《计算机系统安全》是2005年西安电子科技大学出版社出版的图书，作者是马建峰、郭渊博。

《计算机系统安全》这本书详细论述了计算机系统的安全需求、安全对策、安全模型以及安全系统构建理论，系统介绍了安全策略与安全模型在可信操作系统设计与通用操作系统保护等方面的相关实践问题。书中对与计算机系统安全相关的常用密码学技术与密码协议理论做了详细介绍和分析。另外，本书还从计算机系统对抗的角度出发，系统讨论了计算机病毒原理及其防治、计算机病毒检测与标识的基本理论以及入侵检测的方法与技术等问题。

本书可作为计算机、信息安全、信息对抗等专业高年级本科生或研究生的教学用书，也可作为相关领域的研究和工程技术人员的参考用书。

安全理论与策略、计算机安全技术、安全管理、安全评价、安全产品以及计算机犯罪与侦查、计算机安全法律、安全监察等。

DoD（TCSEC）可信计算机系统评估标准：是美国国防部在1985年正式颁布的，它将计算机安全等级划分为四类七级，这七个等级从低到高依次为：D、C1、C2、C3、B1、B2、B3、A1。

计算机系统安全问题共分为三类，它们是技术安全、管理安全和政策法律安全。

第1章计算机安全引论

1.1计算机安全

数据处理系统和采取的技术的和管理的安全保护，保护计算机硬件、软件美国国防部国家计算机安全中心的定义是要讨论计算机安全首先必须讨论对安全需求的陈述。

1.2计算机系统安全的重要性

1.3计算机系统的安全对策

1.4计算机系统的安全技术

1.5计算机安全的内容及专业层次

习题

第2章计算机安全策略

2.1系统的安全需求及安全策略的定义

安全策略：是指在某个安全区域内（一个安全区域，通常是指属于某个组织的一系列处理和通信资源），用于所有与安全相关活动的一套规则。这些规则是由此安全区域中所设立的一个安全权力机构建立的，并由安全控制机构来描述、实施或实现的。

网络管理员或者CIO根据组织机构的风险及安全目标制定的行动策略即为安全策略。安全策略通常建立在授权的基础之上，未经适当授权的实体，信息不可以给予、不被访问、不允许引用、任何资源也不得使用。

2.2安全策略的分类

按照授权的性质，安全策略分为如下几个方面：

（1）基于身份的安全策略

（2）基于规则的安全策略

（3）基于角色的安全策略

2.3安全策略的形式化描述

2.4安全策略的选择

2.5小结

习题

第3章访问控制策略

3.1访问控制

按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。

访问控制的功能主要有以下： 一. 防止非法的主体进入受保护的网络资源。 二. 允许合法用户访问受保护的网络资源。 三. 防止合法的用户对受保护的网络资源进行非授权的访问。

访问控制实现的策略： 一. 入网访问控制 二. 网络权限限制 三. 目录级安全控制 四. 属性安全控制　五. 网络服务器安全控制

六. 网络监测和锁定控制　七. 网络端口和节点的安全控制　八. 防火墙控制

访问控制的类型：访问控制可分为自主访问控制和强制访问控制两大类。

自主访问控制，是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问，并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限

强制访问控制，是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制性控制，按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问，即使是创建者用户，在创建一个对象后，也可能无权访问该对象。

基于对象的访问控制模型：

基于对象的访问控制（OBAC Model：Object-based Access Control Model）：DAC或MAC模型的主要任务都是对系统中的访问主体和受控对象进行一维的权限管理，当用户数量多、处理的信息数据量巨大时，用户权限的管理任务将变得十分繁重，并且用户权限难以维护，这就降低了系统的安全性和可靠性。对于海量的数据和差异较大的数据类型，需要用专门的系统和专门的人员加以处理，要是采用RBAC模型的话，安全管理员除了维护用户和角色的关联关系外，还需要将庞大的信息资源访问权限赋予有限个角色。当信息资源的种类增加或减少时，安全管理员必须更新所有角色的访问权限设置，而且，如果受控对象的属性发生变化，同时需要将受控对象不同属性的数据分配给不同的访问主体处理时，安全管理员将不得不增加新的角色，并且还必须更新原来所有角色的访问权限设置以及访问主体的角色分配设置，这样的访问控制需求变化往往是不可预知的，造成访问控制管理的难度和工作量巨大。在这种情况下，有必要引入基于受控对象的访问控制模型。

