信息安全體系結(jié)構(gòu)安全評(píng)估

1、第6章 安全評(píng)估,安全保護(hù)等級(jí)劃分準(zhǔn)則 IT 安全性評(píng)估準(zhǔn)則,6.1 安全保護(hù)等級(jí)劃分準(zhǔn)則,國(guó)家標(biāo)準(zhǔn)GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則是中國(guó)計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)的核心，是實(shí)行計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制度建設(shè)的重要基礎(chǔ)，也是信息安全評(píng)估和管理的重要基礎(chǔ)。 準(zhǔn)則于1999年9月13日經(jīng)國(guó)家質(zhì)量技術(shù)監(jiān)督局發(fā)布，并于2001年1月1日起實(shí)施。 本標(biāo)準(zhǔn)主要有三個(gè)目的: 為計(jì)算機(jī)信息系統(tǒng)安全法規(guī)的制定和執(zhí)法部門的監(jiān)督檢查提供依據(jù); 為安全產(chǎn)品的研制提供技術(shù)支持; 為安全系統(tǒng)的建設(shè)和管理提供技術(shù)指導(dǎo)。,6.1 安全保護(hù)等級(jí)劃分準(zhǔn)則,標(biāo)準(zhǔn)規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五

2、個(gè)等級(jí) 第一級(jí)：用戶自主保護(hù)級(jí) 第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí) 第三級(jí)：安全標(biāo)記保護(hù)級(jí) 第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí) 第五級(jí)：訪問(wèn)驗(yàn)證保護(hù)級(jí),一些定義,計(jì)算機(jī)信息系統(tǒng) 計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基 trusted computing base of computer information system 計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。它建立了一個(gè)基本的保護(hù)環(huán)境并提供一個(gè)可信計(jì)算系統(tǒng)所要求的附加用戶服務(wù)。,一些定義,客體

3、 object：信息的載體。 主體 subject ：引起信息在客體之間流動(dòng)的人、進(jìn)程或設(shè)備等。 敏感標(biāo)記 sensitivity label ：表示客體安全級(jí)別并描述客體數(shù)據(jù)敏感性的一組信息，可信計(jì)算基中把敏感標(biāo)記作為強(qiáng)制訪問(wèn)控制決策的依據(jù)。 安全策略 security policy ：有關(guān)管理、保護(hù)和發(fā)布敏感信息的法律、規(guī)定和實(shí)施細(xì)則。 信道 channel ：系統(tǒng)內(nèi)的信息傳輸路徑。 隱蔽信道 covert channel ：允許進(jìn)程以危害系統(tǒng)安全策略的方式傳輸信息的通信信道。 訪問(wèn)監(jiān)控器 reference monitor ：監(jiān)控器主體和客體之間授權(quán)訪問(wèn)關(guān)系的部件。,6.1.1 第一級(jí)：

4、用戶自主保護(hù)級(jí),可信計(jì)算基通過(guò)隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。它具有多種形式的控制能力，對(duì)用戶實(shí)施訪問(wèn)控制，即為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對(duì)數(shù)據(jù)的非法讀寫與破壞。,自主訪問(wèn)控制 可信計(jì)算基定義和控制系統(tǒng)中命名用戶對(duì)命名客體的訪問(wèn)。 實(shí)施機(jī)制（例如：訪問(wèn)控制表）允許命名用戶以用戶和（或）用戶組的身份規(guī)定并控制客體的訪問(wèn)；阻止非授權(quán)用戶讀取敏感信息。 身份鑒別 可信計(jì)算基初始執(zhí)行時(shí)，首先要求用戶標(biāo)識(shí)自己的身份，并使用保護(hù)機(jī)制（例如：口令）來(lái)鑒別用戶的身份，阻止非授權(quán)用戶訪問(wèn)用戶身份鑒別數(shù)據(jù)。 數(shù)據(jù)完整性 可信計(jì)算基通過(guò)自主完整性策略，阻止非授權(quán)用戶修改或破

