>>>>>>点击了解更多网络管理员网络课堂

       >>>>>>点击了解更多网络管理员考试教材

       >>>>>>希赛2017上半年软考公开课，解读考试趋势，报名不再迷茫

      下面是希赛小编为大家整理的软考网络管理员备考知识点精讲之可信计算机系统评估标准，希望能帮助学友们。

       可信计算机系统评估标准

       当前，计算机网络系统和计算机信息系统的建设者、管理者和使用者都面临着一个共同的问题，就是他们建设、管理或使用的信息系统是否是安全的？如何评估系统的安全性？这就需要有一整套用于规范计算机信息系统安全建设和使用的标准和管理办法。

       一、计算机系统安全评估准则综述

       计算机系统安全评估准则是一种技术性法规。在信息安全这一特殊领域，如果没有这一标准，与此相关的立法、执法就会有失偏颇，最终会给的信息安全带来严重后果。由于信息安全产品和系统的安全评估事关的安全利益，因此许多都在充分借鉴国际标准的前提下，积极制订本国的计算机安全评估认证标准。

       美国国防部早在80年代就针对国防部门的计算机安全保密开展了一系列有影响的工作，后来成立了所属的机构-计算机安全中心（NCSC）继续进行有关工作。1983年他们公布了可信计算机系统评估准则（TCSEC,Trusted Computer System Evaluation Criteria,俗称桔皮书），桔皮书中使用了可信计算机基础（Trusted Computing Base,TCB）这一概念，即计算机硬件与支持不可信应用及不可信用户的操作系统的组合体。在TCSEC的评估准则中，从B级开始就要求具有强制存取控制和形式化模型技术的应用。桔皮书论述的重点是通用的操作系统，为了使它的评判方法适用于网络，NCSC于1987年出版了一系列有关可信计算机数据库、可信计算机网络指南等（俗称彩虹系列）。该书从网络安全的角度出发，解释了准则中的观点，从用户登录、授权管理、访问控制、审计跟踪、隐通道分析、可信通道建立、安全检测、生命周期保障、文本写作、用户指南均提出了规范性要求，并根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安全级别，将计算机系统的可信程度划分为D1、C1、C2、B1、B2、B3和A1七个层次。

       TCSEC带动了国际计算机安全的评估研究，90年代西欧四国（英、法、荷、德）联合提出了信息技术安全评估标准（ITSEC,Information Technology System Evaluation Criteria,又称欧洲白皮书），ITSEC除了借鉴TCSEC的成功经验外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信计算机的概念提高到可信信息技术的高度上来认识。他们的工作成为欧共体信息安全计划的基础，并对国际信息安全的研究、实施带来深刻的影响。

       ITSEC标准将安全概念分为功能与评估两部分。功能准则从F1~F10共分10级。F1~F5级对应于TCSEC的D到A.F6~F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。评估准则分为6级，分别是测试、配置控制和可控的分配、能访问详细设计和源码、详细的脆弱性分析、设计与源码明显对应以及设计与源码在形式上一致。

       1993年，加拿大发布了"加拿大可信计算机产品评估准则"（CTCPEC,Canada Trusted Computer Product Evaluation Criteria），CTCPEC综合了TCSEC和ITSEC两个准则的优点，专门针对政府需求而设计。与ITSEC类似，该标准将安全分为功能性需求和保证性需要两部分。功能性需求共划分为四大类：机密性、完整性、可用性和可控性。每种安全需求又可以分成很多小类，来表示安全性上的差别，级别为0~5级。

       1993年同期，美国在对TCSEC进行修改补充并吸收ITSEC优点的基础上，发布了"信息技术安全评估联邦准则"（FC,Federal Criteria）。FC是对TCSEC的升级，并引入了"保护轮廓"（PP,Protect Profile）的概念。每个轮廓都包括功能、开发保证和评价三部分。FC充分吸取了ITSEC和CTCPEC的优点，在美国的政府、民间和商业领域得到了广泛应用。

       近年来，随着世界市场上对信息安全产品的需求迅速增长以及对系统安全的挑战不断加剧，六国七方（美国安全局和技术标准研究所、加、英、法、德、荷）联合起来，在美国的TCSEC、欧洲的ITSEC、加拿大的CTCPEC、美国的FC等信息安全准则的基础上，提出了"信息技术安全评价通用准则（CC,The Common Criteria for Information Technology Security Evaluation,）",它综合了过去信息安全的准则和标准，形成了一个更全面的框架。CC主要面向信息系统的用户、开发者和评估者，通过建立这样一个标准，使用户可以用它来确定对各种信息产品的信息安全要求，使开发者可以用它来描述其产品的安全特性，使评估者可以对产品安全性的可信度进行评估。不过，CC并不涉及管理细节和信息安全的具体实现、算法、评估方法等，也不作为安全协议、安全鉴定等，CC的目的是形成一个关于信息安全的单一国际标准，从而使信息安全产品的开发者和信息安全产品能在全世界范围内发展。总之，CC是安全准则的集合，也是构建安全要求的工具，对于信息系统的用户、开发者和评估者都有重要的意义。1996年6月，CC第一版发布；1998年5月，CC第二版发布；1999年10月CCv2.1版发布，并且成为ISO标准。CC的主要思想和框架都取自ITSEC和FC,并充分突出了"保护轮廓"概念。CC将评估过程划分为功能和保证两部分，评估等级分为eal1、eal2、eal3、eal4、eal5、eal6和eal7共七个等级。每一级均包括评估配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性等。

