第二章安全控制原理 到211可信计算基的结构 21可信计算基的结构与评测准则 (2)被动实体,称为客体 object,指信息的载体或从 其他主体或客体接收信息的实体。是发出或接收 信息的容器(介质) 客体不受它所依存的系统的限制 可以包括记录、数据块、存储页、存储段、文件、目录、目录 树、库表、邮箱、消息、程序等 还可以包括位、字节、字、字段、变量、处理器、通信信道、 时钟、网络节点等 最终的客体一定是记录介质上的信息(数据) 受控的主体或子进程也是一种客体 ●操作系统中的进程包括用户进程和系统进程)有着双重身份,既 用户的客体,又是访问对象的主体 12/109
12/109 (2)被动实体,称为客体object,指信息的载体或从 其他主体或客体接收信息的实体。是发出或接收 信息的容器(介质) ⚫ 客体不受它所依存的系统的限制 ⚫ 可以包括记录、数据块、存储页、存储段、文件、目录、目录 树、库表、邮箱、消息、程序等 ⚫ 还可以包括位、字节、字、字段、变量、处理器、通信信道、 时钟、网络节点等 ⚫ 最终的客体一定是记录介质上的信息(数据) ⚫ 受控的主体或子进程也是一种客体 ⚫ 操作系统中的进程(包括用户进程和系统进程)有着双重身份,既 用户的客体,又是访问对象的主体 第二章 安全控制原理 2.1.1 可信计算基的结构 2.1 可信计算基的结构与评测准则
第二章安全控制原理 心211可信计算基的结构 21可信计算基的结构与评测准则 ≥实体的权限与授权 权限:是指与计算机上或网络上的对象(文件或文件夹)关 联的规则,权限确定是否可以访问某个对象以及可以对它 执行哪些操作 授权:是对主体赋予以上这种能力 用户进程的权限:是固定为某一用户服务的,其权限应与 所代表的用户相同 系统进程的权限:是动态的为所有用户提供服务的,因而 它的权限是随着服务对象的变换而变化的,需要将用户权 限与为其服务的进程权限动态相关联 13/109
13/109 实体的权限与授权 ⚫ 权限:是指与计算机上或网络上的对象(文件或文件夹)关 联的规则,权限确定是否可以访问某个对象以及可以对它 执行哪些操作 ⚫ 授权:是对主体赋予以上这种能力 ⚫ 用户进程的权限:是固定为某一用户服务的,其权限应与 所代表的用户相同 ⚫ 系统进程的权限:是动态的为所有用户提供服务的,因而 它的权限是随着服务对象的变换而变化的,需要将用户权 限与为其服务的进程权限动态相关联 第二章 安全控制原理 2.1.1 可信计算基的结构 2.1 可信计算基的结构与评测准则
第二章安全控制原理 到211可信计算基的结构 21可信计算基的结构与评测准则 ●TcB中用于数据保护的安全功能策略SFP有3种: 访间控制SFP 其实现机制基于控制范围内的主体、客体和操作的属性做出策 略决定的。这些属性被用于一组规则中,以便控制各主体对客 体的操作。主体、客体和访问控制规则为三要素 信息流控制SFP 信息流是主体对客体操作而引起的信息在客体间的流动,信息 流控制要控制信息的流向等方面的问题 其实现机制是基于控制范围内的主体和信息的属性,并支配主 体对信息操作的一组规则作出策略决策的 信息的属性与信息相随,它可能与存储介质的属性相关联 ●主体、信息属性、支配主体对信息操作的规则(三要素) 14/109
14/109 TCB中用于数据保护的安全功能策略SFP有3种: ⚫ 访问控制SFP ⚫ 其实现机制基于控制范围内的主体、客体和操作的属性做出策 略决定的。这些属性被用于一组规则中,以便控制各主体对客 体的操作。主体、客体和访问控制规则为三要素 ⚫ 信息流控制SFP ⚫ 信息流是主体对客体操作而引起的信息在客体间的流动,信息 流控制要控制信息的流向等方面的问题 ⚫ 其实现机制是基于控制范围内的主体和信息的属性,并支配主 体对信息操作的一组规则作出策略决策的 ⚫ 信息的属性与信息相随,它可能与存储介质的属性相关联 ⚫ 主体、信息属性、支配主体对信息操作的规则(三要素) 第二章 安全控制原理 2.1.1 可信计算基的结构 2.1 可信计算基的结构与评测准则
第二章安全控制原理 21可信计算基的结构 21可信计算基的结构与评测准则 推理控制SFP 是指客体信息内容之间推理通道的控制,防止信息泄漏 与信息内容之间的逻辑关系有关,主要用在数据库领域 ●因此,信息系统的安全控制就主要分为三种: 访问控制:针对存储在信息容器中的静态信息 信息流控制:针对在信道中的动态信息 推理控制:针对信息内容,信息之间的逻辑关系 ●主体对客体的访问操作至少包含如下几种 读:允许信息从被读的客体中流向读它的主体 写:允许信息从写主体流向被写的客体 执行:运行程序或文件 控制:一个主体用来授予或撤销另一主体的对某一客体的访问权 限的能力 15/109
15/109 ⚫ 推理控制SFP ⚫ 是指客体信息内容之间推理通道的控制,防止信息泄漏 ⚫ 与信息内容之间的逻辑关系有关,主要用在数据库领域 因此,信息系统的安全控制就主要分为三种: ⚫ 访问控制:针对存储在信息容器中的静态信息 ⚫ 信息流控制:针对在信道中的动态信息 ⚫ 推理控制:针对信息内容,信息之间的逻辑关系 主体对客体的访问操作至少包含如下几种: ⚫ 读:允许信息从被读的客体中流向读它的主体 ⚫ 写:允许信息从写主体流向被写的客体 ⚫ 执行:运行程序或文件 ⚫ 控制:一个主体用来授予或撤销另一主体的对某一客体的访问权 限的能力 第二章 安全控制原理 2.1.1 可信计算基的结构 2.1 可信计算基的结构与评测准则
第二章安全控制原理 212TcB的国际测评标准cc 2.1可信计算基的结构与评测准则 对TcB的测评可以评估TCB的强度,目前最为典型的测评 标准就是六国七方制定的通用准则标准cc( Common Criteria) ●SOEc15408-1999 GB/T183362001《信息技术安全技术信息技术安全性评估准则》 桔皮书 (TCSEC) 加拿大标准 1985 1993(CTCPEC) 英国安全 标准1989 联邦标准 草案1993 德国标准EC 1991 通用标准CC 法国标准 V1.01996 V2.01998 V2.11999
16/109 对TCB的测评可以评估TCB的强度,目前最为典型的测评 标准就是六国七方制定的通用准则标准CC(Common Criteria) ⚫ ISO/IEC 15408-1999 ⚫ GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》 桔皮书 (TCSEC) 1985 英国安全 标准1989 德国标准 法国标准 加拿大标准 1993(CTCPEC) 联邦标准 草案1993 ITSEC 1991 通用标准CC V1.0 1996 V2.0 1998 V2.1 1999 2.1.2 TCB的国际测评标准CC 第二章 安全控制原理 2.1 可信计算基的结构与评测准则