5、壞敏感信息。,6.1.2 第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí),與用戶自主保護(hù)級(jí)相比，本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基實(shí)施了粒度更細(xì)的自主訪問(wèn)控制，它通過(guò)登錄規(guī)程、審計(jì)安全性相關(guān)事件和隔離資源，使用戶對(duì)自己的行為負(fù)責(zé)。,自主訪問(wèn)控制 訪問(wèn)控制的粒度是單個(gè)用戶。沒(méi)有存取權(quán)的用戶只允許由授權(quán)用戶指定對(duì)客體的訪問(wèn)權(quán)。 身份鑒別 可信計(jì)算基初始執(zhí)行時(shí)，首先要求用戶標(biāo)識(shí)自己的身份，并使用保護(hù)機(jī)制（例如：口令）來(lái)鑒別用戶的身份；阻止非授權(quán)用戶訪問(wèn)用戶身份鑒別數(shù)據(jù)。 通過(guò)為用戶提供唯一標(biāo)識(shí)、可信計(jì)算基能夠使用戶對(duì)自己的行為負(fù)責(zé)。 可信計(jì)算基還具備將身份標(biāo)識(shí)與該用戶所有可審計(jì)行為相關(guān)聯(lián)的能力。,客體重用 在可信計(jì)算基的空閑存

6、儲(chǔ)客體空間中，對(duì)客體初始指定、分配或再分配一個(gè)主體之前，撤銷該客體所含信息的所有授權(quán)。 當(dāng)主體獲得對(duì)一個(gè)已被釋放的客體的訪問(wèn)權(quán)時(shí)，當(dāng)前主體不能獲得原主體活動(dòng)所產(chǎn)生的任何信息。 審計(jì) 可信計(jì)算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪問(wèn)審計(jì)跟蹤記錄，并能阻止非授權(quán)的用戶對(duì)它訪問(wèn)或破壞。 數(shù)據(jù)完整性 可信計(jì)算基通過(guò)自主完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。,6.1.3 第三級(jí)：安全標(biāo)記保護(hù)級(jí),可信計(jì)算基具有系統(tǒng)審計(jì)保護(hù)級(jí)所有功能。此外，還提供 有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對(duì)客體強(qiáng)制訪問(wèn)控制的非形式化描述； 具有準(zhǔn)確地標(biāo)記輸出信息的能力； 消除通過(guò)測(cè)試發(fā)現(xiàn)的任何錯(cuò)誤。,自主訪問(wèn)控制,可信計(jì)算基定義和

7、控制系統(tǒng)中命名用戶對(duì)命名客體的訪問(wèn)。 實(shí)施機(jī)制（例如：訪問(wèn)控制表）允許命名用戶以用戶和（或）用戶組的身份規(guī)定并控制客體的共享；阻止非授權(quán)用戶讀取敏感信息，并控制訪問(wèn)權(quán)限擴(kuò)散。 自主訪問(wèn)控制機(jī)制根據(jù)用戶指定方式或默認(rèn)方式，阻止非授權(quán)用戶訪問(wèn)客體。 訪問(wèn)控制的粒度是單個(gè)用戶。沒(méi)有存取權(quán)的用戶只允許由授權(quán)用戶指定對(duì)客體的訪問(wèn)權(quán)。阻止非授權(quán)用戶讀取敏感信息。,強(qiáng)制訪問(wèn)控制,可信計(jì)算基對(duì)所有主體及其所控制的客體（例如：進(jìn)程、文件、段、設(shè)備）實(shí)施強(qiáng)制訪問(wèn)控制。 為這些主體及客體指定敏感標(biāo)記，這些標(biāo)記是等級(jí)分類和非等級(jí)類別的組合，它們是實(shí)施強(qiáng)制訪問(wèn)控制的依據(jù)。 可信計(jì)算基支持兩種或兩種以上成分組成的安全級(jí)。

8、 可信計(jì)算基控制的所有主體對(duì)客體的訪問(wèn)應(yīng)滿足： 僅當(dāng)主體安全級(jí)中的等級(jí)分類高于或等于客體安全級(jí)中的等級(jí)分類，且主體安全級(jí)中的非等級(jí)類別包含了客體安全級(jí)中的全部非等級(jí)類別，主體才能讀客體； 僅當(dāng)主體安全級(jí)中的等級(jí)分類低于或等于客體安全級(jí)中的等級(jí)分類，且主體安全級(jí)中的非等級(jí)類別包含了客體安全級(jí)中的非等級(jí)類別，主體才能寫一個(gè)客體。 可信計(jì)算基使用身份和鑒別數(shù)據(jù)，鑒別用戶的身份，并保證用戶創(chuàng)建的可信計(jì)算基外部主體的安全級(jí)和授權(quán)受該用戶的安全級(jí)和授權(quán)的控制。,標(biāo)記,可信計(jì)算基應(yīng)維護(hù)與主體及其控制的存儲(chǔ)客體（例如：進(jìn)程、文件、段、設(shè)備）相關(guān)的敏感標(biāo)記。這些標(biāo)記是實(shí)施強(qiáng)制訪問(wèn)的基礎(chǔ)。 為了輸入未加安全標(biāo)記的

