文章編號(hào)：1672-5913(2008)18-0115-03

摘要：鑒于在中國(guó)科學(xué)院軟件研究所長(zhǎng)期從事的安勝安全操作系統(tǒng)的研發(fā)經(jīng)驗(yàn)和成果，我們從模塊化知識(shí)體系和工程實(shí)踐角度，采取了集課堂講授、討論交流、實(shí)例演示、實(shí)驗(yàn)和課程項(xiàng)目為一體的多模式教學(xué)方法。本文介紹了我們的研究成果。

關(guān)鍵詞：操作系統(tǒng)安全；模塊化知識(shí)體系；多模式教學(xué)方法

中圖分類(lèi)號(hào)：G642 文獻(xiàn)標(biāo)識(shí)碼：B

1引言

作為計(jì)算機(jī)軟件基礎(chǔ)部分，操作系統(tǒng)的安全性對(duì)上層應(yīng)用的安全起著至關(guān)重要的作用。隨著網(wǎng)絡(luò)應(yīng)用的普及和移動(dòng)計(jì)算的興起，操作系統(tǒng)所面臨的安全威脅日趨多樣化和復(fù)雜化。因此迫切需要研制能夠提供高安全等級(jí)的操作系統(tǒng)，以滿(mǎn)足在當(dāng)前計(jì)算環(huán)境下不同應(yīng)用系統(tǒng)的不同程度的安全需求。操作系統(tǒng)安全課程的開(kāi)設(shè)，正是鑒于我們?cè)诓僮飨到y(tǒng)安全領(lǐng)域的長(zhǎng)期研究、技術(shù)積累與工程實(shí)踐，包括符合國(guó)標(biāo)GB17859第三級(jí)的安勝安全操作系統(tǒng)原型的科研成果、以及符合國(guó)標(biāo)GB17859第四級(jí)的安勝安全操作系統(tǒng)原型的科研成果，以及在中國(guó)科學(xué)院科學(xué)出版基金的支持下，于2003年初由科學(xué)出版社出版國(guó)內(nèi)首部該領(lǐng)域?qū)Ｖ恫僮飨到y(tǒng)安全導(dǎo)論》，于2004年在清華大學(xué)出版社與高等院校信息安全專(zhuān)業(yè)系列叢書(shū)編委會(huì)的大力推動(dòng)與支持下出版的研究生教材《操作系統(tǒng)安全》。

2006年，北京大學(xué)軟件與微電子學(xué)院正式成立信息安全系，開(kāi)始了面向軟件工程碩士的專(zhuān)業(yè)課程體系建設(shè)，“操作系統(tǒng)安全”課程作為專(zhuān)業(yè)選修課在本系碩士研究生中首次開(kāi)設(shè)，至今已經(jīng)面向2006級(jí)、2007級(jí)的統(tǒng)招碩士生和在職碩士生開(kāi)設(shè)了四次。經(jīng)過(guò)教學(xué)、科研的相互促進(jìn)，以及教學(xué)方法的不斷改進(jìn)和創(chuàng)新，我們已經(jīng)逐步形成了注重學(xué)生研究能力、工程實(shí)踐能力、創(chuàng)新能力培養(yǎng)的課程內(nèi)容和教學(xué)方法，取得了比較理想的教學(xué)效果。

此外，目前國(guó)內(nèi)外對(duì)基礎(chǔ)軟件的研發(fā)非常重視，操作系統(tǒng)安全與可信計(jì)算、虛擬機(jī)技術(shù)等新興領(lǐng)域的結(jié)合和發(fā)展也成為新趨勢(shì)。本課程在現(xiàn)有科研成果、教學(xué)成果的基礎(chǔ)之上，也十分強(qiáng)調(diào)知識(shí)體系的可拓展性，力求為我國(guó)該領(lǐng)域培養(yǎng)出更多實(shí)踐性強(qiáng)和創(chuàng)新型人才。

2明確培養(yǎng)目標(biāo)，模塊化課程內(nèi)容，突出教學(xué)特色

2.1明確課程的培養(yǎng)目標(biāo)

