網(wǎng)絡(luò)攻擊與防范系統(tǒng)安全

安全操作系統(tǒng)一、引言二、安全基礎(chǔ)知識簡介三、安全操作系統(tǒng)發(fā)展史四、安全操作系統(tǒng)的設(shè)計與開發(fā)五、安全評估準(zhǔn)則的研究(TCSEC&CC)六、安全操作系統(tǒng)舉例一、引言操作系統(tǒng)是應(yīng)用軟件同系統(tǒng)硬件的接口，其目標(biāo)是高效地、最大限度地、合理地使用計算機資源。在信息系統(tǒng)安全涉及的眾多內(nèi)容中,操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)與數(shù)據(jù)庫管理系統(tǒng)的安全問題是核心,沒有系統(tǒng)的安全就沒有信息的安全。作為系統(tǒng)軟件中最基礎(chǔ)部分的操作系統(tǒng),

其安全問題的解決又是關(guān)鍵中之關(guān)鍵。若沒有安全操作系統(tǒng)的支持，數(shù)據(jù)庫就不可能具有存取控制的安全可信性，就不可能有網(wǎng)絡(luò)系統(tǒng)的安全性，也不可能有應(yīng)用軟件信息處理的安全性。因此，安全操作系統(tǒng)是整個信息系統(tǒng)安全的基礎(chǔ)。操作系統(tǒng)面臨的安全威脅保密性威脅完整性威脅可用性威脅操作系統(tǒng)安全的主要目標(biāo)按系統(tǒng)安全策略對用戶的操作進(jìn)行訪問控制，防止用戶對計算機資源的非法使用包括竊取、篡改和破壞標(biāo)識系統(tǒng)中的用戶，并對身份進(jìn)行鑒別監(jiān)督系統(tǒng)運行的安全性保證系統(tǒng)自身的安全性和完整性從安全的角度上看，操作系統(tǒng)應(yīng)當(dāng)提供哪些安全服務(wù)？內(nèi)存保護(hù)文件保護(hù)普通實體保護(hù)存取鑒別等主體審計數(shù)據(jù)庫引用監(jiān)視器客體訪問控制數(shù)據(jù)庫—安全策略從六十年代，美國就開始了對安全操作系統(tǒng)體系結(jié)構(gòu)的研究。提出一些安全模型。最為著名的是應(yīng)用監(jiān)視器（ReferenceMonitor）模型。應(yīng)用監(jiān)視器模型主體：主體是主動的實體，是系統(tǒng)內(nèi)行為的發(fā)起者，通常它是用戶和代表用戶的進(jìn)程。系統(tǒng)的合法用戶可分成：普通用戶(進(jìn)程)，信息屬主(進(jìn)程)，系統(tǒng)管理員(進(jìn)程)，客體：是一個被動的實體，是系統(tǒng)內(nèi)所有主體行為的直接承擔(dān)者，它常被分成：1)一般客體，系統(tǒng)內(nèi)以具體形式存在的信息實體，如文件、目錄、數(shù)據(jù)和程序等。2)設(shè)備客體，指系統(tǒng)內(nèi)的硬件設(shè)備，如磁盤、磁帶、顯示器、打印機、網(wǎng)絡(luò)節(jié)點等。3)特殊客體，有時一些進(jìn)程是另外一些進(jìn)程行為的承擔(dān)者，那么，這類進(jìn)程也是客體的一部分。主體屬性它是用戶特征，是系統(tǒng)用來決定訪問控制的常用因素，一個用戶的任何一種屬性都可作為訪問控制決策點，一般系統(tǒng)訪問控制策略中常用的用戶屬性有：a)用戶ID/用戶組ID：b)用戶訪問許可級別：c)用戶需知屬性：d)角色：e)權(quán)能列表：客體屬性與系統(tǒng)內(nèi)客體相關(guān)聯(lián)的屬性也作為訪問控制策略的一部分，客體安全屬性有：系統(tǒng)內(nèi)信息的敏感性標(biāo)記由等級與非等級兩部分組成：敏感性級別和范疇。

敏感性標(biāo)記：信息按“安全等級”進(jìn)行分類，如“公開信息”、“機密信息”、“秘密信息”、“絕密信息”；信息按非等級分類，進(jìn)行模擬人力資源系統(tǒng)的劃分，稱“范疇”，如參謀部、作戰(zhàn)部、后勤部等，訪問控制列表與客體相關(guān)聯(lián)的有一個“訪問控制列表”，用來指定系統(tǒng)中哪些用戶和用戶組可以以何種模式訪問該客體的一種列表。

用戶與主體綁定用戶進(jìn)程是固定為某特定用戶服務(wù)的，它在運行中代表該用戶對客體資源進(jìn)行訪問，其權(quán)限應(yīng)與所代表的用戶相同，這一點可通過用戶與主體綁定實現(xiàn)。系統(tǒng)進(jìn)程是動態(tài)地為所有用戶提供服務(wù)的，它的權(quán)限隨著服實對象的變化而改變，這需要將用戶的權(quán)限與為其服務(wù)的進(jìn)程的權(quán)限動態(tài)地相關(guān)聯(lián)。這也就是說，一個進(jìn)程在不同時刻對一個客體有不同的訪問權(quán)限，取決于它當(dāng)時所執(zhí)行的任務(wù)。當(dāng)進(jìn)程在執(zhí)行正常的用戶態(tài)應(yīng)用程序時(用戶進(jìn)程)，它所擁有的權(quán)限與其代表的用戶有關(guān)；當(dāng)進(jìn)程進(jìn)行系統(tǒng)調(diào)用時，它開始執(zhí)行內(nèi)核函數(shù)(系統(tǒng)進(jìn)程)，此時運行在核心態(tài)，擁有操作系統(tǒng)權(quán)限。安全策略：：(1)軍事安全策策略主主要目的是是提供機密密性。(2)商業(yè)安全策策略主主要目的是是提供完整整性。二、安全基基礎(chǔ)安全模型用用來描述系系統(tǒng)和用戶戶的安全特特性，是對對安全策略略所表達(dá)的的安全需求求簡單、抽抽象、無歧歧義的描述述，在安全全策略與安安全機制的的關(guān)聯(lián)之間間提供一種種框架。安全模型分分為：形式式化和非形形式化兩種種，非形式式化安全模模型僅模擬擬系統(tǒng)的安安全功能，，其開發(fā)過過程為：從從安全需求求出發(fā)，推推出功能規(guī)規(guī)范，再實實現(xiàn)安全系系統(tǒng)，其間間主要采用用了論證與與測試技術(shù)術(shù)；而形式式化安全模模型使用數(shù)數(shù)學(xué)模型來來精確地描描述安全性性及其在系系統(tǒng)中使用用的情況，，其開發(fā)途途徑為：建建立抽象模模型，推出出形式化規(guī)規(guī)范，通過過證明方法法來實現(xiàn)安安全系統(tǒng)。。安全模型的的討論從70年代開始，，基本思路路是從系統(tǒng)統(tǒng)的安全要要求的規(guī)格格或功能說說明入手。。這一努力力在國際計計算機系統(tǒng)統(tǒng)安全界一一直持續(xù)著著。一個好好的安全模模型應(yīng)該提提供語義豐豐富的表達(dá)達(dá)能力，以以描述所討討論的系統(tǒng)統(tǒng)在功能上上和結(jié)構(gòu)上上的特性。。(1)訪問控制矩矩陣模型Harrison、Russo和Ullman于1976年提出的DAC模型，也稱稱HRU模型MichaelA.Harrison,WalterL.Ruzzo,JeffreyD.Ullman:ProtectioninOperatingSystems.Commun.ACM19(8):461-471(1976)訪問控制矩矩陣O1O2S1readread、writeS2read、write—訪問主體訪問客體訪問控制矩矩陣AA[S2,O1]=“read，write”－S2具有對O1的讀和寫權(quán)限權(quán)限類型由由DBMS定義訪問控制矩矩陣系統(tǒng)狀態(tài)表表示Q＝（S，O，A）S：主體集合合O：客體集合合A：訪問控制制矩陣(2)自主訪問控控制自主訪問控控制DAC（discretionaryaccesscontrol）是目前計計算機系統(tǒng)統(tǒng)中實現(xiàn)最最多的訪問問控制機制制。