《计算机信息系统安全保护等级课件》由会员分享,可在线阅读,更多相关《计算机信息系统安全保护等级课件(173页珍藏版)》请在金锄头文库上搜索。
1、计算机信息系统安全评估标准介绍计算机信息系统安全评估标准介绍 北京大学北京大学 闫强闫强1计算机信息系统安全保护等级标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程 可信计算机系统评估准则(可信计算机系统评估准则(TCSEC )可信网络解释可信网络解释(TNI) 通用准则通用准则CC 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 信息安全保证技术框架信息安全保证技术框架信息系统安全保护等级应用指南信息系统安全保护等级应用指南 2计算机信息系统安全保护等级信息技术安全评估准则发展过程信息技术安全评估准则发展过程 2020世纪世纪6060年代后期,年
2、代后期,19671967年美国国防部(年美国国防部(DODDOD)成立了)成立了一个研究组,针对当时计算机使用环境中的安全策略进一个研究组,针对当时计算机使用环境中的安全策略进行研究,其研究结果是行研究,其研究结果是“Defense Science Board Defense Science Board report”report”7070年代的后期年代的后期DODDOD对当当时流行的操作系流行的操作系统KSOSKSOS,PSOSPSOS,KVMKVM进行了安全方面的研究行了安全方面的研究 3计算机信息系统安全保护等级信息技术安全评估准则发展过程信息技术安全评估准则发展过程8080年代后,美国
3、国防部发布的年代后,美国国防部发布的“可信计算机系统评估准可信计算机系统评估准则(则(TCSECTCSEC)”(即桔皮书)(即桔皮书)后来后来DODDOD又又发布了可信数据布了可信数据库解解释(TDITDI)、可信网)、可信网络解解释(TNITNI)等一系列相关的)等一系列相关的说明和指南明和指南 9090年代初,英、法、德、荷等四国年代初,英、法、德、荷等四国针对TCSECTCSEC准准则的局的局限性,提出了包含保密性、完整性、可用性等概念的限性,提出了包含保密性、完整性、可用性等概念的“信息技信息技术安全安全评估准估准则”(ITSECITSEC),定),定义了从了从E0E0级到到E6E6级
4、的七个安全等的七个安全等级 4计算机信息系统安全保护等级信息技术安全评估准则发展过程信息技术安全评估准则发展过程加拿大加拿大19881988年开始制订年开始制订The Canadian Trusted The Canadian Trusted Computer Product Evaluation Criteria Computer Product Evaluation Criteria (CTCPECCTCPEC) 19931993年,美国对年,美国对TCSECTCSEC作了补充和修改,制定了作了补充和修改,制定了“组合组合的联邦标准的联邦标准”(简称(简称FCFC) 国际标准化组织(国际标
5、准化组织(ISOISO)从)从19901990年开始开发通用的国际年开始开发通用的国际标准评估准则标准评估准则 5计算机信息系统安全保护等级信息技术安全评估准则发展过程信息技术安全评估准则发展过程在在19931993年年6 6月,月,CTCPECCTCPEC、FCFC、TCSECTCSEC和和ITSECITSEC的发起组织的发起组织开始联合起来,将各自独立的准则组合成一个单一的、开始联合起来,将各自独立的准则组合成一个单一的、能被广泛使用的能被广泛使用的ITIT安全准则安全准则 发起组织包括六国七方:加拿大、法国、德国、荷兰、发起组织包括六国七方:加拿大、法国、德国、荷兰、英国、美国英国、美国
6、NISTNIST及美国及美国NSANSA,他们的代表建立了,他们的代表建立了CCCC编辑编辑委员会(委员会(CCEBCCEB)来开发)来开发CCCC 6计算机信息系统安全保护等级信息技术安全评估准则发展过程信息技术安全评估准则发展过程19961996年年1 1月完成月完成CC1.0CC1.0版版 ,在在19961996年年4 4月被月被ISOISO采纳采纳 19971997年年1010月完成月完成CC2.0CC2.0的测试版的测试版 19981998年年5 5月发布月发布CC2.0CC2.0版版 19991999年年1212月月ISOISO采纳采纳CCCC,并作为国际标准,并作为国际标准ISO
7、 15408ISO 15408发布发布 7计算机信息系统安全保护等级安全评估标准的发展历程安全评估标准的发展历程 桔皮书桔皮书(TCSECTCSEC)19851985英英国国安安全全标准标准19891989德国标准德国标准法国标准法国标准加拿大标准加拿大标准19931993联联邦邦标标准准草案草案19931993ITSECITSEC19911991通用标准通用标准V1.0 1996V1.0 1996V2.0 1998V2.0 1998V2.1 1999V2.1 19998计算机信息系统安全保护等级标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程 可信计算机系统评估准则(
8、可信计算机系统评估准则(TCSEC) 可信网络解释可信网络解释 (TNI) 通用准则通用准则CC 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 信息安全保证技术框架信息安全保证技术框架 信息系统安全保护等级应用指南信息系统安全保护等级应用指南 9计算机信息系统安全保护等级TCSECTCSEC在在TCSECTCSEC中,美国国防部按处理信息的等级和应采用的中,美国国防部按处理信息的等级和应采用的响应措施,将计算机安全从高到低分为:响应措施,将计算机安全从高到低分为:A A、B B、C C、D D四四类八个级别,共类八个级别,共2727条评估准则条评估准则随着安全等级的提高
9、,系统的可信度随之增加,风险逐随着安全等级的提高,系统的可信度随之增加,风险逐渐减少。渐减少。 10计算机信息系统安全保护等级TCSECTCSEC四个安全等级:四个安全等级:无保护级无保护级 自主保护级自主保护级 强制保护级强制保护级验证保护级验证保护级11计算机信息系统安全保护等级TCSECTCSECD D类是最低保护等级,即无保护级类是最低保护等级,即无保护级 是为那些经过评估,但不满足较高评估等级要求的系统是为那些经过评估,但不满足较高评估等级要求的系统设计的,只具有一个级别设计的,只具有一个级别 该类是指不符合要求的那些系统,因此,这种系统不能该类是指不符合要求的那些系统,因此,这种系
10、统不能在多用户环境下处理敏感信息在多用户环境下处理敏感信息 12计算机信息系统安全保护等级TCSECTCSEC四个安全等级:四个安全等级:无保护级无保护级 自主保护级自主保护级 强制保护级强制保护级验证保护级验证保护级13计算机信息系统安全保护等级TCSECTCSECC C类为自主保护级类为自主保护级具有一定的保具有一定的保护能力,采用的措施是自主能力,采用的措施是自主访问控制和控制和审计跟踪跟踪 一般只适用于具有一定等一般只适用于具有一定等级的多用的多用户环境境具有具有对主体主体责任及其任及其动作作审计的能力的能力14计算机信息系统安全保护等级TCSECTCSECC C类分分为C1C1和和C
11、2C2两个两个级别: : 自主安全保护级(自主安全保护级(C1级级) ) 控制访问保护级(控制访问保护级(C2级)级) 15计算机信息系统安全保护等级TCSECTCSECC1级级TCBTCB通过隔离用户与数据,使用户具备自主安全保通过隔离用户与数据,使用户具备自主安全保护的能力护的能力 它具有多种形式的控制能力,对用户实施访问控制它具有多种形式的控制能力,对用户实施访问控制为用户提供可行的手段,保护用户和用户组信息,避免为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏其他用户对数据的非法读写与破坏C1C1级的系统适用于处理同一敏感级别数据的多用户环境级的系统适用于
12、处理同一敏感级别数据的多用户环境 16计算机信息系统安全保护等级TCSECTCSECC2C2级计算机系统比级计算机系统比C1C1级具有更细粒度的自主访问控制级具有更细粒度的自主访问控制C2C2级通过注册过程控制、审计安全相关事件以及资源隔级通过注册过程控制、审计安全相关事件以及资源隔离,使单个用户为其行为负责离,使单个用户为其行为负责 17计算机信息系统安全保护等级TCSECTCSEC四个安全等级:四个安全等级:无保护级无保护级 自主保护级自主保护级 强制保护级强制保护级验证保护级验证保护级18计算机信息系统安全保护等级TCSECTCSECB B类为强制保护级类为强制保护级 主要要求是主要要求
13、是TCBTCB应维护完整的安全标记,并在此基础上应维护完整的安全标记,并在此基础上执行一系列强制访问控制规则执行一系列强制访问控制规则B B类系统中的主要数据结构必须携带敏感标记类系统中的主要数据结构必须携带敏感标记系统的开发者还应为系统的开发者还应为TCBTCB提供安全策略模型以及提供安全策略模型以及TCBTCB规约规约应提供证据证明访问监控器得到了正确的实施应提供证据证明访问监控器得到了正确的实施 19计算机信息系统安全保护等级TCSECTCSECB类分为三个类别:类分为三个类别:标记安全保护级(标记安全保护级(B1级)级) 结构化保护级(结构化保护级(B2级)级) 安全区域保护级(安全区
14、域保护级(B3级)级) 20计算机信息系统安全保护等级TCSECTCSECB1B1级系统要求具有级系统要求具有C2C2级系统的所有特性级系统的所有特性 在此基础上,还应提供安全策略模型的非形式化描述、在此基础上,还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制数据标记以及命名主体和客体的强制访问控制并消除测试中发现的所有缺陷并消除测试中发现的所有缺陷 21计算机信息系统安全保护等级TCSECTCSECB类分为三个类别:类分为三个类别:标记安全保护级(标记安全保护级(B1级)级) 结构化保护级(结构化保护级(B2级)级) 安全区域保护级(安全区域保护级(B3级)级)2
15、2计算机信息系统安全保护等级TCSECTCSEC在在B2B2级系统中,级系统中,TCBTCB建立于一个明确定义并文档化形式建立于一个明确定义并文档化形式化安全策略模型之上化安全策略模型之上要求将要求将B1B1级系统中建立的自主和强制访问控制扩展到所级系统中建立的自主和强制访问控制扩展到所有的主体与客体有的主体与客体在此基础上,应对隐蔽信道进行分析在此基础上,应对隐蔽信道进行分析TCBTCB应结构化为关键保护元素和非关键保护元素应结构化为关键保护元素和非关键保护元素23计算机信息系统安全保护等级TCSECTCSECTCBTCB接口必须明确定义接口必须明确定义其设计与实现应能够经受更充分的测试和更
