網(wǎng)絡(luò)安全技術(shù)08

第八章Windows操作系統(tǒng)安全8內(nèi)容提要Windows系統(tǒng)架構(gòu)。Windows安全模型Windows安全機(jī)制Windows系統(tǒng)安全增強(qiáng)方法Windows安全配置方案Windows常見漏洞與解決方法安全操作系統(tǒng)的研究發(fā)展8.1Windows系統(tǒng)架構(gòu)

WindowsXP的結(jié)構(gòu)是層次結(jié)構(gòu)和C/S結(jié)構(gòu)的混合體。WindowsXP的系統(tǒng)結(jié)構(gòu)8.2Windows安全模型Windows系統(tǒng)在安全設(shè)計上有專門的安全子系統(tǒng)。安全子系統(tǒng)主要組成部分：本地安全授權(quán)（LSA）安全帳戶管理（SAM）安全參考監(jiān)視器（SRM）

Windows安全子系統(tǒng)8.3Windows安全機(jī)制

Windows認(rèn)證機(jī)制

Windows訪問控制機(jī)制

Windows審計/日志機(jī)制

Windows協(xié)議過濾和防火墻

Windows文件加密系統(tǒng)8.4Windows系統(tǒng)安全增強(qiáng)方法 安全漏洞打補(bǔ)??； 停止服務(wù)和卸載軟件；升級或更換程序； 修改配置或權(quán)限； 去除特洛伊等惡意代碼； 安裝專用的安全工具軟件。8.5Windows安全配置方案１、Windows安全初級配置

安全初級配置主要介紹常規(guī)的操作系統(tǒng)安全配置，包括十二條基本配置原則：物理安全、停止Guest帳號、限制用戶數(shù)量創(chuàng)建多個管理員帳號、管理員帳號改名陷阱帳號、更改默認(rèn)權(quán)限、設(shè)置安全密碼屏幕保護(hù)密碼、使用NTFS分區(qū)運(yùn)行防毒軟件和確保備份盤安全。8.5Windows安全配置方案２、Windows安全中級配置

安全中級配置主要介紹操作系統(tǒng)的安全策略配置，包括十條基本配置原則：操作系統(tǒng)安全策略、關(guān)閉不必要的服務(wù)關(guān)閉不必要的端口、開啟審核策略開啟密碼策略、開啟帳戶策略、備份敏感文件不顯示上次登陸名、禁止建立空連接和下載最新的補(bǔ)丁8.5Windows安全配置方案３、Windows安全高級配置 高級篇介紹操作系統(tǒng)安全信息通信配置，包括十四條配置原則：關(guān)閉DirectDraw、關(guān)閉默認(rèn)共享禁用DumpFile、文件加密系統(tǒng)加密Temp文件夾、鎖住注冊表、關(guān)機(jī)時清除文件禁止軟盤光盤啟動、使用智能卡、使用IPSec禁止判斷主機(jī)類型、抵抗DDOS禁止Guest訪問日志和數(shù)據(jù)恢復(fù)軟件8.6Windows常見漏洞與解決方法Unicode漏洞ISAPI緩沖區(qū)擴(kuò)展溢出IISRDS（RemoteDataServices）NetBIOS空對話連接造成的信息泄露SAM中的弱散列（LANManagerhash）RPC漏洞１、Unicode漏洞Unicode漏洞描述 P132漏洞解決方法：下載Microsoft的最新補(bǔ)丁;使用IISLockdown和URLScan可以避免利用該漏洞進(jìn)行的攻擊.２、ISAPI緩沖區(qū)擴(kuò)展溢出漏洞描述

安裝IIS后，就自動安裝了多個ISAPI擴(kuò)展。ISAPI，即InternetServicesApplicationProgrammingInterface，允許開發(fā)人員使用DLL擴(kuò)展IIS服務(wù)器的性能。一些動態(tài)鏈接庫，例如idq.dll，存在編程錯誤，做不正確的邊界檢查，特別是不阻塞超長字符串。因此攻擊者可以利用這一點(diǎn)向DLL發(fā)送數(shù)據(jù)，造成緩沖區(qū)溢出，進(jìn)而控制IIS服務(wù)。漏洞解決方法：安裝最新的Microsoft補(bǔ)丁檢查并取消所有不需要的ISAPI擴(kuò)展；使用IISLockdown和URLScan避免這類攻擊。３、IISRDS（RemoteDataServices）漏洞描述

