课件：~安全性评估准则TCSEC.pptVIP

信息系统安全性评估 可信计算机系统评估准则 背景与目的 系统的安全性度量 可信计算机系统评价准则 操作系统的访问控制模型 计算机系统安全等级 背景资料 早在1967年美国国防科学委员会就提出计算机安全保护问题， 1970年美国国防部（DoD）在国家安全局（NSA）建立了一个计算机安全评估中心（NCSC），开始了计算机安全评估的理论与技术的研究。 计算机系统安全的核心问题是操作系统的安全问题，确认操作系统安全方面工作做的最多的组织是美国国防部（DoD），具体工作是美国国家计算机安全中心（NCSC）完成的。 1983年8月NCSC首先推出了DoD可信计算机系统安全评估准则（CSC-STD-001-83）。这套标准的文献名称是可信计算机系统评价准则（Trusted Computer System Evaluation Criteria — TCSEC)，该标准又称橘皮书。 1985年美国国防部正式采用该标准，并进行了修改与完善，作为美国国防部的标准。 TCSEC推出的目的 为制造商提供一个安全评估标准，作为检查与评价产品的依据。 为国防部各部门和用户，提供一种验收度量标准。 分析、研究和制定规范时，为安全方面的需求提供一种基础。 系统的安全性度量 安全性政策：必须有一项明确而确定的安全策略。 标识（ID）：必须唯一而可靠地标识每一个主体，以便能够控制主体对目标的访问请求； 标记（marking）：必须为每一个目标作一个标记，指明该客体的安全级别，以便每次对该目标进行访问时可以进行比较； 可检查性（accountability）：系统对影响安全的活动必须维持完全而安全的记录，以便事后查验。 保证措施：系统必须包含安全机制，必须能够评价这些机制的有效性。 连带的保护：安全机制本身必须受到保护，以防止未经授权的改变。 基本概念 安全性概念包括安全政策、策略模型、安全服务和安全机制等内容，其中安全政策是为了实现软件系统的安全而制定的有关管理、保护和发布敏感信息的规定与实施细则；策略模型是指实施安全策略的模型；安全服务则是指根据安全政策和安全模型提供的安全方面的服务；安全机制是实现安全服务的方法。 参照的安全模型 评估准则中采用的可信计算机系统的安全模型采用了由Roger Sehell提出的访问监控器概念。访问监控器映射计算机系统的可信计算基TCB，即安全核，它的作用是负责实施系统的安全策略，在主体与实体之间对所有的访问操作实施监控。 访问监控器支持的安全策略是由BLP模型所抽象形式化处理的DoD 的安全策略。该模型使用数学和集合论的工具精确地定义保密状态、基本的访问方式和为了授予主体对客体进行特殊访问所需要的规则，再用基本的安全理论去证明规则能够保证安全操作的。 可信计算基（TCB） 是实现访问监控器的机制。它可以是一个安全核、安全过滤器或整个可信计算机系统。 TCB支持安全策略 包括操作系统与安全相关的主要元素。 隐蔽信道。一个进程可以在不受安全策略控制下用一种秘密的方式与另一个进程通信。有两种类型的隐蔽信道： 存储信道：两个进程通过对某个或某些存储单元（或介质）读写方式传递信息。 时钟信道：一个进程通过执行与系统时钟有关的操作把不该泄漏的信息传递给另一个进程的信道。 例如，文件的读写属性可以作为存储信道； 按某种频率创建与删除一个文件可以形成一个时钟隐蔽信道。 隐蔽信道的最重要参数是带宽，可以传递的信息量。例如，如果以一个文件的存在与否作为隐蔽信道，那么该信道所能传递的信息量为1个比特。 时钟信道的信息量可以正比与CPU时钟。但时钟隐蔽信道很难检测。 消除隐蔽信道很困难，减少的代价也较高。通常认为低于1比特的隐蔽信道是可以接受的。 计算机安全等级 1、D安全级 最低安全级，没有任何安全措施，整个系统是不可信的 硬件无任何保障机制 操作系统容易受到侵害 无身份认证与访问控制 典型系统是MS-DOS 2、C1安全级——自主安全保护级 实现粗粒度的自主访问控制机制。 系统能把用户与数据隔离， TCB通过账户、口令去确认用户身份 硬件提供某种程度的保护机制 通过拥有者自定义和控制，防止自己的数据被别的用户破坏。 要求严格的测试和完善的文档资料。 这类系统适合于多个协作用户在同一个安全级上处理数据的工作环境。 3、C2安全级——可控安全保护级 C2级达到企业级安全要求。可作为最低军用安全级别 C2实现更细的可控自主访问控制，保护粒度要达到单个主体和客体一级； 要求消除残留信息泄露（内存、外存、寄存器）； 要求审计功能（与C1级的主要区别），审计粒度要能够跟踪每个主体对每个客体的每一次访问。对审计记录应该提供保护，防止非法修改。 C2安全级 比C1增加授权服务，还有防止访问权失控扩散的机制。 要求TCB必须保留在一特定区