【文章內(nèi)容簡介】 （ 2）可記賬性：系統(tǒng)能夠監(jiān)視安全審計事件的發(fā)生與積累，當(dāng)超出某個安全閥值時，能夠立刻報警，通知安全管理人員進(jìn)行處理。 （ 3） 保障措施：只能完成與安全有關(guān)的管理功能 ， 對其他完成非安全功能的操作要嚴(yán)加限制 。 當(dāng)系統(tǒng)出現(xiàn)故障與災(zāi)難性事件后 ， 要提供一種過程與機(jī)理 ， 保證在不損害保護(hù)的條件 ， 使系統(tǒng)得到恢復(fù) 。 ? A1安全級 可驗(yàn)證設(shè)計保護(hù) 要求建立系統(tǒng)的安全模型，且可形式化驗(yàn)證的系統(tǒng)設(shè)計。對隱蔽信道進(jìn)行形式分析。有五條確認(rèn)標(biāo)準(zhǔn)： 1）對系統(tǒng)安全模型進(jìn)行嚴(yán)謹(jǐn)與充分的證明。證明模型與公理的一致性，模型對策略的支持。 2）給出保護(hù)系統(tǒng)的頂層設(shè)計說明。其中包括 TCB抽象功能定義和支持隔離區(qū)域的硬件軟件 /固件的機(jī)制。 3）說明系統(tǒng)的頂層設(shè)計說明與系統(tǒng)安全形式模型的一致性；最好能夠使用驗(yàn)證工具，也可以使用非形式化技術(shù)說明。 4）能非形式地說明 TCB的實(shí)現(xiàn)與該設(shè)計一致。說明頂層設(shè)計表達(dá)了保護(hù)機(jī)制與安全策略的一致性，映射到 TCB的各個部件正好是保護(hù)機(jī)制的對應(yīng)要素。 5）對隱蔽信道進(jìn)行形式化分析與識別。對于時鐘信道可以采用非形式化方法識別，在系統(tǒng)中必須對被識別的隱蔽信道是否連續(xù)存在給予證明。 A1級系統(tǒng)的要求極高，達(dá)到這種要求的系統(tǒng)很少，目前已獲得承認(rèn)的這類系統(tǒng)有 Honeywell公司的 SCOMP系統(tǒng)。 A1級安全標(biāo)準(zhǔn)是安全信息系統(tǒng)的最高安全級別，一般信息系統(tǒng)很難達(dá)到這樣的安全能力。 我國的標(biāo)準(zhǔn)去掉了 A1級標(biāo)準(zhǔn)。 計算機(jī)系統(tǒng)安全等級 安全性等級 主要特征 1 D 最低保護(hù)等級 D 非安全保護(hù) C1 自主安全保護(hù) 自主存取控制 2 C 自主保護(hù)等級 C2 可控存取保護(hù) 超 C1 的自主存取控制，審計功能 B1 標(biāo)記安全保護(hù) 強(qiáng)制存取控制，敏感度標(biāo)記 B2 可結(jié)構(gòu)化保護(hù) 形式化模型，隱蔽通道約束 3 B 強(qiáng)制保護(hù)等級 B3 安全區(qū)域保護(hù) 安全內(nèi)核，高抗?jié)B透能力 4 A 驗(yàn)證保護(hù)等級 A1 可驗(yàn)證保護(hù) 形式化安全驗(yàn)證，隱蔽通道分析 二、信息安全等級保護(hù) (二 ) 我國信息系統(tǒng)安全等級劃分 GB17859把計算機(jī)信息系統(tǒng)的安全保護(hù)能力劃分的 5個等級是：用戶自主保護(hù)級、系統(tǒng)審計保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗(yàn)證保護(hù)級。這五個級別的安全強(qiáng)度自低到高排列，且高一級包括低一級的安全能力。 第 1級 系統(tǒng)自主保護(hù)級 ? 本級的主要特點(diǎn)用戶具有自主安全保護(hù)能力。系統(tǒng)采用自主訪問控制機(jī)制，該機(jī)制允許命名用戶以用戶或用戶組的身份規(guī)定并控制客體的共享，能阻止非授權(quán)用戶讀取敏感信息。 TCB在初始執(zhí)行時需要鑒別用戶的身份，不允許無權(quán)用戶訪問用戶身份鑒別信息。該安全級通過自主完整性策略，阻止無權(quán)用戶修改或破壞敏感信息。 第 2級 系統(tǒng)審計保護(hù)級 ? 本級也屬于自主訪問控制級。但和第一級相比， TCB實(shí)施粒度更細(xì)的自主訪問控制，控制粒度可達(dá)單個用戶級，能夠控制訪問權(quán)限的擴(kuò)散，沒有訪問權(quán)的用戶只能由有權(quán)用戶指定對客體的訪問權(quán)。身份鑒別功能通過每個用戶唯一標(biāo)識監(jiān)控用戶的每個行為，并能對這些行為進(jìn)行審計。增加了客體重用要求和審計功能是本級的主要特色。 審計功能要求 TCB能夠記錄：對身份鑒別機(jī)制的使用；將客體引入用戶地址空間；客體的刪除；操作員、系統(tǒng)管理員或系統(tǒng)安全管理員實(shí)施的動作以及其他與系統(tǒng)安全有關(guān)的事件?？腕w重用要求是指，客體運(yùn)行結(jié)束后，在其占用的存儲介質(zhì)（如內(nèi)存、外存、寄存器等）上寫入的信息（稱為殘留信息）必須加以清除，防止信息泄漏給其他使用這些介質(zhì)的客體。 第 3級 安全標(biāo)記保護(hù)級 本級在提供系統(tǒng)審計保護(hù)級的所有功能的基礎(chǔ)上，提供基本的強(qiáng)制訪問功能。 