计算机网络信息安全理论与实践教程第15章

第 15章 网络安全技术相关标准 第 15章 网络安全技术相关标准15.1 安全标准概况 15.2 TCSEC 15.3 GB 17859 15.4 CC标准 15.5 BS7799 15.6 本章小结 本章思考与练习 第 15章 网络安全技术相关标准 15.1 安全标准概况 近年来，我国也制定了系列信息安全方面的标准，主要包括：n 国家标准 GB 17859 1999 计算机信息系统安全保护等级划分准则。n GB/T 18336 2001 信息技术 安全技术 信息技术安全性评估准则。n 国家标准 GB 9361 1988 计算站场地安全要求。n 国家标准 GB 2887 2000 电子计算机场地通用规范。n 国家标准 GB 50174 1993 电子计算机机房设计规范。 第 15章 网络安全技术相关标准 15.2 TCSEC 1 D类 非安全等级 D类只包含一个级别 D级，是安全性最低的级别。该级别说明整个系统都是不可信任的。对硬件来说，没有任何保护作用，操作系统容易受到损害，不提供身份验证和访问控制。例如， MS-DOS操作系统就属于这个级别。 第 15章 网络安全技术相关标准 2 C类 自主安全等级C类为自主保护类 (Discretionary Protection)。 该类的安全特点是系统的文件、目录等客体可由其主体自定义访问权。自主保护类依据安全从低到高又分为 C1、 C2两个安全等级。 第 15章 网络安全技术相关标准 3 B类 强制保护等级B类为强制保护类 (Mandatory Protection)。 该类的安全特点是系统实施强制的安全保护，每个系统客体及主体都有自己的安全标签 (Security Label)， 系统则依据主体和对象的安全标签赋予它对访问对象的存取权限。强制保护类依据安全从低到高分为 B1、 B2、 B3三个安全等级，各级别提供的安全保护特点是：* B1提供标记安全保护 (Labeled Security Protection)。* B2提供结构保护 (Structured Protection)。* B提供安全域保护 (Security Domain)。 第 15章 网络安全技术相关标准 4 A类 验证设计级别A类为验证保护类 (Verify Design)， A类是橘皮书中最高的安全级别，它包含了一个严格的设计、控制和验证过程。 第 15章 网络安全技术相关标准 15.3 GB 17859 1999年 10月 19日，中国国家技术监督局发布了中华人民共和国国家标准计算机信息系统安全保护等级划分准则，简称 GB 17859 1999。 GB 17859 1999基本上是参照美国TCSEC制定的，它将计算机信息系统安全保护能力划分为五个等级，计算机信息系统安全保护能力随着安全保护等级的增大而逐渐增强，其中第五级是最高安全等级。 GB 178591999各级别分别定义如下： 第 15章 网络安全技术相关标准 * 第一级：用户自主保护级。* 第二级：系统审计保护级。* 第三级：安全标记保护级。* 第四级：结构化保护级。* 第五级：访问验证保护级。 第 15章 网络安全技术相关标准 表 15-1 各级别对应的安全功能 第 15章 网络安全技术相关标准 15.3.1 第一级：用户自主保护级本级的计算机信息系统可信计算基通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。具体来说就是：(1) 可信计算基要定义和控制系统中命名用户对命名客体的访问，进行自主存取控制。(2) 具体实施自主存取控制的机制应能控制客体属主、同组用户、其他任何用户对客体的共享以及如何共享。 第 15章 网络安全技术相关标准 (3) 实施自主存取控制机制的敏感信息要确保不被非授权用户读取、修改和破坏。(4) 系统在用户登录时，通过鉴别机制对用户进行鉴别。(5) 鉴别用户的数据信息，要确保不被非授权用户访问、修改和破坏。 