《清华大学信息与网络安全概论(第三版)课件 (13).ppt》由会员分享,可在线阅读,更多相关《清华大学信息与网络安全概论(第三版)课件 (13).ppt(37页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全管理(Information Security Management)信息与网络安全概论(第三版)本章內容16.1 可信赖的系统16.2 可信赖计算机系统的评估准则 16.3 密码模块的安全规范FIPS140 16.4 信息技术安全评估共同准则 16.5 信息安全管理作业要点BS7799 16.6 审 核 控 制 2信息与网络安全概论(第三版)l所谓可信赖是指在现有及未来可预见的技术下,可以有效地管理系统及信息,以防止非法用户破坏或窃取。16.1 可信赖的系统3信息与网络安全概论(第三版)l可信赖核心处理器(Trusted Computing Base,TCB)l任意性访问控制(Dis
2、cretionary Access Control,DAC)l账户(Accountability)l审核(Auditing)l识别与验证(Identification and Authentication)l授权(Authorizations)可信赖的系统具有以下特征:16.1 可信赖的系统(续)4信息与网络安全概论(第三版)1985年,美国计算机安全委员会(NCSC)提出可信赖系统评估准则(TCSEC),作为评估可信赖计算机系统的准则,此准则在当时成为各厂商研发计算机系统安全的方针,也是美国政府采购与规划计算机系统安全的依据 。16.2 可信赖计算机系统的评估准则5信息与网络安全概论(第三版
3、)可信赖系统评估准则的安全等级6信息与网络安全概论(第三版)l l安全等級安全等級D D这个等级的计算机系统无任何防护或只有最低等级的安全防护,常见的如一般的家用计算机 。可信赖系统评估准则的安全等级(续)7信息与网络安全概论(第三版)l安全等級C这个等级必须具有任意性安全防护机制(Discretionary Protection),由低到高还可细分为C1及C2 两个安全等级。C1安全等级:这个等级主要的评估准则为是否具有任意性的安全保护机制(Discretionary Security Protection),这个等级允许用户可自行决定所需要的安全防护措施。C2安全等级:这个等级主要的评估准
4、则为是否具有受控制的访问保护机制(Controlled Access Protection),也就是允许系统管理者可以依照需求对系统的资源、文件及处理等进行保护,并可建立审核文件,对用户进行追踪。任意式访问控制(Discretionary Access Control)物件再利用(Object Reuse)识别与验证(Identification and Authentication)审核(Audit)可信赖系统评估准则的安全等级(续)8信息与网络安全概论(第三版)l安全等級B 这个等级必须具有强制性的安全防护机制(Mandatory Protection),由低到高还可再细分为B1、B2及B
5、3这3个安全等级。B1安全等级:这个等级主要的评估准则是要提供安全防护标示(Labelled Security Protection)。例如,依照用户或数据的安全等级来实施强制性的访问控制或将数据分开存放,一般政府单位的电子公文系统必须要达到这个等级。B2安全等级:这个等级主要的评估准则是要提供结构化的防护机制(Structured Protection),这个等级支持硬件、内存的保护,常见的例子如银行的计算机系统。B3安全等级:这个等级主要的评估准则是划分安全范围(Security Domains),并建立独立的系统安全模块,目的在于保护不同层之间的信息安全。可信赖系统评估准则的安全等级(续
