1第17-18章安全框架与评估标准华南理工大学电子商务学院本科课程—电子商务安全与保密2本章要点:→风险评估的要素和基本流程→CC和BS7799安全规范→SSE-CMM→计算机系统等级保护制度3安全设计和安全域/等级保护的结合等级组织体系管理体系技术体系机构建设人员管理制度管理风险管理资产管理技术管理安全评估安全防护入侵检测应急恢复1√√√2√√√√√√√3√√√√√√√√√√4√√√√√√√√√√5√√√√√√√√√√•安全体系的全面性•措施分级保护、适度安全•强度分级•三分技术,七分管理4OSI的安全体系结构网络信息系统安全体系结构5信息安全评估及相关标准信息安全评估定义:信息安全评估是对一个构件、产品、子系统或系统的安全属性进行的技术评价,通过评估判断该构件、产品、子系统或系统是否满足一组特定的要求产品安全评估信息系统安全评估6风险评估的目的了解组织的安全现状分析组织的安全需求建立信息安全管理体系的要求制订安全策略和实施安防措施的依据组织实现信息安全的必要的、重要的步骤7.........风险的四个要素:资产及其价值威胁脆弱性现有的和计划的控制措施资产的分类电子信息资产软件资产物理资产人员公司形象和名誉威胁举例:黑客入侵和攻击病毒和其他恶意程序软硬件故障人为误操作自然灾害如:地震、火灾、爆炸等盗窃网络监听供电故障后门未授权访问……8脆弱性是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害,但是在一定条件得到满足时,脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例:系统漏洞程序Bug专业人员缺乏不良习惯系统没有进行安全配置物理环境不安全缺少审计缺乏安全意识后门……......风险的四个要素:9安全评估模型10安全评估模型11安全评估模型12风险评估的一般工作流程13风险评估的一般工作流程14风险评估的一般工作流程15评估工具评估工具目前存在以下几类:扫描工具:包括主机扫描、网络扫描、数据库扫描,用于分析系统的常见漏洞;入侵检测系统(IDS):用于收集与统计威胁数据;渗透性测试工具:黑客工具,用于人工渗透,评估系统的深层次漏洞;主机安全性审计工具:用于分析主机系统配置的安全性;安全管理评价系统:用于安全访谈,评价安全管理措施;风险综合分析系统:在基础数据基础上,定量、综合分析系统的风险,并且提供分类统计、查询、TOPN查询以及报表输出功能;评估支撑环境工具:评估指标库、知识库、漏洞库、算法库、模型库。16信息技术安全评估准则发展过程《可信计算机系统评估准则》TCSEC《信息技术安全评估准则》ITSEC通用准则CC(ISO15408、GB/T18336)《计算机信息系统安全保护等级划分准则》BS7799、ISO17799《信息技术安全技术信息技术安全性评估准则》ISO13335《IT安全管理指南》SSE-CMM系统安全工程能力成熟度模型我国的信息安全标准制定情况标准介绍保障信息安全有三个支柱,一个是技术、一个是管理、一个是法律法规。国家的法律法规,有专门的部门在研究和制定和推广。根据国务院27号文件,对信息安全实施分级安全保护的规定出台后,各有关部门都在积极制定相关的制度和法规,当前被普遍采用的技术标准的是CC/ISO15408,管理体系标准是ISO17799/BS7799。17GB18336idtISO/IEC15408信息技术安全性评估准则IATF信息保障技术框架ISSE信息系统安全工程SSE-CMM系统安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理实践准则其他相关标准、准则例如:ISO/IEC15443,COBIT。。。系统认证和认可标准和实践例如:美国DITSCAP,…中国信息安全产品测评认证中心相关文档和系统测评认证实践技术准则(信息技术系统评估准则)管理准则(信息系统管理评估准则)过程准则(信息系统安全工程评估准则)信息系统安全保障评估准则与现有标准关系信息系统安全保障评估准则18信息技术安全评估准则发展过程1999年GB17859计算机信息系统安全保护等级划分准则1991年欧洲信息技术安全性评估准则(ITSEC)国际通用准则1996年(CC1.0)1998年(CC2.0)1985年美国可信计算机系统评估准则(TCSEC)1993年加拿大可信计算机产品评估准则(CTCPEC)1993年美国联邦准则(FC1.0)1999年国际标准ISO/IEC154081989年英国可信级别标准(MEMO3DTI)德国评估标准(ZSEIC)法国评估标准(B-W-RBOOK)2001年国家标准GB/T18336信息技术安全性评估准则idtiso/iec154081993年美国NIST的MSFR19CC的适用范围CC定义了评估信息技术产品和系统安全型所需的基础准则,是度量信息技术安全性的基准针对在安全评估过程中信息技术产品和系统的安全功能及相应的保证措施提出的一组通用要求,使各种相对独立的安全评估结果具有可比性。该标准适用于对信息技术产品或系统的安全性进行评估,不论其实现方式是硬件、固件还是软件,还可用于指导产品和系统开发。该标准的主要目标读者是用户、开发者、评估者。20CC内容CC吸收了个先进国家对现代信息系统安全的经验和知识,对信息系统安全的研究和应用定来了深刻的影响。它分为三部分:第一部分介绍CC的基本概念和基本原理;第二部分提出了安全功能要求;第三部分提出了非技术性的安全保证要求。21CC内容后两部分构成了CC安全要求的全部:安全功能要求和安全保证要求,其中安全保证的目的是为了确保安全功能的正确性和有效性,这是从ITSEC和CTCPEC中吸收的。同时CC还从FC中吸收了保护轮廓的(PP)的概念,从而为CC的应用和发展提供了最大可能的空间和自由度。