网络与信息安全第十七讲计算机信息系统安全评估标准介绍闫强北京大学信息科学技术学院软件研究所-信息安全研究室yanqiang@infosec.pku.edu.cn2003年春季北京大学硕士研究生课程2标准介绍•信息技术安全评估准则发展过程•可信计算机系统评估准则(TCSEC)•可信网络解释(TNI)•通用准则CC•《计算机信息系统安全保护等级划分准则》•信息系统安全评估方法探讨3信息技术安全评估准则发展过程•信息技术安全评估是对一个构件、产品、子系统或系统的安全属性进行的技术评价,通过评估判断该构件、产品、子系统或系统是否满足一组特定的要求。信息技术安全评估的另一层含义是在一定的安全策略、安全功能需求及目标保证级别下获得相应保证的过程。•产品安全评估•信息系统安全评估•信息系统安全评估,或简称为系统评估,是在具体的操作环境与任务下对一个系统的安全保护能力进行的评估。4信息技术安全评估准则发展过程•20世纪60年代后期,1967年美国国防部(DOD)成立了一个研究组,针对当时计算机使用环境中的安全策略进行研究,其研究结果是“DefenseScienceBoardreport”•70年代的后期DOD对当时流行的操作系统KSOS,PSOS,KVM进行了安全方面的研究5信息技术安全评估准则发展过程•80年代后,美国国防部发布的“可信计算机系统评估准则(TCSEC)”(即桔皮书)•后来DOD又发布了可信数据库解释(TDI)、可信网络解释(TNI)等一系列相关的说明和指南•90年代初,英、法、德、荷等四国针对TCSEC准则的局限性,提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”(ITSEC),定义了从E0级到E6级的七个安全等级6信息技术安全评估准则发展过程•加拿大1988年开始制订《TheCanadianTrustedComputerProductEvaluationCriteria》(CTCPEC)•1993年,美国对TCSEC作了补充和修改,制定了“组合的联邦标准”(简称FC)•国际标准化组织(ISO)从1990年开始开发通用的国际标准评估准则7信息技术安全评估准则发展过程•在1993年6月,CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来,将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则•发起组织包括六国七方:加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA,他们的代表建立了CC编辑委员会(CCEB)来开发CC8信息技术安全评估准则发展过程•1996年1月完成CC1.0版,在1996年4月被ISO采纳•1997年10月完成CC2.0的测试版•1998年5月发布CC2.0版•1999年12月ISO采纳CC,并作为国际标准ISO15408发布9安全评估标准的发展历程桔皮书(TCSEC)1985英国安全标准1989德国标准法国标准加拿大标准1993联邦标准草案1993ITSEC1991通用标准V1.01996V2.01998V2.1199910标准介绍•信息技术安全评估准则发展过程•可信计算机系统评估准则(TCSEC)•可信网络解释(TNI)•通用准则CC•《计算机信息系统安全保护等级划分准则》•信息系统安全评估方法探讨11TCSEC•在TCSEC中,美国国防部按处理信息的等级和应采用的响应措施,将计算机安全从高到低分为:A、B、C、D四类八个级别,共27条评估准则•随着安全等级的提高,系统的可信度随之增加,风险逐渐减少。