TCSEC 将计算机系统的安全划分为哪几个等级
TCSEC将计算机系统的安全划分为4个等级、7个级别。分别为:
D级
D级是最低的安全级别,拥有这个级别的操作系统就像一个门户大开的房子,任何人都可以自由进出,是完全不可信的。对于硬件来说,没有任何保护措施,操作系统容易受到损坏,没有系统访问限制和数据访问限制,任何人不需任何账户就可以进入系统,不受任何限制就可以访问他人的数据文件。
属于这个级别的操作系统有DOS、Windows 98和Apple的Macintosh System 7.l。
C级
C类有两个安全子级别:C1和C2。
C1级
C1级,又称选择性安全保护(Discretionary Security Protection)系统,它描述了一种典型的用在 UNIX 操作系统上的安全级别。这种级别的系统对硬件有某种程度的保护,如用户拥有注册账号和口令,系统通过账号和口令来识别用户是否合法,并决定用户对程序和信息拥有什么样的访问权,但硬件受到损害的可能性仍然存在。
用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户(root)可以改变文件中的访问属性,从而对不同的用户给予不同的访问权。例如,让文件拥有者具有读、写和执行的权力,给同组用户读和执行的权力,而给其他用户予以读的权力。
另外,许多日常的管理工作由超级用户来完成,如创建新的组和新的用户。超级用户拥有很大的权力,所以它的口令一定要保存好,不要几个人共享。
C1级保护的不足之处在于用户能直接访问操作系统的超级用户。C1级不能控制进入系统的用户的访问级别,所以用户可以将系统中的数据任意移走,他们可以控制系统配置,获取比系统管理员允许的更高权限,如改变和控制用户名。
C2级
除了C1级包含的特性外,C2级别为有控制的存取保护。在访问控制环境中,C2级具有进一步限制用户执行某些命令或访问某些文件的权限,而且还加入了身份认证级别。另外,系统对发生的事件加以审计,并写入日志当中,如什么时候开机,用户在什么时间从哪个地址登录等,通过查看日志,就可以发现入侵的痕迹,如多次登录失败,也可以大致推测出可能有人想强行闯入系统。审计除了可以记录下系统管理员执行的活动以外,还加入了身份认证级别,这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理时间和磁盘空间。
使用附加身份认证就可以让一个 C2 级系统用户在不是超级用户的情况下有权执行系统管理任务。身份认证可以用来确定用户是否能够执行特定的命令或访问某些核心表,例如,当用户无权浏览进程表时,若执行了PS命令就只能看到自己的进程。
授权分级使系统管理员能够对用户进行分组,授予他们访问某些程序或分级目录的权限。
另一方面,用户权限能够以个人为单位授权对某一程序所在目录进行访问。如果其他程序和数据也在同一目录下,那么用户也将自动获得访问这些信息的权限。
能够达到C2级的常见操作系统有:UNIX操作系统、Novell 3.x或更高版本的操作系统、Linux操作系统、Windows NT、Windows 2000 Server操作系统。
B级
B类属强制保护,要求系统在其生成的数据结构中带有标记,并要求提供对数据流的监视。B类中有3个级别:
B1级
B1级即标识安全保护(Labeled Security Protection),是支持多级安全(如秘密和绝密)的第一个级别,这个级别说明处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权限。
安全级别存在保密、绝密级别,在计算机中有“搞特务活动”的成员,如国防部和国家安全局计算机系统。在这一级,对象(如磁盘区和文件服务器目录)必须在访问控制之下,不允许拥有者更改他们的权限。
B1 级的计算机系统安全措施视操作系统而定。政府机构和防御承包商们是 B1 级计算机系统的主要拥有者。典型的代表是AT&T System V 操作系统,它是Solaris系统的前身。
B2级
B2级,又被称为结构保护(Structured Protection),它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或多个安全级别。B2 级除满足 B1 要求外,还要实行强制控制并进行严格的保护,这个级别支持硬件保护。它是提供较高安全级别对象与较低安全级别对象通信的第一个级别。例如,可信任的Xenix系统。
B3级
B3级又称安全域级别(Security Domain),使用安装硬件的方式来加强域的安全,例如,内存管理硬件用于保护安全域免遭无授权访问或其他安全域对象的修改。B3级是B类中的最高子类,提供可信设备的管理和恢复,即使计算机崩溃,也不会泄露系统信息。例如,Honeywell Federal Systems XTS-200操作系统。
A级
A 级又称验证设计(Verity Design),是当前橙皮书的最高级别,它包括了一个严格的设计、控制和验证过程。与前面所提到的各级别一样,该级别包含了较低级别的所有特性。设计必须是经过数学验证的,而且必须进行秘密通道和可信任分布的分析。可信任分布(Trusted Distribution)的含义是,硬件和软件在物理传输过程中已经受到保护,防止安全系统被破坏。