网络与信息安全培训 课件

网络与信息安全范晓明网络与信息安全范晓明1目录一、网络与信息安全基本概念二、信息系统安全等级保护三、当前的信息安全形势四、网络与信息安全技术五、加强网络与信息安全的措施目录一、网络与信息安全基本概念2一、网络与信息安全基本概念(一)信息安全的涵义信息安全主要涉及到信息存储的安全、信息传输的安全以及对网络传输信息内容的审计三方面。它研究计算机系统和通信网络内信息的保护方法。从广义来说，凡是涉及到信息的完整性、保密性、真实性、可用性和可控性的相关技术和理论都是信息安全所要研究的领域。信息安全的一般定义：计算机信息安全是指计算机信息系统的硬件、软件、网络及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。一、网络与信息安全基本概念(一)信息安全的涵义3一、网络与信息安全基本概念对信息安全的威胁来自：用户操作的有意无意的破坏；来自硬件、网络和软件的故障、缺陷和内部的陷门；来自各种天灾与人为灾害来自入侵者的恶意攻击。一、网络与信息安全基本概念对信息安全的威胁来自：4一、网络与信息安全基本概念计算机信息安全具有以下五方面的特征。1．保密性2．完整性3．真实性4．可用性5．可控性一、网络与信息安全基本概念计算机信息安全具有以下五方面的特征5一、网络与信息安全基本概念保密性：对信息资源开放范围的控制，不让不应涉密的人知道秘密。保密性措施：信息加密、解密；信息划分密级，对用户分配不同权限，对不同权限的用户访问的对象进行访问控制；防止硬件辐射泄露、网络截获、窃听等。一、网络与信息安全基本概念保密性：对信息资源开放范围的控制，6一、网络与信息安全基本概念完整性：使信息保持完整、真实或未受损状态，任何中断、窃取、篡改和伪造信息应用特性或状态等行为都是破坏信息的完整性的。完整性措施：严格控制对系统中数据的写访问。只允许许可的当事人进行更改。一、网络与信息安全基本概念完整性：使信息保持完整、真实或未受7一、网络与信息安全基本概念可用性：意味着资源只能由合法的当事人使用，保证合法用户对信息的合法利用。可用性措施：在坚持严格的访问控制机制的条件下，为用户提供方便和快速的访问接口。提供安全性的访问工具。一、网络与信息安全基本概念可用性：意味着资源只能由合法的当事8一、网络与信息安全基本概念不可否认性：信息的发送者无法否认已发出的信息，信息的接收者无法否认已经接收的信息。不可否认性措施：数字签名，可信第三方认证技术。一、网络与信息安全基本概念不可否认性：信息的发送者无法否认已9一、网络与信息安全基本概念（二）网络与信息安全事件网络与信息安全事件，是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件。一、网络与信息安全基本概念（二）网络与信息安全事件10一、网络与信息安全基本概念（1）有害程序事件有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。有害程序事件包括：计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其他有害程序事件。一、网络与信息安全基本概念（1）有害程序事件11一、网络与信息安全基本概念（2）网络攻击事件网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。网络攻击事件包括：拒绝服务事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。一、网络与信息安全基本概念（2）网络攻击事件12一、网络与信息安全基本概念（3）信息破坏事件信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息破坏事件包括：信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。一、网络与信息安全基本概念（3）信息破坏事件13一、网络与信息安全基本概念（4）信息内容安全事件信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。信息内容安全事件包括：违反宪法和法律、行政法规的信息安全事件；针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件；组织串连、煽动集会游行的信息安全事件；其他信息内容安全事件等。一、网络与信息安全基本概念（4）信息内容安全事件14一、网络与信息安全基本概念（5）设备设施故障设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。设备设施故障包括：软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。一、网络与信息安全基本概念（5）设备设施故障15一、网络与信息安全基本概念（6）灾害性事件灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。一、网络与信息安全基本概念（6）灾害性事件16一、网络与信息安全基本概念信息安全分类根据中国国家计算机安全规范，计算机的安全大致可分为如下三类。（1）实体安全：包括机房、线路和主机等的安全。（2）网络与信息安全：包括网络的畅通、准确以及网上信息的安全。（3）应用安全：包括程序开发运行、I/O、数据库等的安全。其中，网络与信息安全可分为如下四类（1）基本安全类。（2）管理与记账类。（3）网络互连设备安全类。（4）连接控制类。一、网络与信息安全基本概念信息安全分类17一、网络与信息安全基本概念（三）信息系统安全理论安全控制理论：三大控制理论1）访问控制：基于访问矩阵与访问监控器2）信息流控制：基于数学的格理论3）推理控制：基于逻辑推理，防数据库泄漏安全操作系统的设计方法：安全核技术，分层结构，环型结构一、网络与信息安全基本概念（三）信息系统安全理论18一、网络与信息安全基本概念安全性概念包括安全政策、策略模型、安全服务和安全机制等内容，其中安全政策是为了实现软件系统的安全而制定的有关管理、保护和发布敏感信息的规定与实施细则；策略模型是指实施安全策略的模型；安全服务则是指根据安全政策和安全模型提供的安全方面的服务；安全机制是实现安全服务的方法。一、网络与信息安全基本概念安全性概念包括安全政策、策略模型、19恢复反应检测保护信息保障PDRR模型ProtectionDetectionReactionRestore恢复反应检测保护信息PDRR模20一、网络与信息安全基本概念访问监视器访问监视数据库用户身份文件权限文件文件属性访问控制表主体、用户进程批作业目标文件、盘、带、程序、终端等安全审计操作系统的访问控制模型一、网络与信息安全基本概念访问监视器访问监视数据库主体、用户21一、网络与信息安全基本概念网络操作系统的访问控制模型访问监视器访问监视器数据库审计访问监视器访问监视器数据库审计目标

主体一、网络与信息安全基本概念网络操作系统的访问控制模型访问监视22二、信息安全等级保护（一）国际信息安全等级1、D安全级最低安全级，没有任何安全措施，整个系统是不可信的硬件无任何保障机制操作系统容易受到侵害无身份认证与访问控制典型系统是MS-DOS二、信息安全等级保护23二、信息安全等级保护2、C1安全级——自主安全保护级实现粗粒度的自主访问控制机制。系统能把用户与数据隔离，TCB通过账户、口令去确认用户身份硬件提供某种程度的保护机制通过拥有者自定义和控制，防止自己的数据被别的用户破坏。要求严格的测试和完善的文档资料。

