网络和信息安全计算机信息系统安全评估标准介绍.pptx

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,网络与信息安全,第十七讲,计算机信息系统,安全评定标准介绍,闫 强 北京大学信息科学技术学院,软件研究所信息安全研究室yanqiang,年春季北京大学硕士硕士课程,1,第1页,标准介绍,信息技术安全评定准则发展过程,可信计算机系统评定准则（,TCSEC）,可信网络解释,（TNI）,通用准则,CC,计算机信息系统安全保护等级划分准则,信息系统安全评定方法探讨,2,第2页,信息技术安全评定准则发展过程,信息技术安全评定是对一个构件、产品、子系统或系统安全属性进行技术评价，经过评定判断该构件、产品、子系统或系统是否满足一组特定要求。信息技术安全评定另一层含义是在一定安全策略、安全功效需求及目标确保级别下取得对应确保过程。,产品安全评定,信息系统安全评定,信息系统安全评定，或简称为系统评定，是在详细操作环境与任务下对一个系统安全保护能力进行评定。,3,第3页,信息技术安全评定准则发展过程,20世纪60年代后期，1967年美国国防部（DOD）成立了一个研究组，针对当初计算机使用环境中安全策略进行研究，其研究结果是“Defense Science Board report”,70年代后期DOD对当初流行操作系统KSOS，PSOS，KVM进行了安全方面研究,4,第4页,信息技术安全评定准则发展过程,80年代后，美国国防部公布“可信计算机系统评定准则（TCSEC）”（即桔皮书）,以后DOD又公布了可信数据库解释（TDI）、可信网络解释（TNI）等一系列相关说明和指南,90年代初，英、法、德、荷等四国针对TCSEC准则不足，提出了包含保密性、完整性、可用性等概念“信息技术安全评定准则”（ITSEC），定义了从E0级到E6级七个安全等级,5,第5页,信息技术安全评定准则发展过程,加拿大1988年开始制订The Canadian Trusted Computer Product Evaluation Criteria（CTCPEC）,1993年，美国对TCSEC作了补充和修改，制订了“组合联邦标准”（简称FC）,国际标准化组织（ISO）从1990年开始开发通用国际标准评定准则,6,第6页,信息技术安全评定准则发展过程,在1993年6月，CTCPEC、FC、TCSEC和ITSEC发起组织开始联合起来，将各自独立准则组合成一个单一、能被广泛使用IT安全准则,发起组织包含六国七方：加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA，他们代表建立了CC编辑委员会（CCEB）来开发CC,7,第7页,信息技术安全评定准则发展过程,1996年1月完成CC1.0版,在1996年4月被ISO采纳,1997年10月完成CC2.0测试版,1998年5月公布CC2.0版,1999年12月ISO采纳CC，并作为国际标准ISO 15408公布,8,第8页,安全评定标准发展历程,桔皮书,（TCSEC）1985,英国安全标准1989,德国家标准准,法国家标准准,加拿大标准,1993,联邦标准草案1993,ITSEC,1991,通用标准,V1.0 1996,V2.0 1998,V2.1 1999,9,第9页,标准介绍,信息技术安全评定准则发展过程,可信计算机系统评定准则（,TCSEC,）,可信网络解释,（TNI）,通用准则,CC,计算机信息系统安全保护等级划分准则,信息系统安全评定方法探讨,10,第10页,TCSEC,在TCSEC中，美国国防部按处理信息等级和应采取响应办法，将计算机安全从高到低分为：A、B、C、D四类八个级别，共27条评定准则,伴随安全等级提升，系统可信度随之增加，风险逐步降低。