第10章信息系统安全等级与.ppt

  1. 1、本文档共44页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第10章信息系统安全等级与资料

第10章 信息系统安全等级与标准 10.1 国际安全评价标准概述 10.2 中国信息安全等级保护准则 习 题 安全需求与安全代价,总是安全问题上相互对立的统 一体。对于信息技术、信息系统和信息产品的安全等级进 行评价,将会使生产者和用户在这两个方面容易找到一个 科学的折中。因此,建立完善的信息技术安全的测评标准 与认证体系,规范信息技术产品和系统的安全特性,是实 现信息安全保障的一种有效措施。它有助于建立起科学的 安全产品生产体系、服务体系。 10.1 国际安全评价标准概述 10.1.1 DoD5200.28-M和TCSEC 10.1.2 欧共体信息技术安全评价准则ITSEC 10.1.3 加拿大可信计算机产品安全评价准则CTCPEC 10.1.4 美国信息技术安全评价联邦准则FC 10.1.5 国际通用准则CC 10.2 中国信息安全等级保护准则 10.2.1 第一级:用户自主保护级 10.2.2 第二级:系统审计保护级 10.2.3 第三级:安全标记保护级 10.2.4 第四级:结构化保护级 10.2.5 第五级:访问验证保护级 习 题 · 仅当主体安全级中的等级分类高于或等于客体安全级 中的等级分类,且主体安全级中的非等级类别包含了客体 安全级中的全部非等级类别,主体才能读客体; · 仅当主体安全级中的等级分类低于或等于客体安全级 中的等级分类,且主体安全级中的非等级类别包含了客体 安全级中的全部非等级类别,主体才能写一个客体。 可信计算基使用身份和鉴别数据,鉴别用户的身份,并 保证用户创建的可信计算基外部主体的安全级和授权受该 用户的安全级和授权的控制。 * * 第一个有关信息技术安全的标准是美国国防部于1985 年提出的可信计算机系统评价准则TCSEC,又称桔皮书。 以后,许多国家和国际组织也相继提出了新的安全评价准 则。图10.1所示为国际主要信息技术安全测评标准的发展 及其联系。 加拿大可信计算机 产品评价准则 CTCOEC(1989年) 美国国防部可信 计算机评价准则 TCSEC(1983年) 美国联邦准则 FC (1992年) 国际通用准则 (CC) (1996年) CC成为国际标准 ISO 15408 (1999年) 欧洲信息技术 安全性评价准则 ITSEC(1991年) 美国国防部 DoD5200.28-M (1979年6月) GB17859-1999 (1999年) 图10.1 国际主要信息技术安全测评标准的发展及其联系 在信息安全等级标准中,一个非常重要的概念是可信 计算基(Trusted Computer Base,TCB)。TCB是计算机 系统内保护装置的总体,包括硬件、固件和软件。它们根 据安全策略来处理主体(系统管理员、安全管理员、用户、 进程)对客体(进程、文件、记录、设备等)的访问。 TCB还具有抗篡改的性能和易于分析与测试的结构。 10.1.1 DoD5200.28-M和TCSEC 1. DoD5200.28-M 世界上最早的计算机系统安全标准应当是美国国防部 1979年6月25日发布的军标DoD5200.28-M。它为计算机系 统定义了4种不同的运行模式。 (1)受控的安全模式:系统用户对系统的机密材料的 访问控制没有在操作系统中实现,安全的实现可以通过空 子用户对机器的操作权等管理措施实现。 (2)自主安全模式:计算机系统和外围设备可以在指 定用户或用户群的控制下工作,该类用户了解并可自主地 设置机密材料的类型与安全级别。 (3)多级安全模式:系统允许不同级别和类型的机密 资料并存和并发处理,并且有选择地许可不同的用户对存 储数据进行访问。用户与数据的隔离控制由操作系统和相 关系统软件实现。 (4)强安全模式:所有系统部件依照最高级别类型得 到保护,所有系统用户必须有一个安全策略;系统的控制 操作对用户透明,由系统实现对机密材料的并发控制。 2. TCSEC TCSEC是计算机系统安全评价的第一个正式标准,于 1970年由美国国防科学技术委员会提出,于1985年12月由 美国国防部公布。 TCSEC把计算机系统的安全分为4等7级: (1)D等(含1级) D1级系统:最低级。只为文件和用户提供安全保护。 (2)C等(含2级) C1级系统:可信任计算基TCB(Trusted Computing Base)通过用户和数据分开来达到安全目的,使所有的用 户都以同样的灵敏度处理数据(可认为所有文档有相同机 密性) C2级系统:在C1基础上,通过登录、安全事件和资源

文档评论(0)

jiayou10 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

版权声明书
用户编号:8133070117000003

1亿VIP精品文档

相关文档