第三章信息安全有關(guān)標準第一節(jié)標準的發(fā)展國際標準的發(fā)展1960年代末，1970年代初，美國出現(xiàn)有關(guān)論文?？尚臫tusted，評測級別，DoD美國防部1967年10月，美 國防科委贊助成立特別工作組。1970年，TastForce等人《計算機系統(tǒng)的安全控制》（始于1967年）。1970年代初，歐、日等國開始。1970年2月，美發(fā)表計算機系統(tǒng)的安全控制。1972年，美發(fā)表DoD5200.28條令。1972年，美DoD《自動數(shù)據(jù)處理系統(tǒng)的安全要求》1973年，美DoD《ADP安全手冊-實施、撤消、測試和評估安全的資源共享ADP系統(tǒng)的技術(shù)與過程》1973年，美發(fā)表DoD5200.28-M（.28相應(yīng)的指南）。1976年，MITRE公司的Bell、LaPadula推出經(jīng)典安全模型——貝爾-拉柏丟拉模型（形式化）。1976年，美DoD《主要防衛(wèi)系統(tǒng)中計算機資源的管理》1976年，美聯(lián)邦信息處理標準出版署FIPSPUB制訂《計算機系統(tǒng)安全用詞》。1977年，美國防研究與工程部贊助成立DoD（ComputerSecurityInitiative，1981年01月成立DoDCSC）。1977年3月，美NBS成立一個工作組，負責安全的審計。1978年，MITRE公司發(fā)表《可信計算機系統(tǒng)的建設(shè)技術(shù)評估標準》。1978年10月，美NBS成立一個工作組，負責安全的評估。1983年，美發(fā)布“可信計算機系統(tǒng)評價標準TCSEC”桔皮書（1985年正式版DoD85）。DoD85：四類七級：D、C（C1、C2）、B（B1、B2、B3）、A（后又有超A）。1985年，美DoD向DBMS，NET環(huán)境延伸。1991年，歐四國(英、荷蘭、法等)發(fā)布“信息技術(shù)安全評價標準IT-SEC”。1993年，加拿大發(fā)布“可信計算機系統(tǒng)評價標準CTCPEC”。國際標準組織IEEE/POSIX的FIPS，X/OPEN。1993年，美DoD在C4I(命令、控制、通信、計算機、集成系統(tǒng))上提出多級安全MIS技術(shù)。1994年4月，美國家計算機安全中心NCSC頒布TDI可信計算機系統(tǒng)評估標準在數(shù)據(jù)庫管理系統(tǒng)的解釋。1994年，美、加、歐的信息技術(shù)安全評測公共標準CCV0.9，1996年為1.0版本。與上述標準不同，目前信息安全尚無統(tǒng)一標準。影響較大的：美TCSEC桔皮書及紅皮書（桔皮書在網(wǎng)絡(luò)環(huán)境下和解釋）；美信息系統(tǒng)安全協(xié)會ISSA的GSSP（一般接受的系統(tǒng)原則）（與C2不同，更強調(diào)個人管理而不是系統(tǒng)管理）；日本《計算機系統(tǒng)安全規(guī)范》；英國制訂自己的安全控制和安全目標的評估標準（1989年）；西德信息安全部門的信息安全技術(shù)的安全評價標準（1989年）；加拿大、新西蘭、歐盟。我國1994年2月，國務(wù)院“計算機信息安全保護條例”近年，靠近TDI，TCSEC的國際標準。一般C2級，部分C1級。日本還處于開始階段—CoBASE系統(tǒng)。第二節(jié)概述一．基本概念1．桔皮書TCSEC與數(shù)據(jù)庫解釋TDI（TrustedComputerSystemEvaluationCriteria）設(shè)計、實現(xiàn)時要：數(shù)學(xué)模型、型式化描述、驗證技術(shù)。（1）提供一標準 可信度評估（2）提供制造原則（3）提供有關(guān)方面的解釋 可信數(shù)據(jù)庫解釋 TDI（TrustedDatabaseInterpretation） 可信網(wǎng)絡(luò)解釋 TNI（TrustedNetworkInterpretation）1987年4組division七等級class 偏序兼容向下、層次化、積聚性。可信計算基TCB（TrustedComputingBase）——硬件與支持不可信應(yīng)用及不可信用戶的操作系統(tǒng)組合體。B級開始要求強制存取控制和形式化模型的應(yīng)用。A1級要求形式化描述、驗證，形式化隱秘通道（CovertChannel）分析等。二．