計算機信息系統安全等級保護標準體系包括:信息系統安全保護等級劃分標準、等級設備標準、等級建設標準、等級管理標準等,是實行等級保護制度的重要基礎。
第一級:用戶自主保護級
本級的計算機信息系統可信計算基通過隔離用戶與數據,使用戶具備自主安全保護的能力。它具有多種形式的控制能力,對用戶實施訪問控制,即為用戶提供可行的手段,保護用戶和用戶組信息,避免其他用戶對數據的非法讀寫與破壞。
自主訪問控制
> 計算機信息系統可信計算基定義和控制系統中命名用戶對命名客體的訪問。實施機制(例如:訪問控制表)允許命名用戶以用戶和(或)用戶組的身份規定并控制客體的共享;阻止非授權用戶讀取敏感信息。
身份鑒別
> 計算機信息系統可信計算基初始執行時,首先要求用戶標識自己的身份,并使用保護機制(例如:口令)來鑒別用戶的身份,阻止非授權用戶訪問用戶身份鑒別數據。
數據完整性
> 計算機信息系統可信計算基通過自主完整性策略,阻止非授權用戶修改或破壞敏感信息。
第二級:系統審計保護級
與用戶自主保護級相比,本級的計算機信息系統可信計算基實施了粒度更細的自主訪問控制,它通過登錄規程、審計安全性相關事件和隔離資源,使用戶對自己的行為負責。
自主訪問控制
> 計算機信息系統可信計算基定義和控制系統中命名用戶對命名客體的訪問。實施機制(例如:訪問控制表)允許命名用戶以用戶和(或)用戶組的身份規定并控制客體的共享;阻止非授權用戶讀取敏感信息。并控制訪問權限擴散。自主訪問控制機制根據用戶指定方式或默認方式,阻止非授權用戶訪問客體。訪問控制的粒度是單個用戶。沒有存取權的用戶只允許由授權用戶指定對客體的訪問權。
身份鑒別
> 計算機信息系統可信計算基初始執行時,首先要求用戶標識自己的身份,并使用保護機制(例如:口令)來鑒別用戶的身份;阻止非授權用戶訪問用戶身份鑒別數據。通過為用戶提供唯一標識、計算機信息系統可信計算基能夠使用戶對自己的行為負責。計算機信息系統可信計算基還具備將身份標識與該用戶所有可審計行為相關聯的能力。
客體重用
> 在計算機信息系統可信計算基的空閑存儲客體空間中,對客體初始指定、分配或再分配一個主體之前,撤銷該客體所含信息的所有授權。當主體獲得對一個已被釋放的客體的訪問權時,當前主體不能獲得原主體活動所產生的任何信息。
審計
> 計算機信息系統可信計算基能創建和維護受保護客體的訪問審計跟蹤記錄,并能阻止非授權的用戶對它訪問或破壞。
> 計算機信息系統可信計算基能記錄下述事件:使用身份鑒別機制;將客體引入用戶地址空間(例如:打開文件、程序初始化);刪除客體;由操作員、系統管理員或(和)系統安全管理員實施的動作,以及其他與系統安全有關的事件。對于每一事件,其審計記錄包括:事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別事件,審計記錄包含的來源(例如:終端標識符);對于客體引入用戶地址空間的事件及客體刪除事件,審計記錄包含客體名。
> 對不能由計算機信息系統可信計算基獨立分辨的審計事件,審計機制提供審計記錄接口,可由授權主體調用。這些審計記錄區別于計算機信息系統可信計算基獨立分辨的審計記錄。
數據完整性
> 計算機信息系統可信計算基通過自主完整性策略,阻止非授權用戶修改或破壞敏感信息。
第三級:安全標記保護級
本級的計算機信息系統可信計算基具有系統審計保護級所有功能。此外,還提供有關安全策略模型、數據標記以及主體對客體強制訪問控制的非形式化描述;具有準確地標記輸出信息的能力;消除通過測試發現的任何錯誤。
自主訪問控制
> 計算機信息系統可信計算基定義和控制系統中命名用戶對命名客體的訪問。實施機制(例如:訪問控制表)允許命名用戶以用戶和(或)用戶組的身份規定并控制客體的共享;阻止非授權用戶讀取敏感信息。并控制訪問權限擴散。自主訪問控制機制根據用戶指定方式或默認方式,阻止非授權用戶訪問客體。訪問控制的粒度是單個用戶。沒有存取權的用戶只允許由授權用戶指定對客體的訪問權。阻止非授權用戶讀取敏感信息。
強制訪問控制
