美国国防部计算机系统安全标准(橙皮书),TCSEC
1983年,美国国防部制定了"可信计算机系统评估标准",非正式地称为"橙皮书",以确定计算机系统硬件、软件和特殊软件的安全要求,并制定适当的方法和技术来分析军事计算机系统任命中对安全政策的支持程度。
在本文档中,首次提出了"安全策略"、"安全核心"(TSV)等概念。 是规范定义的。
本文件中提出的安全概念和一套功能要求是制定所有后续安全标准的基础。
橙皮书的要求和标准分类。 橙皮书提出了三类安全要求-安全策略,审计和正确性,其中制定了六个基本安全要求。 前四个要求直接针对确保信息的安全性,后两个要求针对安全工具本身的质量。 让我们更详细地看看这些要求。
1. 安全政策。
安全策略系统必须维护定义明确的安全策略。 主体访问对象的能力应根据其标识和一组访问控制规则来确定。 在必要时,应使用监管访问控制策略来有效实施对分类信息(标有安全标签的信息:"秘密","sov. 密"等。).
用作访问控制属性的安全标记应与对象相关联。
为了实施监管访问控制,系统必须提供给每个对象分配一个标签或一组属性的能力,该标签或一组属性确定对象的保密程度(安全分类)和/或对此对象的访
2. 审计。
识别和认证所有主体必须具有唯一标识符。 访问控制应在访问主体和客体的识别结果,确认其标识符的真实性(认证)和访问控制规则的基础上进行。 用于识别和认证的数据必须受到保护,不受未经授权的访问、修改和破坏,并与计算机系统的所有活动组件相关联,从安全的角度来看,其功能至关重要。
注册和记帐为了确定用户对系统中操作的责任程度,其中发生的从安全角度来看很重要的所有事件都必须在安全协议中进行监控和记录。 注册系统应分析事件的总体流并仅与之隔离那些对安全性有影响的事件以便减少协议的体积并提高其分析的有效性。 必须可靠地保护事件协议免受未经授权的访问、修改和破坏。
3. 正确性。
控制保护的正确功能意味着保护装置必须包含独立的硬件和/或软件组件,以确保保护功能的可操作性。 这意味着确保安全策略,属性和安全标签管理,识别和身份验证,注册和记帐的所有安全工具都必须在验证其功能正确性的工具的控制下。 正确性控制的基本原则是控制必须完全独立于保护手段。
保护的连续性。 必须保护所有保护手段(包括实施这一要求的那些手段)免受未经授权的干扰和/或断开,并且这种保护必须在保护系统和计算机系统整体的任何操作模 这一要求适用于计算机系统的整个生命周期。 此外,其实现也是系统安全性正式证明的关键方面之一。
这些基本的安全要求作为标准的基础,这些标准构成了评估计算机系统安全性的单一尺度,定义了七个安全等级。
计算机系统安全类。 橙皮书提供了四组标准,对应于不同程度的保护:从最小(D组)到正式证明(a组)。 每个组包括一个或多个类。
组D和A每个包含一个类(分别为d类和A类),组C-类C1,C2和组B-Bl,B2,EZ,其特征在于不同的安全要求集。 当从d组移动到a组时,以及在组内-随着类数的增加,安全级别会增加。
D组最低保护。
D类最低保护。 所有不符合其他类要求的系统都属于该类。
C组酌情保护。
该组的特点是任意访问控制和注册受试者的行动。
C1类。 自由裁量保护。 此类系统满足确保用户和信息分离的要求,并包括允许为个人用户设置限制的访问控制和管理工具,这使他们有机会保护他们的私人信息免受其他用 C1类是为多用户系统而设计的,在这些系统中,进行相同级别的保密联合数据处理。
C2类。 访问控制。 该类系统通过使用对用户操作、注册、事件记帐和资源分配的个人控制手段,执行比C1类系统更有选择性的访问控制。
B组强制保护。
该组的主要要求是使用安全标签的监管访问控制,对安全模型和策略的支持,以及TCb功能规范的可用性。 对于该组中的系统,交互监视器应监视系统中的所有事件。
B1类。 使用安全标签进行保护。 B1类系统必须满足C2类系统的所有要求,此外,还必须支持非正式定义的安全模型、数据标记和监管访问控制。
从系统导出时,必须标记信息。 必须消除在测试过程中发现的缺点。
B2类。 结构化保护。 为了符合B2类,系统的TSV必须支持一个正式定义和明确记录的安全模型,提供任意和监管访问控制,与B1类系统相比,它适用于所有主体。 此外,必须监控信息泄漏的隐藏渠道。 从安全的角度来看至关重要的要素应在TCB的结构中突出显示。 TSV接口应该明确定义,其体系结构和实现应该考虑到进行测试测试的可能性。 与B1类相比,应加强身份验证工具。
安全管理由系统管理员进行。 应提供配置管理工具。
B3类。 安全域。 为了符合这个类,系统的TSV必须支持一个交互监视器,该监视器控制主体对对象的所有类型的访问,这是不能绕过的。 此外,TSV应该被结构化,以便从it中排除不负责实施保护功能的子系统,并且足够紧凑以进行有效的测试和分析。 在TSV的开发和实施过程中,有必要使用旨在最小化其复杂性的方法和工具。
审核工具应包括用于在发生对系统安全非常重要的事件时通知管理员的机制。 它需要恢复系统可操作性的手段的可用性。
组A.验证保护。
该组的特点是使用正式方法来验证访问控制机制的正确性(任意和规范)。 需要额外的文档来证明TSV的体系结构和实现符合安全要求。
A1类。 形式验证。 A1类系统在功能上等同于Vz类系统,并且没有对其施加额外的功能要求。 与VZ类的系统不同,在开发过程中应使用形式化验证方法,这使您能够以高可信度获得保护功能的正确实现。 证明实施的充分性的过程始于发展的早期阶段,即建立正式的安全策略模型和高级别规范。 要提供验证方法,A1类系统必须包含更强大的配置管理工具和安全的分发过程。
最高的安全等级,这需要验证的安全措施,是基于证明遵守其规范的软件使用特殊的技术,但是,这种证明(非常昂贵,耗时和实际不切实际的实际操作系统)
根据橙皮书,安全计算机系统是一种支持对其中处理的信息进行访问控制的系统,其方式是只有相关的授权用户或代表其行事的进程能够读取,写入,创
这些安全类早已定义了安全的基本概念和防护设备的发展过程。
一些规定的过时。 橙皮书主要是由于计算机技术的密集发展。 正是为了消除因硬件平台变化而产生的橙皮书中某些规定的不正确性,使其适应现代条件,使其足以满足软件开发人员和用户的需求,并做了大量工 因此,出现了一些伴随橙皮书的文件,其中许多文件已成为其中的一个组成部分。
与计算机网络和数据库管理系统安全相关的一系列具体问题反映在美国国家计算机安全中心以橙皮书补充形式发布的单独文件中。
因此,美国国防部的"计算机系统安全标准"代表了首次尝试创建为开发人员,消费者和计算机系统认证专家设计的统一安全标准。 这份文件曾经是信息技术安全领域的一个真正突破,也是许多研究和开发的起点。 这份文件的主要显着特点是它的重点是军事应用,主要是操作系统。 这预先确定了旨在确保所处理信息的保密性和排除其披露可能性的要求的主导地位。 对标签(保密标签)和出口分类信息的规则给予了很大的关注。
橙皮书是所有其他信息安全标准制定者的基础,在美国仍被用作计算机信息处理系统认证的指导文件。
