论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 48 篇帖子 ]  前往页数 1, 2, 3, 4  下一页
作者 内容
 文章标题 : 关于敏感标记如何做测评,达到等保要求?
帖子发表于 : 2011-03-02 16:36 
离线
高级用户

注册: 2010-06-05 15:16
最近: 2013-03-27 09:18
拥有: 708.00 安全币

奖励: 89 安全币
在线: 2215 点
帖子: 207
在测评中大家谈谈对访问控制单元里的敏感标记理解,以及如何对客户进行解释,如何做测评,使用什么方法或工具能符合等保的要求?谢谢了!大家谈一谈?


--------本帖迄今已累计获得39安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于敏感标记如何做测评,达到等保要求
帖子发表于 : 2011-03-02 16:46 
离线
新手

注册: 2011-01-28 16:42
最近: 2011-03-19 00:07
拥有: 201.00 安全币

奖励: 0 安全币
在线: 0 点
帖子: 10
这个问题真的很专业,我也会碰到类似的问题!


--------本帖迄今已累计获得27安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于敏感标记如何做测评,达到等保要求?
帖子发表于 : 2011-03-03 12:58 
离线
高级用户

注册: 2011-01-17 09:26
最近: 2015-10-16 17:01
拥有: 1,342.00 安全币

奖励: 1084 安全币
在线: 296 点
帖子: 174
地址: 杭州
“敏感标记”这是个比蹩脚翻译的词。Sensitivity Label ,直译也就是这个意思。
下面做个介绍:
“在计算机信息系统中,为保障信息的机密性、完整性和
可用性,对信息的访问和操作,一般需要遵循一定的安全策
略。只有当所有的用户只能按照安全策略所授权的方法进行
信息的操作,信息系统才是安全的,而敏感标记是实现多级
安全系统的基础,是实施强制访问控制安全策略的前提。”(引用常用的说法)
=========================================================
我自己给你解释解释:
首先:明确敏感标记的来源和目的。这个对于一直使用通用计算机设备的人员不容易理解,因为通用设备一般没有使用强制访问控制。现在明确强制访问的概念
“强制访问控制是指对系统中主体对客体的所有访问请求按照强制访问控制策略进行控制,客体属主无权控制客体的访问权限,以防止对信息的非法和越权访问”,你可以对你在计算机上创建的文件的访问控制进行修改,这是就不是强制访问控制。举个防止访问的例子,别人送你一支录音笔,但是这支录音笔你只有录音的权利,你无法播放和删除你的录音内容,这就是将至访问控制。
敏感标记用于支持强制访问控制的系统,如果你的计算机的安全策略无法修改,那么对于进入你计算机的文件如何赋予它们不同的权限呢?对了就是敏感标记,要求进入你计算机的文件必须自己告诉计算机的自己的安全级别,自己应该属于那种安全策略下运行。听起来是不是这种方式更容易被破坏,因为可以欺骗系统,告诉系统你的安全策略最低吗!是这样的,所以才有那么多人在攻击和反攻击。
=======================================================
对于你做等级保护,你主要看,进入评测系统的文件,用户能否自主设置安全策略,如果不可以那么就是强制访问。是不是使用了敏感标记这个可以使用多种手段实现,具体没个准数。不过一般是,这样判定的,其实这个主要看系统的厂商的说明了。用户是无法了解的。


--------本帖迄今已累计获得125安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 关于敏感标记如何做测评,达到等保要求?
帖子发表于 : 2011-03-03 14:28 
离线
初级用户

注册: 2008-07-10 13:40
最近: 2011-10-17 10:11
拥有: 31.60 安全币

奖励: 82 安全币
在线: 185 点
帖子: 38
楼上的解释很清楚,看来在这个领域有研究!!!谢谢


--------本帖迄今已累计获得23安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于敏感标记如何做测评,达到等保要求?
帖子发表于 : 2011-03-03 21:39 
离线
初级用户

注册: 2006-08-17 16:21
最近: 2015-11-18 16:21
拥有: 420.00 安全币

奖励: 5 安全币
在线: 798 点
帖子: 36
楼行回答的不错。


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于敏感标记如何做测评,达到等保要求?
帖子发表于 : 2011-03-04 11:20 
离线
初级用户

