1.3 国外信息安全等级划分情况
目前虽然还没有见到国外有明确规定以信息安全等级保护作为实现国家信息安全的制度,但是以划分等级的方法对安全技术和安全产品进行规范和管理是普遍采用的。
标准是技术发展的重要反映,本节对国外信息安全技术相关标准的介绍可以在很大程度上了解国外对信息安全进行等级划分的情况。其中关于美国的TCSEC、德国的“绿皮书”、英国的信息安全标准、欧洲共同体的ITSEC、美国的TCSEC更新计划——FC等,以及由此发展而来的CC都是以要素(或称“组件”)的形式,对信息安全的相关技术进行描述的。至于等级划分,从TCSEC到ITSEC都对相关安全技术要素按不同要求划分了等级,然而在CC中只是针对安全保证要求进行了等级划分。对于安全功能要求,虽然族中的组件排列顺序明显地代表了强度和能力的不断增加,但却没有给出明确的安全等级划分。之所以这样,有一种理解认为是作为国际标准对于安全功能要求的等级划分难以取得一致的意见,所以留给各个国家自己来确定。
这些标准对于信息安全技术要素所进行的等级划分的一个明显好处是让人们能够根据技术和产品所具有的安全等级了解其所具有的安全性强度。比如,当我们说某一个操作系统具有C2级安全时,就会对其所具有的安全机制和相应的安全防护能力有一个基本的了解。
NIST和IATF都是从系统角度对信息系统的安全进行描述的,首先需要明确的是二者都不是标准,充其量只能算做是指导性文档。在这两个文档中也都有关于等级划分的说明,并且都是按照高、中及低3种强度对信息系统的等级进行划分的。至于不同等级的信息系统应该采用哪些安全技术,则由设计者选取。在IATF中给出了一个确定信息系统安全等级的表格,以信息价值和威胁级别来确定信息系统的强健性程度,类似66 号文件和43 号文件中对不同安全等级的信息和信息系统的描述。所不同的是,这种强健性程度只是作为信息系统选择安全管理级别(SML)和安全保证级别(EAL)的依据,而并不是作为一种制度按照等级保护的要求对信息系统的安全进行监督、检查和管理。
1.3.1 最早的信息安全标准——可信计算机系统评估准则(1983年)
美国国防部于 1983 年发布了《可信计算机系统评估准则》(Trusted Computer System Evaluation Criteria,TCSEC,即橘皮书),说明美国在20世纪80年代初计算机安全技术已有相当的发展。限于当时的计算机使用环境,“橘皮书”仅适用于单机系统,并以操作系统作为基本对象。该标准将可信计算机系统的安全划分为7个等级,基本要求如下。
(1)安全策略:DAC、MAC、客体复用和标记。
(2)责任:可查性(标记、鉴别、审计及可信路径)。
(3)保证:系统体系结构、完整性、安全测试、设计和验证等。
(4)文档:用户指南、可信设备手册、设计文档和测试文档。
各个安全级别的安全功能和安全技术要求如下。
1.C1级:用户自主保护
C1 级的最低安全要求如下。
(1)安全策略:应在系统中已命名的用户与客体之间定义并控制访问。
(2)责任:应通过标记与验证机制要求用户自己向TCB做出标记,并使用一种机制(如口令)来验证用户身份。TCB应保护验证数据,防止任何未授权的访问。
(3)保证:TCB应维持自身的执行范围,使其免受外部的篡改和干扰,同时定期地验证软/硬件的正确性。
(4)文档:应有相应的用户指南、可信设备手册、设计文档和测试文档。
2.C2级:可控安全保护
C2级的最低安全要求除具有C1级的功能外,还包括如下方面。
(1)安全策略:应提供防止访问权力扩散的控制,为客体提供保护,防止非授权访问,以实现客体安全重用。
(2)责任:应提供识别每一个体用户的能力,并将用户可审计事件相关联,能建立、维持并保护对客体访问的审计跟踪;审计事件应包括标记与鉴别的使用;将客体引入一用户地址空间;删除客体;由操作员、系统管理员和安全员进行的各种活动,以及其他与安全相关的活动。