9、數(shù)據(jù)，可信計(jì)算基向授權(quán)用戶要求并接受這些數(shù)據(jù)的安全級(jí)別，且可由可信計(jì)算基審計(jì)。,身份鑒別,可信計(jì)算基初始執(zhí)行時(shí)，首先要求用戶標(biāo)識(shí)自己的身份，而且，可信計(jì)算基維護(hù)用戶身份識(shí)別數(shù)據(jù)并確定用戶訪問(wèn)權(quán)及授權(quán)數(shù)據(jù)。 可信計(jì)算基使用這些數(shù)據(jù)鑒別用戶身份，并使用保護(hù)機(jī)制（例如：口令）來(lái)鑒別用戶的身份；阻止非授權(quán)用戶訪問(wèn)用戶身份鑒別數(shù)據(jù)。 通過(guò)為用戶提供唯一標(biāo)識(shí)，可信計(jì)算基能夠使用戶對(duì)自己的行為負(fù)責(zé)?？尚庞?jì)算基還具備將身份標(biāo)識(shí)與該用戶所有可審計(jì)行為相關(guān)聯(lián)的能力。,客體重用,在可信計(jì)算基的空閑存儲(chǔ)客體空間中，對(duì)客體初始指定、分配或再分配一個(gè)主體之前，撤銷客體所含信息的所有授權(quán)。 當(dāng)主體獲得對(duì)一個(gè)已被釋放的客體的

10、訪問(wèn)權(quán)時(shí)，當(dāng)前主體不能獲得原主體活動(dòng)所產(chǎn)生的任何信息。,審計(jì),可信計(jì)算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪問(wèn)審計(jì)跟蹤記錄，并能阻止非授權(quán)的用戶對(duì)它訪問(wèn)或破壞。 可信計(jì)算基能記錄下述事件： 使用身份鑒別機(jī)制； 將客體引入用戶地址空間（例如：打開文件、程序初始化）； 刪除客體； 由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實(shí)施的動(dòng)作，以及其他與系統(tǒng)安全有關(guān)的事件。 對(duì)于每一事件，其審計(jì)記錄包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功。 對(duì)于身份鑒別事件，審計(jì)記錄包含請(qǐng)求的來(lái)源（例如：終端標(biāo)識(shí)符）； 對(duì)于客體引入用戶地址空間的事件及客體刪除事件，審計(jì)記錄包含客體名及客體的安全級(jí)別。 此外，可信計(jì)算基具

11、有審計(jì)更改可讀輸出記號(hào)的能力。 對(duì)不能由可信計(jì)算基獨(dú)立分辨的審計(jì)事件，審計(jì)機(jī)制提供審計(jì)記錄接口，可由授權(quán)主體調(diào)用。這些審計(jì)記錄區(qū)別于可信計(jì)算基獨(dú)立分辨的審計(jì)記錄。,數(shù)據(jù)完整性,可信計(jì)算基通過(guò)自主和強(qiáng)制完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。在網(wǎng)絡(luò)環(huán)境中，使用完整性敏感標(biāo)記來(lái)確信信息在傳送中未受損。,6.1.4 第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí),可信計(jì)算基建立于一個(gè)明確定義的形式化安全策略模型之上，它要求將第三級(jí)系統(tǒng)中的自主和強(qiáng)制訪問(wèn)控制擴(kuò)展到所有主體與客體。此外，還要考慮隱蔽通道。 可信計(jì)算基必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素?？尚庞?jì)算基的接口也必須明確定義，使其設(shè)計(jì)與實(shí)現(xiàn)能經(jīng)受更充分的測(cè)試和

12、更完整的復(fù)審。 加強(qiáng)了鑒別機(jī)制； 支持系統(tǒng)管理員和操作員的職能； 提供可信設(shè)施管理； 增強(qiáng)了配置管理控制。 系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。,自主訪問(wèn)控制,可信計(jì)算基定義和控制系統(tǒng)中命名用戶對(duì)命名客體的訪問(wèn)。 實(shí)施機(jī)制（例如：訪問(wèn)控制表）允許命名用戶和（或）以用戶組的身份規(guī)定并控制客體的共享； 阻止非授用戶讀取敏感信息，并控制訪問(wèn)權(quán)限擴(kuò)散。 自主訪問(wèn)控制機(jī)制根據(jù)用戶指定方式或默認(rèn)方式，阻止非授權(quán)用戶訪問(wèn)客體。訪問(wèn)控制的粒度是單個(gè)用戶。沒(méi)有存取權(quán)的用戶只允許由授權(quán)用戶指定對(duì)客體的訪問(wèn)權(quán)。,強(qiáng)制訪問(wèn)控制,可信計(jì)算基對(duì)外部主體能夠直接或間接訪問(wèn)的所有資源（例如：主體、存儲(chǔ)客體和輸入輸出資源）實(shí)施強(qiáng)制訪問(wèn)控

