比較第三級與第四級的安全功能要求

1、比較第三級與第四級的安全功能要求第三級 安全標記保護級本級的計算機信息系統(tǒng)可信計算基具有系統(tǒng)審計保護級的所有功能。此外，還需提供有關安全策略模型、數據標記以及主體對客體強制訪問控制的非形式化描述， 具有準確地標記輸出信息的能力；消除通過測試發(fā)現的任何錯誤。自主訪問控制。計算機信息系統(tǒng)可信計算基定義和控制系統(tǒng)中命名用戶對命名客體的訪問。強制訪問控制。計算機信息系統(tǒng)可信計算基對所有主體及其所控制的客體（例如：進程、文件、段、設備）實施強制訪問控制。標記。計算機信息系統(tǒng)可信計算基應維護與主體及其控制的存儲客體（例如：進程、文件、段、設備）相關的敏感標記。用戶身份鑒別。計算機信息系統(tǒng)可信計算基初始執(zhí)行

2、時，首先要求用戶標識自己的身份，而且，計算機信息系統(tǒng)可信計算基維護用戶身份識別數據并確定用戶訪問權及授權數據?？腕w重用機制。在計算機信息系統(tǒng)可信計算基的空閑存儲客體空間中，對客體初始指定、分配或再分配一個主體之前，撤銷客體所含信 息的所有授權。當主體獲得對一個已被釋放的客體的訪問權 時，當前主體不能獲得原主體活動所產生的任何信息。審計機制。計算機信息系統(tǒng)可信計算基能創(chuàng)建和維護受保護客體的訪 問審計跟蹤記錄，并能阻止非授權的用戶對它訪問或破壞。數據完整性機制。計算機信息系統(tǒng)可信計算基通過自主和強制完整性策 略，阻止非授權用戶修改或破壞敏感信息。在網絡環(huán)境中， 使用完整性敏感標記來確信信息在傳送中

3、未受損。第四級結構化保護級本級的計算機信息系統(tǒng)可信計算基建立于一個明確定義的形式化安全策略模型之上，它要求將第三級系統(tǒng)中的自主和強制訪問控制擴展到所有主體與客體。止匕外， 還要考慮隱蔽通道。 本級的計算機信息系統(tǒng)可信計算基 必須結構化為關鍵保護元素和非關鍵保護元素。 計算機 信息系統(tǒng)可信計算基的接口也必須明確定義， 使其設計 與實現能經受更充分的測試和更完整的復審。加強了鑒別機制；支持系統(tǒng)管理員和操作員的職能；提供可信設 施管理；增強了配置管理控制。系統(tǒng)具有相當的抗?jié)B透 能力。具體來說就是要求具有以下內容：自主訪問控制。同第三級“安全標記保護級”。強制訪問控制。TCB對外部主體能夠直接或間接訪

4、問的所有資源（主體、存儲客體、輸入輸出資源）實施強制訪 問控制。標記。身份鑒別。同第三級“安全標記保護級”。 客體重用。同第三級“安全標記保護級”。 審計。同第三級“安全標記保護級” ，但增加了審計 隱蔽存儲信道事件。 數據完整性機制。同第三級“安全標記保護級” 。隱蔽信道分析。系統(tǒng)開發(fā)者應徹底搜索隱蔽存儲信道，并根據實際測量或工程估算確定每一個被標識信道的最 大帶寬?？尚怕窂健τ脩舻某跏嫉顷?（如login） , TCB在它 與用戶之間提供可信通信路徑， 使用戶確信與TCB進行通信， 而不是與一個“特洛伊木馬”通信，其輸入的用戶名和口令的確被TCB接受。4.3 第三級 安全標記保護級本級的

5、計算機信息系統(tǒng)可信計算基具有系統(tǒng)審計保護級所有功能。此外，還提供有關安全策略模型、數據標記以及主體對客體強制訪問控制的非形式化描述；具有準確地標記輸出信息的能力；消除通過測試發(fā)現的任何錯誤。4.3.1 自主訪問控制計算機信息系統(tǒng)可信計算基定義和控制系統(tǒng)中 命名用戶對命名客體的訪問 。實施機制（例如：訪問控制表）允許命名用戶以用戶和（或）用戶組的身份規(guī)定并控制客體的共享；阻止非授權用戶讀取敏感信息。并控制訪問權限擴散。自主訪問控制機制根據用戶指定方式或默認方式，阻止非授權用戶訪問客體。訪問控制的粒度是單個用戶。沒有存取權的用戶只允許由授權用戶指定對客體的訪問權。阻止非授權用戶讀取敏感信息。4.3

