【文章內(nèi)容簡(jiǎn)介】 （ 2）可記賬性：系統(tǒng)能夠監(jiān)視安全審計(jì)事件的發(fā)生與積累，當(dāng)超出某個(gè)安全閥值時(shí)，能夠立刻報(bào)警，通知安全管理人員進(jìn)行處理。 （ 3） 保障措施：只能完成與安全有關(guān)的管理功能 ， 對(duì)其他完成非安全功能的操作要嚴(yán)加限制 。 當(dāng)系統(tǒng)出現(xiàn)故障與災(zāi)難性事件后 ， 要提供一種過程與機(jī)理 ， 保證在不損害保護(hù)的條件 ， 使系統(tǒng)得到恢復(fù) 。 ? A1安全級(jí) 可驗(yàn)證設(shè)計(jì)保護(hù) 要求建立系統(tǒng)的安全模型，且可形式化驗(yàn)證的系統(tǒng)設(shè)計(jì)。對(duì)隱蔽信道進(jìn)行形式分析。有五條確認(rèn)標(biāo)準(zhǔn)： 1）對(duì)系統(tǒng)安全模型進(jìn)行嚴(yán)謹(jǐn)與充分的證明。證明模型與公理的一致性，模型對(duì)策略的支持。 2）給出保護(hù)系統(tǒng)的頂層設(shè)計(jì)說明。其中包括 TCB抽象功能定義和支持隔離區(qū)域的硬件軟件 /固件的機(jī)制。 3）說明系統(tǒng)的頂層設(shè)計(jì)說明與系統(tǒng)安全形式模型的一致性；最好能夠使用驗(yàn)證工具，也可以使用非形式化技術(shù)說明。 4）能非形式地說明 TCB的實(shí)現(xiàn)與該設(shè)計(jì)一致。說明頂層設(shè)計(jì)表達(dá)了保護(hù)機(jī)制與安全策略的一致性，映射到 TCB的各個(gè)部件正好是保護(hù)機(jī)制的對(duì)應(yīng)要素。 5）對(duì)隱蔽信道進(jìn)行形式化分析與識(shí)別。對(duì)于時(shí)鐘信道可以采用非形式化方法識(shí)別，在系統(tǒng)中必須對(duì)被識(shí)別的隱蔽信道是否連續(xù)存在給予證明。 A1級(jí)系統(tǒng)的要求極高，達(dá)到這種要求的系統(tǒng)很少，目前已獲得承認(rèn)的這類系統(tǒng)有 Honeywell公司的 SCOMP系統(tǒng)。 A1級(jí)安全標(biāo)準(zhǔn)是安全信息系統(tǒng)的最高安全級(jí)別，一般信息系統(tǒng)很難達(dá)到這樣的安全能力。 我國(guó)的標(biāo)準(zhǔn)去掉了 A1級(jí)標(biāo)準(zhǔn)。 計(jì)算機(jī)系統(tǒng)安全等級(jí) 安全性等級(jí) 主要特征 1 D 最低保護(hù)等級(jí) D 非安全保護(hù) C1 自主安全保護(hù) 自主存取控制 2 C 自主保護(hù)等級(jí) C2 可控存取保護(hù) 超 C1 的自主存取控制，審計(jì)功能 B1 標(biāo)記安全保護(hù) 強(qiáng)制存取控制，敏感度標(biāo)記 B2 可結(jié)構(gòu)化保護(hù) 形式化模型，隱蔽通道約束 3 B 強(qiáng)制保護(hù)等級(jí) B3 安全區(qū)域保護(hù) 安全內(nèi)核，高抗?jié)B透能力 4 A 驗(yàn)證保護(hù)等級(jí) A1 可驗(yàn)證保護(hù) 形式化安全驗(yàn)證，隱蔽通道分析 二、信息安全等級(jí)保護(hù) (二 ) 我國(guó)信息系統(tǒng)安全等級(jí)劃分 GB17859把計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)能力劃分的 5個(gè)等級(jí)是：用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)和訪問驗(yàn)證保護(hù)級(jí)。這五個(gè)級(jí)別的安全強(qiáng)度自低到高排列，且高一級(jí)包括低一級(jí)的安全能力。 