《[精选]信息安全安全架构与设计.pptx》由会员分享,可在线阅读,更多相关《[精选]信息安全安全架构与设计.pptx(81页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、安全架构和设计Security Architecture and Design 关键知识领域A.理解安全模型的基本概念如保密性、完整性与多层次模型B.理解信息系统安全评估模型的组成B.1 产品评估模型如通用准则B.2 工业与国际安全实施准则如PIC-DSS、ISOC.理解信息系统的安全功能如内存保护、虚拟技术、可信平台模块D.理解安全架构的漏洞D.1 系统如隐蔽通道、状态攻击、电子发射D.2 技术与流程的整合如单点故障、面向效劳的架构E.理解软件与系统的漏洞与威胁E.1 基于Web如XML、SAML、OWASPE.2 基于客户端如小程序E.3 基于效劳器如数据流量控制E.4 数据库安全如推断、
2、聚合、数据挖掘、数据仓库E.5 分布式系统如云计算、网格计算、对等网络F.理解对抗原理如深度防御目录计算机安全系统架构计算机系统结构操作系统架构系统安全体系结构安全模型操作安全模式系统评价方法橘皮书和彩虹系列信息技术安全评估标准通用标准认证与认可开放与封闭系统一些威胁的评估计算机安全 puter Security 可用性:防止丧失或访问,数据和资源流失Availability:Prevention of loss of,or loss of access to,data and resources完整性:防止数据和资源的未经授权的修改Integrity:Prevention of unauth
3、orized modification of data and resources保密性:防止未授权披露的数据和资源Confidentiality:Prevention of unauthorized disclosure of data and resources系统架构System Architecture 架构Architecture:表达在其组成局部,它们彼此之间以及与环境的关系,和指导原则其设计和演进的系统的基本组织。架构描述Architectural description,AD:以正式的方式表述一个架构的文档集合。利益相关者Stakeholder:对于系统有利益关系或关注系统的个
4、人、团队、组织或集体视图View:从相关的一组关注点透视出的整个系统的表述视角Viewpoint:关于建设和使用视图的惯例性说明,也是通过明确视图建立目的、读者,确立视图与分析技巧后开发单个视图的模板。正式的架构术语和关系计算机系统结构 puter Architecture 计算机体系结构包括所有用于它的计算机系统的所必需的部件的功能,包括操作系统,存储芯片,逻辑电路,存储设备,输入和输出设备,安全组件,总线和网络接口。中央处理器The Central Processing Unit多重处理Multiprocessing操作系统组件Operating System ponents中央处理器Th
5、e Central Processing Unit,CPU计算机的大脑。对CPU最常见的描述可能是:它从存储器中提取指令并加以执行。控制单元算术逻辑单元寄存器数据高速缓存器解码单元预取单元指令高速缓存器总线单元(主存储器)中央处理器The Central Processing Unit,CPU中央处理单元是计算机硬件的核心,主要任务是执行各种命令,完成各种运算和控制功能,是计算机的心脏,决定着系统的类型、性能和速度,CPU中包含:1算术逻辑运算单元ALU Arithmetic Logic Unit:主要负责数据的计算或处理。2控制单元Control unit:控制数据流向,例如数据或指令进出C
6、PU;并控制ALU的动作。3存放器/缓存器Registers:负责储存数据,以利CPU快速地存取。累加器Accumulator程序记数器Program Counter内存地址存放器Memory Address Register 内存数据存放器Memory Buffer Register指令存放器Instruction Register 4连结路径interconnection path:负责连接CPU内部的组件,以利数据或控制讯号在不同组件间流传。CPU运行状态运行状态:Run/operating state执行指令解题状态:Application/Problem state执行应用程序仅执行
