信息安全原理》-第10章信息系统安全等级与.ppt

第10章 信息系统安全等级与标准,10.1 国际安全评价标准概述 10.2 中国信息安全等级保护准则 习 题,安全需求与安全代价，总是安全问题上相互对立的统 一体。对于信息技术、信息系统和信息产品的安全等级进 行评价，将会使生产者和用户在这两个方面容易找到一个 科学的折中。因此，建立完善的信息技术安全的测评标准 与认证体系，规范信息技术产品和系统的安全特性，是实 现信息安全保障的一种有效措施。它有助于建立起科学的 安全产品生产体系、服务体系。,10.1 国际安全评价标准概述,10.1.1 DoD5200.28-M和TCSEC 10.1.2 欧共体信息技术安全评价准则ITSEC 10.1.3 加拿大可信计算机产品安全评价准则CTCPEC 10.1.4 美国信息技术安全评价联邦准则FC 10.1.5 国际通用准则CC,第一个有关信息技术安全的标准是美国国防部于1985 年提出的可信计算机系统评价准则TCSEC，又称桔皮书。 以后，许多国家和国际组织也相继提出了新的安全评价准 则。图10.1所示为国际主要信息技术安全测评标准的发展 及其联系。,图10.1 国际主要信息技术安全测评标准的发展及其联系,在信息安全等级标准中，一个非常重要的概念是可信 计算基（Trusted Computer Base，TCB）。TCB是计算机 系统内保护装置的总体，包括硬件、固件和软件。它们根 据安全策略来处理主体（系统管理员、安全管理员、用户、 进程）对客体（进程、文件、记录、设备等）的访问。 TCB还具有抗篡改的性能和易于分析与测试的结构。,10.1.1 DoD5200.28-M和TCSEC 1. DoD5200.28-M 世界上最早的计算机系统安全标准应当是美国国防部 1979年6月25日发布的军标DoD5200.28-M。它为计算机系 统定义了4种不同的运行模式。 （1）受控的安全模式：系统用户对系统的机密材料的 访问控制没有在操作系统中实现，安全的实现可以通过空 子用户对机器的操作权等管理措施实现。,（2）自主安全模式：计算机系统和外围设备可以在指 定用户或用户群的控制下工作，该类用户了解并可自主地 设置机密材料的类型与安全级别。 （3）多级安全模式：系统允许不同级别和类型的机密 资料并存和并发处理，并且有选择地许可不同的用户对存 储数据进行访问。用户与数据的隔离控制由操作系统和相 关系统软件实现。 （4）强安全模式：所有系统部件依照最高级别类型得 到保护，所有系统用户必须有一个安全策略；系统的控制 操作对用户透明，由系统实现对机密材料的并发控制。,2. TCSEC TCSEC是计算机系统安全评价的第一个正式标准，于 1970年由美国国防科学技术委员会提出，于1985年12月由 美国国防部公布。 TCSEC把计算机系统的安全分为4等7级： （1）D等（含1级） D1级系统：最低级。只为文件和用户提供安全保护。,（2）C等（含2级） C1级系统：可信任计算基TCB（Trusted Computing Base）通过用户和数据分开来达到安全目的，使所有的用 户都以同样的灵敏度处理数据（可认为所有文档有相同机 密性） C2级系统：在C1基础上，通过登录、安全事件和资源 隔离增强可调的审慎控制。在连接到网上时，用户分别对 自己的行为负责。,（3）B等（含3级） B级具有强制性保护功能。强制性意味着在没有与安全 等级相连的情况下，系统就不会让用户寸取对象。 （a）B1级系统： 对每个对象都进行灵敏度标记，导入非标记对象前 要先标记它们； 用灵敏度标记作为强制访问控制的基础； 灵敏度标记必须准确地表示其所联系的对象的安全 级别； 系统必须使用用户口令或身份认证来决定用户的安 全访问级别； 系统必须通过审计来记录未授权访问的企图。,（b）B2级系统： 必须符合B1级系统的所有要求； 系统管理员必须使用一个明确的、文档化的安全策 略模式作为系统可信任运算基础体制；可信任运算基础体 制能够支持独立的操作者和管理员； 只有用户能够在可信任通信路径中进行初始化通信； 所有与用户相关的网络连接的改变必须通知所有的 用户。,（c）B3级系统具有很强的监视委托管理访问能力和抗 干扰能力。