国际安全等级与标准PPT课件( 13页)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第四章 安全等级与标准
4.1 国际安全评价标准 4.2 我国计算机安全等级划分
与相关标准
本章重点和复习要点
本章重点和复习要点
TCSEC是何种类型标准 商用操作系统安全级别和采用的访问控
制策略 军用或实验室操作系统的安全级别和采
用的访问控制策略 现行的Windows和UNIX操作系统的安
•
8、不要活在别人眼中,更不要活在别人嘴中。世界不会因为你的抱怨不满而为你改变,你能做到的只有改变你自己!
•
9、欲戴王冠,必承其重。哪有什么好命天赐,不都是一路披荆斩棘才换来的。
•
10、放手如拔牙。牙被拔掉的那一刻,你会觉得解脱。但舌头总会不由自主地往那个空空的牙洞里舔,一天数次。不痛了不代表你能完全无视,留下的那个空缺永远都在,偶尔甚至会异常挂念。适应是需要时间的,但牙总是要拔,因为太痛,所以终归还是要放手,随它去。
4.2 我国计算机安全等级划分与相关标准 公安部1999年制定了《计算机信息系统安全
保护等级划分准则》国家标准,它划分了5个等 级,计算机信息系统安全保护能力随着安全保 护等级的增高而逐渐增强:
用户自主保护级、 系统审计保护级、 安全标记保护级、 结构化保护级、 访问验证保护级。
返回首页
•
5、世上最美好的事是:我已经长大,父母还未老;我有能力报答,父母仍然健康。
•
6、没什么可怕的,大家都一样,在试探中不断前行。
•
7、时间就像一张网,你撒在哪里,你的收获就在哪里。纽扣第一颗就扣错了,可你扣到最后一颗才发现。有些事一开始就是错的,可只有到最后才不得不承认。
•
8、世上的事,只要肯用心去学,没有一件是太晚的。要始终保持敬畏之心,对阳光,对美,对痛楚。
•
9、别再去抱怨身边人善变,多懂一些道理,明白一些事理,毕竟每个人都是越活越现实。
自的行为负责。 3)C2系统通过登录过程、安全事件和资源隔离
来增强这种控制。
• B:被动的强制访问策略,B系统具有强制性 保护功能,目前很少有OS能够符合B级标准。
B1级:还需具有所用安全策略模型的非形式 化描述,实施了强制性存取控制(MAC)。
B2级:基于明确定义的形式化模型,并对系 统中所有的主体和客体实施了DAC和MAC。
B3级:能对系统中所有的主体和客体的访问 进行控制,TCB不会被非法篡改,且TCB设计要 小巧且结构化以便于分析和测试其正确性。
• A:形式化证明的安全。 A1级:它的特色在于形式化的顶层设计规格
FTDS、形式化验证FTDS与形式化模型的一致性 和由此带来的更高的可信度。
只能用来衡量单机系统平台的安全级别。
•
10、山有封顶,还有彼岸,慢慢长途,终有回转,余味苦涩,终有回甘。
•
11、人生就像是一个马尔可夫链,你的未来取决于你当下正在做的事,而无关于过去做完的事。
•
12、女人,要么有美貌,要么有智慧,如果两者你都不占绝对优势,那你就选择善良。
•
13、时间,抓住了就是黄金,虚度了就是流水。理想,努力了才叫梦想,放弃了那只是妄想。努力,虽然未必会收获,但放弃,就一定一无所获。
4.1.2 欧洲ITSEC 20世纪90年代西欧四国联合提出了信息技术安
全评估标准ITSEC,又称欧洲白皮书,带动了国际 计算机安全的评估研究,其应用领域为军队、政府 和商业。
1)吸收TCSEC的成功经验; 2)首次提出了信息安全的保密性、完整性、可用
性的概念; 3)并将安全概念分为功能和评估两部分,使可信
计算机的概念提升到可信信息技术的高度。
4)ITSEC标准的一个基本观点是:分别衡量安 全的功能等级(F)和安全的保证等级(E)。
5)另一个观点是:被评估的应是整个系统(硬 件、OS、DBMS、应用软件),而不只是计算 平台,因为一个系统的安全等级可能比其每个 组成部分的安全级别都高(或低)。
4.1.5 CC标准 1993年6月,六国七方共同提出了“信息技术
•
6、人性本善,纯如清溪流水凝露莹烁。欲望与情绪如风沙袭扰,把原本如天空旷蔚蓝的心蒙蔽。但我知道,每个人的心灵深处,不管乌云密布还是阴淤苍茫,但依然有一道彩虹,亮丽于心中某处。
•
7、每个人的心里,都藏着一个了不起的自己,只要你不颓废,不消极,一直悄悄酝酿着乐观,培养着豁达,坚持着善良,只要在路上,就没有到达不了的远方!