作為面向軟件工程碩士開(kāi)設(shè)的專(zhuān)業(yè)課程，需要以培養(yǎng)學(xué)生的工程實(shí)踐能力為主要目標(biāo)。為此，本課程的主要培養(yǎng)目標(biāo)是：在讓學(xué)生充分了解和掌握操作系統(tǒng)安全的知識(shí)體系基礎(chǔ)之上，能夠讓學(xué)生系統(tǒng)地學(xué)習(xí)和實(shí)踐操作系統(tǒng)安全相關(guān)技術(shù)的設(shè)計(jì)與實(shí)現(xiàn)方法。通過(guò)本課程的學(xué)習(xí)，學(xué)生可以具備綜合運(yùn)用所學(xué)知識(shí)進(jìn)行操作系統(tǒng)安全分析、設(shè)計(jì)和實(shí)現(xiàn)的能力，也可以具備對(duì)相關(guān)領(lǐng)域研究方向和技術(shù)發(fā)展趨勢(shì)的研究、實(shí)踐和創(chuàng)新的能力。

2.2模塊化課程的教學(xué)內(nèi)容

本課程從理論和實(shí)踐相結(jié)合的角度，依據(jù)國(guó)外和我國(guó)在該領(lǐng)域的研究和實(shí)踐，從“操作系統(tǒng)安全背景知識(shí)”、“操作系統(tǒng)安全理論技術(shù)”、“操作系統(tǒng)安全設(shè)計(jì)實(shí)踐”、“相關(guān)領(lǐng)域研究發(fā)展趨勢(shì)”四大模塊(如圖1所示)，系統(tǒng)地為學(xué)生介紹該領(lǐng)域的知識(shí)體系、實(shí)踐技術(shù)和發(fā)展方向。各大模塊的具體教學(xué)內(nèi)容建設(shè)如下：

(1) 操作系統(tǒng)安全背景知識(shí)模塊

本模塊在全面分析國(guó)內(nèi)外相關(guān)研究現(xiàn)狀的基礎(chǔ)之上，為學(xué)生引入操作系統(tǒng)安全的基本概念，幫助學(xué)生了解評(píng)估一個(gè)操作系統(tǒng)安全等級(jí)的相關(guān)標(biāo)準(zhǔn)，以及操作系統(tǒng)所需提供的基本安全機(jī)制。在基本安全概念方面，界定可信與安全的區(qū)別、系統(tǒng)邊界與安全周界、訪(fǎng)問(wèn)監(jiān)控器、可信計(jì)算基TCB等的涵義。針對(duì)相關(guān)標(biāo)準(zhǔn)，重點(diǎn)分析美國(guó)TCSEC可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)(對(duì)應(yīng)我國(guó)國(guó)家標(biāo)準(zhǔn)GB17859-1999)、ISO國(guó)際標(biāo)準(zhǔn)CC通用安全測(cè)評(píng)標(biāo)準(zhǔn)(對(duì)應(yīng)我國(guó)國(guó)家推薦標(biāo)準(zhǔn)GB/T18336.1-3)要求與應(yīng)用。在安全機(jī)制部分，針對(duì)目前主流操作系統(tǒng)，尤其以我們自主研發(fā)的符合國(guó)標(biāo)GB17859第三級(jí)、第四級(jí)(等價(jià)于TCSEC的B1級(jí)、B2級(jí))的安勝安全操作系統(tǒng)為例，介紹標(biāo)識(shí)與鑒別、自主訪(fǎng)問(wèn)控制、強(qiáng)制訪(fǎng)問(wèn)控制、最小特權(quán)管理、可信路徑、安全審計(jì)、密碼服務(wù)、隱蔽通道分析等基本安全機(jī)制的工作原理。