第 15章 网络安全技术相关标准 15.3.2 第二级：系统审计保护级与用户自主保护级相比，本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。与第一级 “ 用户自主保护级 ” 相比，增加了以下内容：(1) 自主存取控制的粒度更细，要达到系统中的任意单个用户。 第 15章 网络安全技术相关标准 (2) 审计机制。要审计系统中受保护客体被访问的情况 (包括增加、删除等 )，用户身份鉴别机制的使用，系统管理员、系统安全管理员、操作员对系统的操作，以及其他与系统安全有关的事件。要确保审计日志不被非授权用户访问和破坏。对于每一个审计事件，审计记录包括：事件的时间和日期、事件的用户、事件类型、事件是否成功等。对于身份鉴别事件，审计记录包含请求的来源 (例如终端标识符 )。对于客体引用用户地址空间的事件及客体删除事件，审计记录包含客体名。对于不能由 TCB独立分辨的审计事件，审计机制提供审计记录接口，可由授权主体调用。 第 15章 网络安全技术相关标准 (3) TCB对系统中的所有用户进行惟一标识 (如 id号 )，系统能通过用户标识号确认相应的用户。(4) 客体重用。释放一个客体时，将释放其目前所保存的信息。当它再次分配时，新主体将不能据此获得其原主体的任何信息。 第 15章 网络安全技术相关标准 15.3.3 第三级：安全标记保护级本级的计算机信息系统可信计算基具有系统审计保护级的所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确标记输出信息的能力；消除通过测试发现的任何错误。在第二级 “ 系统审计保护级 ” 的基础上增加了下述安全功能：(1) 强制存取控制机制。 第 15章 网络安全技术相关标准 (2) 在网络环境中，要使用完整性敏感标记确保信息在传送过程中没有受损。(3) 系统要提供有关安全策略模型的非形式化描述。(4) 系统中主体对客体的访问要同时满足强制访问控制检查和自主访问控制检查。(5) 在审计记录包含的内容中，对于客体增加和删除事件要包括客体的安全级别。 第 15章 网络安全技术相关标准 15.3.4 第四级：结构化保护级 (1) 可信计算基建立于一个明确定义的形式化安全策略模型之上。(2) 对系统中的所有主体和客体实行自主访问控制和强制访问控制。(3) 进行隐蔽信道分析。(4) 为用户注册建立可信通路机制。(5) TCB必须结构化为关键保护元素和非关键保护元素。TCB的接口定义必须明确，其设计和实现要能经受更充分的测试和更完整的复审。(6) 支持系统管理员和操作员的职能划分，提供了可信功能管理。 第 15章 网络安全技术相关标准 15.3.5 第五级：访问验证保护级本级的计算机信息系统的可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的，必须足够小，能够分析和测试。为了满足访问监控器的需求，计算机信息系统的可信计算基在构造时就排除了那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最低程度。支持安全管理员职能；扩充了审计机制，当发生与安全相关的事件时发出信号；提供了系统恢复机制。系统具有很高的抗渗透能力。 第 15章 网络安全技术相关标准 15.4 CC标准 15.4.1 CC标准概况中国推荐标准 GB/T 18336-2001 信息技术 安全技术 信息技术安全性评估准则是由中国国家质量技术监督局 2001年发布的信息技术安全性评估准则，它几乎等同采用了国际 CC标准。 第 15章 网络安全技术相关标准 它共分为三个部分：第一部分：简介和一般模型；第二部分：安全功能要求；第三部分：安全保证要求。 第 15章 网络安全技术相关标准 15.4.2 CC的开发目的和应用范围CC开发的目的是使各种安全评估结果具有可比性，在安全性评估过程中为信息系统及其产品的安全功能和保证措施提供一组通用要求，并确定一个可信级别。应用 CC的结果时，可使用户确定信息系统及安全产品对他们的应用来说是否足够安全，使用中的安全风险是否可以容忍。 