為了貫徹《中華人民共和國計算機信息系統安全保護條例》的精神, 並配合計算機信息系統安全專用產品的銷售許可證制度的實施,公安部計算機管理監察司委託天津市公安局計算機管理監察處和海軍計算技術研究所共同編寫《基於DOS的信息安全產品評級準則》。 本標準在技術上參照了美國DOD5200.28-STD可信計算機系統評估準則。
基本介紹
- 中文名:基於DOS的信息安全產品評級準則
- 提出:公安部計算機管理監察司
- 歸口:公安部信息標準化技術委員會
- 起草單位:天津市公安局計算機管理監察處
前 言,範圍,引用標準,術語,評級等級,安全策略,
前 言
本標準由公安部計算機管理監察司提出;
本標準由公安部信息標準化技術委員會歸口;
本標準起草單位: 天津市公安局計算機管理監察處 海軍計算技術研究所
本標準主要起草人: 張健,周瑞平,王學海,張雙橋,高新宇
範圍
本標準的適用對象為基於DOS作業系統的信息安全產品。基於DOS的信息安全產品是指保護DOS作業系統環境下的信息免受故意的或偶然的非授權的泄漏、篡改和破壞的軟體、硬體或軟硬體結合產品,以及用於產品安裝、執行、恢復的相關設施。在本標準中,對安全產品的評級等同於對加裝了該安全產品的DOS作業系統的安全性能的評級。標準根據安全產品的性能將其分為三個等級。從最低級d到最高級b,其安全保護性能逐級增加。
引用標準
美國DOD5200.28-STD可信計算機系統評估準則。
術語
3.1 客體 Object 含有或接收信息的被動實體。客體的例子如: 檔案、記錄、顯示器、鍵盤等。
3.2 主體 Subject 引起信息在客體之間流動的人、進程和裝置等。
3.3 安全策略 Security Policy 有關管理、保護和發布敏感信息的法律、規章和技術標準。
3.4 可信計算基 Trusted Computing Base-TCB 作業系統中用於實現安全策略的一個集合體(包含軟體、固件和硬體),該集合體根據安全策略來處理主體對客體的訪問,並滿足以下特徵: a.TCB實施主體對客體的安全訪問; b.TCB是抗篡改的; c.TCB的結構易於分析和測試。
3.5 安全策略模型 Security Policy Model 用於實施系統安全策略的模型,它表明信息的訪問控制方式,以及信息的流程。
3.6 敏感標記 Sensitivity Label 表明一個客體的安全級並描述該客體中數據的敏感度(例如:密級)的一條信息。TCB依據敏感標記進行強制性訪問控制。
3.7 用戶訪問級 User's Clearance 用戶訪問敏感信息的級別。
3.8 最小特權原理 Least Provilege Theorem 系統中的每個主體執行授權任務時,僅被授予完成任務所必需的最小訪問權。
3.9 關鍵保護元素 Protection Critical Element 有TCB中,用來處理主體和客體間的訪問控制的關鍵元素。
3.10 審計蹤跡 Audit Trail 能提供客觀證明的一組記錄,用於從原始事務追蹤到有關的記錄,或從記錄追蹤到其原始事務。
3.11 信道 Channel 系統內的信息傳輸路徑。
3.12 可信信道 Trusted Channel 符合系統安全策略的信道。
3.13 隱蔽信道 Covert Channel 違反系統安全策略的信道。
3.14 自主訪問控制 Discretionary Access Control 根據主體身份或者主體所屬組的身份或者二者的結合,對客體訪問進行限制的一種方法。具有某種訪問權的主體能夠自行決定將其訪問權直接或間接地轉授給其它主體。
3.15 強制訪問控制 Mandatory Access Control 根據客體中信息的敏感標記和訪問敏感信息的主體的訪問級對客體訪問實行限制的一種方法。
評級等級
