等级保护概述
——著名等级保护专家陆宝华谈我国信息安全等级保护概况
一、什么是等级保护
等级保护在我们国家从2004年正式推动到现在已经4年过去了,那么,什么是等级保护?等级保护是三大项内容:
一. 对信息和信息系统分等级进行保护。这也是一项核心工作,最重要的工作。
二. 对信息系统安全专用产品分等级进行管理,将来各个单位使用的安全产品应该是分等级的。定了三级的系统不能使用二级以下的安全产品。43号文对这方面已经做了一些初步的规定,但是详细的规定现在还没有出台。
三. 对所发生的信息安全事件分等级进行响应和处置。
1、信息和信息系统分等级实行安全保护
我们国家把信息和信息系统按照重要程度,也就是对单位的利益,社会公众利益,对国家安全的影响,三方面要素的重要程度来确定信息系统的安全等级。这个 等级一共分为五级。第一级是最低的,第五级是最高的。信息安全等级保护制度是我们学习国外的先进方法,1983年美国国防部计算机安全保密中心发表了《可信计算机系统评估准则》(TCSEC,Trusted Computer System Evaluation Criteria),简称橙皮书,把操作系统划分为四类八个等级。应该说,那是等级保护的先行者。当然这四类八个等级是根据技术程度所采用的安全机制多和少,强和弱来确定的。橙皮书名字是《可信计算机系统评估准则》。我们国家在1994年出台了国务院的147号令,《中华人民共和国计算机信息系统安全保护条例》里面已经明确的规定,在我 国要实行信息系统的等级保护制度。这就是等级保护的由来。 这项工作是1994年提出,到2004年国务院的四大部局,公安部、国家保密局、国家密码局、前国务院信息化办公室,联合下了66号文《关于信息安全等级保护工作的实施意见 》,正式提出信息安全 等级保护要在我国开始实施。当时,把信息安全等级划分了五个等级:
第一级:用户自主保护级
第二级:指导保护级
第三级:监督保护级
第四级:强制保护级
第五级:专控保护级
去年的43号文《信息安全等级保护管理办法》,相当于一个法规的出台,等级保护管理办法把这些名字都去掉了,只是叫一级、二级、三级、四级、五级,这五个级别。
2、国家对信息安全产品的使用实行分等级管理
按照信息安全产品的使用要根据可控性、可靠性、安全性和可监督性这四个属性确定信息系统使用的安全产品等级。这四个属性在正式的文件里没有体现,43 号文里没有提到这四个属性。但是43号文里指了信息系统安全专用产品应该是国内生产的,源代码这些东西应该是国内生产的。43号文里只是就安全性这个角 度,给出了你使用安全产品必须是国产这样一个要求,但是还没有明确这个信息安全产品等级究竟应该怎么划分。
很多的安全厂商都说用户问到,我买了你的安全产品是不是达到了这个等级?你的安全产品是不是符合这样的等级?我给他们的回答是否定的。要看是否符合等 级要看产品是否符合国家标准,如果符合了标准,那就符合安全等级。如果没有符合标准那就不符合安全等级。第三级从技术的角度应该对应着标记保护级,标记保 护级里面应该要求实行最小授权,不应该再有超级管理员的身份。超级管理员必须分别为系统管理员、系统安全员和审计员。权限低的人活动都可以查询。但是管理 员本人做的坏事,要把这个痕迹都擦掉,这个问题怎么解决?对于三级以上的信息系统,我们就要求这些东西是不能擦掉的,至少审计员必须是独立出来的。目前我 们的安全产品虽然也设了审计员,但是超级用户还是存在的。这个问题就没有达到标记保护级的要求。这是一个漫长的过程,昨天郭处长也在讲,从现在推动,通过 检查、测评、整改,真正能达到初步规范,他的预计是三年时间,我考虑对各大部委来说三年的时间可能会实现,就全国来说,三年肯定是不够的。而且我们的安全 产品提升到新的水平也要过程。
