信息安全原理信息系統(tǒng)安全等級(jí)與課件

1、信息安全原理信息系統(tǒng)安全等級(jí)與1 第第1010章章 信息系統(tǒng)安全等級(jí)與標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)與標(biāo)準(zhǔn) 10.1 10.1 國(guó)際安全評(píng)價(jià)標(biāo)準(zhǔn)概述國(guó)際安全評(píng)價(jià)標(biāo)準(zhǔn)概述 10.2 10.2 中國(guó)信息安全等級(jí)保護(hù)準(zhǔn)則中國(guó)信息安全等級(jí)保護(hù)準(zhǔn)則 習(xí)習(xí) 題題 信息安全原理信息系統(tǒng)安全等級(jí)與2 安全需求與安全代價(jià)，總是安全問題上相互對(duì)立的統(tǒng) 一體。對(duì)于信息技術(shù)、信息系統(tǒng)和信息產(chǎn)品的安全等級(jí)進(jìn) 行評(píng)價(jià)，將會(huì)使生產(chǎn)者和用戶在這兩個(gè)方面容易找到一個(gè) 科學(xué)的折中。因此，建立完善的信息技術(shù)安全的測(cè)評(píng)標(biāo)準(zhǔn) 與認(rèn)證體系，規(guī)范信息技術(shù)產(chǎn)品和系統(tǒng)的安全特性，是實(shí) 現(xiàn)信息安全保障的一種有效措施。它有助于建立起科學(xué)的 安全產(chǎn)品生產(chǎn)體系

2、、服務(wù)體系。 信息安全原理信息系統(tǒng)安全等級(jí)與3 10.1 10.1 國(guó)際安全評(píng)價(jià)標(biāo)準(zhǔn)概述國(guó)際安全評(píng)價(jià)標(biāo)準(zhǔn)概述 10.1.1 10.1.1 DoD5200.28-M和和TCSEC 10.1.2 10.1.2 歐共體信息技術(shù)安全評(píng)價(jià)準(zhǔn)則歐共體信息技術(shù)安全評(píng)價(jià)準(zhǔn)則ITSEC 10.1.3 10.1.3 加拿大可信計(jì)算機(jī)產(chǎn)品安全評(píng)價(jià)準(zhǔn)則加拿大可信計(jì)算機(jī)產(chǎn)品安全評(píng)價(jià)準(zhǔn)則CTCPEC 10.1.4 10.1.4 美國(guó)信息技術(shù)安全評(píng)價(jià)聯(lián)邦準(zhǔn)則美國(guó)信息技術(shù)安全評(píng)價(jià)聯(lián)邦準(zhǔn)則FC 10.1.5 10.1.5 國(guó)際通用準(zhǔn)則國(guó)際通用準(zhǔn)則CC 信息安全原理信息系統(tǒng)安全等級(jí)與4 第一個(gè)有關(guān)信息技術(shù)安全的標(biāo)準(zhǔn)是美國(guó)國(guó)防部于

3、1985 年提出的可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則TCSEC，又稱桔皮書。 以后，許多國(guó)家和國(guó)際組織也相繼提出了新的安全評(píng)價(jià)準(zhǔn) 則。圖10.1所示為國(guó)際主要信息技術(shù)安全測(cè)評(píng)標(biāo)準(zhǔn)的發(fā)展 及其聯(lián)系。 信息安全原理信息系統(tǒng)安全等級(jí)與5 加拿大可信計(jì)算加拿大可信計(jì)算 機(jī)機(jī) 產(chǎn)品評(píng)價(jià)準(zhǔn)則產(chǎn)品評(píng)價(jià)準(zhǔn)則 CTCOEC（1989 年）年） 美國(guó)國(guó)防部可美國(guó)國(guó)防部可 信信 計(jì)算機(jī)評(píng)價(jià)準(zhǔn)計(jì)算機(jī)評(píng)價(jià)準(zhǔn) 則則 TCSEC（1983 年）年） 美國(guó)聯(lián)邦準(zhǔn)則美國(guó)聯(lián)邦準(zhǔn)則 FC （1992年）年） 國(guó)際通用準(zhǔn)則國(guó)際通用準(zhǔn)則 （CC） （1996年）年） CC成為國(guó)際成為國(guó)際 標(biāo)準(zhǔn)標(biāo)準(zhǔn) ISO 15408 （1999年）年） 歐洲信息

