《網絡與信息安全》PPT課件

《《網絡與信息安全》PPT課件》由會員分享，可在線閱讀，更多相關《《網絡與信息安全》PPT課件（148頁珍藏版）》請在裝配圖網上搜索。

1、網絡與信息安全 第十七講 計算機信息系統(tǒng) 安全評估標準介紹 閆 強 北京大學信息科學技術學院 軟件研究所信息安全研究室,2003年春季北京大學碩士研究生課程,2,標準介紹,信息技術安全評估準則發(fā)展過程 可信計算機系統(tǒng)評估準則（TCSEC ） 可信網絡解釋（TNI） 通用準則CC 計算機信息系統(tǒng)安全保護等級劃分準則 信息系統(tǒng)安全評估方法探討,3,信息技術安全評估準則發(fā)展過程,信息技術安全評估是對一個構件、產品、子系統(tǒng)或系統(tǒng)的安全屬性進行的技術評價，通過評估判斷該構件、產品、子系統(tǒng)或系統(tǒng)是否滿足一組特定的要求。信息技術安全評估的另一層含義是在一定的安全策略、安全功能需求及目標保證級別下獲得相應保證

2、的過程 。 產品安全評估 信息系統(tǒng)安全評估 信息系統(tǒng)安全評估，或簡稱為系統(tǒng)評估，是在具體的操作環(huán)境與任務下對一個系統(tǒng)的安全保護能力進行的評估 。,4,信息技術安全評估準則發(fā)展過程,20世紀60年代后期，1967年美國國防部（DOD）成立了一個研究組，針對當時計算機使用環(huán)境中的安全策略進行研究，其研究結果是“Defense Science Board report” 70年代的后期DOD對當時流行的操作系統(tǒng)KSOS，PSOS，KVM進行了安全方面的研究,5,信息技術安全評估準則發(fā)展過程,80年代后，美國國防部發(fā)布的“可信計算機系統(tǒng)評估準則（TCSEC）”（即桔皮書） 后來DOD又發(fā)布了可信數(shù)據庫

3、解釋（TDI）、可信網絡解釋（TNI）等一系列相關的說明和指南 90年代初，英、法、德、荷等四國針對TCSEC準則的局限性，提出了包含保密性、完整性、可用性等概念的“信息技術安全評估準則”（ITSEC），定義了從E0級到E6級的七個安全等級,6,信息技術安全評估準則發(fā)展過程,加拿大1988年開始制訂The Canadian Trusted Computer Product Evaluation Criteria （CTCPEC） 1993年，美國對TCSEC作了補充和修改，制定了“組合的聯(lián)邦標準”（簡稱FC） 國際標準化組織（ISO）從1990年開始開發(fā)通用的國際標準評估準則,7,信息技術安全

4、評估準則發(fā)展過程,在1993年6月，CTCPEC、FC、TCSEC和ITSEC的發(fā)起組織開始聯(lián)合起來，將各自獨立的準則組合成一個單一的、能被廣泛使用的IT安全準則 發(fā)起組織包括六國七方：加拿大、法國、德國、荷蘭、英國、美國NIST及美國NSA，他們的代表建立了CC編輯委員會（CCEB）來開發(fā)CC,8,信息技術安全評估準則發(fā)展過程,1996年1月完成CC1.0版 ,在1996年4月被ISO采納 1997年10月完成CC2.0的測試版 1998年5月發(fā)布CC2.0版 1999年12月ISO采納CC，并作為國際標準ISO 15408發(fā)布,9,安全評估標準的發(fā)展歷程,10,標準介紹,信息技術安全評估準

5、則發(fā)展過程 可信計算機系統(tǒng)評估準則（TCSEC） 可信網絡解釋 （TNI） 通用準則CC 計算機信息系統(tǒng)安全保護等級劃分準則 信息系統(tǒng)安全評估方法探討,11,TCSEC,在TCSEC中，美國國防部按處理信息的等級和應采用的響應措施，將計算機安全從高到低分為：A、B、C、D四類八個級別，共27條評估準則 隨著安全等級的提高，系統(tǒng)的可信度隨之增加，風險逐漸減少。,12,TCSEC,四個安全等級： 無保護級 自主保護級 強制保護級 驗證保護級,13,TCSEC,D類是最低保護等級，即無保護級 是為那些經過評估，但不滿足較高評估等級要求的系統(tǒng)設計的，只具有一個級別 該類是指不符合要求的那些系統(tǒng)，因此，

6、這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息,14,TCSEC,四個安全等級： 無保護級 自主保護級 強制保護級 驗證保護級,15,TCSEC,C類為自主保護級 具有一定的保護能力，采用的措施是自主訪問控制和審計跟蹤 一般只適用于具有一定等級的多用戶環(huán)境 具有對主體責任及其動作審計的能力,16,TCSEC,C類分為C1和C2兩個級別: 自主安全保護級（C1級) 控制訪問保護級（C2級）,17,TCSEC,C1級TCB通過隔離用戶與數(shù)據，使用戶具備自主安全保護的能力 它具有多種形式的控制能力，對用戶實施訪問控制 為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數(shù)據的非法讀寫與破壞 C1級的系

