第 10章 信息系统安全等级与标准
10.1 国际安全评价标准概述
10.2 中国信息安全等级保护准则
习 题安全需求与安全代价,总是安全问题上相互对立的统一体。对于信息技术、信息系统和信息产品的安全等级进行评价,将会使生产者和用户在这两个方面容易找到一个科学的折中。因此,建立完善的信息技术安全的测评标准与认证体系,规范信息技术产品和系统的安全特性,是实现信息安全保障的一种有效措施。它有助于建立起科学的安全产品生产体系、服务体系。
10.1 国际安全评价标准概述
10.1.1 DoD5200.28-M和 TCSEC
10.1.2 欧共体信息技术安全评价准则 ITSEC
10.1.3 加拿大可信计算机产品安全评价准则 CTCPEC
10.1.4 美国信息技术安全评价联邦准则 FC
10.1.5 国际通用准则 CC
第一个有关信息技术安全的标准是美国国防部于 1985
年提出的可信计算机系统评价准则 TCSEC,又称桔皮书。
以后,许多国家和国际组织也相继提出了新的安全评价准则。图 10.1所示为国际主要信息技术安全测评标准的发展及其联系。
加拿大可信计算机产品评价准则
CTCOEC( 1989
年)
美国国防部可 信计算机评价准 则
TCSEC( 1983
年)
美国联邦准则 FC
( 1992年)
国际通用准则
( CC)
( 1996年)
CC成为国际标准ISO 15408
( 1999年)
欧洲信息技术安全性评价准则
ITSEC( 1991年)
美国国防部DoD5200.28-
M
( 1979年 6月)
GB17859-1999
( 1999年)
图 10.1 国际主要信息技术安全测评标准的发展及其联系在信息安全等级标准中,一个非常重要的概念是可信计算基( Trusted Computer Base,TCB)。 TCB是计算机系统内保护装置的总体,包括硬件、固件和软件。它们根据安全策略来处理主体(系统管理员、安全管理员、用户、
进程)对客体(进程、文件、记录、设备等)的访问。
TCB还具有抗篡改的性能和易于分析与测试的结构。
10.1.1 DoD5200.28-M和 TCSEC
1,DoD5200.28-M
世界上最早的计算机系统安全标准应当是美国国防部
1979年 6月 25日发布的军标 DoD5200.28-M。 它为计算机系统定义了 4种不同的运行模式。
( 1)受控的安全模式:系统用户对系统的机密材料的访问控制没有在操作系统中实现,安全的实现可以通过空子用户对机器的操作权等管理措施实现。
( 2) 自主安全模式:计算机系统和外围设备可以在指定用户或用户群的控制下工作,该类用户了解并可自主地设置机密材料的类型与安全级别。
( 3)多级安全模式:系统允许不同级别和类型的机密资料并存和并发处理,并且有选择地许可不同的用户对存储数据进行访问。用户与数据的隔离控制由操作系统和相关系统软件实现。
( 4)强安全模式:所有系统部件依照最高级别类型得到保护,所有系统用户必须有一个安全策略;系统的控制操作对用户透明,由系统实现对机密材料的并发控制。
2,TCSEC
TCSEC是计算机系统安全评价的第一个正式标准,于
1970年由美国国防科学技术委员会提出,于 1985年 12月由美国国防部公布。
TCSEC把计算机系统的安全分为 4等 7级:
( 1) D等(含 1级)
D1级系统:最低级。只为文件和用户提供安全保护。
( 2) C等(含 2级)
C1级系统:可信任计算基 TCB( Trusted Computing
Base) 通过用户和数据分开来达到安全目的,使所有的用户都以同样的灵敏度处理数据(可认为所有文档有相同机密性)
C2级系统:在 C1基础上,通过登录、安全事件和资源隔离增强可调的审慎控制。在连接到网上时,用户分别对自己的行为负责。
( 3) B等(含 3级)
B级具有强制性保护功能。强制性意味着在没有与安全等级相连的情况下,系统就不会让用户寸取对象。
( a) B1级系统:
·对每个对象都进行灵敏度标记,导入非标记对象前要先标记它们;
·用灵敏度标记作为强制访问控制的基础;
·灵敏度标记必须准确地表示其所联系的对象的安全级别;
·系统必须使用用户口令或身份认证来决定用户的安全访问级别;
·系统必须通过审计来记录未授权访问的企图。
( b) B2级系统:
·必须符合 B1级系统的所有要求;
·系统管理员必须使用一个明确的、文档化的安全策略模式作为系统可信任运算基础体制;可信任运算基础体制能够支持独立的操作者和管理员;
·只有用户能够在可信任通信路径中进行初始化通信;
·所有与用户相关的网络连接的改变必须通知所有的用户。
( c) B3级系统具有很强的监视委托管理访问能力和抗干扰能力。要求:
·必须符合 B2系统所有安全需求;
·必须设有安全管理员;
·除控制个别对象的访问外,必须产生一个可读的安全列表;每个被命名的对象提供对该对象没有访问的用户列表说明;
