中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn http://staff.ustc.edu.cn/~xiaomj 《网络信息安全》 中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn http://staff.ustc.edu.cn/~xiaomj.

Presentation on theme: "中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn http://staff.ustc.edu.cn/~xiaomj 《网络信息安全》 中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn http://staff.ustc.edu.cn/~xiaomj."— Presentation transcript:

1 中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn http://staff.ustc.edu.cn/~xiaomj
《网络信息安全》 中国科学技术大学 肖 明 军

2 第一章 计算机网络安全概述 教学目的： 掌握计算机网络安全的基本概念、网络面临的各种安全威胁、产生安全威胁的原因，以及网络的安全机制。
第一章 计算机网络安全概述 教学目的： 掌握计算机网络安全的基本概念、网络面临的各种安全威胁、产生安全威胁的原因，以及网络的安全机制。 重点与难点： 网络安全基本概念、产生安全威胁的原因 2

3 网络出现安全威胁的原因 1薄弱的认证环节 网络上的认证通常是使用口令来实现的，但口令有公认的薄弱性。网上口令可以通过许多方法破译，其中最常用的两种方法是把加密的口令解密和通过信道窃取口令。 3

4 网络出现安全威胁的原因 2.系统的易被监视性 用户使用Telnet或FTP连接他在远程主机上的账户，在网上传的口令是没有加密的。入侵者可以通过监视携带用户名和口令的IP包获取它们，然后使用这些用户名和口令通过正常渠道登录到系统。如果被截获的是管理员的口令，那么获取特权级访问就变得更容易了。成千上万的系统就是被这种方式侵入的。 4

5 网络出现安全威胁的原因 3.易欺骗性 TCP或UDP服务相信主机的地址。如果使用“IP Source Routing”，那么攻击者的主机就可以冒充一个被信任的主机或客户。具体步骤： 第一，攻击者要使用那个被信任的客户的IP地址取代自己的地址； 第二，攻击者构造一条要攻击的服务器和其主机间的直接路径，把被信任的客户作为通向服务器的路径的最后节点； 第三，攻击者用这条路径向服务器发出客户申请； 第四，服务器接受客户申请，就好象是从可信任客户直接发出的一样，然后给可信任客户返回响应； 第五，可信任客户使用这条路径将包向前传送给攻击者的主机。 5

6 1.3.2 网络出现安全威胁的原因 4.有缺陷的局域网服务和相互信任的主机
网络出现安全威胁的原因 4.有缺陷的局域网服务和相互信任的主机 主机的安全管理既困难又费时。为了降低管理要求并增强局域网，一些站点使用了诸如NIS(Network Information Service)和NFS(Network File System)之类的服务。这些服务通过允许一些数据库（如口令文件）以分布式方式管理以及允许系统共享文件和数据，在很大程度上减轻了过多的管理工作量。但这些服务带来了不安全因素，可以被有经验闯入者利用以获得访问权。 一些系统（如rlogin）出于方便用户并加强系统和设备共享的目的，允许主机们相互“信任”。如果一个系统被侵入或欺骗，那么闯入者来说，获取那些信任其他系统的访问权就很简单了。 6

7 1.3.2 网络出现安全威胁的原因 5.复杂的设置和控制 6.无法估计主机的安全性
网络出现安全威胁的原因 5.复杂的设置和控制 主机系统的访问控制配置复杂且难于验证。因此偶然的配置错误会使闯入者获取访问权。许多网上的安全事故原因是由于入侵者发现的弱点造成。 6.无法估计主机的安全性 主机系统的安全性无法很好的估计：随着一个站点的主机数量的增加，确保每台主机的安全性都处在高水平的能力却在下降。只用管理一台系统的能力来管理如此多的系统就容易犯错误。另一因素是系统管理的作用经常变换并行动迟缓。这导致一些系统的安全性比另一些要低。这些系统将成为薄弱环节，最终将破坏这个安全链。 7

8 1.3.3 网络安全面临的困难 网络安全是一个“永恒的”问题，没有一劳永逸的解决方案。 网络攻击与网络防守的不对称性
网络安全面临的困难 网络安全是一个“永恒的”问题，没有一劳永逸的解决方案。 网络攻击与网络防守的不对称性 攻击行动是主动行为，相关工具易于获取，攻击行为往往精心准备，且难以被追踪，风险较低。 网络安全的动态性 网络操作系统、软硬件、网络协议不断更新，即使旧的问题解决了，但总会出现新的安全问题。 网络安全的成本问题 网络安全的本质 人性的弱点：缺乏安全意识，缺少安全管理。 8

