?
计研三? 徐英进
?
?
摘要:在信息安全和保护问题上,信息安全等级保护制度是很重要的一个概念。本文介绍了相关的国际标准(CC)以及中国的计算机安全等级保护制度的历史和现状。本文详细的说明了中国计算机安全保护的等级划分以及它的认证方法,{zh1}阐述了我个人的理解和观点。
?
关键词:计算机安全等级保护;CC;等级保护认证;
?
Abstract:Information Security Level Protection System is a very important concept in the information security and protection field. This paper introduced the history and the current status of related International Standard (CC) and China Computer Security Level Protection System. The leveling standard and the authenticate method in security protection of China are illustrated in detail. ?At last, my understanding and opinion are described.
?
Key Words:Computer Security Level Protection;CC;level protection authenticate;
?
1.???? 引言
随着全球信息化的发展,信息技术(IT)已经成为应用面最广、渗透性最强的战略性技术。信息技术的安全问题日益突出,信息安全产业应运而生。由于信息安全产品和信息系统固有的敏感性和特殊性,直接影响着国家的安全利益和经济利益。各国政府纷纷采取颁布标准、实行测评和认证制度等方式,对信息安全产品的研制、生产、销售、使用和进出口实行严格、有效地控制,对构成信息系统的物理网络及其有关产品进行认证、对信息系统的运行和服务进行测试评估,对信息系统的管理和保障体系进行评估验证。
主要的技术依据和方法包括:信息技术安全性评估准则(也称为通用评估准则,简称CC,等同于国际标准 ISO/IEC15408)、信息技术安全通用评估方法(CEM)、信息系统安全等级保障评估标准(SCC)、信息安全服务资质评估标准(SPC)、信息安全专业人员注册准则,以及国家认证认可管理委员会批准的与安全技术、规范等相关的技术要求文件及其他国内外相关标准等。
用划分等级的方法进行管理是人类社会活动普遍采用的行之有效的方法。对于信息安全来讲也不例外。随着全球社会信息化的快速推进,信息安全越来越成为确保信息化进程的重要组成部分。等级保护也就成为实现信息安全的重要方法和和手段。
网络信息系统与现实社会的组织体系构成是对应的。信息系统是为适应社会发展、社会生活和工作的需要而设计、建立的, 是社会构成、行政组织体系的反
映。这种体系是分层次、分级别的, 体系中的各种信息系统具有重要的社会和经济价值, 不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律。信息安全保护分级、分区域、分类、、分阶段是做好国家信息安全保护必须遵循的客观规律。
实行等级保护总目标是统一信息安全保护工作, 推进规范化、法制化建设, 保障安全, 促进发展。
?
2.???? 计算机安全等级保护制度的发展历史
国际上信息安全分级测评认证标准的发展大致经历了以下过程:1985年,美国国防部颁布了可信计算机的安全评估准则(TCSEC);在此基础上,1990年,欧洲委员会在结合法国、德国、荷兰和英国相关成果的基础上发表了信息技术安全性评价准则(ITSEC);同年加拿大政府发布了可信计算机产品评价准则(CTCPEC);1991年,美国制定xx政府评价准则(FC);1995年,在前期的国际信息安全分级测评认证标准的基础上,由与TCSEC、ITSEC、CTCPEC和FC相关的六个国家七个相关政府组织开始联合行动,将各自独立的准则集合成一系列单一的、能被广泛接受的IT国际通用安全准则(CC);1999年,CC准则成为国际标准(ISO/IEC 15408)。
各国都非常重视信息安全分级测评认证工作,美国于1985 年开始依据TCSEC 评估,已进行20 年的信息安全分级测评认证,其国家信息安全分级认证由国家安全局与国家标准研究所联合实施;在测评认证方法上,早期为TCSEC,现在为CC和CEM;目前与国际上十几个国家互认的级别达到四级;英国于1991 年开始依据ITSEC 评估与认证,从1999 年ISO/IEC 15408 正式发布起,同时开始依据CC评估与认证。经过10 多年的发展,信息安全分级测评认证工作已趋成熟。德国、法国、澳大利亚、加拿大、荷兰等也先后建立起国家信息安全测评认证体系,而且一开始就采用了分级认证;芬兰、瑞典、西班牙、挪威、意大利、比利时等欧洲国家和日本、韩国等亚洲国家纷纷仿效,积极开展信息安全测评认证工作。
在中国国内,1994年2月18日由国务院发布了《中华人民共和计算机信息系统安全保护条例》。条例规定了对计算机信息系统实行安全等级保护, 并指出“ 安全等级的划分标准和安全等级保护的具体管理办法, 由公安部有关部门制定” 。根据条例的要求, 公安部组织制定了《计算机信息系统安全等级保护划分准则》, 并于1999年9月由国家技术监督局作为国家标准发布, 代号为GB17859-1999。
为初步建立中国计算机信息系统安全等级保护监督管理和服务体系, 促进中国计算机信息系统安全保护工作, 2000年11月10日, 国家计委正式批准公安部开展“ 计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台建设项目”( 简称“1110” 工程)。
为了进一步推进信息安全等级保护工作的开展,公安部组织制定并以公安行标形式发布了相应的配套标准:GA/T390-2002 计算机信息系统安全等级保护通用技术要求,GA/T387-2002计算机信息系统安全等级保护网络技术要求,GA/T388-2002 计算机信息系统安全等级保护操作系统技术要求,GA/T389-2002 计算机信息系统安全等级保护数据库管理系统技术要求,GA/T391-2002 计算机信息系统安全等级保护管理要求。
?
