《[精选]网络与信息系统安全评估标准介绍32951.pptx》由会员分享,可在线阅读,更多相关《[精选]网络与信息系统安全评估标准介绍32951.pptx(149页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 网络与信息安全网络与信息安全第十七讲第十七讲 计算机信息系统计算机信息系统安全评估标准介绍安全评估标准介绍闫闫 强强 北京大学信息科学技术学院北京大学信息科学技术学院软件研究所信息安全研究室软件研究所信息安全研究室 2003 2003年春季北京大学硕士研究生课程年春季北京大学硕士研究生课程1标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程可信计算机系统评估准则(可信计算机系统评估准则(TCSEC)可信网络解释可信网络解释(TNI)通用准则通用准则CC计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息系统安全评估方法探讨信息系统安全评估方法探讨2信
2、息技术安全评估准则发展过程信息技术安全评估准则发展过程信息技术安全评估是对一个构件、产品、子系统或系统信息技术安全评估是对一个构件、产品、子系统或系统的安全属性进行的技术评价,通过评估判断该构件、产的安全属性进行的技术评价,通过评估判断该构件、产品、子系统或系统是否满足一组特定的要求。信息技术品、子系统或系统是否满足一组特定的要求。信息技术安全评估的另一层含义是在一定的安全策略、安全功能安全评估的另一层含义是在一定的安全策略、安全功能需求及目标保证级别下获得相应保证的过程需求及目标保证级别下获得相应保证的过程 。产品安全评估产品安全评估信息系统安全评估信息系统安全评估信息系统安全评估,或简称为
3、系统评估,是在具体的操信息系统安全评估,或简称为系统评估,是在具体的操作环境与任务下对一个系统的安全保护能力进行的评估作环境与任务下对一个系统的安全保护能力进行的评估 。3信息技术安全评估准则发展过程信息技术安全评估准则发展过程2020世纪世纪6060年代后期,年代后期,19671967年美国国防部(年美国国防部(DODDOD)成立了)成立了一个研究组,针对当时计算机使用环境中的安全策略进一个研究组,针对当时计算机使用环境中的安全策略进行研究,其研究结果是行研究,其研究结果是“Defense Science Board“Defense Science Board report”report”7
4、070年代的后期年代的后期DODDOD对对当当时时流行的操作系流行的操作系统统KSOSKSOS,PSOSPSOS,KVMKVM进进行了安全方面的研究行了安全方面的研究 4信息技术安全评估准则发展过程信息技术安全评估准则发展过程8080年代后,美国国防部发布的年代后,美国国防部发布的“可信计算机系统评估准可信计算机系统评估准则(则(TCSECTCSEC)”(即桔皮书)(即桔皮书)后来后来DODDOD又又发发布了可信数据布了可信数据库库解解释释(TDITDI)、可信网)、可信网络络解解释释(TNITNI)等一系列相关的)等一系列相关的说说明和指南明和指南 9090年代初,英、法、德、荷等四国年代初
5、,英、法、德、荷等四国针对针对TCSECTCSEC准准则则的局的局限性,提出了包含保密性、完整性、可用性等概念的限性,提出了包含保密性、完整性、可用性等概念的“信息技信息技术术安全安全评评估准估准则则”(ITSECITSEC),定),定义义了从了从E0E0级级到到E6E6级级的七个安全等的七个安全等级级 5信息技术安全评估准则发展过程信息技术安全评估准则发展过程加拿大加拿大19881988年开始制订年开始制订The Canadian Trusted The Canadian Trusted Computer Product Evaluation Criteria Computer Produc
6、t Evaluation Criteria(CTCPECCTCPEC)19931993年,美国对年,美国对TCSECTCSEC作了补充和修改,制定了作了补充和修改,制定了“组合组合的联邦标准的联邦标准”(简称(简称FCFC)国际标准化组织(国际标准化组织(ISOISO)从)从19901990年开始开发通用的国际年开始开发通用的国际标准评估准则标准评估准则6信息技术安全评估准则发展过程信息技术安全评估准则发展过程在在19931993年年6 6月,月,CTCPECCTCPEC、FCFC、TCSECTCSEC和和ITSECITSEC的发起组织的发起组织开始联合起来,将各自独立的准则组合成一个单一的、