7、統(tǒng)適用于處理同一敏感級別數(shù)據的多用戶環(huán)境,18,TCSEC,C2級計算機系統(tǒng)比C1級具有更細粒度的自主訪問控制 C2級通過注冊過程控制、審計安全相關事件以及資源隔離，使單個用戶為其行為負責,19,TCSEC,四個安全等級： 無保護級 自主保護級 強制保護級 驗證保護級,20,TCSEC,B類為強制保護級 主要要求是TCB應維護完整的安全標記，并在此基礎上執(zhí)行一系列強制訪問控制規(guī)則 B類系統(tǒng)中的主要數(shù)據結構必須攜帶敏感標記 系統(tǒng)的開發(fā)者還應為TCB提供安全策略模型以及TCB規(guī)約 應提供證據證明訪問監(jiān)控器得到了正確的實施,21,TCSEC,B類分為三個類別： 標記安全保護級（B1級） 結構化保護級

8、（B2級） 安全區(qū)域保護級（B3級）,22,TCSEC,B1級系統(tǒng)要求具有C2級系統(tǒng)的所有特性 在此基礎上，還應提供安全策略模型的非形式化描述、數(shù)據標記以及命名主體和客體的強制訪問控制 并消除測試中發(fā)現(xiàn)的所有缺陷,23,TCSEC,B類分為三個類別： 標記安全保護級（B1級） 結構化保護級（B2級） 安全區(qū)域保護級（B3級）,24,TCSEC,在B2級系統(tǒng)中，TCB建立于一個明確定義并文檔化形式化安全策略模型之上 要求將B1級系統(tǒng)中建立的自主和強制訪問控制擴展到所有的主體與客體 在此基礎上，應對隱蔽信道進行分析 TCB應結構化為關鍵保護元素和非關鍵保護元素,25,TCSEC,TCB接口必須明確

9、定義 其設計與實現(xiàn)應能夠經受更充分的測試和更完善的審查 鑒別機制應得到加強，提供可信設施管理以支持系統(tǒng)管理員和操作員的職能 提供嚴格的配置管理控制 B2級系統(tǒng)應具備相當?shù)目節(jié)B透能力,26,TCSEC,B類分為三個類別： 標記安全保護級（B1級） 結構化保護級（B2級） 安全區(qū)域保護級（B3級）,27,TCSEC,在B3級系統(tǒng)中，TCB必須滿足訪問監(jiān)控器需求 訪問監(jiān)控器對所有主體對客體的訪問進行仲裁 訪問監(jiān)控器本身是抗篡改的 訪問監(jiān)控器足夠小 訪問監(jiān)控器能夠分析和測試,28,TCSEC,為了滿足訪問控制器需求: 計算機信息系統(tǒng)可信計算基在構造時，排除那些對實施安全策略來說并非必要的代碼 計算機信

10、息系統(tǒng)可信計算基在設計和實現(xiàn)時，從系統(tǒng)工程角度將其復雜性降低到最小程度,29,TCSEC,B3級系統(tǒng)支持: 安全管理員職能 擴充審計機制 當發(fā)生與安全相關的事件時，發(fā)出信號 提供系統(tǒng)恢復機制 系統(tǒng)具有很高的抗?jié)B透能力,30,TCSEC,四個安全等級： 無保護級 自主保護級 強制保護級 驗證保護級,31,TCSEC,A類為驗證保護級 A類的特點是使用形式化的安全驗證方法，保證系統(tǒng)的自主和強制安全控制措施能夠有效地保護系統(tǒng)中存儲和處理的秘密信息或其他敏感信息 為證明TCB滿足設計、開發(fā)及實現(xiàn)等各個方面的安全要求，系統(tǒng)應提供豐富的文檔信息,32,TCSEC,A類分為兩個類別： 驗證設計級（A1級）

11、超A1級,33,TCSEC,A1級系統(tǒng)在功能上和B3級系統(tǒng)是相同的，沒有增加體系結構特性和策略要求 最顯著的特點是，要求用形式化設計規(guī)范和驗證方法來對系統(tǒng)進行分析，確保TCB按設計要求實現(xiàn) 從本質上說，這種保證是發(fā)展的，它從一個安全策略的形式化模型和設計的形式化高層規(guī)約（FTLS）開始,34,TCSEC,針對A1級系統(tǒng)設計驗證，有5種獨立于特定規(guī)約語言或驗證方法的重要準則： 安全策略的形式化模型必須得到明確標識并文檔化，提供該模型與其公理一致以及能夠對安全策略提供足夠支持的數(shù)學證明 應提供形式化的高層規(guī)約，包括TCB功能的抽象定義、用于隔離執(zhí)行域的硬件/固件機制的抽象定義,35,TCSEC,應

12、通過形式化的技術（如果可能的化）和非形式化的技術證明TCB的形式化高層規(guī)約（FTLS）與模型是一致的 通過非形式化的方法證明TCB的實現(xiàn)（硬件、固件、軟件）與形式化的高層規(guī)約（FTLS）是一致的。應證明FTLS的元素與TCB的元素是一致的，F(xiàn)TLS應表達用于滿足安全策略的一致的保護機制，這些保護機制的元素應映射到TCB的要素,36,TCSEC,應使用形式化的方法標識并分析隱蔽信道，非形式化的方法可以用來標識時間隱蔽信道，必須對系統(tǒng)中存在的隱蔽信道進行解釋,37,TCSEC,A1級系統(tǒng): 要求更嚴格的配置管理 要求建立系統(tǒng)安全分發(fā)的程序 支持系統(tǒng)安全管理員的職能,38,TCSEC,A類分為兩個類