3.???? 目前计算机安全等级保护制度的基本内容
1)信息技术安全通用评估准则(CC)
CC评估准则将信息系统的安全性定义为7个评估保证级别(EAL1~EAL7),即EAL1:功能测试;EAL2:结构测试;EAL3:系统地测试和检查;EAL4:系统地设计;EAL5:半形式化设计和测试;EAL6:半形式化验证的设计和测试;EAL7:形式化验证的设计和测试。
在这7 个级别中,获证的级别越高,其安全性和可信性就越高,产品就可以对抗来自越高程度的威胁,同时也适用更高级别的风险环境。EAL1~EAL4 级可以对一般的网络安全产品进行认证,EAL5级目前只针对SIM 卡、IC 卡这样的产品。由于在对信息安全产品高级别EAL7级的认证中,每一行代码都要求有形式化论证,要求撇开它们的属性、使用功能和用户的背景,从数学上来证明其安全性,这样做非常困难,代价也很高。因此,目前在全世界范围内,大部分都为EAL5级以下,EAL5 级以上的就做得非常少了。
?
2)中国计算机安全等级保护划分
国家标准GBl7859-1999是中国计算机信息系统安全等级保护系列标准的核心,是实行计算机信息系统安全等级保护制度建设的重要基础。此标准将信息系统划分为五个安全等级,分别为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。从{dy}级到第五级安全等级逐级增高,高级别安全要求是低级别要求的超集。计算机信息系统安全保护能力随着安全保护等级的增高而逐渐增强。
在此标准中,一个重要的概念是可信计算基(TCD)。可信计算基是一个实现安全策略的机制,包括硬件、固件和软件,它们将根据安全策略来处理主体(系统管理员、安全管理员、用户)对客体(进程、文件、记录、设备等)的访问。
?
{dy}级:用户自主保护级
本级实施的是自主访问控制,即通过可信计算基定义系统中的用户,并允许用户以自己的身份或用户组的身份指定并控制对客体的访问。这意味着系统用户或用户组可以通过可信计算基自主地定义对客体的访问权限。
从用户的角度来看,用户自主保护级的责任只有一个,即为用户提供身份鉴别。在系统初始化时,可信计算基首先要求用户标识自己的身份,然后使用身份鉴别数据来鉴别用户的身份,并实施对客体的自主访问控制,避免“非法”用户对数据的读写及破坏。
在数据完整性方面,可信计算基通过自主完整性策略,阻止非授权用户修改或破坏敏感信息。
?
第二级:系统审计保护级
本级实施的是自主访问控制和客体的安全重用。在自主访问控制方面,可信计算基实施的自主访问控制度是单个用户,并控制访问权限的扩散,即没有访问权的用户只允许由授权用户指定其对客体的访问权。在客体的安全重用方面,在客体被初始指定或分配给一个主体之前,或在客体再分配之前,必须撤销该客体所含信息的授权;当一个主体获得一个客体的访问权时,原主体的活动所产生的任何信息,对当前主体是不可获得的。
从用户的角度来看,系统审计保护级的功能有两个:身份鉴别和安全审计。身份鉴别方面,比用户自主保护级增加两点:①为用户提供{wy}标识,使用户对自己的行为负责;②为支持安全审计功能,具有将身份标识与用户所有可审计的行为相关联的能力。
安全审计方面,可信计算基能够创建、维护对其所保护客体的访问审计记录,还授权主体提供审计记录接口,以便记录那些主体认为需要审计的事件,并且只有授权用户才能访问审计记录。另外,本级还支持系统安全管理员可以根据主体身份有选择地审计任一用户的行为。
在数据完整性方面,可信计算基应提供并发控制等机制,以确保多个主体对同一客体的正确访问。
?
