精品区一区二区三区四,激情亚洲色图在线色91,A V无码二区

發(fā)文機關(guān)公安部

發(fā)文日期1998年06月01日

時效性現(xiàn)行有效

施行日期1998年06月01日

效力級別部門規(guī)范性文件

基于DOS的信息安全產(chǎn)品評級準(zhǔn)則GA174－1998EvaluationCriteriaforDOS－basedInformationSecurityProducts（公安部1998年6月1日）

前言

為了貫徹《中華人民共和國計算機信息系統(tǒng)安全保護條例》的精神，并配合計算機信息系統(tǒng)安全專用產(chǎn)品的銷售許可證制度的實施，公安部計算機管理監(jiān)察司委托天津市公安局計算機管理監(jiān)察處和海軍計算技術(shù)研究所共同編寫《基于DOS的信息安全產(chǎn)品評級準(zhǔn)則》。

本標(biāo)準(zhǔn)在技術(shù)上參照了美國DOD5200．28－STD可信計算機系統(tǒng)評估準(zhǔn)則。

本標(biāo)準(zhǔn)由公安部計算機管理監(jiān)察司提出；

本標(biāo)準(zhǔn)由公安部信息標(biāo)準(zhǔn)化技術(shù)委員會歸口；

本標(biāo)準(zhǔn)起草單位：天津市公安局計算機管理監(jiān)察處

海軍計算技術(shù)研究所

本標(biāo)準(zhǔn)主要起草人：張健，周瑞平，王學(xué)海，張雙橋，高新宇

1．范圍

本標(biāo)準(zhǔn)的適用對象為基于DOS操作系統(tǒng)的信息安全產(chǎn)品?；贒OS的信息安全產(chǎn)品是指保護DOS操作系統(tǒng)環(huán)境下的信息免受故意的或偶然的非授權(quán)的泄漏、篡改和破壞的軟件、硬件或軟硬件結(jié)合產(chǎn)品，以及用于產(chǎn)品安裝、執(zhí)行、恢復(fù)的相關(guān)設(shè)施。在本標(biāo)準(zhǔn)中，對安全產(chǎn)品的評級等同于對加裝了該安全產(chǎn)品的DOS操作系統(tǒng)的安全性能的評級。

標(biāo)準(zhǔn)根據(jù)安全產(chǎn)品的性能將其分為三個等級。從最低級d到最高級b，其安全保護性能逐級增加。

2．引用標(biāo)準(zhǔn)

美國DOD5200．28－STD可信計算機系統(tǒng)評估準(zhǔn)則。

3．術(shù)語

3．1 客體 Object

含有或接收信息的被動實體。客體的例子如：文件、記錄、顯示器、鍵盤等。

3．2 主體 Subject

引起信息在客體之間流動的人、進程或裝置等。

3．3 安全策略 Security policy

有關(guān)管理、保護和發(fā)布敏感信息的法律、規(guī)章和技術(shù)標(biāo)準(zhǔn)。

3．4 可信計算基 Trusted ComPuting Base－TCB

操作系統(tǒng)中用于實現(xiàn)安全策略的一個集合體（包含軟件、固件和硬件），該集合體根據(jù)安全策略來處理主體對客體的訪問，并滿足以下特征：

a．TCB實施主體對客體的安全訪問；

b．TCB是抗篡改的；

C．TCB的結(jié)構(gòu)易于分析和測試。

3．5 安全策略模型 Security Policy Model

用于實施系統(tǒng)安全策略的模型，它表明信息的訪問控制方式，以及信息的流程。

3．6 敏感標(biāo)記 Sensitivity Label

表明一個客體的安全級并描述該客體中數(shù)據(jù)的敏感度（例如：密級）的一條信息。TCB依據(jù)敏感標(biāo)記進行強制性訪問控制。

3．7 用戶訪問級 User’s Clearance

用戶訪問敏感信息的級別。

3．8 最小特權(quán)原理 Least Provilege Theorem

系統(tǒng)中的每個主體執(zhí)行授權(quán)任務(wù)時，僅被授予完成任務(wù)所必需的最小訪問權(quán)。

3．9 關(guān)鍵保護元素 Protection Critical Element

有TCB中，用來處理主體和客體間的訪問控制的關(guān)鍵元素。

3．10 審計蹤跡 Audit Trail

能提供客觀證明的一組記錄，用于從原始事務(wù)追蹤到有關(guān)的記錄，或從記錄追蹤到其原始事務(wù)。

3．11 信道 Channel

系統(tǒng)內(nèi)的信息傳輸路徑。

3．12 可信信道 Trusted Channel

符合系統(tǒng)安全策略的信道。

3．13 隱蔽信道 Covert Channel

違反系統(tǒng)安全策略的信道。

3．14 自主訪問控制 Discretionary Access Control

根據(jù)主體身份或者主體所屬組的身份或者二者的結(jié)合，對客體訪問進行限制的一種方法。具有某種訪問權(quán)的主體能夠自行決定將其訪問權(quán)直接或間接地轉(zhuǎn)授給其它主體。

