本书共分10章，全面介绍操作系统安全的基本理论与关键技术。主要包括：操作系统安全的基本概念和理论，介绍基本概念、安全机制、安全模型、安全体系结构等内容；操作系统的安全的关键技术与方法，如形式化规范与验证、隐蔽通道的分析与处理、安全操作系统设计等；操作系统安全评测；安全操作系统的网络扩展。

本书内容丰富，题材新颖，深入浅出，特点鲜明，理论结合实际，包括操作系统安全研究的最新成果，也包括作者在此领域长期潜心研究的科研成果。

本书可以作为计算机、通信、信息安全等专业的高年级本科生、硕士生和博士生的教材，也可以作为广大教学、科研和工程技术人员的参考书。

肖国镇，中国著名密码专家，西安电子科技大学教授暨信息保密研究所所长，中国密码学会副理事长，中国电子学会信息论电子委员会副主任，中国计算机学会数据安全与保密委员会副主任委员。近几年来，因特网的应用迅速普及与发展，特别是我国电子政务与电子商务的应用日新月异。信息技术的发展提高了信息共享的程度，但信息共享与信息安全是一对矛盾，信息共享的发展呼唤信息安全。目前，我国正在大力发展信息技术与信息基础平台的建设。与此同步，我们必须大力加强信息安全基础设施的建设，这首先应当从加强我国自主版权的高等级安全操作系统的研制与开发抓起。

信息安全基础设施的关键是安全操作系统，建设以我国自主知识产权为基础的安全操作系统，形成一系列基于安全操作系统的信息安全产品，是加强我国信息安全基础设施的根本保证。没有操作系统安全，就不可能真正解决数据库安全、网络安全和其他应用系统的安全问题。西方国家，无论在高安全等级操作系统的关键技术，还是在产品出口方面，都对我们实行保密与限制。因此，可以说，在一定程度上，一个国家的安全操作系统研制水平，代表一个国家在信息安全领域的整体水平。

最近，我国加强了安全操作系统的研究，包括操作系统安全基础理论的研究与高安全等级操作系统的研制。但遗憾的是，长期以来，我国关于操作系统安全的著作几乎为空白，不利于我国安全操作系统领域的整体发展。有鉴于此，基于我们在此领域的长期技术积累与工程实践，在中国科学院科学出版基金的支持下，于2003年初由科学出版社出版了我们的专著——《操作系统安全导论》。这是我国关于操作系统安全的第一部专著，不但全面介绍了操作系统的安全特性，总结了国际最新研究成果，也包括作者的最新科研成果。既包含作者在安全操作系统理论研究方面的成果，也包含作者在工程实践方面的成果，即安全操作系统的设计、实现与体系结构等方面的具体成果。 

上述专著出版后，反响很好。不少专家与领导建议，尽快出版一部关于操作系统安全的教材，满足我国高等学校和研究机构培养高素质信息安全人才的迫切需求。在清华大学出版社与本丛书编委会的大力推动与支持下，本书作为这方面的教材，即将与广大读者见面。该书与专著《操作系统安全导论》有了很大的不同。专著强调理论的先进性与最新科研成果；本书强调技术的成熟性与基本理论和技术。二者互为补充。为了适应学生学习与教师教学的需求，本书首先进行了精心的选材和编排，不强调多而全，而强调少而精，即非基本的内容不选，对精选的内容尽量给予清楚、明确的阐述。其次，本书还有以下特色: 书中包括作者自身的科研成果，包含了国内外文献中很少涉及的技术细节，有助于读者加深对操作系统安全内涵的理解；此外，本书每一章后面都附有习题，便于读者对本章内容进行进一步的思考，最后，本书对操作系统安全领域关键理论与技术的热点问题及发展方向进行了充分的探讨。

