所有文章均来自网络(除测试总结部分),如果涉及到版权问题请与我联系,我会及时删除~~~~

系统安全保护等级划分准则(转)

上一篇 / 下一篇  2007-03-06 14:09:38 / 个人分类:安全测试

      中华人民共和国国家标准
vd*O$e(UFz0      计算机信息系统安全保护等级划分准则 GB 17859-1999
YUHC xd+A0      Classified criteria for security51Testing软件测试网f I~})r/K;w
      ---------------------------------------------------------------------------51Testing软件测试网*@GRKE/Q;w
      1 范围
f4M b2k0S)Z/z&mi9q[M0      本标准规定了计算机系统安全保护能力的五个等级,即:51Testing软件测试网oY-r Y!Y(]%A
      第一级:用户自主保护级;
0`,AV4]0iW0      第二级:系统审计保护级;
P8Y"](fw`3Nq0      第三级:安全标记保护级;51Testing软件测试网"E'@"zF'o/z
      第四级:结构化保护级;
bV,c'p|0      第五级:访问验证保护级。
thv?'x2[!D+b}0      本标准适用计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能
^q2BlPdV0      力随着安全保护等级的增高,逐渐增强。51Testing软件测试网dI8E)o2y^
      2 引用标准51Testing软件测试网/HF2Na"]r)IrA
      下列标准所包含的条文,通过在本标准中引用而构成本标准的条文。本标准出版时,所51Testing软件测试网E a]KD
      示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的51Testing软件测试网_%jt@a
      可能性。51Testing软件测试网+adQB1m
      GB/T 5271 数据处理词汇51Testing软件测试网7AH%dA/H^o
      3 定义51Testing软件测试网eBd7f?)Z
      除本章定义外,其他未列出的定义见GB/T 5271。51Testing软件测试网5q-q/~#n8x:g9o
      3.1 计算机信息系统 computer information system
J5F2` S~ \4y'j7N,M0      计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一51Testing软件测试网H9BT2o-y.J V:Cr
      定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。51Testing软件测试网;l? H ~$k;n"p[
      3.2 计算机信息系统可信计算基 trusted computing base of computer information51Testing软件测试网+s0d\A@ o G7G
      system51Testing软件测试网,c1@.@ Aj7P
      计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。51Testing软件测试网|e&Nu:B2B A
      它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。
*OeC$t] M:e2G0      3.3 客体 object51Testing软件测试网#|9tvm z-y h
      信息的载体。
M]-cNz?%CMk-B0      3.4 主体 subject
rcl5?$zc;Y0      引起信息在客体之间流动的人、进程或设备等。51Testing软件测试网 xR%F;eB_u#Ik
      3.5 敏感标记 sensitivity label
.w6[b6W'Bz3u0      表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访
?+uG ^}t1H0      问控制决策的依据。51Testing软件测试网'mZjA"\'r9z^
      3.6 安全策略 security policy
5G$Z/c Nz [R0      有关管理、保护和发布敏感信息的法律、规定和实施细则。 3.7 信道 channel
eQ,Yj'`.J%k$Sr#@&j0      系统内的信息传输路径。51Testing软件测试网OQ"H tM*tu9p*h+?
      3.8 隐蔽信道 covert channel
eI)N,\6QZ,\"@.O5E"i0      允许进程以危害系统安全策略的方式传输信息的通信信道。51Testing软件测试网4YV?(T D _0o
      3.9 访问监控器 reference monitor
[vJ"nMh-fY }0      监控主体和客体之间授权访问关系的部件。
1QpOZ(B+p%o'K0      4 等级划分准则51Testing软件测试网6o/d,s'D.K;t M
      4.1 第一级 用户自主保护级51Testing软件测试网[%h2AX.R(H
      本级的计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能51Testing软件测试网w[*p$y1xM6}9g`
      力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用51Testing软件测试网u]%z?'Ps/K&b7[
      户和用户组信息,避免其他用户对数据的非法读写与破坏。51Testing软件测试网 h9Qt N IazKM~g
      4.1.1 自主访问控制
+Bd(gek?(T0      计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制
Z kZ,cjH0      (例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;
'c2}Eb9Mi#}zar0      阻止非授权用户读取敏感信息。51Testing软件测试网#E kT;n0r F
      4.1.2 身份鉴别51Testing软件测试网6Yh0c0~#`"j X7eb
