搜索
计算机信息系统安全保护等级标准介绍安全保护等级安全事件安全产品、安全技术安全策略、安全管理威胁与漏洞安全保护体系风险分析定性分析定量分析脆弱性分析安全保护等级安全保护等级定量分析安全保护措施的可信度可比性主导问题TCSEC(TrustedComputerSecurityEvaluationCriteria)简介CC(CommonCriteria)简介《计算机信息系统安全保护等级划分准则》(简称《准则》)——GB17859-1999简介TCSEC来源与目的TCB(TrustedComputingBase)主要内容TNI(TrustedNetworkInterpretation)局限性TCSEC来源与目的美国国防部于1983年推出。评价一台独立使用的计算机信息安全性的标准。主要用于评价计算机操作系统,且侧重于保密性。TCSECTCB描述:全称:计算机信息系统可信计算基(TrustedComputingBaseofComputerInformationSystem)计算机信息系统内保护装置的总体,包括硬件、固件软件和负责执行安全策略的组合体。它建立了一个基本的保护环境,并提供一个可信计算机信息系统所要求的附加用户服务。TCSEC主要内容级别:D、C、B、A与超A1级安全策略(Policy)责任(accountability)保证(Assurance)文档(Documentation)TCSEC安全策略自主访问控制标记强制访问控制客体重用TCSEC责任鉴别可信路径审计TCSEC保证生命周期保证运行保证TCSEC运行保证系统体系结构系统完整性隐通道分析安全管理(TrustedFacilityManagement)可信恢复TCSEC生命周期保证测试设计规范与验证配置管理可信分发TCSEC文档用户指南管理员指南测试文档设计文档TNITNI四个公理网络环境下的解释将网络系统划分为网络组件补充安全服务的解释访问控制、鉴别、完整性、保密性与抗抵赖性TNITNI-1网络系统的标准TNI-2安全服务三个附录三个附录TNI第一部分的扩展,关于组件及组件组合的评估组件评估基本原理互联系统的方法及可能遇到的问题TCSEC局限性主要针对单机系统TNI是后来补充的,没有从网络体系上考虑问题主要考虑保密性安全服务与安全要素加密体制网络环境与管理CC来源与目的术语解释概述IT产品或系统的描述描述语言TOE安全保证度量特点来源与目的来源1993年,美国、加拿大等国同意开发CC。参考了ITSEC、TCSEC等。1996年,得到1.0版,进入试用阶段。1999年12月,2.1版,ISO15408。目的通用的评价信息产品与系统的标准。术语解释TOE-评估对象ST-安全目标PP-保护轮廓TSP-TOE安全策略TSF-TOE安全功能TSC-TSF控制范围概述分为三个部分第1部分:简介和一般模型第2部分:安全功能要求第3部分:安全保证要求概述不在CC考虑之列:本标准不包括那些与信息技术安全措施没有直接关联的属于行政性管理安全措施的安全评估准则。本标准并不专门针对信息技术安全性的物理方面(诸如电磁辐射控制)的评估。本标准并不涉及评估方法学,也不涉及评估机构使用本规则的管理模式或法律框架。评估结果用于产品和系统认可的过程不在本标准的范围之内。产品和系统的认可是行政性的管理过程,据此认可信息技术产品和系统在其整个运行环境中的运行权。本标准不包括密码算法固有质量评价准则。概述一个库,两种描述方式,三类人。知识库:安全功能要求与安全保证要求。信息安全技术要求库——语言元素。描述方式:PP与ST。组织语言元素的格式与内容要求。三类人:消费者、开发者与评估者。三种评估:PP、ST与TOE的评估。概述CC涉及三个信息安全基本要求保密性完整性可用性CC使用对象IT产品与系统消费者、开发商或集成商、评估者、认证人员与授权人员。安全概念与关系图4.1安全概念和关系所有者对策弱点风险资产威胁威胁者价值希望最小化利用减少可能拥有可能意识到可能被减少利用导致引起增加到到希望滥用和破坏TOE物理环境建立安全环境资产保护需求TOE目的假设建立安全目的建建立立威胁组织化安全策略安全目的建立安全要求功能要求保证要求环境要求建立TOE概要规范TOE概要规范通用准则要求目录安安全全规规范范材材料料((PPPP//SSTT))安安全全需需求求材材料料((PPPP//SSTT)安安全全目目的的材材料料((PPPP//SSTT))安安全全环环境境材材料料((PPPP//SSTT))评估对象开发模型安全要求功能定义高层设计实现源代码/硬件设计设计和实现细化相应分析和集成测试安全要求功能定义高层设计原代码/硬件设计实现三种评估PP评估PP回答“需要什么”,与实现无关。ST评估ST回答“提供了什么”,与实现紧密相关。TOE评估IT产品或系统的描述CC是通用准则,是材料库、格式以及规则。