16、完善的审查其设计与实现应能够经受更充分的测试和更完善的审查鉴别机制应得到加强,提供可信设施管理以支持系统管鉴别机制应得到加强,提供可信设施管理以支持系统管理员和操作员的职能理员和操作员的职能提供严格的配置管理控制提供严格的配置管理控制B2B2级系统应具备相当的抗渗透能力级系统应具备相当的抗渗透能力24计算机信息系统安全保护等级TCSECTCSECB类分为三个类别:类分为三个类别:标记安全保护级(标记安全保护级(B1级)级) 结构化保护级(结构化保护级(B2级)级) 安全区域保护级(安全区域保护级(B3级)级)25计算机信息系统安全保护等级TCSECTCSEC在在B3B3级系统中,级系统中,TC
17、BTCB必须满足访问监控器需求必须满足访问监控器需求访问监控器对所有主体对客体的访问进行仲裁访问监控器对所有主体对客体的访问进行仲裁访问监控器本身是抗篡改的访问监控器本身是抗篡改的访问监控器足够小访问监控器足够小访问监控器能够分析和测试访问监控器能够分析和测试26计算机信息系统安全保护等级TCSECTCSEC为了满足访问控制器需求为了满足访问控制器需求: :计算机信息系统可信计算基在构造时,排除那些对计算机信息系统可信计算基在构造时,排除那些对实施安全策略来说并非必要的代码实施安全策略来说并非必要的代码计算机信息系统可信计算基在设计和实现时,从系计算机信息系统可信计算基在设计和实现时,从系统工
18、程角度将其复杂性降低到最小程度统工程角度将其复杂性降低到最小程度27计算机信息系统安全保护等级TCSECTCSECB3B3级系统支持级系统支持: :安全管理员职能安全管理员职能扩充审计机制扩充审计机制当发生与安全相关的事件时,发出信号当发生与安全相关的事件时,发出信号提供系统恢复机制提供系统恢复机制系统具有很高的抗渗透能力系统具有很高的抗渗透能力28计算机信息系统安全保护等级TCSECTCSEC四个安全等级:四个安全等级:无保护级无保护级 自主保护级自主保护级 强制保护级强制保护级验证保护级验证保护级29计算机信息系统安全保护等级TCSECTCSECA类为验证保护级类为验证保护级A A类的特点
19、是使用形式化的安全验证方法,保证系统的类的特点是使用形式化的安全验证方法,保证系统的自主和强制安全控制措施能够有效地保护系统中存储和自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息处理的秘密信息或其他敏感信息为证明为证明TCBTCB满足设计、开发及实现等各个方面的安全要满足设计、开发及实现等各个方面的安全要求,系统应提供丰富的文档信息求,系统应提供丰富的文档信息30计算机信息系统安全保护等级TCSECTCSECA A类分为两个类别:类分为两个类别:验证设计级(验证设计级(A1A1级)级) 超超A1A1级级 31计算机信息系统安全保护等级TCSECTCSECA1A1级
20、系统在功能上和级系统在功能上和B3B3级系统是相同的,没有增加体系级系统是相同的,没有增加体系结构特性和策略要求结构特性和策略要求最显著的特点是,要求用形式化设计规范和验证方法来最显著的特点是,要求用形式化设计规范和验证方法来对系统进行分析,确保对系统进行分析,确保TCBTCB按设计要求实现按设计要求实现从本质上说,这种保证是发展的,它从一个安全策略的从本质上说,这种保证是发展的,它从一个安全策略的形式化模型和设计的形式化高层规约(形式化模型和设计的形式化高层规约(FTLSFTLS)开始)开始 32计算机信息系统安全保护等级TCSECTCSEC 针对针对A1A1级系统设计验证,有级系统设计验证
21、,有5 5种独立于特定规约语言或种独立于特定规约语言或验证方法的重要准则:验证方法的重要准则:安全策略的形式化模型必须得到明确标识并文档化,提供该模安全策略的形式化模型必须得到明确标识并文档化,提供该模型与其公理一致以及能够对安全策略提供足够支持的数学证明型与其公理一致以及能够对安全策略提供足够支持的数学证明 应提供形式化的高层规约,包括应提供形式化的高层规约,包括TCBTCB功能的抽象定义、用于隔功能的抽象定义、用于隔离执行域的硬件离执行域的硬件/ /固件机制的抽象定义固件机制的抽象定义 33计算机信息系统安全保护等级TCSECTCSEC应通过形式化的技术(如果可能的化)和非形式化的技应通过
22、形式化的技术(如果可能的化)和非形式化的技术证明术证明TCB的形式化高层规约(的形式化高层规约(FTLS)与模型是一致的)与模型是一致的 通过非形式化的方法证明通过非形式化的方法证明TCB的实现(硬件、固件、软的实现(硬件、固件、软件)与形式化的高层规约(件)与形式化的高层规约(FTLS)是一致的。应证明)是一致的。应证明FTLS的元素与的元素与TCB的元素是一致的,的元素是一致的,FTLS应表达用于满应表达用于满足安全策略的一致的保护机制,这些保护机制的元素应足安全策略的一致的保护机制,这些保护机制的元素应映射到映射到TCB的要素的要素 34计算机信息系统安全保护等级TCSECTCSEC应使
23、用形式化的方法标识并分析隐蔽信道,非形式化的应使用形式化的方法标识并分析隐蔽信道,非形式化的方法可以用来标识时间隐蔽信道,必须对系统中存在的方法可以用来标识时间隐蔽信道,必须对系统中存在的隐蔽信道进行解释隐蔽信道进行解释 35计算机信息系统安全保护等级TCSECTCSECA1级系统级系统: :要求更严格的配置管理要求更严格的配置管理要求建立系统安全分发的程序要求建立系统安全分发的程序支持系统安全管理员的职能支持系统安全管理员的职能 36计算机信息系统安全保护等级TCSECTCSECA A类分为两个类别:类分为两个类别:验证设计级(验证设计级(A1A1级)级) 超超A1A1级级37计算机信息系统
24、安全保护等级TCSECTCSEC超超A1A1级在级在A1级基础上增加的许多安全措施超出了目前级基础上增加的许多安全措施超出了目前的技术发展的技术发展随着更多、更好的分析技术的出现,本级系统的要求才随着更多、更好的分析技术的出现,本级系统的要求才会变的更加明确会变的更加明确今后,形式化的验证方法将应用到源码一级,并且时间今后,形式化的验证方法将应用到源码一级,并且时间隐蔽信道将得到全面的分析隐蔽信道将得到全面的分析 38计算机信息系统安全保护等级TCSECTCSEC在这一级,设计环境将变的更重要在这一级,设计环境将变的更重要形式化高层规约的分析将对测试提供帮助形式化高层规约的分析将对测试提供帮助
25、TCB开发中使用的工具的正确性及开发中使用的工具的正确性及TCB运行的软硬件功运行的软硬件功能的正确性将得到更多的关注能的正确性将得到更多的关注39计算机信息系统安全保护等级TCSECTCSEC超超A1级系统涉及的范围包括:级系统涉及的范围包括:系统体系结构系统体系结构安全测试安全测试形式化规约与验证形式化规约与验证可信设计环境等可信设计环境等40计算机信息系统安全保护等级标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程 可信计算机系统评估准则(可信计算机系统评估准则(TCSEC) 可信网络解释可信网络解释 (TNI) 通用准则通用准则CC 计算机信息系统安全保护等级划
26、分准则计算机信息系统安全保护等级划分准则 信息安全保证技术框架信息安全保证技术框架信息系统安全保护等级应用指南信息系统安全保护等级应用指南 41计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI)美国国防部计算机安全评估中心在完成美国国防部计算机安全评估中心在完成TCSEC的基础上,的基础上,又组织了专门的研究镞对可信网络安全评估进行研究,又组织了专门的研究镞对可信网络安全评估进行研究,并于并于1987年发布了以年发布了以TCSEC为基础的可信网络解释,为基础的可信网络解释,即即TNI。TNI包括两个部分(包括两个部分(Part I和和Part II)及三个附录)及三个附录(A
27、PPENDIX A、B、C) 42计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI)TNI第一部分提供了在网络系统作为一个单一系统进行第一部分提供了在网络系统作为一个单一系统进行评估时评估时TCSEC中各个等级(从中各个等级(从D到到A类)的解释类)的解释与单机系统不同的是,网络系统的可信计算基称为网络与单机系统不同的是,网络系统的可信计算基称为网络可信计算基(可信计算基(NTCB) 43计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI)第二部分以附加安全服务的形式提出了在网络互联时出第二部分以附加安全服务的形式提出了在网络互联时出现的一些附加要求现的一些附
28、加要求这些要求主要是针对完整性、可用性和保密性的这些要求主要是针对完整性、可用性和保密性的 44计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI) 第二部分的评估是定性的,针对一个服务进行评估的结第二部分的评估是定性的,针对一个服务进行评估的结果一般分为为:果一般分为为: vnone vminimum vfair vgood 45计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI) 第二部分中关于每个服务的说明一般包括第二部分中关于每个服务的说明一般包括: :一种相对简短的陈述一种相对简短的陈述相关的功能性的讨论相关的功能性的讨论 相关机制强度的讨论相关机制强
29、度的讨论 相关保证的讨论相关保证的讨论 46计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI)功能性是指一个安全服务的目标和实现方法,它包括特功能性是指一个安全服务的目标和实现方法,它包括特性、机制及实现性、机制及实现 机制的强度是指一种方法实现其目标的程度机制的强度是指一种方法实现其目标的程度有些情况下,参数的选择会对机制的强度带来很大的影有些情况下,参数的选择会对机制的强度带来很大的影响响 47计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI)保证是指相信一个功能会实现的基础保证是指相信一个功能会实现的基础保证一般依靠对理论、测试、软件工程等相关内容的分
