保密安全与密码技术-10评估管理

保密安全与密码技术第十讲安全评估与安全管理安全评估安全评估发展过程安全评估标准介绍可信计算机系统评估准则（TCSEC）通用准则CC信息安全保证技术框架IATFBS7799、ISO17799我国信息安全保护准则《计算机信息系统安全保护等级划分准则》《信息系统安全保护等级应用指南》信息技术安全评估准则发展过程20世纪60年代后期，1967年美国国防部成立了一个研究组，针对当时计算机使用环境中的安全策略进行研究，其研究结果是“DefenseScienceBoardreport”70年代的后期DOD对当时流行的操作系统KSOS，PSOS，KVM进行了安全方面的研究80年代后，美国国防部发布的“可信计算机系统评估准则（TCSEC）”（即桔皮书）后来DOD又发布了可信数据库解释（TDI）、可信网络解释（TNI）等一系列相关的说明和指南信息技术安全评估准则发展过程90年代初，英、法、德、荷等四国针对TCSEC准则的局限性，提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”（ITSEC），定义了从E0级到E6级的七个安全等级加拿大1988年开始制订《TheCanadianTrustedComputerProductEvaluationCriteria》（CTCPEC）1993年，美国对TCSEC作了补充和修改，制定了“组合的联邦标准”（简称FC）国际标准化组织（ISO）从1990年开始开发通用的国际标准评估准则信息技术安全评估准则发展过程在1993年6月，CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来，将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则发起组织包括六国七方：加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA，他们的代表建立了CC编辑委员会（CCEB）来开发CC1996年1月完成CC1.0版,在1996年4月被ISO采纳1997年10月完成CC2.0的测试版1998年5月发布CC2.0版1999年12月ISO采纳CC，并作为国际标准ISO15408发布信息技术安全评估准则发展过程1999年GB17859计算机信息系统安全保护等级划分准则1991年欧洲信息技术安全性评估准则（ITSEC）国际通用准则1996年（CC1.0）1998年（CC2.0）1985年美国可信计算机系统评估准则（TCSEC）1993年加拿大可信计算机产品评估准则（CTCPEC）1993年美国联邦准则（FC1.0）1999年国际标准ISO/IEC154081989年英国可信级别标准（MEMO3DTI）德国评估标准（ZSEIC）法国评估标准（B-W-RBOOK）2001年国家标准GB/T18336信息技术安全性评估准则idtiso/iec154081993年美国NIST的MSFRGB18336idtISO/IEC15408信息技术安全性评估准则IATF信息保障技术框架ISSE信息系统安全工程SSE-CMM系统安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理实践准则其他相关标准、准则例如：ISO/IEC15443,COBIT。。。系统认证和认可标准和实践例如：美国DITSCAP,…中国信息安全产品测评认证中心相关文档和系统测评认证实践技术准则（信息技术系统评估准则）管理准则（信息系统管理评估准则）过程准则（信息系统安全工程评估准则）信息系统安全保障评估准则现有标准关系安全评估安全评估发展过程安全评估标准介绍可信计算机系统评估准则（TCSEC）通用准则CC信息安全保证技术框架IATFBS7799、ISO17799我国信息安全保护准则《计算机信息系统安全保护等级划分准则》《信息系统安全保护等级应用指南》TCSEC可信计算机系统评估准则在TCSEC中，美国国防部按处理信息的等级和应采用的响应措施，将计算机安全从高到低分为：A、B、C、D四类八个级别，共27条评估准则随着安全等级的提高，系统的可信度随之增加，风险逐渐减少。四个安全等级：D无保护级C自主保护级B强制保护级A验证保护级TCSECD类是最低保护等级，即无保护级是为那些经过评估，但不满足较高评估等级要求的系统设计的，只具有一个级别。该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处理敏感信息C类为自主保护级具有一定的保护能力，采用的措施是自主访问控制和审计跟踪。一般只适用于具有一定等级的多用户环境。具有对主体责任及其动作审计的能力C类分为C1和C2两个级别:自主安全保护级（C1级）控制访问保护级（C2级）TCSECC1级TCB通过隔离用户与数据，使用户具备自主安全保护的能力它具有多种形式的控制能力，对用户实施访问控制为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏C1级的系统适用于处理同一敏感级别数据的多用户环境C2级计算机系统比C1级具有更细粒度的自主访问控制C2级通过注册过程控制、审计安全相关事件以及资源隔离，使单个用户为其行为负责TCSECB类为强制保护级主要要求是TCB应维护完整的安全标记，并在此基础上执行一系列强制访问控制规则B类系统中的主要数据结构必须携带敏感标记系统的开发者还应为TCB提供安全策略模型以及TCB规约应提供证据证明访问监控器得到了正确的实施B类分为三个类别：标记安全保护级（B1级）结构化保护级（B2级）安全区域保护级（B3级）TCSECB1级系统要求具有C2级系统的所有特性在此基础上，还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制并消除测试中发现的所有缺陷在B2级系统中，TCB建立于一个明确定义并文档化形式化安全策略模型之上要