兼述：BASIC SECURITY MODEL

蘋果Mac OS X系統(tǒng)安全性能的完善是一個長久而持續(xù)的過程，在這個過程中，我們還可以從一個側面回憶一下操作系統(tǒng)安全體系發(fā)展的過程。

在80年代初，IBM開創(chuàng)引領了個人計算機時代的開端，80年代中期個人計算機開始逐漸盛行，主流市場上是IBM PC和Macintosh兩大陣營的較量。從前在70年代就已經(jīng)成形的UNIX，到了80年代已經(jīng)很成熟了，一提到UNIX，大家自然會想到服務器，它本來和PC的交集很少。還記得當初我上大學的時候，學校的PC機房里面只有幾個PC-XT，當時來說都是新鮮玩意，后來的一臺AT機，大家更是愛不釋手都說它那叫一個快。那是上機，是要預定和持上機票的，機房也是特殊裝修的，記得當時裝修機房也是一大賺錢買賣。我們班有個入門特別早和深入的哥們，他用AT機最多，上了機就輸入測試，當時我連鍵盤字母都找不快，在畢業(yè)前的最后一年，我也從圖書館借閱了一些UNIX的外文專著，只是當時學校和后來工作都沒有機器可用，后來也就擱下了。學校機房里也有兩臺Apple II，當時流行的觀點是，PC會勝過Apple成為市場的主流，后來市場也證明了這一點。不過，Apple電腦從OS X開始，以UNIX為核心，后來摒棄PowerPC體系擁抱Intel，在加上挾iOS設備的成功，2 0多年后的現(xiàn)在 重返個人電腦主流市場，當初又有誰可以預料到呢？這正如今后的市場走向，誰能說得準呢？

不想那么遠了，說到Mac OS X系統(tǒng)，不得不說UNIX，大家都知道UNIX是公認的比較安全的系統(tǒng)，不過可能不知道的是，它的安全性也是經(jīng)過了曲折的。UNIX的設計之初，并沒有把系統(tǒng)安全考慮在內(nèi)，這正如個人電腦設計之初，從硬件到軟件誰都沒有認真考慮系統(tǒng)安全問題，這合乎常理。在80年代的時候，個人計算機市場剛剛興起，IT業(yè)也沒有如今這樣形成一個市場巨大的產(chǎn)業(yè)，而當時美國政府部門是計算機的主要消費用戶，抓住政府資金就能發(fā)展的道理，大家都懂。為了可以把自己的產(chǎn)品銷售給政府，就要符合政府采購標準，對于計算機產(chǎn)品，安全性能是一個主要的考核項目。當時， Sun 公司早于1991年的時候為它的 SunOS4.1.2 （就是目前大名鼎鼎的Solaris系統(tǒng)的前身）， 寫了個不太成功的腳本 C2Conv ，從而使該系統(tǒng)勉強通過美國國家標準，不過C2Conv很簡陋也不好用。后來，逐步改善，終于于 1994 年為新明名的Solaris系統(tǒng)發(fā)布了相關安全審計API和相關格式等，定名為基礎安全模型（ BASIC SECURITY MODEL ），簡稱BSM，這是一個成功的軟件規(guī)范，一個很好的安全審計框架，不僅小巧、快速、適合各種粒度配置并且可靠快速，通過它可以讓操作系統(tǒng)輕松達到美國軍方的計算機安全 TCSEC 的(Trusted Computer System Evaluation Criteria)C2標準，Sun的這個BSM經(jīng)多多年的發(fā)展，現(xiàn)在也成為了業(yè)界事實上的安全框架標準。

說到 TCSEC ，當初 是1983年美國安全局下屬的國家計算機安全中心NCSC制定發(fā)布的，這個標準俗稱“橘皮書”(Orange Book)。該標準把安全等級分為A/B/C/D四大類，其中每類又細分小級別，分別是： C1, C2, B1, B2, B3 和A1 。 C2級別是政府購買的最低級別，持有C2認證也是當時各個系統(tǒng)開發(fā)商標榜自己系統(tǒng)安全的一大說辭。后來 TCSEC 標準在2005年被Common Criteria替代（全稱叫：Common Criteria for Information Technology Security Evaluation，簡稱也叫CC，也是目前的國際標準（ISO/IEC 15408），它是在北約（ I TSEC ）、加拿大（ CTCPEC ）和美國（ TCSEC） 三個相關標準的基礎上改進形成的。現(xiàn)在，這個認證的頒發(fā)主要由NIAP來管理了，NIAP是美國 National Information Assurance Partnership 的簡稱， 它是美國國家安全局直屬的機構，實施安全檢測規(guī)則并進行系統(tǒng)安全檢測、進行評級認證，現(xiàn)在提供依據(jù)CC標準的認證，認證叫EAL證書，分成7級。

原始的UNIX系統(tǒng)也就符合C1標準，而C2和C1的主要區(qū)別是審計和存取控制功能。系統(tǒng)審計是系統(tǒng)安全的一個重要方面，而審計的一個重要原則就是可追溯性，也就是隨時可以檢查系獲得哪個人以什么權限何時存取了什么東西，審計也是檢測系統(tǒng)是否被入侵的一個重要有效手段。不是老聽說，美國爆料五角大樓或者國防部被黑客入侵嗎？他們?nèi)绾蔚弥哪兀渴侄魏芏啵嬎銠C系統(tǒng)的審計功能是其中重要的一環(huán)。為了獲得國家認證，各個系統(tǒng)廠商不得不改進自己的系統(tǒng)安全指標，也有了我們現(xiàn)在所使用的各種比較安全的系統(tǒng)軟件。 大家可以看到，當時美國國家政府標準也為計算機產(chǎn)業(yè)產(chǎn)品的成熟，起到了關鍵促進的作用。

