電子政務計算機網(wǎng)絡信息安全概念

1、電子政務系統(tǒng)建設與實施張瑾玉 講師第4章：電子政務計算機網(wǎng)絡信息平安概念本章重點討論電子政務中的計算機網(wǎng)絡信息平安計算機網(wǎng)絡信息平安開展過程我國計算機網(wǎng)絡與信息平安根本對策計算機網(wǎng)絡信息平安的根本對策計算機網(wǎng)絡平安管理計算機系統(tǒng)平安技術與標準技術只是實現(xiàn)設計的保證，是一種解決問題的方法、工具、手段。作為計算機系統(tǒng)平安技術從使用角度出發(fā)，大致有實體，指硬件平安軟件，指系統(tǒng)平安數(shù)據(jù)，指信息平安網(wǎng)絡，指站點平安運行，指效勞質量平安計算機系統(tǒng)平安技術與標準續(xù)1其核心技術是加密、病毒防治以及平安評價，可以從兩個方面表達計算機系統(tǒng)平安技術：主要表現(xiàn)在硬件、軟件、數(shù)據(jù)信息、網(wǎng)站、運行、病毒防治、防火墻等8個

2、方面計算機系統(tǒng)平安技術與標準續(xù)2實體硬件平安主要是指為保證計算機和通訊線路及設施、建筑物、構筑物的平安，預防地震、水災、火災、颶風、雷擊，滿足設備正常運行環(huán)境的要求，包括電源供電系統(tǒng)，為保證機房的溫度、濕度、清潔度、電磁屏蔽要求而采取的各種方式、方法技術和措施；包括為維護系統(tǒng)正常工作而采取的監(jiān)測、報警和維護技術及相應高可靠、高技術、高平安的產(chǎn)品；為防止電磁輻射、泄露的高屏蔽、低輻射設備，為保證系統(tǒng)平安可靠的設備備份等涉及到計算機系統(tǒng)的環(huán)境平安、計算機的故障診斷技術、抗電磁干擾技術、設備訪問控制技術、介質存放管理技術等要求，是計算機系統(tǒng)平安的根本條件計算機系統(tǒng)平安技術與標準續(xù)3軟件系統(tǒng)平安主要是

3、針對所有計算機程序和文檔資料，保證他們免遭破壞、非法拷貝和非法使用而采取的技術和方法，包括操作系統(tǒng)平臺、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡操作系統(tǒng)和所有應用軟件的平安，同時還包括口令控制、鑒別技術、軟件加密、壓縮技術、軟件防拷貝、防跟蹤技術還包括掌握高度平安的產(chǎn)品質量標準，選用系統(tǒng)軟件和標準工具軟件、軟件包，對于自己開發(fā)使用的軟件建立嚴格的開發(fā)、控制、質量保障機制，保證軟件滿足平安保密技術要求，確保系統(tǒng)平安可靠的運行數(shù)據(jù)信息平安計算機系統(tǒng)平安技術與標準續(xù)4其平安保密主要是指為保證計算機系統(tǒng)的數(shù)據(jù)庫、數(shù)據(jù)文件和所有數(shù)據(jù)信息的免遭攻擊破壞、修改、泄露和竊取，為防止這些威脅和攻擊而采取的技術、方法和措施包括對各種用戶

4、的身份識別技術，口令、指紋驗證技術，存取控制技術和數(shù)據(jù)加密技術，以及建立備份、緊急處置和系統(tǒng)恢復技術，異地存放、妥善保管技術等網(wǎng)絡站點平安網(wǎng)絡站點平安是指為了保證計算機系統(tǒng)中的網(wǎng)絡通信和所有站點的平安而采取的各種技術措施，除防火墻技術外，還包括報文鑒別技術，數(shù)字簽名技術，訪問控制技術，加壓加密技術，密鑰管理技術等；為了保證線路平安、傳輸平安而采取的平安傳輸介質技術，網(wǎng)絡跟蹤、監(jiān)測技術，路由控制隔離技術，流量控制分析技術等等計算機系統(tǒng)平安技術與標準續(xù)5運行效勞平安主要是指平安運行的管理技術。包括系統(tǒng)的使用與維護技術；隨機故障維護技術；軟件可靠性、可維護性保證技術；操作系統(tǒng)故障分析處理技術；機房環(huán)

5、境監(jiān)測維護技術；系統(tǒng)設備運行狀態(tài)實測、分析記錄等技術實施目的在于，及時發(fā)現(xiàn)運行中的異常情況，及時報警，及時提示用戶采取措施或進行隨機故障維修和進行必要的平安控制病毒防治技術專門設置計算機病毒檢測、診斷、殺毒措施，并要求有一套預防方法，以防止病毒的再入侵涉及計算機硬件實體、計算機軟件、數(shù)據(jù)信息的壓縮的加密解密技術計算機系統(tǒng)平安技術與標準續(xù)6防火墻技術是介于內部網(wǎng)絡與外部網(wǎng)絡Internet之間的路由器或計算機一般叫堡壘主機，目的是提供平安保護從本質上說是一種保護裝置，是用來保護網(wǎng)絡數(shù)據(jù)、資源和用戶聲譽的計算機系統(tǒng)的平安評價目前我國已經(jīng)出臺的有?金融電子化系統(tǒng)標準化總體標準?等標準計算機系統(tǒng)平安技

6、術與標準續(xù)7國際標準化組織對平安體系結構的論述 ISO7498-2中描述的開放系統(tǒng)互連OSI平安體系結構的5種平安效勞工程是鑒別authentication訪問控制access control數(shù)據(jù)保密data confidentiality數(shù)據(jù)完整性data integrity抗否認non-reputation計算機系統(tǒng)平安技術與標準續(xù)8為了實現(xiàn)以上效勞，制定了8種平安機制加密機制enciphrement mechanisms數(shù)字簽名機制digital signature mechanisms訪問控制機制access control mechanisms數(shù)據(jù)完整性機制data integrit

7、y mechanisms鑒別交換機制authentication mechanisms通信業(yè)務填充機制traffic padding mechanisms路由控制機制routing control mechanisms公證機制notarization mechanisms5種平安效勞和8種平安機制的關系表計算機系統(tǒng)平安技術與標準續(xù)9美國國家計算機平安中心NCSCNCSC提出的?可信計算機系統(tǒng)評測標準?TCSEC, Trusted Computer System Evaluation Criteria，將計算機系統(tǒng)的平安分為A、B、C、D、四類7級。不同計算機信息系統(tǒng)可根據(jù)需要和可能選用不同平安