13、別： 驗證設計級（A1級） 超A1級,39,TCSEC,超A1級在A1級基礎上增加的許多安全措施超出了目前的技術發(fā)展 隨著更多、更好的分析技術的出現(xiàn)，本級系統(tǒng)的要求才會變的更加明確 今后，形式化的驗證方法將應用到源碼一級，并且時間隱蔽信道將得到全面的分析,40,TCSEC,在這一級，設計環(huán)境將變的更重要 形式化高層規(guī)約的分析將對測試提供幫助 TCB開發(fā)中使用的工具的正確性及TCB運行的軟硬件功能的正確性將得到更多的關注,41,TCSEC,超A1級系統(tǒng)涉及的范圍包括： 系統(tǒng)體系結構 安全測試 形式化規(guī)約與驗證 可信設計環(huán)境等,42,標準介紹,信息技術安全評估準則發(fā)展過程 可信計算機系統(tǒng)評估準則（

14、TCSEC） 可信網絡解釋 （TNI） 通用準則CC 計算機信息系統(tǒng)安全保護等級劃分準則 信息系統(tǒng)安全評估方法探討,43,可信網絡解釋（TNI）,美國國防部計算機安全評估中心在完成TCSEC的基礎上，又組織了專門的研究鏃對可信網絡安全評估進行研究，并于1987年發(fā)布了以TCSEC為基礎的可信網絡解釋，即TNI。 TNI包括兩個部分（Part I和Part II）及三個附錄（APPENDIX A、B、C）,44,可信網絡解釋（TNI）,TNI第一部分提供了在網絡系統(tǒng)作為一個單一系統(tǒng)進行評估時TCSEC中各個等級（從D到A類）的解釋 與單機系統(tǒng)不同的是，網絡系統(tǒng)的可信計算基稱為網絡可信計算基（NT

15、CB）,45,可信網絡解釋（TNI）,第二部分以附加安全服務的形式提出了在網絡互聯(lián)時出現(xiàn)的一些附加要求 這些要求主要是針對完整性、可用性和保密性的,46,可信網絡解釋（TNI）,第二部分的評估是定性的，針對一個服務進行評估的結果一般分為為： none minimum fair good,47,可信網絡解釋（TNI）,第二部分中關于每個服務的說明一般包括: 一種相對簡短的陳述 相關的功能性的討論 相關機制強度的討論 相關保證的討論,48,可信網絡解釋（TNI）,功能性是指一個安全服務的目標和實現(xiàn)方法，它包括特性、機制及實現(xiàn) 機制的強度是指一種方法實現(xiàn)其目標的程度 有些情況下，參數(shù)的選擇會對機制的

16、強度帶來很大的影響,49,可信網絡解釋（TNI）,保證是指相信一個功能會實現(xiàn)的基礎 保證一般依靠對理論、測試、軟件工程等相關內容的分析 分析可以是形式化或非形式化的，也可以是理論的或應用的,50,可信網絡解釋（TNI）,第二部分中列出的安全服務有： 通信完整性 拒絕服務 機密性,51,可信網絡解釋（TNI）,通信完整性主要涉及以下3方面： 鑒別：網絡中應能夠抵抗欺騙和重放攻擊 通信字段完整性：保護通信中的字段免受非授權的修改 抗抵賴：提供數(shù)據發(fā)送、接受的證據,52,可信網絡解釋（TNI）,當網絡處理能力下降到一個規(guī)定的界限以下或遠程實體無法訪問時，即發(fā)生了拒絕服務 所有由網絡提供的服務都應考慮

17、拒絕服務的情況 網絡管理者應決定網絡拒絕服務需求,53,可信網絡解釋（TNI）,解決拒絕服務的方法有： 操作連續(xù)性 基于協(xié)議的拒絕服務保護 網絡管理,54,可信網絡解釋（TNI）,機密性是一系列安全服務的總稱 這些服務都是關于通過計算機通信網絡在實體間傳輸信息的安全和保密的 具體又分3種情況： 數(shù)據保密 通信流保密 選擇路由,55,可信網絡解釋（TNI）,數(shù)據保密： 數(shù)據保密性服務保護數(shù)據不被未授權地泄露 數(shù)據保密性主要受搭線竊聽的威脅 被動的攻擊包括對線路上傳輸?shù)男畔⒌挠^測,56,可信網絡解釋（TNI）,通信流保密： 針對通信流分析攻擊而言，通信流分析攻擊分析消息的長度、頻率及協(xié)議的內容（如

18、地址） 并以此推出消息的內容,57,可信網絡解釋（TNI）,選擇路由： 路由選擇控制是在路由選擇過程中應用規(guī)則，以便具體的選取或回避某些網絡、鏈路或中繼 路由能動態(tài)的或預定地選取，以便只使用物理上安全的子網絡、鏈路或中繼 在檢測到持續(xù)的操作攻擊時，端系統(tǒng)可希望指示網絡服務的提供者經不同的路由建立連接 帶有某些安全標記的數(shù)據可能被策略禁止通過某些子網絡、鏈路或中繼,58,可信網絡解釋（TNI）,TNI第二部分的評估更多地表現(xiàn)出定性和主觀的特點，同第一部分相比表現(xiàn)出更多的變化 第二部分的評估是關于被評估系統(tǒng)能力和它們對特定應用環(huán)境的適合性的非常有價值的信息 第二部分中所列舉的安全服務是網絡環(huán)境下有

