信息安全保障体系与认证体系.doc

1. 信息安全测评认证概述测试、评估、认证是三个不同的概念测试/检验：按照规定的程序，为确定给定的产品、材料、设备、生物组织、生理现象、工艺或服务的一种或多种特性的技术操作。评估：对测试/检验产生的数据进行分析，形成结论的技术活动。认证：是指的三方依据规定对产品、服务符合规定要求给予书面保证（证书），用于评价产品质量和企业质量管理水平。认证的依据是标准和测试/检验/评估的结果。1.1 传统的安全测评方法用户测试、厂商自测、商业性测试、政府内部的安全测试和检测、攻击性（分析、对抗性）检测、软件工程质量保证方法。传统测评方的不足：1. 缺乏标准的安全需求规范2. 缺乏通用的安全测评准则3. 缺乏客观的安全测评工具4. 缺乏专业的安全测评人员5. 缺乏公正的第三方测评机制6. 缺乏完善的测评认证体系1.2 认证的分类按认证对象的不同可分为产品质量认证和质量体系认证产品质量认证是依据产品标准和相应技术要求，经认证机构确认并通过颁发认证证书和认证标志来证明某一产品符合相应标准和相应技术要求的活动。质量体系认证是以质量认证标准为依据，参考审核要点进行现场审核，以评价受审核单位的质量体系是否符合质量保证模式标准的活动。1.3 测评认证在信息安全中的作用1. 对信息技术的依赖性越来越强，信息技术自主性越来越弱是全球性的趋势；2. 测评认证是做到心中有数和市场准入控制的重要手段；3. 测评认证是信息安全保障的重要环节；u 信息技术的复杂性与质量问题；u 信息技术的两用性与安全问题。4. 世界各国都将测评认证系统作为国家信息化的重要基础设施，由信息安全主管部门和质量监督部门共同负责管理。1.4 国外信息安全测评认证体系美国由NSA与国家标准局联合实施国家信息安全认证，英、德、法、奥、加、荷等国家也由国家信息安全主管部门联合国家标准主管部门共同管理信息安全认证工作。先后建立起国家信息安全测评认证体系。芬兰、瑞典、西班牙、挪威、意大利、比利时等欧洲国家和日本、韩国等亚洲国家纷纷效仿，积极开展信息安全测评认证工作。国外信息安全测评认证体系由：1）一个测评认证管理协调组织，2）一个测评认证实体，3）多个技术检测机构组成。图1： 信息安全测评认证体系模式信息安全认证管理委员会，由信息安全主管部门和技术监督及标准化主管部门联合组织与管理主要职责包括：1. 确保认证体制满足业界要求，同时保护政府的重要安全利益；2. 制定认证政策；3. 制定评测机构的认可政策；4. 作为仲裁机构，及时解决认证机构不能解决的问题；5. 批准与国外认证机构互认协议。认证机构，正方性质的认证机构，贯彻和实施国家评估与认证体制。经国家认可机构认可，符合ISO GUIDE65的要求。信息技术安全测试实验室：（01） 首要条件，经国家实验室认可机构认可（ISO GUIDE25）（02） 必要条件，经政府认证机构批准，即符合认证体制的要求，比如国内的合法机构，符合该国认证体制的政策和程序规定，同意接受认证机构的技术监督，独立的第三方评估机构等。智能：（01） 依据信息技术安全性评估通用准则（CC）；（02） 采用信息技术安全评估的通用评估方法（CEM）；（03） 对其授权内的开展评估，如不同的评估保证级，不同的评估方法，ASE，APE等。各国负责管理和运行信息安全测评认证体系的机构：美国（NIAP）德国（GISA）法国（SCSSI）澳大利亚（AISEP）1.5 我国信息安全测评认证体系的基本情况1997年初，国务院信息化工作领导小组委托筹建“中国互联网络安全产品测评认证中心”。1998年7月，该中心挂牌运行。1998年10月，国家质量技术监督局授权成立“中国国家信息安全测评认证中心”。1999年2月，该中心挂牌运行。2001年5月，中编办根据党中央，国务院有关领导的指示精神，正式批准成立“中国信息安全产品测评认证中心”，英文简称CHITSEC，为独立的副局级事业单位。图2： 国家信息安全测评认证体系组织结构认证中心的性质：中国信息安全产品测评认证中心是经中央批准成立的，代表国家实施信息安全测评认证的职能机构，依据国家有关产品质量认证和信息安全管理非法律法规，管理和运行国家信息安全测评认证体系。中心的主要职能：1. 对国内外信息安全设备和信息技术实施安全性检验、测试与认证；2. 对国内信息系统和工程进行安全性评估与认证；3. 对提供信息安全服务的单位、人员的资质进行评估与认证；4. 