,11,第11页,TCSEC,四个安全等级：,无保护级,自主保护级,强制保护级,验证保护级,12,第12页,TCSEC,D类是最低保护等级，即无保护级,是为那些经过评定，但不满足较高评定等级要求系统设计，只含有一个级别,该类是指不符合要求那些系统，所以，这种系统不能在多用户环境下处理敏感信息,13,第13页,TCSEC,四个安全等级：,无保护级,自主保护级,强制保护级,验证保护级,14,第14页,TCSEC,C类为自主保护级,含有一定保护能力，采取办法是自主访问控制和审计跟踪,普通只适合用于含有一定等级多用户环境,含有对主体责任及其动作审计能力,15,第15页,TCSEC,C类分为C1和C2两个级别:,自主安全保护级（,C1,级),控制访问保护级（,C2,级）,16,第16页,TCSEC,C1,级TCB经过隔离用户与数据，使用户具备自主安全保护能力,它含有各种形式控制能力，对用户实施访问控制,为用户提供可行伎俩，保护用户和用户组信息，防止其它用户对数据非法读写与破坏,C1级系统适合用于处理同一敏感级别数据多用户环境,17,第17页,TCSEC,C2级计算机系统比C1级含有更细粒度自主访问控制,C2级经过注册过程控制、审计安全相关事件以及资源隔离，使单个用户为其行为负责,18,第18页,TCSEC,四个安全等级：,无保护级,自主保护级,强制保护级,验证保护级,19,第19页,TCSEC,B类为强制保护级,主要要求是TCB应维护完整安全标识，并在此基础上执行一系列强制访问控制规则,B类系统中主要数据结构必须携带敏感标识,系统开发者还应为TCB提供安全策略模型以及TCB规约,应提供证据证实访问监控器得到了正确实施,20,第20页,TCSEC,B类分为三个类别：,标识安全保护级（,B1,级）,结构化保护级（,B2,级）,安全区域保护级（,B3,级）,21,第21页,TCSEC,B1级系统要求含有C2级系统全部特征,在此基础上，还应提供安全策略模型非形式化描述、数据标识以及命名主体和客体强制访问控制,并消除测试中发觉全部缺点,22,第22页,TCSEC,B类分为三个类别：,标识安全保护级（,B1,级）,结构化保护级（,B2,级）,安全区域保护级（,B3,级）,23,第23页,TCSEC,在B2级系统中，TCB建立于一个明确定义并文档化形式化安全策略模型之上,要求将B1级系统中建立自主和强制访问控制扩展到全部主体与客体,在此基础上，应对隐蔽信道进行分析,TCB应结构化为关键保护元素和非关键保护元素,24,第24页,TCSEC,TCB接口必须明确定义,其设计与实现应能够经受更充分测试和更完善审查,判别机制应得到加强，提供可信设施管理以支持系统管理员和操作员职能,提供严格配置管理控制,B2级系统应具备相当抗渗透能力,25,第25页,TCSEC,B类分为三个类别：,标识安全保护级（,B1,级）,结构化保护级（,B2,级）,安全区域保护级（,B3,级）,26,第26页,TCSEC,在B3级系统中，TCB必须满足访问监控器需求,访问监控器对全部主体对客体访问进行仲裁,访问监控器本身是抗篡改,访问监控器足够小,访问监控器能够分析和测试,27,第27页,TCSEC,为了满足访问控制器需求:,计算机信息系统可信计算基在结构时，排除那些对实施安全策略来说并非必要代码,计算机信息系统可信计算基在设计和实现时，从系统工程角度将其复杂性降低到最小程度,28,第28页,TCSEC,B3级系统支持:,安全管理员职能,扩充审计机制,当发生与安全相关事件时，发出信号,提供系统恢复机制,系统含有很高抗渗透能力,29,第29页,TCSEC,四个安全等级：,无保护级,自主保护级,强制保护级,验证保护级,30,第30页,TCSEC,A类为验证保护级,A类特点是使用形式化安全验证方法，确保系统自主和强制安全控制办法能够有效地保护系统中存放和处理秘密信息或其它敏感信息,为证实TCB满足设计、开发及实现等各个方面安全要求，系统应提供丰富文档信息,31,第31页,TCSEC,A类分为两个类别：,验证设计级（A1级）,超A1级,32,第32页,TCSEC,A1级系统在功效上和B3级系统是相同，没有增加体系结构特征和策略要求,最显著特点是，要求用形式化设计规范和验证方法来对系统进行分析，确保TCB按设计要求实现,从本质上说，这种确保是发展，它从一个安全策略形式化模型和设计形式化高层规约（FTLS）开始,33,第33页,TCSEC,针对A1级系统设计验证，有5种独立于特定规约语言或验证方法主要准则：,安全策略形式化模型必须得到明确标识并文档化，提供该模型与其公理一致以及能够对安全策略提供足够支持数学证实,应提供形式化高层规约，包含TCB功效抽象定义、用于隔离执行域硬件/固件机制抽象定义,34,第34页,TCSEC,应经过形式化技术（假如可能化）和非形式化技术证实,TCB,形式化高层规约（,FTLS,）与模型是一致,经过非形式化方法证实,TCB,实现（硬件、固件、软件）与形式化高层规约（,FTLS,）是一致。