[精选]网络与信息安全(简)32939.pptx

《[精选]网络与信息安全(简)32939.pptx》由会员分享，可在线阅读，更多相关《[精选]网络与信息安全(简)32939.pptx（95页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、网络与信息安全网络与信息安全范晓明范晓明目录一、网络与信息安全基本概念一、网络与信息安全基本概念二、信息系统安全等级保护二、信息系统安全等级保护三、当前的信息安全形势三、当前的信息安全形势四、网络与信息安全技术四、网络与信息安全技术五、加强网络与信息安全的措施五、加强网络与信息安全的措施一、网络与信息安全基本概念一、网络与信息安全基本概念(一一一一)信息安全的涵义信息安全的涵义信息安全的涵义信息安全的涵义n n信息安全主要涉及到信息存储的安全、信息传输信息安全主要涉及到信息存储的安全、信息传输信息安全主要涉及到信息存储的安全、信息传输信息安全主要涉及到信息存储的安全、信息传输的安全以及对网络传

2、输信息内容的审计三方面。的安全以及对网络传输信息内容的审计三方面。的安全以及对网络传输信息内容的审计三方面。的安全以及对网络传输信息内容的审计三方面。它研究计算机系统和通信网络内信息的保护方法。它研究计算机系统和通信网络内信息的保护方法。它研究计算机系统和通信网络内信息的保护方法。它研究计算机系统和通信网络内信息的保护方法。n n从广义来说，凡是涉及到信息的完整性、保密性、从广义来说，凡是涉及到信息的完整性、保密性、从广义来说，凡是涉及到信息的完整性、保密性、从广义来说，凡是涉及到信息的完整性、保密性、真实性、可用性和可控性的相关技术和理论都是真实性、可用性和可控性的相关技术和理论都是真实性、

3、可用性和可控性的相关技术和理论都是真实性、可用性和可控性的相关技术和理论都是信息安全所要研究的领域。信息安全所要研究的领域。信息安全所要研究的领域。信息安全所要研究的领域。n n信息安全的一般定义：信息安全的一般定义：信息安全的一般定义：信息安全的一般定义：计算机信息安全是指计算计算机信息安全是指计算计算机信息安全是指计算计算机信息安全是指计算机信息系统的硬件、软件、网络及其系统中的数机信息系统的硬件、软件、网络及其系统中的数机信息系统的硬件、软件、网络及其系统中的数机信息系统的硬件、软件、网络及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到据受到保护，不受偶然的或者恶意的原因而遭到据

4、受到保护，不受偶然的或者恶意的原因而遭到据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，破坏、更改、泄露，系统连续可靠正常地运行，破坏、更改、泄露，系统连续可靠正常地运行，破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。信息服务不中断。信息服务不中断。信息服务不中断。一、网络与信息安全基本概念一、网络与信息安全基本概念对信息安全的威胁来自：对信息安全的威胁来自：n n用户操作的有意无意的破坏；用户操作的有意无意的破坏；n n来自硬件、网络和软件的故障、缺陷和内来自硬件、网络和软件的故障、缺陷和内部的陷门；部的陷门；n n来自各种天灾与人为灾害来自各

5、种天灾与人为灾害n n来自入侵者的恶意攻击。来自入侵者的恶意攻击。一、网络与信息安全基本概念一、网络与信息安全基本概念n n计算机信息安全具有以下五方面的特征。计算机信息安全具有以下五方面的特征。n n1保密性保密性n n2完整性完整性n n3真实性真实性n n4可用性可用性n n5可控性可控性一、网络与信息安全基本概念一、网络与信息安全基本概念n n保密性：保密性：对信息资源开放范围的控制，不对信息资源开放范围的控制，不让不应涉密的人知道秘密。让不应涉密的人知道秘密。保密性措施：保密性措施：信息加密、解密；信息划分密信息加密、解密；信息划分密级，对用户分配不同权限，对不同权限的级，对用户分配

6、不同权限，对不同权限的用户访问的对象进行访问控制；防止硬件用户访问的对象进行访问控制；防止硬件辐射泄露、网络截获、窃听等。辐射泄露、网络截获、窃听等。一、网络与信息安全基本概念一、网络与信息安全基本概念n n完整性：完整性：使信息保持完整、真实或未受损使信息保持完整、真实或未受损状态，任何中断、窃取、篡改和伪造信息状态，任何中断、窃取、篡改和伪造信息应用特性或状态等行为都是破坏信息的完应用特性或状态等行为都是破坏信息的完整性的。整性的。完整性措施：完整性措施：严格控制对系统中数据的写访严格控制对系统中数据的写访问。只允许许可的当事人进行更改。问。只允许许可的当事人进行更改。一、网络与信息安全基

