收藏
下载资源 加入VIP免费专享

网络与信息安全计算机信息系统安全评估标准介绍ppt课件.ppt

上传人:小飞机 文档编号:1432777 上传时间:2022-11-23 格式:PPT 页数:148 大小:698KB
返回 下载 相关 举报
网络与信息安全计算机信息系统安全评估标准介绍ppt课件.ppt_第1页
第1页 / 共148页
网络与信息安全计算机信息系统安全评估标准介绍ppt课件.ppt_第2页
第2页 / 共148页
网络与信息安全计算机信息系统安全评估标准介绍ppt课件.ppt_第3页
第3页 / 共148页
网络与信息安全计算机信息系统安全评估标准介绍ppt课件.ppt_第4页
第4页 / 共148页
网络与信息安全计算机信息系统安全评估标准介绍ppt课件.ppt_第5页
第5页 / 共148页
点击查看更多>>
资源描述

《网络与信息安全计算机信息系统安全评估标准介绍ppt课件.ppt》由会员分享,可在线阅读,更多相关《网络与信息安全计算机信息系统安全评估标准介绍ppt课件.ppt(148页珍藏版)》请在三一办公上搜索。

1、1,网络与信息安全第十七讲 计算机信息系统安全评估标准介绍闫 强 北京大学信息科学技术学院软件研究所信息安全研究室,2003年春季北京大学硕士研究生课程,2,标准介绍,信息技术安全评估准则发展过程 可信计算机系统评估准则(TCSEC )可信网络解释(TNI) 通用准则CC 计算机信息系统安全保护等级划分准则信息系统安全评估方法探讨,3,信息技术安全评估准则发展过程,信息技术安全评估是对一个构件、产品、子系统或系统的安全属性进行的技术评价,通过评估判断该构件、产品、子系统或系统是否满足一组特定的要求。信息技术安全评估的另一层含义是在一定的安全策略、安全功能需求及目标保证级别下获得相应保证的过程

2、。 产品安全评估信息系统安全评估信息系统安全评估,或简称为系统评估,是在具体的操作环境与任务下对一个系统的安全保护能力进行的评估 。,4,信息技术安全评估准则发展过程,20世纪60年代后期,1967年美国国防部(DOD)成立了一个研究组,针对当时计算机使用环境中的安全策略进行研究,其研究结果是“Defense Science Board report”70年代的后期DOD对当时流行的操作系统KSOS,PSOS,KVM进行了安全方面的研究,5,信息技术安全评估准则发展过程,80年代后,美国国防部发布的“可信计算机系统评估准则(TCSEC)”(即桔皮书)后来DOD又发布了可信数据库解释(TDI)、

3、可信网络解释(TNI)等一系列相关的说明和指南 90年代初,英、法、德、荷等四国针对TCSEC准则的局限性,提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”(ITSEC),定义了从E0级到E6级的七个安全等级,6,信息技术安全评估准则发展过程,加拿大1988年开始制订The Canadian Trusted Computer Product Evaluation Criteria (CTCPEC) 1993年,美国对TCSEC作了补充和修改,制定了“组合的联邦标准”(简称FC) 国际标准化组织(ISO)从1990年开始开发通用的国际标准评估准则,7,信息技术安全评估准则发展过程

4、,在1993年6月,CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来,将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则 发起组织包括六国七方:加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA,他们的代表建立了CC编辑委员会(CCEB)来开发CC,8,信息技术安全评估准则发展过程,1996年1月完成CC1.0版 ,在1996年4月被ISO采纳 1997年10月完成CC2.0的测试版 1998年5月发布CC2.0版 1999年12月ISO采纳CC,并作为国际标准ISO 15408发布,9,安全评估标准的发展历程,10,标准介绍,信息技术安全评估准则发展过程 可信

5、计算机系统评估准则(TCSEC) 可信网络解释 (TNI) 通用准则CC 计算机信息系统安全保护等级划分准则 信息系统安全评估方法探讨,11,TCSEC,在TCSEC中,美国国防部按处理信息的等级和应采用的响应措施,将计算机安全从高到低分为:A、B、C、D四类八个级别,共27条评估准则随着安全等级的提高,系统的可信度随之增加,风险逐渐减少。,12,TCSEC,四个安全等级:无保护级 自主保护级 强制保护级验证保护级,13,TCSEC,D类是最低保护等级,即无保护级 是为那些经过评估,但不满足较高评估等级要求的系统设计的,只具有一个级别 该类是指不符合要求的那些系统,因此,这种系统不能在多用户环