6、.2 強制訪問控制計算機信息系統(tǒng)可信計算基對所有主體及其所控制的客體（例如：進程、文件、段、設備）實施強制訪問控制。為這些主體及客體指定敏感標記，這些標記是等級分類和非等級類別的組合，它們是實施強制訪問控制的依據。計算機信息系統(tǒng)可信計算基支持兩種或兩種以上成分組成的安全級。計算機信息系統(tǒng)可信計算基控制的所有主體對客體的訪問應滿足：僅當主體安全級中的等級分類高于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別，主體才能讀客體；僅當主體安全級中的等級分類低于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含于客體安全級中的非等級類別，主體才能寫一

7、個客體。計算機信息系統(tǒng)可信計算基使用身份和鑒別數據，鑒別用戶的身份，并保證用戶創(chuàng)建的計算機信息系統(tǒng)可信計算基外部主體的安全級和授權受該用戶的安全級和授權的控制。4.3.3 標記計算機信息系統(tǒng)可信計算基應維護與主體及其控制的存儲客體（例如：進程、文件、段、設備）相關的敏感標記。這些標記是實施強制訪問的基礎。為了輸入未加安全標記的數據，計算機信息系統(tǒng)可信計算基向授權用戶要求并接受這些數據的安全級別，且可由計算機信息系統(tǒng)可信計算基審計。4.3.4 身份鑒別計算機信息系統(tǒng)可信計算基初始執(zhí)行時，首先要求用戶標識自己的身份，而且，計算機信息系統(tǒng)可信計算基維護用戶身份識別數據并確定用戶訪問權及授權數據。計算

8、機信息系統(tǒng)可信計算基使用這些數據鑒別用戶身份，并使用保護機制（例如：口令）來鑒別用戶的身份；阻止非授權用戶訪問用戶身份鑒別數據。通過為用戶提供唯一標識，計算機信息系統(tǒng)可信計算基能夠使用戶對自己的行為負責。計算機信息系統(tǒng)可信計算基還具備將身份標識與該用戶所有可審計行為相關聯的能力。4.3.5 客體重用在計算機信息系統(tǒng)可信計算基的空閑存儲客體空間中，對客體初始指定、分配或再分配一個主體之前，撤銷客體所含信息的所有授權。當主體獲得對一個已被釋放的客體的訪問權時，當前主體不能獲得原主體活動所產生的任何信息。4.3.6 審計計算機信息系統(tǒng)可信計算基能創(chuàng)建和維護受保護客體的訪問審計跟蹤記錄，并能阻止非授權

9、的用戶對它訪問或破壞。計算機信息系統(tǒng)可信計算基能記錄下述事件：使用身份鑒別機制；將客體引入用戶地址空間（例如：打開文件、程序初始化） ；刪除客體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實施的動作，以及其他與系統(tǒng)安全有關的事件。對于每一事件，其審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別事件，審計記錄包含請求的來源（例如：終端標識符） ；對于客體引入用戶地址空間的事件及客體刪除事件，審計記錄包含客體名及客體的安全級別。此外，計算機信息系統(tǒng)可信計算基具有審計更改可讀輸出記號的能力。對不能由計算機信息系統(tǒng)可信計算基獨立分辨的審計事件，審計機制提供審計記錄接口，可由授

10、權主體調用。這些審計記錄區(qū)別于計算機信息系統(tǒng)可信計算基獨立分辨的審計記錄。4.3.7 數據完整性計算機信息系統(tǒng)可信計算基通過自主和強制完整性策略，阻止非授權用戶修改或破壞敏感信息。在網絡環(huán)境中，使用完整性敏感標記來確信信息在傳送中未受損。4.4 第四級 結構化保護級本級的計算機信息系統(tǒng)可信計算基建立于一個明確定義的形式化安全策略模型之上，它要求將第三級系統(tǒng)中的自主和強制訪問控制擴展到所有主體與客體。此外，還要考慮隱蔽通道。本級的計算機信息系統(tǒng)可信計算基必須結構化為關鍵保護元素和非關鍵保護元素。計算機信息系統(tǒng)可信計算基的接口也必須明確定義，使其設計與實現能經受更充分的測試和更完整的復審。加強了鑒

