计算机信息系统安全评估标准介绍 北京大学 闫强
标准介绍 信息技术安全评估准则发展过程 可信计算机系统评估准则(TCSEC ) 可信网络解释(TNI) 通用准则CC 《计算机信息系统安全保护等级划分准则》 信息安全保证技术框架 《信息系统安全保护等级应用指南》
信息技术安全评估准则发展过程 20世纪60年代后期,1967年美国国防部(DOD)成立了一个研究组,针对当时计算机使用环境中的安全策略进行研究,其研究结果是“Defense Science Board report” 70年代的后期DOD对当时流行的操作系统KSOS,PSOS,KVM进行了安全方面的研究
信息技术安全评估准则发展过程 80年代后,美国国防部发布的“可信计算机系统评估准则(TCSEC)”(即桔皮书) 后来DOD又发布了可信数据库解释(TDI)、可信网络解释(TNI)等一系列相关的说明和指南 90年代初,英、法、德、荷等四国针对TCSEC准则的局限性,提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”(ITSEC),定义了从E0级到E6级的七个安全等级
信息技术安全评估准则发展过程 加拿大1988年开始制订《The Canadian Trusted Computer Product Evaluation Criteria 》(CTCPEC) 1993年,美国对TCSEC作了补充和修改,制定了“组合的联邦标准”(简称FC) 国际标准化组织(ISO)从1990年开始开发通用的国际标准评估准则
信息技术安全评估准则发展过程 在1993年6月,CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来,将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则 发起组织包括六国七方:加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA,他们的代表建立了CC编辑委员会(CCEB)来开发CC
信息技术安全评估准则发展过程 1996年1月完成CC1.0版 ,在1996年4月被ISO采纳 1997年10月完成CC2.0的测试版 1999年12月ISO采纳CC,并作为国际标准ISO 15408发布
安全评估标准的发展历程 桔皮书 (TCSEC)1985 英国安全标准1989 德国标准 法国标准 加拿大标准 1993 联邦标准草案1993 ITSEC 1991 通用标准 V1.0 1996 V2.0 1998 V2.1 1999
标准介绍 信息技术安全评估准则发展过程 可信计算机系统评估准则(TCSEC) 可信网络解释 (TNI) 通用准则CC 《计算机信息系统安全保护等级划分准则》 信息安全保证技术框架 《信息系统安全保护等级应用指南》
TCSEC 在TCSEC中,美国国防部按处理信息的等级和应采用的响应措施,将计算机安全从高到低分为:A、B、C、D四类八个级别,共27条评估准则 随着安全等级的提高,系统的可信度随之增加,风险逐渐减少。
TCSEC 四个安全等级: 无保护级 自主保护级 强制保护级 验证保护级
TCSEC D类是最低保护等级,即无保护级 是为那些经过评估,但不满足较高评估等级要求的系统设计的,只具有一个级别 该类是指不符合要求的那些系统,因此,这种系统不能在多用户环境下处理敏感信息
TCSEC 四个安全等级: 无保护级 自主保护级 强制保护级 验证保护级
TCSEC C类为自主保护级 具有一定的保护能力,采用的措施是自主访问控制和审计跟踪 一般只适用于具有一定等级的多用户环境 具有对主体责任及其动作审计的能力
TCSEC C类分为C1和C2两个级别: 自主安全保护级(C1级) 控制访问保护级(C2级)
TCSEC C1级TCB通过隔离用户与数据,使用户具备自主安全保护的能力 它具有多种形式的控制能力,对用户实施访问控制 为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏 C1级的系统适用于处理同一敏感级别数据的多用户环境
TCSEC C2级计算机系统比C1级具有更细粒度的自主访问控制 C2级通过注册过程控制、审计安全相关事件以及资源隔离,使单个用户为其行为负责
TCSEC 四个安全等级: 无保护级 自主保护级 强制保护级 验证保护级
TCSEC B类为强制保护级 主要要求是TCB应维护完整的安全标记,并在此基础上执行一系列强制访问控制规则 系统的开发者还应为TCB提供安全策略模型以及TCB规约 应提供证据证明访问监控器得到了正确的实施
TCSEC B类分为三个类别: 标记安全保护级(B1级) 结构化保护级(B2级) 安全区域保护级(B3级)
TCSEC B1级系统要求具有C2级系统的所有特性 在此基础上,还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制 并消除测试中发现的所有缺陷
TCSEC B类分为三个类别: 标记安全保护级(B1级) 结构化保护级(B2级) 安全区域保护级(B3级)
TCSEC 在B2级系统中,TCB建立于一个明确定义并文档化形式化安全策略模型之上 在此基础上,应对隐蔽信道进行分析 TCB应结构化为关键保护元素和非关键保护元素