19、代表性的安全服務 在不同的環(huán)境下，并非所有的服務都同等重要，同一服務在不同環(huán)境下的重要性也不一定一樣,59,可信網絡解釋（TNI）,TNI的附錄A是第一部分的擴展，主要是關于網絡中組件及組件組合的評估 附錄A把TCSEC為A1級系統(tǒng)定義的安全相關的策略分為四個相對獨立的種類，他們分別支持強制訪問控制（MAC），自主訪問控制（DAC），身份鑒別（IA），審計（AUDIT）,60,可信網絡解釋（TNI）,61,可信網絡解釋（TNI）,附錄B給出了根據TCSEC對網絡組件進行評估的基本原理 附錄C則給出了幾個AIS互聯(lián)時的認證指南及互聯(lián)中可能遇到的問題,62,可信網絡解釋（TNI）,TNI中關于網絡

20、有兩種概念： 一是單一可信系統(tǒng)的概念（single trusted system） 另一個是互聯(lián)信息系統(tǒng)的概念（interconnected AIS） 這兩個概念并不互相排斥,63,可信網絡解釋（TNI）,在單一可信系統(tǒng)中，網絡具有包括各個安全相關部分的單一TCB，稱為NTCB（network trusted computing base） NTCB作為一個整體滿足系統(tǒng)的安全體系設計,64,可信網絡解釋（TNI）,在互聯(lián)信息系統(tǒng)中 各個子系統(tǒng)可能具有不同的安全策略 具有不同的信任等級 并且可以分別進行評估 各個子系統(tǒng)甚至可能是異構的,65,可信網絡解釋（TNI）,安全策略的實施一般控制在各個子

21、系統(tǒng)內，在附錄C中給出了各個子系統(tǒng)安全地互聯(lián)的指南，在互聯(lián)時要控制局部風險的擴散，排除整個系統(tǒng)中的級聯(lián)問題（cascade problem） 限制局部風險的擴散的方法：單向連接、傳輸?shù)氖止z測、加密、隔離或其他措施。,66,標準介紹,信息技術安全評估準則發(fā)展過程 可信計算機系統(tǒng)評估準則（TCSEC） 可信網絡解釋 （TNI） 通用準則CC 計算機信息系統(tǒng)安全保護等級劃分準則 信息系統(tǒng)安全評估方法探討,67,通用準則CC,CC的范圍 : CC適用于硬件、固件和軟件實現(xiàn)的信息技術安全措施 而某些內容因涉及特殊專業(yè)技術或僅是信息技術安全的外圍技術不在CC的范圍內,68,通用準則CC,評估上下文,69

22、,通用準則CC,使用通用評估方法學可以提供結果的可重復性和客觀性 許多評估準則需要使用專家判斷和一定的背景知識 為了增強評估結果的一致性，最終的評估結果應提交給一個認證過程，該過程是一個針對評估結果的獨立的檢查過程，并生成最終的證書或正式批文,70,通用準則CC,CC包括三個部分: 第一部分：簡介和一般模型 第二部分：安全功能要求 第三部分：安全保證要求,71,通用準則CC,安全保證要求部分提出了七個評估保證級別（Evaluation Assurance Levels：EALs）分別是： EAL1：功能測試 EAL2：結構測試 EAL3：系統(tǒng)測試和檢查 EAL4：系統(tǒng)設計、測試和復查 EAL5

23、：半形式化設計和測試 EAL6：半形式化驗證的設計和測試 EAL7：形式化驗證的設計和測試,72,通用準則CC,安全就是保護資產不受威脅，威脅可依據濫用被保護資產的可能性進行分類 所有的威脅類型都應該被考慮到 在安全領域內，被高度重視的威脅是和人們的惡意攻擊及其它人類活動相聯(lián)系的,73,通用準則CC,安全概念和關系,,74,通用準則CC,安全性損壞一般包括但又不僅僅包括以下幾項 資產破壞性地暴露于未授權的接收者（失去保密性） 資產由于未授權的更改而損壞（失去完整性） 或資產訪問權被未授權的喪失（失去可用性）,75,通用準則CC,資產所有者必須分析可能的威脅并確定哪些存在于他們的環(huán)境，其后果就是

24、風險 對策用以（直接或間接地）減少脆弱性并滿足資產所有者的安全策略 在將資產暴露于特定威脅之前，所有者需要確信其對策足以應付面臨的威脅,76,通用準則CC,評估概念 和關系,,77,通用準則CC,TOE評估過程,,78,通用準則CC,評估過程通過兩種途徑產生更好的安全產品 評估過程能發(fā)現(xiàn)開發(fā)者可以糾正的TOE錯誤或弱點，從而在減少將來操作中安全失效的可能性 另一方面，為了通過嚴格的評估，開發(fā)者在TOE設計和開發(fā)時也將更加細心 因此，評估過程對最初需求、開發(fā)過程、最終產品以及操作環(huán)境將產生強烈的積極影響,79,通用準則CC,CC安全概念包括： 安全環(huán)境 安全目的 IT安全要求 TOE概要規(guī)范,8