7、开始联合起来,将各自独立的准则组合成一个单一的、能被广泛使用的能被广泛使用的ITIT安全准则安全准则发起组织包括六国七方:加拿大、法国、德国、荷兰、发起组织包括六国七方:加拿大、法国、德国、荷兰、英国、美国英国、美国NISTNIST及美国及美国NSANSA,他们的代表建立了,他们的代表建立了CCCC编辑编辑委员会(委员会(CCEBCCEB)来开发)来开发CCCC7信息技术安全评估准则发展过程信息技术安全评估准则发展过程19961996年年1 1月完成月完成CC1.0CC1.0版版,在在19961996年年4 4月被月被ISOISO采纳采纳19971997年年1010月完成月完成CC2.0CC2
8、.0的测试版的测试版19981998年年5 5月发布月发布CC2.0CC2.0版版19991999年年1212月月ISOISO采纳采纳CCCC,并作为国际标准,并作为国际标准ISO 15408ISO 15408发布发布8安全评估标准的发展历程安全评估标准的发展历程桔皮书桔皮书(TCSEC)1985英英国国安安全全标准标准1989德国标准德国标准法国标准法国标准加拿大标准加拿大标准1993联联邦邦标标准准草案草案1993ITSEC1991通用标准通用标准V1.01996V2.01998V2.119999标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程可信计算机系统评估准则
9、(可信计算机系统评估准则(TCSEC)可信网络解释可信网络解释(TNI)通用准则通用准则CC计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息系统安全评估方法探讨信息系统安全评估方法探讨10TCSEC在在TCSECTCSEC中,美国国防部按处理信息的等级和应采用的中,美国国防部按处理信息的等级和应采用的响应措施,将计算机安全从高到低分为:响应措施,将计算机安全从高到低分为:A A、B B、C C、D D四四类八个级别,共类八个级别,共2727条评估准则条评估准则随着安全等级的提高,系统的可信度随之增加,风险逐随着安全等级的提高,系统的可信度随之增加,风险逐渐减少。渐减少。
10、11TCSEC四个安全等级:四个安全等级:无保护级无保护级自主保护级自主保护级强制保护级强制保护级验证保护级验证保护级12TCSECD D类是最低保护等级,即无保护级类是最低保护等级,即无保护级是为那些经过评估,但不满足较高评估等级要求的系统是为那些经过评估,但不满足较高评估等级要求的系统设计的,只具有一个级别设计的,只具有一个级别该类是指不符合要求的那些系统,因此,这种系统不能该类是指不符合要求的那些系统,因此,这种系统不能在多用户环境下处理敏感信息在多用户环境下处理敏感信息13TCSEC四个安全等级:四个安全等级:无保护级无保护级自主保护级自主保护级强制保护级强制保护级验证保护级验证保护级
11、14TCSECC C类为自主保护级类为自主保护级具有一定的保具有一定的保护护能力,采用的措施是自主能力,采用的措施是自主访问访问控制和控制和审审计计跟踪跟踪 一般只适用于具有一定等一般只适用于具有一定等级级的多用的多用户环户环境境具有具有对对主体主体责责任及其任及其动动作作审计审计的能力的能力15TCSECC C类类分分为为C1C1和和C2C2两个两个级别级别:自主安全保护级(自主安全保护级(C1级级)控制访问保护级(控制访问保护级(C2级)级)16TCSECC1级级TCBTCB通过隔离用户与数据,使用户具备自主安全保通过隔离用户与数据,使用户具备自主安全保护的能力护的能力它具有多种形式的控制
12、能力,对用户实施访问控制它具有多种形式的控制能力,对用户实施访问控制为用户提供可行的手段,保护用户和用户组信息,避免为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏其他用户对数据的非法读写与破坏C1C1级的系统适用于处理同一敏感级别数据的多用户环境级的系统适用于处理同一敏感级别数据的多用户环境17TCSECC2C2级计算机系统比级计算机系统比C1C1级具有更细粒度的自主访问控制级具有更细粒度的自主访问控制C2C2级通过注册过程控制、审计安全相关事件以及资源隔级通过注册过程控制、审计安全相关事件以及资源隔离,使单个用户为其行为负责离,使单个用户为其行为负责18TCS
