计算机信息系统安全保护等级
Download
Report
Transcript 计算机信息系统安全保护等级
计算机信息系统安全评估标准介绍
北京大学 闫强
标准介绍
•
•
•
•
•
•
•
信息技术安全评估准则发展过程
可信计算机系统评估准则(TCSEC )
可信网络解释(TNI)
通用准则CC
《计算机信息系统安全保护等级划分准则》
信息安全保证技术框架
《信息系统安全保护等级应用指南》
2
信息技术安全评估准则发展过程
• 20世纪60年代后期,1967年美国国防部(DOD)成立了
一个研究组,针对当时计算机使用环境中的安全策略
进行研究,其研究结果是“Defense Science Board
report”
• 70年代的后期DOD对当时流行的操作系统KSOS,PSOS,
KVM进行了安全方面的研究
3
信息技术安全评估准则发展过程
• 80年代后,美国国防部发布的“可信计算机系统评估
准则(TCSEC)”(即桔皮书)
• 后来DOD又发布了可信数据库解释(TDI)、可信网络
解释(TNI)等一系列相关的说明和指南
• 90年代初,英、法、德、荷等四国针对TCSEC准则的局
限性,提出了包含保密性、完整性、可用性等概念的
“信息技术安全评估准则”(ITSEC),定义了从E0级
到E6级的七个安全等级
4
信息技术安全评估准则发展过程
• 加拿大1988年开始制订《The Canadian Trusted
Computer Product Evaluation Criteria 》(CTCPEC)
• 1993年,美国对TCSEC作了补充和修改,制定了“组合
的联邦标准”(简称FC)
• 国际标准化组织(ISO)从1990年开始开发通用的国际
标准评估准则
5
信息技术安全评估准则发展过程
• 在1993年6月,CTCPEC、FC、TCSEC和ITSEC的发起组织
开始联合起来,将各自独立的准则组合成一个单一的、
能被广泛使用的IT安全准则
• 发起组织包括六国七方:加拿大、法国、德国、荷兰、
英国、美国NIST及美国NSA,他们的代表建立了CC编辑
委员会(CCEB)来开发CC
6
信息技术安全评估准则发展过程
•
•
•
•
1996年1月完成CC1.0版 ,在1996年4月被ISO采纳
1997年10月完成CC2.0的测试版
1998年5月发布CC2.0版
1999年12月ISO采纳CC,并作为国际标准ISO 15408发
布
7
安全评估标准的发展历程
桔皮书
(TCSEC)
1985
加拿大标准
1993
英国安全
标准1989
德国标准
法国标准
联邦标准
草案1993
ITSEC
1991
通用标准
V1.0 1996
V2.0 1998
V2.1 1999
8
标准介绍
•
•
•
•
•
•
•
信息技术安全评估准则发展过程
可信计算机系统评估准则(TCSEC)
可信网络解释 (TNI)
通用准则CC
《计算机信息系统安全保护等级划分准则》
信息安全保证技术框架
《信息系统安全保护等级应用指南》
9
TCSEC
• 在TCSEC中,美国国防部按处理信息的等级和应采用的
响应措施,将计算机安全从高到低分为:A、B、C、D
四类八个级别,共27条评估准则
• 随着安全等级的提高,系统的可信度随之增加,风险
逐渐减少。
10
TCSEC
四个安全等级:
无保护级
自主保护级
强制保护级
验证保护级
11
TCSEC
• D类是最低保护等级,即无保护级
• 是为那些经过评估,但不满足较高评估等级要求的系
统设计的,只具有一个级别
• 该类是指不符合要求的那些系统,因此,这种系统不
能在多用户环境下处理敏感信息
12
TCSEC
四个安全等级:
无保护级
自主保护级
强制保护级
验证保护级
13
TCSEC
• C类为自主保护级
• 具有一定的保护能力,采用的措施是自主访问控制和
审计跟踪
• 一般只适用于具有一定等级的多用户环境
• 具有对主体责任及其动作审计的能力
14
TCSEC
C类分为C1和C2两个级别:
自主安全保护级(C1级)
控制访问保护级(C2级)
15
TCSEC
• C1级TCB通过隔离用户与数据,使用户具备自主安全保
护的能力
• 它具有多种形式的控制能力,对用户实施访问控制
• 为用户提供可行的手段,保护用户和用户组信息,避
免其他用户对数据的非法读写与破坏
• C1级的系统适用于处理同一敏感级别数据的多用户环
境
16
TCSEC
• C2级计算机系统比C1级具有更细粒度的自主访问控制
• C2级通过注册过程控制、审计安全相关事件以及资源
隔离,使单个用户为其行为负责
17
TCSEC
四个安全等级:
无保护级
自主保护级
强制保护级
验证保护级
18
TCSEC
• B类为强制保护级
• 主要要求是TCB应维护完整的安全标记,并在此基础上
执行一系列强制访问控制规则
• B类系统中的主要数据结构必须携带敏感标记
• 系统的开发者还应为TCB提供安全策略模型以及TCB规
约
• 应提供证据证明访问监控器得到了正确的实施
19
TCSEC
B类分为三个类别:
标记安全保护级(B1级)
结构化保护级(B2级)
安全区域保护级(B3级)
20
TCSEC
• B1级系统要求具有C2级系统的所有特性
• 在此基础上,还应提供安全策略模型的非形式化描述、
数据标记以及命名主体和客体的强制访问控制
• 并消除测试中发现的所有缺陷
21
TCSEC
B类分为三个类别:
标记安全保护级(B1级)
结构化保护级(B2级)
安全区域保护级(B3级)
22
TCSEC
• 在B2级系统中,TCB建立于一个明确定义并文档化形式
化安全策略模型之上
• 要求将B1级系统中建立的自主和强制访问控制扩展到
所有的主体与客体
• 在此基础上,应对隐蔽信道进行分析
• TCB应结构化为关键保护元素和非关键保护元素
23
TCSEC
• TCB接口必须明确定义
• 其设计与实现应能够经受更充分的测试和更完善的审
查
• 鉴别机制应得到加强,提供可信设施管理以支持系统