25、0,通用準則CC,安全環(huán)境包括所有相關的法規(guī)、組織性安全策略、習慣、專門技術和知識 它定義了TOE使用的上下文，安全環(huán)境也包括環(huán)境里出現(xiàn)的安全威脅,81,通用準則CC,安全環(huán)境的分析結果被用來闡明對抗已標識的威脅、說明組織性安全策略和假設的安全目的 安全目的和已說明的TOE運行目標或產品目標以及有關的物理環(huán)境知識一致 確定安全目的的意圖是為了闡明所有的安全考慮并指出哪些安全方面的問題是直接由TOE還是由它的環(huán)境來處理 環(huán)境安全目的將在IT領域內用非技術上的或程序化的手段來實現(xiàn),82,通用準則CC,IT安全要求是將安全目的細化為一系列TOE及其環(huán)境的安全要求，一旦這些要求得到滿足，就可以保證TO

26、E達到它的安全目的 IT安全需求只涉及TOE安全目的和它的IT環(huán)境,83,通用準則CC,CC定義了一系列與已知有效的安全要求集合相結合的概念，該概念可被用來為預期的產品和系統(tǒng)建立安全需求 CC安全要求以類族組件這種層次方式組織，以幫助用戶定位特定的安全要求 對功能和保證方面的要求，CC使用相同的風格、組織方式和術語。,84,通用準則CC,CC中安全要求的描述方法： 類：類用作最通用安全要求的組合，類的所有的成員關注共同的安全焦點，但覆蓋不同的安全目的 族：類的成員被稱為族。族是若干組安全要求的組合，這些要求有共同的安全目的，但在側重點和嚴格性上有所區(qū)別 組件：族的成員被稱為組件。組件描述一組特

27、定的安全要求集，它是CC定義的結構中所包含的最小的可選安全要求集,85,通用準則CC,組件由單個元素組成，元素是安全需求最低層次的表達，并且是能被評估驗證的不可分割的安全要求 族內具有相同目標的組件可以以安全要求強度（或能力）逐步增加的順序排列，也可以部分地按相關非層次集合的方式組織,86,通用準則CC,組件間可能存在依賴關系 依賴關系可以存在于功能組件之間、保證組件之間以及功能和保證組件之間 組件間依賴關系描述是CC組件定義的一部分,87,通用準則CC,可以通過使用組件允許的操作，對組件進行裁剪 每一個CC組件標識并定義組件允許的“賦值”和“選擇”操作、在哪些情況下可對組件使用這些操作，以及

28、使用這些操作的后果 任何一個組件均允許“反復”和“細化”操作,88,通用準則CC,這四個操作如下所述： 反復：在不同操作時，允許組件多次使用 賦值：當組件被應用時，允許規(guī)定所賦予的參數(shù) 選擇：允許從組件給出的列表中選定若干項 細化：當組件被應用時，允許對組件增加細節(jié),89,通用準則CC,要求的組織和結構,,90,通用準則CC,CC中安全需求的描述方法: 包:組件的中間組合被稱為包 保護輪廓(PP): PP是關于一系列滿足一個安全目標集的TOE的、與實現(xiàn)無關的描述 安全目標(ST)： ST是針對特定TOE安全要求的描述，通過評估可以證明這些安全要求對滿足指定目的是有用和有效的,91,通用準則CC

29、,包允許對功能或保證需求集合的描述，這個集合能夠滿足一個安全目標的可標識子集 包可重復使用，可用來定義那些公認有用的、能夠有效滿足特定安全目標的要求 包可用在構造更大的包、PP和ST中,92,通用準則CC,PP包含一套來自CC（或明確闡述）的安全要求，它應包括一個評估保證級別（EAL） PP可反復使用，還可用來定義那些公認有用的、能夠有效滿足特定安全目標的TOE要求 PP包括安全目的和安全要求的基本原理 PP的開發(fā)者可以是用戶團體、IT產品開發(fā)者或其它對定義這樣一系列通用要求有興趣的團體,93,通用準則CC,保護輪廓PP描述結構,,94,通用準則CC,安全目標(ST)包括一系列安全要求，這些要

30、求可以引用PP，也可以直接引用CC中的功能或保證組件，或明確說明 一個ST包含TOE的概要規(guī)范，安全要求和目的，以及它們的基本原理 ST是所有團體間就TOE應提供什么樣的安全性達成一致的基礎,95,通用準則CC,安全目標描述結構,,96,通用準則CC,CC框架下的評估類型 PP評估 ST評估 TOE評估,97,通用準則CC,PP評估是依照CC第3部分的PP評估準則進行的。 評估的目標是為了證明PP是完備的、一致的、技術合理的，而且適合于作為一個可評估TOE的安全要求的聲明,98,通用準則CC,針對TOE的ST評估是依照CC第3部分的ST評估準則進行的 ST評估具有雙重目標： 首先是為了證明ST

31、是完備的、一致的、技術合理的，而且適合于用作相應TOE評估的基礎 其次，當某一ST宣稱與某一PP一致時，證明ST滿足該PP的要求,99,通用準則CC,TOE評估是使用一個已經評估過的ST作為基礎，依照CC第3部分的評估準則進行的 評估的目標是為了證明TOE滿足ST中的安全要求,100,通用準則CC,三種評估的關系,,101,通用準則CC,CC的第二部分是安全功能要求，對滿足安全需求的諸安全功能提出了詳細的要求 另外，如果有超出第二部分的安全功能要求，開發(fā)者可以根據“類-族-組件-元素”的描述結構表達其安全要求，并附加在其ST中,102,通用準則CC,CC共包含的11個安全功能類，如下： FAU

