安全等級劃分方法研究綜述

周煥盛

同濟大學計算機系，上海 201804

0 引言

在一個信息安全體系結(jié)構(gòu)中，對關(guān)注點（比如安全策略、安全服務、信息資產(chǎn)、業(yè)務依賴等）進行分級，不管從技術(shù)上還是從管理上都是非常必要的。信息爆炸使得安全問題變得越來越來復雜，因此安全等級的劃分就成了安全體系結(jié)構(gòu)設計中的核心環(huán)節(jié)。好的安全等級劃分策略能夠清晰地定義邊界，能夠?qū)Π踩{進行精確的評估，這會給用戶和信息資產(chǎn)的管理帶來極大的方便。從安全工程師的角度看，他們通常精通各種安全技術(shù)和攻防策略，因此希望在安全服務上（比如認證、保密、訪問控制、防抵賴、信息流的安全路由等）實施等級保護。而用戶則更愿意從應用環(huán)境、信息資產(chǎn)等方面來關(guān)注安全威脅造成的后果。不同的視角造就了多種安全等級劃分的策略。

從目前的研究看，主要的安全等級劃分方法有基于安全策略的安全等級劃分（TCSEC）、基于安全強健性的安全等級劃分（IATF）和基于安全服務的安全等級劃分（CDSA）。

1 基于安全策略的安全等級劃分

安全策略是指用于所有與安全活動相關(guān)的一組規(guī)則，它的顯著特點就是用一般術(shù)語對安全需求和安全屬性進行描述，而不涉及具體的實現(xiàn)過程。美國國防部1985年12月通過的可信計算機安全評價標準（TCSEC，又稱橙皮書）就是基于安全策略來分級的。TCSEC的安全等級劃分指標包括安全策略（Security Policy）、責任（Accountability）、保證（Assurance）和文檔（Documentation）4個方面，每個方面又細分為若干項，其中的核心就是安全策略。

根據(jù)對上述各項指標的支持情況，TCSEC將系統(tǒng)劃分為4類（division）7個等級，依次是D；C（C1，C2）；B（B1，B2 ，B3）；A（A1），按系統(tǒng)可靠或可信程度逐漸增高。D類為最小化保護，C類為自主保護，B類為強制保護，A類為可驗證的保護。在TCSEC中建立的安全級別之間具有一種偏序向下兼容的關(guān)系，即較高安全性級別提供的安全保護要包含較低級別的所有保護要求，同時提供更多或更完善的保護能力。

基于安全策略的安全等級劃分核心是訪問控制。有DAC和MAC。DAC說明主體具有自主權(quán)，能夠向其他主體轉(zhuǎn)讓訪問權(quán)限，這通常會導致系統(tǒng)中一個或多個特權(quán)用戶可以改變主體的訪問權(quán)限。主體的權(quán)限過大很容易導致機密信息的泄露。DAC一般是通過訪問控制表（ACL）來實現(xiàn)的，幾乎就是一種靜態(tài)表格形式，一旦用戶數(shù)量增多、用戶數(shù)據(jù)增加，ACL就會變得非常龐大。ACL本身的維護也不是一件容易的事，因為用戶的需要訪問的資源各種各樣，而且用戶的職責有時也會經(jīng)常發(fā)生變化。MAC意味著如果用戶沒有按相應安全等級行事，系統(tǒng)就不會讓用戶訪問對象。這是一種被動的安全模型。系統(tǒng)使用靈敏度標記作為所有強制訪問控制的基礎，靈敏度標記必須準確地表示其所聯(lián)系的對象的安全級別。當系統(tǒng)管理員創(chuàng)建系統(tǒng)或者增加新的通信通道或I/O設備時，管理員必須指定每個通信通道和I/O設備是單級還是多級，并且管理員只能手工完成這些操作。單級設備并不保持傳輸信息的靈敏度級別，所有直接面向用戶位置的輸出（無論是虛擬的還是物理的）都必須產(chǎn)生標記來指示關(guān)于輸出對象的靈敏度。顯然這種管理不方便，也容易出錯。