      计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,并使用保护机
?/_ji5I9r DJ0      制(例如:口令)来鉴别用户的身份,阻止非授权用户访问用户身份鉴别数据。
K? k p z0      4.1.3 数据完整性51Testing软件测试网$pry,s Y H5w!_V y
      计算机信息系统可信计算基通过自主完整性策略,阻止非授权用户修改或破坏敏感信51Testing软件测试网)Il8soi
      息。51Testing软件测试网L s;Upp5S"gL!s
      4.2 第二级 系统审计保护级
giV:Q1Qjtv0      与用户自主保护级相比,本级的计算机信息系统可信计算基实施了粒度更细的自主访问
8kj Y&CA F"Te0      控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。51Testing软件测试网1[j~%}/p9H
      4.2.1 自主访问控制51Testing软件测试网(M D4T3a$OoF0?:G6@G
      计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制
/uCA!~0O1}0      (例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;
!toeg_O0      阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式
Q2S\l]_e'[0      或默认方式,阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只51Testing软件测试网YW5NS dN)qD
      允许由授权用户指定对客体的访问权。51Testing软件测试网W hA P!w
      4.2.2 身份鉴别51Testing软件测试网 H`5]dU"v#V
      计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,并使用保护机
!j(p FL]2Xv-B@f#`0      制(例如:口令)来鉴别用户的身份;阻止非授权用户访问用户身份鉴别数据。通过为用户51Testing软件测试网 j` DU-u1k
      提供唯一标识、计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统51Testing软件测试网Ics|K
      可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力。51Testing软件测试网5E Z YsH |*z
      4.2.3 客体重用
o KQ b({Th+V0      在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配
3Hn S{h:S'm0      一个主体之前,撤销该客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问51Testing软件测试网#^-C8M:v{#t
      权时,当前主体不能获得原主体活动所产生的任何信息。
z0C:bw$S{z$X#^0      4.2.4 审计51Testing软件测试网Es MSZY _CTT
      计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非
z4o;OS5iw q+Pq0      授权的用户对它访问或破坏。51Testing软件测试网K9LQOlHHD0p
      计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址
[%eD8~&OVj0      空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安51Testing软件测试网U'qBf2{RT
      全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:51Testing软件测试网 ?A5A.g FmZ d1t8E
      事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含的
)J'jf|%P)f7r Ux0      来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录
AP{5~-jW|"i:H0      包含客体名。51Testing软件测试网htj:g e'R
      对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接
/Ez]3A"Y,n4Q0      口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记
u%K%UdwM0      录。
)I"bVnIPrB0      4.2.5 数据完整性51Testing软件测试网]Ec%X)yLn ~E5Z
      计算机信息系统可信计算基通过自主完整性策略,阻止非授权用户修改或破坏敏感信
X)rbuSt0      息。51Testing软件测试网5id Bfb
      4.3 第三级 安全标记保护级51Testing软件测试网m5E U+My-k
      本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外,还提供有关安51Testing软件测试网X1h6v/pJ @!pt6C}
      全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出
|*@z m.~&GB^o4{0      信息的能力;消除通过测试发现的任何错误。51Testing软件测试网X,IjPEN.f }R dn
      4.3.1 自主访问控制51Testing软件测试网,t[ X @0w_ M+b
      计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制
*uX;b0m@0      (例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;
%vt*AR3?K0mL1Q0      阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式51Testing软件测试网k$T5x zD
