周煥盛

同濟(jì)大學(xué)計(jì)算機(jī)系，上海 201804

0 引言

在一個(gè)信息安全體系結(jié)構(gòu)中，對關(guān)注點(diǎn)（比如安全策略、安全服務(wù)、信息資產(chǎn)、業(yè)務(wù)依賴等）進(jìn)行分級，不管從技術(shù)上還是從管理上都是非常必要的。信息爆炸使得安全問題變得越來越來復(fù)雜，因此安全等級的劃分就成了安全體系結(jié)構(gòu)設(shè)計(jì)中的核心環(huán)節(jié)。好的安全等級劃分策略能夠清晰地定義邊界，能夠?qū)Π踩{進(jìn)行精確的評估，這會(huì)給用戶和信息資產(chǎn)的管理帶來極大的方便。從安全工程師的角度看，他們通常精通各種安全技術(shù)和攻防策略，因此希望在安全服務(wù)上（比如認(rèn)證、保密、訪問控制、防抵賴、信息流的安全路由等）實(shí)施等級保護(hù)。而用戶則更愿意從應(yīng)用環(huán)境、信息資產(chǎn)等方面來關(guān)注安全威脅造成的后果。不同的視角造就了多種安全等級劃分的策略。

從目前的研究看，主要的安全等級劃分方法有基于安全策略的安全等級劃分（TCSEC）、基于安全強(qiáng)健性的安全等級劃分（IATF）和基于安全服務(wù)的安全等級劃分（CDSA）。

1 基于安全策略的安全等級劃分

安全策略是指用于所有與安全活動(dòng)相關(guān)的一組規(guī)則，它的顯著特點(diǎn)就是用一般術(shù)語對安全需求和安全屬性進(jìn)行描述，而不涉及具體的實(shí)現(xiàn)過程。美國國防部1985年12月通過的可信計(jì)算機(jī)安全評價(jià)標(biāo)準(zhǔn)（TCSEC，又稱橙皮書）就是基于安全策略來分級的。TCSEC的安全等級劃分指標(biāo)包括安全策略（Security Policy）、責(zé)任（Accountability）、保證（Assurance）和文檔（Documentation）4個(gè)方面，每個(gè)方面又細(xì)分為若干項(xiàng)，其中的核心就是安全策略。

根據(jù)對上述各項(xiàng)指標(biāo)的支持情況，TCSEC將系統(tǒng)劃分為4類（division）7個(gè)等級，依次是D；C（C1，C2）；B（B1，B2 ，B3）；A（A1），按系統(tǒng)可靠或可信程度逐漸增高。D類為最小化保護(hù)，C類為自主保護(hù)，B類為強(qiáng)制保護(hù)，A類為可驗(yàn)證的保護(hù)。在TCSEC中建立的安全級別之間具有一種偏序向下兼容的關(guān)系，即較高安全性級別提供的安全保護(hù)要包含較低級別的所有保護(hù)要求，同時(shí)提供更多或更完善的保護(hù)能力。

基于安全策略的安全等級劃分核心是訪問控制。有DAC和MAC。DAC說明主體具有自主權(quán)，能夠向其他主體轉(zhuǎn)讓訪問權(quán)限，這通常會(huì)導(dǎo)致系統(tǒng)中一個(gè)或多個(gè)特權(quán)用戶可以改變主體的訪問權(quán)限。主體的權(quán)限過大很容易導(dǎo)致機(jī)密信息的泄露。DAC一般是通過訪問控制表（ACL）來實(shí)現(xiàn)的，幾乎就是一種靜態(tài)表格形式，一旦用戶數(shù)量增多、用戶數(shù)據(jù)增加，ACL就會(huì)變得非常龐大。ACL本身的維護(hù)也不是一件容易的事，因?yàn)橛脩舻男枰L問的資源各種各樣，而且用戶的職責(zé)有時(shí)也會(huì)經(jīng)常發(fā)生變化。MAC意味著如果用戶沒有按相應(yīng)安全等級行事，系統(tǒng)就不會(huì)讓用戶訪問對象。這是一種被動(dòng)的安全模型。系統(tǒng)使用靈敏度標(biāo)記作為所有強(qiáng)制訪問控制的基礎(chǔ)，靈敏度標(biāo)記必須準(zhǔn)確地表示其所聯(lián)系的對象的安全級別。當(dāng)系統(tǒng)管理員創(chuàng)建系統(tǒng)或者增加新的通信通道或I/O設(shè)備時(shí)，管理員必須指定每個(gè)通信通道和I/O設(shè)備是單級還是多級，并且管理員只能手工完成這些操作。單級設(shè)備并不保持傳輸信息的靈敏度級別，所有直接面向用戶位置的輸出（無論是虛擬的還是物理的）都必須產(chǎn)生標(biāo)記來指示關(guān)于輸出對象的靈敏度。顯然這種管理不方便，也容易出錯(cuò)。