8、保密強度的不同標準，如軍事、國防為A、B類，金融、財貿(mào)為B1、C2級或更高級的計算機系統(tǒng)其他的重要標準，還有平安電子交易協(xié)議SET, Secure Electronic Transaction Protocol，美國國家標準化委員會ANSI的DEI，RSA加密算法標準等平安立法問題 與信息平安相關的第一類法律法規(guī)是指：不是直接針對國際互連網(wǎng)信息平安的法律法規(guī)，但它標準和調整的范圍與層次，包括了個人，法人及其它組織的有關信息活動涉及國家平安的法律法規(guī)。如國家平安法，保密法等第二類是指直接針對計算機平安和國際互連網(wǎng)平安的法規(guī)，如?中華人民共和國計算機信息系統(tǒng)平安保護條例?、?中華人民共和國計算機信

9、息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定?以及出臺的暫行方法?中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)平安保護管理方法?等平安立法問題續(xù)1廣泛開展計算機平安教育國際信息處理聯(lián)合會IFIP，International For Information Process從SEC93到SEC98都在會議上倡導要加強計算機平安教育美國成立的“國際強化平安研究會WISE目的在于為工業(yè)和政府機構在各種不同類型的法規(guī)方面提供訓練和咨詢1997年“曼哈頓研究方案Manhattan Cyber Project組織和我國國家實驗室聯(lián)合召開“信息系統(tǒng)平安研討會2000年開始。我國在大專院校計算機專業(yè)普遍開設計算機平安技術課程平安立法問題

10、續(xù)2平安立法目前，國外許多政府紛紛制定計算機平安方面的法律、法規(guī)，典型的有美國：?信息自由法?、?反腐敗行為法?、?偽造訪問設備和計算機欺騙與濫用法?、?計算機平安法?英國：?數(shù)據(jù)保護法?美國和加拿大：?個人隱私法?經(jīng)濟合作開展組織各成員國：聯(lián)合通過?過境數(shù)據(jù)流宣言?意大利等國將計算機犯罪與刑法、民法聯(lián)系起來，修改有關條款平安立法問題續(xù)3我國近幾年來重要的有關法律、法規(guī)?中華人民共和國保守國家秘密法?計算機軟件保護條例?中華人民共和國計算機信息系統(tǒng)平安保護條例?中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定及實施方法?中國公眾多媒體通信管理方法?計算機病毒控制條例?中華人民共和國計算機信息系

11、統(tǒng)平安檢查方法?中華人民共和國計算機信息系統(tǒng)平安申報注冊管理方法?平安立法問題續(xù)4我國計算機信息系統(tǒng)平安保護等級劃分準那么我國計算機信息系統(tǒng)平安保護等級及劃分準那么也稱標準，由北京大學、清華大學、中國科學院起草，由國家質量技術監(jiān)督局于1999年9月13日發(fā)布，2001年1月1日起實施。規(guī)定了計算機信息系統(tǒng)平安保護能力的五個等級，即：第一級：用戶自主保護級第二級：系統(tǒng)審計保護級第三級：平安標記保護級第四級：結構化保護級第五級：訪問驗證保護級平安立法問題續(xù)5等級劃分準那么具體內容為：第一級“用戶自主保護級：計算機信息系統(tǒng)可信計算通過隔離用戶與數(shù)據(jù)，使用戶具備自主平安保護的能力。具有多種形式的控制能

12、力，對用戶實施訪問控制，即為用戶提供可行的手段，保護用戶和用戶組信息，防止其他用戶對數(shù)據(jù)的非法讀寫與破壞自主訪問控制身份鑒別數(shù)據(jù)完整性平安立法問題續(xù)6第二級“系統(tǒng)審計保護級：與用戶自主保護級相比，本級的計算機信息系統(tǒng)可信計算實施了粒度更細的自主訪問控制，它能過登錄規(guī)程、審計平安性相關事件和隔離資源，使用對自己的行為負責自主訪問控制身份鑒別客體重用審計數(shù)據(jù)完整性平安立法問題續(xù)7第三級“平安標記保護級：本級的計算機信息系統(tǒng)可信計算基具有系統(tǒng)審計保護級的所有功能。此外，還需提供有關平安策略模型、數(shù)據(jù)標記以及主體對客體強制訪問的非形式化描述；具有準確地標記輸出信息的能力；消除通過測試發(fā)現(xiàn)的任何錯誤自主

13、訪問控制強制訪問控制標記身份鑒別客體重用審計數(shù)據(jù)完整性平安立法問題續(xù)8第四級“結構化保護級：本級的計算機信息系統(tǒng)可信計算基建立于一個明確定義的形式化平安策略模型之上，它要求將第三級系統(tǒng)中的自主和強制訪問控制擴展到所有主體與客體。此外，還要考慮隱蔽通道。本級的計算機信息系統(tǒng)可信計算基必須結構化為關鍵保護元素和非關鍵保護元素。計算機信息系統(tǒng)可信計算基的接口也必須明確定義，使其設計與實現(xiàn)能經(jīng)受更充分的測試和更完整的復審。加強了鑒別機制；支持系統(tǒng)管理員和操作員的職能；提供可信設施管理；增強了配置管理控制。系統(tǒng)具有相當?shù)臐B透能力平安立法問題續(xù)9自主訪問控制強制訪問控制標記身份鑒別客體重用審計數(shù)據(jù)完整性隱

14、蔽信道分析可信路徑平安立法問題續(xù)10 第五級“訪問驗證保護級：本級的計算機信息系統(tǒng)可信計算基滿足訪問監(jiān)控器需求。訪問監(jiān)控器仲裁主體對客體的全部訪問。訪問監(jiān)控器本身抗篡改的；必須足夠小，能夠分析和測試。為了滿足訪問監(jiān)控器需求，計算機信息系統(tǒng)可信計算基在其構造時，排除那些對實施平安策略來說并非必要的代碼；在設計和實現(xiàn)時，從系統(tǒng)工程角度將其性降低到最小程度。支持平安管理員職能；擴充審計機制，當發(fā)生與平安相關的事件時發(fā)出信號；提供系統(tǒng)恢復機制。系統(tǒng)具有很高的滲透能力平安立法問題續(xù)11自主訪問控制強制訪問控制標記身份鑒別客體重用審計數(shù)據(jù)完整性隱蔽信息分析可信路徑可信恢復我國網(wǎng)絡信息平安的現(xiàn)狀我國一直重視