      或默认方式,阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只
Y2L*pHfm\0      允许由授权用户指定对客体的访问权。阻止非授权用户读取敏感信息。
R2U{:p o_0      4.3.2 强制访问控制51Testing软件测试网2G W2L,nU q
      计算机信息系统可信计算基对所有主体及其所控制的客体(例如:进程、文件、段、设51Testing软件测试网{#~$NP ]*GK4R(^
      备)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类51Testing软件测试网,x.i/J`Bq
      别的组合,它们是实施强制访问控制的依据。计算机信息系统可信计算基支持两种或两种以51Testing软件测试网Jx EqYW*R3p8Q*w
      上成分组成的安全级。计算机信息系统可信计算基控制的所有主体对客体的访问应满足:仅51Testing软件测试网UBI"iYY(pw a
      当主体安全级中的等级分类高于或等于客体安全级中的等级分类,且主体安全级中的非等级
f$zH V l.bCx(\#oh0      类别包含了客体安全级中的全部非等级类别,主体才能读客体;仅当主体安全级中的等级分
,XWN5oA'i ? i0      类低于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含了客体安全级中
3U#xbDvM? }'e7h0      的非等级类别,主体才能写一个客体。计算机信息系统可信计算基使用身份和鉴别数据,鉴
SQ cG:qW t/z F,A0      别用户的身份,并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该51Testing软件测试网5v TN8O6W;^$P
      用户的安全级和授权的控制。51Testing软件测试网tJ0J)\9^{
      4.3.3 标记51Testing软件测试网 px!i4]2pp~
      计算机信息系统可信计算基应维护与主体及其控制的存储客体(例如:进程、文件、51Testing软件测试网3B"H[p8[ L(YAt's;v
      段、设备)相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加安全标记的数
t!r&ma#T-_sK&o0      据,计算机信息系统可信计算基向授权用户要求并接受这些数据的安全级别,且可由计算机
tD a7x,~AX0      信息系统可信计算基审计。 4.3.4 身份鉴别
X1B5U'|.EZi0      计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,而且,计算机51Testing软件测试网6F,}@}$mYH
      信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统
p/uI{4\5y*[0      可信计算基使用这些数据鉴别用户身份,并使用保护机制(例如:口令)来鉴别用户的身
~v;RA3@\.w9E sw d0      份;阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识,计算机信息系统可51Testing软件测试网3F-\,`-aLL}8OR]e
      信计算基能够使用用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与
c6E3S6n8Gu;D#LT{k0      该用户所有可审计行为相关联的能力。
q/D$XqN#c0      4.3.5 客体重用
0yk9~.X&N:Yfs0      在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配
P U X `Y,u0      一个主体之前,撤销客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权51Testing软件测试网 jq7}4R^
      时,当前主体不能获得原主体活动所产生的任何信息。
;Y%hI6Z+?'s'K0      4.3.6 审计
#PX+|h/],x0      计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非51Testing软件测试网$})]_p;W2Dx`0G2{ W
      授权的用户对它访问或破坏。51Testing软件测试网#_,[G%Qe?
      计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址
@3mn|CiGc:f0      空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安51Testing软件测试网}+R7}8Pv
      全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:
ug2GY z_9X0      事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请51Testing软件测试网8Xs"W9L6p`(D b,x
      求的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计
:u]l1}5kTS0      记录包含客体名及客体的安全级别。此外,计算机信息系统可信计算基具有审计更改可读输
"f7r+k*jJ)~!Gj0      出记号的能力。51Testing软件测试网 `h/fd7aC&E
      对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接51Testing软件测试网']q w |.f
      口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记51Testing软件测试网6|[R ^7]q'Y
      录。51Testing软件测试网/@ ~Z]%K(F B7T
      4.3.7 数据完整性
M6X9Uwr9th0      计算机信息系统可信计算基通过自主和强制完整性策略,阻止非授权用户修改或破坏敏
Z~4Z\4K(j"u0      感信息。在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。
j6Yf8qe.x%_ E.W0      4.4 第四级 结构化保护级
