《網(wǎng)絡(luò)與信息安全》PPT課件

《《網(wǎng)絡(luò)與信息安全》PPT課件》由會(huì)員分享，可在線(xiàn)閱讀，更多相關(guān)《《網(wǎng)絡(luò)與信息安全》PPT課件（148頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、網(wǎng)絡(luò)與信息安全 第十七講 計(jì)算機(jī)信息系統(tǒng) 安全評(píng)估標(biāo)準(zhǔn)介紹 閆 強(qiáng) 北京大學(xué)信息科學(xué)技術(shù)學(xué)院 軟件研究所信息安全研究室,2003年春季北京大學(xué)碩士研究生課程,2,標(biāo)準(zhǔn)介紹,信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過(guò)程 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC ） 可信網(wǎng)絡(luò)解釋?zhuān)═NI） 通用準(zhǔn)則CC 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 信息系統(tǒng)安全評(píng)估方法探討,3,信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過(guò)程,信息技術(shù)安全評(píng)估是對(duì)一個(gè)構(gòu)件、產(chǎn)品、子系統(tǒng)或系統(tǒng)的安全屬性進(jìn)行的技術(shù)評(píng)價(jià)，通過(guò)評(píng)估判斷該構(gòu)件、產(chǎn)品、子系統(tǒng)或系統(tǒng)是否滿(mǎn)足一組特定的要求。信息技術(shù)安全評(píng)估的另一層含義是在一定的安全策略、安全功能需求及目標(biāo)保證級(jí)別下獲得相應(yīng)保證

2、的過(guò)程 。 產(chǎn)品安全評(píng)估 信息系統(tǒng)安全評(píng)估 信息系統(tǒng)安全評(píng)估，或簡(jiǎn)稱(chēng)為系統(tǒng)評(píng)估，是在具體的操作環(huán)境與任務(wù)下對(duì)一個(gè)系統(tǒng)的安全保護(hù)能力進(jìn)行的評(píng)估 。,4,信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過(guò)程,20世紀(jì)60年代后期，1967年美國(guó)國(guó)防部（DOD）成立了一個(gè)研究組，針對(duì)當(dāng)時(shí)計(jì)算機(jī)使用環(huán)境中的安全策略進(jìn)行研究，其研究結(jié)果是“Defense Science Board report” 70年代的后期DOD對(duì)當(dāng)時(shí)流行的操作系統(tǒng)KSOS，PSOS，KVM進(jìn)行了安全方面的研究,5,信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過(guò)程,80年代后，美國(guó)國(guó)防部發(fā)布的“可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）”（即桔皮書(shū)） 后來(lái)DOD又發(fā)布了可信數(shù)據(jù)庫(kù)

3、解釋?zhuān)═DI）、可信網(wǎng)絡(luò)解釋?zhuān)═NI）等一系列相關(guān)的說(shuō)明和指南 90年代初，英、法、德、荷等四國(guó)針對(duì)TCSEC準(zhǔn)則的局限性，提出了包含保密性、完整性、可用性等概念的“信息技術(shù)安全評(píng)估準(zhǔn)則”（ITSEC），定義了從E0級(jí)到E6級(jí)的七個(gè)安全等級(jí),6,信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過(guò)程,加拿大1988年開(kāi)始制訂The Canadian Trusted Computer Product Evaluation Criteria （CTCPEC） 1993年，美國(guó)對(duì)TCSEC作了補(bǔ)充和修改，制定了“組合的聯(lián)邦標(biāo)準(zhǔn)”（簡(jiǎn)稱(chēng)FC） 國(guó)際標(biāo)準(zhǔn)化組織（ISO）從1990年開(kāi)始開(kāi)發(fā)通用的國(guó)際標(biāo)準(zhǔn)評(píng)估準(zhǔn)則,7,信息技術(shù)安全

4、評(píng)估準(zhǔn)則發(fā)展過(guò)程,在1993年6月，CTCPEC、FC、TCSEC和ITSEC的發(fā)起組織開(kāi)始聯(lián)合起來(lái)，將各自獨(dú)立的準(zhǔn)則組合成一個(gè)單一的、能被廣泛使用的IT安全準(zhǔn)則 發(fā)起組織包括六國(guó)七方：加拿大、法國(guó)、德國(guó)、荷蘭、英國(guó)、美國(guó)NIST及美國(guó)NSA，他們的代表建立了CC編輯委員會(huì)（CCEB）來(lái)開(kāi)發(fā)CC,8,信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過(guò)程,1996年1月完成CC1.0版 ,在1996年4月被ISO采納 1997年10月完成CC2.0的測(cè)試版 1998年5月發(fā)布CC2.0版 1999年12月ISO采納CC，并作為國(guó)際標(biāo)準(zhǔn)ISO 15408發(fā)布,9,安全評(píng)估標(biāo)準(zhǔn)的發(fā)展歷程,10,標(biāo)準(zhǔn)介紹,信息技術(shù)安全評(píng)估準(zhǔn)

5、則發(fā)展過(guò)程 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC） 可信網(wǎng)絡(luò)解釋 （TNI） 通用準(zhǔn)則CC 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 信息系統(tǒng)安全評(píng)估方法探討,11,TCSEC,在TCSEC中，美國(guó)國(guó)防部按處理信息的等級(jí)和應(yīng)采用的響應(yīng)措施，將計(jì)算機(jī)安全從高到低分為：A、B、C、D四類(lèi)八個(gè)級(jí)別，共27條評(píng)估準(zhǔn)則 隨著安全等級(jí)的提高，系統(tǒng)的可信度隨之增加，風(fēng)險(xiǎn)逐漸減少。,12,TCSEC,四個(gè)安全等級(jí)： 無(wú)保護(hù)級(jí) 自主保護(hù)級(jí) 強(qiáng)制保護(hù)級(jí) 驗(yàn)證保護(hù)級(jí),13,TCSEC,D類(lèi)是最低保護(hù)等級(jí)，即無(wú)保護(hù)級(jí) 是為那些經(jīng)過(guò)評(píng)估，但不滿(mǎn)足較高評(píng)估等級(jí)要求的系統(tǒng)設(shè)計(jì)的，只具有一個(gè)級(jí)別 該類(lèi)是指不符合要求的那些系統(tǒng)，因此，

6、這種系統(tǒng)不能在多用戶(hù)環(huán)境下處理敏感信息,14,TCSEC,四個(gè)安全等級(jí)： 無(wú)保護(hù)級(jí) 自主保護(hù)級(jí) 強(qiáng)制保護(hù)級(jí) 驗(yàn)證保護(hù)級(jí),15,TCSEC,C類(lèi)為自主保護(hù)級(jí) 具有一定的保護(hù)能力，采用的措施是自主訪問(wèn)控制和審計(jì)跟蹤 一般只適用于具有一定等級(jí)的多用戶(hù)環(huán)境 具有對(duì)主體責(zé)任及其動(dòng)作審計(jì)的能力,16,TCSEC,C類(lèi)分為C1和C2兩個(gè)級(jí)別: 自主安全保護(hù)級(jí)（C1級(jí)) 控制訪問(wèn)保護(hù)級(jí)（C2級(jí)）,17,TCSEC,C1級(jí)TCB通過(guò)隔離用戶(hù)與數(shù)據(jù)，使用戶(hù)具備自主安全保護(hù)的能力 它具有多種形式的控制能力，對(duì)用戶(hù)實(shí)施訪問(wèn)控制 為用戶(hù)提供可行的手段，保護(hù)用戶(hù)和用戶(hù)組信息，避免其他用戶(hù)對(duì)數(shù)據(jù)的非法讀寫(xiě)與破壞 C1級(jí)的系

