周焕盛

同济大学计算机系，上海 201804

0 引言

在一个信息安全体系结构中，对关注点（比如安全策略、安全服务、信息资产、业务依赖等）进行分级，不管从技术上还是从管理上都是非常必要的。信息爆炸使得安全问题变得越来越来复杂，因此安全等级的划分就成了安全体系结构设计中的核心环节。好的安全等级划分策略能够清晰地定义边界，能够对安全威胁进行精确的评估，这会给用户和信息资产的管理带来极大的方便。从安全工程师的角度看，他们通常精通各种安全技术和攻防策略，因此希望在安全服务上（比如认证、保密、访问控制、防抵赖、信息流的安全路由等）实施等级保护。而用户则更愿意从应用环境、信息资产等方面来关注安全威胁造成的后果。不同的视角造就了多种安全等级划分的策略。

从目前的研究看，主要的安全等级划分方法有基于安全策略的安全等级划分（TCSEC）、基于安全强健性的安全等级划分（IATF）和基于安全服务的安全等级划分（CDSA）。

1 基于安全策略的安全等级划分

安全策略是指用于所有与安全活动相关的一组规则，它的显著特点就是用一般术语对安全需求和安全属性进行描述，而不涉及具体的实现过程。美国国防部1985年12月通过的可信计算机安全评价标准（TCSEC，又称橙皮书）就是基于安全策略来分级的。TCSEC的安全等级划分指标包括安全策略（Security Policy）、责任（Accountability）、保证（Assurance）和文档（Documentation）4个方面，每个方面又细分为若干项，其中的核心就是安全策略。

根据对上述各项指标的支持情况，TCSEC将系统划分为4类（division）7个等级，依次是D；C（C1，C2）；B（B1，B2 ，B3）；A（A1），按系统可靠或可信程度逐渐增高。D类为最小化保护，C类为自主保护，B类为强制保护，A类为可验证的保护。在TCSEC中建立的安全级别之间具有一种偏序向下兼容的关系，即较高安全性级别提供的安全保护要包含较低级别的所有保护要求，同时提供更多或更完善的保护能力。

基于安全策略的安全等级划分核心是访问控制。有DAC和MAC。DAC说明主体具有自主权，能够向其他主体转让访问权限，这通常会导致系统中一个或多个特权用户可以改变主体的访问权限。主体的权限过大很容易导致机密信息的泄露。DAC一般是通过访问控制表（ACL）来实现的，几乎就是一种静态表格形式，一旦用户数量增多、用户数据增加，ACL就会变得非常庞大。ACL本身的维护也不是一件容易的事，因为用户的需要访问的资源各种各样，而且用户的职责有时也会经常发生变化。MAC意味着如果用户没有按相应安全等级行事，系统就不会让用户访问对象。这是一种被动的安全模型。系统使用灵敏度标记作为所有强制访问控制的基础，灵敏度标记必须准确地表示其所联系的对象的安全级别。当系统管理员创建系统或者增加新的通信通道或I/O设备时，管理员必须指定每个通信通道和I/O设备是单级还是多级，并且管理员只能手工完成这些操作。单级设备并不保持传输信息的灵敏度级别，所有直接面向用户位置的输出（无论是虚拟的还是物理的）都必须产生标记来指示关于输出对象的灵敏度。显然这种管理不方便，也容易出错。

DAC和MAC都没有考虑实际的应用环境，授权访问基本上都是静态的，一旦主体有某种权限，它就永远拥有该权限。这种安全等级划分不具有动态性，也不够精确，很能适应企业规模越来越庞大，需要更加清晰和精确的安全等级划分的现实。另外，TCSEC的分级具有纵向性，即一级比一级强，但级与级之间的边界却不是十分的清晰，没有融入横向分级的策略。通常我们也需要横向的分级，每个级别关注不同的安全问题，这样就能各尽其责，边界清晰。

2 基于安全强健性的安全等级划分

2.1 IATF的等级划分思想

美国国家安全局（NSA）制定的信息保障技术框架IATF，提出信息保障的核心思想是纵深防御战略。所谓纵深防御战略就是采用一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。在纵深防御战略中，人、技术和操作是三个主要核心因素，要保障信息及信息系统的安全，三者缺一不可。在IATF中，安全等级划分用强健性来衡量。强健性级别被定义为推荐的安全机制强度和保证测试级别，它由信息价值和威胁环境来决定。IATF根据信息保护策略的违犯造成的危害程度将信息价值划分为V1-V5共5个级别。根据对手占有的资源和愿意冒的风险程度将环境威胁划分为T1-T7共7个级别。

当信息价值和威胁环境的级别确定后，ISSE（信息系统安全工程）可以在确定安全机制的强度和需要进行什么样的保险活动方面提供指导，以获得推荐的机制强度级别SML（Strength Mechanism Level）和保证测试级别EAL（Evaluation Assurance Level）。对于某一威胁级别（T1～T7）和某一信息或系统的价值（V1～V5），IATF列出了推荐的最小SML级别和EAL级别。这里SML为机制强度级别，表现为一系列技术性的安全服务机制，IATF列出了8大类安全机制，每一类中都包含若干种安全服务。根据对各种安全服务的支持程度SML被划分为基本强度、中等强度和高强度3个级别。EAL为保证测试级别，即为了使系统达到一定的安全性而需要进行的测试。根据测试的严格程度EAL被划分为功能测试、结构测试、顺序测试检查、顺序的设计测试和检查、半正式设计和测试、半正式认证设计和测试、正式认证设计和测试共7个等级。

