第八章操作系統(tǒng)安全配置方案

第八章操作系統(tǒng)安全配置方案8內(nèi)容提要本章介紹Windows2000服務(wù)器的安全配置。操作系統(tǒng)的安全將決定網(wǎng)絡(luò)的安全，從保護(hù)級別上分成安全初級篇、中級篇和高級篇，共36條基本配置原則。安全配置初級篇講述常規(guī)的操作系統(tǒng)安全配置，中級篇介紹操作系統(tǒng)的安全策略配置，高級篇介紹操作系統(tǒng)安全信息通信配置。操作系統(tǒng)概述目前服務(wù)器常用的操作系統(tǒng)有三類：UnixLinuxWindowsNT/2000/2003Server。這些操作系統(tǒng)都是符合C2級安全級別的操作系統(tǒng)。但是都存在不少漏洞，如果對這些漏洞不了解，不采取相應(yīng)的措施，就會使操作系統(tǒng)完全暴露給入侵者。UNIX系統(tǒng)UNIX操作系統(tǒng)是由美國貝爾實驗室開發(fā)的一種多用戶、多任務(wù)的通用操作系統(tǒng)。它從一個實驗室的產(chǎn)品發(fā)展成為當(dāng)前使用普遍、影響深遠(yuǎn)的主流操作系統(tǒng)。UNIX誕生于20世紀(jì)60年代末期，貝爾實驗室的研究人員于1969年開始在GE645計算機(jī)上實現(xiàn)一種分時操作系統(tǒng)的雛形，后來該系統(tǒng)被移植到了DEC的PDP-7小型機(jī)上。1970年給系統(tǒng)正式取名為Unix操作系統(tǒng)。到1973年，Unix系統(tǒng)的絕大部分源代碼都用C語言重新編寫過，大大提高了Unix系統(tǒng)的可移植性，也為提高系統(tǒng)軟件的開發(fā)效率創(chuàng)造了條件。主要特色UNIX操作系統(tǒng)經(jīng)過20多年的發(fā)展后，已經(jīng)成為一種成熟的主流操作系統(tǒng)，并在發(fā)展過程中逐步形成了一些新的特色，其中主要特色包括5個方面。（1）可靠性高（2）極強(qiáng)的伸縮性（3）網(wǎng)絡(luò)功能強(qiáng)（4）強(qiáng)大的數(shù)據(jù)庫支持功能（5）開放性好Linux系統(tǒng)Linux是一套可以免費(fèi)使用和自由傳播的類Unix操作系統(tǒng)，主要用于基于Intelx86系列CPU的計算機(jī)上。這個系統(tǒng)是由全世界各地的成千上萬的程序員設(shè)計和實現(xiàn)的。其目的是建立不受任何商品化軟件的版權(quán)制約的、全世界都能自由使用的Unix兼容產(chǎn)品。Linux最早開始于一位名叫LinusTorvalds的計算機(jī)業(yè)余愛好者，當(dāng)時他是芬蘭赫爾辛基大學(xué)的學(xué)生。目的是想設(shè)計一個代替Minix（是由一位名叫AndrewTannebaum的計算機(jī)教授編寫的一個操作系統(tǒng)示教程序）的操作系統(tǒng)。這個操作系統(tǒng)可用于386、486或奔騰處理器的個人計算機(jī)上，并且具有Unix操作系統(tǒng)的全部功能。Linux是一個免費(fèi)的操作系統(tǒng)，用戶可以免費(fèi)獲得其源代碼，并能夠隨意修改。它是在共用許可證GPL(GeneralPublicLicense)保護(hù)下的自由軟件，也有好幾種版本，如RedHatLinux、Slackware，以及國內(nèi)的XteamLinux、紅旗Linux等等。Linux的流行是因為它具有許多優(yōu)點(diǎn)，典型的優(yōu)點(diǎn)有7個。Linux典型的優(yōu)點(diǎn)有7個。（1）完全免費(fèi)（2）完全兼容POSIX1.0標(biāo)準(zhǔn)（3）多用戶、多任務(wù)（4）良好的界面（5）豐富的網(wǎng)絡(luò)功能（6）可靠的安全、穩(wěn)定性能（7）支持多種平臺Windows系統(tǒng)WindowsNT（NewTechnology）是微軟公司第一個真正意義上的網(wǎng)絡(luò)操作系統(tǒng)，發(fā)展經(jīng)過NT3.0、NT40、NT5.0（Windows2000）和NT6.0（Windows2003）等眾多版本，并逐步占據(jù)了廣大的中小網(wǎng)絡(luò)操作系統(tǒng)的市場。WindowsNT眾多版本的操作系統(tǒng)使用了與Windows9X完全一致的用戶界面和完全相同的操作方法，使用戶使用起來比較方便。與Windows9X相比，WindowsNT的網(wǎng)絡(luò)功能更加強(qiáng)大并且安全。WindowsNT系列操作系統(tǒng)安全全操操作作系系統(tǒng)統(tǒng)的的研研究究發(fā)發(fā)展展操作作系系統(tǒng)統(tǒng)的的安安全全性性在在計計算算機(jī)機(jī)信信息息系系統(tǒng)統(tǒng)的的整整體體安安全全性性中中具具有有至至關(guān)關(guān)重重要要的的作作用用沒有有操操作作系系統(tǒng)統(tǒng)提提供供的的安安全全性性，，信信息息系系統(tǒng)統(tǒng)的的安安全全性性是是沒沒有有基基礎(chǔ)礎(chǔ)的的國外外安安全全操操作作系系統(tǒng)統(tǒng)的的發(fā)發(fā)展展Multics是開開發(fā)發(fā)安安全全操操作作系系統(tǒng)統(tǒng)最最早早期期的的嘗嘗試試。。1965年美美國國貝貝爾爾實實驗驗室室和和麻麻省省理理工工學(xué)學(xué)院院的的MAC課題題組組等等一一起起聯(lián)聯(lián)合合開開發(fā)發(fā)一一個個稱稱為為Multics的新新操操作作系系統(tǒng)統(tǒng)，，其目目標(biāo)標(biāo)是是要要向向大大的的用用戶戶團(tuán)團(tuán)體體提提供供對對計計算算機(jī)機(jī)的的并并發(fā)發(fā)訪訪問問，，支支持持強(qiáng)強(qiáng)大大的的計計算算能能力力和和數(shù)數(shù)據(jù)據(jù)存存儲儲，，并并具具有有很很高高的的安安全全性性。。貝爾爾實實驗驗室室中中后后來來參參加加UNIX早期期研研究究的的許許多多人人當(dāng)當(dāng)時時都都參參加加了了Multics的開開發(fā)發(fā)工工作作。。由于于Multics項目目目目標(biāo)標(biāo)的的理理想想性性和和開開發(fā)發(fā)中中所所遇遇到到的的遠(yuǎn)遠(yuǎn)超超預(yù)預(yù)期期的的復(fù)復(fù)雜雜性性使使得得結(jié)結(jié)果果不不是是很很理理想想。。事事實實上上連連他他們們自自己己也也不不清清楚楚什什么么時時候候，，開開發(fā)發(fā)到到什什么么程程度度才才算算達(dá)達(dá)到到設(shè)設(shè)計計的的目目標(biāo)標(biāo)。。雖雖然然Multics未能成功，但但它在安全操操作系統(tǒng)的研研究方面邁出出了重要的第第一步，Multics為后來的安全全操作系統(tǒng)研研究積累了大大量的經(jīng)驗，，其中Mitre公司的Bell和LaPadula合作設(shè)計的BLP安全模型首次次成功地用于于Multics，BLP安全模型后來來一直都作為為安全操作系系統(tǒng)開發(fā)所采采用的基礎(chǔ)安安全模型。國外安全操作作系統(tǒng)的發(fā)展展Adept-50是一個分時安安全操作系統(tǒng)統(tǒng)，可以實際際投入使用，1969年C.Weissman發(fā)表了有關(guān)Adept-50的安全控制的的研究成果。。