要求： 必须符合B2系统所有安全需求； 必须设有安全管理员； 除控制个别对象的访问外，必须产生一个可读的安 全列表；每个被命名的对象提供对该对象没有访问的用户 列表说明； 系统验证每一个用户身份，并会发送一个取消访问 的审计跟踪消息； 设计者必须正确区分可信任路径和其他路径； 可信任的通信基础体制为每一个被命名的对象建立 安全审计跟踪； 可信任的运算基础体制支持独立的安全管理。,（4）A等（只含1级）最高安全级别 A1级与B3级相似，对系统的结构和策略不作特别要求， 而系统的设计者必须按照一个正式的设计规范进行系统分 析；分析后必须用核对技术确保系统符合设计规范。A1系 统必须满足： 系统管理员必须接收到开发者提供的安全策略正式模 型； 所有的安装操作都必须由系统管理员进行； 系统管理员进行的每一步安装操作必须有正式的文档。 TCSEC的初衷主要是针对集中式计算的分时多用户操作 系统。后来又针对网络（分布式）和数据库管理系统（C/S 结构）补充了一些附加说明和解释，典型的有可信计算机 网络系统说明（NCSC-TG-005）和可信数据库管理系统解释 等。,10.1.2 欧共体信息技术安全评价准则ITSEC ITSEC是欧共体于1991年发布的，它是欧洲多国安全评 价方法的综合产物，应用领域为军队、政府和商业。该标 准将安全的概念分为功能和评估两部分。 1. 功能准则 分为10级：F1F10： F1F5对应TCSEC的DA； F6F10对应数据和程序的完整性，系统的可用性，数 据通信的完整性、保密性。 2. 评估准则 分为6级，分别是测试、配置控制和可控的分配、详细 设计和编码、详细的脆弱性分析、设计于源代码明显对应 以及设计与源代码在形式上的一致。,10.1.3 加拿大可信计算机产品安全评价准则CTCPEC CTCPEC是加拿大于1993年发布的。它综合了TCSEC和 ITSEC两个准则的优点，专门针对政府需求设计。它将安全 分为功能性需求和保证性需求两部分。功能性需求分为4大 类： 机密性； 可用性； 完整性； 可控性。 每一种安全需求又分为一些小类（分级条数05），以 表示安全性上的差别。,10.1.4 美国信息技术安全评价联邦准则FC FC也是吸收了TCSEC和ITSEC两个准则的优点于1993年发 布的。它引入了“保护轮廓（PP）”的概念。每个轮廓都包括 功能、开发保证和评价三部分，在美国政府、民间和商业 上应用很广。,10.1.5 国际通用准则CC 1993年6月，欧、美、加等有关6国，将各自独立的准则 集合成一系列单一的、能被广泛接受的IT安全准则通 用准则CC，将CC提交给ISO，并于1996年颁布了1.0版。 1999年12月ISO正式将CC 2.0（1998年颁布）作为国际标准 ISO 15408发布。 CC的主要思想和框架都取自ITSEC和FC，并突出了“保护 轮廓”的概念。它将评估过程分为安全保证和安全功能两部 分。安全保证要求为7个评估保证级别：,EAL1：功能测试 EAL2：结构测试 EAL3：系统测试和检查 EAL4：系统设计、测试和复查 EAL5：半形式化设计和测试 EAL6：半形式化验证的设计和测试 EAL7：集成化验证的设计和测试 表10.1为CC、TCSEC、ITSEC标准之间的对应关系。,表10.1 CC、TCSEC、ITSEC标准之间的对应关系,CC目前已经发布了如下的版本： 1996年6月发布CC第1版； 1998年5月发布CC第2版； 1999年10月发布CC第2.1版，并成为ISO标准。,10.2 中国信息安全等级保护准则,10.2.1 第一级：用户自主保护级 10.2.2 第二级：系统审计保护级 10.2.3 第三级：安全标记保护级 10.2.4 第四级：结构化保护级 10.2.5 第五级：访问验证保护级 习 题,中国已经发布实施计算机信息系统安全保护等级划分 准则GB17859-1999。这是一部强制性国家标准，也是一 种技术法规。它是在参考了DoD 5200.28-STD和NCSC-TC- 005的基础上，从自主访问控制、强制访问控制、标记、身 份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、 可信路径和可恢复等10个方面将计算机信息系统安全保护 等级划分为5个级别的安全保护能力：,第一级：用户自主保护级； 第二级：系统审计保护级； 第三级：安全标记保护级； 第四级：结构化保护级； 第五级：访问验证保护级。 