兼述：BASIC SECURITY MODEL

蘋果Mac OS X系統(tǒng)安全性能的完善是一個(gè)長久而持續(xù)的過程，在這個(gè)過程中，我們還可以從一個(gè)側(cè)面回憶一下操作系統(tǒng)安全體系發(fā)展的過程。

在80年代初，IBM開創(chuàng)引領(lǐng)了個(gè)人計(jì)算機(jī)時(shí)代的開端，80年代中期個(gè)人計(jì)算機(jī)開始逐漸盛行，主流市場(chǎng)上是IBM PC和Macintosh兩大陣營的較量。從前在70年代就已經(jīng)成形的UNIX，到了80年代已經(jīng)很成熟了，一提到UNIX，大家自然會(huì)想到服務(wù)器，它本來和PC的交集很少。還記得當(dāng)初我上大學(xué)的時(shí)候，學(xué)校的PC機(jī)房里面只有幾個(gè)PC-XT，當(dāng)時(shí)來說都是新鮮玩意，后來的一臺(tái)AT機(jī)，大家更是愛不釋手都說它那叫一個(gè)快。那是上機(jī)，是要預(yù)定和持上機(jī)票的，機(jī)房也是特殊裝修的，記得當(dāng)時(shí)裝修機(jī)房也是一大賺錢買賣。我們班有個(gè)入門特別早和深入的哥們，他用AT機(jī)最多，上了機(jī)就輸入測(cè)試，當(dāng)時(shí)我連鍵盤字母都找不快，在畢業(yè)前的最后一年，我也從圖書館借閱了一些UNIX的外文專著，只是當(dāng)時(shí)學(xué)校和后來工作都沒有機(jī)器可用，后來也就擱下了。學(xué)校機(jī)房里也有兩臺(tái)Apple II，當(dāng)時(shí)流行的觀點(diǎn)是，PC會(huì)勝過Apple成為市場(chǎng)的主流，后來市場(chǎng)也證明了這一點(diǎn)。不過，Apple電腦從OS X開始，以UNIX為核心，后來摒棄PowerPC體系擁抱Intel，在加上挾iOS設(shè)備的成功，2 0多年后的現(xiàn)在 重返個(gè)人電腦主流市場(chǎng)，當(dāng)初又有誰可以預(yù)料到呢？這正如今后的市場(chǎng)走向，誰能說得準(zhǔn)呢？

不想那么遠(yuǎn)了，說到Mac OS X系統(tǒng)，不得不說UNIX，大家都知道UNIX是公認(rèn)的比較安全的系統(tǒng)，不過可能不知道的是，它的安全性也是經(jīng)過了曲折的。UNIX的設(shè)計(jì)之初，并沒有把系統(tǒng)安全考慮在內(nèi)，這正如個(gè)人電腦設(shè)計(jì)之初，從硬件到軟件誰都沒有認(rèn)真考慮系統(tǒng)安全問題，這合乎常理。在80年代的時(shí)候，個(gè)人計(jì)算機(jī)市場(chǎng)剛剛興起，IT業(yè)也沒有如今這樣形成一個(gè)市場(chǎng)巨大的產(chǎn)業(yè)，而當(dāng)時(shí)美國政府部門是計(jì)算機(jī)的主要消費(fèi)用戶，抓住政府資金就能發(fā)展的道理，大家都懂。為了可以把自己的產(chǎn)品銷售給政府，就要符合政府采購標(biāo)準(zhǔn)，對(duì)于計(jì)算機(jī)產(chǎn)品，安全性能是一個(gè)主要的考核項(xiàng)目。當(dāng)時(shí)， Sun 公司早于1991年的時(shí)候?yàn)樗? SunOS4.1.2 （就是目前大名鼎鼎的Solaris系統(tǒng)的前身）， 寫了個(gè)不太成功的腳本 C2Conv ，從而使該系統(tǒng)勉強(qiáng)通過美國國家標(biāo)準(zhǔn)，不過C2Conv很簡(jiǎn)陋也不好用。后來，逐步改善，終于于 1994 年為新明名的Solaris系統(tǒng)發(fā)布了相關(guān)安全審計(jì)API和相關(guān)格式等，定名為基礎(chǔ)安全模型（ BASIC SECURITY MODEL ），簡(jiǎn)稱BSM，這是一個(gè)成功的軟件規(guī)范，一個(gè)很好的安全審計(jì)框架，不僅小巧、快速、適合各種粒度配置并且可靠快速，通過它可以讓操作系統(tǒng)輕松達(dá)到美國軍方的計(jì)算機(jī)安全 TCSEC 的(Trusted Computer System Evaluation Criteria)C2標(biāo)準(zhǔn)，Sun的這個(gè)BSM經(jīng)多多年的發(fā)展，現(xiàn)在也成為了業(yè)界事實(shí)上的安全框架標(biāo)準(zhǔn)。