DAC是在確認(rèn)主主體身份及及所屬組的的基礎(chǔ)上，，根據(jù)訪問問者的身份份和授權(quán)來來決定訪問問模式，對對訪問進(jìn)行行限定的一一種控制策策略。所謂自主，，是指具有有授予某種種訪問權(quán)力力的主體（（用戶）能能夠自己決決定是否將將訪問控制制權(quán)限的某某個子集授授予其他的的主體或從從其他主體體那里收回回他所授予予的訪問權(quán)權(quán)限。其基本思想想是：允許許某個主體體顯式地指指定其他主主體對該主主體所擁有有的信息資資源是否可可以訪問以以及可執(zhí)行行的訪問類類型。DAC將訪問規(guī)則則存儲在訪訪問控制矩矩陣。Take-Grant模型1976年，Jonesetal.系統(tǒng)狀態(tài)描描述為一個個三元組(S,O,G)S：主體集合合O：客體集合合G：描述系統(tǒng)統(tǒng)授權(quán)狀態(tài)態(tài)的有向圖圖基本符號主體客體主體或客體體訪問模式rABreadwABwrite主體或客體體A可以從客體B中讀信息主體或客體體A可以向客體B中寫信息訪問模式tABtakegABgrant主體A可以從主體體或客體B中獲取其擁擁有的對其其他主體或或客體的權(quán)權(quán)限主體A可以把其擁擁有的對其其他主體或或客體的權(quán)權(quán)限賦予B操作take(d,s,x,y):主體s從主體或客客體x中取得其對對主體或客客體y的d權(quán)限s必須具有對對x的take權(quán)限x必須具有對對y的d權(quán)限操作tsxydtsxydtake(d,s,x,y)d操作grant(s,d,x,y)：將主體s對主體或客客體y的d權(quán)限授予xS必須具有對x的grant權(quán)限S必須具有對y的d權(quán)限操作gsxygsxydgrant(d,s,x,y)ddDAC的優(yōu)缺點DAC的優(yōu)點是其自自主性為用戶戶提供了極大大的靈活性，，從而使之適適合于許多系系統(tǒng)和應(yīng)用。。由于這種自主主性，在DAC中，信息總是是可以從一個個實體流向另另一個實體，，即使對于高高度機密的信信息也是如此此，因此自主主訪問控制的的安全級別較較低。另外，，由于同一用用戶對不同的的客體有不同同的存取權(quán)限限，不同的用用戶對同一客客體有不同的的存取權(quán)限，，用戶、權(quán)限限、客體間的的授權(quán)管理復(fù)復(fù)雜。DAC的局限性首先，DAC將賦予或取消消訪問權(quán)限的的一部分權(quán)力力留給用戶個個人，管理員員難以確定哪哪些用戶對那那些資源有訪訪問權(quán)限，不不利于實現(xiàn)統(tǒng)統(tǒng)一的全局訪訪問控制。其次，在許多多組織中，用用戶對他所能能訪問的資源源并不具有所所有權(quán)，組織織本身才是系系統(tǒng)中資源的的真正所有者者。而且，各組織織一般希望訪訪問控制與授授權(quán)機制的實實現(xiàn)結(jié)果能與與組織內(nèi)部的的規(guī)章制度相相一致，并且且由管理部門門統(tǒng)一實施訪訪問控制，不不允許用戶自自主地處理。。顯然DAC已不能適應(yīng)這這些需求。(3)強制訪問控制制強制訪問控制制MAC（mandatoryaccesscontrol）依據(jù)主體和客客體的安全級級別來決定主主體是否有對對客體的訪問問權(quán)。最典型的例子子是BellandLaPadula提出的BLP模型。BLP模型以軍事部部門的安全控控制作為其現(xiàn)現(xiàn)實基礎(chǔ)，恰恰當(dāng)?shù)伢w現(xiàn)了了軍事部門的的安全策略，，然后用到計計算機的安全全設(shè)計中去。。它側(cè)重于信信息的保密性性。BLP模型已經(jīng)成為為許多系統(tǒng)或或原型的實現(xiàn)現(xiàn)的理論基礎(chǔ)礎(chǔ)。安全級別L=(C,S)C：Classification，密級一個安全層次次分類，表示示了主體(客體)的保密性要求求四級：絕密TS(TopSecret)>機密S(Secret)>保密C(Confidential)>普通U(Unclassified)S：Setofcategories，范圍依照某種特征征將系統(tǒng)資源源劃分成若干干類別的集合合，依賴于具具體應(yīng)用和組組織環(huán)境例如：在學(xué)校中，范范圍可以是教教師，學(xué)生，，后勤等在軍隊里，范范圍可以是司司令部，作戰(zhàn)戰(zhàn)部等安全級別(SecurityLevel)主體的安全級級別代表了主主體的可信度度，客體的安安全級別代表表了客體的敏敏感度支配(Dominance)給定兩個安全全級別L1=(C1,S1)和L2=(C2,S2)，若C1>=C2,S1S2,稱L1支配L2BLP的基本安全訪訪問策略TSSCUInformationFlowDominancesecuritylevelsBLP的基本安全訪訪問策略簡單安全特性性(simplesecurityproperty)只有當(dāng)主體的的安全級別支支配客體的安安全級別時，，主體才能讀讀客體，即““下讀”星號特性(starproperty)只有當(dāng)客體的的安全級別支支配主體的安安全級別時，，主體才能向向客體中寫數(shù)數(shù)據(jù)，即“上上寫”不上讀不下寫B(tài)LP的基本安全訪訪問策略允許讀取絕密秘密允許寫入絕密秘密“下讀上寫”的的策略有效的的防止了操作作系統(tǒng)中的所所有數(shù)據(jù)從高高安全級流向向低安全級，，從而保證了了敏感數(shù)據(jù)不不外泄。(4)RBAC模型基于角色的訪訪問控制模型型（Role-basedAccessModel）流行的訪問控控制模型操作系統(tǒng)：Windows，Solaris等基本思想：將將訪問許可權(quán)權(quán)分配給一定定的角色，用用戶通過飾演演不同的角色色獲得角色所所擁有的訪問問許可權(quán)RBAC與傳統(tǒng)訪問控控制的差別在在于在用戶和和訪問許可權(quán)權(quán)之間引入了了角色這一層層主流模型RBAC96(Sandhuetal.1996)：分層的RBAC基本模型RBAC0:含有RBAC核心部分RBAC1:包含RBAC0，增加了角色色繼承關(guān)系(RH)RBAC2:包含RBAC0，增加了角色色之間的約束束(Constraints)RBAC3:包含所有層次次內(nèi)容，同時時提供繼承和和約束，是一一個完整模型型CoreRBAC5個靜態(tài)集合用戶集（users）系統(tǒng)中可執(zhí)行行操作的用戶戶集合對象集（objects）系統(tǒng)中需要保保護(hù)的信息操作集（operators）定義在對象上上的一組操作作權(quán)限集（permissions）不可分割的一一組操作的執(zhí)執(zhí)行權(quán)限，是是權(quán)限分配的的最小單元角色集（roles）包含一組用戶戶和一個特權(quán)權(quán)集，指定了了用戶以及用用戶擁有的特特權(quán)1個動態(tài)集合會話集（sessions）用戶每次通過過建立會話來來激活角色，，得到相應(yīng)的的訪問權(quán)限CoreRBAC操作用戶分配（UA）：UAUSERS×ROLESUA是用戶集到角色色集的多對多多關(guān)系，記錄了用戶戶所擁有的角角色。把用戶戶u分配給角色r表示為UA＝UA∪(u,r)權(quán)限分配（PA）：PAPERMISSIONS×ROLESPA是特權(quán)集到角角色集的多對對多關(guān)系，記記錄了角色所所分配的特權(quán)權(quán)。