《【新版】《安全评估标准》PPT课件》由会员分享,可在线阅读,更多相关《【新版】《安全评估标准》PPT课件(98页珍藏版)》请在金锄头文库上搜索。
1、 第十四章第十四章 安全评估标准安全评估标准 信管06-2 焦德磊 董昌宾安全评估标准安全评估标准l信息技术安全评估准则发展过程l安全评估标准的发展历程lTCSECl通用准则CCl国内的安全评估标准信息技术安全评估准则发展过程信息技术安全评估准则发展过程 l安全评估标准最早起源于美国l20世纪60年代后期,1967年美国国防部(DOD)成立了一个研究组,针对当时计算机使用环境中的安全策略进行研究,其研究结果是“Defense Science Board report”l70年代的后期DOD对当时流行的操作系统KSOS,PSOS,KVM进行了安全方面的研究 信息技术安全评估准则发展过程信息技术安
2、全评估准则发展过程l80年代后,美国国防部发布的“可信计算机系统评估准则(TCSEC)”(即桔皮书)l后来DOD又发布了可信数据库解释(TDI)、可信网络解释(TNI)等一系列相关的说明和指南 l90年代初,英、法、德、荷等四国针对TCSEC准则的局限性,提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”(ITSEC),定义了从E0级到E6级的七个安全等级 信息技术安全评估准则发展过程信息技术安全评估准则发展过程l加拿大1988年开始制订The Canadian Trusted Computer Product Evaluation Criteria (CTCPEC) l1993
3、年,美国对TCSEC作了补充和修改,制定了“组合的联邦标准”(简称FC) l国际标准化组织(ISO)从1990年开始开发通用的国际标准评估准则 信息技术安全评估准则发展过程信息技术安全评估准则发展过程l在1993年6月,CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来,将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则 l发起组织包括六国七方:加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA,他们的代表建立了CC编辑委员会(CCEB)来开发CC 信息技术安全评估准则发展过程信息技术安全评估准则发展过程l1996年1月完成CC1.0版 ,在1996年4月被ISO
4、采纳 l1997年10月完成CC2.0的测试版 l1998年5月发布CC2.0版 l1999年12月ISO采纳CC,并作为国际标准ISO 15408发布 安全评估标准的发展历程安全评估标准的发展历程 美国桔皮书美国桔皮书(TCSECTCSEC)19851985英英国国安安全全标准标准19891989德国标准德国标准法国标准法国标准加拿大标准加拿大标准19931993联联邦邦标标准准草案草案19931993ITSECITSEC19911991通用标准通用标准 CCCC V1.0 1996 V1.0 1996 V2.0 1998 V2.0 1998 V2.1 1999 V2.1 1999TCSEC
5、TCSEClTCSEC的发布主要有三个目的:(1)为制造商提供一个安全标准,使他们在开发商业产品时加入相应的安全因素,为用户提供广泛可信的应用系统;(2)为国防部各部门提供一个度量标准,用来评估计算机系统或其他敏感信息的可信程度;(3)在分析、研究规范时,为制定安全需求提供基础。 TCSECTCSECl在TCSEC中,美国国防部按处理信息的等级和应采用的响应措施,将计算机安全从高到低分为:A、B、C、D四个等级八个级别,共27条评估准则lTCSEC从安全策略、可审计性、保证和文档四个方面对不同安全级别的系统提出不同强度的要求,随着安全等级的提高,系统的可信度随之增加,风险逐渐减少。 TCSEC