4、技術(shù)歐洲信息技術(shù) 安全性評(píng)價(jià)準(zhǔn)則安全性評(píng)價(jià)準(zhǔn)則 ITSEC（1991年）年） 美國(guó)國(guó)防部美國(guó)國(guó)防部 DoD5200.28- M （1979年年6 6月月 ） GB17859-1999 （1999年）年） 圖圖10.1 10.1 國(guó)際主要信息技術(shù)安全測(cè)評(píng)標(biāo)準(zhǔn)的發(fā)展及其聯(lián)系國(guó)際主要信息技術(shù)安全測(cè)評(píng)標(biāo)準(zhǔn)的發(fā)展及其聯(lián)系 信息安全原理信息系統(tǒng)安全等級(jí)與6 在信息安全等級(jí)標(biāo)準(zhǔn)中，一個(gè)非常重要的概念是可信 計(jì)算基（Trusted Computer Base，TCB）。TCB是計(jì)算機(jī) 系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、固件和軟件。它們根 據(jù)安全策略來(lái)處理主體（系統(tǒng)管理員、安全管理員、用戶、 進(jìn)程）對(duì)客體（進(jìn)程、

5、文件、記錄、設(shè)備等）的訪問。 TCB還具有抗篡改的性能和易于分析與測(cè)試的結(jié)構(gòu)。 信息安全原理信息系統(tǒng)安全等級(jí)與7 10.1.1 10.1.1 DoD5200.28-MDoD5200.28-M和和TCSECTCSEC 1. DoD5200.28-M 世界上最早的計(jì)算機(jī)系統(tǒng)安全標(biāo)準(zhǔn)應(yīng)當(dāng)是美國(guó)國(guó)防部 1979年6月25日發(fā)布的軍標(biāo)DoD5200.28-M。它為計(jì)算機(jī)系 統(tǒng)定義了4種不同的運(yùn)行模式。 （1）受控的安全模式：系統(tǒng)用戶對(duì)系統(tǒng)的機(jī)密材料的 訪問控制沒有在操作系統(tǒng)中實(shí)現(xiàn)，安全的實(shí)現(xiàn)可以通過空 子用戶對(duì)機(jī)器的操作權(quán)等管理措施實(shí)現(xiàn)。 信息安全原理信息系統(tǒng)安全等級(jí)與8 （2）自主安全模式：計(jì)算機(jī)系統(tǒng)

6、和外圍設(shè)備可以在指 定用戶或用戶群的控制下工作，該類用戶了解并可自主地 設(shè)置機(jī)密材料的類型與安全級(jí)別。 （3）多級(jí)安全模式：系統(tǒng)允許不同級(jí)別和類型的機(jī)密 資料并存和并發(fā)處理，并且有選擇地許可不同的用戶對(duì)存 儲(chǔ)數(shù)據(jù)進(jìn)行訪問。用戶與數(shù)據(jù)的隔離控制由操作系統(tǒng)和相 關(guān)系統(tǒng)軟件實(shí)現(xiàn)。 （4）強(qiáng)安全模式：所有系統(tǒng)部件依照最高級(jí)別類型得 到保護(hù)，所有系統(tǒng)用戶必須有一個(gè)安全策略；系統(tǒng)的控制 操作對(duì)用戶透明，由系統(tǒng)實(shí)現(xiàn)對(duì)機(jī)密材料的并發(fā)控制。 信息安全原理信息系統(tǒng)安全等級(jí)與9 2. TCSEC TCSEC是計(jì)算機(jī)系統(tǒng)安全評(píng)價(jià)的第一個(gè)正式標(biāo)準(zhǔn)，于 1970年由美國(guó)國(guó)防科學(xué)技術(shù)委員會(huì)提出，于1985年12月由 美國(guó)國(guó)

7、防部公布。 TCSEC把計(jì)算機(jī)系統(tǒng)的安全分為4等7級(jí)： （1）D等（含1級(jí)） D1級(jí)系統(tǒng)：最低級(jí)。只為文件和用戶提供安全保護(hù)。 信息安全原理信息系統(tǒng)安全等級(jí)與10 （2）C等（含2級(jí)） C1級(jí)系統(tǒng)：可信任計(jì)算基TCB（Trusted Computing Base）通過用戶和數(shù)據(jù)分開來(lái)達(dá)到安全目的，使所有的用 戶都以同樣的靈敏度處理數(shù)據(jù)（可認(rèn)為所有文檔有相同機(jī) 密性） C2級(jí)系統(tǒng)：在C1基礎(chǔ)上，通過登錄、安全事件和資源 隔離增強(qiáng)可調(diào)的審慎控制。在連接到網(wǎng)上時(shí)，用戶分別對(duì) 自己的行為負(fù)責(zé)。 信息安全原理信息系統(tǒng)安全等級(jí)與11 （3）B等（含3級(jí)） B級(jí)具有強(qiáng)制性保護(hù)功能。強(qiáng)制性意味著在沒有與安全