30、保证一般依靠对理论、测试、软件工程等相关内容的分析析分析可以是形式化或非形式化的,也可以是理论的或应分析可以是形式化或非形式化的,也可以是理论的或应用的用的 48计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI)第二部分中列出的安全服务有:第二部分中列出的安全服务有: 通信完整性通信完整性 拒绝服务拒绝服务 机密性机密性 49计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI)通信完整性主要涉及以下通信完整性主要涉及以下3方面:方面:鉴别:网络中应能够抵抗欺骗和重放攻击鉴别:网络中应能够抵抗欺骗和重放攻击 通信字段完整性:保护通信中的字段免受非授权的通信字段完
31、整性:保护通信中的字段免受非授权的修改修改 抗抵赖:提供数据发送、接受的证据抗抵赖:提供数据发送、接受的证据 50计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI)当网络处理能力下降到一个规定的界限以下或远程实体当网络处理能力下降到一个规定的界限以下或远程实体无法访问时,即发生了拒绝服务无法访问时,即发生了拒绝服务所有由网络提供的服务都应考虑拒绝服务的情况所有由网络提供的服务都应考虑拒绝服务的情况网络管理者应决定网络拒绝服务需求网络管理者应决定网络拒绝服务需求 51计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI)解决拒绝服务的方法有:解决拒绝服务的方法有:
32、 操作连续性操作连续性 基于协议的拒绝服务保护基于协议的拒绝服务保护 网络管理网络管理 52计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI)机密性是一系列安全服务的总称机密性是一系列安全服务的总称 这些服务都是关于通过计算机通信网络在实体间传输信这些服务都是关于通过计算机通信网络在实体间传输信息的安全和保密的息的安全和保密的 具体又分具体又分3种情况:种情况: 数据保密数据保密 通信流保密通信流保密 选择路由选择路由 53计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI)数据保密:数据保密:数据保密性服务保护数据不被未授权地泄露数据保密性服务保护数据不被未
33、授权地泄露数据保密性主要受搭线窃听的威胁数据保密性主要受搭线窃听的威胁被动的攻击包括对线路上传输的信息的观测被动的攻击包括对线路上传输的信息的观测 54计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI)通信流保密:通信流保密:针对通信流分析攻击而言,通信流分析攻击分析消息的针对通信流分析攻击而言,通信流分析攻击分析消息的长度、频率及协议的内容(如地址)长度、频率及协议的内容(如地址)并以此推出消息的内容并以此推出消息的内容 55计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI)选择路由:选择路由:路由选择控制是在路由选择过程中应用规则,以便具体路由选择控制是
34、在路由选择过程中应用规则,以便具体的选取或回避某些网络、链路或中继的选取或回避某些网络、链路或中继路由能动态的或预定地选取,以便只使用物理上安全的路由能动态的或预定地选取,以便只使用物理上安全的子网络、链路或中继子网络、链路或中继在检测到持续的操作攻击时,端系统可希望指示网络服在检测到持续的操作攻击时,端系统可希望指示网络服务的提供者经不同的路由建立连接务的提供者经不同的路由建立连接带有某些安全标记的数据可能被策略禁止通过某些子网带有某些安全标记的数据可能被策略禁止通过某些子网络、链路或中继络、链路或中继 56计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI)TNI第二部分的
35、评估更多地表现出定性和主观的特点,第二部分的评估更多地表现出定性和主观的特点,同第一部分相比表现出更多的变化同第一部分相比表现出更多的变化第二部分的评估是关于被评估系统能力和它们对特定应第二部分的评估是关于被评估系统能力和它们对特定应用环境的适合性的非常有价值的信息用环境的适合性的非常有价值的信息第二部分中所列举的安全服务是网络环境下有代表性的第二部分中所列举的安全服务是网络环境下有代表性的安全服务安全服务在不同的环境下,并非所有的服务都同等重要,同一服在不同的环境下,并非所有的服务都同等重要,同一服务在不同环境下的重要性也不一定一样务在不同环境下的重要性也不一定一样57计算机信息系统安全保护
36、等级可信网络解释(可信网络解释(TNITNI)TNI的附录的附录A是第一部分的扩展,主要是关于网络中组是第一部分的扩展,主要是关于网络中组件及组件组合的评估件及组件组合的评估附录附录A A把把TCSECTCSEC为为A1A1级系统定义的安全相关的策略分为四级系统定义的安全相关的策略分为四个相对独立的种类,他们分别支持强制访问控制个相对独立的种类,他们分别支持强制访问控制(MACMAC),自主访问控制(),自主访问控制(DACDAC),身份鉴别(),身份鉴别(IAIA),审),审计(计(AUDITAUDIT) 58计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI)组成部分的类型
37、最小级别最大级别MB1A1DC1C2+IC1C2AC2C2+DIC1C2+DAC2C2+IAC2C2+IADC2C2+MDB1A1MAB1A1MIB1A1MDAB1A1MDIB1A1MIAB1A1MIADB1A159计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI)附录附录B给出了根据给出了根据TCSEC对网络组件进行评估的基本原对网络组件进行评估的基本原理理 附录附录C则给出了几个则给出了几个AIS互联时的认证指南及互联中可互联时的认证指南及互联中可能遇到的问题能遇到的问题60计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI)TNI中关于网络有两种概念:中
38、关于网络有两种概念: 一是单一可信系统的概念(一是单一可信系统的概念(single trusted system)另一个是互联信息系统的概念(另一个是互联信息系统的概念(interconnected AIS)这两个概念并不互相排斥这两个概念并不互相排斥 61计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI)在单一可信系统中,网络具有包括各个安全相关部分的在单一可信系统中,网络具有包括各个安全相关部分的单一单一TCB,称为,称为NTCB(network trusted computing base)NTCB作为一个整体满足系统的安全体系设计作为一个整体满足系统的安全体系设计62
39、计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI)在互联信息系统中在互联信息系统中各个子系统可能具有不同的安全策略各个子系统可能具有不同的安全策略具有不同的信任等级具有不同的信任等级并且可以分别进行评估并且可以分别进行评估各个子系统甚至可能是异构的各个子系统甚至可能是异构的63计算机信息系统安全保护等级可信网络解释(可信网络解释(TNITNI)安全策略的实施一般控制在各个子系统内,在附录安全策略的实施一般控制在各个子系统内,在附录C中中给出了各个子系统安全地互联的指南,在互联时要控制给出了各个子系统安全地互联的指南,在互联时要控制局部风险的扩散,排除整个系统中的级联问题局部风
40、险的扩散,排除整个系统中的级联问题(cascade problem)限制局部风险的扩散的方法:单向连接、传输的手工检限制局部风险的扩散的方法:单向连接、传输的手工检测、加密、隔离或其他措施。测、加密、隔离或其他措施。 64计算机信息系统安全保护等级标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程 可信计算机系统评估准则(可信计算机系统评估准则(TCSEC) 可信网络解释可信网络解释 (TNI) 通用准则通用准则CC 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 信息安全保证技术框架信息安全保证技术框架信息系统安全保护等级应用指南信息系统安全保护等
41、级应用指南 65计算机信息系统安全保护等级通用准则通用准则CCCCCC的范围的范围 :CC适用于硬件、固件和软件实现的信息技术安全措施适用于硬件、固件和软件实现的信息技术安全措施而某些内容因涉及特殊专业技术或仅是信息技术安全的而某些内容因涉及特殊专业技术或仅是信息技术安全的外围技术不在外围技术不在CC的范围内的范围内 66计算机信息系统安全保护等级通用准则通用准则CCCC评估上下文评估上下文 评估准则(通用准则)评估方法学评估方案最终评估 结果评估批准/证明证书表/(注册)67计算机信息系统安全保护等级通用准则通用准则CCCC使用通用评估方法学可以提供结果的可重复性和客观性使用通用评估方法学可
42、以提供结果的可重复性和客观性许多评估准则需要使用专家判断和一定的背景知识许多评估准则需要使用专家判断和一定的背景知识为了增强评估结果的一致性,最终的评估结果应提交给为了增强评估结果的一致性,最终的评估结果应提交给一个认证过程,该过程是一个针对评估结果的独立的检一个认证过程,该过程是一个针对评估结果的独立的检查过程,并生成最终的证书或正式批文查过程,并生成最终的证书或正式批文68计算机信息系统安全保护等级通用准则通用准则CCCCCC包括三个部分包括三个部分: : 第一部分:简介和一般模型第一部分:简介和一般模型 第二部分:安全功能要求第二部分:安全功能要求 第三部分:安全保证要求第三部分:安全保
43、证要求 69计算机信息系统安全保护等级通用准则通用准则CCCC安安全全保保证证要要求求部部分分提提出出了了七七个个评评估估保保证证级级别别(Evaluation Assurance Levels:EALs)分别是:分别是:EAL1EAL1:功能测试:功能测试EAL2EAL2:结构测试:结构测试EAL3EAL3:系统测试和检查:系统测试和检查EAL4EAL4:系统设计、测试和复查:系统设计、测试和复查EAL5EAL5:半形式化设计和测试:半形式化设计和测试EAL6EAL6:半形式化验证的设计和测试:半形式化验证的设计和测试EAL7EAL7:形式化验证的设计和测试:形式化验证的设计和测试 70计算
