信息安全等级的划分及特征

6.1.2　信息安全等级的划分及特征

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

GB17859把计算机信息系统的安全保护能力划分的5个等级是：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。这5个级别的安全强度自低到高排列，且高一级包括低一级的安全能力。

第一级为用户自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。

本级的主要特征是用户具有自主安全保护能力。访问控制机制允许命名用户以用户或用户组的身份规定并控制客体的共享，能阻止非授权用户读取敏感信息。可信计算基在初始执行时需要鉴别用户的身份，不允许无权用户访问用户身份鉴别信息。该安全级通过自主完整性策略，阻止无权用户修改或破坏敏感信息。

所谓可信计算基是指计算机系统内保护装置的总体，是实现访问控制策略的所有硬件、固件和软件的集合体。可信计算基具有以下性质：能控制主体集合对客体集合的每一次访问，是抗篡改的和足够小的，便于分析、测试与验证。

第二级为系统审计保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。

本级的主要特征是本级也属于自主访问控制级。但和系统自主保护级相比，可信计算基实施粒度更细的自主访问控制，控制粒度可达单个用户级，能够控制访问权限的扩散，没有访问权的用户只能由有权用户指定对客体的访问权。身份鉴别功能通过每个用户唯一标识监控用户的每个行为，并能对这些行为进行审计。增加了客体重用和审计功能是本级的主要特色。审计功能要求可信计算基能够记录：对身份鉴别机制的使用；将客体引入用户地址空间；客体的删除；操作员、系统管理员或系统安全管理员实施的动作以及其他与系统安全有关的事件。

第三级为安全标记保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。

本级的特征主要是本级在提供系统审计保护级的所有功能的基础上，提供基本的强制访问功能。可信计算基能够维护每个主体及其控制的存储客体的敏感标记，也可以要求授权用户确定无标记数据的安全级别。这些标记是等级分类与非等级类别的集合，是实施强制访问控制的依据。可信计算基可以支持对多种安全级别（如军用安全级别可划分为绝密、机密、秘密、无密4个安全级别）的访问控制，强制访问控制规则如下：

仅当主体安全级别中的等级分类高于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别，主体才能对客体有读权；仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含于客体安全级中的非等级类别，主体才能对客体有写权。

可信计算基维护用户身份识别数据，确定用户的访问权及授权数据，并且使用这些数据鉴别用户的身份。审计功能除保持上一级的要求外，还要求记录客体的安全级别，可信计算基还具有审计可读输出记号是否发生更改的能力。对数据完整性的要求则增加了在网络环境中使用完整性敏感标记来确信信息在传输过程中未受损。

本级要求提供有关安全策略的模型，主体对客体强制访问控制的非形式化描述，没有对多级安全形式化模型的要求。

第四级为结构化保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。

本级可信计算基建立在明确定义的形式化安全策略模型之上，它要求将自主和强制访问控制扩展到所有主体与客体。它要求系统开发者应该彻底搜索隐蔽存储信道，要标识出这些信道和它们的带宽。本级最主要的特点是可信计算基必须结构化为关键保护元素和非关键保护元素。可信计算基的接口要求是明确定义的，使其实现能得到充分的测试和全面的复审。结构化保护级加强了鉴别机制，支持系统管理员和操作员的职能，提供可信设施管理，增强了系统配置管理控制，系统具有较强的抗渗透能力。

强制访问控制的能力更强，可信计算基可以对外部主体能够直接或间接访问的所有资源（如主体、存储客体和输入输出资源）都实行强制访问控制。关于访问客体的主体的范围有了扩大，结构化保护级则规定可信计算基外部的所有主体对客体的直接或间接访问都应该满足上一级规定的访问条件。而安全标记保护级则仅要求那些受可信计算基控制的主体对客体的访问受到访问权限的限制，且没有指明间接访问也应受到限制。要求对间接访问也要进行控制，意味着可信计算基必须具有信息流分析能力。

为了实施更强的强制访问控制，结构化保护级要求可信计算基维护与可被外部主体直接或间接访问到的计算机系统资源（如主体、存储客体、只读存储器等）相关的敏感标记。结构化保护级还显式地增加了隐蔽信道分析和可信路径的要求。可信路径的要求如下：可信计算基在它与用户之间提供可信通信路径，供对用户的初始登录和鉴别，且规定该路径上的通信只能由使用它的用户初始化。对于审计功能，本级要求可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。

第五级为访问验证保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重的损害。

对于实现的自主访问控制功能，访问控制能够为每个命名客体指定命名用户和用户组，并规定它们对客体的访问模式。对于强制访问控制功能的要求与上一级别的要求相同。对于审计功能，要求可信计算基包括可以审计安全事件的发生与积累机制，当超过一定阈值时，能够立即向安全管理员发出报警，并且能以最小代价终止这些与安全相关的事件继续发生或积累。