7、非特权nonprivileged instructions指令管理程序状态:Supervisor state 特权模式下执行程序可以访问整个系统,同时执行特权 Privileged instructions 和非特权指令等待状态:Wait state 等待特定事件完成多重处理Multiprocessing对称模式多重处理Symmetric mode multiprocessing 计算机有两个或者多个CPU且每个CPU都使用加载均衡方式非对称模式多重处理Asymmetric mode multiprocessing 计算机有两个或者多个CPU,且有一个CPU仅专门处理一个特定程序,而其他CPU
8、执行通用的处理程序关键概念中央处理单元CPU,算术逻辑单元ALU,存放器,控制单元通用存放器General registers:CPU在执行指令过程中使用的临时存储位置。特殊存放器Special registers:保存关键处理参数的临时存储位置。保存诸如程序计数器,堆栈指针,程序状态字PSW。程序计数器Program counter:为CPU所要执行的指令保存存储器地址栈Stack:进程用来彼此传输指令和数据的存储器分段程序状态字Program status word:向CPU说明需要用什么状态内核模式还是用户模式运行的条件变量关键概念用户模式问题状态User mode problem st
9、ate:CPU在执行不太可信的进程指令时所用的保护模式内核模式监管状态、特权模式Kernel mode supervisory state,privilege mode:CPU在执行较为可信的进程指令时所用的工作状态,进程在内核模式下比在用户模式下可以访问更多的计算机资源地址总线Address bus:处理组件和存储器段之间的物理连接,用来传输处理过程中所拥到的物理存储器地址数据总线Data bus:处理组件和存储器段之间的物理连接,用来传输处理过程中所用到的数据。对称模式多重处理,不对称模式多重处理操作系统组件Operating System ponents进程管理Process Manag
10、ement线程管理Thread Management进程调度Process Scheduling进程活动Process Activity进程管理Process Management进程管理:操作系统的职能之一,主要是对处理机进行管理。为了提高CPU的利用率而采用多道程序技术。通过进程管理来协调多道程序之间的关系,使CPU得到充分的利用。进程:Process一个独立运行的程序,有自己的地址空间,是程序运行的动态过程只能有限地与其它进程通信,由OS负责处理进程间的通信进程是程序运行的一个实例,是运行着的程序关键概念多程序设计MultiProgramming一个处理器允许多处程序的将交叉运行,即两个
11、或两个以上程序在计算机系统中同处于开始个结束之间的状态:多道、宏观上并行、微观上串行 解决主机和外转设备速度不匹配问题,为提高CPU的利用率。通过进程管理,协调多道程序之间的CPU分配调度、冲突处理及资源回收等关系。对象重用问题,TOC/TOU多任务MultiTasking单个处理器对两个或两个以上的任务并行执行、交叉执行实时多任务Realtime、抢占式多任务Preemptive、协作式多任务Cooperative。协调式多任务各个进程控制释放CPU时间,抢占式多任务主要由操作系统控制时间关键概念进程表PCB:包含CPU所需的进程状态数据中断Interrupts:分配给计算机部件硬件和软件的
12、值,以对计算机资源进行有效的时间分片。可屏蔽中断Maskable interrupt:分配给非关键操作系统活动中断值。不可屏蔽中断Nonmaskable interrupt:分配给关键操作系统活动中断值,如复位键线程管理Thread Management线程Thread:是为了节省资源而可以在同一个进程中共享资源的一个执行单位。多线程Multithreading:通过生成不同指令集线程同时执行多个活动的应用程序进程调度Process Scheduling无论是在批处理系统还是分时系统中,用户进程数一般都多于处理机数、这将导致它们互相争夺处理机。另外,系统进程也同样需要使用处理机。这就要求进程调