> 計算機信息系統可信計算基對所有主體及其所控制的客體(例如:進程、文件、段、設備)實施強制訪問控制。為這些主體及客體指定敏感標記,這些標記是等級分類和非等級類別的組合,它們是實施強制訪問控制的依據。計算機信息系統可信計算基支持兩種或兩種以上成分組成的安全級。計算機信息系統可信計算基控制的所有主體對客體的訪問應滿足:僅當主體安全級中的等級分類高于或等于客體安全級中的等級分類,且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別,主體才能讀客體;僅當主體安全級中的等級分類低于或等于客體安全級中的等級分類,且主體安全級中的非等級類別包含于客體安全級中的非等級類別,主體才能寫一個客體。計算機信息系統可信計算基使用身份和鑒別數據,鑒別用戶的身份,并保證用戶創建的計算機信息系統可信計算基外部主體的安全級和授權受該用戶的安全級和授權的控制。
標記
> 計算機信息系統可信計算基應維護與主體及其控制的存儲客體(例如:進程、文件、段、設備)相關的敏感標記。這些標記是實施強制訪問的基礎。為了輸入未加安全標記的數據,計算機信息系統可信計算基向授權用戶要求并接受這些數據的安全級別,且可由計算機信息系統可信計算基審計。
身份鑒別
> 計算機信息系統可信計算基初始執行時,首先要求用戶標識自己的身份,而且,計算機信息系統可信計算基維護用戶身份識別數據并確定用戶訪問權及授權數據。計算機信息系統可信計算基使用這些數據鑒別用戶身份,并使用保護機制(例如:口令)來鑒別用戶的身份;阻止非授權用戶訪問用戶身份鑒別數據。通過為用戶提供唯一標識,計算機信息系統可信計算基能夠使用戶對自己的行為負責。計算機信息系統可信計算基還具備將身份標識與該用戶所有可審計行為相關聯的能力。
客體重用
> 在計算機信息系統可信計算基的空閑存儲客體空間中,對客體初始指定、分配或再分配一個主體之前,撤銷客體所含信息的所有授權。當主體獲得對一個已被釋放的客體的訪問權時,當前主體不能獲得原主體活動所產生的任何信息。
審計
> 計算機信息系統可信計算基能創建和維護受保護客體的訪問審計跟蹤記錄,并能阻止非授權的用戶對它訪問或破壞。
> 計算機信息系統可信計算基能記錄下述事件:使用身份鑒別機制;將客體引入用戶地址空間(例如:打開文件、程序初始化);刪除客體;由操作員、系統管理員或(和)系統安全管理員實施的動作,以及其他與系統安全有關的事件。對于每一事件,其審計記錄包括:事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別事件,審計記錄包含請求的來源(例如:終端標識符);對于客體引入用戶地址空間的事件及客體刪除事件,審計記錄包含客體名及客體的安全級別。此外,計算機信息系統可信計算基具有審計更改可讀輸出記號的能力。
> 對不能由計算機信息系統可信計算基獨立分辨的審計事件,審計機制提供審計記錄接口,可由授權主體調用。這些審計記錄區別于計算機信息系統可信計算基獨立分辨的審計記錄。
數據完整性
> 計算機信息系統可信計算基通過自主和強制完整性策略,阻止非授權用戶修改或破壞敏感信息。在網絡環境中,使用完整性敏感標記來確信信息在傳送中未受損。
第四級:結構化保護級
本級的計算機信息系統可信計算基建立于一個明確定義的形式化安全策略模型之上,它要求將第三級系統中的自主和強制訪問控制擴展到所有主體與客體。此外,還要考慮隱蔽通道。本級的計算機信息系統可信計算基必須結構化為關鍵保護元素和非關鍵保護元素。計算機信息系統可信計算基的接口也必須明確定義,使其設計與實現能經受更充分的測試和更完整的復審。加強了鑒別機制;支持系統管理員和操作員的職能;提供可信設施管理;增強了配置管理控制。系統具有相當的抗滲透能力。
自主訪問控制
> 計算機信息系統可信計算基定義和控制系統中命名用戶對命名客體的訪問。實施機制(例如:訪問控制表)允許命名用戶和(或)以用戶組的身份規定并控制客體的共享;阻止非授權用戶讀取敏感信息。并控制訪問權限擴散。
> 自主訪問控制機制根據用戶指定方式或默認方式,阻止非授權用戶訪問客體。訪問控制的粒度是單個用戶。沒有存取權的用戶只允許由授權用戶指定對客體的訪問權。
強制訪問控制