9 1.4 网络安全组织机构 IETF（www.ietf.org）
1.4 网络安全组织机构 IETF（ 因特网工程任务组（Internet Engineering Task Force）：提出安全协议，如IPSec、TLS、SSH等 CERT/CC（ 计算机安全应急响应/协同中心：响应网络安全事件、提出解决方案、研究入侵趋势、分析漏洞、提供安全评估和培训等服务 NSA（ 美国国家安全局：网络安全产品、服务、方案、项目 美国国家标准局：制定标准，安全测试 9

10 1.4 网络安全组织机构 ISO/ITU（www.ietf.org）
1.4 网络安全组织机构 ISO/ITU（ 国际化标准组织（International Standard Organization，ISO）：制定安全标准 国际电信联盟（International Telecommunication Union，ITU）：在安全体系结构、模型、目录服务等方面制定标准 中国红客联盟（ 中国黑客联盟（ 10

11 1.5 安全体系框架 网络系统安全的总需求是物理安全、网络安全、信息内容安全、应用系统安全的总和，安全的最终目标是确保信息的机密性、完整性、可用性、可控性和抗抵赖性，以及信息系统主体(包括用户、团体、社会和国家)对信息资源的控制。 完整的信息系统安全体系框架由技术体系、组织机构体系和管理体系共同构建。 11

12 信息安全体系框架图 12

13 技术体系 1）物理安全技术。信息系统的建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全；通过对电力供应设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择性措施达到相应的安全目的。物理安全技术运用于物理保障环境(含系统组件的物理环境)。 2）系统安全技术。通过对信息系统与安全相关组件的操作系统的安全性选择措施或自主控制，使信息系统安全组件的软件工作平台达到相应的安全等级，一方面避免操作平台自身的脆弱性和漏洞引发的风险，另一方面阻塞任何形式的非授权行为对信息系统安全组件的入侵或接管系统管理权。 13

14 组织机构体系 组织机构体系是信息系统安全的组织保障系统，由机构、岗位和人事三个模块构成一个体系。
机构的设置分为三个层次：决策层、管理层和执行层 岗位是信息系统安全管理机关根据系统安全需要设定的负责某一个或某几个安全事务的职位 人事机构是根据管理机构设定的岗位，对岗位上在职、待职和离职的雇员进行素质教育、业绩考核和安全监管的机构。 14

15 管理体系 管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和培训管理三个部分组成。 三分技术，七分管理
1）法律管理是根据相关的国家法律、法规对信息系统主体及其与外界关联行为的规范和约束。 2）制度管理是信息系统内部依据系统必要的国家、团体的安全需求制定的一系列内部规章制度。 3）培训管理是确保信息系统安全的前提。 15

16 1.6 OSI安全体系结构 ISO于1989年正式公布的国际标准ISO 是阐述OSI（Open System Interconnection）参考模型安全体系结构的权威性文献。它为网络安全共同体提供一组公共的概念和术语，包括安全性要求、安全策略、安全服务、安全机制、安全管理等方面的内容，主要用来描述和讨论安全问题和解决方案。 OSI安全体系结构主要包括：安全服务、安全机制和安全管理。 16

17 OSI安全服务 认证服务 访问控制服务 数据保密性服务 数据完整性服务 抗否认服务 17

18 1.6.1 OSI安全服务 认证（authentication）服务
对等实体鉴别：该服务在数据交换连接建立时提供，用来识别参与数据交换的对等实体，防止假冒。 数据源点鉴别：该服务向接收方保证所接收到的数据单元来自所要求的源点。它不能防止重播或修改数据单元。 18

19 1.6.1 OSI安全服务 访问控制（access control）服务
该服务防止非授权使用资源。这些资源包括OSI资源和通过OSI协议可以访问到的非OSI资源。该服务可应用于对资源的各种访问类型(如通信资源的使用； 信息资源的读、写和删除； 进程资源的执行)或对资源的所有访问。 19

20 1.6.1 OSI安全服务 数据保密性（data confidentiality）服务 提供数据保护，防止数据非授权泄露。
连接保密性 向某个连接的所有用户数据提供保密性。 无连接保密性 向单个无连接安全数据单元中的所有用户数据提供保密性。 选择字段保密性 向连接上的用户数据内或单个无连接SDU（服务数据单元）中的被选字段提供保密性。 业务流保密性 防止通过观察业务流而得到有用的保密信息。 20

