收藏
下载资源

信息与网络安全概论(第三版)CHD16 可信赖的系统课件

上传人:我*** 文档编号:145300954 上传时间:2020-09-18 格式:PPT 页数:36 大小:489KB
返回 下载 相关 举报
信息与网络安全概论(第三版)CHD16 可信赖的系统课件_第1页
第1页 / 共36页
信息与网络安全概论(第三版)CHD16 可信赖的系统课件_第2页
第2页 / 共36页
信息与网络安全概论(第三版)CHD16 可信赖的系统课件_第3页
第3页 / 共36页
信息与网络安全概论(第三版)CHD16 可信赖的系统课件_第4页
第4页 / 共36页
信息与网络安全概论(第三版)CHD16 可信赖的系统课件_第5页
第5页 / 共36页
点击查看更多>>
资源描述

《信息与网络安全概论(第三版)CHD16 可信赖的系统课件》由会员分享,可在线阅读,更多相关《信息与网络安全概论(第三版)CHD16 可信赖的系统课件(36页珍藏版)》请在金锄头文库上搜索。

1、1,本章內容,16.1 可信赖的系统 16.2 可信赖计算机系统的评估准则 16.3 密码模块的安全规范FIPS140 16.4 信息技术安全评估共同准则 16.5 信息安全管理作业要点BS7799 16.6 审 核 控 制,2,所谓可信赖是指在现有及未来可预见的技术下,可以有效地管理系统及信息,以防止非法用户破坏或窃取。,16.1 可信赖的系统,3,可信赖核心处理器(Trusted Computing Base,TCB) 任意性访问控制(Discretionary Access Control,DAC) 账户(Accountability) 审核(Auditing) 识别与验证(Identi

2、fication and Authentication) 授权(Authorizations),可信赖的系统具有以下特征:,16.1 可信赖的系统(续),4,1985年,美国计算机安全委员会(NCSC)提出可信赖系统评估准则(TCSEC),作为评估可信赖计算机系统的准则,此准则在当时成为各厂商研发计算机系统安全的方针,也是美国政府采购与规划计算机系统安全的依据 。,16.2 可信赖计算机系统的评估准则,5,可信赖系统评估准则的安全等级,6,安全等級D 这个等级的计算机系统无任何防护或只有最低等级的安全防护,常见的如一般的家用计算机 。,可信赖系统评估准则的安全等级(续),7,安全等級C 这个等

3、级必须具有任意性安全防护机制(Discretionary Protection),由低到高还可细分为C1及C2 两个安全等级。 C1安全等级:这个等级主要的评估准则为是否具有任意性的安全保护机制(Discretionary Security Protection),这个等级允许用户可自行决定所需要的安全防护措施。 C2安全等级:这个等级主要的评估准则为是否具有受控制的访问保护机制(Controlled Access Protection),也就是允许系统管理者可以依照需求对系统的资源、文件及处理等进行保护,并可建立审核文件,对用户进行追踪。 任意式访问控制(Discretionary Acce

4、ss Control) 物件再利用(Object Reuse) 识别与验证(Identification and Authentication) 审核(Audit),可信赖系统评估准则的安全等级(续),8,安全等級B 这个等级必须具有强制性的安全防护机制(Mandatory Protection),由低到高还可再细分为B1、B2及B3这3个安全等级。 B1安全等级:这个等级主要的评估准则是要提供安全防护标示(Labelled Security Protection)。例如,依照用户或数据的安全等级来实施强制性的访问控制或将数据分开存放,一般政府单位的电子公文系统必须要达到这个等级。 B2安全等

5、级:这个等级主要的评估准则是要提供结构化的防护机制(Structured Protection),这个等级支持硬件、内存的保护,常见的例子如银行的计算机系统。 B3安全等级:这个等级主要的评估准则是划分安全范围(Security Domains),并建立独立的系统安全模块,目的在于保护不同层之间的信息安全。,可信赖系统评估准则的安全等级(续),9,安全等級A 这个等级只有A1这一个安全等级。此等级的计算机系统拥有最高的防护等级,有关国防或与国家安全相关的计算机系统大多都需要达到这个等级。这个等级的计算机系统必须具有经过验证的保护措施(Verified Protection),所有的安全设计也都