(3)保证:应隔离被保护的资源,以便于访问控制和审计的实现。
(4)文档:应有相应的用户指南、可信设备手册、设计文档和测试文档。
3.B1级:标记强制安全保护
通过使用敏感标记执行一组强制性访问控制规则是B1级的主要求,其最低安全要求除具有C2级的功能外,还包括如下方面。
(1)安全策略:应提供按照策略模型实现的对主/客体的标记、主体对客体访问的强制性控制,以及对输出信息进行标记和对标记信息进行安全传输的能力。
(2)责任:应提供对与安全相关的数据信息进行验证的功能,这些数据信息包括身份鉴别和确定对用户授权,以及TCB外部可代表用户建立动作的主体(如进程)的安全等级和授权的数据信息;应对人可读的输出标记的任何滥用进行审计并在审计记录中增加客体的安全等级,还应通过提供不同的地址空间来维持进程的隔离。
(3)保证:应提供安全策略模型的非形式化描述。
(4)文档:应有相应的用户指南、可信设备手册、设计文档和测试文档。
4.B2级:结构化强制安全保护
B2级的最低安全要求除具有B1级的功能外,还包括如下方面。
(1)安全策略:应将强制性访问控制扩展到全部的主体和客体,并提供隐蔽信道安全问题的分析;应能执行最小授权原则和对设备的验证,实现对终端会话的管理。
(2)责任:应在TCB与用户之间提供用于初始注册以验证的可信路径,应对隐蔽存取信道的标记事件进行审计。
(3)保证:应提供安全策略模型的形式化的清晰定义,明确定义外部接口;应完整地定义用户与TCB的接口。TCB应维持自身的执行域,应有相当强的抗渗透能力。
(4)文档:应有相应的用户指南、可信设备手册、设计文档和测试文档。
5.B3级:强制安全区域保护
B3级的最低安全要求除具有B2级的功能外,还包括如下方面。
(1)安全策略:对每一个已命名的客体应以列表方式来表示相应的访问方式,应支持安全管理员将审计机制扩展到有关安全通信事件并实现系统恢复功能。
(2)责任:应支持TCB与用户之间的可信路径,实现TCB与用户之间的可靠连接;审计机制应能监控安全可审计事件的发生和积累,并将有关情况通知安全管理员。
(3)保证:TCB必须满足委托监控器的要求,能仲裁所有主体对客体的访问。并且必须是防篡改的,足够小,以提供分析测试;TCB 的设计和结构应使用一种完整、原理简单且具有精确定义语义的保护机制;TCB 应将分层、抽象和数据隐藏等方面的有效使用相结合,使其复杂性最小,而且排除没有严格保护的TCB模块。TCB应是高度防渗透的。
(4)文档:应有相应的用户指南、可信设备手册、设计文档和测试文档。
6.A1级:验证设计安全保护
A1级的安全要求在功能上与B3级完全相同,其显著特点是从形式化设计规范和验证技术导出分析,高度保证TCB的正确实现。A1级的设计验证有以下5条重要原则。
(1)必须清晰地标记一个安全策略模型,并对模型及其原理的一致性给出数学证明。
(2)形式化安全策略模型的设计和最高形式的规范说明(FTLS)必须包括 TCB 执行功能的抽象定义,以及用于支持分离执行域的硬件和/或固件装置的抽象定义。
(3)必须在可能的场合采用形式化技术,否则采用非形式化技术表明FTLS与该模型一致。
(4)必须非形式化地表明TCB的实现与FTLS一致,FTLS与单元与TCB单元一致。FTLS必须表达满足安全策略所需的统一的保护装置,并确保TCB的单元映射到这种保护装置的单元。
(5)必须使用形式化分析技术来标记和分析隐蔽信道,非形式化技术可用于标记隐蔽定时信道,并建立把该系统安全地分配到现场的过程。支持系统安全管理员。
1.3.2 德国的信息安全标准——绿皮书(1988年)
1988年德国发布了自己的信息安全标准,即绿皮书,其说明如下。
(1)安全功能:列出了8种基本安全功能,与TCSEC的不同之处是增加了对系统的可用性(不间断服务)和数据完整性要求。