应证实,FTLS,元素与,TCB,元素是一致，,FTLS,应表示用于满足安全策略一致保护机制，这些保护机制元素应映射到,TCB,要素,35,第35页,TCSEC,应使用形式化方法标识并分析隐蔽信道，非形式化方法能够用来标识时间隐蔽信道，必须对系统中存在隐蔽信道进行解释,36,第36页,TCSEC,A1,级系统:,要求更严格配置管理,要求建立系统安全分发程序,支持系统安全管理员职能,37,第37页,TCSEC,A类分为两个类别：,验证设计级（A1级）,超A1级,38,第38页,TCSEC,超A1级在,A1,级基础上增加许多安全办法超出了当前技术发展,伴随更多、愈加好分析技术出现，本级系统要求才会变愈加明确,今后，形式化验证方法将应用到源码一级，而且时间隐蔽信道将得到全方面分析,39,第39页,TCSEC,在这一级，设计环境将变更主要,形式化高层规约分析将对测试提供帮助,TCB,开发中使用工具正确性及,TCB,运行软硬件功效正确性将得到更多关注,40,第40页,TCSEC,超,A1,级系统包括范围包含：,系统体系结构,安全测试,形式化规约与验证,可信设计环境等,41,第41页,标准介绍,信息技术安全评定准则发展过程,可信计算机系统评定准则（,TCSEC,）,可信网络解释,（TNI）,通用准则,CC,计算机信息系统安全保护等级划分准则,信息系统安全评定方法探讨,42,第42页,可信网络解释（,TNI）,美国国防部计算机安全评定中心在完成,TCSEC,基础上，又组织了专门研究镞对可信网络安全评定进行研究，并于,1987,年公布了以,TCSEC,为基础可信网络解释，即,TNI,。,TNI,包含两个部分（,Part I,和,Part II,）及三个附录（,APPENDIX A,、,B,、,C,）,43,第43页,可信网络解释（,TNI）,TNI,第一部分提供了在网络系统作为一个单一系统进行评定时,TCSEC,中各个等级（从,D,到,A,类）解释,与单机系统不一样是，网络系统可信计算基称为网络可信计算基（,NTCB,）,44,第44页,可信网络解释（,TNI）,第二部分以附加安全服务形式提出了在网络互联时出现一些附加要求,这些要求主要是针对完整性、可用性和保密性,45,第45页,可信网络解释（,TNI）,第二部分评定是定性，针对一个服务进行评定结果普通分为为：,none,minimum,fair,good,46,第46页,可信网络解释（,TNI）,第二部分中关于每个服务说明普通包含:,一个相对简短陈说,相关功效性讨论,相关机制强度讨论,相关确保讨论,47,第47页,可信网络解释（,TNI）,功效性是指一个安全服务目标和实现方法，它包含特征、机制及实现,机制强度是指一个方法实现其目标程度,有些情况下，参数选择会对机制强度带来很大影响,48,第48页,可信网络解释（,TNI）,确保是指相信一个功效会实现基础,确保普通依靠对理论、测试、软件工程等相关内容分析,分析能够是形式化或非形式化，也能够是理论或应用,49,第49页,可信网络解释（,TNI）,第二部分中列出安全服务有：,通信完整性,拒绝服务,机密性,50,第50页,可信网络解释（,TNI）,通信完整性主要包括以下,3,方面：,判别：网络中应能够抵抗坑骗和重放攻击,通信字段完整性：保护通信中字段免受非授权修改,抗抵赖：提供数据发送、接收证据,51,第51页,可信网络解释（,TNI）,当网络处理能力下降到一个要求界限以下或远程实体无法访问时，即发生了拒绝服务,全部由网络提供服务都应考虑拒绝服务情况,网络管理者应决定网络拒绝服务需求,52,第52页,可信网络解释（,TNI）,处理拒绝服务方法有：,操作连续性,基于协议拒绝服务保护,网络管理,53,第53页,可信网络解释（,TNI）,机密性是一系列安全服务总称,这些服务都是关于经过计算机通信网络在实体间传输信息安全和保密,详细又分,3,种情况：,数据保密,通信流保密,选择路由,54,第54页,可信网络解释（,TNI）,数据保密：,数据保密性服务保护数据不被未授权地泄露,数据保密性主要受搭线窃听威胁,被动攻击包含对线路上传输信息观察,55,第55页,可信网络解释（,TNI）,通信流保密：,针对通信流分析攻击而言，通信流分析攻击分析消息长度、频率及协议内容（如地址）,并以此推出消息内容,56,第56页,可信网络解释（,TNI）,选择路由：,路由选择控制是在路由选择过程中应用规则，方便详细选取或回避一些网络