第三级:安全标记保护级
本级的主要特征是可信计算基实施强制访问控制。强制访问控制就是可信计算基以敏感标记为主体和客体指定其安全等级。安全等级是一个二维组:{dy}维是分类等级(如密码、数字签名等);第二维是范畴。由可信计算基控制的主体和客体,仅当满足一定条件时,主体才能读/写一个客体,即仅当主体分类等级的级别高于客体分类等级的级别,主体范畴包含客体范畴时,主体才能读一个客体;仅当主体分类等级的级别低于或等于客体分类等级的级别,主体范畴包含于客体范畴时,主体才能写一个客体。
敏感标记是实施强制访问控制的基础,因此系统应明确规定需要标记的客体(如文件、记录、目录、日志等),应明确定义标记的粒度(如文件级、字段级等),并必须使其主要数据结构具有敏感标记。另外,可信计算基应维护与每个主体及其控制下的存储对象相关的敏感标记,敏感标记应准确地表示相关主体或客体的安全级别。
从用户的角度来看,系统仍呈现两大功能:身份鉴别和审计。可信计算基除了具有第二级的功能外,还有如下能力:①确定用户的访问权和授权数据;②接受数据的安全级别,维护与每个主体及其控制下的存储对象相关的敏感标记;③维护标记的完整性;④维护并审计标记信息的输出,并与相关联的信息进行匹配;⑤确保以该用户的名义而创建的那些在可信计算基外部的主体和授权,受其访问权和授权的控制。
在数据完整性方面,可信计算基还应提供定义、验证完整性约束条件的功能,以维护客体和敏感标记的完整性。
?
第四级:结构化保护级
本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审。结构化保护级加强了鉴别机制,支持系统管理员和操作员的职能,提供可信设施管理,增强了配置管理控制,系统具有相当的抗渗透能力。
本级的主要特征有:
(1)可信计算基基于一个明确定义的形式化安全保护策略。
(2)将第三级实施的访问控制(自主的和强制的)扩展到所有主体和客体。即在自主访问控制方面,可信计算基应维护由可信计算基外部主体直接或间接访问的所有资源的敏感标记;在强制访问控制方面,可信计算基应对所有可被其外部主体直接或间接访问的资源实施强制访问控制,应为这些主体和客体指定敏感标记。
(3)针对隐蔽信道,将可信计算基构造成为关键保护元素和非关键保护元素。
(4)可信计算基具有合理定义的接口,使其能够经受严格测试和复查。
(5)通过提供可信路径来增强鉴别机制,支持系统管理员和操作员的职能,提供可信实施管理,增强严格的配置管理控制。
在审计方面,当发生安全事件时,可信计算基还能够检测事件的发生、记录审计条目、通知系统管理员、标识并审计可能利用隐蔽信道的事件。
在隐蔽信道分析方面,系统开发者应彻底搜索隐蔽信道,并确定信道的{zd0}带宽,这样才能确定有关使用隐蔽信道的非安全事件。
?
第五级:访问验证保护级
本级与第四级相比,主要区别在以下四个方面:
(1)在可信计算基的构造方面,具有访问监控器(reference monitor)。访问监控器是监控主体和客体之间授权访问关系的部件,仲裁主体对客体的全部访问。访问监控器必须是抗篡改的,并是可分析和测试的。
(2)在自主访问控制方面,因为有访问监控器,所以访问控制能够为每个客体指定用户和用户组,并规定他们对客体的访问模式。
(3)在审计方面,在访问监控器的支持下,可信计算基扩展了审计能力。本级的审计机制能够监控可审计安全事件的发生和积累,当积累超过规定的门限值,能够立即向系统管理员发出报警,并且如果这些与安全相关的事件继续发生,能以最小的代价终止它们。
(4)在系统的可信恢复方面,可信计算基提供了一组过程和相应的机制,保证系统失效或中断后可以进行不损害任何安全保护性能的恢复。
?