8、等級(jí)相連的情況下，系統(tǒng)就不會(huì)讓用戶寸取對(duì)象。 （a）B1級(jí)系統(tǒng)： 對(duì)每個(gè)對(duì)象都進(jìn)行靈敏度標(biāo)記，導(dǎo)入非標(biāo)記對(duì)象 前 要先標(biāo)記它們； 用靈敏度標(biāo)記作為強(qiáng)制訪問控制的基礎(chǔ)； 靈敏度標(biāo)記必須準(zhǔn)確地表示其所聯(lián)系的對(duì)象的安 全 級(jí)別； 系統(tǒng)必須使用用戶口令或身份認(rèn)證來(lái)決定用戶的 安 全訪問級(jí)別； 系統(tǒng)必須通過審計(jì)來(lái)記錄未授權(quán)訪問的企圖。 信息安全原理信息系統(tǒng)安全等級(jí)與12 （b）B2級(jí)系統(tǒng)： 必須符合B1級(jí)系統(tǒng)的所有要求； 系統(tǒng)管理員必須使用一個(gè)明確的、文檔化的安全 策 略模式作為系統(tǒng)可信任運(yùn)算基礎(chǔ)體制；可信任運(yùn)算基礎(chǔ)體 制能夠支持獨(dú)立的操作者和管理員； 只有用戶能夠在可信任通信路徑中進(jìn)行初始化通 信；

9、所有與用戶相關(guān)的網(wǎng)絡(luò)連接的改變必須通知所有 的 用戶。 信息安全原理信息系統(tǒng)安全等級(jí)與13 （c）B3級(jí)系統(tǒng)具有很強(qiáng)的監(jiān)視委托管理訪問能力和抗 干擾能力。要求： 必須符合B2系統(tǒng)所有安全需求； 必須設(shè)有安全管理員； 除控制個(gè)別對(duì)象的訪問外，必須產(chǎn)生一個(gè)可讀的安 全列表；每個(gè)被命名的對(duì)象提供對(duì)該對(duì)象沒有訪問的用戶 列表說(shuō)明； 系統(tǒng)驗(yàn)證每一個(gè)用戶身份，并會(huì)發(fā)送一個(gè)取消訪問 的審計(jì)跟蹤消息； 設(shè)計(jì)者必須正確區(qū)分可信任路徑和其他路徑； 可信任的通信基礎(chǔ)體制為每一個(gè)被命名的對(duì)象建立 安全審計(jì)跟蹤； 可信任的運(yùn)算基礎(chǔ)體制支持獨(dú)立的安全管理。 信息安全原理信息系統(tǒng)安全等級(jí)與14 （4）A等（只含1級(jí)）最高安

10、全級(jí)別 A1級(jí)與B3級(jí)相似，對(duì)系統(tǒng)的結(jié)構(gòu)和策略不作特別要求， 而系統(tǒng)的設(shè)計(jì)者必須按照一個(gè)正式的設(shè)計(jì)規(guī)范進(jìn)行系統(tǒng)分 析；分析后必須用核對(duì)技術(shù)確保系統(tǒng)符合設(shè)計(jì)規(guī)范。A1系 統(tǒng)必須滿足： 系統(tǒng)管理員必須接收到開發(fā)者提供的安全策略正式 模 型； 所有的安裝操作都必須由系統(tǒng)管理員進(jìn)行； 系統(tǒng)管理員進(jìn)行的每一步安裝操作必須有正式的文 檔。 TCSEC的初衷主要是針對(duì)集中式計(jì)算的分時(shí)多用戶操作 系統(tǒng)。后來(lái)又針對(duì)網(wǎng)絡(luò)（分布式）和數(shù)據(jù)庫(kù)管理系統(tǒng)（C/S 結(jié)構(gòu)）補(bǔ)充了一些附加說(shuō)明和解釋，典型的有可信計(jì)算機(jī) 網(wǎng)絡(luò)系統(tǒng)說(shuō)明（NCSC-TG-005）和可信數(shù)據(jù)庫(kù)管理系統(tǒng)解釋 等。 信息安全原理信息系統(tǒng)安全等級(jí)與15 1