这类系统适合于多个协作用户在同一个安全级上处理数据的工作环境。二、信息安全等级保护2、C1安全级——自主安全保护级24二、信息安全等级保护3、C2安全级——可控安全保护级C2级达到企业级安全要求。可作为最低军用安全级别C2实现更细的可控自主访问控制，保护粒度要达到单个主体和客体一级；要求消除残留信息泄露（内存、外存、寄存器）；要求审计功能（与C1级的主要区别），审计粒度要能够跟踪每个主体对每个客体的每一次访问。对审计记录应该提供保护，防止非法修改。二、信息安全等级保护3、C2安全级——可控安全保护级25二、信息安全等级保护比C1增加授权服务，还有防止访问权失控扩散的机制。要求TCB必须保留在一特定区域，防止来自外部的修改；TCB应与被保护的资源隔离。TCB能够记录对认证安全机制的使用、记录对客体的读入、删除等操作，记录系统管理员的管理活动。二、信息安全等级保护比C1增加授权服务，还有防止访问权失控扩26二、信息安全等级保护4、B1安全级——加标记的访问控制保护级具有C2的全部功能，还增加或增强了标记、MAC、责任、审计、保证等功能。标记：主客体都必须带有标记，并准确体现其安全级别，且由TCB维护。因此本级又称为带标记的访问控制保护级。采用强制保护机制。保护机制根据标记对客体进行保护。B1安全级要求以安全模型为依据，要求彻底分析系统的设计文件和源代码，严格测试目标代码。二、信息安全等级保护4、B1安全级——加标记的访问控制保护27二、信息安全等级保护B1级对标记的内容与使用有以下要求：1）主体与客体的敏标记的完整性：安全标记应能唯一的指定感级别。当TCB输出敏感标记时，应准确对应内部标记，并输出相应的关联信息。2）标记信息的输出：人工指定每个I/O信道与I/O设备是单（安全）级的还是多（安全）级的，TCB应能知晓这种指定，并能对这种指定活动进行审计。二、信息安全等级保护B1级对标记的内容与使用有以下要求：28二、信息安全等级保护3）多级设备输出：当TCB把一个客体输出到多级I/O设备时，敏感标记也应同时输出，并与输出信息一起留存在同一物理介质上。当TCB使用多级I/O信道通信时，协议应能支持多敏感标记信息的传输。4）单级设备的输出：虽然不要求对单级I/O设备和单级信道所处理的信息保留敏感标志，但要求TCB提供一种安全机制，允许用户利用单级设备与单级I/O信道安全地传输单级信息。二、信息安全等级保护3）多级设备输出：当TCB把一个客295）对人可读输出的标记输出：系统管理员应该能够指定与输出敏感标记相关联的可打印标记名，这些敏感标记可以是秘密、机密和绝密的。TCB应能标识这些敏感标记输出的开始与结束。5）对人可读输出的标记输出：系统管理员应该能够指定与输出敏感30强制访问控制每个受控的客体都必须附加上标记，用于标明该客体的安全级，当这些客体被访问的时候，保护系统就依据这些标记对客体进行必要的控制。B1类要求每个受控的主体和客体都要配备一个安全级，但不要求保护系统控制每个客体。B1级中的访问控制机制必须依据一种安全模型，在这种模型中，主体与客体的敏感性标记既有等级性级别的，又有无等级性的类别的。TCB应该支持两个以上的安全级。在TCB控制的主、客体间的所有访问活动，并要求这些活动必须满足以下要求：强制访问控制31只有主体的敏感等级大于或等于客体的敏感等级时，才允许该主体去读该客体，而且该主体的信息访问类包含该客体中信息访问类的全部内容。信息访问类中所包含的信息是非等级性。只有主体的敏感级不大于客体的敏感级时，才允许该主体去写该客体，而且该主体的信息访问类包含该客体中信息访问类。只有主体的敏感等级大于或等于客体的敏感等级时，才允许该主体去32军用安全策略可以满足这种要求，它既具有按非密、秘密、机密和绝密的等级性级别的标记，又允许某个主体知道多种级别信息组成的无等级性类别的信息。对于强制性访问控制政策的模型是Bell-LaPadula模型，在该模型中要支持军用安全策略。B1类系统对所有访问都要实现这种模型，同时也支持有限的用户自主访问控制功能。军用安全策略可以满足这种要求，它既具有按非密、秘密、机密和绝33可记账性TCB应该对所有涉及敏感性活动的用户进行身份识别，TCB应该管理用户的账户、口令、签证与权限信息，防止发生非授权的用户访问。B1级的审计功能比C2级的功能更强，还增加了对任何滥用职权的人可读输出标志和对安全级记录的事件进行审计，也可以对于用户的安全性活动进行有选择的审计。可记账性34在实现过程中，必须彻底分析B1类系统的设计文档和源代码，测试目标代码，尽可能发现系统存在的安全缺陷，并保证消除这些缺陷。要有一种非形式的或形式化的模型来描述系统实现的安全策略。在实现过程中，必须彻底分析B1类系统的设计文档和源代码，测35B2安全级——结构化保护级。要求把系统内部结构化地划分成独立的模块，采用最小特权原则进行管理。内部结构必须是可证明的。对所有主体与客体实施更强的MAC。从主体客体扩大到I/O设备等所有资源。TCB应支持管理员与操作员的分离。能够审计使用隐蔽存储信道的标志事件。必须给出可验证的顶级设计，要求开发者对隐蔽信道进行彻底地搜索。TCB划分保护与非保护部分，存放于固定区内。B2安全级——结构化保护级。36B2级称为结构化保护级（StructuredProtection）。B2级系统的设计中把系统内部结构化地划分成明确而大体上独立的模块，并采用最小特权原则进行管理。B2级不仅要求对所有对象加标记，而且要求给设备（磁盘、磁带或终端）分配一个或多个安全级别（实现设备标记）。必须对所有的主体与客体（包括设备）实施强制性访问控制保护，必须要有专职人员负责实施访问控制策略，其他用户无权管理。B2级称为结构化保护级（StructuredProtect37B2级强调实际中的评价手段，因此，增加或加强了以下功能：

（1）安全策略方面：进一步加强了强制访问控制功能，把强制访问控制的对象，从主体到客体扩展到I/O设备等所有资源，并要求每种系统资源必须与安全标记相联系。B2级强调实际中的评价手段，因此，增加或加强了以下功能：38