3．15 強制訪問控制 Mandatory Access Control

根據(jù)客體中信息的敏感標(biāo)記和訪問敏感信息的主體的訪問級對客體訪問實行限制的一種方法。

4．評級等級

本標(biāo)準(zhǔn)將安全產(chǎn)品分為局部保護級、自主保護級、強制保護級三個等級。為便于和可信計算機系統(tǒng)評估準(zhǔn)則互為參照，又表示有別于該標(biāo)準(zhǔn)，用d，c，b表示。

4．1 局部保護級（d）

提供一種或幾種安全功能，但又未能達到c級標(biāo)準(zhǔn)的產(chǎn)品。

4．1．1 安全功能

必須明確定義每項安全功能預(yù)期達到的目標(biāo)，描述為達到此目標(biāo)而采用的TCB的安全機制及實現(xiàn)技術(shù)。

4．1．2 安全測試

必須對產(chǎn)品文檔所述的安全功能進行測試，以確認其功能與文檔描述相一致。

4．1．3 文檔

安全特征用戶指南文檔要清楚地描述產(chǎn)品的保護原理、使用方法、使用限制及適用范圍。

要提供一個測試文檔，描述該產(chǎn)品的測試計劃、安全機制的測試過程及安全功能測試的結(jié)果。

4．2 自主保護級（c）

c級主要提供自主訪問控制功能，并通過審計手段，能對主體行為進行審查。

4．2．1 安全策略

4．2．1．1 自主訪問控制

TCB需定義并控制系統(tǒng)中主體對客體的訪問機制，所采用的機制（如訪問控制表）要明確規(guī)定特定主體對其它主體控制下的信息的訪問類型。系統(tǒng)和用戶設(shè)定的自主訪問控制機制，能保證受保護的客體不會被未經(jīng)授權(quán)的用戶訪問。對客體沒有訪問權(quán)限的用戶，只有對該客體有授權(quán)能力的用戶才能為其指定訪問權(quán)限。

4．2．1．2 客體再用

在將TCB的空閑存儲客體池中客體初始指定、分配或再分配給一個主體之前，所有對于存儲客體所含信息的授權(quán)都必須被撤銷。當(dāng)主體獲得對一個已被釋放的存儲客體的訪問權(quán)時，由原主體活動所產(chǎn)生的任何信息對當(dāng)前主體都是不可獲得的。

4．2．2 責(zé)任核查

4．2．2．1 身份鑒別

用戶在要求TCB執(zhí)行任何動作之前，必須首先向TCB表明自己的身份；TCB要使用保護機制（如：口令）來鑒別用戶身份。為了防止任何未經(jīng)授權(quán)的用戶對鑒別數(shù)據(jù)進行訪問，TCB要對鑒別數(shù)據(jù)進行保護。TCB需提供唯一標(biāo)識每個系統(tǒng)用戶的機制，并將用戶的所有可審計行為與用戶的標(biāo)識聯(lián)系起來。

4．2．2．2 審計

TCB必須能創(chuàng)建、維護由主體實施的操作（例如：讀、刪和改等）的審計記錄。TCB要記錄下列類型的事件：使用身份鑒別機制；客體的引用；客體的刪除；以及其它與安全有關(guān)的事件。對于每一個記錄事件，審計記錄需標(biāo)識：事件發(fā)生的日期和時間、用戶、事件類型及事件的成功和失敗。由可信軟件執(zhí)行的單個操作，如果對用戶是完全透明的，則不必進行審計。TCB要保護審計數(shù)據(jù)，使得只有授權(quán)用戶才能訪問。

4．2．3 保證

4．2．3．1 操作保證

4．2．3．1．1 系統(tǒng)體系結(jié)構(gòu)

TCB要在封閉的域中運行，使其不受外部干擾或篡改（例如：代碼或數(shù)據(jù)結(jié)構(gòu)的修改）。TCB要隔離受保護資源，以滿足訪問控制和審計的需求。

