信息安全原理張基溫電子教案第10章信息系統(tǒng)安全等級(jí)與

第10章信息系統(tǒng)平安等級(jí)與標(biāo)準(zhǔn)10.1國(guó)際平安評(píng)價(jià)標(biāo)準(zhǔn)概述10.2中國(guó)信息平安等級(jí)保護(hù)準(zhǔn)那么習(xí)題平安需求與平安代價(jià)，總是平安問(wèn)題上相互對(duì)立的統(tǒng)一體。對(duì)于信息技術(shù)、信息系統(tǒng)和信息產(chǎn)品的平安等級(jí)進(jìn)行評(píng)價(jià)，將會(huì)使生產(chǎn)者和用戶在這兩個(gè)方面容易找到一個(gè)科學(xué)的折中。因此，建立完善的信息技術(shù)平安的測(cè)評(píng)標(biāo)準(zhǔn)與認(rèn)證體系，標(biāo)準(zhǔn)信息技術(shù)產(chǎn)品和系統(tǒng)的平安特性，是實(shí)現(xiàn)信息平安保障的一種有效措施。它有助于建立起科學(xué)的平安產(chǎn)品生產(chǎn)體系、效勞體系。10.1國(guó)際平安評(píng)價(jià)標(biāo)準(zhǔn)概述10.1.1DoD5200.28-M和TCSEC10.1.2歐共體信息技術(shù)平安評(píng)價(jià)準(zhǔn)那么ITSEC10.1.3加拿大可信計(jì)算機(jī)產(chǎn)品平安評(píng)價(jià)準(zhǔn)那么CTCPEC10.1.4美國(guó)信息技術(shù)平安評(píng)價(jià)聯(lián)邦準(zhǔn)那么FC10.1.5國(guó)際通用準(zhǔn)那么CC第一個(gè)有關(guān)信息技術(shù)平安的標(biāo)準(zhǔn)是美國(guó)國(guó)防部于1985年提出的可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)那么TCSEC，又稱桔皮書。以后，許多國(guó)家和國(guó)際組織也相繼提出了新的平安評(píng)價(jià)準(zhǔn)那么。圖10.1所示為國(guó)際主要信息技術(shù)平安測(cè)評(píng)標(biāo)準(zhǔn)的開(kāi)展及其聯(lián)系。加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)價(jià)準(zhǔn)則CTCOEC（1989年）美國(guó)國(guó)防部可信計(jì)算機(jī)評(píng)價(jià)準(zhǔn)則TCSEC（1983年）美國(guó)聯(lián)邦準(zhǔn)則FC（1992年）國(guó)際通用準(zhǔn)則（CC）（1996年）

CC成為國(guó)際標(biāo)準(zhǔn)ISO15408（1999年）

歐洲信息技術(shù)安全性評(píng)價(jià)準(zhǔn)則ITSEC（1991年）美國(guó)國(guó)防部DoD5200.28-M（1979年6月）GB17859-1999

（1999年）

圖10.1國(guó)際主要信息技術(shù)平安測(cè)評(píng)標(biāo)準(zhǔn)的開(kāi)展及其聯(lián)系在信息平安等級(jí)標(biāo)準(zhǔn)中，一個(gè)非常重要的概念是可信計(jì)算基〔TrustedComputerBase，TCB〕。TCB是計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、固件和軟件。它們根據(jù)平安策略來(lái)處理主體〔系統(tǒng)管理員、平安管理員、用戶、進(jìn)程〕對(duì)客體〔進(jìn)程、文件、記錄、設(shè)備等〕的訪問(wèn)。TCB還具有抗篡改的性能和易于分析與測(cè)試的結(jié)構(gòu)。10.1.1DoD5200.28-M和TCSEC1.DoD5200.28-M世界上最早的計(jì)算機(jī)系統(tǒng)平安標(biāo)準(zhǔn)應(yīng)當(dāng)是美國(guó)國(guó)防部1979年6月25日發(fā)布的軍標(biāo)DoD5200.28-M。它為計(jì)算機(jī)系統(tǒng)定義了4種不同的運(yùn)行模式?！?