附錄A（資料性附錄）操作系統面臨的威脅和對策

A.1操作系統可能面對的主要威脅

對操作系統可能構成威脅的用戶分為兩類：操作系統的未授權用戶和授權用戶。即使在非敵對環境中工作的有著良好管理秩序的團體中，操作系統的授權用戶也可能由于疏忽或其他一些偶然因素對系統的安全構成威脅，所以操作系統應防止這類威脅。操作系統可能會遇到的威脅有：
——授權用戶在沒有取得信息所有者同意的情況下，察看了本不應知道的信息，即使這個用戶可能有足夠的權限看到這個受保護信息；
——授權用戶沒有經過信息所有者的直接或者間接授權，對該信息進行了修改或破壞；
——用戶未經授權，便使用需要擁有管理員權限的工具，通過工具取得對信息的未授權訪問；
——工作站間數據傳輸過程中的數據泄漏、被未授權用戶篡改或被其他直接或間接地處理（如工作站身份欺騙）；
——未授權用戶可能通過模擬授權用戶獲得對操作系統的訪問，或者對一個授權用戶已經登錄而又暫時無人照看的系統進行訪問，從而獲得了對信息的未授權訪問；
——為保護其資源，操作系統應保持一個安全狀態，但這種狀態可能由于系統的故障而被破壞，如：造成數據不一致；
——在一系列的攻擊下，操作系統資源的不可用。

A.2操作系統可采用的降低威脅的方法

為應對以上威脅，操作系統可以采用以下方法抵御威脅：
——特定客體的訪問權限由客體安全屬性、用戶身份和環境條件所決定，這些條件在對應的策略中規定；
——使用監督和事后評判等機制，使用戶的有關安全的行為得到控制；
——在物理上分離的部件之間的信息流應遵從已建立的信息流控制策略；
——除了公共資源外，系統受保護資源僅限于需要了解該資源的授權用戶進行訪問；
——給操作系統中的主體、客體或客體信息的敏感標記，如：安全等級、數字簽名等，從而決定主客體之間的訪問得到控制。