定義
安全級別有兩個含義,一個是主客體信息資源的安全類別,分為一種是有層次的安全級別(Hierarchical Classification)和無層次的安全級別;另一個是訪問控制系統實現的安全級別,這和計算機系統的安全級別是一樣的,分為四組七個等級:具體為D、C(C1、C2)、B(B1、B2、B3)和A(1),安全級別從左到右逐步提高,各級間向下兼容。
級別
D級別
D級別是最低的安全級別,對系統提供最小的安全防護。系統的訪問控制沒有限制,無需登入系統就可以訪問數據,這個級別的系統包括DOS,WINDOWS98等。
C級別
C級別有兩個子系統,C1級和C2。
C1級稱為選擇性保護級(Discrtionary Security Protection)可以實現自主安全防護,對用戶和數據的分離,保護或限制用戶許可權的傳播。
C2級具有訪問控制環境的權力,比C1的訪問控制劃分的更為詳細,能夠實現受控安全保護、個人帳戶管理、審計和資源隔離。這個級別的系統包括UNIX、LINUX和WindowsNT系統。
C級別屬於自由選擇性安全保護,在設計上有自我保護和審計功能,可對主體行為進行審計與約束。C級別的安全策略主要是自主存取控制,可以實現
①保護數據確保非授權用戶無法訪問;
②對存取許可權的傳播進行控制;
③個人用戶數據的安全管理。
C級別的用戶必須提供身份證明,(比如口令機制)才能夠正常實現訪問控制,因此用戶的操作與審計自動關聯。C級別的審計能夠針對實現訪問控制的授權用戶和非授權用戶,建立、維護以及保護審計記錄不被更改、破壞或受到非授權存取。這個級別的審計能夠實現對所要審計的事件,事件發生的日期與時間,涉及的用戶,事件類型,事件成功或失敗等進行記錄,同時能通過對個體的識別,有選擇地審計任何一個或多個用戶。C級別的一個重要特點是有對於審計生命周期保證的驗證,這樣可以檢查是否有明顯的旁路可繞過或欺騙系統,檢查是否存在明顯的漏路(違背對資源的隔離,造成對審計或驗證數據的非法操作)。
B級別
B級別包括B1、B2和B3三個級別,B級別能夠提供強制性安全保護和多級安全。強制防護是指定義及保持標記的完整性,信息資源的擁有者不具有更改自身的許可權,系統數據完全處於訪問控制管理的監督下。
B1級稱為標識安全保護(Labeled Security Protection)。
B2級稱為結構保護級別(Security Protection),要求訪問控制的所有對象都有安全標籤以實現低級別的用戶不能訪問敏感信息,對於設備、連線埠等也應標註安全級別。
B3級別稱為安全域保護級別(Security Domain),這個級別使用安裝硬體的方式來加強域的安全,比如用記憶體管理硬體來防止無授權訪問。B3級別可以實現:
①引用監視器參與所有主體對客體的存取以保證不存在旁路;
②審計跟蹤能力強,可以提供系統恢復過程;
③支持安全管理員角色;
④用戶終端必須通過可信話通道才能實現對系統的訪問;
⑤防止篡改。
B組安全級別可以實現自主存取控制和強制存取控制,通常的實現包括:
①所有敏感標識控制下的主體和客體都有標識;
②安全標識對普通用戶是不可變更的;
③可以審計(a)任何試圖違反可讀輸出標記的行為(b)授權用戶提供的無標識數據的安全級別和與之相關的動作(c)信道和I/O設備的安全級別的改變(d)用戶身份和與相應的操作;
④維護認證數據和授權信息;
⑤通過控制獨立地址空間來維護進程的隔離。
B組安全級別應該保證:
①在設計階段,應該提供設計文檔,原始碼以及目標代碼,以供分析和測試;
②有明確的漏洞清除和補救缺陷的措施;
③無論是形式化的,還是非形式化的模型都能被證明該模型可以滿足安全策略的需求。監控對象在不同安全環境下的移動過程(如兩進程間的數據傳遞)
A級別
A級別只有A1,這一級別,A級別稱為驗證設計級(Verity Design),是目前最高的安全級別,在A級別中,安全的設計必須給出形式化設計說明和驗證,需要有嚴格的數學推導過程,同時應該包含秘密信道和可信分布的分析,也就是說要保證系統的部件來源有安全保證,例如對這些軟體和硬體在生產、銷售、運輸中進行嚴密跟蹤和嚴格的配置管理,以避免出現安全隱患。
安全威脅中主要的可實現的威脅分為兩類:滲入威脅和植入威脅。主要的滲入威脅有:假冒、旁路控制、授權侵犯。主要的植入威脅有:特洛伊木馬、陷門。