安全Adept-50運(yùn)行于IBM/360硬件平臺，它以一個形式式化的安全模模型——高水印模型（（High-Water-MarkModel）為基礎(chǔ)，實實現(xiàn)了美國的的一個軍事安安全系統(tǒng)模型型，為給定的的安全問題提提供了一個比比較形式化的的解決方案。。在該系統(tǒng)中可可以為客體標(biāo)上敏敏感級別（SensitivityLevel）屬性。系統(tǒng)支持的的基本安全條條件是，對于于讀操作不允允許信息的敏敏感級別高于于用戶的安全全級別（Clearance）；在授權(quán)情情況下，對于于寫操作允許許信息從高敏敏感級別移向向低敏感級別別。國外安全操作作系統(tǒng)的發(fā)展展1969年B.W.Lampson通過形式化表表示方法運(yùn)用用主體（Subject）、客體（Object）和訪問矩陣陣（AccessMatrix）的思想第一一次對訪問控控制問題進(jìn)行行了抽象。主體是訪問操操作中的主動動實體，客體體是訪問操作作中被動實體體，主體對客客體進(jìn)行訪問問。訪問矩陣陣以主體為行行索引、以客客體為列索引引，矩陣中的的每一個元素素表示一組訪訪問方式，是是若干訪問方方式的集合。。矩陣中第i行第j列的元素Mij記錄著第i個主體Si可以執(zhí)行的對對第j個客體Oj的訪問方式，，比如Mij＝{Read，Write}表示Si可以對Oj進(jìn)行讀和寫操操作。1972年，J.P.Anderson在一份研究報報告中提出了了訪問監(jiān)控器器（ReferenceMonitor）、引用驗證證機(jī)制（ReferenceValidationMechanism）、安全內(nèi)核核（SecurityKernel）和安全建模模等重要思想想。J.P.Anderson指出，要開發(fā)發(fā)安全系統(tǒng)，，首先必須建建立系統(tǒng)的安安全模型，完完成安全系統(tǒng)統(tǒng)的建模之后后，再進(jìn)行安安全內(nèi)核的設(shè)設(shè)計與實現(xiàn)。。國外安全操作作系統(tǒng)的發(fā)展展1973年，B.W.Lampson提出了隱蔽通道的概念，他發(fā)發(fā)現(xiàn)兩個被限限制通信的實實體之間如果果共享某種資資源，那么它它們可以利用用隱蔽通道傳傳遞信息。同同年，D.E.Bell和L.J.LaPadula提出了第一個可證明明的安全系統(tǒng)統(tǒng)的數(shù)學(xué)模型型，即BLP模型。1976年Bell和LaPadula完成的研究報報告給出了BLP模型的最完整整表述，其中中包含模型的的形式化描述述和非形式化化說明，以及及模型在Multics系統(tǒng)中實現(xiàn)的的解釋。PSOS（ProvablySecureOperatingSystem）提供了一個層次結(jié)構(gòu)構(gòu)化的基于權(quán)權(quán)能的安全操操作系統(tǒng)設(shè)計計，1975年前后開始開開發(fā)。PSOS采用了層次式式開發(fā)方法，，通過形式化化技術(shù)實現(xiàn)對對安全操作系系統(tǒng)的描述和和驗證，設(shè)計計中的每一個個層次管理一一個特定類型型的對象，系系統(tǒng)中的每一一個對象通過過該對象的權(quán)權(quán)能表示進(jìn)行行訪問。KSOS（KernelizedSecureoperatingSystem）是美國國防防部研究計劃劃局1977年發(fā)起的一個個安全操作系系統(tǒng)研制項目目，由Ford太空通訊公司司承擔(dān)。KSOS采用了形式化化說明與驗證證的方法，目目標(biāo)是高安全全可信性。國外安全操作作系統(tǒng)的發(fā)展展UCLASecureUnix也是美國國防防部研究計劃劃局于1978年前后發(fā)起的的一個安全操操作系統(tǒng)研制制項目，由加加里福尼亞大大學(xué)承擔(dān)。UCLASecureUnix的系統(tǒng)設(shè)計方方法及目標(biāo)幾幾乎與KSOS相同。LINVSⅣⅣ是1984年開發(fā)的基于于UNIX的一個實驗安安全操作系統(tǒng)統(tǒng)，系統(tǒng)的安安全性可達(dá)到到美國國防部部橘皮書的B2級。它以4.1BSDUnix為原型，實現(xiàn)了身份鑒鑒別、自主訪訪問控制、強(qiáng)強(qiáng)制訪問控制制、安全審計計、特權(quán)用戶戶權(quán)限分隔等等安全功能。SecureXenix是IBM公司于1986年在SCOXenix的基礎(chǔ)上開發(fā)發(fā)的一個安全全操作系統(tǒng)，，它最初是在在IBMPC/AT平臺上實現(xiàn)的的。SecureXenix對Xenix進(jìn)行了大量的的改造開發(fā)，，并采用了一一些形式化說說明與驗證技技術(shù)。它的目標(biāo)是TCSEC的B2到A1級。IBM公司的V.D.Gligor等在發(fā)表SecureXenix系統(tǒng)的設(shè)計與與開發(fā)成果中中，把Unix類的安全操作作系統(tǒng)開發(fā)方方法劃分成仿仿真法和改造造/增強(qiáng)法兩種方方式。SecureXenix系統(tǒng)采用的是是改造/增強(qiáng)法。另外值得指出出的是SecureXenix系統(tǒng)基于安全全注意鍵（SAK，SecureAttentionKey）實現(xiàn)了可信信通路（TrustedPath），并在安全全保證方面重重點(diǎn)考慮了3個目標(biāo)：⑴系系統(tǒng)設(shè)計與BLP模型之間的一一致性；⑵實實現(xiàn)的安全功功能的測試；；⑶軟件配置置管理工具的的開發(fā)。國外安全操作作系統(tǒng)的發(fā)展展1987年，美國TrustedInformationSystems公司以Mach操作系統(tǒng)為基基礎(chǔ)開發(fā)了B3級的Tmach（TrustedMach）操作系統(tǒng)。。除了進(jìn)行用用戶標(biāo)識和鑒鑒別及命名客客體的存取控控制外，它將將BLP模型加以改進(jìn)進(jìn)，運(yùn)用到對對MACH核心的端口、、存儲對象等等的管理當(dāng)中中。通過對端端口間的消息息傳送進(jìn)行控控制和對端口口、存儲對象象、任務(wù)等的的安全標(biāo)識來來加強(qiáng)微核心心的安全機(jī)制制。1989年，加加拿大大多倫倫多大大學(xué)開開發(fā)了了與UNIX兼容的的安全全TUNIS操作系系統(tǒng)。。在實實現(xiàn)中中安全全TUNIS改進(jìn)了了BLP模型,并用TuringPlus語言（而不不是C）重新新實現(xiàn)現(xiàn)了Unix內(nèi)核，，模塊塊性相相當(dāng)好好。TuringPlus是一種種強(qiáng)類類型高高級語語言，，其大大部分分語句句都具具有用用于正正確性性證明明的形形式語語義。在發(fā)發(fā)表安安全TUNIS設(shè)計開開發(fā)成成果中中，Gernier等指出出，如如果不不進(jìn)行行系統(tǒng)統(tǒng)的重重新設(shè)設(shè)計，，以傳傳統(tǒng)Unix系統(tǒng)為為原型型，很很難開開發(fā)出出高于于TCSEC標(biāo)準(zhǔn)的的B2級安全全操作作系統(tǒng)統(tǒng)，這這一方方面是是因為為用于于編寫寫Unix系統(tǒng)的的C語言是是一個個非安安全的的語言言，另另一方方面是是因為為Unix系統(tǒng)內(nèi)內(nèi)部的的模塊塊化程程度不不夠。。