第 15章 网络安全技术相关标准 要评估的信息系统和产品被称为评估对象 (TOE)， 如操作系统、分布式系统、网络及其应用等。 CC涉及信息的保护，以避免未授权的信息泄露、修改和不可用，与此对应的保护类型称为保密性、完整性和可用性。 CC重点考虑人为的安全威胁，但也可用于非人为因素造成的威胁，还可用于其他的 IT领域。 CC不包括与信息技术安全措施无直接关系的行政性管理安全措施的评估；不包括物理安全方面的评估；不包括评估方法学；也不涉及评估机构的管理模式和法律框架；也不包括密码算法强度等方面的评估。 第 15章 网络安全技术相关标准 15.4.3 CC标准组成CC由三个部分组成，下面分别进行介绍。第一部分：简介和一般模型。它定义了 IT安全评估的通用概念和原理，提出了评估的通用模型。它还提出了一些概念，这些概念可用来表达 IT安全目的，用于选择和定义 IT安全要求，书写系统与产品的高层规范。 第 15章 网络安全技术相关标准 第二部分：安全功能要求。它建立了一系列功能组件，作为表示 TOE功能要求的标准方法。安全功能要求以类、族和组件来表达。这里定义了 CC标准中安全功能要求的内容和形式，并可为需要向 ST中添加新组件的组织提供指南。 CC提出了 11个功能类，包括：安全审计类 (FAU)、 通信类 (FCO)、密码支持类 (FCS)、 用户数据保护类 (FDP)、 标识和鉴别类(FIA)、 安全管理类 (FMT)、 隐秘类 (FPR)、 TSF保护类 (FPT)、资源利用类 (FRU)、 TOE访问类 FTA和可信路径 /通道类 (FTP)。 第 15章 网络安全技术相关标准 第三部分：安全保证要求。 CC提出了 10个保证类，包括：保护轮廓评估准则类 (APE)、 安全目标评估准则类 (ASE)、 配置管理类 (ACM)、 交付和运行类 (ADO)、 开发类 (ADV)、 指导性文件类 (AGD)、 生命周期支持类 (ALC)、 测试类 (ATE)、 脆弱性评定类(AVA)和保证维护类 (AMA)。 根据安全保证的要求程度， CC对 TOE的保证等级定义了 7个逐步增强的评估保证级 (EAL)：* 评估保证级 1(EAL1) 功能测试。 EAL1适用于对正确运行需要一定的信任，但安全威胁不严重的场合。此级别的评估要提供证据表明 TOE的功能与其文档在形式上一致，且对已标识的威胁提供了有效的保护。 第 15章 网络安全技术相关标准 * 评估保证级 2(EAL2) 结构测试。 EAL2在设计和测试时需要与开发者合作，但不需要增加过多的投入，适用于低到中等级别的安全系统。* 评估保证级 3(EAL3) 系统地测试和检查。 EAL3可使一个尽职尽责的开发者在设计阶段就能从正确的安全工程中获得最大程度的保证，而不需要对现有的合理的开发实践作大规模的改变，适用于中等级别的安全系统。 第 15章 网络安全技术相关标准 * 评估保证级 4(EAL4) 系统设计、测试和复查。 EAL4可使开发者从正确的安全工程中获得最大程度的保证，这种安全工程基于良好的商业开发实践，这种实践虽然很严格，但并不需要大量的专业知识、技巧和其他资源。在通常情况下，对一个已存在的系统进行改造时， EAL4是所能达到的最高安全级别。* 评估保证级 5(EAL5) 半形式化设计和测试。 EAL5需要应用适度的专业工程技术来支持。 第 15章 网络安全技术相关标准 * 评估保证级 6(EAL6) 半形式化验证的设计和测试。EAL6可使开发者通过把安全工程技术应用于严格的开发环境，而获得高度的安全保证。它适用于高风险环境下的安全 TOE的开发，这里的受保护的资源值得花费很大的额外开销。* 评估保证级 7(EAL7) 形式化验证的设计和测试。EAL7适用于安全 TOE的开发，该 TOE应用在风险非常高的场合或有高价值资产值得保护的地方。 第 15章 网络安全技术相关标准 15.4.4 CC标准的目标读者CC的目标读者主要包括 TOE用户、 TOE开发者和 TOE评估者，其他读者包括系统管理员和安全管理员、内部和