13、度程序按一定的策略,动态地把处理机分配给处于就绪队列中的某一个进程,以使之执行。软件死锁Software deadlock:两个进程都在等待系统资源被释放额导致不能完成他们的活动的情况。进程活动早期操作系统中,一个进程挂起,其它所有程序也会挂起进程隔离:对象封装,共享资源时分复用,命名区分,虚拟映射关键概念进程多程序设计:操作系统交叉执行不止一个进程多任务处理:操作系统同时执行不止一个任务协调式多任务抢占式多任务进程状态:就绪,运行,阻塞中断,可屏蔽中断线程,多线程软件死锁存储器管理管理目标为编程人员提供一个抽象层通过有限的可用存储器提供最高性能保护操作系统与加载入存储器的应用程序存储器管理器
14、五项基本功能重新部署根据需要,在RAM和硬盘之间交换内容保护限制进程只与分配给它们的存储器段交互,为存储器段提供访问控制共享当进程需要使用相同的共享存储器段时,使用复杂的控制来确保完整性和机密性逻辑组织允许共享特定的软件模块物理组织为应用程序和操作系统进程划分物理存储器空间存储器类型随机存取存储器Random access memory,RAM可随时写入或读出数据用于操作系统和应用所执行的读写活动,即通常所说的内存存放器,RegisterCache动态随机储存内存Dynamic RAM,DRAM静态随机储存内存Static RAM,SRAM:面积更大,造价更高,速度更快由CPU直接存取关闭电源
15、存放在DRAM、存放器、Cache的内容消失,不可永久保存资料抖动:读取数据所花时间超过处理数据的时间存储器类型只读存储器Read only memory,ROM只能读不能写关闭电源内容不消失,可永久保存数据。而使用SRAM进行存储,需要有电池等设备。种类:PROM programmable ROM:数据或程序可依使用者的需求来烧录,程序或数据一经烧录便无法更改。EPROM erasable PROM:可擦拭可程序规划的ROM,旧有的数据或程序可利用紫外线的照射来加以消除,使用者可以重复使用该颗EPROM,来烧录不同程序的程序或数据。EEPROM electrically erase PROM
16、:电子式可擦拭可程序规划的ROM。MASK ROM:屏蔽式,数据由制造厂商在内存制造过程时写入。存储器类型高速缓存Cache Memory为了缓和CPU与主存储器之间速度的矛盾,在CPU和主存储器之间设置一个缓冲性的高速存储部件,它的工作速度接近CPU的工作速度,但其存储容量比主存储器小得多。高速缓存分为两种,一种是内建在CPU中的L1快取,另一种则是在CPU之外,称为L2快取。高速缓存愈大,对计算机执行效率的帮助愈大。速度最快、最贵存储器映射Memory Mapping:逻辑地址引导到特定的物理地址缓冲区溢出Buffer Overflows缓冲区溢出攻击利用编写不够严谨的程序,通过向程序的缓
17、存区写入超过预定长度的数据,造成缓存的溢出,从而破坏程序的堆栈,导致程序执行流程的改变。ALSR:地址空间随机布局化DEP:数据执行保护存储器泄露Memory Leaks开发正确释放存储器的更完善的代码使用垃圾收集器garbage collector虚拟存储器Virtual Memory通过使用二级存储器局部硬盘空间来扩展内存RAM的容量,对未被执行的程序页进行处理虚拟存储器属于操作系统中存储管理的内容,因此,其大局部功能由软件实现。虚拟存储器是一个逻辑模型,并不是一个实际的物理存储器。虚拟存储器的作用:分隔地址空间;解决主存的容量问题;程序的重定位虚拟存储器不仅解决了存储容量和存取速度之间的
18、矛盾,而且也是管理存储设备的有效方法。有了虚拟存储器,用户无需考虑所编程序在主存中是否放得下或放在什么位置等问题。关键概念进程隔离动态链接库基础存放器起始地址,限制存放器终止地址RAM ROM 高速缓冲存储器绝对地址,逻辑地址缓冲区溢出,ASLR,DEP垃圾收集器,虚拟存储器输入输出设备管理输入是把信息送入计算机系统的过程,输出是从计算机系统送出信息的过程,用户通过输入/输出设备与计算机系统互相通信。常用输入设备:键盘、鼠标器、扫描仪常用输出设备:显示器、打印机、绘图仪输出/输入接口数据要从计算机内部输出时,它会将内部的表示法转成外围设备看得懂的表示法以利输出。反之,假设要从外围设备传数据到计
19、算机内部,它也会将外界的数据格式转成计算机内部看得懂的表示法。检验数据的完整性I/O技术可编程Programmed I/O速度慢中断驱动Interrupt-driven I/O由外部发出请求,请求CPU中断或结束正常程序运行处理中断导致时间消耗DMA I/O using DMA是一种完全由硬件执行I/O交换的工作方式。速度快映射前Premapped I/OI/O取得足够信任,IIO与存储器直接交互数据全映射Fully mapped I/O不完全信任I/O,IO设备只与逻辑地址直接交互CPU架构保护环Protection Ring一组同心的编号环 环数决定可以访问的层次,越低的环数表示越高的特权