（2）可记账性方面：进一步加强系统的连续保护和防渗漏能力。主要措施包括能够确保系统和用户之间开始注册与确认时路径是可信的，增加了对使用隐蔽存储信道的标记事件的审计功能。隐蔽存储信道是指进程之间通过对某存储载体的读写来完成信息隐蔽传输的信道，而这种信道是违反安全策略要求的。（2）可记账性方面：进一步加强系统的连续保39（3）最小特权原则：应能支持操作人员与和系统管理人员的权限分离，对每个主体只授予满足完成任务所需的最小存储权，以保证最小特权原则的执行。还应该划分保护与非保护部分，并使它们维持在一个固定的受保护的域中，防止被外界破坏或恶意篡改。（3）最小特权原则：应能支持操作人员与和系统管理人员的权限分40B3安全级---安全域保护级要求系统划分主体/客体的区域。有能力监控对每个客体的每次访问。用户程序和操作被限定在某个安全域内。安全域的访问受到严格控制（有硬件支持）。系统设计要简明完善、充分利用分层、抽象和信息隐蔽等原则，要求是高度防突破的。要求有一个安全管理员，管理安全活动。安全策略方面，采用访问控制表方式实现DAC。用户可以指定与控制对命名客体的共享。B3安全级---安全域保护级41为了能够确实进行广泛而可信的测试，B3级系统的安全功能应该是短小精悍的。为了便于理解与实现，系统的高级设计（HighLevelDesign）必须是简明而完善的，必须组合使用有效的分层、抽象和信息隐蔽等原则。所实现的安全功能必须是高度防突破的，系统的审计功能能够区分出何时能避免一种破坏安全的活动。为了使系统具备恢复能力，B3系统增加了一个安全策略：为了能够确实进行广泛而可信的测试，B3级系统的安全功能应该是42（1）安全策略：采用访问控制表进行控制，允许用户指定和控制对客体的共享，也可以指定命名用户对客体的访问方式。（2）可记账性：系统能够监视安全审计事件的发生与积累，当超出某个安全阀值时，能够立刻报警，通知安全管理人员进行处理。（1）安全策略：采用访问控制表进行控制，允许用户指定和控制对43（3）保障措施：只能完成与安全有关的管理功能，对其他完成非安全功能的操作要严加限制。当系统出现故障与灾难性事件后，要提供一种过程与机理，保证在不损害保护的条件，使系统得到恢复。（3）保障措施：只能完成与安全有关的管理功能，对其他完成非安44A1安全级---可验证设计保护要求建立系统的安全模型，且可形式化验证的系统设计。对隐蔽信道进行形式分析。有五条确认标准：1）对系统安全模型进行严谨与充分的证明。证明模型与公理的一致性，模型对策略的支持。2）给出保护系统的顶层设计说明。其中包括TCB抽象功能定义和支持隔离区域的硬件软件/固件的机制。A1安全级---可验证设计保护453）说明系统的顶层设计说明与系统安全形式模型的一致性；最好能够使用验证工具，也可以使用非形式化技术说明。4）能非形式地说明TCB的实现与该设计一致。说明顶层设计表达了保护机制与安全策略的一致性，映射到TCB的各个部件正好是保护机制的对应要素。5）对隐蔽信道进行形式化分析与识别。对于时钟信道可以采用非形式化方法识别，在系统中必须对被识别的隐蔽信道是否连续存在给予证明。3）说明系统的顶层设计说明与系统安全形式模型的一致性；最好能46A1级系统的要求极高，达到这种要求的系统很少，目前已获得承认的这类系统有Honeywell公司的SCOMP系统。A1级安全标准是安全信息系统的最高安全级别，一般信息系统很难达到这样的安全能力。我国的标准去掉了A1级标准。A1级系统的要求极高，达到这种要求的系统很少，目前已获得承认47计算机系统安全等级计算机系统安全等级48二、信息安全等级保护(二)我国信息系统安全等级划分GB17859把计算机信息系统的安全保护能力划分的5个等级是：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。这五个级别的安全强度自低到高排列，且高一级包括低一级的安全能力。二、信息安全等级保护(二)我国信息系统安全等级划分49第1级系统自主保护级本级的主要特点用户具有自主安全保护能力。系统采用自主访问控制机制，该机制允许命名用户以用户或用户组的身份规定并控制客体的共享，能阻止非授权用户读取敏感信息。TCB在初始执行时需要鉴别用户的身份，不允许无权用户访问用户身份鉴别信息。该安全级通过自主完整性策略，阻止无权用户修改或破坏敏感信息。第1级系统自主保护级本级的主要特点用户具有自主安全保护能50第2级系统审计保护级本级也属于自主访问控制级。但和第一级相比，TCB实施粒度更细的自主访问控制，控制粒度可达单个用户级，能够控制访问权限的扩散，没有访问权的用户只能由有权用户指定对客体的访问权。身份鉴别功能通过每个用户唯一标识监控用户的每个行为，并能对这些行为进行审计。增加了客体重用要求和审计功能是本级的主要特色。第2级系统审计保护级本级也属于自主访问控制级。但和第一级51

审计功能要求TCB能够记录：对身份鉴别机制的使用；将客体引入用户地址空间；客体的删除；操作员、系统管理员或系统安全管理员实施的动作以及其他与系统安全有关的事件。客体重用要求是指，客体运行结束后，在其占用的存储介质（如内存、外存、寄存器等）上写入的信息（称为残留信息）必须加以清除，防止信息泄漏给其他使用这些介质的客体。审计功能要求TCB能够记录：对身份鉴别机制的使用；将客体52第3级安全标记保护级本级在提供系统审计保护级的所有功能的基础上，提供基本的强制访问功能。TCB能够维护每个主体及其控制的存储客体的敏感标记，也可以要求授权用户确定无标记数据的安全级别。这些标记是等级分类与非等级类别的集合（后面将进一步说明），是实施强制访问控制的依据。TCB可以支持对多种安全级别（如军用安全级别可划分为绝密、机密、秘密、无密4个安全级别）的访问控制，强制访问控制规则如下：第3级安全标记保护级本级在提供系统审计保护级的所有功能的53

仅当主体安全级别中的等级分类高于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别，主体才能对客体有读权；仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含于客体安全级中的非等级类别，主体才能写一个客体。仅当主体安全级别中的等级分类高于或等于客体安全级中的等级分54

TCB维护用户身份识别数据，确定用户的访问权及授权数据，并且使用这些数据鉴别用户的身份。审计功能除保持上一级的要求外，还要求记录客体的安全级别，TCB还具有审计可读输出记号是否发生更改的能力。对数据完整性的要求则增加了在网络环境中使用完整性敏感标记来确信信息在传输过程中未受损。TCB维护用户身份识别数据，确定用户的访问权及授权数据，并55