(2) 操作系統(tǒng)安全理論技術(shù)模塊

本模塊的目標(biāo)是讓學(xué)生掌握構(gòu)建操作系統(tǒng)的基本理論和核心技術(shù)，主要涉及安全性建模理論和方法、安全體系結(jié)構(gòu)設(shè)計(jì)和實(shí)現(xiàn)方法、隱蔽通道的標(biāo)識(shí)與處理技術(shù)。在安全建模方面，重點(diǎn)分析機(jī)密性、完整性策略及其建模思想，并以經(jīng)典Bell-LaPadula機(jī)密性模型，Biba、Clark Wilson完整性模型為例介紹安全建模的一般方法，而對(duì)于Chinese Wall、RBAC(Role Based Access Control)、DTE(Domain and Type Enforcement)等其他常用安全模型的介紹，是讓學(xué)生了解和掌握信息系統(tǒng)安全領(lǐng)域目前更加實(shí)用的安全建模理論和技術(shù)。針對(duì)安全體系結(jié)構(gòu)的設(shè)計(jì)，重點(diǎn)以FLASK安全體系結(jié)構(gòu)和LSM(Linux Security Module)體系框架為例，引導(dǎo)學(xué)生掌握支持動(dòng)態(tài)多策略的安全體系結(jié)構(gòu)設(shè)計(jì)思想和實(shí)現(xiàn)方法。隱蔽通道的標(biāo)識(shí)與處理是更高安全等操作系統(tǒng)的要求，這部分將主要介紹隱蔽通道的判別標(biāo)準(zhǔn)與構(gòu)造方法、隱蔽通道的標(biāo)識(shí)技術(shù)、隱蔽通道帶寬計(jì)算方法、以及隱蔽通道的常用處理技術(shù)等。

(3) 操作系統(tǒng)安全設(shè)計(jì)實(shí)踐模塊

本模塊以自主研發(fā)的安勝安全操作系統(tǒng)原型和國(guó)外經(jīng)典SELinux操作系統(tǒng)原型為例，系統(tǒng)地介紹高安全等級(jí)操作系統(tǒng)的需求分析、設(shè)計(jì)和實(shí)現(xiàn)方法，及其在安全WEB系統(tǒng)、高保障防火墻系統(tǒng)、安全數(shù)據(jù)庫(kù)系統(tǒng)中的應(yīng)用和安全擴(kuò)展方法。在設(shè)計(jì)實(shí)例分析方面，以安全系統(tǒng)設(shè)計(jì)原則和常用開(kāi)發(fā)方法為基礎(chǔ)，重點(diǎn)對(duì)安勝安全操作系統(tǒng)和SELinux系統(tǒng)中的機(jī)密性、完整性、最小特權(quán)等安全策略、模型，安全體系結(jié)構(gòu)設(shè)計(jì)，安全模塊的設(shè)計(jì)和開(kāi)發(fā)方法、隱蔽通道的標(biāo)識(shí)和處理技術(shù)等進(jìn)行詳細(xì)剖析。在應(yīng)用實(shí)例分析方面，以安全WEB系統(tǒng)、高保障防火墻系統(tǒng)、安全數(shù)據(jù)庫(kù)為例，分析各應(yīng)用系統(tǒng)在操作系統(tǒng)提供的安全性基礎(chǔ)之上進(jìn)一步擴(kuò)展整個(gè)系統(tǒng)安全性的技術(shù)和方法。

(4) 相關(guān)領(lǐng)域研究發(fā)展趨勢(shì)模塊

本模塊是在學(xué)生對(duì)操作系統(tǒng)的安全理論、技術(shù)和實(shí)現(xiàn)方法有了一個(gè)比較系統(tǒng)的了解、掌握和實(shí)踐之后，幫助學(xué)生拓展相關(guān)領(lǐng)域的新技術(shù)及熱點(diǎn)問(wèn)題，使他們能夠把握新技術(shù)的脈搏、適應(yīng)未來(lái)的發(fā)展趨勢(shì)和應(yīng)用。目前，該模塊涉及的主要內(nèi)容包括可信計(jì)算技術(shù)、虛擬機(jī)技術(shù)，以及他們的安全研究熱點(diǎn)，也涉及他們對(duì)未來(lái)操作系統(tǒng)安全研究的改變。

2.3突出課程的教學(xué)特色

本課程的教學(xué)形成自己的特色，主要包括以下幾點(diǎn)：

第一，本課程的知識(shí)體系完備，模塊清晰、并具有遞進(jìn)化的層次結(jié)構(gòu)。

第二，本課程是從自主研發(fā)的“安勝安全操作系統(tǒng)”，以及國(guó)外經(jīng)典“SELinux”開(kāi)源項(xiàng)目的工程實(shí)踐角度，剖析操作系統(tǒng)的安全理論、技術(shù)、開(kāi)發(fā)方法和應(yīng)用。

