《安全架構(gòu)和設(shè)計》word版VIP

1、安全架構(gòu)和設(shè)計12安全架構(gòu)和設(shè)計（1）如果把信息安全管理比作指引組織進行安全項目的路標，那么安全架構(gòu)和設(shè)計便是組織通往信息安全這個目標所用的交通工具的基本結(jié)構(gòu)，它包括用于設(shè)計、實施、監(jiān)控和保護操作系統(tǒng)、設(shè)備、網(wǎng)絡(luò)、應(yīng)用以及用以實施各種級別保密性、完整性和可用性控制的概念、原則、結(jié)構(gòu)和標準。安全架構(gòu)和設(shè)計CBK的內(nèi)容大概可以分為四個部分：概念部分、保護機制、安全模型和系統(tǒng)測評，J0ker打算用5到6個文章的篇幅，逐一介紹這些內(nèi)容并總結(jié)CISSP考試的重點。本文先從第一部分： 概念部分開始。在進行一個信息系統(tǒng)的設(shè)計時，我們需要對目標系統(tǒng)的眾多需求進行平衡，這些需求包括功能、靈活性、性能、易用性、成

2、本、業(yè)務(wù)需求和安全。這里強調(diào)一下，安全應(yīng)該在系統(tǒng)設(shè)計中的開始階段就作為一個關(guān)鍵因素進行考慮，使用了超過業(yè)務(wù)需求的安全性能，就會導致用戶體驗的惡化，但降低的安全性能也會系統(tǒng)的部署和運行維護成本將會大大增加。系統(tǒng)設(shè)計的過程就是平衡多種需求的過程，設(shè)計者通常需要根據(jù)組成構(gòu)架的每個元素的重要性，來確定如何Trade-off。在設(shè)計階段考慮安全性，并不會對架構(gòu)的設(shè)計增加太多的勞動量，它可以平滑的嵌入到架構(gòu)設(shè)計的各個階段，這樣就可以保證安全性可以隨著架構(gòu)逐漸的設(shè)計完成而完成。安全架構(gòu)從概念上說，便是從安全角度審視整個系統(tǒng)架構(gòu)，它主要提供系統(tǒng)架構(gòu)所需要的安全服務(wù)、機制、技術(shù)和功能，并提供如何進行安全設(shè)施部署

3、的建議。CISSP CBK中在安全架構(gòu)概念部分的安排里面，還要求CISSP對最基本的架構(gòu)有了解，它所指出的就是Layered Approach，也就是分層結(jié)構(gòu)。請看下圖： 圖1 在這個架構(gòu)中，用戶只與應(yīng)用程序進行交流，而操作系統(tǒng)向上負責與應(yīng)用程序，向下負責與硬件、網(wǎng)絡(luò)層進行聯(lián)絡(luò)。為了更好的理解安全架構(gòu)，CISSP還需要進一步的了解分層結(jié)構(gòu)包含的底層架構(gòu)，列表如下：Platform Architecture 平臺架構(gòu)Network Environment 網(wǎng)絡(luò)環(huán)境Enterprise Architecture 企業(yè)架構(gòu)Security Model 安全模型Protection Mechanism

4、s 保護機制在深入討論這些組成安全架構(gòu)的元素之前，朋友們還要了解一點，安全架構(gòu)的設(shè)計應(yīng)該和組織的安全策略相吻合，否則就不能實現(xiàn)組織的安全目標。關(guān)于安全策略的詳細內(nèi)容大家可參與CISSP Official Guide、All in One或本系列文章的之前內(nèi)容。平臺架構(gòu)主要指馮諾依曼的經(jīng)典計算機模型，CISSP需要了解操作系統(tǒng)軟件和工具的概念和功能、組成計算機的CPU、內(nèi)存、存儲設(shè)備的類型和輸入輸出設(shè)備的概念和功能、針對內(nèi)存攻擊的類型等。從CISSP考試的模擬題和J0ker自己參加過的考試來看，關(guān)于平臺架構(gòu)的題目一般只會簡單的考察概念。網(wǎng)絡(luò)環(huán)境方面主要是對常見的網(wǎng)絡(luò)威脅進行分類，在Telecom