7、本概念一、网络与信息安全基本概念n n可用性：可用性：意味着资源只能由合法的当事人意味着资源只能由合法的当事人使用，保证合法用户对信息的合法利用。使用，保证合法用户对信息的合法利用。可用性措施：可用性措施：在坚持严格的访问控制机制的在坚持严格的访问控制机制的条件下，为用户提供方便和快速的访问接条件下，为用户提供方便和快速的访问接口。提供安全性的访问工具。口。提供安全性的访问工具。一、网络与信息安全基本概念一、网络与信息安全基本概念n n不可否认性：不可否认性：信息的发送者无法否认已发信息的发送者无法否认已发出的信息，信息的接收者无法否认已经接出的信息，信息的接收者无法否认已经接收的信息。收的信

8、息。不可否认性措施：不可否认性措施：数字签名，可信第三方认数字签名，可信第三方认证技术。证技术。一、网络与信息安全基本概念一、网络与信息安全基本概念（二）网络与信息安全事件（二）网络与信息安全事件n n网络与信息安全事件网络与信息安全事件，是指由于自然或者，是指由于自然或者人为以及软硬件本身缺陷或故障的原因，人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面对信息系统造成危害，或对社会造成负面影响的事件。影响的事件。一、网络与信息安全基本概念一、网络与信息安全基本概念n n（1 1）有害程序事件）有害程序事件）有害程序事件）有害程序事件n n有害程序事件是指蓄意制造、传播

9、有害程序，或有害程序事件是指蓄意制造、传播有害程序，或有害程序事件是指蓄意制造、传播有害程序，或有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。是因受到有害程序的影响而导致的信息安全事件。是因受到有害程序的影响而导致的信息安全事件。是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序，有有害程序是指插入到信息系统中的一段程序，有有害程序是指插入到信息系统中的一段程序，有有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的害程序危害系统中数据、应用程序或操作系统的害程序危害系统中数据、应用程序或操

10、作系统的害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正保密性、完整性或可用性，或影响信息系统的正保密性、完整性或可用性，或影响信息系统的正保密性、完整性或可用性，或影响信息系统的正常运行。常运行。常运行。常运行。n n有害程序事件包括：计算机病毒事件、蠕虫事件、有害程序事件包括：计算机病毒事件、蠕虫事件、有害程序事件包括：计算机病毒事件、蠕虫事件、有害程序事件包括：计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序特洛伊木马事件、僵尸网络事件、混合攻击程序特洛伊木马事件、僵尸网络事件、混合攻击程序特洛伊木马事件、僵尸网络事件、混合攻击程序

11、事件、网页内嵌恶意代码事件和其他有害程序事事件、网页内嵌恶意代码事件和其他有害程序事事件、网页内嵌恶意代码事件和其他有害程序事事件、网页内嵌恶意代码事件和其他有害程序事件。件。件。件。一、网络与信息安全基本概念一、网络与信息安全基本概念n n（2 2）网络攻击事件）网络攻击事件n n网络攻击事件是指通过网络或其他技术手段，利网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的系统异常或对信息系统当

12、前运行造成潜在危害的信息安全事件。信息安全事件。n n网络攻击事件包括：拒绝服务事件、后门攻击事网络攻击事件包括：拒绝服务事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。鱼事件、干扰事件和其他网络攻击事件。一、网络与信息安全基本概念一、网络与信息安全基本概念n n（3）信息破坏事件）信息破坏事件n n信息破坏事件是指通过网络或其他技术手信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。泄漏、窃取等而导致的信息安全

13、事件。n n信息破坏事件包括：信息篡改事件、信息信息破坏事件包括：信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。信息丢失事件和其他信息破坏事件。一、网络与信息安全基本概念一、网络与信息安全基本概念n n（4 4）信息内容安全事件）信息内容安全事件）信息内容安全事件）信息内容安全事件n n信息内容安全事件是指利用信息网络发布、传播信息内容安全事件是指利用信息网络发布、传播信息内容安全事件是指利用信息网络发布、传播信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安危害国家安全、社会稳定

14、和公共利益的内容的安危害国家安全、社会稳定和公共利益的内容的安危害国家安全、社会稳定和公共利益的内容的安全事件。全事件。全事件。全事件。n n信息内容安全事件包括：违反宪法和法律、行政信息内容安全事件包括：违反宪法和法律、行政信息内容安全事件包括：违反宪法和法律、行政信息内容安全事件包括：违反宪法和法律、行政法规的信息安全事件；针对社会事项进行讨论、法规的信息安全事件；针对社会事项进行讨论、法规的信息安全事件；针对社会事项进行讨论、法规的信息安全事件；针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒评论形成网上敏感的舆论热点，出现一定规模炒评论形成网上敏感的舆论热点，出现一定规