11、0.1.2 10.1.2 歐共體信息技術(shù)安全評(píng)價(jià)準(zhǔn)則歐共體信息技術(shù)安全評(píng)價(jià)準(zhǔn)則ITSECITSEC ITSEC是歐共體于1991年發(fā)布的，它是歐洲多國(guó)安全評(píng) 價(jià)方法的綜合產(chǎn)物，應(yīng)用領(lǐng)域?yàn)檐婈?duì)、政府和商業(yè)。該標(biāo) 準(zhǔn)將安全的概念分為功能和評(píng)估兩部分。 1. 功能準(zhǔn)則 分為10級(jí)：F1F10： F1F5對(duì)應(yīng)TCSEC的DA； F6F10對(duì)應(yīng)數(shù)據(jù)和程序的完整性，系統(tǒng)的可用性， 數(shù) 據(jù)通信的完整性、保密性。 2. 評(píng)估準(zhǔn)則 分為6級(jí)，分別是測(cè)試、配置控制和可控的分配、詳細(xì) 設(shè)計(jì)和編碼、詳細(xì)的脆弱性分析、設(shè)計(jì)于源代碼明顯對(duì)應(yīng) 以及設(shè)計(jì)與源代碼在形式上的一致。 信息安全原理信息系統(tǒng)安全等級(jí)與16 10.1.

12、3 10.1.3 加拿大可信計(jì)算機(jī)產(chǎn)品安全評(píng)價(jià)準(zhǔn)則加拿大可信計(jì)算機(jī)產(chǎn)品安全評(píng)價(jià)準(zhǔn)則CTCPECCTCPEC CTCPEC是加拿大于1993年發(fā)布的。它綜合了TCSEC和 ITSEC兩個(gè)準(zhǔn)則的優(yōu)點(diǎn)，專門針對(duì)政府需求設(shè)計(jì)。它將安全 分為功能性需求和保證性需求兩部分。功能性需求分為4大 類： 機(jī)密性； 可用性； 完整性； 可控性。 每一種安全需求又分為一些小類（分級(jí)條數(shù)05），以 表示安全性上的差別。 信息安全原理信息系統(tǒng)安全等級(jí)與17 10.1.4 10.1.4 美國(guó)信息技術(shù)安全評(píng)價(jià)聯(lián)邦準(zhǔn)則美國(guó)信息技術(shù)安全評(píng)價(jià)聯(lián)邦準(zhǔn)則FC FC FC也是吸收了TCSEC和ITSEC兩個(gè)準(zhǔn)則的優(yōu)點(diǎn)于1993年發(fā) 布

13、的。它引入了“保護(hù)輪廓（PP）”的概念。每個(gè)輪廓都 包括 功能、開發(fā)保證和評(píng)價(jià)三部分，在美國(guó)政府、民間和商業(yè) 上應(yīng)用很廣。 信息安全原理信息系統(tǒng)安全等級(jí)與18 10.1.5 10.1.5 國(guó)際通用準(zhǔn)則國(guó)際通用準(zhǔn)則CC CC 1993年6月，歐、美、加等有關(guān)6國(guó)，將各自獨(dú)立的準(zhǔn)則 集合成一系列單一的、能被廣泛接受的IT安全準(zhǔn)則通 用準(zhǔn)則CC，將CC提交給ISO，并于1996年頒布了1.0版。 1999年12月ISO正式將CC 2.0（1998年頒布）作為國(guó)際標(biāo) 準(zhǔn) ISO 15408發(fā)布。 CC的主要思想和框架都取自ITSEC和FC，并突出了“保 護(hù) 輪廓”的概念。它將評(píng)估過程分為安全保證和安全