6、需经过验证,其安全保护措施及系统安全设计都必须经过认可或严谨的数学证明,来确保这些机制是安全的。换句话说,若能以严谨的数学来证明B3等级的安全性,就可以提升B3到A1安全等级,可信赖系统评估准则的安全等级(续),10,16.3 密码模块的安全规范FIPS140,密码模块包含一个由硬件、软件或其他元件所形成的集合,并使其能在密码所定义的边界内使用密码逻辑或密码算法,来完成重要或敏感信息的保密工作。 目前的最新版本为于2001年所公布的FIPS 140-2,作为从业人员在开发一个民用的密码模块时的准则。,11,FIPS140-2的安全等級,安全等級一 (Security Level 1) 提供基本

7、的安全需求,它是4个安全等级中安全需求最低的 。 它不需要检测实体安全机制,仅规定此密码模块中至少需使用一个通过FIPS验证的算法或安全功能,例如个人计算机的加密接口版 。 这个等级也允许密码模块的软件可以在一般用途的个人计算机上执行 。 这个等级的规范可避免因硬件设备昂贵而不通过密码系统保护数据的情况发生 。,12,安全等級二 (Security Level 2) 提供了一般的防护措施,它加强了安全等级一有关实体安全机制的部分,但却不要花费较高防护等级所需的成本。 常见的防护机制有加入破坏存迹涂层(Tamper-evident coating)、密封(Seals)或抗拆锁(Pick-resi

8、stant Lock)等。 破坏存迹涂层及密封可以安置在密码模块上,若要通过实体去访问加密密钥或其他重要的安全参数,则涂层及密封就会被破坏掉,密码模块内的参数已不再安全 。 抗拆锁则是安置在实体的盖子或活门上,用于防止未经授权的实体访问 。 提供角色验证(Role-based Authentication)功能,密码模块至少要验证一个用户的特定角色及此角色所执行的相关服务 。,FIPS140-2的安全等級(续),13,安全等級三 (Security Level 3) 提供了严谨的防护措施,除了具有安全等级二所要达到的破坏存迹实体安全机制外,它还尝试去防止入侵者(Intruder)取得密码模块内

9、的重要参数。 安全等级三预期有很高的几率可以侦测密码模块中的非法实体访问、使用或篡改。例如,可以将密码模块封装在一个坚固的硬壳里以防止实体访问;或者是安装一个破坏侦测及回应晶片,当密码模块的外壳或盖子被打开时,就将内部的重要安全参数全部归零,以防止机密外泄。 采用的身份验证(Identity-based Authentication)机制,比安全等级二所使用的角色验证机制更加严谨。,FIPS140-2的安全等級(续),14,安全等級四 (Security Level 4) 提供了最高等级的安全性。它提供对该密码模块完整的保护,能侦测并回应所有可能的实体访问。 所有试图由密码模块外层的入侵动作都

10、会被侦测出来,同时会将模块内所有重要的安全参数都归零。 这个等级的密码模块特别适用于没有任何实体安全防护措施的环境中。 密码模块被要求对环境条件或外在变动进行侦测,一旦察觉便将所有重要安全参数归零。,FIPS140-2的安全等級(续),15,FIPS 140-2所涵盖的范围,基本的设计和文件编写(Basic Design and Documentation)。 模块接口(Module Interfaces)。 授权的角色和服务(Authorized Roles and Services)。 实体安全(Physical Security)。 软件安全(Software Security)。 操作

11、系统安全(Operating System Security)。 密钥管理(Key Management)。 密码算法(Cryptographic Algorithms)。 电磁干扰/电磁相容(Electromagnetic Interference/Electromagnetic Compatibility,EMI/EMC)。 自我测试(Self-testing) 。,16,为使信息系统安全有统一的标准,1991年英、美、法、德这些国家共同公布了“信息技术安全评估准则”(Information Technology Security Evaluation Criteria,ITSEC)。 1

