军用计算机安全评估准则VIP免费

军用计算机安全评估准则GJB2646－96Militarycomputersecurityevaluationcriteria（国防科学技术工业委员会1996年6月4日发布1996年12月1日实施）一范围1.1主题内容本标准规定了评估计算机安全的准则，等级划分及每个等级的安全要求。1.2适用范围本标准适用于军用计算机安全评估，主要面向操作系统，也适用于其他需要进行安全评估的计算机。二引用文件GJB2255-95军用计算机安全术语三定义3.1术语本章未列入的术语,见GJB2255。3.1.1自主保护discretionaryprotection辨识用户身份和他们的需求,限制用户使用信息的访问控制的方法。3.1.2强制访问控制mandatoryaccesscontrol根据客体所包含信息的敏感性以及主体访问此类敏感信息的权限,限制主体访问客体的方法。3.1.3安全等级securitylevel为表示信息的不同敏感度,按保密程度不同对信息进行层次划分的组合或集合。3.1.4审计audit对影响系统安全的各种活动进行记录并为系统安全员提供安全管理依据的程序。3.1.5隔离isolation为防止其他用户或程序的非授权访问,把操作系统、用户程序、数据文件加以彼此独立存储的行为。3.1.6可信计算基(TCB)trustedcomputingbase计算机系统内保护装置的总体,包括硬件、固体、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。3.1.7敏感标号sensitivitylabel表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标号作为强制访问控制决策的依据。3.1.8系统完整性systemintegrity系统不能以非授权手段被破坏或修改的性质。3.1.9描述性顶层规格说明(DTLS)descriptivetop-levelspecification用自然语言、形式化程序设计符号,或两者结合写在的一种最高层的设计规格说明书。3.1.10形式化顶层规格说明(FILS)formaltop-levelspecification用形式化数学语言写成的一种高层规格说明书。使用这种规格,可以从理论上证明假定的形式化要求与系统规格的一致性。3.1.11最小特权原则principleofleastprivilege为完成特定任务,授予主体所需要的最小访问特权的过程、策略。3.1.12分层密级hierarchicalclassification用层次结构的方式将主体和客体分成不同的保密等级。3.1.13粒度granularity一次访问操作所涉及到的访问对象的大小。四一般要求计算机系统安全将通过使用特定的安全特性控制对信息的访问,只有被授权的人或为人服务的操作过程可以对信息进行访问。在本准则中提出了以下六条要求。4.1安全策略必须有一种由系统实施的、明确的和定义好的安全策略。对于主体和客体,必须有一个由系统使用的规则集合。利用这个规则合来决定是否允许一个给定的主体对一特定客体访问。对于处理敏感信息的计算机系统必须施加一种强制安全策略来有效地实现访问规则这些规则要求包括:任何人如果缺少适当的安全许可证都不能获得对敏感信息的访问;同时也要求有自主的安全控制,以保证只有指定的用户或用户组才可以获得对数据的访问。4.4.2标号客体应当按敏感程度加以标号,访问控制标号必须与客体联系起来。为了控制对存储在计算机内的信息进行访问,根据强制安全策略规则,每个客体必须有一个标号,这个标号表示客体的敏感级别并记录哪些主体可以对特定的客体进行访问的方式。4.3标识每个主体都必须在验明身份(身份标识)后才能对客体进行访问。每次对信息的访问都应标识谁在要求访问,他有权访问什么信息？标识和授权信息必须由计算机系统在秘密情况下进行维护并与完成某些与安全有关动作的每个活动元素结合起来。4.4责任对审计信息应有选择地保存并妥善加以保护,以便以后对影响安全的动作进行跟踪,查清责任。一个可信系统应将与安全有关的事件记录在一个审计日志中,为了降低审计费用并提高分析效率,必须具有选择审计事件的能力。审计信息必须很好地保护,以防修改和未经授权的毁坏。4.5保证计算机系统应包括能使上述各条要求实现所必须的硬件和软件机制,必须有一批硬件和软件控制,这些机制可嵌入操作系统内,并用秘密方法执行指定的任务。这些机制应在文件中写清楚并能独立检验其结果,以便能独立地考评它们是否充分。4.6连续保护对实现上述基本要求的可信机制必须能连续地提供...