本级要求提供有关安全策略的模型，主体对客体强制访问控制的非形式化描述，没有对多级安全形式化模型提出要求。本级要求提供有关安全策略的模型，主体对客体强制访问控制的非56第4级结构化保护级本级TCB建立在明确定义的形式化安全策略模型之上，它要求将自主和强制访问控制扩展到所有主体与客体。它要求系统开发者应该彻底搜索隐蔽存储信道，要标识出这些信道和它们的带宽。本级最主要的特点是TCB必须结构化为关键保护元素和非关键保护元素。TCB的接口要求是明确定义的，使其实现能得到充分的测试和全面的复审。第四级加强了鉴别机制，支持系统管理员和操作员的职能，提供可信设施管理，增强了系统配置管理控制，系统具有较强的抗渗透能力。第4级结构化保护级本级TCB建立在明确定义的形式化安全策57

强制访问控制的能力更强，TCB可以对外部主体能够直接或间接访问的所有资源（如主体、存储客体和输入输出资源）都实行强制访问控制。关于访问客体的主体的范围有了扩大，第四级则规定TCB外部的所有主体对客体的直接或间接访问都应该满足上一级规定的访问条件。强制访问控制的能力更强，TCB可以对外部主体能够直接或间接58

而第三级则仅要求那些受TCB控制的主体对客体的访问受到访问权限的限制，且没有指明间接访问也应受到限制。要求对间接访问也要进行控制，意味着TCB必须具有信息流分析能力。而第三级则仅要求那些受TCB控制的主体对客体的访问受到访问59

为了实施更强的强制访问控制，第四级要求TCB维护与可被外部主体直接或间接访问到的计算机系统资源（如主体、存储客体、只读存储器等）相关的敏感标记。第四级还显式地增加了隐蔽信道分析和可信路径的要求。可信路径的要求如下：TCB在它与用户之间提供可信通信路径，供对用户的初始登录和鉴别，且规定该路径上的通信只能由使用它的用户初始化。对于审计功能，本级要求TCB能够审计利用隐蔽存储信道时可能被使用的事件。为了实施更强的强制访问控制，第四级要求TCB维护与可被外部60第5级访问验证保护级本级的设计参照了访问监视器模型。它要求TCB能满足访问监视器（RM---ReferenceMonitor）的需求，RM仲裁主体对客体的全部访问。RM本身是足够小的，抗篡改的和能够分析测试的。在构造TCB要去掉与安全策略无关的代码，在实现时要把TCB的复杂度降到最低。系统应支持安全管理员职能，扩充审计机制，在发生安全事件后要发出信号，提供系统恢复机制，系统应该具有很高的抗渗透能力。第5级访问验证保护级本级的设计参照了访问监视器模型。它要61

对于实现的自主访问控制功能，访问控制能够为每个命名客体指定命名用户和用户组，并规定它们对客体的访问模式。对于强制访问控制功能的要求与上一级别的要求相同。对于审计功能，要求TCB包括可以审计安全事件的发生与积累机制，当超过一定阈值时，能够立即向安全管理员发出报警，并且能以最小代价终止这些与安全相关的事件继续发生或积累。对于实现的自主访问控制功能，访问控制能够为每个命名客体指定62

对于可信路径功能要求如下：当与用户连接时（如注册、更改主体安全级），TCB要提供它与用户之间的可信通信路径。可信路径只能由该用户或TCB激活，这条路径在逻辑上与其他路径上的通信是隔离的，并且是可以正确区分的。对于可信路径功能要求如下：当与用户连接时（如注册、更改主体63

第五安全级还增加了可信恢复功能。TCB提供过程与机制，保证计算机系统失效或中断后，可以进行不损害任何安全保护性能的恢复。以上5个安全等级各自提供的安全能力如表5-3-1所示。表中的“”表示在五个安全级别中首次出现的安全能力（表注中称为新增功能）。第五安全级还增加了可信恢复功能。TCB提供过程与机制，保证64

我国信息系统安全等级划分标准安全能力

一级二级三级四级五级自主访问控制

强制访问控制

标记

身份鉴别

客体重用

审计

数据完整性

隐蔽信道分析

可信路径

安全能力一级二级三级四级五级自主访问控制65二、信息安全等级保护（三）信息安全等级保护制度信息安全等级保护是我国网络与信息安全的基本制度。国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

二、信息安全等级保护（三）信息安全等级保护制度66二、信息安全等级保护基本要求信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。二、信息安全等级保护基本要求67二、信息安全等级保护基本要求第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。二、信息安全等级保护基本要求68二、信息安全等级保护基本要求信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。二、信息安全等级保护基本要求69二、信息安全等级保护实施与管理

信息系统运营、使用单位应当确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。二、信息安全等级保护实施与管理70二、信息安全等级保护实施与管理信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。二、信息安全等级保护实施与管理71二、信息安全等级保护实施与管理在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术网络基础安全技术要求》（GB/T20270-2006）、《信息安全技术操作系统安全技术要求》（GB/T20272-2006）、《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）等技术标准同步建设符合该等级要求的信息安全设施。

二、信息安全等级保护实施与管理72二、信息安全等级保护实施与管理运营、使用单位应当参照《信息安全技术信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。二、信息安全等级保护实施与管理73二、信息安全等级保护实施与管理信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。二、信息安全等级保护实施与管理74二、信息安全等级保护实施与管理信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。二、信息安全等级保护实施与管理75二、信息安全等级保护实施与管理已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。二、信息安全等级保护实施与管理76二、信息安全等级保护办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：（一）系统拓扑结构及说明；（二）系统安全组织机构和管理制度；（三）系统安全保护设施设计实施方案或者改建实施方案；（四）系统使用的信息安全产品清单及其认证、销售许可证明；（五）测评后符合系统安全保护等级的技术检测评估报告；（六）信息系统安全保护等级专家评审意见；（七）主管部门审核批准信息系统安全保护等级的意见。二、信息安全等级保护办理信息系统安全保护等级备案手续时，应当77二、信息安全等级保护信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。二、信息安全等级保护信息系统备案后，公安机关应当对信息系统的78二、信息安全等级保护受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。对第五级信息系统，应当由国家指定的专门部门进行检查。二、信息安全等级保护受理备案的公安机关应当对第三级、第四级信79二、信息安全等级保护对第五级信息系统，应当由国家指定的专门部门进行检查。公安机关、国家指定的专门部门应当对下列事项进行检查：信息系统安全需求是否发生变化，原定保护等级是否准确；运营、使用单位安全管理制度、措施的落实情况；运营、使用单位及其主管部门对信息系统安全状况的检查情况；系统安全等级测评是否符合要求；信息安全产品使用是否符合要求；信息系统安全整改情况；备案材料与运营、使用单位、信息系统的符合情况；其他应当进行监督检查的事项。二、信息安全等级保护对第五级信息系统，应当由国家指定的专门部80二、信息安全等级保护信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件：信息系统备案事项变更情况；安全组织、人员的变动情况；信息安全管理制度、措施变更情况；信息系统运行状况记录；运营、使用单位及主管部门定期对信息系统安全状况的检查记录；二、信息安全等级保护信息系统运营、使用单位应当接受公安81二、信息安全等级保护