TCSEC TCB接口必须明确定义 其设计与实现应能够经受更充分的测试和更完善的审查 鉴别机制应得到加强,提供可信设施管理以支持系统管理员和操作员的职能 提供严格的配置管理控制 B2级系统应具备相当的抗渗透能力
TCSEC B类分为三个类别: 标记安全保护级(B1级) 结构化保护级(B2级) 安全区域保护级(B3级)
TCSEC 在B3级系统中,TCB必须满足访问监控器需求 访问监控器对所有主体对客体的访问进行仲裁 访问监控器本身是抗篡改的 访问监控器足够小 访问监控器能够分析和测试
TCSEC 为了满足访问控制器需求: 计算机信息系统可信计算基在构造时,排除那些对实施安全策略来说并非必要的代码 计算机信息系统可信计算基在设计和实现时,从系统工程角度将其复杂性降低到最小程度
TCSEC B3级系统支持: 安全管理员职能 扩充审计机制 当发生与安全相关的事件时,发出信号 提供系统恢复机制 系统具有很高的抗渗透能力
TCSEC 四个安全等级: 无保护级 自主保护级 强制保护级 验证保护级
TCSEC A类为验证保护级 A类的特点是使用形式化的安全验证方法,保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息 为证明TCB满足设计、开发及实现等各个方面的安全要求,系统应提供丰富的文档信息
TCSEC A类分为两个类别: 验证设计级(A1级) 超A1级
TCSEC A1级系统在功能上和B3级系统是相同的,没有增加体系结构特性和策略要求 最显著的特点是,要求用形式化设计规范和验证方法来对系统进行分析,确保TCB按设计要求实现 从本质上说,这种保证是发展的,它从一个安全策略的形式化模型和设计的形式化高层规约(FTLS)开始
TCSEC 针对A1级系统设计验证,有5种独立于特定规约语言或验证方法的重要准则: 安全策略的形式化模型必须得到明确标识并文档化,提供该模型与其公理一致以及能够对安全策略提供足够支持的数学证明 应提供形式化的高层规约,包括TCB功能的抽象定义、用于隔离执行域的硬件/固件机制的抽象定义
TCSEC 应通过形式化的技术(如果可能的化)和非形式化的技术证明TCB的形式化高层规约(FTLS)与模型是一致的 通过非形式化的方法证明TCB的实现(硬件、固件、软件)与形式化的高层规约(FTLS)是一致的。应证明FTLS的元素与TCB的元素是一致的,FTLS应表达用于满足安全策略的一致的保护机制,这些保护机制的元素应映射到TCB的要素
TCSEC 应使用形式化的方法标识并分析隐蔽信道,非形式化的方法可以用来标识时间隐蔽信道,必须对系统中存在的隐蔽信道进行解释
TCSEC A1级系统: 要求更严格的配置管理 要求建立系统安全分发的程序 支持系统安全管理员的职能
TCSEC A类分为两个类别: 验证设计级(A1级) 超A1级
TCSEC 超A1级在A1级基础上增加的许多安全措施超出了目前的技术发展 随着更多、更好的分析技术的出现,本级系统的要求才会变的更加明确 今后,形式化的验证方法将应用到源码一级,并且时间隐蔽信道将得到全面的分析
TCSEC 在这一级,设计环境将变的更重要 形式化高层规约的分析将对测试提供帮助 TCB开发中使用的工具的正确性及TCB运行的软硬件功能的正确性将得到更多的关注
TCSEC 超A1级系统涉及的范围包括: 系统体系结构 安全测试 形式化规约与验证 可信设计环境等
标准介绍 信息技术安全评估准则发展过程 可信计算机系统评估准则(TCSEC) 可信网络解释 (TNI) 通用准则CC 《计算机信息系统安全保护等级划分准则》 信息安全保证技术框架 《信息系统安全保护等级应用指南》
可信网络解释(TNI) 美国国防部计算机安全评估中心在完成TCSEC的基础上,又组织了专门的研究镞对可信网络安全评估进行研究,并于1987年发布了以TCSEC为基础的可信网络解释,即TNI。 TNI包括两个部分(Part I和Part II)及三个附录(APPENDIX A、B、C)
可信网络解释(TNI) TNI第一部分提供了在网络系统作为一个单一系统进行评估时TCSEC中各个等级(从D到A类)的解释 与单机系统不同的是,网络系统的可信计算基称为网络可信计算基(NTCB)
可信网络解释(TNI) 第二部分以附加安全服务的形式提出了在网络互联时出现的一些附加要求 这些要求主要是针对完整性、可用性和保密性的
可信网络解释(TNI) 第二部分的评估是定性的,针对一个服务进行评估的结果一般分为为: none minimum fair good
可信网络解释(TNI) 第二部分中关于每个服务的说明一般包括: 一种相对简短的陈述 相关的功能性的讨论 相关机制强度的讨论 相关保证的讨论
可信网络解释(TNI) 功能性是指一个安全服务的目标和实现方法,它包括特性、机制及实现 机制的强度是指一种方法实现其目标的程度 有些情况下,参数的选择会对机制的强度带来很大的影响
可信网络解释(TNI) 保证是指相信一个功能会实现的基础 保证一般依靠对理论、测试、软件工程等相关内容的分析 分析可以是形式化或非形式化的,也可以是理论的或应用的
可信网络解释(TNI) 第二部分中列出的安全服务有: 通信完整性 拒绝服务 机密性