攻擊者可以利用IISRDS（RemoteDataServices）中的漏洞以Administrator權(quán)限在遠(yuǎn)端運(yùn)行命令。漏洞解決方法：升級到2.1版的MDAC，下載地址：/data/download.html遵循以下安全公告指南：/support/kb/articles/q184/3/75.asp/technet/security/bulletin/ms98-004.asp/technet/security/bulletin/ms99-004.asp４、NetBIOS漏洞描述SMB協(xié)議允許網(wǎng)絡(luò)間的文件共享。攻擊者利用Windows文件共享獲取系統(tǒng)的敏感信息，用戶和組信息、系統(tǒng)信息某種注冊密鑰都可以通過與NetBIOS對話服務(wù)連接的一個“空對話”過程獲得。漏洞解決方法：在共享數(shù)據(jù)時，確保只共享所需目錄；為增加安全性，只對特定IP地址進(jìn)行共享，因為DNS名可以欺詐；只允許特定用戶訪問共享文件夾；禁止通過“空對話”連接對用戶、組、系統(tǒng)配置和注冊密鑰進(jìn)行匿名列舉；對主機(jī)或路由器上的NetBIOS會話服務(wù)（TCP139），MicrosoftCIFS（TCP/UDP445）禁止不綁定的連接；５、空對話連接造成的信息泄露漏洞描述

一個空對話連接（nullsession）也稱為匿名登錄，是一種允許匿名用戶獲取信息，或不需認(rèn)證進(jìn)行連接的機(jī)制。很多操作系統(tǒng)都使用SYSTEM賬號，當(dāng)一臺主機(jī)需要從另一臺主機(jī)上獲取系統(tǒng)信息時，SYSTEM賬號會為另一臺主機(jī)建立一個空對話。SYSTEM使用空對話連接進(jìn)入，攻擊者也可以以相同進(jìn)入。漏洞解決方法：修改注冊表；禁用TCP/IP上的NetBIOS；啟用防火墻，進(jìn)行邊界端口過濾。６、SAM中的弱散列（LANManagerhash）漏洞描述