DAC和MAC都沒有考慮實際的應用環(huán)境，授權(quán)訪問基本上都是靜態(tài)的，一旦主體有某種權(quán)限，它就永遠擁有該權(quán)限。這種安全等級劃分不具有動態(tài)性，也不夠精確，很能適應企業(yè)規(guī)模越來越龐大，需要更加清晰和精確的安全等級劃分的現(xiàn)實。另外，TCSEC的分級具有縱向性，即一級比一級強，但級與級之間的邊界卻不是十分的清晰，沒有融入橫向分級的策略。通常我們也需要橫向的分級，每個級別關(guān)注不同的安全問題，這樣就能各盡其責，邊界清晰。

2 基于安全強健性的安全等級劃分

2.1 IATF的等級劃分思想

美國國家安全局（NSA）制定的信息保障技術(shù)框架IATF，提出信息保障的核心思想是縱深防御戰(zhàn)略。所謂縱深防御戰(zhàn)略就是采用一個多層次的、縱深的安全措施來保障用戶信息及信息系統(tǒng)的安全。在縱深防御戰(zhàn)略中，人、技術(shù)和操作是三個主要核心因素，要保障信息及信息系統(tǒng)的安全，三者缺一不可。在IATF中，安全等級劃分用強健性來衡量。強健性級別被定義為推薦的安全機制強度和保證測試級別，它由信息價值和威脅環(huán)境來決定。IATF根據(jù)信息保護策略的違犯造成的危害程度將信息價值劃分為V1-V5共5個級別。根據(jù)對手占有的資源和愿意冒的風險程度將環(huán)境威脅劃分為T1-T7共7個級別。

當信息價值和威脅環(huán)境的級別確定后，ISSE（信息系統(tǒng)安全工程）可以在確定安全機制的強度和需要進行什么樣的保險活動方面提供指導，以獲得推薦的機制強度級別SML（Strength Mechanism Level）和保證測試級別EAL（Evaluation Assurance Level）。對于某一威脅級別（T1～T7）和某一信息或系統(tǒng)的價值（V1～V5），IATF列出了推薦的最小SML級別和EAL級別。這里SML為機制強度級別，表現(xiàn)為一系列技術(shù)性的安全服務機制，IATF列出了8大類安全機制，每一類中都包含若干種安全服務。根據(jù)對各種安全服務的支持程度SML被劃分為基本強度、中等強度和高強度3個級別。EAL為保證測試級別，即為了使系統(tǒng)達到一定的安全性而需要進行的測試。根據(jù)測試的嚴格程度EAL被劃分為功能測試、結(jié)構(gòu)測試、順序測試檢查、順序的設計測試和檢查、半正式設計和測試、半正式認證設計和測試、正式認證設計和測試共7個等級。

2.2 IATF的主要問題

IATF的安全等級劃分真正地把人（即管理）、技術(shù)、操作結(jié)合起來，貫徹了縱深防御的戰(zhàn)略。與TCSEC相比較，這無疑是一個巨大的進步。IATF把安全等級劃分因素歸結(jié)為內(nèi)部因素（信息資產(chǎn)的價值）和外部因素（環(huán)境的威脅程度），根據(jù)這兩個因素的強弱組合(V，T)來劃分系統(tǒng)的安全等級(SEL，EAL)。這使得IATF的安全等級劃分成為一個全面的多維的構(gòu)造。與TCSEC相比，IATF中對V和T的分級提高了等級劃分的精確性。

IATF的主要缺點是它的劃分方法仍然是定性的，并沒有達到量化級別的精確度，其強健性策略并沒有提供更為詳細的分析方法。它給出都是一些定性的指標，其V、T、SEL和EAL分級的定義都是定性的，策略自身并沒有提供在特定的情況下選擇安全機制的足夠信息。IATF中的強健性策略也不見得就是完善的，可能還有很多其他的因素需要考慮（比如部門對信息系統(tǒng)的依賴程度），也可能還有新的安全機制在表中沒有列出。IATF的等級劃分能夠給信息系統(tǒng)工程師提供一個指導性的框架，但它并沒有提供一種精確的分析方法來確定信息資產(chǎn)的價值和環(huán)境的威脅程度。工程師在對V1-V5，T1-T7進行劃分時，并沒有一個嚴格的標準，可能一個工程認為是V3，而另一個工程師則認為是V4。他們只能基于自己的經(jīng)驗和聽取專家的意見去獲得一些感性的認識。

