浅谈计算机系统的安全标准

 

浅谈计算机系统的安全标准
文章出处：www.e-works.net.cn    发布时间：2004-08-27
	国际安全评价标准的发展及其联系      计算机系统安全评价标准是一种技术性法规。在信息安全这一特殊领域，如果没有这一标准，与此相关的立法、执法就会有失偏颇，最终会给国家的信息安全带来严重后果。由于信息安全产品和系统的安全评价事关国家的安全利益，因此许多国家都在充分借鉴国际标准的前提下，积极制订本国的计算机安全评价认证标准。      第一个有关信息技术安全评价的标准诞生于八十年代的美国，就是著名的“可信计算机系统评价准则”（tcsec，又称桔皮书）。该准则对计算机操作系统的安全性规定了不同的等级。从九十年代开始，一些国家和国际组织相继提出了新的安全评价准则。1991年，欧共体发布了“信息技术安全评价准则”（itsec）。1993年，加拿大发布了“加拿大可信计算机产品评价准则”（ctcpec），ctcpec综合了tcsec和itsec两个准则的优点。同年，美国在对tcsec进行修改补充并吸收itsec优点的基础上，发布了“信息技术安全评价联邦准则”（fc）。1993年6月，上述国家共同起草了一份通用准则（cc），并将cc推广为国际标准。cc发布的目的是建立一个各国都能接受的通用的安全评价准则，国家与国家之间可以通过签订互认协议来决定相互接受的认可级别，这样能使基础性安全产品在通过cc准则评价并得到许可进入国际市场时，不需要再作评价。此外，国际标准化组织和国际电工委也已经制订了上百项安全标准，其中包括专门针对银行业务制订的信息安全标准。国际电信联盟和欧洲计算机制造商协会也推出了许多安全标准。  美国可信计算机安全评价标准（tcsec）      tcsec标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。tcsec最初只是军用标准，后来延至民用领域。tcsec将计算机系统的安全划分为4个等级、8个级别。  d类安全等级：d类安全等级只包括d1一个级别。d1的安全等级最低。d1系统只为文件和用户提供安全保护。d1系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。      c类安全等级：该类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力。c类安全等级可划分为c1和c2两类。c1系统的可信任运算基础体制（trusted computing base，tcb）通过将用户和数据分开来达到安全的目的。在c1系统中，所有的用户以同样的灵敏度来处理数据，即用户认为c1系统中的所有文档都具有相同的机密性。c2系统比c1系统加强了可调的审慎控制。在连接到网络上时，c2系统的用户分别对各自的行为负责。c2系统通过登陆过程、安全事件和资源隔离来增强这种控制。c2系统具有c1系统中所有的安全性特征。      b类安全等级：b类安全等级可分为b1、b2和b3三类。b类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连，系统就不会让用户存取对象。b1系统满足下列要求：系统对网络控制下的每个对象都进行灵敏度标记；系统使用灵敏度标记作为所有强迫访问控制的基础；系统在把导入的、非标记的对象放入系统前标记它们；灵敏度标记必须准确地表示其所联系的对象的安全级别;当系统管理员创建系统或者增加新的通信通道或i/o设备时，管理员必须指定每个通信通道和i/o设备是单级还是多级，并且管理员只能手工改变指定;单级设备并不保持传输信息的灵敏度级别;所有直接面向用户位置的输出（无论是虚拟的还是物理的）都必须产生标记来指示关于输出对象的灵敏度;系统必须使用用户的口令或证明来决定用户的安全访问级别;系统必须通过审计来记录未授权访问的企图。      b2系统必须满足b1系统的所有要求。另外，b2系统的管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制。b2系统必须满足下列要求：系统必须立即通知系统中的每一个用户所有与之相关的网络连接的改变；只有用户能够在可信任通信路径中进行初始化通信；可信任运算基础体制能够支持独立的操作者和管理员。  b3系统必须符合b2系统的所有安全需求。b3系统具有很强的监视委托管理访问能力和抗干扰能力。b3系统必须设有安全管理员。b3系统应满足以下要求:除了控制对个别对象的访问外，b3必须产生一个可读的安全列表；每个被命名的对象提供对该对象没有访问权的用户列表说明;b3系统在进行任何操作前，要求用户进行身份验证；b3系统验证每个用户，同时还会发送一个取消访问的审计跟踪消息；设计者必须正确区分可信任的通信路径和其他路径；可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪；可信任的运算基础体制支持独立的安全管理。      a类安全等级：a系统的安全级别最高。目前，a类安全等级只包含a1一个安全类别。a1类与b3类相似，对系统的结构和策略不作特别要求。a1系统的显著特征是，系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后，设计者必须运用核对技术来确保系统符合设计规范。a1系统必须满足下列要求：系统管理员必须从开发者那里接收到一个安全策略的正式模型;所有的安装操作都必须由系统管理员进行；系统管理员进行的每一步安装操作都必须有正式文档。  欧洲的安全评价标准（itsce）      itsce是欧洲多国安全评价方法的综合产物，应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。功能准则从f1～f10共分10级。1～5级对应于tcsec的d到a。f6至f10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。评估准则分为6级，分别是测试、配置控制和可控的分配、能访问详细设计和源码、详细的脆弱性分析、设计与源码明显对应以及设计与源码在形式上一致。  加拿大的评价标准（ctcpec）      ctcpec专门针对政府需求而设计。与itsec类似，该标准将安全分为功能性需求和保证性需要两部分。功能性需求共划分为四大类：机密性、完整性、可用性和可控性。每种安全需求又可以分成很多小类，来表示安全性上的差别，分级条数为0～5级。  美国联邦准则（fc）      fc是对tcsec的升级，并引入了“保护轮廓”（pp）的概念。每个轮廓都包括功能、开发保证和评价三部分。fc充分吸取了itsec和ctcpec的优点，在美国的政府、民间和商业领域得到广泛应用。  国际通用准则（cc）      cc是国际标准化组织统一现有多种准则的结果，是目前最全面的评价准则。1996年6月，cc第一版发布；1998年5月，cc第二版发布；1999年10月cc v2.1版发布，并且成为iso标准。cc的主要思想和框架都取自itsec和fc，并充分突出了“保护轮廓”概念。cc将评估过程划分为功能和保证两部分，评估等级分为eal1、eal2、eal3、eal4、eal5、eal6和eal7共七个等级。每一级均需评估7个功能类，分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。