5、munication and Network Security CBK中有更深入的介紹。企業(yè)架構(gòu)主要是指組織本身對人員和職能的劃分，在Official Guide中定義了六個角色和與其相對應(yīng)的職能，朋友們在復習時也需要記住。安全模型指的是一些常見的保證信息安全的保密性完整性可用性(CIA)三角的控制模型，這是本CBK的考察重點，J0ker在后面的文章還將詳細講述。另外，在這一節(jié)中，有以下的一些概念在復習時也需要理解一下：CPU的狀態(tài)內(nèi)存管理中的分頁技術(shù)、虛擬內(nèi)存技術(shù)以及相應(yīng)的內(nèi)存保護、攻擊技術(shù)TOU/TOC Time of use/Time of check多種類型的操作系統(tǒng)類型的概念及其安全

6、性共享環(huán)境(Shared environment)下的攻擊概念系統(tǒng)五種安全模式的概念Dedicated Security modeSystem high-security modeMulti-level security modeControlled modeCompartmentalized security mode 這一個CBK里的概念比較多也比較抽象，但因為這一章里面的內(nèi)容對后面的CBK起了技術(shù)方面的總領(lǐng)作用，CISSP考試也以考概念為主，建議朋友們在復習這個CBK時盡量靜下心來看。13安全架構(gòu)和設(shè)計之安全模型我們都知道，信息安全的目的就是要保證信息資產(chǎn)的三個元素：保密性，完整性和可用

7、性（CIA），CIA這個也就是這三個元素開始為人們所關(guān)注的時間的先后?，F(xiàn)在系統(tǒng)設(shè)計中所使用的安全模型的出現(xiàn)的順序也大概如此，先出現(xiàn)專門針對保密性的BLP模型，然后出現(xiàn)針對完整性的Biba模型、Clark-Wilson模型等，在訪問控制中所使用的訪問控制列表/矩陣（Access Control List(ACL)/Access Control Matrix(ACM)），在CISSP的CBK內(nèi)容中也把它劃分到安全模型的范圍內(nèi)。順便說明一下，因為可用性本身涉及到的因素很多，并沒有一個被廣泛接受的通用安全模型，所以CISSP的CBK里只要求掌握針對保密性和完整性的安全模型。安全模型所依賴的理論基礎(chǔ)狀態(tài)

8、機模型和信息流模型狀態(tài)機（State Machine）模型是信息安全里用來描述無論何時狀態(tài)都是安全的系統(tǒng)模型，而處于特定時刻系統(tǒng)的快照便是一種狀態(tài)(State)，如果這種狀態(tài)滿足安全策略的要求，我們就可以認為它是安全的。許多活動會導致系統(tǒng)狀態(tài)的改變，稱之為狀態(tài)轉(zhuǎn)換（States transaction），如果這些活動都是系統(tǒng)所允許而且不會威脅到系統(tǒng)安全的，則系統(tǒng)執(zhí)行的便是安全的狀態(tài)機模型（Secure State Machine）。一個安全狀態(tài)機模型總是從安全的狀態(tài)啟動，并且在所有狀態(tài)的轉(zhuǎn)換中保證安全，并只允許行為的實施者以符合安全策略要求的形式去訪問資源。信息流（Information fl

9、ow）模型是狀態(tài)機模型的具體化，在這個模型中，信息在的傳遞被抽象成流的形式，大家可以想象一下水流的樣子。信息流模型由對象，狀態(tài)轉(zhuǎn)換和信息流策略所組成，其中的對象可以是用戶，每個對象都會根據(jù)信息流策略分配一個安全等級和具體化的數(shù)值。信息流不單可以處理信息流的流向，同時它還可以處理信息流的種類在BLP模型中，信息流模型處理的便是保密性，而在Biba模型中信息流所處理的則變成完整性。由于信息流動的行為可以在同安全級別的主體和客體之間發(fā)生，也可以在不同一個安全級別的情況下發(fā)生，所以信息流模型主要用于防止未授權(quán)的、不安全的或受限制的信息流動，信息只能夠在安全策略允許的方向上流動。狀態(tài)機模型和信息流模型的