3 基于安全服務的安全等級劃分

公共數(shù)據(jù)安全體系結(jié)構(gòu)CDSA由Intel體系結(jié)構(gòu)實驗室提出，并得到了多家組織和廠商的支持。CDSA定義為一個開放的、可擴展的體系結(jié)構(gòu)，它包含一組層次化的安全服務和相關(guān)編程接口，應用程序可以有選擇地、動態(tài)地訪問這些安全服務。

整個CDSA劃分為4層，即應用程序?qū)?、系統(tǒng)安全服務層、通用安全服務管理器（CSSM）層、安全插件模塊層。這里安全插件模塊層提供了5種核心的安全服務模塊，即密碼服務CSP、信任策略服務TP、數(shù)字證書庫服務CL、數(shù)據(jù)存儲庫服務DL、授權(quán)計算服務AC。這些安全服務由CSSM層來進行統(tǒng)一地集成和管理。CDSA將攻擊分為3類，其中I類外部攻擊（如黑客）；II類為運行程序的攻擊（如病毒和木馬）；III類完全控制系統(tǒng)并利用分析工具進行的攻擊。CDSA被設計成防范II類和III類攻擊。

CDSA的優(yōu)點就是通用，這既包括技術(shù)上的通用，也包括商業(yè)上的通用。技術(shù)上的通用包括跨平臺、能夠兼容各種現(xiàn)有技術(shù)協(xié)議、允許支持多種開發(fā)語言、靈活可擴展的接口、豐富的管理工具、開放的API標準等等；商業(yè)上的通用，CDSA則希望能應用到包括電子商務、教育、娛樂、信息、原材料等相關(guān)軟件和服務中。但CDSA并不是一個全面的安全等級劃分系統(tǒng)。CDSA認為I類攻擊應該通過優(yōu)秀的訪問控制和系統(tǒng)管理機制來防范，而不是使用安全軟件?？梢娕cIATF相比，CDSA并不是一個縱深的多層次的安全保護方案。CDSA與TCSEC一樣，都沒有考慮人的因素，沒有引入系統(tǒng)的安全管理機制。CDSA還具有不可伸縮、接口復雜、系統(tǒng)資源消耗大等缺點。

4 結(jié)論

隨著信息網(wǎng)絡的快速發(fā)展和信息系統(tǒng)工程變得越來越復雜的現(xiàn)實，安全等級劃分成為信息系統(tǒng)研究、開發(fā)和管理中的一個重要課題。本文對當前3種主流的安全等級劃分方法作了詳細的分析和比較。事實上每一種安全等級模型都有很多變體，這都有待進一步的研究。從宏觀上看，人和管理的因素，與應用相結(jié)合的信息資產(chǎn)、工作流等都被納入到安全等級劃分的范疇。從微觀上看，劃分粒度越來越精細，對某一個技術(shù)性的安全范疇（信息價值）都會形成多層次的等級劃分?？偟膩碚f，安全等級劃分研究的趨勢是方法越來越精確、考慮的因素越來越全面、站的層次越來越高（從系統(tǒng)工程的角度出發(fā)）、劃分越來越精細、由單維的構(gòu)造向多維方向發(fā)展。

[1]USDoD5200.28-STD.Trusted Computer System Evaluation Criteria[S].

[2]IATF Release3.1.Information Assurance Technical Framework[S].

[3]趙戰(zhàn)生.美國信息保障技術(shù)框架——IATF簡介[J].信息網(wǎng)絡安全，2003(4)：13-16.

[4]The Open Group.Common Security:CDSA and CSSM,Version2.3[EB/OL].http://www.opengroup.org/publications/catalog/c914.htm,2000，5.

[5]馮登國，孫銳，張陽.信息安全體系結(jié)構(gòu)[M].北京：清華大學出版社，2008.

[6]S.Michelle Oda,Huirong Fu,Ye Zhu.Enterprise Information Security Architecture A Review of Frameworks,Methodology,and Case Studies.2nd IEEE International Conference on Computer Science and Information Technology,8-11，2009，8:333-337.