《《精编》计算机网络安全标准介绍》由会员分享,可在线阅读,更多相关《《精编》计算机网络安全标准介绍(42页珍藏版)》请在金锄头文库上搜索。
1、计算机网络安全标准介绍 重点和难点美国的 可信任的计算机系统评估准则 国际的 通用准则 中国的 计算机信息系统安全保护等级划分准则 掌握国际 通用准则 和我国 计算机信息系统安全保护等级划分准则 的基本内涵了解计算机网络安全标准的形成过程美国的 可信任的计算机系统评估准则 信息安全保证技术框架所涉及的基本内容 11 1计算机网络安全标准的形成 在20世纪60年代 美国国防部成立了专门机构 开始研究计算机使用环境中的安全策略问题 70年代又在KSOS PSOS和KVM操作系统上展开了进一步的研究工作 80年代 美国国防部发布了 可信计算机系统评估准则 TCSEC TrustedComputerS
2、ystemEvaluationCriteria 简称桔皮书 后经修改用作了美国国防部的标准 并相继发布了可信数据库解释 TDI 可信网络解释 TNI 等一系列相关的说明和指南 1991年 英 法 德 荷四国针对TCSEC准则的局限性 提出了包含保密性 完整性 可用性等概念的欧洲 信息技术安全评估准则 ITSEC InformationTechnologySecurityEvaluationCriteria 1988年 加拿大开始制订 加拿大可信计算机产品评估准则 CTCPEC TheCanadianTrustedComputerProductEvaluationCriteria 该标准将安全需
3、求分为机密性 完整性 可靠性和可说明性四个层次 1993年 美国对TCSEC作了补充和修改 制定了 组合的联邦标准 简称FC 1990年 国际标准化组织 ISO 开始开发通用的国际标准评估准则 1993年 由加拿大 法国 德国 荷兰 英国 美国NIST和美国NSA六国七方联合开始开发通用准则CC InformationTechnologySecurityCommonCriteria 1996年1月发布CC1 0版 1996年4月被ISO采纳 1997年10月完成CC2 0的测试版 1998年5月发布CC2 0版 1999年12月ISO采纳CC通用标准 并正式发布国际标准ISO15408 11
4、2国外计算机网络安全标准 TCSEC按处理信息的等级和所采用的响应措施 将计算机系统安全等级从低到高分成D C B A四大类八个级别 共27条评估准则 参见表11 1 1 D类 无保护级这是最低保护等级 该类是为那些经过评估 但不满足较高评估等级要求的系统设计的 11 2 1 可信任的计算机系统评估准则 TCSEC 简介 表11 1可信任的计算机系统评估准则 TCSEC 2 C类 自主保护等级该类采用自主访问控制和审计跟踪等措施实现一定的自主保护功能 具有对主体责任及其动作审计的能力 C类系统一般只适用于具有一定等级的多用户环境 该类从低到高又分为C1级和C2级 1 C1级 自主安全保护级C1
5、级TCB通过隔离用户与数据 使用户具备自主安全保护的能力 它具有多种形式的控制能力 对用户实施访问控制 为用户提供可行的手段 保护用户和用户组信息 避免其他用户对数据的非法读写与破坏 C1级的系统适用于处理同一敏感级别数据的多用户环境 2 C2级 控制访问保护级C2级计算机系统比C1级具有更细粒度的自主访问控制 C2级通过注册过程控制 审计安全相关事件以及资源隔离 使单个用户为其行为负责 3 B类 强制保护等级该类采用安全标记和强制访问控制等措施实现强制保护功能 主要要求TCB能维护完整的安全标记 并在此基础上执行一系列强制访问控制规则 B类系统中的主要数据结构必须携带敏感标记 系统的开发者还