話說蘋果公司，在OS X 10.3 系統(tǒng)之前，也就是10年前，它的系統(tǒng)安全架構還不完善。大家都知道，蘋果的Mac OS X系統(tǒng)是以Mach為核心的基于UNIX操作系統(tǒng)的一套圖形化操作系統(tǒng)。蘋果為了能夠通過 NIAP 的安全認證，自己的操作系統(tǒng)又是源于UNIX，所以就依據(jù)Sun的這個比較成熟的BSM基礎安全模型，委托McAfee Research公司開發(fā)了一套，用在它的Darwin系統(tǒng)上，蘋果的BSM使用該模型的函數(shù)庫和接口定義等，既能記錄系統(tǒng)核心事件也能記錄應用程序事件軌跡，保存為今后分析使用。后來蘋果應要求把它從Darwin中分離出來，并決定以BSD開放源碼協(xié)議對外開放，改名叫做openBSM，于是它成為了Sun的BSM模型的開源版本，后來TrustedBSD志愿者團隊為它的完善和發(fā)展作出了重要貢獻，這一點從目前openBSM的官方網(wǎng)站的名稱依然是用 trustedbsd.com 就可以看出，TrustBSD的重要性。自此之后，它獲得空前的發(fā)展，除了被Mac OS X使用之外，也被廣泛用于freeBSD和其它的Linux等系統(tǒng)上，也是最為廣泛使用的系統(tǒng)審計模塊。

看到這里，不由得想到，很多人都埋怨／抨擊Apple系統(tǒng)封閉不開放，并預言它今后必在封閉的道路上死去。其實，蘋果很久之前就積極參與軟件開源活動了，另外一個例子就是GPL和LGPL開放協(xié)議下的CUPS( Common UNIX Printing System )系統(tǒng)，它也是蘋果OS X和被其它Unix系統(tǒng)所接受的打印系統(tǒng)核心。蘋果還支持著OpenDarwin的開發(fā)。大家之所以詬病蘋果封閉，一個主要原因是因為它的硬件系統(tǒng)沒有象PC那樣開放標準，想當初IBM把PC的硬件標準公開，也才有了現(xiàn)在紅火的個人計算機市場，當初也造就了好多如Intel, Compaq, HP, Dell, 和聯(lián)想這樣的硬件巨頭，養(yǎng)活了多少的人員，也有了軟件行業(yè)的空前進步，要說IBM的貢獻還是很大的。蘋果硬件不開放，只有它自己可以制造售賣蘋果，而且在iOS軟件管理售賣方面，蘋果的控制手段也是延續(xù)強硬封閉套路。這些都是事實，我也希望蘋果能夠?qū)ψ约旱淖龇ㄗ鞒鲆恍┱{(diào)整，看看Google的Android項目，開放的結果是雖然市場比較混亂，系統(tǒng)使用也有點不流暢，但是市場占有率在手持移動設備中還是高于iOS系統(tǒng)。不過，他們自己的選擇有自己的道理，它的成功是否會因為自己策略的改變與否而延續(xù)，我們也不做預測，對它也要從多個側面進行評判。

再 回到正題。最后，Mac OS X 10.3在2005年前后通過了 EAL3 級別認證 ( 通過順序測試檢查 ) (參考1)，這對于蘋果系統(tǒng)算是一個不錯的結果。相比較，微軟的Windows 2003和XP等系統(tǒng)，2005年通過的是EAL4級別（參考1）。目前沒有一個操作系統(tǒng)達到EAL7級，一般都是4級，比如Solaris 10, SUSE Linux, RedHat Linux，以及Windows 7和Windows server 2008啊等， IBM System z servers 達到 5 級，目前可知的最高的是Green Hills Software INTEGRITY公司出的實時系統(tǒng)，達到6級。

openBSM作為操作系統(tǒng)的安全審計部分，在從Mac OS X 10.3到10.5系統(tǒng)中是可選安裝部分，也就是說，在需要的場合可以自選安裝。到了10.6之后，它成為了隨OS X系統(tǒng)一起默認安裝的系統(tǒng)核心的一部分，而且在普通客戶版和服務器版都存在。目前來說，Mac OS X系統(tǒng)依舊只持有EAL3認證。

待續(xù)...

參考：

1. NIAP: Archived Product Compliant List http://www.niap-ccevs.org/vpl/archived/?tech_name=Operating+System

2. openBSM主頁： http://www.trustedbsd.org/openbsm.html

3. BSM日志的格式： http://www.gsp.com/cgi-bin/man.cgi?section=5&topic=audit.log

4. 蘋果官方文檔： Common Criteria

5. Sun 的官方文檔： Solaris Basic Security Mode (BSM) Auditing ， Auditing in the Solaris? 8 Operating Environment , SunSHIELD Basic Security Module Guide - Oracle Documentatio n （ 801-6636/801-6636.pdf ）, SunSHIELD Basic Security Module Guide （ 806-1789/index.html ）或者 SunSHIELD Basic Security Module Guide - Oracle Documentation （ 806-1789/806-1789.pdf ）

6. FreeBSD 的官方文檔： Chapter 18 Security Event Auditing

蘋果Mac OS X系統(tǒng)安全評級(1)