2.2 IATF的主要问题

IATF的安全等级划分真正地把人（即管理）、技术、操作结合起来，贯彻了纵深防御的战略。与TCSEC相比较，这无疑是一个巨大的进步。IATF把安全等级划分因素归结为内部因素（信息资产的价值）和外部因素（环境的威胁程度），根据这两个因素的强弱组合(V，T)来划分系统的安全等级(SEL，EAL)。这使得IATF的安全等级划分成为一个全面的多维的构造。与TCSEC相比，IATF中对V和T的分级提高了等级划分的精确性。

IATF的主要缺点是它的划分方法仍然是定性的，并没有达到量化级别的精确度，其强健性策略并没有提供更为详细的分析方法。它给出都是一些定性的指标，其V、T、SEL和EAL分级的定义都是定性的，策略自身并没有提供在特定的情况下选择安全机制的足够信息。IATF中的强健性策略也不见得就是完善的，可能还有很多其他的因素需要考虑（比如部门对信息系统的依赖程度），也可能还有新的安全机制在表中没有列出。IATF的等级划分能够给信息系统工程师提供一个指导性的框架，但它并没有提供一种精确的分析方法来确定信息资产的价值和环境的威胁程度。工程师在对V1-V5，T1-T7进行划分时，并没有一个严格的标准，可能一个工程认为是V3，而另一个工程师则认为是V4。他们只能基于自己的经验和听取专家的意见去获得一些感性的认识。

3 基于安全服务的安全等级划分

公共数据安全体系结构CDSA由Intel体系结构实验室提出，并得到了多家组织和厂商的支持。CDSA定义为一个开放的、可扩展的体系结构，它包含一组层次化的安全服务和相关编程接口，应用程序可以有选择地、动态地访问这些安全服务。

整个CDSA划分为4层，即应用程序层、系统安全服务层、通用安全服务管理器（CSSM）层、安全插件模块层。这里安全插件模块层提供了5种核心的安全服务模块，即密码服务CSP、信任策略服务TP、数字证书库服务CL、数据存储库服务DL、授权计算服务AC。这些安全服务由CSSM层来进行统一地集成和管理。CDSA将攻击分为3类，其中I类外部攻击（如黑客）；II类为运行程序的攻击（如病毒和木马）；III类完全控制系统并利用分析工具进行的攻击。CDSA被设计成防范II类和III类攻击。

CDSA的优点就是通用，这既包括技术上的通用，也包括商业上的通用。技术上的通用包括跨平台、能够兼容各种现有技术协议、允许支持多种开发语言、灵活可扩展的接口、丰富的管理工具、开放的API标准等等；商业上的通用，CDSA则希望能应用到包括电子商务、教育、娱乐、信息、原材料等相关软件和服务中。但CDSA并不是一个全面的安全等级划分系统。CDSA认为I类攻击应该通过优秀的访问控制和系统管理机制来防范，而不是使用安全软件。可见与IATF相比，CDSA并不是一个纵深的多层次的安全保护方案。CDSA与TCSEC一样，都没有考虑人的因素，没有引入系统的安全管理机制。CDSA还具有不可伸缩、接口复杂、系统资源消耗大等缺点。

4 结论

随着信息网络的快速发展和信息系统工程变得越来越复杂的现实，安全等级划分成为信息系统研究、开发和管理中的一个重要课题。本文对当前3种主流的安全等级划分方法作了详细的分析和比较。事实上每一种安全等级模型都有很多变体，这都有待进一步的研究。从宏观上看，人和管理的因素，与应用相结合的信息资产、工作流等都被纳入到安全等级划分的范畴。从微观上看，划分粒度越来越精细，对某一个技术性的安全范畴（信息价值）都会形成多层次的等级划分。总的来说，安全等级划分研究的趋势是方法越来越精确、考虑的因素越来越全面、站的层次越来越高（从系统工程的角度出发）、划分越来越精细、由单维的构造向多维方向发展。

[1]USDoD5200.28-STD.Trusted Computer System Evaluation Criteria[S].

[2]IATF Release3.1.Information Assurance Technical Framework[S].

[3]赵战生.美国信息保障技术框架——IATF简介[J].信息网络安全，2003(4)：13-16.

[4]The Open Group.Common Security:CDSA and CSSM,Version2.3[EB/OL].http://www.opengroup.org/publications/catalog/c914.htm,2000，5.

[5]冯登国，孙锐，张阳.信息安全体系结构[M].北京：清华大学出版社，2008.

[6]S.Michelle Oda,Huirong Fu,Ye Zhu.Enterprise Information Security Architecture A Review of Frameworks,Methodology,and Case Studies.2nd IEEE International Conference on Computer Science and Information Technology,8-11，2009，8:333-337.