3、信息安全事件实行分等级响应处置
国家已经把信息安全事件以国标的形式进行了分类和分等级。这些分类和分等级依据国标,我们对不同的信息安全事件,由监管部门牵头组织全社会的应急响应和你单位的应急响应相结合,最大限度的减轻信息安全事件造成的损失。
等级保护的法律依据及技术标准:人民警察法,计算机信息系统安全保护条例、信息安全等级保护管理办法、 等级保护的各类文件:中办、国办的27号文、04年66号文,06年7号文,07年43号文(网络信息安全法规及标准大全)。
等级保护技术标准:从技术的角度就必须依据国家相应的安全标准。实际上不仅仅是在技术方面,在管理方面,工程方面都应该按照国家的标准做。我们国家出台的 第一个关于等级保护的标准是1999年出台的国标17859,这个标准叫做《计算机信息系统安全等级划分准则》。这里面把信息系统按照安全机制的多与少, 强与弱也划分了五个等级。
第一级:用户自主保护级
第二级:系统审计保护级
第三级:安全标记保护级
第四级:结构化保护级
第五级:访问验证保护级
这五个等级和前面说的1、2、3、4、5有相通的地方,又有不同的地方。前面的五个等级怎么确定,并不是根据采取的安全机制的多少和强弱来确定等级,而是根据你的信息资产的重要程度来确定安全等级。
安全等级的确定基本依据是数据的重要程度和系统的服务功能的重要程度,由这两个重要程度决定了你的信息资产应该具备的等级。国家已经出台了一个关于定 级的指南,信息系统安全保护定级指南,大家可以看一下。而且定级的工作,去年下半年开始,第一期的定级工作已经在全国结束了,当然以后还会有一些单位接着 定级,来做这些工作。但是第一期最重要的部分单位定级已经问题,并且到公安部门已经备案。
17859等级划分准则由于是99年出台的,很多问题没有考虑到,这个标准实际等于是橙皮书的一个翻版。所以对一些问题考虑得还是不完善的。橘皮书主 要是从信息的机密性角度给出了四类八个等级:D类(没有任何保护的)、C类(分为C1和C2级)、B类(分为B1、B2、B3)、A类和超A类。
超A类没有描述,A类有描述但是实现起来还有很多问题,尤其是在我们国家。我们国家制订这些标准的人,就把橘皮书去了头和尾,把D类、A类和超A类去 掉,只留下B类和C类,就出现了前面说的这五个等级。第一级和第二级是C1级和C2级,第三级、第四级、第五级对应的是B类的B1、B2、B3。我们比橘 皮书有一点很重要的进步就是提到了完整性保护的问题。虽然提了,但是没有细致的讲这个完整性应该保护到什么程度,怎么保护。
由于17859的这些不足,2002年公安部又组织了很多专家起草了公共行业安全标准,387—392。这个标准就是对17859做了一个很好的说明 和补充。这条标准到06年,提升为国家标准,GB/T20269—20273标准。
第十二条在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》等技术标准,参照之前 的一些标准做一些等级保护措施。第十三条,提出应该按照这些标准建设安全管理制度。
这是已经出台的国家等级保护体系,有一些产品的标准,事件处理得标准,服务的标准。这些标准有的已经作为国标正式发布,相当一部分属于报批稿,没有完全正式发布。
等级保护的开展:对于一个单位来说就是这五大步骤,系统的定级、备案,这一个阶段就全国来说最重要的部分已经完成。接下来的工作是要做安全规划和设 计,根据安全规划设计的结果做安全实施,然后是一个长期的运行维护过程,最后是系统的废止。
等级保护当中应用软件安全的环节是非常重要的环节,微软现在也经常讲安全问题已经不仅仅是操作系统的问题。昨天冷女士的报告当中数据都是非常有意义 的。我从2003年开始就非常关注关于应用软件的安全。今天这个峰会这个议题也是我提出来的,而且我建议峰会把这个议题作为一个长期的议题坚持下去。