13、EC四个安全等级:四个安全等级:无保护级无保护级自主保护级自主保护级强制保护级强制保护级验证保护级验证保护级19TCSECB B类为强制保护级类为强制保护级主要要求是主要要求是TCBTCB应维护完整的安全标记,并在此基础上应维护完整的安全标记,并在此基础上执行一系列强制访问控制规则执行一系列强制访问控制规则B B类系统中的主要数据结构必须携带敏感标记类系统中的主要数据结构必须携带敏感标记系统的开发者还应为系统的开发者还应为TCBTCB提供安全策略模型以及提供安全策略模型以及TCBTCB规约规约应提供证据证明访问监控器得到了正确的实施应提供证据证明访问监控器得到了正确的实施20TCSECB类分为
14、三个类别:类分为三个类别:标记安全保护级(标记安全保护级(B1级)级)结构化保护级(结构化保护级(B2级)级)安全区域保护级(安全区域保护级(B3级)级)21TCSECB1B1级系统要求具有级系统要求具有C2C2级系统的所有特性级系统的所有特性在此基础上,还应提供安全策略模型的非形式化描述、在此基础上,还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制数据标记以及命名主体和客体的强制访问控制并消除测试中发现的所有缺陷并消除测试中发现的所有缺陷22TCSECB类分为三个类别:类分为三个类别:标记安全保护级(标记安全保护级(B1级)级)结构化保护级(结构化保护级(B2级)
15、级)安全区域保护级(安全区域保护级(B3级)级)23TCSEC在在B2B2级系统中,级系统中,TCBTCB建立于一个明确定义并文档化形式建立于一个明确定义并文档化形式化安全策略模型之上化安全策略模型之上要求将要求将B1B1级系统中建立的自主和强制访问控制扩展到所级系统中建立的自主和强制访问控制扩展到所有的主体与客体有的主体与客体在此基础上,应对隐蔽信道进行分析在此基础上,应对隐蔽信道进行分析TCBTCB应结构化为关键保护元素和非关键保护元素应结构化为关键保护元素和非关键保护元素24TCSECTCBTCB接口必须明确定义接口必须明确定义其设计与实现应能够经受更充分的测试和更完善的审查其设计与实现
16、应能够经受更充分的测试和更完善的审查鉴别机制应得到加强,提供可信设施管理以支持系统管鉴别机制应得到加强,提供可信设施管理以支持系统管理员和操作员的职能理员和操作员的职能提供严格的配置管理控制提供严格的配置管理控制B2B2级系统应具备相当的抗渗透能力级系统应具备相当的抗渗透能力25TCSECB类分为三个类别:类分为三个类别:标记安全保护级(标记安全保护级(B1级)级)结构化保护级(结构化保护级(B2级)级)安全区域保护级(安全区域保护级(B3级)级)26TCSEC在在B3B3级系统中,级系统中,TCBTCB必须满足访问监控器需求必须满足访问监控器需求访问监控器对所有主体对客体的访问进行仲裁访问监
17、控器对所有主体对客体的访问进行仲裁访问监控器本身是抗篡改的访问监控器本身是抗篡改的访问监控器足够小访问监控器足够小访问监控器能够分析和测试访问监控器能够分析和测试27TCSEC为了满足访问控制器需求为了满足访问控制器需求:计算机信息系统可信计算基在构造时,排除那些对计算机信息系统可信计算基在构造时,排除那些对实施安全策略来说并非必要的代码实施安全策略来说并非必要的代码计算机信息系统可信计算基在设计和实现时,从系计算机信息系统可信计算基在设计和实现时,从系统工程角度将其复杂性降低到最小程度统工程角度将其复杂性降低到最小程度28TCSECB3B3级系统支持级系统支持:安全管理员职能安全管理员职能扩
18、充审计机制扩充审计机制当发生与安全相关的事件时,发出信号当发生与安全相关的事件时,发出信号提供系统恢复机制提供系统恢复机制系统具有很高的抗渗透能力系统具有很高的抗渗透能力29TCSEC四个安全等级:四个安全等级:无保护级无保护级自主保护级自主保护级强制保护级强制保护级验证保护级验证保护级30TCSECA类为验证保护级类为验证保护级A A类的特点是使用形式化的安全验证方法,保证系统的类的特点是使用形式化的安全验证方法,保证系统的自主和强制安全控制措施能够有效地保护系统中存储和自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息处理的秘密信息或其他敏感信息为证明为证明TCB