〕受控的平安模式：系統(tǒng)用戶對(duì)系統(tǒng)的機(jī)密材料的訪問(wèn)控制沒(méi)有在操作系統(tǒng)中實(shí)現(xiàn)，平安的實(shí)現(xiàn)可以通過(guò)空子用戶對(duì)機(jī)器的操作權(quán)等管理措施實(shí)現(xiàn)?！?〕自主平安模式：計(jì)算機(jī)系統(tǒng)和外圍設(shè)備可以在指定用戶或用戶群的控制下工作，該類用戶了解并可自主地設(shè)置機(jī)密材料的類型與平安級(jí)別?！?〕多級(jí)平安模式：系統(tǒng)允許不同級(jí)別和類型的機(jī)密資料并存和并發(fā)處理，并且有選擇地許可不同的用戶對(duì)存儲(chǔ)數(shù)據(jù)進(jìn)行訪問(wèn)。用戶與數(shù)據(jù)的隔離控制由操作系統(tǒng)和相關(guān)系統(tǒng)軟件實(shí)現(xiàn)?！?〕強(qiáng)平安模式：所有系統(tǒng)部件依照最高級(jí)別類型得到保護(hù)，所有系統(tǒng)用戶必須有一個(gè)平安策略；系統(tǒng)的控制操作對(duì)用戶透明，由系統(tǒng)實(shí)現(xiàn)對(duì)機(jī)密材料的并發(fā)控制。2.TCSECTCSEC是計(jì)算機(jī)系統(tǒng)平安評(píng)價(jià)的第一個(gè)正式標(biāo)準(zhǔn)，于1970年由美國(guó)國(guó)防科學(xué)技術(shù)委員會(huì)提出，于1985年12月由美國(guó)國(guó)防部公布。TCSEC把計(jì)算機(jī)系統(tǒng)的平安分為4等7級(jí)：〔1〕D等〔含1級(jí)〕D1級(jí)系統(tǒng)：最低級(jí)。只為文件和用戶提供平安保護(hù)。

〔2〕C等〔含2級(jí)〕C1級(jí)系統(tǒng)：可信任計(jì)算基TCB〔TrustedComputingBase〕通過(guò)用戶和數(shù)據(jù)分開(kāi)來(lái)到達(dá)平安目的，使所有的用戶都以同樣的靈敏度處理數(shù)據(jù)〔可認(rèn)為所有文檔有相同機(jī)密性〕C2級(jí)系統(tǒng)：在C1根底上，通過(guò)登錄、平安事件和資源隔離增強(qiáng)可調(diào)的審慎控制。在連接到網(wǎng)上時(shí)，用戶分別對(duì)自己的行為負(fù)責(zé)。〔3〕B等〔含3級(jí)〕B級(jí)具有強(qiáng)制性保護(hù)功能。強(qiáng)制性意味著在沒(méi)有與平安等級(jí)相連的情況下，系統(tǒng)就不會(huì)讓用戶寸取對(duì)象?！瞐〕B1級(jí)系統(tǒng)：·對(duì)每個(gè)對(duì)象都進(jìn)行靈敏度標(biāo)記，導(dǎo)入非標(biāo)記對(duì)象前要先標(biāo)記它們；·用靈敏度標(biāo)記作為強(qiáng)制訪問(wèn)控制的根底；·靈敏度標(biāo)記必須準(zhǔn)確地表示其所聯(lián)系的對(duì)象的平安級(jí)別；·系統(tǒng)必須使用用戶口令或身份認(rèn)證來(lái)決定用戶的安全訪問(wèn)級(jí)別；·系統(tǒng)必須通過(guò)審計(jì)來(lái)記錄未授權(quán)訪問(wèn)的企圖。〔b〕B2級(jí)系統(tǒng)：·必須符合B1級(jí)系統(tǒng)的所有要求；·系統(tǒng)管理員必須使用一個(gè)明確的、文檔化的平安策略模式作為系統(tǒng)可信任運(yùn)算根底體制；可信任運(yùn)算根底體制能夠支持獨(dú)立的操作者和管理員；·只有用戶能夠在可信任通信路徑中進(jìn)行初始化通信；·所有與用戶相關(guān)的網(wǎng)絡(luò)連接的改變必須通知所有的用戶。〔c〕B3級(jí)系統(tǒng)具有很強(qiáng)的監(jiān)視委托管理訪問(wèn)能力和抗干擾能力。要求：·必須符合B2系統(tǒng)所有平安需求；·必須設(shè)有平安管理員；·除控制個(gè)別對(duì)象的訪問(wèn)外，必須產(chǎn)生一個(gè)可讀的安全列表；每個(gè)被命名的對(duì)象提供對(duì)該對(duì)象沒(méi)有訪問(wèn)的用戶列表說(shuō)明；·系統(tǒng)驗(yàn)證每一個(gè)用戶身份，并會(huì)發(fā)送一個(gè)取消訪問(wèn)的審計(jì)跟蹤消息；·設(shè)計(jì)者必須正確區(qū)分可信任路徑和其他路徑；·可信任的通信根底體制為每一個(gè)被命名的對(duì)象建立平安審計(jì)跟蹤；·可信任的運(yùn)算根底體制支持獨(dú)立的平安管理?！?