第4章信息安全工程与等级保护

1第4章信息安全工程与等级保护4.1概述4.2等级保护的发展4.3等级保护与信息保障各环节的关系4.4实行信息安全等级保护的意义4.5信息系统安全等级保护的4.6信息系统的安全保护等级4.7信息系统安全等级保护体系4.8有关部门信息安全等级保护工作经验本章小结2信息系统安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。4.1概述3信息系统安全等级保护的核心观念是保护重点、适度安全，即分级别、按需要重点保护重要信息系统，综合平衡安全成本和风险，提高保护成效。信息安全等级保护是国际通行的做法，其思想源头可以追溯到美国的军事保密制度。自20世纪60年代以来，这一思想不断发展，日益完善。等级保护原本是美军的文件保密制度，即著名的“多级安全”MLS(MultilevelSecurity)体系，即人员授权和文件都分为绝密、机密、秘密和公开4个从高到低的安全等级，低安全等级的操作人员不能获取高安全等级的文件。420世纪60年代，正在大力进行信息化的美军发现，使用计算机系统无法实现这一真实世界中的体系，当不同安全等级的数据存放于同一个计算机系统中时，低密级的人员总能找到办法获取高密级的文件。原因在于计算机系统的分时性(Time-Sharing)，因为从计算角度来看，使用多道程序(Multi-Programming)意味着多个作业同时驻留在计算机的内存中，而从存储方面看，各用户的数据都存储在同一个计算机中，因此一个用户的作业有可能会读取其他用户的信息。51970年，兰德公司W·威尔(W.Ware)指出，要把真实世界的等级保护体系映射到计算机中，在计算机系统中建立等级保护体系，必须重新设计现有的计算机系统。1973年，数学家D.E.Bell和L.J.LaPadula提出第一个形式化的安全模型—Bell-LaPadula模型(简称BLP模型)，从数学上证明在计算机中实现等级保护是可行的。基于BLP模型，美国霍尼韦尔(Honeywell)公司开发出了第一个完全符合BLP模型的安全信息系统—SCOMP多级保密系统。实践证明该系统可以建立起符合等级保护要求的工作环境。6自此以后，世界各国在信息安全等级保护方面开始投入巨大的精力，并对信息安全技术的发展产生了深远的影响。作为信息安全领域的重要内容之一，信息安全工程同样置于等级保护制度的指导之下。等级保护与信息安全的评估，以及建立在此基础上的信息安全测评认证制度密切相关。等级保护首先在信息安全的测评、评估方面得到了快速发展。74.2.1信息安全评估准则的发展1.《可信计算机系统评估准则》TCSECTCSEC是计算机系统安全评估的第一个正式标准，它的制定确立了计算机安全的概念，对其后的信息安全的发展具有划时代的意义。4.2等级保护的发展8该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部作为国防部标准(DoD5200.28)公布(由于采用了橘色封皮书，人们通常称其为“橘皮书”)。TCSEC将计算机系统的安全划分为4个等级、7个级别，如表4-1所示，由低到高分别为D、C1、C2、B1、B2、B3和A1。9表4-1TCSEC的安全级别类别级别名称主要特征AA1验证设计按正式的设计规范来分析系统，并有核对技术确保设计规范B3安全区域很强的监视委托管理访问能力和抗干扰能力B2结构化保护可信任运算基础体制、面向安全的体系结构、隐通道约束BB1标记安全保护强制访问控制，具有灵敏度安全标记C2受控访问控制单独的可追究性、广泛的审计踪迹，加强了可调的审慎控制CC1自主安全保护基本的自主访问控制，所有文档具有相同的保密性DD低级保护本地操作系统，或是一个完全没有保护的网络10随着安全等级的升高，系统要提供更多的安全功能，每个高等级的需求都是建立在低等级的需求基础上。在7个级别中，B1级与B1级以下的安全测评级别，其安全策略模型是非形式化定义的，从B2级开始，则为更加严格的形式化定义，甚至引用形式化验证方法。TCSEC最初只是军用标准，后来延至民用领域。第一个通过A1级测评的信息系统是SCOMP，此后有数十个信息系统通过测评。通过这些信息系统的开发，11访问控制、身份鉴别、安全审计、可信路径、可信恢复和客体重用等安全机制的研究取得了巨大进展，结构化、层次化及信息隐藏等先进的软件工程设计理念也得到极大的推动，今天所使用的Windows、Linux、Oracle与DB2等软件都从中受益。但当时也存在限制TCSEC及其测评产品发展的因素，例如：·美国对信息安全产品出口的限制影响了这些产品的市场拓展。12· 为了达到高安全目标，这些信息系统不得不在性能、兼容性和易用性等方面做出牺牲。·TCSEC自身不够完备，它主要是从主机的需求出发，不针对网络安全要求。尽管美国此后又推出了包括TCSEC面向可信网络解释(TNI，TrustedNetworkInterpretation)、可信数据库解释(TDI，TrustedDatabaseInterpretation)等30多个补充解释性文件，但仍不能很好地测评网络应用安全软件。此外，该标准偏重于测评安全功能，不重视安全保证。132.《信息技术安全评估准则》ITSEC1990年，由德国信息安全局(GISA，GermanyInformationSecurityAgency)发出号召，由英国、德国、法国和荷兰等国共同制定了欧洲统一的安全评估标准—《信息技术安全评估准则》(ITSEC，InformationTechnologySecurityEvaluationCriteria)，较美国军方制定的TCSEC准则，在功能的灵活性和有关评估技术方面均有很大的进步。ITSEC是欧洲多国安全评价方法的综合产物，应用于军队、政府和商业等领域。该标准将安全概念分为功能与评估两部分。14功能准则从F1至F10共分10级。