兼述：BASIC SECURITY MODEL

蘋(píng)果Mac OS X系統(tǒng)安全性能的完善是一個(gè)長(zhǎng)久而持續(xù)的過(guò)程，在這個(gè)過(guò)程中，我們還可以從一個(gè)側(cè)面回憶一下操作系統(tǒng)安全體系發(fā)展的過(guò)程。

在80年代初，IBM開(kāi)創(chuàng)引領(lǐng)了個(gè)人計(jì)算機(jī)時(shí)代的開(kāi)端，80年代中期個(gè)人計(jì)算機(jī)開(kāi)始逐漸盛行，主流市場(chǎng)上是IBM PC和Macintosh兩大陣營(yíng)的較量。從前在70年代就已經(jīng)成形的UNIX，到了80年代已經(jīng)很成熟了，一提到UNIX，大家自然會(huì)想到服務(wù)器，它本來(lái)和PC的交集很少。還記得當(dāng)初我上大學(xué)的時(shí)候，學(xué)校的PC機(jī)房里面只有幾個(gè)PC-XT，當(dāng)時(shí)來(lái)說(shuō)都是新鮮玩意，后來(lái)的一臺(tái)AT機(jī)，大家更是愛(ài)不釋手都說(shuō)它那叫一個(gè)快。那是上機(jī)，是要預(yù)定和持上機(jī)票的，機(jī)房也是特殊裝修的，記得當(dāng)時(shí)裝修機(jī)房也是一大賺錢(qián)買(mǎi)賣(mài)。我們班有個(gè)入門(mén)特別早和深入的哥們，他用AT機(jī)最多，上了機(jī)就輸入測(cè)試，當(dāng)時(shí)我連鍵盤(pán)字母都找不快，在畢業(yè)前的最后一年，我也從圖書(shū)館借閱了一些UNIX的外文專(zhuān)著，只是當(dāng)時(shí)學(xué)校和后來(lái)工作都沒(méi)有機(jī)器可用，后來(lái)也就擱下了。學(xué)校機(jī)房里也有兩臺(tái)Apple II，當(dāng)時(shí)流行的觀點(diǎn)是，PC會(huì)勝過(guò)Apple成為市場(chǎng)的主流，后來(lái)市場(chǎng)也證明了這一點(diǎn)。不過(guò)，Apple電腦從OS X開(kāi)始，以UNIX為核心，后來(lái)摒棄PowerPC體系擁抱Intel，在加上挾iOS設(shè)備的成功，2 0多年后的現(xiàn)在 重返個(gè)人電腦主流市場(chǎng)，當(dāng)初又有誰(shuí)可以預(yù)料到呢？這正如今后的市場(chǎng)走向，誰(shuí)能說(shuō)得準(zhǔn)呢？

