比较第三级与第四级的安全功能要求.pdf

比较第三级与第四级的安全功能要求 第三级 安全标记保护级 本级的计算机信息系统可信计算基具有系统审计保护级 的所有功能。此外，还需提供有关安全策略模型、数据标记 以及主体对客体强制访问控制的非形式化描述，具有准确地 标记输出信息的能力；消除通过测试发现的任何错误。 1 自主访问控制。 ○ 计算机信息系统可信计算基定义和控制系统中命名 用户对命名客体的访问。 ②强制访问控制。 计算机信息系统可信计算基对所有主体及其所控制的 客体（例如：进程、文件、段、设备）实施强制访问控制。 3 标记。 ○ 计算机信息系统可信计算基应维护与主体及其控制的 存储客体 （例如：进程、文件、段、设备）相关的敏感标记。 4 用户身份鉴别。 ○ 计算机信息系统可信计算基初始执行时，首先要求用户 标识自己的身份，而且，计算机信息系统可信计算基维护用 户身份识别数据并确定用户访问权及授权数据。 ⑤客体重用机制。 在计算机信息系统可信计算基的空闲存储客体空间中，对客 体初始指定、分配或再分配一个主体之前，撤销客体所含信 息的所有授权。当主体获得对一个已被释放的客体的访问权 时，当前主体不能获得原主体活动所产生的任何信息。 ⑥审计机制。 计算机信息系统可信计算基能创建和维护受保护客体的访 问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。 ⑦数据完整性机制。 计算机信息系统可信计算基通过自主和强制完整性策 略，阻止非授权用户修改或破坏敏感信息。在网络环境中， 使用完整性敏感标记来确信信息在传送中未受损。 第四级 结构化保护级 本级的计算机信息系统可信计算基建立于一个明确定 义的形式化安全策略模型之上，它要求将第三级系统中 的自主和强制访问控制扩展到所有主体与客体。此外， 还要考虑隐蔽通道。本级的计算机信息系统可信计算基 必须结构化为关键保护元素和非关键保护元素。计算机 信息系统可信计算基的接口也必须明确定义，使其设计 与实现能经受更充分的测试和更完整的复审。加强了鉴 别机制；支持系统管理员和操作员的职能；提供可信设 施管理；增强了配置管理控制。系统具有相当的抗渗透 能力。 具体来说就是要求具有以下内容： ①自主访问控制。同第三级“安全标记保护级”。 ②强制访问控制。TCB 对外部主体能够直接或间接访问 的所有资源 （主体、存储客体、输入输出资源）实施强制访 问控制。 ③标记。 ④身份鉴别。同第三级“安全标记保护级”。 ② 客体重用。同第三级“安全标记保护级”。 ③ 审计。同第三级 “安全标记保护级”，但增加了审计 隐蔽存储信道事件。 ④数据完整性机制。同第三级“安全标记保护级”。 8 隐蔽信道分析。系统开发者应彻底搜索隐蔽存储信道， ○ 并根据实际测量或工程估算确定每一个被标识信道的最大 带宽。 9 可信路径。对用户的初始登陆(如 login)，TCB 在它 ○ 与用户之间提供可信通信路径，使用户确信与 TCB 进行通信， 而不是与一个 “特洛伊木马”通信，其输入的用户名和口令 的确被TCB 接受。 4.3 第三级 安全标记保护级 本级的计算机信息系统可信计算基具有系统审计保护 级所有功能。此外，还提供有关安全策略模型、数据标记以 及主体对客体强制访问控制的非形式化描述；具有准确地标 记输出信息的能力；消除通过测试发现的任何错误。 4.3.1 自主访问控制 计算机信息系统可信计算基定义和控制系统中命名用 户对命名客体的访问。实施机制（例如：访问控制表）允许 命名用户以用户和 （或）用户组的身份规定并控制客体的共 享；阻止非授权用户读取敏感信息。并控制访问权限扩散。 自主访问控制机制根据用户指定方式或默认方式，阻止非授 权用户访问客体。访问控制的粒度是单个用户。没有存取权 的用户只允许由授权用户指定对客体的访问权。阻止非授权 用户读取敏感信息。 4.3.2 强制访问控制 计算机信息系统可信计算基对所有主体及其所控制的 客