6、境下处理敏感信息,14,TCSEC,四个安全等级:无保护级 自主保护级 强制保护级验证保护级,15,TCSEC,C类为自主保护级具有一定的保护能力,采用的措施是自主访问控制和审计跟踪 一般只适用于具有一定等级的多用户环境具有对主体责任及其动作审计的能力,16,TCSEC,C类分为C1和C2两个级别: 自主安全保护级(C1级) 控制访问保护级(C2级),17,TCSEC,C1级TCB通过隔离用户与数据,使用户具备自主安全保护的能力 它具有多种形式的控制能力,对用户实施访问控制为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏C1级的系统适用于处理同一敏感级别数据的多用

7、户环境,18,TCSEC,C2级计算机系统比C1级具有更细粒度的自主访问控制C2级通过注册过程控制、审计安全相关事件以及资源隔离,使单个用户为其行为负责,19,TCSEC,四个安全等级:无保护级 自主保护级 强制保护级验证保护级,20,TCSEC,B类为强制保护级 主要要求是TCB应维护完整的安全标记,并在此基础上执行一系列强制访问控制规则B类系统中的主要数据结构必须携带敏感标记系统的开发者还应为TCB提供安全策略模型以及TCB规约应提供证据证明访问监控器得到了正确的实施,21,TCSEC,B类分为三个类别:标记安全保护级(B1级) 结构化保护级(B2级) 安全区域保护级(B3级),22,TC

8、SEC,B1级系统要求具有C2级系统的所有特性 在此基础上,还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制并消除测试中发现的所有缺陷,23,TCSEC,B类分为三个类别:标记安全保护级(B1级) 结构化保护级(B2级) 安全区域保护级(B3级),24,TCSEC,在B2级系统中,TCB建立于一个明确定义并文档化形式化安全策略模型之上要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体在此基础上,应对隐蔽信道进行分析TCB应结构化为关键保护元素和非关键保护元素,25,TCSEC,TCB接口必须明确定义其设计与实现应能够经受更充分的测试和更完善的审查鉴别机

9、制应得到加强,提供可信设施管理以支持系统管理员和操作员的职能提供严格的配置管理控制B2级系统应具备相当的抗渗透能力,26,TCSEC,B类分为三个类别:标记安全保护级(B1级) 结构化保护级(B2级) 安全区域保护级(B3级),27,TCSEC,在B3级系统中,TCB必须满足访问监控器需求访问监控器对所有主体对客体的访问进行仲裁访问监控器本身是抗篡改的访问监控器足够小访问监控器能够分析和测试,28,TCSEC,为了满足访问控制器需求:计算机信息系统可信计算基在构造时,排除那些对实施安全策略来说并非必要的代码计算机信息系统可信计算基在设计和实现时,从系统工程角度将其复杂性降低到最小程度,29,T

10、CSEC,B3级系统支持:安全管理员职能扩充审计机制当发生与安全相关的事件时,发出信号提供系统恢复机制系统具有很高的抗渗透能力,30,TCSEC,四个安全等级:无保护级 自主保护级 强制保护级验证保护级,31,TCSEC,A类为验证保护级A类的特点是使用形式化的安全验证方法,保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息为证明TCB满足设计、开发及实现等各个方面的安全要求,系统应提供丰富的文档信息,32,TCSEC,A类分为两个类别:验证设计级(A1级) 超A1级,33,TCSEC,A1级系统在功能上和B3级系统是相同的,没有增加体系结构特性和策略要求最

11、显著的特点是,要求用形式化设计规范和验证方法来对系统进行分析,确保TCB按设计要求实现从本质上说,这种保证是发展的,它从一个安全策略的形式化模型和设计的形式化高层规约(FTLS)开始,34,TCSEC,针对A1级系统设计验证,有5种独立于特定规约语言或验证方法的重要准则:安全策略的形式化模型必须得到明确标识并文档化,提供该模型与其公理一致以及能够对安全策略提供足够支持的数学证明 应提供形式化的高层规约,包括TCB功能的抽象定义、用于隔离执行域的硬件/固件机制的抽象定义,35,TCSEC,应通过形式化的技术(如果可能的化)和非形式化的技术证明TCB的形式化高层规约(FTLS)与模型是一致的 通过

