等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。如何对信息系统实行分等级保护一直是社会各方关注的热点。美国,作为一直走在信息安全研究前列的大国,近几年来在计算机信息系统安全方面,突出体现了系统分类分级实施保护的发展思路,并根据有关的技术标准、指南,对国家一些重要的信息系统实现了安全分级、采用不同管理的工作模式,并形成了体系化的标准和指南性文件。
一、美国信息系统分级的思路
从目前的资料上看,美国在计算机信息系统的分级存在多样性,但基本的思路是一致的,只不过分级的方法不同而已,已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括:
资产(包括有形资产和无形资产)(使用资产等级作为判断系统等级重要因素的文件如FIPS199,IATF,DITSCAP,NIST800-37等);
威胁(使用威胁等级作为判断系统等级重要因素的文件如IATF等);
破坏后对国家、社会公共利益和单位或个人的影响(使用影响等级作为判断系统等级重要因素的文件如FIPS199,IATF等);
单位业务对信息系统的依赖程度(DITSCAP);
根据对上述因素的不同合成方式,分别可以确定:
系统强健度等级(IATF):由信息影响与威胁等级决定;
系统认证级(DITSCAP):由接口模式、处理模式、业务依赖、三性、不可否认性等七个方面取权值决定;
系统影响等级(FIPS199):根据信息三性的影响确定;
安全认证级(NIST800-37):根据系统暴露程度与保密等级确定。
由于不同的信息系统所隶属的机构不同,美国两大类主要信息系统:联邦政府机构的信息系统及国防部信息系统所参照的分级标准不尽相同,即:所有联邦政府机构按照美国国家标准与技术研究所(NIST)有关标准和指南的分级方法和技术指标;而国防部考虑到本身信息系统及所处理信息的特殊性,则是按照DoD 8500.2的技术方法进行系统分级。下面重点介绍美国联邦政府和国防部的有关标准和指南性文件。
美国联邦信息处理标准(FIPS)是(NIST)制定的一类安全出版物,多为强制性标准。FIPS 199 《联邦信息和信息系统安全分类标准》(2003年12月最终版)描述了如何确定一个信息系统的安全类别。确定系统级别的落脚点在于系统中所处理、传输、存储的所有信息类型的重要性。
信息和信息系统的“安全类别”是FIPS 199中提出的一种系统级别概念。该定义是建立在某些事件的发生会对机构产生潜在影响的基础之上。具体以信息和信息系统的三类安全目标(保密性、完整性和可用性)来表现,即,丧失了保密性、完整性或可用性,对机构运行、机构资产和个人产生的影响。FIPS 199定义了三种影响级:低、中、高。
FIPS 199按照“确定信息类型——确定信息的安全类别——确定系统的安全类别”三个步骤进行系统最终的定级。
首先,确定系统内的所有信息类型。FIPS 199指出,一个信息系统内可能包含不止一种类型的信息(例如隐私信息、合同商敏感信息、专属信息、系统安全信息等)。
其次,根据三类安全目标,确定不同信息类型的潜在影响级别(低、中、高)。
最后,整合系统内所有信息类型的潜在影响级,按照“取高”原则,即选择较高影响级别作为系统的影响级(低、中、高)。最终,系统安全类别(SC)的通用表达式为:
SC需求系统={(保密性,影响级),(完整性,影响级),(可用性,影响级)}
为配合FIPS 199的实施,NIST分别于2004年6月推出了SP 800-60第一、二部分,《将信息和信息系统映射到安全类别的指南》及其附件。其中详细的介绍了联邦信息系统中可能运行的所有信息类型;并针对每一种信息类型,介绍了如何去选择其影响级别,并给出了推荐采用的级别。这样,系统在确定等级的第一步—确认信息类型,并确定其影响级别时,有了很好的参考意见。
而美国国防部对信息系统的分级与联邦政府有所不同,主要把信息系统的信息分类为业务保障类和保密类,同时对这两类进行了分级的要求,该分级要求发布在2003年2月的信息保障实施指导书(8500.2)中。
总的来讲,8500.2也采用了三性:完整性、可用性和保密性对国防部的信息系统进行级别划分。需要特别提出的是,考虑到完整性和可用性在很多时候是相互联系的,无法完全分出,故在8500.2中将二者合为一体,提出一个新概念“业务保障类”。同时考虑到国防部信息系统所处理的信息的特殊性,故其分级依据为系统其对业务保障类的要求及所处理信息的保密程度,分别分为三个等级。
保密类级别根据系统处理信息的保密类型:机密类、敏感类和公开类来确定级别(高、中、基本)。业务保障级别和保密级别是相互独立的,也就是说业务保障类I可以处理公共信息,而业务保障类III可以处理机密信息。不同级别的业务保障类和保密类相互组合,形成九种组合,体现不同系统的等级要求。
综上所述,无论是联邦政府还是国防部,在考虑系统分级因素的时候,都给予了信息系统所处理、传输和存储的信息以很大的权重。NIST的系统影响级是完全建立在信息影响级基础之上的;而国防部考虑到其所处理的信息的密级,故将信息的保密性单独作为一项指标。可见,系统所处理的信息的重要性可作为我们划分等级时的重要依据。
二、安全措施的选择
信息系统的保护等级确定后,有一整套的标准和指南规定如何为其选择相应的安全措施。
NIST 的SP 800-53《联邦信息系统推荐安全控制》为不同级别的系统推荐了不同强度的安全控制集(包括管理、技术和运行类)。为帮助机构对它们的信息系统选择合适的安全控制集,该指南提出了基线这一概念。基线安全控制是基于FIPS 199中的系统安全分类方法的最小安全控制集。针对三类系统影响级,800-53列出三套基线安全控制集(基本、中、高),分别对应于系统的影响等级。