20、程序假定执行环数的位置 程序不可以直接访问比自身高的层次,如需访问,系统调用system call一般使用4个保护环:Ring 1 操作系统安全核心Ring 2 其他操作系统功能 设图示控制器Ring 3 系统应用程序,数据库功能等Ring 4 应用程序空间操作系统架构Operating System Architectures单块操作系统架构分层操作系统架构操作系统架构单片Monolithic 所有操作系统进程在内核模式下运行。分层Layered所有操作系统进程在内核模式下的分层模型上运行。内核过大微内核Microkernel核心操作系统进程运行在内核模式,其余运行在用户模式。内核过小混合微
21、内核Hybrid microkernel所有操作系统进程在内核模式下运行。核心进程运行在微内核,其他运行在客户端效劳器模式。分层操作系统微内核操作系统Windows混合微内核架构主要的操作系统内核架构虚拟机虚拟机优势多个效劳器整合遗留应用程序运行运行不可信程序,提供安全的隔离的沙箱模仿独立计算机网络多个系统,多种硬件适合强大的调试和性能监控超强隔离能力备份、恢复、迁移更简单系统安全体系结构System Security Architecture安全策略Security Policy安全架构要求Security Architecture Requirements安全策略Security Poli
22、cy指导性纲领,为系统整体和构成它的组件从安全角度提出根本的目标,是战略工具。安全策略是一个系统的基础标准,使系统集成后评估它的基准。安全架构要求Security Architecture Requirements可信计算基Trusted puting Base安全边界Security Perimeter引用监视器Reference Monitor,RM安全内核Security Kernel可信计算基Trusted puting BaseTCB是计算机系统内保护机制的总体,包括硬件、固体、软件和负责执行安全策略的组合体。TCB由一系列的部件构成,在产品或系统中执行统一的安全策略。TCB的三个要
23、求TCB必须保证其自身在一个域中的执行,防止被外界干扰或破坏TCB所控制的资源必须是已经定义的主体或客体的子集TCB必须隔离被保护的资源,以便进行访问控制和审计TCB维护每个域的保密性和完整性,监视4个基本功能进程激活:Process activation执行域的切换:Execution domain switching内存保护:Memory protectionI/O操作:I/O operation引用监视器Reference Monitor,RMRM是一个抽象机的访问控制概念,基于访问控制数据库协调所有主体对客体的访问RM的任务根据访问控制数据库,对主体对客体的访问请求做出是否允许的裁决,
24、并将该请求记录到审计数据库中。注意:基准监视器有动态维护访问控制数据库的能力。RM的特性:执行主体到对象所有访问的抽象机必须执行所有访问,能够在修改中被保护,能够恢复正常,并且总是被调用。处理所有主体到客体访问的抽象机安全内核Security Kernel安全内核是TCB中执行引用监视器概念的硬件、固件和软件元素理论基础:在一个大的操作系统中,只将相比照较小的一局部软件负责实施系统安全,并将实施安全的这局部软件隔离在一个可信的安全核,这个核就称为安全核。需要满足三个原则完备性:协调所有的访问控制隔离性:受保护,不允许被修改可验证性:被验证是正确的安全核技术是早期构建安全操作系统最为常用的技术,
25、几乎可以说是唯一能够实用的技术。引用监视器RM是概念,抽象的机器,协调所有主体对对象间的访问;安全内核是硬件,是TCB中执行RM的局部,TCB中除安全内核外还有其它安全机制关键概念虚拟化Hypervisor:用来管理模拟环境中的虚拟机的中央程序安全策略可信计算基可信路径:进程之间用来通信的,不能被绕过的可信软件通道安全边界引用监视器安全内核多级安全策略安全模型Security Models 状态机模型State Machine ModelsBell-LaPadula 模型Biba模型Clark-Wilson模型信息流模型Information Flow Model非干预模型Noninterfe
