根据CMWEC标准关于信任系统的评估,工作站隔离模型来源于军事和政府使用的发展。CMW一族是完全的分离但又有关联的一组标准更为Orange Book标准所熟悉。在Orange Book看来,CMW拥有所有的B1水平安全的特征,以及包括一些B2,B3的特征。一些CMW的特征和因特网防火墙/应用入门,尤其是和强制存取控制,自主存取控制,要求授权,审计等有关联。
那些安全特征的结合使CMW特别适合作为一种入门应用。有些特征使得管理变得更容易,以及在安全满足和侦察试图攻击方面维护入口处:详细的审查,要求授权,允许职责的分离和总统计的清楚和执行相信的路径攻击特洛伊人木马。其他的特征使其有可能安全的建立和运行应用程序,以及在特别的时刻使用MAC和特权指令。这个部分解释了那些安全特性;本文余下的部分将集中在使用那些特征去开发应用程序以安全的运行在CMW上,当提供从因特网上进入敏感的资源和信息时。
2.1强制存取控制
操作系统不间断的执行强制访问控制——用户不能选择哪些信息被管理。在CMW上,所有的信息都联系在一个安全级上。安全级由一个“密级”和“部门集”组成。操作系统给文件,进程和网络连接标号。一般的,为了读取一些数据,一个进程必须有一个安全级,控制数据的标记。说一个安全级去控制其他的安全级,是在说它的所属的密级高于或等于其他的密级时,以及当它包括所有的部分包括其他的安全级。对于写进程,一个进程的标记必须准确的等于数据的标记。
实际上,类别一般用作指示数据是多么的敏感或秘密的程度。当然,划分则是经常用来划分数据以致对于不同的用户给与进入分离的数据集合,等等,一个公司里不同的部门的成员。图一的配置显示了用划分来数据和资源可以从因特网上进入和那些从公司内部局域网上进入的区别。
CMW支持最大化相信网络。当交谈的主方不相信或者不支持标记时,系统自动的把安全级附加给所有的要接受或发送给远地的主机的数据包。标记能够应用根据接口标记数据包达到或远地主机的IP地址。这个结合了MAC特征,因此操作系统防止了远程主机连接到在其它敏感水平的进程以及接触到不合适的信息。