、链路或中继,路由能动态或预定地选取，方便只使用物理上安全子网络、链路或中继,在检测到连续操作攻击时，端系统可希望指示网络服务提供者经不一样路由建立连接,带有一些安全标识数据可能被策略禁止经过一些子网络、链路或中继,57,第57页,可信网络解释（,TNI）,TNI,第二部分评定更多地表现出定性和主观特点，同第一部分相比表现出更多改变,第二部分评定是关于被评定系统能力和它们对特定应用环境适合性非常有价值信息,第二部分中所列举安全服务是网络环境下有代表性安全服务,在不一样环境下，并非全部服务都同等主要，同一服务在不一样环境下主要性也不一定一样,58,第58页,可信网络解释（,TNI）,TNI,附录,A,是第一部分扩展，主要是关于网络中组件及组件组合评定,附录A把TCSEC为A1级系统定义安全相关策略分为四个相对独立种类，他们分别支持强制访问控制（MAC），自主访问控制（DAC），身份判别（IA），审计（AUDIT）,59,第59页,可信网络解释（,TNI）,组成部分类型,最小级别,最大级别,M,B1,A1,D,C1,C2+,I,C1,C2,A,C2,C2+,DI,C1,C2+,DA,C2,C2+,IA,C2,C2+,IAD,C2,C2+,MD,B1,A1,MA,B1,A1,MI,B1,A1,MDA,B1,A1,MDI,B1,A1,MIA,B1,A1,MIAD,B1,A1,60,第60页,可信网络解释（,TNI）,附录,B,给出了依据,TCSEC,对网络组件进行评定基本原理,附录,C,则给出了几个,AIS,互联时认证指南及互联中可能碰到问题,61,第61页,可信网络解释（,TNI）,TNI,中关于网络有两种概念：,一是单一可信系统概念（,single trusted system,）,另一个是互联信息系统概念（,interconnected AIS,）,这两个概念并不相互排斥,62,第62页,可信网络解释（,TNI）,在单一可信系统中，网络含有包含各个安全相关部分单一,TCB,，称为,NTCB,（,network trusted computing base,）,NTCB,作为一个整体满足系统安全体系设计,63,第63页,可信网络解释（,TNI）,在互联信息系统中,各个子系统可能含有不一样安全策略,含有不一样信任等级,而且能够分别进行评定,各个子系统甚至可能是异构,64,第64页,可信网络解释（,TNI）,安全策略实施普通控制在各个子系统内，在附录,C,中给出了各个子系统安全地互联指南，在互联时要控制局部风险扩散，排除整个系统中级联问题（,cascade problem,）,限制局部风险扩散方法：单向连接、传输手工检测、加密、隔离或其它办法。,65,第65页,标准介绍,信息技术安全评定准则发展过程,可信计算机系统评定准则（,TCSEC,）,可信网络解释,（TNI）,通用准则,CC,计算机信息系统安全保护等级划分准则,信息系统安全评定方法探讨,66,第66页,通用准则CC,CC,范围,:,CC,适合用于硬件、固件和软件实现信息技术安全办法,而一些内容因包括特殊专业技术或仅是信息技术安全外围技术不在,CC,范围内,67,第67页,通用准则CC,评定上下文,评定准则,(通用准则）,评定方法学,评定方案,最终评定,结果,评定,同意/证实,证书表/,(注册),68,第68页,通用准则CC,使用通用评定方法学能够提供结果可重复性和客观性,许多评定准则需要使用教授判断和一定背景知识,为了增强评定结果一致性，最终评定结果应提交给一个认证过程，该过程是一个针对评定结果独立检验过程，并生成最终证书或正式批文,69,第69页,通用准则CC,CC,包含三个部分:,第一部分：介绍和普通模型,第二部分：安全功效要求,第三部分：安全确保要求,70,第70页,通用准则CC,安全确保要求部分提出了七个评定确保级别,（Evaluation Assurance