800-53中提出了三类安全控制:管理、技术和运行。每类又分若干个族(共18个),每个族又由不同的安全控制组成(共390个)。集合了美国各方面的控制措施的要求,来源包括:
FISCAM (联邦信息系统控制审计手册);
DOD 8500 (信息保障实施指导书);
SP 800-26(信息技术系统安全自评估指南);
CMS (公共健康和服务部,医疗保障和公共医疗补助,核心安全需求);
DCID 6/3 (保护信息系统的敏感隔离信息);
ISO 17799 (信息系统安全管理实践准则)。
来源的广泛性,体现了安全控制措施的适用性和恰当性。需要指出的是,800-53只是作为选择最小安全控制的临时性指南,NIST将于2005年12月推出FIPS 200 《联邦信息系统最小安全控制》标准,以进一步完善信息系统的安全控制。
区别于SP 800-53中“类”的概念,国防部8500.2提出了“域”的概念,八个主题域分别为:安全设计与配置、标识与鉴别、飞地与计算环境、飞地边界防御、物理和环境、人员、连续性、脆弱性和事件管理。每个主题域包含若干个安全控制。对应系统的业务保障类级别和保密类级别,安全控制也分为业务保障类安全控制I、II、III级和保密类安全控制三级。机构可根据自身对业务保障类和保密类安全要求,选择相应的安全控制。
由以上介绍可以看出,美国在推行系统分级实施不同安全措施方面,虽然只是近几年才开展,但已经积累了一些成熟的经验,并形成了一套完整的体系。尤其是联邦政府的信息系统,根据2002年《联邦信息安全管理法案》(FISMA)(公共法律107-347),赋予了NIST以法定责任开发一系列的标准和指南。因此,从系统信息类型定义,到如何确定影响级,到安全控制的选择,直至最终的系统安全验证和授权,NIST都给出了配套的指南或标准来支持。这些都为我国推行等级保护铺垫了良好的基础,提供了有效的经验。
温家宝总理在国家信息化领导小组第三次会议上曾经指出,信息安全的保障工作要坚持积极防御、综合方法的方针 重点保障基础网络和重要系统的安全,并完善信息安全监控体系,建立信息安全的有效机制和应急处理机制。
因此,如何使计算机信息网络等级保护制度更为有效地保护重要领域的信息网络,建立安全保障的长效机制将是今后我国信息安全建设的重点。为此,公安部公共信息网络安全监察局局长李昭就等级保护制度进行了解释。
计算机信息网络安全等级保护的主要内容和基本思路
答:1994年国务院颁布的《计算机信息系统安全保护条例》中已经规定:我国的“计算机信息系统实行安全等级保护。等级划分标准和等级管理办法由公安部会同有关部门制定”。
等级保护的主要内容可以从五个方面来概括。首先,公安、国家保密、国家密码管理、技术监督、信息产业等国家有关信息网络安全的行政主管部门要在国家信息化领导小组的统一领导下,制定我国开展信息网络安全等级保护工作的发展政策,统一制定针对不同安全保护等级的管理规定和技术标准,对不同信息网络确定不同安全保护等级和实施不同的监督管理措施。公安机关作为计算机信息网络安全保护工作的主管部门,要代表国家依法履行对计算机信息网络安全等级保护工作的监督管理和服务保障职能,依据管理规定和技术标准的具体等级,对单位、企业、个人计算机信息网络的安全保护状况进行监督和检查,并为落实等级保护制度提供指导和服务保障。国家保密、密码管理、技术监督、信息产业等部门也要根据各自职能,在等级保护中各自发挥重要作用。
其次,等级保护坚持“谁主管、谁负责,谁经营、谁负责,谁建设、谁负责,谁使用、谁负责”的原则。计算机信息网络的建设和使用单位要依照等级保护管理规定和香港技术标准,根据其单位在国民经济和社会发展中的地位作用、信息网络依赖程度和重要程度、信息内容或数据的重要程度、系统遭到攻击破坏后造成的危害程度等因素,科学、准确地设定其安全保护等级,开展安全等级波阿訇设施和制度建设,落实安全管理措施和相关责任。重要领域和重点要害信息网络的上级主管部门要对所属信息网络的安全负起领导和管理责任,提高自主管理、自我保护能力。
第三,等级保护实行“国家主导、重点单位强制、一般单位自愿;高保护级别强制、低保护级别自愿”的监管原则。计算机信息网络安全涉及国家安全、国家利益和社会稳定,信息网络安全等级保护是国家安全战略的重要组成部分。国家根据信息网络的重要程度和保护价值实行分等级逐步加重的保护措施。涉及国家安全和利益的重要信息网络,必须按照管理规定设定相应的安全保护制度,并由国家主管部门予以核准;其他信息网络自行设定安全等级,报国家主管部门备案。重要信息网络要按照国家有关法规和技术标准建设安全保护设施和进行安全保护管理,国家主管部门依法对其进行监督和检查;一般使用单位可以自愿按照国家制度的标准,在国家主管部门的制度或帮助下,实施自我保护和共同保护。
第四,信息网络安全状况等级的技术检测是等级保护的重点。信息网络的技术安全等级是信息网络安全状况等级的主要指标,由国家授权的技术检测机构通过技术检测来进行评定。技术检测机构需取得国家主管部门的技术资质和授权后,方可从事信息网络安全等级保护的技术检测。同时,鼓励重点使用单位和主管部门自行建立评估机构,在取得国家主管部门的技术资质和授权后,对本单位、部门的信息网络自行检测。技术检测的结果应报送国家主管部门。国家主管部门根据技术检测和其他安全检查的结果对信息网络的安全保护进行监督管理,并对技术检测机构进行监管。
第五,等级保护制度为信息网络安全产品的普及使用提供了广阔的市场和发展空间。通过等级保护,引导国内外信息技术和信息安全产品研发企业根据国家有关法规和技术标准,积极研发和推广使用适合不同安全保护等级的产品。由于国家强制采用符合安全等级的产品,特别是重要领域要求采用我国自主开发的安全产品,必将带动和促进自主信息网络安全产品的开发、研制、生产和使用,使我国自主的信息安全产业化,尽快缩短与发达国家的差距,既能推动我国民族信息产业的进一步发展,也为保障我国的信息网络安全打下更坚实的基础。