`3Q S4`o*r,N0      本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,它51Testing软件测试网-k{5_N/n4n!y(t
      要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通51Testing软件测试网0si;I@cYe1S
      道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算51Testing软件测试网1Z)PZ-M5e#bC8A? h
      机信息系统可信计算基的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完51Testing软件测试网Aa4aJ \
      整的复审。加强了鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了
(Av:J K3vQ@ D _0      配置管理控制。系统具有相当的抗渗透能力。
&Syv$_f&`P#T1xx0      4.4.1 自主访问控制
"|J&L` WD-{:h0      计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制
Q2|0\`WCLh0      (例如:访问控制表)允许命名用户和(或)以用户组的身份规定并控制客体的共享;阻止
X`b1Np5B$k5c0      非授用户读取敏感信息。并控制访问权限扩散。51Testing软件测试网$un0k t Y-p:g+J
      自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访问控制的粒51Testing软件测试网#k |!aD5b&K*o
      度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。51Testing软件测试网*Oq1{xI*T!d
      4.4.2 强制访问控制
t'E(yc~BG{7t/J0      计算机信息系统可信计算基对外部主体能够直接或间接访问的所有资源(例如:主体、
-|0o1Ox'R?@/W5q0      存储客体和输入输出资源)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记51Testing软件测试网}0i+t.k@3D[/Xxi
      是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。计算机信息系统可信计51Testing软件测试网 U[HoF
      算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基外部的所有主体对51Testing软件测试网[-c&|7Pkn.iI'|
      客体的直接或间接的访问应满足:仅当主体安全级中的等级分类高于或等于客体安全级中的51Testing软件测试网jJ-jf9R!u*tB
      等级分类,且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别,主体才能51Testing软件测试网Qb^$R&Ys7zy
      读客体;仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类,且主体安全级51Testing软件测试网GQ(i9H LSo!D
      中的非等级类别包含于客体安全级中的非等级类别,主体才能写一个客体。计算机信息系统51Testing软件测试网:Kt.C)rZz1{
      可信计算基使用身份和鉴别数据,鉴别用户的身份,保护用户创建的计算机信息系统可信计
^,C0?bS@M0      算基外部主体的安全级和授权受该用户的安全级和授权的控制。
lx)TQ DQ-m0      4.4.3 标记51Testing软件测试网N.u-K5ci
      计算机信息系统可信计算基维护与可被外部主体直接或间接访问到的计算机信息系统资51Testing软件测试网0G7n3}*KM
      源(例如:主体、存储客体、只读存储器)相关的敏感标记。这些标记是实施强制访问的基
NWLk9kW0      础。为了输入未加安全标记的数据,计算机信息系统可信计算基向授权用户要求并接受这些
l3v&v(zg;ptj0      数据的安全级别,且可由计算机信息系统可信计算基审计。
$D%JpG?0      4.4.4 身份鉴别
E X3l+w3Y+?0      计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,而且,计算机51Testing软件测试网T+v8AzT g
      信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统
dw Gp:@0      可信计算基使用这些数据,鉴别用户身份,并使用保护机制(例如:口令)来鉴别用户的身51Testing软件测试网[,n#@u8i}!f
      份;阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识,计算机信息系统可
5Q*[J'Y;j-T(opf0      信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该
d] x-gV'am%^[O.f;M0      用户所有可审计行为相关联的能力。51Testing软件测试网1A(Vy'pEi#u ~ Dh
      4.4.5 客体重用51Testing软件测试网v&^4X(}u3d
      在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配
Y#B@2l vl#C qd0      一个主体之前,撤销客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权51Testing软件测试网1qs,AqE&k2B
      时,当前主体不能获得原主体活动所产生的任何信息。
^2B(M*M!|.{0      4.4.6 审计
N TL d lt@0      计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非51Testing软件测试网n'o/P"`V0?
      授权的用户对它访问或破坏。51Testing软件测试网Z EnK)~'r,dTU
      计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址51Testing软件测试网6fQ5ny)KUW5?