第 1級(jí) 系統(tǒng)自主保護(hù)級(jí) ? 本級(jí)的主要特點(diǎn)用戶具有自主安全保護(hù)能力。系統(tǒng)采用自主訪問控制機(jī)制，該機(jī)制允許命名用戶以用戶或用戶組的身份規(guī)定并控制客體的共享，能阻止非授權(quán)用戶讀取敏感信息。 TCB在初始執(zhí)行時(shí)需要鑒別用戶的身份，不允許無(wú)權(quán)用戶訪問用戶身份鑒別信息。該安全級(jí)通過自主完整性策略，阻止無(wú)權(quán)用戶修改或破壞敏感信息。 第 2級(jí) 系統(tǒng)審計(jì)保護(hù)級(jí) ? 本級(jí)也屬于自主訪問控制級(jí)。但和第一級(jí)相比， TCB實(shí)施粒度更細(xì)的自主訪問控制，控制粒度可達(dá)單個(gè)用戶級(jí)，能夠控制訪問權(quán)限的擴(kuò)散，沒有訪問權(quán)的用戶只能由有權(quán)用戶指定對(duì)客體的訪問權(quán)。身份鑒別功能通過每個(gè)用戶唯一標(biāo)識(shí)監(jiān)控用戶的每個(gè)行為，并能對(duì)這些行為進(jìn)行審計(jì)。增加了客體重用要求和審計(jì)功能是本級(jí)的主要特色。 審計(jì)功能要求 TCB能夠記錄：對(duì)身份鑒別機(jī)制的使用；將客體引入用戶地址空間；客體的刪除；操作員、系統(tǒng)管理員或系統(tǒng)安全管理員實(shí)施的動(dòng)作以及其他與系統(tǒng)安全有關(guān)的事件?？腕w重用要求是指，客體運(yùn)行結(jié)束后，在其占用的存儲(chǔ)介質(zhì)（如內(nèi)存、外存、寄存器等）上寫入的信息（稱為殘留信息）必須加以清除，防止信息泄漏給其他使用這些介質(zhì)的客體。 第 3級(jí) 安全標(biāo)記保護(hù)級(jí) 本級(jí)在提供系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能的基礎(chǔ)上，提供基本的強(qiáng)制訪問功能。 TCB能夠維護(hù)每個(gè)主體及其控制的存儲(chǔ)客體的敏感標(biāo)記，也可以要求授權(quán)用戶確定無(wú)標(biāo)記數(shù)據(jù)的安全級(jí)別。這些標(biāo)記是等級(jí)分類與非等級(jí)類別的集合（后面將進(jìn)一步說明），是實(shí)施強(qiáng)制訪問控制的依據(jù)。 TCB可以支持對(duì)多種安全級(jí)別（如軍用安全級(jí)別可劃分為絕密、機(jī)密、秘密、無(wú)密 4個(gè)安全級(jí)別）的訪問控制，強(qiáng)制訪問控制規(guī)則如下： 僅當(dāng)主體安全級(jí)別中的等級(jí)分類高于或等于客體安全級(jí)中的等級(jí)分類，且主體安全級(jí)中的非等級(jí)類別包含了客體安全級(jí)中的全部非等級(jí)類別，主體才能對(duì)客體有讀權(quán)；僅當(dāng)主體安全級(jí)中的等級(jí)分類低于或等于客體安全級(jí)中的等級(jí)分類，且主體安全級(jí)中的非等級(jí)類別包含于客體安全級(jí)中的非等級(jí)類別，主體才能寫一個(gè)客體。 TCB維護(hù)用戶身份識(shí)別數(shù)據(jù)，確定用戶的訪問權(quán)及授權(quán)數(shù)據(jù)，并且使用這些數(shù)據(jù)鑒別用戶的身份。審計(jì)功能除保持上一級(jí)的要求外，還要求記錄客體的安全級(jí)別， TCB還具有審計(jì)可讀輸出記號(hào)是否發(fā)生更改的能力。對(duì)數(shù)據(jù)完整性的要求則增加了在網(wǎng)絡(luò)環(huán)境中使用完整性敏感標(biāo)記來(lái)確信信息在傳輸過程中未受損。 本級(jí)要求提供有關(guān)安全策略的模型，主體對(duì)客體強(qiáng)制訪問控制的非形式化描述，沒有對(duì)多級(jí)安全形式化模型提出要求。 