〕A等〔只含1級(jí)〕——最高平安級(jí)別A1級(jí)與B3級(jí)相似，對(duì)系統(tǒng)的結(jié)構(gòu)和策略不作特別要求，而系統(tǒng)的設(shè)計(jì)者必須按照一個(gè)正式的設(shè)計(jì)標(biāo)準(zhǔn)進(jìn)行系統(tǒng)分析；分析后必須用核對(duì)技術(shù)確保系統(tǒng)符合設(shè)計(jì)標(biāo)準(zhǔn)。A1系統(tǒng)必須滿足：·系統(tǒng)管理員必須接收到開(kāi)發(fā)者提供的平安策略正式模型；·所有的安裝操作都必須由系統(tǒng)管理員進(jìn)行；·系統(tǒng)管理員進(jìn)行的每一步安裝操作必須有正式的文檔。TCSEC的初衷主要是針對(duì)集中式計(jì)算的分時(shí)多用戶操作系統(tǒng)。后來(lái)又針對(duì)網(wǎng)絡(luò)〔分布式〕和數(shù)據(jù)庫(kù)管理系統(tǒng)〔C/S結(jié)構(gòu)〕補(bǔ)充了一些附加說(shuō)明和解釋，典型的有可信計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)說(shuō)明〔NCSC-TG-005〕和可信數(shù)據(jù)庫(kù)管理系統(tǒng)解釋等。10.1.2歐共體信息技術(shù)平安評(píng)價(jià)準(zhǔn)那么ITSECITSEC是歐共體于1991年發(fā)布的，它是歐洲多國(guó)平安評(píng)價(jià)方法的綜合產(chǎn)物，應(yīng)用領(lǐng)域?yàn)檐婈?duì)、政府和商業(yè)。該標(biāo)準(zhǔn)將平安的概念分為功能和評(píng)估兩局部。1.功能準(zhǔn)那么分為10級(jí)：F1~F10：·F1~F5對(duì)應(yīng)TCSEC的D~A；·F6~F10對(duì)應(yīng)數(shù)據(jù)和程序的完整性，系統(tǒng)的可用性，數(shù)據(jù)通信的完整性、保密性。2.評(píng)估準(zhǔn)那么分為6級(jí)，分別是測(cè)試、配置控制和可控的分配、詳細(xì)設(shè)計(jì)和編碼、詳細(xì)的脆弱性分析、設(shè)計(jì)于源代碼明顯對(duì)應(yīng)以及設(shè)計(jì)與源代碼在形式上的一致。10.1.3加拿大可信計(jì)算機(jī)產(chǎn)品平安評(píng)價(jià)準(zhǔn)那么CTCPECCTCPEC是加拿大于1993年發(fā)布的。它綜合了TCSEC和ITSEC兩個(gè)準(zhǔn)那么的優(yōu)點(diǎn)，專門針對(duì)政府需求設(shè)計(jì)。它將平安分為功能性需求和保證性需求兩局部。功能性需求分為4大類：·機(jī)密性；·可用性；·完整性；·可控性。每一種平安需求又分為一些小類〔分級(jí)條數(shù)0~5〕，以表示平安性上的差異。10.1.4美國(guó)信息技術(shù)平安評(píng)價(jià)聯(lián)邦準(zhǔn)那么FCFC也是吸收了TCSEC和ITSEC兩個(gè)準(zhǔn)那么的優(yōu)點(diǎn)于1993年發(fā)布的。它引入了“保護(hù)輪廓〔PP〕〞的概念。每個(gè)輪廓都包括功能、開(kāi)發(fā)保證和評(píng)價(jià)三局部，在美國(guó)政府、民間和商業(yè)上應(yīng)用很廣。10.1.5國(guó)際通用準(zhǔn)那么CC1993年6月，歐、美、加等有關(guān)6國(guó)，將各自獨(dú)立的準(zhǔn)那么集合成一系列單一的、能被廣泛接受的IT平安準(zhǔn)那么——通用準(zhǔn)那么CC，將CC提交給ISO，并于1996年公布了1.0版。1999年12月ISO正式將CC2.0〔1998年公布〕作為國(guó)際標(biāo)準(zhǔn)——ISO15408發(fā)布。CC的主要思想和框架都取自ITSEC和FC，并突出了“保護(hù)輪廓〞的概念。它將評(píng)估過(guò)程分為平安保證和平安功能兩部分。平安保證要求為7個(gè)評(píng)估保證級(jí)別：EAL1：功能測(cè)試

