《{安全生产管理}保密安全与密码技术10评估管理》由会员分享,可在线阅读,更多相关《{安全生产管理}保密安全与密码技术10评估管理(115页珍藏版)》请在金锄头文库上搜索。
1、保密安全与密码技术,第十讲 安全评估与安全管理,安全评估,安全评估发展过程 安全评估标准介绍 可信计算机系统评估准则(TCSEC ) 通用准则CC 信息安全保证技术框架IATF BS7799、ISO17799 我国信息安全保护准则 计算机信息系统安全保护等级划分准则 信息系统安全保护等级应用指南,信息技术安全评估准则发展过程,20世纪60年代后期,1967年美国国防部成立了一个研究组,针对当时计算机使用环境中的安全策略进行研究,其研究结果是“Defense Science Board report” 70年代的后期DOD对当时流行的操作系统KSOS,PSOS,KVM进行了安全方面的研究 80年
2、代后,美国国防部发布的“可信计算机系统评估准则(TCSEC)”(即桔皮书) 后来DOD又发布了可信数据库解释(TDI)、可信网络解释(TNI)等一系列相关的说明和指南,信息技术安全评估准则发展过程,90年代初,英、法、德、荷等四国针对TCSEC准则的局限性,提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”(ITSEC),定义了从E0级到E6级的七个安全等级 加拿大1988年开始制订The Canadian Trusted Computer Product Evaluation Criteria (CTCPEC) 1993年,美国对TCSEC作了补充和修改,制定了“组合的联邦标准
3、”(简称FC) 国际标准化组织(ISO)从1990年开始开发通用的国际标准评估准则,信息技术安全评估准则发展过程,在1993年6月,CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来,将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则 发起组织包括六国七方:加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA,他们的代表建立了CC编辑委员会(CCEB)来开发CC 1996年1月完成CC1.0版 ,在1996年4月被ISO采纳 1997年10月完成CC2.0的测试版 1998年5月发布CC2.0版 1999年12月ISO采纳CC,并作为国际标准ISO 15408发布,
4、信息技术安全评估准则发展过程,1999年 GB 17859 计算机信息系统安全保护等级划分准则,1991年欧洲信息技术安全性评估准则(ITSEC),国际通用准则 1996年(CC1.0) 1998年(CC2.0),1985年美国可信计算机系统评估准则(TCSEC),1993年 加拿大可信计算机产品评估准则(CTCPEC),1993年美国联邦准则(FC 1.0),1999年 国际标准 ISO/IEC 15408,1989年 英国 可信级别标准 (MEMO 3 DTI),德国评估标准(ZSEIC),法国评估标准 (B-W-R BOOK),2001年 国家标准 GB/T 18336 信息技术安全性评
5、估准则 idt iso/iec15408,1993年美国NIST的MSFR,GB 18336 idt ISO/IEC 15408 信息技术安全性评估准则,IATF 信息保障技术框架,ISSE 信息系统安全工程,SSE-CMM 系统安全工程能力成熟度模型,BS 7799, ISO/IEC 17799 信息安全管理实践准则,其他相关标准、准则 例如:ISO/IEC 15443, COBIT。,系统认证和认可标准和实践 例如:美国DITSCAP, ,中国信息安全产品测评认证中心 相关文档和系统测评认证实践,技术准则 (信息技术系统评估准则),管理准则 (信息系统管理评估准则),过程准则 (信息系统安