12、非形式化的方法证明TCB的实现(硬件、固件、软件)与形式化的高层规约(FTLS)是一致的。应证明FTLS的元素与TCB的元素是一致的,FTLS应表达用于满足安全策略的一致的保护机制,这些保护机制的元素应映射到TCB的要素,36,TCSEC,应使用形式化的方法标识并分析隐蔽信道,非形式化的方法可以用来标识时间隐蔽信道,必须对系统中存在的隐蔽信道进行解释,37,TCSEC,A1级系统:要求更严格的配置管理要求建立系统安全分发的程序支持系统安全管理员的职能,38,TCSEC,A类分为两个类别:验证设计级(A1级) 超A1级,39,TCSEC,超A1级在A1级基础上增加的许多安全措施超出了目前的技术发

13、展随着更多、更好的分析技术的出现,本级系统的要求才会变的更加明确今后,形式化的验证方法将应用到源码一级,并且时间隐蔽信道将得到全面的分析,40,TCSEC,在这一级,设计环境将变的更重要形式化高层规约的分析将对测试提供帮助TCB开发中使用的工具的正确性及TCB运行的软硬件功能的正确性将得到更多的关注,41,TCSEC,超A1级系统涉及的范围包括:系统体系结构安全测试形式化规约与验证可信设计环境等,42,标准介绍,信息技术安全评估准则发展过程 可信计算机系统评估准则(TCSEC) 可信网络解释 (TNI) 通用准则CC 计算机信息系统安全保护等级划分准则 信息系统安全评估方法探讨,43,可信网络

14、解释(TNI),美国国防部计算机安全评估中心在完成TCSEC的基础上,又组织了专门的研究镞对可信网络安全评估进行研究,并于1987年发布了以TCSEC为基础的可信网络解释,即TNI。TNI包括两个部分(Part I和Part II)及三个附录(APPENDIX A、B、C),44,可信网络解释(TNI),TNI第一部分提供了在网络系统作为一个单一系统进行评估时TCSEC中各个等级(从D到A类)的解释与单机系统不同的是,网络系统的可信计算基称为网络可信计算基(NTCB),45,可信网络解释(TNI),第二部分以附加安全服务的形式提出了在网络互联时出现的一些附加要求这些要求主要是针对完整性、可用性

15、和保密性的,46,可信网络解释(TNI),第二部分的评估是定性的,针对一个服务进行评估的结果一般分为为: none minimum fair good,47,可信网络解释(TNI),第二部分中关于每个服务的说明一般包括:一种相对简短的陈述相关的功能性的讨论 相关机制强度的讨论 相关保证的讨论,48,可信网络解释(TNI),功能性是指一个安全服务的目标和实现方法,它包括特性、机制及实现 机制的强度是指一种方法实现其目标的程度有些情况下,参数的选择会对机制的强度带来很大的影响,49,可信网络解释(TNI),保证是指相信一个功能会实现的基础保证一般依靠对理论、测试、软件工程等相关内容的分析分析可以是

16、形式化或非形式化的,也可以是理论的或应用的,50,可信网络解释(TNI),第二部分中列出的安全服务有: 通信完整性 拒绝服务 机密性,51,可信网络解释(TNI),通信完整性主要涉及以下3方面:鉴别:网络中应能够抵抗欺骗和重放攻击 通信字段完整性:保护通信中的字段免受非授权的修改 抗抵赖:提供数据发送、接受的证据,52,可信网络解释(TNI),当网络处理能力下降到一个规定的界限以下或远程实体无法访问时,即发生了拒绝服务所有由网络提供的服务都应考虑拒绝服务的情况网络管理者应决定网络拒绝服务需求,53,可信网络解释(TNI),解决拒绝服务的方法有: 操作连续性 基于协议的拒绝服务保护 网络管理,5

17、4,可信网络解释(TNI),机密性是一系列安全服务的总称 这些服务都是关于通过计算机通信网络在实体间传输信息的安全和保密的 具体又分3种情况: 数据保密 通信流保密 选择路由,55,可信网络解释(TNI),数据保密:数据保密性服务保护数据不被未授权地泄露数据保密性主要受搭线窃听的威胁被动的攻击包括对线路上传输的信息的观测,56,可信网络解释(TNI),通信流保密:针对通信流分析攻击而言,通信流分析攻击分析消息的长度、频率及协议的内容(如地址)并以此推出消息的内容,57,可信网络解释(TNI),选择路由:路由选择控制是在路由选择过程中应用规则,以便具体的选取或回避某些网络、链路或中继路由能动态的

