计算机网络安全标准简介.ppt

第11章计算机网络安全标准简介 重点和难点美国的 可信任的计算机系统评估准则 国际的 通用准则 中国的 计算机信息系统安全保护等级划分准则 掌握国际 通用准则 和我国 计算机信息系统安全保护等级划分准则 的基本内涵了解计算机网络安全标准的形成过程美国的 可信任的计算机系统评估准则 信息安全保证技术框架所涉及的基本内容 11 1计算机网络安全标准的形成 在20世纪60年代 美国国防部成立了专门机构 开始研究计算机使用环境中的安全策略问题 70年代又在KSOS PSOS和KVM操作系统上展开了进一步的研究工作 80年代 美国国防部发布了 可信计算机系统评估准则 TCSEC TrustedComputerSystemEvaluationCriteria 简称桔皮书 后经修改用作了美国国防部的标准 并相继发布了可信数据库解释 TDI 可信网络解释 TNI 等一系列相关的说明和指南 1991年 英 法 德 荷四国针对TCSEC准则的局限性 提出了包含保密性 完整性 可用性等概念的欧洲 信息技术安全评估准则 ITSEC InformationTechnologySecurityEvaluationCriteria 1988年 加拿大开始制订 加拿大可信计算机产品评估准则 CTCPEC TheCanadianTrustedComputerProductEvaluationCriteria 该标准将安全需求分为机密性 完整性 可靠性和可说明性四个层次 1993年 美国对TCSEC作了补充和修改 制定了 组合的联邦标准 简称FC 1990年 国际标准化组织 ISO 开始开发通用的国际标准评估准则 1993年 由加拿大 法国 德国 荷兰 英国 美国NIST和美国NSA六国七方联合开始开发通用准则CC InformationTechnologySecurityCommonCriteria 1996年1月发布CC1 0版 1996年4月被ISO采纳 1997年10月完成CC2 0的测试版 1998年5月发布CC2 0版 1999年12月ISO采纳CC通用标准 并正式发布国际标准ISO15408 11 2国外计算机网络安全标准 TCSEC按处理信息的等级和所采用的响应措施 将计算机系统安全等级从低到高分成D C B A四大类八个级别 共27条评估准则 参见表11 1 1 D类 无保护级这是最低保护等级 该类是为那些经过评估 但不满足较高评估等级要求的系统设计的 11 2 1 可信任的计算机系统评估准则 TCSEC 简介 表11 1可信任的计算机系统评估准则 TCSEC 2 C类 自主保护等级该类采用自主访问控制和审计跟踪等措施实现一定的自主保护功能 具有对主体责任及其动作审计的能力 C类系统一般只适用于具有一定等级的多用户环境 该类从低到高又分为C1级和C2级 1 C1级 自主安全保护级C1级TCB通过隔离用户与数据 使用户具备自主安全保护的能力 它具有多种形式的控制能力 对用户实施访问控制 为用户提供可行的手段 保护用户和用户组信息 避免其他用户对数据的非法读写与破坏 C1级的系统适用于处理同一敏感级别数据的多用户环境 2 C2级 控制访问保护级C2级计算机系统比C1级具有更细粒度的自主访问控制 C2级通过注册过程控制 审计安全相关事件以及资源隔离 使单个用户为其行为负责 3 B类 强制保护等级该类采用安全标记和强制访问控制等措施实现强制保护功能 主要要求TCB能维护完整的安全标记 并在此基础上执行一系列强制访问控制规则 B类系统中的主要数据结构必须携带敏感标记 系统的开发者还应为TCB提供安全策略模型以及TCB规约 应提供证据证明访问监控器得到了正确的实施 该类从低到高又分为B1级 B2级和B3级 1 B1级 标记安全保护级B1级要求具有C2级系统的所有特性 在此基础上 还应提供安全策略模型的非形式化描述 数据标记以及命名主体和客体的强制访问控制 并消除测试中发现的所有缺陷 2 B2级 结构化保护级B2级中的TCB建立于一个明确定义并文档化和形式化安全策略模型之上 要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体 并对隐蔽信道进行分析 TCB应结构化为关键保护元素和非关键保护元素 明确定义TCB接口 TCB的设计与实现应能够经受更充分的测试和更完善的审查 增强鉴别机制功能 