> 計算機信息系統可信計算基對外部主體能夠直接或間接訪問的所有資源(例如:主體、存儲客體和輸入輸出資源)實施強制訪問控制。為這些主體及客體指定敏感標記,這些標記是等級分類和非等級類別的組合,它們是實施強制訪問控制的依據。計算機信息系統可信計算基支持兩種或兩種以上成分組成的安全級。計算機信息系統可信計算基外部的所有主體對客體的直接或間接的訪問應滿足:僅當主體安全級中的等級分類高于或等于客體安全級中的等級分類,且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別,主體才能讀客體;僅當主體安全級中的等級分類低于或等于客體安全級中的等級分類,且主體安全級中的非等級類別包含于客體安全級中的非等級類別,主體才能寫一個客體。計算機信息系統可信計算基使用身份和鑒別數據,鑒別用戶的身份,保護用戶創建的計算機信息系統可信計算基外部主體的安全級和授權受該用戶的安全級和授權的控制。
標記
> 計算機信息系統可信計算基維護與可被外部主體直接或間接訪問到的計算機信息系統資源(例如:主體、存儲客體、只讀存儲器)相關的敏感標記。這些標記是實施強制訪問的基礎。為了輸入未加安全標記的數據,計算機信息系統可信計算基向授權用戶要求并接受這些數據的安全級別,且可由計算機信息系統可信計算基審計。
身份鑒別
> 計算機信息系統可信計算基初始執行時,首先要求用戶標識自己的身份,而且,計算機信息系統可信計算基維護用戶身份識別數據并確定用戶訪問權及授權數據。計算機信息系統可信計算基使用這些數據,鑒別用戶身份,并使用保護機制(例如:口令)來鑒別用戶的身份;阻止非授權用戶訪問用戶身份鑒別數據。通過為用戶提供唯一標識,計算機信息系統可信計算基能夠使用戶對自己的行為負責。計算機信息系統可信計算基還具備將身份標識與該用戶所有可審計行為相關聯的能力。
客體重用
> 在計算機信息系統可信計算基的空閑存儲客體空間中,對客體初始指定、分配或再分配一個主體之前,撤銷客體所含信息的所有授權。當主體獲得對一個已被釋放的客體的訪問權時,當前主體不能獲得原主體活動所產生的任何信息。
審計
> 計算機信息系統可信計算基能創建和維護受保護客體的訪問審計跟蹤記錄,并能阻止非授權的用戶對它訪問或破壞。
> 計算機信息系統可信計算基能記錄下述事件:使用身份鑒別機制;將客體引入用戶地址空間(例如:打開文件、程序初始化);刪除客體;由操作員、系統管理員或(和)系統安全管理員實施的動作,以及其他與系統安全有關的事件。對于每一事件,其審計記錄包括:事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別事件,審計記錄包含請求的來源(例如:終端標識符);對于客體引入用戶地址空間的事件及客體刪除事件,審計記錄包含客體及客體的安全級別。此外,計算機信息系統可信計算基具有審計更改可讀輸出記號的能力。
> 對不能由計算機信息系統可信計算基獨立分辨的審計事件,審計機制提供審計記錄接口,可由授權主體調用。這些審計記錄區別于計算機信息系統可信計算基獨立分辨的審計記錄。
> 計算機信息系統可信計算基能夠審計利用隱蔽存儲信道時可能被使用的事件。
數據完整性
> 計算機信息系統可信計算基通過自主和強制完整性策略。阻止非授權用戶修改或破壞敏感信息。在網絡環境中,使用完整性敏感標記來確信信息在傳送中未受損。
隱蔽信道分析
> 系統開發者應徹底搜索隱蔽存儲信道,并根據實際測量或工程估算確定每一個被標識信道的最大帶寬。
可信路徑
> 對用戶的初始登錄和鑒別,計算機信息系統可信計算基在它與用戶之間提供可信通信路徑。該路徑上的通信只能由該用戶初始化。
第五級:訪問驗證保護級
本級的計算機信息系統可信計算基滿足訪問監控器需求。訪問監控器仲裁主體對客體的全部訪問。訪問監控器本身是抗篡改的;必須足夠小,能夠分析和測試。為了滿足訪問監控器需求,計算機信息系統可信計算基在其構造時,排除那些對實施安全策略來說并非必要的代碼;在設計和實現時,從系統工程角度將其復雜性降低到最小程度。支持安全管理員職能;擴充審計機制,當發生與安全相關的事件時發出信號;提供系統恢復機制。系統具有很高的抗滲透能力。
自主訪問控制
> 計算機信息系統可信計算基定義并控制系統中命名用戶對命名客體的訪問。實施機制(例如:訪問控制表)允許命名用戶和(或)以用戶組的身份規定并控制客體的共享;阻止非授權用戶讀取敏感信息。并控制訪問權限擴散。
> 自主訪問控制機制根據用戶指定方式或默認方式,阻止非授權用戶訪問客體。訪問控制的粒度是單個用戶。訪問控制能夠為每個命名客體指定命名用戶和用戶組,并規定他們對客體的訪問模式。沒有存取權的用戶只允許由授權用戶指定對客體的訪問權。
