下载掌阅APP,畅读海量书库
立即打开
最早的安全的含义,基本就是信息的保密,而且也是自古有之,Shannon在 1949 年发布的《保密系统的通信理论》为密码学的发展奠定了理论基础,提出了保密系统的数学模型等重要概念,特别提出了评价保密系统的 5 条标准:
●保密度;
●密钥量;
●加密过程的复杂性;
●误差传输;
●消息扩展。
指导了后续密码学的发展,比如 1976 年的美国数据加密标准DES,1978 年的实用公钥密码体制RSA,这两个数据的加密算法,至今流传广泛。
1970 年美国国防部DoD在国家安全局NSA建立一个计算机安全评估中心NCSC,1983 年NCSC推出了首个DoD可信计算机系统安全评估标准CSC-STD-001-83,也叫TCSEC,因为使用橘色的书皮,所以也叫橘皮书,是世界上第一个计算机信息安全评估的正式标准。其分为 4 类 7个级别,对用户登录、授权管理、访问控制、审计跟踪、隐秘通道、可信通道、安全检测、生命周期保障等做出了规范。
20 世纪 90 年代初,英法德荷在TCSEC的基础上,提出增加了包括保密性、完整性、可用性等概念的《信息技术安全评价准则ITSEC》,具有E0 到E6 七个等级。
●机密性:保证没有经过授权的用户、实体或进程无法窃取信息。
●完整性:保证没有经过授权的用户不能改变或者删除信息,从而信息在传送的过程中不会被偶然或故意破坏,保持信息的完整、统一。
●可用性:指合法用户的正常请求能及时、正确、安全地得到服务或回应。
还有更多的标准基于TCSEC而制定,可以参考第 6 章安全认证部分。
可以说TCSEC是一切计算机系统、嵌入式系统的安全评估之源,其中的一些概念和方法放到现在也不会过时,因为根本方法大多是共通的,区别在于如何在系统、平台、组织等中灵活利用这些方法,比如在物端利用TCSEC的方法叫物端系统安全,在平台利用其方法叫云端服务安全,在组织利用其方法叫组织信息安全。
在物端,这些概念和方法不止可以指导计算机操作系统的安全,还可以指导智能操作系统的安全,摄像头系统安全、车联网系统安全、其他嵌入式系统的安全等。
所以有必要对橘皮书进行解读,而且解读之后,还讲了好几节和它相关的课程。(第 9 章的安全授课)
国内对TCSEC进行了修改,删除,优化等动作,在 1999 年制定发布了国家强制标准《GB 17859 计算机信息系统安全保护等级划分准则》,虽说的目标是计算机,但适用一切的具有软件系统的物端。
《GB 17859》应该是唯一一部强制性的系统安全标准,《GB 17859》是大多数信息安全标准,特别是物端系统安全的标准依据。
把整个对系统信息安全评估的脉络梳理出来,大概如下:
图 104
其中实线说明是比较强的继承关系,而虚线说明集成关系不强烈,标准做了很大的改动以适应发展的要求。
比如TCSEC到CC的改变,在TCSEC里特指计算机(包括现在的嵌入式系统,各种能够运行软件的电子产品),但在CC中,已经泛化为TOE评估对象、客体等很形式化的名词,整个CC(GB/T 18336)标准读起来,会比橘皮书或《GB 17859》晦涩很多。
需要记住以下四个和物联网安全相关的最常用的标准。
●物端安全建设:GB 17859:计算机信息系统安全保护等级划分准则,是基础标准,最早提出系统安全的各种概念;解读它可用来指导物端技术标准的制定、物端安全的建设。(本节解读内容)
●物端安全评估:GB/T 18336:信息技术安全评估准则,用来实际评估产品或部件的信息安全标准,比如门锁、摄像头等产品,简称CC。(第 6 章实践内容)
●企业信息安全:ISO27001: 信息安全管理要求,用来评估组织信息安全的标准,评估对象是一个独立的公司、单位、独立的组织等。(第 7 章中的信息安全)
●云端安全评估:GB/T 22239:网络安全等级保护基本要求,综合评估的一个网络系统的安全,比如一个网站、一个机房等,简称等保。(第 3 章实践内容)
虽说解读《GB 17859 计算机信息系统安全保护等级划分准则》可用来指导物端技术标准的制定,但其保护等级划分标准太过古老,其实是不太适用现代的智能操作系统;
那是因为很多概念都已经有成熟的技术实现,比如安卓系统天生具有安全标志保护级所描述的强制保护的SELinux。
图 105
所以现代在制定产品信息安全(网络安全)等级标准的时候,往往只制定两到三级,和CC、GB17859 所描述的等级不会一一对应上。