·系统验证每一个用户身份,并会发送一个取消访问的审计跟踪消息;
·设计者必须正确区分可信任路径和其他路径;
·可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪;
·可信任的运算基础体制支持独立的安全管理。
( 4) A等(只含 1级) —— 最高安全级别
A1级与 B3级相似,对系统的结构和策略不作特别要求,
而系统的设计者必须按照一个正式的设计规范进行系统分析;分析后必须用核对技术确保系统符合设计规范。 A1系统必须满足:
·系统管理员必须接收到开发者提供的安全策略正式模型;
·所有的安装操作都必须由系统管理员进行;
·系统管理员进行的每一步安装操作必须有正式的文档。
TCSEC的初衷主要是针对集中式计算的分时多用户操作系统。后来又针对网络(分布式)和数据库管理系统( C/S
结构)补充了一些附加说明和解释,典型的有可信计算机网络系统说明( NCSC-TG-005) 和可信数据库管理系统解释等。
10.1.2 欧共体信息技术安全评价准则 ITSEC
ITSEC是欧共体于 1991年发布的,它是欧洲多国安全评价方法的综合产物,应用领域为军队、政府和商业。该标准将安全的概念分为功能和评估两部分。
1,功能准则分为 10级,F1~F10:
·F1~F5对应 TCSEC的 D~A;
·F6~F10对应数据和程序的完整性,系统的可用性,数据通信的完整性、保密性。
2,评估准则分为 6级,分别是测试、配置控制和可控的分配、详细设计和编码、详细的脆弱性分析、设计于源代码明显对应以及设计与源代码在形式上的一致。
10.1.3 加拿大可信计算机产品安全评价准则 CTCPEC
CTCPEC是加拿大于 1993年发布的。它综合了 TCSEC和
ITSEC两个准则的优点,专门针对政府需求设计。它将安全分为功能性需求和保证性需求两部分。功能性需求分为 4大类:
·机密性;
·可用性;
·完整性;
·可控性。
每一种安全需求又分为一些小类(分级条数 0~5),以表示安全性上的差别。
10.1.4 美国信息技术安全评价联邦准则 FC
FC也是吸收了 TCSEC和 ITSEC两个准则的优点于 1993年发布的。它引入了,保护轮廓( PP),的概念。每个轮廓都包括功能、开发保证和评价三部分,在美国政府、民间和商业上应用很广。
10.1.5 国际通用准则 CC
1993年 6月,欧、美、加等有关 6国,将各自独立的准则集合成一系列单一的、能被广泛接受的 IT安全准则 —— 通用准则 CC,将 CC提交给 ISO,并于 1996年颁布了 1.0版。
1999年 12月 ISO正式将 CC 2.0( 1998年颁布)作为国际标准 —
— ISO 15408发布。
CC的主要思想和框架都取自 ITSEC和 FC,并突出了,保护轮廓,的概念。它将评估过程分为安全保证和安全功能两部分。安全保证要求为 7个评估保证级别:
EAL1,功能测试
EAL2,结构测试
EAL3,系统测试和检查
EAL4,系统设计、测试和复查
EAL5,半形式化设计和测试
EAL6,半形式化验证的设计和测试
EAL7,集成化验证的设计和测试表 10.1为 CC,TCSEC,ITSEC标准之间的对应关系。
CC TCSEC ITSEC
— D —
EAL1 — E1
EAL2 C1 E2
EAL3 C2 E3
EAL4 B1 E4
EAL5 B2 E5
EAL6 B3 E6
EAL7 A E7
表 10.1 CC,TCSEC,ITSEC标准之间的对应关系
CC目前已经发布了如下的版本:
·1996年 6月发布 CC第 1版;
·1998年 5月发布 CC第 2版;
·1999年 10月发布 CC第 2.1版,并成为 ISO标准。
10.2 中国信息安全等级保护准则
10.2.1 第一级:用户自主保护级
10.2.2 第二级:系统审计保护级
10.2.3 第三级:安全标记保护级
10.2.4 第四级:结构化保护级
10.2.5 第五级:访问验证保护级
习 题中国已经发布实施《计算机信息系统安全保护等级划分准则,GB17859-1999。 这是一部强制性国家标准,也是一种技术法规。它是在参考了 DoD 5200.28-STD和 NCSC-TC-
005的基础上,从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、
可信路径和可恢复等 10个方面将计算机信息系统安全保护等级划分为 5个级别的安全保护能力:
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级。
计算机信息系统的安全保护能力随着安全保护等级的增高而增强。
在信息安全等级标准中,各等级之间的差异在于 TCB的构造不同以及其所具有的安全保护能力的不同。下面介绍各等级的基本内容。
10.2.1 第一级:用户自主保护级本级的可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏。