可信网络解释(TNI) 通信完整性主要涉及以下3方面: 鉴别:网络中应能够抵抗欺骗和重放攻击 通信字段完整性:保护通信中的字段免受非授权的修改 抗抵赖:提供数据发送、接受的证据
可信网络解释(TNI) 当网络处理能力下降到一个规定的界限以下或远程实体无法访问时,即发生了拒绝服务 所有由网络提供的服务都应考虑拒绝服务的情况 网络管理者应决定网络拒绝服务需求
可信网络解释(TNI) 解决拒绝服务的方法有: 操作连续性 基于协议的拒绝服务保护 网络管理
可信网络解释(TNI) 机密性是一系列安全服务的总称 这些服务都是关于通过计算机通信网络在实体间传输信息的安全和保密的 具体又分3种情况: 数据保密 通信流保密 选择路由
可信网络解释(TNI) 数据保密: 数据保密性服务保护数据不被未授权地泄露 数据保密性主要受搭线窃听的威胁 被动的攻击包括对线路上传输的信息的观测
可信网络解释(TNI) 通信流保密: 针对通信流分析攻击而言,通信流分析攻击分析消息的长度、频率及协议的内容(如地址) 并以此推出消息的内容
可信网络解释(TNI) 选择路由: 路由选择控制是在路由选择过程中应用规则,以便具体的选取或回避某些网络、链路或中继 路由能动态的或预定地选取,以便只使用物理上安全的子网络、链路或中继 在检测到持续的操作攻击时,端系统可希望指示网络服务的提供者经不同的路由建立连接 带有某些安全标记的数据可能被策略禁止通过某些子网络、链路或中继
可信网络解释(TNI) TNI第二部分的评估更多地表现出定性和主观的特点,同第一部分相比表现出更多的变化 第二部分的评估是关于被评估系统能力和它们对特定应用环境的适合性的非常有价值的信息 第二部分中所列举的安全服务是网络环境下有代表性的安全服务 在不同的环境下,并非所有的服务都同等重要,同一服务在不同环境下的重要性也不一定一样
可信网络解释(TNI) TNI的附录A是第一部分的扩展,主要是关于网络中组件及组件组合的评估 附录A把TCSEC为A1级系统定义的安全相关的策略分为四个相对独立的种类,他们分别支持强制访问控制(MAC),自主访问控制(DAC),身份鉴别(IA),审计(AUDIT)
可信网络解释(TNI) 组成部分的类型 最小级别 最大级别 M B1 A1 D C1 C2+ I C2 A DI DA IA IAD MD MA MI MDA MDI MIA MIAD
可信网络解释(TNI) 附录B给出了根据TCSEC对网络组件进行评估的基本原理 附录C则给出了几个AIS互联时的认证指南及互联中可能遇到的问题
可信网络解释(TNI) TNI中关于网络有两种概念: 一是单一可信系统的概念(single trusted system) 另一个是互联信息系统的概念(interconnected AIS) 这两个概念并不互相排斥
可信网络解释(TNI) 在单一可信系统中,网络具有包括各个安全相关部分的单一TCB,称为NTCB(network trusted computing base) NTCB作为一个整体满足系统的安全体系设计
可信网络解释(TNI) 在互联信息系统中 各个子系统可能具有不同的安全策略 具有不同的信任等级 并且可以分别进行评估 各个子系统甚至可能是异构的
可信网络解释(TNI) 安全策略的实施一般控制在各个子系统内,在附录C中给出了各个子系统安全地互联的指南,在互联时要控制局部风险的扩散,排除整个系统中的级联问题(cascade problem) 限制局部风险的扩散的方法:单向连接、传输的手工检测、加密、隔离或其他措施。
标准介绍 信息技术安全评估准则发展过程 可信计算机系统评估准则(TCSEC) 可信网络解释 (TNI) 通用准则CC 《计算机信息系统安全保护等级划分准则》 信息安全保证技术框架 《信息系统安全保护等级应用指南》
通用准则CC CC的范围 : CC适用于硬件、固件和软件实现的信息技术安全措施
通用准则CC 评估上下文 评估准则 (通用准则) 评估方法学 评估方案 最终评估 结果 评估 批准/证明 证书表/ (注册)
通用准则CC 使用通用评估方法学可以提供结果的可重复性和客观性 许多评估准则需要使用专家判断和一定的背景知识 为了增强评估结果的一致性,最终的评估结果应提交给一个认证过程,该过程是一个针对评估结果的独立的检查过程,并生成最终的证书或正式批文
通用准则CC CC包括三个部分: 第一部分:简介和一般模型 第二部分:安全功能要求 第三部分:安全保证要求
通用准则CC 安全保证要求部分提出了七个评估保证级别(Evaluation Assurance Levels:EALs)分别是:
通用准则CC CC的一般模型 一般安全上下文 TOE评估 CC安全概念
通用准则CC 安全就是保护资产不受威胁,威胁可依据滥用被保护资产的可能性进行分类 所有的威胁类型都应该被考虑到 在安全领域内,被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的
通用准则CC 安全概念和关系
通用准则CC 安全性损坏一般包括但又不仅仅包括以下几项 资产破坏性地暴露于未授权的接收者(失去保密性) 资产由于未授权的更改而损坏(失去完整性) 或资产访问权被未授权的丧失(失去可用性)