6、TCSEC四个安全等级:D类:无保护级 C类:自主保护级 B类:强制保护级A类:验证保护级TCSECTCSEClD类是最低保护等级,即无保护级 是为那些经过评估,但不满足较高评估等级要求的系统设计的,只具有一个级别。 该类是指不符合要求的那些系统,因此,这种系统不能在多用户环境下处理敏感信息。 TCSECTCSEC四个安全等级:无保护级 自主保护级 强制保护级验证保护级TCSECTCSEClC类为自主保护级 具有一定的保护能力,主要通过身份认证、自主访问控制和审计等安全措施来保护系统。 一般只适用于具有一定等级的多用户环境 具有对主体责任及其动作审计的能力TCSECTCSECC类分为C1和C2
7、两个级别: 自主安全保护级(C1级) 控制访问保护级(C2级) TCSECTCSECl C1级通过隔离用户与数据,满足TCB自主安全要求,使用户具备自主安全保护的能力 它具有多种形式的控制能力,对用户实施访问控制 为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏 C1级的系统适用于处理同一敏感级别数据的多用户环境 TCSECTCSEClC2级计算机系统比C1级具有更细粒度的自主访问控制,细化到单个用户而不是组lC2级通过注册过程控制、审计安全相关事件以及资源隔离,使单个用户为其行为负责 TCSECTCSEC四个安全等级:无保护级 自主保护级 强制保护级验证保护级T
8、CSECTCSEClB类为强制保护级 主要要求是TCB应维护完整的安全标记,并在此基础上执行一系列强制访问控制规则 B类系统中的主要数据结构(客体)必须携带敏感标记 系统的开发者还应为TCB提供安全策略模型以及TCB规约 应提供证据证明访问监控器得到了正确的实施 TCSECTCSECB类分为三个类别:标记安全保护级(B1级) 结构化保护级(B2级) 安全区域保护级(B3级) TCSECTCSECl B1级系统要求具有C2级系统的所有特性并增加了标记、强制访问控制、责任、审计和保证功能。 在此基础上,还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制 并消除测试中发现的
9、所有缺陷 TCSECTCSECB类分为三个类别:标记安全保护级(B1级) 结构化保护级(B2级) 安全区域保护级(B3级)TCSECTCSECl在B2级系统中,TCB建立于一个明确定义并文档化形式化安全策略模型之上l要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体l在此基础上,应对隐蔽信道进行分析lTCB应结构化为关键保护元素和非关键保护元素TCSECTCSEClTCB接口必须明确定义l其设计与实现应能够经受更充分的测试和更完善的审查l鉴别机制应得到加强,提供可信设施管理以支持系统管理员和操作员的职能l提供严格的配置管理控制lB2级系统应具备相当的抗渗透能力TCSECTCSEC
10、B类分为三个类别:标记安全保护级(B1级) 结构化保护级(B2级) 安全区域保护级(B3级)TCSECTCSECl在B3级系统中,TCB必须满足访问监控器需求l访问监控器对所有主体对客体的访问进行仲裁l访问监控器本身是抗篡改的l访问监控器足够小l访问监控器能够分析和测试TCSECTCSEC为了满足访问控制器需求:计算机信息系统可信计算基在构造时,排除那些对实施安全策略来说并非必要的代码计算机信息系统可信计算基在设计和实现时,从系统工程角度将其复杂性降低到最小程度TCSECTCSECB3级系统支持:安全管理员职能扩充审计机制当发生与安全相关的事件时,发出信号提供系统恢复机制系统具有很高的抗渗透能
11、力TCSECTCSEC四个安全等级:无保护级 自主保护级 强制保护级验证保护级TCSECTCSEClA类为验证保护级lA类的特点是使用形式化的安全验证方法保证系统的自主,而且强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息l为证明TCB满足设计、开发及实现等各个方面的安全要求以及采用形式化验证方法,系统应提供丰富的文档信息TCSECTCSECA类分为两个类别:验证设计级(A1级) 超A1级 TCSECTCSEClA1级系统在功能上和B3级系统是相同的,没有增加体系结构特性和策略要求l最显著的特点是,要求用形式化设计规范和验证方法来对系统进行分析,确保TCB按设计要求实现l