6、应为TCB提供安全策略模型以及TCB规约 应提供证据证明访问监控器得到了正确的实施 该类从低到高又分为B1级 B2级和B3级 1 B1级 标记安全保护级B1级要求具有C2级系统的所有特性 在此基础上 还应提供安全策略模型的非形式化描述 数据标记以及命名主体和客体的强制访问控制 并消除测试中发现的所有缺陷 2 B2级 结构化保护级B2级中的TCB建立于一个明确定义并文档化和形式化安全策略模型之上 要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体 并对隐蔽信道进行分析 TCB应结构化为关键保护元素和非关键保护元素 明确定义TCB接口 TCB的设计与实现应能够经受更充分的测试和更完善
7、的审查 增强鉴别机制功能 提供可信设施管理以支持系统管理员和操作员的职能 提供严格的配置管理控制 3 B3级 安全区域保护级B3级中的TCB必须满足访问监控器的需求 在构造TCB时 排除那些对实施安全策略来说并非必要的代码 在设计和实现TCB时 从系统工程角度将其复杂性降低到最小程度 访问监控器本身是抗篡改的 足够小 可分析和测试 应用它对所有主体对客体的访问进行仲裁 B3级系统支持安全管理员职能 扩充审计机制和系统恢复机制 当发生与安全相关的事件时 系统能发出信号 B3级系统具有很高的抗渗透能力 4 A类 验证保护等级这是最高保护等级 A类系统的特点是使用形式化的安全验证方法 保证系统的自主
8、和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息 系统提供丰富的文档信息用以证明TCB满足设计 开发及实现等各个方面的安全要求 该类从低到高细分为A1级和超A1级 1 A1级 验证设计级A1级系统在功能上和B3级系统是相同的 没有增加体系结构特性和策略要求 其突出特点是 要求用形式化设计规范和验证方法来对系统进行分析 确保TCB按设计要求实现 A1级系统要求更严格的配置管理 要求建立系统安全分发的程序 支持系统安全管理员的职能 2 超A1级超A1级是在A1级基础上增加了许多超出目前技术发展的安全措施 超A1级系统涉及的主要范围包括 系统体系结构 安全测试 形式化规约与验
9、证和可信设计环境等 11 2 2 通用准则CC 简介 CC主要包括简介和一般模型 安全功能要求以及安全保证要求三个部分 在安全保证要求部分提出了七个评估保证级别 EvaluationAssuranceLevels EALs 从低到高依次为EAL1 EAL2 EAL3 EAL4 EAL5 EAL6和EAL7 通用准则CC仅适用于硬件 固件和软件实现的信息技术安全措施 1 CC中的基本概念和评估方法 1 评估过程CC的评估依据是通用评估方法学 评估方案和CC评估准则 使用通用评估方法学可以提供结果的可重复性和客观性 使用评估方案和评估准则可以提供结果的准确性和一致性 2 安全概念所谓安全就是保护资
10、产不受威胁 威胁可依据滥用被保护资产的可能性进行分类 所有的威胁类型都应该被考虑到 在安全领域内 被高度重视的威胁是和人们的恶意攻击及其它与人类活动相联系的行为 安全性损坏是指失去保密性 失去完整性和失去可用性 失去保密性是指资产破坏性地暴露于未授权的接收者 失去完整性是指资产由于未授权的更改而损坏 失去可用性是指资产访问权被未授权的获得等 3 安全环境安全环境包括所有相关的法规 组织性安全策略 习惯 专门技术和知识 它定义了TOE使用的上下文 安全环境也包括环境里出现的安全威胁 为建立安全环境 必须考虑以下几点 1 TOE物理环境 指所有的与TOE安全相关的TOE运行环境 包括已知的物理和人
11、事的安全安排 2 安全目的 安全环境的分析结果被用来阐明对抗已标识的威胁 说明组织性安全策略和假设的安全目的 安全目的和已说明的TOE运行目标或产品目标以及有关的物理环境知识一致 3 IT安全要求 IT安全要求是将安全目的细化为一系列TOE及其环境的安全要求 4 TOE概要规范 ST中提供的TOE概要规范定义TOE安全要求的实现方法 4 安全要求的描述方法安全要求是按 类 族 组件 元素 的描述结构表达的 并附加在其ST中 1 类 类被用作最通用安全要求的组合 类的所有的成员关注共同的安全焦点 但所覆盖安全目的是不同的 2 族 类的成员被称为族 3 组件 族的成员被称为组件 组件描述一组特定的