安全全TUNIS系統(tǒng)的的設(shè)計計目標(biāo)標(biāo)是B3-A1級，支持持這個個目標(biāo)標(biāo)的關(guān)關(guān)鍵也也在于于：第一其其采用用了TuringPlus語言，，第二二其采采用了了安全全策略略與安安全機(jī)機(jī)制相相分離離的方方法，，并提提供了了一個個簡單單而結(jié)結(jié)構(gòu)規(guī)規(guī)范的的TCB，從而而簡化化了TCB的驗證證工作作。國外安安全操操作系系統(tǒng)的的發(fā)展展ASOS（ArmySecureOperatingSystem）是針針對美美軍的的戰(zhàn)術(shù)術(shù)需要要而設(shè)設(shè)計的的軍用用安全全操作作系統(tǒng)統(tǒng)，由由TRW公司1990年發(fā)布布完成成。ASOS由兩類類系統(tǒng)統(tǒng)組成成，其其中一一類是是多級級安全全操作作系統(tǒng)統(tǒng)，設(shè)設(shè)計目目標(biāo)是是TCSEC的A1級；另另一類類是專專用安安全操操作系系統(tǒng)，，設(shè)計計目標(biāo)標(biāo)是TCSEC的C2級。兩兩類系系統(tǒng)都都支持持Ada語言編編寫的的實時時戰(zhàn)術(shù)術(shù)應(yīng)用用程序序，都都能根根據(jù)不不同的的戰(zhàn)術(shù)術(shù)應(yīng)用用需求求進(jìn)行行配置置，都都可以以很容容易地地在不不同硬硬件平平臺間間移植植，兩兩類系系統(tǒng)還還提供供了一一致的的用戶戶界面面。從從具體體實現(xiàn)現(xiàn)上來來看，，ASOS操作系系統(tǒng)還還具有有5個主要要特點(diǎn)點(diǎn)：⑴ASOS操作系系統(tǒng)本本身也也主要要是用用Ada語言實實現(xiàn)的的；⑵⑵ASOS采用訪訪問控控制列列表（（AccessControlList，ACL）實現(xiàn)現(xiàn)了細(xì)細(xì)粒度度的自自主訪訪問控控制；；⑶ASOS依據(jù)BLP模型實現(xiàn)了了防止止信息息泄露露的強(qiáng)強(qiáng)制訪訪問控控制，，依據(jù)據(jù)Biba模型實實現(xiàn)了了確保保數(shù)據(jù)據(jù)完整整性的的強(qiáng)制制訪問問控制制；⑷ASOS在形式式化驗驗證中中建立立了兩兩個層層次的的規(guī)范范和證證明，，一個個層次次用于于抽象象的安安全模模型，，另一一個層層次用用于形形式化化頂層層規(guī)范范；⑸⑸用于于證明明系統(tǒng)統(tǒng)安全全性的的主要要工具具是Gypsy驗證環(huán)環(huán)境（（GVE），ASOS開發(fā)了了一個個在GVE中工作作的流流分析析工具具，用用于分分析系系統(tǒng)設(shè)設(shè)計中中潛在在的隱隱蔽通通道。。國外安安全操操作系系統(tǒng)的的發(fā)展展OSF/1是開放放軟件件基金金會于于1990年推出出的一一個安安全操操作系系統(tǒng)，，被美美國國國家計計算機(jī)機(jī)安全全中心心（NCSC）認(rèn)可可為符符合TCSEC的B1級，其其主要要安全全性表表現(xiàn)4個方面面：⑴系統(tǒng)統(tǒng)標(biāo)識識；⑵⑵口令令管理理；⑶⑶強(qiáng)制制存取取控制制和自自主存存取控控制；；⑷審審計。。UNIXSVR4.1ES是UI（UNIX國際組組織））于1991年推出出的一一個安安全操操作系系統(tǒng)，，被美美國國國家計計算機(jī)機(jī)安全全中心心（NCSC）認(rèn)可可為符符合TCSEC的B2級，除除OSF/1外的安安全性性主要要表現(xiàn)現(xiàn)在4個方面面：⑴更更全面面的存存取控控制；；⑵最最小特特權(quán)管管理；；⑶可可信通通路；；⑷隱隱蔽通通道分分析和和處理理。1991年，在在歐洲洲共同同體的的贊助助下，，英、、德、、法、、荷四四國制制定了了擬為為歐共共體成成員國國使用用的共共同標(biāo)標(biāo)準(zhǔn)——信息技術(shù)術(shù)安全評評定標(biāo)準(zhǔn)準(zhǔn)（ITSEC）。隨著著各種標(biāo)標(biāo)準(zhǔn)的推推出和安安全技術(shù)術(shù)產(chǎn)品的的發(fā)展，，美國和和同加拿拿大及歐歐共體國國家一起起制定通通用安全全評價準(zhǔn)準(zhǔn)則（CommonCriteriaforITSecurityEvaluation，CC），1996年1月發(fā)布了了CC的1.0版。CC標(biāo)準(zhǔn)的2.0版已于1997年8月頒布，，并于1999年7月通過國國際標(biāo)準(zhǔn)準(zhǔn)組織認(rèn)認(rèn)可，確確立為國國際標(biāo)準(zhǔn)準(zhǔn)，即ISO/IEC15408。國外安全全操作系系統(tǒng)的發(fā)發(fā)展在1992到1993年之間，，美國國國家安全全局（NSA）和安全全計算公公司（SCC）的研究究人員在在TMach項目和LOCK項目的基基礎(chǔ)上，，共同設(shè)設(shè)計和實實現(xiàn)了分布式可可信Mach系統(tǒng)（DistributedTrustedMach，DTMach）。DTMach項目的后后繼項目目是分布式可可信操作作系統(tǒng)（DistributedTrustedOperatingSystem，DTOS）。DTOS項目改良良了早期期的設(shè)計計和實現(xiàn)現(xiàn)工作，，產(chǎn)生了了一些供供大學(xué)研研究的原原型系統(tǒng)統(tǒng)，例如如SecureTransactionalResources、DX等。此外外DTOS項目產(chǎn)生生了一些些學(xué)術(shù)報報告、系系統(tǒng)形式式化的需需求說明明書、安安全策略略和特性性的分析析、組合合技術(shù)的的研究和和對多種種微內(nèi)核核系統(tǒng)安安全和保保證的研研究。當(dāng)當(dāng)DTOS項目快要要完成的的時候，，NSA、SCC和猶他州州大學(xué)的的Flux項目組聯(lián)聯(lián)合將DTOS安全結(jié)構(gòu)構(gòu)移植到到Fluke操作系統(tǒng)統(tǒng)研究中中去。在在將結(jié)構(gòu)構(gòu)移植到到Fluke的過程中中，他們們改良了了結(jié)構(gòu)以以更好地地支持動動態(tài)安全全策略。。這個改改良后的的結(jié)構(gòu)就就叫Flask。一些Flask的接口和和組件就就是從Fluke到OSKit中的接口口和組件件中繼承承下來的的。國外安全全操作系系統(tǒng)的發(fā)發(fā)展2001年，F(xiàn)lask由NSA在Linux操作系統(tǒng)統(tǒng)上實現(xiàn)現(xiàn)，并且且不同尋尋常地向向開放源源碼社區(qū)區(qū)發(fā)布了了一個安安全性增增強(qiáng)型版版本的Linux（SELinux）－－包包括代碼碼和所有有文檔。。與傳統(tǒng)的的基于TCSEC標(biāo)準(zhǔn)的開開發(fā)方法法不同，，1997年美國國國家安全全局和安安全計算算公司完完成的DTOS安全操作作系統(tǒng)采采用了基基于安全全威脅的的開發(fā)方方法。設(shè)計目標(biāo)標(biāo)包括3個方面：（1）策略靈靈活性：：DTOS內(nèi)核應(yīng)該該能夠支支持一系系列的安安全策略略，包括括諸如國國防部的的強(qiáng)制存存取控制制多級安安全策略略；（2）與Mach兼容，現(xiàn)現(xiàn)有的Mach應(yīng)用應(yīng)能能在不做做任何改改變的情情況下運(yùn)運(yùn)行；（3）性能應(yīng)應(yīng)與Mach接近。