EAL2：結(jié)構(gòu)測(cè)試EAL3：系統(tǒng)測(cè)試和檢查EAL4：系統(tǒng)設(shè)計(jì)、測(cè)試和復(fù)查EAL5：半形式化設(shè)計(jì)和測(cè)試EAL6：半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試EAL7：集成化驗(yàn)證的設(shè)計(jì)和測(cè)試表10.1為CC、TCSEC、ITSEC標(biāo)準(zhǔn)之間的對(duì)應(yīng)關(guān)系。CCTCSECITSEC—D—EAL1—E1EAL2C1E2EAL3C2E3EAL4B1E4EAL5B2E5EAL6B3E6EAL7AE7表10.1CC、TCSEC、ITSEC標(biāo)準(zhǔn)之間的對(duì)應(yīng)關(guān)系

CC目前已經(jīng)發(fā)布了如下的版本：·1996年6月發(fā)布CC第1版；·1998年5月發(fā)布CC第2版；·1999年10月發(fā)布CC第2.1版，并成為ISO標(biāo)準(zhǔn)。10.2中國(guó)信息平安等級(jí)保護(hù)準(zhǔn)那么10.2.1第一級(jí)：用戶自主保護(hù)級(jí)10.2.2第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)10.2.3第三級(jí)：平安標(biāo)記保護(hù)級(jí)10.2.4第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)10.2.5第五級(jí)：訪問(wèn)驗(yàn)證保護(hù)級(jí)習(xí)題中國(guó)已經(jīng)發(fā)布實(shí)施?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么?GB17859-1999。這是一部強(qiáng)制性國(guó)家標(biāo)準(zhǔn)，也是一種技術(shù)法規(guī)。它是在參考了DoD5200.28-STD和NCSC-TC-005的根底上，從自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制、標(biāo)記、身份鑒別、客體重用、審計(jì)、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑和可恢復(fù)等10個(gè)方面將計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分為5個(gè)級(jí)別的平安保護(hù)能力：

第一級(jí)：用戶自主保護(hù)級(jí)；第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)；第三級(jí)：平安標(biāo)記保護(hù)級(jí)；第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)；第五級(jí)：訪問(wèn)驗(yàn)證保護(hù)級(jí)。計(jì)算機(jī)信息系統(tǒng)的平安保護(hù)能力隨著平安保護(hù)等級(jí)的增高而增強(qiáng)。在信息平安等級(jí)標(biāo)準(zhǔn)中，各等級(jí)之間的差異在于TCB的構(gòu)造不同以及其所具有的平安保護(hù)能力的不同。下面介紹各等級(jí)的根本內(nèi)容。10.2.1第一級(jí)：用戶自主保護(hù)級(jí)本級(jí)的可信計(jì)算基通過(guò)隔離用戶與數(shù)據(jù)，使用戶具備自主平安保護(hù)的能力。它具有多種形式的控制能力，對(duì)用戶實(shí)施訪問(wèn)控制，即為用戶提供可行的手段，保護(hù)用戶和用戶組信息，防止其他用戶對(duì)數(shù)據(jù)的非法讀寫與破壞。〔1〕自主訪問(wèn)控制：可信計(jì)算基定義系統(tǒng)中的用戶和命名用戶對(duì)命名客體的訪問(wèn)，并允許命名用戶以自己的身份和〔或〕用戶組的身份指定并控制對(duì)客體的訪問(wèn)；阻止非授權(quán)用戶讀取敏感信息。〔2〕身份鑒別：從用戶的角度看，可信計(jì)算基的責(zé)任就是進(jìn)行身份鑒別。