《安全操作系统原理与技术》是《信息安全国家重点实验室信息安全丛书》之一。全书主要内容涵盖了安全操作系统的各个方面：安全操作系统的研究发展进程、安全需求与安全策略、安全模型、安全体系结构、安全操作系统的设计与实现、国外知名安全操作系统介绍、安全操作系统测评标准以及安全操作系统的应用场景等等。《安全操作系统原理与技术》可作为高等院校计算机、通信、信息安全等专业的教学参考书，也可供从事相关专业的教学、科研和工程技术人员参考。

    一个安全系统必须提供一个定义和转换强制安全性策略的架构，用于定义操作系统的强制安全性策略，并把它转换成底层的操作系统强制安全性机制能够解释的形式。没有这样的架构，就不可能保证强制安全性机制会提供所需的安全特性。
    在一个提供强制安全性的操作系统中会出现高带宽的隐蔽信道，只要强制安全性策略涉及机密性因素，这就是一个无法避免的问题。不过，不要以此作为拒绝接受强制安全性的理由。就算可能会有隐蔽信道出现，通过提高敌手对付我们的系统所需要面对的工作的复杂度，具有基本强制控制的操作系统也能够增强系统的安全性。具有基本强制控制的系统一旦成为主流系统，利用隐蔽信道的现象将变得更加普遍，人们对解决系统中的隐蔽信道问题的关注程度也将会得到进一步的提高。
    在支持强制安全性的系统中，为了执行一些安全相关的功能，有些应用程序需要拥有强制策略中的特殊特权，这样的应用程序通常被称为可信应用程序，因为我们对它们正确执行安全相关的功能给予了信任，并且相信它们不会滥用所拥有的特权。如果安全操作系统的强制安全性机制只支持粗粒度的特权，整个系统的安全性就落到了系统中的可信应用程序的安全性之上。为了降低对可信应用程序的依赖程度，操作系统强制安全性机制的设计应支持最小特权原则。TE（TypeEnforcement）是强制安全性机制的一个例子，既可用于把可信应用程序的特权限制在完成任务所需的最小特权集合以内，也可用于限定因滥用特权可能导致的破坏的范围。 
    ……

第1章 绪论
1.1 计算机安全事件
1.2 数字威胁
1.2.1 安全威胁的根源
1.2.2 软件脆弱性报告
1.3 计算机安全
1.4 操作系统安全性的意义
1.4.1 操作系统的基础安全特性
1.4.2 操作系统安全性的基础作用
1.5 相关术语
思考题

第2章 通用操作系统的安全机制
2.1 Windows操作系统安全机制
2.1.1 WindowsNT／2000／XP系统结构
2.1.2 WindowsNT／2000／XP安全模型
2.1.3 WindowsNT／2000／XP系统登录过程
2.1.4 WindowsNT／2000／XP资源访问
2.1.5 WindowsNT／2000／XP安全审计
2.2 Linux操作系统的安全机制
2.2.1 身份标识与鉴别
2.2.2 自主访问控制
2.2.3 特权管理
2.2.4 安全审计
2.2.5 安全注意键
2.2.6 其他安全机制
思考题

第3章 安全操作系统研究的发展
3.1 引言
3.2 发展阶段划分方法
3.3 奠基时期
3.3.1 萌芽与访问控制抽象
3.3.2 引用监控器和安全核
3.3.3 隐蔽信道与BLP模型
3.3.4 保护机制结构与设计原则
3.3.5 操作系统保护理论
3.3.6 系统设计和开发
3.4 食谱时期
3.4.1 第一个计算机安全评价标准
3.4.2 LINUSIV系统的开发
3.4.3 安全XENIX系统的开发
3.4.4 SystemV／MLS系统的开发
3.4.5 安全TUNIS系统的开发
3.4.6 ASOS系统的开发
3.5 多策略时期
3.5.1 国防部目标安全体系结构
3.5.2 多策略环境中的安全策略支持范型
3.5.3 基于Mach的DTOS安全操作系统
3.6 动态策略时期
3.6.1 基于Fluke的Flask安全操作系统
3.6.2 基于Linux的SE-Linux安全操作系统
3.7 中国的安全操作系统研究开发工作
思考题

第4章 安全需求与安全策略
4.1 安全需求
4.1.1 信息的机密性需求
4.1.2 信息的完整性需求
4.1.3 信息的可记帐性需求
4.1.4 信息的可用性需求
4.2 安全策略
4.2.1 定义
4.2.2 策略语言
4.2.3 安全策略的分类
4.3 访问控制策略
4.3.1 访问控制属性
4.3.2 自主访问控制策略
4.3.3 强制访问控制策略
4.4 访问支持策略
4.4.1 标识与鉴别
4.4.2 可记帐性
4.4.3 确切保证
4.4.4 连续保护
4.4.5 客体重用
4.4.6 隐蔽信道
4.5 DTE策略
4.5.1 域的划分
4.5.2 型的划分
4.5.3 赋型规则
思考题

