收藏
下载资源

网络与信息安全-计算机信息系统安全评估标准介绍(1)精编版

上传人:ahu****ng1 文档编号:145183028 上传时间:2020-09-17 格式:PPTX 页数:149 大小:1.06MB
返回 下载 相关 举报
网络与信息安全-计算机信息系统安全评估标准介绍(1)精编版_第1页
第1页 / 共149页
网络与信息安全-计算机信息系统安全评估标准介绍(1)精编版_第2页
第2页 / 共149页
网络与信息安全-计算机信息系统安全评估标准介绍(1)精编版_第3页
第3页 / 共149页
网络与信息安全-计算机信息系统安全评估标准介绍(1)精编版_第4页
第4页 / 共149页
网络与信息安全-计算机信息系统安全评估标准介绍(1)精编版_第5页
第5页 / 共149页
点击查看更多>>
资源描述

《网络与信息安全-计算机信息系统安全评估标准介绍(1)精编版》由会员分享,可在线阅读,更多相关《网络与信息安全-计算机信息系统安全评估标准介绍(1)精编版(149页珍藏版)》请在金锄头文库上搜索。

1、网络与信息安全 第十七讲 计算机信息系统 安全评估标准介绍 ,1,标准介绍,信息技术安全评估准则发展过程 可信计算机系统评估准则(TCSEC ) 可信网络解释(TNI) 通用准则CC 计算机信息系统安全保护等级划分准则 信息系统安全评估方法探讨,2,信息技术安全评估准则发展过程,信息技术安全评估是对一个构件、产品、子系统或系统的安全属性进行的技术评价,通过评估判断该构件、产品、子系统或系统是否满足一组特定的要求。信息技术安全评估的另一层含义是在一定的安全策略、安全功能需求及目标保证级别下获得相应保证的过程 。 产品安全评估 信息系统安全评估 信息系统安全评估,或简称为系统评估,是在具体的操作环

2、境与任务下对一个系统的安全保护能力进行的评估 。,3,信息技术安全评估准则发展过程,20世纪60年代后期,1967年美国国防部(DOD)成立了一个研究组,针对当时计算机使用环境中的安全策略进行研究,其研究结果是“Defense Science Board report” 70年代的后期DOD对当时流行的操作系统KSOS,PSOS,KVM进行了安全方面的研究,4,信息技术安全评估准则发展过程,80年代后,美国国防部发布的“可信计算机系统评估准则(TCSEC)”(即桔皮书) 后来DOD又发布了可信数据库解释(TDI)、可信网络解释(TNI)等一系列相关的说明和指南 90年代初,英、法、德、荷等四国

3、针对TCSEC准则的局限性,提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”(ITSEC),定义了从E0级到E6级的七个安全等级,5,信息技术安全评估准则发展过程,加拿大1988年开始制订The Canadian Trusted Computer Product Evaluation Criteria (CTCPEC) 1993年,美国对TCSEC作了补充和修改,制定了“组合的联邦标准”(简称FC) 国际标准化组织(ISO)从1990年开始开发通用的国际标准评估准则,6,信息技术安全评估准则发展过程,在1993年6月,CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合

4、起来,将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则 发起组织包括六国七方:加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA,他们的代表建立了CC编辑委员会(CCEB)来开发CC,7,信息技术安全评估准则发展过程,1996年1月完成CC1.0版 ,在1996年4月被ISO采纳 1997年10月完成CC2.0的测试版 1998年5月发布CC2.0版 1999年12月ISO采纳CC,并作为国际标准ISO 15408发布,8,安全评估标准的发展历程,9,标准介绍,信息技术安全评估准则发展过程 可信计算机系统评估准则(TCSEC) 可信网络解释 (TNI) 通用准则CC 计算机信

5、息系统安全保护等级划分准则 信息系统安全评估方法探讨,10,TCSEC,在TCSEC中,美国国防部按处理信息的等级和应采用的响应措施,将计算机安全从高到低分为:A、B、C、D四类八个级别,共27条评估准则 随着安全等级的提高,系统的可信度随之增加,风险逐渐减少。,11,TCSEC,四个安全等级: 无保护级 自主保护级 强制保护级 验证保护级,12,TCSEC,D类是最低保护等级,即无保护级 是为那些经过评估,但不满足较高评估等级要求的系统设计的,只具有一个级别 该类是指不符合要求的那些系统,因此,这种系统不能在多用户环境下处理敏感信息,13,TCSEC,四个安全等级: 无保护级 自主保护级 强