       1999年5月，国际标准化组织和国际电联（ISO/IEC）通过了将CC作为国际标准ISO/IEC 15408信息技术安全评估准则的最后文本。从TCSEC、ITSEC到ISO/IEC 15408信息技术安全评估准则中可以看出，评估准则不仅评估产品本身，而且还评估开发过程和使用操作，强调安全的全过程性。ISO/IEC 15408的出台，表明了安全技术的发展趋势。

       二、可信计算机安全评估准则（TCSEC）

       TCSEC将计算机系统的安全划分为4个等级、8个级别。

       D类安全等级：D类安全等级只包括D1一个级别。D1是安全等级最低的一个级别。D1系统只为文件和用户提供安全保护。D1系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。

       C类安全等级：该类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类。C1系统的可信任运算基础体制（Trusted Computing Base,TCB）通过将用户和数据分开来达到安全的目的。在C1系统中，所有的用户以同样的灵敏度来处理数据，即用户认为C1系统中的所有文档都具有相同的机密性。C2系统比C1系统加强了可调的审慎控制。在连接到网络上时，C2系统的用户分别对各自的行为负责。C2系统通过登录过程、安全事件和资源隔离来增强这种控制。C2系统具有C1系统中所有的安全性特征。

       B类安全等级：B类安全等级可分为B1、B2和B3三类。B类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连，系统就不会让用户存取对象。B1系统满足下列要求：系统对网络控制下的每个对象都进行灵敏度标记；系统使用灵敏度标记作为所有强迫访问控制的基础；系统在把导入的、非标记的对象放入系统前标记它们；灵敏度标记必须准确地表示其所联系的对象的安全级别；当系统管理员创建系统或者增加新的通信通道或I/O设备时，管理员必须指定每个通信通道和I/O设备是单级还是多级，并且管理员只能手工改变指定；单级设备并不保持传输信息的灵敏度级别；所有直接面向用户位置的输出（无论是虚拟的还是物理的）都必须产生标记来指示关于输出对象的灵敏度；系统必须使用用户的口令或证明来决定用户的安全访问级别；系统必须通过审计来记录未授权访问的企图。

       B2系统必须满足B1系统的所有要求。另外，B2系统的管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制。B2系统必须满足下列要求：系统必须立即通知系统中的每一个用户所有与之相关网络连接的改变；只有用户才能在可信任通信路径中进行初始化通信；可信任运算基础体制能够支持独立的操作者和管理员。

       B3系统必须符合B2系统的所有安全需求。B3系统具有很强的监视委托管理访问能力和抗干扰能力。B3系统必须设有安全管理员。B3系统应满足以下要求：除了控制对个别对象的访问外，B3必须产生一个可读的安全列表；每个被命名的对象提供对该对象没有访问权的用户列表说明；B3系统在进行任何操作前，都要求用户进行身份验证；B3系统验证每个用户，同时还会发送一个取消访问的审计跟踪消息；设计者必须正确区分可信任的通信路径和其他路径；可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪；可信任的运算基础体制支持独立的安全管理。

       A类安全等级：A系统的安全级别较高。目前，A类安全等级只包含A1一个安全类别。A1类与B3类相似，对系统的结构和策略不作特别要求。A1系统的显着特征是，系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后，设计者必须运用核对技术来确保系统符合设计规范。A1系统必须满足下列要求：系统管理员必须从开发者那里接收到一个安全策略的正式模型；所有的安装操作都必须由系统管理员进行；系统管理员进行的每一步安装操作都必须有正式文档。

       三、我国计算机信息系统安全保护等级划分准则

       长期以来，我国一直十分重视信息安全保密工作，并从敏感性、特殊性和战略性的高度，自始至终将其置于的绝对领导之下，由密码管理部门、安全机关、公安机关和保密主管部门等分工协作，各司其职，形成了维护信息安全的管理体系。

       1999年2月9日，为更好地与国际接轨，经质量技术监督局批准，正式成立了"中国信息安全测评认证中心（CNISTEC,China National Information Security Testing Evaluation Certification Center）".1994年，国务院发布了《中华人民共和国计算机信息系统安全保护条例》，该条例是计算机信息系统安全保护的法律基础。其中第九条规定"计算机信息系统实行安全等级保护。安全等级的划分和安全等级的保护的具体办法，由公安部会同有关部门制定。"公安部在《条例》发布实施后组织制订了《计算机信息系统安全保护等级划分准则》（GB 17859-1999），并于1999年9月13日由质量技术监督局审查通过并正式批准发布，已于2001年1月1日起执行。该准则的发布为我国计算机信息系统安全法规和配套标准制定的执法部门的监督检查提供了依据，为安全产品的研制提供了技术支持，为安全系统的建设和管理提供了技术指导，是我国计算机信息系统安全保护等级工作的基础。本标准规定了计算机系统安全保护能力的五个等级，即：

       （1）第一级：用户自主保护级（对应TCSEC的C1级）。本级的计算机信息系统可信计算基（trusted computing base）通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。

       （2）第二级：系统审计保护级（对应TCSEC的C2级）。与用户自主保护级相比，本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。

       （3）第三级：安全标记保护级（对应TCSEC的B1级）。本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。

       （4）第四级：结构化保护级（对应TCSEC的B2级）。本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。它加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。系统具有相当的抗渗透能力。

       （5）第五级：访问验证保护级（对应TCSEC的B3级）。本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。

       希赛网，拥有十五年软考培训经验，希赛网一直坚持自主研发，将丰富的软考培训经验有效融入教程研发过程，自成体系的软考在线题库（软考历年真题）、软考培训教材和软考视频教程，多样的培训方式包括面授、和，使考生的学习更具系统性，辅导更具针对性。采用全程督学机制，，软考平均通过率在全国。