【正文】 ? （ 1）權(quán)能為訪問(wèn)客體和保護(hù)客體提供了一個(gè)統(tǒng)一的方法，權(quán)能的應(yīng)用對(duì)統(tǒng)籌設(shè)計(jì)及簡(jiǎn)化證明過(guò)程有重要的影響。進(jìn)一步來(lái)講， Flask結(jié)構(gòu)也可以適用于除操作系統(tǒng)之外的其它軟件，例如中間件或分布式系統(tǒng)，但此時(shí)由底層操作系統(tǒng)的不安全性所導(dǎo)致的弱點(diǎn)仍保留。它認(rèn)為所提供的進(jìn)程分離的形式才是主要的，但 Flask結(jié)構(gòu)并沒(méi)有強(qiáng)制要某一種機(jī)制。但也有一些最近的努力已經(jīng)展示了軟件強(qiáng)行進(jìn)程分離的效果。雖然原型系統(tǒng)是基于微內(nèi)核的，但是安全機(jī)制并不依賴微內(nèi)核結(jié)構(gòu)，意味著這個(gè)安全機(jī)制在非內(nèi)核的情況下也能很容易的實(shí)現(xiàn)。這種安全結(jié)構(gòu)中機(jī)制和策略的清晰區(qū)分，使得系統(tǒng)可以使用比以前更少的策略來(lái)支持更多的安全策略集合。 Flask安全體系結(jié)構(gòu) ? Flask體系結(jié)構(gòu)使策略可變通性的實(shí)現(xiàn)成為可能。特殊安全體系要表達(dá)系統(tǒng)分量、接口、標(biāo)準(zhǔn)、性能和開(kāi)銷，它表明如何把所有被選擇的信息安全分量和機(jī)制結(jié)合起來(lái)以滿足我們正在考慮的特殊系統(tǒng)的安全需求。邏輯體系與下面將描述的特殊體系的僅有的不同之處在于：特殊體系是使用系統(tǒng)的實(shí)際體系，而邏輯體系是假想的體系，是為理解或者其它目的而提出的。 ? 3. 邏輯體系 (Logical Architecture)。它定義了系統(tǒng)分量的通用類型 (general type)及使用相關(guān)行業(yè)標(biāo)準(zhǔn)的情況，它也明確規(guī)定系統(tǒng)應(yīng)用中必要的指導(dǎo)原則。 ? 2. 通用體系 (Generic Architecture)。抽象體系從描述需求開(kāi)始，定義執(zhí)行這些需求的功能函數(shù)。它描述確保系統(tǒng)忠實(shí)于安全需求的整個(gè)開(kāi)發(fā)過(guò)程的所有方面。根據(jù)系統(tǒng)設(shè)計(jì)的要求及工程設(shè)計(jì)的理論和方法，明確系統(tǒng)設(shè)計(jì)的各方面的基本原則。這可以用邏輯框圖來(lái)表達(dá)，主要用以在抽象層次上按滿足安全需求的方式來(lái)描述系統(tǒng)關(guān)鍵元素之間的關(guān)系。這包括系統(tǒng)可能提供的所有安全服務(wù)及保護(hù)系統(tǒng)自身安全的所有安全措施，描述方式可以用自然語(yǔ)言，也可以用形式語(yǔ)言。 ? 因此系統(tǒng)對(duì)各種要求的滿足程度必須在各種要求之間進(jìn)行全局性地折衷考慮，并通過(guò)恰當(dāng)?shù)膶?shí)現(xiàn)方式表達(dá)出這些考慮，使系統(tǒng)在實(shí)現(xiàn)時(shí)各項(xiàng)要求有輕重之分，這就是體系結(jié)構(gòu)要完成的主要任務(wù)。一般來(lái)說(shuō)安全策略是非常簡(jiǎn)單的，而且很容易用適當(dāng)?shù)男问交椒ū硎境鰜?lái)。 7. 