» 第二章  信息安全工程实践应用



               安全强度自低到高排列，且高一级包括低一级的安全能力。
                   （一）第一级为用户自主保护级
                   适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权
               益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。
                   本级的主要特征是用户具有自主安全保护能力。访问控制机制允许命名用户以用

               户或用户组的身份规定并控制客体的共享，能阻止非授权用户读取敏感信息。可信计
               算基在初始执行时需要鉴别用户的身份，不允许无权用户访问用户身份鉴别信息。该
               安全级通过自主完整性策略，阻止无权用户修改或破坏敏感信息。

                   所谓可信计算基是指计算机系统内保护装置的总体，是实现访问控制策略的所有
               硬件、固件和软件的集合体。可信计算基具有以下性质：能控制主体集合对客体集合
               的每一次访问，是抗篡改的和足够小的，便于分析、测试与验证。
                   （二）第二级为系统审计保护级

                   适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和
               信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定
               损害。

                   本级的主要特征是本级也属于自主访问控制级。但和系统自主保护级相比，可信
               计算基实施粒度更细的自主访问控制，控制粒度可达单个用户级，能够控制访问权限
               的扩散，没有访问权的用户只能由有权用户指定对客体的访问权。身份鉴别功能通过
               每个用户唯一标识监控用户的每个行为，并能对这些行为进行审计。增加了客体重用
               和审计功能是本级的主要特色。审计功能要求可信计算基能够记录：对身份鉴别机制

               的使用；将客体引入用户地址空间；客体的删除；操作员、系统管理员或系统安全管
               理员实施的动作以及其他与系统安全有关的事件。
                   （三）第三级为安全标记保护级

                   适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受
               到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。
                   本级的特征主要是本级在提供系统审计保护级的所有功能的基础上，提供基本的
               强制访问功能。可信计算基能够维护每个主体及其控制的存储客体的敏感标记，也可

               以要求授权用户确定无标记数据的安全级别。这些标记是等级分类与非等级类别的集
               合，是实施强制访问控制的依据。可信计算基可以支持对多种安全级别（如军用安全
               级别可划分为绝密、机密、秘密、无密4个安全级别）的访问控制，强制访问控制规
               则如下。

                   仅当主体安全级别中的等级分类高于或等于客体安全级中的等级分类，且主体
               安全级中的非等级类别包含了客体安全级中的全部非等级类别，主体才能对客体有读


                                                                                          • 35 •