第三，本課程重點(diǎn)培養(yǎng)學(xué)生基于Linux操作系統(tǒng)的安全增強(qiáng)技術(shù)和方法上的實(shí)踐。

第四，本課程既有課堂講授，也有實(shí)例演示和實(shí)驗(yàn)課，并通過(guò)課程項(xiàng)目的驅(qū)動(dòng)，注重學(xué)生分析問(wèn)題、解決問(wèn)題能力，以及實(shí)際動(dòng)手實(shí)踐能力的培養(yǎng)。

第五，本課程注重拓展學(xué)生的領(lǐng)域知識(shí)，引導(dǎo)學(xué)生對(duì)最新技術(shù)和發(fā)展方向的把握。

3多模式教學(xué)方法，以培養(yǎng)實(shí)踐能力和創(chuàng)新能力為核心

過(guò)多的理論介紹，既增加學(xué)生的學(xué)習(xí)負(fù)擔(dān)，又不能突出教學(xué)重點(diǎn)，還會(huì)挫傷學(xué)生的學(xué)習(xí)積極性。尤其是對(duì)于軟件工程碩士的培養(yǎng)，一方面我們要注重理論體系的教學(xué)，另一方面我們更應(yīng)該重視學(xué)生工程實(shí)踐能力和創(chuàng)新能力的培養(yǎng)。為此，在“操作系統(tǒng)安全”課程建設(shè)的過(guò)程中，經(jīng)過(guò)不斷的改革和探索，我們采取了一種集課堂講授、技術(shù)交流討論、實(shí)例演示、實(shí)驗(yàn)和課程項(xiàng)目為一體的多模式教學(xué)方法(如圖2所示)。這種多模式教學(xué)方法的實(shí)踐表明，能夠有利于學(xué)生發(fā)揮學(xué)習(xí)的主觀(guān)能動(dòng)性和積極性，能夠在知識(shí)掌握、實(shí)踐能力、分析問(wèn)題和解決問(wèn)題能力、創(chuàng)新能力等方面得到鍛煉和提高，效果比較理想。

3.1課堂講授模式

課堂講授是課程教學(xué)的主要模式和基礎(chǔ)，在本課程中約占總學(xué)時(shí)的60%，以系統(tǒng)介紹2.2節(jié)知識(shí)模塊1-3為主。在本模式中，我們注重課件的建設(shè)，形成了層次化的知識(shí)模塊結(jié)構(gòu)(如圖1所示)，強(qiáng)調(diào)每一個(gè)模塊中關(guān)鍵知識(shí)點(diǎn)之間保持連貫性。如：在Biba完整性模型介紹中，從“分析主客體完整性涵義→引入安全信息傳輸路徑概念→解釋Biba模型規(guī)則”一脈相承。此外，也注重課堂講授過(guò)程中啟發(fā)性和互動(dòng)性，讓學(xué)生變被動(dòng)吸收為主動(dòng)理解。

3.2技術(shù)交流與討論模式

在課堂講授操作系統(tǒng)基本知識(shí)體系的基礎(chǔ)之上，通過(guò)行業(yè)專(zhuān)家配合課程內(nèi)容，介紹相關(guān)領(lǐng)域的前沿工程技術(shù)與實(shí)踐。例如，我們聘請(qǐng)中國(guó)科學(xué)院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室張敏博士作關(guān)于數(shù)據(jù)庫(kù)安全技術(shù)的專(zhuān)題報(bào)告，秦宇博士作關(guān)于可信計(jì)算平臺(tái)和虛擬機(jī)安全技術(shù)的專(zhuān)題報(bào)告，還聘請(qǐng)解放軍某部季慶光博士作關(guān)于操作系統(tǒng)安全設(shè)計(jì)與未來(lái)發(fā)展趨勢(shì)分析的專(zhuān)題報(bào)告。圍繞核心技術(shù)，我們還通過(guò)課內(nèi)外分組討論指定專(zhuān)題方式，充分調(diào)動(dòng)學(xué)生學(xué)習(xí)的主動(dòng)性和積極性，鍛煉學(xué)生分析問(wèn)題、解決問(wèn)題的能力和勇于創(chuàng)新的能力。