26、rence Model格子模型Lattice ModelBrewer and Nash模型Graham-Denning模型Harrison-Ruzzo-UllmanHRU模型安全策略与安全模型安全策略勾勒出目标,宽泛、模糊而抽象,安全模型提供了实现这些目标应该做什么,不应该做什么,具有实践指导意义,给出了策略的形式状态机模型State Machine Models状态机模型描述了一种无论处于何种状态都是安全的系统一个状态State是处于特定时刻系统的一个快照,如果该状态所有方面都满足安全策略的要求,就称之为安全的State transition:状态转换,许多活动可能会改变系统状态,成为状态迁
27、移State transition,迁移总是导致新的状态的出现如果所有的行为都在系统中允许并且不危及系统使之处于不安全状态,则系统执行一个安全状态机模型:secure state model。一个安全的状态机模型系统,总是从一个安全状态启动,并且在所有迁移当中保持安全状态,只允许主体以和安全策略相一致的安全方式来访问资源安全的状态机模型是其他安全模型的基础状态机模型State Machine ModelsBell-LaPadula 模型1973年,David Bell和Len LaPadula提出了第一个正式的安全模型,该模型基于强制访问控制系统,以敏感度来划分资源的安全级别。将数据划分为多安
28、全级别与敏感度的系统称之为多级安全系统为 国防部多级安全策略形式化而开发Bell-LaPadula保密性模型是第一个能够提供分级别数据机密性保障的安全策略模型多级安全。特点:信息流安全模型只对机密性进行处理运用状态机模型和状态转换的概念基于政府信息分级无 、敏感但无 、机密、秘密、绝密“Need to know谁需要知道?开始于安全状态,在多个安全状态中转换初始状态必须安全,转变结果才在安全状态Bell-LaPadula 模型安全规则简单安全规则ss Simple Security Property 安全级别低的主体不能读安全级别高的客体信息No Read Up星规则*The*star sec
29、urity Property安全级别高的主体不能往低级别的客体写No write Down强星规则 Strong*property不允许对另一级别进行读取自主安全规则ds Discretionary security Property 使用访问控制矩阵来定义说明自由存取控制内容相关 Content Dependent 上下文相关Context DependentBLP模型的缺陷不能防止隐蔽通道covert channels不针对使用文件共享和效劳器的现代信息系统没有明确定义何谓安全状态转移secure state transition基于多级安全保护multilevel security而未针
30、对其他策略类型 不涉及访问控制管理不保护完整性和可用性Biba模型完整性的三个目标:保护数据不被未授权用户更改;保护数据不被授权用户越权修改未授权更改;维持数据内部和外部的一致性1977作为Bell-Lapadula的完整性补充而提出,用于非 事行业Biba基于一种层次化的完整性级别格子hierarchical lattice of integrity levels,是一种信息流安全模型。特点:基于小于或等于关系的偏序的格最小上限上确界,least upper bound LUB最大下限下确界,greatest lower bound GLBLattice=IC,=,LUB,GUB 数据和用户
31、分级强制访问控制Biba模型安全规则*完整性公理:主题不能向位于较高完整性级别的客体写数据,不能向上写简单完整性公理:主题不能从较低完整性级别读取数据,不能向下读调用属性:主体不能请求完整性级别更高的主体效劳信息来源,可信数据Clark-Wilson模型在1987年被提出的经常应用在银行应用中以保证数据完整性实现基于成形的事务处理机制要求完整性标记定义:受限数据条目Constrained Data Item CDI 完整性检查程序Integrity Verification Procedure IVP转换程序Transformation Procedure TP自由数据条目Unconstrai