( 1)自主访问控制:
可信计算基定义系统中的用户和命名用户对命名客体的访问,并允许命名用户以自己的身份和(或)用户组的身份指定并控制对客体的访问;阻止非授权用户读取敏感信息。
( 2)身份鉴别:
从用户的角度看,可信计算基的责任就是进行身份鉴别。
在系统初始化时,首先要求用户标识自己的身份,并使用保护机制(例如:口令)来鉴别用户的身份,阻止非授权用户访问用户身份鉴别数据。
( 3)数据完整性:可信计算基通过自主完整性策略,阻止非授权用户修改或破坏敏感信息。
10.2.2 第二级:系统审计保护级这一级除具备第一级所有的安全功能外,要求创建和维护访问的审计跟踪记录,使所有用户对自己的合法性行为负责。具体保护能力如下。
( 1)自主访问控制:可信计算基定义实施的访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。
( 2)身份鉴别比用户自主保护级增加两点:
·通过为用户提供惟一标识,可信计算基使用户对自己的行为负责。
·具备将身份标识与该用户所有可审计行为相关联的能力。
( 3)客体重用:
在可信计算基的空闲存储客体空间中,对客体初始指定、
分配或再分配一个主体之前,撤销该客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时,当前主体不能获得原主体活动所产生的任何信息。
( 4)审计:
在可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。
可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、程序初始化);
删除客体;由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请求的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体名。
对不能由可信计算基独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。
( 5)数据完整性:可信计算基通过自主完整性策略,
阻止非授权用户修改或破坏敏感信息。
10.2.3 第三级:安全标记保护级本级的可信计算基具有系统审计保护级的所有功能。此外,还需以访问对象的安全级别限制访问者的访问权限,
实现对访问对象的强制访问。为此需要提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述,具有准确地标记输出信息的能力,消除测试发现的任何错误。
( 1)自主访问控制:同系统审计保护级。
( 2)强制访问控制:
可信计算基对所有主体及其控制的客体(例如:进程、
文件、段、设备)实施强制访问控制。通过敏感标记为这些主体及客体指定安全等级。安全等级用二维组表示:第一维是等级分类(如秘密、机密、绝密等),第二维是范畴(如适用范畴)。它们是实施强制访问控制的依据。可信计算基支持两种或两种以上成分组成的安全级。可信计算基控制的所有主体对客体等级分类的访问:
·仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别,主体才能读客体;
·仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别,主体才能写一个客体。
可信计算基使用身份和鉴别数据,鉴别用户的身份,并保证用户创建的可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制。
( 3)敏感标记:
敏感标记是实施强制访问的基础。可信计算基应明确规定需要标记的客体(例如:进程、文件、段、设备),明确定义标记的粒度(如文件级、字段级等),并必须使其主要数据结构具有相关的敏感标记。为了输入未加安全标记的数据,可信计算基向授权用户要求并接受这些数据的安全级别,且可由计算机信息系统可信计算基审计。
( 4)身份鉴别;
可信计算基初始执行时,首先要求用户标识自己的身份,
而且,可信计算基维护用户身份识别数据并确定用户访问权及授权数据。其他同系统审计保护级。
( 5)客体重用;
在统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配一个主体之前,撤销客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时,
前主体不能获得原主体活动所产生的任何信息。
( 6)审计可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或保护。可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安全管理员实施的动作,