6、)9信息与网络安全概论(第三版)l安全等級A 这个等级只有A1这一个安全等级。此等级的计算机系统拥有最高的防护等级,有关国防或与国家安全相关的计算机系统大多都需要达到这个等级。这个等级的计算机系统必须具有经过验证的保护措施(Verified Protection),所有的安全设计也都需经过验证,其安全保护措施及系统安全设计都必须经过认可或严谨的数学证明,来确保这些机制是安全的。换句话说,若能以严谨的数学来证明B3等级的安全性,就可以提升B3到A1安全等级可信赖系统评估准则的安全等级(续)10信息与网络安全概论(第三版)16.3 密码模块的安全规范FIPS140l密码模块包含一个由硬件、软件或其
7、他元件所形成的集合,并使其能在密码所定义的边界内使用密码逻辑或密码算法,来完成重要或敏感信息的保密工作。l目前的最新版本为于2001年所公布的FIPS 140-2,作为从业人员在开发一个民用的密码模块时的准则。11信息与网络安全概论(第三版)FIPS140-2的安全等級安全等級一 (Security Level 1)提供基本的安全需求,它是4个安全等级中安全需求最低的 。它不需要检测实体安全机制,仅规定此密码模块中至少需使用一个通过FIPS验证的算法或安全功能,例如个人计算机的加密接口版。这个等级也允许密码模块的软件可以在一般用途的个人计算机上执行。这个等级的规范可避免因硬件设备昂贵而不通过密
8、码系统保护数据的情况发生。12信息与网络安全概论(第三版)安全等級二 (Security Level 2)提供了一般的防护措施,它加强了安全等级一有关实体安全机制的部分,但却不要花费较高防护等级所需的成本。常见的防护机制有加入破坏存迹涂层(Tamper-evident coating)、密封(Seals)或抗拆锁(Pick-resistant Lock)等。破坏存迹涂层及密封可以安置在密码模块上,若要通过实体去访问加密密钥或其他重要的安全参数,则涂层及密封就会被破坏掉,密码模块内的参数已不再安全。抗拆锁则是安置在实体的盖子或活门上,用于防止未经授权的实体访问。提供角色验证(Role-based
9、 Authentication)功能,密码模块至少要验证一个用户的特定角色及此角色所执行的相关服务。FIPS140-2的安全等級(续)13信息与网络安全概论(第三版)安全等級三 (Security Level 3)提供了严谨的防护措施,除了具有安全等级二所要达到的破坏存迹实体安全机制外,它还尝试去防止入侵者(Intruder)取得密码模块内的重要参数。安全等级三预期有很高的几率可以侦测密码模块中的非法实体访问、使用或篡改。例如,可以将密码模块封装在一个坚固的硬壳里以防止实体访问;或者是安装一个破坏侦测及回应晶片,当密码模块的外壳或盖子被打开时,就将内部的重要安全参数全部归零,以防止机密外泄。采
10、用的身份验证(Identity-based Authentication)机制,比安全等级二所使用的角色验证机制更加严谨。FIPS140-2的安全等級(续)14信息与网络安全概论(第三版)安全等級四 (Security Level 4)提供了最高等级的安全性。它提供对该密码模块完整的保护,能侦测并回应所有可能的实体访问。所有试图由密码模块外层的入侵动作都会被侦测出来,同时会将模块内所有重要的安全参数都归零。这个等级的密码模块特别适用于没有任何实体安全防护措施的环境中。密码模块被要求对环境条件或外在变动进行侦测,一旦察觉便将所有重要安全参数归零。FIPS140-2的安全等級(续)15信息与网络安
11、全概论(第三版)FIPS 140-2所涵盖的范围基本的设计和文件编写(Basic Design and Documentation)。模块接口(Module Interfaces)。授权的角色和服务(Authorized Roles and Services)。实体安全(Physical Security)。软件安全(Software Security)。操作系统安全(Operating System Security)。密钥管理(Key Management)。密码算法(Cryptographic Algorithms)。电磁干扰/电磁相容(Electromagnetic Interfere