通用准则CC 资产所有者必须分析可能的威胁并确定哪些存在于他们的环境,其后果就是风险 对策用以(直接或间接地)减少脆弱性并满足资产所有者的安全策略 在将资产暴露于特定威胁之前,所有者需要确信其对策足以应付面临的威胁
通用准则CC 评估概念 和关系
通用准则CC TOE评估过程
通用准则CC TOE评估过程的主要输入有: 一系列TOE证据,包括评估过的ST作为TOE评估的基础 需要评估的TOE 评估准则、方法和方案 另外,说明性材料(例如CC的使用说明书)和评估者及评估组织的IT安全专业知识也常用来作为评估过程的输入
通用准则CC 评估过程通过两种途径产生更好的安全产品 评估过程能发现开发者可以纠正的TOE错误或弱点,从而在减少将来操作中安全失效的可能性 因此,评估过程对最初需求、开发过程、最终产品以及操作环境将产生强烈的积极影响
通用准则CC 只有在IT环境中考虑IT组件保护资产的能力时,CC才是可用的 CC要求在某层次上的表述包含在该层次上TOE描述的基本原理
通用准则CC CC安全概念包括: 安全环境 安全目的 IT安全要求 TOE概要规范
通用准则CC 安全环境包括所有相关的法规、组织性安全策略、习惯、专门技术和知识 它定义了TOE使用的上下文,安全环境也包括环境里出现的安全威胁
通用准则CC 为建立安全环境,必须考虑以下几点: TOE物理环境,指所有的与TOE安全相关的TOE运行环境,包括已知的物理和人事的安全安排 需要根据安全策略由TOE的元素实施保护的资产。包括可直接相关的资产(如文件和数据库)和间接受安全要求支配的资产(如授权凭证和IT实现本身) TOE目的,说明产品类型和可能的TOE用途
通用准则CC 安全环境的分析结果被用来阐明对抗已标识的威胁、说明组织性安全策略和假设的安全目的 安全目的和已说明的TOE运行目标或产品目标以及有关的物理环境知识一致 确定安全目的的意图是为了阐明所有的安全考虑并指出哪些安全方面的问题是直接由TOE还是由它的环境来处理 环境安全目的将在IT领域内用非技术上的或程序化的手段来实现
通用准则CC IT安全要求是将安全目的细化为一系列TOE及其环境的安全要求,一旦这些要求得到满足,就可以保证TOE达到它的安全目的 IT安全需求只涉及TOE安全目的和它的IT环境
通用准则CC ST中提供的TOE概要规范定义TOE安全要求的实现方法 它提供了分别满足功能需求和保证需求的安全功能和保证措施的高层定义
通用准则CC CC定义了一系列与已知有效的安全要求集合相结合的概念,该概念可被用来为预期的产品和系统建立安全需求
通用准则CC 要求的组织和结构
通用准则CC CC中安全要求的描述方法: 类:类用作最通用安全要求的组合,类的所有的成员关注共同的安全焦点,但覆盖不同的安全目的 族:类的成员被称为族。族是若干组安全要求的组合,这些要求有共同的安全目的,但在侧重点和严格性上有所区别 组件:族的成员被称为组件。组件描述一组特定的安全要求集,它是CC定义的结构中所包含的最小的可选安全要求集
通用准则CC 组件由单个元素组成,元素是安全需求最低层次的表达,并且是能被评估验证的不可分割的安全要求 族内具有相同目标的组件可以以安全要求强度(或能力)逐步增加的顺序排列,也可以部分地按相关非层次集合的方式组织
通用准则CC 组件间可能存在依赖关系 依赖关系可以存在于功能组件之间、保证组件之间以及功能和保证组件之间
通用准则CC 可以通过使用组件允许的操作,对组件进行裁剪 任何一个组件均允许“反复”和“细化”操作
通用准则CC 这四个操作如下所述: 反复:在不同操作时,允许组件多次使用 赋值:当组件被应用时,允许规定所赋予的参数 选择:允许从组件给出的列表中选定若干项 细化:当组件被应用时,允许对组件增加细节
通用准则CC CC中安全需求的描述方法: 包:组件的中间组合被称为包 保护轮廓(PP): PP是关于一系列满足一个安全目标集的TOE的、与实现无关的描述 安全目标(ST): ST是针对特定TOE安全要求的描述,通过评估可以证明这些安全要求对满足指定目的是有用和有效的
通用准则CC 包允许对功能或保证需求集合的描述,这个集合能够满足一个安全目标的可标识子集 包可重复使用,可用来定义那些公认有用的、能够有效满足特定安全目标的要求 包可用在构造更大的包、PP和ST中
通用准则CC PP包含一套来自CC(或明确阐述)的安全要求,它应包括一个评估保证级别(EAL) PP可反复使用,还可用来定义那些公认有用的、能够有效满足特定安全目标的TOE要求 PP包括安全目的和安全要求的基本原理 PP的开发者可以是用户团体、IT产品开发者或其它对定义这样一系列通用要求有兴趣的团体
通用准则CC 保护轮廓PP描述结构
通用准则CC 安全目标(ST)包括一系列安全要求,这些要求可以引用PP,也可以直接引用CC中的功能或保证组件,或明确说明 一个ST包含TOE的概要规范,安全要求和目的,以及它们的基本原理 ST是所有团体间就TOE应提供什么样的安全性达成一致的基础
通用准则CC 安全目标描述结构
通用准则CC CC框架下的评估类型 PP评估 ST评估 TOE评估
通用准则CC PP评估是依照CC第3部分的PP评估准则进行的。 评估的目标是为了证明PP是完备的、一致的、技术合理的,而且适合于作为一个可评估TOE的安全要求的声明