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体在此基础上，应对隐蔽信道进行分析TCB应结构化为关键保护元素和非关键保护元素TCSECTCB接口必须明确定义其设计与实现应能够经受更充分的测试和更完善的审查鉴别机制应得到加强，提供可信设施管理以支持系统管理员和操作员的职能提供严格的配置管理控制B2级系统应具备相当的抗渗透能力TCSEC在B3级系统中，TCB必须满足访问监控器需求访问监控器对所有主体对客体的访问进行仲裁访问监控器本身是抗篡改的访问监控器足够小访问监控器能够分析和测试为了满足访问控制器需求:计算机信息系统可信计算基在构造时，排除那些对实施安全策略来说并非必要的代码计算机信息系统可信计算基在设计和实现时，从系统工程角度将其复杂性降低到最小程度TCSECB3级系统支持:安全管理员职能扩充审计机制当发生与安全相关的事件时，发出信号提供系统恢复机制系统具有很高的抗渗透能力TCSECA类为验证保护级A类的特点是使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息为证明TCB满足设计、开发及实现等各个方面的安全要求，系统应提供丰富的文档信息A类分为两个类别：验证设计级（A1级）超A1级TCSECA1级系统在功能上和B3级系统是相同的，没有增加体系结构特性和策略要求最显著的特点是，要求用形式化设计规范和验证方法来对系统进行分析，确保TCB按设计要求实现从本质上说，这种保证是发展的，它从一个安全策略的形式化模型和设计的形式化高层规约（FTLS）开始针对A1级系统设计验证，有5种独立于特定规约语言或验证方法的重要准则：安全策略的形式化模型必须得到明确标识并文档化，提供该模型与其公理一致以及能够对安全策略提供足够支持的数学证明应提供形式化的高层规约，包括TCB功能的抽象定义、用于隔离执行域的硬件/固件机制的抽象定义TCSEC应通过形式化的技术（如果可能的化）和非形式化的技术证明TCB的形式化高层规约（FTLS）与模型是一致的通过非形式化的方法证明TCB的实现（硬件、固件、软件）与形式化的高层规约（FTLS）是一致的。应证明FTLS的元素与TCB的元素是一致的，FTLS应表达用于满足安全策略的一致的保护机制，这些保护机制的元素应映射到TCB的要素应使用形式化的方法标识并分析隐蔽信道，非形式化的方法可以用来标识时间隐蔽信道，必须对系统中存在的隐蔽信道进行解释TCSECA1级系统:要求更严格的配置管理要求建立系统安全分发的程序支持系统安全管理员的职能超A1级系统:超A1级在A1级基础上增加的许多安全措施超出了目前的技术发展随着更多、更好的分析技术的出现，本级系统的要求才会变的更加明确今后，形式化的验证方法将应用到源码一级，并且时间隐蔽信道将得到全面的分析TCSEC在这一级，设计环境将变的更重要形式化高层规约的分析将对测试提供帮助TCB开发中使用的工具的正确性及TCB运行的软硬件功能的正确性将得到更多的关注超A1级系统涉及的范围包括：系统体系结构安全测试形式化规约与验证可信设计环境等安全评估安全评估发展过程安全评估标准介绍可信计算机系统评估准则（TCSEC）通用准则CC信息安全保证技术框架IATFBS7799、ISO17799我国信息安全保护准则《计算机信息系统安全保护等级划分准则》《信息系统安全保护等级应用指南》CC的适用范围CC定义了评估信息技术产品和系统安全型所需的基础准则，是度量信息技术安全性的基准针对在安全评估过程中信息技术产品和系统的安全功能及相应的保证措施提出的一组通用要求，使各种相对独立的安全评估结果具有可比性。该标准适用于对信息技术产品或系统的安全性进行评估，不论其实现方式是硬件、固件还是软件，还可用于指导产品和系统开发。该标准的主要目标读者是用户、开发者、评估者。CC的关键概念评估对象（TargetofEvaluation,TOE)用于安全评估的信息技术产品、系统或子系统（如防火墙、计算机网络、密码模块等），包括相关的管理员指南、用户指南、设计方案等文档。TOESecurityPolicy(TSP)控制TOE中资产如何管理、保护和分发的规则。TOESecurityFunctions(TSF)必须依赖于TSP正确执行的TOE的所有部件。CC的关键概念保护轮廓（ProtectionProfile,PP)为既定的一系列安全对象提出功能和保证要求的完备集合，表达了一类产品或系统的用户需求。PP与某个具体的TOE无关，它定义的是用户对这类TOE的安全需求。主要内容：需保护的对象；确定安全环境；TOE的安全目的；IT安全要求；基本原理在标准体系中PP相当于产品标准，也有助于过程规范性标准的开发。国内外已对应用级防火墙、包过滤防火墙、智能卡等开发了相应的PP。CC的关键概念安全目标（SecurityTarget)ST针对具体TOE而言，它包括该TOE的安全要求和用于满足安全要求的特定安全功能和保证措施。ST包括的技术要求和保证措施可以直接引用该TOE所属产品或系统类的PP。ST是开发者、评估者、用户在TOE安全性和评估范围之间达成一致的基础。ST相当于产品和系统的实现方案，与ITSEC的安全目标类似。CC的关键概念组件（Component)组件描述了一组特定的安全要求，使可供PP、ST或包选取的最小的安全要求集合。在CC中，以“类_族.组件号”的方式来标识组件。包（Package)组件依据某个特定关系的组合，就构成了包。构建包的目的是定义那些公认有用的、对满足某个特定安全目的有效的安全要求。包可以用来构造更大的包，PP和ST。包可以重复使用。CC中有功能包和保证包两种形式。CC的先进性结构的开放性即功能要求和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展，例如可以增加“备份和恢复”方面的功能要求或一些环境安全要求。表达方式的通用性如果用户、开发者、评估者、认可者等目标读者都使用CC的语言，互相之间就更容易理解沟通。结构