TCB能夠維護(hù)每個主體及其控制的存儲客體的敏感標(biāo)記，也可以要求授權(quán)用戶確定無標(biāo)記數(shù)據(jù)的安全級別。這些標(biāo)記是等級分類與非等級類別的集合（后面將進(jìn)一步說明），是實(shí)施強(qiáng)制訪問控制的依據(jù)。 TCB可以支持對多種安全級別（如軍用安全級別可劃分為絕密、機(jī)密、秘密、無密 4個安全級別）的訪問控制，強(qiáng)制訪問控制規(guī)則如下： 僅當(dāng)主體安全級別中的等級分類高于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別，主體才能對客體有讀權(quán)；僅當(dāng)主體安全級中的等級分類低于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含于客體安全級中的非等級類別，主體才能寫一個客體。 TCB維護(hù)用戶身份識別數(shù)據(jù)，確定用戶的訪問權(quán)及授權(quán)數(shù)據(jù)，并且使用這些數(shù)據(jù)鑒別用戶的身份。審計功能除保持上一級的要求外，還要求記錄客體的安全級別， TCB還具有審計可讀輸出記號是否發(fā)生更改的能力。對數(shù)據(jù)完整性的要求則增加了在網(wǎng)絡(luò)環(huán)境中使用完整性敏感標(biāo)記來確信信息在傳輸過程中未受損。 本級要求提供有關(guān)安全策略的模型，主體對客體強(qiáng)制訪問控制的非形式化描述，沒有對多級安全形式化模型提出要求。 第 4級 結(jié)構(gòu)化保護(hù)級 本級 TCB建立在明確定義的形式化安全策略模型之上，它要求將自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體。它要求系統(tǒng)開發(fā)者應(yīng)該徹底搜索隱蔽存儲信道，要標(biāo)識出這些信道和它們的帶寬。本級最主要的特點(diǎn)是 TCB必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素。 TCB的接口要求是明確定義的，使其實(shí)現(xiàn)能得到充分的測試和全面的復(fù)審。第四級加強(qiáng)了鑒別機(jī)制，支持系統(tǒng)管理員和操作員的職能，提供可信設(shè)施管理，增強(qiáng)了系統(tǒng)配置管理控制，系統(tǒng)具有較強(qiáng)的抗?jié)B透能力。 強(qiáng)制訪問控制的能力更強(qiáng)， TCB可以對外部主體能夠直接或間接訪問的所有資源（如主體、存儲客體和輸入輸出資源）都實(shí)行強(qiáng)制訪問控制。關(guān)于訪問客體的主體的范圍有了擴(kuò)大，第四級則規(guī)定 TCB外部的所有主體對客體的直接或間接訪問都應(yīng)該滿足上一級規(guī)定的訪問條件。 而第三級則僅要求那些受 TCB控制的主體對客體的訪問受到訪問權(quán)限的限制，且沒有指明間接訪問也應(yīng)受到限制。要求對間接訪問也要進(jìn)行控制，意味著 TCB必須具有信息流分析能力。 為了實(shí)施更強(qiáng)的強(qiáng)制訪問控制，第四級要求TCB維護(hù)與可被外部主體直接或間接訪問到的計算機(jī)系統(tǒng)資源（如主體、存儲客體、只讀存儲器等）相關(guān)的敏感標(biāo)記。第四級還顯式地增加了隱蔽信道分析和可信路徑的要求?？尚怕窂降囊笕缦拢篢CB在它與用戶之間提供可信通信路徑，供對用戶的初始登錄和鑒別，且規(guī)定該路徑上的通信只能由使用它的用戶初始化。對于審計功能，本級要求TCB能夠?qū)徲嬂秒[蔽存儲信道時可能被使用的事件。 第 5級 訪問驗(yàn)證保護(hù)級 本級的設(shè)計參照了訪問監(jiān)視器模型。它要求 TCB能滿足訪問監(jiān)視器（ RMReference Monitor）的需求， RM仲裁主體對客體的全部訪問。 RM本身是足夠小的，抗篡改的和能夠分析測試的。在構(gòu)造TCB要去掉與安全策略無關(guān)的代碼，在實(shí)現(xiàn)時要把 TCB的復(fù)雜度降到最低。系統(tǒng)應(yīng)支持安全管理員職能，擴(kuò)充審計機(jī)制，在發(fā)生安全事件后要發(fā)出信號，提供系統(tǒng)恢復(fù)機(jī)制，系統(tǒng)應(yīng)該具有很高的抗?jié)B透能力。 對于實(shí)現(xiàn)的自主訪問控制功能，訪問控制能夠?yàn)槊總€命名客體指定命名用戶和用戶組，并規(guī)定它們對客體的訪問模式。對于強(qiáng)制訪問控制功能的要求與上一級別的要求相同。對于審計功能，要求TCB包括可以審計安全事件的發(fā)生與積累機(jī)制，當(dāng)超過一定閾值時，能夠立即向安全管理員發(fā)出報警，并且能以最小代價終止這些與安全相關(guān)的事件繼續(xù)發(fā)生或積累。 對于可信路徑功能要求如下：當(dāng)與用戶連接時（如注冊、更改主體安全級）， TCB要提供它與用戶之間的可信通信路徑?？尚怕窂街荒苡稍撚脩艋?