安全等级与标准

1、第四章 平安等级与规范4.1 国际平安评价规范4.2 我国计算机平安等级划分 与相关规范本章重点和复习要点.本章重点和复习要点TCSEC是何种类型规范商用操作系统平安级别和采用的访问控制战略军用或实验室操作系统的平安级别和采用的访问控制战略现行的Windows和UNIX操作系统的平安级别现有的商用操作系统能否是“平安的操作系统 前往首页.4.1 国际平安评价规范4.1.1 TCSEC规范 1985年美国国防部制定的计算机平安规范可信计算机系统评价准那么TCSEC，即橙皮书。TCSEC共分为4类7级：前往首页. D：最低维护，指未加任何实践的平安措施， 如DOS被定为D级。 C：被动的自主访问战

2、略，提供谨慎的维护， 并为用户的行动和责任提供审计才干。 . C1级：具有一定的自主型存取控制DAC机制，经过将用户和数据分开到达平安的目的，如UNIX的owner/group/other存取控制。 C2级：1具有更细分每一个单独用户的DAC机制，且引入了审计机制。2在衔接到网络上时，C2系统的用户分别对各自的行为担任。3C2系统经过登录过程、平安事件和资源隔离来加强这种控制。. B：被动的强迫访问战略，B系统具有强迫性维护功能，目前很少有OS可以符合B级规范。 B1级：还需具有所用平安战略模型的非方式化描画，实施了强迫性存取控制MAC。. B2级：基于明确定义的方式化模型，并对系统中一切的主

3、体和客体实施了DAC和MAC。 B3级：能对系统中一切的主体和客体的访问进展控制，TCB不会被非法篡改，且TCB设计要小巧且构造化以便于分析和测试其正确性。. A：方式化证明的平安。 A1级：它的特征在于方式化的顶层设计规格FTDS、方式化验证FTDS与方式化模型的一致性和由此带来的更高的可信度。 只能用来衡量单机系统平台的平安级别。.4.1.2 欧洲ITSEC 20世纪90年代西欧四国结合提出了信息技术安全评价规范ITSEC，又称欧洲白皮书，带动了国际计算机平安的评价研讨，其运用领域为军队、政府和商业。1吸收TCSEC的胜利阅历；2初次提出了信息平安的严密性、完好性、可用性的概念；3并将平安

4、概念分为功能和评价两部分，使可信计算机的概念提升到可信信息技术的高度。. 4ITSEC规范的一个根本观念是：分别衡量平安的功能等级F和平安的保证等级E。5另一个观念是：被评价的应是整个系统硬件、OS、DBMS、运用软件，而不只是计算平台，由于一个系统的平安等级能够比其每个组成部分的平安级别都高或低。.4.1.5 CC规范 1993年6月，六国七方共同提出了“信息技术平安评价通用准那么CC for IT SEC，已成为国际规范，也是系统平安认证的最权威的规范。 CC规范分为三个部分，三者相互依存，缺一不可：简介和普通模型、平安功能要求技术要求、平安保证要求非技术要求。 CC的先进性表达在4个方面：构造的开放性、表达方式的通用性、构造和表达方式的内在完备性、适用性。. 4.2 我国计算机平安等级划分与相关规范 公安部1999年制定了国家规范，它划分了5个等级，计算机信息系统平安维护