15、模炒评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件；组织串连、煽动集会游行的作的信息安全事件；组织串连、煽动集会游行的作的信息安全事件；组织串连、煽动集会游行的作的信息安全事件；组织串连、煽动集会游行的信息安全事件；其他信息内容安全事件等。信息安全事件；其他信息内容安全事件等。信息安全事件；其他信息内容安全事件等。信息安全事件；其他信息内容安全事件等。一、网络与信息安全基本概念一、网络与信息安全基本概念n n（5）设备设施故障）设备设施故障n n设备设施故障是指由于信息系统自身故障设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事或外围保障设施故障而导致的信息

16、安全事件，以及人为的使用非技术手段有意或无件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全意的造成信息系统破坏而导致的信息安全事件。事件。n n设备设施故障包括：软硬件自身故障、外设备设施故障包括：软硬件自身故障、外围保障设施故障、人为破坏事故和其他设围保障设施故障、人为破坏事故和其他设备设施故障。备设施故障。一、网络与信息安全基本概念一、网络与信息安全基本概念n n（6）灾害性事件）灾害性事件n n灾害性事件是指由于不可抗力对信息系统灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。造成物理破坏而导致的信息安全事件。n n灾害性事件包括水灾、台风、

17、地震、雷击、灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。息安全事件。一、网络与信息安全基本概念一、网络与信息安全基本概念n n信息安全分类信息安全分类信息安全分类信息安全分类n n根据中国国家计算机安全规范，计算机的安全大致可分为根据中国国家计算机安全规范，计算机的安全大致可分为根据中国国家计算机安全规范，计算机的安全大致可分为根据中国国家计算机安全规范，计算机的安全大致可分为如下三类。如下三类。如下三类。如下三类。n n（1 1）实体安全：包括机房、线路和主机等的安全。）实体安全：包括机房、线路和主机等的安全。）实

18、体安全：包括机房、线路和主机等的安全。）实体安全：包括机房、线路和主机等的安全。n n（2 2）网络与信息安全：包括网络的畅通、准确以及网上）网络与信息安全：包括网络的畅通、准确以及网上）网络与信息安全：包括网络的畅通、准确以及网上）网络与信息安全：包括网络的畅通、准确以及网上信息的安全。信息的安全。信息的安全。信息的安全。n n（3 3）应用安全：包括程序开发运行、）应用安全：包括程序开发运行、）应用安全：包括程序开发运行、）应用安全：包括程序开发运行、I/OI/O、数据库等的、数据库等的、数据库等的、数据库等的安全。安全。安全。安全。n n其中，网络与信息安全可分为如下四类其中，网络与信息

19、安全可分为如下四类其中，网络与信息安全可分为如下四类其中，网络与信息安全可分为如下四类n n（1 1）基本安全类。）基本安全类。）基本安全类。）基本安全类。n n（2 2）管理与记账类。）管理与记账类。）管理与记账类。）管理与记账类。n n（3 3）网络互连设备安全类。）网络互连设备安全类。）网络互连设备安全类。）网络互连设备安全类。n n（4 4）连接控制类。）连接控制类。）连接控制类。）连接控制类。一、网络与信息安全基本概念一、网络与信息安全基本概念（三）信息系统安全理论（三）信息系统安全理论 安全控制理论：三大控制理论安全控制理论：三大控制理论1）访问控制：基于访问矩阵与访问监控器）访问

20、控制：基于访问矩阵与访问监控器2）信息流控制：基于数学的格理论）信息流控制：基于数学的格理论3）推理控制：基于逻辑推理，防数据库泄漏）推理控制：基于逻辑推理，防数据库泄漏n n安全操作系统的设计方法：安全操作系统的设计方法：安全核技术，分层结构，环型结构安全核技术，分层结构，环型结构一、网络与信息安全基本概念一、网络与信息安全基本概念n n安全性概念安全性概念包括安全政策、策略模型、安包括安全政策、策略模型、安全服务和安全机制等内容，其中安全政策全服务和安全机制等内容，其中安全政策是为了实现软件系统的安全而制定的有关是为了实现软件系统的安全而制定的有关管理、保护和发布敏感信息的规定与实施管理、