•源自文库
11、这个世界其实很公平,你想要比别人强,你就必须去做别人不想做的事,你想要过更好的生活,你就必须去承受更多的困难,承受别人不能承受的压力。
•
14、一个人的知识,通过学习可以得到;一个人的成长,就必须通过磨练。若是自己没有尽力,就没有资格批评别人不用心。开口抱怨很容易,但是闭嘴努力的人更加值得尊敬。
•
15、如果没有人为你遮风挡雨,那就学会自己披荆斩棘,面对一切,用倔强的骄傲,活出无人能及的精彩。
•
5、人生每天都要笑,生活的下一秒发生什么,我们谁也不知道。所以,放下心里的纠结,放下脑中的烦恼,放下生活的不愉快,活在当下。人生喜怒哀乐,百般形态,不如在心里全部淡然处之,轻轻一笑,让心更自在,生命更恒久。积极者相信只有推动自己才能推动世界,只要推动自己就能推动世界。
全级别 现有的商用操作系统是否是“安全的操
作系统”
返回首页
4.1 国际安全评价标准
4.1.1 TCSEC标准 1985年美国国防部制定的计算机安全标准
——可信计算机系统评价准则TCSEC,即橙 皮书。TCSEC共分为4类7级:
返回首页
• D:最低保护,指未加任何实际的安全措施, 如DOS被定为D级。
安全评价通用准则”(CC for IT SEC),已成 为
国际标准,也是系统安全认证的最权威的标准。
CC标准分为三个部分,三者相互依存,缺一 不可:简介和一般模型、安全功能要求(技术 要求)、安全保证要求(非技术要求)。
CC的先进性体现在4个方面:结构的开放性、 表达方式的通用性、结构和表达方式的内在完 备性、实用性。
• C:被动的自主访问策略,提供审慎的保护, 并为用户的行动和责任提供审计能力。
C1级:具有一定的自主型存取控制(DAC)机 制,通过将用户和数据分开达到安全的目的,如 UNIX的owner/group/other存取控制。
C2级: 1)具有更细分(每一个单独用户)的DAC机制,
且引入了审计机制。 2)在连接到网络上时,C2系统的用户分别对各
4.1 国际安全评价标准 4.2 我国计算机安全等级划分
与相关标准
本章重点和复习要点
本章重点和复习要点
TCSEC是何种类型标准 商用操作系统安全级别和采用的访问控
制策略 军用或实验室操作系统的安全级别和采
用的访问控制策略 现行的Windows和UNIX操作系统的安
•
8、不要活在别人眼中,更不要活在别人嘴中。世界不会因为你的抱怨不满而为你改变,你能做到的只有改变你自己!
•
9、欲戴王冠,必承其重。哪有什么好命天赐,不都是一路披荆斩棘才换来的。
•
10、放手如拔牙。牙被拔掉的那一刻,你会觉得解脱。但舌头总会不由自主地往那个空空的牙洞里舔,一天数次。不痛了不代表你能完全无视,留下的那个空缺永远都在,偶尔甚至会异常挂念。适应是需要时间的,但牙总是要拔,因为太痛,所以终归还是要放手,随它去。
4.2 我国计算机安全等级划分与相关标准 公安部1999年制定了《计算机信息系统安全
保护等级划分准则》国家标准,它划分了5个等 级,计算机信息系统安全保护能力随着安全保 护等级的增高而逐渐增强:
用户自主保护级、 系统审计保护级、 安全标记保护级、 结构化保护级、 访问验证保护级。
返回首页
•
5、世上最美好的事是:我已经长大,父母还未老;我有能力报答,父母仍然健康。
•
6、没什么可怕的,大家都一样,在试探中不断前行。
•
7、时间就像一张网,你撒在哪里,你的收获就在哪里。纽扣第一颗就扣错了,可你扣到最后一颗才发现。有些事一开始就是错的,可只有到最后才不得不承认。
•
8、世上的事,只要肯用心去学,没有一件是太晚的。要始终保持敬畏之心,对阳光,对美,对痛楚。
•
9、别再去抱怨身边人善变,多懂一些道理,明白一些事理,毕竟每个人都是越活越现实。
自的行为负责。 3)C2系统通过登录过程、安全事件和资源隔离
来增强这种控制。
• B:被动的强制访问策略,B系统具有强制性 保护功能,目前很少有OS能够符合B级标准。
B1级:还需具有所用安全策略模型的非形式 化描述,实施了强制性存取控制(MAC)。