21 1.6.1 OSI安全服务 数据完整性（data integrity）服务 这些服务用以抗击主动攻击。
带恢复的连接完整性 该服务提供存一个(N)连接上所有(N) 数据的完整性。检测在整个SDU序列中任何数据的任何修改、插入、删除和重播， 并予以恢复。 不带恢复的连接完整性 与带恢复连接完整性的差别仅在于不提供恢复。 选择字段的连接完整性 提供在一个连接上，传输一个(N)SDU的(N)用户数据内选择字段的完整性， 并以某种形式确定该选择字段是否已被修改、插入、删除或重播。 21

22 OSI安全服务 无连接完整性 提供单个无连接的SDU的完整性，并以某种形式确定接收到的SDU是否已被修改。还可确定一种检测重播的限定形式。 选择字段无连接完整性 提供在单个无连接SDU内选择字段的完整性，并以某种形式确定选择字段是否已被修改。 22

23 1.6.1 OSI安全服务 抗否认（non-repution）服务
具有源点证明的不能否认： 为数据接收者提供数据源证明，防止发送者以后任何企图否认发送数据或它的内容。 具有交付证明的不能否认： 为数据发送者提供数据交付证明，防止接收者以后任何企图否认接收数据或它的内容。 23

24 OSI安全机制 加密机制 访问控制机制 数据完整性机制 数字签名机制 鉴别交换机制 公证机制 业务流填充机制 路由控制机制 24

25 1.6.2 OSI安全机制 1.加密机制（encipherment mechanism）
加密是提供信息保密的核心方法。按照密钥的类型不同，加密算法可分为对称密钥算法和非对称密钥算法两种。按照密码体制的不同，又可以分为序列密码算法和分组密码算法两种。加密算法除了提供信息的保密性之外，它和其他技术结合，例如hash函数，还能提供信息的完整性。 加密技术不仅应用于数据通信和存储，也应用于程序的运行，通过对程序的运行实行加密保护，可以防止软件被非法复制，防止软件的安全机制被破坏，这就是软件加密技术。 25

26 OSI安全机制 2.访问控制机制 访问控制可以防止未经授权的用户非法使用系统资源，这种服务不仅可以提供给单个用户，也可以提供给用户组的所有用户。 访问控制是通过对访问者的有关信息进行检查来限制或禁止访问者使用资源的技术，分为高层访问控制和低层访问控制 高层访问控制包括身份检查和权限确认，是通过对用户口令、用户权限、资源属性的检查和对比来实现的。 低层访问控制是通过对通信协议中的某些特征信息的识别、判断，来禁止或允许用户访问的措施。如在路由器上设置过滤规则进行数据包过滤，就属于低层访问控制。 26

27 1.6.2 OSI安全机制 3.数据完整性机制 数据完整性包括数据单元的完整性和数据序列的完整性两个方面。
数据单元的完整性是指组成一个单元的一段数据不被破坏和增删篡改，通常是把包括有数字签名的文件用hash函数产生一个标记，接收者在收到文件后也用相同的hash函数处理一遍，看看产生的标记是否相同就可知道数据是否完整。 数据序列的完整性是指发出的数据分割为按序列号编排的许多单元时，在接收时还能按原来的序列把数据串联起来，而不要发生数据单元的丢失、重复、乱序、假冒等情况。 27

28 1.6.2 OSI安全机制 4.数字签名机制（digital signature mechanism） 数字签名机制主要解决以下安全问题：
1．否认：事后发送者不承认文件是他发送的。 2．伪造：有人自己伪造了一份文件，却声称是某人发送的。 3．冒充：冒充别人的身份在网上发送文件。 4．篡改：接收者私自篡改文件的内容。 数字签名机制具有可证实性、不可否认性、不可伪造性和不可重用性。 签名不可重用：签名是文件的一部分，不法之徒不可能将签名移到不同的文件上。 28

29 1.6.2 OSI安全机制 5.鉴别交换机制（authentication mechanism）
交换鉴别机制是通过互相交换信息的方式来确定彼此的身份。用于交换鉴别的技术有： 1．口令：由发送方给出自己的口令，以证明自己的身份，接收方则根据口令来判断对方的身份。 2．密码技术：发送方和接收方各自掌握的密钥是成对的。接收方在收到已加密的信息时，通过自己掌握的密钥解密，能够确定信息的发送者是掌握了另一个密钥的那个人。在许多情况下，密码技术还和时间标记、同步时钟、双方或多方握手协议、数字签名、第三方公证等相结合，以提供更加完善的身份鉴别。 3．特征实物：例如IC卡、指纹、声音频谱等。 29