21、保护和发布敏感信息的规定与实施细则；策略模型是指实施安全策略的模型；细则；策略模型是指实施安全策略的模型；安全服务则是指根据安全政策和安全模型安全服务则是指根据安全政策和安全模型提供的安全方面的服务；安全机制是实现提供的安全方面的服务；安全机制是实现安全服务的方法。安全服务的方法。恢复恢复反应反应检测检测保护保护信息信息保障保障PDRR模型模型ProtectionDetectionReactionRestore一、网络与信息安全基本概念一、网络与信息安全基本概念访问监视器访问监视器访问监视数据库访问监视数据库用户身份文件用户身份文件权限文件权限文件文件属性文件属性访问控制表访问控制表主体、用户

22、主体、用户进程进程批作业批作业目标文件、目标文件、盘、带、盘、带、程序、终端等程序、终端等安全审计安全审计操作系统的访问控制模型操作系统的访问控制模型一、网络与信息安全基本概念一、网络与信息安全基本概念网络操作系统的访问控制模型网络操作系统的访问控制模型访问监视器访问监视器访问监视器访问监视器数据库数据库审计审计访问监视器访问监视器访问监视器访问监视器数据库数据库审计审计目标目标主体主体二、信息安全等级保护二、信息安全等级保护（一）国际信息安全等级（一）国际信息安全等级1、D安全级安全级最低安全级，没有任何安全措施，整个系统是最低安全级，没有任何安全措施，整个系统是最低安全级，没有任何安全措施

23、，整个系统是最低安全级，没有任何安全措施，整个系统是不可信的不可信的不可信的不可信的硬件无任何保障机制硬件无任何保障机制硬件无任何保障机制硬件无任何保障机制操作系统容易受到侵害操作系统容易受到侵害操作系统容易受到侵害操作系统容易受到侵害无身份认证与访问控制无身份认证与访问控制无身份认证与访问控制无身份认证与访问控制典型系统是典型系统是典型系统是典型系统是MS-DOSMS-DOS二、信息安全等级保护二、信息安全等级保护2 2、C1C1安全级安全级安全级安全级自主安全保护级自主安全保护级自主安全保护级自主安全保护级 实现粗粒度的自主访问控制机制。实现粗粒度的自主访问控制机制。实现粗粒度的自主访问控

24、制机制。实现粗粒度的自主访问控制机制。系统能把用户与数据隔离，系统能把用户与数据隔离，系统能把用户与数据隔离，系统能把用户与数据隔离，TCBTCB通过账户、口令去确认用户身份通过账户、口令去确认用户身份通过账户、口令去确认用户身份通过账户、口令去确认用户身份 硬件提供某种程度的保护机制硬件提供某种程度的保护机制硬件提供某种程度的保护机制硬件提供某种程度的保护机制 通过拥有者自定义和控制，防止自己的数据被别的用通过拥有者自定义和控制，防止自己的数据被别的用通过拥有者自定义和控制，防止自己的数据被别的用通过拥有者自定义和控制，防止自己的数据被别的用户破坏。户破坏。户破坏。户破坏。要求严格的测试和完

25、善的文档资料。要求严格的测试和完善的文档资料。要求严格的测试和完善的文档资料。要求严格的测试和完善的文档资料。这类系统适合于多个协作用户在同一个安全级上处理数这类系统适合于多个协作用户在同一个安全级上处理数这类系统适合于多个协作用户在同一个安全级上处理数这类系统适合于多个协作用户在同一个安全级上处理数据的工作环境。据的工作环境。据的工作环境。据的工作环境。二、信息安全等级保护二、信息安全等级保护3 3、C2C2安全级安全级安全级安全级可控安全保护级可控安全保护级可控安全保护级可控安全保护级 C2 C2级达到企业级安全要求。可作为最低军用安级达到企业级安全要求。可作为最低军用安级达到企业级安全要

26、求。可作为最低军用安级达到企业级安全要求。可作为最低军用安全级别全级别全级别全级别 C2C2实现更细的可控自主访问控制，保护粒度要达到单实现更细的可控自主访问控制，保护粒度要达到单实现更细的可控自主访问控制，保护粒度要达到单实现更细的可控自主访问控制，保护粒度要达到单个主体和客体一级；个主体和客体一级；个主体和客体一级；个主体和客体一级；要求消除残留信息泄露（内存、外存、寄存器）；要求消除残留信息泄露（内存、外存、寄存器）；要求消除残留信息泄露（内存、外存、寄存器）；要求消除残留信息泄露（内存、外存、寄存器）；要求审计功能（与要求审计功能（与要求审计功能（与要求审计功能（与C1C1级的主要区别