以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别的事件,审计记录包含请求的来源
(例如:终端标识符)对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体名及客体的安全级别。
此外,可信计算基具有审计更改可读输出记号的能力。
对不能由可信计算基独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。这些审计记录区别于可信计算基独立分辨的审计记录。
( 7)数据完整性可信计算基通过自主和强制完整性策略,阻止非授权用户修改或破坏敏感信息。在网络环境中,使用完整性敏感标记来确保信息在传送中未受损。
10.2.4 第四级:结构化保护级本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,将它要求第三级系统中的自主和强制访问控制扩展到所以主体与客体。此外,还要考虑隐蔽信道。本级的可信计算基必须结构化为关键保护元素和非关键保护元素;可信计算基的接口也必须明确定义,
使其设计与实现能经受更充分的测试和更完整的复审;加强了鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了配置管理控制。系统具有相当的抗渗透能力。
安全标记保护级相比,起主要特征有:
( 1)可信计算基基于一个明确定义的形式化安全保护策略。
( 2)将第三级实施的(自主或强制)访问控制扩展到所有主体和客体。即在自主访问控制方面,可信计算基应维护由外部主体能够直接或间接访问的所有资源(例如:
主体、存储客体和输入输出资源)实施强制访问控制,为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,他们是实施强制访问控制的依据。
( 3)审计方面:
·计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、
程序初始化);删除客体;由操作员、系统管理员或(和)
系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,
审计记录包含请求的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体名及客体的安全级别。此外,计算机信息系统可信计算基具有审计更改可读输出记号的能力。
·对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。
·计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。
( 4)数据完整性:
计算机信息系统可信计算基通过自主和强制完整性策略,
阻止非授权用户修改或破坏敏感信息。在网络环境中,使用完整性敏感标记来确保信息在传送中未受损。
( 5)隐蔽信道分析:
系统开发者应彻底搜索隐蔽存储信道,并根据实际测量或工程估算确定每一个被标识信道的最大带宽。
( 6)可信路径:
对用户的初始登录和鉴别,计算机信息系统可信计算基在它与用户之间提供可信通信路径。该路径上的通信只能由该用户初始化。
10.2.5 第五级:访问验证保护级本级的可信计算基满足引用监视器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的;
必须足够小,能够分析和测试。
为了满足访问监控器需求,可信计算基在其构造时,排除那些对实施安全策略来说并非必要的代码;在设计和现实时,从系统工程角度将其复杂性降低到最小程度。支持安全提供系统恢复机制管理员职能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。系统具有很高的抗渗透能力。
与第四级相比,主要区别有:
( 1)可信计算基的构造方面:
本级具有访问监控器。访问监控器是监视主体和客体之间授权关系的部件,仲裁主体对客体的全部访问。访问监控器必须是抗篡改的,并且是可分析和测试的。
( 2)在自主访问控制方面:
由于有访问监控器,所以访问控制能为每个客体指定用户和用户组,并规定他们对客体的访问模式。没有存储权的用户只允许由授权用户指定对客体的访问权。
( 3)在审计方面可信计算基包含能够监控可审计安全事件发生与积累的机制,当超过阈值时,能够立即向安全管理员发出警报。
并且,如果这些与安全相关的事件继续发生或积累,系统应以最小的代价终止它们。
( 4)可信恢复:
提供过程和机制,保证计算机信息系统失效或中断后,
可以进行不损害任何安全保护性能的恢复。
习 题
1,什么是可信计算基?
2,详细说明安全标记保护级的可信计算基的功能 。
3,结构化保护级的主要特征有哪些?