13、制。為這些主體及客體指定敏感標(biāo)記，這些標(biāo)記是等級(jí)分類和非等級(jí)類別的組合，它們是實(shí)施強(qiáng)制訪問(wèn)控制的依據(jù)。 可信計(jì)算基支持兩種或兩種以上成分組成的安全級(jí)。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基外部的所有主體對(duì)客體的直接或間接的訪問(wèn)應(yīng)滿足： 僅當(dāng)主體安全級(jí)中的等級(jí)分類高于或等于客體安全級(jí)中的等級(jí)分類，且主體安全級(jí)中的非等級(jí)類別包含了客體安全級(jí)中的全部非等級(jí)類別，主體才能讀客體； 僅當(dāng)主體安全級(jí)中的等級(jí)分類低于或等于客體安全級(jí)中的等級(jí)分類，且主體安全級(jí)中的非等級(jí)類別包含于客體安全級(jí)中的非等級(jí)類別，主體才能寫一個(gè)客體。 可信計(jì)算基使用身份和鑒別數(shù)據(jù)，鑒別用戶的身份，保護(hù)用戶創(chuàng)建的可信計(jì)算基外部主體的安全級(jí)和授權(quán)受該用

14、戶的安全級(jí)和授權(quán)的控制。,標(biāo)記,可信計(jì)算基維護(hù)與可被外部主體直接或間接訪問(wèn)到的計(jì)算機(jī)信息系統(tǒng)資源（例如：主體、存儲(chǔ)客體、只讀存儲(chǔ)器）相關(guān)的敏感標(biāo)記。這些標(biāo)記是實(shí)施強(qiáng)制訪問(wèn)的基礎(chǔ)。 為了輸入未加安全標(biāo)記的數(shù)據(jù)，可信計(jì)算基向授權(quán)用戶要求并接受這些數(shù)據(jù)的安全級(jí)別，且可由可信計(jì)算基審計(jì)。,身份鑒別,可信計(jì)算基初始執(zhí)行時(shí)，首先要求用戶標(biāo)識(shí)自己的身份，而且，可信計(jì)算基維護(hù)用戶身份識(shí)別數(shù)據(jù)并確定用戶訪問(wèn)權(quán)及授權(quán)數(shù)據(jù)。 可信計(jì)算基使用這些數(shù)據(jù)，鑒別用戶身份，并使用保護(hù)機(jī)制（例如：口令）來(lái)鑒別用戶的身份； 阻止非授權(quán)用戶訪問(wèn)用戶身份鑒別數(shù)據(jù)。 通過(guò)為用戶提供唯一標(biāo)識(shí)，可信計(jì)算基能夠使用戶對(duì)自己的行為負(fù)責(zé)。 可信

15、計(jì)算基還具備將身份標(biāo)識(shí)與該用戶所有可審計(jì)行為相關(guān)聯(lián)的能力。,客體重用,在可信計(jì)算基的空閑存儲(chǔ)客體空間中，對(duì)客體初始指定、分配或再分配一個(gè)主體之前，撤銷客體所含信息的所有授權(quán)。 當(dāng)主體獲得對(duì)一個(gè)已被釋放的客體的訪問(wèn)權(quán)時(shí)，當(dāng)前主體不能獲得原主體活動(dòng)所產(chǎn)生的任何信息。,審計(jì),可信計(jì)算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪問(wèn)審計(jì)跟蹤記錄，并能阻止非授權(quán)的用戶對(duì)它訪問(wèn)或破壞。 可信計(jì)算基能記錄下述事件： 使用身份鑒別機(jī)制； 將客體引入用戶地址空間（例如：打開文件、程序初始化）； 刪除客體； 由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實(shí)施的動(dòng)作，以及其他與系統(tǒng)安全有關(guān)的事件。 對(duì)于每一事件，其審計(jì)記錄包括：事件的日