14、功能兩 部 分。安全保證要求為7個(gè)評(píng)估保證級(jí)別： 信息安全原理信息系統(tǒng)安全等級(jí)與19 EAL1：功能測(cè)試 EAL2：結(jié)構(gòu)測(cè)試 EAL3：系統(tǒng)測(cè)試和檢查 EAL4：系統(tǒng)設(shè)計(jì)、測(cè)試和復(fù)查 EAL5：半形式化設(shè)計(jì)和測(cè)試 EAL6：半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試 EAL7：集成化驗(yàn)證的設(shè)計(jì)和測(cè)試 表10.1為CC、TCSEC、ITSEC標(biāo)準(zhǔn)之間的對(duì)應(yīng)關(guān)系。 信息安全原理信息系統(tǒng)安全等級(jí)與20 CCTCSECITSEC D EAL1E1 EAL2C1E2 EAL3C2E3 EAL4B1E4 EAL5B2E5 EAL6B3E6 EAL7AE7 表表10.1 10.1 CC、TCSEC、ITSEC標(biāo)準(zhǔn)之間的對(duì)應(yīng)關(guān)

15、系標(biāo)準(zhǔn)之間的對(duì)應(yīng)關(guān)系 CC目前已經(jīng)發(fā)布了如下的版本： 1996年6月發(fā)布CC第1版； 1998年5月發(fā)布CC第2版； 1999年10月發(fā)布CC第2.1版，并成為ISO標(biāo)準(zhǔn)。 信息安全原理信息系統(tǒng)安全等級(jí)與21 10.2 10.2 中國(guó)信息安全等級(jí)保護(hù)準(zhǔn)則中國(guó)信息安全等級(jí)保護(hù)準(zhǔn)則 10.2.1 10.2.1 第一級(jí)：用戶自主保護(hù)級(jí)第一級(jí)：用戶自主保護(hù)級(jí) 10.2.2 10.2.2 第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí) 10.2.3 10.2.3 第三級(jí)：安全標(biāo)記保護(hù)級(jí)第三級(jí)：安全標(biāo)記保護(hù)級(jí) 10.2.4 10.2.4 第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí) 10.2.5 10.2.5

16、第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)第五級(jí)：訪問驗(yàn)證保護(hù)級(jí) 習(xí)習(xí) 題題 信息安全原理信息系統(tǒng)安全等級(jí)與22 中國(guó)已經(jīng)發(fā)布實(shí)施計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分 準(zhǔn)則GB17859-1999。這是一部強(qiáng)制性國(guó)家標(biāo)準(zhǔn)，也是一 種技術(shù)法規(guī)。它是在參考了DoD 5200.28-STD和NCSC-TC- 005的基礎(chǔ)上，從自主訪問控制、強(qiáng)制訪問控制、標(biāo)記、身 份鑒別、客體重用、審計(jì)、數(shù)據(jù)完整性、隱蔽信道分析、 可信路徑和可恢復(fù)等10個(gè)方面將計(jì)算機(jī)信息系統(tǒng)安全保護(hù) 等級(jí)劃分為5個(gè)級(jí)別的安全保護(hù)能力： 信息安全原理信息系統(tǒng)安全等級(jí)與23 第一級(jí)：用戶自主保護(hù)級(jí)； 第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)； 第三級(jí)：安全標(biāo)記保護(hù)級(jí)； 第四級(jí)：結(jié)

17、構(gòu)化保護(hù)級(jí)； 第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)。 計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)能力隨著安全保護(hù)等級(jí)的增 高而增強(qiáng)。 在信息安全等級(jí)標(biāo)準(zhǔn)中，各等級(jí)之間的差異在于TCB的 構(gòu)造不同以及其所具有的安全保護(hù)能力的不同。下面介紹 各等級(jí)的基本內(nèi)容。 信息安全原理信息系統(tǒng)安全等級(jí)與24 10.2.1 10.2.1 第一級(jí)：用戶自主保護(hù)級(jí)第一級(jí)：用戶自主保護(hù)級(jí) 本級(jí)的可信計(jì)算基通過隔離用戶與數(shù)據(jù)，使用戶具備自 主安全保護(hù)的能力。它具有多種形式的控制能力，對(duì)用戶 實(shí)施訪問控制，即為用戶提供可行的手段，保護(hù)用戶和用 戶組信息，避免其他用戶對(duì)數(shù)據(jù)的非法讀寫與破壞。 （1）自主訪問控制： 可信計(jì)算基定義系統(tǒng)中的用戶和命名用戶對(duì)命

