网络安全的评估标准

h
8
第1章 网络安全 7. A级 A级或称验证设计，是当前橘黄皮书中的最高级别， 它包含 了一个严格的设计、 控制和验证过程。 与前面提到的各级别一 样， 这一级包含了较低级别的所有特性。 其设计必须是从数学 上经过验证的， 而且必须进行对秘密通道和可信任分布的分析。
橘黄皮书安全系统分类总结如表1.2所示。
哪些是由系统管理员执行的活动。审核的缺点是它需要额外的处
理器和磁盘子系统资源。使用附加身份验证，对于一个C2系统的
用户来说，是可能在没有根口令的情况下有权执行系统管理任务
的， 这时单独的用户执行了系统管理任务而可能不是系统管理员。
附加身份验证不可与SGID和SUID许可权限相混淆，它是允许用
户执行特定命令或访问某些核心表的特定身份验证，如，无权浏
h
3
第1章 网络安全
2. C1
C 级 有 两 个 安ห้องสมุดไป่ตู้全 子 级 别 ： C1 和 C2 ， 或 称 自 选 安 全 保 护
（Discretionary Security Protection）系统， 它描述了一个UNIX系统
上可用的安全级别。对硬件来说，存在某种程度的保护， 因为它不
再那么容易受到损害，尽管这种可能性存在。 用户必须通过用户注
h
2
第1章 网络安全
1. D1级
D1级叫做酌情安全保护，是可用的最低安全形式。 该标准 说明整个系统都是不可信任的。对硬件来说，没有任何保护； 操作系统容易受到损害； 对于用户和他们对存储在计算机上信 息的访问权限没有身份认证。 该安全级别典型地指向MS-DOS， MS-Window 3.1和APPLE的Macintosh System 7.X等操作系统。 这些操作系统不区分用户，对于计算机硬盘上的任何信息是可 以访问的也没有任何控制。
册名和口令让系统识别自己。用这种方式来确定每个用户对程序和
信息拥有什么样的访问权限。访问权限是文件和目录许可权限
（Permission）文件或目录的拥有者或者系统管理员通过自选访问
控制（Discretionary Access Control）， 能够对程序或信息的访问进
行控制，但不能阻止系统管理帐户执行活动， 结果由于不审慎的系
（Orange Book）。该标准认为要使系统免受攻击，对应不同的
安全级别，硬件、软件和存储的信息应实施不同的安全保护。
安全级别对不同类型的物理安全、用户身份验证
（Authentication）、操作系统软件的可信任性和用户应用程序
进行了安全描述。
h
1
第1章 网络安全
目前， TCSEC已经成为了现行的网络安全标准。 TCSEC将网络安全性等级划分为A、 B、 C、 D等4类共七 级， 其中， A类安全等级最高， D类安全等级最低。
统管理员可能容易损害系统安全。另外， 许多日常系统管理任务能
由以root注册的用户来执行。 随着现在计算机系统的分散化，随便
走进一个组织，你都会发现两三个以上的人知道根口令，这已经是
司空见惯的事，由于过去无法区分具体是哪个人对系统所做的改变，
因此这本身就是一个问题。 h
4
第1章 网络安全
3. C2
h
12
第1章 网络安全 1.4.3 我国安全标准简介
我国信息安全研究经历了通信保密、计算机数据保护两个发
展阶段，正在进入网络信息安全的研究阶段。通过学习、吸收、
消化TCSEC的原则进行了安全操作系统、多级安全数据库的研制，
览进程表的用户，当执行ps命令时，只能看到自己的进程。
h
5
第1章 网络安全
4. B1级 B级又称作被标签的安全性保护，分为三个子级别。 B1 级或称标准安全保护（Labeled Security Protection），是支持 多级安全的第一个级别，这一级说明了一个处于强制性访问 控制之下的对象， 不允许文件的拥有者改变其许可权限。
除C1包含的特征外，C2级还包括其它的创建受控访问环境
（Controlled-access environment）的安全特性。该环境具有进一
步限制用户执行某些命令或访问某些文件的能力。这不仅基于许
可权限，而且基于身份验证级别。另外，这种安全级别要求对系
统加以审核。审核可用来跟踪记录所有与安全有关的事件， 比如
h
9
第1章 网络安表全1.2 橘黄皮书安全系统分类
h
10
第1章 网络安表全1.2 橘黄皮书安全系统分类
h
11
第1章 网络安全
1.4.2
数据加密的标准化工作在国外很早就开始了，例如，1976年 美国国家标准局就颁布了数据加密标准算法（DES）。1984年， 国际标准化组织ISO/TC97决定正式成立分技术委员会，即SC20， 开展制定信息技术安全标准工作。从此，数据加密标准化工作在 ISO/TC97内正式蓬勃展开。经过几年的工作，根据技术发展的需 要， ISO决定撤消原来的SC20， 组建新的SC27，并在1990年4月 瑞典斯德哥尔摩年会上正式成立SC27，其名称为：信息技术—安 全技术。SC27的工作范围是信息技术安全的一般方法和信息技术 安全标准体系。它包括确定信息技术系统安全服务的一般要求、 开发安全技术和机制、开发安全指南、开发管理支撑文件和标准。
h
6
第1章 网络安全
5. B2级 B2级也称为结构保护（Structured Protection），要求计算 机系统中所有对象都加标签，而且给设备分配单个或多个安全 级别。 这是提出的较高安全级别的对象与另一个较低安全级 别的对象相互通信的第一个级别。
h
7
第1章 网络安全
6. B3级别 B3级或称安全域级别（Security Domain），使用安装硬件 的办法来加强域，例如，内存管理硬件用来保护安全域免遭无 授权访问或其它安全域对象的修改。该级别也要求用户终端通 过一条可信任途径连接到系统上。
第1章 网络安全
1.4 网络安全的评估标准
1.4.1
为实现对网络安全的定性评价，美国国防部所属的国家计
算机安全中心（NCSC）在20世纪90年代提出了网络安全性标准
（DoD5200.28-STD），即可信任计算机标准评估准则（Trusted
Computer Standards Evaluation Criteria ） ， 也 叫 橘 黄 皮 书