微軟在WindowsNT和2000系統(tǒng)里默認(rèn)安裝了LANManager口令散列。由于LANManager使用的加密機(jī)制比微軟現(xiàn)在的方法脆弱，LANManager的口令能在很短的時間內(nèi)被破解。漏洞解決方法：取消LANManager在整個網(wǎng)絡(luò)的鑒定功能，使用NTLMv2（NTLanManagerversion2）；修改注冊表的鍵值。７、RPC漏洞漏洞描述 P141漏洞解決方法：下載安裝最新的補(bǔ)丁程序；使用防火墻阻斷一些端口；在上述兩種方法不能實(shí)現(xiàn)時，可以考慮暫時禁用DCOM。8.7安全操作系統(tǒng)的研究發(fā)展操作系統(tǒng)的安全性在計算機(jī)信息系統(tǒng)的整體安全性中具有至關(guān)重要的作用沒有操作系統(tǒng)提供的安全性，信息系統(tǒng)的安全性是沒有基礎(chǔ)的國外安全操作系統(tǒng)的發(fā)展Multics是開發(fā)安全操作系統(tǒng)最早期的嘗試。1965年美國貝爾實(shí)驗室和麻省理工學(xué)院的MAC課題組等一起聯(lián)合開發(fā)一個稱為Multics的新操作系統(tǒng)，其目標(biāo)是要向大的用戶團(tuán)體提供對計算機(jī)的并發(fā)訪問，支持強(qiáng)大的計算能力和數(shù)據(jù)存儲，并具有很高的安全性。貝爾實(shí)驗室中后來參加UNIX早期研究的許多人當(dāng)時都參加了Multics的開發(fā)工作。由于Multics項目目標(biāo)的理想性和開發(fā)中所遇到的遠(yuǎn)超預(yù)期的復(fù)雜性使得結(jié)果不是很理想。事實(shí)上連他們自己也不清楚什么時候，開發(fā)到什么程度才算達(dá)到設(shè)計的目標(biāo)。雖然Multics未能成功，但它在安全操作系統(tǒng)的研究方面邁出了重要的第一步，Multics為后來的安全操作系統(tǒng)研究積累了大量的經(jīng)驗，其中Mitre公司的Bell和LaPadula合作設(shè)計的BLP安全模型首次成功地用于Multics，BLP安全模型后來一直都作為安全操作系統(tǒng)開發(fā)所采用的基礎(chǔ)安全模型。國外安全操作系統(tǒng)的發(fā)展Adept-50是一個分時安全操作系統(tǒng)，可以實(shí)際投入使用，1969年C.Weissman發(fā)表了有關(guān)Adept-50的安全控制的研究成果。安全Adept-50運(yùn)行于IBM/360硬件平臺，它以一個形式化的安全模型——高水印模型（High-Water-MarkModel）為基礎(chǔ)，實(shí)現(xiàn)了美國的一個軍事安全系統(tǒng)模型，為給定的安全問題提供了一個比較形式化的解決方案。在該系統(tǒng)中可以為客體標(biāo)上敏感級別（SensitivityLevel）屬性。系統(tǒng)支持的基本安全條件是，對于讀操作不允許信息的敏感級別高于用戶的安全級別（Clearance）；在授權(quán)情況下，對于寫操作允許信息從高敏感級別移向低敏感級別。國外安全操作系統(tǒng)的發(fā)展1969年B.W.Lampson通過形式化表示方法運(yùn)用主體（Subject）、客體（Object）和訪問矩陣（AccessMatrix）的思想第一次對訪問控制問題進(jìn)行了抽象。主體是訪問操作中的主動實(shí)體，客體是訪問操作中被動實(shí)體，主體對客體進(jìn)行訪問。訪問矩陣以主體為行索引、以客體為列索引，矩陣中的每一個元素表示一組訪問方式，是若干訪問方式的集合。矩陣中第i行第j列的元素Mij記錄著第i個主體Si可以執(zhí)行的對第j個客體Oj的訪問方式，比如Mij＝{Read，Write}表示Si可以對Oj進(jìn)行讀和寫操作。1972年，J.P.Anderson在一份研究報告中提出了訪問監(jiān)控器（ReferenceMonitor）、引用驗證機(jī)制（ReferenceValidationMechanism）、安全內(nèi)核（SecurityKernel）和安全建模等重要思想。J.P.Anderson指出，要開發(fā)安全系統(tǒng)，首先必須建立系統(tǒng)的安全模型，完成安全系統(tǒng)的建模之后，再進(jìn)行安全內(nèi)核的設(shè)計與實(shí)現(xiàn)。國外安全操作系統(tǒng)的發(fā)展1973年，B.W.Lampson提出了隱蔽通道的概念，他發(fā)現(xiàn)兩個被限制通信的實(shí)體之間如果共享某種資源，那么它們可以利用隱蔽通道傳遞信息。