44、机信息系统安全保护等级通用准则通用准则CCCCCC的一般模型的一般模型一般安全上下文一般安全上下文 TOETOE评估评估 CCCC安全概念安全概念 71计算机信息系统安全保护等级通用准则通用准则CCCC安全就是保护资产不受威胁,威胁可依据滥用被保护资安全就是保护资产不受威胁,威胁可依据滥用被保护资产的可能性进行分类产的可能性进行分类 所有的威胁类型都应该被考虑到所有的威胁类型都应该被考虑到在安全领域内,被高度重视的威胁是和人们的恶意攻击在安全领域内,被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的及其它人类活动相联系的 72计算机信息系统安全保护等级通用准则通用准则CCCC 安全安全概
45、念概念和关和关系系73计算机信息系统安全保护等级通用准则通用准则CCCC安全性损坏一般包括但又不仅仅包括以下几项安全性损坏一般包括但又不仅仅包括以下几项资产破坏性地暴露于未授权的接收者(失去保密性)资产破坏性地暴露于未授权的接收者(失去保密性)资产由于未授权的更改而损坏(失去完整性)资产由于未授权的更改而损坏(失去完整性)或资产访问权被未授权的丧失(失去可用性)或资产访问权被未授权的丧失(失去可用性)74计算机信息系统安全保护等级通用准则通用准则CCCC资产所有者必须分析可能的威胁并确定哪些存在于他们资产所有者必须分析可能的威胁并确定哪些存在于他们的环境的环境,其后果就是风险其后果就是风险 对
46、策用以(直接或间接地)减少脆弱性并满足资产所有对策用以(直接或间接地)减少脆弱性并满足资产所有者的安全策略者的安全策略 在将资产暴露于特定威胁之前,所有者需要确信其对策在将资产暴露于特定威胁之前,所有者需要确信其对策足以应付面临的威胁足以应付面临的威胁 75计算机信息系统安全保护等级通用准则通用准则CCCC 评评估估概概念念 和和关关系系76计算机信息系统安全保护等级通用准则通用准则CCCCTOE评评估估过过程程77计算机信息系统安全保护等级通用准则通用准则CCCCTOETOE评估过程的主要输入有评估过程的主要输入有:一系列一系列TOE证据,包括评估过的证据,包括评估过的ST作为作为TOE评估
47、的基础评估的基础需要评估的需要评估的TOE评估准则、方法和方案评估准则、方法和方案 另另外外,说说明明性性材材料料(例例如如CC的的使使用用说说明明书书)和和评评估估者者及及评评估估组组织的织的IT安全专业知识也常用来作为评估过程的输入安全专业知识也常用来作为评估过程的输入78计算机信息系统安全保护等级通用准则通用准则CCCC评估过程通过两种途径产生更好的安全产品评估过程通过两种途径产生更好的安全产品评估过程能发现开发者可以纠正的评估过程能发现开发者可以纠正的TOE错误或弱点,从而在减错误或弱点,从而在减少将来操作中安全失效的可能性少将来操作中安全失效的可能性另一方面,为了通过严格的评估,开发
48、者在另一方面,为了通过严格的评估,开发者在TOE设计和开发时设计和开发时也将更加细心也将更加细心因此,评估过程对最初需求、开发过程、最终产品以及操作环境因此,评估过程对最初需求、开发过程、最终产品以及操作环境将产生强烈的积极影响将产生强烈的积极影响 79计算机信息系统安全保护等级通用准则通用准则CCCC只有在只有在IT环境中考虑环境中考虑IT组件保护资产的能力时,组件保护资产的能力时,CC才是才是可用的可用的为了表明资产是安全的,安全考虑必须出现在所有层次为了表明资产是安全的,安全考虑必须出现在所有层次的表述中,包括从最抽象到最终的的表述中,包括从最抽象到最终的IT实现实现 CC要求在某层次上
49、的表述包含在该层次上要求在某层次上的表述包含在该层次上TOE描述的描述的基本原理基本原理 80计算机信息系统安全保护等级通用准则通用准则CCCCCC安全概念安全概念包括:包括:安全环境安全环境 安全目的安全目的 IT安全要求安全要求 TOE概要规范概要规范 81计算机信息系统安全保护等级通用准则通用准则CCCC安全环境包括所有相关的法规、组织性安全策略、习惯、安全环境包括所有相关的法规、组织性安全策略、习惯、专门技术和知识专门技术和知识 它定义了它定义了TOE使用的上下文,安全环境也包括环境里出使用的上下文,安全环境也包括环境里出现的安全威胁现的安全威胁 82计算机信息系统安全保护等级通用准则
50、通用准则CCCC为建立安全环境,必须考虑以下几点:为建立安全环境,必须考虑以下几点:TOE物理环境,指所有的与物理环境,指所有的与TOE安全相关的安全相关的TOE运行环运行环境,包括已知的物理和人事的安全安排境,包括已知的物理和人事的安全安排需要根据安全策略由需要根据安全策略由TOE的元素实施保护的资产。包的元素实施保护的资产。包括可直接相关的资产(如文件和数据库)和间接受安括可直接相关的资产(如文件和数据库)和间接受安全要求支配的资产(如授权凭证和全要求支配的资产(如授权凭证和IT实现本身)实现本身)TOE目的,说明产品类型和可能的目的,说明产品类型和可能的TOE用途用途 83计算机信息系统
51、安全保护等级通用准则通用准则CCCC安全环境的分析结果被用来阐明对抗已标识的威胁、说安全环境的分析结果被用来阐明对抗已标识的威胁、说明组织性安全策略和假设的安全目的明组织性安全策略和假设的安全目的安全目的和已说明的安全目的和已说明的TOE运行目标或产品目标以及有关运行目标或产品目标以及有关的物理环境知识一致的物理环境知识一致 确定安全目的的意图是为了阐明所有的安全考虑并指出确定安全目的的意图是为了阐明所有的安全考虑并指出哪些安全方面的问题是直接由哪些安全方面的问题是直接由TOE还是由它的环境来处还是由它的环境来处理理环境安全目的将在环境安全目的将在IT领域内用非技术上的或程序化的手领域内用非技
52、术上的或程序化的手段来实现段来实现 84计算机信息系统安全保护等级通用准则通用准则CCCCIT安全要求是将安全目的细化为一系列安全要求是将安全目的细化为一系列TOE及其环境的及其环境的安全要求,一旦这些要求得到满足,就可以保证安全要求,一旦这些要求得到满足,就可以保证TOE达达到它的安全目的到它的安全目的 IT安全需求只涉及安全需求只涉及TOE安全目的和它的安全目的和它的IT环境环境 85计算机信息系统安全保护等级通用准则通用准则CCCCST中提供的中提供的TOE概要规范定义概要规范定义TOE安全要求的实现方法安全要求的实现方法它提供了分别满足功能需求和保证需求的安全功能和保它提供了分别满足功
53、能需求和保证需求的安全功能和保证措施的高层定义证措施的高层定义 86计算机信息系统安全保护等级通用准则通用准则CCCCCC定义了一系列与已知有效的安全要求集合相结合的定义了一系列与已知有效的安全要求集合相结合的概念,该概念可被用来为预期的产品和系统建立安全需概念,该概念可被用来为预期的产品和系统建立安全需求求CCCC安全要求以类安全要求以类族族组件这种层次方式组织,以帮助组件这种层次方式组织,以帮助用户定位特定的安全要求用户定位特定的安全要求对功能和保证方面的要求,对功能和保证方面的要求,CC使用相同的风格、组织使用相同的风格、组织方式和术语。方式和术语。 87计算机信息系统安全保护等级通用准
54、则通用准则CCCC 要要求求的的组组织织和和结结构构88计算机信息系统安全保护等级通用准则通用准则CCCCCC中安全要求的描述方法中安全要求的描述方法:类:类:类用作最通用安全要求的组合,类的所有的成员关类用作最通用安全要求的组合,类的所有的成员关注共同的安全焦点,但覆盖不同的安全目的注共同的安全焦点,但覆盖不同的安全目的 族:类的成员被称为族族:类的成员被称为族。族是若干组安全要求的组合,族是若干组安全要求的组合,这些要求有共同的安全目的,但在侧重点和严格性上有这些要求有共同的安全目的,但在侧重点和严格性上有所区别所区别 组件:族的成员被称为组件。组件描述一组特定的安全组件:族的成员被称为组
55、件。组件描述一组特定的安全要求集,它是要求集,它是CC定义的结构中所包含的最小的可选安定义的结构中所包含的最小的可选安全要求集全要求集 89计算机信息系统安全保护等级通用准则通用准则CCCC组件由单个元素组成,元素是安全需求最低层次的表达,组件由单个元素组成,元素是安全需求最低层次的表达,并且是能被评估验证的不可分割的安全要求并且是能被评估验证的不可分割的安全要求 族内具有相同目标的组件可以以安全要求强度(或能力)族内具有相同目标的组件可以以安全要求强度(或能力)逐步增加的顺序排列,也可以部分地按相关非层次集合逐步增加的顺序排列,也可以部分地按相关非层次集合的方式组织的方式组织90计算机信息系
56、统安全保护等级通用准则通用准则CCCC组件间可能存在依赖关系组件间可能存在依赖关系 依赖关系可以存在于功能组件之间、保证组件之间以及依赖关系可以存在于功能组件之间、保证组件之间以及功能和保证组件之间功能和保证组件之间 组件间依赖关系描述是组件间依赖关系描述是CC组件定义的一部分组件定义的一部分 91计算机信息系统安全保护等级通用准则通用准则CCCC可以通过使用组件允许的操作,对组件进行裁剪可以通过使用组件允许的操作,对组件进行裁剪每一个每一个CC组件标识并定义组件允许的组件标识并定义组件允许的“赋值赋值”和和“选择选择”操作、在哪些情况下可对组件使用这些操作,以及使操作、在哪些情况下可对组件使
57、用这些操作,以及使用这些操作的后果用这些操作的后果任何一个组件均允许任何一个组件均允许“反复反复”和和“细化细化”操作操作 92计算机信息系统安全保护等级通用准则通用准则CCCC这四个操作如下所述:这四个操作如下所述:反复:在不同操作时,允许组件多次使用反复:在不同操作时,允许组件多次使用赋值:当组件被应用时,允许规定所赋予的参数赋值:当组件被应用时,允许规定所赋予的参数选择:允许从组件给出的列表中选定若干项选择:允许从组件给出的列表中选定若干项细化:当组件被应用时,允许对组件增加细节细化:当组件被应用时,允许对组件增加细节 93计算机信息系统安全保护等级通用准则通用准则CCCCCC中安全需求
58、的描述方法中安全需求的描述方法:包包: :组件的中间组合被称为包组件的中间组合被称为包 保护轮廓保护轮廓( (PP): ): PP是关于一系列满足一个安全目标集是关于一系列满足一个安全目标集的的TOETOE的、与实现无关的描述的、与实现无关的描述 安全目标安全目标( (ST) ): ST是针对特定是针对特定TOE安全要求的描述,安全要求的描述,通过评估可以证明这些安全要求对满足指定目的是有用通过评估可以证明这些安全要求对满足指定目的是有用和有效的和有效的94计算机信息系统安全保护等级通用准则通用准则CCCC包允许对功能或保证需求集合的描述,这个集合能够满包允许对功能或保证需求集合的描述,这个集