15、計算機網(wǎng)絡與信息平安，除了政府已經(jīng)分布的有關法規(guī)文件外，信息平安方面成立了專門的研究機構。但國內研究面較狹，主要是網(wǎng)絡反病毒產(chǎn)品，如KILL和VRV的網(wǎng)絡防火墻產(chǎn)品，但大多數(shù)只是“效勞器用戶“單機用戶的簡單殺毒組合，并不具備真正意義上的網(wǎng)絡防守實力我國網(wǎng)絡信息平安的現(xiàn)狀續(xù)1瑞星、KV300和KILL三足鼎立的格局已然形成，下一個更大的市場便是網(wǎng)絡版的市場從開展方向來看，網(wǎng)絡殺毒產(chǎn)品必將是未來市場的一個主流因為網(wǎng)絡殺毒軟件產(chǎn)品的產(chǎn)值要比單機版要高，利潤空間也非?？捎^因為在歷史上國內企業(yè)用戶對網(wǎng)絡版的應用并不是很重視，近來出現(xiàn)了許多網(wǎng)絡事故，才引起了重視日前，隨著中國電子商務浪潮的風行，許多企業(yè)用

16、戶也正在由單機防護應用逐步過渡到企業(yè)級的防護，企業(yè)防病毒軟件的市場無疑將越來越大 我國網(wǎng)絡信息平安的現(xiàn)狀續(xù)2從技術上來看，防病毒軟件的開展方向在于要能適應各種產(chǎn)品的數(shù)據(jù)壓縮格式，能對藏于每個文件壓縮包內的病毒均可以進行檢查和去除實時監(jiān)控技術是防病毒軟件必須具備的主流技術根據(jù)國際計算機平安協(xié)會的調查，現(xiàn)在新增30%以上的病毒是通過Internet傳播，可以說Internet上的防毒能力成為防殺病毒軟件的關鍵技術在這方面，國內的廠商那么相對滯后一些我國網(wǎng)絡信息平安的現(xiàn)狀續(xù)3“在線殺毒的方式也是一個很好的方向具有免下載、免等待、病毒碼隨時更新等特性省去下載最新病毒代碼的時間，且因為不用安裝，所以不會

17、占用任何電腦系統(tǒng)資源，一般防毒軟件根本殺毒功能線上殺毒都能提供對于廠商而言，“在線殺毒不需要傳統(tǒng)殺毒所需要的介質的費用，減少了產(chǎn)品在流通環(huán)節(jié)所消耗的費用，使它的本錢和價位都能夠降低很多缺點是目前只支持文件型病毒的查毒與殺毒動作，不能去除內存里的病毒我國網(wǎng)絡信息平安的現(xiàn)狀續(xù)4從效勞上看，殺毒軟件的競爭也是效勞質量等方面的競爭，尤其是對于單機版產(chǎn)品作為一款主要面向一般消費人群的單機版產(chǎn)品，除殺毒能力之外，如易用性、速度、資源占用情況、升級的更新頻率及步驟簡繁等方面也是非常重要的一些業(yè)內人士認為“作為一種反病毒產(chǎn)品，其主要目的是為了對抗計算機病毒。因此，反病毒軟件的檢測率、去除率、誤報率，以及對病毒

18、處理的可靠性等方面理應是該款反病毒產(chǎn)品的主要特征和評測目標，所以，可能要涉及到非企業(yè)類殺毒軟件產(chǎn)品的評測方法以什么為依據(jù)的問題，以及是否將其與企業(yè)級殺毒軟件產(chǎn)品的評測標準相別離的問題我國網(wǎng)絡信息平安的現(xiàn)狀續(xù)5據(jù)?每周電腦報?的市場調查研究部的文章認為目前在殺毒軟件方面，知名度由高至低的殺毒軟件分別是：KV300、瑞星、KILL、Norton、Pc-cillin、VRV和AV95KV300的認識比率高達93%，瑞星和KILL的認知率分別為88.8%和82.3%在使用比率方面，前九位排名也一致，KV300的使用比率在被訪企業(yè)中占80%在網(wǎng)絡平安產(chǎn)品生產(chǎn)商和網(wǎng)絡平安效勞供給商和知名度排名中，排名第一

19、位的是瑞星71.1%，其次是江民47.2%、CA44.5%、冠群金辰28.3%和賽門鐵克13.7%我國網(wǎng)絡信息平安的現(xiàn)狀續(xù)6對國產(chǎn)網(wǎng)絡平安產(chǎn)品的看法，被訪企業(yè)的代表70.8%認為在與國外產(chǎn)品的競爭中，價格低廉是最大的優(yōu)勢。另外，技術并不遜于國外產(chǎn)品34.3%、良好的售后效勞30.0%和政策支持23.8%也是國產(chǎn)網(wǎng)絡平安產(chǎn)品的優(yōu)勢。仍有8.5%的被訪者明確表示國產(chǎn)網(wǎng)絡平安產(chǎn)品同國外同類產(chǎn)品比較并沒有優(yōu)勢可言我國網(wǎng)絡信息平安的現(xiàn)狀續(xù)7被訪者認為國產(chǎn)網(wǎng)絡平安產(chǎn)品目前存在的主要問題有：配套效勞不夠50.8%、產(chǎn)品線不全45.7%和平安漏洞多34.7%有7.8%的被訪者認為中外產(chǎn)品差距在一年以內，19.