同年，D.E.Bell和L.J.LaPadula提出了第一個可證明的安全系統(tǒng)的數(shù)學(xué)模型，即BLP模型。1976年Bell和LaPadula完成的研究報告給出了BLP模型的最完整表述，其中包含模型的形式化描述和非形式化說明，以及模型在Multics系統(tǒng)中實(shí)現(xiàn)的解釋。PSOS（ProvablySecureOperatingSystem）提供了一個層次結(jié)構(gòu)化的基于權(quán)能的安全操作系統(tǒng)設(shè)計，1975年前后開始開發(fā)。PSOS采用了層次式開發(fā)方法，通過形式化技術(shù)實(shí)現(xiàn)對安全操作系統(tǒng)的描述和驗證，設(shè)計中的每一個層次管理一個特定類型的對象，系統(tǒng)中的每一個對象通過該對象的權(quán)能表示進(jìn)行訪問。KSOS（KernelizedSecureoperatingSystem）是美國國防部研究計劃局1977年發(fā)起的一個安全操作系統(tǒng)研制項目，由Ford太空通訊公司承擔(dān)。KSOS采用了形式化說明與驗證的方法，目標(biāo)是高安全可信性。國外安全操作系統(tǒng)的發(fā)展UCLASecureUnix也是美國國防部研究計劃局于1978年前后發(fā)起的一個安全操作系統(tǒng)研制項目，由加里福尼亞大學(xué)承擔(dān)。UCLASecureUnix的系統(tǒng)設(shè)計方法及目標(biāo)幾乎與KSOS相同。LINVSⅣ是1984年開發(fā)的基于UNIX的一個實(shí)驗安全操作系統(tǒng)，系統(tǒng)的安全性可達(dá)到美國國防部橘皮書的B2級。它以4.1BSDUnix為原型，實(shí)現(xiàn)了身份鑒別、自主訪問控制、強(qiáng)制訪問控制、安全審計、特權(quán)用戶權(quán)限分隔等安全功能。SecureXenix是IBM公司于1986年在SCOXenix的基礎(chǔ)上開發(fā)的一個安全操作系統(tǒng)，它最初是在IBMPC/AT平臺上實(shí)現(xiàn)的。SecureXenix對Xenix進(jìn)行了大量的改造開發(fā)，并采用了一些形式化說明與驗證技術(shù)。它的目標(biāo)是TCSEC的B2到A1級。IBM公司的V.D.Gligor等在發(fā)表SecureXenix系統(tǒng)的設(shè)計與開發(fā)成果中，把Unix類的安全操作系統(tǒng)開發(fā)方法劃分成仿真法和改造/增強(qiáng)法兩種方式。SecureXenix系統(tǒng)采用的是改造/增強(qiáng)法。另外值得指出的是SecureXenix系統(tǒng)基于安全注意鍵（SAK，SecureAttentionKey）實(shí)現(xiàn)了可信通路（TrustedPath），并在安全保證方面重點(diǎn)考慮了3個目標(biāo)：⑴系統(tǒng)設(shè)計與BLP模型之間的一致性；⑵實(shí)現(xiàn)的安全功能的測試；⑶軟件配置管理工具的開發(fā)。國外安全操作系統(tǒng)的發(fā)展1987年，美國TrustedInformationSystems公司以Mach操作系統(tǒng)為基礎(chǔ)開發(fā)了B3級的Tmach（TrustedMach）操作系統(tǒng)。除了進(jìn)行用戶標(biāo)識和鑒別及命名客體的存取控制外，它將BLP模型加以改進(jìn)，運(yùn)用到對MACH核心的端口、存儲對象等的管理當(dāng)中。通過對端口間的消息傳送進(jìn)行控制和對端口、存儲對象、任務(wù)等的安全標(biāo)識來加強(qiáng)微核心的安全機(jī)制。1989年，加拿大多倫多大學(xué)開發(fā)了與UNIX兼容的安全TUNIS操作系統(tǒng)。在實(shí)現(xiàn)中安全TUNIS改進(jìn)了BLP模型,并用TuringPlus語言（而不是C）重新實(shí)現(xiàn)了Unix內(nèi)核，模塊性相當(dāng)好。TuringPlus是一種強(qiáng)類型高級語言，其大部分語句都具有用于正確性證明的形式語義。在發(fā)表安全TUNIS設(shè)計開發(fā)成果中，Gernier等指出，如果不進(jìn)行系統(tǒng)的重新設(shè)計，以傳統(tǒng)Unix系統(tǒng)為原型，很難開發(fā)出高于TCSEC標(biāo)準(zhǔn)的B2級安全操作系統(tǒng)，這一方面是因為用于編寫Unix系統(tǒng)的C語言是一個非安全的語言，另一方面是因為Unix系統(tǒng)內(nèi)部的模塊化程度不夠。