18、名客體的 訪問，并允許命名用戶以自己的身份和（或）用戶組的身 份指定并控制對(duì)客體的訪問；阻止非授權(quán)用戶讀取敏感信 息。 信息安全原理信息系統(tǒng)安全等級(jí)與25 （2）身份鑒別： 從用戶的角度看，可信計(jì)算基的責(zé)任就是進(jìn)行身份鑒別。 在系統(tǒng)初始化時(shí)，首先要求用戶標(biāo)識(shí)自己的身份，并使用 保護(hù)機(jī)制（例如：口令）來(lái)鑒別用戶的身份，阻止非授權(quán) 用戶訪問用戶身份鑒別數(shù)據(jù)。 （3）數(shù)據(jù)完整性：可信計(jì)算基通過自主完整性策略，阻 止非授權(quán)用戶修改或破壞敏感信息。 信息安全原理信息系統(tǒng)安全等級(jí)與26 10.2.2 10.2.2 第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí) 這一級(jí)除具備第一級(jí)所有的安全功能外，要求創(chuàng)建和

19、維 護(hù)訪問的審計(jì)跟蹤記錄，使所有用戶對(duì)自己的合法性行為 負(fù)責(zé)。具體保護(hù)能力如下。 （1）自主訪問控制：可信計(jì)算基定義實(shí)施的訪問控制 的粒度是單個(gè)用戶。沒有存取權(quán)的用戶只允許由授權(quán)用戶 指定對(duì)客體的訪問權(quán)。 （2）身份鑒別比用戶自主保護(hù)級(jí)增加兩點(diǎn)： 通過為用戶提供惟一標(biāo)識(shí)，可信計(jì)算基使用戶對(duì)自 己 的行為負(fù)責(zé)。 具備將身份標(biāo)識(shí)與該用戶所有可審計(jì)行為相關(guān)聯(lián)的 能 力。 信息安全原理信息系統(tǒng)安全等級(jí)與27 （3）客體重用： 在可信計(jì)算基的空閑存儲(chǔ)客體空間中，對(duì)客體初始指定、 分配或再分配一個(gè)主體之前，撤銷該客體所含信息的所有 授權(quán)。當(dāng)主體獲得對(duì)一個(gè)已被釋放的客體的訪問權(quán)時(shí)，當(dāng) 前主體不能獲得原主體活

20、動(dòng)所產(chǎn)生的任何信息。 （4）審計(jì)： 在可信計(jì)算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計(jì)跟蹤 記錄，并能阻止非授權(quán)的用戶對(duì)它訪問或破壞。 信息安全原理信息系統(tǒng)安全等級(jí)與28 可信計(jì)算基能記錄下述事件：使用身份鑒別機(jī)制；將客 體引入用戶地址空間（例如：打開文件、程序初始化）； 刪除客體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理 員實(shí)施的動(dòng)作，以及其他與系統(tǒng)安全有關(guān)的事件。對(duì)于每 一事件，其審計(jì)記錄包括：事件的日期和時(shí)間、用戶、事 件類型、事件是否成功。對(duì)于身份鑒別事件，審計(jì)記錄包 含請(qǐng)求的來(lái)源（例如：終端標(biāo)識(shí)符）；對(duì)于客體引入用戶 地址空間的事件及客體刪除事件，審計(jì)記錄包含客體名。 對(duì)不能由可信計(jì)算基獨(dú)

21、立分辨的審計(jì)事件，審計(jì)機(jī)制提供 審計(jì)記錄接口，可由授權(quán)主體調(diào)用。這些審計(jì)記錄區(qū)別于 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基獨(dú)立分辨的審計(jì)記錄。 （5）數(shù)據(jù)完整性：可信計(jì)算基通過自主完整性策略， 阻止非授權(quán)用戶修改或破壞敏感信息。 信息安全原理信息系統(tǒng)安全等級(jí)與29 10.2.3 10.2.3 第三級(jí)：安全標(biāo)記保護(hù)級(jí)第三級(jí)：安全標(biāo)記保護(hù)級(jí) 本級(jí)的可信計(jì)算基具有系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能。此 外，還需以訪問對(duì)象的安全級(jí)別限制訪問者的訪問權(quán)限， 實(shí)現(xiàn)對(duì)訪問對(duì)象的強(qiáng)制訪問。為此需要提供有關(guān)安全策略 模型、數(shù)據(jù)標(biāo)記以及主體對(duì)客體強(qiáng)制訪問控制的非形式化 描述，具有準(zhǔn)確地標(biāo)記輸出信息的能力，消除測(cè)試發(fā)現(xiàn)的 任何錯(cuò)誤。 （1