12、安全要求集 4 元素 组件由单个元素组成 元素是安全需求最低层次的表达 并且是能被评估验证的不可分割的安全要求 5 安全需求的描述方法1 包 组件的中间组合被称为包 包允许对功能或保证需求集合的描述 这个集合能够满足一个安全目标的可标识子集 包可重复使用 可用来定义那些公认有用的 能够有效满足特定安全目标的要求 2 保护轮廓 PP PP是关于一系列满足一个安全目标集的TOE的 与实现无关的描述 PP包含一套来自CC 或明确阐述 的安全要求 它应包括一个评估保证级别 EAL PP包括安全目的和安全要求的基本原理 PP的开发者可以是用户团体 IT产品开发者或其它对定义这样一系列通用要求有兴趣的团体
13、 IT环境安全要求 PP应用注解 PP标识 PP概述 假设 威胁 组织性安全策略 TOE安全目的 环境安全目的 安全目的基本原理 安全要求基本原理 TOE安全功能要求 TOE安全保证要求 保护轮廓 PP引言 TOE描述 TOE安全环境 安全目的 IT安全要求 基本原理 TOE安全要求 图11 2保护轮廓PP的描述结构 3 安全目标 ST ST是针对特定TOE安全要求的描述 通过评估可以证明这些安全要求对满足指定目的是有用和有效的 图11 4PP ST和TOE三种评估的关系 评估PP 评估TOE PP分类 评估ST 证书分类 PP评估结果 TOE评估结果 ST评估结果 已评估过的TOE 6 评估
14、类型CC框架下的评估类型有PP评估 ST评估和TOE评估三种 其关系如图11 4所示 1 PP评估 PP评估是依照CC第3部分的PP评估准则进行的 其目标是为了证明PP是完备的 一致的 技术合理的 而且适合于作为一个可评估TOE的安全要求的声明 2 ST评估 针对TOE的ST评估是依照CC第3部分的ST评估准则进行的 3 TOE评估 TOE评估是使用一个已经评估过的ST作为基础 依照CC第3部分的评估准则进行的 其目标是为了证明TOE满足ST中的安全要求 2 TOE的评估过程 如图11 5所示 PP与ST 安全需求 开发TOE TOE和评估 评估TOE 评估结果 操作TOE 评估方案 评估方法
15、 评估准则 反馈 图11 5TOE的评估过程示意图 3 CC的安全功能要求CC中提出了11类安全功能 并给出了详细说明和具体要求 对于超出CC定义范围的安全功能 提出了描述规范 开发者可以根据 类 族 组件 元素 的描述结构表达其安全要求 并附加在其ST中 CC给出的11类安全功能如下 1 FAU类 安全审计 2 FCO类 通信 3 FCS类 密码支持 4 FDP类 用户数据保护 5 FIA类 标识与鉴别 6 FMT类 安全管理 7 FPR类 隐秘 8 FPT类 TFS保护 9 FAU类 资源利用 10 FTA类 TOE访问 11 FTP类 可信信道 路径 4 CC的安全保证要求CC中提出了P
16、P ST TOE三种评估方法 七个评估保证级别和10个安全保证类 其中 APE类与ASE类分别介绍了PP与ST的描述结构及评估准则 维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求 只有七个安全保证类是TOE的评估类别 这七个安全保证类分别是 1 ACM类 配置管理 2 ADO类 分发与操作 3 ADV类 开发 4 AGD类 指导性文档 5 ALC类 生命周期支持 6 ATE类 测试 7 AVA类 脆弱性评定 11 3国内计算机网络安全标准 我国政府提出计算机信息系统实行安全等级保护 并于1999年颁布了国家标准GB17859 1999 即 计算机信息系统安全保护等级划分准则 以下简称准则 它是我国计算机信息系统安全保护等级工作的基础 其相关技术标准还包括 计算机信息系统安全等级保护操作系统技术要求 GA388 2002 计算机信息系统安全等级保护管理要求 GA391 2002 计算机信息系统安全等级保护网络技术要求 GA T387 2002 计算机信息系统安全等级保护数据库管理系统技术要求 GA T389 2002 计算机信息系统安全等级保护通用技术要求 GA T
