第14讲第七章信息安全标准(下)

LOGO第14讲信息安全标准（二）北京邮电大学计算机学院副教授徐国爱信息安全评估标准LOGO我国信息安全测评认证概述TCSECCCGB17859本讲提纲LOGO测评认证相关概念信息安全测评依据标准对信息技术产品、系统、服务提供商和人员进行测试与评估，检验其是否符合测评的标准信息安全测评是检验/测试活动信息安全认证对信息技术领域内产品、系统、服务提供商和人员的资质、能力符合规范及安全标准要求的一种确认活动，即检验评估过程是否正确，并保证评估结果的正确性和权威性。信息安全认证是质量认证活动，更确切地说是产品认证活动。两者关系信息安全测评为信息安全认证提供必要的技术依据。LOGO产品认证访问控制产品（防火墙/路由器/代理服务器/网关）鉴别产品安全审计产品安全管理产品数据完整性产品数字签名产品抗抵赖产品商用密码产品（须由国家商用密码管理办公室授权）防信息干扰、泄漏产品操作系统安全类产品数据库安全类产品……LOGO系统安全测评信息系统的安全测评，是由具有检验技术能力和政府授权资格的权威机构，依据国家标准、行业标准、地方标准或相关技术规范，按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动。系统安全测评旨在为以前没有安全保障或安全保障体系不完善的系统（网络）提供改进服务，从而降低系统的安全风险LOGO组织认证：对提供信息安全服务的组织和单位资质进行评估和认证，即服务资质认证个人认证：对信息安全专业人员的资质进行评估和认证，即人员资质认证LOGO我国信息安全测评认证体系组织结构于1997年启动，到1998年底，正式建立我国的信息安全测评认证体系，由三部分组成国家信息安全测评认证管理委员会中国信息安全产品测评认证中心授权测评机构LOGO国家信息安全测评认证管理委员会国家信息安全测评认证管理委员会是认证中心的监管机构。组成：由与信息安全相关的管理部门、使用部门、学术界和生产厂商四方面的代表组成主要职责：确定测评认证中心的发展策略，推动中心检测认证的标准研究和准则使用，对测评认证工作的公正性、科学性进行监督。管理委员会下设专家委员会和投诉、申诉委员会。LOGO中国信息安全产品测评认证中心中国信息安全产品测评认证中心（CNITSEC）：是经中央批准的、由国家质量监督检验检疫总局授权成立的、代表国家实施信息安全测评认证的职能机构。对国内外信息安全设备和信息技术产品进行安全性检验与测试；对国内信息工程和信息系统进行安全性评估与安全质量体系认证；对在中国境内销售、使用的信息技术产品和安全设备进行安全性认证；提供与信息安全有关的信息服务、技术服务及人员培训；与国际上相应的测评认证机构联系与交流。LOGO国家认可委（CNAB）认可国家信息安全测评认证管理委员会中国信息安全产品测评认证中心授权测评机构测评认证申请者实验室认可委（CNAL）认可授权监督测评报告认证申请测评认证报告测评申请信息安全测评认证过程图示LOGO相关测评标准GB17859-1999《计算机信息系统安全保护等级划分准则》GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》GB/T19716-2005《信息技术信息安全管理实用规则》GB/T20271-2006《信息系统通用安全技术要求》GB/T20269-2006《信息系统安全管理要求》GB/T20282-2006《信息系统安全工程管理要求》DB31/T272-2002《计算机信息系统安全测评通用技术规范》LOGO测评认证相关技术渗透性测试：对测试目标进行脆弱性分析，探知产品或系统安全脆弱性的存在，其主要目的是确定测试目标能够抵抗具有不同等级攻击潜能的攻击者发起的渗透性攻击。因此，渗透性测试就是在测试目标预期使用环境下进行的测试，以确定测试目标中潜在的脆弱性的可利用程度。系统漏洞扫描：主要是利用扫描工具对系统进行自动检查，根据漏洞库的描述对系统进行模拟攻击测试，如果系统被成功入侵，说明存在漏洞。主要分为网络漏洞扫描和主机漏洞扫描等方式。LOGO我国信息安全测评认证概述信息安全评估标准的发展本讲提纲LOGO信息安全评估标准的发展1985年美国可信计算机系统评估准则（TCSEC）1993年加拿大可信计算机产品评估准则（CTCPEC）1993年美国联邦政府评估准则（FC）1991年欧洲信息技术安全评估准则（ITSEC）国际通用准则1996年，CC1.01998年，CC2.01999年，CC2.11999年CC成为国际标准，2005年更新（ISO/IEC15408）2001年中国国家标准GB/T183362008年更新（等同采用CC）1999年GB17859计算机信息系统安全保护等级划分准则LOGO可信计算机系统评估准则（TCSEC）可信计算机系统评估准则（TCSEC）简介•信息安全技术的里程碑•1985年作为美国国防部标准（DoD）发布（DoD5200.28-STD）•主要为军用标准，延用为民用•主要针对主机型分时操作系统，主要关注保密性•安全级别主要按功能分类•安全级别从高到低分别为A、B、C、D四级，级下再分小级，包含D、C1、C2、B1、B2、B3、A1这七个级别。