本標準將安全產品分為局部保護級、自主保護級、強制保護級三個等級。為便於和可信計算機系統評估準則互為參照,又表示有別於該標準,用d,c,b表示。
4.1 局部保護級(d) 提供一種或幾種安全功能,但又未能達到c級標準的產品。
4.1.1 安全功能 必須明確定義每項安全功能預期達到的目標,描述為達到此目標而採用的TCB的安全機制及實現技術。
4.1.2 安全測試 必須對產品文檔所述的安全功能進行測試,以確認其功能與文檔 描述相一致。
4.2 自主保護級(c) c級主要提供自主訪問控制功能,並通過審計手段,能對主體行為進行審查。
安全策略
4.2.1.1 自主訪問控制 TCB需定義並控制系統中主體對客體的訪問機制,所採用的機制(如訪問控制表)要明確規定特定主體對其它主體控制下的信息的訪問類型。系統和用戶設定的自主訪問控制機制,能保護受保護的客體不會被未經授權的用戶訪問。對客體沒有訪問許可權的用戶,只有對該客體有授權能力的用戶才能為其指定訪問許可權。
4.2.1.2 客體再用 在將TCB的空閒存儲客體池中客體初始指定、分配或再分配給一個主體之前,所有對於存儲客體所含信息的授權都必須被撤銷。當主體獲得對一個已被釋放的存儲客體的訪問權時,由原主體活動所產生的任何信息對當前主體都是不可獲得的。
4.2.2 責任核查
4.2.2.1 身份鑑別 用戶在要求TCB執行任務動作之前,必須首先向TCB表明自己的身份; TCB要使用保護機制(如:口令)來鑑別用戶身份。為了防止任何未經授權的用戶對鑑別數據進行訪問,TCB要對鑑別數據進行保護。TCB需提供唯一標識每個系統用戶的機制,並將用戶的所有可審計行為與用戶的標識聯繫起來。4
.2.2.2 審計 TCB必須能創建、維護由主體實施的操作(例如:讀、刪和改等)的審計記錄。TCB要記錄下列類型的事件:使用身份鑑別機制; 客體的引用; 客體的刪除; 以及其它與安全有關的事件。對於每一個記錄事件,審計記錄需標識: 事件發生的日期和時間、用戶、事件類型及事件的成功和失敗。由可信軟體執行的單個操作,如果對用戶是完全透明的,則不必進行審計。TCB要保護審計數據,使得只有授權用戶才能訪問。
4.2.3 保證
4.2.3.1 操作保證
4.2.3.1.1 系統體系結構 TCB要在封閉的域中運行,使其不受外部干擾或篡改(例如: 代碼或數據結構的修改)。TCB要隔離受保護資源,以滿足訪問控制和審計的需求。
4.2.3.1.2 系統完整性 要提供相應的硬體或軟體,用於定期確認TCB中硬體或固件元素的正常運行。
4.2.3.1.3 數據完整性 TCB要提供控制機制,以保證多個主體對同一客體訪問時客體中數據的正確性和完整性,並且不影響系統的正常運行。
4.2.3.2 生命周期保證
4.2.3.2.1 安全測試 必須對產品文檔所述的安全功能進行測試,以確認其功能與文檔描述相一致。測試要證實未經授權的用戶沒有明顯的辦法可以繞過或攻破TCB的安全保護機制。測試還要搜尋TCB中明顯的缺陷,這些缺陷可能導致TCB中的外部主體能夠違章資源隔離原則,或者對審計數據或鑑別數據進行未經授權的訪問。
4.2.4 文檔
4.2.4.1 安全特徵用戶指南 安全特徵用戶指南要描述TCB提供的保護機制、使用指南、以及保護機制之間的配合方法,必須清楚地描述TCB中安全機制之間的互動作用。
4.2.4.2 可信設施手冊 在可信設施手冊中,要明確描述TCB所支持的任何預定義用戶或主體(例如:系統管理員),要對運行安全功能時必須受到控制的功能和特權提出警告,並清楚地描述上述受控功能和特權之間的關係。如果存在TCB的安全操作的配置選項,應該予以標識。要提供用於檢查和維護審計檔案的規程。對每類審計事件,還要提供詳細的審計記錄結構。
4.2.4.3 測試文檔 測試文檔要描述安全保護機制的測試計畫、測試步驟及其功能測試結果。
4.2.4.4 設計文檔 設計文檔要描述產品的保護原理,並解釋該原理在TCB中的實現,如果TCB由多個不同的模組組成,還應描述各模組間的接口。