說到 TCSEC ，當(dāng)初 是1983年美國安全局下屬的國家計(jì)算機(jī)安全中心NCSC制定發(fā)布的，這個(gè)標(biāo)準(zhǔn)俗稱“橘皮書”(Orange Book)。該標(biāo)準(zhǔn)把安全等級(jí)分為A/B/C/D四大類，其中每類又細(xì)分小級(jí)別，分別是： C1, C2, B1, B2, B3 和A1 。 C2級(jí)別是政府購買的最低級(jí)別，持有C2認(rèn)證也是當(dāng)時(shí)各個(gè)系統(tǒng)開發(fā)商標(biāo)榜自己系統(tǒng)安全的一大說辭。后來 TCSEC 標(biāo)準(zhǔn)在2005年被Common Criteria替代（全稱叫：Common Criteria for Information Technology Security Evaluation，簡(jiǎn)稱也叫CC，也是目前的國際標(biāo)準(zhǔn)（ISO/IEC 15408），它是在北約（ I TSEC ）、加拿大（ CTCPEC ）和美國（ TCSEC） 三個(gè)相關(guān)標(biāo)準(zhǔn)的基礎(chǔ)上改進(jìn)形成的。現(xiàn)在，這個(gè)認(rèn)證的頒發(fā)主要由NIAP來管理了，NIAP是美國 National Information Assurance Partnership 的簡(jiǎn)稱， 它是美國國家安全局直屬的機(jī)構(gòu)，實(shí)施安全檢測(cè)規(guī)則并進(jìn)行系統(tǒng)安全檢測(cè)、進(jìn)行評(píng)級(jí)認(rèn)證，現(xiàn)在提供依據(jù)CC標(biāo)準(zhǔn)的認(rèn)證，認(rèn)證叫EAL證書，分成7級(jí)。

原始的UNIX系統(tǒng)也就符合C1標(biāo)準(zhǔn)，而C2和C1的主要區(qū)別是審計(jì)和存取控制功能。系統(tǒng)審計(jì)是系統(tǒng)安全的一個(gè)重要方面，而審計(jì)的一個(gè)重要原則就是可追溯性，也就是隨時(shí)可以檢查系獲得哪個(gè)人以什么權(quán)限何時(shí)存取了什么東西，審計(jì)也是檢測(cè)系統(tǒng)是否被入侵的一個(gè)重要有效手段。不是老聽說，美國爆料五角大樓或者國防部被黑客入侵嗎？他們?nèi)绾蔚弥哪兀渴侄魏芏啵?jì)算機(jī)系統(tǒng)的審計(jì)功能是其中重要的一環(huán)。為了獲得國家認(rèn)證，各個(gè)系統(tǒng)廠商不得不改進(jìn)自己的系統(tǒng)安全指標(biāo)，也有了我們現(xiàn)在所使用的各種比較安全的系統(tǒng)軟件。 大家可以看到，當(dāng)時(shí)美國國家政府標(biāo)準(zhǔn)也為計(jì)算機(jī)產(chǎn)業(yè)產(chǎn)品的成熟，起到了關(guān)鍵促進(jìn)的作用。

話說蘋果公司，在OS X 10.3 系統(tǒng)之前，也就是10年前，它的系統(tǒng)安全架構(gòu)還不完善。大家都知道，蘋果的Mac OS X系統(tǒng)是以Mach為核心的基于UNIX操作系統(tǒng)的一套圖形化操作系統(tǒng)。蘋果為了能夠通過 NIAP 的安全認(rèn)證，自己的操作系統(tǒng)又是源于UNIX，所以就依據(jù)Sun的這個(gè)比較成熟的BSM基礎(chǔ)安全模型，委托McAfee Research公司開發(fā)了一套，用在它的Darwin系統(tǒng)上，蘋果的BSM使用該模型的函數(shù)庫和接口定義等，既能記錄系統(tǒng)核心事件也能記錄應(yīng)用程序事件軌跡，保存為今后分析使用。后來蘋果應(yīng)要求把它從Darwin中分離出來，并決定以BSD開放源碼協(xié)議對(duì)外開放，改名叫做openBSM，于是它成為了Sun的BSM模型的開源版本，后來TrustedBSD志愿者團(tuán)隊(duì)為它的完善和發(fā)展作出了重要貢獻(xiàn)，這一點(diǎn)從目前openBSM的官方網(wǎng)站的名稱依然是用 trustedbsd.com 就可以看出，TrustBSD的重要性。自此之后，它獲得空前的發(fā)展，除了被Mac OS X使用之外，也被廣泛用于freeBSD和其它的Linux等系統(tǒng)上，也是最為廣泛使用的系統(tǒng)審計(jì)模塊。