把權(quán)限p分配給角色r表示為PA＝PA∪(p,r)CoreRBAC操作用戶登陸：user_sessionsUSERS×SESSIONS記錄了用戶所所擁有的會話話。一個用戶戶可以同時擁擁有多個會話話激活和去活(deactivate)角色session_rolesSESSIONS××ROLES用戶在會話中中可以激活某某個角色，或或者去活某個個角色。激活活的前提是用用戶擁有該角角色并且未在在當(dāng)前會話中中激活。一旦旦激活某角色色，用戶就擁擁有了該角色色的所有特權(quán)權(quán)。CoreRBACUSERSOPSROLESOBSPERMSUAPASESSIONSuser_sessionssession_roles三、國國外安安全操操作系系統(tǒng)的的發(fā)展展1965年美國國貝爾爾實驗驗室和和麻省省理工工學(xué)院院的MAC課題組組等一一起聯(lián)聯(lián)合開開發(fā)一一個稱稱為Multics的新操操作系系統(tǒng)，，是是開發(fā)發(fā)安全全操作作系統(tǒng)統(tǒng)最早早期的的嘗試試，貝貝爾實實驗室室中后后來參參加UNIX早期研研究的的許多多人當(dāng)當(dāng)時都都參加加了Multics的開發(fā)發(fā)工作作。由于Multics項目目目標(biāo)的的理想想性和和開發(fā)發(fā)中所所遇到到的遠(yuǎn)遠(yuǎn)超預(yù)預(yù)期的的復(fù)雜雜性Multics未能成成功，，但它它為后后來的的安全全操作作系統(tǒng)統(tǒng)研究究積累累了大大量的的經(jīng)驗驗。國外安安全操操作系系統(tǒng)的的發(fā)展展1969年C.Weissman發(fā)表了了有關(guān)關(guān)Adept-50的安全全控制制的研研究成成果。。安全全Adept-50運行于于IBM/360硬件平平臺，，其將將高水水印模模型（（High-Water-MarkModel）作為為安全全基礎(chǔ)礎(chǔ)，實實現(xiàn)了了美國國的一一個軍軍事安安全系系統(tǒng)模模型。。在該該系統(tǒng)統(tǒng)中可可以為為客體體標(biāo)上上敏感感級別別（SensitivityLevel）屬性性。系系統(tǒng)支支持的的基本本安全全條件件是，，對于于讀操操作不不允許許信息息的敏敏感級級別高高于用用戶的的安全全級別別；在在授權(quán)權(quán)情況況下，，對于于寫操操作允允許信信息從從高敏敏感級級別移移向低低敏感感級別別。國外安安全操操作系系統(tǒng)的的發(fā)展展1969年B.W.Lampson通過形形式化化表示示方法法運用用主體體（Subject）、客客體（（Object）和訪訪問矩矩陣（（AccessMatrix）的思思想第第一次次對訪訪問控控制問問題進(jìn)進(jìn)行了了抽象象。1972年，J.P.Anderson在一份份研究究報告告中提提出了了訪問問監(jiān)控控器（（ReferenceMonitor）、引引用驗驗證機機制（（ReferenceValidationMechanism）、安安全內(nèi)內(nèi)核（（SecurityKernel）和安安全建建模等等重要要思想想。J.P.Anderson指出，，要開開發(fā)安安全系系統(tǒng)，，首先先必須須建立立系統(tǒng)統(tǒng)的安安全模模型，，完成成安全全系統(tǒng)統(tǒng)的建建模之之后，，再進(jìn)進(jìn)行安安全內(nèi)內(nèi)核的的設(shè)計計與實實現(xiàn)。。國外安安全操操作系系統(tǒng)的的發(fā)展展1973年，D.E.Bell和L.J.LaPadula提出了了第一一個可可證明明的安安全系系統(tǒng)的的數(shù)學(xué)學(xué)模型型，即即BLP模型。。1976年Bell和LaPadula完成的的研究究報告告給出出了BLP模型的的最完完整表表述，，其中中包含含模型型的形形式化化描述述和非非形式式化說說明，，以及及模型型在Multics系統(tǒng)中中實現(xiàn)現(xiàn)的解解釋。。1975年開發(fā)發(fā)PSOS（ProvablySecureOperatingSystem）提供供了一一個層層次結(jié)結(jié)構(gòu)化化的基基于權(quán)權(quán)能的的安全全操作作系統(tǒng)統(tǒng)設(shè)計計，通通過形形式化化技術(shù)術(shù)實現(xiàn)現(xiàn)對安安全操操作系系統(tǒng)的的描述述和驗驗證，，設(shè)計計中的的每一一個層層次管管理一一個特特定類類型的的對象象，系系統(tǒng)中中的每每一個個對象象通過過該對對象的的權(quán)能能表示示進(jìn)行行訪問問。1977年發(fā)起起的KSOS（KernelizedSecureoperatingSystem）是美美國國國防部部研究究計劃劃局的的一個個安全全操作作系統(tǒng)統(tǒng)研制制項目目，由由Ford太空通通訊公公司承承擔(dān)。。KSOS采用了了形式式化說說明與與驗證證的方方法，，目標(biāo)標(biāo)是高高安全全可信信性。。國外安安全操操作系系統(tǒng)的的發(fā)展展1984年開發(fā)發(fā)LINVSⅣⅣ是的基基于UNIX的一個個實驗驗安全全操作作系統(tǒng)統(tǒng)，系系統(tǒng)的的安全全性可可達(dá)到到美國國國防防部橘橘皮書書的B2級。它它以4.1BSDUnix為原型型，實實現(xiàn)了了身份份鑒別別、自自主訪訪問控控制、、強制制訪問問控制制、安安全審審計、、特權(quán)權(quán)用戶戶權(quán)限限分隔隔等安安全功功能。。1986年SecureXenix是IBM公司在在SCOXenix的基礎(chǔ)礎(chǔ)上開開發(fā)的的一個個安全全操作作系統(tǒng)統(tǒng)，其其對Xenix進(jìn)行了了大量量的改改造開開發(fā)，，并采采用了了一些些形式式化說說明與與驗證證技術(shù)術(shù)。它它的目目標(biāo)是是TCSEC的B2到A1級。IBM公司的的V.D.Gligor等在發(fā)發(fā)表SecureXenix系統(tǒng)的的設(shè)計計與開開發(fā)成成果中中，把把Unix類的安安全操操作系系統(tǒng)開開發(fā)方方法劃劃分成成仿真真法和和改造造/增強法法兩種種方式式。SecureXenix系統(tǒng)采采用的的是改改造/增強法法。另另外，，其在在在安安全保保證方方面重重點考考慮了了3個目標(biāo)標(biāo)：⑴⑴系統(tǒng)統(tǒng)設(shè)計計與BLP模型之之間的的一致致性；；⑵實實現(xiàn)的的安全全功能能的測測試；；⑶軟軟件配配置管管理工工具的的開發(fā)發(fā)。國外安安全操操作系系統(tǒng)的的發(fā)展展1987年，美美國TrustedInformationSystems公司以以Mach操作系系統(tǒng)為為基礎(chǔ)礎(chǔ)開發(fā)發(fā)了B3級的Tmach（TrustedMach）操作作系統(tǒng)統(tǒng)。除除了進(jìn)進(jìn)行用用戶標(biāo)標(biāo)識和和鑒別別及命命名客客體的的存取取控制制外，，它將將BLP模型加加以改改進(jìn)，，運用用到對對MACH核心的的端口口、存存儲對對象等等的管管理當(dāng)當(dāng)中。。1989年，，加加拿拿大大多多倫倫多多大大學(xué)學(xué)開開發(fā)發(fā)了了與與UNIX兼容容的的安安全全TUNIS操作作系系統(tǒng)統(tǒng)。。