10、進一步具體化就是CISSP CBK中所包括的安全模型，CISSP CBK中所提到的安全模型有：Bell-Lapadula(BLP模型)、Biba模型、Clark-Wilson模型、訪問控制矩陣模型、China Wall模型、Lattice模型。下面J0ker將向大家逐一介紹。前面說過，在信息安全目標的三個元素里面最先為人們所關(guān)注的是保密性，因此，在1973年出現(xiàn)了第一個針對保密性的安全模型Bell-Lapadula模型，這個模型由David Bell和Len Lapadula為美國國防部的多級安全策略的具體化而開發(fā)。它基于強制訪問控制系統(tǒng)（MAC），以信息的敏感度作為安全等級的劃分標準，它的特

11、點如下：基于狀態(tài)機和信息流模型只針對保密性進行處理基于美國政府信息分級標準分為：Unclassified、Restricted、Confidential、Secret、Top Secret使用“Need to know” 原則開始于安全狀態(tài)，在多個安全狀態(tài)中進行轉(zhuǎn)換（要求初始狀態(tài)必須為安全，轉(zhuǎn)換結(jié)果才在安全狀態(tài)）上圖 來自CISSP Official Guide，是BLP模型的安全策略示意圖，BLP模型規(guī)定，信息只能按照安全等級從下往上流動，或者根據(jù)策略的規(guī)定在同安全級別間流動。由于BLP模型存在不保護信息的完整性和可用性，不涉及訪問控制等缺點，1977年Biba模型作為BLP模型的補充而提出

12、，它針對的是信息的完整性保護，主要用于非軍用領(lǐng)域。它和BLP模型相類似，也是基于狀態(tài)機和信息流模型，也使用了和BLP模型相似的安全等級劃分方式，只不過Biba模型的劃分標準是信息對象的完整性。上圖 來自于CISSP Official Guide，Biba模型規(guī)定，信息只能從高完整性的安全等級向低完整性的安全等級流動，也就是要防止 低完整性的信息“污染”高完整性的信息。我們知道，信息安全對完整性的要求有3個目標：防止數(shù)據(jù)不被未授權(quán)用戶修改、保護數(shù)據(jù)不被授權(quán)用戶越權(quán)修改、維護數(shù)據(jù)的內(nèi)部和外部一致性。Biba模型中只實現(xiàn)了完整性要求的第一點。于是，針對Biba模型的不足，1987年，另外一個完整性模

13、型Clark-Wilson模型被提出，這個模型實現(xiàn)了成型的事務(wù)處理機制，目前常用于銀行系統(tǒng)中以保證數(shù)據(jù)完整性。Clark-Wilson模型的特點是：采用Subject/Program/Object 三元素的組成方式，Subject要訪問Object只能通過Program進行權(quán)限分離原則：將關(guān)鍵功能分為由2個或多個Subject完成，防止已授權(quán)用戶進行未授權(quán)的修改要求具有設(shè)計能力（Auditing）因為Clark-Wilson模型因為使用了Program這一元素進行Subject對Object的訪問控制手段，因此Clark-Wilson模型也常稱為Restricted Interface模型。訪

14、問控制矩陣模型不屬于信息流模型，它主要用于Subject對Object的訪問進行控制的領(lǐng)域：上圖 來自CISSP Official Guide，訪問控制矩陣模型定義了每一個Subject對每一個Object的訪問權(quán)限，而單個Subject對所用Object的訪問權(quán)限控制模型通常稱為訪問控制列表，也即Access Control List。針對民用領(lǐng)域有對保密性控制靈活性的需求，同時安全要求也沒有政府和軍用領(lǐng)域的嚴格，Lattice模型作為BLP模型的擴展被提出。Lattice模型同樣是基于信息流和狀態(tài)機模型，但Lattice模型使用安全范圍來代替BLP模型里面的安全等級概念，已實現(xiàn)更靈活的保密

