二级:对登录要求进一步增强,提出了鉴别标识唯一、鉴别信息复杂等要求。 三级:在二级要求的基础上,提出了两种以上鉴别技术的组合来实现身份鉴别,同时提出了特权用户权限分离。
四级:在三级要求的基础上,要求其中一种鉴别技术为是不可伪造的。 具体见下表21: 要求项 项目 合计 一级 a)-c) 3 二级 a)-f) 6 三级 a)-h) 8 四级 a)-i) 9 4.1.3 主机安全 主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机,服务器则包括应用程序、网络、web、文件与通信等服务器。主机系统是构成信息系统的主要部分,其上承载着各种应用。因此,主机系统安全是保护信息系统安全的中坚力量。
主机系统安全涉及的控制点包括:身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等九个控制点。
不同等级的基本要求在主机系统安全方面所体现的不同如3.1节和3.2节所描述的一样,在三个方面都有所体现。
一级主机系统安全要求:对主机进行基本的防护,要求主机做到简单的身份鉴别,粗粒度的访问控制以及重要主机能够进行恶意代码防范。
二级主机系统安全要求:在控制点上增加了安全审计和资源控制等。同时,对身份鉴别和访问控制都进一步加强,鉴别的标识、信息等都提出了具体的要求;访问控制的粒度进行了细化等,恶意代码增加了统一管理等。
三级主机系统安全要求:在控制点上增加了剩余信息保护,即,访问控制增加了设置敏感标记等,力度变强。同样,身份鉴别的力度进一步增强,要求两种以上鉴别技术同时使用。安全审计已不满足于对安全事件的记录,而要进行分析、生成报表。对恶意代码的防范综合考虑网络上的防范措施,做到二者相互补充。对资源控制的增加了对服务器的监视和最小服务水平的监测和报警等。
四级主机系统安全要求:在控制点上增加了安全标记和可信路径,其他控制点在强度上也分别增强,如,身份鉴别要求使用不可伪造的鉴别技术,访问控制要求部分按照强制访问控制的力度实现,安全审计能够做到统一集中审计等。
下表表明了主机系统安全在控制点上逐级变化的特点:
表22 主机系统安全层面控制点的逐级变化
控制点 一级 二级 三级 四级 26
身份鉴别 安全标记 访问控制 可信路径 安全审计 剩余信息保护 入侵防范 恶意代码防范 资源控制 合计 * * * * 4 * * * * * * 6 * * * * * * * 7 * * * * * * * * * 9 另外两个特点(要求项增加和要求项强度增强)将在以下控制点描述时具体展开。 1. 身份鉴别
为确保系统的安全,必须对系统中的每一用户或与之相连的服务器或终端设备进行有效的标识与鉴别,只有通过鉴别的用户才能被赋予相应的权限,进入系统并在规定的权限内操作。
该控制点在不同级别主要表现为:
一级:主要强调了该功能的使能性,即,能够进行简单的身份鉴别。
二级:在一级要求的基础上,对登录要求进一步增强,提出了鉴别标识唯一、鉴别信息复杂等要求。
三级:在二级要求的基础上,提出了两种以上鉴别技术的组合来实现身份鉴别。 四级:在三级要求的基础上,要求其中一种鉴别技术为是不可伪造的,同时增加了设置鉴别警示信息的要求。
具体见下表23: 要求项 项目 合计 一级 a) 1 二级 a)-e) 5 三级 a)—f) 6 四级 a)—g) * 8+ 其中,四级中g)是在三级的基础上要求其中一种鉴别技术为是不可伪造的,所以是增强要求。 2. 安全标记
在主机系统层面,在高级别系统中要实现强度较强的访问控制必须要增加安全标记,通过对主体和客体进行标记,主体不能随意更改权限,权限是由系统客观具有的属性以及用户本身具有的属性决定的,因此,在很大程度上使非法访问受到限制,增加了访问控制的力度。
该控制点在不同级别主要表现为:
27
一级:无此要求。 二级:无此要求。 三级:无此要求。
四级:要求对所有主体和客体设置敏感标记。 具体见下表24: 要求项 项目 合计 3. 访问控制 在系统中实施访问控制是为了保证系统资源(操作系统和数据库管理系统)受控合法地使用。用户只能根据自己的权限大小来访问系统资源,不得越权访问。
该控制点在不同级别主要表现为:
一级:要求根据一定的控制策略来限制用户对系统资源的访问,控制粒度较粗。 二级:在一级要求的基础上,实现不同系统用户的权限分离。
三级:除二级要求外,强调了最小授权原则,使得用户的权限最小化,同时要求对重要信息资源设置敏感标记。
