登录进入Laxcus分布式操作系统，那么他只能执行计算机集群方面的工作，用户能够执行的操作被禁止。同样的，如果一个人以用户身份登录进入Laxcus分布式操作系统，管理员能够执行的操作被严格禁止，所有工作都被限制在用户权责范围内。这是从计算机程序层面进行的限制，除非有能力修改全部源代码，否则整体无解。
这一点和Unix、Linux等操作系统的设计完全不同。在Unix/Linux上，每个人的身份可以随时切换，比如一个登录者以普通用户身份登录，如果他需要执行更高权限的工作，切换到root用户状态，使用“su”命令就可以完成。但是在Laxcus分布式操作系统上，不允许这样操作，用户的身份，在他登录成功那一刻即被确认，没有切换的机会。
拒绝身份切换，也除了减少密码泄漏的机会，更主要为Laxcus分布式操作系统提供更高级的安全管控能力。

管理员非法执行用户指令，被系统拒绝！

第六项可以看作第五项管理员权限的延伸。在Laxcus分布式操作系统上，一个用户账 注册成功后，尚不具有处理任何工作的能力。要想得到这样的能力，必须获得管理员的授权。目前用户能够使用的权限有几十种，比如操作大数据的权限，针对分布式应用软件的权限，针对用户虚拟空间的权限。这些权限还可以进一步细分，比如细化到执行原子级别IO的操作。

管理员向一个名为“TINY”的用户授权，使他获得删表、加载索引，SQL SELECT检索的能力

第七项已经进入到具体的用户执行层面。在这个层面，全域安全管理模型会严格监督用户发出的任何操作行为。用户运行的分布式应用软件，执行大数据处理工作，判断提取系统信息的操作，都会受到严格监控。这些监控基于第六项的管理员授权，如果用户没有获得某个应用软件的运行授权，那么他不能运行这个应用软件，即使在前端的图形桌面执行，这项工作投递到云端内 环境中，也会被系统拒绝执行，大数据存取处理、操作数据库的SQL语句也是同样的道理。

附说明：目前全域安全管理模型应用于Laxcus分布式操作系统。Laxcus是一个开源、容错、高扩展、多人共享、多机协同分布运行的操作系统，支持百万级节点规模的计算机集群、亿级用户在线。通过分布式应用软件，处理大规模、超大规模的存储和计算工作。
 

文章知识点与官方知识档案匹配，可进一步学习相关知识 络技能树首页概览22312 人正在系统学习中