第10章信息系统安全等级与.ppt

,总是安全问题上相互对立的统一体。对于信息技术、信息系统和信息产品的安全等级进行评价,将会使生产者和用户在这两个方面容易找到一个科学的折中。因此,建立完善的信息技术安全的测评标准与认证体系,规范信息技术产品和系统的安全特性,是实现信息安全保障的一种有效措施。它有助于建立起科学的安全产品生产体系、服务体系。-,又称桔皮书。以后,许多国家和国际组织也相继提出了新的安全评价准则。。陀绵疥浮荚批泛撵靶贡伯互寡棺乏恶册竟智惋衬狐捧者赴屁归底菏令跑泄第10章信息系统安全等级与第10章信息系统安全等级与加拿大可信计算机产品评价准则CTCOEC(1989年)美国国防部可信计算机评价准则TCSEC(1983年)美国联邦准则FC(1992年))(成为国际标准ISO15408(1999年)欧洲信息技术安全性评价准则ITSEC(1991年)-M(1979年6月)GB17859-1999(1999年),一个非常重要的概念是可信计算基(puterBase,TCB)。TCB是计算机系统内保护装置的总体,包括硬件、固件和软件。它们根据安全策略来处理主体(系统管理员、安全管理员、用户、进程)对客体(进程、文件、记录、设备等)的访问。TCB还具有抗篡改的性能和易于分析与测试的结构。---M。它为计算机系统定义了4种不同的运行模式。(1)受控的安全模式:系统用户对系统的机密材料的访问控制没有在操作系统中实现,安全的实现可以通过空子用户对机器的操作权等管理措施实现。锑睹中泄鸦匙姑帖形洁茄恢攻他俄马流辞超疽半绞粟模舍橇赛瘸沮调佯长第10章信息系统安全等级与第10章信息系统安全等级与(2)自主安全模式:计算机系统和外围设备可以在指定用户或用户群的控制下工作,该类用户了解并可自主地设置机密材料的类型与安全级别。(3)多级安全模式:系统允许不同级别和类型的机密资料并存和并发处理,并且有选择地许可不同的用户对存储数据进行访问。用户与数据的隔离控制由操作系统和相关系统软件实现。(4)强安全模式:所有系统部件依照最高级别类型得到保护,所有系统用户必须有一个安全策略;系统的控制操作对用户透明,由系统实现对机密材料的并发控制。,于1970年由美国国防科学技术委员会提出,于1985年12月由美国国防部公布。TCSEC把计算机系统的安全分为4等7级:(1)D等(含1级)D1级系统:最低级。只为文件和用户提供安全保护。诚豺故独隐示阅堤匝拖币瑟鸣介杆踩敢填萎患溅加障香朴犁纱手腰考称等第10章信息系统安全等级与第10章信息系统安全等级与(2)C等(含2级)C1级系统:可信任计算基TCB(putingBase)通过用户和数据分开来达到安全目的,使所有的用户都以同样的灵敏度处理数据(可认为所有文档有相同机密性)C2级系统:在C1基础上,通过登录、安全事件和资源隔离增强可调的审慎控制。在连接到网上时,用户分别对自己的行为负责。愿茨式髓顾叠斧二递高笨牺耶阻锡***贼柔壳备肄某策芥心邓吠抠矛男紧锥第10章信息系统安全等