[TP.TIF;Y-9mm,Y,BP%〗本书共分10章。第1章是引言（卿斯汉、刘文清编写），介绍操作系统面临的安全威胁、安全操作系统研究的发展历程、有关的定义和术语以及本书的组织与编排。第2章是基本概念（卿斯汉、刘文清编写），介绍操作系统安全的基本概念及预备知识。第3章是安全机制（刘文清编写），内容包括硬件安全机制、标识与鉴别、自主存取控制与强制存取控制、最小特权管理、可信通路、安全审计等内容，并具体介绍了UNIX/Linux操作系统的安全机制。第4章是安全模型（卿斯汉、刘海峰编写），介绍安全模型在安全操作系统中的重要地位，安全模型的分类以及若干典型的安全模型，如BellLaPalula、Biba、RBAC、DTE、ClarkWilson、信息流和无干扰模型。第5章是安全体系结构（季庆光编写），通过详细讲解Flask体系和权能体系两个典型实例，说明安全体系结构的含义、类型及设计原则。第6章是形式化规范与验证（温红子编写），内容包括形式化安全验证的原理、系统结构和典型实例——ASOS。第7章是隐蔽通道的分析与处理（朱继锋编写），阐述了隐蔽通道的概念、分类、标识技术、带宽计算技术、处理技术等内容。第8章是安全操作系统设计（刘文清编写），阐述了安全操作系统设计的原则、方法、过程及应注意的问题，并给出了几个典型的设计实例。第9章是操作系统安全评测（刘海峰、刘文清编写），介绍了评测方法以及国内外相关评测标准。第10章是安全操作系统的网络扩展（温红子、赵志科编写），介绍了安全操作系统的概念、策略、机制等在网络上的扩展和应用。本书成文后，温红子、刘文清做了进一步处理与修改。全书由卿斯汉统一策划与设计，并做了最后的校对、完善与统稿。

在本书的写作过程中，得到了中国科学院信息安全技术工程研究中心广大科研人员的鼓励、支持和帮助。本书涉及的许多科研成果，是由他们共同努力完成的。在此，我们特别感谢: 倪惜珍研究员、贺也平副研究员、朱继锋博士生、季庆光博士生、李丽萍博士生、唐柳英博士生、沈晴霓博士生、何建波博士生、赵志科硕士。

在本书写作与出版方面，以及在作者对操作系统安全的研究中，得到了主管单位与许多部门，以及著名专家的支持和鼓励。其中包括中国科学院、公安部、国家保密局、中国科学院软件研究所、国家自然科学基金委员会、中国电子学会、中国计算机学会、清华大学出版社、张效祥、何德全、沈昌祥、汪成为、蔡吉人、周仲义、魏正耀、胡启恒、李未、倪光南、桂文庄。

本书的出版得到国家自然科学基金（60083007）和国家重点基础研究发展规划（973）项目（G1999035810）的支持，在此表示感谢。作者还要特别提到本丛书的编委会主任肖国镇教授，对他的一贯支持与指导，以及为本书作序表示谢意。作者同时感谢本书的责任编委胡道元教授，他对本书的架构与组织提出了宝贵建议。最后，作者衷心感谢清华大学出版社的支持和努力。

本书主要的读者对象是信息安全、计算机等专业的高年级本科生、硕士和博士研究生，也可供计算机、信息和通信等相关专业的教学、科研和工程技术人员参考。受作者水平与时间仓促的限制，如书中出现错误与不足，敬请广大读者不吝赐教。