(2)级别评定:该标准规定了10个功能级别(F1~F10),其中的F1~F5大致对应于TCSEC的C1~B3;8个质量级别(Q0~Q7),类似于TCSEC中的信任度级别D~A1。
(3)特点:理论上功能级别与质量(信任度)级别可以任意组合,标准未说明是否组合均有意义。
1.3.3 英国的信息安全标准(1989年)
1989年英国国防部和商业部共同开发出各自的安全产品评估标准。
英国标准致力于定义一种规范的产品功能说明语言,用这种语言阐述的产品安全功能,可在以后由评审人员以规范方法加以验证。
英国人不认为评定标准能够限定一组基本的安全功能,于是把选择权留给产品厂商,所以英国标准中不存在对功能级别的定义。
在信任度级别方面,英国标准设立L1~L6的6个级别,粗略地对应TCSEC的C1~A1,或德国“绿皮书”的Q1~Q6。英国政府进而创立了一个商用许可评定体制,以促进该标准的商业化应用。
1.3.4 欧洲共同体的信息安全标准——ITSEC(1991年)
与此同时,加拿大、澳大利亚和法国也制定了自己的标准,这些标准之间的兼容性问题迅速变得严重起来。人们开始考虑怎样可以使在一个国家获取的某个安全评定级别得到另一个国家的承认,从而拓展产品市场,缩短产品进入市场的时间。
在欧洲共同体的赞助下,英国、德国、法国及荷兰4国于1991年制定了拟为欧共体成员国使用的共同标准,即信息技术安全评定准则(ITSEC)。
ITSEC保留了德国“绿皮书”中10个功能级别和8个质量级别(改称“有效性级别E0~E7”)的内容,同时也接受了英国标准中的功能描述语言的思想。
产品(系统)安全的评价围绕一个厂商定义的“评价目标”(Target of Evaluation,TOE)和所期望的评定级别进行,TOE 在其操作环境中得到评定。评定人员在评定之后宣布是否同意厂商对产品安全功能的描述,以及是否给予厂商所要求的有效性级别。值得注意的是,ITSEC将安全产品(系统)评定从TCSEC式的政府行为改变为由市场驱使的行业行为的意愿十分明显。
1991年6月欧洲共同体发布ITSEC,划分为7个等级,从以下8个方面说明和评价系统的安全性。
(1)标记和认证。
(2)访问控制,即DAC及MAC。
(3)责任。
(4)审计。
(5)客体复用。
(6)精确性。
(7)服务的可靠性。
(8)数据交换。
1.3.5 美国的TCSEC更新计划——FC(1992年)
为跟上形势的发展,美国在1992年制定了TCSEC的更新计划。其成果是由国家标准局和国家安全局合作制定的新标准,即“组合的联邦标准”(Combined Federal Criteria,FC)。FC在很大程度上受到刚刚问世的加拿大标准的影响,并基本仿照欧洲人的方案,将功能要求和信任度要求分割开来描述。
FC的主要贡献是定义了保护框架(PP)和安全目标(ST),用户负责书写PP,以详细说明其系统的保护需求。而产品厂商定义产品的ST,阐述产品安全功能及信任度。并与用户的保护框架相对比,以证明该产品满足用户的需要。在FC的结构下,安全目标便成为评价的基础。ST必须具体说明PP中的抽象描述怎样逐条地在所评价的产品中得到满足。
FC是个短命的尝试,在初始草案问世后不久,美国政府便宣布停止草案的修改工作。并转而同加拿大及欧共体国家一起制定共同的标准,这就是CC(Common Criteria for Information Technology Security Evaluation,信息技术安全评估通用准则)。
1.3.6 关于CC
CC是对网络环境下信息系统安全技术要求的描述,包括概要及一般描述、安全功能技术要求以及安全保证技术要求3个方面的内容,是对网络环境信息系统所涉及安全技术的比较全面的描述。
1.CC发展的背景