15、性控制需求。如上圖，在Lattice模型中，一個Subject可以訪問安全級別基于Sensitive和Private之間的信息。這種權(quán)限設(shè)置?？梢栽谄髽I(yè)中看到。China Wall模型于1989年由Brew和Nash提出，這個模型和上述的安全模型不同，它主要用于可能存在利益沖突的多邊應(yīng)用體系中。比如在某個領(lǐng)域有兩個競爭對手同時選擇了一個投資銀行作為他們的服務(wù)機構(gòu)，而這個銀行出于對這兩個客戶的商業(yè)機密的保護就只能為其中一個客戶提供服務(wù)。China Wall模型的特點是：用戶必須選擇一個他可以自由訪問的領(lǐng)域用戶必須拒絕來自其他與其已選區(qū)域的內(nèi)容沖突的其他內(nèi)容的訪問。以上的安全模型便是CISSP C

16、BK中所包含的眾多經(jīng)典安全模型，在許多系統(tǒng)和應(yīng)用也常?？梢哉业剿鼈兊氖褂?，朋友們可以結(jié)合這些實際例子來加強理解。14系統(tǒng)架構(gòu)和設(shè)計之保護機制安全模型只是個概念，要把它應(yīng)用到實踐中，就需要使用到本文要介紹的保護機制，它是比安全模型更具體，更接近實際應(yīng)用的概念，當前的許多操作系統(tǒng)、安全軟件產(chǎn)品的基礎(chǔ)，都是建立在它之上的（再次提醒，CISSP考試不涉及具體的產(chǎn)品和技術(shù)細節(jié)）。保護機制實現(xiàn)的目標是將系統(tǒng)內(nèi)的所有實體（數(shù)據(jù)、用戶、程序等）進行隔離，并通過一定的規(guī)則允許實體間進行訪問。因此從所執(zhí)行的動作，保護機制可以分成主動（Active）和被動（Passive）兩類：主動保護機制是根據(jù)所定義的規(guī)則，主動

17、阻止對指定實體的訪問，訪問控制、內(nèi)存保護等技術(shù)都屬于主動保護機制；而被動保護機制本身不會阻止對指定實體的訪問，但會通過阻止對指定實體的使用來實現(xiàn)保護功能，我們使用加密技術(shù)來防止信息的泄漏、用Checksum來檢測對信息的未授權(quán)修改，都屬于被動保護機制。保護機制通常部署到操作系統(tǒng)、硬件或固件上，CISSP CBK中將它按照所部署的位置分成三類：平臺（Platform）、大型機（Mainframe）、網(wǎng)絡(luò)（Network），下面J0ker給逐一給大家介紹在這三個分類上使用的保護機制：平臺保護和大型機保護機制：平臺保護是主要用在通用操作系統(tǒng)上的保護機制，主要以軟件實現(xiàn)為主；大型機保護則是主要應(yīng)用于大

18、型機上的保護機制，一般使用專用的安全硬件實現(xiàn)。但隨著近年來軟硬件技術(shù)的發(fā)展，這兩個分類所使用的保護技術(shù)都在互相融合，由于硬件產(chǎn)品集成度提高和價格的大大下降，許多PC和工作站上已經(jīng)集成了原來只在大型機上使用的安全硬件，而大型機為了降低制造成本，也將越來越多的保護功能通過軟件來實現(xiàn)，所以在CISSPOfficialGuide中不再將平臺保護和大型機保護分開來列，而是將它們所用的保護技術(shù)列在一起。使用在這兩個分類的保護技術(shù)可信計算基礎(chǔ)（Trusted Computing Base，TCB）：TCB是一個計算機系統(tǒng)中所有提供保護功能的組件的總稱，包括硬件、軟件、固件、進程和一些進程間的通信等，它通過這