59、合能够满足一个安全目标的可标识子集足一个安全目标的可标识子集包可重复使用,可用来定义那些公认有用的、能够有效包可重复使用,可用来定义那些公认有用的、能够有效满足特定安全目标的要求满足特定安全目标的要求包可用在构造更大的包、包可用在构造更大的包、PP和和ST中中 95计算机信息系统安全保护等级通用准则通用准则CCCCPP包含一套来自包含一套来自CC(或明确阐述)的安全要求,它应(或明确阐述)的安全要求,它应包括一个评估保证级别(包括一个评估保证级别(EAL)PP可反复使用,还可用来定义那些公认有用的、能够可反复使用,还可用来定义那些公认有用的、能够有效满足特定安全目标的有效满足特定安全目标的TO
60、E要求要求PP包括安全目的和安全要求的基本原理包括安全目的和安全要求的基本原理 PP的开发者可以是用户团体、的开发者可以是用户团体、IT产品开发者或其它对定产品开发者或其它对定义这样一系列通用要求有兴趣的团体义这样一系列通用要求有兴趣的团体 96计算机信息系统安全保护等级通用准则通用准则CCCC 保护保护轮廓轮廓PP描描述结述结构构97计算机信息系统安全保护等级通用准则通用准则CCCC安全目标安全目标( (ST) )包括一系列安全要求,这些要求可以引用包括一系列安全要求,这些要求可以引用PP,也可以直接引用,也可以直接引用CC中的功能或保证组件,或明确中的功能或保证组件,或明确说明说明一个一个
61、ST包含包含TOE的概要规范,安全要求和目的,以及它的概要规范,安全要求和目的,以及它们的基本原理们的基本原理ST是所有团体间就是所有团体间就TOE应提供什么样的安全性达成一致应提供什么样的安全性达成一致的基础的基础 98计算机信息系统安全保护等级通用准则通用准则CCCC 安安全全目目标标描描述述结结构构99计算机信息系统安全保护等级通用准则通用准则CCCCCC框架下的评估类型框架下的评估类型 PP评估评估ST评估评估 TOE评估评估 100计算机信息系统安全保护等级通用准则通用准则CCCCPPPP评估是依照评估是依照CCCC第第3 3部分的部分的PPPP评估准则进行的。评估准则进行的。评估的
62、目标是为了证明评估的目标是为了证明PPPP是完备的、一致的、技术合理是完备的、一致的、技术合理的,而且适合于作为一个可评估的,而且适合于作为一个可评估TOETOE的安全要求的声明的安全要求的声明101计算机信息系统安全保护等级通用准则通用准则CCCC针对针对TOE的的ST评估是依照评估是依照CC第第3部分的部分的ST评估准则进行评估准则进行的的ST评估具有双重目标:评估具有双重目标:首先是为了证明首先是为了证明ST是完备的、一致的、技术合理的,而且适合是完备的、一致的、技术合理的,而且适合于用作相应于用作相应TOE评估的基础评估的基础其次,当某一其次,当某一ST宣称与某一宣称与某一PP一致时,
63、证明一致时,证明ST满足该满足该PP的要的要求求 102计算机信息系统安全保护等级通用准则通用准则CCCCTOE评估是使用一个已经评估过的评估是使用一个已经评估过的ST作为基础,依照作为基础,依照CC第第3部分的评估准则进行的部分的评估准则进行的评估的目标是为了证明评估的目标是为了证明TOE满足满足ST中的安全要求中的安全要求 103计算机信息系统安全保护等级通用准则通用准则CCCC三种评估的关系三种评估的关系104计算机信息系统安全保护等级通用准则通用准则CCCCCC的第二部分是安全功能要求,对满足安全需求的诸安的第二部分是安全功能要求,对满足安全需求的诸安全功能提出了详细的要求全功能提出了
64、详细的要求另外,如果有超出第二部分的安全功能要求,开发者可以另外,如果有超出第二部分的安全功能要求,开发者可以根据根据“类类- -族族- -组件组件- -元素元素”的描述结构表达其安全要求,的描述结构表达其安全要求,并附加在其并附加在其ST中中105计算机信息系统安全保护等级通用准则通用准则CCCCCC共包含的共包含的11个安全功能类,如下:个安全功能类,如下:FAU类:安全审计类:安全审计FCO类:通信类:通信FCS类:密码支持类:密码支持FDP类:用户数据保护类:用户数据保护FIA类:标识与鉴别类:标识与鉴别FMT类:安全管理类:安全管理FPR类:隐秘类:隐秘FPT类:类:TFS保护保护F
65、AU类:资源利用类:资源利用FTA类:类:TOE访问访问FTP类:可信信道类:可信信道/路径路径106计算机信息系统安全保护等级通用准则通用准则CCCCCC的第三部分是评估方法部分,提出了的第三部分是评估方法部分,提出了PP、ST、TOE三种评估,共包括三种评估,共包括10个类,但其中的个类,但其中的APE类与类与ASE类分类分别介绍了别介绍了PP与与ST的描述结构及评估准则的描述结构及评估准则维护类提出了保证评估过的受测系统或产品运行于所获维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求得的安全级别上的要求只有七个安全保证类是只有七个安全保证类是TOE的评估类别的评估类别
66、 107计算机信息系统安全保护等级通用准则通用准则CCCC七个安全保证类七个安全保证类ACMACM类:配置管理类:配置管理ADOADO类:分发与操作类:分发与操作ADVADV类:开发类:开发AGDAGD类:指导性文档类:指导性文档ALCALC类:生命周期支持类:生命周期支持ATEATE类:测试类:测试AVAAVA类:脆弱性评定类:脆弱性评定108计算机信息系统安全保护等级通用准则通用准则CCCC1998年年1月,经过两年的密切协商,来自美国、加拿大、月,经过两年的密切协商,来自美国、加拿大、法国、德国以及英国的政府组织签订了历史性的安全评法国、德国以及英国的政府组织签订了历史性的安全评估互认协
67、议:估互认协议:ITIT安全领域内安全领域内CCCC认可协议认可协议 根据该协议,在协议签署国范围内,在某个国家进行的根据该协议,在协议签署国范围内,在某个国家进行的基于基于CC的安全评估将在其他国家内得到承认的安全评估将在其他国家内得到承认截止截止20032003年年3 3月,加入该协议的国家共有十五个:澳大月,加入该协议的国家共有十五个:澳大利亚、新西兰、加拿大、芬兰、法国、德国、希腊、以利亚、新西兰、加拿大、芬兰、法国、德国、希腊、以色列、意大利、荷兰、挪威、西班牙、瑞典、英国及美色列、意大利、荷兰、挪威、西班牙、瑞典、英国及美国国 109计算机信息系统安全保护等级通用准则通用准则CCC
68、C该协议的参与者在这个领域内有共同的目的即:该协议的参与者在这个领域内有共同的目的即:确确保保ITIT产产品品及及保保护护轮轮廓廓的的评评估估遵遵循循一一致致的的标标准准,为为这这些些产产品品及及保护轮廓的安全提供足够的信心。保护轮廓的安全提供足够的信心。在在国国际际范范围围内内提提高高那那些些经经过过评评估估的的、安安全全增增强强的的ITIT产产品品及及保保护护轮廓的可用性。轮廓的可用性。消消除除ITIT产产品品及及保保护护轮轮廓廓的的重重复复评评估估,改改进进安安全全评评估估的的效效率率及及成成本效果,改进本效果,改进ITIT产品及保护轮廓的证明产品及保护轮廓的证明/ /确认过程确认过程
69、110计算机信息系统安全保护等级通用准则通用准则CCCC美美国国NSA内内部部的的可可信信产产品品评评估估计计划划(TPEP)以以及及可可信信技技术术评评价价计计划划(TTAP)最最初初根根据据TCSEC进进行行产产品品的的评评估估,但但从从1999年年2月月1日日起起,这这些些计计划划将将不不再再接接收收基基于于TCSEC的的新新的的评评估估。此此后后这这些些计计划划接接受受的的任任何何新新的的产产品品都都必必须须根根据据CC的的要要求求进进行行评评估估。到到2001年年底底,所所有有已已经经经经过过TCSEC评评估估的的产产品品,其其评评估估结结果果或或者者过过时时,或或者者转转换为换为C
70、C评估等级。评估等级。NSA已已经经将将TCSEC对对操操作作系系统统的的C2和和B1级级要要求求转转换换为为基基于于CC的的要要求求(或或PP), NSA正正在在将将TCSEC的的B2和和B3级级要要求求转转换换成成基基于于CC的的保护轮廓,但对保护轮廓,但对TCSEC中的中的A1级要求不作转换。级要求不作转换。TCSEC的可信网络解释(的可信网络解释(TNI)在使用范围上受到了限制,已经不)在使用范围上受到了限制,已经不能广泛适用于目前的网络技术,因此,能广泛适用于目前的网络技术,因此,NSA目前不计划提交与目前不计划提交与TNI相应的相应的PP 111计算机信息系统安全保护等级通用准则通
71、用准则CCCCCCTCSECITSEC-DE0EAL1-EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E6112计算机信息系统安全保护等级标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程 可信计算机系统评估准则(可信计算机系统评估准则(TCSEC) 可信网络解释可信网络解释 (TNI) 通用准则通用准则CC 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 信息安全保证技术框架信息安全保证技术框架信息系统安全保护等级应用指南信息系统安全保护等级应用指南 113计算机信息系统安全保护等级系统安全保护等级划分
72、准则系统安全保护等级划分准则我国政府及各行各业在进行大量的信息系统的建设,并我国政府及各行各业在进行大量的信息系统的建设,并且已经成为国家的重要基础设施且已经成为国家的重要基础设施 计算机犯罪、黑客攻击、有害病毒等问题的出现对社会计算机犯罪、黑客攻击、有害病毒等问题的出现对社会稳定、国家安全造成了极大的危害,信息安全的重要性稳定、国家安全造成了极大的危害,信息安全的重要性日益突出日益突出 信息系统安全问题已经被提到关系国家安全和国家主权信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度的战略性高度114计算机信息系统安全保护等级系统安全保护等级划分准则系统安全保护等级划分准则大多数信
73、息系统缺少有效的安全技术防范措施,安全性大多数信息系统缺少有效的安全技术防范措施,安全性非常脆弱非常脆弱 我国的信息系统安全专用产品市场一直被外国产品占据,我国的信息系统安全专用产品市场一直被外国产品占据,增加了新的安全隐患增加了新的安全隐患 因此,尽快建立能适应和保障我国信息产业健康发展的因此,尽快建立能适应和保障我国信息产业健康发展的国家信息系统安全等级保护制度已迫在眉睫国家信息系统安全等级保护制度已迫在眉睫 115计算机信息系统安全保护等级系统安全保护等级划分准则系统安全保护等级划分准则为了从整体上形成多级信息系统安全保护体系为了从整体上形成多级信息系统安全保护体系为了提高国家信息系统安