计算机信息系统的安全保护能力随着安全保护等级的增 高而增强。 在信息安全等级标准中，各等级之间的差异在于TCB的 构造不同以及其所具有的安全保护能力的不同。下面介绍 各等级的基本内容。,10.2.1 第一级：用户自主保护级 本级的可信计算基通过隔离用户与数据，使用户具备自 主安全保护的能力。它具有多种形式的控制能力，对用户 实施访问控制，即为用户提供可行的手段，保护用户和用 户组信息，避免其他用户对数据的非法读写与破坏。 （1）自主访问控制： 可信计算基定义系统中的用户和命名用户对命名客体的 访问，并允许命名用户以自己的身份和（或）用户组的身 份指定并控制对客体的访问；阻止非授权用户读取敏感信 息。,（2）身份鉴别： 从用户的角度看，可信计算基的责任就是进行身份鉴别。 在系统初始化时，首先要求用户标识自己的身份，并使用 保护机制（例如：口令）来鉴别用户的身份，阻止非授权 用户访问用户身份鉴别数据。 （3）数据完整性：可信计算基通过自主完整性策略，阻 止非授权用户修改或破坏敏感信息。,10.2.2 第二级：系统审计保护级 这一级除具备第一级所有的安全功能外，要求创建和维 护访问的审计跟踪记录，使所有用户对自己的合法性行为 负责。具体保护能力如下。 （1）自主访问控制：可信计算基定义实施的访问控制 的粒度是单个用户。没有存取权的用户只允许由授权用户 指定对客体的访问权。 （2）身份鉴别比用户自主保护级增加两点： 通过为用户提供惟一标识，可信计算基使用户对自己 的行为负责。 具备将身份标识与该用户所有可审计行为相关联的能 力。,（3）客体重用： 在可信计算基的空闲存储客体空间中，对客体初始指定、 分配或再分配一个主体之前，撤销该客体所含信息的所有 授权。当主体获得对一个已被释放的客体的访问权时，当 前主体不能获得原主体活动所产生的任何信息。 （4）审计： 在可信计算基能创建和维护受保护客体的访问审计跟踪 记录，并能阻止非授权的用户对它访问或破坏。,可信计算基能记录下述事件：使用身份鉴别机制；将客 体引入用户地址空间（例如：打开文件、程序初始化）； 删除客体；由操作员、系统管理员或（和）系统安全管理 员实施的动作，以及其他与系统安全有关的事件。对于每 一事件，其审计记录包括：事件的日期和时间、用户、事 件类型、事件是否成功。对于身份鉴别事件，审计记录包 含请求的来源（例如：终端标识符）；对于客体引入用户 地址空间的事件及客体删除事件，审计记录包含客体名。 对不能由可信计算基独立分辨的审计事件，审计机制提供 审计记录接口，可由授权主体调用。这些审计记录区别于 计算机信息系统可信计算基独立分辨的审计记录。 （5）数据完整性：可信计算基通过自主完整性策略， 阻止非授权用户修改或破坏敏感信息。,10.2.3 第三级：安全标记保护级 本级的可信计算基具有系统审计保护级的所有功能。此 外，还需以访问对象的安全级别限制访问者的访问权限， 实现对访问对象的强制访问。为此需要提供有关安全策略 模型、数据标记以及主体对客体强制访问控制的非形式化 描述，具有准确地标记输出信息的能力，消除测试发现的 任何错误。 （1）自主访问控制：同系统审计保护级。 （2）强制访问控制：,可信计算基对所有主体及其控制的客体（例如：进程、 文件、段、设备）实施强制访问控制。通过敏感标记为这 些主体及客体指定安全等级。安全等级用二维组表示：第 一维是等级分类（如秘密、机密、绝密等），第二维是范 畴（如适用范畴）。它们是实施强制访问控制的依据。可 信计算基支持两种或两种以上成分组成的安全级。可信计 算基控制的所有主体对客体等级分类的访问：, 仅当主体安全级中的等级分类高于或等于客体安全级 中的等级分类，且主体安全级中的非等级类别包含了客体 安全级中的全部非等级类别，主体才能读客体； 仅当主体安全级中的等级分类低于或等于客体安全级 中的等级分类，且主体安全级中的非等级类别包含了客体 安全级中的全部非等级类别，主体才能写一个客体。 可信计算基使用身份和鉴别数据，鉴别用户的身份，并 保证用户创建的可信计算基外部主体的安全级和授权受该 用户的安全级和授权的控制。,（3）敏感标记： 敏感标记是实施强制访问的基础。