30 1.6.2 OSI安全机制 6.公证机制（notarization mechanism）
网络上鱼龙混杂，很难说相信谁不相信谁。同时，网络的有些故障和缺陷也可能导致信息的丢失或延误。为了免得事后说不清，可以找一个大家都信任的公证机构，各方的交换的信息都通过公证机构来中转。公证机构从中转的信息里提取必要的证据，日后一旦发生纠纷，就可以据此做出仲裁。 30

31 1.6.2 OSI安全机制 7.业务流填充机制（traffic padding mechanism）
业务流填充机制提供针对数据流量分析的保护。外部攻击者有时能够根据数据交换的出现、消失、数量或频率而提取出有用信息。数据交换量的突然改变也可能泄露有用信息。例如当公司开始出售它在股票市场上的份额时，在消息公开以前的准备阶段中，公司可能与银行有大量通信。因此对购买该股票感兴趣的人就可以密切关注公司与银行之间的数据流量以了解是否可以购买。 业务流填充机制能够保持流量基本恒定，因此观测者不能获取任何信息。流量填充的实现方法是：随机生成数据并对其加密，再通过网络发送。 31

32 1.6.2 OSI安全机制 8.路由控制机制（routing control mechanism）
路由控制机制使得可以指定通过网络发送数据的路径。这样，可以选择那些可信的网络节点，从而确保数据不会暴露在安全攻击之下。而且，如果数据进入某个没有正确安全标志的专用网络时，网络管理员可以选择拒绝该数据包。 32

33 OSI安全管理 OSI安全管理包括对OSI安全的管理以及OSI管理本身的安全性的各个方面。通过对计算机网络操作的管理，OSI安全管理能够支持分布式开放系统管理的多种安全策略，既支持网络整体的强制安全管理策略，又支持网络中对安全有更高要求的个别系统的自主安全策略。 由一个OSI安全管理机构所管理的多个安全实体构成的OSI安全环境称为安全域 OSI安全管理由三部分组成：系统安全管理、安全服务管理和安全机制管理 33

34 1.6.3 OSI安全管理 系统安全管理 是对OSI安全域的整体管理 总的安全策略管理，主要是一致性的维护和更新
提供安全服务管理和安全机制管理之间的交互作用 提供安全事件管理，包括事件报告的生产、存储和查询 提供安全审计管理，当故障发生时能够检测和追踪故障点 提供安全恢复管理，当故障发生后，能利用系统备份迅速恢复系统 34

35 1.6.3 OSI安全管理 安全服务管理 是指对各个特定安全服务的管理 为某种特定安全服务定义安全目标
为指定的安全服务提供能够使用的安全机制 对能够使用的各个安全机制进行协商 通过适当的安全机制管理、协调所需的安全机制 与系统安全管理和安全机制管理相互作用，实现安全服务管理 35

36 1.6.3 OSI安全管理 安全机制管理 是指对一些特定安全机制的管理 密钥管理，对密钥的产生、存储和分配进行管理
数据加密管理，对加密算法和参数选择进行管理 数字签名管理，对数字签名算法和参数选择进行管理 访问控制管理，通过建立和维护访问控制表来实现管理 数据完整性管理，利用加密技术实现对数据完整性保护 36

37 1.6.3 OSI安全管理 鉴别管理，通过产生和分配鉴别信息实现鉴别交换信息的功能
业务流填充管理，通过对预定的数据率和随机数据率的管理实现填充管理 路由控制管理，通过确定信任的链路或子网，实现选择安全的路由 公证管理，通过对公众信息分配、公证机构的选择和通信协议的管理等来实现公证管理 37

38 1.7 网络与信息安全相关法规 网络信息安全法规系统离不开立法、司法和执法三个过程。目前，我国的网络信息安全法规体系已经具备一定的规模。
38

39 我国网络与信息安全法规 信息系统安全保护 国务院于1994年2月18日发布了《中华人民共和国计算机信息系统安全保护条例》，条例分五章共三十一条，目的是保护信息系统的安全，促进计算机的应用和发展 第285条 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。 第286条 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役，后果特别严重的，处五年以上有期徒刑。…… 39

