第八章信息安全.ppt

2、信息安全标准发展过程 1967年美国国防部（DOD）成立了一个研究组，针对当时计算机使用环境中的安全策略进行研究，其研究结果是“Defense Science Board report”。 70年代的后期DOD对当时流行的操作系统KSOS，PSOS，KVM进行了安全方面的研究。 80年代后期，美国国防部发布 “可信计算机系统评估准则（TCSEC）”（即桔皮书）。后来DOD又发布了可信数据库解释（TDI）、可信网络解释（TNI）等一系列相关的说明和指南。 90年代初，英、法、德、荷等四国针对TCSEC准则的局限性，提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”（ITSEC），定义了从E0级到E6级的七个安全等级。 加拿大1988年开始制订《加拿大可信计算机产品评估标准 》（CTCPEC）。 1993年，美国对TCSEC作了补充和修改，制定了“联邦标准草案”（简称FC）。 国际标准化组织（ISO）从1990年开始开发通用的国际标准评估准则。 在1993年6月，CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来，将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则。发起组织包括六国：加拿大、法国、德国、荷兰、英国、美国，他们的代表建立了CC编辑委员会（CCEB）来开发通用准则CC。 1996年1月完成CC1.0版 ,在1996年4月被ISO采纳。 1997年10月完成CC2.0的测试版。 1998年5月发布CC2.0版。 1999年12月ISO采纳CC，并作为国际标准ISO 15408发布。 2、TCSEC概述 在TCSEC中，美国国防部按处理信息的安全等级和应采用的响应措施，将计算机安全从高到低分为：A、B、C、D四类八个级别，共27条评估准则。 随着安全等级的提高，系统的可信度随之增加，风险逐渐减少。 TCSEC的四个安全等级： D：无保护级 C：自主保护级 B：强制保护级 A：验证保护级 3、D类：无保护级 D类是最低保护等级，即无保护级。 是为那些经过评估，但不满足较高评估等级要求的系统设计的，只具有一个级别。 该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处理敏感信息。 4、C类：自主保护级 C类为自主保护级。 具有一定的保护能力，采用的措施是自主访问控制和审计跟踪。 一般只适用于具有一定等级的多用户环境。 具有对主体责任及其动作审计的能力。 C类分为C1和C2两个级别: 自主安全保护级（C1级) 控制访问保护级（C2级） C1级TCB通过隔离用户与数据，使用户具备自主安全保护的能力。 它具有多种形式的控制能力，对用户实施访问控制。为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。 C1级的系统适用于处理同一敏感级别数据的多用户环境。 C2级计算机系统比C1级具有更细粒度的自主访问控制。 C2级通过注册过程控制、审计安全相关事件以及资源隔离，使单个用户为其行为负责。 5、B类：强制保护级 B类为强制保护级。 主要要求是TCB应维护完整的安全标记，并在此基础上执行一系列强制访问控制规则。 B类系统中的主要数据结构必须携带敏感标记。 系统的开发者还应为TCB提供安全策略模型以及TCB规约。 应提供证据证明访问监控器得到了正确的实施。 B类分为三个类别： 标记安全保护级（B1级） 结构化保护级（B2级） 安全区域保护级（B3级） B1级系统要求具有C2级系统的所有特性。 在此基础上，还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制，并消除测试中发现的所有缺陷。 在B2级系统中，TCB建立于一个明确定义并文档化、形式化的安全策略模型之上。 要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体。 在此基础上，应对隐蔽信道进行分析。 TCB应结构化为关键保护元素和非关键保护元素。TCB接口必须明确定义。其设计与实现应能够经受更充分的测试和更完善的审查。 鉴别机制应得到加强，提供可信设施管理以支持系统管理员和操作员的职能。 提供严格的配置管理控制。 B2级系统应具备相当的抗渗透能力。 在B3级系统中，TCB必须满足访问监控器需求。 访问监控器对所有主体对客体的访问进行仲裁。 访问监控器本身是抗篡改的。 访问监控器足够小。 访问监控器能够分析和测试。 为了满足访问控制器需求: 计算机信息系统可信计算基在构造时，排除那些对实施安全策略来说并非必要的代码。 计算机信息系统可信计算基在设计和实现时，从系统工程角度将其复杂性降低到最小程度。 B3级系统支持: 安全管理员职能 扩充审计机制 当发生与安全相关的事件时，发出信号 提供系统恢复机制 系统具