7、統(tǒng)適用于處理同一敏感級(jí)別數(shù)據(jù)的多用戶(hù)環(huán)境,18,TCSEC,C2級(jí)計(jì)算機(jī)系統(tǒng)比C1級(jí)具有更細(xì)粒度的自主訪問(wèn)控制 C2級(jí)通過(guò)注冊(cè)過(guò)程控制、審計(jì)安全相關(guān)事件以及資源隔離，使單個(gè)用戶(hù)為其行為負(fù)責(zé),19,TCSEC,四個(gè)安全等級(jí)： 無(wú)保護(hù)級(jí) 自主保護(hù)級(jí) 強(qiáng)制保護(hù)級(jí) 驗(yàn)證保護(hù)級(jí),20,TCSEC,B類(lèi)為強(qiáng)制保護(hù)級(jí) 主要要求是TCB應(yīng)維護(hù)完整的安全標(biāo)記，并在此基礎(chǔ)上執(zhí)行一系列強(qiáng)制訪問(wèn)控制規(guī)則 B類(lèi)系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標(biāo)記 系統(tǒng)的開(kāi)發(fā)者還應(yīng)為T(mén)CB提供安全策略模型以及TCB規(guī)約 應(yīng)提供證據(jù)證明訪問(wèn)監(jiān)控器得到了正確的實(shí)施,21,TCSEC,B類(lèi)分為三個(gè)類(lèi)別： 標(biāo)記安全保護(hù)級(jí)（B1級(jí)） 結(jié)構(gòu)化保護(hù)級(jí)

8、（B2級(jí)） 安全區(qū)域保護(hù)級(jí)（B3級(jí)）,22,TCSEC,B1級(jí)系統(tǒng)要求具有C2級(jí)系統(tǒng)的所有特性 在此基礎(chǔ)上，還應(yīng)提供安全策略模型的非形式化描述、數(shù)據(jù)標(biāo)記以及命名主體和客體的強(qiáng)制訪問(wèn)控制 并消除測(cè)試中發(fā)現(xiàn)的所有缺陷,23,TCSEC,B類(lèi)分為三個(gè)類(lèi)別： 標(biāo)記安全保護(hù)級(jí)（B1級(jí)） 結(jié)構(gòu)化保護(hù)級(jí)（B2級(jí)） 安全區(qū)域保護(hù)級(jí)（B3級(jí)）,24,TCSEC,在B2級(jí)系統(tǒng)中，TCB建立于一個(gè)明確定義并文檔化形式化安全策略模型之上 要求將B1級(jí)系統(tǒng)中建立的自主和強(qiáng)制訪問(wèn)控制擴(kuò)展到所有的主體與客體 在此基礎(chǔ)上，應(yīng)對(duì)隱蔽信道進(jìn)行分析 TCB應(yīng)結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素,25,TCSEC,TCB接口必須明確

9、定義 其設(shè)計(jì)與實(shí)現(xiàn)應(yīng)能夠經(jīng)受更充分的測(cè)試和更完善的審查 鑒別機(jī)制應(yīng)得到加強(qiáng)，提供可信設(shè)施管理以支持系統(tǒng)管理員和操作員的職能 提供嚴(yán)格的配置管理控制 B2級(jí)系統(tǒng)應(yīng)具備相當(dāng)?shù)目節(jié)B透能力,26,TCSEC,B類(lèi)分為三個(gè)類(lèi)別： 標(biāo)記安全保護(hù)級(jí)（B1級(jí)） 結(jié)構(gòu)化保護(hù)級(jí)（B2級(jí)） 安全區(qū)域保護(hù)級(jí)（B3級(jí)）,27,TCSEC,在B3級(jí)系統(tǒng)中，TCB必須滿(mǎn)足訪問(wèn)監(jiān)控器需求 訪問(wèn)監(jiān)控器對(duì)所有主體對(duì)客體的訪問(wèn)進(jìn)行仲裁 訪問(wèn)監(jiān)控器本身是抗篡改的 訪問(wèn)監(jiān)控器足夠小 訪問(wèn)監(jiān)控器能夠分析和測(cè)試,28,TCSEC,為了滿(mǎn)足訪問(wèn)控制器需求: 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基在構(gòu)造時(shí)，排除那些對(duì)實(shí)施安全策略來(lái)說(shuō)并非必要的代碼 計(jì)算機(jī)信

10、息系統(tǒng)可信計(jì)算基在設(shè)計(jì)和實(shí)現(xiàn)時(shí)，從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度,29,TCSEC,B3級(jí)系統(tǒng)支持: 安全管理員職能 擴(kuò)充審計(jì)機(jī)制 當(dāng)發(fā)生與安全相關(guān)的事件時(shí)，發(fā)出信號(hào) 提供系統(tǒng)恢復(fù)機(jī)制 系統(tǒng)具有很高的抗?jié)B透能力,30,TCSEC,四個(gè)安全等級(jí)： 無(wú)保護(hù)級(jí) 自主保護(hù)級(jí) 強(qiáng)制保護(hù)級(jí) 驗(yàn)證保護(hù)級(jí),31,TCSEC,A類(lèi)為驗(yàn)證保護(hù)級(jí) A類(lèi)的特點(diǎn)是使用形式化的安全驗(yàn)證方法，保證系統(tǒng)的自主和強(qiáng)制安全控制措施能夠有效地保護(hù)系統(tǒng)中存儲(chǔ)和處理的秘密信息或其他敏感信息 為證明TCB滿(mǎn)足設(shè)計(jì)、開(kāi)發(fā)及實(shí)現(xiàn)等各個(gè)方面的安全要求，系統(tǒng)應(yīng)提供豐富的文檔信息,32,TCSEC,A類(lèi)分為兩個(gè)類(lèi)別： 驗(yàn)證設(shè)計(jì)級(jí)（A1級(jí)）

11、超A1級(jí),33,TCSEC,A1級(jí)系統(tǒng)在功能上和B3級(jí)系統(tǒng)是相同的，沒(méi)有增加體系結(jié)構(gòu)特性和策略要求 最顯著的特點(diǎn)是，要求用形式化設(shè)計(jì)規(guī)范和驗(yàn)證方法來(lái)對(duì)系統(tǒng)進(jìn)行分析，確保TCB按設(shè)計(jì)要求實(shí)現(xiàn) 從本質(zhì)上說(shuō)，這種保證是發(fā)展的，它從一個(gè)安全策略的形式化模型和設(shè)計(jì)的形式化高層規(guī)約（FTLS）開(kāi)始,34,TCSEC,針對(duì)A1級(jí)系統(tǒng)設(shè)計(jì)驗(yàn)證，有5種獨(dú)立于特定規(guī)約語(yǔ)言或驗(yàn)證方法的重要準(zhǔn)則： 安全策略的形式化模型必須得到明確標(biāo)識(shí)并文檔化，提供該模型與其公理一致以及能夠?qū)Π踩呗蕴峁┳銐蛑С值臄?shù)學(xué)證明 應(yīng)提供形式化的高層規(guī)約，包括TCB功能的抽象定義、用于隔離執(zhí)行域的硬件/固件機(jī)制的抽象定義,35,TCSEC,應(yīng)