Levels：EALs）,分别是：,EAL1：功效测试,EAL2：结构测试,EAL3：系统测试和检验,EAL4：系统设计、测试和复查,EAL5：半形式化设计和测试,EAL6：半形式化验证设计和测试,EAL7：形式化验证设计和测试,71,第71页,通用准则CC,安全就是保护资产不受威胁，威胁可依据滥用被保护资产可能性进行分类,全部威胁类型都应该被考虑到,在安全领域内，被高度重视威胁是和人们恶意攻击及其它人类活动相联络,72,第72页,通用准则CC,安全概念和关系,73,第73页,通用准则CC,安全性损坏普通包含但又不但仅包含以下几项,资产破坏性地暴露于未授权接收者（失去保密性）,资产因为未授权更改而损坏（失去完整性）,或资产访问权被未授权丧失（失去可用性）,74,第74页,通用准则CC,资产全部者必须分析可能威胁并确定哪些存在于他们环境,，,其后果就是风险,对策用以（直接或间接地）降低脆弱性并满足资产全部者安全策略,在将资产暴露于特定威胁之前，全部者需要确信其对策足以应付面临威胁,75,第75页,通用准则CC,评定概念 和关系,76,第76页,通用准则CC,TOE评定过程,77,第77页,通用准则CC,评估过程经过两种途径产生更好安全产品,评估过程能发现开发者可以纠正TOE错误或弱点，从而在降低将来操作中安全失效可能性,其次，为了经过严格评估，开发者在TOE设计和开发时也将更加细心,所以，评估过程对最初需求、开发过程、最终产品以及操作环境将产生强烈主动影响,78,第78页,通用准则CC,CC安全概念包括：,安全环境,安全目,IT安全要求,TOE概要规范,79,第79页,通用准则CC,安全环境包含全部相关法规、组织性安全策略、习惯、专门技术和知识,它定义了,TOE,使用上下文，安全环境也包含环境里出现安全威胁,80,第80页,通用准则CC,安全环境分析结果被用来说明反抗已标识威胁、说明组织性安全策略和假设安全目标,安全目标和已说明,TOE,运行目标或产品目标以及相关物理环境知识一致,确定安全目标意图是为了说明全部安全考虑并指出哪些安全方面问题是直接由,TOE,还是由它环境来处理,环境安全目标将在,IT,领域内用非技术上或程序化伎俩来实现,81,第81页,通用准则CC,IT,安全要求是将安全目标细化为一系列,TOE,及其环境安全要求，一旦这些要求得到满足，就能够确保,TOE,到达它安全目标,IT,安全需求只包括,TOE,安全目标和它,IT,环境,82,第82页,通用准则CC,CC,定义了一系列与已知有效安全要求集合相结合概念，该概念可被用来为预期产品和系统建立安全需求,CC安全要求以类,族,组件这种层次方式组织，以帮助用户定位特定安全要求,对功效和确保方面要求，,CC,使用相同格调、组织方式和术语。,83,第83页,通用准则CC,CC,中安全要求描述方法,：,类：,类用作最通用安全要求组合，类全部组员关注共同安全焦点，但覆盖不一样安全目标,族：类组员被称为族,。,族是若干组安全要求组合，这些要求有共同安全目标，但在侧重点和严格性上有所区分,组件：族组员被称为组件。组件描述一组特定安全要求集，它是,CC,定义结构中所包含最小可选安全要求集,84,第84页,通用准则CC,组件由单个元素组成，元素是安全需求最低层次表示，而且是能被评定验证不可分割安全要求,族内含有相同目标组件能够以安全要求强度（或能力）逐步增加次序排列，也能够部分地按相关非层次集合方式组织,85,第85页,通用准则CC,组件间可能存在依赖关系,依赖关系能够存在于功效组件之间、确保组件之间以及功效和确保组件之间,组件间依赖关系描述是,CC,组件定义一部分,86,第86页,通用准则CC,能够经过使用组件允许操作，对组件进行裁剪,每一个,CC,组件标识并定义组件允许“赋值”和“选择”操作、在哪些情况下可对组件使用这些操作，以及使用这些操作后果,任何一个组件均允许“重复”和“细化”操作,87,第87页,通用准则CC,这四个操作以下所述：,重复：在不一样操作时，允许组件屡次使用,赋值：当组件被应用时，允许要求所赋予参数,选择：允许从组件给出列表中选定若干项,细化：当组件被应用时，允许对组件增加细节,88,第88页,通用准则CC,要求组织和结构,89,第89页,通用准则CC,CC,中安全需求描述方法,:,包:组件中间组合被称为包,保护轮廓(,PP,):,PP,是关于一系列满足一个安全目标集TOE、与实现无关描述,安全目标(,ST,),：ST,是针对特定,TOE,安全要求描述，经过评定能够证实这些安全要求对满足指定目标是有用和有效,90,第90页,通用准则CC,包允许对功效或确保需求集合描述，这个集合能够满足一个安全目标可标识子集,包可重复使用，可用来定义那些公认有用、能够有效满足特定安全目标要求,包可用在结构更大包、,PP,和,ST,中,91,第91页,通用准则CC,PP,包含一套来自,CC,（或明确阐述）安全要求，它应包含一个评定确保级别（,EAL,）,PP