现在在制定产品安全标准上,往往依据的是投入的人力物力,技术实现的难易程度这种原则来制定,这也和业务以及市场的要求契合。
而《GB 17859 计算机信息系统安全保护等级划分准则》里面各个级别的名称都会被采用,因为很多原理和方法都能够通用。
下面是对于《GB 17859 计算机信息系统安全保护等级划分准则》里面的各个等级及其方法进行个人的解读:
橘皮书的第一级是D级,是没有保护的(但可以评测是否 1 级),所以国标 17859 从对应的C1 级开始定起,叫作用户自主保护级。
图 106
这一级有三个安全特征。
●身份鉴别:命名用户标识自己的身份,系统必须鉴别身份,获得特定的权限。相当于标志公司里不同员工为不同部门身份。
●自主访问控制:允许命名用户以特定的权限或身份去访问对应的资源或数据。例如A部门的员工只能访问A部门的资源或数据。
●数据完整性:数据必须在整个访问过程必须完好。
这个级别相当于装了部门门禁的公司,不同部门的员工只能接触到自己部门的资源。
这个级别可用来指导物端简单操作系统(廋系统)的安全建设,比如RTOS系统,比如空冰洗的系统;
注:自主访问控制(DAC:Discretionary Access Control)目标的主体可以自主地确定其他主 体对其目标的访问权限。
图 107
这一级对应橘皮书是C2 级,有五个安全特征。
●身份鉴别:一个用户有唯一的标签,系统能够鉴别到唯一标签的身份。比喻就是某个部门某个人的这个程度。
●自主访问控制:允许唯一标签的用户以特定的权限或身份去访问对应的资源或数据。A部门的某位员工只能访问A部门的资源或数据。
●数据完整性:数据必须在整个访问过程必须完好。
●客体重用:清除该资源或数据被访问过的所有历史记录。A部门的资源或数据都是新的。
●审计:能够追踪到某一个用户的所有访问资源或数据的记录。比如看个资料需要登记一下使用的详细情况。
这个级别比自主保护要求更严格些,比如门禁卡使用身份证且无法借出,特别是增加了清除历史数据和增加审计。
这个级别可用来指导物端一般操作系统的安全建设,比如Linux系统,比如带审计功能的门锁系统等;
注:加粗字体为增强的安全特征。
图 108
这一级对应橘皮书是B1 级,这一级有七个安全特征。
●身份鉴别:一个用户有唯一的标签,系统能够鉴别到唯一标签的身份。比喻就是某个部门某个人的这个程度。
●自主访问控制:允许唯一标签的用户以特定的权限或身份访问对应的资源或数据,比如A部门的某位员工只能访问A部门的资源或数据。
●数据完整性:数据在整个访问过程必须完好。
●客体重用:清除该资源或数据被访问过的所有历史记录。A部门的资源或数据都是新的。
●审计:能够追踪到某一个用户的所有访问资源或数据的记录。看个资料需要登记一下使用的详细情况。
●标记:系统中的每个可被访问的资源都必须进行标志,系统启动过程和启动后都不能改动,资源包括但不限于进程、文件、数据、用户等。
●强制访问控制:具备有唯一标签的同时还具备有同类标志的用户才能访问同一个标志的资源(所有主体及所控制的客体)(原文比较复杂)。
这个级别主要是增加了用户和资源必须都打标签,标签对上才能接触。
这个级别可用来指导物端智能操作系统(胖系统)的安全建设,比如安卓系统或WebOS。Linux虽然内置SELinux,但要打开该功能并且从头进行配置,非常费时费力。(可查看本章后面的强制访问控制SELinux)
注:强制访问控制(MAC:Mandatory Access Control):任何主体无权改变其目标的访问权 限
自主访问控制DAC和强制访问控制MAC的区别:
●DAC在系统运行过程中,可以改变权限;(领导想提拔哪个人就提拔那个人)
●MAC在系统运行过程中,不能改变标签;(与生俱来的特性,改变不了)
●DAC默认最大权限;(到达哪个级别就具备那个级别所有的权限)
●MAC默认无任何权限:(与生俱来的,没有任何特性,就没有任何权限)
图 109
这个级别的示意图画起来已经很勉强了,准确性大打折扣。
这一级对应橘皮书是B2 级,这一级有九个安全特征。
●身份鉴别:一个用户有唯一的标签,系统能够鉴别到唯一标签的身份。比喻就是某个部门某个人的这个程度。
●自主访问控制:允许唯一标签的用户以特定的权限或身份去访问对应的资源或数据,比如A部门的某位员工只能访问A部门的资源或数据。