18、或预定地选取,以便只使用物理上安全的子网络、链路或中继在检测到持续的操作攻击时,端系统可希望指示网络服务的提供者经不同的路由建立连接带有某些安全标记的数据可能被策略禁止通过某些子网络、链路或中继,58,可信网络解释(TNI),TNI第二部分的评估更多地表现出定性和主观的特点,同第一部分相比表现出更多的变化第二部分的评估是关于被评估系统能力和它们对特定应用环境的适合性的非常有价值的信息第二部分中所列举的安全服务是网络环境下有代表性的安全服务在不同的环境下,并非所有的服务都同等重要,同一服务在不同环境下的重要性也不一定一样,59,可信网络解释(TNI),TNI的附录A是第一部分的扩展,主要是关于网

19、络中组件及组件组合的评估附录A把TCSEC为A1级系统定义的安全相关的策略分为四个相对独立的种类,他们分别支持强制访问控制(MAC),自主访问控制(DAC),身份鉴别(IA),审计(AUDIT),60,可信网络解释(TNI),61,可信网络解释(TNI),附录B给出了根据TCSEC对网络组件进行评估的基本原理 附录C则给出了几个AIS互联时的认证指南及互联中可能遇到的问题,62,可信网络解释(TNI),TNI中关于网络有两种概念: 一是单一可信系统的概念(single trusted system)另一个是互联信息系统的概念(interconnected AIS)这两个概念并不互相排斥,63,

20、可信网络解释(TNI),在单一可信系统中,网络具有包括各个安全相关部分的单一TCB,称为NTCB(network trusted computing base)NTCB作为一个整体满足系统的安全体系设计,64,可信网络解释(TNI),在互联信息系统中各个子系统可能具有不同的安全策略具有不同的信任等级并且可以分别进行评估各个子系统甚至可能是异构的,65,可信网络解释(TNI),安全策略的实施一般控制在各个子系统内,在附录C中给出了各个子系统安全地互联的指南,在互联时要控制局部风险的扩散,排除整个系统中的级联问题(cascade problem)限制局部风险的扩散的方法:单向连接、传输的手工检测、

21、加密、隔离或其他措施。,66,标准介绍,信息技术安全评估准则发展过程 可信计算机系统评估准则(TCSEC) 可信网络解释 (TNI) 通用准则CC 计算机信息系统安全保护等级划分准则信息系统安全评估方法探讨,67,通用准则CC,CC的范围 :CC适用于硬件、固件和软件实现的信息技术安全措施而某些内容因涉及特殊专业技术或仅是信息技术安全的外围技术不在CC的范围内,68,通用准则CC,评估上下文,69,通用准则CC,使用通用评估方法学可以提供结果的可重复性和客观性许多评估准则需要使用专家判断和一定的背景知识为了增强评估结果的一致性,最终的评估结果应提交给一个认证过程,该过程是一个针对评估结果的独立

22、的检查过程,并生成最终的证书或正式批文,70,通用准则CC,CC包括三个部分: 第一部分:简介和一般模型 第二部分:安全功能要求 第三部分:安全保证要求,71,通用准则CC,安全保证要求部分提出了七个评估保证级别(Evaluation Assurance Levels:EALs)分别是:EAL1:功能测试EAL2:结构测试EAL3:系统测试和检查EAL4:系统设计、测试和复查EAL5:半形式化设计和测试EAL6:半形式化验证的设计和测试EAL7:形式化验证的设计和测试,72,通用准则CC,安全就是保护资产不受威胁,威胁可依据滥用被保护资产的可能性进行分类 所有的威胁类型都应该被考虑到在安全领域

23、内,被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的,73,通用准则CC,安全概念和关系,74,通用准则CC,安全性损坏一般包括但又不仅仅包括以下几项资产破坏性地暴露于未授权的接收者(失去保密性)资产由于未授权的更改而损坏(失去完整性)或资产访问权被未授权的丧失(失去可用性),75,通用准则CC,资产所有者必须分析可能的威胁并确定哪些存在于他们的环境,其后果就是风险 对策用以(直接或间接地)减少脆弱性并满足资产所有者的安全策略 在将资产暴露于特定威胁之前,所有者需要确信其对策足以应付面临的威胁,76,通用准则CC,评估概念 和关系,77,通用准则CC,TOE评估过程,78,通用准则CC

