SELinux中，有三大类MAC策略模型，分别是TE（类型增强），RBAC(角色访问控制）以及MLS(多级别安全），每一类模型都针对系统已有服务和应用提供了大量安全策略，一个使用了SELinux的典型的服务器操作系统环境，内核中会包含10万条以上的安全策略。那么如此多的安全策略，会不会导致系统每项操作都要进行大量的策略查询和判断，从而步履维艰、不堪重负呢？不会，因为SELinux中提供了策略缓存机制，叫做AVC（向量缓存），将已执行过的访问及其判定结果请求缓存起来，从而可以大幅提升强制访问控制安全策略判定效率。

　　 计算机信息系统的安全等级

　　了解了SELinux及其强制访问框架后，看到攻防两端都造诣深厚的NSA，你可能会惊叹于矛尖盾厚的美国在信息安全领域的强大的实力。然而我国在这个陆上有东风，海上有航母，天空有北斗的时代，在信息安全这样重要的领域当然不会碌碌无为。我国很早就对信息安全领域展开了全面的研究，公安部对信息安全的各个领域提出了一些列标准，最早在GB 17859-1999标准中就根据需求将计算机信息系统由低到高，划分为1-5共五个等级。在GB/T 20272-2006中更进一步对操作系统安全技术提出了具体要求。

　　从国标安全第三级开始要求操作系统提供强制访问控制，除了要实现SELinux中的各类安全模型架构外，还根据最小特权原则开创性的引入三权分立的概念，将普通操作系统中权限不受控制的管理员根据职责分解为系统管理员，安全管理员，审计管理员三个角色。系统管理员负责“行政”体系，也就是系统中的配置管理，类似网络配置、服务启停（安全服务除外）、设备管理等等；安全管理员负责“立法”，负责安全策略制定、加载以及安全服务的开启；审计管理员的职责类似“司法”，制定违规访问的记录，安全服务的关闭，三个角色的权限之间互相制约，从根本上避免了恶意入侵者通过获取管理员权限对操作系统的全面控制。同时标准还对用户数据的私密性、完整性提出了严格的保护要求，要求操作系统通过安全标签保障用户数据不被非法读取和篡改。国标安全四级除了在访问控制和数据保护上提出更为严格要求之外，还要求设计者对操作系统的安全策略模型、安全功能模块进行形式化验证，并进行隐蔽信道分析，对系统抵御攻击能力进行评估，也是目前已有操作系统能达到的最高安全等级。目前普华、凝思等国产操作系统厂商已经开发出了符合国标安全四级的安全操作系统，提供了远高于普通SELinux的底层安全保护。

　　 结语

　　尽管病毒与恶意入侵并非只针对操作系统，信息安全是全方位的，单一从操作系统层面无法解决所有的安全问题，然而作为所有上层应用的最底层软件支撑，操作系统却承载着一切上层软件的安全机制，脱离操作系统的构建的安全体系，如同沙滩上的城堡，即使再坚固也将最终失去根基。

相关阅读：

国产操作系统最新消息

linux操作系统

手机操作系统排名

电脑操作系统有哪些

操作系统当前配置不能运行此程序

如何进行病毒实时查杀操作

病毒代码大全

什么是计算机病毒

中了勒索病毒能恢复吗

电脑有病毒不能安装杀毒

清除乙肝病毒的食物

360杀毒杀不出病毒

相关推荐：

华为史上最美操作系统，你绝对不能错过的EMUI5.0

国产操作系统典范：deepin操作系统

娱乐办公两不误！这个笔记本能把屏幕拔下来写字

斗鱼响应新规加强监管，坚持打造优质精品直播

SpaceX 火箭爆炸原因确定：液态氧过冷成了固态

华为Mate9中国版真机秀 你绝对没发现它有两种版本

99%的人都不知道的微信高效使用术？

乐视网一周蒸发88亿元 贾跃亭反思节奏发展过快

似乎已经战胜传统渠道的小米 今年为什么被OPPO、vivo 打败？

优雅商务风，性能一鸣惊人—TCL 950体验评测

转载请注明出处。