通用准则CC 针对TOE的ST评估是依照CC第3部分的ST评估准则进行的 ST评估具有双重目标: 首先是为了证明ST是完备的、一致的、技术合理的,而且适合于用作相应TOE评估的基础 其次,当某一ST宣称与某一PP一致时,证明ST满足该PP的要求
通用准则CC TOE评估是使用一个已经评估过的ST作为基础,依照CC第3部分的评估准则进行的 评估的目标是为了证明TOE满足ST中的安全要求
通用准则CC 三种评估的关系
通用准则CC CC的第二部分是安全功能要求,对满足安全需求的诸安全功能提出了详细的要求 另外,如果有超出第二部分的安全功能要求,开发者可以根据“类-族-组件-元素”的描述结构表达其安全要求,并附加在其ST中
通用准则CC CC共包含的11个安全功能类,如下: FAU类:安全审计 FCO类:通信 FCS类:密码支持 FDP类:用户数据保护 FIA类:标识与鉴别 FMT类:安全管理 FPR类:隐秘 FPT类:TFS保护 FAU类:资源利用 FTA类:TOE访问 FTP类:可信信道/路径
通用准则CC CC的第三部分是评估方法部分,提出了PP、ST、TOE三种评估,共包括10个类,但其中的APE类与ASE类分别介绍了PP与ST的描述结构及评估准则 维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求 只有七个安全保证类是TOE的评估类别
通用准则CC 七个安全保证类 ACM类:配置管理 ADO类:分发与操作 ADV类:开发 AGD类:指导性文档 ALC类:生命周期支持 ATE类:测试 AVA类:脆弱性评定
通用准则CC 1998年1月,经过两年的密切协商,来自美国、加拿大、法国、德国以及英国的政府组织签订了历史性的安全评估互认协议:IT安全领域内CC认可协议 根据该协议,在协议签署国范围内,在某个国家进行的基于CC的安全评估将在其他国家内得到承认 截止2003年3月,加入该协议的国家共有十五个:澳大利亚、新西兰、加拿大、芬兰、法国、德国、希腊、以色列、意大利、荷兰、挪威、西班牙、瑞典、英国及美国
通用准则CC 该协议的参与者在这个领域内有共同的目的即: 确保IT产品及保护轮廓的评估遵循一致的标准,为这些产品及保护轮廓的安全提供足够的信心。 在国际范围内提高那些经过评估的、安全增强的IT产品及保护轮廓的可用性。 消除IT产品及保护轮廓的重复评估,改进安全评估的效率及成本效果,改进IT产品及保护轮廓的证明/确认过程
通用准则CC 美国NSA内部的可信产品评估计划(TPEP)以及可信技术评价计划(TTAP)最初根据TCSEC进行产品的评估,但从1999年2月1日起,这些计划将不再接收基于TCSEC的新的评估。此后这些计划接受的任何新的产品都必须根据CC的要求进行评估。到2001年底,所有已经经过TCSEC评估的产品,其评估结果或者过时,或者转换为CC评估等级。 NSA已经将TCSEC对操作系统的C2和B1级要求转换为基于CC的要求(或PP), NSA正在将TCSEC的B2和B3级要求转换成基于CC的保护轮廓,但对TCSEC中的A1级要求不作转换。 TCSEC的可信网络解释(TNI)在使用范围上受到了限制,已经不能广泛适用于目前的网络技术,因此,NSA目前不计划提交与TNI相应的PP
通用准则CC CC TCSEC ITSEC - D E0 EAL1 EAL2 C1 E1 EAL3 C2 E2 EAL4 B1 E3
标准介绍 信息技术安全评估准则发展过程 可信计算机系统评估准则(TCSEC) 可信网络解释 (TNI) 通用准则CC 《计算机信息系统安全保护等级划分准则》 信息安全保证技术框架 《信息系统安全保护等级应用指南》
系统安全保护等级划分准则 我国政府及各行各业在进行大量的信息系统的建设,并且已经成为国家的重要基础设施 计算机犯罪、黑客攻击、有害病毒等问题的出现对社会稳定、国家安全造成了极大的危害,信息安全的重要性日益突出 信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度
系统安全保护等级划分准则 大多数信息系统缺少有效的安全技术防范措施,安全性非常脆弱 我国的信息系统安全专用产品市场一直被外国产品占据,增加了新的安全隐患 因此,尽快建立能适应和保障我国信息产业健康发展的国家信息系统安全等级保护制度已迫在眉睫
系统安全保护等级划分准则 为了从整体上形成多级信息系统安全保护体系 为了提高国家信息系统安全保护能力 为从根本上解决信息社会国家易受攻击的脆弱性和有效预防计算机犯罪等问题 《中华人民共和国计算机信息系统安全保护条例》第九条明确规定,计算机信息系统实行安全等级保护
系统安全保护等级划分准则 为切实加强重要领域信息系统安全的规范化建设和管理 全面提高国家信息系统安全保护的整体水平 使公安机关公共信息网络安全监察工作更加科学、规范,指导工作更具体、明确
系统安全保护等级划分准则 公安部组织制订了《计算机信息系统安全保护等级划分准则》国家标准 于1999年9月13日由国家质量技术监督局审查通过并正式批准发布 于 2001年1月1日执行