●数据完整性:数据在整个访问过程必须完好。
●客体重用:清除该资源或数据被访问过的所有历史记录。A部门的资源或数据都是新的。
●审计:能够追踪到某一个用户的所有访问资源或数据的记录。看个资料需要登记一下使用的详细情况。能够审计隐蔽通道的可能事件。
●标记:系统中的每个可被访问的资源都必须进行标志,系统启动过程和启动后都不能改动,资源包括但不限于进程、文件、数据、用户等。标志扩展到可被外部访问到的资源,比如只读存取器等。
●强制访问控制:具备有唯一标签的同时还具备有同类标志的用户才能访问同一个标志的资源(所有资源)(原文比较复杂)。
●隐蔽通道分析:彻底搜索隐蔽通道。比如两个进程约定通过时钟数的某种关系来做某件事件等,两个用户或进程通过查询某一个文件是否存在来启动某件事件还不是隐蔽通道。
●可信路径:对用户的初始登录和鉴别,计算机信息系统可信计算基在它与用户之间提供可信通信路径。该路径上的通信只能由该用户初始化,实现方式就是需要一个可信根。
可信根:老板很难百分百相信员工,但大多会相信自己的子女和妻子,所以一般财务之类的岗位是和老板有亲密关系的人在做,这就是可信根。
可以看到,一般计算机系统、嵌入式系统、智能操作系统,很难达到这个级别。既然是隐秘通道,就说明非常隐秘,还如何彻底搜索出来;需要证明是可信的,说明需要类似数学来证明。
图 110
这个级别的示意图更加的难画,很多文字的理解都难,就不追求准确性了。
这一级对应橘皮书是B3 级,这一级有十二个安全特征:
●身份鉴别:一个用户有唯一的标签,系统能够鉴别到唯一标签的身份。比喻就是某个部门某个人的这个程度。
●自主访问控制:允许唯一标签的用户以特定的权限或身份去访问对应的资源或数据。A部门的某位员工只能访问A部门的资源或数据。
●数据完整性:数据必须在整个访问过程必须完好。
●客体重用:清除该资源或数据被访问过的所有历史记录。A部门的资源或数据都是新的。
●审计:能够追踪到某一个用户的所有访问资源或数据的记录。看个资料需要登记一下使用的详细情况。能够审计隐蔽通道的可能事件。
●监控(审计增强):能够监控可审计安全事件发生与积累的机制,当超过阈值时,能够立即向安全管理员发出报警。
●标记:系统中的每个可被访问的资源都必须进行标志,系统启动过程和启动后都不能改动,资源包括但不限于进程、文件、数据、用户等。标志扩展到可被外部访问到的资源:比如只读存取器等。
●强制访问控制:具备有唯一标签的同时还具备有同类标志的用户才能访问同一个标志的资源(所有资源)(原文比较复杂)。
●隐蔽通道分析:彻底搜索隐蔽通道。比如两个进程约定通过时钟数的某种关系来做某件事件等,两个用户或进程通过查询某一个文件是否存在来启动某件事件还不是隐蔽通道。
●可信路径:当连接用户时(如注册、更改主体安全级),计算机信息系统可信计算基提供它与用户之间的可信通信路径。可信路径上的通信只能由该用户或计算机信息可信计算基激活,且在逻辑上与其他路径上的通信相隔离,且能正确地加以区分。(直接拷贝标准)
●可信恢复:计算机信息系统可信计算基提供过程和机制,保证计算机信息系统失效或中断后,可以进行不损害任何安全保护性能的恢复。(直接拷贝标准)
这个级别的看看就行,基本是达不到的。
对上面每个级别的特征做个总结的表格如下:
图 111
这些就是软件系统安全的 11 个特征。
可以看到每个级别会具备上一个级别的特征,而且某些特征是会增强的,高级别会具备低级别没有的特征。
前面也说过,现在的嵌入式系统的安全技术等级分级一般不会采用这种方式,那是因为很多安全特征已经有成熟的解决方案了,比如在安卓系统中,强制访问控制的实现就叫SELinux(在安卓中叫SEAndroid),对各个资源进行标志,但只具备SELinux的智能系统肯定是不可能达到安全标识保护级的。
所以,物端软件系统到达每个安全等级必须具备的安全特征,不代表具备了这些安全特征就能够到达该级别。
对比TCSEC:
图 112
差异主要体现在:
●国标中没有系统安全域的明确描述,可能分散在其他描述中;
●国标缺了可信设施管理,没有管理员的单独描述;
●国标没有产品的研发生命周期和证明文件;
可以看到,GB17859 更加技术、更加纯粹。GB 17859 的安全特征可用来指导各个智能产品、智能系统的安全设计,而评估智能产品安全要看GB/T 18336 (参考第 6 章的安全认证)