在等级保护过程当中,应用软件的安全实际上应当是我们信息系统安全的一个核心部分。我们在网络上做的安全防护,在操作系统上做的安全防护,在物理层面做的 安全防护,实际上它们的目的都是为了维护应用的安全。所以应用软件的安全是一个核心的地位。
二、应用软件安全的重要性与地位
1、应用系统的重要性
我们把应用系统应该看作是信息系统当中安全的核心部分。为什么这么讲?我是从风险评估的思想看待我们的应用系统。
第一,应用系统自身是非常重要的。
第二,应用系统本身存在着脆弱性。
第三,应用系统存在的威胁,存在的攻击是不容易防范的。
应用系统的重要性是不言而喻的,各个单位建设信息系统实际上就是为了应用,为了完成各自单位的信息使命,不是买了计算机以后再那儿放着好玩,而是为了 应用。我们建系统目的是应用,应用由谁来完成?我们搭建了网络,安装了操作系统,我们的应用照样完不成,必须由应用软件来完成。
一个业务战略也就必然的涉及到了相关的业务流程,相关的数据,相关的通信问题,这三个方面决定了应用系统是非常重要的。
数据有直接生成各类数据还有录入的各类数据。这些数据可能存储在某个地方,也可能是在系统中流动。这些数据可能进行加工处理,处理的过程当中也是需要保护的。
直接完成所承载的业务。等级保护确定安全等级依据什么?实际上就依据了这样两项,一个是数据,第二个是所承载的业务,系统所提供的服务功能。我们现在 确定安全等级就由它们来确定。你说这两个东西重要不重要?一旦它们确定了安全等级,信息系统的整体安全等级就确定了,所以它们是非常重要的东西。
我们的应用层,应用系统又是通信的发起层和最终的接受层。在网络上总是要进行终端与终端的交互,终端与服务器之间的交互,这就是一个通信的问题。不管通信 过程有多么复杂,但是最终是要端到端,用户到用户。也就是说由最终的应用层发起和接受这些东西。被传输的数据就要保护机密性,完整性,这是对于用户系统来 说。
我们的信息系统当中有两类数据,前面我说的都是指用户数据,为了保护这些用户数据必然会存在另外一部分数据,那就是安全数据。在CC标准里面把它叫做 TFF数据。对于传输的用户数据我们要求要保护它的机密性,完整性。对于相关的安全数据就要保护它的机密性、完整性、可用性。今天不讨论CC,也不讨论数 据传输通信过程中很具体的技术问题,所以就不继续往下谈了。要实现这种保护就相应的应该对通信数据的操作者有相应的一些安全要求。
2、应用系统可能存在的脆弱性
实际上“可能”两个字我觉得应该去掉,应用系统肯定存在着脆弱性,这是不言而喻的。我把脆弱性归结为三个方面:
第一个方面是开发过程的安全问题。
第二个方面是软件本身存在的脆弱性。
第三个方面是软件可能导致管理方面的漏洞。
昨天很多专家做了报告,很多人发表论文都在谈脆弱性。实际上大多数人谈的是软件本身的脆弱性,关于开发过程的问题以及软件带来的管理问题是很少有人关 注的。这方面的问题并不是不严重,我谈的东西,很多东西是我的经验,我的经历,不是我在这里看到哪些书,看到哪些专家的报告说出来的,而是我亲身经历过的 事情。从2003年我就开始呼吁要加强对安全软件方面的关注,也正是因为这个原因,正是因为有了这些经历,我才提出这样的想法。
软件开发过程的安全问题:在开发过程当中开发商必然要获取甲方的一些很重要的数据。这些数据对其他人如果不进行保密的话,这种泄漏对甲方的伤害是非常大的。
开发好的源代码泄漏了,在开发的过程当中恶意的软件人员在软件中插入恶意代码或者留下后门。故意使存在各种各样的错误,这都是在开发过程中存在的问题。
