網路安全標准
① 我國計算機網路安全標准有哪幾個級別
計算機系統安全保護能力的五個等級,即:
第一級:用戶自主保護級;
第二級:系統審計保護級;
第三級:安全標記保護級;
第四級:結構化保護級;
第五級:訪問驗證保護級。
② 國家支持什麼參與網路安全國家標准行業標準的制定
國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。
《中華人民共和國網路安全法》第十五條明確規定:
國家建立和完善網路安全標准體系。國務院標准化行政主管部門和國務院其他有關部門根據各自的職責,組織制定並適時修訂有關網路安全管理以及網路產品、服務和運行安全的國家標准、行業標准。
國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。
第十五條、第十六條、第十七條、第十八條和第二十條分別倡導企業、高校和科研單位、網路相關行業組織等參與網路安全國家標准、行業標准制定,研究開發網路安全技術,為社會提供網路安全認證、檢測和風險評估等安全服務,開發網路數據安全保護和利用技術,以及培養網路安全人才等。
這些法條集中表達了一個主旨:鼓勵網路安全領域的技術發展和進步,以更好地促進網路安全、健康運行。
(2)網路安全標准擴展閱讀:
「沒有網路安全就沒有國家安全。」當網路進入千家萬戶,當網路和信息業務蓬勃發展,當我國的互聯網用戶數量和電子商務總量位居世界第一時,網路安全顯然已經成為一件非常重要的事情。
2016年4月,習近平總書記在網路安全和信息化研討會上指出,「網路空間是億萬人民共同的精神家園。」網路空間是清晰的、生態的,是符合人民利益的。」
精神的指導下,始終高度重視網路安全建設在我國,十八大會以來,先後制定分銷網路安全國家標准289項,繼續實施「凈凈」「劍網」「基礎」「護理苗」系列等特殊項目的成果顯著,連續第六年組織實施的「網路安全宣傳周」深入人心,這些務實有力的舉措,不斷凈化網路空間,維護網民的合法權益。
③ 簡述網路安全的相關評估標准.
1 我國評價標准
1999年10月經過國家質量技術監督局批准發布的《計算機信息系統安全保護等級劃分准則》將計算機安全保護劃分為以下5個級別。
l 第1級為用戶自主保護級(GB1安全級):它的安全保護機制使用戶具備自主安全保護的能力,保護用戶的信息免受非法的讀寫破壞。
l 第2級為系統審計保護級(GB2安全級):除具備第一級所有的安全保護功能外,要求創建和維護訪問的審計跟蹤記錄,使所有的用戶對自己的行為的合法性負責。
l 第3級為安全標記保護級(GB3安全級):除繼承前一個級別的安全功能外,還要求以訪問對象標記的安全級別限制訪問者的訪問許可權,實現對訪問對象的強制保護。
l 第4級為結構化保護級(GB4安全級):在繼承前面安全級別安全功能的基礎上,將安全保護機制劃分為關鍵部分和非關鍵部分,對關鍵部分直接控制訪問者對訪問對象的存取,從而加強系統的抗滲透能力。
l 第5級為訪問驗證保護級(GB5安全級):這一個級別特別增設了訪問驗證功能,負責仲裁訪問者對訪問對象的所有訪問活動。
我國是國際標准化組織的成員國,信息安全標准化工作在各方面的努力下正在積極開展之中。從20世紀80年代中期開始,自主制定和採用了一批相應的信息安全標准。但是,應該承認,標準的制定需要較為廣泛的應用經驗和較為深入的研究背景。這兩方面的差距,使我國的信息安全標准化工作與國際已有的工作相比,覆蓋的范圍還不夠大,宏觀和微觀的指導作用也有待進一步提高。
2 國際評價標准
根據美國國防部開發的計算機安全標准——可信任計算機標准評價准則(Trusted Computer Standards Evaluation Criteria,TCSEC),即網路安全橙皮書,一些計算機安全級別被用來評價一個計算機系統的安全性。
自從1985年橙皮書成為美國國防部的標准以來,就一直沒有改變過,多年以來一直是評估多用戶主機和小型操作系統的主要方法。其他子系統(如資料庫和網路)也一直用橙皮書來解釋評估。橙皮書把安全的級別從低到高分成4個類別:D類、C類、B類和A類,每類又分幾個級別,如表1-1所示。
