|
|
|
通常将可信任系统定义为:一个由完整的硬件及软件所组成的系统,在不违反访问权限的情况下,它能同时服务于不限定个数的用户,并处理从一般机密到最高机密等不同范围的信息。
|
|
|
|
更进一步,将一个计算机系统可接受的信任程度加以分级,凡符合某些安全条件、基准、规则的系统即可归类为某种安全等级。将计算机系统的安全性能由高到低划分为A、B、C、D共4个大等级7个小等级,特别是较高等级的安全范围涵盖较低等级的安全范围,而每个大等级又以安全性高低依次编号细分成数个小等级。
|
|
|
|
D级,最低保护(Minimal Protection)
|
|
|
|
D级也称安全保护欠缺级,凡没有通过其他安全等级测试项目的系统即属于该级,如IBM-PC、Apple Macintosh等个人计算机的系统虽未经安全测试,但如果有,很可能属于此级。D级并非没有安全保护功能,只是太弱。
|
|
|
|
C级,自定式保护(Discretionary Protection)
|
|
|
|
C级的安全特点在于系统的对象(如文件、目录)可由系统的主体(如系统管理员、用户、应用程序)自定义访问权限,如管理员可以决定某个文件仅允许一特定用户读取、另一用户写入,某人可以决定他的某个目录可公开给其他用户读、写等。在UNIX、Windows NT等操作系统都可以见到这种属性。该等级又按安全低、高分为C1、C2两个安全等级。
|
|
|
|
|
|
可信计算基(Trusted Computing Base, TCB)定义和控制系统中命名用户对命名客体的访问。实施机制(如访问控制表)允许命名用户和(或)用户组的身份规定并控制客体的共享,阻止非授权用户读取敏感信息。
|
|
|
|
可信计算基是指为实现计算机处理系统安全保护策略的各种安全保护机制的集合。
|
|
|
|
|
|
与自主安全保护级相比,本级的可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件及隔离资源,使用户能对自己的行为负责。
|
|
|
|
B级,强制式保护(Mandatory Protection)
|
|
|
|
B级的安全特点在于由系统强制的安全保护,在强制式保护模式中,每个系统对象(如文件、目录等资源)及主体(如系统管理员、用户、应用程序)都有自己的安全标签(Security Label),系统即依据用户的安全等级赋予其对各对象的访问权限。
|
|
|
|
|
|
本级的可信计算基具有受近期存取保护级的所有功能。此外,还可提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力;可消除通过测试发现的任何错误。
|
|
|
|
|
|
本级的可信计算基建立于一个明确定义的形式化安全策略模型之上,它要求将B1级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。本级的可信计算基必须结构化为关键保护元素和非关键保护元素。可信计算基的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审。加强了认证机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了配置管理控制。系统具有相当强的抗渗透能力。
|
|
|
|
|
|
本级的可信计算基满足访问监控器需求。访问监控器是指监控主体和客体之间授权访问关系的部件。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗窜改的,必须足够小,能够分析和测试。为了满足访问监控器需求,可信计算基在其构造时排除实施对安全策略来说并非必要的代码;在设计和实现时,从系统工程角度将其复杂性降低到最低程度。支持安全管理员职能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。系统具有很高的抗渗透能力。
|
|
|
|
A级,可验证保护(Verified Protection)
|
|
|
|
虽然橘皮书仍可能定义比A1高的安全等级,但目前此级仅有A1等级,A等级的功能基本上与B3级的相同,其特点在于A等级的系统拥有正式的分析及数学方法可完全证明该系统的安全策略及安全规格的完整性与一致性。本级还规定了将安全计算机系统运送
|
|
|
|
可信任计算机系统评量基准(Trusted Computer System Evaluation Criteria)是美国国家安全局(NSA)的国家计算机安全中心(NCSC)于1983年8月颁发的官方标准,是目前颇具权威的计算机系统安全标准之一。例如,微软Windows NT 4.0及以上版本目前具有C2安全等级。也就是说,它的安全特性就是在于自定式保护,NT未来可能提高到B2安全等级。Windows 2000已顺利获得认证。UNIX未经测试时,一般认为是C1,也有人认为是C2。
|
|
|