第5章 操作系统安全体系结构
5.1 安全体系结构的含义及类型
5.2 计算机系统的安全体系结构设计的基本原则
5.3 Flask体系
5.3.1 背景介绍
5.3.2 策略灵活性分析
5.3.3 Flask体系的设计与实现
5.3.4 特殊微内核特征
5.3.5 支持吊销机制
5.3.6 安全服务器
5.3.7 其他Flask对象管理器
5.3.8 LSM访问控制框架
5.3.9 Flask和LSM的结合
5.4 权能体系
5.4.1 权能的一般概念
5.4.2 对权能的控制及实现方法
5.4.3 权能系统的局限性
思考题

第6章 形式化方法与安全模型
6.1 形式化方法
6.2 形式化安全模型
6.3 基于访问控制矩阵的安全模型
6.3.1 Lampson访问控制矩阵模型
6.3.2 Graham-Denning模型
6.3.3 Harrison-Ruzzo-Ullrnan模型
6.4 基于格的安全模型
6.4.1 Bell-LaPadula模型介绍
6.4.2 D.Denning信息流模型
6.4.3 Biba模型
6.5 其他安全模型
6.5.1 Cark-Wilson模型
6.5.2 Chinese-Wall模型
6.5.3 RBAC模型
思考题

第7章 安全操作系统的设计与实现
7.1 安全操作系统的设计原理
7.2 安全操作系统的设计
7.2.1 隔离
7.2.2 安全内核
7.2.3 分层设计
7.2.4 环结构
7.3 安全操作系统的开发
7.3.1 安全操作系统开发方法
7.3.2 安全操作系统开发过程
7.3.3 安全操作系统的开发
7.4 安全操作系统关键技术的实现
7.4.1 自主访问控制的实现
7.4.2 强制访问控制的实现
7.4.3 最小特权的实现
7.4.4 安全审计的实现
7.4.5 隐蔽信道分析
思考题

第8章 国外知名安全操作系统介绍
8.1 SE-LINUX介绍
8.1.1 SE-Linux体系结构简介
8.1.2 SE-Linux中安全性标签的实现
8.1.3 SE-Linux中的访问权限检查
8.1.4 SE-Linux系统中的各子系统安全机制
8.2 EROS介绍
8.2.1 EROS的体系结构
8.2.2 能力与强制访问控制
8.2.3 EROS内核
8.2.4 EROS实现
8.2.5 EROS系统服务
8.3 DG／UXB2介绍
8.3.1 DG／UXB2的安全体系结构
8.3.2 DG／UXB2的安全特征
思考题

第9章 信息系统安全评估标准介绍
9.1 评估标准发展的趋势
9.2 评估标准的历史回顾
9.2.1 信息安全标准简介
9.2.2 不同标准的评估情况
9.2.3 实施评估的国家分布
9.3 计算机信息系统安全保护等级划分准则
9.3.1 第一级用户自主保护级
9.3.2 第二级系统审计保护级
9.3.3 第三级安全标记保护级
9.3.4 第四级结构化保护级
9.3.5 第五级访问验证保护级
9.4 信息技术安全性评估通用准则CC
9.4.1 CC结构
9.4.2 CC的适用范围
9.4.3 CC的目标读者
9.4.4 CC的文档组织
9.4.5 CC中的关键概念描述
9.4.6 CC的安全功能类
9.4.7 CC的安全保证类
9.4.8 CC的安全保证级别
思考题

第10章 安全操作系统应用场景
10.1 安全操作系统应用
10.2 安全操作系统应用场景之一：对堆栈溢出攻击的防范
10.2.1 什么是堆栈溢出攻击
10.2.2 堆栈溢出攻击的原理
10.3 安全操作系统应用场景之二：对口令攻击的防范
10.3.1 口令攻击的原理
10.3.2 口令攻击的方法
10.3.3 安全操作系统对口令攻击的防范
10.4 安全操作系统应用场景之三：对计算机病毒的防范
10.4.1 计算机病毒的定义
10.4.2 计算机病毒的历史
10.4.3 计算机病毒的分类
10.4.4 计算机反病毒技术
10.4.5 安全操作系统对计算机病毒的防范
10.5 安全操作系统应用场景之四：对拒绝服务攻击的防范
10.5.1 拒绝服务攻击的定义
10.5.2 拒绝服务攻击的分类
10.5.3 从DOS到DDOS
10.5.4 安全操作系统对拒绝服务攻击的防范
思考题
主要参考文献