随着计算机应用范围的拓展,计算环境的多样化和复杂性显著提高,应用安全需求的多样化使得计算机安全面临着更多挑战。尽管计算机安全技术不断发展,但是安全攻击事件仍然不断发生。要解决层出不穷的安全问题,本文认为必须从计算系统中最根本的操作系统着手,构建一个从底向上逐层保护的纵深安全体系:由硬件和操作系统的底层保证系统中实施访问控制的TCB的完整性,确保TCB中安全核的访问控制功能正确实施；为了满足复杂计算环境的需求,访问控制机制必须能够实施满足不同安全需求的多种安全策略；根据特定的应用环境配置符合用户安全目标的安全策略。本文从以下三个方面来构建一个安全的操作系统。　　 首先,利用微内核多服务器系统结构保证操作系统中TCB的完整性。微内核多服务器结构将系统中各功能模块作为进程运行。每个模块将代码和数据保护在进程的私有地址空间内,利用地址空间隔离机制禁止其他进程对私有代码和数据的访问。进程之间通过微内核控制的消息机制实现进程间交互。进程隔离和消息机制保证了模块的代码和数据不会受其它模块的破坏,有效限制了系统中可能存在的被攻击驱动模块或者恶意插入模块的破坏能力,从而保证了TCB中独立模块的代码和依赖数据完整性,进而确保了操作系统中安全核模块的完整性。　　 其次,支持灵活多策略的操作系统可以组合多个安全策略为整个系统提供统一的多策略访问控制,然而庞大的系统中可能存在多个不同的管理区域,由于管理对象和安全目标不同,特定的程序或者信息需要各自不同的访问控制策略,因此本文提出了一种支持元策略的多策略访问控制框架(MSGFAC),使得用户可以通过元策略来控制不同的管理区域的访问控制策略,从而能够为用户提供细粒度的安全服务。　　 另外,在研究安全策略配置时,本文提出了在BLP的基础上进行了完整性和动态扩展的EBLP模型,使得BLP模型更加灵活而且能够提供完整性的保护。然后,分析了Nutos系统中访问控制应该满足的安全目标和安全原则,利用支持元策略的访问控制框架并结合扩展的BLP、RBAC、DTE安全模型给出了满足系统安全目标的策略配置实例。如果操作系统需要对应用环境中用户的资源进行特殊的安全保护,则需在此基础上增加对用户数据管理域安全策略的配置即可。