我國信息安全標準1995年，GB/T9387-2-1995——相當于ISO7498-2-1989（最早1984年提出）1996年，GJB2646-96 軍用計算機安全評估準則——相當于桔皮書1999年，GB17859-1999 計算機系統(tǒng)安全特性等級劃分準則GB4943-1995 信息技術(shù)設(shè)備的安全（IEC950）GB9254-88 信息技術(shù)設(shè)備的無線電干擾限值和測量方法GB9361-88 計算機場地安全 GB/T9387.2-1995 OSI的第二部分安全體系結(jié)構(gòu)ISO7498.2：1989GB/T15277-1994 信息處理64位塊加密算法ISO8372：1987GB/T15278-1994 信息技術(shù)——數(shù)據(jù)加密，物理層互操作性要求ISO9160：1988GB15851-1995 信息技術(shù)——安全技術(shù)，帶消息恢復(fù)的數(shù)字簽名方案ISO/IEC9796：1991GB15852-1995 信息技術(shù)——安全技術(shù)，用塊加密算法校驗函數(shù)的數(shù)據(jù)完整性ISO/IEC9797：1994 GB15853.1-1995 信息技術(shù)——安全技術(shù)，實體鑒別機制Ⅰ部分：一般模型ISO/IEC9798.1：1991 GB15853.2-1995 信息技術(shù)——安全技術(shù)，實體鑒別機制Ⅱ部分：對稱加密算法的實體鑒別ISO/IEC9798.2：1994 GB15853.3 信息技術(shù)——安全技術(shù)，實體鑒別機制Ⅲ部分：非對稱簽名技術(shù)機制R1.3.4設(shè)備標記R1.4強制存取控制（2）R2責任R2.1標識與鑒別 R2.1.1可信路徑 *R2.2審計（3）R3保證R3.1操作保證*R3.1.1系統(tǒng)體系結(jié)構(gòu)R3.1.2系統(tǒng)完整性R3.1.3隱蔽信道分析R3.1.4可信設(shè)施管理 區(qū)分操作員，管理員和安全管理員等的不同功能R3.1.5可信恢復(fù) R3.2生命周期保證R3.2.1安全測試*R3.2.2設(shè)計規(guī)范和驗證R3.2.3配置管理R3.2.4可信分配 主數(shù)據(jù)與其現(xiàn)場拷貝之間映射的完整性 （4）R4文檔R4.1安全特性用戶指南R4.2可信設(shè)施手冊R4.3測試文檔R4.4設(shè)計手冊(加*的有針對DBMS的專門解釋)（5）安全要求相鄰的安全級之間隨級別升高,安全性能指標：從無到有New；相同Same；改變Change；新增Add安全要求:安全1安全策略2責任3保證4文檔級別1.11.21.3.1.2.3.41.42.12.1.12.23.1.1.2.3.4.53.2.1.2.3.44.14.24.34.4C1C2B1B2B3A1NCASSCASNSSSSNNSSNNSSSSSSSSNCSSN/-A/-C/-S/NS/CS/SNCAASNNASASCSNNASCANSSASSNANNCCANCASCCACANNSSSSSNAAAASNSSASANSACAA說明：B２級 跳躍大；C2級 用戶能對各自的行為負責,使用LOG-ON登錄，審計跟蹤與安全性有關(guān)的事件和資源隔離；B1級 能使用標記機制對特定的客體進行強制存取控制。二．安全級別介紹1．D組——最低安全類最小保護。2．C組——自由選擇性安全保護自主保護，引入審計功能，可對主體其行為進行審計。（1）C1級自主安全保護，對用戶和數(shù)據(jù)的分離，保護或限制用戶權(quán)限的傳播。（系統(tǒng)管理員安全有問題，多人知道根口令）（2）C2級——比C1更精細（自主存取控制）受控安全保護，以個人身份注冊負責，實施審計和資源隔離。A．安全策略·自主存取控制保護對象以避免非授權(quán)存取，對存取權(quán)限的傳播提供控制，存取控制粒度達單個用戶?！ο笾赜卯斚到y(tǒng)資源被回收并重新利用時，先前的在資源上存儲的信息不應(yīng)被現(xiàn)在的資源擁有者所看到。B．責任·標識與驗證當用戶要求可信計算基TCB完成某工作時，TCB首先應(yīng)當要求用戶提供身份證明，再使用某保護機制（如口令）來驗證用戶提供的身份證明。責任落實到個體，將標識操作與可審計的動作關(guān)聯(lián)起來?！徲婽CB能建立、維護以及保護審計記錄不被更改、破壞或受到非授權(quán)存取。能記錄：使用標識，驗證機制；向用戶地址空間引入對象；刪除對象；操作員/管理員/安全主管發(fā)出的動作；其他與安全有關(guān)的事件。審計項：事件發(fā)生的日期與時間，涉及的用戶，事件類型，事件成功或失敗。能通過對個體的識別，有選擇地審計任何一個或多個用戶。C．保證·操作性保證涉及系統(tǒng)結(jié)構(gòu)——TCB為自己的操作維護一域，從而防止外部的干涉或篡改；有關(guān)系統(tǒng)完整性——用硬件或軟件可周期地對TCB的正確性作出驗證?！ど芷诒ＷC進行安檢以符合標準。保證沒有明顯的旁路可繞過或欺騙TCB的安全保護機制。檢查是否存在明顯的漏路（違背對資源的隔離，造成對審計或驗證數(shù)據(jù)的非法操作）。D．