國內(nèi)安全全操作系系統(tǒng)的發(fā)發(fā)展國內(nèi)也進(jìn)進(jìn)行了許許多有關(guān)關(guān)安全操操作系統(tǒng)統(tǒng)的開發(fā)發(fā)研制工工作，并并取得了了一些研研究成果果。1990年前后，，海軍計計算技術(shù)術(shù)研究所所和解放放軍電子子技術(shù)學(xué)學(xué)院分別別開始了了安全操操作系統(tǒng)統(tǒng)技術(shù)方方面的探探討，他他們都是是參照美美國TCSEC標(biāo)準(zhǔn)的B2級安全要要求，基基于UNIXSystemV3.2進(jìn)行安全全操作系系統(tǒng)的研研究與開開發(fā)。1993年，海軍軍計算技技術(shù)研究究所繼續(xù)續(xù)按照美美國TCSEC標(biāo)準(zhǔn)的B2級安全要要求，圍圍繞UnixSVR4.2/SE，實現(xiàn)了了國產(chǎn)自主主的安全全增強(qiáng)包包。1995年，在國國家“八八五”科科技攻關(guān)關(guān)項目――“COSA國產(chǎn)系統(tǒng)統(tǒng)軟件平平臺”中中，圍繞繞UNIX類國產(chǎn)操操作系統(tǒng)統(tǒng)COSIXV2.0的安全子子系統(tǒng)的的設(shè)計與與實現(xiàn)，，中國計計算機(jī)軟軟件與技技術(shù)服務(wù)務(wù)總公司司、海軍軍計算技技術(shù)研究究所和中中國科學(xué)學(xué)院軟件件研究所所一起參參與了研研究工作作。COSIXV2.0安全子系系統(tǒng)的設(shè)設(shè)計目標(biāo)標(biāo)是介于于美國TCSEC的B1和B2級安全要要求之間間，當(dāng)時時定義為為B1＋，主要要實現(xiàn)的的安全功功能包括括安全登登錄、自自主訪問問控制、、強(qiáng)制訪訪問控制制、特權(quán)權(quán)管理、、安全審審計和可可信通路路等。國內(nèi)安全全操作系系統(tǒng)的發(fā)發(fā)展1996年，由中中國國防防科學(xué)技技術(shù)工業(yè)業(yè)委員會會發(fā)布了了軍用計計算機(jī)安安全評估估準(zhǔn)則GJB2646－96（一般簡簡稱為軍軍標(biāo)），，它與美美國TCSEC基本一致致。1998年，電子子工業(yè)部部十五所所基于UnixWareV2.1按照美國國TCSEC標(biāo)準(zhǔn)的B1級安全要要求，對對Unix操作系統(tǒng)統(tǒng)的內(nèi)核核進(jìn)行了了安全性性增強(qiáng)。。1999年10月19日，我國國國家技技術(shù)監(jiān)督督局發(fā)布布了國家家標(biāo)準(zhǔn)GB17859－1999《計算機(jī)信信息系統(tǒng)統(tǒng)安全保保護(hù)等級級劃分準(zhǔn)準(zhǔn)則》，為計算算機(jī)信息息系統(tǒng)安安全保護(hù)護(hù)能力劃劃分了等等級。該該標(biāo)準(zhǔn)已已于2001年起強(qiáng)制制執(zhí)行。。Linux自由軟件件的廣泛泛流行對對我國安安全操作作系統(tǒng)的的研究與與開發(fā)具具有積極極的推進(jìn)進(jìn)作用。。2001年前后，，我國安安全操作作系統(tǒng)研研究人員員相繼推推出了一一批基于于Linux的安全操操作系統(tǒng)統(tǒng)開發(fā)成成果。這這包括：：國內(nèi)安全全操作系系統(tǒng)的發(fā)發(fā)展中國科學(xué)學(xué)院信息息安全技技術(shù)工程程研究中中心基于于Linux資源，開開發(fā)完成成了符合合我國GB17859－1999第三級（（相當(dāng)于于美國TCSECB1）安全要要求的安安全操作作系統(tǒng)SecLinux。SecLinux系統(tǒng)提供供了身份份標(biāo)識與與鑒別、、自主訪訪問控制制、強(qiáng)制制訪問控控制、最最小特權(quán)權(quán)管理、、安全審審計、可可信通路路、密碼碼服務(wù)、、網(wǎng)絡(luò)安安全服務(wù)務(wù)等方面面的安全全功能。。依托南京京大學(xué)的的江蘇南南大蘇富富特軟件件股份有有限公司司開發(fā)完完成了基基于Linux的安全操操作系統(tǒng)統(tǒng)SoftOS，實現(xiàn)的的安全功功能包括括：強(qiáng)制制訪問控控制、審審計、禁禁止客體體重用、、入侵檢檢測等。。信息產(chǎn)業(yè)業(yè)部30所控股的的三零盛盛安公司司推出的的強(qiáng)林Linux安全操作作系統(tǒng)，，達(dá)到了了我國GB17859－1999第三級的的安全要要求。國內(nèi)安全全操作系系統(tǒng)的發(fā)發(fā)展中國科學(xué)學(xué)院軟件件所開放放系統(tǒng)與與中文處處理中心心基于紅紅旗Linux操作系統(tǒng)統(tǒng)，實現(xiàn)現(xiàn)了符合合我國GB17859－1999第三級要要求的安安全功能能。中國國計算機(jī)機(jī)軟件與與技術(shù)服服務(wù)總公公司以美美國TCSEC標(biāo)準(zhǔn)的B1級為安全全目標(biāo)，，對其COSIXV2.0進(jìn)行了安安全性增增強(qiáng)改造造。此外，國國防科技技大學(xué)、、總參56所等其他他單位也也開展了了安全操操作系統(tǒng)統(tǒng)的研究究與開發(fā)發(fā)工作。2001年3月8日，我國國國家技技術(shù)監(jiān)督督局發(fā)布布了國家家標(biāo)準(zhǔn)GB/T18336－2001《信息技術(shù)術(shù)安全技技術(shù)信信息技術(shù)術(shù)安全性性評估準(zhǔn)準(zhǔn)則》，它基本本上等同同采用了了國際通通用安全全評價準(zhǔn)準(zhǔn)則CC。該標(biāo)準(zhǔn)已已于2001年12月1日起推薦薦執(zhí)行，，這將對對我國安安全操作作系統(tǒng)研研究與開開發(fā)產(chǎn)生生進(jìn)一步步的影響響。安全操作作系統(tǒng)的的基本概概念安全操作作系統(tǒng)涉涉及很多多概念：：主體和客客體安全策略略和安全全模型訪問監(jiān)控控器和安安全內(nèi)核核以及可可信計算算基。主體和客客體操作系統(tǒng)統(tǒng)中的每每一個實實體組件件都必須須是主體體或者是是客體，，或者既既是主體體又是客客體。主主體是一一個主動動的實體體，它包包括用戶戶、用戶戶組、進(jìn)進(jìn)程等。。系統(tǒng)中中最基本本的主體體應(yīng)該是是用戶（（包括一一般用戶戶和系統(tǒng)統(tǒng)管理員員、系統(tǒng)統(tǒng)安全員員、系統(tǒng)統(tǒng)審計員員等特殊殊用戶））。每個個進(jìn)入系系統(tǒng)的用用戶必須須是惟一一標(biāo)識的的，并經(jīng)經(jīng)過鑒別別確定為為真實的的。系統(tǒng)統(tǒng)中的所所有事件件要求，，幾乎全全是由用用戶激發(fā)發(fā)的。進(jìn)進(jìn)程是系系統(tǒng)中最最活躍的的實體，，用戶的的所有事事件要求求都要通通過進(jìn)程程的運(yùn)行行來處理理。在這這里，進(jìn)進(jìn)程作為為用戶的的客體，，同時又又是其訪訪問對象象的主體體?？腕w是一個個被動的實實體。在操操作系統(tǒng)中中，客體可可以是按照照一定格式式存儲在一一定記錄介介質(zhì)上的數(shù)數(shù)據(jù)信息（（通常以文文件系統(tǒng)格格式存儲數(shù)數(shù)據(jù)），也也可以是操操作系統(tǒng)中中的進(jìn)程。。