16、期和時(shí)間、用戶、事件類型、事件是否成功。 對(duì)于身份鑒別事件，審計(jì)記錄包含請(qǐng)求的來(lái)源（例如：終端標(biāo)識(shí)符）； 對(duì)于客體引入用戶地址空間的事件及客體刪除事件，審計(jì)記錄包含客體及客體的安全級(jí)別。 此外，可信計(jì)算基具有審計(jì)更改可讀輸出記號(hào)的能力。 對(duì)不能由可信計(jì)算基獨(dú)立分辨的審計(jì)事件，審計(jì)機(jī)制提供審計(jì)記錄接口，可由授權(quán)主體調(diào)用。這些審計(jì)記錄區(qū)別于計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基獨(dú)立分辨的審計(jì)記錄。 可信計(jì)算基能夠?qū)徲?jì)利用隱蔽存儲(chǔ)信道時(shí)可能被使用的事件。,數(shù)據(jù)完整性,可信計(jì)算基通過(guò)自主和強(qiáng)制完整性策略。阻止非授權(quán)用戶修改或破壞敏感信息。在網(wǎng)絡(luò)環(huán)境中，使用完整性敏感標(biāo)記來(lái)確信信息在傳送中未受損。,隱蔽信道分析,系統(tǒng)

17、開發(fā)者應(yīng)徹底搜索隱蔽存儲(chǔ)信道，并根據(jù)實(shí)際測(cè)量或工程估算確定每一個(gè)被標(biāo)識(shí)信道的最大帶寬。,可信路徑,對(duì)用戶的初始登錄和鑒別，可信計(jì)算基在它與用戶之間提供可信通信路徑。該路徑上的通信只能由該用戶初始化。,6.1.5 第五級(jí)：訪問(wèn)驗(yàn)證保護(hù)級(jí),可信計(jì)算基滿足訪問(wèn)監(jiān)控器需求。訪問(wèn)監(jiān)控器仲裁主體對(duì)客體的全部訪問(wèn)。 訪問(wèn)監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測(cè)試。 為了滿足訪問(wèn)監(jiān)控器需求，可信計(jì)算基在其構(gòu)造時(shí)，排除那些對(duì)實(shí)施安全策略來(lái)說(shuō)并非必要的代碼；在設(shè)計(jì)和實(shí)現(xiàn)時(shí)，從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度。支持安全管理員職能；擴(kuò)充審計(jì)機(jī)制，當(dāng)發(fā)生與安全相關(guān)的事件時(shí)發(fā)出信號(hào)；提供系統(tǒng)恢復(fù)機(jī)制。系統(tǒng)具有很

18、高的抗?jié)B透能力。,自主訪問(wèn)控制,可信計(jì)算基定義并控制系統(tǒng)中命名用戶對(duì)命名客體的訪問(wèn)。實(shí)施機(jī)制（例如：訪問(wèn)控制表）允許命名用戶和（或）以用戶組的身份規(guī)定并控制客體的共享；阻止非授權(quán)用戶讀取敏感信息。并控制訪問(wèn)權(quán)限擴(kuò)散。 自主訪問(wèn)控制機(jī)制根據(jù)用戶指定方式或默認(rèn)方式，阻止非授權(quán)用戶訪問(wèn)客體。訪問(wèn)控制的粒度是單個(gè)用戶。訪問(wèn)控制能夠?yàn)槊總€(gè)命名客體指定命名用戶和用戶組，并規(guī)定他們對(duì)客體的訪問(wèn)模式。沒(méi)有存取權(quán)的用戶只允許由授權(quán)用戶指定對(duì)客體的訪問(wèn)權(quán)。,強(qiáng)制訪問(wèn)控制,可信計(jì)算基對(duì)外部主體能夠直接或間接訪問(wèn)的所有資源（例如：主體、存儲(chǔ)客體和輸入輸出資源）實(shí)施強(qiáng)制訪問(wèn)控制。為這些主體及客體指定敏感標(biāo)記，這些標(biāo)記是

19、等級(jí)分類和非等級(jí)類別的組合，它們是實(shí)施強(qiáng)制訪問(wèn)控制的依據(jù)。 可信計(jì)算基支持兩種或兩種以上成分組成的安全級(jí)?？尚庞?jì)算基外部的所有主體對(duì)客體的直接或間接的訪問(wèn)應(yīng)滿足： 僅當(dāng)主體安全級(jí)中的等級(jí)分類高于或等于客體安全級(jí)中的等級(jí)分類，且主體安全級(jí)中的非等級(jí)類別包含了客體安全級(jí)中的全部非等級(jí)類別，主體才能讀客體； 僅當(dāng)主體安全級(jí)中的等級(jí)分類低于或等于客體安全級(jí)中的等級(jí)分類，且主體安全級(jí)中的非等級(jí)類別包含了客體安全級(jí)中的非等級(jí)類別，主體才能寫一個(gè)客體。 可信計(jì)算基使用身份和鑒別數(shù)據(jù)，鑒別用戶的身份，保證用戶創(chuàng)建的可信計(jì)算基外部主體的安全級(jí)和授權(quán)受該用戶的安全級(jí)和授權(quán)的控制。,標(biāo)記,可信計(jì)算基維護(hù)與可被外部主