32、ned Data ItemClark-Wilson需要integrity label用于确定一个数据项的完整级别,并在TP后验证其完整性是否维持,采用了实现内/外一致性的机制,separation of duty,mandatory integrity policyClark-Wilson模型完整性的模型没有像Biba那样使用lattice结构,而是使用Subject/Program/Object这样的三方关系triple,Subject并不能直接访问Object,只能通过Program来访问两个原则:well-formed transactions:采用了program的形式,主体只能通过p
33、rogram访问客体,每个恰当设计的program都有特定的限制规则,这就有效限制了主体的能力separation of duties:将关键功能分成两个或多个局部,必须由不同的主体去完成各个局部,可防止已授权用户进行未授权的修改要求具有审计能力AuditingClark-Wilson model也被称作restricted interface model该模型考虑到了完整性的3个目标,而Biba模型只考虑了第一个:防止未授权用户更改;防止授权用户的不正确更改职责别离,维护内部和外部的一致性信息流模型Information Flow Model基于状态机,由对象、状态转换以及格流策略状态组成,
34、对象可以是用户,每个对象都被分配一个安全等级和值Bell-LaPadula和Biba模型都是信息流模型,前者要防止信息从高安全等级流向低安全等级,后者要防止信息从低安全等级流向高安全等级信息流模型并不是只处理信息流向,也可以处理流类型信息流模型用于防止未授权的、不安全的或者受到限制的信息流,信息流可以是同一级别主体与客体之间的,也可以是不同级别间的信息流模型允许所有授权信息流,无论是否在同一级别;信息流模型防止所有未授权的信息流,无论是否在同一级别信息被限制在策略允许的方向流动隐蔽信道Covert Channels隐蔽通道是一种让一个实体以未授权方式接收信息。条件在产品开发过程中不当监督在软件
35、中实施不当的访问控制两个实体之间未适当地控制共享资源隐蔽通道有两种类型:存储:存储隐蔽通道,进程能够通过系统的一些类型的存储空间通信。木马通过创立文件。计时一个进程通过调整其使用系统资源的信息转发到另一个进程中继续传送数据。非干预模型Noninterference Model基于信息流模型非干预模型并不关心信息流,而是关心影响系统状态或者其他主体活动的某个主体的活动确保在较高安全级别发生的任何活动不会影响,或者干预在较低安全级别发生的活动。如果在较高安全级内的一个实体执行一项操作,那么它不能改变在较低安全级内实体的状态如果一个处于较低安全级的实体感受到了由处于较高安全级内的一个实体所引发的某种
36、活动,那么该实体可能能够推断出较高级别的信息,引发信息泄漏基本原理为,一组用户A使用命令C,不被用户组B使用命令D干扰,可以表达成A,C:|B,D,同样,使用命令C的组A的行为不能被使用命令D的组B看到格子模型Lattice ModelLattice 模型通过划分安全边界对BLP模型进行了扩充,它将用户和资源进行分类,并允许它们之间交换信息,这是多边安全体系的基础。多边安全的焦点是在不同的安全集束部门,组织等间控制信息的流动,而不仅是垂直检验其敏感级别。建立多边安全的基础是为分属不同安全集束的主体划分安全等级,同样在不同安全集束中的客体也必须进行安全等级划分,一个主体可同时附属于多个安全集束,
37、而一个客体仅能位于一个安全集束。在执行访问控制功能时,lattice模型本质上同BLP模型是相同的,而lattice模型更注重形成安全集束。BLP模型中的上读下写原则在此仍然适用,但前提条件必须是各对象位于相同的安全集束中。主体和客体位于不同的安全集束时不具有可比性,因此在它们中没有信息可以流通。Brewer and Nash ModelBrew and Nash:Chinese WallChinese Wall模型是应用在多边安全系统中的安全模型也就是多个组织间的访问控制系统,应用在可能存在利益冲突的组织中。最初是为投资银行设计的,但也可应用在其它相似的场合。Chinese Wall安全策略
