信息安全原理》第10章信息系統(tǒng)安全等級與.ppt

1、第10章 信息系統(tǒng)安全等級與標準,10.1 國際安全評價標準概述 10.2 中國信息安全等級保護準則 習 題,安全需求與安全代價，總是安全問題上相互對立的統(tǒng) 一體。對于信息技術(shù)、信息系統(tǒng)和信息產(chǎn)品的安全等級進 行評價，將會使生產(chǎn)者和用戶在這兩個方面容易找到一個 科學的折中。因此，建立完善的信息技術(shù)安全的測評標準 與認證體系，規(guī)范信息技術(shù)產(chǎn)品和系統(tǒng)的安全特性，是實 現(xiàn)信息安全保障的一種有效措施。它有助于建立起科學的 安全產(chǎn)品生產(chǎn)體系、服務體系,10.1 國際安全評價標準概述,10.1.1 DoD5200.28-M和TCSEC 10.1.2 歐共體信息技術(shù)安全評價準則ITSEC 10.1.3 加拿

2、大可信計算機產(chǎn)品安全評價準則CTCPEC 10.1.4 美國信息技術(shù)安全評價聯(lián)邦準則FC 10.1.5 國際通用準則CC,第一個有關(guān)信息技術(shù)安全的標準是美國國防部于1985 年提出的可信計算機系統(tǒng)評價準則TCSEC，又稱桔皮書。 以后，許多國家和國際組織也相繼提出了新的安全評價準 則。圖10.1所示為國際主要信息技術(shù)安全測評標準的發(fā)展 及其聯(lián)系,圖10.1 國際主要信息技術(shù)安全測評標準的發(fā)展及其聯(lián)系,在信息安全等級標準中，一個非常重要的概念是可信 計算基（Trusted Computer Base，TCB）。TCB是計算機 系統(tǒng)內(nèi)保護裝置的總體，包括硬件、固件和軟件。它們根 據(jù)安全策略來處理主

3、體（系統(tǒng)管理員、安全管理員、用戶、 進程）對客體（進程、文件、記錄、設備等）的訪問。 TCB還具有抗篡改的性能和易于分析與測試的結(jié)構(gòu),10.1.1 DoD5200.28-M和TCSEC 1. DoD5200.28-M 世界上最早的計算機系統(tǒng)安全標準應當是美國國防部 1979年6月25日發(fā)布的軍標DoD5200.28-M。它為計算機系 統(tǒng)定義了4種不同的運行模式。 （1）受控的安全模式：系統(tǒng)用戶對系統(tǒng)的機密材料的 訪問控制沒有在操作系統(tǒng)中實現(xiàn)，安全的實現(xiàn)可以通過空 子用戶對機器的操作權(quán)等管理措施實現(xiàn),2）自主安全模式：計算機系統(tǒng)和外圍設備可以在指 定用戶或用戶群的控制下工作，該類用戶了解并可自主

4、地 設置機密材料的類型與安全級別。 （3）多級安全模式：系統(tǒng)允許不同級別和類型的機密 資料并存和并發(fā)處理，并且有選擇地許可不同的用戶對存 儲數(shù)據(jù)進行訪問。用戶與數(shù)據(jù)的隔離控制由操作系統(tǒng)和相 關(guān)系統(tǒng)軟件實現(xiàn)。 （4）強安全模式：所有系統(tǒng)部件依照最高級別類型得 到保護，所有系統(tǒng)用戶必須有一個安全策略；系統(tǒng)的控制 操作對用戶透明，由系統(tǒng)實現(xiàn)對機密材料的并發(fā)控制,2. TCSEC TCSEC是計算機系統(tǒng)安全評價的第一個正式標準，于 1970年由美國國防科學技術(shù)委員會提出，于1985年12月由 美國國防部公布。 TCSEC把計算機系統(tǒng)的安全分為4等7級： （1）D等（含1級） D1級系統(tǒng)：最低級。只為文

5、件和用戶提供安全保護,2）C等（含2級） C1級系統(tǒng)：可信任計算基TCB（Trusted Computing Base）通過用戶和數(shù)據(jù)分開來達到安全目的，使所有的用 戶都以同樣的靈敏度處理數(shù)據(jù)（可認為所有文檔有相同機 密性） C2級系統(tǒng)：在C1基礎(chǔ)上，通過登錄、安全事件和資源 隔離增強可調(diào)的審慎控制。在連接到網(wǎng)上時，用戶分別對 自己的行為負責,3）B等（含3級） B級具有強制性保護功能。強制性意味著在沒有與安全 等級相連的情況下，系統(tǒng)就不會讓用戶寸取對象。 （a）B1級系統(tǒng)： 對每個對象都進行靈敏度標記，導入非標記對象前 要先標記它們； 用靈敏度標記作為強制訪問控制的基礎(chǔ)； 靈敏度標記必須準確