22、）自主訪問控制：同系統(tǒng)審計(jì)保護(hù)級(jí)。 （2）強(qiáng)制訪問控制： 信息安全原理信息系統(tǒng)安全等級(jí)與30 可信計(jì)算基對(duì)所有主體及其控制的客體（例如：進(jìn)程、 文件、段、設(shè)備）實(shí)施強(qiáng)制訪問控制。通過敏感標(biāo)記為這 些主體及客體指定安全等級(jí)。安全等級(jí)用二維組表示：第 一維是等級(jí)分類（如秘密、機(jī)密、絕密等），第二維是范 疇（如適用范疇）。它們是實(shí)施強(qiáng)制訪問控制的依據(jù)?？?信計(jì)算基支持兩種或兩種以上成分組成的安全級(jí)。可信計(jì) 算基控制的所有主體對(duì)客體等級(jí)分類的訪問： 信息安全原理信息系統(tǒng)安全等級(jí)與31 僅當(dāng)主體安全級(jí)中的等級(jí)分類高于或等于客體安全 級(jí) 中的等級(jí)分類，且主體安全級(jí)中的非等級(jí)類別包含了客體 安全級(jí)中的全部非

23、等級(jí)類別，主體才能讀客體； 僅當(dāng)主體安全級(jí)中的等級(jí)分類低于或等于客體安全 級(jí) 中的等級(jí)分類，且主體安全級(jí)中的非等級(jí)類別包含了客體 安全級(jí)中的全部非等級(jí)類別，主體才能寫一個(gè)客體。 可信計(jì)算基使用身份和鑒別數(shù)據(jù)，鑒別用戶的身份，并 保證用戶創(chuàng)建的可信計(jì)算基外部主體的安全級(jí)和授權(quán)受該 用戶的安全級(jí)和授權(quán)的控制。 信息安全原理信息系統(tǒng)安全等級(jí)與32 （3）敏感標(biāo)記： 敏感標(biāo)記是實(shí)施強(qiáng)制訪問的基礎(chǔ)?？尚庞?jì)算基應(yīng)明確規(guī) 定需要標(biāo)記的客體（例如：進(jìn)程、文件、段、設(shè)備），明 確定義標(biāo)記的粒度（如文件級(jí)、字段級(jí)等），并必須使其 主要數(shù)據(jù)結(jié)構(gòu)具有相關(guān)的敏感標(biāo)記。為了輸入未加安全標(biāo) 記的數(shù)據(jù)，可信計(jì)算基向授權(quán)用戶要

24、求并接受這些數(shù)據(jù)的 安全級(jí)別，且可由計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基審計(jì)。 （4）身份鑒別； 可信計(jì)算基初始執(zhí)行時(shí)，首先要求用戶標(biāo)識(shí)自己的身份， 而且，可信計(jì)算基維護(hù)用戶身份識(shí)別數(shù)據(jù)并確定用戶訪問 權(quán)及授權(quán)數(shù)據(jù)。其他同系統(tǒng)審計(jì)保護(hù)級(jí)。 信息安全原理信息系統(tǒng)安全等級(jí)與33 （5）客體重用； 在統(tǒng)可信計(jì)算基的空閑存儲(chǔ)客體空間中，對(duì)客體初始指 定、分配或再分配一個(gè)主體之前，撤銷客體所含信息的所 有授權(quán)。當(dāng)主體獲得對(duì)一個(gè)已被釋放的客體的訪問權(quán)時(shí)， 前主體不能獲得原主體活動(dòng)所產(chǎn)生的任何信息。 信息安全原理信息系統(tǒng)安全等級(jí)與34 （6）審計(jì) 可信計(jì)算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計(jì)跟蹤記 錄，并能阻止非授權(quán)的用

25、戶對(duì)它訪問或保護(hù)?？尚庞?jì)算基 能記錄下述事件：使用身份鑒別機(jī)制；將客體引入用戶地 址空間（例如：打開文件、程序初始化）；刪除客體；由 操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實(shí)施的動(dòng)作， 以及其他與系統(tǒng)安全有關(guān)的事件。對(duì)于每一事件，其審計(jì) 記錄包括：事件的日期和時(shí)間、用戶、事件類型、事件是 否成功。對(duì)于身份鑒別的事件，審計(jì)記錄包含請(qǐng)求的來(lái)源 （例如：終端標(biāo)識(shí)符）對(duì)于客體引入用戶地址空間的事件 及客體刪除事件，審計(jì)記錄包含客體名及客體的安全級(jí)別。 此外，可信計(jì)算基具有審計(jì)更改可讀輸出記號(hào)的能力。 對(duì)不能由可信計(jì)算基獨(dú)立分辨的審計(jì)事件，審計(jì)機(jī)制提供 審計(jì)記錄接口，可由授權(quán)主體調(diào)用。這些審計(jì)記錄區(qū)別