等级保护制度对于我国国家信息安全的重要意义
答:实行等级保护是在借鉴国外先进经验和结合我国国情的基础上解决我国信息网络安全的必然选择。
如何全面和整体解决各行各业在信息化建设中的安全问题,是国内外信息安全界多年来一直关注的问题。美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁,制定了一系列强化信息网络安全建设的政策和标准,其中一个很重要思想就是将按照安全保护强度划分不同的安全等级,以指导不同领域的信息安全工作。
近年来,在党中央、国务院高度重视和全社会共同努力下,我国信息网络安全工作取得了很大发展。但是由于我国信息安全工作起步晚,基础薄弱,信息网络安全面临的形势依然十分严峻。
首先,全社会对网络信息内容安全的认识普遍提高,但对网络自身的安全性却认识不足。一些单位片面认为内部使用的信息网络就是安全的,因而缺乏网络安全保护的意识和能力。随着信息化发展特别是电子政务的建设,互联互通和信息共享已越来越广泛,单位内部信息网络面临的安全威胁越来越大,单位内部信息网络面临的安全威胁越来越大。更令人担心的是,这些信息网络大多集中在党政机关,以及金融、电信、广电、能源、交通运输、重点工程建设、大型企业等重要经济建设部门,这些关系国计民生的信息网络一旦遭到外部攻击或内部破坏,后果将十分严重。
其次,网络安全建设和管理存在很大的盲目性。大多数单位既不清楚如何建设网络才是安全的,也不清楚如何检查所使用的网络的安全状况,也不知道如何有效改进和完善网络的安全性。有的人以为,安装了防火墙、防病毒、入侵检测等设备的网络就是安全的。这种低水平的安全建设和管理,不仅使建设投资缺乏针对性,而且难以保证网络的整体安全防范能力。
第三,对信息网络安全保护工作的监测管理薄弱。近年来,我国相继出台了多部信息网络安全的法律法规和技术标准,赋予多个行政部门主管部门在信息网络领域行使监督执法职能,但随着信息技术的迅猛发展和我国信息化进程的加快,传统的管理方式越来越不适应。执法主体不集中,多重多头管理,对重要程度不同的信息网络的管理要求没有差异、没有标准,缺乏针对性。对应该重点监督的单位和网络,无从入手实施监管。对信息网络的安全监督检查,多数停留在对安全管理制度、人员及一般性地技术检查,缺乏有效的技术检查标准和检测工具,工作难以深入。特别是监督和检测的职能不分,不符合社会主义市场经济条件下政府职能转变的要求。
第四,规范化、高水平的信息网络安全服务市场还未形成。由于信息网络安全的专业性强,专门人才有限,而社会上专业化程度高、专门从事网络安全技术咨询、风险分析、检测评估等业务的网络安全服务机构极为缺乏,难以为全社会提供足够的网络安全技术支持和服务。因此,我国绝大多数单位的信息网络基本上是自己建设、自行管理,安全防范和管理服务水平很低。
经过我信息安全领域有关部门和专家学者的多年研究,普遍认为应当针对计算机信息网络建设和使用单位根据其单位的重要程度、网络的重要程度、内容的重要程度、系统遭到攻击破坏后造成的危害程度等因素,依据国家规定的等级划分标准设定其保护等级,自主进行网络安全建设和安全管理,提高安全保护的科学性、整体性、实用性。因此,通过实施安全等级保护,转变政府职能,强化国家监管和明确单位、企业、个人责任,推动信息网络安全服务机制和建立和完善,逐步探索一条适应社会主义市场经济发展的信息安全发展模式,使有效解决我国信息网络安全问题的重要措施。
等级保护制度对于公安部门信息网络安全监察工作的意义
答:面对信息化发展带来社会管理工作的新要求、新变化,公安机关多年来积累的在计划经济条件下的社会行政管理模式遇到了强烈的冲击和挑战。公关信息网络安全监察部门在对网络社会安全的监督方法已越来越不适应形势的发展。安全等级保护模式要求国家主管部门必须依据法规和技术标准来进行监督和管理,必须根据不同等级的信息网络采取不同等级的管理措施,增强了执法的针对性,避免了执法中的随意性,强化了立警为公、执法为民的服务和保证意识,使公安机关执法更加公开、公平、公正。这些工作措施是各级公安机关贯彻“三个代表”的重要思想,建立和完善社会主义市场经济条件下信息网络安全监督管理机制的具体体现。
计算机信息系统安全保护GB17859-1999
中华人民共和国国家标准
计算机信息系统安全保护等级划分准则 GB 17859-1999
Classified criteria for security
---------------------------------------------------------------------------
1 范围
本标准规定了计算机系统安全保护能力的五个等级,即:
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级。
本标准适用计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能
力随着安全保护等级的增高,逐渐增强。
2 引用标准
下列标准所包含的条文,通过在本标准中引用而构成本标准的条文。本标准出版时,所
示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的
可能性。
GB/T 5271 数据处理词汇
3 定义
除本章定义外,其他未列出的定义见GB/T 5271。
3.1 计算机信息系统 computer information system
计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一