文檔 三個是必需的·安全特性用戶指南——提供什么機制，如何使用之以及這些機制之間的關(guān)系?！た尚旁O(shè)備手冊——（系統(tǒng)管理員用）對控制的職責和特權(quán)提出建議，如何檢查／維護審計文件以及詳細審計記錄結(jié)構(gòu)的程序。 ·測試文檔——解釋保護策略及其如何應(yīng)用到TCB上； 當TCB由多模塊組成時，還應(yīng)對模塊間接口進行描述。3．B組——強制性安全保護強制保護：定義及保持標記的完整性，引用監(jiān)視的概念。（1）B1級——標識安全保護A．安全策略·自主存取控制和對象重用 與C2完全相同·有關(guān)標記的內(nèi)容 TCB維護所有敏感標識控制下的主體和客體（極端例子即每一對象都上一把鎖，形成用戶標識、加密標記的雙重保護）。 TCB要求授權(quán)用戶提供無標識數(shù)據(jù)的安全級別，并且要求與之相關(guān)的動作都可審計的。涉及： 標識完整性被標識信息的導(dǎo)出方式（TCB設(shè)每信道和I/O設(shè)備或為單一安全級別，或為多重安全級別，這種級別的改變由手工完成且能審計）·強制存取控制 區(qū)別于C級的最重要特征，是B組安全機制的關(guān)鍵所在。 如L(s)>=L(o)，則主體S能讀客體O 如L(s)<=L(o)，則主體S能寫客體OB．責任·標識和認證維護認證數(shù)據(jù)，清除和授權(quán)信息。為每一用戶提供唯一的身份并與相應(yīng)個體的所有可審計動作關(guān)聯(lián)起來?！徲嬇cC2差別不大。增加：審計任何試圖違反可讀輸出標記的行為。C．保證·操作保證對系統(tǒng)結(jié)構(gòu)方面，TCB可通過控制獨立地址空間來維護進程的隔離。對身份完整方面，B1與C2完全相同?！ど芷诒ＷC提供設(shè)計文檔，源代碼以及目標代碼，以供徹底地分析和測試。確保任何用戶使TCB陷入無法和其他用戶通訊的境地。能清除或補救缺陷，并再次測試以證明所有漏洞確實清除，且沒有引入新漏洞。模型可以是形式化的，也可以是非形式化的。 D．文檔 4種手冊 ·安全特性文檔——與C2完全相同。·可信設(shè)備手冊—— 描述責任，包括改變用戶的安全機制；安全標識對普通用戶是不可變更的；賦予特權(quán)-——“后門”。 ·測試文檔——與C2要求相同。·設(shè)計文檔——有一TCB所實行安全策略的模型，它可形式化，也可非形式化，且證明該模型滿足安全策略的需求。 （2）B2級——結(jié)構(gòu)化保護形式化，能找出隱秘通道（監(jiān)控對象在不同安全環(huán)境下的移動過程（如兩進程間的數(shù)據(jù)傳遞），具體有定時、存貯兩種類型的隱秘通道）），加強驗證機制，更安全的評測，更嚴格的配置控制；可多級安全標記。（3）B3級——安全域保護必須滿足訪問監(jiān)控器要求，審計跟蹤能力更強，提供系統(tǒng)恢復(fù)過程。能抗篡改（保證自身安全），TCB足夠小以利分析和測試（為理論上驗證提供保證），支持安全管理員角色，，引用監(jiān)視器參與所有主體對客體的存取（保證不存在旁路），用戶終端必須通過一可信話途徑連到系統(tǒng)上。用安裝硬件的方法來加強域，例如：用內(nèi)存管理硬件來防止無授權(quán)訪問；基準監(jiān)控器，用于追蹤對象的使用情況。4．A組——驗證設(shè)計驗證設(shè)計—— 給出形式化設(shè)計說明和驗證。系統(tǒng)安全管理器；設(shè)計，控制，驗證，創(chuàng)建安全模型。部件來源有安全保證，銷售/運輸中嚴密跟蹤，嚴格的配置管理。第四節(jié)產(chǎn)品重要的TCSEC，TDI。美的多數(shù)大型DBMS通過NCEC的安全認證，達到B1級，個別系統(tǒng)已達B2級。國內(nèi)：C２級，部分C1級，B級處于開始階段。 ·美NCSC，1994年4月，頒布TDI（數(shù)據(jù)庫）——為生產(chǎn)者，評估者及研究者提供權(quán)威根據(jù)。 ·HP，1996年3月，領(lǐng)導(dǎo)發(fā)布X/OpenSecurityBranding計劃，推出國際密碼架構(gòu)ICF策略，推出HPUXCMWB1級OS（通過TC-SE的ITSEC評測）。還推出SecurityMail.在我國市場推出HPPraesidium系列產(chǎn)品，其中HPP/VirtualValut(VVOS)是使用了B1級的核心。HP在NCSC評測的B1級的OS為HP-UXBLS?！EC的C2級OS為DigitalUnix和OpenVMS。B1級OS/CMW級OS為SEVMS和DigitalMLS+（通過TCSEC和ITSEC認證）。網(wǎng)絡(luò)監(jiān)視器和防火墻產(chǎn)品：AltaVistaTunnelPersonalEditionAltaVistaTunnelWorkgroupEditi