CC定义了作为评估信息技术产品和系统安全性的基础准则,提出了目前国际上公认的表述信息技术安全性的结构,即:安全要求=规范产品和系统安全行为的功能要求+解决如何正确有效的实施这些功能的保证要求。22CC的关键概念2324通用准则CC第二部分:安全功能要求CC的第二部分是安全功能要求,对满足安全需求的诸安全功能提出了详细的要求另外,如果有超出第二部分的安全功能要求,开发者可以根据“类-族-组件-元素”的描述结构表达其安全要求,并附加在其ST中25通用准则CC第二部分:安全功能要求26通用准则CC第二部分:安全功能要求27通用准则CC第二部分:安全功能要求28通用准则CC第二部分:安全功能要求29安全功能需求层次关系功能和保证要求以“类—族—组件”的结构表述,组件作为安全要求的最小构件块,可以用于“保护轮廓”、“安全目标”和“包”的构建,例如由保证组件构成典型的包——“评估保证级包”。30通用准则CC:第三部分评估方法CC的第三部分是评估方法部分,共包括10个类。维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求只有七个安全保证类是(评估对象)TOE的评估类别31通用准则CC:第三部分评估方法32通用准则CC:第三部分评估方法33通用准则CC:第三部分评估方法34通用准则CC:第三部分评估方法35通用准则CC:第三部分评估方法36通用准则CC七个安全保证类1.ACM类:配置管理CM自动化CM能力CM范围2.ADO类:交付和运行交付安装、生成和启动3.ADV类:开发功能规范高层设计实现表示TSF内部低层设计表示对应性安全策略模型374.AGD类:指南文档管理员指南用户指南5.ALC类:生命周期支持开发安全缺陷纠正生命周期定义工具和技术6.ATE类:测试覆盖范围深度功能测试独立性测试7.AVA类:脆弱性评定隐蔽信道分析误用TOE安全功能强度脆弱性分析通用准则CC38通用准则CC安全保证要求部分提出了七个评估保证级别(EvaluationAssuranceLevels:EALs)分别是:39通用准则CC:EAL解释40通用准则CC:EAL解释41CC的EAL与其他标准等级的比较42BS7799的历史沿革1995年,英国制定国家标准BS7799第一部分:“信息安全管理事务准则”,并提交国际标准组织(ISO),成为ISODIS14980。1998年,英国公布BS7799第二部分“信息安全管理规范”并成为信息安全管理认证的依据;同年,欧盟于1995年10月公布之“个人资料保护指令,自1998年10月25日起正式生效,要求以适当标准保护个人资料”。2000年,国际标准组织ISO/IECJTCSC27在日本东京10月21日通过BS7799-1,成为ISODIS17799-1,2000年12月1日正式发布。目前除英国之外,国际上已有荷兰、丹麦、挪威、瑞典、芬兰、澳大利亚、新西兰、南非、巴西已同意使用BS7799;日本、瑞士、卢森堡表示对BS7799感兴趣;我国的台湾、香港地区也在推广该标准。BS7799(ISO/IEC17799)在欧洲的证书发放量已经超过ISO9001。但是:ISO17799不是认证标准,目前正在修订。BS7799-2是认证标准,作为国际标准目前正在讨论。43BS7799内容:总则要求各组织建立并运行一套经过验证的信息安全管理体系(ISMS),用于解决如下问题:资产的保管、组织的风险管理、管理标的和管理办法、要求达到的安全程度。建立管理框架确立并验证管理目标和管理办法时需采取如下步骤:定义信息安全策略定义信息安全管理体系的范围,包括定义该组织的特征、地点、资产和技术等方面的特征进行合理的风险评估,包括找出资产面临的威胁、弱点、对组织的冲击、风险的强弱程度等等根据组织的信息安全策略及所要求的安全程度,决定应加以管理的风险领域选出合理的管理标的和管理办法,并加以实施;选择方案时应做到有法可依准备可行性声明是指在声明中应对所选择的管理标的和管理办法加以验证,同时对选择的理由进行验证,并对第四章中排除的管理办法进行记录对上述步骤的合理性应按规定期限定期审核。44BS7799部分BS7799-1:1999《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则,主要为组织制定其信息安全策略和进行有效的信息安全控制提供的一个大众化的最佳惯例。BS7799-2:2002《信息安全管理体系规范》规定了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。即本标准适用以下场合:组织按照本标准要求建立并实施信息安全管理体系,进行有效的信息安全风险管理,确保商务可持续性发展;作为寻求信息安全管理体系第三方认证的标准。BS7799标准第二部分明确提出安全控制要求,标准第一部分对应给出了通用的控制方法(措施),因此可以说,标准第一部分为第二部分的具体实施提供了指南。BS7799Part2CorporateGovernancePLANDOACTCHECK风险管理处理系统控制内部审计功能ISO/IEC1779945十大管理要项BS7799-2:200246十大管理要项BS7799-2:20021、安全方针:为信息安全提供管理指导和支持;2、组织安全:建立信息安全架构,保证组织的内部管理;被第三方访问或外协时,保障组织的信息安全;3、资产的归类与控制:明确资产责任,保持对组织资产的适当保护;将信息进行归类,确保信息资产受到适当程度的保护;4、人员安全:在工作说明和资源方面,减少因人为错误、盗窃、欺诈和设施误用造成的风险;加强用户培训,确保用户清楚知道信息安全的危险性和相关事项,以便在他们的日常工作中支持组织的安全方针;制定安全事故或故障的反应程序,减少由安全事故和故障造成的损失,监控安全事件并从这种事件中吸取教训;5、实物与环境安全:确定安全区域,防止非授权访问、破坏、干扰商务场所和信息;通过保障设备安全,防止资产的丢失、破坏、资产危害及商务活动的中