12、通過(guò)形式化的技術(shù)（如果可能的化）和非形式化的技術(shù)證明TCB的形式化高層規(guī)約（FTLS）與模型是一致的 通過(guò)非形式化的方法證明TCB的實(shí)現(xiàn)（硬件、固件、軟件）與形式化的高層規(guī)約（FTLS）是一致的。應(yīng)證明FTLS的元素與TCB的元素是一致的，F(xiàn)TLS應(yīng)表達(dá)用于滿(mǎn)足安全策略的一致的保護(hù)機(jī)制，這些保護(hù)機(jī)制的元素應(yīng)映射到TCB的要素,36,TCSEC,應(yīng)使用形式化的方法標(biāo)識(shí)并分析隱蔽信道，非形式化的方法可以用來(lái)標(biāo)識(shí)時(shí)間隱蔽信道，必須對(duì)系統(tǒng)中存在的隱蔽信道進(jìn)行解釋,37,TCSEC,A1級(jí)系統(tǒng): 要求更嚴(yán)格的配置管理 要求建立系統(tǒng)安全分發(fā)的程序 支持系統(tǒng)安全管理員的職能,38,TCSEC,A類(lèi)分為兩個(gè)類(lèi)

13、別： 驗(yàn)證設(shè)計(jì)級(jí)（A1級(jí)） 超A1級(jí),39,TCSEC,超A1級(jí)在A1級(jí)基礎(chǔ)上增加的許多安全措施超出了目前的技術(shù)發(fā)展 隨著更多、更好的分析技術(shù)的出現(xiàn)，本級(jí)系統(tǒng)的要求才會(huì)變的更加明確 今后，形式化的驗(yàn)證方法將應(yīng)用到源碼一級(jí)，并且時(shí)間隱蔽信道將得到全面的分析,40,TCSEC,在這一級(jí)，設(shè)計(jì)環(huán)境將變的更重要 形式化高層規(guī)約的分析將對(duì)測(cè)試提供幫助 TCB開(kāi)發(fā)中使用的工具的正確性及TCB運(yùn)行的軟硬件功能的正確性將得到更多的關(guān)注,41,TCSEC,超A1級(jí)系統(tǒng)涉及的范圍包括： 系統(tǒng)體系結(jié)構(gòu) 安全測(cè)試 形式化規(guī)約與驗(yàn)證 可信設(shè)計(jì)環(huán)境等,42,標(biāo)準(zhǔn)介紹,信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過(guò)程 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（

14、TCSEC） 可信網(wǎng)絡(luò)解釋 （TNI） 通用準(zhǔn)則CC 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 信息系統(tǒng)安全評(píng)估方法探討,43,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,美國(guó)國(guó)防部計(jì)算機(jī)安全評(píng)估中心在完成TCSEC的基礎(chǔ)上，又組織了專(zhuān)門(mén)的研究鏃對(duì)可信網(wǎng)絡(luò)安全評(píng)估進(jìn)行研究，并于1987年發(fā)布了以TCSEC為基礎(chǔ)的可信網(wǎng)絡(luò)解釋?zhuān)碩NI。 TNI包括兩個(gè)部分（Part I和Part II）及三個(gè)附錄（APPENDIX A、B、C）,44,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,TNI第一部分提供了在網(wǎng)絡(luò)系統(tǒng)作為一個(gè)單一系統(tǒng)進(jìn)行評(píng)估時(shí)TCSEC中各個(gè)等級(jí)（從D到A類(lèi)）的解釋 與單機(jī)系統(tǒng)不同的是，網(wǎng)絡(luò)系統(tǒng)的可信計(jì)算基稱(chēng)為網(wǎng)絡(luò)可信計(jì)算基（NT

15、CB）,45,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,第二部分以附加安全服務(wù)的形式提出了在網(wǎng)絡(luò)互聯(lián)時(shí)出現(xiàn)的一些附加要求 這些要求主要是針對(duì)完整性、可用性和保密性的,46,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,第二部分的評(píng)估是定性的，針對(duì)一個(gè)服務(wù)進(jìn)行評(píng)估的結(jié)果一般分為為： none minimum fair good,47,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,第二部分中關(guān)于每個(gè)服務(wù)的說(shuō)明一般包括: 一種相對(duì)簡(jiǎn)短的陳述 相關(guān)的功能性的討論 相關(guān)機(jī)制強(qiáng)度的討論 相關(guān)保證的討論,48,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,功能性是指一個(gè)安全服務(wù)的目標(biāo)和實(shí)現(xiàn)方法，它包括特性、機(jī)制及實(shí)現(xiàn) 機(jī)制的強(qiáng)度是指一種方法實(shí)現(xiàn)其目標(biāo)的程度 有些情況下，參數(shù)的選擇會(huì)對(duì)機(jī)制的

16、強(qiáng)度帶來(lái)很大的影響,49,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,保證是指相信一個(gè)功能會(huì)實(shí)現(xiàn)的基礎(chǔ) 保證一般依靠對(duì)理論、測(cè)試、軟件工程等相關(guān)內(nèi)容的分析 分析可以是形式化或非形式化的，也可以是理論的或應(yīng)用的,50,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,第二部分中列出的安全服務(wù)有： 通信完整性 拒絕服務(wù) 機(jī)密性,51,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,通信完整性主要涉及以下3方面： 鑒別：網(wǎng)絡(luò)中應(yīng)能夠抵抗欺騙和重放攻擊 通信字段完整性：保護(hù)通信中的字段免受非授權(quán)的修改 抗抵賴(lài)：提供數(shù)據(jù)發(fā)送、接受的證據(jù),52,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,當(dāng)網(wǎng)絡(luò)處理能力下降到一個(gè)規(guī)定的界限以下或遠(yuǎn)程實(shí)體無(wú)法訪問(wèn)時(shí)，即發(fā)生了拒絕服務(wù) 所有由網(wǎng)絡(luò)提供的服務(wù)都應(yīng)考慮

17、拒絕服務(wù)的情況 網(wǎng)絡(luò)管理者應(yīng)決定網(wǎng)絡(luò)拒絕服務(wù)需求,53,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,解決拒絕服務(wù)的方法有： 操作連續(xù)性 基于協(xié)議的拒絕服務(wù)保護(hù) 網(wǎng)絡(luò)管理,54,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,機(jī)密性是一系列安全服務(wù)的總稱(chēng) 這些服務(wù)都是關(guān)于通過(guò)計(jì)算機(jī)通信網(wǎng)絡(luò)在實(shí)體間傳輸信息的安全和保密的 具體又分3種情況： 數(shù)據(jù)保密 通信流保密 選擇路由,55,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,數(shù)據(jù)保密： 數(shù)據(jù)保密性服務(wù)保護(hù)數(shù)據(jù)不被未授權(quán)地泄露 數(shù)據(jù)保密性主要受搭線(xiàn)竊聽(tīng)的威脅 被動(dòng)的攻擊包括對(duì)線(xiàn)路上傳輸?shù)男畔⒌挠^測(cè),56,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,通信流保密： 針對(duì)通信流分析攻擊而言，通信流分析攻擊分析消息的長(zhǎng)度、頻率及協(xié)議的內(nèi)容（如

18、地址） 并以此推出消息的內(nèi)容,57,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,選擇路由： 路由選擇控制是在路由選擇過(guò)程中應(yīng)用規(guī)則，以便具體的選取或回避某些網(wǎng)絡(luò)、鏈路或中繼 路由能動(dòng)態(tài)的或預(yù)定地選取，以便只使用物理上安全的子網(wǎng)絡(luò)、鏈路或中繼 在檢測(cè)到持續(xù)的操作攻擊時(shí)，端系統(tǒng)可希望指示網(wǎng)絡(luò)服務(wù)的提供者經(jīng)不同的路由建立連接 帶有某些安全標(biāo)記的數(shù)據(jù)可能被策略禁止通過(guò)某些子網(wǎng)絡(luò)、鏈路或中繼,58,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,TNI第二部分的評(píng)估更多地表現(xiàn)出定性和主觀的特點(diǎn)，同第一部分相比表現(xiàn)出更多的變化 第二部分的評(píng)估是關(guān)于被評(píng)估系統(tǒng)能力和它們對(duì)特定應(yīng)用環(huán)境的適合性的非常有價(jià)值的信息 第二部分中所列舉的安全服務(wù)是網(wǎng)絡(luò)環(huán)境下有

