前言

---

        在有多个用户可以访问同样物理资源或网络资源的环境中，防止对敏感数据的未授权访问时非常必要的。操作系统以及单独的用户，必须能够保护文件，内存和配置信息，以避免它们被意外的查看和修改。操作系统安全性包括各种机制，诸如账户、口令和文件的保护。它也包含了一些不那么显然的机制，比如保护操作系统避免遭受破坏、阻止非特权用户执行一些动作（例如重新引导计算机），以及不允许用户程序恶意地影响其他用户的程序或者操作系统自身。

安全等级（Security Ratings）

---

        安全等级的目的是能够用明确定义的标准来核定软件（包括操作系统），这有助于政府、企业和家庭用户保护其计算机系统中储存的私有知识财产和私人数据。

        目前美国和许多其他国家使用的安全等级标准是CC（Common Criteria，公共标准）。

可信计算机系统评估标准(TCSEC )

---

        由美国国家计算机安全中心（NCSC）建立的一个安全等级范围。

        TCSEC标准是由“信任度”等级构成的，高信任度实在低信任度的基础上，加入了更为严格的保护也验证要求而形成的。目前，没有一个操作系统满足A1或者“可检验的设计”等级，虽然有少数操作系统已经获得了B类等级，但就实际而言，对于一个通用操作系统来说，C2等级已经足够了，也是最高等级了。

Table 7-1

A1：可检验的设计

B3：安全域

B2：结构化的保护

B1：分类的安全保护

C2：受控制的访问保护

C1：自主访问保护（已废弃）

D：最少的保护

---

目前Windows符合的是C2等级，以下是C2安全等级的关键要求：

1. A secure logon facility（安全的登录设施）

这要求用户可以被唯一标识，而且只有当他们被通过某种方式认证身份之后，才可以被授予该计算机的访问权限

2. Discretionary access control（自主的访问控制）

这使得资源（比如文件）的所有者能够决定谁可以访问该资源，以及他们可以对它做些什么。资源的所有者为单个用户或者一组用户授予各种访问权限

3. Security auditing（安全审计）提供了相应的能力来检测和记录与安全相关的时间，或者任何想要创建、访问或删除系统资源的意图。登录标识符记录了所有用户的身份，从而使得很容易跟踪谁在执行一个未授权的动作

4. Object reuse protection（对象重用保护）

防止用户看到其他用户已经删除的数据，或者访问到其他用户原先使用过后来又释放了的内存。例如，在某些操作系统中，可能发生这样的清醒：先创建一个特定长度的新文件，然后检查该文件的内容，这样就可以看到磁盘上该文件所分配的位置处原来的数据。这些数据可能是以前存储在另一个用户的文件中但现在已经被删除的敏感信息。对象重用保护设施可以防止这种潜在的安全漏洞，其做法是，在将对象（包括文件和内存）分配给一个用户以前，先对它们进行初始化。

Windows还满足了下面两个B等级的安全性要求：

5. Trusted path functionality（可信路径功能）

防止特洛伊木马程序在用户登录的时候能够截取到用户名和口令。在windows中，可信路径功能是以Ctrl+Alt+Del登录注意序列（logon-attention-sequence）的形式来做到的，非特征应用程序不可能截获到次序列。该键击序列也称为安全注意序列（SAS，Secure Attention Sequence），他总是显示一个由系统控制的Windows安全屏幕（如果用户已经登录的话），或者是登录屏幕，所以，企图成为特洛伊木马的程序很容易被识别出来。（如果组策略允许的话，安全注意序列也能通过使用SendSAS API，由程序来发送。）当输入SAS时，显示假登录对话框的特洛伊木马程序将会被绕过去。

6. Trusted facility management（可信设施管理）

它要求针对各种管理功能有单独的账户角色作为支持。例如，针对管理工作（管理员）、负责计算机备份的用户和标准用户分别提供单独的账户。

CC（公共标准，Common Criteria）

---

1996年1月由美国、英国、德国、法国、加拿大和荷兰发布了他们联合开发的CCITSE（Common Criteria for Information Technology Security Evaluation，信息技术安全评估公共标准）安全评估规范。简称：CC，是公认的针对产品安全评估的多国标准。

CC比TCSEC信任等级更加灵活，但在结构上更加接近于ITSEC（Information Technology Security Evaluation Criteria）。ITSEC即欧洲的安全评价标准，是英国、法国、德国和荷兰制定的IT安全评估准则，较美国军方制定的TCSEC准则在功能的灵活性和有关的评估技术方面均有很大的进步。

CC包含了保护档案，从而可以将安全需求聚集到一些更加容易规定和比较的结合中；它还包含另一个概念：安全目标（ST，Security Target），安全目标包含一组安全需求，PP可以引用这些安全需求。CC也定义了一个范围，包含七个评估保证级别（EAL，Evaluation Assurance Level），他们表示认证中的信任程度。从而CC解除了功能和保证级别间的绑定关系，这种关系曾存在于TCSEC和更早的认证方案中。

Windows 2000, Windows XP, Windows Server 2003, and Windows Vista Enterprise都在CAPP（Controlled Access Protection Profile， 受控访问保护档案）的范畴下获得了CC认证。大致等价于TCSEC C2的级别。他们也全部被评定为EAL4+的级别，其中的加号表示“缺陷补救”。EAL4是多国公认的最高级别。

2011年3月，Windows7和WindowsServer2008 R2被评估为符合美国政府的网络环境下通用操作系统保护档案（包括 Hyper-V hypervisor）。2016年6月，Windows 10 和Windows Server 2012 R2也通过了认证。同样是EAL4+的级别。