定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
3.2 计算机信息系统可信计算基 trusted computing base of computer information
system
计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。
它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。
3.3 客体 object
信息的载体。
3.4 主体 subject
引起信息在客体之间流动的人、进程或设备等。
3.5 敏感标记 sensitivity label
表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访
问控制决策的依据。
3.6 安全策略 security policy
有关管理、保护和发布敏感信息的法律、规定和实施细则。 3.7 信道 channel
系统内的信息传输路径。
3.8 隐蔽信道 covert channel
允许进程以危害系统安全策略的方式传输信息的通信信道。
3.9 访问监控器 reference monitor
监控主体和客体之间授权访问关系的部件。
4 等级划分准则
4.1 第一级 用户自主保护级
本级的计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能
力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用
户和用户组信息,避免其他用户对数据的非法读写与破坏。
4.1.1 自主访问控制
计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制
(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;
阻止非授权用户读取敏感信息。
4.1.2 身份鉴别
计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,并使用保护机
制(例如:口令)来鉴别用户的身份,阻止非授权用户访问用户身份鉴别数据。
4.1.3 数据完整性
计算机信息系统可信计算基通过自主完整性策略,阻止非授权用户修改或破坏敏感信
息。
4.2 第二级 系统审计保护级
与用户自主保护级相比,本级的计算机信息系统可信计算基实施了粒度更细的自主访问
控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。
4.2.1 自主访问控制
计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制
(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;
阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式
或默认方式,阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只
允许由授权用户指定对客体的访问权。
4.2.2 身份鉴别
计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,并使用保护机
制(例如:口令)来鉴别用户的身份;阻止非授权用户访问用户身份鉴别数据。通过为用户
提供唯一标识、计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统
可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力。
4.2.3 客体重用
在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配
一个主体之前,撤销该客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问
权时,当前主体不能获得原主体活动所产生的任何信息。
4.2.4 审计
计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非
授权的用户对它访问或破坏。
计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址
空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安
全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:
事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含的
来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录
包含客体名。
对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接
口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记
录。
4.2.5 数据完整性
计算机信息系统可信计算基通过自主完整性策略,阻止非授权用户修改或破坏敏感信
息。
4.3 第三级 安全标记保护级
本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外,还提供有关安