开发过程过程中还存在一些技术安全问题,包括开发平台的选择,中间件的选择、开发语言的选择、是否采用了模块化的开发方法、安全机制的设置是否合理, 分发过程中的安全问题、升级维护过程中的安全问题。昨天冷女士介绍的关于应用软件安全模型的问题,我是非常感兴趣的,我准备和她做更深入的交流。实际上, 这些东西都会带来相应的安全问题。
在应用软件本身的脆弱性方面,存在的陷门这些东西大家都是清楚的。漏洞、各种各样的错误,可能会存在隐蔽通道。关于隐蔽通道的问题大家可能接触得比较 少,像漏洞、陷门这些东西大家可能接触得比较多。隐蔽通道在等级保护中对四级以上的信息系统对隐蔽通道问题是有要求的。在17859里面规定对结构化保护 级要能标识出隐蔽通道,对于访问验证保护级(第五级),要求不但能够标识隐蔽通道,而且要对隐蔽通道进行某种计算,包括它的带宽的问题。隐蔽通道我们在计 算机的使用过程当中,隐蔽通道的问题是不可避免会存在的。所谓隐蔽通道就是我们预先不知道的,或者预先不想用的通道。
如果我的一台打印机打印的时候,在设定时间内打印的时候记为二进制的1,不打印的时候记为二进制的0。我就可以和另外一个人相互勾结,由掌握重要信息 的人把01,01通过打印和不打印的操作,就把01,01的信息传给了不应该知道这件事的人。这个隐蔽通道的带宽肯定是窄的。但是在计算机理,我们的 CPU,或者某一个部件的带宽是足可以泄漏一些重要信息。所以隐蔽通道的问题,在高的安全等级里面就有很严格的要求。我们在开发软件的时候对这个东西就要 很关注。
由开发工具带来的安全隐患:所有的开发工具都有本身所有的脆弱性,比如说原来的PB,会有大段大段的现成程序拿过去。那里面可能就存在很多现成的漏洞。
软件缺少必要的安全机制:这个问题是一个普遍存在的问题,现在好多开发软件的厂商,昨天冷女士也在讲搞软件的人不懂安全,这也是一个普遍存在的问题。 很多人可能想软件就是给你提供实现你的业务战略的功能,没有必要考虑安全机制。实际这种想法是不对的,这是一个错误。安全机制,网络和操作系统确确实实给 我们提供了很多的安全机制,但是这些安全机制是不完善的,而且是很粗略的。拿操作系统来说,操作系统会把内存用一个指针划分为系统区和用户区。用户肯定不 能进入到系统区里面去,但是在我们用户区,在使用这个系统的用户当中会有不同等级,不同属性的用户来共同使用这个内存。这个区域要不要进行区分?如果一个 低等级的用户侵入高等级用户使用的区域,获得了高用户的一些信息,信息有可能泄漏或者被破坏。所以单纯由操作系统解决所有的机制问题是不可取的。等级保护 基本要求里面已经把应用软件的安全要求提出来了。
应用软件的安全设置也是一个TCB的组成部分,TCB(可信计算基)。
脚本语言和程序带来漏洞、在软件中设置逻辑炸弹、溢出、通讯的垄断问题,都是应用系统本身存在的脆弱性。
应用软件本身很可能是完善的,本身不存在上面说的那些问题,但是它有可能带来管理上的漏洞。一个好的软件应该使你的管理更方便。如果不好,就会使你的 管理造成严重的问题,甚至会导致犯罪。因为管理上的漏洞,应用软件存在的问题导致管理上的漏洞,在大连已经抓了一个人,判了8年。这个事情在报纸上登出 过。
3、易受到攻击且不容易防范
应用系统容易受到攻击,但是又不好防范。发现不容易,防范不容易,我们在网络层,在操作系统层总是能够想出很多办法。比如说在网络边界上架上防火墙, 可以把很多事情封掉,可以一下提升网络的安全防护能力。操作系统有漏洞可以打补丁,可以用漏洞扫描。由于应用软件的千差万别,没有办法用一个统一的模式来 做,所以发现问题不容易,攻击的目标,很多人真实的攻击目标恰恰是你的应用软件,你就没有办法把这个问题解决好。