19、TCB满足设计、开发及实现等各个方面的安全要满足设计、开发及实现等各个方面的安全要求,系统应提供丰富的文档信息求,系统应提供丰富的文档信息31TCSECA A类分为两个类别:类分为两个类别:验证设计级(验证设计级(A1A1级)级)超超A1A1级级 32TCSECA1A1级系统在功能上和级系统在功能上和B3B3级系统是相同的,没有增加体系级系统是相同的,没有增加体系结构特性和策略要求结构特性和策略要求最显著的特点是,要求用形式化设计规范和验证方法来最显著的特点是,要求用形式化设计规范和验证方法来对系统进行分析,确保对系统进行分析,确保TCBTCB按设计要求实现按设计要求实现从本质上说,这种保证是
20、发展的,它从一个安全策略的从本质上说,这种保证是发展的,它从一个安全策略的形式化模型和设计的形式化高层规约(形式化模型和设计的形式化高层规约(FTLSFTLS)开始)开始33TCSEC 针对针对A1A1级系统设计验证,有级系统设计验证,有5 5种独立于特定规约语言或种独立于特定规约语言或验证方法的重要准则:验证方法的重要准则:安全策略的形式化模型必须得到明确标识并文档化,提供该模安全策略的形式化模型必须得到明确标识并文档化,提供该模型与其公理一致以及能够对安全策略提供足够支持的数学证明型与其公理一致以及能够对安全策略提供足够支持的数学证明 应提供形式化的高层规约,包括应提供形式化的高层规约,包
21、括TCBTCB功能的抽象定义、用于隔功能的抽象定义、用于隔离执行域的硬件离执行域的硬件/固件机制的抽象定义固件机制的抽象定义 34TCSEC应通过形式化的技术(如果可能的化)和非形式化的技应通过形式化的技术(如果可能的化)和非形式化的技术证明术证明TCB的形式化高层规约(的形式化高层规约(FTLS)与模型是一致)与模型是一致的的通过非形式化的方法证明通过非形式化的方法证明TCB的实现(硬件、固件、软的实现(硬件、固件、软件)与形式化的高层规约(件)与形式化的高层规约(FTLS)是一致的。应证明)是一致的。应证明FTLS的元素与的元素与TCB的元素是一致的,的元素是一致的,FTLS应表达用应表达
22、用于满足安全策略的一致的保护机制,这些保护机制的元于满足安全策略的一致的保护机制,这些保护机制的元素应映射到素应映射到TCB的要素的要素35TCSEC应使用形式化的方法标识并分析隐蔽信道,非形式化的应使用形式化的方法标识并分析隐蔽信道,非形式化的方法可以用来标识时间隐蔽信道,必须对系统中存在的方法可以用来标识时间隐蔽信道,必须对系统中存在的隐蔽信道进行解释隐蔽信道进行解释36TCSECA1级系统级系统:要求更严格的配置管理要求更严格的配置管理要求建立系统安全分发的程序要求建立系统安全分发的程序支持系统安全管理员的职能支持系统安全管理员的职能37TCSECA A类分为两个类别:类分为两个类别:验
23、证设计级(验证设计级(A1A1级)级)超超A1A1级级38TCSEC超超A1A1级在级在A1级基础上增加的许多安全措施超出了目前级基础上增加的许多安全措施超出了目前的技术发展的技术发展随着更多、更好的分析技术的出现,本级系统的要求才随着更多、更好的分析技术的出现,本级系统的要求才会变的更加明确会变的更加明确今后,形式化的验证方法将应用到源码一级,并且时间今后,形式化的验证方法将应用到源码一级,并且时间隐蔽信道将得到全面的分析隐蔽信道将得到全面的分析39TCSEC在这一级,设计环境将变的更重要在这一级,设计环境将变的更重要形式化高层规约的分析将对测试提供帮助形式化高层规约的分析将对测试提供帮助T
24、CB开发中使用的工具的正确性及开发中使用的工具的正确性及TCB运行的软硬件运行的软硬件功能的正确性将得到更多的关注功能的正确性将得到更多的关注40TCSEC超超A1级系统涉及的范围包括:级系统涉及的范围包括:系统体系结构系统体系结构安全测试安全测试形式化规约与验证形式化规约与验证可信设计环境等可信设计环境等41标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程可信计算机系统评估准则(可信计算机系统评估准则(TCSEC)可信网络解释可信网络解释(TNI)通用准则通用准则CC计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息系统安全评估方法探讨信息系统安
25、全评估方法探讨42可信网络解释(可信网络解释(TNI)美国国防部计算机安全评估中心在完成美国国防部计算机安全评估中心在完成TCSEC的基础的基础上,又组织了专门的研究镞对可信网络安全评估进行研上,又组织了专门的研究镞对可信网络安全评估进行研究,并于究,并于1987年发布了以年发布了以TCSEC为基础的可信网络解为基础的可信网络解释,即释,即TNI。TNI包括两个部分(包括两个部分(PartI和和PartII)及三个附录)及三个附录(APPENDIXA、B、C)43可信网络解释(可信网络解释(TNI)TNI第一部分提供了在网络系统作为一个单一系统进行第一部分提供了在网络系统作为一个单一系统进行评