6、地表示其所聯(lián)系的對象的安全 級別； 系統(tǒng)必須使用用戶口令或身份認證來決定用戶的安 全訪問級別； 系統(tǒng)必須通過審計來記錄未授權(quán)訪問的企圖,b）B2級系統(tǒng)： 必須符合B1級系統(tǒng)的所有要求； 系統(tǒng)管理員必須使用一個明確的、文檔化的安全策 略模式作為系統(tǒng)可信任運算基礎(chǔ)體制；可信任運算基礎(chǔ)體 制能夠支持獨立的操作者和管理員； 只有用戶能夠在可信任通信路徑中進行初始化通信； 所有與用戶相關(guān)的網(wǎng)絡連接的改變必須通知所有的 用戶,c）B3級系統(tǒng)具有很強的監(jiān)視委托管理訪問能力和抗 干擾能力。要求： 必須符合B2系統(tǒng)所有安全需求； 必須設有安全管理員； 除控制個別對象的訪問外，必須產(chǎn)生一個可讀的安 全列表；每個被

7、命名的對象提供對該對象沒有訪問的用戶 列表說明； 系統(tǒng)驗證每一個用戶身份，并會發(fā)送一個取消訪問 的審計跟蹤消息； 設計者必須正確區(qū)分可信任路徑和其他路徑； 可信任的通信基礎(chǔ)體制為每一個被命名的對象建立 安全審計跟蹤； 可信任的運算基礎(chǔ)體制支持獨立的安全管理,4）A等（只含1級）最高安全級別 A1級與B3級相似，對系統(tǒng)的結(jié)構(gòu)和策略不作特別要求， 而系統(tǒng)的設計者必須按照一個正式的設計規(guī)范進行系統(tǒng)分 析；分析后必須用核對技術(shù)確保系統(tǒng)符合設計規(guī)范。A1系 統(tǒng)必須滿足： 系統(tǒng)管理員必須接收到開發(fā)者提供的安全策略正式模 型； 所有的安裝操作都必須由系統(tǒng)管理員進行； 系統(tǒng)管理員進行的每一步安裝操作必須有正式

8、的文檔。 TCSEC的初衷主要是針對集中式計算的分時多用戶操作 系統(tǒng)。后來又針對網(wǎng)絡（分布式）和數(shù)據(jù)庫管理系統(tǒng)（C/S 結(jié)構(gòu)）補充了一些附加說明和解釋，典型的有可信計算機 網(wǎng)絡系統(tǒng)說明（NCSC-TG-005）和可信數(shù)據(jù)庫管理系統(tǒng)解釋 等,10.1.2 歐共體信息技術(shù)安全評價準則ITSEC ITSEC是歐共體于1991年發(fā)布的，它是歐洲多國安全評 價方法的綜合產(chǎn)物，應用領(lǐng)域為軍隊、政府和商業(yè)。該標 準將安全的概念分為功能和評估兩部分。 1. 功能準則 分為10級：F1F10： F1F5對應TCSEC的DA； F6F10對應數(shù)據(jù)和程序的完整性，系統(tǒng)的可用性，數(shù) 據(jù)通信的完整性、保密性。 2. 評

9、估準則 分為6級，分別是測試、配置控制和可控的分配、詳細 設計和編碼、詳細的脆弱性分析、設計于源代碼明顯對應 以及設計與源代碼在形式上的一致,10.1.3 加拿大可信計算機產(chǎn)品安全評價準則CTCPEC CTCPEC是加拿大于1993年發(fā)布的。它綜合了TCSEC和 ITSEC兩個準則的優(yōu)點，專門針對政府需求設計。它將安全 分為功能性需求和保證性需求兩部分。功能性需求分為4大 類： 機密性； 可用性； 完整性； 可控性。 每一種安全需求又分為一些小類（分級條數(shù)05），以 表示安全性上的差別,10.1.4 美國信息技術(shù)安全評價聯(lián)邦準則FC FC也是吸收了TCSEC和ITSEC兩個準則的優(yōu)點于1993