系统安全保护等级划分准则 该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据 为安全产品的研制提供了技术支持 为安全系统的建设和管理提供了技术指导是我国计算机信息系统安全保护等级工作的基础
系统安全保护等级划分准则 GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》 GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》 GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》 GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》
系统安全保护等级划分准则 《准则》规定了计算机系统安全保护能力的五个等级,即: 第一级:用户自主保护级 第二级:系统审计保护级 第三级:安全标记保护级 第四级:结构化保护级 第五级:访问验证保护级
系统安全保护等级划分准则 用户自主保护级: 计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。 它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏
系统安全保护等级划分准则 系统审计保护级: 与用户自主保护级相比,计算机信息系统可信计算基实施了粒度更细的自主访问控制 它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责
系统安全保护等级划分准则 安全标记保护级: 计算机信息系统可信计算基具有系统审计保护级所有功能 此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述 具有准确地标记输出信息的能力 消除通过测试发现的任何错误
系统安全保护等级划分准则 结构化保护级: 计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上 要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体 此外,还要考虑隐蔽通道 计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素
系统安全保护等级划分准则 计算机信息系统可信计算基的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审 加强了鉴别机制 支持系统管理员和操作员的职能 提供可信设施管理 增强了配置管理控制 系统具有相当的抗渗透能力
系统安全保护等级划分准则 访问验证保护级 计算机信息系统可信计算基满足访问监控器需求 访问监控器仲裁主体对客体的全部访问 访问监控器本身是抗篡改的;必须足够小,能够分析和测试
系统安全保护等级划分准则 访问验证保护级 支持安全管理员职能 扩充审计机制,当发生与安全相关的事件时发出信号 提供系统恢复机制 系统具有很高的抗渗透能力
标准介绍 信息技术安全评估准则发展过程 可信计算机系统评估准则(TCSEC) 可信网络解释 (TNI) 通用准则CC 《计算机信息系统安全保护等级划分准则》 信息安全保证技术框架 《信息系统安全保护等级应用指南》
信息安全保证技术框架(IATF) 信息保证技术框架(Information Assurance Technical Framework:IATF)为保护政府、企业信息及信息基础设施提供了技术指南 IATF对信息保证技术四个领域的划分同样适用于信息系统的安全评估,它给出了一种实现系统安全要素和安全服务的层次结构
信息安全保证技术框架(IATF)
信息安全保证技术框架(IATF) 信息安全保证技术框架将计算机信息系统分4个部分: 本地计算环境 区域边界 网络和基础设施 支撑基础设施
信息安全保证技术框架(IATF) 本地计算环境一般包括 服务器 客户端及其上面的应用(如打印服务、目录服务等) 操作系统 数据库 基于主机的监控组件(病毒检测、入侵检测)
信息安全保证技术框架(IATF) 信息安全保证技术框架将计算机信息系统分4个部分: 本地计算环境 区域边界 网络和基础设施 支撑基础设施
信息安全保证技术框架(IATF) 区域是指在单一安全策略管理下、通过网络连接起来的计算设备的集合 区域边界是区域与外部网络发生信息交换的部分 区域边界确保进入的信息不会影响区域内资源的安全,而离开的信息是经过合法授权的
信息安全保证技术框架(IATF) 区域边界上有效的控制措施包括 有效的监督措施包括 防火墙 门卫系统 VPN 标识和鉴别 访问控制等 基于网络的入侵检测系统(IDS) 脆弱性扫描器 局域网上的病毒检测器等
信息安全保证技术框架(IATF) 边界的主要作用是防止外来攻击 它也可以来对付某些恶意的内部人员 这些内部人员有可能利用边界环境来发起攻击 通过开放后门/隐蔽通道来为外部攻击提供方便
信息安全保证技术框架(IATF) 信息安全保证技术框架将计算机信息系统分4个部分: 本地计算环境 区域边界 网络和基础设施 支撑基础设施