DAC和MAC都沒有考慮實(shí)際的應(yīng)用環(huán)境，授權(quán)訪問基本上都是靜態(tài)的，一旦主體有某種權(quán)限，它就永遠(yuǎn)擁有該權(quán)限。這種安全等級劃分不具有動(dòng)態(tài)性，也不夠精確，很能適應(yīng)企業(yè)規(guī)模越來越龐大，需要更加清晰和精確的安全等級劃分的現(xiàn)實(shí)。另外，TCSEC的分級具有縱向性，即一級比一級強(qiáng)，但級與級之間的邊界卻不是十分的清晰，沒有融入橫向分級的策略。通常我們也需要橫向的分級，每個(gè)級別關(guān)注不同的安全問題，這樣就能各盡其責(zé)，邊界清晰。

2 基于安全強(qiáng)健性的安全等級劃分

2.1 IATF的等級劃分思想

美國國家安全局（NSA）制定的信息保障技術(shù)框架IATF，提出信息保障的核心思想是縱深防御戰(zhàn)略。所謂縱深防御戰(zhàn)略就是采用一個(gè)多層次的、縱深的安全措施來保障用戶信息及信息系統(tǒng)的安全。在縱深防御戰(zhàn)略中，人、技術(shù)和操作是三個(gè)主要核心因素，要保障信息及信息系統(tǒng)的安全，三者缺一不可。在IATF中，安全等級劃分用強(qiáng)健性來衡量。強(qiáng)健性級別被定義為推薦的安全機(jī)制強(qiáng)度和保證測試級別，它由信息價(jià)值和威脅環(huán)境來決定。IATF根據(jù)信息保護(hù)策略的違犯造成的危害程度將信息價(jià)值劃分為V1-V5共5個(gè)級別。根據(jù)對手占有的資源和愿意冒的風(fēng)險(xiǎn)程度將環(huán)境威脅劃分為T1-T7共7個(gè)級別。

當(dāng)信息價(jià)值和威脅環(huán)境的級別確定后，ISSE（信息系統(tǒng)安全工程）可以在確定安全機(jī)制的強(qiáng)度和需要進(jìn)行什么樣的保險(xiǎn)活動(dòng)方面提供指導(dǎo)，以獲得推薦的機(jī)制強(qiáng)度級別SML（Strength Mechanism Level）和保證測試級別EAL（Evaluation Assurance Level）。對于某一威脅級別（T1～T7）和某一信息或系統(tǒng)的價(jià)值（V1～V5），IATF列出了推薦的最小SML級別和EAL級別。這里SML為機(jī)制強(qiáng)度級別，表現(xiàn)為一系列技術(shù)性的安全服務(wù)機(jī)制，IATF列出了8大類安全機(jī)制，每一類中都包含若干種安全服務(wù)。根據(jù)對各種安全服務(wù)的支持程度SML被劃分為基本強(qiáng)度、中等強(qiáng)度和高強(qiáng)度3個(gè)級別。EAL為保證測試級別，即為了使系統(tǒng)達(dá)到一定的安全性而需要進(jìn)行的測試。根據(jù)測試的嚴(yán)格程度EAL被劃分為功能測試、結(jié)構(gòu)測試、順序測試檢查、順序的設(shè)計(jì)測試和檢查、半正式設(shè)計(jì)和測試、半正式認(rèn)證設(shè)計(jì)和測試、正式認(rèn)證設(shè)計(jì)和測試共7個(gè)等級。

2.2 IATF的主要問題

IATF的安全等級劃分真正地把人（即管理）、技術(shù)、操作結(jié)合起來，貫徹了縱深防御的戰(zhàn)略。與TCSEC相比較，這無疑是一個(gè)巨大的進(jìn)步。IATF把安全等級劃分因素歸結(jié)為內(nèi)部因素（信息資產(chǎn)的價(jià)值）和外部因素（環(huán)境的威脅程度），根據(jù)這兩個(gè)因素的強(qiáng)弱組合(V，T)來劃分系統(tǒng)的安全等級(SEL，EAL)。這使得IATF的安全等級劃分成為一個(gè)全面的多維的構(gòu)造。與TCSEC相比，IATF中對V和T的分級提高了等級劃分的精確性。

IATF的主要缺點(diǎn)是它的劃分方法仍然是定性的，并沒有達(dá)到量化級別的精確度，其強(qiáng)健性策略并沒有提供更為詳細(xì)的分析方法。它給出都是一些定性的指標(biāo)，其V、T、SEL和EAL分級的定義都是定性的，策略自身并沒有提供在特定的情況下選擇安全機(jī)制的足夠信息。IATF中的強(qiáng)健性策略也不見得就是完善的，可能還有很多其他的因素需要考慮（比如部門對信息系統(tǒng)的依賴程度），也可能還有新的安全機(jī)制在表中沒有列出。IATF的等級劃分能夠給信息系統(tǒng)工程師提供一個(gè)指導(dǎo)性的框架，但它并沒有提供一種精確的分析方法來確定信息資產(chǎn)的價(jià)值和環(huán)境的威脅程度。工程師在對V1-V5，T1-T7進(jìn)行劃分時(shí)，并沒有一個(gè)嚴(yán)格的標(biāo)準(zhǔn)，可能一個(gè)工程認(rèn)為是V3，而另一個(gè)工程師則認(rèn)為是V4。他們只能基于自己的經(jīng)驗(yàn)和聽取專家的意見去獲得一些感性的認(rèn)識。