      空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安51Testing软件测试网^\o@*h
      全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:51Testing软件测试网D)QKT#ROrF&Kb
      事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请51Testing软件测试网-Gv``jD
      求的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计
*c$Pi G(q;Z J`0      记录包含客体及客体的安全级别。此外,计算机信息系统可信计算基具有审计更改可读输出51Testing软件测试网c(nW[i yrK
      记号的能力。
d#S#}3f"MVi!Vhv0      对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接51Testing软件测试网8o6JC0ro-Bv
      口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记
? X]uP3j}.f y3K0      录。
e)z2F4ch0_0      计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。51Testing软件测试网aKte7RFe"_
      4.4.7 数据完整性51Testing软件测试网4N)C Xv;Q*Oj
      计算机信息系统可信计算基通过自主和强制完整性策略。阻止非授权用户修改或破坏敏51Testing软件测试网 [5q8{mY(g&p5G)L dk9N
      感信息。在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。
}+~:P9jZ'M0      4.4.8 隐蔽信道分析51Testing软件测试网X)n} W j!R'?cP
      系统开发者应彻底搜索隐蔽存储信道,并根据实际测量或工程估算确定每一个被标识信51Testing软件测试网/t4fx(Xr&t~&^
      道的最大带宽。
2D r7f@_.F{0      4.4.9 可信路径
*r/\3WpI xz:xX0      对用户的初始登录和鉴别,计算机信息系统可信计算基在它与用户之间提供可信通信路
)t ^u|0r7sM{0      径。该路径上的通信只能由该用户初始化。51Testing软件测试网-sR]RP
      4.5 第五级 访问验证保护级51Testing软件测试网&N;yH!k c
      本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的51Testing软件测试网S+W1hvU
      全部访问。访问监控器本身是抗篡改的;必须足够小,能够分析和测试。为了满足访问监控51Testing软件测试网q#ayk-J3|tn
      器需求,计算机信息系统可信计算基在其构造时,排除那些对实施安全策略来说并非必要的51Testing软件测试网+h!z-}vvrvE8V8r
      代码;在设计和实现时,从系统工程角度将其复杂性降低到最小程度。支持安全管理员职51Testing软件测试网 [Jy F&|!F@
      能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。系统具有很
"_m oFb*j}0      高的抗渗透能力。
PLT i1~_ Lke0      4.5.1 自主访问控制
:{;baF#\`d0      计算机信息系统可信计算基定义并控制系统中命名用户对命名客体的访问。实施机制51Testing软件测试网)?x/q$^e
      (例如:访问控制表)允许命名用户和(或)以用户组的身份规定并控制客体的共享;阻止
6\w#S7Zv#vo*t0      非授权用户读取敏感信息。并控制访问权限扩散。51Testing软件测试网9aK9T7OJfb n0f3elt
      自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访问控制51Testing软件测试网Xi ~&]6~!Mk
      的粒度是单个用户。访问控制能够为每个命名客体指定命名用户和用户组,并规定他们对客51Testing软件测试网^%_tTVG3f
      体的访问模式。没有存取权的用户只允许由授权用户指定对客体的访问权。51Testing软件测试网'wT,}$_e(E9aa+y5\
      4.5.2 强制访问控制
R8I'j1p)y$dq AoD0      计算机信息系统可信计算基对外部主体能够直接或间接访问的所有资源(例如:主体、51Testing软件测试网i{ V)C8`Y
      存储客体和输入输出资源)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记
@&KI8vL0      是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。计算机信息系统可信计
.Z}e&`L0hK.g0      算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基外部的所有主体对
*W T+g?4j^&w b0      客体的直接或间接的访问应满足:仅当主体安全级中的等级分类高于或等于客体安全级中的
+j\VkX"Jh P:G+j0      等级分类,且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别,主体才能51Testing软件测试网i!Kt$EYd^ A&c4f
      读客体;仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类,且主体安全级51Testing软件测试网i WpO{.R(i
      中的非等级类别包含了客体安全级中的非等级类别,主体才能写一个客体。计算机信息系统51Testing软件测试网%OV5rWb%e/m@
      可信计算基使用身份和鉴别数据,鉴别用户的身份,保证用户创建的计算机信息系统可信计
0ZRxP"Nt0      算基外部主体的安全级和授权受该用户的安全级和授权的控制。51Testing软件测试网_)UWa9a'sA/m{"`
      4.5.3 标记