19、些組件完成對安全策略的實現(xiàn)。TCP功能的實現(xiàn)是根據(jù)其內(nèi)置的保護機制或用戶所輸入的參數(shù)，來保證安全策略的實施或滿足相應(yīng)的安全標準（如TCSEC等）。不過要注意的是，TCB是一個定義而不是一個特定的產(chǎn)品，目前的大部分操作系統(tǒng)都沒有完全使用TCB的全部組件，只使用了TCB用來執(zhí)行功能的一部分，這個部分就是接下去要介紹到的引用監(jiān)視器（Reference Monitor）。TCB的設(shè)計需求如下：1、TCB應(yīng)該在一個不受外部干擾影響的自有域內(nèi)執(zhí)行2、TCB所控制的資源應(yīng)根據(jù)使用關(guān)系分為使用者（Subject）和目標（Object）兩個子集3、TCB應(yīng)該把資源進行隔離以執(zhí)行訪問控制和審計功能TCB提供的基本

20、功能有：1、進程激活：在一個多重處理的環(huán)境內(nèi)管理進程激活/掛起時提供寄存器、文件訪問列表、進程狀態(tài)信息和指針等敏感信息的管理功能2、執(zhí)行域切換：確保在一個域內(nèi)執(zhí)行的進程不會影響到其他域內(nèi)的其他進程3、內(nèi)存保護：確保每個域所使用的內(nèi)存的安全4、輸入輸出操作：監(jiān)視程序?qū)υO(shè)備直接或間接的輸入輸出操作引用監(jiān)視器（Reference Monitor）：RM的功能是根據(jù)訪問控制數(shù)據(jù)庫的定義，對抽象系統(tǒng)中所有使用者對目標的訪問進行控制。安全內(nèi)核（Security Kernel）：安全內(nèi)核由TCB的硬件、軟件和固件部分加上引用監(jiān)視器所構(gòu)成，我們可以這樣來區(qū)分安全內(nèi)核和引用監(jiān)視器：引用監(jiān)視器和安全內(nèi)核的功能是相

21、同的，但引用監(jiān)視器是執(zhí)行訪問控制功能的抽象模型，而安全內(nèi)核則是使用在各種系統(tǒng)中的具體實現(xiàn)。安全內(nèi)核的結(jié)構(gòu)如下圖：為了保證安全功能的實現(xiàn)，安全內(nèi)核必須滿足以下三個要求：1、安全內(nèi)核能管理所有的訪問（全局性）2、安全內(nèi)核能保護自己不受有意或意外修改（隔離性）3、安全內(nèi)核可以通過驗證確定其有效性（可驗證性）TCB、RM和Security Kernel這三個概念挺容易混淆，CISSP考試也經(jīng)?？己伺c它們相關(guān)的內(nèi)容，復習的時候應(yīng)當注意一下。安全邊界（Security Perimeter）：用來隔離安全內(nèi)核內(nèi)外的資源，安全邊界外的資源是不可信的。注意將它和近兩年常說的“邊界安全“相區(qū)別。分層（Layeri

22、ng）：分層是指在系統(tǒng)設(shè)計時對功能和實現(xiàn)按照一定的原則進行分層，層次越低的權(quán)限越高，每一層的操作和使用的數(shù)據(jù)都盡量不對其它層次產(chǎn)生影響，這里會引入一個技術(shù)數(shù)據(jù)隱藏（Data Hiding）。此外，部署安全措施的層次越低，則安全措施的效能和控制范圍就越好，因此應(yīng)該把安全措施部署在系統(tǒng)的最底層，下面是一個示例系統(tǒng)的分層：TOC/TOU保護：系統(tǒng)設(shè)計時需要使用資源鎖定防止權(quán)限低的進程/用戶通過劫持或修改特權(quán)用戶的操作的途徑訪問敏感信息。額外保護（Guard Protection）：系統(tǒng)常常需要使用其他的方案來提供額外的保護，比如在數(shù)據(jù)庫系統(tǒng)中，除了在數(shù)據(jù)庫本身對用戶的訪問權(quán)限進行控制之外，通常還會通