74、全保护能力为了提高国家信息系统安全保护能力为从根本上解决信息社会国家易受攻击的脆弱性和有效为从根本上解决信息社会国家易受攻击的脆弱性和有效预防计算机犯罪等问题预防计算机犯罪等问题中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例第九第九条明确规定,计算机信息系统实行安全等级保护条明确规定,计算机信息系统实行安全等级保护116计算机信息系统安全保护等级系统安全保护等级划分准则系统安全保护等级划分准则为切实加强重要领域信息系统安全的规范化建设和管理为切实加强重要领域信息系统安全的规范化建设和管理 全面提高国家信息系统安全保护的整体水平全面提高国家信息系统安全保护的整体
75、水平 使公安机关公共信息网络安全监察工作更加科学、规范,使公安机关公共信息网络安全监察工作更加科学、规范,指导工作更具体、明确指导工作更具体、明确 117计算机信息系统安全保护等级系统安全保护等级划分准则系统安全保护等级划分准则公安部组织制订了公安部组织制订了计算机信息系统安全保护等级划分计算机信息系统安全保护等级划分准则准则国家标准国家标准于于19991999年年9 9月月1313日由国家质量技术监督局审查通过并正日由国家质量技术监督局审查通过并正式批准发布式批准发布于于 20012001年年1 1月月1 1日执行日执行 118计算机信息系统安全保护等级系统安全保护等级划分准则系统安全保护等
76、级划分准则该准则的发布为计算机信息系统安全法规和配套标准的该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据制定和执法部门的监督检查提供了依据为安全产品的研制提供了技术支持为安全产品的研制提供了技术支持为安全系统的建设和管理提供了技术指导是我国计算机为安全系统的建设和管理提供了技术指导是我国计算机信息系统安全保护等级工作的基础信息系统安全保护等级工作的基础 119计算机信息系统安全保护等级系统安全保护等级划分准则系统安全保护等级划分准则 GA GA 388-2002 388-2002 计计算算机机信信息息系系统统安安全全等等级级保保护护操操作作系系统技术要求统技
77、术要求 GA GA 391-2002 391-2002 计计算算机机信信息息系系统统安安全全等等级级保保护护管管理理要要求求 GA/T GA/T 387-2002387-2002计计算算机机信信息息系系统统安安全全等等级级保保护护网网络络技技术要求术要求 GA/T GA/T 389-2002389-2002计计算算机机信信息息系系统统安安全全等等级级保保护护数数据据库库管理系统技术要求管理系统技术要求 GA/T GA/T 390-2002390-2002计计算算机机信信息息系系统统安安全全等等级级保保护护通通用用技技术要求术要求120计算机信息系统安全保护等级系统安全保护等级划分准则系统安全保
78、护等级划分准则准则准则规定了计算机系统安全保护能力的五个等级,即:规定了计算机系统安全保护能力的五个等级,即:第一级:用户自主保护级第一级:用户自主保护级第二级:系统审计保护级第二级:系统审计保护级第三级:安全标记保护级第三级:安全标记保护级第四级:结构化保护级第四级:结构化保护级第五级:访问验证保护级第五级:访问验证保护级 121计算机信息系统安全保护等级系统安全保护等级划分准则系统安全保护等级划分准则用户自主保护级:用户自主保护级:计算机信息系统可信计算基通过隔离用户与数据,使用计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。户具备自主安全保护的能力。它具有多种形
79、式的控制能力,对用户实施访问控制,即它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏其他用户对数据的非法读写与破坏 122计算机信息系统安全保护等级系统安全保护等级划分准则系统安全保护等级划分准则系统审计保护级:系统审计保护级:与用与用户自主保自主保护级相比相比,计算机信息系统可信计算基实,计算机信息系统可信计算基实施了粒度更细的自主访问控制施了粒度更细的自主访问控制它通过登录规程、审计安全性相关事件和隔离资源,使它通过登录规程、审计安全性相关事件和隔离资源,使用户对自
80、己的行为负责用户对自己的行为负责 123计算机信息系统安全保护等级系统安全保护等级划分准则系统安全保护等级划分准则安全标记保护级:安全标记保护级:计算机信息系统可信计算基具有系统审计保护级所有功计算机信息系统可信计算基具有系统审计保护级所有功能能此外,还提供有关安全策略模型、数据标记以及主体对此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述客体强制访问控制的非形式化描述具有准确地标记输出信息的能力具有准确地标记输出信息的能力消除通过测试发现的任何错误消除通过测试发现的任何错误 124计算机信息系统安全保护等级系统安全保护等级划分准则系统安全保护等级划分准则结构化保
81、护级:结构化保护级:计算机信息系统可信计算基建立于一个明确定义的形式计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上化安全策略模型之上要求将第三级系统中的自主和强制访问控制扩展到所有要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体主体与客体此外,还要考虑隐蔽通道此外,还要考虑隐蔽通道计算机信息系统可信计算基必须结构化为关键保护元素计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素和非关键保护元素125计算机信息系统安全保护等级系统安全保护等级划分准则系统安全保护等级划分准则计算机信息系统可信计算基的接口也必须明确定义,使计算机信息系统可信计算基的接口也
82、必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审其设计与实现能经受更充分的测试和更完整的复审加强了鉴别机制加强了鉴别机制支持系统管理员和操作员的职能支持系统管理员和操作员的职能提供可信设施管理提供可信设施管理增强了配置管理控制增强了配置管理控制系统具有相当的抗渗透能力系统具有相当的抗渗透能力 126计算机信息系统安全保护等级系统安全保护等级划分准则系统安全保护等级划分准则访问验证保护级访问验证保护级计算机信息系统可信计算基满足访问监控器需求计算机信息系统可信计算基满足访问监控器需求访问监控器仲裁主体对客体的全部访问访问监控器仲裁主体对客体的全部访问访问监控器本身是抗篡改的;必须足够
83、小,能够分析和访问监控器本身是抗篡改的;必须足够小,能够分析和测试测试127计算机信息系统安全保护等级系统安全保护等级划分准则系统安全保护等级划分准则访问验证保护级访问验证保护级支持安全管理员职能支持安全管理员职能扩充审计机制,当发生与安全相关的事件时发出信号扩充审计机制,当发生与安全相关的事件时发出信号提供系统恢复机制提供系统恢复机制系统具有很高的抗渗透能力系统具有很高的抗渗透能力 128计算机信息系统安全保护等级标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程 可信计算机系统评估准则(可信计算机系统评估准则(TCSEC) 可信网络解释可信网络解释 (TNI) 通用准
84、则通用准则CC 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 信息安全保证技术框架信息安全保证技术框架信息系统安全保护等级应用指南信息系统安全保护等级应用指南 129计算机信息系统安全保护等级信息安全保证技术框架信息安全保证技术框架(IATF)(IATF)信息保证技术框架(信息保证技术框架(Information Assurance Technical Framework:IATF)为保护政府、企业信息及信息基)为保护政府、企业信息及信息基础设施提供了技术指南础设施提供了技术指南IATF对信息保证技术四个领域的划分同样适用于信息系对信息保证技术四个领域的划分同样适用于信
85、息系统的安全评估,它给出了一种实现系统安全要素和安全统的安全评估,它给出了一种实现系统安全要素和安全服务的层次结构服务的层次结构 130计算机信息系统安全保护等级信息安全保证技术框架信息安全保证技术框架(IATF)(IATF)131计算机信息系统安全保护等级信息安全保证技术框架信息安全保证技术框架(IATF)(IATF)信息安全保证技术框架将计算机信息系统分信息安全保证技术框架将计算机信息系统分4个部分:个部分:本地计算环境本地计算环境区域边界区域边界网络和基础设施网络和基础设施支撑基础设施支撑基础设施 132计算机信息系统安全保护等级信息安全保证技术框架信息安全保证技术框架(IATF)(IA
86、TF)本地计算环境一般包括本地计算环境一般包括服务器服务器客户端及其上面的应用(如打印服务、目录服务等)客户端及其上面的应用(如打印服务、目录服务等)操作系统操作系统数据库数据库基于主机的监控组件(病毒检测、入侵检测)基于主机的监控组件(病毒检测、入侵检测) 133计算机信息系统安全保护等级信息安全保证技术框架信息安全保证技术框架(IATF)(IATF)信息安全保证技术框架将计算机信息系统分信息安全保证技术框架将计算机信息系统分4个部分:个部分:本地计算环境本地计算环境区域边界区域边界网络和基础设施网络和基础设施支撑基础设施支撑基础设施134计算机信息系统安全保护等级信息安全保证技术框架信息安
87、全保证技术框架(IATF)(IATF)区域是指在单一安全策略管理下、通过网络连接起来的区域是指在单一安全策略管理下、通过网络连接起来的计算设备的集合计算设备的集合区域边界是区域与外部网络发生信息交换的部分区域边界是区域与外部网络发生信息交换的部分 区域边界确保进入的信息不会影响区域内资源的安全,区域边界确保进入的信息不会影响区域内资源的安全,而离开的信息是经过合法授权的而离开的信息是经过合法授权的 135计算机信息系统安全保护等级信息安全保证技术框架信息安全保证技术框架(IATF)(IATF)区域边界上有效的控制措施包括区域边界上有效的控制措施包括防火墙防火墙门卫系统门卫系统VPN标识和鉴别标