,可重复使用，还可用来定义那些公认有用、能够有效满足特定安全目标,TOE,要求,PP,包含安全目标和安全要求基本原理,PP,开发者能够是用户团体、,IT,产品开发者或其它对定义这么一系列通用要求有兴趣团体,92,第92页,通用准则CC,保护轮廓PP描述结构,93,第93页,通用准则CC,安全目标(,ST,)包含一系列安全要求，这些要求能够引用,PP,，也能够直接引用,CC,中功效或确保组件，或明确说明,一个,ST,包含,TOE,概要规范，安全要求和目标，以及它们基本原理,ST,是全部团体间就,TOE,应提供什么样安全性达成一致基础,94,第94页,通用准则CC,安全目标描述结构,95,第95页,通用准则CC,CC,框架下评定类型,PP,评定,ST,评定,TOE,评定,96,第96页,通用准则CC,PP评定是依照CC第3部分PP评定准则进行。,评定目标是为了证实PP是完备、一致、技术合理，而且适合于作为一个可评定TOE安全要求申明,97,第97页,通用准则CC,针对,TOE,ST,评定是依照,CC,第,3,部分,ST,评定准则进行,ST,评定含有双重目标：,首先是为了证实,ST,是完备、一致、技术合理，而且适合于用作对应,TOE,评定基础,其次，当某一,ST,宣称与某一,PP,一致时，证实,ST,满足该,PP,要求,98,第98页,通用准则CC,TOE,评定是使用一个已经评定过,ST,作为基础，依照,CC,第,3,部分评定准则进行,评定目标是为了证实,TOE,满足,ST,中安全要求,99,第99页,通用准则CC,三种评定关系,100,第100页,通用准则CC,CC,第二部分是安全功效要求，对满足安全需求诸安全功效提出了详细要求,另外，假如有超出第二部分安全功效要求，开发者能够依据“类-族-组件-元素”描述结构表示其安全要求，并附加在其,ST,中,101,第101页,通用准则CC,CC,共包含,11,个安全功效类，以下：,FAU,类：安全审计,FCO,类：通信,FCS,类：密码支持,FDP,类：用户数据保护,FIA,类：标识与判别,FMT,类：安全管理,FPR,类：隐秘,FPT,类：,TFS,保护,FAU,类：资源利用,FTA,类：,TOE,访问,FTP,类：可信信道,/,路径,102,第102页,通用准则CC,CC,第三部分是评定方法部分，提出了,PP,、,ST,、,TOE,三种评定，共包含,10,个类，但其中,APE,类与,ASE,类分别介绍了,PP,与,ST,描述结构及评定准则,维护类提出了确保评定过受测系统或产品运行于所取得安全级别上要求,只有七个安全确保类是,TOE,评定类别,103,第103页,通用准则CC,七个安全确保类,ACM,类：配置管理,ADO,类：分发与操作,ADV,类：开发,AGD,类：指导性文档,ALC,类：生命周期支持,ATE,类：测试,AVA,类：脆弱性评定,104,第104页,通用准则CC,1998年1月，经过两年亲密协商，来自美国、加拿大、法国、德国以及英国政府组织签署了历史性安全评定互认协议：IT安全领域内CC认可协议,依据该协议，在协议签署国范围内，在某个国家进行基于CC安全评定将在其它国家内得到认可,截止年3月，加入该协议国家共有十五个：澳大利亚、新西兰、加拿大、芬兰、法国、德国、希腊、以色列、意大利、荷兰、挪威、西班牙、瑞典、英国及美国,105,第105页,通用准则CC,该协议参加者在这个领域内有共同目标即：,确保IT产品及保护轮廓评定遵照一致标准，为这些产品及保护轮廓安全提供足够信心。,在国际范围内提升那些经过评定、安全增强IT产品及保护轮廓可用性。,消除IT产品及保护轮廓重复评定，改进安全评定效率及成本效果，改进IT产品及保护轮廓证实/确认过程,106,第106页,通用准则CC,美国NSA内部可信产品评预计划（TPEP）以及可信技术评价计划（TTAP）最初依据TCSEC进行产品评定，但从1999年2月1日起，这些计划将不再接收基于TCSEC新评定。今后这些计划接收任何新产品都必须依据CC要求进行评定。到底，全部已经经过TCSEC评定产品，其评定结果或者过时，或者转换为CC评定等级。,NSA已经将TCSEC对操作系统C2和B1级要求转换为基于CC要求（或PP），NSA正在将TCSECB2和B3级要求转换成基于CC保护轮廓，但对TCSEC中A1级要求不作转换。