第三章信息安全有关标准第一节标准的发展一．国际标准的发展1960年代末，1970年代初，美国出现有关论文。

可信Ttusted，评测级别，DoD美国防部1967年10月，美国防科委赞助成立特别工作组。

1970年，Tast Force等人《计算机系统的安全控制》（始于1967年）。

1970年代初，欧、日等国开始。

1970年2月，美发表计算机系统的安全控制。

1972年，美发表DoD5200.28条令。

1972年，美DoD《自动数据处理系统的安全要求》1973年，美DoD《ADP安全手册-实施、撤消、测试和评估安全的资源共享ADP系统的技术与过程》1973年，美发表DoD5200.28-M（.28相应的指南）。

1976年，MITRE公司的Bell、LaPadula推出经典安全模型——贝尔-拉柏丢拉模型（形式化）。

1976年，美DoD《主要防卫系统中计算机资源的管理》1976年，美联邦信息处理标准出版署FIPS PUB制订《计算机系统安全用词》。

1977年，美国防研究与工程部赞助成立DoD（Computer Security Initiative，1981年01月成立DoD CSC）。

1977年3月，美NBS成立一个工作组，负责安全的审计。

1978年，MITRE公司发表《可信计算机系统的建设技术评估标准》。

1978年10月，美NBS成立一个工作组，负责安全的评估。

1983年，美发布“可信计算机系统评价标准TCSEC”桔皮书（1985年正式版DoD85）。

DoD85：四类七级：D、C（C1、C2）、B（B1、B2、B3）、A（后又有超A）。

1985年，美DoD向DBMS，NET环境延伸。

1991年，欧四国(英、荷兰、法等)发布“信息技术安全评价标准IT-SEC”。

1993年，加拿大发布“可信计算机系统评价标准CTCPEC”。

国际标准组织IEEE/POSIX的FIPS，X/OPEN。

1993年，美DoD在C4I(命令、控制、通信、计算机、集成系统)上提出多级安全MIS技术。

1994年4月，美国家计算机安全中心NCSC颁布TDI可信计算机系统评估标准在数据库管理系统的解释。

1994年，美、加、欧的信息技术安全评测公共标准CC V0.9，1996年为1.0版本。

与上述标准不同，目前信息安全尚无统一标准。

影响较大的：美TCSEC 桔皮书及红皮书（桔皮书在网络环境下和解释）；美信息系统安全协会ISSA的GSSP（一般接受的系统原则）（与C2不同，更强调个人管理而不是系统管理）；日本《计算机系统安全规范》；英国制订自己的安全控制和安全目标的评估标准（1989年）；西德信息安全部门的信息安全技术的安全评价标准（1989年）；加拿大、新西兰、欧盟。

二．我国1994年2月，国务院“计算机信息安全保护条例”近年，靠近TDI，TCSEC的国际标准。

一般C2级，部分C1级。

日本还处于开始阶段—CoBASE系统。

第二节概述一．基本概念1．桔皮书TCSEC与数据库解释TDI（Trusted Computer System Evaluation Criteria）设计、实现时要：数学模型、型式化描述、验证技术。

（1）提供一标准可信度评估（2）提供制造原则（3）提供有关方面的解释可信数据库解释TDI（Trusted Database Interpretation）可信网络解释TNI（Trusted Network Interpretation）1987年4组division七等级class 偏序兼容向下、层次化、积聚性。