3.3實(shí)例演示模式

實(shí)例演示是專(zhuān)業(yè)課程的一個(gè)重要教學(xué)環(huán)節(jié)。在操作系統(tǒng)安全教學(xué)過(guò)程中，抽象的理論和技術(shù)內(nèi)容，僅憑講解是不夠的，實(shí)例的演示和分析可以讓抽象內(nèi)容具體化，便于學(xué)生理解和掌握。為此，我們以自主研發(fā)的安勝安全操作系統(tǒng)原型為基礎(chǔ)，通過(guò)建設(shè)典型的實(shí)例演示和分析，展示操作系統(tǒng)的主要安全機(jī)制、技術(shù)和實(shí)現(xiàn)方法。例如：對(duì)于自主訪(fǎng)問(wèn)控制機(jī)制和強(qiáng)制訪(fǎng)問(wèn)控制機(jī)制的本質(zhì)區(qū)別，我們擬的演示實(shí)例如圖3所示(其中安全級(jí)支配關(guān)系為SYS_ADMIN≥SYS_SECURITY≥SYS_PUBLIC，依據(jù)BLP模型，主體支配客體才能讀訪(fǎng)問(wèn))：

這樣，如果要授權(quán)user2可讀file1，只需file1屬主user1執(zhí)行A1授權(quán)(自主訪(fǎng)問(wèn)控制允許)；但是，如果要授權(quán)user3可讀file1，必須經(jīng)過(guò)兩個(gè)授權(quán)：(1)由file1屬主user1 執(zhí)行B1授權(quán)(自主訪(fǎng)問(wèn)控制允許)；(2)由管理員 root 執(zhí)行B2授權(quán)(強(qiáng)制訪(fǎng)問(wèn)控制允許)。通過(guò)這樣的典型實(shí)例，可以讓學(xué)生清晰地了解這兩種機(jī)制的工作原理和本質(zhì)區(qū)別。

3.4實(shí)驗(yàn)課模式

實(shí)驗(yàn)課是讓學(xué)生掌握操作系統(tǒng)安全核心技術(shù)和方法必不可少的環(huán)節(jié)，通過(guò)實(shí)驗(yàn)課的設(shè)置我們還可以培養(yǎng)學(xué)生的實(shí)際編程能力、動(dòng)手實(shí)踐的能力，并通過(guò)嚴(yán)格的實(shí)驗(yàn)報(bào)告要求培養(yǎng)學(xué)生規(guī)范的文檔組織和寫(xiě)作能力，以及對(duì)實(shí)驗(yàn)結(jié)果的總結(jié)分析能力。以我們開(kāi)設(shè)的實(shí)驗(yàn)--“隱蔽存儲(chǔ)通道場(chǎng)景的構(gòu)造實(shí)現(xiàn)”為例，一方面，讓大家熟悉安勝OS的基本安全機(jī)制和操作、清楚隱蔽存儲(chǔ)通道的工作機(jī)理，另一方面，讓大家練習(xí)Linux環(huán)境下的C程序設(shè)計(jì)，在安勝OS實(shí)際環(huán)境中編寫(xiě)隱蔽存儲(chǔ)通道的發(fā)送程序、接收程序，并實(shí)際運(yùn)行和測(cè)試。實(shí)驗(yàn)結(jié)果表明，學(xué)生在鍛煉動(dòng)手實(shí)踐能力的同時(shí)，可以更加深入地掌握相關(guān)理論和技術(shù)。

3.5課程項(xiàng)目模式

本課程項(xiàng)目是在學(xué)生對(duì)操作系統(tǒng)安全理論和技術(shù)具有一定了解的基礎(chǔ)之上，通過(guò)老師指導(dǎo)選題，主要以課外分組討論、設(shè)計(jì)和實(shí)現(xiàn)的方式完成一個(gè)實(shí)踐性項(xiàng)目或研究性項(xiàng)目，并要求進(jìn)行選題陳述、結(jié)題陳述、實(shí)例演示和完成課程項(xiàng)目技術(shù)報(bào)告。重點(diǎn)培養(yǎng)學(xué)生中英文獻(xiàn)檢索能力、閱讀和理解能力，綜合運(yùn)用所學(xué)操作系統(tǒng)安全理論、技術(shù)與方法分析問(wèn)題和解決問(wèn)題的能力，以及對(duì)相關(guān)技術(shù)和新技術(shù)的研究、分析、設(shè)計(jì)實(shí)踐和創(chuàng)新的能力。以下是目前本課程項(xiàng)目涉及的六個(gè)主要方向，但可以不限于這些方向。