在系統(tǒng)初始化時(shí)，首先要求用戶標(biāo)識(shí)自己的身份，并使用保護(hù)機(jī)制〔例如：口令〕來(lái)鑒別用戶的身份，阻止非授權(quán)用戶訪問(wèn)用戶身份鑒別數(shù)據(jù)?！?〕數(shù)據(jù)完整性：可信計(jì)算基通過(guò)自主完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。10.2.2第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)這一級(jí)除具備第一級(jí)所有的平安功能外，要求創(chuàng)立和維護(hù)訪問(wèn)的審計(jì)跟蹤記錄，使所有用戶對(duì)自己的合法性行為負(fù)責(zé)。具體保護(hù)能力如下?！?〕自主訪問(wèn)控制：可信計(jì)算基定義實(shí)施的訪問(wèn)控制的粒度是單個(gè)用戶。沒(méi)有存取權(quán)的用戶只允許由授權(quán)用戶指定對(duì)客體的訪問(wèn)權(quán)?！?〕身份鑒別比用戶自主保護(hù)級(jí)增加兩點(diǎn)：·通過(guò)為用戶提供惟一標(biāo)識(shí)，可信計(jì)算基使用戶對(duì)自己的行為負(fù)責(zé)。·具備將身份標(biāo)識(shí)與該用戶所有可審計(jì)行為相關(guān)聯(lián)的能力?！?〕客體重用：在可信計(jì)算基的空閑存儲(chǔ)客體空間中，對(duì)客體初始指定、分配或再分配一個(gè)主體之前，撤銷該客體所含信息的所有授權(quán)。當(dāng)主體獲得對(duì)一個(gè)已被釋放的客體的訪問(wèn)權(quán)時(shí)，當(dāng)前主體不能獲得原主體活動(dòng)所產(chǎn)生的任何信息。〔4〕審計(jì)：在可信計(jì)算基能創(chuàng)立和維護(hù)受保護(hù)客體的訪問(wèn)審計(jì)跟蹤記錄，并能阻止非授權(quán)的用戶對(duì)它訪問(wèn)或破壞?？尚庞?jì)算基能記錄下述事件：使用身份鑒別機(jī)制；將客體引入用戶地址空間〔例如：翻開(kāi)文件、程序初始化〕；刪除客體；由操作員、系統(tǒng)管理員或〔和〕系統(tǒng)平安管理員實(shí)施的動(dòng)作，以及其他與系統(tǒng)平安有關(guān)的事件。對(duì)于每一事件，其審計(jì)記錄包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功。對(duì)于身份鑒別事件，審計(jì)記錄包含請(qǐng)求的來(lái)源〔例如：終端標(biāo)識(shí)符〕；對(duì)于客體引入用戶地址空間的事件及客體刪除事件，審計(jì)記錄包含客體名。對(duì)不能由可信計(jì)算基獨(dú)立分辨的審計(jì)事件，審計(jì)機(jī)制提供審計(jì)記錄接口，可由授權(quán)主體調(diào)用。這些審計(jì)記錄區(qū)別于計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基獨(dú)立分辨的審計(jì)記錄?！?〕數(shù)據(jù)完整性：可信計(jì)算基通過(guò)自主完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。10.2.3第三級(jí)：平安標(biāo)記保護(hù)級(jí)本級(jí)的可信計(jì)算基具有系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能。此外，還需以訪問(wèn)對(duì)象的平安級(jí)別限制訪問(wèn)者的訪問(wèn)權(quán)限，實(shí)現(xiàn)對(duì)訪問(wèn)對(duì)象的強(qiáng)制訪問(wèn)。為此需要提供有關(guān)平安策略模型、數(shù)據(jù)標(biāo)記以及主體對(duì)客體強(qiáng)制訪問(wèn)控制的非形式化描述，具有準(zhǔn)確地標(biāo)記輸出信息的能力，消除測(cè)試發(fā)現(xiàn)的任何錯(cuò)誤。〔1〕自主訪問(wèn)控制：同系統(tǒng)審計(jì)保護(hù)級(jí)?！?〕強(qiáng)制訪問(wèn)控制：