管理员和操作员的职能
• 提供严格的配置管理控制
• B2级系统应具备相当的抗渗透能力
24
TCSEC
B类分为三个类别:
标记安全保护级(B1级)
结构化保护级(B2级)
安全区域保护级(B3级)
25
TCSEC
•
•
•
•
•
在B3级系统中,TCB必须满足访问监控器需求
访问监控器对所有主体对客体的访问进行仲裁
访问监控器本身是抗篡改的
访问监控器足够小
访问监控器能够分析和测试
26
TCSEC
为了满足访问控制器需求:
计算机信息系统可信计算基在构造时,排除那些对
实施安全策略来说并非必要的代码
计算机信息系统可信计算基在设计和实现时,从系
统工程角度将其复杂性降低到最小程度
27
TCSEC
B3级系统支持:
安全管理员职能
扩充审计机制
当发生与安全相关的事件时,发出信号
提供系统恢复机制
系统具有很高的抗渗透能力
28
TCSEC
四个安全等级:
无保护级
自主保护级
强制保护级
验证保护级
29
TCSEC
• A类为验证保护级
• A类的特点是使用形式化的安全验证方法,保证系统的
自主和强制安全控制措施能够有效地保护系统中存储
和处理的秘密信息或其他敏感信息
• 为证明TCB满足设计、开发及实现等各个方面的安全要
求,系统应提供丰富的文档信息
30
TCSEC
A类分为两个类别:
验证设计级(A1级)
超A1级
31
TCSEC
• A1级系统在功能上和B3级系统是相同的,没有增加体
系结构特性和策略要求
• 最显著的特点是,要求用形式化设计规范和验证方法
来对系统进行分析,确保TCB按设计要求实现
• 从本质上说,这种保证是发展的,它从一个安全策略
的形式化模型和设计的形式化高层规约(FTLS)开始
32
TCSEC
针对A1级系统设计验证,有5种独立于特定规约语言或
验证方法的重要准则:
安全策略的形式化模型必须得到明确标识并文档化,提供该模
型与其公理一致以及能够对安全策略提供足够支持的数学证明
应提供形式化的高层规约,包括TCB功能的抽象定义、用于隔
离执行域的硬件/固件机制的抽象定义
33
TCSEC
应通过形式化的技术(如果可能的化)和非形式化的
技术证明TCB的形式化高层规约(FTLS)与模型是一
致的
通过非形式化的方法证明TCB的实现(硬件、固件、
软件)与形式化的高层规约(FTLS)是一致的。应证
明FTLS的元素与TCB的元素是一致的,FTLS应表达
用于满足安全策略的一致的保护机制,这些保护机制
的元素应映射到TCB的要素
34
TCSEC
应使用形式化的方法标识并分析隐蔽信道,非形式化
的方法可以用来标识时间隐蔽信道,必须对系统中存
在的隐蔽信道进行解释
35
TCSEC
A1级系统:
• 要求更严格的配置管理
• 要求建立系统安全分发的程序
• 支持系统安全管理员的职能
36
TCSEC
A类分为两个类别:
验证设计级(A1级)
超A1级
37
TCSEC
• 超A1级在A1级基础上增加的许多安全措施超出了目前
的技术发展
• 随着更多、更好的分析技术的出现,本级系统的要求
才会变的更加明确
• 今后,形式化的验证方法将应用到源码一级,并且时
间隐蔽信道将得到全面的分析
38
TCSEC
• 在这一级,设计环境将变的更重要
• 形式化高层规约的分析将对测试提供帮助
• TCB开发中使用的工具的正确性及TCB运行的软硬件
功能的正确性将得到更多的关注
39
TCSEC
超A1级系统涉及的范围包括:
系统体系结构
安全测试
形式化规约与验证
可信设计环境等
40
标准介绍
•
•
•
•
•
•
•
信息技术安全评估准则发展过程
可信计算机系统评估准则(TCSEC)
可信网络解释 (TNI)
通用准则CC
《计算机信息系统安全保护等级划分准则》
信息安全保证技术框架
《信息系统安全保护等级应用指南》
41
可信网络解释(TNI)
• 美国国防部计算机安全评估中心在完成TCSEC的基础
上,又组织了专门的研究镞对可信网络安全评估进行
研究,并于1987年发布了以TCSEC为基础的可信网络
解释,即TNI。
• TNI包括两个部分(Part I和Part II)及三个附录
(APPENDIX A、B、C)
42
可信网络解释(TNI)
• TNI第一部分提供了在网络系统作为一个单一系统进行
评估时TCSEC中各个等级(从D到A类)的解释
• 与单机系统不同的是,网络系统的可信计算基称为网
络可信计算基(NTCB)
43
可信网络解释(TNI)
• 第二部分以附加安全服务的形式提出了在网络互联时出
现的一些附加要求
• 这些要求主要是针对完整性、可用性和保密性的
44
可信网络解释(TNI)
第二部分的评估是定性的,针对一个服务进行评估的结
果一般分为为:
none
minimum
fair
good
45
可信网络解释(TNI)
第二部分中关于每个服务的说明一般包括:
一种相对简短的陈述
相关的功能性的讨论
相关机制强度的讨论
相关保证的讨论
46
可信网络解释(TNI)
• 功能性是指一个安全服务的目标和实现方法,它包括特
性、机制及实现
• 机制的强度是指一种方法实现其目标的程度
• 有些情况下,参数的选择会对机制的强度带来很大的影
响
47
可信网络解释(TNI)
• 保证是指相信一个功能会实现的基础
• 保证一般依靠对理论、测试、软件工程等相关内容的分
析
• 分析可以是形式化或非形式化的,也可以是理论的或应
用的
48
可信网络解释(TNI)
第二部分中列出的安全服务有:
通信完整性
拒绝服务
机密性
49
可信网络解释(TNI)
通信完整性主要涉及以下3方面:
鉴别:网络中应能够抵抗欺骗和重放攻击
通信字段完整性:保护通信中的字段免受非授权的
修改
抗抵赖:提供数据发送、接受的证据
50
可信网络解释(TNI)
• 当网络处理能力下降到一个规定的界限以下或远程实
体无法访问时,即发生了拒绝服务
• 所有由网络提供的服务都应考虑拒绝服务的情况
• 网络管理者应决定网络拒绝服务需求
51
可信网络解释(TNI)