对信息系统开展等级测评的技术测评报告；信息安全产品使用的变更情况；信息安全事件应急预案，信息安全事件应急处置结果报告；信息系统安全建设、整改结果报告。公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的，应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求，按照管理规范和技术标准进行整改。整改完成后，应当将整改报告向公安机关备案。必要时，公安机关可以对整改情况组织检查。二、信息安全等级保护82二、信息安全等级保护第三级以上信息系统应当选择使用符合以下条件的信息安全产品：（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；（二）产品的核心技术、关键部件具有我国自主知识产权；（三）产品研制、生产单位及其主要业务、技术人员无犯罪记录；（四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；（五）对国家安全、社会秩序、公共利益不构成危害；（六）对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。二、信息安全等级保护第三级以上信息系统应当选择使83二、信息安全等级保护第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评：在中华人民共和国境内注册成立（港澳台地区除外）；由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；从事相关检测评估工作两年以上，无违法记录；工作人员仅限于中国公民；法人及主要业务、技术人员无犯罪记录；使用的技术装备、设施应当符合本办法对信息安全产品的要求；具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；对国家安全、社会秩序、公共利益不构成威胁。二、信息安全等级保护第三级以上信息系统应当选择符合下列条件的84三、当前的信息安全形势互联网正以开放、共享、交互为特点，向全球每一个角落扩张，渗透到人类生活的每一个方面，深刻地改变着人们的生产生活方式、思维方式和思想观念，推动着社会生产力的发展和人类文明的进步。同时，互联网也为西方敌对势力对我进行意识形态渗透提供了渠道，成为“三股势力”、“法轮功”、“藏独”分裂国家、宣传蛊惑、造谣煽动、串联指挥的重要场所，成为不法分子经济诈骗、犯罪的重要工具，对国家安全构成巨大威胁。三、当前的信息安全形势互联网正以开放、共享、交互为特点，向全85四、网络与信息安全技术信息安全技术主要有以下几个（1）主机安全技术。（2）身份认证技术。（3）访问控制技术。（4）数据加密技术。（5）防火墙技术。（6）入侵检测技术。（7）安全审计技术。（8）安全管理技术。四、网络与信息安全技术信息安全技术主要有以下几个86四、网络与信息安全技术网络加密和认证技术网络信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。认证主要包括身份认证和消息认证。四、网络与信息安全技术网络加密和认证技术87四、网络与信息安全技术数据失效分为物理损坏和逻辑损坏两种，前者导致失效后的数据彻底无法使用，后者表面上看来有的数据仍然可用，但数据间的关系错误。往往逻辑损坏比物理损坏更为隐蔽，破坏性更大。备份是系统文件和重要数据的一种安全策略，通过制作原始文件、数据的拷贝，就可以在原始数据丢失或遭到破坏的情况下，利用备份把原始数据恢复出来，保证系统能够正常工作。四、网络与信息安全技术数据失效分为物理损坏和逻辑损坏两种，前88四、网络与信息安全技术备份有三种方式。（1）全备份（FullBackup）：将系统中所有的数据信息全部备份。其优点是数据备份完整，缺点是备份系统的时间长，备份量大。（2）增量备份（IncrementalBackup）：只备份上次备份后系统中变化过的数据信息。其优点是数据备份量少、时间短，缺点是恢复系统时间长。（3）差分备份（DifferentialBackup）：只备份上次完全备份以后变化过的数据信息。其优点是备份数据量适中，恢复系统时间短。四、网络与信息安全技术备份有三种方式。89四、网络与信息安全技术网络安全扫描器。用于检测网络信息系统存在的各种漏洞，并提供相应的解决方案。安全路由器。路由器内包含安全性过滤机制，增加认证与与防瘫痪性攻击的各种措施。安全路由器完成在网络层与传输层的报文过滤功能。四、网络与信息安全技术网络安全扫描器。用于检测网络信息系统存90四、网络与信息安全技术防火墙：在内部网与外部网的入口处安装的堡垒主机，在应用层利用代理功能实现对信息流的过滤功能。入侵检测系统（IDS）：根据已知的各种入侵行为的模式判断网络是否遭到入侵的一类系统，IDS一般也同时具备告警、审计与简单的防御功能。四、网络与信息安全技术防火墙：在内部网与外部网的入口处安装的91四、网络与信息安全技术各种防攻击技术：其中包括漏洞防堵、网络防病毒、防木马、防口令破解、防非授权访问等技术网络监控与审计系统：监控内部网络中的各种访问信息流，并对指定条件的事件做审计记录。四、网络与信息安全技术各种防攻击技术：其中包括漏洞防堵、网络92五、加强网络与信息安全的措施世界各国为了争夺互联网的控制权，占领舆论宣传、文化渗透的制高点，打击网络犯罪，纷纷加大了对互联网的管理。大部分国家治理互联网包括四个方面：一是维护网络安全，主要是打击和遏制网络恐怖活动、网络犯罪、黑客、病毒等；二是治理不良信息，保护未成年人权利，主要是针对色情、暴力、危害国家安全、煽动种族和宗教仇恨歧视的内容、垃圾邮件等；三是监管互联网市场，包括市场准入、普遍服务、IP地址和域名网络资源管理等；四是引导和规范数字内容产业，包括保护知识产权、发展本土网络文化等。五、加强网络与信息安全的措施世界各国为了争夺互联网的控制权，93谢谢！谢谢！94演讲完毕，谢谢观看！演讲完毕，谢谢观看！95网络与信息安全范晓明网络与信息安全范晓明96目录一、网络与信息安全基本概念二、信息系统安全等级保护三、当前的信息安全形势四、网络与信息安全技术五、加强网络与信息安全的措施目录一、网络与信息安全基本概念97一、网络与信息安全基本概念(一)信息安全的涵义信息安全主要涉及到信息存储的安全、信息传输的安全以及对网络传输信息内容的审计三方面。它研究计算机系统和通信网络内信息的保护方法。