38、的基础是客户访问的信息不会与目前他们可支配的信息产生冲突。在投资银行中,一个银行会同时拥有多个互为竞争者的客户,一个银行家可能为一个客户工作,但他可以访问所有客户的信息。因此,应当制止该银行家访问其它客户的数据。Chinese Wall安全模型的两个主要属性:用户必须选择一个他可以访问的区域用户必须自动拒绝来自其它与用户所选区域的利益冲突区域的访问这种模型同时包括了DAC和MAC的属性:银行家可以选择为谁工作DAC,但是一旦选定,他就被只能为该客户工作MAC。Graham-Denning模型如何安全地创立一个客体如何安全地创立一个主体如何安全地删除客体如何安全地删除主体如何安全地提供读访问权如
39、何安全地提供准许接入权如何安全地提供删除访问权限如何安全地提供转移访问权限Harrison-Ruzzo-UllmanHRU模型主体的访问权限以及这些权限的完整性。主体只能对客体执行一组有限的操作HRU被软件设计人员用来确保没有引入意外脆弱性,从而可以实现访问控制目标操作安全模式Security Modes of Operation 专用安全模式用安全模式Dedicated Security Mode访问系统上所有信息的适当许可访问系统上所有信息的正式访问批准访问系统上所有信息的签名NDA访问系统上所有信息的有效知其所需“任何用户都能够访问所有数据系系统高安全模式高安全模式System High
40、-Security Mode访问系统上所有信息的适当许可访问系统上所有信息的正式访问批准访问系统上所有信息的签名NDA访问系统上所有信息的有效知其所需“根据他们的“知其所需,所有用户都能访问一些数据分隔安全模式分隔安全模式 partmented Security Mode访问系统上所有信息的适当许可访问系统上所有信息的正式访问批准访问系统上所有信息的签名NDA访问系统上所有信息的有效知其所需“根据他们的“知其所需和正式批准,所有用户都能访问一些数据多多级安全模式安全模式Multilevel Security Mode访问系统上所有信息的适当许可访问系统上所有信息的正式访问批准访问系统上所有信息
41、的签名NDA访问系统上所有信息的有效知其所需“根据他们的“知其所需、许可和正式批准,所有用户都能访问一些数据信任与保证TCSEC中,较低保证级别评定工作会考察系统的保护机制和测试结果,较高保证级别评定工作更多考查系统的设计、标准、开发过程、支持文档以及测试结果系统评估方法Systems Evaluation Methods ITSEC 1991CC 1.01996TCSEC 1985CTCPEC 1993FC 1992ISO15408 1999CC 2.01998GB/T 18336 2001CD1997FCD1998GIB 2646 1996GB 17859 1999GB/T 18336 2
42、008ISO15408 1999橘皮书Orange BookTrusted puter System Evaluation CriteriaTCSEC,是一个评估OS、应用的、系统的标准,评价不同系统的尺度,检查系统的功能性、有效性和保证程度,提供多种级别。1970年由 国防科学 会提出。1985年公布。主要为 用标准,延用至民用。TCSEC2000年被 mon Criteria所替代,是第一个涉及计算机系统的安全标准。TCSEC等级D 最小保护minimal protectionC 自主保护discretionary protectionC1:选择安全性保护,Discretionary Se
43、curity ProtectionC2:受约束的访问保护,Controlled Access Protection B 强制保护mandatory protectionB1:标签式安全保护,Labeled SecurityB2:结构化保护,Structure ProtectionB3:安全域,Security DomainA 校验保护verified protectionA1:验证设计,Verified Design类别类别名称名称主要特征主要特征安全要求安全要求A验证设计verity design形式化的最高级描述和验证,形式化的隐密通道分析,非形式化的代码一致性证明设计必须从数学角度上经过
44、验证,而且必须进行秘密能道和可信任分布的分析。B3安全域security domain安全内核,高抗渗透能力用户工作站或终端能过可信任途径连接网络系统B2结构防护structured protection设计系统时必须有一个合理的总体设计方案,面向安全的体系结构,遵循最小授权原则,较好的渗透能力,访问控制应对所有的主体和客体提供保护,对系统进行隐蔽通道分析计算机系统中所有对象都加标签,而且给设备如工作站、终端和磁盘驱动器分配安全级别。B1标号安全防护label security protection除了C2级别的安全需求外,增加安全策略模型,数据标号安全和属性在不同级别对敏感信息提供更高级的保