操作系統(tǒng)統(tǒng)中的進(jìn)程程（包括用用戶進(jìn)程和和系統(tǒng)進(jìn)程程）一般有有著雙重身身份。當(dāng)一一個進(jìn)程運(yùn)運(yùn)行時，它它必定為某某一用戶服服務(wù)——直接或間接接的處理該該用戶的事事件要求。。于是，該該進(jìn)程成為為該用戶的的客體，或或為另一進(jìn)進(jìn)程的客體體（這時另另一進(jìn)程則則是該用戶戶的客體））安全策略和和安全模型型安全策略與與安全模型型是計算機(jī)機(jī)安全理論論中容易相相互混淆的的兩個概念念。安全策略是是指有關(guān)管管理、保護(hù)護(hù)和發(fā)布敏敏感信息的的法律、規(guī)規(guī)定和實施施細(xì)則。例如，可以以將安全策策略定為：：系統(tǒng)中的的用戶和信信息被劃分分為不同的的層次，一一些級別比比另一些級級別高；而而且如果主主體能讀訪訪問客體，，當(dāng)且僅當(dāng)當(dāng)主體的級級別高于或或等于客體體的級別；；如果主體體能寫訪問問客體，當(dāng)當(dāng)且僅當(dāng)主主體的級別別低于或等等于客體的的級別。安全模型則則是對安全全策略所表表達(dá)的安全全需求的簡簡單、抽象象和無歧義義的描述，，它為安全策策略和安全全策略實現(xiàn)現(xiàn)機(jī)制的關(guān)關(guān)聯(lián)提供了了一種框架架。安全模模型描述了了對某個安安全策略需需要用哪種種機(jī)制來滿滿足；而模模型的實現(xiàn)現(xiàn)則描述了了如何把特特定的機(jī)制制應(yīng)用于系系統(tǒng)中，從從而實現(xiàn)某某一特定安安全策略所所需的安全全保護(hù)。訪問監(jiān)控器器訪問控制機(jī)機(jī)制的理論論基礎(chǔ)是訪訪問監(jiān)控器器（ReferenceMonitor），由J.P.Anderson首次提出。。訪問監(jiān)控控器是一個個抽象概念念，它表現(xiàn)現(xiàn)的是一種種思想。J.P.Anderson把訪問監(jiān)控控器的具體體實現(xiàn)稱為為引用驗證證機(jī)制，它它是實現(xiàn)訪訪問監(jiān)控器器思想的硬硬件和軟件件的組合安全內(nèi)核安全內(nèi)核是是實現(xiàn)訪問問監(jiān)控器概概念的一種種技術(shù)，在在一個大型型操作系統(tǒng)統(tǒng)中，只有有其中的一一小部分軟軟件用于安安全目的是是它的理論論依據(jù)。所所以在重新新生成操作作系統(tǒng)過程程中，可用用其中安全全相關(guān)的軟軟件來構(gòu)成成操作系統(tǒng)統(tǒng)的一個可可信內(nèi)核，，稱之為安安全內(nèi)核。。安全內(nèi)核核必須予以以適當(dāng)?shù)谋１Ｗo(hù)，不能能篡改。同同時絕不能能有任何繞繞過安全內(nèi)內(nèi)核存取控控制檢查的的存取行為為存在。此此外安全內(nèi)內(nèi)核必須盡盡可能地小小，便于進(jìn)進(jìn)行正確性性驗證。安安全內(nèi)核由由硬件和介介于硬件和和操作系統(tǒng)統(tǒng)之間的一一層軟件組組成可信計算基基操作系統(tǒng)的的安全依賴賴于一些具具體實施安安全策略的的可信的軟軟件和硬件件。這些軟軟件、硬件件和負(fù)責(zé)系系統(tǒng)安全管管理的人員員一起組成成了系統(tǒng)的的可信計算算基（TrustedComputingBase，TCB）。具體來來說可信計計算基由以以下7個部分組成成：1.操作系統(tǒng)的的安全內(nèi)核核。2.具有特權(quán)的的程序和命命令。3.處理敏感信信息的程序序，如系統(tǒng)統(tǒng)管理命令令等。4.與TCB實施安全策策略有關(guān)的的文件。5.其它有關(guān)的的固件、硬硬件和設(shè)備備。6.負(fù)責(zé)系統(tǒng)管管理的人員員。7.保障固件和和硬件正確確的程序和和診斷軟件件。安全操作系系統(tǒng)的機(jī)制制安全操作系系統(tǒng)的機(jī)制制包括：硬件安全機(jī)機(jī)制操作系統(tǒng)的的安全標(biāo)識識與鑒別訪問控制、、最小特權(quán)權(quán)管理可信通路和和安全審計計硬件安全機(jī)機(jī)制絕大多數(shù)實實現(xiàn)操作系系統(tǒng)安全的的硬件機(jī)制制也是傳統(tǒng)統(tǒng)操作系統(tǒng)統(tǒng)所要求的的，優(yōu)秀的的硬件保護(hù)護(hù)性能是高高效、可靠靠的操作系系統(tǒng)的基礎(chǔ)礎(chǔ)。計算機(jī)硬件件安全的目目標(biāo)是，保保證其自身身的可靠性性和為系統(tǒng)統(tǒng)提供基本本安全機(jī)制制。其中基基本安全機(jī)機(jī)制包括存存儲保護(hù)、、運(yùn)行保護(hù)護(hù)、I/O保護(hù)等。標(biāo)識與鑒別別標(biāo)識與鑒別別是涉及系系統(tǒng)和用戶戶的一個過過程。標(biāo)識識就是系統(tǒng)統(tǒng)要標(biāo)識用用戶的身份份，并為每每個用戶取取一個系統(tǒng)統(tǒng)可以識別別的內(nèi)部名名稱——用戶標(biāo)識符符。用戶標(biāo)標(biāo)識符必須須是惟一的的且不能被被偽造，防防止一個用用戶冒充另另一個用戶戶。將用戶標(biāo)識識符與用戶戶聯(lián)系的過過程稱為鑒鑒別，鑒別別過程主要要用以識別別用戶的真真實身份，，鑒別操作作總是要求求用戶具有有能夠證明明他的身份份的特殊信信息，并且且這個信息息是秘密的的，任何其其他用戶都都不能擁有有它。訪問控制在安全操作作系統(tǒng)領(lǐng)域域中，訪問問控制一般般都涉及自主訪問控控制（DiscretionaryAccessControl，DAC）強(qiáng)制訪問控控制（MandatoryAccessControl，MAC）兩種形式式自主訪問控控制自主訪問控控制是最常常用的一類類訪問控制制機(jī)制，用用來決定一一個用戶是是否有權(quán)訪訪問一些特特定客體的的一種訪問問約束機(jī)制制。在自主主訪問控制制機(jī)制下，，文件的擁擁有者可以以按照自己己的意愿精精確指定系系統(tǒng)中的其其他用戶對對其文件的的訪問權(quán)。。亦即使用自自主訪問控控制機(jī)制，，一個用戶戶可以自主主地說明他他所擁有的的資源允許許系統(tǒng)中哪哪些用戶以以何種權(quán)限限進(jìn)行共享享。從這種種意義上講講，是“自自主”的。。另外自主主也指對其其他具有授授予某種訪訪問權(quán)力的的用戶能夠夠自主地（（可能是間間接的）將將訪問權(quán)或或訪問權(quán)的的某個子集集授予另外外的用戶。。強(qiáng)制訪問控控制MAC在強(qiáng)制訪問問控制機(jī)制制下，系統(tǒng)統(tǒng)中的每個個進(jìn)程、每每個文件、、每個IPC客體(消息隊列、、信號量集集合和共享享存貯區(qū))都被賦予了了相應(yīng)的安安全屬性，，這些安全全屬性是不不能改變的的，它由管管理部門（（如安全管管理員）或或由操作系系統(tǒng)自動地地按照嚴(yán)格格的規(guī)則來來設(shè)置，不不像訪問控控制表那樣樣由用戶或或他們的程程序直接或或間接地修修改。當(dāng)一進(jìn)程訪訪問一個客客體(如文件)時，調(diào)用強(qiáng)強(qiáng)制訪問控控制機(jī)制，，根據(jù)進(jìn)程程的安全屬屬性和訪問問方式，比比較進(jìn)程的的安全屬性性和客體的的安全屬性性，從而確確定是否允允許進(jìn)程對對客體的訪訪問。