CC 是一系列信息安全评估准则发展的结果,这些准则用于评估在国际团体内应用广泛的 IT 产品或系统的安全性。在 20 世纪 80 年代早期,美国开发了可信计算机系统评估准则(TCSEC)。在随后的 10年里,不同国家开始启动开发建立在TCSEC概念上的评估准则,这些准则更加灵活并更加适应了IT技术的发展。在欧洲,信息技术安全评估准则(ITSEC)1.2版于1991年由欧洲委员会在法国、德国、荷兰和英国经联合开发后公开发表;在加拿大,加拿大可信计算机产品评估准则(CTCPEC)3.0版作为ITSEC和TCSEC的结合于1993年公开发表;在美国,信息技术安全联邦标准(FC)草案1.0版也在1993年公开发表,它是结合北美和欧洲有关评估准则概念的另一种方法。
国际标准化组织(ISO)从1990年开始开发通用的安全评估准则,新的标准是全球IT市场对标准化安全评估结果互相认可的需求所做出的响应,该任务赋予第一联合技术委员会(JTC1)的第27分委员会(SC27)的第3工作小组(WG3)。最初由于大量的工作和需要进行多方协商,所以WG3的进展缓慢。
在1993年6月,CTCPEC、FC、TCSEC和ITSEC发起联合行动,将各自独立的准则集合成一组单一且能被广泛使用的IT安全准则。这一行动被称为“CC项目”,其目的是解决原标准中出现的概念和技术上的差异,并把结果作为对国际标准的贡献提交给了ISO。发起联合行动的代表建立了CC编辑委员会(CCEB)来开发CC,随后CCEB和WG3建立了联系,为WG3提供了几个CC的早期版本。作为WG3和CCEB交流的结果,从1994年开始,这些版本被采纳为ISO准则若干部分继续工作的草案。
1996年1月,CCEB完成了CC 1.0版,并在1996年4月被ISO采纳后作为委员会草案散发。而后CC项目使用CC 1.0版完成了大量的试验性评估,并收集了对文档的广泛评论意见。根据这些意见和与ISO的交流,对CC进行了广泛的修订。修订工作是由CCEB的接任者,称为“CC执行委员会”(CCIB)的机构完成的。
CCIB于1997年10月完成了CC 2.0的测试版,并把它提交给WG3,WG3经改进后作为第1委员会草案。CCIB接收了一系列直接来自WG3专家和经CD投票来自ISO国家的意见,最终产生了CC 2.0版。
为了历史连续性,ISO/IEC JTC1/SC27/WG3 同意在文档中继续使用“通用准则”(CC)这一术语,虽然认为在ISO行文中的正式名称应为“信息技术安全评估准则”。
CC发展的背景可简单表述如下:
(1)20世纪80年代早期,美国开发了可信计算机系统评估准则(TCSEC)。
(2)1991年,欧洲委员会公开发表信息技术安全评估准则(ITSEC 1.2版)。
(3)1993年,加拿大公开发表可信计算机产品评估准则(CTCPEC 3.0版)。
(4)1993年,美国公开发表信息技术安全联邦标准草案(FC 1.0版)。
(5)1990 年,国际标准化组织(ISO)开始开发通用的国际标准的评估准则,由 JTC1 的 SC27 的WG3担任此项工作。
(6)1993年6月,CTCPEC、FC、TCSEC和ITSEC联合开发CC项目,并建立了CC编辑委员会(CCEB)。
(7)1994年,WG3将CCEB提供的CC早期版本作为ISO继续工作的草案。
(8)1996年1月,CCEB完成CC 1.0版,4月被ISO采纳。CC的修订工作由CCIB负责。
(9)1997年10月,CCIB完成了CC 2.0的测试版,并提交WG3。经反复征求意见,最终产生了CC 2.0版。为了历史的连续性,ISO/IEC JTC1 SC27 WG3同意继续使用“CC”。
2.CC的主要内容
(1)CC的组成结构
CC由两个部分组成,即安全功能需求和对安全保证需求的定义。
CC的一般使用方法是由用户按照安全功能需求定义产品的保护框架(PP)。例如,可以由某一组织负责定义政府各个机构使用的防火墙产品的PP。厂家根据PP文件制定其产品的安全目标文件(ST),然后根据产品规格和ST开发产品,开发出的产品将作为评测对象(TOE)进行安全功能和安全可信度的评测。为了保证产品安全机制的有效性,CC特别要求对PP和ST进行评价,以检查这两个文件是否满足要求。