比如说80端口,做一个网站,有外部服务的话,80端口就必须开着。你是一个黑客还是一个用户,在登录的时候是发现不了的。登录以后他做了一些什么 事,和正常的访问肯定是不一样的。这个时候没有办法防范。就像是到一个球场去,有的人是恶意闹事,他进场的目的不是为了看球,是为了闹事。把门的人没有办 法认定。这样的问题,我们必须通过应用软件自身想办法解决。
正因为如此,所以应用软件的安全是特别重要的。
三、程序安全
1、应用程序的安全要求
一个程序的安全要求有这样几个方面
功能要求:用户对信息的安全传输和存储的要求要能够保持机密性和完整性,应该支持单用户到多个用户广博的系统,确定和验证信息来源的能力,对已有安全特征的知识,对用户要有最小的影响。
互操作性要求:在用户客户之间,客户与服务器之间,以及在客户、服务器和安全管理系统中都需要互操作性。主要包括使用标准化的用户到用户、对等层之间、客户到服务器的协议以及管理的协议。
2、攻击与对策观察
应用程序可能遭受的攻击包括:
1. 工程
2. 利用数据的执行和发动攻击
3. 伪装成授权用户或服务器
4. 非法使用系统应用程序和操作系统软件,数据修改
5. 拒绝服务
6. 设备修改或窃取
7. 流量分析
8. 密码分析
9. 信息系统分析
10. 分发攻击
11. 合法用户的不适当操作
以上这些都是可能使应用程序遭受的攻击。针对这些风险应该采取相应的对策由系统或者支持服务所提供的对策和与应用程序进行有关联的对策。
系统的每一个链路都是一个潜在的脆弱点,甚至每一个链路上的节点都是潜在的脆弱点。一个伪造的链路可以导致拒绝服务或对数据的损坏,系统提供的对策的 特点就是对数据传送路径上的所有脆弱点进行加固,而应用提供的对策必须由特定的第三方来加固,不应有甲方或者乙方来做。
系统所提供的对策包括:系统完整性、硬件的物理保护、基本OS安全、备份和恢复过程、反病毒软件、入侵检测软件、防火墙、对介质的物理保护、适当的过程安全。
至少在四级以上的系统可以不考虑反病毒的问题,因为实行了强制访问控制以后,在系统里面就不允许随便的创建客体,即使你感染了某些病毒,由于企业的权限和毒的权限受到控制,危害就会降到非常低。
就应用程序的安全机制问题来说,前面我提到了应用程序一定要考虑安全机制,不应该把安全机制全部的扔给操作系统。实际应用系统安全机制是整个信息系统安全 机制的重要组成部分。关于可信计算基的概念实际上是1983年由美国人提出来的。但是最近至少有7、8年的时间里面,我们的安全厂商,安全专家,很少有人 在这里讨论可信计算基的问题。大多数人都是从具体的实用主义目标出发,谈防火墙的问题,谈IDS的问题,谈防病毒的问题,这些东西比比皆是,真正谈论信息 系统安全当中最本质的东西,可信计算基的概念讨论的人非常少。包括出版社出书也不愿意出这个东西,不信大家到书店里面翻翻,很少有人介绍计算基的问题。
我去年出了一本书我把可信计算基的问题认真的做了阐述。实际上我们的安全本质是这个东西。可信计算基的概念是美国国防部在1983年提出来的概念。在我国 的标准当中也引入了这个概念。比如说17859里面就把这个概念引入了。在2006年出台的配套国标当中没有使用可信计算基的概念,但是使用了安全子系统 的概念。
安全子系统和可信计算基之间的关系是一碗豆腐和豆腐一碗的事情,都是一回事,安全子系统是美国国家计算机安全中心提出来的概念。我更倾向于可信计算基的概念,这个概念更能反映安全一些本质上的东西。
什么是可信基?橘皮书乃至我们的国标里给的定义是计算机中给的定义是,计算机中与安全有关的要素总和就是可信计算基。它实际可以包括:
1. 操作系统、数据库中的安全内核
2. 应用软件与安全相关的部分
3. 具有特权的程序和命令
4. 处理敏感信息的程序
5. TCB实施安全策略的文件
6. 其他可信的软件、硬件、固件和设备
7. 负责系统管理的人员