可信计算基TCB（Trusted Co m puting Base）——硬件与支持不可信应用及不可信用户的操作系统组合体。

B级开始要求强制存取控制和形式化模型的应用。

A1级要求形式化描述、验证，形式化隐秘通道（Covert Channel）分析等。

二．我国信息安全标准1995年，GB/T9387-2-1995——相当于ISO7498-2-1989（最早1984年提出）1996年，GJB2646-96 军用计算机安全评估准则——相当于桔皮书1999年，GB17859-1999 计算机系统安全特性等级划分准则GB4943-1995 信息技术设备的安全（IEC950）GB9254-88 信息技术设备的无线电干扰限值和测量方法GB9361-88 计算机场地安全GB/T9387.2-1995 OSI的第二部分安全体系结构ISO7498.2：1989GB/T15277-1994 信息处理64位块加密算法ISO8372：1987GB/T15278-1994 信息技术——数据加密，物理层互操作性要求ISO9160：1988GB15851-1995 信息技术——安全技术，带消息恢复的数字签名方案ISO/IEC9796：1991GB15852-1995 信息技术——安全技术，用块加密算法校验函数的数据完整性ISO/IEC9797：1994 GB15853.1-1995 信息技术——安全技术，实体鉴别机制Ⅰ部分：一般模型ISO/IEC 9798.1：1991GB15853.2-1995 信息技术——安全技术，实体鉴别机制Ⅱ部分：对称加密算法的实体鉴别ISO/IEC9798.2：1994GB15853.3 信息技术——安全技术，实体鉴别机制Ⅲ部分：非对称签名技术机制ISO/IEC9798.3：1997GB15853.7 信息技术——开放系统连接-系统管理-安全报警功能ISO/IEC10164-7：1992 GB15853.8 信息技术——开放系统连接-系统管理-安全审计跟踪ISO/IEC10164-8：1993 国家军用标准：GJB1281-91 指挥自动化计算机网络安全要求GJB1295-91 军队通用计算机使用安全要求GJB1894-94 自动化指挥系统数据加密要求GJB2256-94 军用计算机安全术语GJB2646-96 军用计算机安全评估准则GJB2824-97 军用数据库安全要求正制定：分组过滤防火墙——防火墙系统安全技术要求应用网关防火墙——网关安全技术要求网络代理服务器和信息选择平台安全标准鉴别机制标准数字签名机制标准安全电子商务标准Ⅰ部分：抗抵赖机制网络安全服务标准：信息系统安全性评价准则及测试规范安全电子数据交换标准安全电子商务标准Ⅱ部分：密钥管理框架路由器安全技术要求信息技术——N位块密码算法的操作方式信息技术——开放系统互连-上层安全模型信息技术——开放系统互连-网络层安全模型信息技术——安全技术-实体鉴别Ⅳ部分-用加密校验函数的机制三．几种等级1．GB17859-1999计算机系统安全保护等级划分与准则具体等级：第1级用户自主保护级第2级系统审计保护级第3级安全标记保护级第1级结构化保护级第1级访问验证保护级2．TCSEC等级（1）TCSEC等级A1 设计的形式化验证Verified DesignB3 安全域 Security DomainsB2 结构化保护 Structural ProtectionB1 带标记的安全保护 Labeled Security ProtectionC2 受控制的存取保护 Controlled Access ProtectionC1 自主安全保护 Discretionary Security ProtectionD 最小保护 Minimal Protection（2）TCB 可信度算基操作系统级含：操作系统内核具有特权的程序和命令处理敏感信息的程序，如系统管理命令与TCB实施安全策略有关的文档资料保障固件和硬件正确运行的程序和诊断程序构成系统的固件和硬件负责系统管理的人员TCSEC设计目标是将TCB做得尽可能少——只考虑系统安全性，不考虑系统中其他与系统安全无关的因素。

四．各级标准及其应用背景每一较高级别的都是其较底级别的超集安全评测标准四方面：安全策略，责任，保证，相关文档D级：不好的统统放入DOSC1级：很初级商业系统C2级：安全产品的最低档次WinNT3.5，Open VMS VAX6.0、6.1，oracle7，Sybase的SQL Server 11.0B1级: 强制存取控制，审计，真正的安全产品SEVMS VAX 6.0，HP-UX BLS release 9.0.9+incorporatedINFORMIX-Online/Secure5.0，Trusted Oracle7，Sybase Secure SQL ServerV11.0.6B2：产品很少Trusted XENIX（操作系统），LLC VSLAN（网络）理论研究，产品化及商品化程度不高，特殊应用——军队美：很先进，已有一批产品，欲下放到商业应用中我国1998年，初级阶段，应用少COSA中国开放系统平台，有B2级的COSIX 操作系统和B1级的COBASE数据库第三节 TCSEC/TDT安全标准一．安全级别的划分1．说明（4方面）（1）R1安全策略R1.1自主存取控制R1.2 客体重用*R1.3 标记R1.3.1 标记完整性R1.3.2 标记信息的扩散R1.3.3 主体敏感度标记R1.3.4 设备标记R1.4 强制存取控制（2）R2 责任R2.1标识与鉴别R2.1.1 可信路径*R2.2 审计（3）R3 保证R3.1 操作保证*R3.1.1 系统体系结构R3.1.2 系统完整性R3.1.3 隐蔽信道分析R3.1.4 可信设施管理区分操作员，管理员和安全管理员等的不同功能R3.1.5 可信恢复R3.2 生命周期保证R3.2.1 安全测试*R3.2.2 设计规范和验证R3.2.3 配置管理R3.2.4 可信分配主数据与其现场拷贝之间映射的完整性（4）R4文档R4.1 安全特性用户指南R4.2 可信设施手册R4.3 测试文档R4.4 设计手册(加*的有针对DBMS的专门解释)（5）安全要求相邻的安全级之间随级别升高,安全性能指标：从无到有 New；相同Same；改变Change；新增Add安全要求:说明：B２级跳跃大；C2级用户能对各自的行为负责,使用LOG-ON登录，审计跟踪与安全性有关的事件和资源隔离；B1级能使用标记机制对特定的客体进行强制存取控制。

二．安全级别介绍1．D组——最低安全类最小保护。

2．C组——自由选择性安全保护自主保护，引入审计功能，可对主体其行为进行审计。

（1）C1级自主安全保护，对用户和数据的分离，保护或限制用户权限的传播。

（系统管理员安全有问题，多人知道根口令）（2）C2级——比C1更精细（自主存取控制）受控安全保护，以个人身份注册负责，实施审计和资源隔离。

A．安全策略·自主存取控制保护对象以避免非授权存取，对存取权限的传播提供控制，存取控制粒度达单个用户。