32、類：安全審計 FCO類：通信 FCS類：密碼支持 FDP類：用戶數(shù)據保護 FIA類：標識與鑒別 FMT類：安全管理 FPR類：隱秘 FPT類：TFS保護 FAU類：資源利用 FTA類：TOE訪問 FTP類：可信信道/路徑,103,通用準則CC,CC的第三部分是評估方法部分，提出了PP、ST、TOE三種評估，共包括10個類，但其中的APE類與ASE類分別介紹了PP與ST的描述結構及評估準則 維護類提出了保證評估過的受測系統(tǒng)或產品運行于所獲得的安全級別上的要求 只有七個安全保證類是TOE的評估類別,104,通用準則CC,七個安全保證類 ACM類：配置管理 ADO類：分發(fā)與操作 ADV類：開發(fā) AG

33、D類：指導性文檔 ALC類：生命周期支持 ATE類：測試 AVA類：脆弱性評定,105,通用準則CC,1998年1月，經過兩年的密切協(xié)商，來自美國、加拿大、法國、德國以及英國的政府組織簽訂了歷史性的安全評估互認協(xié)議：IT安全領域內CC認可協(xié)議 根據該協(xié)議，在協(xié)議簽署國范圍內，在某個國家進行的基于CC的安全評估將在其他國家內得到承認 截止2003年3月，加入該協(xié)議的國家共有十五個：澳大利亞、新西蘭、加拿大、芬蘭、法國、德國、希臘、以色列、意大利、荷蘭、挪威、西班牙、瑞典、英國及美國,106,通用準則CC,該協(xié)議的參與者在這個領域內有共同的目的即： 確保IT產品及保護輪廓的評估遵循一致的標準，為這

34、些產品及保護輪廓的安全提供足夠的信心。 在國際范圍內提高那些經過評估的、安全增強的IT產品及保護輪廓的可用性。 消除IT產品及保護輪廓的重復評估，改進安全評估的效率及成本效果，改進IT產品及保護輪廓的證明/確認過程,107,通用準則CC,美國NSA內部的可信產品評估計劃（TPEP）以及可信技術評價計劃（TTAP）最初根據TCSEC進行產品的評估，但從1999年2月1日起，這些計劃將不再接收基于TCSEC的新的評估。此后這些計劃接受的任何新的產品都必須根據CC的要求進行評估。到2001年底，所有已經經過TCSEC評估的產品，其評估結果或者過時，或者轉換為CC評估等級。 NSA已經將TCSEC對操

35、作系統(tǒng)的C2和B1級要求轉換為基于CC的要求（或PP）， NSA正在將TCSEC的B2和B3級要求轉換成基于CC的保護輪廓，但對TCSEC中的A1級要求不作轉換。 TCSEC的可信網絡解釋（TNI）在使用范圍上受到了限制，已經不能廣泛適用于目前的網絡技術，因此，NSA目前不計劃提交與TNI相應的PP,108,通用準則CC,109,標準介紹,信息技術安全評估準則發(fā)展過程 可信計算機系統(tǒng)評估準則（TCSEC） 可信網絡解釋 （TNI） 通用準則CC 計算機信息系統(tǒng)安全保護等級劃分準則 信息系統(tǒng)安全評估方法探討,110,系統(tǒng)安全保護等級劃分準則,我國政府及各行各業(yè)在進行大量的信息系統(tǒng)的建設，并且已經

36、成為國家的重要基礎設施 計算機犯罪、黑客攻擊、有害病毒等問題的出現(xiàn)對社會穩(wěn)定、國家安全造成了極大的危害，信息安全的重要性日益突出 信息系統(tǒng)安全問題已經被提到關系國家安全和國家主權的戰(zhàn)略性高度,111,系統(tǒng)安全保護等級劃分準則,大多數(shù)信息系統(tǒng)缺少有效的安全技術防范措施，安全性非常脆弱 我國的信息系統(tǒng)安全專用產品市場一直被外國產品占據，增加了新的安全隱患 因此，盡快建立能適應和保障我國信息產業(yè)健康發(fā)展的國家信息系統(tǒng)安全等級保護制度已迫在眉睫,112,系統(tǒng)安全保護等級劃分準則,為了從整體上形成多級信息系統(tǒng)安全保護體系 為了提高國家信息系統(tǒng)安全保護能力 為從根本上解決信息社會國家易受攻擊的脆弱性和有效

37、預防計算機犯罪等問題 中華人民共和國計算機信息系統(tǒng)安全保護條例第九條明確規(guī)定，計算機信息系統(tǒng)實行安全等級保護,113,系統(tǒng)安全保護等級劃分準則,為切實加強重要領域信息系統(tǒng)安全的規(guī)范化建設和管理 全面提高國家信息系統(tǒng)安全保護的整體水平 使公安機關公共信息網絡安全監(jiān)察工作更加科學、規(guī)范，指導工作更具體、明確,114,系統(tǒng)安全保護等級劃分準則,公安部組織制訂了計算機信息系統(tǒng)安全保護等級劃分準則國家標準 于1999年9月13日由國家質量技術監(jiān)督局審查通過并正式批準發(fā)布 于 2001年1月1日執(zhí)行,115,系統(tǒng)安全保護等級劃分準則,該準則的發(fā)布為計算機信息系統(tǒng)安全法規(guī)和配套標準的制定和執(zhí)法部門的監(jiān)督檢查

