计算机信息系统安全保护等级.ppt

计算机信息系统安全保护等级
*
本讲稿第一页，共一百七十三页
标准介绍
信息技术安全评估准则发展过程
可信计算机系统评估准则（TCSEC ）
可信网络解释（TNI）
通用准则CC
《计算机信息系统安全保护等级划分准则》于处理同一敏感级别数据的多用户环境
*
本讲稿第十六页，共一百七十三页
TCSEC
C2级计算机系统比C1级具有更细粒度的自主访问控制
C2级通过注册过程控制、审计安全相关事件以及资源隔离，使单个用户为其行为负责
*
本讲稿第十七页，共一百七十三页
TCSEC
四个安全等级：
无保护级
自主保护级
强制保护级
验证保护级
*
本讲稿第十八页，共一百七十三页
TCSEC
B类为强制保护级
主要要求是TCB应维护完整的安全标记，并在此基础上执行一系列强制访问控制规则
B类系统中的主要数据结构必须携带敏感标记
系统的开发者还应为TCB提供安全策略模型以及TCB规约
应提供证据证明访问监控器得到了正确的实施
*
本讲稿第十九页，共一百七十三页
TCSEC
B类分为三个类别：
标记安全保护级（B1级）
结构化保护级（B2级）
安全区域保护级（B3级）
*
本讲稿第二十页，共一百七十三页
TCSEC
B1级系统要求具有C2级系统的所有特性
在此基础上，还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制
并消除测试中发现的所有缺陷
*
本讲稿第二十一页，共一百七十三页
TCSEC
B类分为三个类别：
标记安全保护级（B1级）
结构化保护级（B2级）
安全区域保护级（B3级）
*
本讲稿第二十二页，共一百七十三页
TCSEC
在B2级系统中，TCB建立于一个明确定义并文档化形式化安全策略模型之上
要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体
在此基础上，应对隐蔽信道进行分析
TCB应结构化为关键保护元素和非关键保护元素
*
本讲稿第二十三页，共一百七十三页
TCSEC
TCB接口必须明确定义
其设计与实现应能够经受更充分的测试和更完善的审查
鉴别机制应得到加强，提供可信设施管理以支持系统管理员和操作员的职能
提供严格的配置管理控制
B2级系统应具备相当的抗渗透能力
*
本讲稿第二十四页，共一百七十三页
TCSEC
B类分为三个类别：
标记安全保护级（B1级）
结构化保护级（B2级）
安全区域保护级（B3级）
*
本讲稿第二十五页，共一百七十三页
TCSEC
在B3级系统中，TCB必须满足访问监控器需求
访问监控器对所有主体对客体的访问进行仲裁
访问监控器本身是抗篡改的
访问监控器足够小
访问监控器能够分析和测试
*
本讲稿第二十六页，共一百七十三页
TCSEC
为了满足访问控制器需求:
计算机信息系统可信计算基在构造时，排除那些对实施安全策略来说并非必要的代码
计算机信息系统可信计算基在设计和实现时，从系统工程角度将其复杂性降低到最小程度
*
本讲稿第二十七页，共一百七十三页
TCSEC
B3级系统支持:
安全管理员职能
扩充审计机制
当发生与安全相关的事件时，发出信号
提供系统恢复机制
系统具有很高的抗渗透能力
*
本讲稿第二十八页，共一百七十三页
TCSEC
四个安全等级：
无保护级
自主保护级
强制保护级
验证保护级
*
本讲稿第二十九页，共一百七十三页
TCSEC
A类为验证保护级
A类的特点是使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息
为证明TCB满足设计、开发及实现等各个方面的安全要求，系统应提供丰富的文档信息
*
本讲稿第三十页，共一百七十三页
TCSEC
A类分为两个类别：
验证设计级（A1级）
超A1级
*
本讲稿第三十一页，共一百七十三页
TCSEC
A1级系统在功能上和B3级系统是相同的，没有增加体系结构特性和策略要求
最显著的特点是，要求用形式化设计规范和验证方法来对系统进行分析，确保TCB按设计要求实现
从本质上说，这种保证是发展的，它从一个安全策略的形式化模型和设计的形式化高层规约（FTLS）开始
*
本讲稿第三十二页，共一百七十三页
TCSEC
针对A1级系统设计验证，有5种独立于特定规约语言或验证方法的重要准则：
安全策略的形式化模型必须得到明确标识并文档化，提供该模型与其公理一致以及能够对安全策略提供足够支持的数学证明
应提供形式化的高层规约，包括TCB功能的抽象定义、用于隔离执行域的硬件/固件机制的抽象定义
*
本讲稿第三十三页，共一百七十三页
TCSEC
应通过形式化的技术（如果可能的化