解决拒绝服务的方法有:
操作连续性
基于协议的拒绝服务保护
网络管理
52
可信网络解释(TNI)
• 机密性是一系列安全服务的总称
• 这些服务都是关于通过计算机通信网络在实体间传输
信息的安全和保密的
• 具体又分3种情况:
数据保密
通信流保密
选择路由
53
可信网络解释(TNI)
数据保密:
数据保密性服务保护数据不被未授权地泄露
数据保密性主要受搭线窃听的威胁
被动的攻击包括对线路上传输的信息的观测
54
可信网络解释(TNI)
通信流保密:
针对通信流分析攻击而言,通信流分析攻击分析消息
的长度、频率及协议的内容(如地址)
并以此推出消息的内容
55
可信网络解释(TNI)
选择路由:
路由选择控制是在路由选择过程中应用规则,以便具体
的选取或回避某些网络、链路或中继
路由能动态的或预定地选取,以便只使用物理上安全的
子网络、链路或中继
在检测到持续的操作攻击时,端系统可希望指示网络服
务的提供者经不同的路由建立连接
带有某些安全标记的数据可能被策略禁止通过某些子网
络、链路或中继
56
可信网络解释(TNI)
• TNI第二部分的评估更多地表现出定性和主观的特点,
同第一部分相比表现出更多的变化
• 第二部分的评估是关于被评估系统能力和它们对特定应
用环境的适合性的非常有价值的信息
• 第二部分中所列举的安全服务是网络环境下有代表性的
安全服务
• 在不同的环境下,并非所有的服务都同等重要,同一服
务在不同环境下的重要性也不一定一样
57
可信网络解释(TNI)
• TNI的附录A是第一部分的扩展,主要是关于网络中组
件及组件组合的评估
• 附录A把TCSEC为A1级系统定义的安全相关的策略分为
四个相对独立的种类,他们分别支持强制访问控制
(MAC),自主访问控制(DAC),身份鉴别(IA),
审计(AUDIT)
58
可信网络解释(TNI)
组成部分的类型
最小级别
最大级别
M
D
I
A
DI
DA
IA
IAD
MD
MA
MI
MDA
MDI
MIA
MIAD
B1
C1
C1
C2
C1
C2
C2
C2
B1
B1
B1
B1
B1
B1
B1
A1
C2+
C2
C2+
C2+
C2+
C2+
C2+
A1
A1
A1
A1
A1
A1
A1
59
可信网络解释(TNI)
• 附录B给出了根据TCSEC对网络组件进行评估的基本
原理
• 附录C则给出了几个AIS互联时的认证指南及互联中可
能遇到的问题
60
可信网络解释(TNI)
TNI中关于网络有两种概念:
一是单一可信系统的概念(single trusted system)
另一个是互联信息系统的概念(interconnected AIS)
这两个概念并不互相排斥
61
可信网络解释(TNI)
• 在单一可信系统中,网络具有包括各个安全相关部分
的单一TCB,称为NTCB(network trusted computing
base)
• NTCB作为一个整体满足系统的安全体系设计
62
可信网络解释(TNI)
在互联信息系统中
各个子系统可能具有不同的安全策略
具有不同的信任等级
并且可以分别进行评估
各个子系统甚至可能是异构的
63
可信网络解释(TNI)
• 安全策略的实施一般控制在各个子系统内,在附录C中
给出了各个子系统安全地互联的指南,在互联时要控制
局部风险的扩散,排除整个系统中的级联问题(cascade
problem)
• 限制局部风险的扩散的方法:单向连接、传输的手工检
测、加密、隔离或其他措施。
64
标准介绍
•
•
•
•
•
•
•
信息技术安全评估准则发展过程
可信计算机系统评估准则(TCSEC)
可信网络解释 (TNI)
通用准则CC
《计算机信息系统安全保护等级划分准则》
信息安全保证技术框架
《信息系统安全保护等级应用指南》
65
通用准则CC
CC的范围 :
CC适用于硬件、固件和软件实现的信息技术安全措施
而某些内容因涉及特殊专业技术或仅是信息技术安全
的外围技术不在CC的范围内
66
通用准则CC
评估上下文
评估准则
(通用准则)
评估方法学
评估方案
评估
最终评估
结果
批准/证明
证书表/
(注册)
67
通用准则CC
• 使用通用评估方法学可以提供结果的可重复性和客观
性
• 许多评估准则需要使用专家判断和一定的背景知识
• 为了增强评估结果的一致性,最终的评估结果应提交
给一个认证过程,该过程是一个针对评估结果的独立
的检查过程,并生成最终的证书或正式批文
68
通用准则CC
CC包括三个部分:
第一部分:简介和一般模型
第二部分:安全功能要求
第三部分:安全保证要求
69
通用准则CC
安全保证要求部分提出了七个评估保证级别(Evaluation
Assurance Levels:EALs)分别是:
EAL1:功能测试
EAL2:结构测试
EAL3:系统测试和检查
EAL4:系统设计、测试和复查
EAL5:半形式化设计和测试
EAL6:半形式化验证的设计和测试
EAL7:形式化验证的设计和测试
70
通用准则CC
• CC的一般模型
一般安全上下文
TOE评估
CC安全概念
71
通用准则CC
• 安全就是保护资产不受威胁,威胁可依据滥用被保护
资产的可能性进行分类
• 所有的威胁类型都应该被考虑到
• 在安全领域内,被高度重视的威胁是和人们的恶意攻
击及其它人类活动相联系的
72
通用准则CC
安全
概念
和关
系
价值
所有者
希望最小化
利用
减少
对策
可能拥有
可能被减少
可能意识到
威胁者
弱点
导致
风险
利用
到
引起
增加
图 4.1 安全概念和关系
威胁
希望滥用和破坏
到
资产
73
通用准则CC
• 安全性损坏一般包括但又不仅仅包括以下几项
资产破坏性地暴露于未授权的接收者(失去保密性)
资产由于未授权的更改而损坏(失去完整性)
或资产访问权被未授权的丧失(失去可用性)
74
通用准则CC
• 资产所有者必须分析可能的威胁并确定哪些存在于他
们的环境,其后果就是风险
• 对策用以(直接或间接地)减少脆弱性并满足资产所