不想那么遠(yuǎn)了，說(shuō)到Mac OS X系統(tǒng)，不得不說(shuō)UNIX，大家都知道UNIX是公認(rèn)的比較安全的系統(tǒng)，不過(guò)可能不知道的是，它的安全性也是經(jīng)過(guò)了曲折的。UNIX的設(shè)計(jì)之初，并沒(méi)有把系統(tǒng)安全考慮在內(nèi)，這正如個(gè)人電腦設(shè)計(jì)之初，從硬件到軟件誰(shuí)都沒(méi)有認(rèn)真考慮系統(tǒng)安全問(wèn)題，這合乎常理。在80年代的時(shí)候，個(gè)人計(jì)算機(jī)市場(chǎng)剛剛興起，IT業(yè)也沒(méi)有如今這樣形成一個(gè)市場(chǎng)巨大的產(chǎn)業(yè)，而當(dāng)時(shí)美國(guó)政府部門(mén)是計(jì)算機(jī)的主要消費(fèi)用戶(hù)，抓住政府資金就能發(fā)展的道理，大家都懂。為了可以把自己的產(chǎn)品銷(xiāo)售給政府，就要符合政府采購(gòu)標(biāo)準(zhǔn)，對(duì)于計(jì)算機(jī)產(chǎn)品，安全性能是一個(gè)主要的考核項(xiàng)目。當(dāng)時(shí)， Sun 公司早于1991年的時(shí)候?yàn)樗? SunOS4.1.2 （就是目前大名鼎鼎的Solaris系統(tǒng)的前身）， 寫(xiě)了個(gè)不太成功的腳本 C2Conv ，從而使該系統(tǒng)勉強(qiáng)通過(guò)美國(guó)國(guó)家標(biāo)準(zhǔn)，不過(guò)C2Conv很簡(jiǎn)陋也不好用。后來(lái)，逐步改善，終于于 1994 年為新明名的Solaris系統(tǒng)發(fā)布了相關(guān)安全審計(jì)API和相關(guān)格式等，定名為基礎(chǔ)安全模型（ BASIC SECURITY MODEL ），簡(jiǎn)稱(chēng)BSM，這是一個(gè)成功的軟件規(guī)范，一個(gè)很好的安全審計(jì)框架，不僅小巧、快速、適合各種粒度配置并且可靠快速，通過(guò)它可以讓操作系統(tǒng)輕松達(dá)到美國(guó)軍方的計(jì)算機(jī)安全 TCSEC 的(Trusted Computer System Evaluation Criteria)C2標(biāo)準(zhǔn)，Sun的這個(gè)BSM經(jīng)多多年的發(fā)展，現(xiàn)在也成為了業(yè)界事實(shí)上的安全框架標(biāo)準(zhǔn)。

說(shuō)到 TCSEC ，當(dāng)初 是1983年美國(guó)安全局下屬的國(guó)家計(jì)算機(jī)安全中心NCSC制定發(fā)布的，這個(gè)標(biāo)準(zhǔn)俗稱(chēng)“橘皮書(shū)”(Orange Book)。該標(biāo)準(zhǔn)把安全等級(jí)分為A/B/C/D四大類(lèi)，其中每類(lèi)又細(xì)分小級(jí)別，分別是： C1, C2, B1, B2, B3 和A1 。 C2級(jí)別是政府購(gòu)買(mǎi)的最低級(jí)別，持有C2認(rèn)證也是當(dāng)時(shí)各個(gè)系統(tǒng)開(kāi)發(fā)商標(biāo)榜自己系統(tǒng)安全的一大說(shuō)辭。后來(lái) TCSEC 標(biāo)準(zhǔn)在2005年被Common Criteria替代（全稱(chēng)叫：Common Criteria for Information Technology Security Evaluation，簡(jiǎn)稱(chēng)也叫CC，也是目前的國(guó)際標(biāo)準(zhǔn)（ISO/IEC 15408），它是在北約（ I TSEC ）、加拿大（ CTCPEC ）和美國(guó)（ TCSEC） 三個(gè)相關(guān)標(biāo)準(zhǔn)的基礎(chǔ)上改進(jìn)形成的。現(xiàn)在，這個(gè)認(rèn)證的頒發(fā)主要由NIAP來(lái)管理了，NIAP是美國(guó) National Information Assurance Partnership 的簡(jiǎn)稱(chēng)， 它是美國(guó)國(guó)家安全局直屬的機(jī)構(gòu)，實(shí)施安全檢測(cè)規(guī)則并進(jìn)行系統(tǒng)安全檢測(cè)、進(jìn)行評(píng)級(jí)認(rèn)證，現(xiàn)在提供依據(jù)CC標(biāo)準(zhǔn)的認(rèn)證，認(rèn)證叫EAL證書(shū)，分成7級(jí)。