可信計(jì)算基對(duì)所有主體及其控制的客體〔例如：進(jìn)程、文件、段、設(shè)備〕實(shí)施強(qiáng)制訪問(wèn)控制。通過(guò)敏感標(biāo)記為這些主體及客體指定平安等級(jí)。平安等級(jí)用二維組表示：第一維是等級(jí)分類〔如秘密、機(jī)密、絕密等〕，第二維是范疇〔如適用范疇〕。它們是實(shí)施強(qiáng)制訪問(wèn)控制的依據(jù)。可信計(jì)算基支持兩種或兩種以上成分組成的平安級(jí)?？尚庞?jì)算基控制的所有主體對(duì)客體等級(jí)分類的訪問(wèn)：·僅當(dāng)主體平安級(jí)中的等級(jí)分類高于或等于客體平安級(jí)中的等級(jí)分類，且主體平安級(jí)中的非等級(jí)類別包含了客體平安級(jí)中的全部非等級(jí)類別，主體才能讀客體；·僅當(dāng)主體平安級(jí)中的等級(jí)分類低于或等于客體平安級(jí)中的等級(jí)分類，且主體平安級(jí)中的非等級(jí)類別包含了客體平安級(jí)中的全部非等級(jí)類別，主體才能寫一個(gè)客體?？尚庞?jì)算基使用身份和鑒別數(shù)據(jù)，鑒別用戶的身份，并保證用戶創(chuàng)立的可信計(jì)算基外部主體的平安級(jí)和授權(quán)受該用戶的平安級(jí)和授權(quán)的控制?！?〕敏感標(biāo)記：敏感標(biāo)記是實(shí)施強(qiáng)制訪問(wèn)的根底?？尚庞?jì)算基應(yīng)明確規(guī)定需要標(biāo)記的客體〔例如：進(jìn)程、文件、段、設(shè)備〕，明確定義標(biāo)記的粒度〔如文件級(jí)、字段級(jí)等〕，并必須使其主要數(shù)據(jù)結(jié)構(gòu)具有相關(guān)的敏感標(biāo)記。為了輸入未加平安標(biāo)記的數(shù)據(jù)，可信計(jì)算基向授權(quán)用戶要求并接受這些數(shù)據(jù)的平安級(jí)別，且可由計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基審計(jì)?！?〕身份鑒別；可信計(jì)算基初始執(zhí)行時(shí)，首先要求用戶標(biāo)識(shí)自己的身份，而且，可信計(jì)算基維護(hù)用戶身份識(shí)別數(shù)據(jù)并確定用戶訪問(wèn)權(quán)及授權(quán)數(shù)據(jù)。其他同系統(tǒng)審計(jì)保護(hù)級(jí)?！?〕客體重用；在統(tǒng)可信計(jì)算基的空閑存儲(chǔ)客體空間中，對(duì)客體初始指定、分配或再分配一個(gè)主體之前，撤銷客體所含信息的所有授權(quán)。當(dāng)主體獲得對(duì)一個(gè)已被釋放的客體的訪問(wèn)權(quán)時(shí)，前主體不能獲得原主體活動(dòng)所產(chǎn)生的任何信息?！?〕審計(jì)可信計(jì)算基能創(chuàng)立和維護(hù)受保護(hù)客體的訪問(wèn)審計(jì)跟蹤記錄，并能阻止非授權(quán)的用戶對(duì)它訪問(wèn)或保護(hù)?？尚庞?jì)算基能記錄下述事件：使用身份鑒別機(jī)制；將客體引入用戶地址空間〔例如：翻開(kāi)文件、程序初始化〕；刪除客體；由操作員、系統(tǒng)管理員或〔和〕系統(tǒng)平安管理員實(shí)施的動(dòng)作，以及其他與系統(tǒng)平安有關(guān)的事件。對(duì)于每一事件，其審計(jì)記錄包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功。對(duì)于身份鑒別的事件，審計(jì)記錄包含請(qǐng)求的來(lái)源〔例如：終端標(biāo)識(shí)符〕對(duì)于客體引入用戶地址空間的事件及客體刪除事件，審計(jì)記錄包含客體名及客體的平安級(jí)別。此外，可信計(jì)算基具有審計(jì)更改可讀輸出記號(hào)的能力。對(duì)不能由可信計(jì)算基獨(dú)立分辨的審計(jì)事件，審計(jì)機(jī)制提供審計(jì)記錄接口，可由授權(quán)主體調(diào)用。這些審計(jì)記錄區(qū)別于可信計(jì)算基獨(dú)立分辨的審計(jì)記錄。〔7〕數(shù)據(jù)完整性可信計(jì)算基通過(guò)自主和強(qiáng)制完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。