4.3 強制保護級(b) b級的主要要求是:TCB能維護敏感標記及其完整性,並利用敏感標記來實施強制訪問控制規則,b級的系統必須使系統中的主要數據結構帶有敏感標記。系統開發者必須提供作為TCB基礎的安全策略實現模型以及TCB的規約。
4.3.1 安全策略
4.3.1.1 自主訪問控制 TCB需定義並控制系統中主體對客體的訪問控制,所採用的機制(如訪問控制表)要明確規定特定主體對其它主體控制下的信息的訪問類型。自主訪問控制機制應限制訪問許可權的擴展。系統和用戶設定的自主訪問控制機制,能保證受保護的客體不會被未經授權的用戶訪問。對客體沒有訪問許可權的用戶,只有對客體有授權能力的用戶才能為其指定訪問許可權。
4.3.1.2 客體再用 在將TCB的空閒存儲客體池中客體初始指定、分配或再分配給一個主體之前,所有對於存儲客體所含信息的授權都必須被撤銷。當主體獲得對一個已被釋放的存儲客體的訪問權時,由原主體活動所產生的任何信息對當前主體都是不可獲得的。
4.3.1.3 標記TCB要維護與每一主體及其可能訪問的系統資源相關的敏感標記,以此作為強制訪問控制決策的基礎。系統必須明確規定需要標記的客體(如檔案、外部設備等)與不需要標記的客體(如:用戶不可見的內部資源)。對於需要標記的客體,系統要明確定義客體標記的粒度。除了不需要標記的客體外,所有其它客體從TCB外部觀點看都要有明顯標記。在輸入未標記數據時,必須由授權用戶向TCB提供這些數據的安全級別,而且所有這些行為都可以由TCB進行審計。
4.3.1.3.1 標記完整性 敏感標記必須準確地表示出與其相關的具體主體或客體的安全級別。當TCB輸出敏感標記時,輸出標記的外部表示要與其內部標記一致,並與輸出的信息相關聯。
4.3.1.3.2 標記信息的輸出 TCB要能維護並審計與通信信道或I/0設備相關聯的安全級別的任何變動。
4.3.1.3.3 主體標記在TCB與用戶互動期間,如果與用戶有關的安全級發生任何變化,TCB應立刻通知用戶。
4.3.1.3.4 設備標記TCB應能對所轄的物理設備指定最小和最大安全級。TCB要使用這些安全級,在設備所處的物理環境中對設備的使用施加約束。
4.3.1.4 強制訪問控制TCB必須對所有可被TCB外部主體直接或間接訪問的資源(例如:主體、存儲客體`物理設備等)實施強制訪問控制策略。必須為這些主體和資源指定敏感標記(它們是級別和類別的組合),這些標記將作為強制訪問控制決策的基礎。所有由TCB所控制的主體對客體的訪問必須遵循以下規則: 僅當主體的級別高於或等於客體的級別,且主體安全等級中的類別包含客體安全等級中的所有類別時,主體才能讀客體;僅當主體的級別低於或等於客體的級別,且主體安全等級中的所有類別包含於客體安全等級中的類別時,主體才能寫客體。TCB要使用標識和鑑別數據來鑑別用戶的身份,並確保用戶的訪問級和授權高於或等於代表該用戶的TCB外部主體的安全等級和授權。
4.3.2 責任核查
4.3.2.1 身份鑑別 用戶在要求TCB執行任何動作之前,必須首先向TCB表明自己的身份。TCB要使用保護機制(如: 口令)來鑑別用戶身份。TCB必須保護鑑別數據,該數據不僅包含驗證用戶身份的信息(例如: 口令),也包含確定用戶訪問級與授權的信息。TCB要使用這些數據來鑑別用戶的身份,並確保用戶的訪問級和授權高於或等於代表該用戶的TCB外部主體的安全等級和授權。為了防止任何未經授權的用戶對鑑別數據進行訪問,TCB必須對鑑別數據進行保護。TCB需提供唯一標識每個作業系統用戶的機制,並將用戶的所有可審計行為與用戶的標識聯繫起來。
4.3.2.2 可信路徑 在對初始登錄的用戶進行鑑別時,TCB要在它和用戶之間維持一條可信信道。經由該路徑的通信必須由專門用戶或TCB進行初始化。