20、體直接或間接訪問(wèn)到計(jì)算機(jī)信息系統(tǒng)資源（例如：主體、存儲(chǔ)客體、只讀存儲(chǔ)器）相關(guān)的敏感標(biāo)記。這些標(biāo)記是實(shí)施強(qiáng)制訪問(wèn)的基礎(chǔ)。 為了輸入未加安全標(biāo)記的數(shù)據(jù)，可信計(jì)算基向授權(quán)用戶要求并接受這些數(shù)據(jù)的安全級(jí)別，且可由計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基審計(jì)。,身份鑒別,可信計(jì)算基初始執(zhí)行時(shí)，首先要求用戶標(biāo)識(shí)自己的身份，而且，可信計(jì)算基維護(hù)用戶身份識(shí)別數(shù)據(jù)并確定用戶訪問(wèn)權(quán)及授權(quán)數(shù)據(jù)。 可信計(jì)算基使用這些數(shù)據(jù)，鑒別用戶身份，并使用保護(hù)機(jī)制（例如：口令）來(lái)鑒別用戶的身份； 阻止非授權(quán)用戶訪問(wèn)用戶身份鑒別數(shù)據(jù)。 通過(guò)為用戶提供唯一標(biāo)識(shí)，可信計(jì)算基能夠使用戶對(duì)自己的行為負(fù)責(zé)?？尚庞?jì)算基還具備將身份標(biāo)識(shí)與該用戶所有可審計(jì)行為相關(guān)

21、聯(lián)的能力。,客體重用,在可信計(jì)算基的空閑存儲(chǔ)客體空間中，對(duì)客體初始指定、分配或再分配一個(gè)主體之前，撤銷客體所含信息的所有授權(quán)。當(dāng)主體獲得對(duì)一個(gè)已被釋放的客體的訪問(wèn)權(quán)時(shí)，當(dāng)前主體不能獲得原主體活動(dòng)所產(chǎn)生的任何信息。,審計(jì),可信計(jì)算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪問(wèn)審計(jì)跟蹤記錄，并能阻止非授權(quán)的用戶對(duì)它訪問(wèn)或破壞。 可信計(jì)算基能記錄下述事件：使用身份鑒別機(jī)制；將客體引入用戶地址空間（例如：打開文件、程序出始化）；刪除客體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實(shí)施的動(dòng)作，以及其他與系統(tǒng)安全有關(guān)的事件。對(duì)于每一事件，其審計(jì)記錄包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功。對(duì)于身份鑒別事件，審

22、計(jì)記錄包含請(qǐng)求的來(lái)源（例如：終端標(biāo)識(shí)符）；對(duì)于客體引入用戶地址空間的事件及客體刪除事件，審計(jì)記錄包含客體名及客體的安全級(jí)別。此外，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基具有審計(jì)更改可讀輸出記號(hào)的能力。 對(duì)不能由計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基獨(dú)立分辨的審計(jì)事件，審計(jì)機(jī)制提供審計(jì)記錄接口，可由授權(quán)主體調(diào)用。這些審計(jì)記錄區(qū)別于計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基獨(dú)立分辨的審計(jì)記錄。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基能夠?qū)徲?jì)利用隱蔽存儲(chǔ)信道時(shí)可能被使用的事件。 可信計(jì)算基包含能夠監(jiān)控可審計(jì)安全事件發(fā)生與積累的機(jī)制，當(dāng)超過(guò)閾值時(shí)，能夠立即向安全管理員發(fā)出報(bào)警。并且，如果這些與安全相關(guān)的事件繼續(xù)發(fā)生或積累，系統(tǒng)應(yīng)以最小的代價(jià)中止它們。,數(shù)據(jù)完整性