26、估时评估时TCSEC中各个等级(从中各个等级(从D到到A类)的解释类)的解释与单机系统不同的是,网络系统的可信计算基称为网络与单机系统不同的是,网络系统的可信计算基称为网络可信计算基(可信计算基(NTCB)44可信网络解释(可信网络解释(TNI)第二部分以附加安全服务的形式提出了在网络互联时出第二部分以附加安全服务的形式提出了在网络互联时出现的一些附加要求现的一些附加要求这些要求主要是针对完整性、可用性和保密性的这些要求主要是针对完整性、可用性和保密性的45可信网络解释(可信网络解释(TNI)第二部分的评估是定性的,针对一个服务进行评估的结第二部分的评估是定性的,针对一个服务进行评估的结果一般
27、分为为:果一般分为为:vnonevminimumvfairvgood46可信网络解释(可信网络解释(TNI)第二部分中关于每个服务的说明一般包括第二部分中关于每个服务的说明一般包括:一种相对简短的陈述一种相对简短的陈述相关的功能性的讨论相关的功能性的讨论相关机制强度的讨论相关机制强度的讨论相关保证的讨论相关保证的讨论47可信网络解释(可信网络解释(TNI)功能性是指一个安全服务的目标和实现方法,它包括特功能性是指一个安全服务的目标和实现方法,它包括特性、机制及实现性、机制及实现机制的强度是指一种方法实现其目标的程度机制的强度是指一种方法实现其目标的程度有些情况下,参数的选择会对机制的强度带来很
28、大的影有些情况下,参数的选择会对机制的强度带来很大的影响响48可信网络解释(可信网络解释(TNI)保证是指相信一个功能会实现的基础保证是指相信一个功能会实现的基础保证一般依靠对理论、测试、软件工程等相关内容的分保证一般依靠对理论、测试、软件工程等相关内容的分析析分析可以是形式化或非形式化的,也可以是理论的或应分析可以是形式化或非形式化的,也可以是理论的或应用的用的49可信网络解释(可信网络解释(TNI)第二部分中列出的安全服务有:第二部分中列出的安全服务有:通信完整性通信完整性拒绝服务拒绝服务机密性机密性50可信网络解释(可信网络解释(TNI)通信完整性主要涉及以下通信完整性主要涉及以下3方面
29、:方面:鉴别:网络中应能够抵抗欺骗和重放攻击鉴别:网络中应能够抵抗欺骗和重放攻击通信字段完整性:保护通信中的字段免受非授权的通信字段完整性:保护通信中的字段免受非授权的修改修改抗抵赖:提供数据发送、接受的证据抗抵赖:提供数据发送、接受的证据51可信网络解释(可信网络解释(TNI)当网络处理能力下降到一个规定的界限以下或远程实体当网络处理能力下降到一个规定的界限以下或远程实体无法访问时,即发生了拒绝服务无法访问时,即发生了拒绝服务所有由网络提供的服务都应考虑拒绝服务的情况所有由网络提供的服务都应考虑拒绝服务的情况网络管理者应决定网络拒绝服务需求网络管理者应决定网络拒绝服务需求52可信网络解释(可
30、信网络解释(TNI)解决拒绝服务的方法有:解决拒绝服务的方法有:操作连续性操作连续性基于协议的拒绝服务保护基于协议的拒绝服务保护网络管理网络管理53可信网络解释(可信网络解释(TNI)机密性是一系列安全服务的总称机密性是一系列安全服务的总称这些服务都是关于通过计算机通信网络在实体间传输信这些服务都是关于通过计算机通信网络在实体间传输信息的安全和保密的息的安全和保密的具体又分具体又分3种情况:种情况:数据保密数据保密通信流保密通信流保密选择路由选择路由54可信网络解释(可信网络解释(TNI)数据保密:数据保密:数据保密性服务保护数据不被未授权地泄露数据保密性服务保护数据不被未授权地泄露数据保密性
31、主要受搭线窃听的威胁数据保密性主要受搭线窃听的威胁被动的攻击包括对线路上传输的信息的观测被动的攻击包括对线路上传输的信息的观测55可信网络解释(可信网络解释(TNI)通信流保密:通信流保密:针对通信流分析攻击而言,通信流分析攻击分析消息的针对通信流分析攻击而言,通信流分析攻击分析消息的长度、频率及协议的内容(如地址)长度、频率及协议的内容(如地址)并以此推出消息的内容并以此推出消息的内容56可信网络解释(可信网络解释(TNI)选择路由:选择路由:路由选择控制是在路由选择过程中应用规则,以便具体路由选择控制是在路由选择过程中应用规则,以便具体的选取或回避某些网络、链路或中继的选取或回避某些网络、