6、全工程评估准则),信息系统安全保障评估准则,现有标准关系,安全评估,安全评估发展过程 安全评估标准介绍 可信计算机系统评估准则(TCSEC ) 通用准则CC 信息安全保证技术框架IATF BS7799、ISO17799 我国信息安全保护准则 计算机信息系统安全保护等级划分准则 信息系统安全保护等级应用指南,TCSEC可信计算机系统评估准则,在TCSEC中,美国国防部按处理信息的等级和应采用的响应措施,将计算机安全从高到低分为:A、B、C、D四类八个级别,共27条评估准则 随着安全等级的提高,系统的可信度随之增加,风险逐渐减少。 四个安全等级: D无保护级 C自主保护级 B强制保护级 A验证保护
7、级,TCSEC,D类是最低保护等级,即无保护级 是为那些经过评估,但不满足较高评估等级要求的系统设计的,只具有一个级别。该类是指不符合要求的那些系统,因此,这种系统不能在多用户环境下处理敏感信息 C类为自主保护级 具有一定的保护能力,采用的措施是自主访问控制和审计跟踪 。一般只适用于具有一定等级的多用户环境。具有对主体责任及其动作审计的能力 C类分为C1和C2两个级别: 自主安全保护级(C1级) 控制访问保护级(C2级),TCSEC,C1级TCB通过隔离用户与数据,使用户具备自主安全保护的能力 它具有多种形式的控制能力,对用户实施访问控制 为用户提供可行的手段,保护用户和用户组信息,避免其他用
8、户对数据的非法读写与破坏 C1级的系统适用于处理同一敏感级别数据的多用户环境 C2级计算机系统比C1级具有更细粒度的自主访问控制 C2级通过注册过程控制、审计安全相关事件以及资源隔离,使单个用户为其行为负责,TCSEC,B类为强制保护级 主要要求是TCB应维护完整的安全标记,并在此基础上执行一系列强制访问控制规则 B类系统中的主要数据结构必须携带敏感标记 系统的开发者还应为TCB提供安全策略模型以及TCB规约 应提供证据证明访问监控器得到了正确的实施 B类分为三个类别: 标记安全保护级(B1级) 结构化保护级(B2级) 安全区域保护级(B3级),TCSEC,B1级系统要求具有C2级系统的所有特
9、性 在此基础上,还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制 并消除测试中发现的所有缺陷 在B2级系统中,TCB建立于一个明确定义并文档化形式化安全策略模型之上 要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体 在此基础上,应对隐蔽信道进行分析 TCB应结构化为关键保护元素和非关键保护元素,TCSEC,TCB接口必须明确定义 其设计与实现应能够经受更充分的测试和更完善的审查 鉴别机制应得到加强,提供可信设施管理以支持系统管理员和操作员的职能 提供严格的配置管理控制 B2级系统应具备相当的抗渗透能力,TCSEC,在B3级系统中,TCB必须满足访问监
10、控器需求 访问监控器对所有主体对客体的访问进行仲裁 访问监控器本身是抗篡改的 访问监控器足够小 访问监控器能够分析和测试 为了满足访问控制器需求: 计算机信息系统可信计算基在构造时,排除那些对实施安全策略来说并非必要的代码 计算机信息系统可信计算基在设计和实现时,从系统工程角度将其复杂性降低到最小程度,TCSEC,B3级系统支持: 安全管理员职能 扩充审计机制 当发生与安全相关的事件时,发出信号 提供系统恢复机制 系统具有很高的抗渗透能力,TCSEC,A类为验证保护级 A类的特点是使用形式化的安全验证方法,保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息
11、为证明TCB满足设计、开发及实现等各个方面的安全要求,系统应提供丰富的文档信息 A类分为两个类别: 验证设计级(A1级) 超A1级,TCSEC,A1级系统在功能上和B3级系统是相同的,没有增加体系结构特性和策略要求 最显著的特点是,要求用形式化设计规范和验证方法来对系统进行分析,确保TCB按设计要求实现 从本质上说,这种保证是发展的,它从一个安全策略的形式化模型和设计的形式化高层规约(FTLS)开始 针对A1级系统设计验证,有5种独立于特定规约语言或验证方法的重要准则: 安全策略的形式化模型必须得到明确标识并文档化,提供该模型与其公理一致以及能够对安全策略提供足够支持的数学证明 应提供形式化的
