服务器安全评估标准

国外标准
国外对于计算机安全问题的评估标准较多，比较著名的是1983年美国国防部提出的《可信计算机评估标准》TCSEC（Trusted Computer System Evaluation Criteria），又称桔皮书。TCSEC根据以下几个方面进行安全性评估：
（1） 安全策略：必须有一个明确的、确定的由系统实施的安全策略；
（2） 识别：必须惟一而可靠地识别每个主体，以便检查主体/客体的访问请求；
（3） 标记：必须给每个客体（目标）作一个”标号”，指明该客体的安全级别。这种结合必须做到对该目标进行访问请求时都能得到该标号以便进行对比；
（4） 可检查性：系统对影响安全的活动必须维持完全而安全的记录。这些活动包括系统新用户的引入、主体或客体的安全级别的分配和变化以及拒绝访问的企图；
（5） 保障措施：系统必须含实施安全性的机制并能评价其有效性；
（6） 连续的保护：实现安全性的机制必须受到保护以防止未经批准的改变。
根据以上六条要求，”可信计算机系统评估准则”将计算机系统的可信程度（安全等级）划分成四大类（D、C、B、A），七个小类（D、C1、C2、B1、B2、B3、A）。具体标准内容如表2.3所示。
表2.3 安全评估标准
类 别 名 称 主 要 特 征
A1 可验证的安全设计 形式化的最高级描述和验证，形式化的隐秘通道分析，非形式化的代码一致性证明
B3 安全域机制 安全内核，高抗渗透能力
B2 结构化安全保护 设计系统必须有一个合理的总体设计方案，面向安全的体系结构，遵循最小授权原则，较好的抗渗透能力，访问控制应对所有的主体和客体进行保护，对系统进行隐蔽通道分析
B1 标号安全控制 除了C2级的安全需求外，增加安全策略模型，数据标号（安全和属性），托管访问控制
C2 受控的访问控制 存取控制以用户为单位，广泛的审计。如Unix、Windows NT等
C1 选择的安全保护 有选择的存取控制，用户与数据分离，数据的保护以用户组为单位
D 最小保护 保护措施很少，没有安全功能。如DOS、Windows等

（1） D级。D级是最低的安全保护等级。这个级别的操作系统就像一个门户大开的房子，任何人可以自由进出，是完全不可信的。对于硬件来说，是没有任何保护措施，操作系统容易受到损害，没有系统访问限制和数据访问限制，任何人不需任何账户就可以进入系统，不受任何限制就可以访问他人的数据文件。属于D级的操作系统有：DOS、Windows 3.x、Apple的Macintosh System7.1。
（2） C级。C级有两个安全子级别：C1和C2。
① C1级。又称选择性安全保护系统，这在Unix系统中比较典型。这种级别的系统对硬件有某种程度的保护，即每个用户都有账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权。但硬件受到损害的可能性仍然存在。
C1级支持对文件进行权限设置，如读（read）、写（write）、执行（execute）等权限。文件的拥有者和超级用户（root）可以改动文件中的访问属性，从而对不同的用户给予不同的访问权，例如，让文件拥有者有读、写和执行的权力，给同组用户读和执行的权力，而给其他用户以读权限。
另外，许多日常的管理工作由根用户（root）来完成，如创建新的组和新的用户。根用户（root）拥有很大的权力，如同Windows NT中的Administrator用户。所以它的口令一定要保存好，不要多人共享。
C1级保护的不足之处在于根用户（root）的设置。如果某个用户以根用户进入系统，他就可以将系统中的数据任意移走，可以控制系统配置，获取比系统管理员允许的更高权限，如改变和控制用户名。 因此，从某种意义上来讲，在拥有C1级的操作系统中，硬件受到损害的可能性仍然存在。
② C2级。除了C1包含的特征外，C2级别还包含有访问控制环境。该环境具有进一步限制用户执行某些命令或访问某些文件的权限，而且还加入了身份验证级别。另外，系统对发生的事件加以审计，并写入日志当中，如何时开机，哪个用户在什么时候从哪儿登录等等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以大致推测出可能有人想强行闯入系统。审计可以记录下系统管理员执行的活动，审计还加有身份验证，这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理器时间和磁盘资源。
使用附加身份认证就可以让一个C2系统用户在不是根用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组，授予他们访问某些程序的权限或访问分级目录。另一方面，用户权限可以以个人为单位授权用户对某一程序所在目录进行访问。如果其他程序和数据也在同一目录下，那么用户也将自动得到访问这些信息的权限。
能够达到C2级的常见操作系统有：Unix系统、XENIX、Novell3.x或更高版本、Windows NT。
（3） B级。B级中有三个子级别：B1级、B2级和B3级。
① B1级。即标志安全保护。它是支持多级安全（比如秘密和绝密）的第一个级别，这个级别说明一个处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。
一般而言，政府机构和防御系统承包商们是B1级计算机系统的主要拥有者。
② B2级。又称结构保护，要求计算机系统中所有的对象都加标签，而且给设备（磁盘，磁带和终端）分配单个或多个安全级别。这是较高安全级别的对象与另一个较低安全级别的对象相互通信的第一个级别。
③ B3级。又称安全区域保护。它使用安装硬件的方式来加强安全区域保护。例如，内存管理硬件用于保护安全区域免遭无授权访问或其他安全区域对象的修改。该级别要求用户通过一条可信任途径连接到系统上。
（4） A级。又称验证设计，这是当前的最高级别，包括了严格的设计，控制和验证过程。与前面提到的各级别一样，这一级别包含了较低级别的所有特性。设计必须是从数学角度上经过验证的，而且必须进行秘密通道和可信任分布的分析。这里，可信任分布的含义是，硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。
在上述七个级别中，B1级和B2级的级差最大，因为只有B2、B3和A级，才是真正的安全等级，它们至少经得起程度不同的严格测试和攻击。目前，我国普遍应用的计算机，其操作系统大都是引进国外的属于C1级和C2级产品。因此，开发我国自己的高级别的安全操作系统和数据库的任务迫在眉睫，当然其开发工作也是十分艰巨的。
计算机操作系统的评价准则的建立不仅对于评价、监察已经运行的计算机系统的安全具有指导意义，而且对于研究、设计、制造和使用计算机系统，确保其安全性具有十分重要的意义。

国内标准
公安部主持制定、国家技术标准局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》已经正式颁布，并于2001年1月1日起实施。该准则将信息系统安全分为5个等级：
l 自主保护级
l 系统审计保护级
l 安全标记保护级
l 结构化保护级
l 访问验证保护级
主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计、隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径和可信恢复等，这些指标涵盖了不同级别的安全要求。
另外还有《信息处理系统开放系统互联基本参考模型第2部分安全体系结构》（GB/T 9387.2 1995）、《信息处理数据加密实体鉴别机制第I部分：一般模型》（GB 15834.1-1995）、《信息技术设备的安全》（GB 4943-1995）等