,TCSEC可信网络解释（TNI）在使用范围上受到了限制，已经不能广泛适合用于当前网络技术，所以，NSA当前不计划提交与TNI对应PP,107,第107页,通用准则CC,CC,TCSEC,ITSEC,-,D,E0,EAL1,-,-,EAL2,C1,E1,EAL3,C2,E2,EAL4,B1,E3,EAL5,B2,E4,EAL6,B3,E5,EAL7,A1,E6,108,第108页,标准介绍,信息技术安全评定准则发展过程,可信计算机系统评定准则（,TCSEC,）,可信网络解释,（TNI）,通用准则,CC,计算机信息系统安全保护等级划分准则,信息系统安全评定方法探讨,109,第109页,系统安全保护等级划分准则,我国政府及各行各业在进行大量信息系统建设，而且已经成为国家主要基础设施,计算机犯罪、黑客攻击、有害病毒等问题出现对社会稳定、国家安全造成了极大危害，信息安全主要性日益突出,信息系统安全问题已经被提到关系国家安全和国家主权战略性高度,110,第110页,系统安全保护等级划分准则,大多数信息系统缺乏有效安全技术防范办法，安全性非常脆弱,我国信息系统安全专用产品市场一直被外国产品占据，增加了新安全隐患,所以，尽快建立能适应和保障我国信息产业健康发展国家信息系统安全等级保护制度已迫在眉睫,111,第111页,系统安全保护等级划分准则,为了从整体上形成多级信息系统安全保护体系,为了提升国家信息系统安全保护能力,为从根本上处理信息社会国家易受攻击脆弱性和有效预防计算机犯罪等问题,中华人民共和国计算机信息系统安全保护条例第九条明确要求，计算机信息系统实施安全等级保护,112,第112页,系统安全保护等级划分准则,为切实加强主要领域信息系统安全规范化建设和管理,全方面提升国家信息系统安全保护整体水平,使公安机关公共信息网络安全监察工作愈加科学、规范，指导工作更详细、明确,113,第113页,系统安全保护等级划分准则,公安部组织制订了计算机信息系统安全保护等级划分准则国家标准,于1999年9月13日由国家质量技术监督局审查经过并正式同意公布,于 年1月1日执行,114,第114页,系统安全保护等级划分准则,该准则公布为计算机信息系统安全法规和配套标准制订和执法部门监督检验提供了依据,为安全产品研制提供了技术支持,为安全系统建设和管理提供了技术指导是我国计算机信息系统安全保护等级工作基础,115,第115页,系统安全保护等级划分准则,GA 388-计算机信息系统安全等级保护操作系统技术要求,GA 391-计算机信息系统安全等级保护管理要求,GA/T 387-计算机信息系统安全等级保护网络技术要求,GA/T 389-计算机信息系统安全等级保护数据库管理系统技术要求,GA/T 390-计算机信息系统安全等级保护通用技术要求,116,第116页,系统安全保护等级划分准则,准则要求了计算机系统安全保护能力五个等级，即：,第一级：用户自主保护级,第二级：系统审计保护级,第三级：安全标识保护级,第四级：结构化保护级,第五级：访问验证保护级,117,第117页,系统安全保护等级划分准则,用户自主保护级：,计算机信息系统可信计算基经过隔离用户与数据，使用户具备自主安全保护能力。,它含有各种形式控制能力，对用户实施访问控制，即为用户提供可行伎俩，保护用户和用户组信息，防止其它用户对数据非法读写与破坏,118,第118页,系统安全保护等级划分准则,系统审计保护级：,与用户自主保护级相比,，计算机信息系统可信计算基实施了粒度更细自主访问控制,它经过登录规程、审计安全性相关事件和隔离资源，使用户对自己行为负责,119,第119页,系统安全保护等级划分准则,安全标识保护级：,计算机信息系统可信计算基含有系统审计保护级全部功效,另外，还提供相关安全策略模型、数据标识以及主体对客体强制访问控制非形式化描述,含有准确地标识输出信息能力,消除经过测试发觉任何错误,120,第120页,系统安全保护等级划分准则,结构化保护级：,计算机信息系统可信计算基建立于一个明确定义形式化安全策略模型之上,要求将第三级系统中自主和强制访问控制扩展到全部主体与客体,另外，还要考虑隐蔽通道,计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素,121,第121页,系统安全保护等级划分准则,计算机信息系统可信计算基接口也必须明确定义，使其设计与实现能经受更充分测试和更完整复审,加强了判别机制,支持系统管理员和操作员职能,提供可信设施管理,增