从广义来说，凡是涉及到信息的完整性、保密性、真实性、可用性和可控性的相关技术和理论都是信息安全所要研究的领域。信息安全的一般定义：计算机信息安全是指计算机信息系统的硬件、软件、网络及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。一、网络与信息安全基本概念(一)信息安全的涵义98一、网络与信息安全基本概念对信息安全的威胁来自：用户操作的有意无意的破坏；来自硬件、网络和软件的故障、缺陷和内部的陷门；来自各种天灾与人为灾害来自入侵者的恶意攻击。一、网络与信息安全基本概念对信息安全的威胁来自：99一、网络与信息安全基本概念计算机信息安全具有以下五方面的特征。1．保密性2．完整性3．真实性4．可用性5．可控性一、网络与信息安全基本概念计算机信息安全具有以下五方面的特征100一、网络与信息安全基本概念保密性：对信息资源开放范围的控制，不让不应涉密的人知道秘密。保密性措施：信息加密、解密；信息划分密级，对用户分配不同权限，对不同权限的用户访问的对象进行访问控制；防止硬件辐射泄露、网络截获、窃听等。一、网络与信息安全基本概念保密性：对信息资源开放范围的控制，101一、网络与信息安全基本概念完整性：使信息保持完整、真实或未受损状态，任何中断、窃取、篡改和伪造信息应用特性或状态等行为都是破坏信息的完整性的。完整性措施：严格控制对系统中数据的写访问。只允许许可的当事人进行更改。一、网络与信息安全基本概念完整性：使信息保持完整、真实或未受102一、网络与信息安全基本概念可用性：意味着资源只能由合法的当事人使用，保证合法用户对信息的合法利用。可用性措施：在坚持严格的访问控制机制的条件下，为用户提供方便和快速的访问接口。提供安全性的访问工具。一、网络与信息安全基本概念可用性：意味着资源只能由合法的当事103一、网络与信息安全基本概念不可否认性：信息的发送者无法否认已发出的信息，信息的接收者无法否认已经接收的信息。不可否认性措施：数字签名，可信第三方认证技术。一、网络与信息安全基本概念不可否认性：信息的发送者无法否认已104一、网络与信息安全基本概念（二）网络与信息安全事件网络与信息安全事件，是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件。一、网络与信息安全基本概念（二）网络与信息安全事件105一、网络与信息安全基本概念（1）有害程序事件有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。有害程序事件包括：计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其他有害程序事件。一、网络与信息安全基本概念（1）有害程序事件106一、网络与信息安全基本概念（2）网络攻击事件网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。网络攻击事件包括：拒绝服务事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。一、网络与信息安全基本概念（2）网络攻击事件107一、网络与信息安全基本概念（3）信息破坏事件信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息破坏事件包括：信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。一、网络与信息安全基本概念（3）信息破坏事件108一、网络与信息安全基本概念（4）信息内容安全事件信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。信息内容安全事件包括：违反宪法和法律、行政法规的信息安全事件；针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件；组织串连、煽动集会游行的信息安全事件；其他信息内容安全事件等。一、网络与信息安全基本概念（4）信息内容安全事件109一、网络与信息安全基本概念（5）设备设施故障设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。设备设施故障包括：软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。一、网络与信息安全基本概念（5）设备设施故障110一、网络与信息安全基本概念（6）灾害性事件灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。一、网络与信息安全基本概念（6）灾害性事件111一、网络与信息安全基本概念信息安全分类根据中国国家计算机安全规范，计算机的安全大致可分为如下三类。（1）实体安全：包括机房、线路和主机等的安全。（2）网络与信息安全：包括网络的畅通、准确以及网上信息的安全。（3）应用安全：包括程序开发运行、I/O、数据库等的安全。其中，网络与信息安全可分为如下四类（1）基本安全类。（2）管理与记账类。（3）网络互连设备安全类。（4）连接控制类。一、网络与信息安全基本概念信息安全分类112一、网络与信息安全基本概念（三）信息系统安全理论安全控制理论：三大控制理论1）访问控制：基于访问矩阵与访问监控器2）信息流控制：基于数学的格理论3）推理控制：基于逻辑推理，防数据库泄漏安全操作系统的设计方法：安全核技术，分层结构，环型结构一、网络与信息安全基本概念（三）信息系统安全理论113一、网络与信息安全基本概念安全性概念包括安全政策、策略模型、安全服务和安全机制等内容，其中安全政策是为了实现软件系统的安全而制定的有关管理、保护和发布敏感信息的规定与实施细则；策略模型是指实施安全策略的模型；安全服务则是指根据安全政策和安全模型提供的安全方面的服务；安全机制是实现安全服务的方法。一、网络与信息安全基本概念安全性概念包括安全政策、策略模型、114恢复反应检测保护信息保障PDRR模型ProtectionDetectionReactionRestore恢复反应检测保护信息PDRR模115一、网络与信息安全基本概念访问监视器访问监视数据库用户身份文件权限文件文件属性访问控制表主体、用户进程批作业目标文件、盘、带、程序、终端等安全审计操作系统的访问控制模型一、网络与信息安全基本概念访问监视器访问监视数据库主体、用户116一、网络与信息安全基本概念网络操作系统的访问控制模型访问监视器访问监视器数据库审计访问监视器访问监视器数据库审计目标

