此,如果主机和网络的防范产品出于不同厂家,那么二者相互补充,在防范水平上会较同样一种产品防范两处要高。因此,在三级要求系统能够采取两种产品防范的要求。
由于信息系统具有网络层次多、节点多、覆盖地域广等特点,各部门对计算机的使用和维护水平也不尽相同,这些均要求防恶意代码软件能够提供统一管理和集中监控,能够在恶意代码监控中心的统一管理下,统一、自动升级,将潜在的恶意代码感染源清除在感染之前。同时,也极大的简化了系统维护工作,有利于防范恶意代码策略的有效实施。 9. 资源控制
操作系统是非常复杂的系统软件,其最主要的特点是并发性和共享性。在逻辑上多个任务并发运行,处理器和外部设备能同时工作。多个任务共同使用系统资源,使其能被有效共享,大大提高系统的整体效率,这是操作系统的根本目标。通常计算机资源包括以下几类:中央处理器、存储器、外部设备、信息(包括程序和数据),为保证这些资源有效共享和充分利用,操作系统必须对资源的使用进行控制,包括限制单个用户的多重并发会话、限制最大并发会话连接数、限制单个用户对系统资源的最大和最小使用限度、当登录终端的操作超时或鉴别失败时进行锁定、根据服务优先级分配系统资源等。
该控制点在不同级别主要表现为: 一级:无此要求。
二级:要求对单个用户的会话数量以及终端登录进行限制。
三级:除二级要求外,增加了监视服务器和对系统最小服务进行监测和报警的要求。 四级:与三级要求相同。 具体见下表31: 要求项 项目 合计 一级 N/A 0 二级 a)-c) 3 三级 a)-e) 5 四级 a)-e) 5 4.1.4 应用安全 通过网络、主机系统的安全防护,最终应用安全成为信息系统整体防御的最后一道防线。在应用层面运行着信息系统的基于网络的应用以及特定业务应用。基于网络的应用是形成其他应用的基础,包括消息发送、web浏览等,可以说是基本的应用。业务应用采纳基本应用的功能以满足特定业务的要求,如电子商务、电子政务等。由于各种基本应用最终是为业务应用服务的,因此对应用系统的安全保护最终就是如何保护系统的各种业务应用程序安全运行。
应用安全主要涉及的安全控制点包括:身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等十一个控制点。
不同等级的基本要求在应用安全方面所体现的不同如3.1节和3.2节所描述的一样,在
31
三个方面都有所体现。
一级应用安全要求:对应用进行基本的防护,要求做到简单的身份鉴别,粗粒度的访问控制以及数据有效性检验等基本防护。
二级应用安全要求:在控制点上增加了安全审计、通信保密性和资源控制等。同时,对身份鉴别和访问控制都进一步加强,鉴别的标识、信息等都提出了具体的要求。访问控制的粒度进行了细化,对通信过程的完整性保护提出了特定的校验码技术。应用软件自身的安全要求进一步增强,软件容错能力增强。
三级应用安全要求:在控制点上增加了剩余信息保护和抗抵赖等。同时,身份鉴别的力度进一步增强,要求组合鉴别技术,访问控制增加了敏感标记功能,安全审计已不满足于对安全事件的记录,而要进行分析等。对通信过程的完整性保护提出了特定的密码技术。应用软件自身的安全要求进一步增强,软件容错能力增强,增加了自动保护功能。
四级应用安全要求:在控制点上增加了安全标记和可信路径等。部分控制点在强度上进一步增强,如,身份鉴别要求使用不可伪造的鉴别技术,安全审计能够做到统一安全策略提供集中审计接口等,软件应具有自动恢复的能力等。 下表表明了应用系统安全在控制点上逐级变化的特点:
表32 应用安全层面控制点的逐级变化
控制点 身份鉴别 安全标记 访问控制 可信路经 安全审计 剩余信息保护 通信完整性 通信保密性 抗抵赖 软件容错 资源控制 合计 一级 * * * * 4 二级 * * * * * * * 7 三级 * * * * * * * * * 9 四级 * * * * * * * * * * * 11 另外两个特点(要求项增加和要求项强度增强)将在以下控制点描述时具体展开。 1. 身份鉴别
同主机系统的身份鉴别一样,应用系统同样对登录的用户进行身份鉴别,以确保用户在规定的权限内进行操作。
32
该控制点在不同级别主要表现为:
一级:主要强调了该功能的使能性,即,能够进行简单的身份鉴别。
二级:在一级要求的基础上,对登录要求进一步增强,提出了鉴别标识唯一、鉴别信息复杂等要求。
三级:在二级要求的基础上,提出了两种以上鉴别技术的组合来实现身份鉴别。 四级:在三级要求的基础上,要求其中一种鉴别技术为是不可伪造的。 具体见下表33: 要求项 项目 合计 一级 a)-c) 3 二级 a)-d)* 4+ 三级 a)—e) 5 四级 a)b)*—e) 5+ 其中,二级中,d)增加了鉴别标志唯一、鉴别信息复杂要求,是增强要求;四级中,b)增加了其中一种鉴别技术为是不可伪造的要求。 2. 安全标记
