操作系统虚拟化之TESEC和CC标准

国内外相关标准

TCSEC:Trusted Computer System Evaluation Criteria
ITESEC：Information Technology Security Evaluation Criteria
FC:Federal Criteria for Information Technology Security
CC：Common Criteria

TCSEC评估等级：

A1可验证设计保护级（安全级别最高）

• 要求建立系统的安全模型，且可以形式化验证的系统设计，对隐蔽通道进行形式分析
• 目前已获得承认的A1级系统有Honeywell公司的SCOMP系统，我国的标准去掉了A1

B3安全域保护级

• 要求系统划分主体客体区域
• 有能力监控对每个客体的每次访问
• 用户程序和操作被限定在某个安全域内
• 安全域的访问收到严格的限制
• 要求有一个安全管理员来管理安全活动
• 安全策略方面，采用访问控制表方式实现DAC

B2结构化保护级

• 要求把系统内部划分成独立的模块，采用最小特权原则进行管理，内部结构必须是可证明的
• 对所有主客体实施更强的MAC，从主客体扩大到IO设备等所有资源
• TCB应支持管理员与操作员分离
• 能够审计使用隐蔽存储通道的标志事件
• 必须给出可验证的顶级设计，要求开发者对隐蔽通道进行彻底搜索
• TCB划分保护与非保护发部分，存放于固定区内
• 要求给设备，磁盘或者终端分配一个或者多个安全级

B1带标记的访问控制保护级：

• 具有C2的全部功能，还增加或增强了标记、MAC、责任、审计、保证等功能
• 标记：主客体都必须带标记，并准确体现其安全级别，并且由TCB维护
• 采用强制保护机制，保护机制根据标记对客体进行保护
• B1安全级要求以安全模型为依据，要=彻底分析系统的设计文件和源代码，严格测试目标代码

C2可控安全保护级：

• 达到企业级安全要求
• C2实现更细的可控自主访问控制，保护粒度达到单个主体和客体一级
• 要求消除残留信息泄露（内存、外存、寄存器）
• 要求审计功能（与C1的主要区别）
• 比C1增加授权服务，还有防止访问权失控扩散的机制
• 要求TCB必须保留在特定区域，防止来自外部的修改；TCB应与被保护的资源隔离
• TCB能够记录对认证安全机制的使用、记录对客体的读入删除等操作，记录系统管理员的管理活动

C1自主安全保护级：

• 实现粗粒度的自主访问控制机制
• 系统能把用户与数据隔离
• iTCB通过账户和口令去确认用户身份
• 通过拥有者自定义和控制防止自己的数据被别的用户破坏
• 要求严格的测试和完善的文档资料

D:安全级最低，没有任何安全措施，整个系统是不可信的，硬件无任何保障机制，操作系统容易受到侵害，无身份认证和访问控制

CC标准对安全保证要求定义了七个评估保证级（括号内为对应的TESEC级别）：

• 功能性测试，EAL1
• 结构化测试，EAL2 （C1）
• 具有方法学的测试和检查，EAL3 （C2）
• 具有方法学的设计、测试和审查， EAL4 （B1）
• 半形式化的设计和测试， EAL5（B2）
• 半形式化验证的设计和测试EAL6（B3）
• 形式化验证的设计和测试 EAL7（A1）