2.4 网络安全的评估

任何网络的安全性都涉及如下三个层次或环节的问题：

一是基础层次上各种硬件、软件产品的安全性；

二是与网络系统设计、安装、建设有关的安全性；

三是与网络管理有关的安全性。

在这三个层次或环节上，都需要有能够对安全性进行评估的标准。目前，许多国家和国际标准化组织都在积极开展制定此类标准的工作。现有的安全评估标准中，主要有美国的“联邦政府信息技术安全性准则”（FCITS）及其前身“可信计算机系统评估准则”（TCSEC）、欧洲4国（英、法、德、荷）制定的“信息技术安全性评估准则”（ITSEC）、加拿大的CTCPEC、国际标准化组织的通用标准（CC）以及我国制定的“计算机信息系统安全等级保护划分准则”等。本书仅简要介绍“可信计算机系统评估准则”和我国的“计算机信息系统安全等级保护划分准则”。

2.4.1 美国的“可信计算机系统评估准则”

美国国家计算机安全中心（NCSC）于1983年形成了DOD标准“可信计算机系统评估准则”（TCSEC，Trusted Computer System Evaluation Criteria）并发布施行，1985年进行了修订。因该标准出版时封面为橘红色，通常被称为“橘皮书”。它起初仅仅应用于美国政府和军方的计算机系统，后来其影响逐渐扩展到商业领域，目前已经成为得到广泛公认的事实上的标准，许多公司都以专门的标记标明其产品按该标准规定所属的安全级别。

“橘皮书”将计算机系统的安全等级分为4个档次8个等级，在安全策略、责任、保证、文档等4个方面共设定了27条评估准则。不同的计算机信息系统可以此为依据，按系统的实际需要和可能，从中选取具有不同安全保密强度的安全等级标准。现将该标准的4个档次8个安全等级，由低到高依次简述如下。

1.D档

D档为无保护档级，是安全等级的最低档。其主要特征是没有专门的安全保护，此档只有一个级别，即D级。

D级：安全保护欠缺级。凡经评估，达不到C1及其以上安全等级的计算机系统均列入此级。这一等级的计算机系统，没有访问控制机制，对于来自任何用户的访问，没有任何身份认证措施与访问权限控制。早期商业领域的计算机系统往往属于这一安全等级。

2.C档

C档为自主保护档级。此档又分两个安全等级，共同特征是采用了自主访问控制机制。C档的两个安全等级由低到高依次为C1级和C2级。

C1级：自主安全保护级。采用普通的自主访问控制机制，主要特征是能将用户与数据隔离，针对多个协作用户在同一敏感级别上处理数据的工作环境，由用户自主地确定如何控制对属于自己的资源所进行的访问，达到保护用户自身资源安全的目的。例如，早期的UNIX计算机系统就属于这一安全等级。

C2级：受控访问保护级。采用比C1级更为精细的自主访问控制机制。相对于C1级，增加了安全事件审计功能，能够跟踪每一个主体对每一个客体的每一次访问或访问企图，加上若干其他措施，使用户的行为具有个体独自的可查性。C2级是军用计算机系统所能采用的最低安全级别，也常用于金融系统。

3.B档

B档为强制保护档级。此档又分为3个安全等级，共同特征是采用强制访问控制机制。B档的3个安全等级由低到高依次为B1级、B2级和B3级。

B1级：有标记的安全保护级。所谓有标记的安全保护（Labeled Security Protection），是指对每一个受控的客体都加有标明其安全级的标记，保护系统就据此在客体被访问时进行相应的控制。B1级的访问控制机制是采取对受控客体加标记的方式实现强制访问控制，但也支持有限的用户自主访问控制功能。

B2级：结构化保护级。所谓结构化保护（Structured Protection），是指在设计上把系统内部结构化地划分成若干大体上相互独立而明确的模块，并按最小特权原则进行管理。所谓最小特权原则，就是当系统中的某一主体执行授权任务时，只授予它为完成任务所必需的最小权利，从而保证任何一个人都不可能享有对计算机系统进行操纵和管理的全部权利。B2级将强制访问控制扩展到计算机系统的全部主体和全部客体，并且通过分析发现和消除能够造成信息泄露的隐蔽信道和安全漏洞。

B3级：安全域保护级。所谓安全域保护（Security Domain Protection），是指用户的程序或操作被限定在某个安全域之内，而对安全域之间的访问实行严格控制。为了更充分地体现最小特权原则，B3级要求专设安全管理员，使系统管理员、系统操作员、安全管理员三者的职能分离，以保证人为因素对计算机系统安全的威胁减到最小。B3级还具有更强的审计功能，不仅能记录危害安全的事件，还能发出报警信号。实际上，就安全功能而言，B3级已经达到了目前的最高等级。

4.A档

A档为验证保护档级。此档又分两个安全等级，由低到高依次为A1级和超A1级。它们共同的特征是，在系统设计阶段就能够对预期的安全功能进行严格的验证。

A1级：经验证的设计保护级。所谓经验证的设计保护（Verified Design Protection），是指计算机系统的设计必须通过数学的形式化证明方法加以验证，以证明其确实具有预期的安全功能。就A1级所具有的安全功能本身而言，是和B3级相同的。由于A1级的整个要求极高，目前达到这一要求的实际系统是很少的。

超A1级：验证实现级。所谓验证实现，是指对安全实现的验证进入代码级，只有当设计说明接近于实际实现的代码时，才能达到对预期安全功能实现成功的验证。

B3级、A1级和超A1级，都属于最高的安全等级，相应地对成本的要求也高，只有极其重要的应用场合才采用。

“可信计算机系统评估准则”（TCSEC）的制定与颁布施行原本是针对单个计算机系统的，由于一切计算机网络或信息网络都建立在单机系统的基础之上，所以当我们研究网络安全的评估问题时，TCSEC作为得到广泛公认的事实上的标准，仍然值得加以重视。然而如果仅有TCSEC这类针对单机系统的标准，要解决计算机网络或信息网络安全的评估问题，又确实是远远不够的。正是基于这样的背景，美国国防部的国家计算机安全中心又制定并出版了TCSEC的三个解释性文件，它们分别是可信网络解释、计算机安全子系统解释及可信数据库解释。至此，形成了美国计算机系统及网络的安全评估标准系列——“彩虹系列”（Rainbow Series）。

2.4.2 我国的“计算机信息系统安全等级保护划分准则”

“计算机信息系统安全等级保护划分准则”是我国计算机信息系统安全等级保护系列标准的核心，是实行计算机信息系统安全等级保护制度建设的重要基础。该标准将信息系统划分为5个安全等级，分别为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级，从第1级到第5级安全等级逐级增高，高级别安全要求是低级别要求的超集。计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。

具体每级的要求如下。

1.第1级，用户自主保护级

本级的计算机信息系统可信计算基通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读/写与破坏。

2.第2级，系统审计保护级

与用户自主保护级相比，本级的计算机信息系统可信计算基实施粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。

3.第3级，安全标记保护级

本级的计算机信息系统可信计算基具有系统审计保护级的所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。

4.第4级，结构化保护级

本级的计算机信息系统可信计算基建立在一个明确定义的形式化安全策略模型之上，它要求将第3级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素，其接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。系统具有相当强的抗渗透能力。

5.第5级，访问验证保护级

本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号：提供系统恢复机制。系统具有很高的抗渗透能力。