4.3.2.3 審計TCB必須能創建、維護由主體實施的操作(例如:讀、刪和改等)的審計記錄。TCB要記錄下列類型的事件: 使用身份鑑別機制; 客體的引用; 客體的刪除; 安全管理員的操作; 以及其它與安全有關的事件。對於每一個記錄事件, 審計記錄要標識: 事件發生的日期和時間、主體、事件類型及事件的成功和失敗。對於客體的引用及刪除事件,審計記錄還要包含客體名稱。安全管理員應能夠根據個體身份或個體安全等級有選擇地審計一個或多個用戶的行為。由可信軟體執行的單個操作,如果對用戶是完全透明的,則不必進行審計。TCB必須保護審計數據,使得只有授權用戶才能對它進行讀訪問。當發生與安全有關的事件時,TCB要做到:(1)檢測事件的發生; (2)記錄審計蹤跡條目; (3)通知安全管理員。
4.3.3 保證
4.3.3.1 操作保證
4.3.3.1.2 系統完整性 要提供相應的硬體或軟體,用於定期確認TCB中硬體或固件元素的正常運行。
4.3.3.1.3 可信設施管理 TCB能支持獨立的操作員和管理員功能。
4.3.3.1.4 可信恢復 TCB要提供諸如轉貯和日誌檔案等機制,以保證在系統失效或其它中斷髮生後的數據恢復過程中不會導致任何安全泄漏。
4.3.3.1.5 數據完整性 TCB要定義及驗證完整性約束條件的功能,以維護客體及敏感標記的完整性。
4.3.3.2 生命周期保證
4.3.3.2.1 安全測試 必須對產品文檔所述的安全功能進行測試,以確認其功能與文檔描述相一致。測試組應充分了解TCB的安全功能的實現,並徹底分析其測試設計文檔、源碼和目標碼,其目標是: 發現設計和實現中的所有缺陷,這些缺陷會引起TCB的外部主體能夠實施違背強制或自主安全策略的某種操作; 同時保證沒有任何未授權主體能使TCB進入一種不能回響其它主體發起的通訊的狀態。TCB應具有一定的抗滲透能力。必須消除所有被發現的缺陷,重新測試TCB要證實這些缺陷已不再存在且沒有引入新的錯誤。
4.3.3.2.2 設計規約和驗證 要證實TCB所支持的安全策略模型符合其安全策略,並在產品運行的整個生命周期中維護這一模型。
4.3.3.2.3 配置管理 在TCB的整個生命周期期間,即TCB的設計、開發和維護期間,要使用配置管理系統來控制對設計數據、實現文檔、原始碼、目標代碼的運行版本、測試裝置以及文檔的任何更改。配置管理系統要保證與TCB當前版本相關聯的所有文檔和代碼之間的一致映射。要提供從原始碼生成TCB新版本的工具。要提供比較新版TCB和原版TCB的工具,只有在確定已按預期方案完成了修改後,才能啟用新的TCB版本。
4.3.4 文檔
4.3.4.1 安全特徵用戶指南 安全特徵用戶指南要描述TCB提供的保護機制、使用指南、以及保護機制之間的配合方法,必須清楚地描述TCB中完全機制之間的互動作用。
4.3.4.2 可信設施手冊 在可信設施手冊中,必須明確描述TCB所支持的任何預定義用戶或主體(例如: 系統管理員),要對運行安全功能時必須受到控制的功能和特權提出警告,並清楚地描述上述受控功能和特權之間的關係。如果存在TCB的安全操作的配置選項,應該予以標識。要提供用於檢查和維護審計檔案的規程。對每類審計事件,還要提供詳細的審計記錄結構。手冊必須描述與操作員和管理員有關的安全功能,包括修改用戶安全特徵的方法。手冊還要提供以下信息: 如何一致地、有效地使用產品安全功能,安全功能之間的相互作用,以及操作規程、警告和特權。
4.3.4.3 測試文檔 測試文檔要描述安全保護機制的測試計畫、測試步驟及其功能測試結果。
4.3.4.4 設計文檔 設計文檔要描述產品的保護原理,並解釋該原理在TCB中的實現方法,如果TCB由多個不同的模組組成,還應描述各模組間的接口。應該具有TCB所實施的安全策略模型的非形式化或形式化描述,並給出它足以實施該安全策略的理由。要標識特定的TCB保護機制,並給出一個解釋以證明它們滿足模型。