24、,评估过程通过两种途径产生更好的安全产品评估过程能发现开发者可以纠正的TOE错误或弱点,从而在减少将来操作中安全失效的可能性另一方面,为了通过严格的评估,开发者在TOE设计和开发时也将更加细心因此,评估过程对最初需求、开发过程、最终产品以及操作环境将产生强烈的积极影响,79,通用准则CC,CC安全概念包括:安全环境 安全目的 IT安全要求 TOE概要规范,80,通用准则CC,安全环境包括所有相关的法规、组织性安全策略、习惯、专门技术和知识 它定义了TOE使用的上下文,安全环境也包括环境里出现的安全威胁,81,通用准则CC,安全环境的分析结果被用来阐明对抗已标识的威胁、说明组织性安全策略和假设的

25、安全目的安全目的和已说明的TOE运行目标或产品目标以及有关的物理环境知识一致 确定安全目的的意图是为了阐明所有的安全考虑并指出哪些安全方面的问题是直接由TOE还是由它的环境来处理环境安全目的将在IT领域内用非技术上的或程序化的手段来实现,82,通用准则CC,IT安全要求是将安全目的细化为一系列TOE及其环境的安全要求,一旦这些要求得到满足,就可以保证TOE达到它的安全目的 IT安全需求只涉及TOE安全目的和它的IT环境,83,通用准则CC,CC定义了一系列与已知有效的安全要求集合相结合的概念,该概念可被用来为预期的产品和系统建立安全需求CC安全要求以类族组件这种层次方式组织,以帮助用户定位特定

26、的安全要求对功能和保证方面的要求,CC使用相同的风格、组织方式和术语。,84,通用准则CC,CC中安全要求的描述方法:类:类用作最通用安全要求的组合,类的所有的成员关注共同的安全焦点,但覆盖不同的安全目的 族:类的成员被称为族。族是若干组安全要求的组合,这些要求有共同的安全目的,但在侧重点和严格性上有所区别 组件:族的成员被称为组件。组件描述一组特定的安全要求集,它是CC定义的结构中所包含的最小的可选安全要求集,85,通用准则CC,组件由单个元素组成,元素是安全需求最低层次的表达,并且是能被评估验证的不可分割的安全要求 族内具有相同目标的组件可以以安全要求强度(或能力)逐步增加的顺序排列,也可

27、以部分地按相关非层次集合的方式组织,86,通用准则CC,组件间可能存在依赖关系 依赖关系可以存在于功能组件之间、保证组件之间以及功能和保证组件之间 组件间依赖关系描述是CC组件定义的一部分,87,通用准则CC,可以通过使用组件允许的操作,对组件进行裁剪每一个CC组件标识并定义组件允许的“赋值”和“选择”操作、在哪些情况下可对组件使用这些操作,以及使用这些操作的后果任何一个组件均允许“反复”和“细化”操作,88,通用准则CC,这四个操作如下所述:反复:在不同操作时,允许组件多次使用赋值:当组件被应用时,允许规定所赋予的参数选择:允许从组件给出的列表中选定若干项细化:当组件被应用时,允许对组件增加

28、细节,89,通用准则CC,要求的组织和结构,90,通用准则CC,CC中安全需求的描述方法:包:组件的中间组合被称为包 保护轮廓(PP): PP是关于一系列满足一个安全目标集的TOE的、与实现无关的描述 安全目标(ST): ST是针对特定TOE安全要求的描述,通过评估可以证明这些安全要求对满足指定目的是有用和有效的,91,通用准则CC,包允许对功能或保证需求集合的描述,这个集合能够满足一个安全目标的可标识子集包可重复使用,可用来定义那些公认有用的、能够有效满足特定安全目标的要求包可用在构造更大的包、PP和ST中,92,通用准则CC,PP包含一套来自CC(或明确阐述)的安全要求,它应包括一个评估保

29、证级别(EAL)PP可反复使用,还可用来定义那些公认有用的、能够有效满足特定安全目标的TOE要求PP包括安全目的和安全要求的基本原理 PP的开发者可以是用户团体、IT产品开发者或其它对定义这样一系列通用要求有兴趣的团体,93,通用准则CC,保护轮廓PP描述结构,94,通用准则CC,安全目标(ST)包括一系列安全要求,这些要求可以引用PP,也可以直接引用CC中的功能或保证组件,或明确说明一个ST包含TOE的概要规范,安全要求和目的,以及它们的基本原理ST是所有团体间就TOE应提供什么样的安全性达成一致的基础,95,通用准则CC,安全目标描述结构,96,通用准则CC,CC框架下的评估类型 PP评估