代表表用戶的進(jìn)進(jìn)程不能改改變自身的的或任何客客體的安全全屬性，包包括不能改改變屬于用用戶的客體體的安全屬屬性，而且且進(jìn)程也不不能通過授授予其他用用戶客體存存取權(quán)限簡簡單地實現(xiàn)現(xiàn)客體共享享。如果系系統(tǒng)判定擁擁有某一安安全屬性的的主體不能能訪問某個個客體，那那么任何人人（包括客客體的擁有有者）也不不能使它訪訪問該客體體。從這種種意義上講講，是“強(qiáng)強(qiáng)制”的。。強(qiáng)制制訪訪問問控控制制和和自自主主訪訪問問控控制制強(qiáng)制制訪訪問問控控制制和和自自主主訪訪問問控控制制是是兩兩種種不不同同類類型型的的訪訪問問控控制制機(jī)機(jī)制制，，它它們們常常結(jié)結(jié)合合起起來來使使用用。。僅僅當(dāng)當(dāng)主主體體能能夠夠同同時時通通過過自自主主訪訪問問控控制制和和強(qiáng)強(qiáng)制制訪訪問問控控制制檢檢查查時時，，它它才才能能訪訪問問一一個個客客體體。。用戶戶使使用用自自主主訪訪問問控控制制防防止止其其他他用用戶戶非非法法入入侵侵自自己己的的文文件件，，強(qiáng)強(qiáng)制制訪訪問問控控制制則則作作為為更更強(qiáng)強(qiáng)有有力力的的安安全全保保護(hù)護(hù)方方式式，，使使用用戶戶不不能能通通過過意意外外事事件件和和有有意意識識的的誤誤操操作作逃逃避避安安全全控控制制。。因因此此強(qiáng)強(qiáng)制制訪訪問問控控制制用用于于將將系系統(tǒng)統(tǒng)中中的的信信息息分分密密級級和和類類進(jìn)進(jìn)行行管管理理，，適適用用于于政政府府部部門門、、軍軍事事和和金金融融等等領(lǐng)領(lǐng)域域。。最小小特特權(quán)權(quán)管管理理在現(xiàn)現(xiàn)有有一一般般多多用用戶戶操操作作系系統(tǒng)統(tǒng)（（如如UNIX、Linux等））的的版版本本中中，，超超級級用用戶戶具具有有所所有有特特權(quán)權(quán)，，普普通通用用戶戶不不具具有有任任何何特特權(quán)權(quán)。。一一個個進(jìn)進(jìn)程程要要么么具具有有所所有有特特權(quán)權(quán)(超級級用用戶戶進(jìn)進(jìn)程程)，要要么么不不具具有有任任何何特特權(quán)權(quán)(非超超級級用用戶戶進(jìn)進(jìn)程程)。這這種種特特權(quán)權(quán)管管理理方方式式便便于于系系統(tǒng)統(tǒng)維維護(hù)護(hù)和和配配置置，，但但不不利利于于系系統(tǒng)統(tǒng)的的安安全全性性。。一一旦旦超超級級用用戶戶的的口口令令丟丟失失或或超超級級用用戶戶被被冒冒充充，，將將會會對對系系統(tǒng)統(tǒng)造造成成極極大大的的損損失失。。另另外外超超級級用用戶戶的的誤誤操操作作也也是是系系統(tǒng)統(tǒng)極極大大的的潛潛在在安安全全隱隱患患。。因因此此必必須須實實行行最最小小特特權(quán)權(quán)管管理理機(jī)機(jī)制制。。最小特特權(quán)管管理的的思想想是系系統(tǒng)不不應(yīng)給給用戶戶超過過執(zhí)行行任務(wù)務(wù)所需需特權(quán)權(quán)以外外的特特權(quán)，，如將將超級級用戶戶的特特權(quán)劃劃分為為一組組細(xì)粒粒度的的特權(quán)權(quán)，分分別授授予不不同的的系統(tǒng)統(tǒng)操作作員/管理員員，使使各種種系統(tǒng)統(tǒng)操作作員/管理員員只具具有完完成其其任務(wù)務(wù)所需需的特特權(quán)，，從而而減少少由于于特權(quán)權(quán)用戶戶口令令丟失失或錯錯誤軟軟件、、惡意意軟件件、誤誤操作作所引引起的的損失失。比比如可可在系系統(tǒng)中中定義義5個特權(quán)權(quán)管理理職責(zé)責(zé)，任任何一一個用用戶都都不能能獲取取足夠夠的權(quán)權(quán)力破破壞系系統(tǒng)的的安全全策略略。可信通通路在計算算機(jī)系系統(tǒng)中中，用用戶是是通過過不可可信的的中間間應(yīng)用用層和和操作作系統(tǒng)統(tǒng)相互互作用用的。。但用用戶登登錄，，定義義用戶戶的安安全屬屬性，，改變變文件件的安安全級級等操操作，，用戶戶必須須確實實與安安全核核心通通信，，而不不是與與一個個特洛洛伊木木馬打打交道道。系系統(tǒng)必必須防防止特特洛伊伊木馬馬模仿仿登錄錄過程程，竊竊取用用戶的的口令令。特權(quán)用用戶在在進(jìn)行行特權(quán)權(quán)操作作時，，也要要有辦辦法證證實從從終端端上輸輸出的的信息息是正正確的的，而而不是是來自自于特特洛伊伊木馬馬。這這些都都需要要一個個機(jī)制制保障障用戶戶和內(nèi)內(nèi)核的的通信信，這這種機(jī)機(jī)制就就是由由可信信通路路提供供的。。安全審審計一個系系統(tǒng)的的安全全審計計就是是對系系統(tǒng)中中有關(guān)關(guān)安全全的活活動進(jìn)進(jìn)行記記錄、、檢查查及審審核。。它的的主要要目的的就是是檢測測和阻阻止非非法用用戶對對計算算機(jī)系系統(tǒng)的的入侵侵，并并顯示示合法法用戶戶的誤誤操作作。審計作作為一一種事事后追追查的的手段段來保保證系系統(tǒng)的的安全全，它它對涉涉及系系統(tǒng)安安全的的操作作做一一個完完整的的記錄錄。審計為為系統(tǒng)統(tǒng)進(jìn)行行事故故原因因的查查詢、、定位位，事事故發(fā)發(fā)生前前的預(yù)預(yù)測、、報警警以及及事故故發(fā)生生之后后的實實時處處理提提供詳詳細(xì)、、可靠靠的依依據(jù)和和支持持，以以備有有違反反系統(tǒng)統(tǒng)安全全規(guī)則則的事事件發(fā)發(fā)生后后能夠夠有效效地追追查事事件發(fā)發(fā)生的的地點(diǎn)點(diǎn)和過過程以以及責(zé)責(zé)任人人。代表性性的安安全模模型安全模模型就就是對對安全全策略略所表表達(dá)的的安全全需求求的簡簡單、、抽象象和無無歧義義的描描述，，它為為安全全策略略和它它的實實現(xiàn)機(jī)機(jī)制之之間的的關(guān)聯(lián)聯(lián)提供供了一一種框框架。。安全模模型描描述了了對某某個安安全策策略需需要用用哪種種機(jī)制制來滿滿足；；而模模型的的實現(xiàn)現(xiàn)則描描述了了如何何把特特定的的機(jī)制制應(yīng)用用于系系統(tǒng)中中，從從而實實現(xiàn)某某一特特定安安全策策略所所需的的安全全保護(hù)護(hù)。安全模模型的的特點(diǎn)點(diǎn)能否成成功地地獲得得高安安全級級別的的系統(tǒng)統(tǒng)，取取決于于對安安全控控制機(jī)機(jī)制的的設(shè)計計和實實施投投入多多少精精力。。但是是如果果對系系統(tǒng)的的安全全需求求了解解的不不清楚楚，即即使運(yùn)運(yùn)用最最好的的軟件件技術(shù)術(shù)，投投入最最大的的精力力，也也很難難達(dá)到到安全全要求求的目目的。。安全全模型型的目目的就就在于于明確確地表表達(dá)這這些需需求，，為設(shè)設(shè)計開開發(fā)安安全系系統(tǒng)提提供方方針。。安全全模型型有以以下4個特特點(diǎn)點(diǎn)：：它是是精精確確的的、、無無歧歧義義的的；；它是是簡簡易易和和抽抽象象的的，，所所以以容容易易理理解解；；它是是一一般般性性的的：：只只涉涉及及安安全全性性質(zhì)質(zhì)，，而而不不過過度度地地牽牽扯扯系系統(tǒng)統(tǒng)的的功功能能或或其其實實現(xiàn)現(xiàn)；；它是是安安全全策策略略的的明明顯顯表表現(xiàn)現(xiàn)。。