19、代表性的安全服務(wù) 在不同的環(huán)境下，并非所有的服務(wù)都同等重要，同一服務(wù)在不同環(huán)境下的重要性也不一定一樣,59,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,TNI的附錄A是第一部分的擴(kuò)展，主要是關(guān)于網(wǎng)絡(luò)中組件及組件組合的評(píng)估 附錄A把TCSEC為A1級(jí)系統(tǒng)定義的安全相關(guān)的策略分為四個(gè)相對(duì)獨(dú)立的種類(lèi)，他們分別支持強(qiáng)制訪問(wèn)控制（MAC），自主訪問(wèn)控制（DAC），身份鑒別（IA），審計(jì)（AUDIT）,60,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,61,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,附錄B給出了根據(jù)TCSEC對(duì)網(wǎng)絡(luò)組件進(jìn)行評(píng)估的基本原理 附錄C則給出了幾個(gè)AIS互聯(lián)時(shí)的認(rèn)證指南及互聯(lián)中可能遇到的問(wèn)題,62,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,TNI中關(guān)于網(wǎng)絡(luò)

20、有兩種概念： 一是單一可信系統(tǒng)的概念（single trusted system） 另一個(gè)是互聯(lián)信息系統(tǒng)的概念（interconnected AIS） 這兩個(gè)概念并不互相排斥,63,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,在單一可信系統(tǒng)中，網(wǎng)絡(luò)具有包括各個(gè)安全相關(guān)部分的單一TCB，稱(chēng)為NTCB（network trusted computing base） NTCB作為一個(gè)整體滿(mǎn)足系統(tǒng)的安全體系設(shè)計(jì),64,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,在互聯(lián)信息系統(tǒng)中 各個(gè)子系統(tǒng)可能具有不同的安全策略 具有不同的信任等級(jí) 并且可以分別進(jìn)行評(píng)估 各個(gè)子系統(tǒng)甚至可能是異構(gòu)的,65,可信網(wǎng)絡(luò)解釋?zhuān)═NI）,安全策略的實(shí)施一般控制在各個(gè)子

21、系統(tǒng)內(nèi)，在附錄C中給出了各個(gè)子系統(tǒng)安全地互聯(lián)的指南，在互聯(lián)時(shí)要控制局部風(fēng)險(xiǎn)的擴(kuò)散，排除整個(gè)系統(tǒng)中的級(jí)聯(lián)問(wèn)題（cascade problem） 限制局部風(fēng)險(xiǎn)的擴(kuò)散的方法：?jiǎn)蜗蜻B接、傳輸?shù)氖止z測(cè)、加密、隔離或其他措施。,66,標(biāo)準(zhǔn)介紹,信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過(guò)程 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC） 可信網(wǎng)絡(luò)解釋 （TNI） 通用準(zhǔn)則CC 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 信息系統(tǒng)安全評(píng)估方法探討,67,通用準(zhǔn)則CC,CC的范圍 : CC適用于硬件、固件和軟件實(shí)現(xiàn)的信息技術(shù)安全措施 而某些內(nèi)容因涉及特殊專(zhuān)業(yè)技術(shù)或僅是信息技術(shù)安全的外圍技術(shù)不在CC的范圍內(nèi),68,通用準(zhǔn)則CC,評(píng)估上下文,69

22、,通用準(zhǔn)則CC,使用通用評(píng)估方法學(xué)可以提供結(jié)果的可重復(fù)性和客觀性 許多評(píng)估準(zhǔn)則需要使用專(zhuān)家判斷和一定的背景知識(shí) 為了增強(qiáng)評(píng)估結(jié)果的一致性，最終的評(píng)估結(jié)果應(yīng)提交給一個(gè)認(rèn)證過(guò)程，該過(guò)程是一個(gè)針對(duì)評(píng)估結(jié)果的獨(dú)立的檢查過(guò)程，并生成最終的證書(shū)或正式批文,70,通用準(zhǔn)則CC,CC包括三個(gè)部分: 第一部分：簡(jiǎn)介和一般模型 第二部分：安全功能要求 第三部分：安全保證要求,71,通用準(zhǔn)則CC,安全保證要求部分提出了七個(gè)評(píng)估保證級(jí)別（Evaluation Assurance Levels：EALs）分別是： EAL1：功能測(cè)試 EAL2：結(jié)構(gòu)測(cè)試 EAL3：系統(tǒng)測(cè)試和檢查 EAL4：系統(tǒng)設(shè)計(jì)、測(cè)試和復(fù)查 EAL5

23、：半形式化設(shè)計(jì)和測(cè)試 EAL6：半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試 EAL7：形式化驗(yàn)證的設(shè)計(jì)和測(cè)試,72,通用準(zhǔn)則CC,安全就是保護(hù)資產(chǎn)不受威脅，威脅可依據(jù)濫用被保護(hù)資產(chǎn)的可能性進(jìn)行分類(lèi) 所有的威脅類(lèi)型都應(yīng)該被考慮到 在安全領(lǐng)域內(nèi)，被高度重視的威脅是和人們的惡意攻擊及其它人類(lèi)活動(dòng)相聯(lián)系的,73,通用準(zhǔn)則CC,安全概念和關(guān)系,,74,通用準(zhǔn)則CC,安全性損壞一般包括但又不僅僅包括以下幾項(xiàng) 資產(chǎn)破壞性地暴露于未授權(quán)的接收者（失去保密性） 資產(chǎn)由于未授權(quán)的更改而損壞（失去完整性） 或資產(chǎn)訪問(wèn)權(quán)被未授權(quán)的喪失（失去可用性）,75,通用準(zhǔn)則CC,資產(chǎn)所有者必須分析可能的威脅并確定哪些存在于他們的環(huán)境，其后果就是

24、風(fēng)險(xiǎn) 對(duì)策用以（直接或間接地）減少脆弱性并滿(mǎn)足資產(chǎn)所有者的安全策略 在將資產(chǎn)暴露于特定威脅之前，所有者需要確信其對(duì)策足以應(yīng)付面臨的威脅,76,通用準(zhǔn)則CC,評(píng)估概念 和關(guān)系,,77,通用準(zhǔn)則CC,TOE評(píng)估過(guò)程,,78,通用準(zhǔn)則CC,評(píng)估過(guò)程通過(guò)兩種途徑產(chǎn)生更好的安全產(chǎn)品 評(píng)估過(guò)程能發(fā)現(xiàn)開(kāi)發(fā)者可以糾正的TOE錯(cuò)誤或弱點(diǎn)，從而在減少將來(lái)操作中安全失效的可能性 另一方面，為了通過(guò)嚴(yán)格的評(píng)估，開(kāi)發(fā)者在TOE設(shè)計(jì)和開(kāi)發(fā)時(shí)也將更加細(xì)心 因此，評(píng)估過(guò)程對(duì)最初需求、開(kāi)發(fā)過(guò)程、最終產(chǎn)品以及操作環(huán)境將產(chǎn)生強(qiáng)烈的積極影響,79,通用準(zhǔn)則CC,CC安全概念包括： 安全環(huán)境 安全目的 IT安全要求 TOE概要規(guī)范,8