8. 保障正确的程序和诊断软件
以上这些都是可信计算基的组成部分。
橘皮书发展再加上许多国家的加盟,把这个橘皮书演变为可信计算基系统准则(CC)。这个标准非常好,我认真的做了研究,CC里面没有谈可信计算基的问 题,提出了一个评估对象的概念。它把任何一个被评估的对象都称为TOE。这个评估对象既可能是一个应用软件,也可能是一个具体的产品,还可能是整个的信息 系统,不做那样具体的区分。所有的东西都叫TOE。它评估的是评估对象当中安全的部分,实际上指的就是可信计算基。CC里面,我觉得它一个非常好的做法是 把安全里面构成可信计算基的要素和构成可信计算基的方法清晰过程分开了。把构成可信计算基的要素,把它称之为安全功能技术。而把构成可信计算基的方法或者 工程,把它们叫做“安全保障技术”。这是CC很大的一个贡献。
我们国家现在采用的标准当中也已经把这个东西分开了,安全功能技术和安全保障技术。但是我们国家的专家把安全保障技术的理解和CC不一样,我们是把真 正的能直接提供安全功能的那部分叫做安全功能,把对这些直接起作用的部分,这些安全功能提供相应的保障,像TCB的管理问题,和TCB自身安全的问题,也 认为是保障技术。在20269一直到20273标准里面都有明确的体现。CC的缺陷是没有关注系统连续性运行的问题,实际上它还是从保护数据的角度出发。
我个人的观点,TCB的核心是控制与反控制的问题。信息系统的安全保护目标:用户数据与服务功能。这也是信息安全等级保护当中用它们来进行等级确定的两个基本依据。在信息系统当中,存在的基本控制是:
对存储状态下的数据进行访问控制,现在Windows提供的访问控制的方法基本上还属于C类的控制方法,自主访问控制。对于访问控制,C类的自主访问控制 实际是由系统管理员和文件或者说客体的持有者决定的。我是持有者,我同意把这个客体转移给谁,那是由持有者决定的。对于强制访问控制这种问题就不存在了, 强制访问控制是要把主体和客体都要打上标记,这个标记表明安全属性及等级,同时指出主体和客体的范畴级。根据这样的范畴级和标记来确定安全访问策略。对于 保护机密性和完整性应该采取不同的访问控制策略。我们很多做安全的人,不清楚对数据的保护机密性保护和完整性保护它们之间是存在严重冲突的,而且这个冲突 是不可调和的。很少有人明确的指出这样的问题,这在我们做软件的过程当中,或者做安全的过程当中不关注这件事,很可能我们做的事会带来很大的危害。
比如说我这个地方需要做完整性保护,但是我特别强调了残余信息保护这项。我对残余信息一定要清楚干净的话,完整性保护就没法做了,恰恰和保护目标进行 冲突。在访问控制过程当中也是,做信息系统当中,操作无非是五大项,读、写、只读、控制、执行。就读写来说,从访问控制规则上可以看,作为机密性上来说, 过去经常发文件,说这个文件只传达到县团级,你是一个科级,或者是副处级的不应该读到这个文件,向上是不能读的。作为文件的持有者可能是一个司局级干部, 他回家以后把这件事跟老婆孩子一说,老婆孩子不具备这个级别,他就这把事情向下写了,把这个机密性泄漏给了比他级别低的人。这样一个规则在保护机密性当中 就是把机密性破坏了。从保护机密性的角度,向上不能读,向下不能写。从保护完整性角度来说这个东西恰恰应该是返过来的,向上写意味着你可以破坏比你等级更 高的文件。向下读就意味着低安全级别的文件把你的高安全级别的文件污染了,你的完整性被破坏了。所以保护机密的安全性和保护机密的完整性,两者之间是不可 调和的我们在做软件的过程当中,特别是做三级以上信息系统软件就应该考虑这个问题。