23、過提供一個帶有查詢檢查功能的界面來限制用戶提交不符合安全策略規(guī)定的查詢。進程隔離（Process Isolation）：系統(tǒng)對同時執(zhí)行的進程進行隔離，防止進程之間的互相影響，這個功能在現(xiàn)代操作系統(tǒng)中是一個基本功能。最低權(quán)限原則（Least Privilege）：系統(tǒng)中所有的權(quán)限給予滿足操作所需的最低權(quán)限即可，這個在其他許多領(lǐng)域也能看到，比如許多企業(yè)內(nèi)網(wǎng)用戶只有User權(quán)限，不能夠在自己的機器上安裝或修改軟件，要新增軟件必須由管理員干涉。加固（Hardening）：加固是通過一定的操作和配置使系統(tǒng)的安全程度得到提高，它不屬于系統(tǒng)設(shè)計階段，而屬于系統(tǒng)的部署和維護階段。以上是在系統(tǒng)設(shè)計時常使用的安全

24、措施，此外，根據(jù)安全措施在系統(tǒng)中部署的層次不同，還可以將其分為通用操作系統(tǒng)級保護、應(yīng)用程序級保護、存儲設(shè)備保護、網(wǎng)絡(luò)級保護。其中：操作系統(tǒng)級別保護需要滿足的需求有：用戶識別和認證（User Identification and Authentication）強制訪問控制（Mandatory Access Control）自主訪問控制（Discretionary Access Control）完全控制（Complete mediation）目標重用保護（Object reuse protection）審計 （Audit）審計日志的保護 （Protection of Audit logs）日志篩選

25、 （Audit logs reduction）可信路徑 （Trusted Path）入侵檢測 （Intrusion Detection）應(yīng)用程序級別上所提供的保護措施主要是針對用戶的輸入和程序的輸出進行保護、過濾，還使用上面說過的Guard Protection技術(shù)來提供額外的安全功能。存儲設(shè)備保護關(guān)注的是保護存儲在各種設(shè)備上的敏感信息的保密性和完整性，最近幾年安全業(yè)界比較關(guān)注的企業(yè)移動設(shè)備安全和企業(yè)級加密就屬于這個領(lǐng)域。網(wǎng)絡(luò)級保護關(guān)注的是信息傳輸過程中的保密性和完整性，這個領(lǐng)域的內(nèi)容在CISSP另外一個CBK電信和網(wǎng)絡(luò)安全還會詳細介紹。15系統(tǒng)架構(gòu)和設(shè)計之安全標準在J0ker的CISSP之路

26、系列的上一篇文章保護機制里，J0ker給大家介紹了CISSP CBK中提到的，同時也是現(xiàn)實產(chǎn)品中最常使用的幾個保護機制。在實踐中采購一個信息技術(shù)產(chǎn)品之前，我們一般都會先了解目標產(chǎn)品的安全程度。但如果由不同需求的人員來對產(chǎn)品進行評估，如果沒有統(tǒng)一的標準，結(jié)果也是千差萬別這樣就產(chǎn)生對統(tǒng)一標準的需求，因此世界上的許多國家和組織推出了自己的產(chǎn)品安全評估標準，其中使用最廣泛的就是CISSP CBK中介紹到的TCSEC（橘皮書）、TNI（紅皮書）、ITSEC和CC這幾種。 在了解這些安全評估標準之前，我們先要了解一下基本的概念：產(chǎn)品和系統(tǒng)。我們知道，所有的安全評估標準，所針對的對象都是產(chǎn)品或系統(tǒng)，那這里所

27、提到的產(chǎn)品和系統(tǒng)到底指的是什么？在CISSP Official Guide里面提到，“產(chǎn)品”，指的是某個特定的可以使用在其設(shè)計目標場合的應(yīng)用程序，或在某些預定義的規(guī)則下操作的應(yīng)用程序，操作系統(tǒng)作為一個整體來看，就是一個產(chǎn)品；而“系統(tǒng)”則是指完成某個特定目標或者在某個特定場合下操作的許多產(chǎn)品的集合。明白這兩個概念之間的差異，對理解安全評估標準很有幫助。說完了最基本的概念，J0ker開始給大家介紹CISSP CBK上所提到的安全評估標準： TCSEC，也就是俗稱的橘皮書（Orange Book），它是第一個被廣泛接受的安全評估標準，由美國國防部于1985年提出，目的在于評估所部署系統(tǒng)的安全程度。T