12、995年美国、加拿大、英国、法国、德国及荷兰制订了“信息技术安全评估共同准则”(Common Criteria for Information Technology Security Evaluation,CCITSE)。 国际标准组织(ISO)于1998年根据CCITSE内容制订了ISO/IEC 15408的信息安全技术国际标准。,16.4 信息技术安全评估共同准则,17,信息技术安全评估共同准则的发展过程,18,TCSEC、ITSEC及CCITSE安全等级的对应,19,CCITSE所提出的7种评估保证等级,评估保证等级1(EAL1)功能性测试 证实评估的内容符合文件中所阐述的功能,并且对于

13、可识别的威胁也可提供有效的防护。 评估保证等级2(EAL2)结构性测试 适用于研发人员或用户缺乏完全的研发记录情况下,研发人员可自行进行测试、分析,并将其测试结果交给评估员,评估员再根据研发人员所提供的测试结果进行独立取样测试。 评估保证等级3(EAL3)系统化测试及检查 适用于研发人员或用户需要中等级的独立保证安全环境,这个等级提供了被评估项目在研发期间不受篡改的信心。,20,CCITSE所提出的7种评估保证等级(续),评估保证等级4(EAL4)系统化设计、测试及审查 适用于研发人员或用户需要中至高等级的独立保证安全环境,并且可额外负担安全技术的成本。 评估保证等级5(EAL5)半正规化设计

14、和测试 适用于研发人员或用户需要高等级的独立保证安全环境,并且要求严谨的研发方式。 评估保证等级6(EAL6)半正规化查证设计和测试 适用于高资产价值及高风险情况所需的高安全应用环境。 评估保证等级7(EAL7)正规化查证设计和测试 适用于极高资产价值及极高风险情况所需的极高安全应用环境。,21,保护概况 (Protection Profile,简称PP) 依消费者的需求所详细定义的安全需求 。 评估目标 (Target of Evaluation,简称TOE) 用来阐述一个信息技术产品或系统需要进行评估时,被评估项目的管理者或用户所使用的评估准则 。 安全目标 (Security Targe

15、t,简称ST) 用来描述一个经确认的评估目标(TOE)所必须满足的安全需求,以及阐述某项信息技术或系统可以提供的安全服务 。,共同准则內容,22,共同准则內容(续),第一部分:简介及一般模型 这部分定义了信息技术安全评估的一般性概念及原理,并提出了一个用来评估的一般化模型。 第二部分:安全功能需求 主要是建立一个功能元件的集合,此集合可作为阐述评估目标(TOE)功能需求的标准方式。此外还定义了一些功能元件(Functional Components)、属别(Families)及类别(Classes)的架构 第三部分:安全保证需求(Security Assurance) 主要是建立一个安全保证元

16、件的集合,此集合可作为表达TOE安全保证需求的标准方式。同样还定义了保证元件(Functional Component)、属别(Family)及类别(Class)的架构。,共同准则内容所划分的3部分为:,23,评估目标(TOE)的研发模式,24,评估目标(TOE)被评估的过程,25,功能元件、属别及类别的阶层式架构图,26,保证元件、属别及类别的阶层式架构图,27,不同用户所关注的共同准则,28,16.5 信息安全管理作业要点BS7799,BS7799系列标准的发展历程,29,BS7799的导入,数据的机密性(Confidentiality) 确保只有被授权的用户才可以依权限访问数据 。 数据的完整性(Integrity) 确保数据没有被窃取或非法篡改 。 数据的可用性(Availability) 确保经授权的用户,在需要访问数据时都得以顺利进行 。,在导入BS7799时,首先要界定执行范围,并评估执行范围内的资产,评估的准则主要有以下3项:,30,风险计算公式,依据这3个准则来评估执行范围内的资产可能会面临的威胁,并预估可能发生的几率,进而算出其风险的高低。,风险=价

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号