6、制保护级 验证保护级,14,TCSEC,C类为自主保护级 具有一定的保护能力,采用的措施是自主访问控制和审计跟踪 一般只适用于具有一定等级的多用户环境 具有对主体责任及其动作审计的能力,15,TCSEC,C类分为C1和C2两个级别: 自主安全保护级(C1级) 控制访问保护级(C2级),16,TCSEC,C1级TCB通过隔离用户与数据,使用户具备自主安全保护的能力 它具有多种形式的控制能力,对用户实施访问控制 为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏 C1级的系统适用于处理同一敏感级别数据的多用户环境,17,TCSEC,C2级计算机系统比C1级具有更细粒度的

7、自主访问控制 C2级通过注册过程控制、审计安全相关事件以及资源隔离,使单个用户为其行为负责,18,TCSEC,四个安全等级: 无保护级 自主保护级 强制保护级 验证保护级,19,TCSEC,B类为强制保护级 主要要求是TCB应维护完整的安全标记,并在此基础上执行一系列强制访问控制规则 B类系统中的主要数据结构必须携带敏感标记 系统的开发者还应为TCB提供安全策略模型以及TCB规约 应提供证据证明访问监控器得到了正确的实施,20,TCSEC,B类分为三个类别: 标记安全保护级(B1级) 结构化保护级(B2级) 安全区域保护级(B3级),21,TCSEC,B1级系统要求具有C2级系统的所有特性 在

8、此基础上,还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制 并消除测试中发现的所有缺陷,22,TCSEC,B类分为三个类别: 标记安全保护级(B1级) 结构化保护级(B2级) 安全区域保护级(B3级),23,TCSEC,在B2级系统中,TCB建立于一个明确定义并文档化形式化安全策略模型之上 要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体 在此基础上,应对隐蔽信道进行分析 TCB应结构化为关键保护元素和非关键保护元素,24,TCSEC,TCB接口必须明确定义 其设计与实现应能够经受更充分的测试和更完善的审查 鉴别机制应得到加强,提供可信设施管理以支持

9、系统管理员和操作员的职能 提供严格的配置管理控制 B2级系统应具备相当的抗渗透能力,25,TCSEC,B类分为三个类别: 标记安全保护级(B1级) 结构化保护级(B2级) 安全区域保护级(B3级),26,TCSEC,在B3级系统中,TCB必须满足访问监控器需求 访问监控器对所有主体对客体的访问进行仲裁 访问监控器本身是抗篡改的 访问监控器足够小 访问监控器能够分析和测试,27,TCSEC,为了满足访问控制器需求: 计算机信息系统可信计算基在构造时,排除那些对实施安全策略来说并非必要的代码 计算机信息系统可信计算基在设计和实现时,从系统工程角度将其复杂性降低到最小程度,28,TCSEC,B3级系

10、统支持: 安全管理员职能 扩充审计机制 当发生与安全相关的事件时,发出信号 提供系统恢复机制 系统具有很高的抗渗透能力,29,TCSEC,四个安全等级: 无保护级 自主保护级 强制保护级 验证保护级,30,TCSEC,A类为验证保护级 A类的特点是使用形式化的安全验证方法,保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息 为证明TCB满足设计、开发及实现等各个方面的安全要求,系统应提供丰富的文档信息,31,TCSEC,A类分为两个类别: 验证设计级(A1级) 超A1级,32,TCSEC,A1级系统在功能上和B3级系统是相同的,没有增加体系结构特性和策略要求

11、 最显著的特点是,要求用形式化设计规范和验证方法来对系统进行分析,确保TCB按设计要求实现 从本质上说,这种保证是发展的,它从一个安全策略的形式化模型和设计的形式化高层规约(FTLS)开始,33,TCSEC,针对A1级系统设计验证,有5种独立于特定规约语言或验证方法的重要准则: 安全策略的形式化模型必须得到明确标识并文档化,提供该模型与其公理一致以及能够对安全策略提供足够支持的数学证明 应提供形式化的高层规约,包括TCB功能的抽象定义、用于隔离执行域的硬件/固件机制的抽象定义,34,TCSEC,应通过形式化的技术(如果可能的化)和非形式化的技术证明TCB的形式化高层规约(FTLS)与模型是一致