在在實實現(xiàn)現(xiàn)中中安安全全TUNIS改進(jìn)進(jìn)了了BLP模型型,并用用TuringPlus語言言（（而而不不是是C）重重新新實實現(xiàn)現(xiàn)了了Unix內(nèi)核核。。TuringPlus是一一種種強強類類型型高高級級語語言言，，其其大大部部分分語語句句都都具具有有用用于于正正確確性性證證明明的的形形式式語語義義。。在在發(fā)發(fā)表表安安全全TUNIS設(shè)計計開開發(fā)發(fā)成成果果中中，，Gernier等指指出出，，如如果果不不進(jìn)進(jìn)行行系系統(tǒng)統(tǒng)的的重重新新設(shè)設(shè)計計，，以以傳傳統(tǒng)統(tǒng)Unix系統(tǒng)統(tǒng)為為原原型型，，很很難難開開發(fā)發(fā)出出高高于于TCSEC標(biāo)準(zhǔn)準(zhǔn)的的B2級安安全全操操作作系系統(tǒng)統(tǒng)。。安安全全TUNIS系統(tǒng)統(tǒng)的的設(shè)設(shè)計計目目標(biāo)標(biāo)是是B3-A1級國外外安安全全操操作作系系統(tǒng)統(tǒng)的的發(fā)發(fā)展展1990年發(fā)發(fā)布布完完成成的的ASOS（ArmySecureOperatingSystem）是是針針對對美美軍軍的的戰(zhàn)戰(zhàn)術(shù)術(shù)需需要要而而設(shè)設(shè)計計的的軍軍用用安安全全操操作作系系統(tǒng)統(tǒng)，，由由TRW公司司。。ASOS由兩兩類類系系統(tǒng)統(tǒng)組組成成，，其其中中一一類類是是多多級級安安全全操操作作系系統(tǒng)統(tǒng)，，設(shè)設(shè)計計目目標(biāo)標(biāo)是是TCSEC的A1級；；另另一一類類是是專專用用安安全全操操作作系系統(tǒng)統(tǒng)，，設(shè)設(shè)計計目目標(biāo)標(biāo)是是TCSEC的C2級。。兩兩類類系系統(tǒng)統(tǒng)都都支支持持Ada語言言編編寫寫的的實實時時戰(zhàn)戰(zhàn)術(shù)術(shù)應(yīng)應(yīng)用用程程序序，，都都能能根根據(jù)據(jù)不不同同的的戰(zhàn)戰(zhàn)術(shù)術(shù)應(yīng)應(yīng)用用需需求求進(jìn)進(jìn)行行配配置置。。從從具具體體實實現(xiàn)現(xiàn)上上來來看看，，ASOS操作作系系統(tǒng)統(tǒng)還還具具有有4個主主要要特特點點：：⑴⑴ASOS采用用訪訪問問控控制制列列表表實實現(xiàn)現(xiàn)了了細(xì)細(xì)粒粒度度的的自自主主訪訪問問控控制制；；（（2）SOS依據(jù)據(jù)BLP模型型實實現(xiàn)現(xiàn)了了防防止止信信息息泄泄露露的的強強制制訪訪問問控控制制，，依依據(jù)據(jù)Biba模型實現(xiàn)現(xiàn)了確保保數(shù)據(jù)完完整性的的強制訪訪問控制制；（3）ASOS在形式化化驗證中中建立了了兩個層層次的規(guī)規(guī)范和證證明，一一個層次次用于抽抽象的安安全模型型，另一一個層次次用于形形式化頂頂層規(guī)范范；（4）用于證證明系統(tǒng)統(tǒng)安全性性的主要要工具是是Gypsy驗證環(huán)境境（GVE），用于于分析系系統(tǒng)設(shè)計計中潛在在的隱蔽蔽通道。。國外安全全操作系系統(tǒng)的發(fā)發(fā)展1990年推出的的OSF/1是開放軟軟件基金金會開發(fā)發(fā)的一個個安全操操作系統(tǒng)統(tǒng)，被美美國國家家計算機機安全中中心（NCSC）認(rèn)可為為符合TCSEC的B1級，其主主要安全全性表現(xiàn)現(xiàn)4個方面：：⑴系統(tǒng)統(tǒng)標(biāo)識；；⑵口令令管理；；⑶強制制存取控控制和自自主存取取控制；；⑷審計計。1991年推出的的UNIXSVR4.1ES是UI（UNIX國際組織織）于一一個安全全操作系系統(tǒng)，被被美國國國家計算算機安全全中心（（NCSC）認(rèn)可為為符合TCSEC的B2級，除OSF/1外的安全全性外，，主要表表現(xiàn)在4個方面：：⑴更全全面的存存取控制制；⑵最最小特權(quán)權(quán)管理；；⑶可信信通路；；⑷隱蔽蔽通道分分析和處處理。國外安全全操作系系統(tǒng)的發(fā)發(fā)展在1992到1993年之間，，美國國國家安全全局（NSA）和安全全計算公公司（SCC）的研究究人員在在TMach項目和LOCK項目的基基礎(chǔ)上，，共同設(shè)設(shè)計和實實現(xiàn)了分分布式可可信Mach系統(tǒng)（DistributedTrustedMach，DTMach）。DTMach項目的后后繼項目目是分布布式可信信操作系系統(tǒng)（DistributedTrustedOperatingSystem，DTOS）。DTOS項目改良良了早期期的設(shè)計計和實現(xiàn)現(xiàn)工作，，產(chǎn)生了了一些供供大學(xué)研研究的原原型系統(tǒng)統(tǒng)，例如如SecureTransactionalResources、DX等。此外外DTOS項目產(chǎn)生生了一些些學(xué)術(shù)報報告、系系統(tǒng)形式式化的需需求說明明書、安安全策略略和特性性的分析析、組合合技術(shù)的的研究和和對多種種微內(nèi)核核系統(tǒng)安安全和保保證的研研究。當(dāng)當(dāng)DTOS項目快要要完成的的時候，，NSA、SCC和猶他州州大學(xué)的的Flux項目組聯(lián)聯(lián)合將DTOS安全結(jié)構(gòu)構(gòu)移植到到Fluke操作系統(tǒng)統(tǒng)研究中中去。在在將結(jié)構(gòu)構(gòu)移植到到Fluke的過程中中，他們們改良了了結(jié)構(gòu)以以更好地地支持動動態(tài)安全全策略。。這個改改良后的的結(jié)構(gòu)就就叫Flask。國外安全全操作系系統(tǒng)的發(fā)發(fā)展2001年，F(xiàn)lask由NSA在Linux操作系統(tǒng)統(tǒng)上實現(xiàn)現(xiàn)，并且且不同尋尋常地向向開放源源碼社區(qū)區(qū)發(fā)布了了一個安安全性增增強型版版本的Linux（SELinux）－－包包括代碼碼和所有有文檔。。與傳統(tǒng)統(tǒng)的基于于TCSEC標(biāo)準(zhǔn)的開開發(fā)方法法不同，，1997年美國國國家安全全局和安安全計算算公司完完成的DTOS安全操作作系統(tǒng)采采用了基基于安全全威脅的的開發(fā)方方法。設(shè)設(shè)計目標(biāo)標(biāo)包括3個方面：：（1）策略靈靈活性：：DTOS內(nèi)核應(yīng)該該能夠支支持一系系列的安安全策略略，包括括諸如國國防部的的強制存存取控制制多級安安全策略略；（2）與Mach兼容，現(xiàn)現(xiàn)有的Mach應(yīng)用應(yīng)能能在不做做任何改改變的情情況下運運行；（3）性能能應(yīng)與與Mach接近。。國內(nèi)安安全操操作系系統(tǒng)的的發(fā)展展國內(nèi)也也進(jìn)行行了許許多有有關(guān)安安全操操作系系統(tǒng)的的開發(fā)發(fā)研制制工作作，并并取得得了一一些研研究成成果。。1990年前后后，海海軍計計算技技術(shù)研研究所所和解解放軍軍電子子技術(shù)術(shù)學(xué)院院分別別開始始了安安全操操作系系統(tǒng)技技術(shù)方方面的的探討討，他他們都都是參參照美美國TCSEC標(biāo)準(zhǔn)的的B2級安全全要求求，基基于UNIXSystemV3.2進(jìn)行安安全操操作系系統(tǒng)的的研究究與開開發(fā)。。