网络与信息安全培训课件.pptVIP

对于可信路径功能要求如下：当与用户连接时（如注册、更改主体安全级），TCB要提供它与用户之间的可信通信路径。可信路径只能由该用户或TCB激活，这条路径在逻辑上与其他路径上的通信是隔离的，并且是可以正确区分的。 第五安全级还增加了可信恢复功能。TCB提供过程与机制，保证计算机系统失效或中断后，可以进行不损害任何安全保护性能的恢复。 以上5个安全等级各自提供的安全能力如表5-3-1所示。表中的“?”表示在五个安全级别中首次出现的安全能力（表注中称为新增功能）。 ? 我国信息系统安全等级划分标准 安全能力 一级 二级 三级 四级 五级 自主访问控制 ? ? ? ? ? 强制访问控制 ? ? ? 标记 ? ? ? ? 身份鉴别 ? ? ? ? ? 客体重用 ? ? ? ? ? 审计 ? ? ? ? ? 数据完整性 ? ? ? ? ? 隐蔽信道分析 ? ? ? ? ? 可信路径 ? ? ? ? ? 二、信息安全等级保护 （三）信息安全等级保护制度 信息安全等级保护是我国网络与信息安全的基本制度。国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 强制访问控制 每个受控的客体都必须附加上标记，用于标明该客体的安全级，当这些客体被访问的时候，保护系统就依据这些标记对客体进行必要的控制。B1类要求每个受控的主体和客体都要配备一个安全级，但不要求保护系统控制每个客体。B1级中的访问控制机制必须依据一种安全模型，在这种模型中，主体与客体的敏感性标记既有等级性级别的，又有无等级性的类别的。TCB应该支持两个以上的安全级。在TCB控制的主、客体间的所有访问活动，并要求这些活动必须满足以下要求： 只有主体的敏感等级大于或等于客体的敏感等级时，才允许该主体去读该客体，而且该主体的信息访问类包含该客体中信息访问类的全部内容。信息访问类中所包含的信息是非等级性。 只有主体的敏感级不大于客体的敏感级时，才允许该主体去写该客体，而且该主体的信息访问类包含该客体中信息访问类。 军用安全策略可以满足这种要求，它既具有按非密、秘密、机密和绝密的等级性级别的标记，又允许某个主体知道多种级别信息组成的无等级性类别的信息。对于强制性访问控制政策的模型是Bell-LaPadula模型，在该模型中要支持军用安全策略。B1类系统对所有访问都要实现这种模型，同时也支持有限的用户自主访问控制功能。 可记账性 TCB应该对所有涉及敏感性活动的用户进行身份识别，TCB应该管理用户的账户、口令、签证与权限信息，防止发生非授权的用户访问。B1级的审计功能比C2级的功能更强，还增加了对任何滥用职权的人可读输出标志和对安全级记录的事件进行审计，也可以对于用户的安全性活动进行有选择的审计。 在实现过程中，必须彻底分析B1类系统的设计文档和源代码，测试目标代码，尽可能发现系统存在的安全缺陷，并保证消除这些缺陷。要有一种非形式的或形式化的模型来描述系统实现的安全策略。 B2安全级——结构化保护级。 要求把系统内部结构化地划分成独立的模块，采用最小特权原则进行管理。内部结构必须是可证明的。 对所有主体与客体实施更强的MAC。从主体客体扩大到I/O设备等所有资源。 TCB应支持管理员与操作员的分离。 能够审计使用隐蔽存储信道的标志事件。 必须给出可验证的顶级设计，要求开发者对隐蔽信道进行彻底地搜索。 TCB划分保护与非保护部分，存放于固定区内。 B2级称为结构化保护级（Structured Protection）。B2级系统的设计中把系统内部结构化地划分成明确而大体上独立的模块，并采用最小特权原则进行管理。B2级不仅要求对所有对象加标记，而且要求给设备（磁盘、磁带或终端）分配一个或多个安全级别（实现设备标记）。必须对所有的主体与客体（包括设备）实施强制性访问控制保护，必须要有专职人员负责实施访问控制策略，其他用户无权管理。 B2 级强调实际中的评价手段，因此，增加或加强了以下功能： （1）安全策略方面：进一步加强了强制访问控制功能，把强制访问控制的对象，从主体到客体扩展到I/O设备等所有资源，并要求每种系统资源必须与安全标记相联系。 （2）可记账性方面：进一步加强系统的连续保护和防渗漏能力。主要措施包括能够确保系统和用户之间开始注册与确认时路径是可信的，增加了对使用隐蔽存储信道的标记事件的审