10、年發(fā) 布的。它引入了“保護輪廓（PP）”的概念。每個輪廓都包括 功能、開發(fā)保證和評價三部分，在美國政府、民間和商業(yè) 上應用很廣,10.1.5 國際通用準則CC 1993年6月，歐、美、加等有關(guān)6國，將各自獨立的準則 集合成一系列單一的、能被廣泛接受的IT安全準則通 用準則CC，將CC提交給ISO，并于1996年頒布了1.0版。 1999年12月ISO正式將CC 2.0（1998年頒布）作為國際標準 ISO 15408發(fā)布。 CC的主要思想和框架都取自ITSEC和FC，并突出了“保護 輪廓”的概念。它將評估過程分為安全保證和安全功能兩部 分。安全保證要求為7個評估保證級別,EAL1：功能測試 E

11、AL2：結(jié)構(gòu)測試 EAL3：系統(tǒng)測試和檢查 EAL4：系統(tǒng)設計、測試和復查 EAL5：半形式化設計和測試 EAL6：半形式化驗證的設計和測試 EAL7：集成化驗證的設計和測試 表10.1為CC、TCSEC、ITSEC標準之間的對應關(guān)系,表10.1 CC、TCSEC、ITSEC標準之間的對應關(guān)系,CC目前已經(jīng)發(fā)布了如下的版本： 1996年6月發(fā)布CC第1版； 1998年5月發(fā)布CC第2版； 1999年10月發(fā)布CC第2.1版，并成為ISO標準,10.2 中國信息安全等級保護準則,10.2.1 第一級：用戶自主保護級 10.2.2 第二級：系統(tǒng)審計保護級 10.2.3 第三級：安全標記保護級 10

12、.2.4 第四級：結(jié)構(gòu)化保護級 10.2.5 第五級：訪問驗證保護級 習 題,中國已經(jīng)發(fā)布實施計算機信息系統(tǒng)安全保護等級劃分 準則GB17859-1999。這是一部強制性國家標準，也是一 種技術(shù)法規(guī)。它是在參考了DoD 5200.28-STD和NCSC-TC- 005的基礎(chǔ)上，從自主訪問控制、強制訪問控制、標記、身 份鑒別、客體重用、審計、數(shù)據(jù)完整性、隱蔽信道分析、 可信路徑和可恢復等10個方面將計算機信息系統(tǒng)安全保護 等級劃分為5個級別的安全保護能力,第一級：用戶自主保護級； 第二級：系統(tǒng)審計保護級； 第三級：安全標記保護級； 第四級：結(jié)構(gòu)化保護級； 第五級：訪問驗證保護級。 計算機信息系統(tǒng)

13、的安全保護能力隨著安全保護等級的增 高而增強。 在信息安全等級標準中，各等級之間的差異在于TCB的 構(gòu)造不同以及其所具有的安全保護能力的不同。下面介紹 各等級的基本內(nèi)容,10.2.1 第一級：用戶自主保護級 本級的可信計算基通過隔離用戶與數(shù)據(jù)，使用戶具備自 主安全保護的能力。它具有多種形式的控制能力，對用戶 實施訪問控制，即為用戶提供可行的手段，保護用戶和用 戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞。 （1）自主訪問控制： 可信計算基定義系統(tǒng)中的用戶和命名用戶對命名客體的 訪問，并允許命名用戶以自己的身份和（或）用戶組的身 份指定并控制對客體的訪問；阻止非授權(quán)用戶讀取敏感信 息,2）身份鑒

14、別： 從用戶的角度看，可信計算基的責任就是進行身份鑒別。 在系統(tǒng)初始化時，首先要求用戶標識自己的身份，并使用 保護機制（例如：口令）來鑒別用戶的身份，阻止非授權(quán) 用戶訪問用戶身份鑒別數(shù)據(jù)。 （3）數(shù)據(jù)完整性：可信計算基通過自主完整性策略，阻 止非授權(quán)用戶修改或破壞敏感信息,10.2.2 第二級：系統(tǒng)審計保護級 這一級除具備第一級所有的安全功能外，要求創(chuàng)建和維 護訪問的審計跟蹤記錄，使所有用戶對自己的合法性行為 負責。具體保護能力如下。 （1）自主訪問控制：可信計算基定義實施的訪問控制 的粒度是單個用戶。沒有存取權(quán)的用戶只允許由授權(quán)用戶 指定對客體的訪問權(quán)。 （2）身份鑒別比用戶自主保護級增加兩