4,收集国内外有关信息安全标准化的网站信息,简要说明各网站的特点
5,收集有关信息安全的定义,标准等方面的最新概念和进展 。 可以从下面的网站开始
http://www.radium.ncsc.mil/tpep/process/fag.html
http://www.itsec.gov.uk
http://www.cse-cst.gc.ca/pub/criteria/CTCPE
10.1 国际安全评价标准概述
10.2 中国信息安全等级保护准则
习 题安全需求与安全代价,总是安全问题上相互对立的统一体。对于信息技术、信息系统和信息产品的安全等级进行评价,将会使生产者和用户在这两个方面容易找到一个科学的折中。因此,建立完善的信息技术安全的测评标准与认证体系,规范信息技术产品和系统的安全特性,是实现信息安全保障的一种有效措施。它有助于建立起科学的安全产品生产体系、服务体系。
10.1 国际安全评价标准概述
10.1.1 DoD5200.28-M和 TCSEC
10.1.2 欧共体信息技术安全评价准则 ITSEC
10.1.3 加拿大可信计算机产品安全评价准则 CTCPEC
10.1.4 美国信息技术安全评价联邦准则 FC
10.1.5 国际通用准则 CC
第一个有关信息技术安全的标准是美国国防部于 1985
年提出的可信计算机系统评价准则 TCSEC,又称桔皮书。
以后,许多国家和国际组织也相继提出了新的安全评价准则。图 10.1所示为国际主要信息技术安全测评标准的发展及其联系。
加拿大可信计算机产品评价准则
CTCOEC( 1989
年)
美国国防部可 信计算机评价准 则
TCSEC( 1983
年)
美国联邦准则 FC
( 1992年)
国际通用准则
( CC)
( 1996年)
CC成为国际标准ISO 15408
( 1999年)
欧洲信息技术安全性评价准则
ITSEC( 1991年)
美国国防部DoD5200.28-
M
( 1979年 6月)
GB17859-1999
( 1999年)
图 10.1 国际主要信息技术安全测评标准的发展及其联系在信息安全等级标准中,一个非常重要的概念是可信计算基( Trusted Computer Base,TCB)。 TCB是计算机系统内保护装置的总体,包括硬件、固件和软件。它们根据安全策略来处理主体(系统管理员、安全管理员、用户、
进程)对客体(进程、文件、记录、设备等)的访问。
TCB还具有抗篡改的性能和易于分析与测试的结构。
10.1.1 DoD5200.28-M和 TCSEC
1,DoD5200.28-M
世界上最早的计算机系统安全标准应当是美国国防部
1979年 6月 25日发布的军标 DoD5200.28-M。 它为计算机系统定义了 4种不同的运行模式。
( 1)受控的安全模式:系统用户对系统的机密材料的访问控制没有在操作系统中实现,安全的实现可以通过空子用户对机器的操作权等管理措施实现。
( 2) 自主安全模式:计算机系统和外围设备可以在指定用户或用户群的控制下工作,该类用户了解并可自主地设置机密材料的类型与安全级别。
( 3)多级安全模式:系统允许不同级别和类型的机密资料并存和并发处理,并且有选择地许可不同的用户对存储数据进行访问。用户与数据的隔离控制由操作系统和相关系统软件实现。
( 4)强安全模式:所有系统部件依照最高级别类型得到保护,所有系统用户必须有一个安全策略;系统的控制操作对用户透明,由系统实现对机密材料的并发控制。
2,TCSEC
TCSEC是计算机系统安全评价的第一个正式标准,于
1970年由美国国防科学技术委员会提出,于 1985年 12月由美国国防部公布。
TCSEC把计算机系统的安全分为 4等 7级:
( 1) D等(含 1级)
D1级系统:最低级。只为文件和用户提供安全保护。
( 2) C等(含 2级)
C1级系统:可信任计算基 TCB( Trusted Computing
Base) 通过用户和数据分开来达到安全目的,使所有的用户都以同样的灵敏度处理数据(可认为所有文档有相同机密性)
C2级系统:在 C1基础上,通过登录、安全事件和资源隔离增强可调的审慎控制。在连接到网上时,用户分别对自己的行为负责。
( 3) B等(含 3级)
B级具有强制性保护功能。强制性意味着在没有与安全等级相连的情况下,系统就不会让用户寸取对象。
( a) B1级系统:
·对每个对象都进行灵敏度标记,导入非标记对象前要先标记它们;
·用灵敏度标记作为强制访问控制的基础;
·灵敏度标记必须准确地表示其所联系的对象的安全级别;
·系统必须使用用户口令或身份认证来决定用户的安全访问级别;
·系统必须通过审计来记录未授权访问的企图。
( b) B2级系统:
·必须符合 B1级系统的所有要求;
·系统管理员必须使用一个明确的、文档化的安全策略模式作为系统可信任运算基础体制;可信任运算基础体制能够支持独立的操作者和管理员;
·只有用户能够在可信任通信路径中进行初始化通信;
·所有与用户相关的网络连接的改变必须通知所有的用户。
( c) B3级系统具有很强的监视委托管理访问能力和抗干扰能力。要求:
·必须符合 B2系统所有安全需求;