26、于 可信計(jì)算基獨(dú)立分辨的審計(jì)記錄。 信息安全原理信息系統(tǒng)安全等級(jí)與35 （7）數(shù)據(jù)完整性 可信計(jì)算基通過自主和強(qiáng)制完整性策略，阻止非授權(quán)用 戶修改或破壞敏感信息。在網(wǎng)絡(luò)環(huán)境中，使用完整性敏感 標(biāo)記來(lái)確保信息在傳送中未受損。 信息安全原理信息系統(tǒng)安全等級(jí)與36 10.2.4 10.2.4 第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí) 本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基建立于一個(gè)明確定義 的形式化安全策略模型之上，將它要求第三級(jí)系統(tǒng)中的自 主和強(qiáng)制訪問控制擴(kuò)展到所以主體與客體。此外，還要考 慮隱蔽信道。本級(jí)的可信計(jì)算基必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元 素和非關(guān)鍵保護(hù)元素；可信計(jì)算基的接口也必須明確定義， 使其設(shè)計(jì)與

27、實(shí)現(xiàn)能經(jīng)受更充分的測(cè)試和更完整的復(fù)審；加 強(qiáng)了鑒別機(jī)制；支持系統(tǒng)管理員和操作員的職能；提供可 信設(shè)施管理；增強(qiáng)了配置管理控制。系統(tǒng)具有相當(dāng)?shù)目節(jié)B 透能力。 信息安全原理信息系統(tǒng)安全等級(jí)與37 安全標(biāo)記保護(hù)級(jí)相比，起主要特征有： （1）可信計(jì)算基基于一個(gè)明確定義的形式化安全保護(hù) 策略。 （2）將第三級(jí)實(shí)施的（自主或強(qiáng)制）訪問控制擴(kuò)展到 所有主體和客體。即在自主訪問控制方面，可信計(jì)算基應(yīng) 維護(hù)由外部主體能夠直接或間接訪問的所有資源（例如： 主體、存儲(chǔ)客體和輸入輸出資源）實(shí)施強(qiáng)制訪問控制，為 這些主體及客體指定敏感標(biāo)記，這些標(biāo)記是等級(jí)分類和非 等級(jí)類別的組合，他們是實(shí)施強(qiáng)制訪問控制的依據(jù)。 信息安全

28、原理信息系統(tǒng)安全等級(jí)與38 （3）審計(jì)方面： 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基能記錄下述事件：使用 身 份鑒別機(jī)制；將客體引入用戶地址空間（例如：打開文件、 程序初始化）；刪除客體；由操作員、系統(tǒng)管理員或（和） 系統(tǒng)安全管理員實(shí)施的動(dòng)作，以及其他與系統(tǒng)安全有關(guān)的 事件。對(duì)于每一事件，其審計(jì)記錄包括：事件的日期和時(shí) 間、用戶、事件類型、事件是否成功。對(duì)于身份鑒別事件， 審計(jì)記錄包含請(qǐng)求的來(lái)源（例如：終端標(biāo)識(shí)符）；對(duì)于客 體引入用戶地址空間的事件及客體刪除事件，審計(jì)記錄包 含客體名及客體的安全級(jí)別。此外，計(jì)算機(jī)信息系統(tǒng)可信 計(jì)算基具有審計(jì)更改可讀輸出記號(hào)的能力。 信息安全原理信息系統(tǒng)安全等級(jí)與39 對(duì)不能由計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基獨(dú)立分辨的審 計(jì) 事件，審計(jì)機(jī)制提供審計(jì)記錄接口，可由授權(quán)主體調(diào)用這 些審計(jì)記錄區(qū)別于計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基獨(dú)立分辨的 審計(jì)記錄。 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基能夠?qū)徲?jì)利用隱蔽存儲(chǔ) 信 道時(shí)可能被使用的事件。 （4）數(shù)據(jù)完整性： 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基通過自主和強(qiáng)制完整性策略， 阻止非授權(quán)用戶修改或破壞敏感信息。在網(wǎng)絡(luò)環(huán)境中，使 用完整性敏感標(biāo)記來(lái)確