有者的安全策略
• 在将资产暴露于特定威胁之前,所有者需要确信其对
策足以应付面临的威胁
75
通用准则CC
评
估
概
念
和
关
系
保证技术
评估
产生
保证
所有者
需要
给出证据
提供
信心
源于
对策
最小化
风险
针对
资产
76
通用准则CC
评估准则
TOE
评
估
过
程
安全需求
(PP与ST)
开发TOE
评估方法
TOE和评估
评估TOE
评估方案
评估结果
操作TOE
反馈
77
通用准则CC
TOE评估过程的主要输入有:
一系列TOE证据,包括评估过的ST作为TOE评估的基础
需要评估的TOE
评估准则、方法和方案
另外,说明性材料(例如CC的使用说明书)和评估者及评估
组织的IT安全专业知识也常用来作为评估过程的输入
78
通用准则CC
• 评估过程通过两种途径产生更好的安全产品
评估过程能发现开发者可以纠正的TOE错误或弱点,从而在
减少将来操作中安全失效的可能性
另一方面,为了通过严格的评估,开发者在TOE设计和开发
时也将更加细心
• 因此,评估过程对最初需求、开发过程、最终产品以及操作环境
将产生强烈的积极影响
79
通用准则CC
• 只有在IT环境中考虑IT组件保护资产的能力时,CC才
是可用的
• 为了表明资产是安全的,安全考虑必须出现在所有层
次的表述中,包括从最抽象到最终的IT实现
• CC要求在某层次上的表述包含在该层次上TOE描述的
基本原理
80
通用准则CC
• CC安全概念包括:
安全环境
安全目的
IT安全要求
TOE概要规范
81
通用准则CC
• 安全环境包括所有相关的法规、组织性安全策略、习
惯、专门技术和知识
• 它定义了TOE使用的上下文,安全环境也包括环境里
出现的安全威胁
82
通用准则CC
为建立安全环境,必须考虑以下几点:
TOE物理环境,指所有的与TOE安全相关的TOE运行
环境,包括已知的物理和人事的安全安排
需要根据安全策略由TOE的元素实施保护的资产。包
括可直接相关的资产(如文件和数据库)和间接受安
全要求支配的资产(如授权凭证和IT实现本身)
TOE目的,说明产品类型和可能的TOE用途
83
通用准则CC
• 安全环境的分析结果被用来阐明对抗已标识的威胁、
说明组织性安全策略和假设的安全目的
• 安全目的和已说明的TOE运行目标或产品目标以及有
关的物理环境知识一致
• 确定安全目的的意图是为了阐明所有的安全考虑并指
出哪些安全方面的问题是直接由TOE还是由它的环境
来处理
• 环境安全目的将在IT领域内用非技术上的或程序化的
手段来实现
84
通用准则CC
• IT安全要求是将安全目的细化为一系列TOE及其环境
的安全要求,一旦这些要求得到满足,就可以保证
TOE达到它的安全目的
• IT安全需求只涉及TOE安全目的和它的IT环境
85
通用准则CC
• ST中提供的TOE概要规范定义TOE安全要求的实现方
法
• 它提供了分别满足功能需求和保证需求的安全功能和
保证措施的高层定义
86
通用准则CC
• CC定义了一系列与已知有效的安全要求集合相结合的
概念,该概念可被用来为预期的产品和系统建立安全
需求
• CC安全要求以类—族—组件这种层次方式组织,以帮助
用户定位特定的安全要求
• 对功能和保证方面的要求,CC使用相同的风格、组织
方式和术语。
87
通用准则CC
要
求
的
组
织
和
结
构
88
通用准则CC
CC中安全要求的描述方法:
类:类用作最通用安全要求的组合,类的所有的成员
关注共同的安全焦点,但覆盖不同的安全目的
族:类的成员被称为族。族是若干组安全要求的组合,
这些要求有共同的安全目的,但在侧重点和严格性上
有所区别
组件:族的成员被称为组件。组件描述一组特定的安
全要求集,它是CC定义的结构中所包含的最小的可选
安全要求集
89
通用准则CC
• 组件由单个元素组成,元素是安全需求最低层次的表
达,并且是能被评估验证的不可分割的安全要求
• 族内具有相同目标的组件可以以安全要求强度(或能
力)逐步增加的顺序排列,也可以部分地按相关非层
次集合的方式组织
90
通用准则CC
• 组件间可能存在依赖关系
• 依赖关系可以存在于功能组件之间、保证组件之间以
及功能和保证组件之间
• 组件间依赖关系描述是CC组件定义的一部分
91
通用准则CC
• 可以通过使用组件允许的操作,对组件进行裁剪
• 每一个CC组件标识并定义组件允许的“赋值”和“选
择”操作、在哪些情况下可对组件使用这些操作,以及
使用这些操作的后果
• 任何一个组件均允许“反复”和“细化”操作
92
通用准则CC
这四个操作如下所述:
反复:在不同操作时,允许组件多次使用
赋值:当组件被应用时,允许规定所赋予的参数
选择:允许从组件给出的列表中选定若干项
细化:当组件被应用时,允许对组件增加细节
93
通用准则CC
CC中安全需求的描述方法:
包:组件的中间组合被称为包
保护轮廓(PP): PP是关于一系列满足一个安全目标集
的TOE的、与实现无关的描述
安全目标(ST): ST是针对特定TOE安全要求的描述,
通过评估可以证明这些安全要求对满足指定目的是有
用和有效的
94
通用准则CC
• 包允许对功能或保证需求集合的描述,这个集合能够
满足一个安全目标的可标识子集
• 包可重复使用,可用来定义那些公认有用的、能够有
效满足特定安全目标的要求
• 包可用在构造更大的包、PP和ST中
95
通用准则CC
• PP包含一套来自CC(或明确阐述)的安全要求,它应
包括一个评估保证级别(EAL)
• PP可反复使用,还可用来定义那些公认有用的、能够
有效满足特定安全目标的TOE要求
• PP包括安全目的和安全要求的基本原理
• PP的开发者可以是用户团体、IT产品开发者或其它对
定义这样一系列通用要求有兴趣的团体
96
通用准则CC
保护轮廓
保护轮
廓PP
描述
结构
PP引言
PP标识
PP 概述
TOE描述
假设
TOE安全环境
威胁
组织性安全策略
安全目的