主体一、网络与信息安全基本概念网络操作系统的访问控制模型访问监视117二、信息安全等级保护（一）国际信息安全等级1、D安全级最低安全级，没有任何安全措施，整个系统是不可信的硬件无任何保障机制操作系统容易受到侵害无身份认证与访问控制典型系统是MS-DOS二、信息安全等级保护118二、信息安全等级保护2、C1安全级——自主安全保护级实现粗粒度的自主访问控制机制。系统能把用户与数据隔离，TCB通过账户、口令去确认用户身份硬件提供某种程度的保护机制通过拥有者自定义和控制，防止自己的数据被别的用户破坏。要求严格的测试和完善的文档资料。

这类系统适合于多个协作用户在同一个安全级上处理数据的工作环境。二、信息安全等级保护2、C1安全级——自主安全保护级119二、信息安全等级保护3、C2安全级——可控安全保护级C2级达到企业级安全要求。可作为最低军用安全级别C2实现更细的可控自主访问控制，保护粒度要达到单个主体和客体一级；要求消除残留信息泄露（内存、外存、寄存器）；要求审计功能（与C1级的主要区别），审计粒度要能够跟踪每个主体对每个客体的每一次访问。对审计记录应该提供保护，防止非法修改。二、信息安全等级保护3、C2安全级——可控安全保护级120二、信息安全等级保护比C1增加授权服务，还有防止访问权失控扩散的机制。要求TCB必须保留在一特定区域，防止来自外部的修改；TCB应与被保护的资源隔离。TCB能够记录对认证安全机制的使用、记录对客体的读入、删除等操作，记录系统管理员的管理活动。二、信息安全等级保护比C1增加授权服务，还有防止访问权失控扩121二、信息安全等级保护4、B1安全级——加标记的访问控制保护级具有C2的全部功能，还增加或增强了标记、MAC、责任、审计、保证等功能。标记：主客体都必须带有标记，并准确体现其安全级别，且由TCB维护。因此本级又称为带标记的访问控制保护级。采用强制保护机制。保护机制根据标记对客体进行保护。B1安全级要求以安全模型为依据，要求彻底分析系统的设计文件和源代码，严格测试目标代码。二、信息安全等级保护4、B1安全级——加标记的访问控制保护122二、信息安全等级保护B1级对标记的内容与使用有以下要求：1）主体与客体的敏标记的完整性：安全标记应能唯一的指定感级别。当TCB输出敏感标记时，应准确对应内部标记，并输出相应的关联信息。2）标记信息的输出：人工指定每个I/O信道与I/O设备是单（安全）级的还是多（安全）级的，TCB应能知晓这种指定，并能对这种指定活动进行审计。二、信息安全等级保护B1级对标记的内容与使用有以下要求：123二、信息安全等级保护3）多级设备输出：当TCB把一个客体输出到多级I/O设备时，敏感标记也应同时输出，并与输出信息一起留存在同一物理介质上。当TCB使用多级I/O信道通信时，协议应能支持多敏感标记信息的传输。4）单级设备的输出：虽然不要求对单级I/O设备和单级信道所处理的信息保留敏感标志，但要求TCB提供一种安全机制，允许用户利用单级设备与单级I/O信道安全地传输单级信息。二、信息安全等级保护3）多级设备输出：当TCB把一个客1245）对人可读输出的标记输出：系统管理员应该能够指定与输出敏感标记相关联的可打印标记名，这些敏感标记可以是秘密、机密和绝密的。TCB应能标识这些敏感标记输出的开始与结束。5）对人可读输出的标记输出：系统管理员应该能够指定与输出敏感125强制访问控制每个受控的客体都必须附加上标记，用于标明该客体的安全级，当这些客体被访问的时候，保护系统就依据这些标记对客体进行必要的控制。B1类要求每个受控的主体和客体都要配备一个安全级，但不要求保护系统控制每个客体。B1级中的访问控制机制必须依据一种安全模型，在这种模型中，主体与客体的敏感性标记既有等级性级别的，又有无等级性的类别的。TCB应该支持两个以上的安全级。在TCB控制的主、客体间的所有访问活动，并要求这些活动必须满足以下要求：强制访问控制126只有主体的敏感等级大于或等于客体的敏感等级时，才允许该主体去读该客体，而且该主体的信息访问类包含该客体中信息访问类的全部内容。信息访问类中所包含的信息是非等级性。只有主体的敏感级不大于客体的敏感级时，才允许该主体去写该客体，而且该主体的信息访问类包含该客体中信息访问类。只有主体的敏感等级大于或等于客体的敏感等级时，才允许该主体去127军用安全策略可以满足这种要求，它既具有按非密、秘密、机密和绝密的等级性级别的标记，又允许某个主体知道多种级别信息组成的无等级性类别的信息。对于强制性访问控制政策的模型是Bell-LaPadula模型，在该模型中要支持军用安全策略。B1类系统对所有访问都要实现这种模型，同时也支持有限的用户自主访问控制功能。军用安全策略可以满足这种要求，它既具有按非密、秘密、机密和绝128可记账性TCB应该对所有涉及敏感性活动的用户进行身份识别，TCB应该管理用户的账户、口令、签证与权限信息，防止发生非授权的用户访问。B1级的审计功能比C2级的功能更强，还增加了对任何滥用职权的人可读输出标志和对安全级记录的事件进行审计，也可以对于用户的安全性活动进行有选择的审计。可记账性129在实现过程中，必须彻底分析B1类系统的设计文档和源代码，测试目标代码，尽可能发现系统存在的安全缺陷，并保证消除这些缺陷。要有一种非形式的或形式化的模型来描述系统实现的安全策略。在实现过程中，必须彻底分析B1类系统的设计文档和源代码，测130B2安全级——结构化保护级。要求把系统内部结构化地划分成独立的模块，采用最小特权原则进行管理。内部结构必须是可证明的。对所有主体与客体实施更强的MAC。从主体客体扩大到I/O设备等所有资源。TCB应支持管理员与操作员的分离。能够审计使用隐蔽存储信道的标志事件。必须给出可验证的顶级设计，要求开发者对隐蔽信道进行彻底地搜索。TCB划分保护与非保护部分，存放于固定区内。B2安全级——结构化保护级。131B2级称为结构化保护级（StructuredProtection）。B2级系统的设计中把系统内部结构化地划分成明确而大体上独立的模块，并采用最小特权原则进行管理。B2级不仅要求对所有对象加标记，而且要求给设备（磁盘、磁带或终端）分配一个或多个安全级别（实现设备标记）。必须对所有的主体与客体（包括设备）实施强制性访问控制保护，必须要有专职人员负责实施访问控制策略，其他用户无权管理。B2级称为结构化保护级（StructuredProtect132B2级强调实际中的评价手段，因此，增加或加强了以下功能：

（1）安全策略方面：进一步加强了强制访问控制功能，把强制访问控制的对象，从主体到客体扩展到I/O设备等所有资源，并要求每种系统资源必须与安全标记相联系。B2级强调实际中的评价手段，因此，增加或加强了以下功能：133