無(wú)干擾模型 ? Goguen與 Meseguer在 1982年提出了一種基于自動(dòng)機(jī)理論和域隔離的安全系統(tǒng)事項(xiàng)方法，這個(gè)方法分為 4個(gè)階段： ? （ 1）判定一給定機(jī)構(gòu)的安全需求； ? （ 2）用正式 /形式化的安全策略表示這些需求； ? （ 3）把機(jī)構(gòu)正在（或?qū)⒁┦褂玫南到y(tǒng)模型化； ? （ 4）驗(yàn)證此模型滿足策略的需求。同時(shí)建立另一張表“域交互表” (Domain Interaction Table)，描述各個(gè)域之間的許可訪問(wèn)模式（如創(chuàng)建、發(fā)信號(hào)、切換）。每個(gè)主體有一個(gè)屬性 ── 域，每個(gè)客體有一個(gè)屬性 ── 類型，這樣所有的主體被劃分到若干個(gè)域中，所有的客體被劃分到若干個(gè)類型中。 6. DTE模型 ? DTE模型最初由 Boebert和 Kain提出，經(jīng)修改后在 LOCK系統(tǒng)中得到實(shí)現(xiàn)。 ? 角色，就是業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工。 5. 基于角色的訪問(wèn)控制模型 ? 基于角色的訪問(wèn)控制模型（ RoleBased Access Control，RBAC）提供了一種強(qiáng)制訪問(wèn)控制機(jī)制。 ? 然而在實(shí)際系統(tǒng)中，盡管不一定能直接為主體所見(jiàn)，許多客體（包括緩沖池、定額變量、全程計(jì)數(shù)器等等）還是可以被所有不同安全級(jí)的主體更改和讀取，這樣入侵者就可能利用這些客體間接地傳遞信息。 4. 信息流模型 ? 許多信息泄露問(wèn)題（如隱蔽通道）并非存取控制機(jī)制不完善，而是由于缺乏對(duì)信息流的必要保護(hù)。良構(gòu)事務(wù)的概念是指一個(gè)用戶不能任意操作數(shù)據(jù)，只能用一種能夠確保數(shù)據(jù)完整性的受控方式來(lái)操作數(shù)據(jù)。 3. ClarkWilson完整性模型 ? 在商務(wù)環(huán)境中， 1987年 David Clark和 David Wilson所提出的完整性模型具有里程碑的意義，它是完整意義上的完整性目標(biāo)、策略和機(jī)制的起源，在他們的論文中，為了體現(xiàn)用戶完整性，他們提出了職責(zé)隔離目標(biāo)；為了保證數(shù)據(jù)完整性，他們提出了應(yīng)用相關(guān)的完整性驗(yàn)證進(jìn)程；為了建立過(guò)程完整性，他們定義了對(duì)于轉(zhuǎn)換過(guò)程的應(yīng)用相關(guān)驗(yàn)證；為了約束用戶、進(jìn)程和數(shù)據(jù)之間的關(guān)聯(lián)，他們使用了一個(gè)三元組結(jié)構(gòu)。 ? Biba模型也是基于主體、客體以及它們的級(jí)別的概念的。 2. Biba模型 ? BLP模型通過(guò)防止非授權(quán)信息的擴(kuò)散保證系統(tǒng)的安全，但它不能防止非授權(quán)修改系統(tǒng)信息。 1. BellLaPadula（ BLP）模型 ? BellLaPadula模型（簡(jiǎn)稱 BLP模型）是 D. Elliott Bell和Leonard J. LaPadula于 1973年提出的一種適用于軍事安全策略的計(jì)算機(jī)操作系統(tǒng)安全模型，它是最早、也是最常用的一種計(jì)算機(jī)多級(jí)安全模型之一。非形式化安全模型僅模擬系統(tǒng)的安全功能；形式化安全模型則使用數(shù)學(xué)模型，精確地描述安全性及其在系統(tǒng)中使用的情況。安全模型有以下 4個(gè)特點(diǎn)： ? 它是精確的、無(wú)歧義的； ? 它是簡(jiǎn)易和抽象的，所以容易理解； ? 它是一般性的：只涉及安全性質(zhì)，而不過(guò)度地牽扯系統(tǒng)的功能或其實(shí)現(xiàn)； ? 