30、ST评估 TOE评估,97,通用准则CC,PP评估是依照CC第3部分的PP评估准则进行的。评估的目标是为了证明PP是完备的、一致的、技术合理的,而且适合于作为一个可评估TOE的安全要求的声明,98,通用准则CC,针对TOE的ST评估是依照CC第3部分的ST评估准则进行的ST评估具有双重目标:首先是为了证明ST是完备的、一致的、技术合理的,而且适合于用作相应TOE评估的基础其次,当某一ST宣称与某一PP一致时,证明ST满足该PP的要求,99,通用准则CC,TOE评估是使用一个已经评估过的ST作为基础,依照CC第3部分的评估准则进行的评估的目标是为了证明TOE满足ST中的安全要求,100,通用准则

31、CC,三种评估的关系,101,通用准则CC,CC的第二部分是安全功能要求,对满足安全需求的诸安全功能提出了详细的要求另外,如果有超出第二部分的安全功能要求,开发者可以根据“类-族-组件-元素”的描述结构表达其安全要求,并附加在其ST中,102,通用准则CC,CC共包含的11个安全功能类,如下:FAU类:安全审计FCO类:通信FCS类:密码支持FDP类:用户数据保护FIA类:标识与鉴别FMT类:安全管理FPR类:隐秘FPT类:TFS保护FAU类:资源利用FTA类:TOE访问FTP类:可信信道/路径,103,通用准则CC,CC的第三部分是评估方法部分,提出了PP、ST、TOE三种评估,共包括10个

32、类,但其中的APE类与ASE类分别介绍了PP与ST的描述结构及评估准则维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求只有七个安全保证类是TOE的评估类别,104,通用准则CC,七个安全保证类ACM类:配置管理ADO类:分发与操作ADV类:开发AGD类:指导性文档ALC类:生命周期支持ATE类:测试AVA类:脆弱性评定,105,通用准则CC,1998年1月,经过两年的密切协商,来自美国、加拿大、法国、德国以及英国的政府组织签订了历史性的安全评估互认协议:IT安全领域内CC认可协议 根据该协议,在协议签署国范围内,在某个国家进行的基于CC的安全评估将在其他国家内得到承认截止2

33、003年3月,加入该协议的国家共有十五个:澳大利亚、新西兰、加拿大、芬兰、法国、德国、希腊、以色列、意大利、荷兰、挪威、西班牙、瑞典、英国及美国,106,通用准则CC,该协议的参与者在这个领域内有共同的目的即:确保IT产品及保护轮廓的评估遵循一致的标准,为这些产品及保护轮廓的安全提供足够的信心。在国际范围内提高那些经过评估的、安全增强的IT产品及保护轮廓的可用性。消除IT产品及保护轮廓的重复评估,改进安全评估的效率及成本效果,改进IT产品及保护轮廓的证明/确认过程,107,通用准则CC,美国NSA内部的可信产品评估计划(TPEP)以及可信技术评价计划(TTAP)最初根据TCSEC进行产品的评估

34、,但从1999年2月1日起,这些计划将不再接收基于TCSEC的新的评估。此后这些计划接受的任何新的产品都必须根据CC的要求进行评估。到2001年底,所有已经经过TCSEC评估的产品,其评估结果或者过时,或者转换为CC评估等级。NSA已经将TCSEC对操作系统的C2和B1级要求转换为基于CC的要求(或PP), NSA正在将TCSEC的B2和B3级要求转换成基于CC的保护轮廓,但对TCSEC中的A1级要求不作转换。TCSEC的可信网络解释(TNI)在使用范围上受到了限制,已经不能广泛适用于目前的网络技术,因此,NSA目前不计划提交与TNI相应的PP,108,通用准则CC,109,标准介绍,信息技术

35、安全评估准则发展过程 可信计算机系统评估准则(TCSEC) 可信网络解释 (TNI) 通用准则CC 计算机信息系统安全保护等级划分准则信息系统安全评估方法探讨,110,系统安全保护等级划分准则,我国政府及各行各业在进行大量的信息系统的建设,并且已经成为国家的重要基础设施 计算机犯罪、黑客攻击、有害病毒等问题的出现对社会稳定、国家安全造成了极大的危害,信息安全的重要性日益突出 信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度,111,系统安全保护等级划分准则,大多数信息系统缺少有效的安全技术防范措施,安全性非常脆弱 我国的信息系统安全专用产品市场一直被外国产品占据,增加了新的安全隐患