27、），审计粒度要能级的主要区别），审计粒度要能级的主要区别），审计粒度要能级的主要区别），审计粒度要能够跟踪每个主体对每个客体的每一次访问。对审计记够跟踪每个主体对每个客体的每一次访问。对审计记够跟踪每个主体对每个客体的每一次访问。对审计记够跟踪每个主体对每个客体的每一次访问。对审计记录应该提供保护，防止非法修改。录应该提供保护，防止非法修改。录应该提供保护，防止非法修改。录应该提供保护，防止非法修改。二、信息安全等级保护二、信息安全等级保护比比比比C1C1增加授权服务，还有防止访问权失控扩散增加授权服务，还有防止访问权失控扩散增加授权服务，还有防止访问权失控扩散增加授权服务，还有防止访问权失控

28、扩散的机制。的机制。的机制。的机制。要求要求要求要求TCBTCB必须保留在一特定区域，防止来自外必须保留在一特定区域，防止来自外必须保留在一特定区域，防止来自外必须保留在一特定区域，防止来自外部的修改；部的修改；部的修改；部的修改；TCBTCB应与被保护的资源隔离。应与被保护的资源隔离。应与被保护的资源隔离。应与被保护的资源隔离。TCBTCB能够记录对认证安全机制的使用、记录对能够记录对认证安全机制的使用、记录对能够记录对认证安全机制的使用、记录对能够记录对认证安全机制的使用、记录对客体的读入、删除等操作，记录系统管理员的客体的读入、删除等操作，记录系统管理员的客体的读入、删除等操作，记录系统

29、管理员的客体的读入、删除等操作，记录系统管理员的管理活动。管理活动。管理活动。管理活动。二、信息安全等级保护二、信息安全等级保护n n4 4、B1B1安全级安全级安全级安全级 加标记的访问控制保护级加标记的访问控制保护级加标记的访问控制保护级加标记的访问控制保护级 n n具有具有具有具有C2C2的全部功能，还增加或增强了标记、的全部功能，还增加或增强了标记、的全部功能，还增加或增强了标记、的全部功能，还增加或增强了标记、MACMAC、责任、审计、保证等功能。、责任、审计、保证等功能。、责任、审计、保证等功能。、责任、审计、保证等功能。n n标记：主客体都必须带有标记，并准确体现其安标记：主客体

30、都必须带有标记，并准确体现其安标记：主客体都必须带有标记，并准确体现其安标记：主客体都必须带有标记，并准确体现其安全级别，且由全级别，且由全级别，且由全级别，且由TCBTCB维护。因此本级又称为维护。因此本级又称为维护。因此本级又称为维护。因此本级又称为带标记带标记带标记带标记的访问控制保护级的访问控制保护级的访问控制保护级的访问控制保护级。n n采用强制保护机制。保护机制根据标记对客体进采用强制保护机制。保护机制根据标记对客体进采用强制保护机制。保护机制根据标记对客体进采用强制保护机制。保护机制根据标记对客体进行保护。行保护。行保护。行保护。n nB1B1安全级要求以安全模型为依据，要求彻底

31、分析安全级要求以安全模型为依据，要求彻底分析安全级要求以安全模型为依据，要求彻底分析安全级要求以安全模型为依据，要求彻底分析系统的设计文件和源代码，严格测试目标代码。系统的设计文件和源代码，严格测试目标代码。系统的设计文件和源代码，严格测试目标代码。系统的设计文件和源代码，严格测试目标代码。二、信息安全等级保护二、信息安全等级保护n nB1级对标记的内容与使用有以下要求：级对标记的内容与使用有以下要求：n n 1）主主体体与与客客体体的的敏敏标标记记的的完完整整性性：安安全全标标记记应应能能唯唯一一的的指指定定感感级级别别。当当TCB输输出出敏敏感感标标记记时时，应应准准确确对对应应内内部部标

32、标记记，并并输输出相应的关联信息。出相应的关联信息。n n 2）标记信息的输出：人工指定每个）标记信息的输出：人工指定每个I/O信道与信道与I/O设备是单（安全）级的还是多设备是单（安全）级的还是多（安全）级的，（安全）级的，TCB应能知晓这种指定，应能知晓这种指定，并能对这种指定活动进行审计。并能对这种指定活动进行审计。二、信息安全等级保护二、信息安全等级保护n n 3 3）多多多多级级级级设设设设备备备备输输输输出出出出：当当当当TCBTCB把把把把一一一一个个个个客客客客体体体体输输输输出出出出到到到到多多多多级级级级I/OI/O设设设设备备备备时时时时，敏敏敏敏感感感感标标标标记记记记