对于数据流和信息流的控制,信息流的产生是因为主体操作了客体,引起在机器内部或者网络上做的流动。我们对数据流的控制是只能向上流不能向下流。对于 数据库系统,应该附加的一个控制就是推理控制。所谓推理控制就是根据已知条件求未知因素的做法。很多人都会推理,我们打扑克牌的时候,上家出的什么牌,下 家出的什么牌就能判断出这个牌在谁的手里,他的牌其实你没有看到,这就是已知和未知的问题,我们的数据库里还应该增加这样一项控制。
应用程序就应该根据这样的思想来构建应用程序的安全机制。首先应该考虑应用程序的环境,这个环境是指网络、操作系统、数据库、服务器。还应该包括控制之外的环境,工作站的硬件运行环境等等。
应用程序的安全机制,从安全功能上来讲这些是应该有的:
1. 访问控制:对于二级以下的应用软件应该考虑自主访问控制。对于三级以上的信息系统使用的应用软件应该考虑强制访问控制机制。
2. 标识与鉴别:因为你的信息访问的基础是身份认证,也就是标识和鉴别的问题。
3. 数据完整性
4. 数据保密性
5. 可用性
6. 不可否认性
7. 审计
8. 加密
9. 安全保障机制
关于安全保障的问题,在此不做详细讨论,CC里面给了7个等级,大家可以参考一下CC的第三部分。
下面简单说一下等级保护当中对应用软件的安全要求:
大家要知道这样几个字母的意思,S是表明这项技术对保护数据是有用的,可以把它称为保护数据的安全技术。A是对保护系统服务功能有用的。G是对保护数 据以及保护服务功能都用的技术,通用技术。1、2、3、4、5对应的就是安全等级。对于第一级的系统,由于17859把第一级称为自主保护级,所以等级保 护的基本要求也是和它相符合地,要求有身份鉴别功能,访问控制功能,通信完整性的功能,软件容错的功能。
数据保护:数据完整性、备份和恢复的要求。
管理要求:自行软件开发安全管理要求。
工程实施安全要求,系统交付安全要求,等级保护里面都提到了。
对于第二级,这些黄字的部分是新增加的部分,白色的是第一级已经要求过的内容。身份鉴别里面要求增加了,身份的唯一性和鉴别的复杂度。同时要求了系统 不存在重复的用户身份标识。同时要求身份鉴别的信息不容易被假冒,要求用户身份标识的唯一性检查,信息复杂度检查,登录失败的信息检查。
访问控制:对访问控制的覆盖范围,与资源访问相关的主体要求。
第二级增加了审计要求,17859第二级什么审计保护级。审计这一项都是黄颜色的,是这个级别里面提到的,符合17859的规定。
软件容错的要求、资源控制的要求。
数据安全及备份恢复也增加了很多要求。
自行软件开发,外包软件开发,到了第二级,提到了外包软件开发的要求。第一级只提了自身软件开发的要求,很多信息系统需要外部厂商提供这个方面的知识,所以就会要求外包软件开发要注意相关的问题。
工程实施的要求,测试验收的要求,系统交付的要求。
第三级,在17859里称之为标记保护级,提出的要求,在身份鉴别里面提到了必须是双因素的,单因子是不行的,其中一种是不能被伪造的。
访问控制对重要信息资源做敏感标记,这和17859有一些区别,17859是要对主体和客体都做标记,这里只要求对客体做标记。
这里也提到了应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
安全审计,残余信息保护,残余信息保护在17859是第二级当中提出的。基本要求是一个过渡标准,是一个针对我国目前信息系统存在现状不得以采取的技术标准。所以将来的标准还是要以那些标准为主。
通信完整性问题,软件容错的问题,资源控制的问题,数据备份,数据保密,软件开发的问题,这些就不一一给大家介绍了。基本要求只提了四个等级的信息系 统,第五级在基本要求当中没有提。因为第五级是专控保护级是国家指定专门的部门,进行专门的保护,所以在通用保护级当中不含第五级的要求。
本文主要内容整理自著名等级保护专家陆宝华先生在2008中国软件安全峰会上的演讲。