20、7%的被訪者認為差距在一至兩年，18.0%的被訪者認為差距在兩至三年，14.4%的被訪者認為差距在三年或更長的時間一方面源于我國總體應用技術開發(fā)滯后另一方面國內網(wǎng)絡用戶在實際應用范圍和水平上都還比較低。網(wǎng)絡平安防范意識冷淡或疏于管理網(wǎng)絡信息平安的根本對策 聯(lián)網(wǎng)的計算機，特別是連接Internet的主機，比沒有聯(lián)網(wǎng)的主機暴露出更大的平安問題。全世界幾乎每時都有闖入break-in和平安侵犯security violation行為發(fā)生，侵犯者不僅僅是Internet的破壞者，也包括為了個人目的或惡意地偷竊計算機信息或政法效勞的雇員網(wǎng)絡信息平安的根本對策續(xù)1平安級別根據(jù)美國國防部開發(fā)的計算機平安標準

21、，可信任計算機標準評估準那么Trusted Computer Standards Evaluation Criteria：桔黃皮書Orange Book，被用于保護硬件、軟件和存儲的信息免受攻擊，并描述了不同類型的物理平安、用戶身份驗證authentication、操作系統(tǒng)軟件的可信任性和用戶應用程序。也限制了什么類型的系統(tǒng)可以連接到你的系統(tǒng)網(wǎng)絡信息平安的根本對策續(xù)2說明：桔黃皮書自1985年成為美國國防部的標準以來一直沒有改變過。多年來一直是評估多用戶主機和小型操作系統(tǒng)的主要方法，其它子系統(tǒng)如數(shù)據(jù)庫和網(wǎng)絡，也一直是通過桔黃皮書的解釋來評估的。例如，可信任數(shù)據(jù)庫解釋Trusted Databa

22、se Interpretation和可信任網(wǎng)絡解釋Trusted Network Interpretation網(wǎng)絡信息平安的根本對策續(xù)3計算機平安劃分為7個等級D1級：是可用的最低的平安形式。該標準說明整個系統(tǒng)都是不可信任的。對于硬件來說，沒有任何保護可用；操作系統(tǒng)容易受到損害；對于用戶和他們對存儲在計算機上信息的訪問權限沒有身份驗證該平安級別典型地指像MS-DOS、MS-Windows和Apple的Macintosh System 7.x等操作系統(tǒng)。這些操作系統(tǒng)不區(qū)分用戶，并且沒有定義方法來決定誰在敲擊鍵盤。這些操作系統(tǒng)對于計算機硬盤上的什么信息是可以訪問的也沒有任何控制網(wǎng)絡信息平安的根本對

23、策續(xù)4C1級：C級兩個平安子級別之一。C1級稱為自選平安保護Discretionary Security Protection系統(tǒng)，描述了一個典型的Unix系統(tǒng)上可用的平安級。對硬件來說存在某種程度的保護，不再那么容易受到損害，盡管損害的可能性仍存在。用戶必須通過用戶注冊名和口令讓系統(tǒng)識別他們自己，用來確定每個用戶對程序和信息擁有什么樣的訪問權限訪問權限是文件的目錄許可權限permission。這些自選訪問控制Discretionary Access Controls使文件或目錄的擁有者或者系統(tǒng)管理員能阻止某個人或幾個組訪問那些程度或信息。但是并沒有阻止系統(tǒng)管理帳戶執(zhí)行活動。結果是不審慎的系統(tǒng)

24、管理員可以容易損害系統(tǒng)平安許多日常系統(tǒng)管理任務只能由以root注冊的用戶來執(zhí)行網(wǎng)絡信息平安的根本對策續(xù)5C2級：除C1包含的特征外，C2級還包含其它的創(chuàng)立受控訪問環(huán)境controlled-access environment的平安特征。該環(huán)境具有進一步限制用戶執(zhí)行某些命令或訪問某些文件的能力，這不僅基于許可權限，而且基于身份驗證級別。另外，這種平安級別要求系統(tǒng)加以審核audit，這包括為系統(tǒng)中發(fā)生的每個事件編寫一個審核記錄附加身份驗證不能與可應用于程序的SGID和SUID許可權限相混淆，而且它們是允許用戶執(zhí)行特定命令或訪問某些核心表的特定身份驗證，例如，那些無權瀏覽進程表的用戶，當執(zhí)行ps命令

25、時，只能看到它們自己的進程審核用來跟蹤記錄所有與平安有關的事件，比方那些由系統(tǒng)管理員執(zhí)行的活動，審核還要求身份驗證。審核的缺點在于需要額外的處理器和磁盤子系統(tǒng)資源網(wǎng)絡信息平安的根本對策續(xù)6B1級：B級三個平安級別之一。B1級稱為標志平安保護Labeled Security Protection，是支持多級平安比方秘密和絕密的第一個級別，這一級說明一個處于強制性訪問控制之下的對象，不允許文件的擁有者改變其許可權限B2級：結構保護Structured Protection，要求計算機系統(tǒng)中所有對象都加標簽，而且給設備如磁盤、磁帶或終端分配單個或多個平安級別。是提出較高平安級別的對象與另一個較低平安

26、級別的對象相通訊的第一個級別網(wǎng)絡信息平安的根本對策續(xù)7B3級：平安域級別Security Domain使用安裝硬件的方法來加強域，如內存管理硬件用于保護平安域免遭無授權訪問或其它平安域對象的修改。該級別也要求用戶的終端通過一條可信任途徑連接到系統(tǒng)上A級：驗證設計Verify Design是當前桔黃皮書中最高平安級別，包含了一個嚴格的設計、控制和驗證過程設計必須是從數(shù)學上經(jīng)過驗證的，而且必須進行對秘密通道和可信任分布的分析?？尚湃畏植糡rusted Distribution的含義是，硬件和軟件在傳輸過程是已經(jīng)受到保護，以防止破壞平安系統(tǒng)也包含較低級別的所有特性加拿大平安已經(jīng)著手設計它自己的可信任

27、計算標準trusted computing standard，包括兩個局部：加拿大可信任計算機產(chǎn)品評估標準Canadian Trusted Computer Product Evaluation Criteria，CTCPEC和普通標準Common CriteriaCTCPEC提出了在開發(fā)或評估過程中產(chǎn)品的功能functionality和保證assurance。功能包括機密confidentiality、完整性integrity可用性availability和可說明性accountability，保證集中于產(chǎn)品用以實現(xiàn)組織的平安策略的可信程度普通標準是美國、加拿大、法國、德國和英國聯(lián)合調查與研

28、究的結果，包含了選擇適當?shù)腎T平安措施的要求。普通級別有7種保證級：EAL-1到EAL-7加拿大平安續(xù)1EAL-1：是最低的保證級別，對開發(fā)人員和消費者來說定義了最小程度的保證，并且是以對產(chǎn)品平安性能分析為根底的，使用功能和接口設計來理解平安行為EAL-2：是在不需要強加給產(chǎn)品開發(fā)人員除EAL-1要求任務之外的附加任務情況下，可被授予的最高的保證級別。執(zhí)行對功能和接口標準的分析，以及對產(chǎn)品子系統(tǒng)的高級設計檢查加拿大平安續(xù)2EAL-3：描述了一種中間的獨立確定的平安級別，意味著平安由外部源來證實。允許開發(fā)階段給予最大的保證，而在測試過程中幾乎不加修改最大保證指的是設計時已經(jīng)考慮到了平安問題，而不