36、 因此,尽快建立能适应和保障我国信息产业健康发展的国家信息系统安全等级保护制度已迫在眉睫,112,系统安全保护等级划分准则,为了从整体上形成多级信息系统安全保护体系为了提高国家信息系统安全保护能力为从根本上解决信息社会国家易受攻击的脆弱性和有效预防计算机犯罪等问题中华人民共和国计算机信息系统安全保护条例第九条明确规定,计算机信息系统实行安全等级保护,113,系统安全保护等级划分准则,为切实加强重要领域信息系统安全的规范化建设和管理 全面提高国家信息系统安全保护的整体水平 使公安机关公共信息网络安全监察工作更加科学、规范,指导工作更具体、明确,114,系统安全保护等级划分准则,公安部组织制订了计

37、算机信息系统安全保护等级划分准则国家标准于1999年9月13日由国家质量技术监督局审查通过并正式批准发布于 2001年1月1日执行,115,系统安全保护等级划分准则,该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据为安全产品的研制提供了技术支持为安全系统的建设和管理提供了技术指导是我国计算机信息系统安全保护等级工作的基础,116,系统安全保护等级划分准则,GA 388-2002 计算机信息系统安全等级保护操作系统技术要求 GA 391-2002 计算机信息系统安全等级保护管理要求 GA/T 387-2002计算机信息系统安全等级保护网络技术要求 GA/T 38

38、9-2002计算机信息系统安全等级保护数据库管理系统技术要求 GA/T 390-2002计算机信息系统安全等级保护通用技术要求,117,系统安全保护等级划分准则,准则规定了计算机系统安全保护能力的五个等级,即:第一级:用户自主保护级第二级:系统审计保护级第三级:安全标记保护级第四级:结构化保护级第五级:访问验证保护级,118,系统安全保护等级划分准则,用户自主保护级:计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏,119,系统安全保护等级划分

39、准则,系统审计保护级:与用户自主保护级相比,计算机信息系统可信计算基实施了粒度更细的自主访问控制它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责,120,系统安全保护等级划分准则,安全标记保护级:计算机信息系统可信计算基具有系统审计保护级所有功能此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述具有准确地标记输出信息的能力消除通过测试发现的任何错误,121,系统安全保护等级划分准则,结构化保护级:计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体此外,还要考虑隐蔽通道计算机

40、信息系统可信计算基必须结构化为关键保护元素和非关键保护元素,122,系统安全保护等级划分准则,计算机信息系统可信计算基的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审加强了鉴别机制支持系统管理员和操作员的职能提供可信设施管理增强了配置管理控制系统具有相当的抗渗透能力,123,系统安全保护等级划分准则,访问验证保护级计算机信息系统可信计算基满足访问监控器需求访问监控器仲裁主体对客体的全部访问访问监控器本身是抗篡改的;必须足够小,能够分析和测试,124,系统安全保护等级划分准则,访问验证保护级支持安全管理员职能扩充审计机制,当发生与安全相关的事件时发出信号提供系统恢复机制系统具

41、有很高的抗渗透能力,125,标准介绍,信息技术安全评估准则发展过程 可信计算机系统评估准则(TCSEC) 可信网络解释 (TNI) 通用准则CC 计算机信息系统安全保护等级划分准则信息系统安全评估方法探讨,126,信息系统安全评估方法,信息系统安全评估面临的问题:信息系统本身的复杂性。信息系统安全评估中构件与系统安全性的关系。穿透测试(penetration testing)不能全面反映信息系统的安全保护能力。,127,信息系统安全评估方法,目标:结合实际应用需求,从技术的角度提出一种信息系统安全评估方法,解决构件组装安全性评估问题,建立一种具有适应性及可扩充性的信息系统安全要素评估模型,研制

42、信息系统安全评估的辅助工具,为在实际工作中开展信息系统安全保护等级评估提供理论及技术的支持。,128,假 设,威胁可能来自系统外部,也可能来自系统内部。,系统的安全性取决于系统中最薄弱的环节。,构件安全性评估数据已知。,129,访问路径,访问路径,130,访问路径,访问路径,131,评估结果的类型,132,安全要素分类及构件间的关系,组装互补性安全要素组装关联性安全要素组装独立性安全要素,构件间的依赖关系构件间的关联关系,133,构件间依赖关系的性质,构件间依赖关系的性质:,134,组装互补性安全要素,自主访问控制数据完整性身份鉴别审计强制访问控制,135,构件间关联关系要求,审计:在一条访问