32、链路或中继路由能动态的或预定地选取,以便只使用物理上安全的路由能动态的或预定地选取,以便只使用物理上安全的子网络、链路或中继子网络、链路或中继在检测到持续的操作攻击时,端系统可希望指示网络服在检测到持续的操作攻击时,端系统可希望指示网络服务的提供者经不同的路由建立连接务的提供者经不同的路由建立连接带有某些安全标记的数据可能被策略禁止通过某些子网带有某些安全标记的数据可能被策略禁止通过某些子网络、链路或中继络、链路或中继57可信网络解释(可信网络解释(TNI)TNI第二部分的评估更多地表现出定性和主观的特点,第二部分的评估更多地表现出定性和主观的特点,同第一部分相比表现出更多的变化同第一部分相比
33、表现出更多的变化第二部分的评估是关于被评估系统能力和它们对特定应第二部分的评估是关于被评估系统能力和它们对特定应用环境的适合性的非常有价值的信息用环境的适合性的非常有价值的信息第二部分中所列举的安全服务是网络环境下有代表性的第二部分中所列举的安全服务是网络环境下有代表性的安全服务安全服务在不同的环境下,并非所有的服务都同等重要,同一服在不同的环境下,并非所有的服务都同等重要,同一服务在不同环境下的重要性也不一定一样务在不同环境下的重要性也不一定一样58可信网络解释(可信网络解释(TNI)TNI的附录的附录A是第一部分的扩展,主要是关于网络中组是第一部分的扩展,主要是关于网络中组件及组件组合的评
34、估件及组件组合的评估附录附录A A把把TCSECTCSEC为为A1A1级系统定义的安全相关的策略分为四级系统定义的安全相关的策略分为四个相对独立的种类,他们分别支持强制访问控制个相对独立的种类,他们分别支持强制访问控制(MACMAC),自主访问控制(),自主访问控制(DACDAC),身份鉴别(),身份鉴别(IAIA),审),审计(计(AUDITAUDIT)59可信网络解释(可信网络解释(TNI)组成部分的类型最小级别最大级别MB1A1DC1C2+IC1C2AC2C2+DIC1C2+DAC2C2+IAC2C2+IADC2C2+MDB1A1MAB1A1MIB1A1MDAB1A1MDIB1A1MIA
35、B1A1MIADB1A160可信网络解释(可信网络解释(TNI)附录附录B给出了根据给出了根据TCSEC对网络组件进行评估的基本原对网络组件进行评估的基本原理理附录附录C则给出了几个则给出了几个AIS互联时的认证指南及互联中可互联时的认证指南及互联中可能遇到的问题能遇到的问题61可信网络解释(可信网络解释(TNI)TNI中关于网络有两种概念:中关于网络有两种概念:一是单一可信系统的概念(一是单一可信系统的概念(singletrustedsystem)另一个是互联信息系统的概念(另一个是互联信息系统的概念(interconnectedAIS)这两个概念并不互相排斥这两个概念并不互相排斥62可信网
36、络解释(可信网络解释(TNI)在单一可信系统中,网络具有包括各个安全相关部分的在单一可信系统中,网络具有包括各个安全相关部分的单一单一TCB,称为,称为NTCB(networktrustedcomputingbase)NTCB作为一个整体满足系统的安全体系设计作为一个整体满足系统的安全体系设计63可信网络解释(可信网络解释(TNI)在互联信息系统中在互联信息系统中各个子系统可能具有不同的安全策略各个子系统可能具有不同的安全策略具有不同的信任等级具有不同的信任等级并且可以分别进行评估并且可以分别进行评估各个子系统甚至可能是异构的各个子系统甚至可能是异构的64可信网络解释(可信网络解释(TNI)安
37、全策略的实施一般控制在各个子系统内,在附录安全策略的实施一般控制在各个子系统内,在附录C中中给出了各个子系统安全地互联的指南,在互联时要控制给出了各个子系统安全地互联的指南,在互联时要控制局部风险的扩散,排除整个系统中的级联问题(局部风险的扩散,排除整个系统中的级联问题(cascadeproblem)限制局部风险的扩散的方法:单向连接、传输的手工检限制局部风险的扩散的方法:单向连接、传输的手工检测、加密、隔离或其他措施。测、加密、隔离或其他措施。65标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程可信计算机系统评估准则(可信计算机系统评估准则(TCSEC)可信网络解释可