对具体的产品或系统,PP与ST是用于描述待评估对象的重要文档。给出总体描述,从安全环境、安全目的、安全要求到概要规范等。PP与STPP是描述满足特定消费者需求的、独立于实现的一组安全要求,回答“在安全方案中需要什么”。ST是依赖于实现的一组安全要求与说明,用来指定TOE评估基础。回答“在安全方案中提供什么”。PP内容PP应用注解PP标识PP概述假设威胁组织性安全策略TOE安全目的环境安全目的安全目的基本原理安全要求基本原理TOE安全功能要求TOE安全保证要求保护轮廓PP引言TOE描述TOE安全环境安全目的IT安全要求基本原理TOE安全要求IT环境安全要求ST内容ST标识ST概述假设威胁组织性安全策略TOE安全目的环境安全目的安全目的基本原理安全要求基本原理TOE安全功能要求TOE安全保证要求安全目标ST引言TOE描述TOE安全环境安全目的IT安全要求基本原理TOE安全要求IT环境安全要求CC一致性性声明TOE概要规范TOE安全功能保证措施PP声明PP裁减PP附加项PP声明描述语言CC的安全要求:安全功能要求安全保证要求安全要求层次类族组件和元素安全功能要求共11类:FAU类:安全审计FCO类:通信FCS类:密码支持FDP类:用户数据保护FIA类:标识与鉴别FMT类:安全管理安全功能要求FPR类:隐秘FPT类:安全功能保护FRU类:资源利用FTA类:TOE访问FTP类:可信路径/信道功能类结构功能类类名类介绍功能族功能族结构功能族族名族行为管理审计组件组件层次功能组件结构组件组件标识功能元素依赖性安全功能要求的说明管理审计三个层次:最小级、基本级和详细级。功能元素:独立的,可标识的最小安全功能要求。依赖性说明允许的功能组件操作反复:覆盖一个要求的多个方面。赋值:满足特定的安全目标。选择:缩小一个组件元素的范围。细化类示例图类名族1123族212323族314安全保证要求共10类:APE类:PP评估ASE类:ST评估ACM类:配置管理ADO类:交付和运行ADV类:开发安全保证要求AGD类:指导性文档ALC类:生命周期支持ATE类:测试AVA类:脆弱性评定AMA类:维护保证组件结构保证组件组件标识应用解释保证元素目的依赖性说明目的:特定保证组件的特定目的。保证元素开发者行为元素-D证据的内容与表示元素-C评估者行为元素-E安全保证度量七个评估保证级别:EAL1-EAL7保证不断增加。严格性、范围和深度。可扩充增强EAL1:功能测试EAL2:结构测试EAL3;系统地测试和检查EAL4:系统地设计、测试和复查安全保证度量EAL5:半形式化设计和测试EAL6:半形式化验证地设计和测试EAL7:形式化验证地设计和测试理解评估PP安全需求的评估,其目标:证明PP的完备性、一致性技术的合理性以及适于表达可评估的TOE的要求。ST安全方案的评估,其目标:证明ST的完备性、一致性技术的合理性以及适于作为相应的TOE评估的基础;当ST声明与某PP一致时,证明ST正确满足该PP要求。TOE评估使用已经评估过的ST为基础,其目标:证明TOE满足ST评估中的安全要求。评估结果评估PP评估TOEPP分类评估ST证书分类PP评估结果TOE评估结果ST评估结果已评估过的TOE特点通用性完备性扩充性主观性对安全功能要求《准则》总体思路标准体系主要内容总体思路信息安全涉及国家安危不是TCSEC的简单沿袭标准体系——适应现代计算机技术与信息技术的发展没有严格分类安全功能与安全保证安全保护等级要求逐次递增的关系明显《准则》五个安全保护等级十个安全要素:身份鉴别、自主访问控制、标记、强制访问控制、客体重用、完整性、审计、隐通道分析、可信恢复以及可信路径。标准体系计算机信息系统安全保护等级总体标准计算机信息系统安全保护等级通用标准计算机信息系统安全保护等级评估标准与技术要求网络系统安全保护等级评估标准与技术要求计算机信息系统安全保护等级工程要求计算机信息系统五层面安全保护等级标准标准体系应用系统安全保护等级标准电子政务系统电子商务系统电子金融系统身份认证系统安全保护等级标准五个层面标准系统层安全保护标准网络层面主要构件安全保护标准应用层面安全保护标准Web服务与PKI安全管理层面安全保护标准物理层面安全保护标准总结:《准则》与CC的比较内容结构CC分为安全功能要求与安全保证要求,保证要求层层递进;《准则》十个安全要素,层层递进。信任度《准则》——对实现安全功能的安全保护措施抵抗威胁与攻击的能力的一种度量;CC是对实现安全功能的整个过程的一种信任度。比较安全功能强度抗渗透能力评估CC有三个评估,针对的是安全功能实现的整个过程的保证程度——时间段;《准则》测试安全功能的实现状况——时间点。参与的人员。比较保证要求《准则》也有保证要求——对安全设施的管理、配置管理控制、排除无用代码将复杂性降到最低、形式化安全策略模型与参考监视器等,但没有明确的要求比较可操作性信息系统或产品的开发状况评估的客观性