·必须设有安全管理员;
·除控制个别对象的访问外,必须产生一个可读的安全列表;每个被命名的对象提供对该对象没有访问的用户列表说明;
·系统验证每一个用户身份,并会发送一个取消访问的审计跟踪消息;
·设计者必须正确区分可信任路径和其他路径;
·可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪;
·可信任的运算基础体制支持独立的安全管理。
( 4) A等(只含 1级) —— 最高安全级别
A1级与 B3级相似,对系统的结构和策略不作特别要求,
而系统的设计者必须按照一个正式的设计规范进行系统分析;分析后必须用核对技术确保系统符合设计规范。 A1系统必须满足:
·系统管理员必须接收到开发者提供的安全策略正式模型;
·所有的安装操作都必须由系统管理员进行;
·系统管理员进行的每一步安装操作必须有正式的文档。
TCSEC的初衷主要是针对集中式计算的分时多用户操作系统。后来又针对网络(分布式)和数据库管理系统( C/S
结构)补充了一些附加说明和解释,典型的有可信计算机网络系统说明( NCSC-TG-005) 和可信数据库管理系统解释等。
10.1.2 欧共体信息技术安全评价准则 ITSEC
ITSEC是欧共体于 1991年发布的,它是欧洲多国安全评价方法的综合产物,应用领域为军队、政府和商业。该标准将安全的概念分为功能和评估两部分。
1,功能准则分为 10级,F1~F10:
·F1~F5对应 TCSEC的 D~A;
·F6~F10对应数据和程序的完整性,系统的可用性,数据通信的完整性、保密性。
2,评估准则分为 6级,分别是测试、配置控制和可控的分配、详细设计和编码、详细的脆弱性分析、设计于源代码明显对应以及设计与源代码在形式上的一致。
10.1.3 加拿大可信计算机产品安全评价准则 CTCPEC
CTCPEC是加拿大于 1993年发布的。它综合了 TCSEC和
ITSEC两个准则的优点,专门针对政府需求设计。它将安全分为功能性需求和保证性需求两部分。功能性需求分为 4大类:
·机密性;
·可用性;
·完整性;
·可控性。
每一种安全需求又分为一些小类(分级条数 0~5),以表示安全性上的差别。
10.1.4 美国信息技术安全评价联邦准则 FC
FC也是吸收了 TCSEC和 ITSEC两个准则的优点于 1993年发布的。它引入了,保护轮廓( PP),的概念。每个轮廓都包括功能、开发保证和评价三部分,在美国政府、民间和商业上应用很广。
10.1.5 国际通用准则 CC
1993年 6月,欧、美、加等有关 6国,将各自独立的准则集合成一系列单一的、能被广泛接受的 IT安全准则 —— 通用准则 CC,将 CC提交给 ISO,并于 1996年颁布了 1.0版。
1999年 12月 ISO正式将 CC 2.0( 1998年颁布)作为国际标准 —
— ISO 15408发布。
CC的主要思想和框架都取自 ITSEC和 FC,并突出了,保护轮廓,的概念。它将评估过程分为安全保证和安全功能两部分。安全保证要求为 7个评估保证级别:
EAL1,功能测试
EAL2,结构测试
EAL3,系统测试和检查
EAL4,系统设计、测试和复查
EAL5,半形式化设计和测试
EAL6,半形式化验证的设计和测试
EAL7,集成化验证的设计和测试表 10.1为 CC,TCSEC,ITSEC标准之间的对应关系。
CC TCSEC ITSEC
— D —
EAL1 — E1
EAL2 C1 E2
EAL3 C2 E3
EAL4 B1 E4
EAL5 B2 E5
EAL6 B3 E6
EAL7 A E7
表 10.1 CC,TCSEC,ITSEC标准之间的对应关系
CC目前已经发布了如下的版本:
·1996年 6月发布 CC第 1版;
·1998年 5月发布 CC第 2版;
·1999年 10月发布 CC第 2.1版,并成为 ISO标准。
10.2 中国信息安全等级保护准则
10.2.1 第一级:用户自主保护级
10.2.2 第二级:系统审计保护级
10.2.3 第三级:安全标记保护级
10.2.4 第四级:结构化保护级
10.2.5 第五级:访问验证保护级
习 题中国已经发布实施《计算机信息系统安全保护等级划分准则,GB17859-1999。 这是一部强制性国家标准,也是一种技术法规。它是在参考了 DoD 5200.28-STD和 NCSC-TC-
005的基础上,从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、
可信路径和可恢复等 10个方面将计算机信息系统安全保护等级划分为 5个级别的安全保护能力:
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级。
计算机信息系统的安全保护能力随着安全保护等级的增高而增强。
在信息安全等级标准中,各等级之间的差异在于 TCB的构造不同以及其所具有的安全保护能力的不同。下面介绍各等级的基本内容。
10.2.1 第一级:用户自主保护级本级的可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏。