88、识和鉴别访问控制等访问控制等有效的监督措施包括有效的监督措施包括基于网络的入侵检测系统(基于网络的入侵检测系统(IDS)脆弱性扫描器脆弱性扫描器局域网上的病毒检测器等局域网上的病毒检测器等 136计算机信息系统安全保护等级信息安全保证技术框架信息安全保证技术框架(IATF)(IATF)边界的主要作用是防止外来攻击边界的主要作用是防止外来攻击它也可以来对付某些恶意的内部人员它也可以来对付某些恶意的内部人员这些内部人员有可能利用边界环境来发起攻击这些内部人员有可能利用边界环境来发起攻击通过开放后门通过开放后门/隐蔽通道来为外部攻击提供方便隐蔽通道来为外部攻击提供方便137计算机信息系统安全保护等级
89、信息安全保证技术框架信息安全保证技术框架(IATF)(IATF)信息安全保证技术框架将计算机信息系统分信息安全保证技术框架将计算机信息系统分4个部分:个部分:本地计算环境本地计算环境区域边界区域边界网络和基础设施网络和基础设施支撑基础设施支撑基础设施138计算机信息系统安全保护等级信息安全保证技术框架信息安全保证技术框架(IATF)(IATF)网络和基础设施在区域之间提供连接网络和基础设施在区域之间提供连接, ,包括包括局域网(局域网(LAN)校园网(校园网(CAN)城域网(城域网(MAN)广域网等广域网等其中包括在网络节点间(如路由器和交换机)传递信息其中包括在网络节点间(如路由器和交换机)
90、传递信息的传输部件(如:卫星,微波,光纤等),以及其他重的传输部件(如:卫星,微波,光纤等),以及其他重要的网络基础设施组件如网络管理组件、域名服务器及要的网络基础设施组件如网络管理组件、域名服务器及目录服务组件等目录服务组件等 139计算机信息系统安全保护等级信息安全保证技术框架信息安全保证技术框架(IATF)(IATF)对网络和基础设施的安全要求主要是对网络和基础设施的安全要求主要是鉴别鉴别访问控制访问控制机密性机密性完整性完整性抗抵赖性抗抵赖性可用性可用性140计算机信息系统安全保护等级信息安全保证技术框架信息安全保证技术框架(IATF)(IATF)信息安全保证技术框架将计算机信息系统分
91、信息安全保证技术框架将计算机信息系统分4个部分:个部分:本地计算环境本地计算环境区域边界区域边界网络和基础设施网络和基础设施支撑基础设施支撑基础设施141计算机信息系统安全保护等级信息安全保证技术框架信息安全保证技术框架(IATF)(IATF)支撑基础设施提供了一个支撑基础设施提供了一个IA机制在网络、区域及计算环机制在网络、区域及计算环境内进行安全管理、提供安全服务所使用的基础境内进行安全管理、提供安全服务所使用的基础主要为以下内容提供安全服务:主要为以下内容提供安全服务:终端用户工作站终端用户工作站web服务服务应用应用文件文件DNS服务服务目录服务等目录服务等142计算机信息系统安全保护
92、等级信息安全保证技术框架信息安全保证技术框架(IATF)(IATF)IATF中涉及到两个方面的支撑基础设施:中涉及到两个方面的支撑基础设施:KMI/PKI检测响应基础设施检测响应基础设施KMI/PKIKMI/PKI提供了一个公钥证书及传统对称密钥的产生、提供了一个公钥证书及传统对称密钥的产生、分发及管理的统一过程分发及管理的统一过程检测及响应基础设施提供对入侵的快速检测和响应,包检测及响应基础设施提供对入侵的快速检测和响应,包括入侵检测、监控软件、括入侵检测、监控软件、CERTCERT等等 143计算机信息系统安全保护等级信息安全保证技术框架信息安全保证技术框架(IATF)(IATF)深度保卫
93、战略在信息保证技术框架(深度保卫战略在信息保证技术框架(IATF)下提出)下提出保卫网络和基础设施保卫网络和基础设施保卫边界保卫边界保卫计算环境保卫计算环境支持基础设施支持基础设施 144计算机信息系统安全保护等级信息安全保证技术框架信息安全保证技术框架(IATF)(IATF)其中使用多层信息保证(其中使用多层信息保证(IA)技术来保证信息的安全)技术来保证信息的安全意味着通过对关键部位提供适当层次的保护就可以为组意味着通过对关键部位提供适当层次的保护就可以为组织提供有效的保护织提供有效的保护这种分层的策略允许在恰当的部位存在低保证级别的应这种分层的策略允许在恰当的部位存在低保证级别的应用,而
94、在关键部位如网络边界部分采用高保证级别的应用,而在关键部位如网络边界部分采用高保证级别的应用用 145计算机信息系统安全保护等级信息安全保证技术框架信息安全保证技术框架(IATF)(IATF)区域边界保护内部的计算环境,控制外部用户的非授权区域边界保护内部的计算环境,控制外部用户的非授权访问,同时控制内部恶意用户从区域内发起攻击访问,同时控制内部恶意用户从区域内发起攻击 根据所要保护信息资源的敏感级别以及潜在的内外威胁,根据所要保护信息资源的敏感级别以及潜在的内外威胁,可将边界分为不同的层次可将边界分为不同的层次 146计算机信息系统安全保护等级信息安全保证技术框架信息安全保证技术框架(IAT
95、F)(IATF)在对信息系统进行安全评估时:在对信息系统进行安全评估时:可以依据这种多层的深度保卫战略对系统的构成进行合可以依据这种多层的深度保卫战略对系统的构成进行合理分析理分析根据系统所面临的各种威胁及实际安全需求根据系统所面临的各种威胁及实际安全需求分别对计算环境、区域边界、网络和基础设施、支撑基分别对计算环境、区域边界、网络和基础设施、支撑基础设施进行安全评估础设施进行安全评估对系统的安全保护等级作出恰当的评估对系统的安全保护等级作出恰当的评估 147计算机信息系统安全保护等级信息安全保证技术框架信息安全保证技术框架(IATF)(IATF)在网络上,有三种不同的通信流:在网络上,有三种
96、不同的通信流:用户通信流用户通信流控制通信流控制通信流管理通信流管理通信流信息系统应保证局域内这些通信流的安全信息系统应保证局域内这些通信流的安全直接假设直接假设KMI/PKI等支撑基础设施的实施过程是安全的等支撑基础设施的实施过程是安全的 148计算机信息系统安全保护等级标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程 可信计算机系统评估准则(可信计算机系统评估准则(TCSEC) 可信网络解释可信网络解释 (TNI) 通用准则通用准则CC 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 信息安全保证技术框架信息安全保证技术框架信息系统安全保护等级
97、应用指南信息系统安全保护等级应用指南 149计算机信息系统安全保护等级应用指南(通用部分)应用指南(通用部分) 前三部分主要介绍了该准则的应用范围、规范性引用文前三部分主要介绍了该准则的应用范围、规范性引用文件以及一些术语的定义。件以及一些术语的定义。应用指南用指南详细说明了明了为实现准准则所提出的安全要求所提出的安全要求应采取的具体安全策略和安全机制,以及采取的具体安全策略和安全机制,以及为确保确保实现这些安全策略和安全机制的安全功能达到其些安全策略和安全机制的安全功能达到其应具有的安全具有的安全性而采取的保性而采取的保证措施措施 150计算机信息系统安全保护等级应用指南(通用部分)应用指南
98、(通用部分) 第四部分是总体结构与说明,给出了第四部分是总体结构与说明,给出了准则准则应用指南应用指南(技术要求)的总体结构,并对有关内容作一般性说明(技术要求)的总体结构,并对有关内容作一般性说明 。包括安全要求与目标、组成与结构和一般说明。包括安全要求与目标、组成与结构和一般说明。151计算机信息系统安全保护等级应用指南(通用部分)应用指南(通用部分) 安全要求与目标安全要求与目标 :无论是安全保护框架的描述,还是安全目标的无论是安全保护框架的描述,还是安全目标的设计,都要从安全功能的完备性、一致性和有效性等方面进行考设计,都要从安全功能的完备性、一致性和有效性等方面进行考虑。虑。完备性:
99、安全保护框架(完备性:安全保护框架(PPPP)不应有安全漏洞)不应有安全漏洞一致性:安全保护框架(一致性:安全保护框架(PPPP)中的安全功能应该平滑一致)中的安全功能应该平滑一致有效性:安全保护框架(有效性:安全保护框架(PPPP)中的安全功能应该是有效的)中的安全功能应该是有效的152计算机信息系统安全保护等级应用指南(通用部分)应用指南(通用部分)应用指南在对安全功能和安全保证进行详细说明以后,应用指南在对安全功能和安全保证进行详细说明以后,对对准则准则各个安全等级的不同要求分别进行详细描述各个安全等级的不同要求分别进行详细描述安全功能主要说明一个计算机信息系统所实现的安全策安全功能主要
100、说明一个计算机信息系统所实现的安全策略和安全机制符合略和安全机制符合准则准则中哪一级的功能要求中哪一级的功能要求安全保证则是通过一定的方法保证计算机信息系统所提安全保证则是通过一定的方法保证计算机信息系统所提供的安全功能确实达到了确定的功能要求和强度供的安全功能确实达到了确定的功能要求和强度 153计算机信息系统安全保护等级应用指南(通用部分)应用指南(通用部分)安全功能要求从物理安全、运行安全和信息安全三个方安全功能要求从物理安全、运行安全和信息安全三个方面对一个安全的计算机信息系统所应提供的与安全有关面对一个安全的计算机信息系统所应提供的与安全有关的功能进行描述的功能进行描述安全保证要求则
101、分别从安全保证要求则分别从TCBTCB自身安全、自身安全、TCBTCB的设计和实现的设计和实现和和TCBTCB安全管理三个方面进行描述安全管理三个方面进行描述 154计算机信息系统安全保护等级应用指南(通用部分)应用指南(通用部分) 一一般般说说明明部部分分:对对本本指指南南内内容容、安安全全等等级级划划分分、主主体体和和客客体体、TCB、引引起起信信息息流流动动的的方方式式、密密码码技技术术、安安全全的的计算机信息系统开发方法进行了进一步的说明计算机信息系统开发方法进行了进一步的说明 155计算机信息系统安全保护等级应用指南(通用部分)应用指南(通用部分)第五部分是安全功能技术要求说明,为了
102、对计算机信息第五部分是安全功能技术要求说明,为了对计算机信息系统安全功能的实现进行了完整的描述,这里将实现这系统安全功能的实现进行了完整的描述,这里将实现这些安全功能所涉及的所有因素做了较为全面的说明些安全功能所涉及的所有因素做了较为全面的说明安全功能包括物理安全、运行安全和信息安全安全功能包括物理安全、运行安全和信息安全156计算机信息系统安全保护等级应用指南(通用部分)应用指南(通用部分)物理安全也称实体安全,是指包括环境设备和记录介质物理安全也称实体安全,是指包括环境设备和记录介质在内的所有支持信息系统运行的硬件的安全在内的所有支持信息系统运行的硬件的安全它是一个信息系统安全运行的基础它