可信计算基应明确规 定需要标记的客体（例如：进程、文件、段、设备），明 确定义标记的粒度（如文件级、字段级等），并必须使其 主要数据结构具有相关的敏感标记。为了输入未加安全标 记的数据，可信计算基向授权用户要求并接受这些数据的 安全级别，且可由计算机信息系统可信计算基审计。 （4）身份鉴别； 可信计算基初始执行时，首先要求用户标识自己的身份， 而且，可信计算基维护用户身份识别数据并确定用户访问 权及授权数据。其他同系统审计保护级。,（5）客体重用； 在统可信计算基的空闲存储客体空间中，对客体初始指 定、分配或再分配一个主体之前，撤销客体所含信息的所 有授权。当主体获得对一个已被释放的客体的访问权时， 前主体不能获得原主体活动所产生的任何信息。,（6）审计 可信计算基能创建和维护受保护客体的访问审计跟踪记 录，并能阻止非授权的用户对它访问或保护。可信计算基 能记录下述事件：使用身份鉴别机制；将客体引入用户地 址空间（例如：打开文件、程序初始化）；删除客体；由 操作员、系统管理员或（和）系统安全管理员实施的动作， 以及其他与系统安全有关的事件。对于每一事件，其审计 记录包括：事件的日期和时间、用户、事件类型、事件是 否成功。对于身份鉴别的事件，审计记录包含请求的来源 （例如：终端标识符）对于客体引入用户地址空间的事件 及客体删除事件，审计记录包含客体名及客体的安全级别。 此外，可信计算基具有审计更改可读输出记号的能力。 对不能由可信计算基独立分辨的审计事件，审计机制提供 审计记录接口，可由授权主体调用。这些审计记录区别于 可信计算基独立分辨的审计记录。,（7）数据完整性 可信计算基通过自主和强制完整性策略，阻止非授权用 户修改或破坏敏感信息。在网络环境中，使用完整性敏感 标记来确保信息在传送中未受损。,10.2.4 第四级：结构化保护级 本级的计算机信息系统可信计算基建立于一个明确定义 的形式化安全策略模型之上，将它要求第三级系统中的自 主和强制访问控制扩展到所以主体与客体。此外，还要考 虑隐蔽信道。本级的可信计算基必须结构化为关键保护元 素和非关键保护元素；可信计算基的接口也必须明确定义， 使其设计与实现能经受更充分的测试和更完整的复审；加 强了鉴别机制；支持系统管理员和操作员的职能；提供可 信设施管理；增强了配置管理控制。系统具有相当的抗渗 透能力。,安全标记保护级相比，起主要特征有： （1）可信计算基基于一个明确定义的形式化安全保护 策略。 （2）将第三级实施的（自主或强制）访问控制扩展到 所有主体和客体。即在自主访问控制方面，可信计算基应 维护由外部主体能够直接或间接访问的所有资源（例如： 主体、存储客体和输入输出资源）实施强制访问控制，为 这些主体及客体指定敏感标记，这些标记是等级分类和非 等级类别的组合，他们是实施强制访问控制的依据。,（3）审计方面： 计算机信息系统可信计算基能记录下述事件：使用身 份鉴别机制；将客体引入用户地址空间（例如：打开文件、 程序初始化）；删除客体；由操作员、系统管理员或（和） 系统安全管理员实施的动作，以及其他与系统安全有关的 事件。对于每一事件，其审计记录包括：事件的日期和时 间、用户、事件类型、事件是否成功。对于身份鉴别事件， 审计记录包含请求的来源（例如：终端标识符）；对于客 体引入用户地址空间的事件及客体删除事件，审计记录包 含客体名及客体的安全级别。此外，计算机信息系统可信 计算基具有审计更改可读输出记号的能力。, 对不能由计算机信息系统可信计算基独立分辨的审计 事件，审计机制提供审计记录接口，可由授权主体调用这 些审计记录区别于计算机信息系统可信计算基独立分辨的 审计记录。 计算机信息系统可信计算基能够审计利用隐蔽存储信 道时可能被使用的事件。 （4）数据完整性： 计算机信息系统可信计算基通过自主和强制完整性策略， 阻止非授权用户修改或破坏敏感信息。在网络环境中，使 用完整性敏感标记来确保信息在传送中未受损。,（5）隐蔽信道分析： 系统开发者应彻底搜索隐蔽存储信道，并根据实际测量 或工程估算确定每一个被标识信道的最大带宽。 （6）可信路径： 对用户的初始登录和鉴别，计算机信息系统可信计算基 在它与用户之间提供可信通信路径。该路径上的通信只能 由该用户初始化。,10.2.5 第五级：访问验证保护级 本级