38、信网络解释(TNI)通用准则通用准则CC计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息系统安全评估方法探讨信息系统安全评估方法探讨66通用准则通用准则CCCC的范围的范围:CC适用于硬件、固件和软件实现的信息技术安全措施适用于硬件、固件和软件实现的信息技术安全措施而某些内容因涉及特殊专业技术或仅是信息技术安全的而某些内容因涉及特殊专业技术或仅是信息技术安全的外围技术不在外围技术不在CC的范围内的范围内67通用准则通用准则CC评估上下文评估上下文评估准则(通用准则)评估方法学评估方案最终评估 结果评估批准/证明证书表/(注册)68通用准则通用准则CC使用通用评估方法学可
39、以提供结果的可重复性和客观性使用通用评估方法学可以提供结果的可重复性和客观性许多评估准则需要使用专家判断和一定的背景知识许多评估准则需要使用专家判断和一定的背景知识为了增强评估结果的一致性,最终的评估结果应提交给为了增强评估结果的一致性,最终的评估结果应提交给一个认证过程,该过程是一个针对评估结果的独立的检一个认证过程,该过程是一个针对评估结果的独立的检查过程,并生成最终的证书或正式批文查过程,并生成最终的证书或正式批文69通用准则通用准则CCCC包括三个部分包括三个部分:第一部分:简介和一般模型第一部分:简介和一般模型第二部分:安全功能要求第二部分:安全功能要求第三部分:安全保证要求第三部分
40、:安全保证要求70通用准则通用准则CC安安全全保保证证要要求求部部分分提提出出了了七七个个评评估估保保证证级级别别(EvaluationAssuranceLevels:EALs)分别是:分别是:EAL1EAL1:功能测试:功能测试EAL2EAL2:结构测试:结构测试EAL3EAL3:系统测试和检查:系统测试和检查EAL4EAL4:系统设计、测试和复查:系统设计、测试和复查EAL5EAL5:半形式化设计和测试:半形式化设计和测试EAL6EAL6:半形式化验证的设计和测试:半形式化验证的设计和测试EAL7EAL7:形式化验证的设计和测试:形式化验证的设计和测试71通用准则通用准则CC安全就是保护资
41、产不受威胁,威胁可依据滥用被保护资安全就是保护资产不受威胁,威胁可依据滥用被保护资产的可能性进行分类产的可能性进行分类所有的威胁类型都应该被考虑到所有的威胁类型都应该被考虑到在安全领域内,被高度重视的威胁是和人们的恶意攻击在安全领域内,被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的及其它人类活动相联系的72通用准则通用准则CC安全安全概念概念和关和关系系73通用准则通用准则CC安全性损坏一般包括但又不仅仅包括以下几项安全性损坏一般包括但又不仅仅包括以下几项资产破坏性地暴露于未授权的接收者(失去保密性)资产破坏性地暴露于未授权的接收者(失去保密性)资产由于未授权的更改而损坏(失去完整性
42、)资产由于未授权的更改而损坏(失去完整性)或资产访问权被未授权的丧失(失去可用性)或资产访问权被未授权的丧失(失去可用性)74通用准则通用准则CC资产所有者必须分析可能的威胁并确定哪些存在于他们资产所有者必须分析可能的威胁并确定哪些存在于他们的环境的环境,其后果就是风险其后果就是风险对策用以(直接或间接地)减少脆弱性并满足资产所有对策用以(直接或间接地)减少脆弱性并满足资产所有者的安全策略者的安全策略在将资产暴露于特定威胁之前,所有者需要确信其对策在将资产暴露于特定威胁之前,所有者需要确信其对策足以应付面临的威胁足以应付面临的威胁75通用准则通用准则CC评评估估概概念念和和关关系系76通用准则
43、通用准则CCTOE评评估估过过程程77通用准则通用准则CC评估过程通过两种途径产生更好的安全产品评估过程通过两种途径产生更好的安全产品评估过程能发现开发者可以纠正的评估过程能发现开发者可以纠正的TOE错误或弱点,从而在减错误或弱点,从而在减少将来操作中安全失效的可能性少将来操作中安全失效的可能性另一方面,为了通过严格的评估,开发者在另一方面,为了通过严格的评估,开发者在TOE设计和开发时设计和开发时也将更加细心也将更加细心因此,评估过程对最初需求、开发过程、最终产品以及操作环境因此,评估过程对最初需求、开发过程、最终产品以及操作环境将产生强烈的积极影响将产生强烈的积极影响78通用准则通用准则C
44、CCC安全概念安全概念包括:包括:安全环境安全环境安全目的安全目的IT安全要求安全要求TOE概要规范概要规范79通用准则通用准则CC安全环境包括所有相关的法规、组织性安全策略、习惯、安全环境包括所有相关的法规、组织性安全策略、习惯、专门技术和知识专门技术和知识它定义了它定义了TOE使用的上下文,安全环境也包括环境里使用的上下文,安全环境也包括环境里出现的安全威胁出现的安全威胁80通用准则通用准则CC安全环境的分析结果被用来阐明对抗已标识的威胁、说安全环境的分析结果被用来阐明对抗已标识的威胁、说明组织性安全策略和假设的安全目的明组织性安全策略和假设的安全目的安全目的和已说明的安全目的和已说明的T
