3安全等级与标准说课.ppt

安全等级与标准 张伟 南京邮电大学 计算机学院 Email:1999zhangwei@163.com 国际安全标准 美国TCSEC（橙皮书，重点介绍） 欧洲ITSEC 加拿大CTCPEC 美国联邦准则FC 联合公共准则CC 英国标准7799（BS7799） ISO7799 国际安全标准的衍生关系 1985年美国可信计算机系统评价标准TCSEC 1990年欧洲信息技术评估准则ITSEC 1990年加拿大可信计算机产品评估标准CTCPEC 1991年美国联邦准则FC 1995年英国BS7799 2000年ISO7799 1995年联合公共准则CC 1999年CC成为国际标准 1.7 国际安全评价标准 1.7.1 TCSEC标准 Trusted Computer System Evaluation Criteria 1985年美国国防部制定的安全标准 俗称橙皮书 可信计算机基础TCB（Trusted Computer Base） 为计算机安全产品的评测提供了测试和方法，指导信息安全产品的制造和应用 TCSEC五要素 安全策略 可审计机制 可操作性 生命期保证 建立并维护系统安全的相关文件 TCSEC的四个安全等级 D：最低保护 C：被动的自主访问策略 B：被动的强制访问策略 A：形式化证明的安全 D级安全级别 最低保护（Minimal Protection），指未加任何实际的安全措施，D1级最低。D1系统只为文件和用户提供安全保护。D1系统最普遍的形式是本地操作系统，或一个完全没有保护的网络，如DOS被定义为D1级 C级安全级别 被动的自主访问策略（Discretionary Access Policy Enforced），提供审慎的保护，并为用户的行动和责任提供审计能力，由二个级别组成 C1：具有一定的自主型存取控制（DAC）机制，通过将用户和数据分开达到安全的目的 C2：具有更细分的自主型存取控制（DAC）机制，且引入了审计机制。在连接到网络时，C2系统的用户分别对各自的行为负责。C2系统具有C1系统中所有的安全特征 B级安全级别 被动的强制访问策略（Mandatory Access Policy Enforced）。由三个级别组成:B1、B2和B3级 Ｂ级系统具有强制性保护功能，目前较少操作系统能够符合Ｂ级标准 B1~B3级 B1：满足C2级所有的安全要求，且需具有所有安全策略模型的非形式化描述，实施了强制存取控制（MAC） B2：系统的TCB是基于明确定义的形式化模型，并对系统中所有的主体和客体实施了自主型存取控制（DAC）和强制型存取控制（MAC） B3：系统的TCP设计要满足能对系统中所有的主体对客体的访问进行控制，TCB不会被非法篡改 A级安全级别 形式化证明的安全（Formally Proven Security） 最高安全级别，只包含一个安全级别A1 A1：类同与B3级，它的特色在于形式化的顶层设计规格FTDS（Formal Top Level Design Specification）、形式化验证FTDS与形式化的一致性和由此带来的更高的可信度 类 别 级 别 名 称 主 要 特 征 D D 低级保护 没有安全保护 C C1 自主安全保护 自主存储控制 C2 受控存储控制 单独的可查性，安全标识 B B1 标识的安全保护 强制存取控制，安全标识 B2 结构化保护 面向安全的体系结构，较好的抗渗透能力 B3 安全区域 存取监控、高抗渗透能力 A A 验证设计 形式化的最高级描述和验证 D级是最低的安全级别，拥有这个级别的操作系统就像一个门户大开的房子，任何人都可以自由进出，是完全不可信任的。对于硬件来说，没有任何保护措施，操作系统容易受到损害，没有系统访问限制和数据访问限制，任何人不需任何账户都可以进入系统，不受任何限制可以访问他人的数据文件。属于这个级别的操作系统有DOS和Windows 98等。 C1是C类的一个安全子级。C1又称选择性安全保护（Discretionary Security Protection）系统，它描述了一个典型的用在UNIX系统上安全级别。这种级别的系统对硬件又有某种程度的保护，如用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。 用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性，从而对不同的用户授予不通的访问权限。 C2级除了包含C1级的特征外，应该具有访问控制环境（Controlled Access Environment）权力。该环境具有进一步限制用户执行某些命令或者访问某些文件的权限，而且还加入了身份认证等级。 另外，系统对发