B2级:基于明确定义的形式化模型,并对系 统中所有的主体和客体实施了DAC和MAC。
B3级:能对系统中所有的主体和客体的访问 进行控制,TCB不会被非法篡改,且TCB设计要 小巧且结构化以便于分析和测试其正确性。
• A:形式化证明的安全。 A1级:它的特色在于形式化的顶层设计规格
FTDS、形式化验证FTDS与形式化模型的一致性 和由此带来的更高的可信度。
只能用来衡量单机系统平台的安全级别。
•
10、山有封顶,还有彼岸,慢慢长途,终有回转,余味苦涩,终有回甘。
•
11、人生就像是一个马尔可夫链,你的未来取决于你当下正在做的事,而无关于过去做完的事。
•
12、女人,要么有美貌,要么有智慧,如果两者你都不占绝对优势,那你就选择善良。
•
13、时间,抓住了就是黄金,虚度了就是流水。理想,努力了才叫梦想,放弃了那只是妄想。努力,虽然未必会收获,但放弃,就一定一无所获。
4.1.2 欧洲ITSEC 20世纪90年代西欧四国联合提出了信息技术安
全评估标准ITSEC,又称欧洲白皮书,带动了国际 计算机安全的评估研究,其应用领域为军队、政府 和商业。
1)吸收TCSEC的成功经验; 2)首次提出了信息安全的保密性、完整性、可用
性的概念; 3)并将安全概念分为功能和评估两部分,使可信
计算机的概念提升到可信信息技术的高度。
4)ITSEC标准的一个基本观点是:分别衡量安 全的功能等级(F)和安全的保证等级(E)。
5)另一个观点是:被评估的应是整个系统(硬 件、OS、DBMS、应用软件),而不只是计算 平台,因为一个系统的安全等级可能比其每个 组成部分的安全级别都高(或低)。
4.1.5 CC标准 1993年6月,六国七方共同提出了“信息技术
•
6、人性本善,纯如清溪流水凝露莹烁。欲望与情绪如风沙袭扰,把原本如天空旷蔚蓝的心蒙蔽。但我知道,每个人的心灵深处,不管乌云密布还是阴淤苍茫,但依然有一道彩虹,亮丽于心中某处。
•
7、每个人的心里,都藏着一个了不起的自己,只要你不颓废,不消极,一直悄悄酝酿着乐观,培养着豁达,坚持着善良,只要在路上,就没有到达不了的远方!
•源自文库
11、这个世界其实很公平,你想要比别人强,你就必须去做别人不想做的事,你想要过更好的生活,你就必须去承受更多的困难,承受别人不能承受的压力。
•
14、一个人的知识,通过学习可以得到;一个人的成长,就必须通过磨练。若是自己没有尽力,就没有资格批评别人不用心。开口抱怨很容易,但是闭嘴努力的人更加值得尊敬。
•
15、如果没有人为你遮风挡雨,那就学会自己披荆斩棘,面对一切,用倔强的骄傲,活出无人能及的精彩。
•
5、人生每天都要笑,生活的下一秒发生什么,我们谁也不知道。所以,放下心里的纠结,放下脑中的烦恼,放下生活的不愉快,活在当下。人生喜怒哀乐,百般形态,不如在心里全部淡然处之,轻轻一笑,让心更自在,生命更恒久。积极者相信只有推动自己才能推动世界,只要推动自己就能推动世界。
全级别 现有的商用操作系统是否是“安全的操
作系统”
返回首页
4.1 国际安全评价标准
4.1.1 TCSEC标准 1985年美国国防部制定的计算机安全标准
——可信计算机系统评价准则TCSEC,即橙 皮书。TCSEC共分为4类7级:
返回首页
• D:最低保护,指未加任何实际的安全措施, 如DOS被定为D级。
安全评价通用准则”(CC for IT SEC),已成 为
国际标准,也是系统安全认证的最权威的标准。
CC标准分为三个部分,三者相互依存,缺一 不可:简介和一般模型、安全功能要求(技术 要求)、安全保证要求(非技术要求)。
CC的先进性体现在4个方面:结构的开放性、 表达方式的通用性、结构和表达方式的内在完 备性、实用性。
• C:被动的自主访问策略,提供审慎的保护, 并为用户的行动和责任提供审计能力。
C1级:具有一定的自主型存取控制(DAC)机 制,通过将用户和数据分开达到安全的目的,如 UNIX的owner/group/other存取控制。
C2级: 1)具有更细分(每一个单独用户)的DAC机制,
且引入了审计机制。 2)在连接到网络上时,C2系统的用户分别对各