注册: 2005-06-20 17:58
最近: 2014-10-22 16:41
拥有: 865.00 安全币

奖励: 28 安全币
在线: 292 点
帖子: 32
敏感标记是与强制访问控制相关的,只要系统说支持强制访问控制就肯定支持敏感标记。大概有这么几种
操作系统,主要三级以上的系统都要求有强制访问控制。
应用安全系统,有一些应用安全系统会有对用户和资源的强制访问控制。
网络,有些支持网络标记的安全设备,


--------本帖迄今已累计获得70安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于敏感标记如何做测评,达到等保要求?
帖子发表于 : 2011-03-04 16:45 
离线
新手

注册: 2009-12-13 20:32
最近: 2015-08-26 14:01
拥有: 38.00 安全币

奖励: 0 安全币
在线: 166 点
帖子: 8
學習了~~


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于敏感标记如何做测评,达到等保要求?
帖子发表于 : 2011-03-06 22:09 
离线
初级用户

注册: 2010-02-07 15:48
最近: 2012-12-22 21:39
拥有: 185.00 安全币

奖励: 2 安全币
在线: 312 点
帖子: 31
敏感标记是强制访问控制的基础,只有实现了敏感标记才能实现强制访问控制,只要实现了强制访问控制一定实现了敏感标记。在等保中,没有刻意提出强制访问控制的要求,而是以比强制访问控制弱一些的要求,提出了敏感标记。而敏感标记一般是在安全操作系统中存在,因此以目前的操作系统来看,可以告诉客户基本没有实现。在判断上,也可以直接引用相关产品的测试结果,作为核查结果。


--------本帖迄今已累计获得63安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于敏感标记如何做测评,达到等保要求?
帖子发表于 : 2011-03-07 14:17 
离线
初级用户

注册: 2010-11-23 10:09
最近: 2016-06-13 17:32
拥有: 1,057.00 安全币

奖励: 111 安全币
在线: 162 点
帖子: 50
在强制访问控制中,系统对主体与客体都分配一个特殊的一般不能更改的安全属性,系统通过比较主客体的安全属性来决定一个主体是否能够访问某个客体。用户为某个目的而运行的程序,不能改变它自己及任何其它客体的安全属性,包括该用户自己拥有的客体。敏感安全标记是实现强制访问控制的依据,用于表示主客体的安全级别,强制访问控制依据该级别来决定主体以何种权限对客体进行操作。
敏感标记在安全领域的概念,就是根据不同需求的网络划分级别,每个级别的数据都有各个级别的标记,不同级别之间的数据流动是受保护的,每个安全域里面的数据都带有相应级别的敏感标记,数据在不同级别安全域之间互联互通时,敏感标记是携带的,也即低可信等级的安全域对高可信等级安全域的数据是受一定访问限制的,除非被授权。
国家等级保护的基本理念,可以理解为网络安全的一切问题都是在解决访问控制的问题。因此,服务器操作系统安全,就是访问控制的安全,在应用系统中也样如此,目前实现应用级基于标记的强制访问控制的厂家像国路安,在铁路行业有一些可供参考的成功案例~


--------本帖迄今已累计获得56安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于敏感标记如何做测评,达到等保要求?
帖子发表于 : 2011-03-07 15:25 
离线
初级用户

注册: 2005-06-20 17:58
最近: 2014-10-22 16:41
拥有: 865.00 安全币

奖励: 28 安全币
在线: 292 点
帖子: 32
securitydark 写道:
敏感标记是强制访问控制的基础,只有实现了敏感标记才能实现强制访问控制,只要实现了强制访问控制一定实现了敏感标记。在等保中,没有刻意提出强制访问控制的要求,而是以比强制访问控制弱一些的要求,提出了敏感标记。而敏感标记一般是在安全操作系统中存在,因此以目前的操作系统来看,可以告诉客户基本没有实现。在判断上,也可以直接引用相关产品的测试结果,作为核查结果。

GB17958有明确定义
“敏感标记 sensitivity label
表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。”
从上述定义可以看出,敏感标记包含安全级别,是MAC的依据。即使按照“基本要求”,也有访问控制的要求:
g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;
可以认为这个就是强制访问控制的要求。否则光有敏感标记有什么意义?
至于有没有实现那就要看要求了,如果严格按照要求来,不符合要求的要安全增强,现在符合三级以上操作系统不下十家。
另外,除了操作系统的访问控制,应用安全也有访问控制的要求。