33、也也也也应应应应同同同同时时时时输输输输出出出出，并并并并与与与与输输输输出出出出信信信信息息息息一一一一起起起起留留留留存存存存在在在在同同同同一一一一物物物物理理理理介介介介质质质质上上上上。当当当当TCBTCB使使使使用用用用多多多多级级级级I/OI/O信信信信道道道道通通通通信信信信时时时时，协协协协议议议议应应应应能能能能支支支支持持持持多多多多敏敏敏敏感感感感标标标标记信息的传输。记信息的传输。记信息的传输。记信息的传输。n n 4 4）单级设备的输出：虽然不要求对单级）单级设备的输出：虽然不要求对单级）单级设备的输出：虽然不要求对单级）单级设备的输出：虽然不要求对单级I/OI/O

34、设备和单级信道所处理的信息保留敏感标志，但设备和单级信道所处理的信息保留敏感标志，但设备和单级信道所处理的信息保留敏感标志，但设备和单级信道所处理的信息保留敏感标志，但要求要求要求要求TCBTCB提供一种安全机制，允许用户利用单级提供一种安全机制，允许用户利用单级提供一种安全机制，允许用户利用单级提供一种安全机制，允许用户利用单级设备与单级设备与单级设备与单级设备与单级I/OI/O信道安全地传输单级信息。信道安全地传输单级信息。信道安全地传输单级信息。信道安全地传输单级信息。n n5）对人可读输出的标记输出：系统管理）对人可读输出的标记输出：系统管理员应该能够指定与输出敏感标记相关联员应该能够

35、指定与输出敏感标记相关联的可打印标记名，这些敏感标记可以是的可打印标记名，这些敏感标记可以是秘密、机密和绝密的。秘密、机密和绝密的。TCB应能标识这应能标识这些敏感标记输出的开始与结束。些敏感标记输出的开始与结束。n n强制访问控制强制访问控制强制访问控制强制访问控制n n每个受控的客体都必须附加上标记，用于标明每个受控的客体都必须附加上标记，用于标明每个受控的客体都必须附加上标记，用于标明每个受控的客体都必须附加上标记，用于标明该客体的安全级，当这些客体被访问的时候，该客体的安全级，当这些客体被访问的时候，该客体的安全级，当这些客体被访问的时候，该客体的安全级，当这些客体被访问的时候，保护系

36、统就依据这些标记对客体进行必要的控保护系统就依据这些标记对客体进行必要的控保护系统就依据这些标记对客体进行必要的控保护系统就依据这些标记对客体进行必要的控制。制。制。制。B1B1类要求每个受控的主体和客体都要配类要求每个受控的主体和客体都要配类要求每个受控的主体和客体都要配类要求每个受控的主体和客体都要配备一个安全级，但不要求保护系统控制每个客备一个安全级，但不要求保护系统控制每个客备一个安全级，但不要求保护系统控制每个客备一个安全级，但不要求保护系统控制每个客体。体。体。体。B1B1级中的访问控制机制必须依据一种安级中的访问控制机制必须依据一种安级中的访问控制机制必须依据一种安级中的访问控制

37、机制必须依据一种安全模型，在这种模型中，主体与客体的敏感性全模型，在这种模型中，主体与客体的敏感性全模型，在这种模型中，主体与客体的敏感性全模型，在这种模型中，主体与客体的敏感性标记既有等级性级别的，又有无等级性的类别标记既有等级性级别的，又有无等级性的类别标记既有等级性级别的，又有无等级性的类别标记既有等级性级别的，又有无等级性的类别的。的。的。的。TCBTCB应该支持两个以上的安全级。在应该支持两个以上的安全级。在应该支持两个以上的安全级。在应该支持两个以上的安全级。在TCBTCB控制的主、客体间的所有访问活动，并要求这控制的主、客体间的所有访问活动，并要求这控制的主、客体间的所有访问活动

38、，并要求这控制的主、客体间的所有访问活动，并要求这些活动必须满足以下要求：些活动必须满足以下要求：些活动必须满足以下要求：些活动必须满足以下要求：n n只只有有主主体体的的敏敏感感等等级级大大于于或或等等于于客客体体的的敏敏感感等等级级时时，才才允允许许该该主主体体去去读读该该客客体体，而而且且该该主主体体的的信信息息访访问问类类包包含含该该客客体体中中信信息息访访问问类类的的全全部部内内容容。信信息息访访问问类类中中所包含的信息是非等级性。所包含的信息是非等级性。n n只有主体的敏感级不大于客体的敏感级只有主体的敏感级不大于客体的敏感级时，才允许该主体去写该客体，而且该时，才允许该主体去写该