安全全模模型型一一般般分分為為兩兩種種：：形形式式化化的的安安全全模模型型和和非非形形式式化化的的安安全全模模型型。。非非形形式式化化安安全全模模型型僅僅模模擬擬系系統(tǒng)統(tǒng)的的安安全全功功能能；；形形式式化化安安全全模模型型則則使使用用數(shù)數(shù)學(xué)學(xué)模模型型，，精精確確地地描描述述安安全全性性及及其其在在系系統(tǒng)統(tǒng)中中使使用用的的情情況況。。主要要安安全全模模型型介介紹紹主要要介介紹紹具具有有代代表表性性的的:BLP機(jī)密密性性安安全全模模型型、、Biba完整整性性安安全全模模型型和和Clark-Wilson完整整性性安安全全模模型型、、信信息息流流模模型型、、RBAC安全模型型、DTE安全模型型和無干干擾安全全模型等等。1.Bell-LaPadula（BLP）模模型Bell-LaPadula模型（簡簡稱BLP模型）是是D.ElliottBell和LeonardJ.LaPadula于1973年提出的的一種適適用于軍軍事安全全策略的的計算機(jī)機(jī)操作系系統(tǒng)安全全模型，，它是最最早、也也是最常常用的一一種計算算機(jī)多級級安全模模型之一一。BLP模型是一一個狀態(tài)態(tài)機(jī)模型型，它形形式化地地定義了了系統(tǒng)、、系統(tǒng)狀狀態(tài)以及及系統(tǒng)狀狀態(tài)間的的轉(zhuǎn)換規(guī)規(guī)則；定定義了安安全概念念；制定定了一組組安全特特性，以以此對系系統(tǒng)狀態(tài)態(tài)和狀態(tài)態(tài)轉(zhuǎn)換規(guī)規(guī)則進(jìn)行行限制和和約束，，使得對對于一個個系統(tǒng)而而言，如如果它的的初始狀狀態(tài)是安安全的，，并且所所經(jīng)過的的一系列列規(guī)則轉(zhuǎn)轉(zhuǎn)換都保保持安全全，那么么可以證證明該系系統(tǒng)的終終了也是是安全的的。2.Biba模型BLP模型通過過防止非非授權(quán)信信息的擴(kuò)擴(kuò)散保證證系統(tǒng)的的安全，，但它不不能防止止非授權(quán)權(quán)修改系系統(tǒng)信息息。于是是Biba等人在1977年提出了了第一個個完整性性安全模模型——Biba模型，其其主要應(yīng)應(yīng)用是保保護(hù)信息息的完整整性，而而BLP模型是保保護(hù)信息息機(jī)密性性。Biba模型也是是基于主主體、客客體以及及它們的的級別的的概念的的。模型型中主體體和客體體的概念念與BLP模型相同同，對系系統(tǒng)中的的每個主主體和每每個客體體均分配配一個級級別，稱稱為完整整級別。。3.Clark-Wilson完完整性模模型在商務(wù)環(huán)環(huán)境中，，1987年DavidClark和DavidWilson所提出的的完整性性模型具具有里程程碑的意意義，它它是完整整意義上上的完整整性目標(biāo)標(biāo)、策略略和機(jī)制制的起源源，在他他們的論論文中，，為了體體現(xiàn)用戶戶完整性性，他們們提出了了職責(zé)隔隔離目標(biāo)標(biāo)；為了了保證數(shù)數(shù)據(jù)完整整性，他他們提出出了應(yīng)用用相關(guān)的的完整性性驗證進(jìn)進(jìn)程；為為了建立立過程完完整性，，他們定定義了對對于轉(zhuǎn)換換過程的的應(yīng)用相相關(guān)驗證證；為了了約束用用戶、進(jìn)進(jìn)程和數(shù)數(shù)據(jù)之間間的關(guān)聯(lián)聯(lián)，他們們使用了了一個三三元組結(jié)結(jié)構(gòu)。Clark-Wilson模型的核核心在于于以良構(gòu)構(gòu)事務(wù)(well-formaltransaction)為基礎(chǔ)來來實現(xiàn)在在商務(wù)環(huán)環(huán)境中所所需的完完整性策策略。良良構(gòu)事務(wù)務(wù)的概念念是指一一個用戶戶不能任任意操作作數(shù)據(jù)，，只能用用一種能能夠確保保數(shù)據(jù)完完整性的的受控方方式來操操作數(shù)據(jù)據(jù)。為了了確保數(shù)數(shù)據(jù)項(dataitems)僅僅只能能被良構(gòu)構(gòu)事務(wù)來來操作，，首先得得確認(rèn)一一個數(shù)據(jù)據(jù)項僅僅僅只能被被一組特特定的程程序來操操縱，而而且這些些程序都都能被驗驗證是經(jīng)經(jīng)過適當(dāng)當(dāng)構(gòu)造，，并且被被正確安安裝和修修改。4.信信息流模模型許多信息息泄露問問題（如如隱蔽通通道）并并非存取取控制機(jī)機(jī)制不完完善，而而是由于于缺乏對對信息流流的必要要保護(hù)。。例如遵遵守BLP模型的系系統(tǒng)，應(yīng)應(yīng)當(dāng)遵守守“下讀讀上寫””的規(guī)則則，即低低安全進(jìn)進(jìn)程程不不能讀高高安全級級文件，，高安全全級進(jìn)程程不能寫寫低安全全級文件件。然而在實實際系統(tǒng)統(tǒng)中，盡盡管不一一定能直直接為主主體所見見，許多多客體（（包括緩緩沖池、、定額變變量、全全程計數(shù)數(shù)器等等等）還是是可以被被所有不不同安全全級的主主體更改改和讀取取，這樣樣入侵者者就可能能利用這這些客體體間接地地傳遞信信息。要要建立高高級別的的安全操操作系統(tǒng)統(tǒng)，必須須在建立立完善的的存取控控制機(jī)制制的同時時，依據(jù)據(jù)適當(dāng)?shù)牡男畔⒘髁髂Ｐ蛯崒崿F(xiàn)對信信息流的的分析和和控制。。5.基基于角色色的訪問問控制模模型基于角色色的訪問問控制模模型（Role-BasedAccessControl，RBAC）提供了了一種強(qiáng)強(qiáng)制訪問問控制機(jī)機(jī)制。在在一個采采用RBAC作為授權(quán)權(quán)訪問控控制的系系統(tǒng)中，，根據(jù)公公司或組組織的業(yè)業(yè)務(wù)特征征或管理理需求，，一般要要求在系系統(tǒng)內(nèi)設(shè)設(shè)置若干干個稱之之為“角角色”的的客體，，用以支支撐RBAC授權(quán)存取取控制機(jī)機(jī)制的實實現(xiàn)。角色，就就是業(yè)務(wù)務(wù)系統(tǒng)中中的崗位位、職位位或者分分工。例例如在一一個公司司內(nèi)，財財會主管管、會計計、出納納、核算算員等每每一種崗崗位都可可以設(shè)置置多個職職員具體體從事該該崗位的的工作，，因此它它們都可可以視為為角色。。6.DTE模模型DTE模型最初初由Boebert和Kain提出，經(jīng)經(jīng)修改后后在LOCK系統(tǒng)中得得到實現(xiàn)現(xiàn)。與其其它訪問問控制機(jī)機(jī)制一樣樣，DTE將系統(tǒng)視視為一個個主動實實體（主主體）的的集合和和一個被被動實體體（客體體）的集集合。每每個主體體有一個個屬性───域，，每個客客體有一一個屬性性──類類型，這這樣所有有的主體體被劃分分到若干干個域中中，所有有的客體體被劃分分到若干干個類型型中。DTE再建立一一個表““域定義義表”(DomainDefinitionTable)，描述各各個域?qū)Σ煌愵愋涂腕w體的操作作權(quán)限。。