4．2．3．1．2 系統(tǒng)完整性

要提供相應(yīng)的硬件或軟件，用于定期確認TCB中硬件或固件元素的正常運行。

4．2．3．1．3 數(shù)據(jù)完整性

TCB要提供控制機制，以保證多個主體對同一客體訪問時客體中數(shù)據(jù)的正確性和完整性，并且不影響系統(tǒng)的正常運行。

4．2．3．2 生命周期保證

4．2．3．2．1 安全測試

必須對產(chǎn)品文檔所述的安全功能進行測試，以確認其功能與文檔描述相一致。測試要證實未經(jīng)授權(quán)的用戶沒有明顯的辦法可以繞過或攻破TCB的安全保護機制。測試還要搜索TCB中明顯的缺陷，這些缺陷可能導(dǎo)致TCB中的外部主體能夠違背資源隔離原則，或者對審計數(shù)據(jù)或鑒別數(shù)據(jù)進行未經(jīng)授權(quán)的訪問。

4．2．4 文檔

4．2．4．1 安全特征用戶指南

安全特征用戶指南要描述TCB提供的保護機制、使用指南、以及保護機制之間的配合方法，必須清楚地描述TCB中安全機制之間的交互作用。

4．2．4．2 可信設(shè)施手冊

在可信設(shè)施手冊中，要明確描述TCB所支持的任何預(yù)定義用戶或主體（例如：系統(tǒng)管理員），要對運行安全功能時必須受到控制的功能和特權(quán)提出警告，并清楚地描述上述受控功能和特權(quán)之間的關(guān)系。如果存在TCB的安全操作的配置選項，應(yīng)該予以標(biāo)識。

要提供用于檢查和維護審計文件的規(guī)程。對每類審計事件，還要提供詳細的審計記錄結(jié)構(gòu)。

4．2．4．3 測試文檔

測試文檔要描述安全保護機制的測試計劃、測試步驟及其功能測試結(jié)果。

4．2．4．4 設(shè)計文檔

設(shè)計文檔要描述產(chǎn)品的保護原理，并解釋該原理在TCB中的實現(xiàn)，如果TCB由多個不同的模塊組成，還應(yīng)描述各模塊間的接口。

4．3 強制保護級（b）

b級的主要要求是：TCB能維護敏感標(biāo)記及其完整性，并利用敏感標(biāo)記來實施強制訪問控制規(guī)則，b級的系統(tǒng)必須使系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)帶有敏感標(biāo)記。系統(tǒng)開發(fā)者必須提供作為TCB基礎(chǔ)的安全策略實現(xiàn)模型以及TCB的規(guī)約。

4．3．1 安全策略

4．3．1．1 自主訪問控制

TCB需定義并控制系統(tǒng)中主體對客體的訪問控制，所采用的機制（如訪問控制表）要明確規(guī)定特定主體對其它主體控制下的信息的訪問類型。自主訪問控制機制應(yīng)限制訪問權(quán)限的擴展。系統(tǒng)和用戶設(shè)定的自主訪問控制機制，能保證受保護的客體不會被未經(jīng)授權(quán)的用戶訪問。對客體沒有訪問權(quán)限的用戶，只有對客體有授權(quán)能力的用戶才能為其指定訪問權(quán)限。

4．3．1．2 客體再用

4．3．1．3 標(biāo)記

TCB要維護與每一主體及其可能訪問的系統(tǒng)資源相關(guān)的敏感標(biāo)記，以此作為強制訪問控制決策的基礎(chǔ)。系統(tǒng)必須明確規(guī)定需要標(biāo)記的客體（如文件、外部設(shè)備等）與不需要標(biāo)記的客體（如：用戶不可見的內(nèi)部資源）。對于需要標(biāo)記的客體，系統(tǒng)要明確定義客體標(biāo)記的粒度。除了不需要標(biāo)記的客體外，所有其它客體從TCB外部觀點看都要有明顯標(biāo)記。在輸入未標(biāo)記數(shù)據(jù)時，必須由授權(quán)用戶向TCB提供這些數(shù)據(jù)的安全級別，而且所有這些行為都可以由TCB進行審計。

4．3．1．3．1 標(biāo)記完整性

敏感標(biāo)記必須準(zhǔn)確地表示出與其相關(guān)的具體主體或客體的安全級別。當(dāng)TCB輸出敏感標(biāo)記時，輸出標(biāo)記的外部表示要與其內(nèi)部標(biāo)記一致，并與輸出的信息相關(guān)聯(lián)。