28、CSEC評估產(chǎn)品的出發(fā)點基于三個： 功能，目標系統(tǒng)所具有的安全功能，比如用戶驗證和審計； 有效性，安全功能的使用是否滿足所需要提供的安全級別； 認可度：授權(quán)機構(gòu)對系統(tǒng)所提供的安全級別的認可程度。 TCSEC把評估對象的安全程度分成了4個等級：A、B、C和D，安全程度從A到D逐級下降，確定為A的產(chǎn)品具有最高的安全性，而D等級的產(chǎn)品則完全沒有安全性的考慮。這四個等級的分級標準包括：安全策略：目標系統(tǒng)的安全策略設(shè)置是強制或自主式訪問控制策略 物件標記：是否對系統(tǒng)內(nèi)的物件根據(jù)敏感程度的不同進行標記 使用者識別：使用者必須經(jīng)過識別和驗證 審計：安全相關(guān)的事件必須進行日志記錄 保證性：指：1.操作保證性，

29、比如系統(tǒng)架構(gòu)、對執(zhí)行域的保護、系統(tǒng)完整性；2.生命周期保證性，如設(shè)計方法、安全測試和設(shè)置管理等 文檔：用戶和管理員應(yīng)該了解如何安裝和使用系統(tǒng)的安全功能，測試人員也需要文檔去進行測試 持續(xù)保護：保護機制本身不容易被干擾或破壞根據(jù)這些分級標準，TCSEC的4個安全等級再細分為7個等級，這些等級的名字和詳細內(nèi)容如下：分級 安全功能 A1 （ Verified Security ） A1 級等于 B3 級，它提供最高的安全性，并設(shè)有系統(tǒng)安全管理員這一角色，不過A1級別系統(tǒng)的部署和維護成本也是非常高的，現(xiàn)實中只有極少數(shù)的系統(tǒng)要求達到這一安全級別。 B1 、 B2 、 B3（ Mandatory Prot

30、ection ） B1 級（ Labeled protection ）是安全等級 B 中最低一級，要求提供滿足強制訪問控制策略的模型，數(shù)據(jù)標簽、已命名的訪問者及訪問目標控制、更詳細的文檔和測試、文檔 / 源代碼 / 目標代碼需要經(jīng)過分析，這個安全等級常用于 Compartment 環(huán)境 B2 級（ Structured Protection ）在 B1 的基礎(chǔ)上，增加了更多系統(tǒng)設(shè)計要求。其中，要求實現(xiàn)規(guī)范的安全模型，隱蔽信道分析、更強的驗證方式和可信機房管理。 B3 級（ Security Domains ）是安全等級 B 中最強的一級，它在 B2 的基礎(chǔ)上增加的新元素是安全管理，包括安全事件

31、的自動通知、安全管理員的支持等 C1 、 C2 （ Discretionary Protection ） C1 級（ Discretionary Security Protection ）主要用于多用戶環(huán)境，只提供防止用戶的數(shù)據(jù)被其他用戶修改或破壞的基本保護功能 C2 級（ Controlled Access Protection ）在 C1 的基礎(chǔ)上增加了用戶登錄和審計功能，并使用 DAC 訪問控制，盡管 C2 的安全功能較弱，但 C2 級是較適合用于商用系統(tǒng)和程序的安全級別，常見的 MS Windows 和 Linux 都是屬于 C2 級別 D（ Minimal Protection ）