23、,可信計(jì)算基通過(guò)自主和強(qiáng)制完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。在網(wǎng)絡(luò)環(huán)境中，使用完整性敏感標(biāo)記來(lái)確信信息在傳送中未受損。,隱蔽信道分析,系統(tǒng)開發(fā)者應(yīng)徹底搜索隱蔽信道，并根據(jù)實(shí)際測(cè)量或工程估算確定每一個(gè)被標(biāo)識(shí)信道的最大帶寬。,可信路徑,當(dāng)連接用戶時(shí)（如注冊(cè)、更改主體安全級(jí)），可信計(jì)算基提供它與用戶之間的可信通信路徑?？尚怕窂缴系耐ㄐ胖荒苡稍撚脩艋蛴?jì)算機(jī)信息系統(tǒng)可信計(jì)算基激活，且在邏輯上與其他路徑上的通信相隔離，且能正確地加以區(qū)分。,可信恢復(fù),可信計(jì)算基提供過(guò)程和機(jī)制，保證失效或中斷后，可以進(jìn)行不損害任何安全保護(hù)性能的恢復(fù)。,6.2 IT 安全性評(píng)估準(zhǔn)則,1999年6月，ISO接納CC2

24、.0版作為ISO/IEC 15408草案，且定名為“信息技術(shù)安全技術(shù)IT安全性評(píng)估準(zhǔn)則”，但仍用CC作為其簡(jiǎn)稱。 1999年12月，ISO 在廣泛征求意見(jiàn)并且進(jìn)行一定修改后，正式頒布國(guó)際標(biāo)準(zhǔn)ISO/IEC 15408，對(duì)應(yīng)CC 2.1版。 2001年3月8日，國(guó)家質(zhì)量技術(shù)監(jiān)督局正式頒布國(guó)家標(biāo)準(zhǔn)GB/T 18336，并定于2001年12月1日正式實(shí)施。,CC發(fā)展歷史,美國(guó)可信計(jì)算機(jī) 系統(tǒng)評(píng)估準(zhǔn)則 （TCSEC， 桔皮書） 1985年,加拿大可信計(jì)算機(jī) 產(chǎn)品評(píng)估準(zhǔn)則 （CTCPEC 3.0版） 1993年,美國(guó)信息技術(shù) 安全聯(lián)邦準(zhǔn)則 （FC ） 1993年,通用評(píng)估準(zhǔn)則 （CC ） 1996年,歐

25、洲信息技術(shù) 安全評(píng)估準(zhǔn)則 （ITSEC ） 1991年,國(guó)際標(biāo)準(zhǔn) （ISO/IEC15408 ） 1999年,可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則TCSEC,20世紀(jì)70年代，美國(guó)開展信息技術(shù)安全性評(píng)估標(biāo)準(zhǔn)研究，于1985年由美國(guó)國(guó)防部正式公布了DOD5200.28-STD可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC，也稱桔皮書），是公認(rèn)的第一個(gè)計(jì)算機(jī)信息系統(tǒng)評(píng)估標(biāo)準(zhǔn)。 TCSEC開始主要是作為軍用標(biāo)準(zhǔn)，提出了美國(guó)在軍用信息技術(shù)安全性方面的要求，后來(lái)延伸至民用。其安全級(jí)別從低到高分為D 、C 、B 、A四類，細(xì)分為D、C1、C2、B1、B2、B3、A1等7個(gè)安全級(jí)別。,可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則TCSEC,可信計(jì)算機(jī)系統(tǒng)

26、評(píng)估準(zhǔn)則TCSEC,可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則TCSEC,信息技術(shù)安全性評(píng)估準(zhǔn)則（ITSEC）,20世紀(jì)80年代后期，法國(guó)、德國(guó)、荷蘭和英國(guó)等歐洲國(guó)家開始聯(lián)合行動(dòng)，于1990年提出歐共體的ITSEC，其1.2版本于1991年由歐洲標(biāo)準(zhǔn)化委員會(huì)正式公開發(fā)表。 ITSEC作為多國(guó)安全評(píng)估標(biāo)準(zhǔn)的綜合產(chǎn)物，適用于軍隊(duì)、政府和商業(yè)部門。,加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則（CTCPEC）,CTCPEC1.0版于1989年公布，專為政府需求而設(shè)計(jì)； 1993年公布了3.0版，作為ITSEC和TCSEC的結(jié)合，將安全分為功能性要求和保證性要求兩部分。 功能性要求分為機(jī)密性、完整性、可用性、可控性等四大類。在每種安全要