提供可信设施管理以支持系统管理员和操作员的职能 提供严格的配置管理控制 3 B3级 安全区域保护级B3级中的TCB必须满足访问监控器的需求 在构造TCB时 排除那些对实施安全策略来说并非必要的代码 在设计和实现TCB时 从系统工程角度将其复杂性降低到最小程度 访问监控器本身是抗篡改的 足够小 可分析和测试 应用它对所有主体对客体的访问进行仲裁 B3级系统支持安全管理员职能 扩充审计机制和系统恢复机制 当发生与安全相关的事件时 系统能发出信号 B3级系统具有很高的抗渗透能力 4 A类 验证保护等级这是最高保护等级 A类系统的特点是使用形式化的安全验证方法 保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息 系统提供丰富的文档信息用以证明TCB满足设计 开发及实现等各个方面的安全要求 该类从低到高细分为A1级和超A1级 1 A1级 验证设计级A1级系统在功能上和B3级系统是相同的 没有增加体系结构特性和策略要求 其突出特点是 要求用形式化设计规范和验证方法来对系统进行分析 确保TCB按设计要求实现 A1级系统要求更严格的配置管理 要求建立系统安全分发的程序 支持系统安全管理员的职能 2 超A1级超A1级是在A1级基础上增加了许多超出目前技术发展的安全措施 超A1级系统涉及的主要范围包括 系统体系结构 安全测试 形式化规约与验证和可信设计环境等 11 2 2 通用准则CC 简介 CC主要包括简介和一般模型 安全功能要求以及安全保证要求三个部分 在安全保证要求部分提出了七个评估保证级别 EvaluationAssuranceLevels EALs 从低到高依次为EAL1 EAL2 EAL3 EAL4 EAL5 EAL6和EAL7 通用准则CC仅适用于硬件 固件和软件实现的信息技术安全措施 1 CC中的基本概念和评估方法 1 评估过程CC的评估依据是通用评估方法学 评估方案和CC评估准则 使用通用评估方法学可以提供结果的可重复性和客观性 使用评估方案和评估准则可以提供结果的准确性和一致性 2 安全概念所谓安全就是保护资产不受威胁 威胁可依据滥用被保护资产的可能性进行分类 所有的威胁类型都应该被考虑到 在安全领域内 被高度重视的威胁是和人们的恶意攻击及其它与人类活动相联系的行为 安全性损坏是指失去保密性 失去完整性和失去可用性 失去保密性是指资产破坏性地暴露于未授权的接收者 失去完整性是指资产由于未授权的更改而损坏 失去可用性是指资产访问权被未授权的获得等 3 安全环境安全环境包括所有相关的法规 组织性安全策略 习惯 专门技术和知识 它定义了TOE使用的上下文 安全环境也包括环境里出现的安全威胁 为建立安全环境 必须考虑以下几点 1 TOE物理环境 指所有的与TOE安全相关的TOE运行环境 包括已知的物理和人事的安全安排 2 安全目的 安全环境的分析结果被用来阐明对抗已标识的威胁 说明组织性安全策略和假设的安全目的 安全目的和已说明的TOE运行目标或产品目标以及有关的物理环境知识一致 3 IT安全要求 IT安全要求是将安全目的细化为一系列TOE及其环境的安全要求 4 TOE概要规范 ST中提供的TOE概要规范定义TOE安全要求的实现方法 4 安全要求的描述方法安全要求是按 类 族 组件 元素 的描述结构表达的 并附加在其ST中 1 类 类被用作最通用安全要求的组合 类的所有的成员关注共同的安全焦点 但所覆盖安全目的是不同的 2 族 类的成员被称为族 3 组件 族的成员被称为组件 组件描述一组特定的安全要求集 4 元素 组件由单个元素组成 元素是安全需求最低层次的表达 并且是能被评估验证的不可分割的安全要求 5 安全需求的描述方法1 包 组件的中间组合被称为包 包允许对功能或保证需求集合的描述 这个集合能够满足一个安全目标的可标识子集 包可重复使用 可用来定义那些公认有用的 能够有效满足特定安全目标的要求 2 保护轮廓 PP PP是关于一系列满足一个安全目标集的TOE的 与实现无关的描述 PP包含一套来自CC 或明确阐述 的安全要求 它应包括一个评估保证级别 EAL PP包括安全目的和安全要求的基本原理 PP的开发者可以是用户团体 IT产品开发者或其它对定义这样一系列通用要求有兴趣的团体 IT环境安全要求 PP应用注解 PP标识 PP概述 假设 威胁 组织性安全策略 TOE安全目的 环境安全目的 