随着计算机技术的发展和应用,计算机系统的安全性越来越受到关注。强制访问控制技术的提出限制了系统主体的行为能力,为计算机系统的安全保障提供了有力的支持。特别是SELinux(Security-Enhanced Linux)系统以很低的运行时开销,对多种访问控制策略提供灵活支持,实现了细粒度的访问控制。但是由于策略规则量过于庞大,策略的验证和管理困难,系统中难免出现不安全的访问授权。本文以信息流分析为基础,提出了一种系统和应用程序相结合的方法,对策略进行验证和调整。本文的主要工作如下：1.研究了SELinux的实现框架和策略模型构成,并调研了现有的策略分析工具和方法。总结出信息流特性在访问控制中的重要性,确定以信息流为线索对策略进行验证和调整的思路。2本文的分析工作首先对SELinux策略进行建模,将策略规则中的访问授权转化为信息实体之间的信息流动关系,建立信息流图。然后用信息流的方式设定系统安全目标。通过对信息流图的分析找到违反安全目标的信息流路径,定位不安全的主体和访问授权。采用划分安全状态的方法对主体权限进行分割,达到根据主体所接收的信息改变权限的目的,在时间维度上实现了权限控制。3针对不安全的程序,本文在其源代码上实施了静态信息流分析。确定了程序中输入接口和输出接口之间的数据依赖关系。在可能造成不安全信息输出的程序点插装标记,来动态的改变程序当前的访问权限。降低了权限变更对程序功能的影响,实现了在空间维度上的权限控制。4在GCC的基础上实现了自动化的分析工具,并修改了SELinux内核实现了对本文方法的支持。完成了对Linux中日志管理程序logrotate的分析工作。验证了本文方法的有效性。