25、0,通用準(zhǔn)則CC,安全環(huán)境包括所有相關(guān)的法規(guī)、組織性安全策略、習(xí)慣、專(zhuān)門(mén)技術(shù)和知識(shí) 它定義了TOE使用的上下文，安全環(huán)境也包括環(huán)境里出現(xiàn)的安全威脅,81,通用準(zhǔn)則CC,安全環(huán)境的分析結(jié)果被用來(lái)闡明對(duì)抗已標(biāo)識(shí)的威脅、說(shuō)明組織性安全策略和假設(shè)的安全目的 安全目的和已說(shuō)明的TOE運(yùn)行目標(biāo)或產(chǎn)品目標(biāo)以及有關(guān)的物理環(huán)境知識(shí)一致 確定安全目的的意圖是為了闡明所有的安全考慮并指出哪些安全方面的問(wèn)題是直接由TOE還是由它的環(huán)境來(lái)處理 環(huán)境安全目的將在IT領(lǐng)域內(nèi)用非技術(shù)上的或程序化的手段來(lái)實(shí)現(xiàn),82,通用準(zhǔn)則CC,IT安全要求是將安全目的細(xì)化為一系列TOE及其環(huán)境的安全要求，一旦這些要求得到滿(mǎn)足，就可以保證TO

26、E達(dá)到它的安全目的 IT安全需求只涉及TOE安全目的和它的IT環(huán)境,83,通用準(zhǔn)則CC,CC定義了一系列與已知有效的安全要求集合相結(jié)合的概念，該概念可被用來(lái)為預(yù)期的產(chǎn)品和系統(tǒng)建立安全需求 CC安全要求以類(lèi)族組件這種層次方式組織，以幫助用戶(hù)定位特定的安全要求 對(duì)功能和保證方面的要求，CC使用相同的風(fēng)格、組織方式和術(shù)語(yǔ)。,84,通用準(zhǔn)則CC,CC中安全要求的描述方法： 類(lèi)：類(lèi)用作最通用安全要求的組合，類(lèi)的所有的成員關(guān)注共同的安全焦點(diǎn)，但覆蓋不同的安全目的 族：類(lèi)的成員被稱(chēng)為族。族是若干組安全要求的組合，這些要求有共同的安全目的，但在側(cè)重點(diǎn)和嚴(yán)格性上有所區(qū)別 組件：族的成員被稱(chēng)為組件。組件描述一組特

27、定的安全要求集，它是CC定義的結(jié)構(gòu)中所包含的最小的可選安全要求集,85,通用準(zhǔn)則CC,組件由單個(gè)元素組成，元素是安全需求最低層次的表達(dá)，并且是能被評(píng)估驗(yàn)證的不可分割的安全要求 族內(nèi)具有相同目標(biāo)的組件可以以安全要求強(qiáng)度（或能力）逐步增加的順序排列，也可以部分地按相關(guān)非層次集合的方式組織,86,通用準(zhǔn)則CC,組件間可能存在依賴(lài)關(guān)系 依賴(lài)關(guān)系可以存在于功能組件之間、保證組件之間以及功能和保證組件之間 組件間依賴(lài)關(guān)系描述是CC組件定義的一部分,87,通用準(zhǔn)則CC,可以通過(guò)使用組件允許的操作，對(duì)組件進(jìn)行裁剪 每一個(gè)CC組件標(biāo)識(shí)并定義組件允許的“賦值”和“選擇”操作、在哪些情況下可對(duì)組件使用這些操作，以及

28、使用這些操作的后果 任何一個(gè)組件均允許“反復(fù)”和“細(xì)化”操作,88,通用準(zhǔn)則CC,這四個(gè)操作如下所述： 反復(fù)：在不同操作時(shí)，允許組件多次使用 賦值：當(dāng)組件被應(yīng)用時(shí)，允許規(guī)定所賦予的參數(shù) 選擇：允許從組件給出的列表中選定若干項(xiàng) 細(xì)化：當(dāng)組件被應(yīng)用時(shí)，允許對(duì)組件增加細(xì)節(jié),89,通用準(zhǔn)則CC,要求的組織和結(jié)構(gòu),,90,通用準(zhǔn)則CC,CC中安全需求的描述方法: 包:組件的中間組合被稱(chēng)為包 保護(hù)輪廓(PP): PP是關(guān)于一系列滿(mǎn)足一個(gè)安全目標(biāo)集的TOE的、與實(shí)現(xiàn)無(wú)關(guān)的描述 安全目標(biāo)(ST)： ST是針對(duì)特定TOE安全要求的描述，通過(guò)評(píng)估可以證明這些安全要求對(duì)滿(mǎn)足指定目的是有用和有效的,91,通用準(zhǔn)則CC

29、,包允許對(duì)功能或保證需求集合的描述，這個(gè)集合能夠滿(mǎn)足一個(gè)安全目標(biāo)的可標(biāo)識(shí)子集 包可重復(fù)使用，可用來(lái)定義那些公認(rèn)有用的、能夠有效滿(mǎn)足特定安全目標(biāo)的要求 包可用在構(gòu)造更大的包、PP和ST中,92,通用準(zhǔn)則CC,PP包含一套來(lái)自CC（或明確闡述）的安全要求，它應(yīng)包括一個(gè)評(píng)估保證級(jí)別（EAL） PP可反復(fù)使用，還可用來(lái)定義那些公認(rèn)有用的、能夠有效滿(mǎn)足特定安全目標(biāo)的TOE要求 PP包括安全目的和安全要求的基本原理 PP的開(kāi)發(fā)者可以是用戶(hù)團(tuán)體、IT產(chǎn)品開(kāi)發(fā)者或其它對(duì)定義這樣一系列通用要求有興趣的團(tuán)體,93,通用準(zhǔn)則CC,保護(hù)輪廓PP描述結(jié)構(gòu),,94,通用準(zhǔn)則CC,安全目標(biāo)(ST)包括一系列安全要求，這些要

30、求可以引用PP，也可以直接引用CC中的功能或保證組件，或明確說(shuō)明 一個(gè)ST包含TOE的概要規(guī)范，安全要求和目的，以及它們的基本原理 ST是所有團(tuán)體間就TOE應(yīng)提供什么樣的安全性達(dá)成一致的基礎(chǔ),95,通用準(zhǔn)則CC,安全目標(biāo)描述結(jié)構(gòu),,96,通用準(zhǔn)則CC,CC框架下的評(píng)估類(lèi)型 PP評(píng)估 ST評(píng)估 TOE評(píng)估,97,通用準(zhǔn)則CC,PP評(píng)估是依照CC第3部分的PP評(píng)估準(zhǔn)則進(jìn)行的。 評(píng)估的目標(biāo)是為了證明PP是完備的、一致的、技術(shù)合理的，而且適合于作為一個(gè)可評(píng)估TOE的安全要求的聲明,98,通用準(zhǔn)則CC,針對(duì)TOE的ST評(píng)估是依照CC第3部分的ST評(píng)估準(zhǔn)則進(jìn)行的 ST評(píng)估具有雙重目標(biāo)： 首先是為了證明ST

31、是完備的、一致的、技術(shù)合理的，而且適合于用作相應(yīng)TOE評(píng)估的基礎(chǔ) 其次，當(dāng)某一ST宣稱(chēng)與某一PP一致時(shí)，證明ST滿(mǎn)足該P(yáng)P的要求,99,通用準(zhǔn)則CC,TOE評(píng)估是使用一個(gè)已經(jīng)評(píng)估過(guò)的ST作為基礎(chǔ)，依照CC第3部分的評(píng)估準(zhǔn)則進(jìn)行的 評(píng)估的目標(biāo)是為了證明TOE滿(mǎn)足ST中的安全要求,100,通用準(zhǔn)則CC,三種評(píng)估的關(guān)系,,101,通用準(zhǔn)則CC,CC的第二部分是安全功能要求，對(duì)滿(mǎn)足安全需求的諸安全功能提出了詳細(xì)的要求 另外，如果有超出第二部分的安全功能要求，開(kāi)發(fā)者可以根據(jù)“類(lèi)-族-組件-元素”的描述結(jié)構(gòu)表達(dá)其安全要求，并附加在其ST中,102,通用準(zhǔn)則CC,CC共包含的11個(gè)安全功能類(lèi)，如下： FAU