它是安全策略的明顯表現(xiàn)。但是如果對(duì)系統(tǒng)的安全需求了解的不清楚，即使運(yùn)用最好的軟件技術(shù)，投入最大的精力，也很難達(dá)到安全要求的目的。 ? 安全模型描述了對(duì)某個(gè)安全策略需要用哪種機(jī)制來(lái)滿足；而模型的實(shí)現(xiàn)則描述了如何把特定的機(jī)制應(yīng)用于系統(tǒng)中，從而實(shí)現(xiàn)某一特定安全策略所需的安全保護(hù)。 ? 審計(jì)為系統(tǒng)進(jìn)行事故原因的查詢、定位，事故發(fā)生前的預(yù)測(cè)、報(bào)警以及事故發(fā)生之后的實(shí)時(shí)處理提供詳細(xì)、可靠的依據(jù)和支持，以備有違反系統(tǒng)安全規(guī)則的事件發(fā)生后能夠有效地追查事件發(fā)生的地點(diǎn)和過(guò)程以及責(zé)任人。它的主要目的就是檢測(cè)和阻止非法用戶對(duì)計(jì)算機(jī)系統(tǒng)的入侵，并顯示合法用戶的誤操作。這些都需要一個(gè)機(jī)制保障用戶和內(nèi)核的通信，這種機(jī)制就是由可信通路提供的。系統(tǒng)必須防止特洛伊木馬模仿登錄過(guò)程，竊取用戶的口令。 可信通路 ? 在計(jì)算機(jī)系統(tǒng)中，用戶是通過(guò)不可信的中間應(yīng)用層和操作系統(tǒng)相互作用的。 ? 最小特權(quán)管理的思想是系統(tǒng)不應(yīng)給用戶超過(guò)執(zhí)行任務(wù)所需特權(quán)以外的特權(quán)，如將超級(jí)用戶的特權(quán)劃分為一組細(xì)粒度的特權(quán)，分別授予不同的系統(tǒng)操作員 /管理員，使各種系統(tǒng)操作員 /管理員只具有完成其任務(wù)所需的特權(quán)，從而減少由于特權(quán)用戶口令丟失或錯(cuò)誤軟件、惡意軟件、誤操作所引起的損失。另外超級(jí)用戶的誤操作也是系統(tǒng)極大的潛在安全隱患。這種特權(quán)管理方式便于系統(tǒng)維護(hù)和配置，但不利于系統(tǒng)的安全性。 最小特權(quán)管理 ? 在現(xiàn)有一般多用戶操作系統(tǒng)（如 UNIX、 Linux等）的版本中，超級(jí)用戶具有所有特權(quán)，普通用戶不具有任何特權(quán)。 ? 用戶使用自主訪問(wèn)控制防止其他用戶非法入侵自己的文件，強(qiáng)制訪問(wèn)控制則作為更強(qiáng)有力的安全保護(hù)方式，使用戶不能通過(guò)意外事件和有意識(shí)的誤操作逃避安全控制。 強(qiáng)制訪問(wèn)控制和自主訪問(wèn)控制 ? 強(qiáng)制訪問(wèn)控制和自主訪問(wèn)控制是兩種不同類型的訪問(wèn)控制機(jī)制，它們常結(jié)合起來(lái)使用。如果系統(tǒng)判定擁有某一安全屬性的主體不能訪問(wèn)某個(gè)客體，那么任何人（包括客體的擁有者）也不能使它訪問(wèn)該客體。 ? 當(dāng)一進(jìn)程訪問(wèn)一個(gè)客體 (如文件 )時(shí)，調(diào)用強(qiáng)制訪問(wèn)控制機(jī)制，根據(jù)進(jìn)程的安全屬性和訪問(wèn)方式，比較進(jìn)程的安全屬性和客體的安全屬性，從而確定是否允許進(jìn)程對(duì)客體的訪問(wèn)。另外自主也指對(duì)其他具有授予某種訪問(wèn)權(quán)力的用戶能夠自主地（可能是間接的）將訪問(wèn)權(quán)或訪問(wèn)權(quán)的某個(gè)子集授予另外的用戶。 ? 