12、从本质上说,这种保证是发展的,它从一个安全策略的形式化模型和设计的形式化高层规约(FTLS)开始 TCSECTCSEC 针对A1级系统设计验证,有5种独立于特定规约语言验证方法的重要准则:安全策略的形式化模型必须得到明确标识并文档化,以提供该模型与其公理一致的、能够对安全策略提供足够支持的数学证明 应提供形式化的高层规约,包括TCB功能的抽象定义、用于隔离执行域的硬件/固件机制的抽象定义 TCSECTCSEC应通过形式化的技术(如果可能的话)和非形式化的技术证明TCB的形式化高层规约(FTLS)与模型一致通过非形式化的方法证明TCB的实现(硬件、固件、软件)与形式化的高层规约(FTLS)是一致
13、的。应证明FTLS的元素与TCB的元素是一致的,FTLS应表达用于满足安全策略的一致的保护机制,这些保护机制的元素应映射到TCB的要素 TCSECTCSEC应使用形式化的方法标识并分析隐蔽信道,非形式化的方法可以用来标识时间隐蔽信道,必须对系统中存在的隐蔽信道进行解释 TCSECTCSECA1级系统:l要求更严格的配置管理l要求建立系统安全分发的程序l支持系统安全管理员的职能 TCSECTCSECA类分为两个类别:验证设计级(A1级) 超A1级TCSECTCSECl超A1级在A1级基础上增加的许多安全措施,超出了目前的技术发展l随着更多、更好的分析技术的出现,本级系统的要求才会变的更加明确l今
14、后,形式化的验证方法将应用到源码一级,并且时间隐蔽信道将得到全面的分析 l超A1级系统设计的范围包括系统体系结构、安全测试、形式化规约与验证、可信设计环境等TCSECTCSECl在这一级,设计环境将变的更重要l形式化高层规约的分析将对测试提供帮助lTCB开发中使用的工具的正确性及TCB运行的软硬件功能的正确性将得到更多的关注通用准则通用准则CCCClCC作为国际标准,对信息系统的安全功能、安全保障给出了分类描述,并综合考虑信息系统的资产价值、威胁等因素后,对被评估对象提出了安全需求(保护轮廓PP)及安全实现(安全目标ST)等方面的评估。通用准则通用准则CCCCCC的范围 :CC重点考虑认为的信
15、息威胁,无论是有意的还是无意的。CC也可用于非人为因素导致的威胁CC适用于硬件、固件和软件实现的信息技术安全措施某些内容因涉及特殊专业技术或仅是信息技术安全的外围技术不在CC的范围内 通用准则通用准则CCCCCC包括三个部分: 第一部分:简介和一般模型 介绍CC的一般概念和格式,描述CC的结构和适用范围,描述安全功能、保证需求的定义并给出保护轮廓PP和安全目标ST第二部分:安全功能要求 为用户和开发者提供一系列安全功能组件通用准则通用准则CCCC第三部分:安全保证要求 为开发者提供一系列安全保证组件,同时提出七个评估保证级别(Evaluation Assurance Levels:EALs)通
16、用准则通用准则CCCC安全保证要求部分提出了七个评估保证级别(Evaluation Assurance Levels:EALs)分别是:EAL1:功能测试EAL2:结构测试EAL3:系统测试和检查EAL4:系统设计、测试和复查EAL5:半形式化设计和测试EAL6:半形式化验证的设计和测试EAL7:形式化验证的设计和测试 通用准则通用准则CCCCl使用通用评估方法学可以提供结果的可重复性和客观性l许多评估准则需要使用专家判断和一定的背景知识l为了增强评估结果的一致性,最终的评估结果应提交给一个认证过程,该过程是一个针对评估结果的独立的检查过程,并生成最终的证书或正式批文 评估上下文评估上下文评估准则(通用准则)评估方法学评估方案最终评估结果评估批准/证明证书表/(注册)通用准则通用准则CCCC通用准则通用准则CCCCCCCC的一般模型的一般模型一般安全上下文 TOE评估 CC安全概念 通用准则通用准则CCCC一般安全上下文一般安全上下文lCC认为,安全就是保护资产不受威胁,威胁可依据滥用被保护资产的可能性进行分类 l所有的威胁类型都应该考虑到l在安全领域内,被高度重视的威胁是和人们的恶意