12、nce/Electromagnetic Compatibility,EMI/EMC)。自我测试(Self-testing)。16信息与网络安全概论(第三版)l为使信息系统安全有统一的标准,1991年英、美、法、德这些国家共同公布了“信息技术安全评估准则”(Information Technology Security Evaluation Criteria,ITSEC)。l1995年美国、加拿大、英国、法国、德国及荷兰制订了“信息技术安全评估共同准则”(Common Criteria for Information Technology Security Evaluation,CCITSE)。
13、l国际标准组织(ISO)于1998年根据CCITSE内容制订了ISO/IEC 15408的信息安全技术国际标准。16.4 信息技术安全评估共同准则17信息与网络安全概论(第三版)信息技术安全评估共同准则的发展过程18信息与网络安全概论(第三版)TCSEC、ITSEC及CCITSE安全等级的对应TCSECITSECCCITSED-最低安全防护E-EAL1-功能性测试C1-任意安全防护E1EAL2-结构性测试C2-控制访问防护F1、F2、E3EAL3-系统化测试及检查B1-安全防护标示F3、E3EAL4-系统化设计、测试及审查B2-结构化防护F4、E4EAL5-半正规化设计和测试B3-划分安全范围
14、F5、E5EAL6-半正规化查证设计和测试A1-验证防护F6、E6EAL7-正规化查证设计和测试19信息与网络安全概论(第三版)CCITSE所提出的7种评估保证等级l评估保证等级1(EAL1)功能性测试证实评估的内容符合文件中所阐述的功能,并且对于可识别的威胁也可提供有效的防护。l评估保证等级2(EAL2)结构性测试适用于研发人员或用户缺乏完全的研发记录情况下,研发人员可自行进行测试、分析,并将其测试结果交给评估员,评估员再根据研发人员所提供的测试结果进行独立取样测试。l评估保证等级3(EAL3)系统化测试及检查适用于研发人员或用户需要中等级的独立保证安全环境,这个等级提供了被评估项目在研发期
15、间不受篡改的信心。20信息与网络安全概论(第三版)CCITSE所提出的7种评估保证等级(续)l评估保证等级4(EAL4)系统化设计、测试及审查适用于研发人员或用户需要中至高等级的独立保证安全环境,并且可额外负担安全技术的成本。l评估保证等级5(EAL5)半正规化设计和测试适用于研发人员或用户需要高等级的独立保证安全环境,并且要求严谨的研发方式。l评估保证等级6(EAL6)半正规化查证设计和测试适用于高资产价值及高风险情况所需的高安全应用环境。l评估保证等级7(EAL7)正规化查证设计和测试适用于极高资产价值及极高风险情况所需的极高安全应用环境。21信息与网络安全概论(第三版)保护概况 (Pro
16、tection ProfileProtection Profile,简称PP)依消费者的需求所详细定义的安全需求。评估目标(Target of Evaluation,简称TOE)用来阐述一个信息技术产品或系统需要进行评估时,被评估项目的管理者或用户所使用的评估准则。安全目标(Security Target,简称ST)用来描述一个经确认的评估目标(TOE)所必须满足的安全需求,以及阐述某项信息技术或系统可以提供的安全服务。共同准则內容22信息与网络安全概论(第三版)共同准则內容(续)n第一部分:简介及一般模型这部分定义了信息技术安全评估的一般性概念及原理,并提出了一个用来评估的一般化模型。n第二
17、部分:安全功能需求主要是建立一个功能元件的集合,此集合可作为阐述评估目标(TOE)功能需求的标准方式。此外还定义了一些功能元件(Functional Components)、属别(Families)及类别(Classes)的架构n第三部分:安全保证需求(Security Assurance)主要是建立一个安全保证元件的集合,此集合可作为表达TOE安全保证需求的标准方式。同样还定义了保证元件(Functional Component)、属别(Family)及类别(Class)的架构。共同准则内容所划分的3部分为:23信息与网络安全概论(第三版)评估目标(TOE)的研发模式24信息与网络安全概论(