8`D)\SX~\ w0      计算机信息系统可信计算基维护与可被外部主体直接或间接访问到计算机信息系统资源51Testing软件测试网)G_ O8G({xc![
      (例如:主体、存储客体、只读存储器)相关的敏感标记。这些标记是实施强制访问的基
m}sk6IR-Y(F#k!a0      础。为了输入未加安全标记的数据,计算机信息系统可信计算基向授权用户要求并接受这些
2D+o)ix0x3U WJ0      数据的安全级别,且可由计算机信息系统可信计算基审计。
[yI[/E-lj:iZA0      4.5.4 身份鉴别 计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,而且,计算机51Testing软件测试网7fR2~/{Q
      信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统51Testing软件测试网 P6r3MtQ)k)u
      可信计算基使用这些数据,鉴别用户身份,并使用保护机制(例如:口令)来鉴别用户的身
tb!l{0~7M+|0      份;阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识,计算机信息系统可51Testing软件测试网4oVle&ST6Y[
      信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该
"zH.V5UQ-N0      用户所有可审计行为相关联的能力。51Testing软件测试网}M b$D,Y5bY&G
      4.5.5 客体重用
F#[0c*D1JvXK0      在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配51Testing软件测试网$u|+L/A:A
      一个主体之前,撤销客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权51Testing软件测试网8a KA3E#~#^
      时,当前主体不能获得原主体活动所产生的任何信息。51Testing软件测试网 | U$sn*z*{ g*_
      4.5.6 审计51Testing软件测试网;Un kbM)\-y
      计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非
:cf\.S*l(i9QR0      授权的用户对它访问或破坏。51Testing软件测试网WA@fji0g
      计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间51Testing软件测试网_ p'x9}wJ B
      (例如:打开文件、程序出始化);删除客体;由操作员、系统管理员或(和)系统安全管51Testing软件测试网 c:T$s V,G K5I4T1S.a ` V
      理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件
"P d{|h_7Dl0Y0      的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请求的
-i WZ;c1d|^0      来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录51Testing软件测试网?6Z.aCt2f8tYJ
      包含客体名及客体的安全级别。此外,计算机信息系统可信计算基具有审计更改可读输出记51Testing软件测试网b9mK r*cIH
      号的能力。51Testing软件测试网L*Z&s j&m9E7u-iQ
      对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接
.mUkm'X#cFQ0      口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记
H/K)M&j4e#Q0      录。计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。
/DP6s:day\0计算机信息系统可信计算基包含能够监控可审计安全事件发生与积累的机制,当超过阈51Testing软件测试网 _so C]k.d8Y"oY
      值时,能够立即向安全管理员发出报警。并且,如果这些与安全相关的事件继续发生或积51Testing软件测试网6G$H(g"O#~4Z1\
      累,系统应以最小的代价中止它们。51Testing软件测试网0xt`_nlM.x)Y
      4.5.7 数据完整性
)J1_roe9][0      计算机信息系统可信计算基通过自主和强制完整性策略,阻止非授权用户修改或破坏敏感信
.}:f&Z'h1O S$^-Fe0      息。在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。51Testing软件测试网,V!y/cC+J6|;]Y
      4.5.8 隐蔽信道分析
g4DY4x5B0      系统开发者应彻底搜索隐蔽信道,并根据实际测量或工程估算确定每一个被标识信道的
Q6h|oj(_A)`0      最大带宽。51Testing软件测试网.N&_%Zz5wW
      4.5.9 可信路径51Testing软件测试网s {S ^ u8G!I8f!Ee
      当连接用户时(如注册、更改主体安全级),计算机信息系统可信计算基提供它与用户51Testing软件测试网l&AOl,nu'Q~!r)Wv
      之间的可信通信路径。可信路径上的通信只能由该用户或计算机信息系统可信计算基激活,
vxaG9H7k;d0      且在逻辑上与其他路径上的通信相隔离,且能正确地加以区分。
I&O7q+P3e W%q1I/i0      4.5.10 可信恢复51Testing软件测试网YyDS?_,M_
      计算机信息系统可信计算基提供过程和机制,保证计算机信息系统失效或中断后,可以
Y6o6[ |z{!v8M9U'] V0      进行不损害任何安全保护性能的恢复。

TAG: 安全测试

 

评分:0

我来说两句

日历

« 2024-03-28  
     12
3456789
10111213141516
17181920212223
24252627282930
31      

数据统计

  • 访问量: 43493
  • 日志数: 61
  • 建立时间: 2007-01-15
  • 更新时间: 2007-07-23

RSS订阅

Open Toolbar