39、客体，而且该主体的信息访问类包含该客体中信息访主体的信息访问类包含该客体中信息访问类。问类。n n军用安全策略可以满足这种要求，它既军用安全策略可以满足这种要求，它既具有按非密、秘密、机密和绝密的等级具有按非密、秘密、机密和绝密的等级性级别的标记，又允许某个主体知道多性级别的标记，又允许某个主体知道多种级别信息组成的无等级性类别的信息。种级别信息组成的无等级性类别的信息。对于强制性访问控制政策的模型是对于强制性访问控制政策的模型是Bell-LaPadula模型，在该模型中要支持军模型，在该模型中要支持军用安全策略。用安全策略。B1类系统对所有访问都要类系统对所有访问都要实现这种模型，同时也支持

40、有限的用户实现这种模型，同时也支持有限的用户自主访问控制功能。自主访问控制功能。n n可记账性可记账性n nTCB应该对所有涉及敏感性活动的用户应该对所有涉及敏感性活动的用户进行身份识别，进行身份识别，TCB应该管理用户的账应该管理用户的账户、口令、签证与权限信息，防止发生户、口令、签证与权限信息，防止发生非授权的用户访问。非授权的用户访问。B1级的审计功能比级的审计功能比C2级的功能更强，还增加了对任何滥用级的功能更强，还增加了对任何滥用职权的人可读输出标志和对安全级记录职权的人可读输出标志和对安全级记录的事件进行审计，也可以对于用户的安的事件进行审计，也可以对于用户的安全性活动进行有选择的

41、审计。全性活动进行有选择的审计。n n 在在实实现现过过程程中中，必必须须彻彻底底分分析析B1类类系系统统的的设设计计文文档档和和源源代代码码，测测试试目目标标代代码码，尽尽可可能能发发现现系系统统存存在在的的安安全全缺缺陷陷，并并保保证证消消除除这这些些缺缺陷陷。要要有有一一种种非非形形式式的的或或形形式式化化的的模模型型来来描描述述系系统统实实现现的的安安全全策策略。略。B2安全级安全级结构化保护级。结构化保护级。n n要求把系统内部结构化地划分成独立的模块，要求把系统内部结构化地划分成独立的模块，采用最小特权原则进行管理。内部结构必须是采用最小特权原则进行管理。内部结构必须是可证明的。可

42、证明的。n n对所有主体与客体实施更强的对所有主体与客体实施更强的MAC。从主体。从主体客体扩大到客体扩大到I/O设备等所有资源。设备等所有资源。n nTCB应支持管理员与操作员的分离。应支持管理员与操作员的分离。n n能够审计使用隐蔽存储信道的标志事件。能够审计使用隐蔽存储信道的标志事件。n n必须给出可验证的顶级设计，要求开发者对隐必须给出可验证的顶级设计，要求开发者对隐蔽信道进行彻底地搜索。蔽信道进行彻底地搜索。n nTCB划分保护与非保护部分，存放于固定区划分保护与非保护部分，存放于固定区内。内。n nB2级称为结构化保护级（级称为结构化保护级（Structured Protectio

43、n）。）。B2级系统的设计中把级系统的设计中把系统内部结构化地划分成明确而大体上系统内部结构化地划分成明确而大体上独立的模块，并采用最小特权原则进行独立的模块，并采用最小特权原则进行管理。管理。B2级不仅要求对所有对象加标记，级不仅要求对所有对象加标记，而且要求给设备（磁盘、磁带或终端）而且要求给设备（磁盘、磁带或终端）分配一个或多个安全级别（实现设备标分配一个或多个安全级别（实现设备标记）。必须对所有的主体与客体（包括记）。必须对所有的主体与客体（包括设备）实施强制性访问控制保护，必须设备）实施强制性访问控制保护，必须要有专职人员负责实施访问控制策略，要有专职人员负责实施访问控制策略，其他用

44、户无权管理。其他用户无权管理。n nB2 级级强强调调实实际际中中的的评评价价手手段段，因因此此，增增加或加强了以下功能：加或加强了以下功能：（1）安全策略方面：）安全策略方面：进一步加强了强进一步加强了强制访问控制功能，把强制访问控制的对制访问控制功能，把强制访问控制的对象，从主体到客体扩展到象，从主体到客体扩展到I/O设备等所设备等所有资源，并要求每种系统资源必须与安有资源，并要求每种系统资源必须与安全标记相联系。全标记相联系。（2）可记账性方面）可记账性方面：进一步加强系：进一步加强系统的连续保护和防渗漏能力。主要措施包统的连续保护和防渗漏能力。主要措施包括能够确保系统和用户之间开始注册