安全目的基本原理 安全要求基本原理 TOE安全功能要求 TOE安全保证要求 保护轮廓 PP引言 TOE描述 TOE安全环境 安全目的 IT安全要求 基本原理 TOE安全要求 图11 2保护轮廓PP的描述结构 3 安全目标 ST ST是针对特定TOE安全要求的描述 通过评估可以证明这些安全要求对满足指定目的是有用和有效的 图11 4PP ST和TOE三种评估的关系 评估PP 评估TOE PP分类 评估ST 证书分类 PP评估结果 TOE评估结果 ST评估结果 已评估过的TOE 6 评估类型CC框架下的评估类型有PP评估 ST评估和TOE评估三种 其关系如图11 4所示 1 PP评估 PP评估是依照CC第3部分的PP评估准则进行的 其目标是为了证明PP是完备的 一致的 技术合理的 而且适合于作为一个可评估TOE的安全要求的声明 2 ST评估 针对TOE的ST评估是依照CC第3部分的ST评估准则进行的 3 TOE评估 TOE评估是使用一个已经评估过的ST作为基础 依照CC第3部分的评估准则进行的 其目标是为了证明TOE满足ST中的安全要求 2 TOE的评估过程 如图11 5所示 PP与ST 安全需求 开发TOE TOE和评估 评估TOE 评估结果 操作TOE 评估方案 评估方法 评估准则 反馈 图11 5TOE的评估过程示意图 3 CC的安全功能要求CC中提出了11类安全功能 并给出了详细说明和具体要求 对于超出CC定义范围的安全功能 提出了描述规范 开发者可以根据 类 族 组件 元素 的描述结构表达其安全要求 并附加在其ST中 CC给出的11类安全功能如下 1 FAU类 安全审计 2 FCO类 通信 3 FCS类 密码支持 4 FDP类 用户数据保护 5 FIA类 标识与鉴别 6 FMT类 安全管理 7 FPR类 隐秘 8 FPT类 TFS保护 9 FAU类 资源利用 10 FTA类 TOE访问 11 FTP类 可信信道 路径 4 CC的安全保证要求CC中提出了PP ST TOE三种评估方法 七个评估保证级别和10个安全保证类 其中 APE类与ASE类分别介绍了PP与ST的描述结构及评估准则 维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求 只有七个安全保证类是TOE的评估类别 这七个安全保证类分别是 1 ACM类 配置管理 2 ADO类 分发与操作 3 ADV类 开发 4 AGD类 指导性文档 5 ALC类 生命周期支持 6 ATE类 测试 7 AVA类 脆弱性评定 11 3国内计算机网络安全标准 我国政府提出计算机信息系统实行安全等级保护 并于1999年颁布了国家标准GB17859 1999 即 计算机信息系统安全保护等级划分准则 以下简称准则 它是我国计算机信息系统安全保护等级工作的基础 其相关技术标准还包括 计算机信息系统安全等级保护操作系统技术要求 GA388 2002 计算机信息系统安全等级保护管理要求 GA391 2002 计算机信息系统安全等级保护网络技术要求 GA T387 2002 计算机信息系统安全等级保护数据库管理系统技术要求 GA T389 2002 计算机信息系统安全等级保护通用技术要求 GA T390 2002 11 3 1计算机信息系统安全保护等级划分准则 准则 中规定的计算机系统安全保护等级从低到高依次为 用户自主保护级 系统审计保护级 安全标记保护级 结构化保护级和访问验证保护级五个保护级别 1 用户自主保护级计算机信息系统可信计算基 TCB 通过隔离用户与数据 使用户具备自主安全保护的能力 它具有多种形式的控制能力 对用户实施访问控制 即为用户提供可行的手段 保护用户和用户组信息 避免其他用户对数据的非法读写与破坏 2 系统审计保护级与用户自主保护级相比 计算机信息系统可信计算基实施了粒度更细的自主访问控制 3 安全标记保护级计算机信息系统可信计算基具有系统审计保护级所有功能 提供有关安全策略模型 数据标记以及主体对客体强制访问控制的非形式化描述 具有准确地标记输出信息的能力和消除通过测试发现的任何错误 4 结构化保护级计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上 5 访问验证保护级计算机信息系统可信计算基满足访问监控器需求 访问监控器仲裁主体对客体的全部访问 访问监控器本身是抗篡改的 