TOE安全目的
环境安全目的
IT安全要求
PP应用注解
基本原理
TOE安全要求
IT环境安全要求
TOE安全功能要求
TOE 安全保证要求
安全目的基本原理
安全要求基本原理
97
通用准则CC
• 安全目标(ST)包括一系列安全要求,这些要求可以引
用PP,也可以直接引用CC中的功能或保证组件,或明
确说明
• 一个ST包含TOE的概要规范,安全要求和目的,以及
它们的基本原理
• ST是所有团体间就TOE应提供什么样的安全性达成一
致的基础
98
通用准则CC
安全目标
安全
目
标
描
述
结
构
ST引言
ST标识
ST概述
CC一致性性声明
TOE描述
假设
TOE安全环境
威胁
组织性安全策略
安全目的
TOE 安全目的
环境安全目的
IT安全要求
TOE安全要求
IT环境安全要求
TOE概要规范
PP声明
基本原理
TOE安全功能要求
TOE 安全保证要求
TOE安全功能
保证措施
PP声明
PP裁减
PP附加项
安全目的基本原理
安全要求基本原理
99
通用准则CC
CC框架下的评估类型
PP评估
ST评估
TOE评估
100
通用准则CC
• PP评估是依照CC第3部分的PP评估准则进行的。
• 评估的目标是为了证明PP是完备的、一致的、技术合
理的,而且适合于作为一个可评估TOE的安全要求的声
明
101
通用准则CC
• 针对TOE的ST评估是依照CC第3部分的ST评估准则进
行的
• ST评估具有双重目标:
首先是为了证明ST是完备的、一致的、技术合理的,而且适
合于用作相应TOE评估的基础
其次,当某一ST宣称与某一PP一致时,证明ST满足该PP的要
求
102
通用准则CC
• TOE评估是使用一个已经评估过的ST作为基础,依照
CC第3部分的评估准则进行的
• 评估的目标是为了证明TOE满足ST中的安全要求
103
通用准则CC
三种评估的关系
评估PP
PP评估结果
评估ST
ST评估结果
评估TOE
PP分类
TOE评估结果
证书分类
已评估过的TOE
104
通用准则CC
• CC的第二部分是安全功能要求,对满足安全需求的诸安
全功能提出了详细的要求
• 另外,如果有超出第二部分的安全功能要求,开发者可
以根据“类-族-组件-元素”的描述结构表达其安全要求,
并附加在其ST中
105
通用准则CC
CC共包含的11个安全功能类,如下:
FAU类:安全审计
FCO类:通信
FCS类:密码支持
FDP类:用户数据保护
FIA类:标识与鉴别
FMT类:安全管理
FPR类:隐秘
FPT类:TFS保护
FAU类:资源利用
FTA类:TOE访问
FTP类:可信信道/路径
106
通用准则CC
• CC的第三部分是评估方法部分,提出了PP、ST、
TOE三种评估,共包括10个类,但其中的APE类与
ASE类分别介绍了PP与ST的描述结构及评估准则
• 维护类提出了保证评估过的受测系统或产品运行于所
获得的安全级别上的要求
• 只有七个安全保证类是TOE的评估类别
107
通用准则CC
七个安全保证类
ACM类:配置管理
ADO类:分发与操作
ADV类:开发
AGD类:指导性文档
ALC类:生命周期支持
ATE类:测试
AVA类:脆弱性评定
108
通用准则CC
• 1998年1月,经过两年的密切协商,来自美国、加拿大、
法国、德国以及英国的政府组织签订了历史性的安全
评估互认协议:IT安全领域内CC认可协议
• 根据该协议,在协议签署国范围内,在某个国家进行
的基于CC的安全评估将在其他国家内得到承认
• 截止2003年3月,加入该协议的国家共有十五个:澳大
利亚、新西兰、加拿大、芬兰、法国、德国、希腊、
以色列、意大利、荷兰、挪威、西班牙、瑞典、英国
及美国
109
通用准则CC
该协议的参与者在这个领域内有共同的目的即:
确保IT产品及保护轮廓的评估遵循一致的标准,为这些产品
及保护轮廓的安全提供足够的信心。
在国际范围内提高那些经过评估的、安全增强的IT产品及保
护轮廓的可用性。
消除IT产品及保护轮廓的重复评估,改进安全评估的效率及
成本效果,改进IT产品及保护轮廓的证明/确认过程
110
通用准则CC
• 美国NSA内部的可信产品评估计划(TPEP)以及可信技术评价计
划(TTAP)最初根据TCSEC进行产品的评估,但从1999年2月1
日起,这些计划将不再接收基于TCSEC的新的评估。此后这些计
划接受的任何新的产品都必须根据CC的要求进行评估。到2001年
底,所有已经经过TCSEC评估的产品,其评估结果或者过时,或
者转换为CC评估等级。
• NSA已经将TCSEC对操作系统的C2和B1级要求转换为基于CC的
要求(或PP), NSA正在将TCSEC的B2和B3级要求转换成基于
CC的保护轮廓,但对TCSEC中的A1级要求不作转换。
• TCSEC的可信网络解释(TNI)在使用范围上受到了限制,已经
不能广泛适用于目前的网络技术,因此,NSA目前不计划提交与
TNI相应的PP
111
通用准则CC
CC
TCSEC
ITSEC
-
D
E0
EAL1
-
-
EAL2
C1
E1
EAL3
C2
E2
EAL4
B1
E3
EAL5
B2
E4
EAL6
B3
E5
EAL7
A1
E6
112
标准介绍
•
•
•
•
•
•
•
信息技术安全评估准则发展过程
可信计算机系统评估准则(TCSEC)
可信网络解释 (TNI)
通用准则CC
《计算机信息系统安全保护等级划分准则》
信息安全保证技术框架
《信息系统安全保护等级应用指南》
113
系统安全保护等级划分准则
• 我国政府及各行各业在进行大量的信息系统的建设,
并且已经成为国家的重要基础设施
• 计算机犯罪、黑客攻击、有害病毒等问题的出现对社
会稳定、国家安全造成了极大的危害,信息安全的重
要性日益突出
• 信息系统安全问题已经被提到关系国家安全和国家主
权的战略性高度
114
系统安全保护等级划分准则
• 大多数信息系统缺少有效的安全技术防范措施,安全
性非常脆弱