看到這里，不由得想到，很多人都埋怨／抨擊Apple系統(tǒng)封閉不開放，并預(yù)言它今后必在封閉的道路上死去。其實(shí)，蘋果很久之前就積極參與軟件開源活動(dòng)了，另外一個(gè)例子就是GPL和LGPL開放協(xié)議下的CUPS( Common UNIX Printing System )系統(tǒng)，它也是蘋果OS X和被其它Unix系統(tǒng)所接受的打印系統(tǒng)核心。蘋果還支持著OpenDarwin的開發(fā)。大家之所以詬病蘋果封閉，一個(gè)主要原因是因?yàn)樗挠布到y(tǒng)沒有象PC那樣開放標(biāo)準(zhǔn)，想當(dāng)初IBM把PC的硬件標(biāo)準(zhǔn)公開，也才有了現(xiàn)在紅火的個(gè)人計(jì)算機(jī)市場(chǎng)，當(dāng)初也造就了好多如Intel, Compaq, HP, Dell, 和聯(lián)想這樣的硬件巨頭，養(yǎng)活了多少的人員，也有了軟件行業(yè)的空前進(jìn)步，要說IBM的貢獻(xiàn)還是很大的。蘋果硬件不開放，只有它自己可以制造售賣蘋果，而且在iOS軟件管理售賣方面，蘋果的控制手段也是延續(xù)強(qiáng)硬封閉套路。這些都是事實(shí)，我也希望蘋果能夠?qū)ψ约旱淖龇ㄗ鞒鲆恍┱{(diào)整，看看Google的Android項(xiàng)目，開放的結(jié)果是雖然市場(chǎng)比較混亂，系統(tǒng)使用也有點(diǎn)不流暢，但是市場(chǎng)占有率在手持移動(dòng)設(shè)備中還是高于iOS系統(tǒng)。不過，他們自己的選擇有自己的道理，它的成功是否會(huì)因?yàn)樽约翰呗缘母淖兣c否而延續(xù)，我們也不做預(yù)測(cè)，對(duì)它也要從多個(gè)側(cè)面進(jìn)行評(píng)判。

再 回到正題。最后，Mac OS X 10.3在2005年前后通過了 EAL3 級(jí)別認(rèn)證 ( 通過順序測(cè)試檢查 ) (參考1)，這對(duì)于蘋果系統(tǒng)算是一個(gè)不錯(cuò)的結(jié)果。相比較，微軟的Windows 2003和XP等系統(tǒng)，2005年通過的是EAL4級(jí)別（參考1）。目前沒有一個(gè)操作系統(tǒng)達(dá)到EAL7級(jí)，一般都是4級(jí)，比如Solaris 10, SUSE Linux, RedHat Linux，以及Windows 7和Windows server 2008啊等， IBM System z servers 達(dá)到 5 級(jí)，目前可知的最高的是Green Hills Software INTEGRITY公司出的實(shí)時(shí)系統(tǒng)，達(dá)到6級(jí)。

openBSM作為操作系統(tǒng)的安全審計(jì)部分，在從Mac OS X 10.3到10.5系統(tǒng)中是可選安裝部分，也就是說，在需要的場(chǎng)合可以自選安裝。到了10.6之后，它成為了隨OS X系統(tǒng)一起默認(rèn)安裝的系統(tǒng)核心的一部分，而且在普通客戶版和服務(wù)器版都存在。目前來說，Mac OS X系統(tǒng)依舊只持有EAL3認(rèn)證。

待續(xù)...

參考：

1. NIAP: Archived Product Compliant List http://www.niap-ccevs.org/vpl/archived/?tech_name=Operating+System

2. openBSM主頁： http://www.trustedbsd.org/openbsm.html

3. BSM日志的格式： http://www.gsp.com/cgi-bin/man.cgi?section=5&topic=audit.log

4. 蘋果官方文檔： Common Criteria

5. Sun 的官方文檔： Solaris Basic Security Mode (BSM) Auditing ， Auditing in the Solaris? 8 Operating Environment , SunSHIELD Basic Security Module Guide - Oracle Documentatio n （ 801-6636/801-6636.pdf ）, SunSHIELD Basic Security Module Guide （ 806-1789/index.html ）或者 SunSHIELD Basic Security Module Guide - Oracle Documentation （ 806-1789/806-1789.pdf ）

6. FreeBSD 的官方文檔： Chapter 18 Security Event Auditing

蘋果Mac OS X系統(tǒng)安全評(píng)級(jí)(1)