在应用系统层面,在高级别系统中要实现强度较强的访问控制必须要增加安全标记,通过对主体和客体进行标记,主体不能随意更改权限,权限是由系统客观具有的属性以及用户本身具有的属性决定的,因此,在很大程度上使非法访问受到限制,增加了访问控制的力度。
该控制点在不同级别主要表现为: 一级:无此要求。 二级:无此要求。 三级:无此要求。
四级:要求为主体和客体设置安全标记的功能并在安装后启用。 具体见下表34: 要求项 项目 合计 3. 访问控制
在应用系统中实施访问控制是为了保证应用系统受控合法地使用。用户只能根据自己的权限大小来访问应用系统,不得越权访问。
该控制点在不同级别主要表现为:
一级:要求根据一定的控制策略来限制用户对系统资源的访问,控制粒度较粗。 二级:在一级要求的基础上,控制粒度细化,增加覆盖范围要求,并强调了最小授权原则,使得用户的权限最小化。
三级:在二级要求的基础上,增加了对重要信息设置敏感标记,并控制对其的操作。
33
一级 N/A 0 二级 N/A 0 三级 N/A 0 四级 a) 1 四级:除三级要求外,提出以标记的方式进行应用系统访问的控制。 具体见下表35: 要求项 项目 合计 一级 a)-b) 2 二级 a)*-d) 4+ 三级 a)—f) 7 四级 a)b)c)*—e) 5+ 其中,在二级,a)增加了依据安全策略控制访问;四级中,去掉了三级中的e)和f),提出以标记的方式进行应用系统访问的控制,c)增加了禁止默认账户的访问,所以尽管比三级要求项减少了,但是强度增强了。 4. 可信路径
在计算机系统中,用户一般并不直接与内核打交道,通过应用层作为接口进行会话。但由于应用层并不是能完全信任的,因此在系统的安全功能中,提出了“可信路径”这一概念(也是桔皮书B2级的安全要求)。
该控制点在不同级别主要表现为: 一级:无此要求。 二级:无此要求。 三级:无此要求。
四级:要求在用户进行身份鉴别和访问时,提供用户与系统之间可信的安全通信路径。 具体见下表36: 要求项 项目 合计 5. 安全审计
同主机安全审计相似,应用系统安全审计目的是为了保持对应用系统的运行情况以及系统用户行为的跟踪,以便事后追踪分析。应用安全审计主要涉及的方面包括:用户登录情况、系统功能执行以及系统资源使用情况等。
该控制点在不同级别主要表现为: 一级:无此要求。
二级:要求对用户行为、安全事件等进行记录。
三级:除二级要求外,要求对形成的记录能够统计、分析、并生成报表。 四级:除三级要求外,要求根据系统统一安全策略,提供集中审计接口。 具体见下表37: 要求项 一级 二级 三级 四级 一级 N/A 0 二级 N/A 0 三级 N/A 0 四级 a) –b) 2 34
项目 合计 N/A 0 a)-c) 3 a)b)*—d) 4+ a)—e) 5 其中,三级中,b)增加了无法单独中断审计进程要求,所以强度增加。 6. 剩余信息保护
为保证存储在硬盘、内存或缓冲区中的信息不被非授权的访问,应用系统应对这些剩余信息加以保护。用户的鉴别信息、文件、目录等资源所在的存储空间,应将其完全清除之后,才释放或重新分配给其他用户。
该控制点在不同级别主要表现为: 一级:无此要求。 二级:无此要求。
三级:要求对存放鉴别信息、文件、记录等存储空间进行重新使用前的清除。 四级:与三级要求相同。 具体见下表38: 要求项 项目 合计 7. 通信完整性 许多应用程序通过网络与最终用户之间传递数据,此外还在中间应用程序节点之间传递数据,这些数据由于与应用有关,多数带有机密性,如信用卡号码或银行交易明细数据等。为了防止发生意外的信息泄漏,并保护数据免受传输时擅自修改,就必须确保通信点间的安全性。安全的通信具有以下两个特点:完整性和保密性。我们首先了解通信完整性。
该控制点在不同级别主要表现为:
一级:要求通信双方确定一定的会话方式,从而判断数据的完整性。 二级:要求通信双方利用单向校验码技术来判断数据的完整性。 三级:要求通信双方利用密码技术来判断数据的完整性。 四级:与三级要求相同。 具体见下表39: 要求项 项目 合计 8. 通信保密性 同通信完整性一样,通信保密性也是保证通信安全的重要方面。它主要确保数据处于保密状态,不被窃听。
该控制点在不同级别主要表现为:
35
一级 N/A 0 二级 N/A 0 三级 a)-b) 2 四级 a)-b) 2 一级 a) 1 二级 a)* 1+ 三级 a)* 1+ 四级 a) 1