40 1.7.1 我国网络与信息安全法规 国际联网管理 《中华人民共和国计算机信息网络国际联网管理暂行规定》
我国网络与信息安全法规 国际联网管理 《中华人民共和国计算机信息网络国际联网管理暂行规定》 《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》 《计算机信息网络国际联网安全保护管理办法》 《中国公用计算机互联网国际联网管理办法》 《计算机信息网络国际联网出入口信道管理办法》 《计算机信息系统国际联网保密管理规定》 40

41 1.7.1 我国网络与信息安全法规 商用密码管理条例 《商用密码管理条例》 计算机病毒防治 《计算机病毒防治管理办法》 安全产品检测与销售
我国网络与信息安全法规 商用密码管理条例 《商用密码管理条例》 计算机病毒防治 《计算机病毒防治管理办法》 安全产品检测与销售 《计算机信息系统安全专用产品检测和销售许可证管理办法》 41

42 1.7.2 国外网络与信息安全法规 美国联邦政府制定有《计算机安全法》、《电子通信秘密法》、《伪造存取手段及计算机诈骗与滥用法》、《联邦计算机安全处罚条例》等 欧盟于1996年2月颁布了《欧洲议会与欧盟理事会关于数据库法律保护的指令》 日本邮政省于2000年6月8日公布了旨在对付黑客的信息安全对策《信息网络安全可靠性基淮》的补充修改方案 42

43 1.8 安全评估引言 网络与信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题。
党的十六届四中全会，更是把信息安全和政治安全、经济安全、文化安全放在同等重要的位置并列提出。 如何确切掌握网络和信息系统的安全程度、分析安全威胁来自何方、安全风险有多大，加强信息安全保障工作应采取哪些措施，要投入多少人力、财力和物力；确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题。 安全评估是解决上述问题的重要方法和基础性工作。 43

44 1安全评估的目的和意义(1/2) 为什么要进行安全评估？ 计算机网络是一个庞大的系统。 影响因素多。 对安全分析的结论因人而异
因此，要有一套比较规范、通用的安全评估标准。 评估标准可以作为安全评价的依据，也是衡量产品和服务是否符合系统安全需求的依据。 44

45 1安全评估的目的和意义(2/2) 安全评估的意义在于： 指导用户建立符合安全需求的网络 根据安全级别，选用计算机网络系统产品
建立系统内其他部件的安全评估标准 有利于厂家和用户双向选择 1983年8月，美国国家安全局计算机安全评估中心提出了《可信计算机系统安全评价准则》。 45

46 2制定评估标准的策略 与计算机网络的实际环境相结合 首先考虑计算机网络的实际环境，适当超前。 还要考虑应用环境。 如数据库系统
与国际环境结合 信息产业是全球性的，因此评估标准要符合全球性。 具有一定程度上的稳定性 核心内容在一定时期内基本不变。 具有一定程度上的模糊性 不可能面面俱到，容许一定的模糊性 46

47 3安全标准的制定(1/2) 安全策略（Security Policy） 任何主体缺少适当的安全签证就不能获得对敏感信息的访问。
只有指定用户才能获得对信息的访问 客体标记（Object Marking） 按敏感程度对客体进行标记 主体识别（Subject Identification） 只有在鉴别主体身份后，才能对客体进行访问。 47

48 3安全标准的制定(2/2) 可检查性（Accountability） 有选择地保存审计信息。
安全保证（Security Assurance） 前面的功能要由可靠的软硬件系统完成 连续保证（Continues Protection） 连续保护要求直接延续到计算机网络的整个生命周期。 我国1999年9月公安部制定的《计算机信息安全保护等级划分准则》 48

49 4安全评估的方法 一般计算机网络系统的评估方法可分为三类：风险评估、电子信息处理审计和安全评估。 1 风险评估
1 风险评估 指在风险事件发生之后，对于风险事件给计算机网络系统的各个方面造成的影响和损失进行量化评估的工作。 一般从财产遭受威胁和攻击引起损失等方面来考虑，按照有意或无意破坏、修改、泄漏信息及设备误用所出现的概率来定量地确定。 49

50 中国信息安全风险评估论坛 50

51 4安全评估的方法 电子信息处理审计 对系统及其环境连续性和完整性的管理方法进行评估，并对获取数据进行审计。主要集中控制威胁和风险上，对威胁和攻击频度和财产损失进行考虑。 特殊输出审计 指定打印某些文件或报表，供检查审核。 数据审计 将受控数据送入系统处理，比较结果。 系统审计 评估系统任务的处理状态 51

