当前，随着信息化的飞速发展和信息技术的广泛应用，信息系统已成为人类社会不可或缺的重要组成部分。人们在享受信息化带来的巨大利益的同时，也面临着由此带来的不可忽视的安全威胁。重要信息系统受到攻击会直接影响国家利益，甚至威胁到国家的安全和稳定，已引起各国政府的高度重视。各国相继制定了符合本国国情的信息系统安全评估标准和规范，其中具有代表性的为美国的TCSEC、欧洲的ITSEC、加拿大的CTCPEC等。我国于1999年发布了信息安全等级保护强制性国家标准《计算机信息系统安全保护等级划分准则》，即GB/T17859-1999，明确提出了对重要信息系统实施等级保护的要求。　　信息系统安全防护由两方面的内容构成，一是安全机制，包括安全模型、安全策略和访问控制机制等。安全机制从主客体的安全级别、安全权限等方面规范用户行为，限制用户的权限范围;二是保障机制，保证信息系统按照设计规范运行以及确保安全机制的正确实施，即信息系统的行为要符合“预期”，这点与“可信计算”的思想吻合。　　本文以可信计算为基础，以保障信息系统行为可信为最终目标展开研究。从构成信息系统的功能部件入手，研究部件的隔离、部件之间消息交互以及信息系统动作参数的规范性，并分别针对上述三个方面提出结构化的要求，本文着重研究了虚拟隔离、可信管道和参数异常检测等安全模型和实现方法，目的是要使非结构化的信息系统满足结构化需求，达到系统行为可信的目的。　　本文的主要研究成果有:　　(1)从信息系统功能部件结构化、部件互联结构化以及参数结构化检测三个方面着手，提出信息系统结构化可信模型，并针对上述三个方面给出了具体的结构化约束条件，此外还对模型作了形式化描述和理论证明，从原理上论述了所提出的结构化约束条件的正确性和完备性，为具体工程实现提供了理论指导。　　(2)依据信息系统结构化保障模型中对部件结构化的约束条件，提出了一个面向结构化的部件隔离机制(SIMC)。SIMC机制提出了五个结构化隔离规则，涵盖了部件静态可信、动态可信、资源安全控制等各个方面。SIMC机制可以保障信息系统功能部件的完整性，确保部件之间的消息交互只通过明确定义的接口完成，防止部件之间的非预期干扰，并达到部件结构化隔离的目的。　　(3)本文通过分析当前针对部件互联的攻击手段，进一步明确信息系统功能部件互联存在的安全威胁。在此基础上本文提出了一种实现部件互联结构化的可信管道机制，可信管道机制从部件身份鉴别、状态可信、传输安全以及安全标记全程一致性等方面对部件互联安全进行了规范，通过安全分析论证了所提出的可信管道机制能符合部件互联结构化要求，可以达到保证部件消息交互安全的需求。　　(4)通过分析当前在异常参数检测领域的研究成果及其优缺点，结合信息系统等级保护安全设计技术要求对参数结构化的表述，本文提出了信息系统参数结构化保障的安全需求。在安全需求基础之上，我们给出了一种基于信息流可信验证的参数异常检测方法，并对该方法做了非形式化描述和形式化定义，讨论了相关的检测策略和具体的实施算法。本方法从参数规范模式匹配、系统行为异常检测和系统权限控制三个方面对参数的合法性进行综合检测。