11、別機制；支持系統(tǒng)管理員和操作員的職能；提供可信設施管理；增強了配置管理控制。系統(tǒng)具有相當的抗?jié)B透能力。4.4.1 自主訪問控制計算機信息系統(tǒng)可信計算基定義和控制系統(tǒng)中命名用戶對命名客體的訪問。實施機制（例如：訪問控制表）允許命名用戶和（或）以用戶組的身份規(guī)定并控制客體的共享；阻止非授權用戶讀取敏感信息。并控制訪問權限擴散。自主訪問控制機制根據用戶指定方式或默認方式，阻止非授權用戶訪問客體。訪問控制的粒度是單個用戶。沒有存取權的用戶只允許由授權用戶指定對客體的訪問權。4.4.2 強制訪問控制計算機信息系統(tǒng)可信計算基對外部主體能夠直接或間接訪問的所有資源 （例如： 主體、 存儲客體和輸入輸出資源）

12、實施強制訪問控制。為這些主體及客體指定敏感標記，這些標記是等級分類和非等級類別的組合，它們是實施強制訪問控制的依據。計算機信息系統(tǒng)可信計算基支持兩種或兩種以上成分組成的安全級。計算機信息系統(tǒng)可信計算基外部的所有主體對客體的直接或間接的訪問應滿足：僅當主體安全級中的等級分類高于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別，主體才能讀客體；僅當主體安全級中的等級分類低于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含于客體安全級中的非等級類別，主體才能寫一個客體。計算機信息系統(tǒng)可信計算基使用身份和鑒別數據，鑒別用戶的身份，保護用戶創(chuàng)建的計算

13、機信息系統(tǒng)可信計算基外部主體的安全級和授權受該用戶的安全級和授權的控制。4.4.3 標記計算機信息系統(tǒng)可信計算基維護與可被外部主體直接或（例如： 主體、 存儲客體、只讀存儲器）相關的敏感標記。這些標記是實施強制訪問的基礎。為了輸入未加安全標記的數據，計算機信息系統(tǒng)可信計算基向授權用戶要求并接受這些數據的安全級別，且可由計算機信息系統(tǒng)可信計算基審計。4.4.4 身份鑒別計算機信息系統(tǒng)可信計算基初始執(zhí)行時，首先要求用戶標識自己的身份，而且，計算機信息系統(tǒng)可信計算基維護用戶身份識別數據并確定用戶訪問權及授權數據。計算機信息系統(tǒng)可信計算基使用這些數據，鑒別用戶身份，并使用保護機制（例如：口令）來鑒別用

14、戶的身份；阻止非授權用戶訪問用戶身份鑒別數據。通過為用戶提供唯一標識，計算機信息系統(tǒng)可信計算基能夠使用戶對自己的行為負責。計算機信息系統(tǒng)可信計算基還具備將身份標識與該用戶所有可審計行為相關聯的能力。4.4.5 客體重用在計算機信息系統(tǒng)可信計算基的空閑存儲客體空間中，對客體初始指定、分配或再分配一個主體之前，撤銷客體所含信息的所有授權。當主體獲得對一個已被釋放的客體的訪問權時，當前主體不能獲得原主體活動所產生的任何信息。4.4.6 審計計算機信息系統(tǒng)可信計算基能創(chuàng)建和維護受保護客體的訪問審計跟蹤記錄，并能阻止非授權的用戶對它訪問或破壞。計算機信息系統(tǒng)可信計算基能記錄下述事件：使用身份鑒別機制；將

15、客體引入用戶地址空間（例如：打開文件、程序初始化） ；刪除客體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實施的動作，以及其他與系統(tǒng)安全有關的事件。對于每一事件，其審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別事件，審計記錄包含請求的來源（例如：終端標識符） ；對于客體引入用戶地址空間的事件及客體刪除事件，審計記錄包含客體及客體的安全級別。此外，計算機信息系統(tǒng)可信計算基具有審計更改可讀輸出記號的能力。對不能由計算機信息系統(tǒng)可信計算基獨立分辨的審計事件，審計機制提供審計記錄接口，可由授權主體調用。這些審計記錄區(qū)別于計算機信息系統(tǒng)可信計算基獨立分辨的審計記錄。計算機信息