( 1)自主访问控制:
可信计算基定义系统中的用户和命名用户对命名客体的访问,并允许命名用户以自己的身份和(或)用户组的身份指定并控制对客体的访问;阻止非授权用户读取敏感信息。
( 2)身份鉴别:
从用户的角度看,可信计算基的责任就是进行身份鉴别。
在系统初始化时,首先要求用户标识自己的身份,并使用保护机制(例如:口令)来鉴别用户的身份,阻止非授权用户访问用户身份鉴别数据。
( 3)数据完整性:可信计算基通过自主完整性策略,阻止非授权用户修改或破坏敏感信息。
10.2.2 第二级:系统审计保护级这一级除具备第一级所有的安全功能外,要求创建和维护访问的审计跟踪记录,使所有用户对自己的合法性行为负责。具体保护能力如下。
( 1)自主访问控制:可信计算基定义实施的访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。
( 2)身份鉴别比用户自主保护级增加两点:
·通过为用户提供惟一标识,可信计算基使用户对自己的行为负责。
·具备将身份标识与该用户所有可审计行为相关联的能力。
( 3)客体重用:
在可信计算基的空闲存储客体空间中,对客体初始指定、
分配或再分配一个主体之前,撤销该客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时,当前主体不能获得原主体活动所产生的任何信息。
( 4)审计:
在可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。
可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、程序初始化);
删除客体;由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请求的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体名。
对不能由可信计算基独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。
( 5)数据完整性:可信计算基通过自主完整性策略,
阻止非授权用户修改或破坏敏感信息。
10.2.3 第三级:安全标记保护级本级的可信计算基具有系统审计保护级的所有功能。此外,还需以访问对象的安全级别限制访问者的访问权限,
实现对访问对象的强制访问。为此需要提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述,具有准确地标记输出信息的能力,消除测试发现的任何错误。
( 1)自主访问控制:同系统审计保护级。
( 2)强制访问控制:
可信计算基对所有主体及其控制的客体(例如:进程、
文件、段、设备)实施强制访问控制。通过敏感标记为这些主体及客体指定安全等级。安全等级用二维组表示:第一维是等级分类(如秘密、机密、绝密等),第二维是范畴(如适用范畴)。它们是实施强制访问控制的依据。可信计算基支持两种或两种以上成分组成的安全级。可信计算基控制的所有主体对客体等级分类的访问:
·仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别,主体才能读客体;
·仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别,主体才能写一个客体。
可信计算基使用身份和鉴别数据,鉴别用户的身份,并保证用户创建的可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制。
( 3)敏感标记:
敏感标记是实施强制访问的基础。可信计算基应明确规定需要标记的客体(例如:进程、文件、段、设备),明确定义标记的粒度(如文件级、字段级等),并必须使其主要数据结构具有相关的敏感标记。为了输入未加安全标记的数据,可信计算基向授权用户要求并接受这些数据的安全级别,且可由计算机信息系统可信计算基审计。
( 4)身份鉴别;
可信计算基初始执行时,首先要求用户标识自己的身份,
而且,可信计算基维护用户身份识别数据并确定用户访问权及授权数据。其他同系统审计保护级。
( 5)客体重用;
在统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配一个主体之前,撤销客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时,
前主体不能获得原主体活动所产生的任何信息。
( 6)审计可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或保护。可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安全管理员实施的动作,
以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别的事件,审计记录包含请求的来源