12、的 通过非形式化的方法证明TCB的实现(硬件、固件、软件)与形式化的高层规约(FTLS)是一致的。应证明FTLS的元素与TCB的元素是一致的,FTLS应表达用于满足安全策略的一致的保护机制,这些保护机制的元素应映射到TCB的要素,35,TCSEC,应使用形式化的方法标识并分析隐蔽信道,非形式化的方法可以用来标识时间隐蔽信道,必须对系统中存在的隐蔽信道进行解释,36,TCSEC,A1级系统: 要求更严格的配置管理 要求建立系统安全分发的程序 支持系统安全管理员的职能,37,TCSEC,A类分为两个类别: 验证设计级(A1级) 超A1级,38,TCSEC,超A1级在A1级基础上增加的许多安全措施超

13、出了目前的技术发展 随着更多、更好的分析技术的出现,本级系统的要求才会变的更加明确 今后,形式化的验证方法将应用到源码一级,并且时间隐蔽信道将得到全面的分析,39,TCSEC,在这一级,设计环境将变的更重要 形式化高层规约的分析将对测试提供帮助 TCB开发中使用的工具的正确性及TCB运行的软硬件功能的正确性将得到更多的关注,40,TCSEC,超A1级系统涉及的范围包括: 系统体系结构 安全测试 形式化规约与验证 可信设计环境等,41,标准介绍,信息技术安全评估准则发展过程 可信计算机系统评估准则(TCSEC) 可信网络解释 (TNI) 通用准则CC 计算机信息系统安全保护等级划分准则 信息系统

14、安全评估方法探讨,42,可信网络解释(TNI),美国国防部计算机安全评估中心在完成TCSEC的基础上,又组织了专门的研究镞对可信网络安全评估进行研究,并于1987年发布了以TCSEC为基础的可信网络解释,即TNI。 TNI包括两个部分(Part I和Part II)及三个附录(APPENDIX A、B、C),43,可信网络解释(TNI),TNI第一部分提供了在网络系统作为一个单一系统进行评估时TCSEC中各个等级(从D到A类)的解释 与单机系统不同的是,网络系统的可信计算基称为网络可信计算基(NTCB),44,可信网络解释(TNI),第二部分以附加安全服务的形式提出了在网络互联时出现的一些附加

15、要求 这些要求主要是针对完整性、可用性和保密性的,45,可信网络解释(TNI),第二部分的评估是定性的,针对一个服务进行评估的结果一般分为为: none minimum fair good,46,可信网络解释(TNI),第二部分中关于每个服务的说明一般包括: 一种相对简短的陈述 相关的功能性的讨论 相关机制强度的讨论 相关保证的讨论,47,可信网络解释(TNI),功能性是指一个安全服务的目标和实现方法,它包括特性、机制及实现 机制的强度是指一种方法实现其目标的程度 有些情况下,参数的选择会对机制的强度带来很大的影响,48,可信网络解释(TNI),保证是指相信一个功能会实现的基础 保证一般依靠对

16、理论、测试、软件工程等相关内容的分析 分析可以是形式化或非形式化的,也可以是理论的或应用的,49,可信网络解释(TNI),第二部分中列出的安全服务有: 通信完整性 拒绝服务 机密性,50,可信网络解释(TNI),通信完整性主要涉及以下3方面: 鉴别:网络中应能够抵抗欺骗和重放攻击 通信字段完整性:保护通信中的字段免受非授权的修改 抗抵赖:提供数据发送、接受的证据,51,可信网络解释(TNI),当网络处理能力下降到一个规定的界限以下或远程实体无法访问时,即发生了拒绝服务 所有由网络提供的服务都应考虑拒绝服务的情况 网络管理者应决定网络拒绝服务需求,52,可信网络解释(TNI),解决拒绝服务的方法有: 操作连续性 基于协议的拒绝服务保护 网络管理,53,可信网络解释(TNI),机密性是一系列安全服务的总称 这些服务都是关于通过计算机通信网络在实体间传输信息的安全和保密的 具体又分3种情况: 数据保密 通信流保密 选择路由,54,可信网络解释(TNI),数据保密: 数据保密服务保护数据不被未授权地泄露 数据保密性主要受搭线窃听的威胁 被动的攻击包括对线路上传输的信息的观测,55,可信网络

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 管理学资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号