1～5级对应于TCSEC的D到A，F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及网络安全的保密性和完整性。与TCSEC不同，ITSEC并不把保密措施直接与计算机功能相联系，而是只叙述技术安全的要求，把保密作为安全增强功能。另外，TCSEC把保密作为安全的重点，而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级，对于每个系统，安全功能可分别定义。15在相同的时期，加拿大也制定了《加拿大计算机产品评估准则》第一版(CTCPEC，CanadianTrustedComputerProductEvaluationCriteria)，第三版于1993年公布，它吸取了ITSEC和TCSEC的长处。此外，美国政府也进一步发展了对评估标准的研究，于1991年公布了《信息技术安全性评价组合联邦准则》的1.0版草案(FC)，其目的是提供TCSEC的升级版本，它只是一个过渡标准。FC的主要贡献是定义了保护框架(PP，ProtectionProfile)和安全目标(ST，SecurityTarget)，16用户负责书写保护框架，以详细说明其系统的保护需求，而产品厂商定义产品的安全目标，阐述产品安全功能及信任度，并与用户的保护框架相对比，以证明该产品满足用户的需要。于是在FC的架构下，安全目标成为评价的基础。安全目标必须用具体的语言和有力的证据来说明保护框架中的抽象描述是如何逐条地在所评价的产品中得到满足的。173.《信息技术安全评价通用准则》CC1993年6月，美国政府同加拿大及欧共体共同起草单一的通用准则(CC标准)并将其推到国际标准。制定CC标准的目的是建立一个各国都能接受的通用信息安全产品和系统的安全性评估准则。在美国的TCSEC、欧洲的ITSEC、加拿大的CTCPEC、美国的FC等信息安全准则的基础上，由6个国家7方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了《信息技术安全评价通用准则》(CC，TheCommonCriteriaforInformationTechnologysecurityEvaluation)，它综合了已有的信息安全准则和标准，形成了一个更全面的框架。18CC标准是信息技术安全性评估的标准，主要用来评估信息系统、信息产品的安全性。CC标准的评估分为两个方面：安全功能需求和安全保证需求，这两个方面分别继承了TCSEC和ITSEC的特征。CC标准根据安全保证要求的不同，建立了从功能性测试到形式化验证设计和测试的7级评估体系。从等级保护的思想上来说，CC标准比TCSEC更认同实现安全渠道的多样性，从而扩充了测评的范围。19TCSEC对各类信息系统规定统一的安全要求，认为必须具备若干功能的系统才算得上某个等级的可信系统，而CC标准则承认各类信息系统具有灵活多样的信息安全解决方案，安全产品无需具备很多的功能，而只需证明自己确实能够提供某种功能即可。1996年CC标准1.0版本出版，2.0版本在1998年正式公行。1999年12月CC2.0版被ISO批准为国际标准，即ISO/IEC15408《信息产品通用测评准则》。我国于2001年将CC标准等同采用为国家标准，即GB/T18336《信息技术安全性评估准则》。20图4-1信息安全评估准则的国际发展21目前已经有17个国家签署了互认协议，即一个产品在英国通过CC评估之后，在美国就不需要再进行评估了，反之亦然。我国目前尚未加入互认协议。在用户的安全需求和安全技术、管理安全及架构安全各方面进步的推动下，等级保护思想不断丰富和完善，等级保护体系迎来了一个新的综合时代。2003年12月，美国通过了《联邦信息和信息系统安全分类标准》(FIPS199)，描述了如何确定一个信息系统的安全类别。22这里安全类别就是一个等级保护概念，其定义建立在事件的发生对机构产生潜在影响的基础上，分为高、中、低3个影响等级，并按照系统所处理、传输和存储的信息的重要性确定系统的级别。为配合FIPS199的实施，NIST分别于2004年6月推出了SP800-60第一、第二部分《将信息和信息系统映射到安全类别的指南》及其附件，详细介绍了联邦信息系统中可能运行的所有信息类型，针对每一种信息类型，介绍了如何去选择其影响级别，并给出了推荐采用的级别。23信息系统的保护等级确定后，需要有一整套的标准和指南规定如何为其选择相应的安全措施。NIST的SP800-53《联邦信息系统推荐安全控制》为不同级别的系统推荐了不同强度的安全控制集(包括管理、技术和运行类)。SP800-53还提出了3类安全控制(包括管理、技术和运行)，它汇集了美国各方面的控制措施的要求，包括FISCAM《联邦信息系统控制审计手册》、SP800-26《信息技术系统安全自评估指南》和ISO17799《信息系统安全管理实践准则》等等。24无论从思想上、架构上还是行文上，SP800系列标准都对我国《信息系统安全等级保护基本要求》(GB/T22239—2008)等标准有直接的影响。254.2.2中国等级保护的发展表4-2给出了我国开展信息安全等级保护工作的简要历程。26表4-2开展信息安全等级保护工作的国家政策和依据颁布时间文件名称文号颁布机构内容及意义1994年2月18日《中华人民共和国计算机信息系统安全保护条例》国务院147号令国务院第一次提出信息系统要实行等级保护，并确定了等级保护的职责单位，并成为等级保护的法律基础1999年9月13日《计算机信息系统安全保护等级划分准则》GB17859—1999国家质量技术监督局将我国计算机信息系统安全保护划分为五个等级，这成为等级保护的技术基础和依据2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》中办发[2003]27号中共中央办公厅、国务院办公厅明确指出“实行信息安全等级保护”，并确定了信息安全等级保护制度的基本内容2004年