在網(wǎng)絡(luò)環(huán)境中，使用完整性敏感標(biāo)記來(lái)確保信息在傳送中未受損。10.2.4第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基建立于一個(gè)明確定義的形式化平安策略模型之上，將它要求第三級(jí)系統(tǒng)中的自主和強(qiáng)制訪問(wèn)控制擴(kuò)展到所以主體與客體。此外，還要考慮隱蔽信道。本級(jí)的可信計(jì)算基必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素；可信計(jì)算基的接口也必須明確定義，使其設(shè)計(jì)與實(shí)現(xiàn)能經(jīng)受更充分的測(cè)試和更完整的復(fù)審；加強(qiáng)了鑒別機(jī)制；支持系統(tǒng)管理員和操作員的職能；提供可信設(shè)施管理；增強(qiáng)了配置管理控制。系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。平安標(biāo)記保護(hù)級(jí)相比，起主要特征有：〔1〕可信計(jì)算基基于一個(gè)明確定義的形式化平安保護(hù)策略。〔2〕將第三級(jí)實(shí)施的〔自主或強(qiáng)制〕訪問(wèn)控制擴(kuò)展到所有主體和客體。即在自主訪問(wèn)控制方面，可信計(jì)算基應(yīng)維護(hù)由外部主體能夠直接或間接訪問(wèn)的所有資源〔例如：主體、存儲(chǔ)客體和輸入輸出資源〕實(shí)施強(qiáng)制訪問(wèn)控制，為這些主體及客體指定敏感標(biāo)記，這些標(biāo)記是等級(jí)分類和非等級(jí)類別的組合，他們是實(shí)施強(qiáng)制訪問(wèn)控制的依據(jù)?！?〕審計(jì)方面：·計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基能記錄下述事件：使用身份鑒別機(jī)制；將客體引入用戶地址空間〔例如：翻開(kāi)文件、程序初始化〕；刪除客體；由操作員、系統(tǒng)管理員或〔和〕系統(tǒng)平安管理員實(shí)施的動(dòng)作，以及其他與系統(tǒng)平安有關(guān)的事件。對(duì)于每一事件，其審計(jì)記錄包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功。對(duì)于身份鑒別事件，審計(jì)記錄包含請(qǐng)求的來(lái)源〔例如：終端標(biāo)識(shí)符〕；對(duì)于客體引入用戶地址空間的事件及客體刪除事件，審計(jì)記錄包含客體名及客體的平安級(jí)別。此外，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基具有審計(jì)更改可讀輸出記號(hào)的能力?！?duì)不能由計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基獨(dú)立分辨的審計(jì)事件，審計(jì)機(jī)制提供審計(jì)記錄接口，可由授權(quán)主體調(diào)用這些審計(jì)記錄區(qū)別于計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基獨(dú)立分辨的審計(jì)記錄?！び?jì)算機(jī)信息系統(tǒng)可信計(jì)算基能夠?qū)徲?jì)利用隱蔽存儲(chǔ)信道時(shí)可能被使用的事件?！?〕數(shù)據(jù)完整性：計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基通過(guò)自主和強(qiáng)制完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。在網(wǎng)絡(luò)環(huán)境中，使用完整性敏感標(biāo)記來(lái)確保信息在傳送中未受損?！?〕隱蔽信道分析：系統(tǒng)開(kāi)發(fā)者應(yīng)徹底搜索隱蔽存儲(chǔ)信道，并根據(jù)實(shí)際測(cè)量或工程估算確定每一個(gè)被標(biāo)識(shí)信道的最大帶寬?！?〕可信路徑：對(duì)用戶的初始登錄和鑒別，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算