16、系統(tǒng)可信計算基能夠審計利用隱蔽存儲信道時可能被使用的事件。4.4.7 數據完整性計算機信息系統(tǒng)可信計算基通過自主和強制完整性策略。阻止非授權用戶修改或破壞敏感信息。在網絡環(huán)境中，使用完整性敏感標記來確信信息在傳送中未受損。4.4.8 隱蔽信道分析系統(tǒng)開發(fā)者應徹底搜索隱蔽存儲信道，并根據實際測量或工程估算確定每一個被標識信道的最大帶寬。4.4.9 可信路徑對用戶的初始登錄和鑒別，計算機信息系統(tǒng)可信計算基在它與用戶之間提供可信通信路徑。該路徑上的通信只能由該用戶初始化。序號內容第三級安全標記保護級0定義本級的計算機信息系統(tǒng)可信計算基具有系統(tǒng)審計保護級的所有功能。止匕外，還需提供有關安全策略模型、數

17、據標記以及主體對客體強制訪問控 制的非形式化描述，具有準確地標記 輸由信息的能力；消除通過測試發(fā)現 的任何錯誤。第四級機構化保護級 本級的計算機信息系統(tǒng)可信計算基建立于 一個明確定義的形式化安全策略模型之上， 它要求將第三級系統(tǒng)中的自主和強制訪問 控制擴展到所有主體與客體。止匕外，還要考 慮隱蔽通道。本級的計算機信息系統(tǒng)可信計 算基必須結構化為關鍵保護元素和非關鍵 保護元素。計算機信息系統(tǒng)可信計算基的借 口也必須明確定義，使其設計與實現能經受 更充分的測試和更完整的復審。加強了鑒別 機制；支持系統(tǒng)管理員和操作員的職能；提 供可信設施管理；增強了配置管理控制。系 統(tǒng)具有相當的抗?jié)B透能力。自主訪問

18、 計算機信息系統(tǒng)可信計算基定義 控制 和控制系統(tǒng)中命名用戶對命名客體地訪問。實施機制（例如：訪問控制表） 允許命名用戶以用戶和（或）用戶組 的身份規(guī)定并控制客體的共享；阻止 非授權用戶讀取敏感信息。并控制訪 問權限擴散。自主訪問控制機制根據 用戶指定方式或默認方式，阻止非授 權用戶訪問客體。訪問控制的粒度是 單個用戶。沒有存取權的用戶只允許 由授權用戶指定對客體的訪問權。阻 止非授權用戶讀取敏感信息。計算機信息系統(tǒng)可信計算基定義和控制 系統(tǒng)中命名用戶對命名客體的訪問。實施機 制（例如：訪問控制表）允許命名用戶和（或） 以用戶組的身份規(guī)定并控制客體的共享；阻 止非授權用戶讀取敏感信息。并控制訪問

19、權 限擴散。自主訪問控制機制根據用戶指定方式或默認 方式，阻止非授權用戶訪問客體。訪問控制 的粒度是單個用戶。沒有存取權的用戶只允 許由授權用戶指定對客體的訪問權。2強制訪問控制計算機信息系統(tǒng)可信計算基對所有主 體及其所控制的客體（例如：進程、 文件、段、設備）實施強制訪問控制。 為這些主體及客體指定敏感標記，這 些標記是等級分類和非等級類別的組 合，它們是實施強制訪問控制的依據。 計算機信息系統(tǒng)可信計算基支持兩種 或兩種以上成分組成的安全級。計算 機信息系統(tǒng)可信計算基控制的所有主 體對客體的訪問應滿足：僅當主體安 全級中的等級分類高于或等于客體安 全級中的等級分類，且主體安全級中計算機信息系

20、統(tǒng)可信計算基對外部主體 能夠或宜接訪問的所有資源（例如：主體、 存儲客體和輸入輸由資源）實施強制訪問控 制。為這些主體及客體指定敏感標記，這些 標記是等級分類和非等級類別的組合，它們 是實施強制訪問控制的依據。計算機信息系 統(tǒng)可信計算基支持兩種或兩種以上成分組成 的安全級。計算機信息系統(tǒng)可信計算基外部 的所有主體對客體的直接或間接的訪問應滿 足：僅當主體安全級中的等級分類高于或等 于客體安全級中的等級分類，且主體安全級 中的非等級類別包含了客體安全級中的全部非等級類別，主體才能讀客體；僅當主體安 全級中的等級分類低于或等于客體安全級中 的等級分類，且主體安全級中的非等級類別 包含與客體安全級中