(1)windows(比如windows vista)系統(tǒng)安全機(jī)制分析、設(shè)計(jì)及實(shí)踐技術(shù)

(2)Linux/UNIX(比如Linux 2.6， SELinux， Solaris 10)安全機(jī)制分析、設(shè)計(jì)及實(shí)現(xiàn)技術(shù)

(3) 操作系統(tǒng)安全實(shí)用理論模型設(shè)計(jì)、分析、驗(yàn)證和模擬演示技術(shù)

(4) 面向操作系統(tǒng)安全的滲透測(cè)試經(jīng)典方法、實(shí)例分析和實(shí)踐技術(shù)

(5) 可信計(jì)算平臺(tái)安全問(wèn)題研究、分析、設(shè)計(jì)與實(shí)現(xiàn)技術(shù)

(6) 虛擬機(jī)安全問(wèn)題研究、分析、設(shè)計(jì)與實(shí)現(xiàn)技術(shù)

4結(jié)束語(yǔ)

模塊化知識(shí)體系和多模式教學(xué)方法的應(yīng)用，使“操作系統(tǒng)安全”課程在教學(xué)設(shè)計(jì)上實(shí)現(xiàn)了理論教學(xué)和實(shí)踐教學(xué)的有機(jī)結(jié)合、構(gòu)成了“講授 + 交流 + 實(shí)例 + 實(shí)驗(yàn) + 項(xiàng)目”體系的教學(xué)新思路。在教學(xué)過(guò)程中始終貫徹“教學(xué)、科研、實(shí)踐”互動(dòng)的原則，使學(xué)生在學(xué)習(xí)課程知識(shí)時(shí)，依托真實(shí)、具體的自主研發(fā)成果-安勝安全操作系統(tǒng)，以及NSA經(jīng)典開(kāi)源項(xiàng)目SELinux系統(tǒng)，在實(shí)例、實(shí)驗(yàn)、項(xiàng)目、新技術(shù)交流的引導(dǎo)之下，強(qiáng)調(diào)對(duì)學(xué)生實(shí)踐能力和創(chuàng)新能力的培養(yǎng)，避免了停留在抽象枯燥的理論層面。兩年來(lái)的教學(xué)實(shí)踐證明，這種教學(xué)方法的應(yīng)用極大地激發(fā)了學(xué)生學(xué)習(xí)的積極性和興趣，提高了學(xué)生的專(zhuān)業(yè)素質(zhì)和綜合能力。

參 考 文 獻(xiàn)

[1] 卿斯?jié)h，劉文清，劉海峰. 操作系統(tǒng)安全導(dǎo)論[M]. 北京:科學(xué)出版社，2003.

[2] 卿斯?jié)h，劉文清，溫紅子. 操作系統(tǒng)安全[M]. 北京:清華大學(xué)出版社，2004.

[3] 柳翔. 嵌入式軟件工程人才培養(yǎng)模式的探索與實(shí)踐[J]. 計(jì)算機(jī)教育，2005，(11).

[4] 李文新. 加強(qiáng)基礎(chǔ)，提供平臺(tái)，營(yíng)造氛圍，全方位培養(yǎng)創(chuàng)新能力[J]. 計(jì)算機(jī)教育，2008，(1):20-22.

[5] 王文. 項(xiàng)目驅(qū)動(dòng)的”Linux操作系統(tǒng)\"課程教學(xué)改革[J]. 計(jì)算機(jī)研究，2007，(9):77-79.

[6] 肖競(jìng)?cè)A，陳建勛. ”計(jì)算機(jī)操作系統(tǒng)\"教學(xué)改革探索與實(shí)踐[J]. 高等理科教育，2007，(3):68-70.