?
3)中国计算机安全等级保护认证
中国的信息系统安全测评认证工作由中国信息安全产品测评认证中心负责,目前开展的认证业务主要包括四个方面:信息安全产品认证、信息系统安全认证、信息安全服务资质认证和注册信息安全专业人员资质认证。
(1)信息安全产品认证
信息安全产品认证主要分为型号认证和分级认证两种。其中分级认证根据相应的标准又分成7 个级别。
(2)信息系统安全认证
信息系统安全认证在实施过程中,主要分为方案评审、系统测评、系统认证等三个方面。其中,方案评审是为确定特定信息系统是否达到标准的安全性设计要求;系统测评是对运行中的信息系统的安全功能的技术测试、对信息系统安全技术和管理体系的调查取证和对特定系统运行情况是否达到标准的安全要求的评估;{zh1}进行的系统认证是对运行系统的组织管理体系的审核。
(3)信息安全服务资质认证
信息安全服务资质认证主要是对信息安全系统服务提供商的资格状况、技术实力和实施安全工程过程质量保证能力等进行具体衡量和评价。服务资质认证的技术标准{zg}为五级。
(4)注册信息安全专业人员资质认证(简称CISP)
注册信息安全专业人员资质认证是对国家信息安全测评认证机构、信息安全咨询服务机构、社会各组织、团体、企业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的对信息系统的安全提供技术保障的专业岗位人员——“注册信息安全专业人员”的一种认证,是中国信息安全界的一种xx性的人员认证,主要包括CISO(管理者)、CISE(工程师)、CISA(审核员)等。
?
4.???? 我个人的理解和观点
通过本次作业,我比较详细的了解了信息安全等级保护的概念以及国内外现状。
首先,我认为分等级的信息保护概念是在信息安全保护领域的一种革命。拿我的专业—语音信号处理来举例子,一段语音由若干句子组成,一句语音由若干短语组成,一个短语由若干字来组成,一个字由辅音和元音组成。当你要处理一段语音的信号时,你所面临的问题很多,而且问题的种类和处理方式都不是很相同,因此很难找到一个通用的方法来解决整个语段的信号处理问题。但是,当你将一段语音按照上述的层次来划分之后,对于每一层的信号使用类似的处理方式,这样问题就变简单多了,而且效果远远比未层次化要好。覆盖全世界的很复杂的计算机网络协议也是通过层次化(物理层、数据链路层、网络层等等),让不同用户、不同管理者和不同事件的处理均得到一个较好的方法和约束。
其次,我个人认为中国计算机安全保护等级的划分较合理。CC评估准则无疑是世界上比较认可的划分方式,但是它的划分方式可能比较学术化,或者可能比较理想化,因此虽然它划分了7个安全等级,但是实际应用当中很难达到6-7级的水平。反而,我个人认为中国计算机安全保护等级相对来说更现实化一些。当然,分等级的准侧不可能受到{bfb}的认可,就像很多考完英语水平6级之后没有拿到的人认为考试内容不太合理,自己的水平根本不比那些已拿到6级的人差一样。我也认为保护等级的划分准侧需要随着网络的发展以及网络攻击和网络安全方面的发展,不断的进行更新。
?????? {zh1},我个人认为这些安全保护等级的内容需要宣传和普及,因为实际上,每一个人、每一个单位都会涉及到信息安全问题,虽然他们的安全保护程度会有差别。目前,清华FIT楼的每一个房间都贴着“保密守则”,但是我个人认为这种效果并不是很好,毕竟FIT楼的每一个人员都是计算机领域或者相关领域的专业人士,我觉得xx可以让每一个人知道我们实验室的信息安全保护等级需要达到哪个级,具体的操作应该怎么做。哪怕是一层或者整个楼贴一张相关的内容,我相信对于了解国家的政策和制度以及提高安全保护意识,都会起很好的作用。
?
5.???? 参考文献
?
1)? 我国计算机信息系统安全等级保护制度及有关政策,赵林
2)? 信息安全等级保护,景乾元
3)? 推进信息系统安全等级保护制度建设,景乾元
4)进一步理清有关重要问题及其关系,景乾元
5)全面认识和正确实施信息安全等级保护,吉增瑞
6)国家信息安全等级保护工作的开展与实施,郭启全