12、高层规约,包括TCB功能的抽象定义、用于隔离执行域的硬件/固件机制的抽象定义,TCSEC,应通过形式化的技术(如果可能的化)和非形式化的技术证明TCB的形式化高层规约(FTLS)与模型是一致的 通过非形式化的方法证明TCB的实现(硬件、固件、软件)与形式化的高层规约(FTLS)是一致的。应证明FTLS的元素与TCB的元素是一致的,FTLS应表达用于满足安全策略的一致的保护机制,这些保护机制的元素应映射到TCB的要素 应使用形式化的方法标识并分析隐蔽信道,非形式化的方法可以用来标识时间隐蔽信道,必须对系统中存在的隐蔽信道进行解释,TCSEC,A1级系统: 要求更严格的配置管理 要求建立系统安全分
13、发的程序 支持系统安全管理员的职能 超A1级系统: 超A1级在A1级基础上增加的许多安全措施超出了目前的技术发展 随着更多、更好的分析技术的出现,本级系统的要求才会变的更加明确 今后,形式化的验证方法将应用到源码一级,并且时间隐蔽信道将得到全面的分析,TCSEC,在这一级,设计环境将变的更重要 形式化高层规约的分析将对测试提供帮助 TCB开发中使用的工具的正确性及TCB运行的软硬件功能的正确性将得到更多的关注 超A1级系统涉及的范围包括: 系统体系结构 安全测试 形式化规约与验证 可信设计环境等,安全评估,安全评估发展过程 安全评估标准介绍 可信计算机系统评估准则(TCSEC ) 通用准则CC
14、 信息安全保证技术框架IATF BS7799、ISO17799 我国信息安全保护准则 计算机信息系统安全保护等级划分准则 信息系统安全保护等级应用指南,CC的适用范围,CC定义了评估信息技术产品和系统安全型所需的基础准则,是度量信息技术安全性的基准 针对在安全评估过程中信息技术产品和系统的安全功能及相应的保证措施提出的一组通用要求,使各种相对独立的安全评估结果具有可比性。 该标准适用于对信息技术产品或系统的安全性进行评估,不论其实现方式是硬件、固件还是软件,还可用于指导产品和系统开发。 该标准的主要目标读者是用户、开发者、评估者。,CC的关键概念,评估对象(Target of Evaluati
15、on,TOE) 用于安全评估的信息技术产品、系统或子系统(如防火墙、计算机网络、密码模块等),包括相关的管理员指南、用户指南、设计方案等文档。 TOE Security Policy (TSP) 控制TOE中资产如何管理、保护和分发的规则。 TOE Security Functions(TSF) 必须依赖于TSP正确执行的TOE的所有部件。,CC的关键概念,保护轮廓(Protection Profile,PP) 为既定的一系列安全对象提出功能和保证要求的完备集合,表达了一类产品或系统的用户需求。 PP与某个具体的TOE无关,它定义的是用户对这类TOE的安全需求。 主要内容:需保护的对象;确定安
16、全环境;TOE的安全目的;IT安全要求;基本原理 在标准体系中PP相当于产品标准,也有助于过程规范性标准的开发。 国内外已对应用级防火墙、包过滤防火墙、智能卡等开发了相应的PP。,CC的关键概念,安全目标(Security Target) ST针对具体TOE而言,它包括该TOE的安全要求和用于满足安全要求的特定安全功能和保证措施。 ST包括的技术要求和保证措施可以直接引用该TOE所属产品或系统类的PP。 ST是开发者、评估者、用户在TOE安全性和评估范围之间达成一致的基础。 ST相当于产品和系统的实现方案,与ITSEC的安全目标类似。,CC的关键概念,组件(Component) 组件描述了一组特定的安全要求,使可供PP、ST或包选取的最小的安全要求集合。 在CC中,以“类_族.组件号”的方式来标识组件。 包(Package) 组件依据某个特定关系的组合,就构成了包。 构建包的目的是定义那些公认有用的、对满足某个特定安全目的有效的安全要求。 包可以用来构造