全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出
信息的能力;消除通过测试发现的任何错误。
4.3.1 自主访问控制
计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制
(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;
阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式
或默认方式,阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只
允许由授权用户指定对客体的访问权。阻止非授权用户读取敏感信息。
4.3.2 强制访问控制
计算机信息系统可信计算基对所有主体及其所控制的客体(例如:进程、文件、段、设
备)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类
别的组合,它们是实施强制访问控制的依据。计算机信息系统可信计算基支持两种或两种以
上成分组成的安全级。计算机信息系统可信计算基控制的所有主体对客体的访问应满足:仅
当主体安全级中的等级分类高于或等于客体安全级中的等级分类,且主体安全级中的非等级
类别包含了客体安全级中的全部非等级类别,主体才能读客体;仅当主体安全级中的等级分
类低于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含了客体安全级中
的非等级类别,主体才能写一个客体。计算机信息系统可信计算基使用身份和鉴别数据,鉴
别用户的身份,并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该
用户的安全级和授权的控制。
4.3.3 标记
计算机信息系统可信计算基应维护与主体及其控制的存储客体(例如:进程、文件、
段、设备)相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加安全标记的数
据,计算机信息系统可信计算基向授权用户要求并接受这些数据的安全级别,且可由计算机
信息系统可信计算基审计。 4.3.4 身份鉴别
计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,而且,计算机
信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统
可信计算基使用这些数据鉴别用户身份,并使用保护机制(例如:口令)来鉴别用户的身
份;阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识,计算机信息系统可
信计算基能够使用用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与
该用户所有可审计行为相关联的能力。
4.3.5 客体重用
在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配
一个主体之前,撤销客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权
时,当前主体不能获得原主体活动所产生的任何信息。
4.3.6 审计
计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非
授权的用户对它访问或破坏。
计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址
空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安
全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:
事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请
求的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计
记录包含客体名及客体的安全级别。此外,计算机信息系统可信计算基具有审计更改可读输
出记号的能力。
对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接
口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记
录。
4.3.7 数据完整性
计算机信息系统可信计算基通过自主和强制完整性策略,阻止非授权用户修改或破坏敏
感信息。在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。
4.4 第四级 结构化保护级
本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,它
要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通
道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算
机信息系统可信计算基的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完
整的复审。加强了鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了
配置管理控制。系统具有相当的抗渗透能力。
4.4.1 自主访问控制