12TCSEC四个安全等级:无保护级自主保护级强制保护级验证保护级13TCSEC•D类是最低保护等级,即无保护级•是为那些经过评估,但不满足较高评估等级要求的系统设计的,只具有一个级别•该类是指不符合要求的那些系统,因此,这种系统不能在多用户环境下处理敏感信息14TCSEC四个安全等级:无保护级自主保护级强制保护级验证保护级15TCSEC•C类为自主保护级•具有一定的保护能力,采用的措施是自主访问控制和审计跟踪•一般只适用于具有一定等级的多用户环境•具有对主体责任及其动作审计的能力16TCSECC类分为C1和C2两个级别:自主安全保护级(C1级)控制访问保护级(C2级)17TCSEC•C1级TCB通过隔离用户与数据,使用户具备自主安全保护的能力•它具有多种形式的控制能力,对用户实施访问控制•为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏•C1级的系统适用于处理同一敏感级别数据的多用户环境18TCSEC•C2级计算机系统比C1级具有更细粒度的自主访问控制•C2级通过注册过程控制、审计安全相关事件以及资源隔离,使单个用户为其行为负责19TCSEC四个安全等级:无保护级自主保护级强制保护级验证保护级20TCSEC•B类为强制保护级•主要要求是TCB应维护完整的安全标记,并在此基础上执行一系列强制访问控制规则•B类系统中的主要数据结构必须携带敏感标记•系统的开发者还应为TCB提供安全策略模型以及TCB规约•应提供证据证明访问监控器得到了正确的实施21TCSECB类分为三个类别:标记安全保护级(B1级)结构化保护级(B2级)安全区域保护级(B3级)22TCSEC•B1级系统要求具有C2级系统的所有特性•在此基础上,还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制•并消除测试中发现的所有缺陷23TCSECB类分为三个类别:标记安全保护级(B1级)结构化保护级(B2级)安全区域保护级(B3级)24TCSEC•在B2级系统中,TCB建立于一个明确定义并文档化形式化安全策略模型之上•要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体•在此基础上,应对隐蔽信道进行分析•TCB应结构化为关键保护元素和非关键保护元素25TCSEC•TCB接口必须明确定义•其设计与实现应能够经受更充分的测试和更完善的审查•鉴别机制应得到加强,提供可信设施管理以支持系统管理员和操作员的职能•提供严格的配置管理控制•B2级系统应具备相当的抗渗透能力26TCSECB类分为三个类别:标记安全保护级(B1级)结构化保护级(B2级)安全区域保护级(B3级)27TCSEC•在B3级系统中,TCB必须满足访问监控器需求•访问监控器对所有主体对客体的访问进行仲裁•访问监控器本身是抗篡改的•访问监控器足够小•访问监控器能够分析和测试28TCSEC为了满足访问控制器需求:计算机信息系统可信计算基在构造时,排除那些对实施安全策略来说并非必要的代码计算机信息系统可信计算基在设计和实现时,从系统工程角度将其复杂性降低到最小程度29TCSECB3级系统支持:安全管理员职能扩充审计机制当发生与安全相关的事件时,发出信号提供系统恢复机制系统具有很高的抗渗透能力30TCSEC四个安全等级:无保护级自主保护级强制保护级验证保护级31TCSEC•A类为验证保护级•A类的特点是使用形式化的安全验证方法,保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息•为证明TCB满足设计、开发及实现等各个方面的安全要求,系统应提供丰富的文档信息32TCSECA类分为两个类别:验证设计级(A1级)超A1级33TCSEC•A1级系统在功能上和B3级系统是相同的,没有增加体系结构特性和策略要求•最显著的特点是,要求用形式化设计规范和验证方法来对系统进行分析,确保TCB按设计要求实现•从本质上说,这种保证是发展的,它从一个安全策略的形式化模型和设计的形式化高层规约(FTLS)开始34TCSEC针对A1级系统设计验证,有5种独立于特定规约语言或验证方法的重要准则:安全策略的形式化模型必须得到明确标识并文档化,提供该模型与其公理一致以及能够对安全策略提供足够支持的数学证明应提供形式化的高层规约,包括TCB功能的抽象定义、用于隔离执行域的硬件/固件机制的抽象定义35TCSEC应通过形式化的技术(如果可能的化)和非形式化的技术证明TCB的形式化高层规约(FTLS)与模型是一致的通过非形式化的方法证明TCB的实现(硬件、固件、软件)与形式化的高层规约(FTLS)是一致的。