　　《操作系统安全设计/高等院校信息安全专业规划教材》系统地介绍了经典的操作系统安全设计的相关理论和实践技术，并融入了最新的可信计算技术、系统虚拟化技术，以及未来的云操作系统进展及其安全实践。
　　《操作系统安全设计/高等院校信息安全专业规划教材》内容由浅入深，分为“基础篇”、“理论篇”、“实践篇”和“趋势篇”四大部分。“基础篇”重点介绍操作系统基本安全概念、通用安全需求、安全标准和必要的安全机制等。“理论篇”重点介绍操作系统安全建模理论、安全体系结构设计思想，以及安全保证技术和测评方法等。“实践篇”重点介绍安全操作系统设计与实现技术的案例，以及基于安全操作系统的应用系统安全案例。“趋势篇”重点介绍最新的可信计算技术、系统虚拟化技术，以及操作系统进展及其安全实践。读者可以依据不同层面的需求灵活地选用相关部分的内容进行阅读。《操作系统安全设计/高等院校信息安全专业规划教材》的每一章后面都附有习题和参考文献，便于读者对各章的内容进行思考和深入理解。
　　《操作系统安全设计/高等院校信息安全专业规划教材》重点面向计算机、软件工程、信息安全等相关专业的高等院校本科生，也适用于高等院校和科研机构相关专业的硕士生和博士生，还可以作为相关学科领域科研人员、工程技术人员的参考用书。

作者简介

沈晴霓，北京大学副教授，硕士生导师。先后担任北京大学软件与微电子学院信息安全系副系主任，软件技术与服务工程学科组副组长。我国自主研发的“结构化保护级”安胜安全操作系统的主要完成人之一。近年来主要研究方向包括：操作系统与虚拟化安全、云计算和大数据安全、可信计算等。主持和参加多项国家自然科学基金重点项目、核高基重大专项、973项目、863项目。申请国内外发明专利20多项。已登记国家软件著作权5项。卿斯汉，国际知名信息安全专家。中国科学院软件研究所首席研究员，中国科学院信息工程研究所信息安全国家重点实验室首席研究员，北京大学软件与微电子学院信息安全系首届系主任、教授、博士生导师。享受国家特殊津贴。现任国家保密局技术顾问、中国科学院“十二五”信息安全工程监理组组长、全国信息安全标准化技术委员会委员、可信计算工作组组长、亚洲密码学会执行委员会委员、微软公司全球专家委员会(TCAAB)委员等。主持国家重大攻关项目、国务院信息办重点攻关项目、973项目、863项目等80多项。获得国家科技进步奖2次、中科院科技进步奖3次，排名均为第一。

编委会
丛书序
前言
教学建议

第一部分基础篇
第1章引言
1.1 操作系统安全威胁与安全需求
1.1.1 安全威胁类型
1.1.2 通用安全需求
1.2 操作系统安全是信息系统安全的基础
1.3 国内外安全操作系统发展历史与现状
1.3.1 国外安全操作系统发展历史与现状
1.3.2 国内安全操作系统发展历史与现状
1.4 计算机系统安全等级划分与评测标准
1.4.1 标准发展概况
1.4.2 TCSEC准则
1.4.3 CC准则
1.5 相关术语
1.6 本章小结
习题
参考文献

第2章基本概念
2.1 系统边界与安全周界
2.2 可信软件与不可信软件
2.3 访问控制基本概念
2.3.1 主体与客体
2.3.2 访问控制矩阵
2.3.3 引用监控器
2.3.4 安全内核
2.4 构建安全的基本要素
2.4.1 安全策略
2.4.2 安全机制
2.4.3 安全保证
2.5 可信计算基
2.6 本章小结
习题
参考文献

第3章操作系统基本安全机制
3.1 硬件安全机制
3.1.1 存储安全
3.1.2 运行安全
3.1.3 I/O安全
3.2 访问控制机制
3.2.1 自主访问控制
3.2.2 客体重用
3.2.3 安全标记
3.2.4 强制访问控制
3.3 可追究机制
3.3.1 标识与鉴别
3.3.2 可信通路
3.3.3 安全审计
3.4 连续保护机制
3.4.1 系统完整性
3.4.2 隐蔽通道分析
3.4.3 最小特权管理
3.4.4 可信恢复
3.5 本章小结
习题
参考文献

第4章通用操作系统安全机制
4.1 UNIX/Linux操作系统安全机制
4.1.1 系统结构
4.1.2 安全机制
4.2 Windows NT/XP操作系统安全机制
4.2.1 系统结构
4.2.2 安全模型
4.2.3 安全机制
4.3 本章小结
习题
参考文献

第二部分理论篇
第5章安全策略与安全模型
5.1 安全策略
5.1.1 安全策略概述
5.1.2 安全策略类型
5.1.3 策略表达语言
5.2 安全模型
5.2.1 安全模型的作用和特点
5.2.2 形式化安全模型设计目标与要求
5.2.3 状态机安全模型的一般开发方法
5.3 机密性策略与模型
5.3.1 机密性策略目标
5.3.2 Bell-LaPadula模型
5.3.3 Bell-LaPadula模型分析与改进
5.4 完整性策略与模型
5.4.1 完整性策略目标
5.4.2 Biba模型
5.4.3 Clark-Wilson模型
5.5 混合型/中立型安全策略与模型
5.5.1 中国墙模型
5.5.2 基于角色的访问控制模型
5.5.3 域和型强制实施模型
5.6 其他模型
5.6.1 安全信息流模型
5.6.2 无干扰安全模型
5.7 本章小结
习题
参考文献