32、類(lèi)：安全審計(jì) FCO類(lèi)：通信 FCS類(lèi)：密碼支持 FDP類(lèi)：用戶(hù)數(shù)據(jù)保護(hù) FIA類(lèi)：標(biāo)識(shí)與鑒別 FMT類(lèi)：安全管理 FPR類(lèi)：隱秘 FPT類(lèi)：TFS保護(hù) FAU類(lèi)：資源利用 FTA類(lèi)：TOE訪問(wèn) FTP類(lèi)：可信信道/路徑,103,通用準(zhǔn)則CC,CC的第三部分是評(píng)估方法部分，提出了PP、ST、TOE三種評(píng)估，共包括10個(gè)類(lèi)，但其中的APE類(lèi)與ASE類(lèi)分別介紹了PP與ST的描述結(jié)構(gòu)及評(píng)估準(zhǔn)則 維護(hù)類(lèi)提出了保證評(píng)估過(guò)的受測(cè)系統(tǒng)或產(chǎn)品運(yùn)行于所獲得的安全級(jí)別上的要求 只有七個(gè)安全保證類(lèi)是TOE的評(píng)估類(lèi)別,104,通用準(zhǔn)則CC,七個(gè)安全保證類(lèi) ACM類(lèi)：配置管理 ADO類(lèi)：分發(fā)與操作 ADV類(lèi)：開(kāi)發(fā) AG

33、D類(lèi)：指導(dǎo)性文檔 ALC類(lèi)：生命周期支持 ATE類(lèi)：測(cè)試 AVA類(lèi)：脆弱性評(píng)定,105,通用準(zhǔn)則CC,1998年1月，經(jīng)過(guò)兩年的密切協(xié)商，來(lái)自美國(guó)、加拿大、法國(guó)、德國(guó)以及英國(guó)的政府組織簽訂了歷史性的安全評(píng)估互認(rèn)協(xié)議：IT安全領(lǐng)域內(nèi)CC認(rèn)可協(xié)議 根據(jù)該協(xié)議，在協(xié)議簽署國(guó)范圍內(nèi)，在某個(gè)國(guó)家進(jìn)行的基于CC的安全評(píng)估將在其他國(guó)家內(nèi)得到承認(rèn) 截止2003年3月，加入該協(xié)議的國(guó)家共有十五個(gè)：澳大利亞、新西蘭、加拿大、芬蘭、法國(guó)、德國(guó)、希臘、以色列、意大利、荷蘭、挪威、西班牙、瑞典、英國(guó)及美國(guó),106,通用準(zhǔn)則CC,該協(xié)議的參與者在這個(gè)領(lǐng)域內(nèi)有共同的目的即： 確保IT產(chǎn)品及保護(hù)輪廓的評(píng)估遵循一致的標(biāo)準(zhǔn)，為這

34、些產(chǎn)品及保護(hù)輪廓的安全提供足夠的信心。 在國(guó)際范圍內(nèi)提高那些經(jīng)過(guò)評(píng)估的、安全增強(qiáng)的IT產(chǎn)品及保護(hù)輪廓的可用性。 消除IT產(chǎn)品及保護(hù)輪廓的重復(fù)評(píng)估，改進(jìn)安全評(píng)估的效率及成本效果，改進(jìn)IT產(chǎn)品及保護(hù)輪廓的證明/確認(rèn)過(guò)程,107,通用準(zhǔn)則CC,美國(guó)NSA內(nèi)部的可信產(chǎn)品評(píng)估計(jì)劃（TPEP）以及可信技術(shù)評(píng)價(jià)計(jì)劃（TTAP）最初根據(jù)TCSEC進(jìn)行產(chǎn)品的評(píng)估，但從1999年2月1日起，這些計(jì)劃將不再接收基于TCSEC的新的評(píng)估。此后這些計(jì)劃接受的任何新的產(chǎn)品都必須根據(jù)CC的要求進(jìn)行評(píng)估。到2001年底，所有已經(jīng)經(jīng)過(guò)TCSEC評(píng)估的產(chǎn)品，其評(píng)估結(jié)果或者過(guò)時(shí)，或者轉(zhuǎn)換為CC評(píng)估等級(jí)。 NSA已經(jīng)將TCSEC對(duì)操

35、作系統(tǒng)的C2和B1級(jí)要求轉(zhuǎn)換為基于CC的要求（或PP）， NSA正在將TCSEC的B2和B3級(jí)要求轉(zhuǎn)換成基于CC的保護(hù)輪廓，但對(duì)TCSEC中的A1級(jí)要求不作轉(zhuǎn)換。 TCSEC的可信網(wǎng)絡(luò)解釋?zhuān)═NI）在使用范圍上受到了限制，已經(jīng)不能廣泛適用于目前的網(wǎng)絡(luò)技術(shù)，因此，NSA目前不計(jì)劃提交與TNI相應(yīng)的PP,108,通用準(zhǔn)則CC,109,標(biāo)準(zhǔn)介紹,信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過(guò)程 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC） 可信網(wǎng)絡(luò)解釋 （TNI） 通用準(zhǔn)則CC 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 信息系統(tǒng)安全評(píng)估方法探討,110,系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,我國(guó)政府及各行各業(yè)在進(jìn)行大量的信息系統(tǒng)的建設(shè)，并且已經(jīng)

36、成為國(guó)家的重要基礎(chǔ)設(shè)施 計(jì)算機(jī)犯罪、黑客攻擊、有害病毒等問(wèn)題的出現(xiàn)對(duì)社會(huì)穩(wěn)定、國(guó)家安全造成了極大的危害，信息安全的重要性日益突出 信息系統(tǒng)安全問(wèn)題已經(jīng)被提到關(guān)系國(guó)家安全和國(guó)家主權(quán)的戰(zhàn)略性高度,111,系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,大多數(shù)信息系統(tǒng)缺少有效的安全技術(shù)防范措施，安全性非常脆弱 我國(guó)的信息系統(tǒng)安全專(zhuān)用產(chǎn)品市場(chǎng)一直被外國(guó)產(chǎn)品占據(jù)，增加了新的安全隱患 因此，盡快建立能適應(yīng)和保障我國(guó)信息產(chǎn)業(yè)健康發(fā)展的國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)制度已迫在眉睫,112,系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,為了從整體上形成多級(jí)信息系統(tǒng)安全保護(hù)體系 為了提高國(guó)家信息系統(tǒng)安全保護(hù)能力 為從根本上解決信息社會(huì)國(guó)家易受攻擊的脆弱性和有效

37、預(yù)防計(jì)算機(jī)犯罪等問(wèn)題 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例第九條明確規(guī)定，計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù),113,系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,為切實(shí)加強(qiáng)重要領(lǐng)域信息系統(tǒng)安全的規(guī)范化建設(shè)和管理 全面提高國(guó)家信息系統(tǒng)安全保護(hù)的整體水平 使公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察工作更加科學(xué)、規(guī)范，指導(dǎo)工作更具體、明確,114,系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,公安部組織制訂了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則國(guó)家標(biāo)準(zhǔn) 于1999年9月13日由國(guó)家質(zhì)量技術(shù)監(jiān)督局審查通過(guò)并正式批準(zhǔn)發(fā)布 于 2001年1月1日?qǐng)?zhí)行,115,系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,該準(zhǔn)則的發(fā)布為計(jì)算機(jī)信息系統(tǒng)安全法規(guī)和配套標(biāo)準(zhǔn)的制定和執(zhí)法部門(mén)的監(jiān)督檢查

