欢迎来到天天文库
浏览记录
ID:57101753
大小:365.50 KB
页数:34页
时间:2020-07-31
《2019计算机网络信息安全理论与实践教程第15章课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第15章网络安全技术相关标准15.1安全标准概况15.2TCSEC15.3GB 1785915.4CC标准15.5BS779915.6本章小结本章思考与练习15.1安全标准概况近年来,我国也制定了系列信息安全方面的标准,主要包括:n国家标准GB 17859-2019《计算机信息系统安全保护等级划分准则》。nGB/T 18336-2019《信息技术安全技术信息技术安全性评估准则》。n国家标准GB 9361-1988《计算站场地安全要求》。n国家标准GB 2887-2000《电子计算机场地通用规范》。n国家标准
2、GB 50174-1993《电子计算机机房设计规范》。15.2TCSEC1.D类——非安全等级D类只包含一个级别——D级,是安全性最低的级别。该级别说明整个系统都是不可信任的。对硬件来说,没有任何保护作用,操作系统容易受到损害,不提供身份验证和访问控制。例如,MS-DOS操作系统就属于这个级别。2.C类——自主安全等级C类为自主保护类(DiscretionaryProtection)。该类的安全特点是系统的文件、目录等客体可由其主体自定义访问权。自主保护类依据安全从低到高又分为C1、C2两个安全等级。3.B
3、类——强制保护等级B类为强制保护类(MandatoryProtection)。该类的安全特点是系统实施强制的安全保护,每个系统客体及主体都有自己的安全标签(SecurityLabel),系统则依据主体和对象的安全标签赋予它对访问对象的存取权限。强制保护类依据安全从低到高分为B1、B2、B3三个安全等级,各级别提供的安全保护特点是:*B1提供标记安全保护(LabeledSecurityProtection)。*B2提供结构保护(StructuredProtection)。*B提供安全域保护(SecurityD
4、omain)。4.A类——验证设计级别A类为验证保护类(VerifyDesign),A类是橘皮书中最高的安全级别,它包含了一个严格的设计、控制和验证过程。15.3GB178592019年10月19日,中国国家技术监督局发布了中华人民共和国国家标准《计算机信息系统安全保护等级划分准则》,简称GB17859-2019。GB17859-2019基本上是参照美国TCSEC制定的,它将计算机信息系统安全保护能力划分为五个等级,计算机信息系统安全保护能力随着安全保护等级的增大而逐渐增强,其中第五级是最高安全等级。GB1
5、7859-2019各级别分别定义如下:*第一级:用户自主保护级。*第二级:系统审计保护级。*第三级:安全标记保护级。*第四级:结构化保护级。*第五级:访问验证保护级。表15-1各级别对应的安全功能15.3.1第一级:用户自主保护级本级的计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏。具体来说就是:(1)可信计算基要定义和控制系统中命名用户对命名客体的访问,
6、进行自主存取控制。(2)具体实施自主存取控制的机制应能控制客体属主、同组用户、其他任何用户对客体的共享以及如何共享。(3)实施自主存取控制机制的敏感信息要确保不被非授权用户读取、修改和破坏。(4)系统在用户登录时,通过鉴别机制对用户进行鉴别。(5)鉴别用户的数据信息,要确保不被非授权用户访问、修改和破坏。15.3.2第二级:系统审计保护级与用户自主保护级相比,本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。与第一级“用户自主保
7、护级”相比,增加了以下内容:(1)自主存取控制的粒度更细,要达到系统中的任意单个用户。(2)审计机制。要审计系统中受保护客体被访问的情况(包括增加、删除等),用户身份鉴别机制的使用,系统管理员、系统安全管理员、操作员对系统的操作,以及其他与系统安全有关的事件。要确保审计日志不被非授权用户访问和破坏。对于每一个审计事件,审计记录包括:事件的时间和日期、事件的用户、事件类型、事件是否成功等。对于身份鉴别事件,审计记录包含请求的来源(例如终端标识符)。对于客体引用用户地址空间的事件及客体删除事件,审计记录包含客体
8、名。对于不能由TCB独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。(3)TCB对系统中的所有用户进行惟一标识(如id号),系统能通过用户标识号确认相应的用户。(4)客体重用。释放一个客体时,将释放其目前所保存的信息。当它再次分配时,新主体将不能据此获得其原主体的任何信息。15.3.3第三级:安全标记保护级本级的计算机信息系统可信计算基具有系统审计保护级的所有功能。此外,还提供有关安全策略模型、数
此文档下载收益归作者所有