计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制
(例如:访问控制表)允许命名用户和(或)以用户组的身份规定并控制客体的共享;阻止
非授用户读取敏感信息。并控制访问权限扩散。
自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访问控制的粒
度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。
4.4.2 强制访问控制
计算机信息系统可信计算基对外部主体能够直接或间接访问的所有资源(例如:主体、
存储客体和输入输出资源)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记
是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。计算机信息系统可信计
算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基外部的所有主体对
客体的直接或间接的访问应满足:仅当主体安全级中的等级分类高于或等于客体安全级中的
等级分类,且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别,主体才能
读客体;仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类,且主体安全级
中的非等级类别包含于客体安全级中的非等级类别,主体才能写一个客体。计算机信息系统
可信计算基使用身份和鉴别数据,鉴别用户的身份,保护用户创建的计算机信息系统可信计
算基外部主体的安全级和授权受该用户的安全级和授权的控制。
4.4.3 标记
计算机信息系统可信计算基维护与可被外部主体直接或间接访问到的计算机信息系统资
源(例如:主体、存储客体、只读存储器)相关的敏感标记。这些标记是实施强制访问的基
础。为了输入未加安全标记的数据,计算机信息系统可信计算基向授权用户要求并接受这些
数据的安全级别,且可由计算机信息系统可信计算基审计。
4.4.4 身份鉴别
计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,而且,计算机
信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统
可信计算基使用这些数据,鉴别用户身份,并使用保护机制(例如:口令)来鉴别用户的身
份;阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识,计算机信息系统可
信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该
用户所有可审计行为相关联的能力。
4.4.5 客体重用
在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配
一个主体之前,撤销客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权
时,当前主体不能获得原主体活动所产生的任何信息。
4.4.6 审计
计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非
授权的用户对它访问或破坏。
计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址
空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安
全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:
事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请
求的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计
记录包含客体及客体的安全级别。此外,计算机信息系统可信计算基具有审计更改可读输出
记号的能力。
对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接
口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记
录。
计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。
4.4.7 数据完整性
计算机信息系统可信计算基通过自主和强制完整性策略。阻止非授权用户修改或破坏敏
感信息。在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。
4.4.8 隐蔽信道分析
系统开发者应彻底搜索隐蔽存储信道,并根据实际测量或工程估算确定每一个被标识信
道的最大带宽。
4.4.9 可信路径
对用户的初始登录和鉴别,计算机信息系统可信计算基在它与用户之间提供可信通信路
径。该路径上的通信只能由该用户初始化。
4.5 第五级 访问验证保护级
本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的
全部访问。访问监控器本身是抗篡改的;必须足够小,能够分析和测试。为了满足访问监控
器需求,计算机信息系统可信计算基在其构造时,排除那些对实施安全策略来说并非必要的
代码;在设计和实现时,从系统工程角度将其复杂性降低到最小程度。支持安全管理员职
能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。系统具有很