必须足够小 能够分析和测试 支持安全管理员职能 扩充审计机制 当发生与安全相关的事件时发出信号 提供系统恢复机制 系统具有很高的抗渗透能力 表11 2国家标准与国外标准的对比 11 3 2信息系统安全等级保护应用概要 1 计算机信息系统安全等级保护通用技术要求通用技术要求共分6个部分 前3个部分主要介绍了通用技术要求的应用范围 规范性引用文件 以及术语和定义 第4部分是安全功能技术要求 在这里 对计算机信息系统安全功能的实现进行了完整的描述 并对实现这些安全功能所涉及的所有因素做了较为全面的说明 安全功能包括物理安全 运行安全和信息安全三个方面 物理安全也称实体安全 是指包括环境设备和记录介质在内的所有支持信息系统运行的硬件的安全 它是一个信息系统安全运行的基础 计算机网络信息系统的实体安全包括环境安全 设备安全和介质安全 运行安全是指在物理安全得到保障的前提下 为确保计算机信息系统不间断运行而采取的各种检测 监控 审计 分析 备份及容错等方法和措施 信息安全是指在计算机信息系统运行安全得到保证的前提下 对在计算机信息系统中存储 传输和处理的信息进行有效的保护 使其不因人为的或自然的原因被泄露 篡改和破坏 第5部分是安全保证技术要求 为了确保所要求的安全功能达到所确定的安全目标 必须从TCB自身安全保护 TCB设计和TCB安全管理三个方面保证安全功能从设计 实现到运行管理等各个环节严格按照所规定的要求进行 TCB自身安全保护是指 一方面提供与TSF机制的完整性和管理有关的保护 另一方面提供与TSF数据的完整性有关的保护 它可能采用与对用户数据安全保护相同的安全策略和机制 但其所要实现的目标是不同的 前者是为了自身更健壮 从而使其所提供的安全功能更有保证 后者则是为了实现其直接所提供的安全功能 第6部分是安全保护等级划分要求 安全功能主要说明一个计算机信息系统所实现的安全策略和安全机制符合哪一等级的功能要求 安全保证则是通过一定的方法保证计算机信息系统所提供的安全功能确实达到了确定的功能要求和强度 安全功能要求从物理安全 运行安全和信息安全三个方面对一个安全的计算机信息系统所应提供的与安全有关的功能进行描述 安全保证要求则分别从TCB自身安全 TCB的设计和实现和TCB安全管理三个方面进行描述 2 计算机信息系统安全等级保护网络技术要求网络技术要求共分7个部分 前3个部分主要介绍了网络技术要求的应用范围 规范性引用文件 以及术语和定义 第4部分是概述 主要描述了一般性要求 安全等级划分 主体和客体 TCB 引起信息流动的方式 密码技术和安全网络系统的实现方法 第5部分是网络的基本安全技术 在这里 对各种安全要素的策略 机制 功能 用户属性定义 安全管理和技术要求等做了具体的说明 主要描述了自主访问控制 强制访问控制 标记 用户身份鉴别 剩余信息保护 安全审计 数据完整性 隐蔽信道分析 可信路径 可信恢复 抗抵赖和密码支持等内容 第6部分是网络安全技术要求 主要从对网络系统的安全等级进行划分的角度来说明不同安全等级在安全功能方面的特定技术要求 第7部分是网络安全等级保护技术要求 主要针对七层网络体系结构中的每一层 介绍了各个网络安全等级的具体要求 以及每个等级中对各个安全要素的具体要求 同时针对每个安全等级 介绍了在网络体系结构中的每层的具体要求 以及每层中对各个安全要素的具体要求 根据ISO OSI的七层体系结构 网络安全机制在各层的分布如下 1 物理层 数据流加密机制 2 数据链路层 数据加密机制 3 网络层 身份认证机制 访问控制机制 数据加密机制 路由控制机制 一致性检查机制 4 传输层 身份认证机制 访问控制机制 数据加密机制 5 会话层 身份认证机制 访问控制机制 数据加密机制 数字签名机制 交换认证 抗抵赖 机制 6 表示层 身份认证机制 访问控制机制 数据加密机制 数字签名机制 交换认证 抗抵赖 机制 7 应用层 身份认证机制 访问控制机制 数据加密机制 数字签名机制 交换认证 抗抵赖 机制 业务流分析机制 网络系统安全体系结构是由物理层 链路层 网络层 传输层 会话层 表示层 以及应用层信息系统所组成 11 4信息安全保证技术框架 IATF 信息保证技术框架 InformationAssuranceTechnicalFramework IATF 把信息保证技术划分为本地计算环境 LCE LocalComputingEnvironme