信息安全保证技术框架(IATF) 网络和基础设施在区域之间提供连接,包括 局域网(LAN) 校园网(CAN) 城域网(MAN) 广域网等 其中包括在网络节点间(如路由器和交换机)传递信息的传输部件(如:卫星,微波,光纤等),以及其他重要的网络基础设施组件如网络管理组件、域名服务器及目录服务组件等
信息安全保证技术框架(IATF) 对网络和基础设施的安全要求主要是 鉴别 访问控制 机密性 完整性 抗抵赖性 可用性
信息安全保证技术框架(IATF) 信息安全保证技术框架将计算机信息系统分4个部分: 本地计算环境 区域边界 网络和基础设施 支撑基础设施
信息安全保证技术框架(IATF) 支撑基础设施提供了一个IA机制在网络、区域及计算环境内进行安全管理、提供安全服务所使用的基础 主要为以下内容提供安全服务: 终端用户工作站 web服务 应用 文件 DNS服务 目录服务等
信息安全保证技术框架(IATF) IATF中涉及到两个方面的支撑基础设施: KMI/PKI 检测响应基础设施 KMI/PKI提供了一个公钥证书及传统对称密钥的产生、分发及管理的统一过程 检测及响应基础设施提供对入侵的快速检测和响应,包括入侵检测、监控软件、CERT等
信息安全保证技术框架(IATF) 深度保卫战略在信息保证技术框架(IATF)下提出 保卫网络和基础设施 保卫边界 保卫计算环境 支持基础设施
信息安全保证技术框架(IATF) 其中使用多层信息保证(IA)技术来保证信息的安全 意味着通过对关键部位提供适当层次的保护就可以为组织提供有效的保护 这种分层的策略允许在恰当的部位存在低保证级别的应用,而在关键部位如网络边界部分采用高保证级别的应用
信息安全保证技术框架(IATF) 区域边界保护内部的计算环境,控制外部用户的非授权访问,同时控制内部恶意用户从区域内发起攻击 根据所要保护信息资源的敏感级别以及潜在的内外威胁,可将边界分为不同的层次
信息安全保证技术框架(IATF) 在对信息系统进行安全评估时: 可以依据这种多层的深度保卫战略对系统的构成进行合理分析 根据系统所面临的各种威胁及实际安全需求 分别对计算环境、区域边界、网络和基础设施、支撑基础设施进行安全评估 对系统的安全保护等级作出恰当的评估
信息安全保证技术框架(IATF) 在网络上,有三种不同的通信流: 信息系统应保证局域内这些通信流的安全 用户通信流 控制通信流 管理通信流 信息系统应保证局域内这些通信流的安全 直接假设KMI/PKI等支撑基础设施的实施过程是安全的
标准介绍 信息技术安全评估准则发展过程 可信计算机系统评估准则(TCSEC) 可信网络解释 (TNI) 通用准则CC 《计算机信息系统安全保护等级划分准则》 信息安全保证技术框架 《信息系统安全保护等级应用指南》
应用指南(通用部分) 前三部分主要介绍了该准则的应用范围、规范性引用文件以及一些术语的定义。 应用指南详细说明了为实现《准则》所提出的安全要求应采取的具体安全策略和安全机制,以及为确保实现这些安全策略和安全机制的安全功能达到其应具有的安全性而采取的保证措施
应用指南(通用部分) 第四部分是总体结构与说明,给出了《准则》应用指南(技术要求)的总体结构,并对有关内容作一般性说明 。包括安全要求与目标、组成与结构和一般说明。
应用指南(通用部分) 安全要求与目标 :无论是安全保护框架的描述,还是安全目标的设计,都要从安全功能的完备性、一致性和有效性等方面进行考虑。 完备性:安全保护框架(PP)不应有安全漏洞 一致性:安全保护框架(PP)中的安全功能应该平滑一致 有效性:安全保护框架(PP)中的安全功能应该是有效的
应用指南(通用部分) 应用指南在对安全功能和安全保证进行详细说明以后,对《准则》各个安全等级的不同要求分别进行详细描述 安全功能主要说明一个计算机信息系统所实现的安全策略和安全机制符合《准则》中哪一级的功能要求 安全保证则是通过一定的方法保证计算机信息系统所提供的安全功能确实达到了确定的功能要求和强度
应用指南(通用部分) 安全功能要求从物理安全、运行安全和信息安全三个方面对一个安全的计算机信息系统所应提供的与安全有关的功能进行描述 安全保证要求则分别从TCB自身安全、TCB的设计和实现和TCB安全管理三个方面进行描述
应用指南(通用部分) 一般说明部分:对本指南内容、安全等级划分、主体和客体、TCB、引起信息流动的方式、密码技术、安全的计算机信息系统开发方法进行了进一步的说明
应用指南(通用部分) 第五部分是安全功能技术要求说明,为了对计算机信息系统安全功能的实现进行了完整的描述,这里将实现这些安全功能所涉及的所有因素做了较为全面的说明 安全功能包括物理安全、运行安全和信息安全
应用指南(通用部分) 物理安全也称实体安全,是指包括环境设备和记录介质在内的所有支持信息系统运行的硬件的安全 它是一个信息系统安全运行的基础 计算机网络信息系统的实体安全包括环境安全、设备安全和介质安全
应用指南(通用部分) 运行安全是指在物理安全得到保障的前提下,为确保计算机信息系统不间断运行而采取的各种检测、监控、审计、分析、备份及容错等方法和措施 当前,保障运行安全的主要技术和机制有:风险分析,网络安全检测与监控,安全审计,网络防病毒,备份与故障恢复,以及计算机信息系统应急计划与应急措施等