四级:除三级要求外,增加了强制访问控制的部分功能,要求依据安全策略和所有主体和客体设置的敏感标记控制主体对客体的访问访问,同时增强了控制粒度,达到主体为用户级或进程级,客体为文件、数据库表、记录和字段级。
具体见下表25: 要求项 项目 合计 一级 a)-c) 3 二级 a)- d) 4 三级 a)—g) 7 四级 a) *—f) 6+ 一级 N/A 0 二级 N/A 0 三级 N/A 0 四级 a) 1 其中,在四级,去掉了三级中的f)和g)同时对a) 要求依据安全策略和所有主体和客体设置的敏感标记控制主体对客体的访问访问,增强了要求,所以是a)*,同时在四级中增加了b),主要是增强了控制粒度,所以尽管四级的要求项减少了,但实际要求增强了。 4. 可信路径
在计算机系统中,用户一般并不直接与内核打交道,通过应用层作为接口进行会话。但由于应用层并不是能完全信任的,因此在系统的安全功能中,提出了“可信路径”这一概念(也是桔皮书B2级的安全要求)。
该控制点在不同级别主要表现为: 一级:无此要求。 二级:无此要求。 三级:无此要求。
28
四级:要求在用户进行身份鉴别和访问时,提供用户与系统之间可信的安全通信路径。 具体见下表26: 要求项 项目 合计 5. 安全审计 同网络安全审计相似,对主机进行安全审计,目的是为了保持对操作系统和数据库系统的运行情况以及系统用户行为的跟踪,以便事后追踪分析。主机安全审计主要涉及的方面包括:用户登录情况、系统配置情况以及系统资源使用情况等。
该控制点在不同级别主要表现为: 一级:无此要求。
二级:要求对用户行为、系统异常情况等基本情况进行审计、记录,审计范围仅覆盖服务器用户。
三级:除二级要求外,要求对形成的记录能够分析、生成报表。同时对审计记录提出了保护要求。另外,审计覆盖范围扩大,由二级的服务器扩展到客户端。
四级:除三级要求外,要求做到集中审计。 具体见下表27: 要求项 项目 合计 一级 N/A 0 二级 a)-d) 4 三级 a)*—f) 6+ 四级 a)—g) 7 一级 N/A 0 二级 N/A 0 三级 N/A 0 四级 a) –b) 2 其中,三级中的审计覆盖的范围由二级的服务器到服务器和客户端的数据库和操作系统用户,审计的力度增强,所以是a)*。 6. 剩余信息保护
为保证存储在硬盘、内存或缓冲区中的信息不被非授权的访问,操作系统应对这些剩余信息加以保护。用户的鉴别信息、文件、目录等资源所在的存储空间,操作系统将其完全清除之后,才释放或重新分配给其他用户。
该控制点在不同级别主要表现为: 一级:无此要求。 二级:无此要求。
三级:要求对存放鉴别信息、文件、记录等存储空间进行重新使用前的清除。 四级:与三级要求相同。 具体见下表28: 要求项 一级 二级 三级 四级 29
项目 合计 7. 入侵防范 N/A 0 N/A 0 a)-b) 2 a)-b) 2 由于基于网络的入侵检测只是在被监测的网段内对网络非授权的访问、使用等情况进行防范,它无法防范网络内单台主机、服务器等被攻击的情况。基于主机的入侵检测,可以说是基于网络的“补充”,补充检测那些出现在“授权”的数据流或其他遗漏的数据流中的入侵行为。
该控制点在不同级别主要表现为:
一级:基本的防范要求,要求安装应遵循最小授权原则,并及时更新。 二级:在一级的基础上要求设置升级服务器方式及时更新。
三级:在二级的基础上,增加对入侵行为进行记录和检测,并能够采取报警等措施;对重要程序完整性进行检测并恢复。
四级:同三级要求。 具体见下表29: 要求项 项目 合计 8. 恶意代码防范 恶意代码一般通过两种方式造成各种破坏,一种是通过网络,另外一种就是通过主机。网络边界处的恶意代码防范可以说是防范工作的“第一道门槛”,然而,如果恶意代码通过网络进行蔓延,那么直接后果就是造成网络内的主机感染,所以说,网关处的恶意代码防范并不是“一劳永逸”。另外,通过各种移动存储设备的接入主机,也可能造成该主机感染病毒,而后通过网络感染其他主机。所以说,这两种方式是交叉发生的,必须在两处同时进行防范,才能尽可能的保证安全。
该控制点在不同级别主要表现为: 一级:重要主机应安装一定的防范产品。
二级:在一级要求的基础上,要求对恶意代码进行统一管理。 三级:除二级要求外,要求主机与网络处的防范产品不同。 四级:与三级要求相同。 具体见下表30: 要求项 项目 合计 一级 a) 1 二级 a)-b) 2 三级 a)-c) 3 四级 a)-c) 3 一级 a) 1 二级 a)* 1+ 三级 a)-c) 3 四级 a)-c) 3 由于不同产商的恶意代码防范产品在恶意代码库的定义以及升级时机上都有所不同,因30