CISSP的成长之路（十五）：系统架构和设计之安全标准

J0ker给大家介绍了CISSP CBK中提到的，同时也是现实产品中最常使用的几个保护机制。在实践中采购一个信息技术产品之前，我们一般都会先了解目标产品的安全程度。但如果由不同需求的人员来对产品进行评估，如果没有统一的标准，结果也是千差万别——这样就产生对统一标准的需求，因此世界上的许多国家和组织推出了自己的产品安全评估标准，其中使用最广泛的就是CISSP CBK中介绍到的TCSEC（橘皮书）、TNI（红皮书）、ITSEC和CC这几种。

在了解这些安全评估标准之前，我们先要了解一下基本的概念：产品和系统。我们知道，所有的安全评估标准，所针对的对象都是产品或系统，那这里所提到的产品和系统到底指的是什么？在CISSP Official Guide里面提到，“产品”，指的是某个特定的可以使用在其设计目标场合的应用程序，或在某些预定义的规则下操作的应用程序，操作系统作为一个整体来看，就是一个产品；而“系统”则是指完成某个特定目标或者在某个特定场合下操作的许多产品的集合。明白这两个概念之间的差异，对理解安全评估标准很有帮助。

说完了最基本的概念，J0ker开始给大家介绍CISSP CBK上所提到的安全评估标准：
TCSEC，也就是俗称的橘皮书（Orange Book），它是第一个被广泛接受的安全评估标准，由美国国防部于1985年提出，目的在于评估所部署系统的安全程度。TCSEC评估产品的出发点基于三个：

◆功能，目标系统所具有的安全功能，比如用户验证和审计；
◆有效性，安全功能的使用是否满足所需要提供的安全级别；
◆认可度：授权机构对系统所提供的安全级别的认可程度。

TCSEC把评估对象的安全程度分成了4个等级：A、B、C和D，安全程度从A到D逐级下降，确定为A的产品具有最高的安全性，而D等级的产品则完全没有安全性的考虑。这四个等级的分级标准包括：

◆安全策略：目标系统的安全策略设置是强制或自主式访问控制策略
◆物件标记：是否对系统内的物件根据敏感程度的不同进行标记
◆使用者识别：使用者必须经过识别和验证
◆审计：安全相关的事件必须进行日志记录
◆保证性：指：1.操作保证性，比如系统架构、对执行域的保护、系统完整性；2.生命周期保证性，如设计方法、安全测试和设置管理等
◆文档：用户和管理员应该了解如何安装和使用系统的安全功能，测试人员也需要文档去进行测试
◆持续保护：保护机制本身不容易被干扰或破坏
根据这些分级标准，TCSEC的4个安全等级再细分为7个等级，这些等级的名字和详细内容如下：

分级	安全功能
A1 （ Verified Security ）	A1 级等于 B3 级，它提供最高的安全性，并设有系统安全管理员这一角色，不过A1级别系统的部署和维护成本也是非常高的，现实中只有极少数的系统要求达到这一安全级别。
B1 、 B2 、 B3（ Mandatory Protection ）	B1 级（ Labeled protection ）是安全等级 B 中最低一级，要求提供满足强制访问控制策略的模型，数据标签、已命名的访问者及访问目标控制、更详细的文档和测试、文档 / 源代码 / 目标代码需要经过分析，这个安全等级常用于 Compartment 环境
	B2 级（ Structured Protection ）在 B1 的基础上，增加了更多系统设计要求。其中，要求实现规范的安全模型，隐蔽信道分析、更强的验证方式和可信机房管理。
	B3 级（ Security Domains ）是安全等级 B 中最强的一级，它在 B2 的基础上增加的新元素是安全管理，包括安全事件的自动通知、安全管理员的支持等
C1 、 C2 （ Discretionary Protection ）	C1 级（ Discretionary Security Protection ）主要用于多用户环境，只提供防止用户的数据被其他用户修改或破坏的基本保护功能
	C2 级（ Controlled Access Protection ）在 C1 的基础上增加了用户登录和审计功能，并使用 DAC 访问控制，尽管 C2 的安全功能较弱，但 C2 级是较适合用于商用系统和程序的安全级别，常见的 MS Windows 和 Linux 都是属于 C2 级别
D （ Minimal Protection ）	只提交给 TCSEC 评估，自身没有部署安全措施的系统都属于 D 级。

因为TCSEC是1960年代开始设计，并于1985年成型的标准，由于当时安全观点的局限性，TCSEC的评估目标只涉及了保密性，而没有涉及完整性和可用性的评估。因为逐渐不适合现代信息环境和新标准的纷纷推出，美国于2000年废除了TCSEC。

TNI：TNI也称为红皮书（Red Book），由于TCSEC存在评估对象只对单一系统，并且没有完整性评估的缺点，1987年提出了TNI安全标准。TNI用于评估电信和网络系统，它基于TCSEC，同样使用了TCSEC中的ABCD分级方法。

TNI中的关键功能如下：
◆完整性：TNI使用了Biba安全模型来保证数据的完整性，并使用了信息源/目标认证、加密等方法来保证信息传输的完整性
◆标签：在使用和TCSEC类似的保密性标签之外，TNI还加入了完整性标签，以进行强制访问控制
◆其他安全服务，主要可分成以下几个类型：通讯完整性，包括验证、通讯域完整性、抗抵赖性；拒绝服务防御：操作持续性、基于协议的保护和网络管理；威胁保护：数据保密性和通讯保密性。

ITSEC：在TCSEC标准推出不久，许多欧洲国家也在酝酿推出自己的安全评测标准，结果便是ITSEC的推出。ITSEC于1990年推出第一版草稿，并最终于1995年又欧盟会议批准。尽管ITSEC借用了TCSEC的许多设计思想，但因为TCSEC被认为过分死板，因此ITSEC的一个主要目标就是为安全评估提供一个更灵活的标准。ITSEC和TCSEC的主要区别在于，ITSEC不单针对了保密性，同时也把完整性和可用性作为评估的标准之一。

ITSEC的制定认识到IT系统安全的实现通常是要将技术和非技术手段结合起来，技术手段用来抵御威胁，而组织和管理手段则用来指导实现。因此ITSEC对目标的评估基于两个因素：有效性和准确性，有效性表明评估目标能够在多大程度上抵御威胁，而准确性则表明系统的设计和操作在多大程度上保证安全性。

为了涵盖这两个方面，ITSEC使用了“评估目标（TOE）“这一概念，它表述了目标产品的操作安全需求和面临的威胁，而另外一个概念，”安全目标（Security Objectives）“，则表述了目标产品所要满足的安全功能和评估级别。ITSEC的安全等级划分与ITSEC不同，他分为功能性等级（F）和保证性等级（E），这两个等级的具体内容如下：
功能性F：