29、是設計完之后再實現(xiàn)平安性開發(fā)人員必須提供測試證據(jù)，包括易受攻擊的分析，它們有選擇地加以驗證。也是包括配置管理評價的第一個級別加拿大平安續(xù)3EAL-4：是改進已有生產(chǎn)線的可行的最高保證級別。一個保證級別為EAL-4的產(chǎn)品是一個在設計、測試和檢查方面都井井有條的產(chǎn)品，是以很好的商業(yè)軟件開發(fā)經(jīng)驗為根底的，這些經(jīng)驗可以幫助排除一般軟件設計問題除了EAL-3級的內容之外，也包括對產(chǎn)品的易受攻擊性進行獨立的搜索加拿大平安續(xù)4EAL-5：對現(xiàn)有的產(chǎn)品來說是不容易到達的。必須有意為了完成該標準來設計和創(chuàng)立產(chǎn)品。適用于那些在嚴格的開發(fā)方法中要求較高保證級別的開發(fā)人員和用戶，開發(fā)人員也必須提出設計標準和如何在產(chǎn)品

30、中從功能上實現(xiàn)這些標準加拿大平安續(xù)5EAL-6：包含一個半正式的驗證設計和測試文件。包括EAL-5級的所有內容，另外還要求提出實現(xiàn)的結構化表示，產(chǎn)品要接受上下設計檢查且必須保證具有高度抗攻擊性能。保證在設計循環(huán)中使用結構化的開發(fā)過程、開發(fā)控制和配置管理控制加拿大平安續(xù)6EAL-7：只用于最高級別的平安應用程序。包含完整的獨立和正式的設計檢查，有一個驗證、設計和測試階段。開發(fā)人員必須測試產(chǎn)品的每一個方面，尋找明顯的或隱藏的易受攻擊的地方，這都可以由一個獨立的源來全部加以驗證局部平安問題用戶必須能解決那些局部的，或僅限于用戶的組織或組織內部某個部門的平安問題。包括平安策略和口令控制局部平安問題續(xù)1

31、平安策略考慮用戶站點平安性的策略采用兩個主要觀點第一、“沒有明確允許的就是禁止的，意味著用戶的組織提供了一個明確的和記錄在案的效勞集合，所有其它的都在禁止之列第二、“沒有明確禁止的就是允許的，意味著除非用戶明確指出一種效勞不可用，那么所有效勞都是可用的不管是哪種觀點，定義一種平安策略的原因是在一個組織的平安受到損害的情況下，必須決定應當采取什么行動。這種策略也描述了哪些行動是可以容忍的，哪些不行的。平安策略決定了平安性的程度局部平安問題續(xù)2口令文件防衛(wèi)非授權訪問系統(tǒng)的第一道防線是/etc/password文件?？诹钗募ㄒ恍┬谢蛴涗洠啃斜弧?分成7個域。如：chare:u7mHuh5R4U

32、mVo:105:100:Chris Hare:/u/chare:/bin/kshusername:encrypted password:UID:comment:home directory:login shell局部平安問題續(xù)3實際的加密口令并不一定放在在加密口令域中，該域可以包含其它值口令文件的許可權限是只讀的，類似的，影像口令文件和TCB中的文件一般也是只讀的文件中的口令信息可通過password命令修改。password命令的許可權限包括SUIDSet User ID位，使用戶能夠改變口令局部平安問題續(xù)4影像口令文件不包含來自Secure Mare的高級平安選擇的Unix版本可支持影像口

33、令文件在口令域中看到字符x時，那么用戶實際的口令就存儲在影像口令文件/etc/shadow中。與/etc/passwd文件不同，影像口令文件必須只有通過根才是能可讀，如下：#Is -I /etc/shadow-r- 1 root auth 831 Oct 24 11:43 /etc/shadow#局部平安問題續(xù)5 文件/etc/shadow的格式與/etc/passwd一致，也有7個由“:分開的域，但/etc/shadow只包含用戶名、加密口令和口令生命期信息，如下：#cat /etc/shadowroot:DUQC9rXCioAuo:8887:0:0:daemon:*:0:0:mmdf:MZ

34、74AeYMs4sn3:8842:0:0:ftp:b80lug/921MeY:8333:anyone:8418:chare:7xqmj9fj3bVw2:9009:pppdemo:4QYrWsJEHc81A:9032:# 局部平安問題續(xù)6文件/etc/shadow是由命令pwconv在SCO和SVR4系統(tǒng)創(chuàng)立的，只有超級用戶能夠創(chuàng)立影像口令文件。在SCO系統(tǒng)時/etc/passwd中的信息和保護的口令數(shù)據(jù)庫用于創(chuàng)立口令文件；在SVR4系統(tǒng)時使用/etc/passwd中的信息影像口令文件的主要優(yōu)點是將加密口令放在一個普通的用戶無法訪問的文件中局部平安問題續(xù)7撥號口令文件直接在Unix系統(tǒng)上支持撥號

35、訪問的問題在于允許通過 線路直接訪問該系統(tǒng)，破壞者可能“侵入系統(tǒng)可能會導致系統(tǒng)的損害。許多Unix系統(tǒng)提供了匿名UUCP訪問，容易導致口令文件的喪失所以，在Unix系統(tǒng)中提供撥號訪問的另一種方法是：通過一臺支持身份驗證的終端效勞器來提供訪問。這種方式下，用戶在允許網(wǎng)絡訪問之前必須由終端效勞器證實為合法局部平安問題續(xù)8遺憾的是，串行端口線路安裝附加口令的能力不是所有Unix版本都具有的。串行線路的撥號口令保護是通過/etc/dialups和/etc/d-passwd兩個文件來控制的。文件/etc/dialups包含一個由撥號口令保護的串行端口列表，如下：#cat dialups/dev/tty2