--------本帖迄今已累计获得23安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于敏感标记如何做测评,达到等保要求?
帖子发表于 : 2011-03-07 15:39 
离线
超级用户

注册: 2008-11-26 20:21
最近: 2014-10-12 16:16
拥有: 1,500.80 安全币

奖励: 2211 安全币
在线: 2147 点
帖子: 565
敏感标记属于mac的内容,现在的操作系统,win 2003以上属于橙皮书B级以上,算是有这块的内容。Linux 下的selinux,也可以算一个mac的东西。当然,unix,aix等都有这一块搭边的东西,比如说aix的tcb。另外一些内核也开始引入mac的东西。

现在重要的是,系统级的这种mac基本上也不能完全满足等保的要求。

现在的操作方式,主要有2个方面,一个是从管理上进行弥补,由管理文件来定义系统,应用,数据等的重要程度,给定一个标记。
另外一个是由技术上来实现,引入第三方的权限控制类程序,对文件进行分级控制,赋予各个用户,组,角色不同的权限级别,达到符合。


--------本帖迄今已累计获得53安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于敏感标记如何做测评,达到等保要求?
帖子发表于 : 2011-03-07 17:10 
离线
高级用户

注册: 2008-03-28 09:24
最近: 2018-05-12 23:12
拥有: 20,169.00 安全币

奖励: 1299 安全币
在线: 7054 点
帖子: 147
oohurbert 写道:
敏感标记是与强制访问控制相关的,只要系统说支持强制访问控制就肯定支持敏感标记。大概有这么几种
操作系统,主要三级以上的系统都要求有强制访问控制。
应用安全系统,有一些应用安全系统会有对用户和资源的强制访问控制。
网络,有些支持网络标记的安全设备,


有个疑惑,windows操作系统应该不是强制访问控制吧?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于敏感标记如何做测评,达到等保要求?
帖子发表于 : 2011-03-07 17:13 
离线
初级用户

注册: 2010-02-07 15:48
最近: 2012-12-22 21:39
拥有: 185.00 安全币

奖励: 2 安全币
在线: 312 点
帖子: 31
oohurbert 写道:
securitydark 写道:
敏感标记是强制访问控制的基础,只有实现了敏感标记才能实现强制访问控制,只要实现了强制访问控制一定实现了敏感标记。在等保中,没有刻意提出强制访问控制的要求,而是以比强制访问控制弱一些的要求,提出了敏感标记。而敏感标记一般是在安全操作系统中存在,因此以目前的操作系统来看,可以告诉客户基本没有实现。在判断上,也可以直接引用相关产品的测试结果,作为核查结果。

GB17958有明确定义
“敏感标记 sensitivity label
表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。”
从上述定义可以看出,敏感标记包含安全级别,是MAC的依据。即使按照“基本要求”,也有访问控制的要求:
g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;
可以认为这个就是强制访问控制的要求。否则光有敏感标记有什么意义?
至于有没有实现那就要看要求了,如果严格按照要求来,不符合要求的要安全增强,现在符合三级以上操作系统不下十家。
另外,除了操作系统的访问控制,应用安全也有访问控制的要求。



这位仁兄所说的符合三级以上操作系统不下十家是从哪里引用来的。


--------本帖迄今已累计获得14安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于敏感标记如何做测评,达到等保要求?
帖子发表于 : 2011-03-07 17:37 
离线
顶级用户

注册: 2010-02-26 10:11
最近: 2017-08-17 14:51
拥有: 4,005.00 安全币

奖励: 0 安全币
在线: 1811 点
帖子: 1159
目前国内没有实现了第三级的操作系统,即使有也不是商业化的系统而是军方或安全保密部门内部使用的。


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于敏感标记如何做测评,达到等保要求?
帖子发表于 : 2011-03-07 20:11 
离线
版主

注册: 2010-04-14 10:30
最近: 2013-05-06 14:04
拥有: 3,990.00 安全币

奖励: 780 安全币
在线: 305 点
帖子: 213
关键是怎么验证?

还有,敏感标记的格式和内容的标准是什么?

模型都好说,怎样执行呢?


--------本帖迄今已累计获得23安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 48 篇帖子 ]  前往页数 1, 2, 3, 4  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012