45、OE运行目标或产品目标以及有运行目标或产品目标以及有关的物理环境知识一致关的物理环境知识一致确定安全目的的意图是为了阐明所有的安全考虑并指出确定安全目的的意图是为了阐明所有的安全考虑并指出哪些安全方面的问题是直接由哪些安全方面的问题是直接由TOE还是由它的环境来还是由它的环境来处理处理环境安全目的将在环境安全目的将在IT领域内用非技术上的或程序化的领域内用非技术上的或程序化的手段来实现手段来实现81通用准则通用准则CCIT安全要求是将安全目的细化为一系列安全要求是将安全目的细化为一系列TOE及其环境及其环境的安全要求,一旦这些要求得到满足,就可以保证的安全要求,一旦这些要求得到满足,就可以保证
46、TOE达到它的安全目的达到它的安全目的IT安全需求只涉及安全需求只涉及TOE安全目的和它的安全目的和它的IT环境环境82通用准则通用准则CCCC定义了一系列与已知有效的安全要求集合相结合的定义了一系列与已知有效的安全要求集合相结合的概念,该概念可被用来为预期的产品和系统建立安全需概念,该概念可被用来为预期的产品和系统建立安全需求求CCCC安全要求以类安全要求以类族族组件这种层次方式组织,以帮助组件这种层次方式组织,以帮助用户定位特定的安全要求用户定位特定的安全要求对功能和保证方面的要求,对功能和保证方面的要求,CC使用相同的风格、组织使用相同的风格、组织方式和术语。方式和术语。83通用准则通用
47、准则CCCC中安全要求的描述方法中安全要求的描述方法:类:类:类用作最通用安全要求的组合,类的所有的成员关类用作最通用安全要求的组合,类的所有的成员关注共同的安全焦点,但覆盖不同的安全目的注共同的安全焦点,但覆盖不同的安全目的族:类的成员被称为族族:类的成员被称为族。族是若干组安全要求的组合,族是若干组安全要求的组合,这些要求有共同的安全目的,但在侧重点和严格性上有这些要求有共同的安全目的,但在侧重点和严格性上有所区别所区别组件:族的成员被称为组件。组件描述一组特定的安全组件:族的成员被称为组件。组件描述一组特定的安全要求集,它是要求集,它是CC定义的结构中所包含的最小的可选安定义的结构中所包
48、含的最小的可选安全要求集全要求集84通用准则通用准则CC组件由单个元素组成,元素是安全需求最低层次的表达,组件由单个元素组成,元素是安全需求最低层次的表达,并且是能被评估验证的不可分割的安全要求并且是能被评估验证的不可分割的安全要求族内具有相同目标的组件可以以安全要求强度(或能力)族内具有相同目标的组件可以以安全要求强度(或能力)逐步增加的顺序排列,也可以部分地按相关非层次集合逐步增加的顺序排列,也可以部分地按相关非层次集合的方式组织的方式组织85通用准则通用准则CC组件间可能存在依赖关系组件间可能存在依赖关系依赖关系可以存在于功能组件之间、保证组件之间以及依赖关系可以存在于功能组件之间、保证
49、组件之间以及功能和保证组件之间功能和保证组件之间组件间依赖关系描述是组件间依赖关系描述是CC组件定义的一部分组件定义的一部分86通用准则通用准则CC可以通过使用组件允许的操作,对组件进行裁剪可以通过使用组件允许的操作,对组件进行裁剪每一个每一个CC组件标识并定义组件允许的组件标识并定义组件允许的“赋值赋值”和和“选选择择”操作、在哪些情况下可对组件使用这些操作,以及操作、在哪些情况下可对组件使用这些操作,以及使用这些操作的后果使用这些操作的后果任何一个组件均允许任何一个组件均允许“反复反复”和和“细化细化”操作操作87通用准则通用准则CC这四个操作如下所述:这四个操作如下所述:反复:在不同操作
50、时,允许组件多次使用反复:在不同操作时,允许组件多次使用赋值:当组件被应用时,允许规定所赋予的参数赋值:当组件被应用时,允许规定所赋予的参数选择:允许从组件给出的列表中选定若干项选择:允许从组件给出的列表中选定若干项细化:当组件被应用时,允许对组件增加细节细化:当组件被应用时,允许对组件增加细节88通用准则通用准则CC要要求求的的组组织织和和结结构构89通用准则通用准则CCCC中安全需求的描述方法中安全需求的描述方法:包包:组件的中间组合被称为包组件的中间组合被称为包 保护轮廓保护轮廓(PP):):PP是关于一系列满足一个安全目标集是关于一系列满足一个安全目标集的的TOETOE的、与实现无关的