(例如:终端标识符)对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体名及客体的安全级别。
此外,可信计算基具有审计更改可读输出记号的能力。
对不能由可信计算基独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。这些审计记录区别于可信计算基独立分辨的审计记录。
( 7)数据完整性可信计算基通过自主和强制完整性策略,阻止非授权用户修改或破坏敏感信息。在网络环境中,使用完整性敏感标记来确保信息在传送中未受损。
10.2.4 第四级:结构化保护级本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,将它要求第三级系统中的自主和强制访问控制扩展到所以主体与客体。此外,还要考虑隐蔽信道。本级的可信计算基必须结构化为关键保护元素和非关键保护元素;可信计算基的接口也必须明确定义,
使其设计与实现能经受更充分的测试和更完整的复审;加强了鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了配置管理控制。系统具有相当的抗渗透能力。
安全标记保护级相比,起主要特征有:
( 1)可信计算基基于一个明确定义的形式化安全保护策略。
( 2)将第三级实施的(自主或强制)访问控制扩展到所有主体和客体。即在自主访问控制方面,可信计算基应维护由外部主体能够直接或间接访问的所有资源(例如:
主体、存储客体和输入输出资源)实施强制访问控制,为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,他们是实施强制访问控制的依据。
( 3)审计方面:
·计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、
程序初始化);删除客体;由操作员、系统管理员或(和)
系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,
审计记录包含请求的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体名及客体的安全级别。此外,计算机信息系统可信计算基具有审计更改可读输出记号的能力。
·对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。
·计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。
( 4)数据完整性:
计算机信息系统可信计算基通过自主和强制完整性策略,
阻止非授权用户修改或破坏敏感信息。在网络环境中,使用完整性敏感标记来确保信息在传送中未受损。
( 5)隐蔽信道分析:
系统开发者应彻底搜索隐蔽存储信道,并根据实际测量或工程估算确定每一个被标识信道的最大带宽。
( 6)可信路径:
对用户的初始登录和鉴别,计算机信息系统可信计算基在它与用户之间提供可信通信路径。该路径上的通信只能由该用户初始化。
10.2.5 第五级:访问验证保护级本级的可信计算基满足引用监视器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的;
必须足够小,能够分析和测试。
为了满足访问监控器需求,可信计算基在其构造时,排除那些对实施安全策略来说并非必要的代码;在设计和现实时,从系统工程角度将其复杂性降低到最小程度。支持安全提供系统恢复机制管理员职能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。系统具有很高的抗渗透能力。
与第四级相比,主要区别有:
( 1)可信计算基的构造方面:
本级具有访问监控器。访问监控器是监视主体和客体之间授权关系的部件,仲裁主体对客体的全部访问。访问监控器必须是抗篡改的,并且是可分析和测试的。
( 2)在自主访问控制方面:
由于有访问监控器,所以访问控制能为每个客体指定用户和用户组,并规定他们对客体的访问模式。没有存储权的用户只允许由授权用户指定对客体的访问权。
( 3)在审计方面可信计算基包含能够监控可审计安全事件发生与积累的机制,当超过阈值时,能够立即向安全管理员发出警报。
并且,如果这些与安全相关的事件继续发生或积累,系统应以最小的代价终止它们。
( 4)可信恢复:
提供过程和机制,保证计算机信息系统失效或中断后,
可以进行不损害任何安全保护性能的恢复。
习 题
1,什么是可信计算基?
2,详细说明安全标记保护级的可信计算基的功能 。
3,结构化保护级的主要特征有哪些?
4,收集国内外有关信息安全标准化的网站信息,简要说明各网站的特点
5,收集有关信息安全的定义,标准等方面的最新概念和进展 。 可以从下面的网站开始
http://www.radium.ncsc.mil/tpep/process/fag.html
http://www.itsec.gov.uk
http://www.cse-cst.gc.ca/pub/criteria/CTCPE