18、第三版)评估目标(TOE)被评估的过程25信息与网络安全概论(第三版)功能元件、属别及类别的阶层式架构图26信息与网络安全概论(第三版)保证元件、属别及类别的阶层式架构图27信息与网络安全概论(第三版)不同用户所关注的共同准则消 费 者研 发 者评 估 者简介及一般模型作为背景数据及参考用途,为PP的引导结构作为TOE研发需求及阐述安全规格的背景数据及参考文件作为背景数据及参考用途,为PP及ST的引导结构安全功能需求作为阐述安全功能需求的引导及参考文件作为TOE叙述功能需求及阐述功能规格的参考文件作为判定TOE是否有效地符合声明安全功能时所使用的评估准则强制性描述安全保证需求作为决定所需保证等
19、级的引导文件作为TOE叙述保证需求及决定保证方法的参考文件作为判定TOE保证等级和评估PP及ST时所使用的评估准则强制性描述28信息与网络安全概论(第三版)16.5 信息安全管理作业要点BS7799BS7799系列标准的发展历程 29信息与网络安全概论(第三版)BS7799的导入l数据的机密性(Confidentiality)确保只有被授权的用户才可以依权限访问数据 。l数据的完整性(Integrity)确保数据没有被窃取或非法篡改 。l数据的可用性(Availability)确保经授权的用户,在需要访问数据时都得以顺利进行 。在导入BS7799时,首先要界定执行范围,并评估执行范围内的资产,
20、评估的准则主要有以下3项:30信息与网络安全概论(第三版)风险计算公式依据这3个准则来评估执行范围内的资产可能会面临的威胁,并预估可能发生的几率,进而算出其风险的高低。风险=价值威胁弱点发生的几率 31信息与网络安全概论(第三版)风险管理风险管理的目的有以下两点 :1.降低或避免风险 -通过导入正确的信息安全管理控制措施,来减少或避免威胁的发生。这类的风险管理方法是属于比较积极且正面的作法。2.转移风险 -若威胁发生,造成资产的损失可转嫁到他人身上。这类的风险管理方法是属于比较消极的作法。32信息与网络安全概论(第三版)建立ISMS的6个步骤33信息与网络安全概论(第三版)ISMS的6个步骤
21、步骤一:制订信息安全策略这个步骤的主要工作是研究拟定信息安全管理系统的安全策略,所拟定的信息安全策略必须通过主管单位审核并颁布。步骤二:定义信息安全管理的范围信息安全管理系统的适用范围包括信息记录、组织里的相关人员、机器设备、计算机软/硬件、所提供的服务。步骤三:进行风险评估依据系统可能面临的威胁及弱点攻击,来进行信息安全管理系统的风险分析(Risk Analysis)及风险估计(Risk Evaluation)。34信息与网络安全概论(第三版)ISMS的6个步骤(续)步骤四:进行风险管理依据所设定的风险管理目标及可接受的风险程度,来拟定风险管理范围,其中要涵盖发生风险的相应措施、设定管理控制
22、目标与管理控制点,并且建立信息安全控制机制使与之达成平衡。步骤五:选择欲执行的控制目标并实行从BS7799控制目标中,或不在BS7799的额外控制目标中,来选择最适合本系统的控制目标并实行。步骤六:制订适用性声明准备适用性声明书,来说明如何控制风险、适用的管理控制点以及适用与不适用的理由。35信息与网络安全概论(第三版)16.6 审 核 控 制审核(Audit)用来帮助系统管理员追查出可疑的行为,有以下3个目标 :确保所有的运作均能按照已定的安全策略执行 。确保所有数据的访问都经过授权。确保所有数据的正确性。36信息与网络安全概论(第三版)审核分析vs.非法行为的侦测l l审核分析审核分析(Audit Analysis)(Audit Analysis)-审核分析比较着重于一些特定的安全事件上,这些事件通常发生的频率较高,审核的规则是由管理者针对几个特定的项目而定。l l非法行為的偵測非法行為的偵測(Illegitimacy Detection)(Illegitimacy Detection)-提供较有智慧的方法来分析审核记录,以防止一些并不常见的攻击,并能及时阻止入侵者侵入。37