原始的UNIX系統(tǒng)也就符合C1標(biāo)準(zhǔn)，而C2和C1的主要區(qū)別是審計(jì)和存取控制功能。系統(tǒng)審計(jì)是系統(tǒng)安全的一個(gè)重要方面，而審計(jì)的一個(gè)重要原則就是可追溯性，也就是隨時(shí)可以檢查系獲得哪個(gè)人以什么權(quán)限何時(shí)存取了什么東西，審計(jì)也是檢測(cè)系統(tǒng)是否被入侵的一個(gè)重要有效手段。不是老聽(tīng)說(shuō)，美國(guó)爆料五角大樓或者國(guó)防部被黑客入侵嗎？他們?nèi)绾蔚弥哪兀渴侄魏芏啵?jì)算機(jī)系統(tǒng)的審計(jì)功能是其中重要的一環(huán)。為了獲得國(guó)家認(rèn)證，各個(gè)系統(tǒng)廠商不得不改進(jìn)自己的系統(tǒng)安全指標(biāo)，也有了我們現(xiàn)在所使用的各種比較安全的系統(tǒng)軟件。 大家可以看到，當(dāng)時(shí)美國(guó)國(guó)家政府標(biāo)準(zhǔn)也為計(jì)算機(jī)產(chǎn)業(yè)產(chǎn)品的成熟，起到了關(guān)鍵促進(jìn)的作用。

話說(shuō)蘋(píng)果公司，在OS X 10.3 系統(tǒng)之前，也就是10年前，它的系統(tǒng)安全架構(gòu)還不完善。大家都知道，蘋(píng)果的Mac OS X系統(tǒng)是以Mach為核心的基于UNIX操作系統(tǒng)的一套圖形化操作系統(tǒng)。蘋(píng)果為了能夠通過(guò) NIAP 的安全認(rèn)證，自己的操作系統(tǒng)又是源于UNIX，所以就依據(jù)Sun的這個(gè)比較成熟的BSM基礎(chǔ)安全模型，委托McAfee Research公司開(kāi)發(fā)了一套，用在它的Darwin系統(tǒng)上，蘋(píng)果的BSM使用該模型的函數(shù)庫(kù)和接口定義等，既能記錄系統(tǒng)核心事件也能記錄應(yīng)用程序事件軌跡，保存為今后分析使用。后來(lái)蘋(píng)果應(yīng)要求把它從Darwin中分離出來(lái)，并決定以BSD開(kāi)放源碼協(xié)議對(duì)外開(kāi)放，改名叫做openBSM，于是它成為了Sun的BSM模型的開(kāi)源版本，后來(lái)TrustedBSD志愿者團(tuán)隊(duì)為它的完善和發(fā)展作出了重要貢獻(xiàn)，這一點(diǎn)從目前openBSM的官方網(wǎng)站的名稱(chēng)依然是用 trustedbsd.com 就可以看出，TrustBSD的重要性。自此之后，它獲得空前的發(fā)展，除了被Mac OS X使用之外，也被廣泛用于freeBSD和其它的Linux等系統(tǒng)上，也是最為廣泛使用的系統(tǒng)審計(jì)模塊。