控制策略和控制规则是OBAC访问控制系统的核心所在，在基于受控对象的访问控制模型中，将访问控制列表与受控对象或受控对象的属性相关联，并将访问控制选项设计成为用户、组或角色及其对应权限的集合；同时允许对策略和规则进行重用、继承和派生操作。这样，不仅可以对受控对象本身进行访问控制，受控对象的属性也可以进行访问控制，而且派生对象可以继承父对象的访问控制设置，这对于信息量巨大、信息内容更新变化频繁的管理信息系统非常有益，可以减轻由于信息资源的派生、演化和重组等带来的分配、设定角色权限等的工作量。

OBAC从信息系统的数据差异变化和用户需求出发，有效地解决了信息数据量大、数据种类繁多、数据更新变化频繁的大型管理信息系统的安全管理。OBAC从受控对象的角度出发，将访问主体的访问权限直接与受控对象相关联，一方面定义对象的访问控制列表，增、删、修改访问控制项易于操作，另一方面，当受控对象的属性发生改变，或者受控对象发生继承和派生行为时，无须更新访问主体的权限，只需要修改受控对象的相应访问控制项即可，从而减少了访问主体的权限管理，降低了授权数据管理的复杂性。

3.2访问控制策略

3.3安全核与引用监控器

3.4访问矩阵模型

习题

第4章Bell-LaPadula多级安全模型

4.1军用安全格模型

4.2BLP模型介绍

信息安全的形式化理论模型是系统安全策略的精确描述，有无歧义、简单抽象的特点，在安全系统设计和开发过程中有重要作用。BLP模型是在1973年由D．Bell和J．LaPadula在《Mathematical founda-ons and model》提出并加以完善，它根据军方的安全政策设计，解决的本质题是对具有密级划分信息的访问控制，是第一个比较完整地形式化方法对系统安全进行严格证明的数学模型，被广泛应于描述计算机系统的安全问题。

BLP是安全访问控制的一种模型，是基于自主访问控制和强制访问控制两种方式实现，处理基于此之上的权利继承转让等等关系，为大型系统的访问控制提供一个安全保证。

BLP一开始作为军方的一个安全模型出台，对于数据间的权利转让而产生变化的访问权限，提供一系列安全检查，避免权利的过度转让产生的模糊泛滥。

BLP模型是一个形式化模型，使用数学语言对系统的安全性质进行描述，lBLP模型也是一个状态机模型，它反映了多级安全策略的安全特性和状态转换规则。

BLP模型定义了系统、系统状态、状态间的转换规则，安全概念、制定了一组安全特性，对系统状态、状态转换规则进行约束，l如果它的初始状态是安全的，经过一系列规则都是保持安全的，那么可以证明该系统是安全的。

BLP模型的基本安全策略是“下读上写”，即主体对客体向下读、向上写。主体可以读安全级别比他低或相等的客体，可以写安全级别比他高或相等的客体。“下读上写”的安全策略保证了数据库中的所有数据只能按照安全级别从低到高的流向流动，从而保证了敏感数据不泄露。

4.3BLP模型元素

4.4BLP模型的几个重要公理

4.5BLP状态转换规则

4.6BLP模型的几个重要定理

4.7BellLaPadula模型的局限性

习题

第5章安全模型的构建

5.1建模的方法步骤

5.2模型构建实例

习题

第6章可信操作系统设计

6.1什么是可信的操作系统

6.2安全策略

安全策略：是指在某个安全区域内（一个安全区域，通常是指属于某个组织的一系列处理和通信资源），用于所有与安全相关活动的一套规则。这些规则是由此安全区域中所设立的一个安全权力机构建立的，并由安全控制机构来描述、实施或实现的。

6.3安全模型

6.4设计可信操作系统

6.5可信操作系统的保证

6.6实例分析

6.7可信操作系统总结

习题

第7章通用操作系统的保护

7.1被保护的对象和保护方法

7.2内存和地址保护

7.3一般对象的访问控制

7.4文件保护机制

7.5用户认证

7.6小结

7.7未来发展方向

习题

第8章密码学基本理论

8.1密码学介绍

8.2对称密码

8.3公钥密码

习题

第9章密码协议基本理论

9.1引言

9.2身份鉴别（认证）协议

……

第10章计算机病毒基本知识及其防治

第11章计算机病毒检测与标识的几个理论结果

第12章入侵检测的方法与技术

参考文献