103、是一个信息系统安全运行的基础计算机网络信息系统的实体安全包括环境安全、设备安计算机网络信息系统的实体安全包括环境安全、设备安全和介质安全全和介质安全157计算机信息系统安全保护等级应用指南(通用部分)应用指南(通用部分)运行安全是指在物理安全得到保障的前提下,为确保计运行安全是指在物理安全得到保障的前提下,为确保计算机信息系统不间断运行而采取的各种检测、监控、审算机信息系统不间断运行而采取的各种检测、监控、审计、分析、备份及容错等方法和措施计、分析、备份及容错等方法和措施 当前,保障运行安全的主要技术和机制有:风险分析,当前,保障运行安全的主要技术和机制有:风险分析,网络安全检测与监控,安全审
104、计,网络防病毒,备份与网络安全检测与监控,安全审计,网络防病毒,备份与故障恢复,以及计算机信息系统应急计划与应急措施等故障恢复,以及计算机信息系统应急计划与应急措施等 158计算机信息系统安全保护等级应用指南(通用部分)应用指南(通用部分)信息安全是指在计算机信息系统运行安全得到保证的前信息安全是指在计算机信息系统运行安全得到保证的前提下,对在计算机信息系统中存储、传输和处理的信息提下,对在计算机信息系统中存储、传输和处理的信息进行有效的保护,使其不因人为的或自然的原因被泄露、进行有效的保护,使其不因人为的或自然的原因被泄露、篡改和破坏篡改和破坏当前常用的信息保护技术有:进入系统用户的标识和鉴
105、当前常用的信息保护技术有:进入系统用户的标识和鉴别、信息交换的安全鉴别、隐秘、自主访问控制、标记别、信息交换的安全鉴别、隐秘、自主访问控制、标记与强制访问控制、数据保密性保护、数据完整性保护、与强制访问控制、数据保密性保护、数据完整性保护、剩余信息保护及密码支持等剩余信息保护及密码支持等159计算机信息系统安全保护等级应用指南(通用部分)应用指南(通用部分)第六部分是安全保证技术要求说明第六部分是安全保证技术要求说明为了确保所要求的安全功能达到所确定的安全目标,必为了确保所要求的安全功能达到所确定的安全目标,必须从以下方面保证安全功能从设计、实现到运行管理等须从以下方面保证安全功能从设计、实现
106、到运行管理等各个环节严格按照所规定的要求进行各个环节严格按照所规定的要求进行 :TCB自身安全保护自身安全保护TCB设计和实现设计和实现TCB安全管理安全管理160计算机信息系统安全保护等级应用指南(通用部分)应用指南(通用部分)TCB自身安全保护是指,一方面提供与自身安全保护是指,一方面提供与TSF机制的完整机制的完整性和管理有关的保护,另一方面提供与性和管理有关的保护,另一方面提供与TSF数据的完整数据的完整性有关的保护性有关的保护 TCB自身安全保护可能采用与对用户数据安全保护相同自身安全保护可能采用与对用户数据安全保护相同的安全策略和机制,但其所要实现的目标是不同的。的安全策略和机制,
107、但其所要实现的目标是不同的。前者是为了自身更健壮,从而使其所提供的安全功能更前者是为了自身更健壮,从而使其所提供的安全功能更有保证;后者则是为了实现其直接所提供的安全功能有保证;后者则是为了实现其直接所提供的安全功能 161计算机信息系统安全保护等级应用指南(通用部分)应用指南(通用部分)TCB自身安全保护的内容主要包括自身安全保护的内容主要包括: 根本的抽象机测试、失败保护、输出根本的抽象机测试、失败保护、输出TSF数据的可用性、数据的可用性、输出输出TSF数据的保密性、输出数据的保密性、输出TSF数据的完整性、数据的完整性、TCB内内TSF数据传输、物理安全保护、可信恢复、重放检测、数据传
108、输、物理安全保护、可信恢复、重放检测、参照仲裁、域分离、状态同步协议、时间戳、参照仲裁、域分离、状态同步协议、时间戳、TSF间的间的TSF数据的一致性、数据的一致性、TCB内内TSF数据复制的一致性、数据复制的一致性、TSF自检、资源利用、自检、资源利用、TCB访问控制、可信路径访问控制、可信路径 162计算机信息系统安全保护等级应用指南(通用部分)应用指南(通用部分)TCB设计和实现是确保设计和实现是确保TCB自身安全的重要组成部分自身安全的重要组成部分本部分从配置管理、分发和操作、开发、指导性文档、本部分从配置管理、分发和操作、开发、指导性文档、生命周期支持、测试、脆弱性评定等方面对安全保
109、证的生命周期支持、测试、脆弱性评定等方面对安全保证的技术要求进行说明技术要求进行说明 163计算机信息系统安全保护等级应用指南(通用部分)应用指南(通用部分)TCB安全管理是指与安全技术和策略密切相关的管理,安全管理是指与安全技术和策略密切相关的管理,是安全系统设计的延伸是安全系统设计的延伸在计算机信息系统中,安全管理是指对与在计算机信息系统中,安全管理是指对与TCB安全相关安全相关方面的管理方面的管理安全管理一般设置专门的安全管理人员,通过操作专门安全管理一般设置专门的安全管理人员,通过操作专门的安全界面实现的安全界面实现安全管理对不同的管理角色和它们之间的相互作用安全管理对不同的管理角色和
110、它们之间的相互作用(如如能力的分离能力的分离)进行规定进行规定164计算机信息系统安全保护等级应用指南(通用部分)应用指南(通用部分) 安全管理包括:安全管理包括:TSF的功能管理的功能管理安全属性的管理安全属性的管理TSF数据的管理数据的管理安全角色的定义与管理安全角色的定义与管理安全属性的到期和撤消等安全属性的到期和撤消等 165计算机信息系统安全保护等级应用指南(网络部分)应用指南(网络部分)应用指南(网络部分)主要从对网络系统的安全等级进应用指南(网络部分)主要从对网络系统的安全等级进行划分的角度来说明不同安全等级在安全功能方面的特行划分的角度来说明不同安全等级在安全功能方面的特定技术
111、要求定技术要求本部分中的安全技术要求,适用于以各种形式连接的网本部分中的安全技术要求,适用于以各种形式连接的网络环境,无论是构成分布式系统的网络环境,还是连接络环境,无论是构成分布式系统的网络环境,还是连接计算机系统的局域或广域网环境计算机系统的局域或广域网环境 166计算机信息系统安全保护等级应用指南(网络部分)应用指南(网络部分)根根据据ISO/OSI的的七七层层体体系系结结构构,网网络络安安全全机机制制在在各各层层的的分分布如下:布如下:物理层:数据流加密机制物理层:数据流加密机制数据链路层:数据加密机制数据链路层:数据加密机制网网络络层层:身身份份认认证证机机制制,访访问问控控制制机机
112、制制,数数据据加加密密机机制制,路路由由控控制制机机制制,一致性检查机制一致性检查机制传输层:身份认证机制,访问控制机制,数据加密机制传输层:身份认证机制,访问控制机制,数据加密机制会会话话层层:身身份份认认证证机机制制,访访问问控控制制机机制制,数数据据加加密密机机制制,数数字字签签名名机机制制,交换认证(抗抵赖)机制交换认证(抗抵赖)机制表表示示层层:身身份份认认证证机机制制,访访问问控控制制机机制制,数数据据加加密密机机制制,数数字字签签名名机机制制,交换认证(抗抵赖)机制交换认证(抗抵赖)机制应应用用层层:身身份份认认证证机机制制,访访问问控控制制机机制制,数数据据加加密密机机制制,数
113、数字字签签名名机机制制,交换认证(抗抵赖)机制,业务流分析机制交换认证(抗抵赖)机制,业务流分析机制 167计算机信息系统安全保护等级应用指南(网络部分)应用指南(网络部分)网络系统安全体系结构是由物理层、链路层、网络层、网络系统安全体系结构是由物理层、链路层、网络层、会话层、表示层、以及应用层信息系统所组成会话层、表示层、以及应用层信息系统所组成 对于网络信息系统的每个分系统,都可按对于网络信息系统的每个分系统,都可按计算机信息计算机信息系统安全保护等级划分准则系统安全保护等级划分准则的要求,对其安全性等级的要求,对其安全性等级进行划分评估进行划分评估 在各层中,安全要素的实现方法会有所不同
114、在各层中,安全要素的实现方法会有所不同 对于每一个安全要素,将从其所提供的安全功能和安全对于每一个安全要素,将从其所提供的安全功能和安全保证措施来说明各个等级的差别保证措施来说明各个等级的差别 168计算机信息系统安全保护等级应用指南(网络部分)应用指南(网络部分)一般说明部分包括本指南内容、安全等级划分、主体和一般说明部分包括本指南内容、安全等级划分、主体和客体、客体、TCB、引起信息流动的方式、密码技术、安全网、引起信息流动的方式、密码技术、安全网络系统实现方法络系统实现方法169计算机信息系统安全保护等级应用指南(网络部分)应用指南(网络部分)网络系统安全技术说明部分对各种安全要素的策略
115、、机网络系统安全技术说明部分对各种安全要素的策略、机制、功能、用户属性定义、安全管理和技术要求等做了制、功能、用户属性定义、安全管理和技术要求等做了具体的说明具体的说明主要包括自主访问控制、强制访问控制、标记、标识和主要包括自主访问控制、强制访问控制、标记、标识和鉴别、客体重用、审计、数据完整性、隐蔽信道分析、鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复、通信安全、密码支持可信路径、可信恢复、通信安全、密码支持 170计算机信息系统安全保护等级应用指南(网络部分)应用指南(网络部分)网络系统安全保护等级划分技术要求部分:网络系统安全保护等级划分技术要求部分:针对七层网络体
116、系结构中的每一层,介绍了各个安全等针对七层网络体系结构中的每一层,介绍了各个安全等级的具体要求,以及每个等级中对各个安全要素的具体级的具体要求,以及每个等级中对各个安全要素的具体要求要求同时针对每个安全等级,介绍了在网络体系结构每层的同时针对每个安全等级,介绍了在网络体系结构每层的具体要求,以及每层中对各个安全要求的具体要求具体要求,以及每层中对各个安全要求的具体要求 171计算机信息系统安全保护等级应用指南(网络部分)应用指南(网络部分)第七部分是网络设备可能对应的安全保护等级,主要介第七部分是网络设备可能对应的安全保护等级,主要介绍了各类网络设备可能对应的安全保护等级绍了各类网络设备可能对
117、应的安全保护等级 172计算机信息系统安全保护等级参考网址参考网址 library library of of TCSEC final evaluation reportTCSEC final evaluation report) http:/niap.nist.gov/cc-scheme/iwg-cc-http:/niap.nist.gov/cc-scheme/iwg-cc-public/ob_by_number.html (public index to IWG queue)public/ob_by_number.html (public index to IWG queue) www.itsec.gov.uk www.itsec.gov.uk .mitre.org (open vulnerability assessment language).mitre.org (open vulnerability assessment language)173计算机信息系统安全保护等级
