操作系统安全测评基础与准则
安全操作系统安全测评的基本目标是验证和确保安全操作系统的安全性,故而其基本依据应为系统的安全需求说明,一般应包括主体标识、客体敏感级标记、关于主体对客体进行存取访问的安全控制策略以及审计机制等。需要指出的是,为方便安全信息系统的统一评价,世界各国纷纷制订和推出各自的计算机系统安全标准,其中较为有名的如TCSEC、ITSEC(Information Technology Security Evaluation Criteria)、CC(Common Criteria for IT Security Evaluation)。其间,我国也在借鉴、消化和吸收的基础上形成了GB17859-1999《计算机信息系统安全保护等级划分准则》(参考TCSEC)和《信息技术、安全技术、信息技术安全性评估准则》(与CC准则完全一致)等。于是,现今绝大多数安全信息系统的研发通常基于已有的计算机系统安全测评准则来形成相应的系统需求。所以,在确认测试阶段所展开的软件测试(包括第三方安全测试认证)可将有关准则作为安全测评的基础和主要依据。也正因如此,无论是安全操作系统构建初期软件需求说明还是确认测试阶段的安全测评依据均可参照有关准则包括CC针对安全操作系统细化的保护轮廓(所谓保护轮廓,是指一组独立实现的,满足特定用户需求的评估对象安全要求)标准来形成和制订。下面着重介绍一下相关准则的安全等级与基本要求。

基于相关安全需求,TCSEC在用户登陆、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通路建立、安全检测、生命周期保障、文档撰写等方面均提出了规范性要求,并根据所采用的安全策略及系统所具备的安全功能设定四类(A~D)及七个安全级别,从低到高依次为D、C1、C2、B1、B2、B3、A1,各级别描述由满足安全策略、审计和保证的主要控制目标及文档要求共四部分组成。TCSEC设定的安全等级及基本要求如下(注意高安全级别要求缺省包含低安全级别要求):

  1. D级-最低安全级

    2. 不满足任何较高安全可信性的系统全部划入D级。该级别说明整个系统都是不可信任的,硬件不提供任何保护作用,操作系统容易受到损害,不提供身份验证和访问控制机制以及最低限度的文档要求。MS-DOS、Macintosh System 7.x可划入此级。
  2. C1级-自主安全保护级

    3. 实际描述了一个典型的UNIX系统上可用的安全评测级别。硬件存在某种程度的保护,用户必须通过注册名称和口令验证才能进入系统,并由此确定其对程序和信息(准确而言是文件和目录)的访问权限。存在某种程度的自主访问控制机制,但系统管理员对系统帐户的极权式管理方式存在安全隐患,且日常系统管理任务及超级用户身份要求使问题责任无法追踪。
  3. C2级-受控的存取控制级

    4. 要求支持基于用户的自主访问控制机制,引入审计机制以记录和跟踪安全相关事件,同时引入受控访问环境安全特征,即可否执行特权命令或访问关键系统文件的裁决基于许可权限和身份验证机制共同完成。
  4. B1级-标记安全保护级

    5. 要求引入主/客体安全级标记及管理和强制访问控制机制,要求处于强制访问控制范围内的客体对象禁止其所有者关于其访问权限的分配和修改。
  5. B2级-结构化保护级

    6. 要求为所有对象进行标记及标记完整性,客体重用时涉及原主体所有信息的清空,并引入高/低安全级别对象间通信控制机制、可信通路机制、最小特权管理机制和隐蔽通道分析与处理机制;要求基于清晰定义和编成文档的形式化安全模型、描述式顶层设计说明及系统结构化设计;要求可信计算基构造为关键/非关键保护要素两类,其接口严格定义且设计和实现支持详细测试与完备复查;另外在鉴别、审计机制及配置管理机制方面的要求有所加强和更加严格。
  6. B3级-安全域级

    7. 要求支持全面的访问控制机制、严格的系统结构化设计、可信计算基最小复杂性设计、安全审计实时报告机制,并能够更好地分析和解决隐蔽通道问题;要求使用安全硬件的方法来增强域级的安全性,如内存管理硬件可保护安全域避免未授权访问或非法修改;要求支持可信恢复,即系统失效或中断后可进行不损害任何安全保护性能的系统恢复。
  7. A1级-验证保护级

    8. 要求用形式化方法解决隐蔽通道问题;要求具有系统形式化顶层设计说明,并形式化验证前者与安全模型之间的一致性;要求经由严格的设计、控制和验证过程,即设计必须从数学上可以验证,且必须进行隐蔽通道和可信任分布(指软硬件在传输过程中已经受到保护,不可能破坏安全系统)的分析。

我国的GB17859-1999《计算机信息系统安全保护等级划分准则》把计算机信息系统的安全保护能力划分为五级,从低到高依次为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级,相关要求分别对应TCSEC的C1级、C2级、B1级、B2级和B3级,并稍作调整。

信息技术安全评价通用准则CC基于欧洲ITSEC、美国TCSEC、加拿大CTCPEC及ISO SC27 WG3安全评价标准而形成,是目前最全面的信息技术安全评估标准。其提出了保护轮廓的概念,将评估内容划分为安全功能要求和安全保证要求等两个方面,并均按照类、族、组件的层次结构分别展开描述。其提供和定义了七个逐步增强的评估保证等级EAL1~7,依次为功能测试级、结构测试级、系统测试检查级、系统设计测试复查级、半形式化设计测试级、半形式化验证设计测试级和形式化验证设计测试级。各评估保证等级结构上由评估保证等级名称、目标、适用性说明和一组保证组件以及相应保证组件间的所有依赖关系构成,注意在每个保证级中至多包含从属于各保证族的一个组件。评估保证等级的增强通过同族保证组件的替换或它组保证组件的增加来实现。