高的抗渗透能力。
4.5.1 自主访问控制
计算机信息系统可信计算基定义并控制系统中命名用户对命名客体的访问。实施机制
(例如:访问控制表)允许命名用户和(或)以用户组的身份规定并控制客体的共享;阻止
非授权用户读取敏感信息。并控制访问权限扩散。
自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访问控制
的粒度是单个用户。访问控制能够为每个命名客体指定命名用户和用户组,并规定他们对客
体的访问模式。没有存取权的用户只允许由授权用户指定对客体的访问权。
4.5.2 强制访问控制
计算机信息系统可信计算基对外部主体能够直接或间接访问的所有资源(例如:主体、
存储客体和输入输出资源)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记
是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。计算机信息系统可信计
算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基外部的所有主体对
客体的直接或间接的访问应满足:仅当主体安全级中的等级分类高于或等于客体安全级中的
等级分类,且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别,主体才能
读客体;仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类,且主体安全级
中的非等级类别包含了客体安全级中的非等级类别,主体才能写一个客体。计算机信息系统
可信计算基使用身份和鉴别数据,鉴别用户的身份,保证用户创建的计算机信息系统可信计
算基外部主体的安全级和授权受该用户的安全级和授权的控制。
4.5.3 标记
计算机信息系统可信计算基维护与可被外部主体直接或间接访问到计算机信息系统资源
(例如:主体、存储客体、只读存储器)相关的敏感标记。这些标记是实施强制访问的基
础。为了输入未加安全标记的数据,计算机信息系统可信计算基向授权用户要求并接受这些
数据的安全级别,且可由计算机信息系统可信计算基审计。
4.5.4 身份鉴别 计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,而且,计算机
信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统
可信计算基使用这些数据,鉴别用户身份,并使用保护机制(例如:口令)来鉴别用户的身
份;阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识,计算机信息系统可
信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该
用户所有可审计行为相关联的能力。
4.5.5 客体重用
在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配
一个主体之前,撤销客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权
时,当前主体不能获得原主体活动所产生的任何信息。
4.5.6 审计
计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非
授权的用户对它访问或破坏。
计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间
(例如:打开文件、程序出始化);删除客体;由操作员、系统管理员或(和)系统安全管
理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件
的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请求的
来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录
包含客体名及客体的安全级别。此外,计算机信息系统可信计算基具有审计更改可读输出记
号的能力。
对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接
口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记
录。计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。 计算机信息系统可信计算基包含能够监控可审计安全事件发生与积累的机制,当超过阈
值时,能够立即向安全管理员发出报警。并且,如果这些与安全相关的事件继续发生或积
累,系统应以最小的代价中止它们。
4.5.7 数据完整性
计算机信息系统可信计算基通过自主和强制完整性策略,阻止非授权用户修改或破坏敏感信
息。在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。
4.5.8 隐蔽信道分析
系统开发者应彻底搜索隐蔽信道,并根据实际测量或工程估算确定每一个被标识信道的
最大带宽。
4.5.9 可信路径
当连接用户时(如注册、更改主体安全级),计算机信息系统可信计算基提供它与用户
之间的可信通信路径。可信路径上的通信只能由该用户或计算机信息系统可信计算基激活,
且在逻辑上与其他路径上的通信相隔离,且能正确地加以区分。
4.5.10 可信恢复
计算机信息系统可信计算基提供过程和机制,保证计算机信息系统失效或中断后,可以
进行不损害任何安全保护性能的恢复。