承担国家信息安全技术标准的研究、制定和信息安全培训；5. 与各国相应的测评认证机构进行国际交流与合作。1.6 信息安全测评认证标准1. 通用准则CC（GB/T18336,ISO/IEC15408）；2. 信息系统安全保障通用评估准则；3. 其他标准图3： CC的发展国际上安全标准的发展：国际上与信息安全有关组织与标准：ISO（国际标准化组织）SC27 WG1：信息安全有关的需求、服务、指南；WG2信息安全技术和机制；WG3信息安全评估标准；TC68：信息安全分技术委员会。美国：ANSI：X9，NIST（FIPS），DOD（DoDI）。欧洲：ECMA（欧洲计算机制造商协会）TC36：IT安全；ECBS（银行）和CEN（欧洲银行标准化组织）其他国际组织：IETF（RFC、Internet Draft）；ETSI（电信）（A5-A8、UMTS）；ITU-T（X400）行业：IEEE-1363，PGP，PKCS，GOST（俄罗斯）美国早期的安全测评标准（TCSEC）1970年由美国国防科学委员会提出，1985年公布为国防部标准，后扩展至民用；安全等级从高到低分为A、B、C、D四级，级下再分小类；分级分类主要依据四个准则：u 安全政策u 可控性u 保证能力u 文档欧洲的安全测评标准（ITSEC）功能准则在测定上分F1-F10共10级，1-5级对应TCSEC的D-A，6-10级加上了以下概念：F6:数据和程序的完整性 F7：系统可用性F8:数据通信完整性 F9:：数据通信保密性F10:包括机密性和完整性的网络安全评估准则分为6级E1:测试 E2:配置控制和可控的分配E3:能访问详细设计和源代码 E4：详细的脆弱性分析E5:设计与源代码明显对应 E5:设计与源代码在形式上一致图4： ITSEC与TCSEC的对应关系美国联邦准则（FC）对TCSEC的升级，1992年12月公布引入了“保护轮廓（PP）”这一重要概念每个轮廓都包括功能部分、开发保证部分和评测部分分级方式与TCSEC不同，吸取了ITSEC、CTCPEC中的优点供美国政府用、民用和商用图5： 四种测评准则的比较1.7 国际通用准则CC国际标准化组织统一现有多种准则的努力，1992年开始，1996年出V1.0，1998年出V2.0，1999年5月，成为ISO15408；主要思想和框架取自ITSEC和FC；充分突出“保护轮廓”，将评估过程分为“功能”和“保证”两部分。是目前最全面的评价准则。CC的目标用户消费者：利用评估结果比较不同产品和系统。以保护轮廓的形式表明特定安全要求；开发者：为开发者准备产品或系统评估提供技术支持，通过评估特定安全功能和安全保证来证明产品或系统满足了特定的安全要求；评估者：为评估者提供可重复性和客观性的评估依据，保证独立的安全评估具有可比性。CC的应用范围CC的评估对象（TOE）为具有信息安全功能的产品或系统；不包括属于行政性管理安全措施的评估准则；不包括安全技术物理方面（诸如电磁辐射控制）方面的评估准则；不包括密码算法固有质量评价准则。CC第二部分图6： 安全功能要求的11个类FAU类：安全审计1. 安全审计自动响应2. 安全审计数据产生3. 安全审计分析4. 安全审计查阅5. 安全审计事件选择6. 安全审计事件存储FCO类：通信1. 原发抗抵赖2. 接受抗抵赖FCS类：密码支持1. 密钥管理2. 密码运算1.8 不同于CC的常见安全功能分类ISO7498-2分为：鉴别、访问控制、机密性、完整性和抗抵赖等五种安全服务。IATF中分为：访问控制、机密性、完整性、抗抵赖性和可用性等五种安全服务。1. 标识与鉴别u 登录控制对用户标识对用户鉴别限制重复性登录失败次数保证登录的可信路径（本地或远程）限制在一天中允许访问的时间u 口令字选择控制用户口令字选取（如最小长度、组合，历史）某些口令可由系统生成再分配给用户强制实施口令字生命周期（有效期）u 鉴别数据保护输入口令字是不许回显避免未授权的访问与修改防止重播攻击防止伪造或拷贝防止重用（如，单次使用的口令）提供口令字修改的可信路径u 回话连接挂起在用户停止操作一段时间后挂起根据用户要求挂起在用户停止操作一段时间后终止u 用户账户与属性文件控制对用户账号的生成、删除、激活、或停用定义用户属性文件中所包含的安全属性控制对用户属性文件的修改2. 