应用指南(通用部分) 信息安全是指在计算机信息系统运行安全得到保证的前提下,对在计算机信息系统中存储、传输和处理的信息进行有效的保护,使其不因人为的或自然的原因被泄露、篡改和破坏 当前常用的信息保护技术有:进入系统用户的标识和鉴别、信息交换的安全鉴别、隐秘、自主访问控制、标记与强制访问控制、数据保密性保护、数据完整性保护、剩余信息保护及密码支持等
应用指南(通用部分) 第六部分是安全保证技术要求说明 为了确保所要求的安全功能达到所确定的安全目标,必须从以下方面保证安全功能从设计、实现到运行管理等各个环节严格按照所规定的要求进行 : TCB自身安全保护 TCB设计和实现 TCB安全管理
应用指南(通用部分) TCB自身安全保护是指,一方面提供与TSF机制的完整性和管理有关的保护,另一方面提供与TSF数据的完整性有关的保护 前者是为了自身更健壮,从而使其所提供的安全功能更有保证;后者则是为了实现其直接所提供的安全功能
应用指南(通用部分) TCB自身安全保护的内容主要包括: 根本的抽象机测试、失败保护、输出TSF数据的可用性、输出TSF数据的保密性、输出TSF数据的完整性、TCB内TSF数据传输、物理安全保护、可信恢复、重放检测、参照仲裁、域分离、状态同步协议、时间戳、TSF间的TSF数据的一致性、TCB内TSF数据复制的一致性、TSF自检、资源利用、TCB访问控制、可信路径
应用指南(通用部分) TCB设计和实现是确保TCB自身安全的重要组成部分 本部分从配置管理、分发和操作、开发、指导性文档、生命周期支持、测试、脆弱性评定等方面对安全保证的技术要求进行说明
应用指南(通用部分) TCB安全管理是指与安全技术和策略密切相关的管理,是安全系统设计的延伸 安全管理一般设置专门的安全管理人员,通过操作专门的安全界面实现 安全管理对不同的管理角色和它们之间的相互作用(如能力的分离)进行规定
应用指南(通用部分) 安全管理包括: TSF的功能管理 安全属性的管理 TSF数据的管理 安全角色的定义与管理 安全属性的到期和撤消等
应用指南(网络部分) 应用指南(网络部分)主要从对网络系统的安全等级进行划分的角度来说明不同安全等级在安全功能方面的特定技术要求 本部分中的安全技术要求,适用于以各种形式连接的网络环境,无论是构成分布式系统的网络环境,还是连接计算机系统的局域或广域网环境
应用指南(网络部分) 根据ISO/OSI的七层体系结构,网络安全机制在各层的分布如下: 物理层:数据流加密机制 数据链路层:数据加密机制 网络层:身份认证机制,访问控制机制,数据加密机制,路由控制机制,一致性检查机制 传输层:身份认证机制,访问控制机制,数据加密机制 会话层:身份认证机制,访问控制机制,数据加密机制,数字签名机制,交换认证(抗抵赖)机制 表示层:身份认证机制,访问控制机制,数据加密机制,数字签名机制,交换认证(抗抵赖)机制 应用层:身份认证机制,访问控制机制,数据加密机制,数字签名机制,交换认证(抗抵赖)机制,业务流分析机制
应用指南(网络部分) 网络系统安全体系结构是由物理层、链路层、网络层、会话层、表示层、以及应用层信息系统所组成 对于网络信息系统的每个分系统,都可按《计算机信息系统安全保护等级划分准则》的要求,对其安全性等级进行划分评估 在各层中,安全要素的实现方法会有所不同 对于每一个安全要素,将从其所提供的安全功能和安全保证措施来说明各个等级的差别
应用指南(网络部分) 一般说明部分包括本指南内容、安全等级划分、主体和客体、TCB、引起信息流动的方式、密码技术、安全网络系统实现方法
应用指南(网络部分) 网络系统安全技术说明部分对各种安全要素的策略、机制、功能、用户属性定义、安全管理和技术要求等做了具体的说明 主要包括自主访问控制、强制访问控制、标记、标识和鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复、通信安全、密码支持
应用指南(网络部分) 网络系统安全保护等级划分技术要求部分: 针对七层网络体系结构中的每一层,介绍了各个安全等级的具体要求,以及每个等级中对各个安全要素的具体要求 同时针对每个安全等级,介绍了在网络体系结构每层的具体要求,以及每层中对各个安全要求的具体要求
应用指南(网络部分) 第七部分是网络设备可能对应的安全保护等级,主要介绍了各类网络设备可能对应的安全保护等级
参考网址 www.commoncriteria.org http://www.autotestco.com/ http://niap.nist.gov/tools/cctool.html http://csrc.nist.gov/publications/secpubs/rainbow/ http://www.radium.ncsc.mil/tpep/library/fers/tcsec_fers.html(library of TCSEC final evaluation report) http://niap.nist.gov/cc-scheme/iwg-cc-public/ob_by_number.html (public index to IWG queue) www.itsec.gov.uk http://oval.mitre.org (open vulnerability assessment language)