몇 년 전, 미국 국방부는 서로 다른 등급의 컴퓨터 보안에 대한 네 가지 지침을 제정했다. 오렌지 책 (공식 명칭은 신뢰할 수 있는 컴퓨터 표준 평가 기준) 에는 컴퓨터 보안 수준 분류가 포함되어 있습니다. 이러한 분류를 보면 일부 시스템에 내재된 다양한 보안 위험을 이해하고 이러한 위험을 줄이거나 제거하는 방법을 파악할 수 있습니다.
1, D 1
이것은 가장 낮은 수준의 컴퓨터 보안이다. 전체 컴퓨터 시스템은 믿을 수 없고 하드웨어와 운영 체제는 쉽게 공격받을 수 있다. D 1 컴퓨터 시스템 표준은 사용자를 인증하지 않도록 규정하고 있습니다. 즉, 누구나 컴퓨터 시스템을 쉽게 사용할 수 있습니다. 사용자 등록 (사용자 이름 필요) 또는 암호 보호 (사용자가 고유한 액세스 문자열을 제공해야 함) 가 필요하지 않습니다. 누구나 컴퓨터 앞에 앉아서 사용할 수 있다.
D 1 레벨 컴퓨터 시스템은 다음과 같습니다.
MS-Dos
MS-Windows3.xe 및 Windows95 (워크그룹 모드가 아님)
애플의 시스템 7.x
2. 등급 C 1
C 1 레벨 시스템은 하드웨어에 잠금 장치와 컴퓨터를 사용하는 키 등과 같은 보안 메커니즘이 있어야 합니다. ) 및 사용자가 사용하기 전에 시스템에 로그인해야 합니다. C 1 레벨 시스템은 또한 시스템 관리자가 일부 프로그램이나 데이터에 대한 액세스 권한을 설정할 수 있도록 전체 액세스 제어 기능이 필요합니다. C 1 수준 보호의 단점은 사용자가 운영 체제의 루트 디렉토리에 직접 액세스한다는 것입니다. C 1 수준은 시스템에 들어가는 사용자의 액세스 수준을 제어할 수 없으며, 사용자는 시스템의 데이터를 자유롭게 삭제할 수 있습니다.
일반적인 C 1 호환 컴퓨터 시스템은 다음과 같습니다.
유닉스 시스템
엑스넥스
Novell3.x 버전 3.x 이상
Windows 운영 체제
3, C2 수준
C2 수준은 C 1 수준의 몇 가지 단점 중 몇 가지를 강화하고, C2 수준은 제어 액세스 환경 (사용자 권한 수준) 의 향상된 기능을 도입했습니다. 이 기능은 사용자의 권한을 기반으로 할 뿐만 아니라 사용자가 일부 시스템 명령을 실행하는 것을 더욱 제한합니다. 권한 부여 분류를 통해 시스템 관리자는 사용자를 그룹화하고 특정 프로그램에 액세스하거나 계층 디렉토리에 액세스할 수 있는 권한을 부여할 수 있습니다. 반면, 사용자 권한은 사용자가 프로그램이 있는 디렉토리에 개별적으로 액세스할 수 있도록 권한을 부여합니다. 다른 프로그램과 데이터가 같은 디렉토리에 있는 경우 사용자는 자동으로 이 정보를 얻을 수 있습니다. C2 레벨 시스템은 또한 시스템 감사를 사용합니다. 감사 기능은 로그인 (성공 및 실패) 및 시스템 관리자의 작업 (사용자 액세스 및 비밀번호 변경 등) 과 같은 모든 보안 이벤트를 추적합니다.
일반적인 C2 운영 체제는 다음과 같습니다.
유닉스 시스템
엑스넥스
Novell3.x 버전 3.x 이상
Windows 운영 체제
4. 등급 B 1
B 1 레벨 시스템은 다중 레벨 보안을 지원합니다. 즉, 이 보안은 다양한 수준의 시스템 (네트워크, 애플리케이션, 워크스테이션 등) 에 설치됩니다. 참고) 또한 중요한 정보에 대한 고급 보호 기능을 제공합니다. 예를 들어, 보안 수준은 암호 해독, 기밀 유지 및 극비 레벨로 나눌 수 있습니다.
5, B2 수준
이 수준을 구조적 보호라고 합니다. B2 수준 보안에서는 컴퓨터 시스템의 모든 개체에 태그를 지정하고 워크스테이션, 터미널 및 디스크 드라이브와 같은 장치에 보안 수준을 지정해야 합니다. 예를 들어 사용자는 워크스테이션에 액세스할 수 있지만 개인 임금 데이터가 포함된 디스크 하위 시스템에 대한 액세스는 허용되지 않을 수 있습니다.
6, B3 수준
B3 수준에서는 사용자의 워크스테이션 또는 터미널이 신뢰할 수 있는 채널을 통해 네트워크 시스템에 연결되어야 합니다. 이 수준에서는 하드웨어를 사용하여 보안 시스템의 스토리지 영역을 보호해야 합니다.
7. a 급
이것은 오렌지 책에서 가장 높은 안전 수준이며, 때로는 검증 설계라고도 한다. 위에서 언급한 수준과 마찬가지로 이 수준에는 그 아래 수준의 모든 특징이 포함되어 있습니다. A-level 은 또한 보안 시스템을 모니터링해야 한다는 설계 요구 사항을 추가했습니다. 자격을 갖춘 보안 담당자는 이 설계를 분석하고 통과해야 합니다. 게다가, 반드시 엄격한 형식화 방법을 채택하여 시스템의 안전을 증명해야 한다. 또한 레벨 A 에서는 시스템을 구성하는 모든 부품의 출처가 안전해야 하며, 이러한 보안 조치는 판매 과정에서 이러한 부품이 손상되지 않도록 해야 합니다. 예를 들어, 클래스 A 설정에서는 프로덕션 작업장에서 컴퓨터실까지 테이프 드라이브가 밀접하게 추적됩니다.