应证明FTLS的元素与TCB的元素是一致的,FTLS应表达用于满足安全策略的一致的保护机制,这些保护机制的元素应映射到TCB的要素36TCSEC应使用形式化的方法标识并分析隐蔽信道,非形式化的方法可以用来标识时间隐蔽信道,必须对系统中存在的隐蔽信道进行解释37TCSECA1级系统:•要求更严格的配置管理•要求建立系统安全分发的程序•支持系统安全管理员的职能38TCSECA类分为两个类别:验证设计级(A1级)超A1级39TCSEC•超A1级在A1级基础上增加的许多安全措施超出了目前的技术发展•随着更多、更好的分析技术的出现,本级系统的要求才会变的更加明确•今后,形式化的验证方法将应用到源码一级,并且时间隐蔽信道将得到全面的分析40TCSEC•在这一级,设计环境将变的更重要•形式化高层规约的分析将对测试提供帮助•TCB开发中使用的工具的正确性及TCB运行的软硬件功能的正确性将得到更多的关注41TCSEC超A1级系统涉及的范围包括:系统体系结构安全测试形式化规约与验证可信设计环境等42标准介绍•信息技术安全评估准则发展过程•可信计算机系统评估准则(TCSEC)•可信网络解释(TNI)•通用准则CC•《计算机信息系统安全保护等级划分准则》•信息系统安全评估方法探讨43可信网络解释(TNI)•美国国防部计算机安全评估中心在完成TCSEC的基础上,又组织了专门的研究镞对可信网络安全评估进行研究,并于1987年发布了以TCSEC为基础的可信网络解释,即TNI。•TNI包括两个部分(PartI和PartII)及三个附录(APPENDIXA、B、C)44可信网络解释(TNI)•TNI第一部分提供了在网络系统作为一个单一系统进行评估时TCSEC中各个等级(从D到A类)的解释•与单机系统不同的是,网络系统的可信计算基称为网络可信计算基(NTCB)45可信网络解释(TNI)•第二部分以附加安全服务的形式提出了在网络互联时出现的一些附加要求•这些要求主要是针对完整性、可用性和保密性的46可信网络解释(TNI)第二部分的评估是定性的,针对一个服务进行评估的结果一般分为为:noneminimumfairgood47可信网络解释(TNI)第二部分中关于每个服务的说明一般包括:一种相对简短的陈述相关的功能性的讨论相关机制强度的讨论相关保证的讨论48可信网络解释(TNI)•功能性是指一个安全服务的目标和实现方法,它包括特性、机制及实现•机制的强度是指一种方法实现其目标的程度•有些情况下,参数的选择会对机制的强度带来很大的影响49可信网络解释(TNI)•保证是指相信一个功能会实现的基础•保证一般依靠对理论、测试、软件工程等相关内容的分析•分析可以是形式化或非形式化的,也可以是理论的或应用的50可信网络解释(TNI)第二部分中列出的安全服务有:通信完整性拒绝服务机密性51可信网络解释(TNI)通信完整性主要涉及以下3方面:鉴别:网络中应能够抵抗欺骗和重放攻击通信字段完整性:保护通信中的字段免受非授权的修改抗抵赖:提供数据发送、接受的证据52可信网络解释(TNI)•当网络处理能力下降到一个规定的界限以下或远程实体无法访问时,即发生了拒绝服务•所有由网络提供的服务都应考虑拒绝服务的情况•网络管理者应决定网络拒绝服务需求53可信网络解释(TNI)解决拒绝服务的方法有:操作连续性基于协议的拒绝服务保护网络管理54可信网络解释(TNI)•机密性是一系列安全服务的总称•这些服务都是关于通过计算机通信网络在实体间传输信息的安全和保密的•具体又分3种情况:数据保密通信流保密选择路由55可信网络解释(TNI)数据保密:数据保密性服务保护数据不被未授权地泄露数据保密性主要受搭线窃听的威胁被动的攻击包括对线路上传