4．3．1．3．2 標(biāo)記信息的輸出

TCB要能維護并審計與通信信道或I／O設(shè)備相關(guān)聯(lián)的安全級別的任何變動。

4．3．1．3．3 主體標(biāo)記

在TCB與用戶交互期間，如果與用戶有關(guān)的安全級發(fā)生任何變化，TCB應(yīng)立刻通知用戶。

4．3．1．3．4 設(shè)備標(biāo)記

TCB應(yīng)能對所轄的物理設(shè)備指定最小和最大安全級。TCB要使用這些安全級，在設(shè)備所處的物理環(huán)境中對設(shè)備的使用施加約束。

4．3．1．4 強制訪問控制

TCB必須對所有可被TCB外部主體直接或間接訪問的資源（例如：主體、存儲客體、物理設(shè)備等）實施強制訪問控制策略。必須為這些主體和資源指定敏感標(biāo)記（它們是級別和類別的組合），這些標(biāo)記將作為強制訪問控制決策的基礎(chǔ)。所有由TCB所控制的主體對客體的訪問必須遵循以下規(guī)則：僅當(dāng)主體的級別高于或等于客體的級別，且主體安全等級中的類別包含客體安全等級中的所有類別時，主體才能讀客體；僅當(dāng)主體的級別低于或等于客體的級別，且主體安全等級中的所有類別包含于客體安全等級中的類別時，主體才能寫客體。TCB要使用標(biāo)識和鑒別數(shù)據(jù)來鑒別用戶的身份，并確保用戶的訪問級和授權(quán)高于或等于代表該用戶的TCB外部主體的安全等級和授權(quán)。

4．3．2 責(zé)任核查

4．3．2．1 身份鑒別

用戶在要求TCB執(zhí)行任何動作之前，必須首先向TCB表明自己的身份。TCB要使用保護機制（如：口令）來鑒別用戶身份。TCB必須保護鑒別數(shù)據(jù)，該數(shù)據(jù)不僅包含驗證用戶身份的信息（例如：口令），也包含確定用戶訪問級與授權(quán)的信息。TCB要使用這些數(shù)據(jù)來鑒別用戶的身份，并確保用戶的訪問級和授權(quán)高于或等于代表該用戶的TCB外部主體的安全等級和授權(quán)。為了防止任何未經(jīng)授權(quán)的用戶對鑒別數(shù)據(jù)進行訪問，TCB必須對鑒別數(shù)據(jù)進行保護。TCB需提供唯一標(biāo)識每個操作系統(tǒng)用戶的機制，并將用戶的所有可審計行為與用戶的標(biāo)識聯(lián)系起來。

4．3．2．2 可信路徑

在對初始登錄的用戶進行鑒別時，TCB要在它和用戶之間維持一條可信信道。經(jīng)由該路徑的通信必須由專門用戶或TCB進行初始化。

4．3．2．3 審計

TCB必須能創(chuàng)建、維護由主體實施的操作（例如：讀、刪和改等）的審計記錄。TCB要記錄下列類型的事件：使用身份鑒別機制；客體的引用；客體的刪除；安全管理員的操作；以及其它與安全有關(guān)的事件。對于每一個記錄事件，審計記錄要標(biāo)識：事件發(fā)生的日期和時間、主體、事件類型及事件的成功和失敗。對于客體的引用及刪除事件，審計記錄還要包含客體名稱。安全管理員應(yīng)能夠根據(jù)個體身份或個體安全等級有選擇地審計一個或多個用戶的行為。由可信軟件執(zhí)行的單個操作，如果對用戶是完全透明的，則不必進行審計。TCB必須保護審計數(shù)據(jù)，使得只有授權(quán)用戶才能對它進行讀訪問。當(dāng)發(fā)生與安全有關(guān)的事件時，TCB要做到：（1）檢測事件的發(fā)生；（2）記錄審計蹤跡條目；（3）通知安全管理員。

4．3．3 保證

4．3．3．1 操作保證

4．3．3．1．1 系統(tǒng)體系結(jié)構(gòu)

TCB要在封閉的域中運行，使其不受外部干擾或篡改（例如：代碼或數(shù)據(jù)結(jié)構(gòu)的修改）。由TCB控制的資源可以是系統(tǒng)中主體和客體的一個子集。TCB要隔離受保護資源，以滿足訪問控制和審計的需求。TCB要通過不同的地址空間來維護進程隔離。TCB的內(nèi)部要構(gòu)造成定義良好的獨立模塊。TCB的模塊設(shè)計要保證使最小特權(quán)原理得以實現(xiàn)。TCB需完整定義其用戶接口，并且標(biāo)識TCB的所有元素。TCB要有效地利用相關(guān)硬件把關(guān)鍵保護元素和非關(guān)鍵保護元素分隔開。