21、的非等級類別，主體才 能寫一個客體。計算機信息系統(tǒng)可信計算基 使用身份和鑒別數據，鑒別用戶的身份，保 證用戶創(chuàng)建的計算機信息系統(tǒng)可信計算基外 部主體的安全級和授權受該用戶的安全級和 授權的控制。的非等級類別包含了客體安全級中的 全部非等級類別，主體才能讀客體； 僅當主體安全級中的等級分類低于或 等于客體安全級中的等級分類，且主 體安全級中的非等級類別包含于客體 安全級中的非等級類別，主體才能寫 一個客體。計算機信息系統(tǒng)可信計算 基使用身份和鑒別數據，鑒別用戶的 身份，并保證用戶創(chuàng)建的計算機信息 系統(tǒng)可信計算基外部主體的安全級和 授權受該用戶的安全級和授權的控 制。3標記計算機信息系統(tǒng)可信計算基

22、應維護與 主體及其控制的存儲客體（例如：進 程、文件、段、設備）相關的敏感標 記。這些標記是實施強制訪問的基礎。 為了輸入未加安全標記的數據，計算 機信息系統(tǒng)可信計算基向授權用戶要 求并接受這些數據的安全級別，且可 由計算機信息系統(tǒng)可信計算基審計。4身份鑒別計算機信息系統(tǒng)可信計算基初始執(zhí)行 時，首先要求用戶標識自己的身份， 而且，計算機信息系統(tǒng)可信計算基維 護用戶身份識別數據并確定用戶訪問計算機信息系統(tǒng)可心計算基維護與可被 外部主體直接或間接訪問到的計算機信息系 統(tǒng)資源（例如：主體、存儲客體、只讀存儲 器）相關的敏感標記。這些標記是實施強制 訪問的基礎。為了輸入未加安全標記的數據, 計算機信息

23、系統(tǒng)可信計算基向授權用戶要求 并接受這些數據的安全級別，且可由計算機 信息系統(tǒng)可信計算基審計。計算機信息系統(tǒng)可信計算基初始執(zhí)行 時，首先要求用戶標識自己的身份，而且， 計算機信息系統(tǒng)可信計算基維護用戶身份識 別數據并確定用戶訪問權及授權數據。計算權及授權數據。計算機信息系統(tǒng)可信 計算基使用這些數據鑒別用戶身份， 并使用保護機制（例如：口令）來鑒 別用戶的身份；阻止非授權用戶訪問 用戶身份鑒別數據。通過為用戶提供 唯一標識，計算機信息系統(tǒng)可信計算 基能夠使用戶對自己的行為負責。計 算機信息系統(tǒng)可信計算基還具備將身 份標識與該用戶所有可審計行為想關 聯的能力。機信息系統(tǒng)可信計算基使用這些數據，鑒別

24、 用戶身份，并使用保護機制（例如：口令） 來鑒別用戶的身份：阻止非授權用戶訪問用 戶身份鑒別數據。通過為用戶提供唯一標識, 計算機信息系統(tǒng)可信計算基能夠使用戶對自 己的行為負責。計算機信息系統(tǒng)可信計算基 還具備將身份標識與該用戶所有可審計行為 相關聯的能力。5客體重用在計算機信息系統(tǒng)可信計算基的空閑 存儲客體空間中，對客體初始指定、 分配或再分配一個主體之前，撤消客 體所含信息的所有授權。當主體獲得 對一個已被釋放的客體的訪問權時， 當前主體不能獲得原主體活動所產生 的任何信息。6審計計算機信息系統(tǒng)可信計算基能創(chuàng) 建和維護受保護客體的訪問審計跟蹤 記錄，并能阻止非授權的用戶對它訪 問或破壞。計

25、算機信息系統(tǒng)可信計算基能記 錄下述事件：使用身份鑒別機制；將計算機信息系統(tǒng)可信計算基的空閑存儲 客體空間中，對客體初始指定、分配或再分 配一個主體之前，撤消客體所含信息的所有 授權。當主體獲得對一個已被釋放的客體的 訪問權時，當前主體不能獲得原主體活動所 產生的任何信息。計算機信息系統(tǒng)可信計算基能創(chuàng)建和維 護受保護客體的訪問審計跟蹤記錄，并能阻 止非授權的用戶對它訪問或破壞。計算機信息系統(tǒng)可信計算基能記錄下 述事件：使用身份鑒別機制；將客體引入用 戶地址空間（例如：打開文件、程序初始化）；客體引入用戶地址空間（例如：打開 文件、程序初始化）；刪除客體；由操 作員、系統(tǒng)管理員或（和）系統(tǒng)安全 管理員實施的動作，以及其他與系統(tǒng) 安