15、點： 通過為用戶提供惟一標識，可信計算基使用戶對自己 的行為負責。 具備將身份標識與該用戶所有可審計行為相關(guān)聯(lián)的能 力,3）客體重用： 在可信計算基的空閑存儲客體空間中，對客體初始指定、 分配或再分配一個主體之前，撤銷該客體所含信息的所有 授權(quán)。當主體獲得對一個已被釋放的客體的訪問權(quán)時，當 前主體不能獲得原主體活動所產(chǎn)生的任何信息。 （4）審計： 在可信計算基能創(chuàng)建和維護受保護客體的訪問審計跟蹤 記錄，并能阻止非授權(quán)的用戶對它訪問或破壞,可信計算基能記錄下述事件：使用身份鑒別機制；將客 體引入用戶地址空間（例如：打開文件、程序初始化）； 刪除客體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理 員實

16、施的動作，以及其他與系統(tǒng)安全有關(guān)的事件。對于每 一事件，其審計記錄包括：事件的日期和時間、用戶、事 件類型、事件是否成功。對于身份鑒別事件，審計記錄包 含請求的來源（例如：終端標識符）；對于客體引入用戶 地址空間的事件及客體刪除事件，審計記錄包含客體名。 對不能由可信計算基獨立分辨的審計事件，審計機制提供 審計記錄接口，可由授權(quán)主體調(diào)用。這些審計記錄區(qū)別于 計算機信息系統(tǒng)可信計算基獨立分辨的審計記錄。 （5）數(shù)據(jù)完整性：可信計算基通過自主完整性策略， 阻止非授權(quán)用戶修改或破壞敏感信息,10.2.3 第三級：安全標記保護級 本級的可信計算基具有系統(tǒng)審計保護級的所有功能。此 外，還需以訪問對象的安

17、全級別限制訪問者的訪問權(quán)限， 實現(xiàn)對訪問對象的強制訪問。為此需要提供有關(guān)安全策略 模型、數(shù)據(jù)標記以及主體對客體強制訪問控制的非形式化 描述，具有準確地標記輸出信息的能力，消除測試發(fā)現(xiàn)的 任何錯誤。 （1）自主訪問控制：同系統(tǒng)審計保護級。 （2）強制訪問控制,可信計算基對所有主體及其控制的客體（例如：進程、 文件、段、設備）實施強制訪問控制。通過敏感標記為這 些主體及客體指定安全等級。安全等級用二維組表示：第 一維是等級分類（如秘密、機密、絕密等），第二維是范 疇（如適用范疇）。它們是實施強制訪問控制的依據(jù)?？?信計算基支持兩種或兩種以上成分組成的安全級。可信計 算基控制的所有主體對客體等級分類

18、的訪問,僅當主體安全級中的等級分類高于或等于客體安全級 中的等級分類，且主體安全級中的非等級類別包含了客體 安全級中的全部非等級類別，主體才能讀客體； 僅當主體安全級中的等級分類低于或等于客體安全級 中的等級分類，且主體安全級中的非等級類別包含了客體 安全級中的全部非等級類別，主體才能寫一個客體。 可信計算基使用身份和鑒別數(shù)據(jù)，鑒別用戶的身份，并 保證用戶創(chuàng)建的可信計算基外部主體的安全級和授權(quán)受該 用戶的安全級和授權(quán)的控制,3）敏感標記： 敏感標記是實施強制訪問的基礎(chǔ)?？尚庞嬎慊鶓鞔_規(guī) 定需要標記的客體（例如：進程、文件、段、設備），明 確定義標記的粒度（如文件級、字段級等），并必須使其 主

19、要數(shù)據(jù)結(jié)構(gòu)具有相關(guān)的敏感標記。為了輸入未加安全標 記的數(shù)據(jù)，可信計算基向授權(quán)用戶要求并接受這些數(shù)據(jù)的 安全級別，且可由計算機信息系統(tǒng)可信計算基審計。 （4）身份鑒別； 可信計算基初始執(zhí)行時，首先要求用戶標識自己的身份， 而且，可信計算基維護用戶身份識別數(shù)據(jù)并確定用戶訪問 權(quán)及授權(quán)數(shù)據(jù)。其他同系統(tǒng)審計保護級,5）客體重用； 在統(tǒng)可信計算基的空閑存儲客體空間中，對客體初始指 定、分配或再分配一個主體之前，撤銷客體所含信息的所 有授權(quán)。當主體獲得對一個已被釋放的客體的訪問權(quán)時， 前主體不能獲得原主體活動所產(chǎn)生的任何信息,6）審計 可信計算基能創(chuàng)建和維護受保護客體的訪問審計跟蹤記 錄，并能阻止非授權(quán)的