45、与确括能够确保系统和用户之间开始注册与确认时路径是可信的，增加了对使用隐蔽存认时路径是可信的，增加了对使用隐蔽存储信道的标记事件的审计功能。隐蔽存储储信道的标记事件的审计功能。隐蔽存储信道是指进程之间通过对某存储载体的读信道是指进程之间通过对某存储载体的读写来完成信息隐蔽传输的信道，而这种信写来完成信息隐蔽传输的信道，而这种信道是违反安全策略要求的。道是违反安全策略要求的。（3）最小特权原则：应能支持操作）最小特权原则：应能支持操作人员与和系统管理人员的权限分离，对每人员与和系统管理人员的权限分离，对每个主体只授予满足完成任务所需的最小存个主体只授予满足完成任务所需的最小存储权，以保证最小特权

46、原则的执行。还应储权，以保证最小特权原则的执行。还应该划分保护与非保护部分，并使它们维持该划分保护与非保护部分，并使它们维持在一个固定的受保护的域中，防止被外界在一个固定的受保护的域中，防止被外界破坏或恶意篡改。破坏或恶意篡改。B3安全级安全级-安全域保护级安全域保护级n n要求系统划分主体要求系统划分主体/客体的区域。客体的区域。n n有能力监控对每个客体的每次访问。有能力监控对每个客体的每次访问。n n用户程序和操作被限定在某个安全域内。用户程序和操作被限定在某个安全域内。n n安全域的访问受到严格控制（有硬件支持）。安全域的访问受到严格控制（有硬件支持）。n n系统设计要简明完善、充分利

47、用分层、抽象和系统设计要简明完善、充分利用分层、抽象和信息隐蔽等原则，要求是高度防突破的。信息隐蔽等原则，要求是高度防突破的。n n要求有一个安全管理员，管理安全活动。要求有一个安全管理员，管理安全活动。n n安全策略方面，采用访问控制表方式实现安全策略方面，采用访问控制表方式实现DAC。用户可以指定与控制对命名客体的共。用户可以指定与控制对命名客体的共享。享。为为了了能能够够确确实实进进行行广广泛泛而而可可信信的的测测试试，B3级级系系统统的的安安全全功功能能应应该该是是短短小小精精悍悍的的。为为了了便便于于理理解解与与实实现现，系系统统的的高高级级设设计计（High Level Desig

48、n）必必须须是是简简明明而而完完善善的的，必必须须组组合合使使用用有有效效的的分分层层、抽抽象象和和信信息息隐隐蔽蔽等等原原则则。所所实实现现的的安安全全功功能能必必须须是是高高度度防防突突破破的的，系系统统的的审审计计功功能能能能够够区区分分出出何何时时能能避避免免一一种种破破坏坏安安全全的的活活动动。为为了了使使系系统统具具备备恢恢复复能能力力，B3系统增加了一个安全策略：系统增加了一个安全策略：（1）安安全全策策略略：采采用用访访问问控控制制表表进进行行控控制制，允允许许用用户户指指定定和和控控制制对对客客体体的的共共享享，也也可可以以指指定定命命名名用用户户对对客客体体的的访访问问方方

49、式。式。（2）可记账性：系统能够监视安全）可记账性：系统能够监视安全审计事件的发生与积累，当超出某个安全审计事件的发生与积累，当超出某个安全阀值时，能够立刻报警，通知安全管理人阀值时，能够立刻报警，通知安全管理人员进行处理。员进行处理。（3）保保障障措措施施：只只能能完完成成与与安安全全有有关关的的管管理理功功能能，对对其其他他完完成成非非安安全全功功能能的的操操作作要要严严加加限限制制。当当系系统统出出现现故故障障与与灾灾难难性性事事件件后后，要要提提供供一一种种过过程程与与机机理理，保保证证在不损害保护的条件，使系统得到恢复。在不损害保护的条件，使系统得到恢复。n nA1安全级安全级-可验

50、证设计保护可验证设计保护要求建立系统的安全模型，且可形式化验要求建立系统的安全模型，且可形式化验证的系统设计。对隐蔽信道进行形式分析。有证的系统设计。对隐蔽信道进行形式分析。有五条确认标准：五条确认标准：1）对系统安全模型进行严谨与充分的证）对系统安全模型进行严谨与充分的证明。证明模型与公理的一致性，模型对策略的明。证明模型与公理的一致性，模型对策略的支持。支持。2）给出保护系统的顶层设计说明。其中）给出保护系统的顶层设计说明。其中包括包括TCB抽象功能定义和支持隔离区域的硬件抽象功能定义和支持隔离区域的硬件软件软件/固件的机制。固件的机制。3）说明系统的顶层设计说明与系统安全形）说明系统的顶