38、提供了依據(jù) 為安全產(chǎn)品的研制提供了技術(shù)支持 為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)是我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)工作的基礎(chǔ),116,系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,GA 388-2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求 GA 391-2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求 GA/T 387-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求 GA/T 389-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理系統(tǒng)技術(shù)要求 GA/T 390-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求,117,系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,準(zhǔn)則規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)，即： 第一級(jí)：用戶(hù)自主保護(hù)級(jí)

39、 第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí) 第三級(jí)：安全標(biāo)記保護(hù)級(jí) 第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí) 第五級(jí)：訪問(wèn)驗(yàn)證保護(hù)級(jí),118,系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,用戶(hù)自主保護(hù)級(jí)： 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基通過(guò)隔離用戶(hù)與數(shù)據(jù)，使用戶(hù)具備自主安全保護(hù)的能力。 它具有多種形式的控制能力，對(duì)用戶(hù)實(shí)施訪問(wèn)控制，即為用戶(hù)提供可行的手段，保護(hù)用戶(hù)和用戶(hù)組信息，避免其他用戶(hù)對(duì)數(shù)據(jù)的非法讀寫(xiě)與破壞,119,系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,系統(tǒng)審計(jì)保護(hù)級(jí)： 與用戶(hù)自主保護(hù)級(jí)相比，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基實(shí)施了粒度更細(xì)的自主訪問(wèn)控制 它通過(guò)登錄規(guī)程、審計(jì)安全性相關(guān)事件和隔離資源，使用戶(hù)對(duì)自己的行為負(fù)責(zé),120,系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,安全標(biāo)記保護(hù)級(jí)：

40、 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基具有系統(tǒng)審計(jì)保護(hù)級(jí)所有功能 此外，還提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對(duì)客體強(qiáng)制訪問(wèn)控制的非形式化描述 具有準(zhǔn)確地標(biāo)記輸出信息的能力 消除通過(guò)測(cè)試發(fā)現(xiàn)的任何錯(cuò)誤,121,系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,結(jié)構(gòu)化保護(hù)級(jí)： 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基建立于一個(gè)明確定義的形式化安全策略模型之上 要求將第三級(jí)系統(tǒng)中的自主和強(qiáng)制訪問(wèn)控制擴(kuò)展到所有主體與客體 此外，還要考慮隱蔽通道 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素,122,系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基的接口也必須明確定義，使其設(shè)計(jì)與實(shí)現(xiàn)能經(jīng)受更充分的測(cè)試和更完整的復(fù)審 加強(qiáng)了鑒別機(jī)

41、制 支持系統(tǒng)管理員和操作員的職能 提供可信設(shè)施管理 增強(qiáng)了配置管理控制 系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力,123,系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,訪問(wèn)驗(yàn)證保護(hù)級(jí) 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基滿(mǎn)足訪問(wèn)監(jiān)控器需求 訪問(wèn)監(jiān)控器仲裁主體對(duì)客體的全部訪問(wèn) 訪問(wèn)監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測(cè)試,124,系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,訪問(wèn)驗(yàn)證保護(hù)級(jí) 支持安全管理員職能 擴(kuò)充審計(jì)機(jī)制，當(dāng)發(fā)生與安全相關(guān)的事件時(shí)發(fā)出信號(hào) 提供系統(tǒng)恢復(fù)機(jī)制 系統(tǒng)具有很高的抗?jié)B透能力,125,標(biāo)準(zhǔn)介紹,信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過(guò)程 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC） 可信網(wǎng)絡(luò)解釋 （TNI） 通用準(zhǔn)則CC 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分

42、準(zhǔn)則 信息系統(tǒng)安全評(píng)估方法探討,126,信息系統(tǒng)安全評(píng)估方法,信息系統(tǒng)安全評(píng)估面臨的問(wèn)題： 信息系統(tǒng)本身的復(fù)雜性。 信息系統(tǒng)安全評(píng)估中構(gòu)件與系統(tǒng)安全性的關(guān)系。 穿透測(cè)試（penetration testing）不能全面反映信息系統(tǒng)的安全保護(hù)能力。,127,信息系統(tǒng)安全評(píng)估方法,目標(biāo)： 結(jié)合實(shí)際應(yīng)用需求，從技術(shù)的角度提出一種信息系統(tǒng)安全評(píng)估方法，解決構(gòu)件組裝安全性評(píng)估問(wèn)題，建立一種具有適應(yīng)性及可擴(kuò)充性的信息系統(tǒng)安全要素評(píng)估模型，研制信息系統(tǒng)安全評(píng)估的輔助工具，為在實(shí)際工作中開(kāi)展信息系統(tǒng)安全保護(hù)等級(jí)評(píng)估提供理論及技術(shù)的支持。,128,假 設(shè),威脅可能來(lái)自系統(tǒng)外部，也可能來(lái)自系統(tǒng)內(nèi)部。,系統(tǒng)的安全性

43、取決于系統(tǒng)中最薄弱的環(huán)節(jié)。,構(gòu)件安全性評(píng)估數(shù)據(jù)已知。,129,訪問(wèn)路徑,訪問(wèn)路徑,130,訪問(wèn)路徑,訪問(wèn)路徑,131,評(píng)估結(jié)果的類(lèi)型,,132,安全要素分類(lèi)及構(gòu)件間的關(guān)系,組裝互補(bǔ)性安全要素 組裝關(guān)聯(lián)性安全要素 組裝獨(dú)立性安全要素,構(gòu)件間的依賴(lài)關(guān)系 構(gòu)件間的關(guān)聯(lián)關(guān)系,133,構(gòu)件間依賴(lài)關(guān)系的性質(zhì),構(gòu)件間依賴(lài)關(guān)系的性質(zhì)：,134,組裝互補(bǔ)性安全要素,自主訪問(wèn)控制 數(shù)據(jù)完整性 身份鑒別 審計(jì) 強(qiáng)制訪問(wèn)控制,135,構(gòu)件間關(guān)聯(lián)關(guān)系要求,審計(jì)： 在一條訪問(wèn)路徑所包含的構(gòu)件中，如果所有與某個(gè)事件（如涉及多個(gè)構(gòu)件的一次網(wǎng)絡(luò)訪問(wèn)行為）相關(guān)的審計(jì)信息能夠通過(guò)某種標(biāo)識(shí)關(guān)聯(lián)起來(lái)，且各構(gòu)件對(duì)審計(jì)記錄的查閱、存儲(chǔ)、保