38、提供了依據 為安全產品的研制提供了技術支持 為安全系統(tǒng)的建設和管理提供了技術指導是我國計算機信息系統(tǒng)安全保護等級工作的基礎,116,系統(tǒng)安全保護等級劃分準則,GA 388-2002 計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術要求 GA 391-2002 計算機信息系統(tǒng)安全等級保護管理要求 GA/T 387-2002計算機信息系統(tǒng)安全等級保護網絡技術要求 GA/T 389-2002計算機信息系統(tǒng)安全等級保護數(shù)據庫管理系統(tǒng)技術要求 GA/T 390-2002計算機信息系統(tǒng)安全等級保護通用技術要求,117,系統(tǒng)安全保護等級劃分準則,準則規(guī)定了計算機系統(tǒng)安全保護能力的五個等級，即： 第一級：用戶自主保護級

39、 第二級：系統(tǒng)審計保護級 第三級：安全標記保護級 第四級：結構化保護級 第五級：訪問驗證保護級,118,系統(tǒng)安全保護等級劃分準則,用戶自主保護級： 計算機信息系統(tǒng)可信計算基通過隔離用戶與數(shù)據，使用戶具備自主安全保護的能力。 它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數(shù)據的非法讀寫與破壞,119,系統(tǒng)安全保護等級劃分準則,系統(tǒng)審計保護級： 與用戶自主保護級相比，計算機信息系統(tǒng)可信計算基實施了粒度更細的自主訪問控制 它通過登錄規(guī)程、審計安全性相關事件和隔離資源，使用戶對自己的行為負責,120,系統(tǒng)安全保護等級劃分準則,安全標記保護級：

40、 計算機信息系統(tǒng)可信計算基具有系統(tǒng)審計保護級所有功能 此外，還提供有關安全策略模型、數(shù)據標記以及主體對客體強制訪問控制的非形式化描述 具有準確地標記輸出信息的能力 消除通過測試發(fā)現(xiàn)的任何錯誤,121,系統(tǒng)安全保護等級劃分準則,結構化保護級： 計算機信息系統(tǒng)可信計算基建立于一個明確定義的形式化安全策略模型之上 要求將第三級系統(tǒng)中的自主和強制訪問控制擴展到所有主體與客體 此外，還要考慮隱蔽通道 計算機信息系統(tǒng)可信計算基必須結構化為關鍵保護元素和非關鍵保護元素,122,系統(tǒng)安全保護等級劃分準則,計算機信息系統(tǒng)可信計算基的接口也必須明確定義，使其設計與實現(xiàn)能經受更充分的測試和更完整的復審 加強了鑒別機

41、制 支持系統(tǒng)管理員和操作員的職能 提供可信設施管理 增強了配置管理控制 系統(tǒng)具有相當?shù)目節(jié)B透能力,123,系統(tǒng)安全保護等級劃分準則,訪問驗證保護級 計算機信息系統(tǒng)可信計算基滿足訪問監(jiān)控器需求 訪問監(jiān)控器仲裁主體對客體的全部訪問 訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測試,124,系統(tǒng)安全保護等級劃分準則,訪問驗證保護級 支持安全管理員職能 擴充審計機制，當發(fā)生與安全相關的事件時發(fā)出信號 提供系統(tǒng)恢復機制 系統(tǒng)具有很高的抗?jié)B透能力,125,標準介紹,信息技術安全評估準則發(fā)展過程 可信計算機系統(tǒng)評估準則（TCSEC） 可信網絡解釋 （TNI） 通用準則CC 計算機信息系統(tǒng)安全保護等級劃分

42、準則 信息系統(tǒng)安全評估方法探討,126,信息系統(tǒng)安全評估方法,信息系統(tǒng)安全評估面臨的問題： 信息系統(tǒng)本身的復雜性。 信息系統(tǒng)安全評估中構件與系統(tǒng)安全性的關系。 穿透測試（penetration testing）不能全面反映信息系統(tǒng)的安全保護能力。,127,信息系統(tǒng)安全評估方法,目標： 結合實際應用需求，從技術的角度提出一種信息系統(tǒng)安全評估方法，解決構件組裝安全性評估問題，建立一種具有適應性及可擴充性的信息系統(tǒng)安全要素評估模型，研制信息系統(tǒng)安全評估的輔助工具，為在實際工作中開展信息系統(tǒng)安全保護等級評估提供理論及技術的支持。,128,假 設,威脅可能來自系統(tǒng)外部，也可能來自系統(tǒng)內部。,系統(tǒng)的安全性

43、取決于系統(tǒng)中最薄弱的環(huán)節(jié)。,構件安全性評估數(shù)據已知。,129,訪問路徑,訪問路徑,130,訪問路徑,訪問路徑,131,評估結果的類型,,132,安全要素分類及構件間的關系,組裝互補性安全要素 組裝關聯(lián)性安全要素 組裝獨立性安全要素,構件間的依賴關系 構件間的關聯(lián)關系,133,構件間依賴關系的性質,構件間依賴關系的性質：,134,組裝互補性安全要素,自主訪問控制 數(shù)據完整性 身份鑒別 審計 強制訪問控制,135,構件間關聯(lián)關系要求,審計： 在一條訪問路徑所包含的構件中，如果所有與某個事件（如涉及多個構件的一次網絡訪問行為）相關的審計信息能夠通過某種標識關聯(lián)起來，且各構件對審計記錄的查閱、存儲、保