1993年，海海軍計計算技技術(shù)研研究所所繼續(xù)續(xù)按照照美國國TCSEC標(biāo)準(zhǔn)的的B2級安全全要求求，圍圍繞UnixSVR4.2/SE，實現(xiàn)現(xiàn)了國國產(chǎn)自自主的的安全全增強強包。。1995年，在在國家家“八八五””科技技攻關(guān)關(guān)項目目――““COSA國產(chǎn)系系統(tǒng)軟軟件平平臺””中，，圍繞繞UNIX類國產(chǎn)產(chǎn)操作作系統(tǒng)統(tǒng)COSIXV2.0的安全全子系系統(tǒng)的的設(shè)計計與實實現(xiàn)，，中國國計算算機軟軟件與與技術(shù)術(shù)服務(wù)務(wù)總公公司、、海軍軍計算算技術(shù)術(shù)研究究所和和中國國科學(xué)學(xué)院軟軟件研研究所所一起起參與與了研研究工工作。。COSIXV2.0安全子子系統(tǒng)統(tǒng)的設(shè)設(shè)計目目標(biāo)是是介于于美國國TCSEC的B1和B2級安全全要求求之間間，當(dāng)當(dāng)時定定義為為B1＋，主主要實實現(xiàn)的的安全全功能能包括括安全全登錄錄、自自主訪訪問控控制、、強制制訪問問控制制、特特權(quán)管管理、、安全全審計計和可可信通通路等等。國內(nèi)安安全操操作系系統(tǒng)的的發(fā)展展1996年，由由中國國國防防科學(xué)學(xué)技術(shù)術(shù)工業(yè)業(yè)委員員會發(fā)發(fā)布了了軍用用計算算機安安全評評估準(zhǔn)準(zhǔn)則GJB2646－96（一般般簡稱稱為軍軍標(biāo)）），它它與美美國TCSEC基本一一致。。1998年，電電子工工業(yè)部部十五五所基基于UnixWareV2.1按照美美國TCSEC標(biāo)準(zhǔn)的的B1級安全全要求求，對對Unix操作系系統(tǒng)的的內(nèi)核核進(jìn)行行了安安全性性增強強。1999年10月19日，我我國國國家技技術(shù)監(jiān)監(jiān)督局局發(fā)布布了國國家標(biāo)標(biāo)準(zhǔn)GB17859－1999《《計算機機信息息系統(tǒng)統(tǒng)安全全保護(hù)護(hù)等級級劃分分準(zhǔn)則則》，為計計算機機信息息系統(tǒng)統(tǒng)安全全保護(hù)護(hù)能力力劃分分了等等級。。該標(biāo)標(biāo)準(zhǔn)已已于2001年起強強制執(zhí)執(zhí)行。。Linux自由軟軟件的的廣泛泛流行行對我我國安安全操操作系系統(tǒng)的的研究究與開開發(fā)具具有積積極的的推進(jìn)進(jìn)作用用。2001年前后后，我我國安安全操操作系系統(tǒng)研研究人人員相相繼推推出了了一批批基于于Linux的安全全操作作系統(tǒng)統(tǒng)開發(fā)發(fā)成果果。這這包括括：國內(nèi)安安全操操作系系統(tǒng)的的發(fā)展展中國科科學(xué)院院信息息安全全技術(shù)術(shù)工程程研究究中心心基于于Linux資源，，開發(fā)發(fā)完成成了符符合我我國GB17859－1999第三級級（相相當(dāng)于于美國國TCSECB1）安全全要求求的安安全操操作系系統(tǒng)SecLinux。SecLinux系統(tǒng)提提供了了身份份標(biāo)識識與鑒鑒別、、自主主訪問問控制制、強強制訪訪問控控制、、最小小特權(quán)權(quán)管理理、安安全審審計、、可信信通路路、密密碼服服務(wù)、、網(wǎng)絡(luò)絡(luò)安全全服務(wù)務(wù)等方方面的的安全全功能能。依托南南京大大學(xué)的的江蘇蘇南大大蘇富富特軟軟件股股份有有限公公司開開發(fā)完完成了了基于于Linux的安全全操作作系統(tǒng)統(tǒng)SoftOS，實現(xiàn)現(xiàn)的安安全功功能包包括：：強制制訪問問控制制、審審計、、禁止止客體體重用用、入入侵檢檢測等等。信息產(chǎn)產(chǎn)業(yè)部部30所控股股的三三零盛盛安公公司推推出的的強林林Linux安全操操作系系統(tǒng)，，達(dá)到到了我我國GB17859－1999第三級級的安安全要要求。。國內(nèi)安全操操作系統(tǒng)的的發(fā)展中國科學(xué)院院軟件所開開放系統(tǒng)與與中文處理理中心基于于紅旗Linux操作系統(tǒng)，，實現(xiàn)了符符合我國GB17859－1999第三級要求求的安全功功能。中國國計算機軟軟件與技術(shù)術(shù)服務(wù)總公公司以美國國TCSEC標(biāo)準(zhǔn)的B1級為安全目目標(biāo)，對其其COSIXV2.0進(jìn)行了安全全性增強改改造。此外，國防防科技大學(xué)學(xué)、總參56所等其他單單位也開展展了安全操操作系統(tǒng)的的研究與開開發(fā)工作。。2001年3月8日，我國國國家技術(shù)監(jiān)監(jiān)督局發(fā)布布了國家標(biāo)標(biāo)準(zhǔn)GB/T18336－2001《《信息技術(shù)安安全技術(shù)信信息技術(shù)術(shù)安全性評評估準(zhǔn)則》，它基本上上等同采用用了國際通通用安全評評價準(zhǔn)則CC。四.安全操作系系統(tǒng)的設(shè)計計與開發(fā)安全操作系系統(tǒng)的系統(tǒng)統(tǒng)開發(fā)過程程形式化方法法，是非形形式化方法法的一個補補充形式化方法法，要達(dá)到到完全，是是很困難的的操作系統(tǒng)安安全性開發(fā)發(fā)過程用非形式化化論據(jù)論證證系統(tǒng)實現(xiàn)現(xiàn)、形式化化描述和模模型三者是是一致的安全操作系系統(tǒng)的需求求分析安全操作系系統(tǒng)的架構(gòu)構(gòu)設(shè)計安全操作系系統(tǒng)的實現(xiàn)現(xiàn)安全操作系系統(tǒng)的需求求分析所謂安全需需求，就是是在設(shè)計一一個安全系系統(tǒng)時期望望得到的安安全保障。。不同的用戶戶、不同的的行業(yè)、不不同的地點點以及不同同的社會制制度有不同同的安全需需求個人隱私、、商業(yè)機密密、軍事安安全、防防假冒、防防篡改、可可審計等安全操作系系統(tǒng)的需求求分析一般化的安安全需求機密性需求求，防止信息息被泄漏給給未授權(quán)的的用戶自主安全策略、、強制安全策略完整性需求求，防止未授授權(quán)用戶對對信息的修修改維護(hù)系統(tǒng)資資源在一個個有效的、、預(yù)期的狀狀態(tài)，防止止資源被不不正確、不不適當(dāng)?shù)男扌薷?；維護(hù)護(hù)系統(tǒng)不同同部分的一一致性；防防止在涉及及記賬或?qū)弻徲嫷氖录小拔璞妆住毙袨榈牡陌l(fā)生?？捎涃~性需需求，防止用戶對對訪問過某某信息或執(zhí)執(zhí)行過某一一操作以否否認(rèn)可用性需求求，授權(quán)用戶的的任何正確確的輸入，，系統(tǒng)會有有相應(yīng)的正正確的輸出出例子機密性完整性可記賬性可用性軍事安全策略側(cè)重商用安全策略側(cè)重側(cè)重電信部門側(cè)重安全操作系系統(tǒng)的策略略表示安全策略：：