3 基于安全服務(wù)的安全等級劃分

公共數(shù)據(jù)安全體系結(jié)構(gòu)CDSA由Intel體系結(jié)構(gòu)實(shí)驗(yàn)室提出，并得到了多家組織和廠商的支持。CDSA定義為一個(gè)開放的、可擴(kuò)展的體系結(jié)構(gòu)，它包含一組層次化的安全服務(wù)和相關(guān)編程接口，應(yīng)用程序可以有選擇地、動(dòng)態(tài)地訪問這些安全服務(wù)。

整個(gè)CDSA劃分為4層，即應(yīng)用程序?qū)印⑾到y(tǒng)安全服務(wù)層、通用安全服務(wù)管理器（CSSM）層、安全插件模塊層。這里安全插件模塊層提供了5種核心的安全服務(wù)模塊，即密碼服務(wù)CSP、信任策略服務(wù)TP、數(shù)字證書庫服務(wù)CL、數(shù)據(jù)存儲庫服務(wù)DL、授權(quán)計(jì)算服務(wù)AC。這些安全服務(wù)由CSSM層來進(jìn)行統(tǒng)一地集成和管理。CDSA將攻擊分為3類，其中I類外部攻擊（如黑客）；II類為運(yùn)行程序的攻擊（如病毒和木馬）；III類完全控制系統(tǒng)并利用分析工具進(jìn)行的攻擊。CDSA被設(shè)計(jì)成防范II類和III類攻擊。

CDSA的優(yōu)點(diǎn)就是通用，這既包括技術(shù)上的通用，也包括商業(yè)上的通用。技術(shù)上的通用包括跨平臺、能夠兼容各種現(xiàn)有技術(shù)協(xié)議、允許支持多種開發(fā)語言、靈活可擴(kuò)展的接口、豐富的管理工具、開放的API標(biāo)準(zhǔn)等等；商業(yè)上的通用，CDSA則希望能應(yīng)用到包括電子商務(wù)、教育、娛樂、信息、原材料等相關(guān)軟件和服務(wù)中。但CDSA并不是一個(gè)全面的安全等級劃分系統(tǒng)。CDSA認(rèn)為I類攻擊應(yīng)該通過優(yōu)秀的訪問控制和系統(tǒng)管理機(jī)制來防范，而不是使用安全軟件。可見與IATF相比，CDSA并不是一個(gè)縱深的多層次的安全保護(hù)方案。CDSA與TCSEC一樣，都沒有考慮人的因素，沒有引入系統(tǒng)的安全管理機(jī)制。CDSA還具有不可伸縮、接口復(fù)雜、系統(tǒng)資源消耗大等缺點(diǎn)。

4 結(jié)論

隨著信息網(wǎng)絡(luò)的快速發(fā)展和信息系統(tǒng)工程變得越來越復(fù)雜的現(xiàn)實(shí)，安全等級劃分成為信息系統(tǒng)研究、開發(fā)和管理中的一個(gè)重要課題。本文對當(dāng)前3種主流的安全等級劃分方法作了詳細(xì)的分析和比較。事實(shí)上每一種安全等級模型都有很多變體，這都有待進(jìn)一步的研究。從宏觀上看，人和管理的因素，與應(yīng)用相結(jié)合的信息資產(chǎn)、工作流等都被納入到安全等級劃分的范疇。從微觀上看，劃分粒度越來越精細(xì)，對某一個(gè)技術(shù)性的安全范疇（信息價(jià)值）都會(huì)形成多層次的等級劃分。總的來說，安全等級劃分研究的趨勢是方法越來越精確、考慮的因素越來越全面、站的層次越來越高（從系統(tǒng)工程的角度出發(fā)）、劃分越來越精細(xì)、由單維的構(gòu)造向多維方向發(fā)展。

[1]USDoD5200.28-STD.Trusted Computer System Evaluation Criteria[S].

[2]IATF Release3.1.Information Assurance Technical Framework[S].

[3]趙戰(zhàn)生.美國信息保障技術(shù)框架——IATF簡介[J].信息網(wǎng)絡(luò)安全，2003(4)：13-16.

[4]The Open Group.Common Security:CDSA and CSSM,Version2.3[EB/OL].http://www.opengroup.org/publications/catalog/c914.htm,2000，5.

[5]馮登國，孫銳，張陽.信息安全體系結(jié)構(gòu)[M].北京：清華大學(xué)出版社，2008.

[6]S.Michelle Oda,Huirong Fu,Ye Zhu.Enterprise Information Security Architecture A Review of Frameworks,Methodology,and Case Studies.2nd IEEE International Conference on Computer Science and Information Technology,8-11，2009，8:333-337.