• 我国的信息系统安全专用产品市场一直被外国产品占
据,增加了新的安全隐患
• 因此,尽快建立能适应和保障我国信息产业健康发展
的国家信息系统安全等级保护制度已迫在眉睫
115
系统安全保护等级划分准则
• 为了从整体上形成多级信息系统安全保护体系
• 为了提高国家信息系统安全保护能力
• 为从根本上解决信息社会国家易受攻击的脆弱性和有
效预防计算机犯罪等问题
• 《中华人民共和国计算机信息系统安全保护条例》第
九条明确规定,计算机信息系统实行安全等级保护
116
系统安全保护等级划分准则
• 为切实加强重要领域信息系统安全的规范化建设和管
理
• 全面提高国家信息系统安全保护的整体水平
• 使公安机关公共信息网络安全监察工作更加科学、规
范,指导工作更具体、明确
117
系统安全保护等级划分准则
• 公安部组织制订了《计算机信息系统安全保护等级划
分准则》国家标准
• 于1999年9月13日由国家质量技术监督局审查通过并正
式批准发布
• 于 2001年1月1日执行
118
系统安全保护等级划分准则
• 该准则的发布为计算机信息系统安全法规和配套标准
的制定和执法部门的监督检查提供了依据
• 为安全产品的研制提供了技术支持
• 为安全系统的建设和管理提供了技术指导是我国计算
机信息系统安全保护等级工作的基础
119
系统安全保护等级划分准则
•
•
•
•
•
GA 388-2002 《计算机信息系统安全等级保护操作系
统技术要求》
GA 391-2002 《计算机信息系统安全等级保护管理
要求》
GA/T 387-2002《计算机信息系统安全等级保护网络
技术要求》
GA/T 389-2002《计算机信息系统安全等级保护数据
库管理系统技术要求》
GA/T 390-2002《计算机信息系统安全等级保护通用
技术要求》
120
系统安全保护等级划分准则
《准则》规定了计算机系统安全保护能力的五个等级,即:
第一级:用户自主保护级
第二级:系统审计保护级
第三级:安全标记保护级
第四级:结构化保护级
第五级:访问验证保护级
121
系统安全保护等级划分准则
用户自主保护级:
• 计算机信息系统可信计算基通过隔离用户与数据,使
用户具备自主安全保护的能力。
• 它具有多种形式的控制能力,对用户实施访问控制,
即为用户提供可行的手段,保护用户和用户组信息,
避免其他用户对数据的非法读写与破坏
122
系统安全保护等级划分准则
系统审计保护级:
• 与用户自主保护级相比,计算机信息系统可信计算基
实施了粒度更细的自主访问控制
• 它通过登录规程、审计安全性相关事件和隔离资源,
使用户对自己的行为负责
123
系统安全保护等级划分准则
安全标记保护级:
• 计算机信息系统可信计算基具有系统审计保护级所有
功能
• 此外,还提供有关安全策略模型、数据标记以及主体
对客体强制访问控制的非形式化描述
• 具有准确地标记输出信息的能力
• 消除通过测试发现的任何错误
124
系统安全保护等级划分准则
结构化保护级:
• 计算机信息系统可信计算基建立于一个明确定义的形
式化安全策略模型之上
• 要求将第三级系统中的自主和强制访问控制扩展到所
有主体与客体
• 此外,还要考虑隐蔽通道
• 计算机信息系统可信计算基必须结构化为关键保护元
素和非关键保护元素
125
系统安全保护等级划分准则
• 计算机信息系统可信计算基的接口也必须明确定义,
使其设计与实现能经受更充分的测试和更完整的复审
• 加强了鉴别机制
• 支持系统管理员和操作员的职能
• 提供可信设施管理
• 增强了配置管理控制
• 系统具有相当的抗渗透能力
126
系统安全保护等级划分准则
访问验证保护级
• 计算机信息系统可信计算基满足访问监控器需求
• 访问监控器仲裁主体对客体的全部访问
• 访问监控器本身是抗篡改的;必须足够小,能够分析
和测试
127
系统安全保护等级划分准则
访问验证保护级
• 支持安全管理员职能
• 扩充审计机制,当发生与安全相关的事件时发出信号
• 提供系统恢复机制
• 系统具有很高的抗渗透能力
128
标准介绍
•
•
•
•
•
•
•
信息技术安全评估准则发展过程
可信计算机系统评估准则(TCSEC)
可信网络解释 (TNI)
通用准则CC
《计算机信息系统安全保护等级划分准则》
信息安全保证技术框架
《信息系统安全保护等级应用指南》
129
信息安全保证技术框架(IATF)
• 信息保证技术框架(Information Assurance Technical
Framework:IATF)为保护政府、企业信息及信息基
础设施提供了技术指南
• IATF对信息保证技术四个领域的划分同样适用于信息
系统的安全评估,它给出了一种实现系统安全要素和
安全服务的层次结构
130
信息安全保证技术框架(IATF)
131
信息安全保证技术框架(IATF)
• 信息安全保证技术框架将计算机信息系统分4个部分:
本地计算环境
区域边界
网络和基础设施
支撑基础设施
132
信息安全保证技术框架(IATF)
• 本地计算环境一般包括
服务器
客户端及其上面的应用(如打印服务、目录服务等)
操作系统
数据库
基于主机的监控组件(病毒检测、入侵检测)
133
信息安全保证技术框架(IATF)
• 信息安全保证技术框架将计算机信息系统分4个部分:
本地计算环境
区域边界
网络和基础设施
支撑基础设施
134
信息安全保证技术框架(IATF)
• 区域是指在单一安全策略管理下、通过网络连接起来
的计算设备的集合
• 区域边界是区域与外部网络发生信息交换的部分
• 区域边界确保进入的信息不会影响区域内资源的安全,
而离开的信息是经过合法授权的
135
信息安全保证技术框架(IATF)
• 区域边界上有效的控制措施包括
防火墙
门卫系统
VPN
标识和鉴别
访问控制等
• 有效的监督措施包括
基于网络的入侵检测系统(IDS)
脆弱性扫描器
局域网上的病毒检测器等
136
信息安全保证技术框架(IATF)
• 边界的主要作用是防止外来攻击