同時建建立另一一張表““域交互互表”(DomainInteractionTable)，描述各各個域之之間的許許可訪問問模式（（如創(chuàng)建建、發(fā)信信號、切切換）。。系統(tǒng)運(yùn)運(yùn)行時，，依據(jù)訪訪問的主主體域和和客體類類型，查查找域定定義表，，決定是是否允許許訪問。。7.無無干擾模模型Goguen與Meseguer在1982年提出了一種種基于自動機(jī)機(jī)理論和域隔隔離的安全系系統(tǒng)事項方法法，這個方法法分為4個階段：（1）判定一給定定機(jī)構(gòu)的安全全需求；（2）用正式/形式化的安全全策略表示這這些需求；（3）把機(jī)構(gòu)正在在（或?qū)⒁┦褂玫南到y(tǒng)統(tǒng)模型化；（4）驗證此模型型滿足策略的的需求。Goguen與Meseguer把安全策略與與安全模型明明確地區(qū)分開開來。一般來來說安全策略略是非常簡單單的，而且很很容易用適當(dāng)當(dāng)?shù)男问交椒椒ū硎境鰜韥怼Ｋ麄兲岢龀隽艘环N非常常簡單的用來來表達(dá)安全策策略的需求語語言，該語言言是基于無干干擾概念的.操作系統(tǒng)安全全體系結(jié)構(gòu)建立一個計算算機(jī)系統(tǒng)往往往需要滿足許許多要求，如如安全性要求求，性能要求求，可擴(kuò)展性性要求，容量量要求，使用用的方便性要要求和成本要要求等，這些些要求往往是是有沖突的，，為了把它們們協(xié)調(diào)地納入入到一個系統(tǒng)統(tǒng)中并有效實實現(xiàn)，對所有有的要求都予予以最大可能能滿足通常是是很困難的，，有時也是不不可能的。因此系統(tǒng)對各各種要求的滿滿足程度必須須在各種要求求之間進(jìn)行全全局性地折衷衷考慮，并通通過恰當(dāng)?shù)膶崒崿F(xiàn)方式表達(dá)達(dá)出這些考慮慮，使系統(tǒng)在在實現(xiàn)時各項項要求有輕重重之分，這就就是體系結(jié)構(gòu)構(gòu)要完成的主主要任務(wù)。安全體系結(jié)構(gòu)構(gòu)的含義一個計算機(jī)系系統(tǒng)（特別是是安全操作系系統(tǒng)）的安全全體系結(jié)構(gòu)，，主要包含如如下4方面的內(nèi)容：：1.詳細(xì)描述系統(tǒng)統(tǒng)中安全相關(guān)關(guān)的所有方面面。這包括系系統(tǒng)可能提供供的所有安全全服務(wù)及保護(hù)護(hù)系統(tǒng)自身安安全的所有安安全措施，描描述方式可以以用自然語言言，也可以用用形式語言。。2.在一定的抽象象層次上描述述各個安全相相關(guān)模塊之間間的關(guān)系。這這可以用邏輯輯框圖來表達(dá)達(dá)，主要用以以在抽象層次次上按滿足安安全需求的方方式來描述系系統(tǒng)關(guān)鍵元素素之間的關(guān)系系。3.提出指導(dǎo)設(shè)計計的基本原理理。根據(jù)系統(tǒng)統(tǒng)設(shè)計的要求求及工程設(shè)計計的理論和方方法，明確系系統(tǒng)設(shè)計的各各方面的基本本原則。4.提出開發(fā)過程程的基本框架架及對應(yīng)于該該框架體系的的層次結(jié)構(gòu)。。它描述確保保系統(tǒng)忠實于于安全需求的的整個開發(fā)過過程的所有方方面。為達(dá)到到此目的，安安全體系總是是按一定的層層次結(jié)構(gòu)進(jìn)行行描述安全體系結(jié)構(gòu)構(gòu)的類型在美國國防部部的“目標(biāo)安安全體系”中中，把安全體體系劃分為四四種類型：1.抽象體系(AbstractArchitecture)。抽象體系從從描述需求開開始，定義執(zhí)執(zhí)行這些需求求的功能函數(shù)數(shù)。之后定義義指導(dǎo)如何選選用這些功能能函數(shù)及如何何把這些功能能有機(jī)組織成成為一個整體體的原理及相相關(guān)的基本概概念。2.通用體系(GenericArchitecture)。通用體系的的開發(fā)是基于于抽象體系的的決策來進(jìn)行行的。它定義義了系統(tǒng)分量量的通用類型型(generaltype)及使用相關(guān)關(guān)行業(yè)標(biāo)準(zhǔn)準(zhǔn)的情況，，它也明確確規(guī)定系統(tǒng)統(tǒng)應(yīng)用中必必要的指導(dǎo)導(dǎo)原則。通通用安全體體系是在已已有的安全全功能和相相關(guān)安全服服務(wù)配置的的基礎(chǔ)上，，定義系統(tǒng)統(tǒng)分量類型型及可得到到的實現(xiàn)這這些安全功功能的有關(guān)關(guān)安全機(jī)制制。3.邏輯體系(LogicalArchitecture)。邏輯體系系就是滿足足某個假設(shè)設(shè)的需求集集合的一個個設(shè)計，它它顯示了把把一個通用用體系應(yīng)用用于具體環(huán)環(huán)境時的基基本情況。。邏輯體系系與下面將將描述的特特殊體系的的僅有的不不同之處在在于：特殊殊體系是使使用系統(tǒng)的的實際體系系，而邏輯輯體系是假假想的體系系，是為理理解或者其其它目的而而提出的。。4.特殊體系(SpecificArchitecture)。特殊安全全體系要表表達(dá)系統(tǒng)分分量、接口口、標(biāo)準(zhǔn)、、性能和開開銷，它表表明如何把把所有被選選擇的信息息安全分量量和機(jī)制結(jié)結(jié)合起來以以滿足我們們正在考慮慮的特殊系系統(tǒng)的安全全需求。這這里信息安安全分量和和機(jī)制包括括基本原則則及支持安安全管理的的分量等。。Flask安全體系系結(jié)構(gòu)Flask體系結(jié)構(gòu)使使策略可變變通性的實實現(xiàn)成為可可能。通過過對Flask體系的微內(nèi)內(nèi)核操作系系統(tǒng)的原型型實現(xiàn)表明明，它成功功的克服了了策略可變變通性帶來來的障礙。。這種安全全結(jié)構(gòu)中機(jī)機(jī)制和策略略的清晰區(qū)區(qū)分，使得得系統(tǒng)可以以使用比以以前更少的的策略來支支持更多的的安全策略略集合。Flask包括一個安安全策略服服務(wù)器來制制定訪問控控制決策，，一個微內(nèi)內(nèi)核和系統(tǒng)統(tǒng)其他客體體管理器框框架來執(zhí)行行訪問控制制決策。雖雖然原型系系統(tǒng)是基于于微內(nèi)核的的，但是安安全機(jī)制并并不依賴微微內(nèi)核結(jié)構(gòu)構(gòu)，意味著著這個安全全機(jī)制在非非內(nèi)核的情情況下也能能很容易的的實現(xiàn)。Flask原型由一個個基于微內(nèi)內(nèi)核的操作作系統(tǒng)來實實現(xiàn)，支持持硬件強(qiáng)行行對進(jìn)程地地址空間的的分離。但但也有一些些最近的努努力已經(jīng)展展示了軟件件強(qiáng)行進(jìn)程程分離的效效果。對Flask結(jié)構(gòu)而言，，這種區(qū)別別是基本不不相關(guān)的。。它認(rèn)為所所提供的進(jìn)進(jìn)程分離的的形式才是是主要的，，但Flask結(jié)構(gòu)并沒有有強(qiáng)制要某某一種機(jī)制制。Flask結(jié)構(gòu)為達(dá)到到其他系統(tǒng)統(tǒng)常見的可可適應(yīng)性，，將通過采采用DTOS結(jié)構(gòu)在SPIN中的安全框框架具體證證明。進(jìn)一一步來講，，F(xiàn)lask結(jié)構(gòu)也可以以適用于除除操作系統(tǒng)統(tǒng)之外的其其它軟件，，例如中間間件或分布布式系統(tǒng)，