Robichaux 论安全 - 2000 年 1 月 (全文)

领测软件测试网 在有关安全的讨论中，您大概已经耳闻“C2”一词被人们用来用去。然而，和其它很多安全术语一样，人们对 C2 级安全以及它所代表的含义，还有很多过分的渲染、曲解，甚至错误的声明。由于 Microsoft 最近宣布Windows NT Server 4.0 已经成功通过了 C2 级评测，安全圈子中就“C2 究竟代表什么”这一问题有许多不同的声音与争论。其中很多争论都因为对 C2 要求的含义，以及使用 C2 评测的配置所带来的好处，还知之甚少。在今年专栏的第一期中，我的使命就是介绍 C2 的科学原理，让您能够理解这种安全等级代表什么，NT 是如何经过评测，以及您将从中得到哪些好处。

橙皮书

美国政府，更准确地说应是 National Computer Security Center（国家计算机安全中心），它是 National Security Agency （国家安全局） 的一个下属机构，为计算机安全引入了一套评测标准。这些标准的正式名称是 Trusted Computer System Evaluation Criteria（可信计算机系统评测标准，TCSEC），它们是一堆 6 英尺高的书的一部分。实际上，人们都把 TCSEC 叫做 Orange Book（《橙皮书》），因最初的书是橙色封面而得名。

《橙皮书》定义了四个主要等级的安全：

• D， 标为“最低保护”。很多台式电脑和服务器 OS 都归入这一类。
• C， 标为“自主型保护”。C 级系统允许用户（及 OS）对属于他们的资源进行保护。
• B， 标为“强制保护”。B 级系统可强行实施强制的访问控制，并可在同一机器上处理不同的分类信息。
• A， 标为“验证保护”。A 级系统在任何代码写入时，都要对其进行安全设计检查；并且，是否指定为 A 级，有赖于正式的严格试验，看其安全性是否完全正确。

在每一类中，又有很多分支（如 C1、C2、B3 等）。从 D 到 A1，要求逐渐变得越来越苛刻，安全处理所需费用也相应提高。安全团体一般都认为，从一个通用的商业 OS 中得到 C2 级安全已经足够好了；还有一些更高等级的系统，大多是用于非常专业的环境中。

评测过程

那么，您如何才能通过 C2 评测呢？简短的回答就是：需要时间和金钱。稍长一些的回答是：需要花“很多”时间和金钱，然后把所有源代码交给其他一些人，接下来只有翘首以待了。

为了能够声明一项产品已经成功通过 C2 评测，厂商（本例中指 Microsoft）必须找到一个第三方，让它对 OS 做全面的评测。OS 将在特殊的硬件配置上运行，而后对照《橙皮书》标准，评测整个工作情况，其中包括测试：

• 系统是否为所有用户提供了强制识别和身份验证
• 用户能否在其数据上设置自主访问控制
• 系统能否审核用户的操作
• 系统能否保护自身的对象

这些测试都要由独立的第三方来进行，并且他们需要经过认证，满足 Trusted Products Evaluation Process（可信产品评测程序，TPEP）规定的要求。TPEP 服务提供者的工作，就是深入研究 OS 及其源代码，找出它的弱点。作为此过程的一部分，评测者还要做一份详细报告 ，记录他们的发现。这一过程可以多次反复进行；TPEP 小组只要发现了使 OS 不能经过评测的问题，他们就会告诉厂商，由厂商修正这些问题。最终，产品要么成功通过评测，要么厂商选择放弃评测。

评测的意义

在 Windows NT 4.0 评测的最终报告中，有这样明显的一句话（格外强调的）：

SAIC 评测小组已经确认：按照 Trusted Facility Manual（可信设备手册）进行配置的Windows NT 4.0，连同 Service Pack 6a 和 C2 Update，符合 C2 级别的所有要求。

请注意这句话的内容：它并没有说“Windows NT 4 是符合 C2 的”。相反，它说“当处于认可的配置时”，系统是“可以成为”符合C2 的。这是一个微妙的差别，但却非常重要 - 这就好比说您车的速度可达 140 MPH，但是指在一条干路上，而且加满了油的情况下；而不是在您家堆满杂物的后院里。与给 NT 3.51 的老的评测相比，最好的事情莫过于，NT 4.0 C2 评测是在一个网络配置中进行的 C2 评测。

在“评测”与“认证”之间，也有差别。评测过程告诉我们，某个软件或硬件产品（比如说，Compaq ProLiant 5500 上的 Windows NT 4.0 Server）“能够”符合 C2 要求。而 C2 认证则表明，安装于位置 X 的系统“确实”符合 C2 要求。这种实际的 C2 和可能的 C2 之间的程度差别，在您阅读有关 TCSEC 评测的信息时一定要牢记。

C2 4

那么，如果您做的不是超级机密的政府项目，C2 有没有实用的应用程序呢？当然有！NT 在设计的开始阶段，就采用了很多符合 C2 要求的安全功能，您只需很少的工作就可以利用这些功能。这样，您就可以获得不少的安全性。动手之前，请先阅读 C2 Administrator's and User's Security Guide（《C2 管理员和用户安全指南》）。它详细解释了在网络中实现符合 C2 需要做哪些工作；同时还包括了一些必要任务的简短清单。

简言之，您需要安装 Service Pack 6a 和 SP6a 以后的 C2 动态修补程序，然后依照指南的第四章配置系统。还有一个单独的 1009097683C2 配置清单，它告诉您没有背景资料时该怎么办。

这一过程中，有两个重要的事情需要注意。首先，除非您使用的硬件和配置与 TPEP 小组完全相同，否则您的系统将不能用于“要求” C2 安全级别的环境中。其次，上面第一点根本无所谓 - 很可能 C2 配置的设置，要比您现在使用的更安全，所以只要依照清单，就可以轻而易举地得到更高的安全性。

延伸阅读

文章来源于领测软件测试网 https://www.ltesting.net/