• 它也可以来对付某些恶意的内部人员
这些内部人员有可能利用边界环境来发起攻击
通过开放后门/隐蔽通道来为外部攻击提供方便
137
信息安全保证技术框架(IATF)
• 信息安全保证技术框架将计算机信息系统分4个部分:
本地计算环境
区域边界
网络和基础设施
支撑基础设施
138
信息安全保证技术框架(IATF)
• 网络和基础设施在区域之间提供连接,包括
局域网(LAN)
校园网(CAN)
城域网(MAN)
广域网等
• 其中包括在网络节点间(如路由器和交换机)传递信
息的传输部件(如:卫星,微波,光纤等),以及其
他重要的网络基础设施组件如网络管理组件、域名服
务器及目录服务组件等
139
信息安全保证技术框架(IATF)
• 对网络和基础设施的安全要求主要是
鉴别
访问控制
机密性
完整性
抗抵赖性
可用性
140
信息安全保证技术框架(IATF)
• 信息安全保证技术框架将计算机信息系统分4个部分:
本地计算环境
区域边界
网络和基础设施
支撑基础设施
141
信息安全保证技术框架(IATF)
• 支撑基础设施提供了一个IA机制在网络、区域及计算
环境内进行安全管理、提供安全服务所使用的基础
• 主要为以下内容提供安全服务:
终端用户工作站
web服务
应用
文件
DNS服务
目录服务等
142
信息安全保证技术框架(IATF)
• IATF中涉及到两个方面的支撑基础设施:
KMI/PKI
检测响应基础设施
• KMI/PKI提供了一个公钥证书及传统对称密钥的产生、
分发及管理的统一过程
• 检测及响应基础设施提供对入侵的快速检测和响应,
包括入侵检测、监控软件、CERT等
143
信息安全保证技术框架(IATF)
• 深度保卫战略在信息保证技术框架(IATF)下提出
保卫网络和基础设施
保卫边界
保卫计算环境
支持基础设施
144
信息安全保证技术框架(IATF)
• 其中使用多层信息保证(IA)技术来保证信息的安全
• 意味着通过对关键部位提供适当层次的保护就可以为
组织提供有效的保护
• 这种分层的策略允许在恰当的部位存在低保证级别的
应用,而在关键部位如网络边界部分采用高保证级别
的应用
145
信息安全保证技术框架(IATF)
• 区域边界保护内部的计算环境,控制外部用户的非授
权访问,同时控制内部恶意用户从区域内发起攻击
• 根据所要保护信息资源的敏感级别以及潜在的内外威
胁,可将边界分为不同的层次
146
信息安全保证技术框架(IATF)
在对信息系统进行安全评估时:
• 可以依据这种多层的深度保卫战略对系统的构成进行
合理分析
• 根据系统所面临的各种威胁及实际安全需求
• 分别对计算环境、区域边界、网络和基础设施、支撑
基础设施进行安全评估
• 对系统的安全保护等级作出恰当的评估
147
信息安全保证技术框架(IATF)
• 在网络上,有三种不同的通信流:
用户通信流
控制通信流
管理通信流
• 信息系统应保证局域内这些通信流的安全
• 直接假设KMI/PKI等支撑基础设施的实施过程是安全
的
148
标准介绍
•
•
•
•
•
•
•
信息技术安全评估准则发展过程
可信计算机系统评估准则(TCSEC)
可信网络解释 (TNI)
通用准则CC
《计算机信息系统安全保护等级划分准则》
信息安全保证技术框架
《信息系统安全保护等级应用指南》
149
应用指南(通用部分)
• 前三部分主要介绍了该准则的应用范围、规范性引用
文件以及一些术语的定义。
• 应用指南详细说明了为实现《准则》所提出的安全要
求应采取的具体安全策略和安全机制,以及为确保实
现这些安全策略和安全机制的安全功能达到其应具有
的安全性而采取的保证措施
150
应用指南(通用部分)
第四部分是总体结构与说明,给出了《准则》应用指南
(技术要求)的总体结构,并对有关内容作一般性说
明 。包括安全要求与目标、组成与结构和一般说明。
151
应用指南(通用部分)
安全要求与目标 :无论是安全保护框架的描述,还是安全目标的
设计,都要从安全功能的完备性、一致性和有效性等方面进行考
虑。
完备性:安全保护框架(PP)不应有安全漏洞
一致性:安全保护框架(PP)中的安全功能应该平滑一致
有效性:安全保护框架(PP)中的安全功能应该是有效的
152
应用指南(通用部分)
• 应用指南在对安全功能和安全保证进行详细说明以后,
对《准则》各个安全等级的不同要求分别进行详细描
述
• 安全功能主要说明一个计算机信息系统所实现的安全
策略和安全机制符合《准则》中哪一级的功能要求
• 安全保证则是通过一定的方法保证计算机信息系统所
提供的安全功能确实达到了确定的功能要求和强度
153
应用指南(通用部分)
• 安全功能要求从物理安全、运行安全和信息安全三个
方面对一个安全的计算机信息系统所应提供的与安全
有关的功能进行描述
• 安全保证要求则分别从TCB自身安全、TCB的设计和实
现和TCB安全管理三个方面进行描述
154
应用指南(通用部分)
一般说明部分:对本指南内容、安全等级划分、主体和
客体、TCB、引起信息流动的方式、密码技术、安全
的计算机信息系统开发方法进行了进一步的说明
155
应用指南(通用部分)
• 第五部分是安全功能技术要求说明,为了对计算机信
息系统安全功能的实现进行了完整的描述,这里将实
现这些安全功能所涉及的所有因素做了较为全面的说
明
• 安全功能包括物理安全、运行安全和信息安全
156
应用指南(通用部分)
• 物理安全也称实体安全,是指包括环境设备和记录介
质在内的所有支持信息系统运行的硬件的安全
• 它是一个信息系统安全运行的基础
• 计算机网络信息系统的实体安全包括环境安全、设备
安全和介质安全
157
应用指南(通用部分)
• 运行安全是指在物理安全得到保障的前提下,为确保
计算机信息系统不间断运行而采取的各种检测、监控、
审计、分析、备份及容错等方法和措施
• 当前,保障运行安全的主要技术和机制有:风险分析,
网络安全检测与监控,安全审计,网络防病毒,备份