針對面面臨的威脅脅決定采用用何種對策策的方法安全策略為為針對威脅脅而選擇和和實行對策策提供了框框架安全不安全安全操作系系統(tǒng)的策略略表示在計算機安安全領(lǐng)域內(nèi)內(nèi)，一個系系統(tǒng)是“安全系統(tǒng)”是指該系統(tǒng)達(dá)到了了當(dāng)初設(shè)計計時所制定定的安全策策略的要求求。在有限狀態(tài)態(tài)自動機下下，安全策略：是“這樣樣一種狀態(tài)態(tài)，它將系系統(tǒng)狀態(tài)分分為已授權(quán)權(quán)/安全狀態(tài)和和未授權(quán)/非安全的狀狀態(tài)”一個“安全全系統(tǒng)”：：是“一個個如果起始始狀態(tài)為授授權(quán)狀態(tài)，，其后也不不會進(jìn)入未未授權(quán)狀態(tài)態(tài)的系統(tǒng)””備注：策略略與實現(xiàn)無無關(guān)，它描描述對系統(tǒng)統(tǒng)中實體或或行為的約約束TCSEC中，將訪問問支持策略略分為6類Identification&authentication，標(biāo)識與鑒鑒別Accountability，可記賬性性Assurance，確切保證證:嚴(yán)格按照事事先設(shè)計的的方式來運運行Continuousprotection，連續(xù)保護(hù)護(hù):必須連續(xù)不不斷地保護(hù)護(hù)系統(tǒng)免遭遭篡改和非非授權(quán)的改改變Objectreuse，客體重用用:防止在系統(tǒng)統(tǒng)中的存儲儲介質(zhì)在被被重新分配配時，確保保曾經(jīng)在介介質(zhì)中存放放過的信息息不會泄露露給新的主主體Covertchannels，隱通道處處理:進(jìn)程利用來來以違反系系統(tǒng)安全策策略的方式式進(jìn)行非法法傳輸信息息的通信通通道安全操作系系統(tǒng)的策略略表示策略語言：用來表達(dá)達(dá)機密性或或完整性策策略的語言言高級策略語語言使用抽象的的方法表達(dá)達(dá)對于實體體的約束精確低級策略語語言根據(jù)輸入或或者調(diào)用選選項來表達(dá)達(dá)對系統(tǒng)中中的程序約約束安全操作系系統(tǒng)的策略略表示高級策略語語言譬如：系統(tǒng)統(tǒng)連接到Internet上。Web瀏覽器從遠(yuǎn)遠(yuǎn)程站點下下載程序并并在本地執(zhí)執(zhí)行。Pandey和Hashii：針對Java程序的策略略約束語言言（Policyconstraintlanguage）實體：類或或方法類類：一些被被實施特定定的訪問約約束的對象象的集合方方法：調(diào)調(diào)用一個操操作的方法法的集合實例化：主主體s創(chuàng)建了某個個類c的一個實例例，“s-|c”調(diào)用：主體體s1執(zhí)行了另一一個主體s2，“s1|→→s2””訪問約束deny(sopx)whenbop為“-|”或“|→”；x為另一個主主體或類條條件b為真時，主主體s不能對x執(zhí)行操作op省略x，表示禁止止s對所有實體體進(jìn)行操作作繼承：用來將各各個訪問約約束關(guān)聯(lián)起起來。例：deny(s-|c1.f)whenb1deny(s-|c2.f)whenb2若c1是c2的子類，則則正確的約約束為：deny(s-|c1.f)whenb1∨b2低級策略語語言低級策略語語言只是一一系列命令令的輸入或或參數(shù)設(shè)置置，用來設(shè)設(shè)置或檢查查系統(tǒng)中的的約束例如：基于UNIX的窗口系統(tǒng)統(tǒng)X11為控制臺訪訪問提供一一種語言。。該語言由由一條命令令xhost和指導(dǎo)此命命令的語法法組成，可可以根據(jù)主主機名（IP地址）控制制訪問。以以下命令xhost+groucho–chico對系統(tǒng)進(jìn)行行設(shè)定，允允許主機groucho連接控制臺臺，但禁止止來自主機機chico的連接DTEL語言DomainTypeEnforcementLanguageBoebert和Kain將類型限制制為兩種：：數(shù)據(jù)和指指令根據(jù)語言的的類型，在在實現(xiàn)一級級上進(jìn)行構(gòu)構(gòu)造來表達(dá)達(dá)約束該語言將低低級語言和和高級語言言的元素結(jié)結(jié)合起來，，抽象地對對配置加以以描述，因因此也屬于于高級策略略語言DTEL將每個客體體與一個type關(guān)聯(lián)，而每每個主體與與一個domain相關(guān)連限制domain成員對某type的客體所能能執(zhí)行的操操作DTEL將Unix系統(tǒng)分為4個相互隔離離的主體域域user_d：普通用戶戶域admin_d：管理員用用戶域login_d：兼容DTE認(rèn)證過程的的域daemon_d：系統(tǒng)后臺臺守護(hù)進(jìn)程程的域系統(tǒng)從daemon_d域開始運行行（init進(jìn)程）當(dāng)用戶試圖圖登錄系統(tǒng)統(tǒng)，init進(jìn)程就創(chuàng)建建一個login_d域的login進(jìn)程login進(jìn)程控制user_d和admin_dDTE提出了如下下5個客體型sysbin_t：可執(zhí)行文文件readable_t：可讀文件件writeable_t：可寫文件件dte_t：DTE數(shù)據(jù)generic_t：由用戶進(jìn)進(jìn)程產(chǎn)生的的數(shù)據(jù)當(dāng)init進(jìn)程開始時時，首先在在daemon_d域中啟動對writeable_t中的任何客客體，能創(chuàng)創(chuàng)建c、讀取r、寫入w和搜索d對sysbin_t中的任何客客體，能夠夠讀取r、搜索d和執(zhí)行x對generic_t，readable_t，dte_t中的任何客客體，能夠夠讀取和搜搜索當(dāng)init進(jìn)程調(diào)用登登錄程序時時，登錄程程序自動轉(zhuǎn)轉(zhuǎn)換login_d域表示為：domaindaemon_d=(/sbin/init),(crwd->writable_t),(rxd->sysbin_t),(rd->generic_t,dte_t,readable_t),(auto->login_d);與寫寫權(quán)權(quán)限限分分離離另外外：：domainadmin_d=(/usr/bin/sh,/usr/bin/csh,/usr/bin/ksh),(crwxd->generic_t),(crwxd->readable_t,writable_t,dte_t,sysbin_t),(sigtstp->daemon_d);還有有domainuser_d=(/usr/bin/sh,/usr/bin/csh,/usr/bin/ksh),(crwxd->generic_t),(rxd->sysbin_t),(crwd->writable_t),(rd->readable_t,dte_t);以及及domainlogin_d=(/usr/bin/login),(crwd->writable_t),(rd->readable_t,generic_t,dte_t),setauth,(exec->user_d,admin_d);起初初，，系系統(tǒng)統(tǒng)始始于于daemon_d域initial_domain=daemon_d;用一一系系列列的的assign語句句來設(shè)設(shè)置置客客體體的的初初始始型型，，如如assign––rgeneric_t/;assign––rwritable_t/usr/var,/dev,/tmp;assign––rreadable_t/etc;assign––r-sdte_t/dte;assign––r-ssysbin_t/sbin,/bin,/usr/bin,/usr/sbin-r，表表示示該該型型被被遞遞歸歸的的應(yīng)應(yīng)用用-s，表表示示該該型型與與名名稱稱綁綁定定。。