27、求下又分成很多級(jí)，以表示安全性上的差別，按程度不同分為05級(jí)。,美國(guó)信息技術(shù)安全聯(lián)邦準(zhǔn)則（FC）,20世紀(jì)90年代初，美國(guó)為適應(yīng)信息技術(shù)的發(fā)展和推動(dòng)美國(guó)國(guó)內(nèi)非軍用信息技術(shù)產(chǎn)品安全性的進(jìn)步，其NSA和NIST聯(lián)合起來(lái)對(duì)TCSEC做修訂。 針對(duì)TCSEC的C2級(jí)要求提出適用于商業(yè)組織和政府部門的最小安全功能要求（MSFR）。 在MSFR和加拿大CTCPEC的基礎(chǔ)上，美國(guó)在1992年底公布了FC草案1.0版，它是結(jié)合北美和歐洲有關(guān)評(píng)估準(zhǔn)則概念的另一標(biāo)準(zhǔn)。主要供美國(guó)政府、民用和商用。,通用評(píng)估準(zhǔn)則（CC）,1993年，美國(guó)和加拿大經(jīng)過(guò)協(xié)商，同意將基于FC草案1.0版和CTCPEC3.0版開發(fā)北美通用的

28、評(píng)估準(zhǔn)則，且將這一計(jì)劃通報(bào)歐共體。 英國(guó)、法國(guó)、德國(guó)、荷蘭、加拿大、美國(guó)NIST和NSA六國(guó)七方組成CC工作組，制定國(guó)際通用的評(píng)估準(zhǔn)則CC。 在CC中充分突出“保護(hù)輪廓”，將信息技術(shù)安全要求分為“功能”和“保證”兩大部分。 該標(biāo)準(zhǔn)是目前最全面的信息技術(shù)安全評(píng)估準(zhǔn)則。,CC的適用范圍和目標(biāo)讀者,CC適用范圍 適用于對(duì)信息技術(shù)產(chǎn)品或系統(tǒng)的安全性進(jìn)行評(píng)估，不論其實(shí)現(xiàn)方式是硬件、固件和軟件。 用于指導(dǎo)產(chǎn)品或系統(tǒng)的開發(fā)、生產(chǎn)、集成、運(yùn)行、維護(hù)等。 不適用于 不包括對(duì)行政性管理措施的安全性評(píng)估，不包括密碼算法強(qiáng)度方面的評(píng)價(jià)，不包括對(duì)信息技術(shù)在物理安全方面（如電磁輻射控制）的評(píng)估。 目標(biāo)讀者 用戶、開發(fā)者和

29、評(píng)估者,通用評(píng)估準(zhǔn)則（CC）文檔組織,CC包括三個(gè)部分: 第一部分：簡(jiǎn)介和一般模型 CC的總體簡(jiǎn)介，定義信息技術(shù)安全性評(píng)估的一般概念和原理，提出評(píng)估的一般模型，還提出了若干結(jié)構(gòu)，用于表達(dá)信息技術(shù)安全目的，選擇和定義IT安全要求，以及書寫產(chǎn)品和系統(tǒng)的高層次規(guī)范。 第二部分：安全功能要求 提出一系列功能組件，作為表達(dá)產(chǎn)品或系統(tǒng)安全保證要求的標(biāo)準(zhǔn)方法。列出了11個(gè)類、66個(gè)子類和135個(gè)功能組件。 第三部分：安全保證要求 提出一系列保證組件，作為表達(dá)產(chǎn)品或系統(tǒng)安全保證要求的標(biāo)準(zhǔn)方法。列出了7個(gè)保證類和1個(gè)保證維護(hù)類，還定義PP評(píng)估類和ST評(píng)估類。,關(guān)鍵概念,評(píng)估對(duì)象（TOE） 用于安全性評(píng)估的信息技術(shù)產(chǎn)品、系統(tǒng)或子系統(tǒng)，如防火墻、計(jì)算機(jī)網(wǎng)絡(luò)、密碼模塊等。 保護(hù)輪廓（PP） PP作為CC中最關(guān)鍵的概念，是安全性評(píng)估的依據(jù)。一個(gè)PP為一類TOE基于其應(yīng)用環(huán)境定義一組安全要求，不管這些要求具體如何實(shí)現(xiàn)。即：PP與某個(gè)具體的TOE無(wú)關(guān)，它定義的是用戶對(duì)這類TOE的安全需求。 在標(biāo)準(zhǔn)體系中，PP相當(dāng)于產(chǎn)品標(biāo)準(zhǔn)，有助于過(guò)程規(guī)范性標(biāo)準(zhǔn)的開發(fā)。國(guó)內(nèi)外已對(duì)應(yīng)用級(jí)防火墻、包過(guò)濾防火墻、入侵檢測(cè)等開發(fā)了相應(yīng)的PP。 安全目標(biāo)（ST） ST是對(duì)特定TOE開發(fā)的，相當(dāng)于產(chǎn)品或系統(tǒng)的實(shí)現(xiàn)方案 組件（