强了配置管理控制,系统含有相当抗渗透能力,122,第122页,系统安全保护等级划分准则,访问验证保护级,计算机信息系统可信计算基满足访问监控器需求,访问监控器仲裁主体对客体全部访问,访问监控器本身是抗篡改；必须足够小，能够分析和测试,123,第123页,系统安全保护等级划分准则,访问验证保护级,支持安全管理员职能,扩充审计机制，当发生与安全相关事件时发出信号,提供系统恢复机制,系统含有很高抗渗透能力,124,第124页,标准介绍,信息技术安全评定准则发展过程,可信计算机系统评定准则（,TCSEC,）,可信网络解释,（TNI）,通用准则,CC,计算机信息系统安全保护等级划分准则,信息系统安全评定方法探讨,125,第125页,信息系统安全评定方法,信息系统安全评定面临问题：,信息系统本身复杂性。,信息系统安全评定中构件与系统安全性关系。,穿透测试（penetration testing）不能全方面反应信息系统安全保护能力。,126,第126页,信息系统安全评定方法,目标：,结合实际应用需求，从技术角度提出一个信息系统安全评定方法，处理构件组装安全性评定问题，建立一个含有适应性及可扩充性信息系统安全要素评定模型，研制信息系统安全评定辅助工具，为在实际工作中开展信息系统安全保护等级评定提供理论及技术支持。,127,第127页,假 设,威胁可能来自系统外部，也可能来自系统内部。,系统安全性取决于系统中最微弱步骤。,构件安全性评定数据已知。,128,第128页,访问路径,访问路径,129,第129页,访问路径,访问路径,130,第130页,评定结果类型,131,第131页,安全要素分类及构件间关系,组装互补性安全要素,组装关联性安全要素,组装独立性安全要素,构件间依赖关系,构件间关联关系,132,第132页,构件间依赖关系性质,构件间依赖关系,性质：,133,第133页,组装互补性安全要素,自主访问控制,数据完整性,身份判别,审计,强制访问控制,134,第134页,构件间关联关系要求,审计：,在一条访问路径所包含构件中，假如全部与某个事件（如包括多个构件一次网络访问行为）相关审计信息能够经过某种标识关联起来，且各构件对审计统计查阅、存放、保护等策略相一致，则称这条访问路径中构件就审计而言满足关联关系。,标识：,在一条访问路径中，若各构件对其主、客体敏感标识定义之间无冲突存在，则称这条访问路径中构件就标识而言满足关联关系。,135,第135页,构件组装安全性评定模型,规则1.安全要素集,E,上访问路径安全保护等级评定规则,安全要素集,E,上信息系统安全保护等级评定规则,136,第136页,访问路径标识,评定对象拓扑结构分析,标识用户发起访问逻辑位置,依据系统提供应用服务，确定系统中所包含访问路径,137,第137页,依赖关系和关联关系分析与检测,对任意组装互补性安全要素，系统边界、计算环境及网络各自内部构件之间能够（但不是一定）存在依赖关系。,对数据完整性，系统边界、计算环境及网络三个部分中构件不能相互依赖，因为数据完整性不但仅是指所处理信息完整性，同时还包含构件本身完整性。,对自主访问控制、强制访问控制和身份判别，系统边界和网络中构件不能依赖于计算环境中构件；但计算环境中构件能够依赖于系统边界和网络中构件。,对于审计，系统边界、计算环境及网络三个部分中构件之间可能存在依赖关系。,138,第138页,安全要素评定,构件评定数据未知,构件在集成到系统过程中发生安全功效变动，需要对调整后安全性重新进行评定,安全要素评定将为构件组装安全性评定提供以下信息：,139,第139页,每个要素能够分解为多个准则。准则是在更细粒度上，,对要素不一样实现步骤作出要求。,证据是安全评定过程中所取得原始数据，是关于信息系统状态、响应及策略等客观信息，证据与信息系统详细实现直接相关，是对度量作出判断依据。,对每一个准则，能够有一个或多个度量作为判断标准。,要素层次代表了GB 17859定义安全要素。,要素-准则-度量-证据模型(FCME),140,第140页,FCME模型内容设计,要素、准则及度量层次内容设计参摄影关标准。,证据层次定义系统边界、计算环境、网络及基础设施等各个部分中常见构件类型应提供证据。,141,第141页,FCME模型内容设计,本文针对各种应用环境建立对应FCME模型，而非针对各类构件分别建立评定模型，目标是为了充分考虑在实际应用环境中各类构件之间交互作用。,关联关系,要素、准则