安全TUNIS系統(tǒng)的設(shè)計目標(biāo)是B3-A1級，支持這個目標(biāo)的關(guān)鍵也在于：第一其采用了TuringPlus語言，第二其采用了安全策略與安全機(jī)制相分離的方法，并提供了一個簡單而結(jié)構(gòu)規(guī)范的TCB，從而簡化了TCB的驗證工作。國外安全操作系統(tǒng)的發(fā)展ASOS（ArmySecureOperatingSystem）是針對美軍的戰(zhàn)術(shù)需要而設(shè)計的軍用安全操作系統(tǒng)，由TRW公司1990年發(fā)布完成。ASOS由兩類系統(tǒng)組成，其中一類是多級安全操作系統(tǒng)，設(shè)計目標(biāo)是TCSEC的A1級；另一類是專用安全操作系統(tǒng)，設(shè)計目標(biāo)是TCSEC的C2級。兩類系統(tǒng)都支持Ada語言編寫的實(shí)時戰(zhàn)術(shù)應(yīng)用程序，都能根據(jù)不同的戰(zhàn)術(shù)應(yīng)用需求進(jìn)行配置，都可以很容易地在不同硬件平臺間移植，兩類系統(tǒng)還提供了一致的用戶界面。從具體實(shí)現(xiàn)上來看，ASOS操作系統(tǒng)還具有5個主要特點(diǎn)：⑴ASOS操作系統(tǒng)本身也主要是用Ada語言實(shí)現(xiàn)的；⑵ASOS采用訪問控制列表（AccessControlList，ACL）實(shí)現(xiàn)了細(xì)粒度的自主訪問控制；⑶ASOS依據(jù)BLP模型實(shí)現(xiàn)了防止信息泄露的強(qiáng)制訪問控制，依據(jù)Biba模型實(shí)現(xiàn)了確保數(shù)據(jù)完整性的強(qiáng)制訪問控制；⑷ASOS在形式化驗證中建立了兩個層次的規(guī)范和證明，一個層次用于抽象的安全模型，另一個層次用于形式化頂層規(guī)范；⑸用于證明系統(tǒng)安全性的主要工具是Gypsy驗證環(huán)境（GVE），ASOS開發(fā)了一個在GVE中工作的流分析工具，用于分析系統(tǒng)設(shè)計中潛在的隱蔽通道。國外安全操作系統(tǒng)的發(fā)展OSF/1是開放軟件基金會于1990年推出的一個安全操作系統(tǒng)，被美國國家計算機(jī)安全中心（NCSC）認(rèn)可為符合TCSEC的B1級，其主要安全性表現(xiàn)4個方面：⑴系統(tǒng)標(biāo)識；⑵口令管理；⑶強(qiáng)制存取控制和自主存取控制；⑷審計。UNIXSVR4.1ES是UI（UNIX國際組織）于1991年推出的一個安全操作系統(tǒng)，被美國國家計算機(jī)安全中心（NCSC）認(rèn)可為符合TCSEC的B2級，除OSF/1外的安全性主要表現(xiàn)在4個方面：⑴更全面的存取控制；⑵最小特權(quán)管理；⑶可信通路；⑷隱蔽通道分析和處理。1991年，在歐洲共同體的贊助下，英、德、法、荷四國制定了擬為歐共體成員國使用的共同標(biāo)準(zhǔn)——信息技術(shù)安全評定標(biāo)準(zhǔn)（ITSEC）。隨著各種標(biāo)準(zhǔn)的推出和安全技術(shù)產(chǎn)品的發(fā)展，美國和同加拿大及歐共體國家一起制定通用安全評價準(zhǔn)則（CommonCriteriaforITSecurityEvaluation，CC），1996年1月發(fā)布了CC的1.0版。CC標(biāo)準(zhǔn)的2.0版已于1997年8月頒布，并于1999年7月通過國際標(biāo)準(zhǔn)組織認(rèn)可，確立為國際標(biāo)準(zhǔn)，即ISO/IEC15408。國外安全操作系統(tǒng)的發(fā)展在1992到1993年之間，美國國家安全局（NSA）和安全計算公司（SCC）的研究人員在TMach項目和LOCK項目的基礎(chǔ)上，共同設(shè)計和實(shí)現(xiàn)了分布式可信Mach系統(tǒng)（DistributedTrustedMach，DTMach）。DTMach項目的后繼項目是分布式可信操作系統(tǒng)（DistributedTrustedOperatingSystem，DTOS）。DTOS項目改良了早期的設(shè)計和實(shí)現(xiàn)工作，產(chǎn)生了一些供大學(xué)研究的原型系統(tǒng)，例如SecureTransactionalResources、DX等。此外DTOS項目產(chǎn)生了一些學(xué)術(shù)報告、系統(tǒng)形式化的需求說明書、安全策略和特性的分析、組合技術(shù)的研究和對多種微內(nèi)核系統(tǒng)安全和保證的研究。當(dāng)DTOS項目快要完成的時候，NSA、SCC和猶他州大學(xué)的Flux項目組聯(lián)合將DTOS安全結(jié)構(gòu)移植到Fluke操作系統(tǒng)研究中去。