32、只提交給 TCSEC 評估，自身沒有部署安全措施的系統(tǒng)都屬于 D 級。 因為TCSEC是1960年代開始設(shè)計，并于1985年成型的標準，由于當時安全觀點的局限性，TCSEC的評估目標只涉及了保密性，而沒有涉及完整性和可用性的評估。因為逐漸不適合現(xiàn)代信息環(huán)境和新標準的紛紛推出，美國于2000年廢除了TCSEC。 TNI：TNI也稱為紅皮書（Red Book），由于TCSEC存在評估對象只對單一系統(tǒng)，并且沒有完整性評估的缺點，1987年提出了TNI安全標準。TNI用于評估電信和網(wǎng)絡(luò)系統(tǒng)，它基于TCSEC，同樣使用了TCSEC中的ABCD分級方法。 TNI中的關(guān)鍵功能如下： 完整性：TNI使用了Bi

33、ba安全模型來保證數(shù)據(jù)的完整性，并使用了信息源/目標認證、加密等方法來保證信息傳輸?shù)耐暾?標簽：在使用和TCSEC類似的保密性標簽之外，TNI還加入了完整性標簽，以進行強制訪問控制 其他安全服務(wù)，主要可分成以下幾個類型：通訊完整性，包括驗證、通訊域完整性、抗抵賴性；拒絕服務(wù)防御：操作持續(xù)性、基于協(xié)議的保護和網(wǎng)絡(luò)管理；威脅保護：數(shù)據(jù)保密性和通訊保密性。 ITSEC：在TCSEC標準推出不久，許多歐洲國家也在醞釀推出自己的安全評測標準，結(jié)果便是ITSEC的推出。ITSEC于1990年推出第一版草稿，并最終于1995年又歐盟會議批準。盡管ITSEC借用了TCSEC的許多設(shè)計思想，但因為TCSEC被

34、認為過分死板，因此ITSEC的一個主要目標就是為安全評估提供一個更靈活的標準。ITSEC和TCSEC的主要區(qū)別在于，ITSEC不單針對了保密性，同時也把完整性和可用性作為評估的標準之一。 ITSEC的制定認識到IT系統(tǒng)安全的實現(xiàn)通常是要將技術(shù)和非技術(shù)手段結(jié)合起來，技術(shù)手段用來抵御威脅，而組織和管理手段則用來指導實現(xiàn)。因此ITSEC對目標的評估基于兩個因素：有效性和準確性，有效性表明評估目標能夠在多大程度上抵御威脅，而準確性則表明系統(tǒng)的設(shè)計和操作在多大程度上保證安全性。 為了涵蓋這兩個方面，ITSEC使用了“評估目標（TOE）“這一概念，它表述了目標產(chǎn)品的操作安全需求和面臨的威脅，而另外一個概念

35、，”安全目標（Security Objectives）“，則表述了目標產(chǎn)品所要滿足的安全功能和評估級別。ITSEC的安全等級劃分與ITSEC不同，他分為功能性等級（F）和保證性等級（E），這兩個等級的具體內(nèi)容如下：功能性F：功能性等級（ F ） 內(nèi)容 F1-F5 和 TCSEC 安全等級所提供的功能相同 F6 有高完整性要求的系統(tǒng)和應(yīng)用程序（如數(shù)據(jù)庫系統(tǒng)） F7 有高可用性要求或特殊要求的系統(tǒng) F8 有通信完整性要求的系統(tǒng) F9 有高保密性要求的系統(tǒng)（如加密系統(tǒng)） F10 網(wǎng)絡(luò)要求高的保密性和完整性 確定性等級E：確定性等級（ E ） 內(nèi)容 E0 無要求 E1 有安全目標和 TOE 的描述，滿足安全目標的測試 E2 要求具體設(shè)計的描述，測試證據(jù)需要加以評估，配置管理，分發(fā)控制 E3 需要進行源代碼和結(jié)構(gòu)評估，安全機制的測試證據(jù)需要加以評估 E4 安全策略模型、需要有安全增強功能、架構(gòu)設(shè)計和詳細設(shè)計 E5 具體設(shè)計和源代碼必須相符，并需要使用源代碼進行漏洞分析 E6 TOE 的強制標準、安全策略模型的實施 E3級別被認為是最常用的安全