(2)安全功能需求描述
安全功能需求部分是按结构化方式组织起来的安全功能定义,分为类(Class)、族(Family)和组件(Component)3层。每个类侧重一个安全主题。CC共包括如下11个类,基本上覆盖了目前安全功能的所有方面。
● 安全审计类。
● 通信类(真实及可信)。
● 密码支持类。
● 用户数据保护类。
● 标记和鉴别类。
● 安全管理类。
● 隐秘类。
● TSF保护类(自身保护)。
● 资源利用类。
● TOE访问类。
● 可信路径/信道类。
一个类下包含一个或多个族,每个族基于相同的安全目标,但侧重方面或保护强度有所不同。例如,通信类包括两个族,分别涉及信息的原发抗抵赖和信息的接收抗抵赖。
每个族包含一个或多个组件。一个组件确定一组最小可选择的安全需求集合。
一个族中的组件排列顺序代表强度和能力的不同级别。例如,通信类的信息原发抗抵赖和信息接收抗抵赖两个族均包含顺序的两个组件,即选择性证明和强制性证明。
(3)安全保证需求描述
安全保证需求的组织方式与安全功能需求相同,即按“类、族及组件”方式结构化地定义各种安全保证的需求,共包括以下7个类。
● 配置管理类。
● 分发与操作类。
● 开发类。
● 指导性文档类。
● 生命周期支持类。
● 测试类。
● 脆弱性评定类。
为了能够有效地使用安全功能需求和安全保证需求,CC还引入了“包”(Package)的概念,以提高已定义结果的可重用性。在安全保证需求中以包的概念定义了如下7个安全保证级别(EAL)。
● EAL1:功能性测试级,证明TOE与功能规格的一致。
● EAL2:结构性测试级,证明TOE与系统层次设计概念的一致。
● EAL3:工程方法的测试及校验级,证明TOE在设计上采用了积极的安全工程方法。
● EAL4:工程方法的方法设计、测试和评审级,证明TOE采用了基于良好的开发过程的安全工程方法。
● EAL5:半形式化设计和测试级,证明TOE采用了基于严格的过程的安全工程方法并适度应用了专家安全工程技术。
● EAL6:半形式化验证设计和测试级,证明TOE通过将安全工程技术应用到严格的开发环境中来达到消除大风险保护高价值资产的目的。
● EAL7:形式化验证设计和测试级,证明TOE所有安全功能经得起全面的形式化分析。
1.3.7 关于NIST
NIST(National Institute of Standards and Technology,美国国家标准与技术局)系列文档是对实施信息系统安全过程的比较完整的描述,它将信息系统的安全控制分为如下3大类。
(1)管理控制,包括风险控制、安全检查控制、生命周期控制、授权控制、系统计划和服务控制等。
(2)运行控制,包括人员安全、物理安全、配置管理、输入/输出控制及介质保护、应急规划及事件响应、软硬件维护、系统和信息完整性、文档,以及安全意识培训和教育等。
(3)技术控制,包括标记和鉴别、逻辑访问控制、可查性,以及系统和通信保护等。
NIST将信息系统的安全等级分为基本级、增强级及强健级,这3个安全级分别标记了与FIPS 199 (联邦信息和系统分类标准)中定义的低、中及高影响等级相应的3套基线安全控制。
NIST所介绍的关于信息系统安全分类控制(管理控制、运行控制及技术控制)的思想和对信息系统的安全分级(基本级、增强级及强健级)进行保护的思想相当于我国 66 号文件和 43 号文件所规定的 5个安全保护等级,对于我国当前实施信息安全等级保护具有一定的参考价值。
1.3.8 关于IATF
1998 年美国国家安全局(NSA)出版了《信息保障技术框架》(Information Assurance Technical Framework,IATF)。虽然IATF在编写时特别考虑了美国国防部的安全要求,然而美国国内围绕它的讨论正促使其日渐成为有益于美国国防部、联邦政府的其他部门、工业界和商界组织与机构的重要参考指南。