看到這里，不由得想到，很多人都埋怨／抨擊Apple系統(tǒng)封閉不開(kāi)放，并預(yù)言它今后必在封閉的道路上死去。其實(shí)，蘋(píng)果很久之前就積極參與軟件開(kāi)源活動(dòng)了，另外一個(gè)例子就是GPL和LGPL開(kāi)放協(xié)議下的CUPS( Common UNIX Printing System )系統(tǒng)，它也是蘋(píng)果OS X和被其它Unix系統(tǒng)所接受的打印系統(tǒng)核心。蘋(píng)果還支持著OpenDarwin的開(kāi)發(fā)。大家之所以詬病蘋(píng)果封閉，一個(gè)主要原因是因?yàn)樗挠布到y(tǒng)沒(méi)有象PC那樣開(kāi)放標(biāo)準(zhǔn)，想當(dāng)初IBM把PC的硬件標(biāo)準(zhǔn)公開(kāi)，也才有了現(xiàn)在紅火的個(gè)人計(jì)算機(jī)市場(chǎng)，當(dāng)初也造就了好多如Intel, Compaq, HP, Dell, 和聯(lián)想這樣的硬件巨頭，養(yǎng)活了多少的人員，也有了軟件行業(yè)的空前進(jìn)步，要說(shuō)IBM的貢獻(xiàn)還是很大的。蘋(píng)果硬件不開(kāi)放，只有它自己可以制造售賣(mài)蘋(píng)果，而且在iOS軟件管理售賣(mài)方面，蘋(píng)果的控制手段也是延續(xù)強(qiáng)硬封閉套路。這些都是事實(shí)，我也希望蘋(píng)果能夠?qū)ψ约旱淖龇ㄗ鞒鲆恍┱{(diào)整，看看Google的Android項(xiàng)目，開(kāi)放的結(jié)果是雖然市場(chǎng)比較混亂，系統(tǒng)使用也有點(diǎn)不流暢，但是市場(chǎng)占有率在手持移動(dòng)設(shè)備中還是高于iOS系統(tǒng)。不過(guò)，他們自己的選擇有自己的道理，它的成功是否會(huì)因?yàn)樽约翰呗缘母淖兣c否而延續(xù)，我們也不做預(yù)測(cè)，對(duì)它也要從多個(gè)側(cè)面進(jìn)行評(píng)判。

再 回到正題。最后，Mac OS X 10.3在2005年前后通過(guò)了 EAL3 級(jí)別認(rèn)證 ( 通過(guò)順序測(cè)試檢查 ) (參考1)，這對(duì)于蘋(píng)果系統(tǒng)算是一個(gè)不錯(cuò)的結(jié)果。相比較，微軟的Windows 2003和XP等系統(tǒng)，2005年通過(guò)的是EAL4級(jí)別（參考1）。目前沒(méi)有一個(gè)操作系統(tǒng)達(dá)到EAL7級(jí)，一般都是4級(jí)，比如Solaris 10, SUSE Linux, RedHat Linux，以及Windows 7和Windows server 2008啊等， IBM System z servers 達(dá)到 5 級(jí)，目前可知的最高的是Green Hills Software INTEGRITY公司出的實(shí)時(shí)系統(tǒng)，達(dá)到6級(jí)。

openBSM作為操作系統(tǒng)的安全審計(jì)部分，在從Mac OS X 10.3到10.5系統(tǒng)中是可選安裝部分，也就是說(shuō)，在需要的場(chǎng)合可以自選安裝。到了10.6之后，它成為了隨OS X系統(tǒng)一起默認(rèn)安裝的系統(tǒng)核心的一部分，而且在普通客戶(hù)版和服務(wù)器版都存在。目前來(lái)說(shuō)，Mac OS X系統(tǒng)依舊只持有EAL3認(rèn)證。

待續(xù)...

參考：

1. NIAP: Archived Product Compliant List http://www.niap-ccevs.org/vpl/archived/?tech_name=Operating+System

2. openBSM主頁(yè)： http://www.trustedbsd.org/openbsm.html

3. BSM日志的格式： http://www.gsp.com/cgi-bin/man.cgi?section=5&topic=audit.log

4. 蘋(píng)果官方文檔： Common Criteria

5. Sun 的官方文檔： Solaris Basic Security Mode (BSM) Auditing ， Auditing in the Solaris? 8 Operating Environment , SunSHIELD Basic Security Module Guide - Oracle Documentatio n （ 801-6636/801-6636.pdf ）, SunSHIELD Basic Security Module Guide （ 806-1789/index.html ）或者 SunSHIELD Basic Security Module Guide - Oracle Documentation （ 806-1789/806-1789.pdf ）

6. FreeBSD 的官方文檔： Chapter 18 Security Event Auditing

蘋(píng)果Mac OS X系統(tǒng)安全評(píng)級(jí)(1)