信息安全体系结构安全评估.ppt

第6章 安全评估 安全保护等级划分准则 IT 安全性评估准则 6.1 安全保护等级划分准则 国家标准GB17859-1999《计算机信息系统安全保护等级划分准则》是中国计算机信息系统安全等级保护系列标准的核心，是实行计算机信息系统安全等级保护制度建设的重要基础，也是信息安全评估和管理的重要基础。 准则于1999年9月13日经国家质量技术监督局发布，并于2001年1月1日起实施。 本标准主要有三个目的: 为计算机信息系统安全法规的制定和执法部门的监督检查提供依据; 为安全产品的研制提供技术支持; 为安全系统的建设和管理提供技术指导。 6.1 安全保护等级划分准则 标准规定了计算机系统安全保护能力的五个等级 第一级：用户自主保护级 第二级：系统审计保护级 第三级：安全标记保护级 第四级：结构化保护级 第五级：访问验证保护级 一些定义 计算机信息系统 计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 计算机信息系统可信计算基 trusted computing base of computer information system 计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。 一些定义 客体 object：信息的载体。 主体 subject ：引起信息在客体之间流动的人、进程或设备等。 敏感标记 sensitivity label ：表示客体安全级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访问控制决策的依据。 安全策略 security policy ：有关管理、保护和发布敏感信息的法律、规定和实施细则。 信道 channel ：系统内的信息传输路径。 隐蔽信道 covert channel ：允许进程以危害系统安全策略的方式传输信息的通信信道。 访问监控器 reference monitor ：监控器主体和客体之间授权访问关系的部件。 6.1.1 第一级：用户自主保护级 可信计算基通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。 自主访问控制 可信计算基定义和控制系统中命名用户对命名客体的访问。 实施机制（例如：访问控制表）允许命名用户以用户和（或）用户组的身份规定并控制客体的访问；阻止非授权用户读取敏感信息。 身份鉴别 可信计算基初始执行时，首先要求用户标识自己的身份，并使用保护机制（例如：口令）来鉴别用户的身份，阻止非授权用户访问用户身份鉴别数据。 数据完整性 可信计算基通过自主完整性策略，阻止非授权用户修改或破坏敏感信息。 6.1.2 第二级：系统审计保护级 与用户自主保护级相比，本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。 自主访问控制 访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。 身份鉴别 可信计算基初始执行时，首先要求用户标识自己的身份，并使用保护机制（例如：口令）来鉴别用户的身份；阻止非授权用户访问用户身份鉴别数据。 通过为用户提供唯一标识、可信计算基能够使用户对自己的行为负责。 可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力。 客体重用 在可信计算基的空闲存储客体空间中，对客体初始指定、分配或再分配一个主体之前，撤销该客体所含信息的所有授权。 当主体获得对一个已被释放的客体的访问权时，当前主体不能获得原主体活动所产生的任何信息。 审计 可信计算基能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。 数据完整性 可信计算基通过自主完整性策略，阻止非授权用户修改或破坏敏感信息。 6.1.3 第三级：安全标记保护级 可信计算基具有系统审计保护级所有功能。此外，还提供 有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述； 具有准确地标记输出信息的能力； 消除通过测试发现的任何错误。  自主访问控制 可信计算基定义和控制系统中命名用户对命名客体的访问。 实施机制（例如：访问控制表）允许命名用户以用户和（或）用户组的身份规定并控制客体的共享；阻止非授权用户读取敏感信息，并控制访问权限扩散。 自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。 访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。阻止非授权用户读取敏感信息。 强制访问控