亦即使用自主訪問(wèn)控制機(jī)制，一個(gè)用戶可以自主地說(shuō)明他所擁有的資源允許系統(tǒng)中哪些用戶以何種權(quán)限進(jìn)行共享。 訪問(wèn)控制 ? 在安全操作系統(tǒng)領(lǐng)域中，訪問(wèn)控制一般都涉及 ? 自主訪問(wèn)控制（ Discretionary Access Control， DAC） ? 強(qiáng)制訪問(wèn)控制（ Mandatory Access Control，MAC）兩種形式 自主訪問(wèn)控制 ? 自主訪問(wèn)控制是最常用的一類訪問(wèn)控制機(jī)制，用來(lái)決定一個(gè)用戶是否有權(quán)訪問(wèn)一些特定客體的一種訪問(wèn)約束機(jī)制。用戶標(biāo)識(shí)符必須是惟一的且不能被偽造，防止一個(gè)用戶冒充另一個(gè)用戶。 標(biāo)識(shí)與鑒別 ? 標(biāo)識(shí)與鑒別是涉及系統(tǒng)和用戶的一個(gè)過(guò)程。 ? 計(jì)算機(jī)硬件安全的目標(biāo)是，保證其自身的可靠性和為系統(tǒng)提供基本安全機(jī)制。 ? 7. 保障固件和硬件正確的程序和診斷軟件。 ? 5. 其它有關(guān)的固件、硬件和設(shè)備。 ? 3. 處理敏感信息的程序，如系統(tǒng)管理命令等。具體來(lái)說(shuō)可信計(jì)算基由以下 7個(gè)部分組成： ? 1. 操作系統(tǒng)的安全內(nèi)核。安全內(nèi)核由硬件和介于硬件和操作系統(tǒng)之間的一層軟件組成 可信計(jì)算基 ? 操作系統(tǒng)的安全依賴于一些具體實(shí)施安全策略的可信的軟件和硬件。同時(shí)絕不能有任何繞過(guò)安全內(nèi)核存取控制檢查的存取行為存在。所以在重新生成操作系統(tǒng)過(guò)程中，可用其中安全相關(guān)的軟件來(lái)構(gòu)成操作系統(tǒng)的一個(gè)可信內(nèi)核，稱之為安全內(nèi)核。訪問(wèn)監(jiān)控器是一個(gè)抽象概念，它表現(xiàn)的是一種思想。安全模型描述了對(duì)某個(gè)安全策略需要用哪種機(jī)制來(lái)滿足；而模型的實(shí)現(xiàn)則描述了如何把特定的機(jī)制應(yīng)用于系統(tǒng)中，從而實(shí)現(xiàn)某一特定安全策略所需的安全保護(hù)。 例如，可以將安全策略定為：系統(tǒng)中的用戶和信息被劃分為不同的層次，一些級(jí)別比另一些級(jí)別高；而且如果主體能讀訪問(wèn)客體，當(dāng)且僅當(dāng)主體的級(jí)別高于或等于客體的級(jí)別；如果主體能寫訪問(wèn)客體，當(dāng)且僅當(dāng)主體的級(jí)別低于或等于客體的級(jí)別。于是，該進(jìn)程成為該用戶的客體，或?yàn)榱硪贿M(jìn)程的客體（這時(shí)另一進(jìn)程則是該用戶的客體） 安全策略和安全模型 ? 安全策略與安全模型是計(jì)算機(jī)安全理論中容易相互混淆的兩個(gè)概念。操作系統(tǒng)中的進(jìn)程（包括用戶進(jìn)程和系統(tǒng)進(jìn)程）一般有著雙重身份。 ? 客體是一個(gè)被動(dòng)的實(shí)體。進(jìn)程是系統(tǒng)中最活躍的實(shí)體，用戶的所有事件要求都要通過(guò)進(jìn)程的運(yùn)行來(lái)處理。每個(gè)進(jìn)入系統(tǒng)的用戶必須是惟一標(biāo)識(shí)的，并經(jīng)過(guò)鑒別確定為真實(shí)的。主體是一個(gè)主動(dòng)的實(shí)體，它包括用戶、用戶組、進(jìn)程等。 安全操作系統(tǒng)的基本概念 ? 安全操作系統(tǒng)涉及很多概念： ? 主體和客體 ? 安全策略和安全模型 ? 