IATF关于分区域及分类保护的思想对于我国当前实施的信息安全等级保护制度及按等级保护的要求建设安全信息系统具有一定的参考价值。
IATF用来说明如何实现信息系统安全的目标要求,其目标如下。
(1)增强信息系统用户对信息保障的意识。
(2)表明与国家政策相一致的信息保障所需要的技术解决方案。
(3)使用纵深防御(Defense in Depth)战略的多层防护技术来定义信息保障方法。
(4)定义不同条件和任务所需的安全功能与安全保护级别。
(5)展示信息系统用户的信息保障需求。
(6)提供实现信息保障的技术指南和解决方案等。
IATF定义了建设信息保障能力的系统工程过程,分析了威胁来源,汇集了可用技术,以及该系统中硬件和软件部分的安全要求。遵循这些原则,可以对信息基础设施进行名为“纵深防御策略”的多层防护。
所谓纵深防御战略就是采用一个层次化且多样性的安全措施来保障用户信息及信息系统的安全,其核心目标就是在攻击者成功地破坏了某个保护机制的情况下其他保护机制依然能够提供附加的保护。在纵深防御战略中人、技术和操作是3个主要核心因素,要保障信息及信息系统的安全,三者不可或缺。
IATF强调从技术方面提供一个框架进行多层保护,以此防范对计算机系统的威胁。图1-1所示为其提供的信息保障技术框架结构,纵深防御策略使得能够攻破一层或一类保护的攻击行为无法破坏整个信息基础设施。IATF在纵深防御战略的基本原理中采用了多个信息保障技术解决方案,在攻击者成功破坏了某个机制的情况下,其他保护机制能够提供附加的保护。IATF对网络与基础设施、飞地边界、计算环境和支撑性基础设施纵深防御战略的 4 个重点技术领域分别进行介绍,并讨论了不同技术领域所关注的问题,以及特殊环境或技术需要的信息保障。
图1-1 信息保障技术框架结构
IATF关于分区域保护的思想明显具有等级的概念。保密飞地、专用飞地及公共飞地的局域计算环境分别有不同的安全保护需求并分别通过保密网、专用网和公共网与具有相应保护要求的其他局域计算环境实现互联。
需要特别指出的是,在强健性战略一节中以表的形式给出了根据信息价值和威胁级别确定强健性程度的说明,如表1-1所示。
表1-1 强健性程度的说明
其中5个信息价值级别如下。
(1)V1:对信息保护策略的违犯造成的负面影响和结果可以忽略。
(2)V2:对信息保护策略的违犯会对安全、保险、金融状况及组织的基础设施造成不良影响。
(3)V3:对信息保护策略的违犯会产生一定的破坏。
(4)V4:对信息保护策略的违犯会严重破坏安全、保险、金融状况及组织的基础设施。
(5)V5:对信息保护策略的违犯会造成异常严重的破坏。
7个威胁级别如下。
(1)T1:无意或意外的事件。
(2)T2:被动、无意识且占有很少资源并愿意冒少许风险的对手。
(3)T3:占有少许资源并愿意冒大风险的对手。
(4)T4:占有中等程度资源的熟练对手并愿意冒少许的风险。
(5)T5:占有中等程度资源的熟练对手并愿意冒较大的风险。
(6)T6:占有丰富程度资源的特别熟练对手并愿意冒少许的风险。
(7)T7:占有丰富程度资源的特别熟练对手并愿意冒较大的风险。
其中安全管理级别(SML)分别定义如下。
(1)SML1:基本强度,可以抵抗不复杂的威胁,能保护低价值数据。
(2)SML2:中等强度,可以抵抗复杂的威胁,能保护中等价值数据。
(3)SML3:高强度,可抵抗来自国家实验室或集团的威胁,能保护高价值数据。
安全保证级别(EAL)分别定义如下。
(1)EAL1:功能测试。
(2)EAL2:结构测试。
(3)EAL3:系统地测试和检查。
(4)EAL4:系统地设计、测试和复查。
(5)EAL5:半形式化设计和测试。
(6)EAL6:半形式化验证的设计和测试。
(7)EAL7:形式化验证的设计和测试。