（（刪刪除除后后重重建建，，同同名名同同型型））有序為日志文件定定義一個新的型log_t，只有daemon_d的主體和新加加的log_d的主體才能更更改系統(tǒng)日志志domaindaemon_d=(/sbin/init),(crwd->writable_t),(rxd->readable_t),(rd->generic_t,dte_t,sysbin_t),(auto->login_d,log_d);domainlog_d=(/usr/sbin/syslogd),(crwd->log_t),(rwd->writable_t),(rd->generic_t,readable_t);assign-rlog_t/usr/var/log;assignwritable_t/usr/var/log/wtmp,/usr/var/log/utmp;五、安全評估估準(zhǔn)則的研究究國際上計算機機系統(tǒng)安全研研究影響重大大的一個顯著著成果是安全全產(chǎn)品的評價價標(biāo)準(zhǔn)?？尚庞嬎銠C系系統(tǒng)評估準(zhǔn)則則（TCSEC）通用準(zhǔn)則CC《計算機信息系系統(tǒng)安全保護(hù)護(hù)等級劃分準(zhǔn)準(zhǔn)則》信息安全保證證技術(shù)框架《信息系統(tǒng)安全全保護(hù)等級應(yīng)應(yīng)用指南》安全評估標(biāo)準(zhǔn)準(zhǔn)的發(fā)展歷程程桔皮書（TCSEC）1985英國安全標(biāo)準(zhǔn)1989德國標(biāo)準(zhǔn)法國標(biāo)準(zhǔn)加拿大標(biāo)準(zhǔn)1993聯(lián)邦標(biāo)準(zhǔn)草案1993ITSEC1991通用標(biāo)準(zhǔn)V1.01996V2.01998V2.11999TCSEC在TCSEC中，美國國防防部按處理信信息的等級和和應(yīng)采用的響響應(yīng)措施，將將計算機安全全從高到低分分為：A、B、C、D四類，共27條評估準(zhǔn)則隨著安全等級級的提高，系系統(tǒng)的可信度度隨之增加，，風(fēng)險逐漸減減少?？尚庞嬎銠C系系統(tǒng)評估標(biāo)準(zhǔn)準(zhǔn)TCSEC級別名稱主要特征A1

驗證設(shè)計級形式化驗證安全模型，形式化隱蔽通道分析B3

安全區(qū)域保護(hù)級安全內(nèi)核，高抗?jié)B透能力B2結(jié)構(gòu)化保護(hù)級形式化安全模型，隱密通道約束，面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B1標(biāo)簽安全保護(hù)級強制訪問控制，安全標(biāo)識，刪去安全相關(guān)的缺陷C2受控存取保護(hù)級受控自主訪問控制，增加審核機制，記錄安全性事件C1自主安全保護(hù)級自主訪問控制D最小保護(hù)級最低等級1)?D1級除了物理上的的安全設(shè)施外外沒有任何安安全措施，任任何人只要啟啟動系統(tǒng)就可可以訪問系統(tǒng)統(tǒng)的資源和數(shù)數(shù)據(jù)，D1級是最低的安安全形式，整整個計算機是是不信任的，，只為文件和和用戶提供安安全保護(hù)。D1級系統(tǒng)最普通通的形式是本本地操作系統(tǒng)統(tǒng)，或者是一一個完全沒有有保護(hù)的網(wǎng)絡(luò)絡(luò)。擁有這這個級別的操操作系統(tǒng)就像像一個門戶大大開的房子，，任何人可以以自由進(jìn)出，，是完全不可可信的。對于于硬件來說，，是沒有任何何保護(hù)措施的的，操作系統(tǒng)統(tǒng)容易受到損損害，沒有系系統(tǒng)訪問限制制和數(shù)據(jù)限制制，任何人不不需要任何賬賬戶就可以進(jìn)進(jìn)入系統(tǒng)，不不受任何限制制就可以訪問問他人的數(shù)據(jù)據(jù)文件。屬于這個級別別的操作系統(tǒng)統(tǒng)有DOS、Windows9x、Apple公司的MacintoshSystem7.1。2)?C1級C1級又稱有選擇地地安全保護(hù)或或稱酌情安全全保護(hù)(DiscretionnySecurityProtection)系統(tǒng)，具有自自主訪問控制制機制、用戶戶登錄時需要要進(jìn)行身份鑒鑒別。它描述了一種種典型的用在在UNIX系統(tǒng)上的安全全級別。用戶戶擁有注冊賬賬號和口令，，系統(tǒng)通過賬賬號和口令來來識別用戶是是否合法，并并決定用戶對對信息擁有什什么樣的訪問問權(quán)。這種訪訪問權(quán)是指對對文件和目標(biāo)標(biāo)的訪問權(quán)。。文件的擁有有者和根用戶戶(Root)可以改動文件件中的訪問屬屬性，從而對對不同的用戶戶給與不同的的訪問權(quán)。C1級保護(hù)的不足足之處在于用用戶可以直接接訪問操縱系系統(tǒng)的根目錄錄。C1級不能控制進(jìn)進(jìn)入系統(tǒng)的用用戶的訪問級級別，所以用用戶可以將系系統(tǒng)中的數(shù)據(jù)據(jù)任意移走，，他們可以控控制系統(tǒng)配置置，獲取比系系統(tǒng)管理員所所允許的更高高權(quán)限，如改改變和控制用用戶名。3)?C2級C2級又稱訪問控控制保護(hù)，具有審計和驗驗證機制((對TCB)可信計算機基基進(jìn)行建立和和維護(hù)操作，，防止外部人人員修改)，系統(tǒng)統(tǒng)對發(fā)發(fā)生的的事情情加以以審計計(Audit)，并寫寫入日日志當(dāng)當(dāng)中，，如什什么時時候開開機，，哪個個用戶戶在什什么時時候從從哪里里登錄錄等，，這樣樣通過過查看看日志志，就就可以以發(fā)現(xiàn)現(xiàn)入侵侵的痕痕跡，，如多多次登登錄失失敗，，也可可以大大致推推測出出可能能有人人想強強行闖闖入系系統(tǒng)。審計計可以以記錄錄下系系統(tǒng)管管理員員執(zhí)行行的活活動，，審計計還加加有身身份驗驗證，，這樣樣就可可以知知道誰誰在執(zhí)執(zhí)行這這些命命令。。審計計的缺缺點在在于它它需要要額外外的處處理器器時間間和磁磁盤資資源。。能夠達(dá)達(dá)到C2級的常常見的的操作作系統(tǒng)統(tǒng)有UNIX系統(tǒng)、、XENIX、Novell3.x或更高高版本本、WindowsNT和Windows20004)B1級B級中有有三個個級別別，B1級即標(biāo)標(biāo)簽安安全保保護(hù)(LabeledSecurityProtection)，是支支持多多級安安全(如秘密密和絕絕密)的第一一個級級別，，這個個級別別說明明一個個處于于強制制性訪訪問控控制之之下的的對象象，系系統(tǒng)不不允許許文件件的擁擁有者者改變變其許許可權(quán)權(quán)限。即在在這一一級別別上，，對象象(如盤區(qū)區(qū)和文文件服服務(wù)器器目錄錄)必須在在訪問問控制制之下下，不不允許許擁有有者更更改它它們的的權(quán)限限。B1級安全全措施施的計計算機機系統(tǒng)統(tǒng)，隨隨著操操作系系統(tǒng)而而定。。政府府機構(gòu)構(gòu)和系系統(tǒng)安安全承承包商商是B1級計算算機系系統(tǒng)的的主要要擁有有者。。5)B2級B2級又叫叫做結(jié)結(jié)構(gòu)保保護(hù)(StructuredProtection)級別，，它要要求計算機機系統(tǒng)統(tǒng)中所所有的的對象象都加加標(biāo)簽簽，而而且給給設(shè)備備(磁盤，，磁帶帶和終終端)分配單單個或或多個個安全全級別別。