第1章引言1

1.1操作系统面临的安全威胁1

1.1.1病毒和蠕虫1

1.1.2逻辑炸弹2

1.1.3特洛伊木马3

1.1.4天窗3

1.1.5隐蔽通道4

1.2操作系统安全和信息系统安全5

1.3安全操作系统的研究发展6

1.4基本定义及术语11

1.5本章小结14

1.6习题14

第2章基本概念15

2.1安全功能与安全保证15

2.2可信软件与不可信软件16

2.3主体与客体17

2.4安全策略和安全模型18

2.5参照监视器和安全内核18

2.5.1参照监视器18

2.5.2安全内核19

2.6可信计算基22

2.7本章小结23

2.8习题23

第3章安全机制25

3.1硬件安全机制25

3.1.1存储保护26

3.1.2运行保护27

3.1.3I/O保护29

3.2标识与鉴别30

3.2.1基本概念30

3.2.2安全操作系统中的标识与鉴别机制30

3.2.3与鉴别有关的认证机制31

3.2.4口令管理32

3.2.5实现要点35

存取控制36

3.3.1自主存取控制36

3.3.2强制存取控制40

3.4最小特权管理46

3.4.1基本思想46

3.4.2一个最小特权管理机制的实现举例47

3.4.3特权细分举例49

3.5可信通路52

3.6安全审计53

3.6.1审计的概念53

3.6.2审计事件53

3.6.3审计记录和审计日志54

3.6.4一般操作系统审计的实现54

3.7UNIX/Linux的安全机制56

3.7.1标识56

3.7.2鉴别57

3.7.3存取控制58

3.7.4审计60

3.7.5密码61

3.7.6网络安全性62

3.7.7网络监控与入侵检测64

3.7.8备份/恢复65

3.8本章小结65

3.9习题66

第4章安全模型67

4.1安全模型的作用和特点67

4.2形式化安全模型设计68

4.3状态机模型原理70

4.4主要安全模型介绍71

4.4.1Bell\|LaPadula模型71

4.4.2Biba模型83

4.4.3Clark\|Wilson完整性模型87

4.4.4信息流模型91

4.4.5基于角色的存取控制（RBAC）模型97

4.4.6DTE模型101

4.4.7无干扰模型104

4.5本章小结105

4.6习题105

第5章安全体系结构106

5.1安全体系结构的含义及类型106

5.1.1安全体系结构107

5.1.2安全体系结构类型107

5.2计算机系统安全体系结构设计的基本原则108

5.3Flask体系112

5.3.1背景介绍112

5.3.2策略可变通性分析113

5.3.3Flask体系的设计与实现115

5.3.4特殊微内核特征119

5.3.5支持吊销机制120

5.3.6安全服务器122

5.3.7其他Flask对象管理器123

5.4权能(capability)体系126

5.4.1权能的一般概念127

5.4.2对权能的控制及实现方法127

5.4.3权能系统的局限性128

5.5本章小结128

5.6习题129

第6章形式化规范与验证130

6.1形式化安全验证技术原理131

6.1.1形式化验证技术131

6.1.2与安全操作系统开发相关的形式化验证技术132

6.1.3形式化验证中的层次分解技术133

6.2形式化安全验证系统结构137

6.2.1规范语言处理器137

6.2.2验证条件生成器138

6.2.3定理证明器138

6.3一个形式化验证技术在安全操作系统内核设计中的应用实例138

6.3.1Gypsy验证环境(GVE)简介139

6.3.2ASOS项目简介140

6.3.3保障目标及技术路线概览141

6.3.4ASOS安全模型142

6.3.5形式化顶层规范144

6.3.6具体验证过程147

6.4本章小结155

6.5习题155

第7章隐蔽通道分析与处理157

7.1隐蔽通道的概念158

7.1.1隐蔽通道与MAC策略159

7.1.2隐蔽通道的分类162

7.1.3模型解释缺陷166

7.1.4隐蔽通道的特征167

7.2隐蔽通道的标识技术167

7.2.1标识技术的发展168

7.2.2句法信息流分析法171

7.2.3无干扰分析173

7.2.4共享资源矩阵分析法175

7.2.5语义信息流分析法178

7.2.6隐蔽流树分析法180

7.2.7潜在隐蔽通道183

7.3隐蔽通道的带宽计算技术184

7.3.1影响带宽计算的因素185

7.3.2带宽计算的两种方法187

7.4处理技术190

7.4.1消除法191

7.4.2带宽限制法192

7.4.3威慑法193

7.4.4进一步讨论194

7.5本章小结195

7.6习题196

第8章安全操作系统设计197

8.1设计原则与一般结构197

8.2开发方法198

8.2.1虚拟机法199

8.2.2改进/增强法199

8.2.3仿真法199

8.2.4开发方法举例200

8.3一般开发过程201

8.4注意的问题203

8.4.1TCB的设计与实现203

8.4.2安全机制的友好性217

8.4.3兼容性和效率217

8.5设计举例218

8.5.1安胜安全操作系统v3.0218

8.5.2SELinux229

8.5.3Linux安全模块（LSM）231

8.6本章小结234

8.7习题235

第9章操作系统安全评测237

9.1操作系统安全性保证手段——漏洞扫描评估和系统性安全性评测237

9.1.1操作系统安全漏洞扫描237

9.1.2操作系统安全性评测238

9.2操作系统安全评测方法238

9.3安全评测准则239

9.3.1国内外安全评测准则概况239

9.3.2美国橘皮书242

9.3.3中国国标GB17859—1999255

9.3.4国际通用安全评价准则CC258

9.3.5中国推荐标准GB/T18336—2001284

9.4本章小结285

9.5习题285

第10章安全操作系统的网络扩展287

10.1网络体系结构287

10.2网络安全威胁和安全服务289

10.3分布式安全网络系统291

10.3.1网络安全策略293

10.3.2安全网络系统主体、客体和访问控制294

10.3.3安全域与相互通信295

10.3.4网络访问控制机制297

10.3.5数据安全信息标识与传输机制299

10.3.6数据传输保护机制301

10.4安全网络系统的发展趋势302

10.5本章小结303

10.6习题304

参考文献305