安全威胁中主要的可实现的威胁分为两类:渗入威胁和植入威胁。主要的渗入威胁有:假冒、旁路控制、授权侵犯。主要的植入威胁有:特洛伊木马、陷门。
D级别:
D级别是最低的安全级别,对系统提供最小的安全防护。系统的访问控制没有限制,无需登陆系统就可以访问数据,这个级别的系统包括DOS,WINDOWS98等。
C级别:
C级别有两个子系统,C1级和C2。
C1级称为选择性保护级(Discrtionary Security Protection)可以实现自主安全防护,对用户和数据的分离,保护或限制用户权限的传播。
C2级具有访问控制环境的权力,比C1的访问控制划分的更为详细,能够实现受控安全保护、个人帐户管理、审计和资源隔离。这个级别的系统包括UNIX、LINUX和WindowsNT系统。
C级别属于自由选择性安全保护,在设计上有自我保护和审计功能,可对主体行为进行审计与约束。C级别的安全策略主要是自主存取控制,可以实现
①保护数据确保非授权用户无法访问; ②对存取权限的传播进行控制; ③个人用户数据的安全管理。
C级别的用户必须提供身份证明,(比如口令机制)才能够正常实现访问控制,因此用户的操作与审计自动关联。C级别的审计能够针对实现访问控制的授权用户和非授权用户,建立、维护以及保护审计记录不被更改、破坏或受到非授权存取。这个级别的审计能够实现对所要审计的事件,事件发生的日期与时间,涉及的用户,事件类型,事件成功或失败等进行记录,同时能通过对个体的识别,有选择地审计任何一个或多个用户。C级别的一个重要特点是有对于审计生命周期保证的验证,这样可以检查是否有明显的旁路可绕过或欺骗系统,检查是否存在明显的漏路(违背对资源的隔离,造成对审计或验证数据的非法操作)。
B级别:
B级别包括B1、B2和B3三个级别,B级别能够提供强制性安全保护和多级安全。强制防护是指定义及保持标记的完整性,信息资源的拥有者不具有更改自身的权限,系统数据完全处于访问控制管理的监督下。
B1级称为标识安全保护(Labeled Security Protection)。
B2级称为结构保护级别(Security Protection),要求访问控制的所有对象都有安全标签以实现低级别的用户不能访问敏感信息,对于设备、端口等也应标注安全级别。
B3级别称为安全域保护级别(Security Domain),这个级别使用安装硬件的方式来加强域的安全,比如用内存管理硬件来防止无授权访问。B3级别可以实现:
①引用监视器参与所有主体对客体的存取以保证不存在旁路; ②审计跟踪能力强,可以提供系统恢复过程; ③支持安全管理员角色; ④用户终端必须通过可信话通道才能实现对系统的访问; ⑤防止篡改。
B组安全级别可以实现自主存取控制和强制存取控制,通常的实现包括:
①所有敏感标识控制下的主体和客体都有标识; ②安全标识对普通用户是不可变更的; ③可以审计(a)任何试图违反可读输出标记的行为(b)授权用户提供的无标识数据的安全级别和与之相关的动作(c)信道和I/O设备的安全级别的改变(d)用户身份和与相应的操作; ④维护认证数据和授权信息; ⑤通过控制独立地址空间来维护进程的隔离。
B组安全级别应该保证:
①在设计阶段,应该提供设计文档,源代码以及目标代码,以供分析和测试; ②有明确的漏洞清除和补救缺陷的措施; ③无论是形式化的,还是非形式化的模型都能被证明该模型可以满足安全策略的需求。监控对象在不同安全环境下的移动过程(如两进程间的数据传递)
A级别:
Aj级别只有A1,这一级别,A级别称为验证设计级(Verity Design),是目前最高的安全级别,在A级别中,安全的设计必须给出形式化设计说明和验证,需要有严格的数学推导过程,同时应该包含秘密信道和可信分布的分析,也就是说要保证系统的部件来源有安全保证,例如对这些软件和硬件在生产、销售、运输中进行严密跟踪和严格的配置管理,以避免出现安全隐患。