• 更全面的存取控制；
• 更小的特权管理；
• 可信通路；
• 隐蔽通道分析和处理。
1993年，国防科技大学对基于TCSEC标准和 UNIX System V 3.2版的安全操作系统SUNIX的 研究与开发进行了探讨，提出了一个面向最小特 权原则的改进的BLP模型和一个病毒防御模型。
以Linux为代表的自由软件在中国的广泛流行 对中国安全操作系统的研究与开发具有积极的推 动作用。1999年，中国科学院软件研究所推出了 红旗Linux中文操作系统发行版本，同时，开展了 基于Linux的安全操作系统的研究与开发工作。
（2）强制访问控制（Mandatory Access Control，MAC）
强制访问控制是“强加”给访问主体的，即系 统强制主体服从访问控制政策，这种政策是强制性 规定的，用户或用户的程序不能加以修改。
4.1.3 操作系统安全性的设计原则与一般结构 （1）最小特权。 （2）机制的经济性。 （3）开放系统设计。 （4）完备的存取控制机制。 （5）基于“允许”的设计原则。 （6）权限分离。 （7）避免信息流的潜在通道。 （8）方便使用。
图4.1 访问能力表
（3）访问控制表（ Access Control List）
访问控制表ACL是目 前采用最多的一种方式， 如图4.2所示。
图4.2 访问控制表
（4）授权关系表（Authorization Relations List）
用每一行（或称每一个元组）表示主体和客体的一个权限关系，如
4.1.4 安全操作系统的发展状况
KSOS（Kernelized Secure Operating System）是美国国防部研究计划局1977年发起 的一个安全操作系统研制项目，目标是为PDP11/70机器开发一个可投放市场的安全操作系统 ，系统的要求如下：
① 与贝尔实验室的UNIX操作系统兼容；
4.2 Windows NT/2000的安全
（1）访问控制矩阵（Access Matrix）
表4.1是一个访问控制矩阵的例子，这个例子将
在后面多次用到。表4.1
访问控制矩阵
File1
File2
File3
Own
John
R
R
W
Own
Alice
R
R
W
W
Bob
R W
R
（2）访问能力表（Access Capability List）
访问控制矩阵中 存在着不少空项， 为了减少系统开销 与浪费，从主体（ 行）出发，形成一 个链表，以表示某 一行的信息，这就 是访问能力表，如 图4.1所示。
最后是认证机制。身份认证机制必须是强有力 的，即在用户登录时，与系统的交互过程必须有安 全保护，不会被第三方干扰或截取。
账号/密码的认证方案普遍存在着安全的隐 患和不足之处，具体有如下几种。
（1）认证过程的安全保护不够健壮，登录的步 骤没有进行集成和封装，而是暴露在外，容易受 到恶意入侵者或系统内部特洛伊木马的干扰或者 截取。
（2）密码的存放与访问没有严格的安全保护。
（3）认证机制与访问控制机制不能很好地相互 配合和衔接，使得通过认证的合法用户进行有意 或无意的非法操作的机会大大增加。
2．访问控制 访问控制系统一般包括以下几个实体。 •主体（Subject） •客体（Object） •安全访问政策
访问控制常用的实现方法主要有以下几种。
第4章 操作系统的安全
4.1 操作系统安全性概述 4.2 Windows NT/2000的安全 4.3 UNIX/Linux的安全
4.1 操作系统安全性概述
4.1.1 操作系统安全的重要性
当前，对操作系统安全构成威胁的问题主要有以 下4种。 （1）计算机病毒 （2）特洛伊木马 （3）隐蔽通道
隐蔽通道可定义为系统中不受安全策略控制的、 违反安全策略的信息泄漏路径。它是允许进程以危害 系统安全策略的方式传输信息的通信信道。
② 实现多级安全性和完整性；
③ 正确性可以被证明。
OSF/1是开放软件基金会于1990年推出的一个安 全操作系统，被美国国家计算机安全中心（NCSC ）认可为符合TCSEC的B1级，其主要安全性表现如 下：
• 系统标识；
• 口令管理；
• 强制存取控制和自主存取控制；
• 审计。
UNIX SVR4.1ES是UI（UNIX国际组织）于 1991年推出的一个安全操作系统，被美国国家计算 机安全中心（NCSC）认可为符合TCSEC的B2级， 除OSF/1外的安全性主要表现如下：
2000年，我国的安全操作系统研究人员相 继推出了一批基于Linux的安全操作系统。中 国科学院计算技术研究所研究开发了LIDS安 全操作系统；南京大学开发了基于Linux的安 全操作系统SoftOS；中国科学院信息安全技 术工程研究中心开发了基于Linux的 SecLinux安全操作系统；中国计算机软件与 服务总公司以TCSEC标准的B1安全等级为目 标对Linux进行了改造，开发了COSIX Linux V2.0的安全增强版本。
在访问控制策略方面，计算机系统常采用以下 两种策略。
（1）自主访问控制（Discretionary Access Control，DAC）
自主访问控制是一种最为普遍的访问控制手段， 它是在确认主体身份以及它们所属组的基础上对访 问进行限定的一种方法，其基本思想是：允许某个 主体显式地指定其他主体对该主体所拥有的信息资 源是否可以访问以及可执行的访问类型。
（4）天窗
天窗是嵌在操作系统里的一段非法代码， 渗透者利用该代码提供的方法侵入操作系统而 不受检查。天窗由专门的命令激活，一般不容 易发现。
4.1.2 操作系统的安全服务
1．用户管理的安全性
首先是用户账号的管理。通常对用户账号进行 分组管理，并且这种分组管理应该是针对安全性问 题而考虑的分组。
其次是用户口令的加密机制。
表4.2所示。
主体
访问权限
客体
John
Own
File1
John
RHale Waihona Puke File1John
W
File1
John
R
File3
Alice
R
File1
Alice
Own
File2
Alice
R
File2
Alice
W
File2
Alice
W
File3
Bob
R
File1
Bob
W
File1
表4.2 授权关系表 Bob
W
File2