第6章安全体系结构
6.1 安全体系结构基本概念
6.1.1 安全体系结构定义
6.1.2 安全体系结构分类
6.2 安全体系结构设计原则与目标
6.2.1 设计原则
6.2.2 设计目标
6.3 GFAC通用访问控制框架
6.4 Flask安全体系结构与LSM框架
6.4.1 Flask安全体系结构
6.4.2 LSM访问控制框架
6.5 权能安全体系结构
6.5.1 权能与访问控制列表
6.5.2 EROS系统及其权能体系
6.6 本章小结
习题
参考文献

第7章安全保证技术
7.1 概述
7.1.1 安全保证的概念
7.1.2 安全保证的必要性
7.1.3 安全保证中需求的作用
7.2 安全开发生命周期
7.2.1 系统的生命周期
7.2.2 瀑布型生命周期模型
7.2.3 安全开发生命周期
7.3 安全测试技术
7.3.1 老虎队和善意黑客
7.3.2 安全测试的基本过程
7.4 形式化规范与验证技术
7.4.1 形式化方法概述
7.4.2 形式化方法的应用研究
7.4.3 常用形式化规范与验证技术
7.5 安全测评方法
7.5.1 传统安全性保证手段
7.5.2 操作系统安全评测方法
7.6 本章小结
习题
参考文献

第三部分实践篇
第8章安全操作系统设计与实现技术
8.1 安全操作系统设计原则
8.2 安全操作系统的一般开发过程
8.3 安全操作系统的常用开发方法
8.3.1 虚拟机法
8.3.2 改进/增强法
8.3.3 仿真法
8.4 安全操作系统设计和实现案例
8.4.1 安全目标
8.4.2 总体结构设计
8.4.3 安全内核的开发
8.4.4 多策略安全模型
8.4.5 多级分层文件系统
8.4.6 隐蔽存储通道分析
8.4.7 安全加密文件系统
8.4.8 客体重用机制
8.5 注意的问题
8.5.1 TCB的设计与实现
8.5.2 安全机制的友好性
8.5.3 效率和兼容性考虑
8.6 本章小结
习题
参考文献

第9章安全操作系统的应用
9.1 安全操作系统与Web服务器安全
9.1.1 Web服务器概述
9.1.2 安全Web服务器概念及解决方案
9.1.3 多级安全Web服务器
9.2 安全操作系统与防火墙安全
9.2.1 防火墙及其安全技术
9.2.2 基于安全操作系统的防火墙保护机制
9.3 安全操作系统与数据库安全
9.3.1 数据库安全威胁与安全需求
9.3.2 数据库安全与操作系统安全的关系
9.3.3 多级安全数据库
9.4 本章小结
习题
参考文献

第四部分趋势篇
第10章可信计算技术
10.1 概述
10.1.1 可信计算的概念
10.1.2 可信计算的形成历程
10.1.3 可信计算组织TCG
10.1.4 国内外可信计算产品与技术发展
10.2 可信平台/密码模块TPM/TCM
10.2.1 可信平台模块TPM
10.2.2 可信密码模块TCM
10.2.3 TCM、TPM、TPM.next之间的关系
10.3 可信平台相关技术
10.3.1 可信平台构件
10.3.2 可信边界
10.3.3 可传递的信任
10.3.4 完整性度量
10.3.5 完整性报告
10.3.6 TCG证书机制
10.3.7 TCG密钥管理机制
10.4 基于TPM/TCM的可信操作系统
10.4.1 主流操作系统的安全性问题
10.4.2 可信操作系统的TPM/TCM支持要求
10.4.3 基于TPM/TCM的可信操作系统核心机制
10.5 本章小结
习题
参考文献

第11章系统虚拟化技术
11.1 概述
11.1.1 背景介绍
11.1.2 系统虚拟化技术的分类
11.1.3 x86架构虚拟化实现技术
11.1.4 支持虚拟化的硬件体系结构
11.1.5 主流的系统虚拟化软件
11.2 虚拟化平台安全机制
11.2.1 安全性分析
11.2.2 虚拟机监控器安全体系结构
11.2.3 虚拟机迁移安全机制
11.2.4 虚拟机安全监控技术
11.2.5 虚拟机之间的隐蔽通道分析
11.2.6 虚拟机之间的I/O隔离技术
11.3 虚拟可信平台技术
11.3.1 虚拟平台工作组简介
11.3.2 虚拟可信平台体系架构
11.3.3 虚拟可信平台安全问题
11.3.4 虚拟可信平台研究进展
11.4 本章小结
习题
参考文献

第12章操作系统进展及其安全实践
12.1 SELinux操作系统
12.1.1 从DTMach到SELinux
12.1.2 SELinux的安全策略模型
12.1.3 SELinux的安全体系结构
12.2 Solaris 10操作系统
12.2.1 Solaris的发展史
12.2.2 Solaris 10的安全体系结构
12.2.3 Solaris 10的安全特性
12.3 Windows Vista/Windows 7操作系统
12.3.1 Windows Vista安全体系结构
12.3.2 Windows Vista安全机制和技术
12.3.3 Windows 7安全改进
12.4 未来云操作系统
12.4.1 Google Chrome OS
12.4.2 Windows Azure
12.4.3 Android OS
12.5 本章小结
习题
参考文献