44、護(hù)等策略相一致，則稱(chēng)這條訪問(wèn)路徑中的構(gòu)件就審計(jì)而言滿(mǎn)足關(guān)聯(lián)關(guān)系。,標(biāo)記： 在一條訪問(wèn)路徑中，若各構(gòu)件對(duì)其主、客體的敏感標(biāo)記定義之間無(wú)沖突存在，則稱(chēng)這條訪問(wèn)路徑中的構(gòu)件就標(biāo)記而言滿(mǎn)足關(guān)聯(lián)關(guān)系。,136,構(gòu)件組裝安全性評(píng)估模型,規(guī)則1. 安全要素集E上訪問(wèn)路徑安全保護(hù)等級(jí)評(píng)估規(guī)則 安全要素集E上信息系統(tǒng)安全保護(hù)等級(jí)評(píng)估規(guī)則,137,訪問(wèn)路徑的標(biāo)識(shí),評(píng)估對(duì)象拓?fù)浣Y(jié)構(gòu)分析 標(biāo)識(shí)用戶(hù)發(fā)起訪問(wèn)的邏輯位置 根據(jù)系統(tǒng)提供的應(yīng)用服務(wù)，確定系統(tǒng)中所包含的訪問(wèn)路徑,138,依賴(lài)關(guān)系和關(guān)聯(lián)關(guān)系的分析與檢測(cè),對(duì)任意組裝互補(bǔ)性安全要素，系統(tǒng)邊界、計(jì)算環(huán)境及網(wǎng)絡(luò)各自?xún)?nèi)部的構(gòu)件之間可以（但不是一定）存在依賴(lài)關(guān)系。 對(duì)數(shù)據(jù)完整

45、性，系統(tǒng)邊界、計(jì)算環(huán)境及網(wǎng)絡(luò)三個(gè)部分中的構(gòu)件不能相互依賴(lài)，因?yàn)閿?shù)據(jù)完整性不僅僅是指所處理的信息的完整性，同時(shí)還包括構(gòu)件本身的完整性。 對(duì)自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和身份鑒別，系統(tǒng)邊界和網(wǎng)絡(luò)中的構(gòu)件不能依賴(lài)于計(jì)算環(huán)境中的構(gòu)件；但計(jì)算環(huán)境中的構(gòu)件可以依賴(lài)于系統(tǒng)邊界和網(wǎng)絡(luò)中的構(gòu)件。 對(duì)于審計(jì)，系統(tǒng)邊界、計(jì)算環(huán)境及網(wǎng)絡(luò)三個(gè)部分中的構(gòu)件之間可能存在依賴(lài)關(guān)系。,139,安全要素評(píng)估,構(gòu)件的評(píng)估數(shù)據(jù)未知,構(gòu)件在集成到系統(tǒng)過(guò)程中發(fā)生安全功能變動(dòng)，需要對(duì)調(diào)整后的安全性重新進(jìn)行評(píng)估,安全要素評(píng)估將為構(gòu)件組裝安全性評(píng)估提供以下信息：,140,每個(gè)要素可以分解為多個(gè)準(zhǔn)則。準(zhǔn)則是在更細(xì)的粒度上，對(duì)要素的不同實(shí)現(xiàn)環(huán)節(jié)作出

46、的規(guī)定。,證據(jù)是安全評(píng)估過(guò)程中所獲得的原始數(shù)據(jù)，是關(guān)于信息系統(tǒng)的狀態(tài)、響應(yīng)及策略等的客觀信息，證據(jù)與信息系統(tǒng)的具體實(shí)現(xiàn)直接相關(guān)，是對(duì)度量作出判斷的依據(jù)。,對(duì)每一個(gè)準(zhǔn)則，可以有一個(gè)或多個(gè)度量作為判斷標(biāo)準(zhǔn)。,要素層次代表了GB 17859定義的安全要素。,要素-準(zhǔn)則-度量-證據(jù)模型(FCME),141,FCME模型內(nèi)容設(shè)計(jì),要素、準(zhǔn)則及度量層次的內(nèi)容設(shè)計(jì)參照相關(guān)標(biāo)準(zhǔn)。 證據(jù)層次定義系統(tǒng)邊界、計(jì)算環(huán)境、網(wǎng)絡(luò)及基礎(chǔ)設(shè)施等各個(gè)部分中常見(jiàn)構(gòu)件類(lèi)型應(yīng)提供的證據(jù)。,142,FCME模型內(nèi)容設(shè)計(jì),本文針對(duì)各種應(yīng)用環(huán)境建立相應(yīng)的FCME模型，而非針對(duì)各類(lèi)構(gòu)件分別建立評(píng)估模型，目的是為了充分考慮在實(shí)際應(yīng)用環(huán)境中各類(lèi)

47、構(gòu)件之間的交互作用。 關(guān)聯(lián)關(guān)系 要素、準(zhǔn)則、度量及證據(jù)層次 依賴(lài)關(guān)系 證據(jù)層次,143,FCME模型的合成規(guī)則,證據(jù)的合成 通過(guò)問(wèn)卷調(diào)查，導(dǎo)航測(cè)試及穿透測(cè)試獲取 “與”規(guī)則 “或”規(guī)則 度量、準(zhǔn)則的合成 “與”規(guī)則,144,安全評(píng)估系統(tǒng)的實(shí)現(xiàn)與應(yīng)用,實(shí)現(xiàn)環(huán)境 RedHat Linux7.0 MySQL+Apache+PHP C和perl 客戶(hù)端軟件為任意一款瀏覽器,適用范圍 Windows, FreeBSD, Linux以及Solaris等系列,145,安全評(píng)估系統(tǒng)的實(shí)現(xiàn)與應(yīng)用,安全評(píng)估內(nèi)容 主要功能：安全要素評(píng)估、構(gòu)件組裝安全性評(píng)估及安全保證評(píng)估 覆蓋范圍：安全需求分析、威脅分析、安全策略及

48、組織管理評(píng)估等環(huán)節(jié),安全評(píng)估的方式 問(wèn)卷調(diào)查 導(dǎo)航測(cè)試 穿透測(cè)試,146,安全評(píng)估系統(tǒng)的實(shí)現(xiàn)與應(yīng)用,安全評(píng)估系統(tǒng)構(gòu)成 評(píng)估知識(shí)庫(kù) 檢測(cè)工具箱 問(wèn)卷調(diào)查表及處理工具 評(píng)估信息庫(kù) 漏洞信息庫(kù) 系統(tǒng)管理,147,安全評(píng)估過(guò)程,導(dǎo)航測(cè)試和穿透測(cè)試 安全要素評(píng)估 構(gòu)件組裝安全性評(píng)估 安全保證評(píng)估 形成原始評(píng)估證據(jù),安全策略是否能夠滿(mǎn)足其安全需求，是否適應(yīng)評(píng)估對(duì)象的威脅環(huán)境 技術(shù)安全措施是否符合有關(guān)標(biāo)準(zhǔn)的要求 安全保證是否符合有關(guān)標(biāo)準(zhǔn)的要求 物理安全環(huán)境是否符合有關(guān)的物理安全標(biāo)準(zhǔn) 組織管理是否符合有關(guān)的安全管理要求 安全建議 確定評(píng)估對(duì)象能夠到達(dá)的安全保護(hù)等級(jí),評(píng)估資料收集 通過(guò)問(wèn)卷調(diào)查獲取評(píng)估所需的基本

49、信息 評(píng)估對(duì)象預(yù)分析 審查評(píng)估資料的有效性、完備性； 根據(jù)對(duì)評(píng)估對(duì)象安全環(huán)境、安全需求及安全策略的分析，確定評(píng)估環(huán)境與假設(shè)； 確定系統(tǒng)拓?fù)洌瑯?biāo)識(shí)系統(tǒng)中包含的構(gòu)件，標(biāo)識(shí)系統(tǒng)中存在的訪問(wèn)路徑 區(qū)域劃分,,148,參考網(wǎng)址,moncriteria.org/ http://niap.nist.gov/tools/cctool.html http://csrc.nist.gov/publications/secpubs/rainbow/ http://www.radium.ncsc.mil/tpep/library/fers/tcsec_fers.html（library of TCSEC final evaluation report） http://niap.nist.gov/cc-scheme/iwg-cc-public/ob_by_number.html (public index to IWG queue) www.itsec.gov.uk http://oval.mitre.org (open vulnerability assessment language),