访问控制u 自觉性访问控制（DAC）安全策略范围验证（主体、客体以及操作）控制主体访问客体的规则验证验证可操作DAC的特权u 对DAC属性的控制改变客体的许可权限ACL对新建客体的缺省保护改变客体的属主改变用户的隶属关系u 强制性访问控制（MAC）安全策略范围验证（主体、客体以及操作）验证控制访问和信息流的规则验证可超越MAC特权隐蔽信道限制u 对MAC属性的控制改变客体标记对新建客体的缺省标记改变用户安全属性在登录是选择回话链接u 导出/导入导入未标记数据通过通信通道/设备导出，不泄露安全属性为打印输出打上标记u 信息标识对信息标识值的限制控制“浮动”标识的规则u 对象重用保护在文件、内存等之中的驻留信息u 基于角色的访问控制（RBAC）政策范围（涉及角色、操作）标识角色强制2人规则u 对RBAC属性的控制改变用户特权/授权改变角色能力定义改变用户角色的指派u 防火墙访问控制主体-客体信息流查阅基于会话连接的查阅3. 审计安全u 审计事件对可审计事件和需要记录信息的说明对需审计事件选择的控制选择需审计事件的基础对单个身份审计u 入侵检测和应对生成报警并对即将发生的安全违规采取应对措施定义用于指示潜在或即将发生的安全违规的那些规则、事件时间序列或系统使用模式u 审计记录保护避免数据丢失（如，审计记录饱和、操作中断）避免未授权的访问或修改u 审计记录分析/查阅提供审计记录分析/查阅工具4. 完整性u 数据完整性对存储数据错误的检测生成并验证校验和、单向Hash，数据摘要等；事务回卷（如，数据库）u 系统完整性篡改检测抗篡改u 数据鉴别数字签名与验证证书生成与验证（如，公钥证书）5. 可用性安全功能验证u 资源耗尽对用户可耗尽全局资源的定量/额进行强制限制限制用同一用户可登录的回话连接数目u 出错处理当万一出现故障时，维持系统的进行（容错）出错检查出错恢复u 调度根据所建立的优先关系，对活动/进程调度6. 机密性安全功能u 基于用户身份的机密性在使用服务或资源时，避免用户身份泄露通过受保护的用户别名，以匿名但可审计的方式使用服务或资源u 基于资源/服务的机密性避免泄露同一用户多次使用了资源和服务的关联系统保证对指定的资源或服务的使用是不是可观察的7. 数据交换安全功能u 数据交换保密性用户数据关键性安全数据（如，密钥，口令字）u 数据交换完整性用户数据关键性安全数据（如，密钥，口令字）u 抗抵赖证明交换信息的发起者证明交换信息的接收者1.9 信息系统安全保障管理原则1.10 信息系统安全保障技术分析模型1.11 信息系统安全保障工程准则生命周期描述相关过程域挖掘安全需求本阶段的目标是帮助用户理解电子政务系统需求，确定安全策略。挖掘安全需求涉及用通用语言描述电子政务信息系统的任务需求及需要的信息安全保障保护策略。系统定义（PSD）评估威胁（PAT）评估脆弱性（PAV）评估影响（PAI）评估安全风险（PAR）确定安全需求（PSN）定义安全保障要求在信息系统安全保证过程中，必须对安全保障要求进行合理定义，以便信息系统概念能够在集成的、一致的系统工程过程中得以开发。提供安全输入（PPI）确定安全保障要求（PSR）设计系统结构设计系统结构涉及从概要规范往下到底层实现不同的抽象级别上对信息系统的体系结构逐步进行细化。识别体系结构（PIS）功能安全规范（PFS）高层安全设计（PHD）详细安全设计详细安全设计，应详细说明信息系统的设计方案，包含生成底层产品规范，或者完成开发中的配置项的设计，或者规定并调整所买的配置项的选择。定义安全安全产品（PDS）安全系统子系统规范（PSE）实施系统安全实施系统安全的目的是构造、购买、集成、验证组成信息保护子系统的配置项集合并使之有效。交付运行（PDO）管理配置（PMC）安全测试（PTE）指导文档（PGD）安全培训（PPK）运行维护（PMP）有效评估有效评估的目的是保证信息系统能够满足用户的安全保障要求，评估活动在系统生命周期内任何时间都可以进行，以支持在已知环境中对开发、维护和运行系统做出决策。验证和证实安全（PVV）独立保证论据（PBA）认证和认可（PCA）2. 信息安全理论2.1 安全模型抽象过程Step1：Identify requirements on the external interface.(input,output,attribute)Step2：Identify internal requirementsStep3：Design rules of operation for policy enforcemnetStep4：Determine what is already known.Step5：D