与故障恢复,以及计算机信息系统应急计划与应急措
施等
158
应用指南(通用部分)
• 信息安全是指在计算机信息系统运行安全得到保证的
前提下,对在计算机信息系统中存储、传输和处理的
信息进行有效的保护,使其不因人为的或自然的原因
被泄露、篡改和破坏
• 当前常用的信息保护技术有:进入系统用户的标识和
鉴别、信息交换的安全鉴别、隐秘、自主访问控制、
标记与强制访问控制、数据保密性保护、数据完整性
保护、剩余信息保护及密码支持等
159
应用指南(通用部分)
• 第六部分是安全保证技术要求说明
• 为了确保所要求的安全功能达到所确定的安全目标,
必须从以下方面保证安全功能从设计、实现到运行管
理等各个环节严格按照所规定的要求进行 :
TCB自身安全保护
TCB设计和实现
TCB安全管理
160
应用指南(通用部分)
• TCB自身安全保护是指,一方面提供与TSF机制的完整
性和管理有关的保护,另一方面提供与TSF数据的完整
性有关的保护
• TCB自身安全保护可能采用与对用户数据安全保护相
同的安全策略和机制,但其所要实现的目标是不同的。
• 前者是为了自身更健壮,从而使其所提供的安全功能
更有保证;后者则是为了实现其直接所提供的安全功
能
161
应用指南(通用部分)
• TCB自身安全保护的内容主要包括:
根本的抽象机测试、失败保护、输出TSF数据的可用性、
输出TSF数据的保密性、输出TSF数据的完整性、TCB
内TSF数据传输、物理安全保护、可信恢复、重放检测、
参照仲裁、域分离、状态同步协议、时间戳、TSF间的
TSF数据的一致性、TCB内TSF数据复制的一致性、
TSF自检、资源利用、TCB访问控制、可信路径
162
应用指南(通用部分)
• TCB设计和实现是确保TCB自身安全的重要组成部分
• 本部分从配置管理、分发和操作、开发、指导性文档、
生命周期支持、测试、脆弱性评定等方面对安全保证
的技术要求进行说明
163
应用指南(通用部分)
• TCB安全管理是指与安全技术和策略密切相关的管理,
是安全系统设计的延伸
• 在计算机信息系统中,安全管理是指对与TCB安全相
关方面的管理
• 安全管理一般设置专门的安全管理人员,通过操作专
门的安全界面实现
• 安全管理对不同的管理角色和它们之间的相互作用(如
能力的分离)进行规定
164
应用指南(通用部分)
安全管理包括:
TSF的功能管理
安全属性的管理
TSF数据的管理
安全角色的定义与管理
安全属性的到期和撤消等
165
应用指南(网络部分)
• 应用指南(网络部分)主要从对网络系统的安全等级
进行划分的角度来说明不同安全等级在安全功能方面
的特定技术要求
• 本部分中的安全技术要求,适用于以各种形式连接的
网络环境,无论是构成分布式系统的网络环境,还是
连接计算机系统的局域或广域网环境
166
应用指南(网络部分)
根据ISO/OSI的七层体系结构,网络安全机制在各层的分
布如下:
物理层:数据流加密机制
数据链路层:数据加密机制
网络层:身份认证机制,访问控制机制,数据加密机制,路由控制机制,
一致性检查机制
传输层:身份认证机制,访问控制机制,数据加密机制
会话层:身份认证机制,访问控制机制,数据加密机制,数字签名机制,
交换认证(抗抵赖)机制
表示层:身份认证机制,访问控制机制,数据加密机制,数字签名机制,
交换认证(抗抵赖)机制
应用层:身份认证机制,访问控制机制,数据加密机制,数字签名机制,
交换认证(抗抵赖)机制,业务流分析机制
167
应用指南(网络部分)
• 网络系统安全体系结构是由物理层、链路层、网络层、
会话层、表示层、以及应用层信息系统所组成
• 对于网络信息系统的每个分系统,都可按《计算机信
息系统安全保护等级划分准则》的要求,对其安全性
等级进行划分评估
• 在各层中,安全要素的实现方法会有所不同
• 对于每一个安全要素,将从其所提供的安全功能和安
全保证措施来说明各个等级的差别
168
应用指南(网络部分)
• 一般说明部分包括本指南内容、安全等级划分、主体
和客体、TCB、引起信息流动的方式、密码技术、安
全网络系统实现方法
169
应用指南(网络部分)
• 网络系统安全技术说明部分对各种安全要素的策略、
机制、功能、用户属性定义、安全管理和技术要求等
做了具体的说明
• 主要包括自主访问控制、强制访问控制、标记、标识
和鉴别、客体重用、审计、数据完整性、隐蔽信道分
析、可信路径、可信恢复、通信安全、密码支持
170
应用指南(网络部分)
网络系统安全保护等级划分技术要求部分:
• 针对七层网络体系结构中的每一层,介绍了各个安全
等级的具体要求,以及每个等级中对各个安全要素的
具体要求
• 同时针对每个安全等级,介绍了在网络体系结构每层
的具体要求,以及每层中对各个安全要求的具体要求
171
应用指南(网络部分)
• 第七部分是网络设备可能对应的安全保护等级,主要
介绍了各类网络设备可能对应的安全保护等级
172
参考网址
•
•
•
•
•
www.commoncriteria.org
http://www.autotestco.com/
http://niap.nist.gov/tools/cctool.html
http://csrc.nist.gov/publications/secpubs/rainbow/
http://www.radium.ncsc.mil/tpep/library/fers/tcsec_fers.
html(library of TCSEC final evaluation report)
• http://niap.nist.gov/cc-scheme/iwg-ccpublic/ob_by_number.html (public index to IWG queue)
• www.itsec.gov.uk
• http://oval.mitre.org (open vulnerability assessment
language)
173