36、A#局部平安問題續(xù)9文件/etc/d-passwd用于識別注冊外殼。與使用用戶注冊名的常規(guī)口令不同，撥號口令是與注冊外殼相聯(lián)系的。也就是說，使用Bourne外殼的每一個用戶有相同的撥號口令。典型的撥號口令：#cat /etc/d-passwd/bin/sh:/usr/lib/uucp/uucico:#該文件中的每一行或記錄包含兩個由“:分開的域。第一個域識別給定口令支持的外殼，第二個域列出了口令上面的例子中，兩個外殼都沒有口令，這意味著用戶注冊時不會被提示輸入口令局部平安問題續(xù)10撥號口令通過在passwd命令中使用-m選項來增加，該選項通知passwd，搜集的口令支持撥號口令文件中的某個特定

37、外殼。語法格式：passwd -m shell-name一個實例和執(zhí)行# passwd -m/bin/s:Setting modem password for login shell:/bin/shPlease enter new passwordModem password: testingRe-enter password: testing#局部平安問題續(xù)11上例中，系統(tǒng)管理員為/bin/sh外殼增加撥號口令。意味著注冊到該系統(tǒng)將Bourne外殼作為其注冊外殼的任何用戶，都會被提示輸入撥號口令。與通常的passwd一樣，實際的口令在其鍵入時并不顯示；它們必須輸入的口令在上例中顯示出來，只是

38、為了說明方便。注意，只有系統(tǒng)管理員能夠改變一個外殼的撥號口令passwd命令改變d-passwd文件的內容，將新的口令包括進去，如下：#cat d-passwd/bin/sh:Ora391.Na1jjQ:/usr/lib/uucp/uucico:#現(xiàn)在Bourne外殼用戶在注冊到文件/etc/dialups中指定的終端端口時，必須提供附加口令局部平安問題續(xù)12例子描述了當用戶使用撥號口令注冊時經(jīng)歷的過程：gatewaygateway! login: charePassword Dialup Password:Last successful login for chare: Fri Oct 28

39、 22:52:02 EDT 1994 on tty2aLast unsuccessful login for chare: Tue Oct 18 13:27:53 EDT 1994 on ttyp1SCO Unix System V/383 Release 3.2Copyright (C) 1973-1989 UNIX System Laboratories, Inc.Copyright (C) 1980-1989 Microsoft CorporationCopyright (C) 1983-1992 The Santa Cruz Operation. Inc.All Rights Rese

40、rvedgatewayTERM = (ansi)#局部平安問題續(xù)13如上直到用戶輸入用戶名和口令，才通過通常的注冊過程。這些被驗證有效之后，檢查撥號口令控制文件/etc/dialups。當用戶連接的終端放置在該文件中，且注冊外殼是Bourne時，提示用戶輸入撥號口令。如果撥號口令輸入正確，就授權用戶訪問系統(tǒng)，如上局部平安問題續(xù)14如果撥號錯誤，就放棄注冊，用戶被近重新啟動，如下：gatewaygateway!login: charePassword:Dialup Password:Login incorrectWait for login retry:login: charePassword:

41、Dialup Password:局部平安問題續(xù)15組文件：文件/etc/group用來控制訪問那些不是用戶所擁有的文件。如果用戶不是文件的擁有者，那么就檢查用戶所屬的組，查看用戶是否是擁有該文件的組的成員組員列表存儲在/etc/group中，文件的格式如下：tech:*:103:andrewg,patc,chare,erict,lorrainel,lensgroup name:password:GID:userlist局部平安問題續(xù)16組文件的口令是不使用的，也沒有容易的機制用于在文件中安裝口令。如果用戶試圖切換到它們不是其成員的組，就會被提示輸入口令，如下：$newgrp technewgr

42、p: Passwordnewgrp: Sory$grep tech/etc/grouptech:*:103:andrewg, patc$如果執(zhí)行該命令的用戶已經(jīng)成為組tech的成員，newgrp命令就會成功。但許多Unix的當前版本使用戶能夠同時成為多個組的成員，這會減少或取消使用newgrp命令的需要口令生命期和控制口令生命期password aging機制控制用戶何時可以加密口令后通過在口令文件中插入一個值來修改他們的口令。該值定義了用戶修改口令之前必須經(jīng)過的最小時間間隔和口令有效期滿之前可以經(jīng)歷的最大時間間隔口令生命期控制信息與加密口令存儲在一起，以一系列可打印字符的形式出現(xiàn)?？刂瓢?/p>

43、口令之后，用逗號分開。通常逗號后面的字符表示下述信息口令有效的最大周數(shù)用戶可以再次改變其口令之前必須經(jīng)過的最小周數(shù)口令最近改變的時間口令生命期和控制續(xù)1使用口令生命期信息值查看口令的生命期：chare:2eLNss48eJ/GY, C2:215:100:Chris Hare:/usr1/chare:bin/sh上例中口令已經(jīng)被設置了生命期，使用“C值定義了口令到期前的最大周數(shù)，“2定義了用戶能夠再次更改口令前必須經(jīng)過的最大周數(shù)每次用戶注冊時，就將上次改變的值與最大值作比較，來檢查該口令的生命到期了沒有口令生命期和控制續(xù)2生命期控制機制識別兩種特殊情況：一種迫使用戶在下次注冊時改變其口令；一種禁

44、止用戶修改口令要強迫用戶修改其口令，比方一個新用戶，該用戶的口令域為“/，在這種情況下用戶在下次注冊時被迫修改其口令。一旦修改之后“強迫控制信息就從口令項中刪除了，下面顯示了一個口令中強迫項的例子：chare:2eLNss48eJ/GY,./:215:100:Chris Hare:/usr1/chare:/bin/sh口令生命期和控制續(xù)3第二種特殊情況禁止用戶修改其口令，通過設置最大值小于最小值來建立。這種情況下用戶被告知其口令不能改變，如下：chare:,.:215:100:Chris Hare:/usr1/chare:/bin/sh當前更新、更平安的Unix版本會有術語口令生存期passw

45、ord lifetime，它是最大時限之后用戶仍然能夠使用到期的口令注冊其帳戶的寬限期；生存期到期時帳戶就被取消了口令生命期機制并沒有禁止用戶改變其口令然后再將其改變回來。口令生命期的實現(xiàn)過程是依賴于版本的破壞者的口令術語“黑客hacker，也叫計算機迷并不是一個貶義詞。確切地說，它是指那些固執(zhí)的、試圖破壞事物、弄清它們工作原理的人。只有惡意的破壞行為才被稱作破壞者vandal破壞者出于種種原因希望訪問你的系統(tǒng)僅僅為了好玩瀏覽觀光偷竊計算機資源竊取商業(yè)秘密或其它有價值的信息破壞者的口令續(xù)1多數(shù)情況下，破壞者最需要的信息是文件/etc/passwd。當破壞者擁有有效用戶的帳戶名列表時，創(chuàng)立猜測口

