信息安全等级划分.pdfVIP

信息安全等级划分

1.安全系统体系结构

ISO7498-2从体系结构的观点描述了5种可选的安全服务、8项

特定的安全机制以及5种普遍性的安全机制，它们可以在OSI/RM模

型的适当层次上实施。

安全服务是指计算机网络提供的安全防护措施，包括认证服务、

访问控制、数据机密性服务、数据完整性服务、不可否认服务。

安全机制是用来实施安全服务的机制。安全机制既可以是具体的、

特定的，也可以是通用的。安全机制包括加密机制、数字签名机制、

访问控制机制、数据完整性机制、认证交换机制、流量填充机制、路

由控制机制、公证机制。

普遍性安全机制不是为任何特定的服务而特设的，因此在任一特

定的层上，对它们都不作明确的说明。某些普遍性安全机制可认为属

于安全管理方面。普遍性安全机制可分为以可信功能度、安全标记、

事件检测、安全审计跟踪、安全恢复。

2.安全保护等级

国家标准《计算机信息系统安全保护等级划分准则》（GB17859-

1999）规定了计算机系统安全保护能力的五个等级，即用户自主保护

级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保

护级。计算机信息系统安全保护能力随着安全保护等级的增高，逐渐

增强。

（1）用户自主保护级。本级的计算机信息系统可信计算机通过隔

离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的

控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用

户和用户组信息，避免其他用户对数据的非法读写与破坏。第一级适

用于普通内联网用户。

（2）系统审计保护级。与用户自主保

护级相比，本级的计算机信息系统可信计算机实施了粒度更细的

自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，

使用户对自己的行为负责。第二级适用于通过内联网或国际网进行商

务活动，需要保密的非重要单位。

（3）安全标记保护级。本级的计算机信息系统可信计算机具有系

统审计保护级的所有功能。此外，还提供有关安全策略模型、数据标

记，以及主体对客体强制访问控制的非形式化描述；具有准确地标记

输出信息的能力；消除通过测试发现的任何错误。第三级适用于地方

各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运

输、大型工商与信息技术企业、重点工程建设等单位。

（4）结构化保护级。本级的计算机信息系统可信计算机建立于一

个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自

主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。

本级的计算机信息系统可信计算机必须结构化为关键保护元素和非关

键保护元素。计算机信息系统可信计算机的接口也必须明确定义，使

其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制，

支持系统管理员和操作员的职能，提供可信设施管理，增强了配置管

理控制。系统具有相当的抗渗透能力。第四级适用于中央级国家机关、

广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企

业集团、国家重点科研机构和国防建设等部门。

（5）访问验证保护级。本级的计算机信息系统可信计算机满足访

问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器

本身是抗篡改的，而且必须足够小，能够分析和测试。为了满足访问

监控器需求，计算机信息系统可信计算机在其构造时，排除了那些对

实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角

度将其复杂性降低到最小程度。支持安全管理员职能；扩充审计机制，

当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有

很高的抗渗透能力。第五级适用于国防关键部门和依法需要对计算机

信息系统实施特殊隔离的单位。

3.可信计算机系统

TCSEC（TrustedComputerSystemEvaluationCriteria，可信

计算机系统准则）标准是计算机系统安全评估的第一个正式标准，它

将计算机系统的安全划分为4个等级、7个级别。

（1）D类安全等级：D类安全等级只包括D1一个级别。D1的

安全等级最低。D1系统只为文件和用户提供安全保护。D1