C2安全技术概述

在有关安全的讨论中，您大概已经耳闻“C2”一词被人们用来用去。然而，和其它很多安全术语一样，人们对 C2 级安全以及它所代表的含义，还有很多过分的渲染、曲解，甚至错误的声明。由于 Microsoft  Windows NT Server 4.0 / Windows 2000 都成功通过了 C2 级评测，安全圈子中就“C2 究竟代表什么”这一问题有许多不同的声音与争论。其中很多争论都因为对 C2 要求的含义，以及使用 C2 评测的配置所带来的好处，还知之甚少。本文的使命就是介绍 C2 的科学原理，让您能够理解这种安全等级代表什么，NT 是如何经过评测，以及您将从中得到哪些好处。

橙皮书
美国政府，更准确地说应是 National Computer Security Center（国家计算机安全中心），它是 National Security Agency （国家安全局） 的一个下属机构，为计算机安全引入了一套评测标准。这些标准的正式名称是 Trusted Computer System Evaluation Criteria（可信计算机系统评测标准，TCSEC），它们是一堆 6 英尺高的书的一部分。实际上，人们都把 TCSEC 叫做 Orange Book（《橙皮书》），因最初的书是橙色封面而得名。

《橙皮书》定义了四个主要等级的安全：

D， 标为“最低保护”。很多台式电脑和服务器 OS 都归入这一类。
C， 标为“自主型保护”。C 级系统允许用户（及 OS）对属于他们的资源进行保护。
B， 标为“强制保护”。B 级系统可强行实施强制的访问控制，并可在同一机器上处理不同的分类信息。
A， 标为“验证保护”。A 级系统在任何代码写入时，都要对其进行安全设计检查；并且，是否指定为 A 级，有赖于正式的严格试验，看其安全性是否完全正确。
在每一类中，又有很多分支（如 C1、C2、B3 等）。从 D 到 A1，要求逐渐变得越来越苛刻，安全处理所需费用也相应提高。安全团体一般都认为，从一个通用的商业 OS 中得到 C2 级安全已经足够好了；还有一些更高等级的系统，大多是用于非常专业的环境中。

评测过程
那么，您如何才能通过 C2 评测呢？简短的回答就是：需要时间和金钱。稍长一些的回答是：需要花“很多”时间和金钱，然后把所有源代码交给其他一些人，接下来只有翘首以待了。

为了能够声明一项产品已经成功通过 C2 评测，厂商（本例中指 Microsoft）必须找到一个第三方，让它对 OS 做全面的评测。OS 将在特殊的硬件配置上运行，而后对照《橙皮书》标准，评测整个工作情况，其中包括测试：

系统是否为所有用户提供了强制识别和身份验证
用户能否在其数据上设置自主访问控制
系统能否审核用户的操作
系统能否保护自身的对象
这些测试都要由独立的第三方来进行，并且他们需要经过认证，满足 Trusted Products Evaluation Process（可信产品评测程序，TPEP）规定的要求。TPEP 服务提供者的工作，就是深入研究 OS 及其源代码，找出它的弱点。作为此过程的一部分，评测者还要做一份详细报告 ，记录他们的发现。这一过程可以多次反复进行；TPEP 小组只要发现了使 OS 不能经过评测的问题，他们就会告诉厂商，由厂商修正这些问题。最终，产品要么成功通过评测，要么厂商选择放弃评测。

评测的意义
在 Windows NT 4.0 评测的最终报告中，有这样明显的一句话（格外强调的）：

SAIC 评测小组已经确认：按照 Trusted Facility Manual（可信设备手册）进行配置的Windows NT 4.0，连同 Service Pack 6a 和 C2 Update，符合 C2 级别的所有要求。
请注意这句话的内容：它并没有说“Windows NT 4 是符合 C2 的”。相反，它说“当处于认可的配置时”，系统是“可以成为”符合C2 的。这是一个微妙的差别，但却非常重要 - 这就好比说您车的速度可达 140 MPH，但是指在一条干路上，而且加满了油的情况下；而不是在您家堆满杂物的后院里。与给 NT 3.51 的老的评测相比，最好的事情莫过于，NT 4.0 C2 评测是在一个网络配置中进行的 C2 评测。

在“评测”与“认证”之间，也有差别。评测过程告诉我们，某个软件或硬件产品（比如说，Compaq ProLiant 5500 上的 Windows NT 4.0 Server）“能够”符合 C2 要求。而 C2 认证则表明，安装于位置 X 的系统“确实”符合 C2 要求。这种实际的 C2 和可能的 C2 之间的程度差别，在您阅读有关 TCSEC 评测的信息时一定要牢记。

C2 4
那么，如果您做的不是超级机密的政府项目，C2 有没有实用的应用程序呢？当然有！NT 在设计的开始阶段，就采用了很多符合 C2 要求的安全功能，您只需很少的工作就可以利用这些功能。这样，您就可以获得不少的安全性。动手之前，请先阅读 C2 Administrator's and User's Security Guide（《C2 管理员和用户安全指南》）。它详细解释了在网络中实现符合 C2 需要做哪些工作；同时还包括了一些必要任务的简短清单。

简言之，您需要安装 Service Pack 6a 和 SP6a 以后的 C2 动态修补程序，然后依照指南的第四章配置系统。还有一个单独的 1009097683C2 配置清单，它告诉您没有背景资料时该怎么办。

这一过程中，有两个重要的事情需要注意。首先，除非您使用的硬件和配置与 TPEP 小组完全相同，否则您的系统将不能用于“要求” C2 安全级别的环境中。其次，上面第一点根本无所谓 - 很可能 C2 配置的设置，要比您现在使用的更安全，所以只要依照清单，就可以轻而易举地得到更高的安全性。