52 4安全评估的方法 安全评估 评估系统的假设的威胁和攻击。重点在控制，数据的质量不是主要问题。比较典型：美国国防部制定的“可信计算机评估准则”。对系统安全评估审核提出27条要求。 52

53 4安全评估的方法 风险评估 电子信息处理审计 安全评估 财政预算上的最佳资源分配 评估控制检查政策的适应性 评估保护措施 强调威胁攻击的频率
强调控制 强调平衡风险 强调修改、保证系统可用 强调泄漏、保证系统安全保密 控制存在和总量影响 预料的威胁和攻击 不可预料的破坏或绕过控制 通常是定量 通常是定性的 面向装置，对系统和应用不太适用 主要面向应用，也适用系统 全部包括 相互排斥的风险 相互重叠的风险 往往是部分风险 平衡评估 强调关键方面 53

54 5 信息安全评价标准 计算机信息系统安全产品种类繁多，功能也各不相同，典型的信息安全评价标准主要有美国国防部颁布的《可信计算机系统评价标准》；欧洲德国、法国、英国、荷兰四国联合颁布的《信息技术安全评价标准》；加拿大颁布的《可信计算机产品评价标准》；美国、加拿大、德国、法国、英国、荷兰六国联合颁布的《信息技术安全评价通用标准》；中国国家质量技术监督局颁布的《计算机信息系统安全保护等级划分准则》。 54

55 5.1 信息安全评价标准简介 表1.1 信息安全评价标准发展历程 信息安全标准名称 颁布国家 颁布年份 美国可信计算机系统评价标准TCSEC
美国国防部 1985 美国TCSEC修订版 1987 德国计算机安全评价标准 德国信息安全部 1988 英国计算机安全评价标准 英国贸易部和国防部 1989 信息技术安全评价标准ITSEC 欧洲德、法、英、荷四国 1991 加拿大可信计算机产品评价标准CTCPEC 加拿大政府 1993 信息技术安全评价联邦标准草案FC 美国标准技术委员会和安全局 信息技术安全评价公共标准CC 美、加、德、法、英、荷六国 1996 国家军用标准军用计算机安全评估准则 中国国防科学技术委员会 国际标准ISO/IEC 15408（CC） 国际标准化组织 1999 计算机信息系统安全保护等级划分准则 中国国家质量技术监督局 信息技术-安全技术-信息技术安全评估准则 2001 55

56 5.2安全等级(1/5) 美国国防部按处理信息的等级和应采取的相应措施，将计算机系统安全分为A、B、C、D四等八个级别。从低等级D等到A等，随着安全等级的提高，系统的可信度随之提高，风险逐渐减小。 D－非保护级 不能用于多用户环境处理敏感信息 对硬件没有任何保护作用 操作系统容易受到损害 计算机上的信息访问权限没有身份认证 如：MS-DOS、Windows 3.X等 56

57 5.2安全等级(2/5) C－自主保护 有一定保护功能，采用措施主要是自主访问控制和审计跟踪，适用多用户环境。
C2可控安全保护级。更细致的自主访问控制；用户操作有据可查；提供授权服务；唯一识别用户。产品：Unix系统、Linux系统、Windows NT、Windows 2000、Windows 2003和Novell 3.X等 57

58 5.2安全等级(3/5) B－强制安全保护级 客体必须带有敏感标志，施加强制访问控制。分为：B1、B2、B3三个子级别。
B2结构保护级。操作人员和管理人员分离。能执行最小特权原则。如Honeywell的操作系统Multics。 B3强制安全区域级。提供分析和检测手段；安装硬件加强安全域；增加安全策略、责任和保证。 58

59 5.2安全等级(4/5) A－验证安全保护级 用形式化方式设计规范说明和验证技术，有效控制系统存储和处理敏感信息。分为A1和A2级。Honeywell的Scomp被认定为A1级；A2级超出目前技术发展。 59

60 5.2安全等级(5/5) 针对当前我国计算机信息系统安全保护工作的现状，借鉴国外评价系统和产品的经验，《计算机信息安全保护等级划分准则》将信息系统的安全等级划分为五类：用户自主保护级(对应C1级)、系统审计保护级(对应C2级)、安全标记保护级(对应B1级)、结构化保护级(对应B2级)和访问验证保护级(对应B3级)。 60