45、护,让每个对象都有有一个敏感标签C2受控的访问环境存取控制以用户为单位广泛的审计参加身份认证级别,系统对发生的事件加以审计并写入日志C1选择性安全防护discretionary security protection有选择的存取控制,用户与数据别离,数据的保护以用户组为单位硬件有一定的安全保护如硬件有带锁装置,用户在使用计算机系统前必须先登录。允许系统管理员为一些程序或数据设立访问许可权限。D最小保护保护措施很小,没有安全功能不要求用户进行登记要求用户提供用户名或使用密码要求用户提供惟一的字符串来进行访问橘皮书和彩虹系列The Orange Book and the Rainbow Serie
46、s 橘皮书Orange Book专门针对操作系统主要着眼于安全的一个属性机密性适用于政府分类评级数量较少红皮书Red Book单个系统的安全问题解决网络和网络组件的安全评估问题,主要针对独立局域网和广域网系统涉及通信完整性、防止拒绝效劳、泄露保护信息技术安全评估标准Information Technology SecurityInformation Technology Security Evaluation Criteria ITSEC 欧洲多国安全评价方法的综合产物,用,政府用和商用。以超越TCSEC为目的,将安全概念分为功能与功能评估两局部。首次提出了信息安全的保密性、完整性、可用性的概
47、念评估对象TOETarget of Evaluation 产品和系统安全性目标security target安全增强机制安全策略通用标准 mon Criteria 定义了作为评估信息技术产品和系统安全性的基础准则,全面地考虑了与信息技术安全性有关的所有因素,与PDR防护、检听、反响模型和现代动态安全概念相符合的,强调安全的假设、威胁的、安全策略等安全需求的针对性,充分突出保护轮廓强调把安全需求划分为安全功能需求和安全保证需求两个独立的局部,根据安全保证需求定义安全产品的安全等级定义了7个评估保证级别EAL,每一级均需评估7个功能类通用标准 mon Criteria CCISO/IEC 1540
48、8-X分为三个局部:第一局部:介绍和一般模型 一般性概念,IT安全评估的原则,高级编写标准,对目标受众的有用价值。对消费者来说是不错的背景介绍和参考。第二局部:安全功能需求 功能性需求,组件,评估目标Target of Evaluation,TOE;对消费者来说是不错的指导和参考,可以用来阐述对安全功能的需求。第三局部:安全保障 对TOE的保障需求assurance requirement,对保护轮廓Protection Profile和安全目标Security Target的评估标准。指导消费者提出相应的保障等级通用标准概念保护轮廓Protection profile,PP满足特定用户需求、
49、与一类TOE实现无关的一组安全要求。评估对象Target of evaluation,TOE作为评估主体的IT产品及系统以及相关的管理员和用户指南文档。安全目标Security target 作为指定的TOE评估基础的一组安全要求和标准。安全功能Security functional requirements标准IT产品和系统的安全行为,应做的事安全保证Security assurance requirements对功能产生信心的方法包-功能保证级PackagesEALs把功能和保证要求封装起来,以便今后使用。这局部描述必须得到满足,以实现特定的EAL等级。评估标准间的比较认证与认可Certi
50、fication vs.Accreditation 认证,Certification评估技术和非技术特征以确定设计是否符合安全要求认可,Accreditation认证权威 DAA Designated Approving Authority 来自于指定的认证权威的正式声明,说明系统已被认可在安全状态下运行一些威胁的评估A Few Threats to Review 维护钩子Maintenance Hooks检验时间/使用时间攻击Time-of-Check/Time-of-Use Attacks,TOC/TOU维护钩子Maintenance Hooks软件内开发人员才知道和能够调用的指令,使他们