第4章信息安全工程与等级保护导论.ppt

　　　　信息系统安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 　　信息系统安全等级保护的核心观念是保护重点、适度安全，即分级别、按需要重点保护重要信息系统，综合平衡安全成本和风险，提高保护成效。信息安全等级保护是国际通行的做法，其思想源头可以追溯到美国的军事保密制度。自20世纪60年代以来，这一思想不断发展，日益完善。　　等级保护原本是美军的文件保密制度，即著名的“多级安全”MLS(Multilevel Security)体系，即人员授权和文件都分为绝密、机密、秘密和公开4个从高到低的安全等级，低安全等级的操作人员不能获取高安全等级的文件。 　　20世纪60年代，正在大力进行信息化的美军发现，使用计算机系统无法实现这一真实世界中的体系，当不同安全等级的数据存放于同一个计算机系统中时，低密级的人员总能找到办法获取高密级的文件。原因在于计算机系统的分时性(Time-Sharing)，因为从计算角度来看，使用多道程序(Multi-Programming)意味着多个作业同时驻留在计算机的内存中，而从存储方面看，各用户的数据都存储在同一个计算机中，因此一个用户的作业有可能会读取其他用户的信息。 　　1970年，兰德公司W·威尔(W.Ware)指出，要把真实世界的等级保护体系映射到计算机中，在计算机系统中建立等级保护体系，必须重新设计现有的计算机系统。1973年，数学家D.E.Bell和L.J.LaPadula提出第一个形式化的安全模型—Bell-LaPadula模型(简称BLP模型)，从数学上证明在计算机中实现等级保护是可行的。基于BLP模型，美国霍尼韦尔(Honeywell)公司开发出了第一个完全符合BLP模型的安全信息系统—SCOMP多级保密系统。实践证明该系统可以建立起符合等级保护要求的工作环境。 　　自此以后，世界各国在信息安全等级保护方面开始投入巨大的精力，并对信息安全技术的发展产生了深远的影响。作为信息安全领域的重要内容之一，信息安全工程同样置于等级保护制度的指导之下。等级保护与信息安全的评估，以及建立在此基础上的信息安全测评认证制度密切相关。等级保护首先在信息安全的测评、评估方面得到了快速发展。 　　4.2.1　信息安全评估准则的发展　　1. 《可信计算机系统评估准则》TCSEC　　TCSEC是计算机系统安全评估的第一个正式标准，它的制定确立了计算机安全的概念，对其后的信息安全的发展具有划时代的意义。 该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部作为国防部标准(DoD5200.28)公布(由于采用了橘色封皮书，人们通常称其为“橘皮书”)。　　TCSEC将计算机系统的安全划分为4个等级、7个级别，如表4-1所示，由低到高分别为D、C1、C2、B1、B2、B3和A1。 　　表4-1　TCSEC的安全级别 随着安全等级的升高，系统要提供更多的安全功能，每个高等级的需求都是建立在低等级的需求基础上。在7个级别中，B1级与B1级以下的安全测评级别，其安全策略模型是非形式化定义的，从B2级开始，则为更加严格的形式化定义，甚至引用形式化验证方法。　　TCSEC最初只是军用标准，后来延至民用领域。第一个通过A1 级测评的信息系统是SCOMP，此后有数十个信息系统通过测评。通过这些信息系统的开发， 访问控制、身份鉴别、安全审计、可信路径、可信恢复和客体重用等安全机制的研究取得了巨大进展，结构化、层次化及信息隐藏等先进的软件工程设计理念也得到极大的推动，今天所使用的Windows、Linux、Oracle 与DB2等软件都从中受益。但当时也存在限制TCSEC及其测评产品发展的因素，例如：　　·美国对信息安全产品出口的限制影响了这些产品的市场拓展。 　　·?为了达到高安全目标，这些信息系统不得不在性能、兼容性和易用性等方面做出牺牲。　　·TCSEC自身不够完备，它主要是从主机的需求出发，不针对网络安全要求。　　尽管美国此后又推出了包括TCSEC 面向可信网络解释(TNI，Trusted Network Interpretation)、可信数据库解释(TDI，Trusted Database Interpretation)等30多个补充解释性文件，但仍不能很好地测评网络应用安全软件。此外，该标准偏重于测评安全功能，不重视安全保证。 　　2. 《信息技术安全评估准则》ITSEC　　1990年，由德国信息安全局(GISA，Germany Information Security Agency)发出号召，由英