（2）可记账性方面：进一步加强系统的连续保护和防渗漏能力。主要措施包括能够确保系统和用户之间开始注册与确认时路径是可信的，增加了对使用隐蔽存储信道的标记事件的审计功能。隐蔽存储信道是指进程之间通过对某存储载体的读写来完成信息隐蔽传输的信道，而这种信道是违反安全策略要求的。（2）可记账性方面：进一步加强系统的连续保134（3）最小特权原则：应能支持操作人员与和系统管理人员的权限分离，对每个主体只授予满足完成任务所需的最小存储权，以保证最小特权原则的执行。还应该划分保护与非保护部分，并使它们维持在一个固定的受保护的域中，防止被外界破坏或恶意篡改。（3）最小特权原则：应能支持操作人员与和系统管理人员的权限分135B3安全级---安全域保护级要求系统划分主体/客体的区域。有能力监控对每个客体的每次访问。用户程序和操作被限定在某个安全域内。安全域的访问受到严格控制（有硬件支持）。系统设计要简明完善、充分利用分层、抽象和信息隐蔽等原则，要求是高度防突破的。要求有一个安全管理员，管理安全活动。安全策略方面，采用访问控制表方式实现DAC。用户可以指定与控制对命名客体的共享。B3安全级---安全域保护级136为了能够确实进行广泛而可信的测试，B3级系统的安全功能应该是短小精悍的。为了便于理解与实现，系统的高级设计（HighLevelDesign）必须是简明而完善的，必须组合使用有效的分层、抽象和信息隐蔽等原则。所实现的安全功能必须是高度防突破的，系统的审计功能能够区分出何时能避免一种破坏安全的活动。为了使系统具备恢复能力，B3系统增加了一个安全策略：为了能够确实进行广泛而可信的测试，B3级系统的安全功能应该是137（1）安全策略：采用访问控制表进行控制，允许用户指定和控制对客体的共享，也可以指定命名用户对客体的访问方式。（2）可记账性：系统能够监视安全审计事件的发生与积累，当超出某个安全阀值时，能够立刻报警，通知安全管理人员进行处理。（1）安全策略：采用访问控制表进行控制，允许用户指定和控制对138（3）保障措施：只能完成与安全有关的管理功能，对其他完成非安全功能的操作要严加限制。当系统出现故障与灾难性事件后，要提供一种过程与机理，保证在不损害保护的条件，使系统得到恢复。（3）保障措施：只能完成与安全有关的管理功能，对其他完成非安139A1安全级---可验证设计保护要求建立系统的安全模型，且可形式化验证的系统设计。对隐蔽信道进行形式分析。有五条确认标准：1）对系统安全模型进行严谨与充分的证明。证明模型与公理的一致性，模型对策略的支持。2）给出保护系统的顶层设计说明。其中包括TCB抽象功能定义和支持隔离区域的硬件软件/固件的机制。A1安全级---可验证设计保护1403）说明系统的顶层设计说明与系统安全形式模型的一致性；最好能够使用验证工具，也可以使用非形式化技术说明。4）能非形式地说明TCB的实现与该设计一致。说明顶层设计表达了保护机制与安全策略的一致性，映射到TCB的各个部件正好是保护机制的对应要素。5）对隐蔽信道进行形式化分析与识别。对于时钟信道可以采用非形式化方法识别，在系统中必须对被识别的隐蔽信道是否连续存在给予证明。3）说明系统的顶层设计说明与系统安全形式模型的一致性；最好能141A1级系统的要求极高，达到这种要求的系统很少，目前已获得承认的这类系统有Honeywell公司的SCOMP系统。A1级安全标准是安全信息系统的最高安全级别，一般信息系统很难达到这样的安全能力。我国的标准去掉了A1级标准。A1级系统的要求极高，达到这种要求的系统很少，目前已获得承认142计算机系统安全等级计算机系统安全等级143二、信息安全等级保护(二)我国信息系统安全等级划分GB17859把计算机信息系统的安全保护能力划分的5个等级是：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。这五个级别的安全强度自低到高排列，且高一级包括低一级的安全能力。二、信息安全等级保护(二)我国信息系统安全等级划分144第1级系统自主保护级本级的主要特点用户具有自主安全保护能力。系统采用自主访问控制机制，该机制允许命名用户以用户或用户组的身份规定并控制客体的共享，能阻止非授权用户读取敏感信息。TCB在初始执行时需要鉴别用户的身份，不允许无权用户访问用户身份鉴别信息。该安全级通过自主完整性策略，阻止无权用户修改或破坏敏感信息。第1级系统自主保护级本级的主要特点用户具有自主安全保护能145第2级系统审计保护级本级也属于自主访问控制级。但和第一级相比，TCB实施粒度更细的自主访问控制，控制粒度可达单个用户级，能够控制访问权限的扩散，没有访问权的用户只能由有权用户指定对客体的访问权。身份鉴别功能通过每个用户唯一标识监控用户的每个行为，并能对这些行为进行审计。增加了客体重用要求和审计功能是本级的主要特色。第2级系统审计保护级本级也属于自主访问控制级。但和第一级146

审计功能要求TCB能够记录：对身份鉴别机制的使用；将客体引入用户地址空间；客体的删除；操作员、系统管理员或系统安全管理员实施的动作以及其他与系统安全有关的事件。客体重用要求是指，客体运行结束后，在其占用的存储介质（如内存、外存、寄存器等）上写入的信息（称为残留信息）必须加以清除，防止信息泄漏给其他使用这些介质的客体。审计功能要求TCB能够记录：对身份鉴别机制的使用；将客体147第3级安全标记保护级本级在提供系统审计保护级的所有功能的基础上，提供基本的强制访问功能。TCB能够维护每个主体及其控制的存储客体的敏感标记，也可以要求授权用户确定无标记数据的安全级别。这些标记是等级分类与非等级类别的集合（后面将进一步说明），是实施强制访问控制的依据。TCB可以支持对多种安全级别（如军用安全级别可划分为绝密、机密、秘密、无密4个安全级别）的访问控制，强制访问控制规则如下：第3级安全标记保护级本级在提供系统审计保护级的所有功能的148

仅当主体安全级别中的等级分类高于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别，主体才能对客体有读权；仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含于客体安全级中的非等级类别，主体才能写一个客体。仅当主体安全级别中的等级分类高于或等于客体安全级中的等级分149

TCB维护用户身份识别数据，确定用户的访问权及授权数据，并且使用这些数据鉴别用户的身份。审计功能除保持上一级的要求外，还要求记录客体的安全级别，TCB还具有审计可读输出记号是否发生更改的能力。对数据完整性的要求则增加了在网络环境中使用完整性敏感标记来确信信息在传输过程中未受损。TCB维护用户身份识别数据，确定用户的访问权及授权数据，并150

本级要求提供有关安全策略的模型，主体对客体强制访问控制的非形式化描述，没有对多级安全形式化模型提出要求。本级要求提供有关安全策略的模型，主体对客体强制访问控制的非151第4级结构化保护级本级TCB建立在明确定义的形式化安全策略模型之上，它要求将自主和强制访问控制扩展到所有主体与客体。它要求系统开发者应该彻底搜索隐蔽存储信道，要标识出这些信道和它们的带宽。本级最主要的特点是TCB必须结构化为关键保护元素和非关键保护元素。TCB的接口要求是明确定义的，使其实现能得到充分的测试和全面的复审。第四级加强了鉴别机制，支持系统管理员和操作员的职能，提供可信设施管理，增强了系统配置管理控制，系统具有较强的抗渗透能力。第4级结构化保护级本级TCB建立在明确定义的形式化安全策152

强制访问控制的能力更强，TCB可以对外部主体能够直接或间接访问的所有资源（如主体、存储客体和输入输出资源）都实行强制访问控制。关于访问