43、路径所包含的构件中,如果所有与某个事件(如涉及多个构件的一次网络访问行为)相关的审计信息能够通过某种标识关联起来,且各构件对审计记录的查阅、存储、保护等策略相一致,则称这条访问路径中的构件就审计而言满足关联关系。,标记:在一条访问路径中,若各构件对其主、客体的敏感标记定义之间无冲突存在,则称这条访问路径中的构件就标记而言满足关联关系。,136,构件组装安全性评估模型,规则1. 安全要素集E上访问路径安全保护等级评估规则安全要素集E上信息系统安全保护等级评估规则,137,访问路径的标识,评估对象拓扑结构分析标识用户发起访问的逻辑位置根据系统提供的应用服务,确定系统中所包含的访问路径,138,依赖

44、关系和关联关系的分析与检测,对任意组装互补性安全要素,系统边界、计算环境及网络各自内部的构件之间可以(但不是一定)存在依赖关系。对数据完整性,系统边界、计算环境及网络三个部分中的构件不能相互依赖,因为数据完整性不仅仅是指所处理的信息的完整性,同时还包括构件本身的完整性。对自主访问控制、强制访问控制和身份鉴别,系统边界和网络中的构件不能依赖于计算环境中的构件;但计算环境中的构件可以依赖于系统边界和网络中的构件。对于审计,系统边界、计算环境及网络三个部分中的构件之间可能存在依赖关系。,139,安全要素评估,构件的评估数据未知,构件在集成到系统过程中发生安全功能变动,需要对调整后的安全性重新进行评估

45、,安全要素评估将为构件组装安全性评估提供以下信息:,140,每个要素可以分解为多个准则。准则是在更细的粒度上,对要素的不同实现环节作出的规定。,证据是安全评估过程中所获得的原始数据,是关于信息系统的状态、响应及策略等的客观信息,证据与信息系统的具体实现直接相关,是对度量作出判断的依据。,对每一个准则,可以有一个或多个度量作为判断标准。,要素层次代表了GB 17859定义的安全要素。,要素-准则-度量-证据模型(FCME),141,FCME模型内容设计,要素、准则及度量层次的内容设计参照相关标准。证据层次定义系统边界、计算环境、网络及基础设施等各个部分中常见构件类型应提供的证据。,142,FCM

46、E模型内容设计,本文针对各种应用环境建立相应的FCME模型,而非针对各类构件分别建立评估模型,目的是为了充分考虑在实际应用环境中各类构件之间的交互作用。关联关系要素、准则、度量及证据层次依赖关系证据层次,143,FCME模型的合成规则,证据的合成通过问卷调查,导航测试及穿透测试获取“与”规则“或”规则度量、准则的合成“与”规则,144,安全评估系统的实现与应用,实现环境RedHat Linux7.0MySQL+Apache+PHPC和perl客户端软件为任意一款浏览器,适用范围Windows, FreeBSD, Linux以及Solaris等系列,145,安全评估系统的实现与应用,安全评估内容

47、主要功能:安全要素评估、构件组装安全性评估及安全保证评估覆盖范围:安全需求分析、威胁分析、安全策略及组织管理评估等环节,安全评估的方式问卷调查导航测试穿透测试,146,安全评估系统的实现与应用,安全评估系统构成评估知识库检测工具箱问卷调查表及处理工具评估信息库漏洞信息库系统管理,147,安全评估过程,导航测试和穿透测试 安全要素评估构件组装安全性评估 安全保证评估 形成原始评估证据,安全策略是否能够满足其安全需求,是否适应评估对象的威胁环境 技术安全措施是否符合有关标准的要求 安全保证是否符合有关标准的要求 物理安全环境是否符合有关的物理安全标准 组织管理是否符合有关的安全管理要求 安全建议

48、确定评估对象能够到达的安全保护等级,评估资料收集通过问卷调查获取评估所需的基本信息评估对象预分析审查评估资料的有效性、完备性;根据对评估对象安全环境、安全需求及安全策略的分析,确定评估环境与假设;确定系统拓扑,标识系统中包含的构件,标识系统中存在的访问路径 区域划分,148,参考网址,http:/moncriteria.org/http:/ of TCSEC final evaluation report) http:/niap.nist.gov/cc-scheme/iwg-cc-public/ob_by_number.html (public index to IWG queue) www.itsec.gov.uk http:/oval.mitre.org (open vulnerability assessment language),

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号