強制訪問控制
> 計算機信息系統可信計算基對外部主體能夠直接或間接訪問的所有資源(例如:主體、存儲客體和輸入輸出資源)實施強制訪問控制。為這些主體及客體指定敏感標記,這些標記是等級分類和非等級類別的組合,它們是實施強制訪問控制的依據。計算機信息系統可信計算基支持兩種或兩種以上成分組成的安全級。計算機信息系統可信計算基外部的所有主體對客體的直接或間接的訪問應滿足:僅當主體安全級中的等級分類高于或等于客體安全級中的等級分類,且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別,主體才能讀客體;僅當主體安全級中的等級分類低于或等于客體安全級中的等級分類,且主體安全級中的非等級類別包含于客體安全級中的非等級類別,主體才能寫一個客體。計算機信息系統可信計算基使用身份和鑒別數據,鑒別用戶的身份,保證用戶創建的計算機信息系統可信計算基外部主體的安全級和授權受該用戶的安全級和授權的控制。
標記
> 計算機信息系統可信計算基維護與可被外部主體直接或間接訪問到計算機信息系統資源(例如:主體、存儲客體、只讀存儲器)相關的敏感標記。這些標記是實施強制訪問的基礎。為了輸入未加安全標記的數據,計算機信息系統可信計算基向授權用戶要求并接受這些數據的安全級別,且可由計算機信息系統可信計算基審計。
身份鑒別
> 計算機信息系統可信計算基初始執行時,首先要求用戶標識自己的身份,而且,計算機信息系統可信計算基維護用戶身份識別數據并確定用戶訪問權及授權數據。計算機信息系統可信計算基使用這些數據,鑒別用戶身份,并使用保護機制(例如:口令)來鑒別用戶的身份;阻止非授權用戶訪問用戶身份鑒別數據。通過為用戶提供唯一標識,計算機信息系統可信計算基能夠使用戶對自己的行為負責。計算機信息系統可信計算基還具備將身份標識與該用戶所有可審計行為相關聯的能力。
客體重用
> 在計算機信息系統可信計算基的空閑存儲客體空間中,對客體初始指定、分配或再分配一個主體之前,撤銷客體所含信息的所有授權。當主體獲得對一個已被釋放的客體的訪問權時,當前主體不能獲得原主體活動所產生的任何信息。
審計
> 計算機信息系統可信計算基能創建和維護受保護客體的訪問審計跟蹤記錄,并能阻止非授權的用戶對它訪問或破壞。
> 計算機信息系統可信計算基能記錄下述事件:使用身份鑒別機制;將客體引入用戶地址空間(例如:打開文件、程序初始化);刪除客體;由操作員、系統管理員或(和)系統安全管理員實施的動作,以及其他與系統安全有關的事件。對于每一事件,其審計記錄包括:事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別事件,審計記錄包含請求的來源(例如:終端標識符);對于客體引入用戶地址空間的事件及客體刪除事件,審計記錄包含客體名及客體的安全級別。此外,計算機信息系統可信計算基具有審計更改可讀輸出記號的能力。
> 對不能由計算機信息系統可信計算基獨立分辨的審計事件,審計機制提供審計記錄接口,可由授權主體調用。這些審計記錄區別于計算機信息系統可信計算基獨立分辨的審計記錄。計算機信息系統可信計算基能夠審計利用隱蔽存儲信道時可能被使用的事件。
> 計算機信息系統可信計算基包含能夠監控可審計安全事件發生與積累的機制,當超過閾值時,能夠立即向安全管理員發出報警。并且,如果這些與安全相關的事件繼續發生或積累,系統應以最小的代價中止它們。
數據完整性
> 計算機信息系統可信計算基通過自主和強制完整性策略,阻止非授權用戶修改或破壞敏感信息。在網絡環境中,使用完整性敏感標記來確信信息在傳送中未受損。
隱蔽信道分析
> 系統開發者應徹底搜索隱蔽信道,并根據實際測量或工程估算確定每一個被標識信道的最大帶寬。
可信路徑
> 當連接用戶時(如注冊、更改主體安全級),計算機信息系統可信計算基提供它與用戶之間的可信通信路徑。可信路徑上的通信只能由該用戶或計算機信息系統可信計算基激活,且在邏輯上與其他路徑上的通信相隔離,且能正確地加以區分。
可信恢復
> 計算機信息系統可信計算基提供過程和機制,保證計算機信息系統失效或中斷后,可以進行不損害任何安全保護性能的恢復。