•后发展为彩虹系列彩虹系列•桔皮书：可信计算机系统评估准则•黄皮书：桔皮书的应用指南•红皮书：可信网络解释•紫皮书：可信数据库解释•……LOGOTCSEC安全级别A1：验证设计保护VerifiedDesignProtectionB3：安全区域保护SecurityDomainProtectionB2：结构化保护StructuredProtectionB1：标记安全保护LabeledSecurityProtectionC2：受控访问保护ControlledAccessProtectionC1：自主安全保护DiscretionarySecurityProtectionD：低级保护MinimalProtection高保证系统低保证系统等级分类保护等级D类：最低保护等级D级：无保护级C类：自主保护级C1级：自主安全保护级C2级：受控访问保护级B类：强制保护级B1级：标记安全保护级B2级：机构化保护级B3级：安全区域保护级A类：验证保护级A1级：验证设计级LOGOD类保护等级D类是最低保护等级，即无保护级为那些经过评估，但不满足较高评估等级要求的系统设计的，只具有一个级别该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处理敏感信息LOGOC类保护等级C类为自主保护级具有一定的保护能力，采用的措施是自主访问控制和审计跟踪一般只适用于具有一定等级的多用户环境具有对主体责任及其动作审计的能力LOGOC类分为两个级别自主安全保护级（C1级)•它具有多种形式的控制能力，对用户实施访问控制•为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏•C1级的系统适用于处理同一敏感级别数据的多用户环境•C1级TCB通过隔离用户与数据，使用户具备自主安全保护的能力控制访问保护级（C2级)C2级计算机系统比C1级具有更细粒度的自主访问控制C2级通过注册过程控制、审计安全相关事件以及资源隔离，使单个用户为其行为负责LOGOB类保护等级B类为强制保护级主要要求是TCB应维护完整的安全标记，并在此基础上执行一系列强制访问控制规则B类系统中的主要数据结构必须携带敏感标记系统的开发者还应为TCB提供安全策略模型以及TCB规约应提供证据证明访问监控器得到了正确的实施LOGOB类分为三个类别标记安全保护级（B1级）•B1级系统要求具有C2级系统的所有特性•在此基础上，还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制•并消除测试中发现的所有缺陷LOGO结构化保护级（B2级）•在B2级系统中，TCB建立于一个明确定义并文档化形式化安全策略模型之上•要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体•在此基础上，应对隐蔽信道进行分析•TCB应结构化为关键保护元素和非关键保护元素•TCB接口必须明确定义•其设计与实现应能够经受更充分的测试和更完善的审查•鉴别机制应得到加强，提供可信设施管理以支持系统管理员和操作员的职能•提供严格的配置管理控制•B2级系统应具备相当的抗渗透能力LOGO安全区域保护级（B3级）•在B3级系统中，TCB必须满足访问监控器需求•访问监控器对所有主体对客体的访问进行仲裁•访问监控器本身是抗篡改的•访问监控器足够小•访问监控器能够分析和测试•B3级系统支持:–安全管理员职能–扩充审计机制–当发生与安全相关的事件时，发出信号–提供系统恢复机制–系统具有很高的抗渗透能力LOGOA类保护等级A类为验证保护级A类的特点是使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息为证明TCB满足设计、开发及实现等各个方面的安全要求，系统应提供丰富的文档信息LOGO验证设计级（A1级）•A1级系统在功能上和B3级系统是相同的，没有增加体系结构特性和策略要求•最显著的特点是，要求用形式化设计规范和验证方法来对系统进行分析，确保TCB按设计要求实现•从本质上说，这种保证是发展的，它从一个安全策略的形式化模型和设计的形式化高层规约（FTLS）开始LOGO针对A1级系统设计验证，有5种独立于特定规约语言或验证方法的重要准则：安全策略的形式化模型必须得到明确标识并文档化，提供该模型与其公理一致以及能够对安全策略提供足够支持的数学证明应提供形式化的高层规约，包括TCB功能的抽象定义、用于隔离执行域的硬件/固件机制的抽象定义应通过形式化的技术和非形式化的技术证明TCB的形式化高层规约（FTLS）与模型是一致的通过非形式化的方法证明TCB的实现与FTLS是一致的。应证明FTLS的元素与TCB的元素是一致的，FTLS应表达用于满足安全策略的一致的保护机制，这些保护机制的元素应映射到TCB的要素应使用形式化的方法标识并分析隐蔽信道，非形式化的方法可以用来标识时间隐蔽信道，必须对系统中存在的隐蔽信道进行解释LOGOA1级系统要求A1级系统要求SystemLOGOTCSEC缺陷集中考虑数据保密性，而忽略了数据完整性、系统可用性等；将安全功能和安全保证混在一起；安全功能规定得过为严格，不便于实际开发和测评。LOGO信息技术安全评估准则（ITSEC）1991年由欧盟四国（法国、德国、芬兰、英国）联合发布将安全概念分为功能和功能评估两个部分功能准则在测定上分10级：评估准则分为7级：▪1-5级对应于TCSEC的C1到B3▪6-10级添加了以下概念：•F-IN：数据和程序的完整性•F-AV：系统可用性•F-DI：数据通信完整性•F-DC：数据通信保密性•F-DX：包括保密性和完整性的网络安全•E0：不能充分满足保证•E1：功能测试•E2：数字化测试•E3：数字化测试分析•E4：半形式化分析•E5：形式化分析•E6：形式化验证LOGOITSEC与TCSEC的不同◘安全被定义为保密性、完整性、可用性◘功能和保证分开◘对产品和系统的评估都适用，提出评估对象（TOE）的概念•产品：能够被集成在不同系统中的软件或硬件包；•系统：具有一定用途、处于给定操作环境的特殊安全装置。LOGO可信计算机产品评估准则（CTCPEC）1993年加拿大发布，转为政府需求而设计与ITSEC类似，将安全分为功能性需求和保证性需要两部分。功能性要求分为四个大类：每种安全需求又可以分成很多小类，来表示安全性上的差别，分级条数为0～5级。机密性完整性可用性可控性LOGO美国联邦准则（FC）1993年公布，对TCSEC的升级FC引入了“保护轮廓”（PP）的重要概念每个轮廓都包括功能、开发保证和评价三部分分级方式与TCSEC不同，吸取了ITSEC和CTCPEC中的优点供美国政府