表 安全 級 別
類 別
級 別
名 稱
主 要 特 征
D
D
低級保護
沒有安全保護
C
C1
自主安全保護
自主存儲控制
C2
受控存儲控制
單獨的可查性,安全標識
B
B1
標識的安全保護
強制存取控制,安全標識
B2
結構化保護
面向安全的體系結構,較好的抗滲透能力
B3
安全區域
存取監控、高抗滲透能力
A
A
驗證設計
形式化的最高級描述和驗證
D級是最低的安全級別,擁有這個級別的操作系統就像一個門戶大開的房子,任何人都可以自由進出,是完全不可信任的。對於硬體來說,沒有任何保護措施,操作系統容易受到損害,沒有系統訪問限制和數據訪問限制,任何人不需任何賬戶都可以進入系統,不受任何限制可以訪問他人的數據文件。屬於這個級別的操作系統有DOS和Windows 98等。
C1是C類的一個安全子級。C1又稱選擇性安全保護(Discretionary Security Protection)系統,它描述了一個典型的用在UNIX系統上安全級別。這種級別的系統對硬體又有某種程度的保護,如用戶擁有注冊賬號和口令,系統通過賬號和口令來識別用戶是否合法,並決定用戶對程序和信息擁有什麼樣的訪問權,但硬體受到損害的可能性仍然存在。
用戶擁有的訪問權是指對文件和目標的訪問權。文件的擁有者和超級用戶可以改變文件的訪問屬性,從而對不同的用戶授予不通的訪問許可權。
C2級除了包含C1級的特徵外,應該具有訪問控制環境(Controlled Access Environment)權力。該環境具有進一步限制用戶執行某些命令或者訪問某些文件的許可權,而且還加入了身份認證等級。另外,系統對發生的事情加以審計,並寫入日誌中,如什麼時候開機,哪個用戶在什麼時候從什麼地方登錄,等等,這樣通過查看日誌,就可以發現入侵的痕跡,如多次登錄失敗,也可以大致推測出可能有人想入侵系統。審計除了可以記錄下系統管理員執行的活動以外,還加入了身份認證級別,這樣就可以知道誰在執行這些命令。審計的缺點在於它需要額外的處理時間和磁碟空間。
使用附加身份驗證就可以讓一個C2級系統用戶在不是超級用戶的情況下有權執行系統管理任務。授權分級使系統管理員能夠給用戶分組,授予他們訪問某些程序的許可權或訪問特定的目錄。能夠達到C2級別的常見操作系統有如下幾種:
(1)UNIX系統;
(2)Novell 3.X或者更高版本;
(3)Windows NT,Windows 2000和Windows 2003。
B級中有三個級別,B1級即標志安全保護(Labeled Security Protection),是支持多級安全(例如:秘密和絕密)的第一個級別,這個級別說明處於強制性訪問控制之下的對象,系統不允許文件的擁有者改變其許可許可權。
安全級別存在秘密和絕密級別,這種安全級別的計算機系統一般在政府機構中,比如國防部和國家安全局的計算機系統。
B2級,又叫結構保護(Structured Protection)級別,它要求計算機系統中所有的對象都要加上標簽,而且給設備(磁碟、磁帶和終端)分配單個或者多個安全級別。
B3級,又叫做安全域(Security Domain)級別,使用安裝硬體的方式來加強域的安全,例如,內存管理硬體用於保護安全域免遭無授權訪問或更改其他安全域的對象。該級別也要求用戶通過一條可信任途徑連接到系統上。
A級,又稱驗證設計(Verified Design)級別,是當前橙皮書的最高級別,它包含了一個嚴格的設計、控制和驗證過程。該級別包含較低級別的所有的安全特性。
安全級別設計必須從數學角度上進行驗證,而且必須進行秘密通道和可信任分布分析。可信任分布(Trusted Distribution)的含義是:硬體和軟體在物理傳輸過程中已經受到保護,以防止破壞安全系統。橙皮書也存在不足,TCSEC是針對孤立計算機系統,特別是小型機和主機系統。假設有一定的物理保障,該標准適合政府和軍隊,不適合企業,這個模型是靜態的。