20、用戶對它訪問或保護?？尚庞嬎慊?能記錄下述事件：使用身份鑒別機制；將客體引入用戶地 址空間（例如：打開文件、程序初始化）；刪除客體；由 操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實施的動作， 以及其他與系統(tǒng)安全有關(guān)的事件。對于每一事件，其審計 記錄包括：事件的日期和時間、用戶、事件類型、事件是 否成功。對于身份鑒別的事件，審計記錄包含請求的來源 （例如：終端標識符）對于客體引入用戶地址空間的事件 及客體刪除事件，審計記錄包含客體名及客體的安全級別。 此外，可信計算基具有審計更改可讀輸出記號的能力。 對不能由可信計算基獨立分辨的審計事件，審計機制提供 審計記錄接口，可由授權(quán)主體調(diào)用。這些審計記錄區(qū)

21、別于 可信計算基獨立分辨的審計記錄,7）數(shù)據(jù)完整性 可信計算基通過自主和強制完整性策略，阻止非授權(quán)用 戶修改或破壞敏感信息。在網(wǎng)絡環(huán)境中，使用完整性敏感 標記來確保信息在傳送中未受損,10.2.4 第四級：結(jié)構(gòu)化保護級 本級的計算機信息系統(tǒng)可信計算基建立于一個明確定義 的形式化安全策略模型之上，將它要求第三級系統(tǒng)中的自 主和強制訪問控制擴展到所以主體與客體。此外，還要考 慮隱蔽信道。本級的可信計算基必須結(jié)構(gòu)化為關(guān)鍵保護元 素和非關(guān)鍵保護元素；可信計算基的接口也必須明確定義， 使其設計與實現(xiàn)能經(jīng)受更充分的測試和更完整的復審；加 強了鑒別機制；支持系統(tǒng)管理員和操作員的職能；提供可 信設施管理；增強

22、了配置管理控制。系統(tǒng)具有相當?shù)目節(jié)B 透能力,安全標記保護級相比，起主要特征有： （1）可信計算基基于一個明確定義的形式化安全保護 策略。 （2）將第三級實施的（自主或強制）訪問控制擴展到 所有主體和客體。即在自主訪問控制方面，可信計算基應 維護由外部主體能夠直接或間接訪問的所有資源（例如： 主體、存儲客體和輸入輸出資源）實施強制訪問控制，為 這些主體及客體指定敏感標記，這些標記是等級分類和非 等級類別的組合，他們是實施強制訪問控制的依據(jù),3）審計方面： 計算機信息系統(tǒng)可信計算基能記錄下述事件：使用身 份鑒別機制；將客體引入用戶地址空間（例如：打開文件、 程序初始化）；刪除客體；由操作員、系統(tǒng)管

23、理員或（和） 系統(tǒng)安全管理員實施的動作，以及其他與系統(tǒng)安全有關(guān)的 事件。對于每一事件，其審計記錄包括：事件的日期和時 間、用戶、事件類型、事件是否成功。對于身份鑒別事件， 審計記錄包含請求的來源（例如：終端標識符）；對于客 體引入用戶地址空間的事件及客體刪除事件，審計記錄包 含客體名及客體的安全級別。此外，計算機信息系統(tǒng)可信 計算基具有審計更改可讀輸出記號的能力,對不能由計算機信息系統(tǒng)可信計算基獨立分辨的審計 事件，審計機制提供審計記錄接口，可由授權(quán)主體調(diào)用這 些審計記錄區(qū)別于計算機信息系統(tǒng)可信計算基獨立分辨的 審計記錄。 計算機信息系統(tǒng)可信計算基能夠?qū)徲嬂秒[蔽存儲信 道時可能被使用的事件。 （4）數(shù)據(jù)完整性： 計算機信息系統(tǒng)可信計算基通過自主和強制完整性策略， 阻止非授權(quán)用戶修改或破壞敏感信息。在網(wǎng)絡環(huán)境中，使 用完整性敏感標記來確保信息在傳送中未受損,5）隱蔽信道分析： 系統(tǒng)開發(fā)者應徹底搜索隱蔽存儲信道，并根據(jù)實際測量 或工程估算確定每一個被標識信道的最大帶寬。 （6）可信路徑： 對用戶的初始登錄和鑒別，計算機信息系統(tǒng)可信計算基 在它與用戶之間提供可信通信路徑。該路徑上的通信只能 由該用戶初始化,10.2.5 第五級：訪問驗證保護級 本級