訪問(wèn)監(jiān)控器和安全內(nèi)核以及可信計(jì)算基。 2023年 3月 8日，我國(guó)國(guó)家技術(shù)監(jiān)督局發(fā)布了國(guó)家標(biāo)準(zhǔn) GB/T18336－ 2023《 信息技術(shù)安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 》 ，它基本上等同采用了國(guó)際通用安全評(píng)價(jià)準(zhǔn)則 CC。中國(guó)計(jì)算機(jī)軟件與技術(shù)服務(wù)總公司以美國(guó) TCSEC標(biāo)準(zhǔn)的 B1級(jí)為安全目標(biāo)，對(duì)其 COSIX 。 ? 信息產(chǎn)業(yè)部 30所控股的三零盛安公司推出的強(qiáng)林 Linux安全操作系統(tǒng)，達(dá)到了我國(guó) GB17859－ 1999第三級(jí)的安全要求。 SecLinux系統(tǒng)提供了身份標(biāo)識(shí)與鑒別、自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制、最小特權(quán)管理、安全審計(jì)、可信通路、密碼服務(wù)、網(wǎng)絡(luò)安全服務(wù)等方面的安全功能。 2023年前后，我國(guó)安全操作系統(tǒng)研究人員相繼推出了一批基于 Linux的安全操作系統(tǒng)開(kāi)發(fā)成果。該標(biāo)準(zhǔn)已于 2023年起強(qiáng)制執(zhí)行。 ? 1998年，電子工業(yè)部十五所基于 UnixWare TCSEC標(biāo)準(zhǔn)的 B1級(jí)安全要求，對(duì) Unix操作系統(tǒng)的內(nèi)核進(jìn)行了安全性增強(qiáng)。 COSIX TCSEC的 B1和 B2級(jí)安全要求之間，當(dāng)時(shí)定義為 B1＋，主要實(shí)現(xiàn)的安全功能包括安全登錄、自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制、特權(quán)管理、安全審計(jì)和可信通路等。 ? 1993年，海軍計(jì)算技術(shù)研究所繼續(xù)按照美國(guó) TCSEC標(biāo)準(zhǔn)的 B2級(jí)安全要求，圍繞 Unix ，實(shí)現(xiàn)了 國(guó)產(chǎn)自主的安全增強(qiáng)包 。 國(guó)內(nèi)安全操作系統(tǒng)的發(fā)展 ? 國(guó)內(nèi)也進(jìn)行了許多有關(guān)安全操作系統(tǒng)的開(kāi)發(fā)研制工作，并取得了一些研究成果。 ? 與傳統(tǒng)的基于 TCSEC標(biāo)準(zhǔn)的開(kāi)發(fā)方法不同， 1997年美國(guó)國(guó)家安全局和安全計(jì)算公司完成的 DTOS安全操作系統(tǒng)采用了基于安全威脅的開(kāi)發(fā)方法 。一些 Flask的接口和組件就是從 Fluke到 OSKit中的接口和組件中繼承下來(lái)的。在將結(jié)構(gòu)移植到 Fluke的過(guò)程中，他們改良了結(jié)構(gòu)以更好地支持動(dòng)態(tài)安全策略。此外 DTOS項(xiàng)目產(chǎn)生了一些學(xué)術(shù)報(bào)告、系統(tǒng)形式化的需求說(shuō)明書、安全策略和特性的分析、組合技術(shù)的研究和對(duì)多種微內(nèi)核系統(tǒng)安全和保證的研究。 DTMach項(xiàng)目的后繼項(xiàng)目是 分布式可信操作系統(tǒng)（ Distributed Trusted Operating System， DTOS）。 CC