在將結(jié)構(gòu)移植到Fluke的過程中，他們改良了結(jié)構(gòu)以更好地支持動態(tài)安全策略。這個改良后的結(jié)構(gòu)就叫Flask。一些Flask的接口和組件就是從Fluke到OSKit中的接口和組件中繼承下來的。國外安全操作系統(tǒng)的發(fā)展2001年，F(xiàn)lask由NSA在Linux操作系統(tǒng)上實(shí)現(xiàn)，并且不同尋常地向開放源碼社區(qū)發(fā)布了一個安全性增強(qiáng)型版本的Linux（SELinux）－－包括代碼和所有文檔。與傳統(tǒng)的基于TCSEC標(biāo)準(zhǔn)的開發(fā)方法不同，1997年美國國家安全局和安全計算公司完成的DTOS安全操作系統(tǒng)采用了基于安全威脅的開發(fā)方法。設(shè)計目標(biāo)包括3個方面：（1）策略靈活性：DTOS內(nèi)核應(yīng)該能夠支持一系列的安全策略，包括諸如國防部的強(qiáng)制存取控制多級安全策略；（2）與Mach兼容，現(xiàn)有的Mach應(yīng)用應(yīng)能在不做任何改變的情況下運(yùn)行；（3）性能應(yīng)與Mach接近。SELinux以Flask安全體系結(jié)構(gòu)為指導(dǎo)，通過安全判定與安全實(shí)施的分離實(shí)現(xiàn)了安全策略的獨(dú)立性，借助訪問向量緩存（AVC）實(shí)現(xiàn)了對動態(tài)策略的支持。SELinux定義了一個類型實(shí)施（TE）策略，基于角色的訪問控制（RBAC）策略和多級安全（MLS）策略組合的安全策略，其中TE和RBAC策略總是系統(tǒng)實(shí)現(xiàn)的安全策略的有機(jī)組成。EROS（ExtremelyReliableOperatingSystem）是一種基于權(quán)能（Capability，權(quán)能）的高性能微內(nèi)核實(shí)時安全操作系統(tǒng)，是GNOSIS（后命名為KeyKOS）體系結(jié)構(gòu)的第三代實(shí)現(xiàn)。EROS最初由美國賓西法尼亞大學(xué)開發(fā)，此項目現(xiàn)已轉(zhuǎn)入約翰－霍普金斯大學(xué)。目前，EROS仍處在研究開發(fā)階段，只支持Intel486以上的系列芯片。第一個EROS內(nèi)核已在1999年完成，現(xiàn)在開發(fā)的版本是EROS2.0，不久就會發(fā)布。EROS的源代碼遵守GPL規(guī)范，可在其網(wǎng)站（）獲得。其他還有一些安全操作系統(tǒng)開發(fā)項目，如Honeywell的STOP、Gemini的GEMSOS、DEC的VMM(VirtualMachineMonitor)等，以及HP和DataGeneral等公司開發(fā)的安全操作系統(tǒng)。國內(nèi)安全操作系統(tǒng)的發(fā)展國內(nèi)也進(jìn)行了許多有關(guān)安全操作系統(tǒng)的開發(fā)研制工作，并取得了一些研究成果。1990年前后，海軍計算技術(shù)研究所和解放軍電子技術(shù)學(xué)院分別開始了安全操作系統(tǒng)技術(shù)方面的探討，他們都是參照美國TCSEC標(biāo)準(zhǔn)的B2級安全要求，基于UNIXSystemV3.2進(jìn)行安全操作系統(tǒng)的研究與開發(fā)。1993年，海軍計算技術(shù)研究所繼續(xù)按照美國TCSEC標(biāo)準(zhǔn)的B2級安全要求，圍繞UnixSVR4.2/SE，實(shí)現(xiàn)了國產(chǎn)自主的安全增強(qiáng)包。1995年，在國家“八五”科技攻關(guān)項目――“COSA國產(chǎn)系統(tǒng)軟件平臺”中，圍繞UNIX類國產(chǎn)操作系統(tǒng)COSIXV2.0的安全子系統(tǒng)的設(shè)計與實(shí)現(xiàn)，中國計算機(jī)軟件與技術(shù)服務(wù)總公司、海軍計算技術(shù)研究所和中國科學(xué)院軟件研究所一起參與了研究工作。COSIXV2.0安全子系統(tǒng)的設(shè)計目標(biāo)是介于美國TCSEC的B1和B2級安全要求之間，當(dāng)時定義為B1＋，主要實(shí)現(xiàn)的安全功能包括安全登錄、自主訪問控制、強(qiáng)制訪問控制、特權(quán)管理、安全審計和可信通路等。國內(nèi)安全操作系統(tǒng)的發(fā)展1996年，由中國國防科學(xué)技術(shù)工業(yè)委員會發(fā)布了軍用計算機(jī)安全評估準(zhǔn)