它它提出出了較較高安安全級級別的的對象象與另另一個個較低低安全全級別別的對對象通通信的的第一一個級級別，，即要要求建建立形形式化化的安安全策策略模模型并并對系系統(tǒng)內(nèi)內(nèi)的所所有主主體和和客體體實施施MAC。經(jīng)過認(rèn)認(rèn)證的的、B2級以上上的安安全系系統(tǒng)非非常稀稀少。。例如如，符符合B2標(biāo)準(zhǔn)的的操作作系統(tǒng)統(tǒng)只有有TrustedInformationSystems公司的的TrustedXENIX一種產(chǎn)產(chǎn)品，，符合合B2標(biāo)準(zhǔn)的的網(wǎng)絡(luò)絡(luò)產(chǎn)品品只有有CryptekSecureCommunications公司的的LLCVSLAN一種產(chǎn)產(chǎn)品，，而數(shù)數(shù)據(jù)庫庫方面面則沒沒有符符合B2標(biāo)準(zhǔn)的的產(chǎn)品品6)B3級B3級又稱稱安全全域(SecurityDomain)級別，，具有硬硬件支支持的的安全全域分分離措措施，，從而而保證證安全全域中中軟件件和硬硬件的的完整整性，，必須須滿足足訪問問監(jiān)控控器的的要求求，審審計跟跟蹤能能力更更強，，并提提供系系統(tǒng)恢恢復(fù)過過程7)A級A級也稱為為驗證證保護(hù)護(hù)或驗驗證設(shè)設(shè)計(VerityDesign)級別，，是當(dāng)當(dāng)前的的最高高級別別，它它包括括一個個嚴(yán)格格的設(shè)設(shè)計、、控制制和驗驗證過過程。。與前前面提提到的的各級級別一一樣，，這一一級別別包含含了較較低級級別的的所有有特性性。設(shè)設(shè)計必必須是是從數(shù)數(shù)學(xué)角角度上上經(jīng)過過驗證證的，，而且且必須須進(jìn)行行秘密密通道道和可可信任任分布布的分分析。標(biāo)準(zhǔn)介紹信息技術(shù)安安全評估準(zhǔn)準(zhǔn)則發(fā)展過過程可信計算機機系統(tǒng)評估估準(zhǔn)則（TCSEC）通用準(zhǔn)則CC可信網(wǎng)絡(luò)解解釋（TNI）《計算機信息息系統(tǒng)安全全保護(hù)等級級劃分準(zhǔn)則則》信息安全保保證技術(shù)框框架《信息系統(tǒng)安安全保護(hù)等等級應(yīng)用指指南》通用準(zhǔn)則CCCC的范圍:CC適用于硬件件、固件和和軟件實現(xiàn)現(xiàn)的信息技技術(shù)安全措措施而某些內(nèi)容容因涉及特特殊專業(yè)技技術(shù)或僅是是信息技術(shù)術(shù)安全的外外圍技術(shù)不不在CC的范圍內(nèi)通用準(zhǔn)則CCCC包括三個部部分:第一部分：：簡介和一一般模型第二部分：：安全功能能要求第三部分：：安全保證證要求通用準(zhǔn)則CC安全保證要要求部分提提出了七個個評估保證證級別（EvaluationAssuranceLevels：EALs）分別是：EAL1：功能測試試EAL2：結(jié)構(gòu)測試試EAL3：系統(tǒng)測試試和檢查EAL4：系統(tǒng)設(shè)計計、測試和和復(fù)查EAL5：半形式化化設(shè)計和測測試EAL6：半形式化化驗證的設(shè)設(shè)計和測試試EAL7：形式化驗驗證的設(shè)計計和測試通用準(zhǔn)則CC安全就是保保護(hù)資產(chǎn)不不受威脅，，威脅可依依據(jù)濫用被被保護(hù)資產(chǎn)產(chǎn)的可能性性進(jìn)行分類類所有的威脅脅類型都應(yīng)應(yīng)該被考慮慮到在安全領(lǐng)域域內(nèi)，被高高度重視的的威脅是和和人們的惡惡意攻擊及及其它人類類活動相聯(lián)聯(lián)系的通用準(zhǔn)則CC安全概念和和關(guān)系通用準(zhǔn)則CC安全性損壞壞一般包括括但又不僅僅僅包括以以下幾項資產(chǎn)破壞性性地暴露于于未授權(quán)的的接收者（（失去保密密性）資產(chǎn)由于未未授權(quán)的更更改而損壞壞（失去完完整性）或資產(chǎn)訪問問權(quán)被未授授權(quán)的喪失失（失去可可用性）通用準(zhǔn)則CC資產(chǎn)所有者必必須分析可能能的威脅并確確定哪些存在在于他們的環(huán)環(huán)境，其后果就是風(fēng)風(fēng)險對策用以（直直接或間接地地）減少脆弱弱性并滿足資資產(chǎn)所有者的的安全策略在將資產(chǎn)暴露露于特定威脅脅之前，所有有者需要確信信其對策足以以應(yīng)付面臨的的威脅通用準(zhǔn)則CC評估概念和和關(guān)系通用準(zhǔn)則CCTOE（評估對象））評估過程通用準(zhǔn)則CCCC安全概念包括：安全環(huán)境安全目的IT安全要求通用準(zhǔn)則CC安全環(huán)境包括所有相關(guān)關(guān)的法規(guī)、組組織性安全策策略、習(xí)慣、、專門技術(shù)和和知識,它定義了TOE使用的上下文文，安全環(huán)境境也包括環(huán)境境里出現(xiàn)的安安全威脅為建立安全環(huán)環(huán)境，必須考考慮以下幾點點：TOE物理環(huán)境，指指所有的與TOE安全相關(guān)的TOE運行環(huán)境，包包括已知的物物理和人事的的安全安排需要根據(jù)安全全策略由TOE的元素實施保保護(hù)的資產(chǎn)。。包括可直接接相關(guān)的資產(chǎn)產(chǎn)（如文件和和數(shù)據(jù)庫）和和間接受安全全要求支配的的資產(chǎn)（如授授權(quán)憑證和IT實現(xiàn)本身）TOE目的，說明產(chǎn)產(chǎn)品類型和可可能的TOE用途通用準(zhǔn)則CC安全環(huán)境的分分析結(jié)果被用用來闡明對抗抗已標(biāo)識的威威脅、說明組組織性安全策策略和假設(shè)的的安全目的安全目的和已已說明的TOE運行目標(biāo)或產(chǎn)產(chǎn)品目標(biāo)以及及有關(guān)的物理理環(huán)境知識一一致確定安全目目的的意圖圖是為了闡闡明所有的的安全考慮慮并指出哪哪些安全方方面的問題題是直接由由TOE還是由它的的環(huán)境來處處理環(huán)境安全目目的將在IT領(lǐng)域內(nèi)用非非技術(shù)上的的或程序化化的手段來來實現(xiàn)通用準(zhǔn)則CCIT安全要求是將安全目目的細(xì)化為為一系列TOE及其環(huán)境的的安全要求求，一旦這這些要求得得到滿足，，就可以保保證TOE達(dá)到它的安安全目的IT安全需求只只涉及TOE安全目的和和它的IT環(huán)境通用準(zhǔn)則CCCC定義了一系系列與已知知有效的安安全要求集集合相結(jié)合合的概念，，該概念可可被用來為為預(yù)期的產(chǎn)產(chǎn)品和系統(tǒng)統(tǒng)建立安全全需求CC安全要求以以類—族—組件這種層層次方式組組織，以幫幫助用戶定定位特定的的安全要求求對功能和保保證方面的的要求，CC使用相同的的風(fēng)格、組組織方式和和術(shù)語。通用準(zhǔn)則CC要求的組織織和結(jié)構(gòu)通用準(zhǔn)則CCCC中安全要求求的描述方方法：類：類用作最通通用安全要要求的組合合，類的所所有的成員員關(guān)注共同同的安全焦焦點，但覆覆蓋不同的的安全目的的族：類的成員被被稱為族。。族是若干干組安全要要求的組合合，這些要要求有共同同的安全目目的，但在在側(cè)重點和和嚴(yán)格性上上有所區(qū)別別組件：族的成員被被稱為組件件。組件描描述一組特特定的安全全要求