第 4級(jí) 結(jié)構(gòu)化保護(hù)級(jí) 本級(jí) TCB建立在明確定義的形式化安全策略模型之上，它要求將自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體。它要求系統(tǒng)開發(fā)者應(yīng)該徹底搜索隱蔽存儲(chǔ)信道，要標(biāo)識(shí)出這些信道和它們的帶寬。本級(jí)最主要的特點(diǎn)是 TCB必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素。 TCB的接口要求是明確定義的，使其實(shí)現(xiàn)能得到充分的測(cè)試和全面的復(fù)審。第四級(jí)加強(qiáng)了鑒別機(jī)制，支持系統(tǒng)管理員和操作員的職能，提供可信設(shè)施管理，增強(qiáng)了系統(tǒng)配置管理控制，系統(tǒng)具有較強(qiáng)的抗?jié)B透能力。 強(qiáng)制訪問控制的能力更強(qiáng)， TCB可以對(duì)外部主體能夠直接或間接訪問的所有資源（如主體、存儲(chǔ)客體和輸入輸出資源）都實(shí)行強(qiáng)制訪問控制。關(guān)于訪問客體的主體的范圍有了擴(kuò)大，第四級(jí)則規(guī)定 TCB外部的所有主體對(duì)客體的直接或間接訪問都應(yīng)該滿足上一級(jí)規(guī)定的訪問條件。 而第三級(jí)則僅要求那些受 TCB控制的主體對(duì)客體的訪問受到訪問權(quán)限的限制，且沒有指明間接訪問也應(yīng)受到限制。要求對(duì)間接訪問也要進(jìn)行控制，意味著 TCB必須具有信息流分析能力。 為了實(shí)施更強(qiáng)的強(qiáng)制訪問控制，第四級(jí)要求TCB維護(hù)與可被外部主體直接或間接訪問到的計(jì)算機(jī)系統(tǒng)資源（如主體、存儲(chǔ)客體、只讀存儲(chǔ)器等）相關(guān)的敏感標(biāo)記。第四級(jí)還顯式地增加了隱蔽信道分析和可信路徑的要求?？尚怕窂降囊笕缦拢篢CB在它與用戶之間提供可信通信路徑，供對(duì)用戶的初始登錄和鑒別，且規(guī)定該路徑上的通信只能由使用它的用戶初始化。對(duì)于審計(jì)功能，本級(jí)要求TCB能夠?qū)徲?jì)利用隱蔽存儲(chǔ)信道時(shí)可能被使用的事件。 第 5級(jí) 訪問驗(yàn)證保護(hù)級(jí) 本級(jí)的設(shè)計(jì)參照了訪問監(jiān)視器模型。它要求 TCB能滿足訪問監(jiān)視器（ RMReference Monitor）的需求， RM仲裁主體對(duì)客體的全部訪問。 RM本身是足夠小的，抗篡改的和能夠分析測(cè)試的。在構(gòu)造TCB要去掉與安全策略無(wú)關(guān)的代碼，在實(shí)現(xiàn)時(shí)要把 TCB的復(fù)雜度降到最低。系統(tǒng)應(yīng)支持安全管理員職能，擴(kuò)充審計(jì)機(jī)制，在發(fā)生安全事件后要發(fā)出信號(hào)，提供系統(tǒng)恢復(fù)機(jī)制，系統(tǒng)應(yīng)該具有很高的抗?jié)B透能力。 對(duì)于實(shí)現(xiàn)的自主訪問控制功能，訪問控制能夠?yàn)槊總€(gè)命名客體指定命名用戶和用戶組，并規(guī)定它們對(duì)客體的訪問模式。對(duì)于強(qiáng)制訪問控制功能的要求與上一級(jí)別的要求相同。對(duì)于審計(jì)功能，要求TCB包括可以審計(jì)安全事件的發(fā)生與積累機(jī)制，當(dāng)超過一定閾值時(shí)，能夠立即向安全管理員發(fā)出報(bào)警，并且能以最小代價(jià)終止這些與安全相關(guān)的事件繼續(xù)發(fā)生或積累。 對(duì)于可信路徑功能要求如下：當(dāng)與用戶連接時(shí)（如注冊(cè)、更改主體安全級(jí)）， TCB要提供它與用戶之間的可信通信路徑?？尚怕窂街荒苡稍撚脩艋?