eTrust Access Control将安全级别从C2提升到B1
冠群金辰服务器核心防护系列谈(二)
一般商用系统不可信
美国国防部于1983年提出并于1985年批准的“可信计算机系统安全评价准则(TCSEC)”将计算机系统的安全可信性分为七个级别,它们由低到高是:
● D级,最低安全性;
● C1级,主存取控制;
● C2级,较完善的自主存取控制(DAC)、审计;
● B1级,强制存取控制(MAC);
● B2级,良好的结构化设计、形式化安全模型;
● B3级,全面的访问控制、可信恢复;
● A1级,形式化认证。
从表一中可以看出,商用操作系统的安全级别一般最高只能达到C2级。它采取自主存取控制(DAC),按用户意愿进行存取控制。基于这种机制,用户可以说明其私人资源允许系统中哪个(或哪些)用户以何种权限进行共享。在这种方式下,资源允许哪些用户进行什么样的访问完全是由资源的主人决定的。在实际的应用系统中,某些关键资源的主人往往是业务人员,他们很难对系统和安全有深入的了解,也就很难准确地设置资源的安全属性,防止被非法访问。
eTrust Access Control防止用户随心所欲
eTrust Access Control对资源的保护采用访问控制列表(ACL)的方式。哪些人对哪些资源有什么样的访问权限完全是由对系统及安全有较深理解的安全管理员确定的,从而避免上述问题。eTrust Access Control的访问控制保护与操作系统原有的访问控制相比,还具有如下明显的增强:
● 有条件的访问控制列表
Unix本身的访问控制只是规定了哪些人对哪些资源有什么样的访问权限,没有规定这些人在什么时间访问、用什么方式访问才是允许的。eTrust Access Control提供了有条件的访问控制列表,可以规定只有在某时间段之内,从某终端登录的用户才可以访问某些资产,这就使访问控制更加严格,更贴近实际需要。另外,eTrust AccessControl还可以限制访问资产的方式,例如,我们可以允许用户用more命令读某文件,他却不能用cat命令读同一文件。这样,就可以做到应用系统的数据文件只可以由应用程序访问,却不能用操作系统的文件处理程序访问,从而加强对应用文件的保护。
● 强制存取控制
如上所述,UNIX系统大多为C2级,采用自主存取控制机制。安全性更高的B1级采用强制存取控制机制,强制存取控制(MAC)提供了基于信息机密性的存取控制方法,用于将系统中的用户和信息进行分级别、分类别管理,强制限制信息的共享和流动,使不同级别和类别的用户只能访问到与其有关的、指定范围的信息,从根本上防止信息的失泄密和访问混乱现象,尤其适用于军事、政府重要部门和金融领域。eTrust AccessControl提供了强制存取控制的功能,每个用户和资源都可以具有一个安全级,它包含级别(相当于职务)和类别(相当与部门)两方面,安全级的级别之间具有可比性,如同2级大于1级一样;而安全级的类别如同所属的部门。这样一种安全级定义,在计算机系统中就可以将一个用户定义成“属于那几个部门的、级别为几的用户”,这就构成了该用户的安全级,凡是该用户运行的进程均具有这个安全级;同样,在计算机系统中也可以将一个文件定义成“属于那几个部门的、级别为几的文件”,这就是该文件的安全级。当用户的安全级与文件的安全级满足一定的存取控制规则时,该用户才可以对该文件进行相应的读/写操作。这样,便实现了在计算机系统中的对用户和文件的层次化分类管理,在Unix的访问控制中实现了某些B1级别的特征。
● 扩展了保护对象
eTrust Access Control保护的资源不仅仅限于文件和目录,对特权程序、进程、setuid调用、网络以及向外的网络连接等等都可以进行保护,大大扩展了对系统进行保护的范围。那么,eTrust Access Control到底能保护哪些资源,能保护到什么程度,比Unix本身的保护有哪些增强呢?以下几个小节分别描述了这些问题。
转 http://media.ccidnet.com/media/ciw/1128/c3602.htm赛迪网
冠群金辰服务器核心防护系列谈(二)
一般商用系统不可信
美国国防部于1983年提出并于1985年批准的“可信计算机系统安全评价准则(TCSEC)”将计算机系统的安全可信性分为七个级别,它们由低到高是:
● D级,最低安全性;
● C1级,主存取控制;
● C2级,较完善的自主存取控制(DAC)、审计;
● B1级,强制存取控制(MAC);
● B2级,良好的结构化设计、形式化安全模型;
● B3级,全面的访问控制、可信恢复;
● A1级,形式化认证。
从表一中可以看出,商用操作系统的安全级别一般最高只能达到C2级。它采取自主存取控制(DAC),按用户意愿进行存取控制。基于这种机制,用户可以说明其私人资源允许系统中哪个(或哪些)用户以何种权限进行共享。在这种方式下,资源允许哪些用户进行什么样的访问完全是由资源的主人决定的。在实际的应用系统中,某些关键资源的主人往往是业务人员,他们很难对系统和安全有深入的了解,也就很难准确地设置资源的安全属性,防止被非法访问。
| 操作系统类型 | 安全级别 |
| sco open server | c2 |
| osf/1 | b1 |
| windows nt | c2 |
| dos | d |
| solaris | c2 |
| hp-ux | c2 |
| aix | c2 |
eTrust Access Control防止用户随心所欲
eTrust Access Control对资源的保护采用访问控制列表(ACL)的方式。哪些人对哪些资源有什么样的访问权限完全是由对系统及安全有较深理解的安全管理员确定的,从而避免上述问题。eTrust Access Control的访问控制保护与操作系统原有的访问控制相比,还具有如下明显的增强:
● 有条件的访问控制列表
Unix本身的访问控制只是规定了哪些人对哪些资源有什么样的访问权限,没有规定这些人在什么时间访问、用什么方式访问才是允许的。eTrust Access Control提供了有条件的访问控制列表,可以规定只有在某时间段之内,从某终端登录的用户才可以访问某些资产,这就使访问控制更加严格,更贴近实际需要。另外,eTrust AccessControl还可以限制访问资产的方式,例如,我们可以允许用户用more命令读某文件,他却不能用cat命令读同一文件。这样,就可以做到应用系统的数据文件只可以由应用程序访问,却不能用操作系统的文件处理程序访问,从而加强对应用文件的保护。
● 强制存取控制
如上所述,UNIX系统大多为C2级,采用自主存取控制机制。安全性更高的B1级采用强制存取控制机制,强制存取控制(MAC)提供了基于信息机密性的存取控制方法,用于将系统中的用户和信息进行分级别、分类别管理,强制限制信息的共享和流动,使不同级别和类别的用户只能访问到与其有关的、指定范围的信息,从根本上防止信息的失泄密和访问混乱现象,尤其适用于军事、政府重要部门和金融领域。eTrust AccessControl提供了强制存取控制的功能,每个用户和资源都可以具有一个安全级,它包含级别(相当于职务)和类别(相当与部门)两方面,安全级的级别之间具有可比性,如同2级大于1级一样;而安全级的类别如同所属的部门。这样一种安全级定义,在计算机系统中就可以将一个用户定义成“属于那几个部门的、级别为几的用户”,这就构成了该用户的安全级,凡是该用户运行的进程均具有这个安全级;同样,在计算机系统中也可以将一个文件定义成“属于那几个部门的、级别为几的文件”,这就是该文件的安全级。当用户的安全级与文件的安全级满足一定的存取控制规则时,该用户才可以对该文件进行相应的读/写操作。这样,便实现了在计算机系统中的对用户和文件的层次化分类管理,在Unix的访问控制中实现了某些B1级别的特征。
● 扩展了保护对象
eTrust Access Control保护的资源不仅仅限于文件和目录,对特权程序、进程、setuid调用、网络以及向外的网络连接等等都可以进行保护,大大扩展了对系统进行保护的范围。那么,eTrust Access Control到底能保护哪些资源,能保护到什么程度,比Unix本身的保护有哪些增强呢?以下几个小节分别描述了这些问题。
转 http://media.ccidnet.com/media/ciw/1128/c3602.htm赛迪网
2068
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