46、令的程序就很簡單了。但許多現(xiàn)代注冊程序在注冊提示之間包含一個時間延遲，隨著每一次不成功的注冊嘗試，該延遲變得越來越長；它也會包含程序代碼在記錄了太多的不成功的嘗試情況下取消訪問端口使用/etc/shadow或保護口令數(shù)據(jù)庫，因為這些文件和目錄要求根訪問來瀏覽它們，這使得破壞者要獲取加密口令信息更加困難C2平安性和TCB可信任計算根底TCB是C2級Unix系統(tǒng)的平安系統(tǒng)的一局部，它為系統(tǒng)的操作和管理增添了明顯的復雜性將/etc/passwd文件的位移到其它地方，并為原始信息增加附加信息，組成可信任計算根底數(shù)據(jù)庫文件分散在幾個不同的目錄等級結構中但編輯這些文件會導致對你的系統(tǒng)的嚴重損害在一個使用T

47、CB的系統(tǒng)上，“*被放置于/etc/passwd的口令域，這是因為實際的用戶口令是和可信任計算根底中的其它用戶信息一起存儲的。使用TCB并不改變系統(tǒng)的操作。在一些Unix版本比方XCO Unix中，即使沒有使用C2平安性，TCB仍然用于提供平安效勞C2平安性和TCB續(xù)1TCB共6個組件。當引用TCB時，指的是所有組件而不是任何一個單個組件一個TCB由包含Unix核心和維護TCB的實用程序的軟件的集合組成實用程序包括用于驗證和改正口令數(shù)據(jù)庫中問題的authck，和驗證系統(tǒng)文件的準確性的integrityTCB實現(xiàn)了系統(tǒng)的平安策略，該策略是一個控制主題subject，如進程和對象Object，如文

48、件、設備和過程中通訊對象之間的的操作規(guī)那么的集合 C2平安性和TCB續(xù)2只有當一個動作可被追溯至個人時，才可定義該動作的可說明性accountability傳統(tǒng)的Unix系統(tǒng)上，不止一個人知道根口令，動作要追溯至任何個人至少是困難。像cron和lp這樣的偽帳戶是匿名運行，它們的行為只有當系統(tǒng)信息被改變之后才可能被追蹤在可信任的Unix系統(tǒng)中得到了修正，每個帳戶都與一個真實的用戶聯(lián)系在一起，每個動作都是經(jīng)過審核的，并且每個動作都與某個特定的用戶相聯(lián)系C2平安性和TCB續(xù)2傳統(tǒng)Unix幾乎不進行識別和身份驗證Identification and Authentication，I&A傳統(tǒng)的Unix用

49、戶通過提供注冊名和口令的組合來注冊，通過搜索文件/etc/passwd來確認有效的在一個可信任系統(tǒng)中，使用一些附加的規(guī)那么來改進標準的IA技術，如創(chuàng)立了一些新的修改和產(chǎn)生口令的過程，對口令數(shù)據(jù)庫的各個局部提供了更好的保護C2平安性和TCB續(xù)3下面的例子描述了一個SCO系統(tǒng)上的TCB中的典型用戶項，詳細提供了一個特定用戶的信息，而且該信息永遠不應該被手工編輯。例子如下：chare:u_name=chare: # Actual user name : u_id#1003: # User ID:u_pwd=MWUNe/91rPqck: # Encrypted password:u_type=gene

50、ral: # User Type:u_succhg#743505937: # Last Successful Password Change:u_unsucchg#743503114: # Last Unsuccessful Password Change:u_pswduser = chare: #:u_suclog#747033753: # Last successful login:u_suctty=tty02: # Last successful login on tty:u_unsuclog#747150039: # Last unsuccessful login:u_unsuctty

51、=tty04: # Last unsuccessful login on tty:u_numunsuclog#1: # Number of unsuccessful logins:u_lock : # Lock Status:chkent: #C2平安性和TCB續(xù)4上述例子在工程中用“插入了注釋。它說明在TCB中事實上也追蹤了其它信息，并不是所有的信息，而只是包含在一個文件中的內容。對每一個用戶來說，以用戶名命名的文件被存儲起來，并且包含上例中所描述的信息項u_succhg顯示值為743505937，這是Unix追蹤的時間。該值是從1970年1月1日開始計算的秒數(shù)。該值可以提供給Unix核心中

52、的一個將其轉換為實際的日期和時間的函數(shù)C2平安性和TCB續(xù)5傳統(tǒng)的Unix系統(tǒng)保存了有關系統(tǒng)活動的有限的信息，在某些情況下，只有當它們被這樣配置時它們才這么做在可信任的Unix中，審核是保證動作與特定用戶相聯(lián)系的主要特征。審核系統(tǒng)為每個動作編寫一系列的記錄，以產(chǎn)生有關系統(tǒng)上發(fā)生的事件審核蹤跡trail。該審核蹤跡由每個主題和對象之間的動作組成，這些動作是關于對象訪問、對主題和對象的修改，以及系統(tǒng)特征的理解網(wǎng)絡等價兩種主要的網(wǎng)絡等價類型是可信任主機訪問和可信任用戶訪問，也就是說主機等價和用戶等價主機等價host equivalency或可信任訪問trusted access，使系統(tǒng)用戶不使用注冊

53、名和口令就能夠訪問他們在遠程系統(tǒng)上的帳戶通過使用文件/etc/hosts.equiv，系統(tǒng)管理員可以列出所有可信任的系統(tǒng)如果某機器項沒有標識任何用戶名，那么所有的用戶都是可信任的如果系統(tǒng)管理員沒有對所有用戶指定某臺機器，那么每個用戶都可以使用他們主目錄中的.rhosts文件，將他們要對其進行可信任訪問的機器列出理解網(wǎng)絡等價續(xù)1文件hosts.equiv的每一項都是可信任的，這意味著某個特定的機器上的用戶可以不使用口令訪問在本地機器上的等價帳戶。這對根是不適用的，對于根和那些希望提供訪問不包含在系統(tǒng)列表中的系統(tǒng)的用戶，要求使用用戶主目錄中的.rhosts文件請看下面的例子文件/etc/hosts