44、護等策略相一致，則稱這條訪問路徑中的構件就審計而言滿足關聯(lián)關系。,標記： 在一條訪問路徑中，若各構件對其主、客體的敏感標記定義之間無沖突存在，則稱這條訪問路徑中的構件就標記而言滿足關聯(lián)關系。,136,構件組裝安全性評估模型,規(guī)則1. 安全要素集E上訪問路徑安全保護等級評估規(guī)則 安全要素集E上信息系統(tǒng)安全保護等級評估規(guī)則,137,訪問路徑的標識,評估對象拓撲結構分析 標識用戶發(fā)起訪問的邏輯位置 根據系統(tǒng)提供的應用服務，確定系統(tǒng)中所包含的訪問路徑,138,依賴關系和關聯(lián)關系的分析與檢測,對任意組裝互補性安全要素，系統(tǒng)邊界、計算環(huán)境及網絡各自內部的構件之間可以（但不是一定）存在依賴關系。 對數(shù)據完整

45、性，系統(tǒng)邊界、計算環(huán)境及網絡三個部分中的構件不能相互依賴，因為數(shù)據完整性不僅僅是指所處理的信息的完整性，同時還包括構件本身的完整性。 對自主訪問控制、強制訪問控制和身份鑒別，系統(tǒng)邊界和網絡中的構件不能依賴于計算環(huán)境中的構件；但計算環(huán)境中的構件可以依賴于系統(tǒng)邊界和網絡中的構件。 對于審計，系統(tǒng)邊界、計算環(huán)境及網絡三個部分中的構件之間可能存在依賴關系。,139,安全要素評估,構件的評估數(shù)據未知,構件在集成到系統(tǒng)過程中發(fā)生安全功能變動，需要對調整后的安全性重新進行評估,安全要素評估將為構件組裝安全性評估提供以下信息：,140,每個要素可以分解為多個準則。準則是在更細的粒度上，對要素的不同實現(xiàn)環(huán)節(jié)作出

46、的規(guī)定。,證據是安全評估過程中所獲得的原始數(shù)據，是關于信息系統(tǒng)的狀態(tài)、響應及策略等的客觀信息，證據與信息系統(tǒng)的具體實現(xiàn)直接相關，是對度量作出判斷的依據。,對每一個準則，可以有一個或多個度量作為判斷標準。,要素層次代表了GB 17859定義的安全要素。,要素-準則-度量-證據模型(FCME),141,FCME模型內容設計,要素、準則及度量層次的內容設計參照相關標準。 證據層次定義系統(tǒng)邊界、計算環(huán)境、網絡及基礎設施等各個部分中常見構件類型應提供的證據。,142,FCME模型內容設計,本文針對各種應用環(huán)境建立相應的FCME模型，而非針對各類構件分別建立評估模型，目的是為了充分考慮在實際應用環(huán)境中各類

47、構件之間的交互作用。 關聯(lián)關系 要素、準則、度量及證據層次 依賴關系 證據層次,143,FCME模型的合成規(guī)則,證據的合成 通過問卷調查，導航測試及穿透測試獲取 “與”規(guī)則 “或”規(guī)則 度量、準則的合成 “與”規(guī)則,144,安全評估系統(tǒng)的實現(xiàn)與應用,實現(xiàn)環(huán)境 RedHat Linux7.0 MySQL+Apache+PHP C和perl 客戶端軟件為任意一款瀏覽器,適用范圍 Windows, FreeBSD, Linux以及Solaris等系列,145,安全評估系統(tǒng)的實現(xiàn)與應用,安全評估內容 主要功能：安全要素評估、構件組裝安全性評估及安全保證評估 覆蓋范圍：安全需求分析、威脅分析、安全策略及

48、組織管理評估等環(huán)節(jié),安全評估的方式 問卷調查 導航測試 穿透測試,146,安全評估系統(tǒng)的實現(xiàn)與應用,安全評估系統(tǒng)構成 評估知識庫 檢測工具箱 問卷調查表及處理工具 評估信息庫 漏洞信息庫 系統(tǒng)管理,147,安全評估過程,導航測試和穿透測試 安全要素評估 構件組裝安全性評估 安全保證評估 形成原始評估證據,安全策略是否能夠滿足其安全需求，是否適應評估對象的威脅環(huán)境 技術安全措施是否符合有關標準的要求 安全保證是否符合有關標準的要求 物理安全環(huán)境是否符合有關的物理安全標準 組織管理是否符合有關的安全管理要求 安全建議 確定評估對象能夠到達的安全保護等級,評估資料收集 通過問卷調查獲取評估所需的基本

49、信息 評估對象預分析 審查評估資料的有效性、完備性； 根據對評估對象安全環(huán)境、安全需求及安全策略的分析，確定評估環(huán)境與假設； 確定系統(tǒng)拓撲，標識系統(tǒng)中包含的構件，標識系統(tǒng)中存在的訪問路徑 區(qū)域劃分,,148,參考網址,moncriteria.org/ http://niap.nist.gov/tools/cctool.html http://csrc.nist.gov/publications/secpubs/rainbow/ http://www.radium.ncsc.mil/tpep/library/fers/tcsec_fers.html（library of TCSEC final evaluation report） http://niap.nist.gov/cc-scheme/iwg-cc-public/ob_by_number.html (public index to IWG queue) www.itsec.gov.uk http://oval.mitre.org (open vulnerability assessment language),