4．3．3．1．2 系統(tǒng)完整性

要提供相應(yīng)的硬件或軟件，用于定期確認TCB中硬件或固件元素的正常運行。

4．3．3．1．3 可信設(shè)施管理

TCB能支持獨立的操作員和管理員功能。

4．3．3．1．4 可信恢復(fù)

TCB要提供諸如轉(zhuǎn)貯和日志文件等機制，以保證在系統(tǒng)失效或其它中斷發(fā)生后的數(shù)據(jù)恢復(fù)過程中不會導(dǎo)致任何安全泄漏。

4．3．3．1．5 數(shù)據(jù)完整性

TCB要定義及驗證完整性約束條件的功能，以維護客體及敏感標(biāo)記的完整性。

4．3．3．2 生命周期保證

4．3．3．2．1 安全測試

必須對產(chǎn)品文檔所述的安全功能進行測試，以確認其功能與文檔描述相一致。測試組應(yīng)充分了解TCB的安全功能的實現(xiàn)，并徹底分析其測試設(shè)計文檔、源碼和目標(biāo)碼，其目標(biāo)是：發(fā)現(xiàn)設(shè)計和實現(xiàn)中的所有缺陷，這些缺陷會引起TCB的外部主體能夠?qū)嵤┻`背強制或自主安全策略的某種操作；同時保證沒有任何未授權(quán)主體能使TCB進入一種不能響應(yīng)其它主體發(fā)起的通訊的狀態(tài)。TCB應(yīng)具有一定的抗?jié)B透能力。必須消除所有被發(fā)現(xiàn)的缺陷，重新測試TCB要證實這些缺陷已不再存在且沒有引入新的錯誤。

4．3．3．2．2 設(shè)計規(guī)約和驗證

要證實TCB所支持的安全策略模型符合其安全策略，并在產(chǎn)品運行的整個生命周期中維護這一模型。

4．3．3．2．3 配置管理

在TCB的整個生命周期期間，即TCB的設(shè)計、開發(fā)和維護期間，要使用配置管理系統(tǒng)來控制對設(shè)計數(shù)據(jù)、實現(xiàn)文檔、源代碼、目標(biāo)代碼的運行版本、測試裝置以及文檔的任何更改。配置管理系統(tǒng)要保證與TCB當(dāng)前版本相關(guān)聯(lián)的所有文檔和代碼之間的一致映射。要提供從源代碼生成TCB新版本的工具。要提供比較新版TCB和原版TCB的工具，只有在確定已按預(yù)期方案完成了修改后，才能啟用新的TCB版本。

4．3．4 文檔

4．3．4．1 安全特征用戶指南

安全特征用戶指南要描述TCB提供的保護機制、使用指南、以及保護機制之間的配合方法，必須清楚地描述TCB中完全機制之間的交互作用。

4．3．4．2 可信設(shè)施手冊

在可信設(shè)施手冊中，必須明確描述TCB所支持的任何預(yù)定義用戶或主體（例如：系統(tǒng)管理員），要對運行安全功能時必須受到控制的功能和特權(quán)提出警告，并清楚地描述上述受控功能和特權(quán)之間的關(guān)系。如果存在TCB的安全操作的配置選項，應(yīng)該予以標(biāo)識。

要提供用于檢查和維護審計文件的規(guī)程。對每類審計事件，還要提供詳細的審計記錄結(jié)構(gòu)。

手冊必須描述與操作員和管理員有關(guān)的安全功能，包括修改用戶安全特征的方法。手冊還要提供以下信息：如何一致地、有效地使用產(chǎn)品安全功能，安全功能之間的相互作用，以及操作規(guī)程、警告和特權(quán)。

4．3．4．3 測試文檔

測試文檔要描述安全保護機制的測試計劃、測試步驟及其功能測試結(jié)果。

4．3．4．4 設(shè)計文檔

設(shè)計文檔要描述產(chǎn)品的保護原理，并解釋該原理在TCB中的實現(xiàn)方法，如果TCB由多個不同的模塊組成，還應(yīng)描述各模塊間的接口。應(yīng)該具有TCB所實施的安全策略模型的非形式化或形式化描述，并給出它足以實施該安全策略的理由。要標(biāo)識特定的TCB保護機制，并給出一個解釋以證明它們滿足模型。