54、.equiv#cat /etc/hosts.equiv#例子中工程能使這些機器上的任何用戶使用相同的帳戶注冊到本地系統(tǒng)，而不使用口令理解網(wǎng)絡等價續(xù)2 但是，如下例列出該文件中的帳戶名是可能的# cat/etc/hosts.equiv andrewg#上例中系統(tǒng)andrewg可以使用除root之外的任何的用戶名注冊到本地系統(tǒng)。當andrewg的帳戶可能被損害時，將產(chǎn)生一個潛在的問題，破壞者可以從那臺機器訪問本地系統(tǒng)。因此，使用/etc/hosts.equiv的用戶名和.rhosts文件是令人沮喪的理解網(wǎng)絡等價續(xù)3有關主機等價的平安問題包括根等價和文件許可權限。允許系統(tǒng)間的根等價是很危險的，雖然使

55、用根等價更容易完成任務，但也使得破壞網(wǎng)絡的行為更容易發(fā)生。如果一個與其它節(jié)點擁有根等價的節(jié)點的平安受到損害，破壞者只需幾秒鐘就可對此進行確定并訪問其它機器。因此建議不要在網(wǎng)絡環(huán)境中允許根等價理解網(wǎng)絡等價續(xù)4另一個問題是網(wǎng)絡訪問文件/etc/hosts.equiv和.rhosts的許可的權限。/etc/hosts.equiv文件必須只有根可寫，盡管其它用戶可以閱讀該文件。rhosts文件必須只有文件擁有者才可寫使用.rhosts和/etc/host.equiv文件的一些Berkeley r-命令實現(xiàn)檢查它們的許可權限，如果許可權限設置不當就拒絕使用它們?？删帉懸粋€外殼程序查找不適當授權的文件.r

56、hosts理解網(wǎng)絡等價續(xù)5用戶等價：可信任用戶訪問比較容易配置，但是如果它是在配置用戶列表之后安裝的，配置起來可能就非常困難用戶等價與可信任主機訪問完全不同，是通過給予網(wǎng)絡中每個用戶不僅僅是機器一個唯一的用戶名和數(shù)值UIDUser ID來配置的。這意味著在每臺機器上的用戶都有一個使用相同UID的帳戶。換句話說，網(wǎng)絡中機器上的所有/.etc/passwd和/etc/group文件都是相同的網(wǎng)絡文件系統(tǒng)Network File System, NFS必須使用用戶等價防止訪問問題理解網(wǎng)絡等價續(xù)6在網(wǎng)絡中不使用用戶等價而允許對文件系統(tǒng)的數(shù)據(jù)的非授權訪問，就會將它們置于一種危險的境地如書中用戶列表中的用

57、戶janicec和terrih都擁有唯一的用戶名，但是它們的UID號碼并不唯一如果janicec在上擁有帳戶，terrih在上擁有帳戶terrih在其上擁有帳戶的文件系統(tǒng)是運行在上用戶的輸出文件系統(tǒng)的一局部。當janicec訪問terrih目錄中的文件并將它們列出時，ls -l命令就將janicec作為文件的擁有者列出，因為UID號碼是相同的。這意味著，janicec可以刪除和修改那些文件中的信息，即使不是文件擁有者。用戶名不同沒有關系，NFS和用戶等價的關鍵是UID定義用戶和組從有關網(wǎng)絡等價的討論可以看出，可預先考慮如何處理在網(wǎng)絡中增加用戶的問題。那種/etc/passwd和/etc/gro

58、up文件在所有系統(tǒng)中都是一樣的說法是精確的，但分配UID號碼和保證其唯一性的策略更是一個問題完成這項工作有許多種方式?？梢园错樞蚪o它們賦值，分配號碼塊給部門或用戶類別，或者分配號碼塊給辦公室。不管用哪種方法，重要的是應該增加用戶的標準理解許可權限Unix對每個文件的許可權限決定了如何控制對文件和目錄的訪問檢查標準的許可權限應用于一個文件的許可權限是基于標記于該文件的UID和GIDGroup ID，以及試圖訪問該文件的用戶的UID或GID。3組許可權限如下該文件的擁有者擁有與該文件相同的GID的用戶其它所有用戶理解許可權限續(xù)1對于每類用戶來說，有三個許可權限位：讀、寫和執(zhí)行。這就是說，每個文件或

59、目錄有9個許可權限位。下面的例子：$ Is -I output-rw-r- -r- -1 chare users 233 Aug 24 20:13 output$在上例的輸出中，許可權限為-rw-r- -r-第一個連字符代表文件類型，其余字符代表許可權限在許可權限中，符號r、w和x分別表示讀、寫和執(zhí)行許可權限。讀許可權限指請求的用戶可以瀏覽文件或目錄的內容。寫許可權限授予用戶修改文件或目錄中創(chuàng)立新文件的權利。最后，執(zhí)行許可權限允許像命令一樣執(zhí)行該文件理解許可權限續(xù)2root和NFS當考慮到根時候，會想到對文件、目錄、程序和系統(tǒng)設備的不加控制的訪問。但是，當根試圖通過NFS訪問遠程系統(tǒng)上的文件時

60、，根用戶擁有極少或根本就沒有許可權限。這是由于NFS的內置的平安特征。這種平安特征查找值為0的UID，當它發(fā)現(xiàn)該值時，它就知道這是根。然后就將該UID值重新映射為35534或-2，這意味著，在NFS上根無法訪問其它類型的用戶這種特征的優(yōu)點是，如果沒有網(wǎng)絡機器之間的根等價，當其中一個受到了損害后，破壞者將更難涉及到文件系統(tǒng)數(shù)據(jù)加密方法信息加密為系統(tǒng)及其數(shù)據(jù)提供更高級別的平安性，但如果不對用戶進行適當?shù)谋O(jiān)控和培訓，即使是加密了的數(shù)據(jù)仍然存在危險從平安角度出發(fā)，用戶和系統(tǒng)管理員，常常采用以下二種加密方法對口令加密從前口令以純文本格式存儲，而且只有管理員和系統(tǒng)軟件可以訪問該文件。口令文件/etc/pa