银行及相关金融服务信息安全标准体系.ppt

信息安全标准介绍 中国信息安全产品测评认证中心张利博士 2 主要内容 信息安全基础标准信息安全评估标准发展史通用评估准则 CC PP和ST产生指南IATFSCC 3 标准化基础 标准 标准是对重复性事物和概念所做的统一规定 它以科学 技术和实践的综合成果为基础 经有关方面协商一致 由主管部门批准 以特定的方式发布 作为共同遵守的准则和依据 强制性标准 保障人体健康 人身 财产安全的标准和法律 行政法规规定强制执行的标准 其它标准是推荐性标准 我国标准分四级 国家标准 行业标准 地方标准 企业标准 4 国家标准 对需要在全国范围内统一的技术要求 含标准样品的制作 GB TXXXX X 200XGBXXXX 200X行业标准 没有国家标准 需要在全国某个行业范围内统一的技术要求 GA SJ地方标准 没有国家标准 行业标准而又需要在省 自治区 直辖市范围内统一的工业产品的安全 卫生要求 DBXX TXXX 200XDBXX XXX 200X企业标准 对企业范围内需要统一的技术要求 管理要求和工作要求 QXXX XXX 200X 标准化基础 5 标准化基础 标准化 为在一定的范围内获得最佳秩序 对实际的或潜在的问题制定共同的和重复使用的规则的活动实质 通过制定 发布和实施标准 达到统一 目的 获得最佳秩序和社会效益 6 标准化基础 标准化三维空间 国际级区域级国家级行业级地方级企业级 人员服务系统产品过程 管理 应用 技术机制 体系 框架 术语 X Y Z X轴代表标准化对象 Y轴代表标准化的内容 Z轴代表标准化的级别 7 标准化基础 我国通行 标准化八字原理 统一 原理 简化 原理 协调 原理 最优 化原理 8 我国标准工作归口单位 2001年10月11日成立国家标准化委员会信息技术标准委员会数据加密技术标准委员会2002年4月15日成立信息安全技术标准委员会 9 标准化基础 采标 等同采用idt identical 指技术内容相同 没有或仅有编辑性修改 编写方法完全相对应 修改采用MOD modified 与国际标准之间存在技术性差异 有编辑性修改 可能不采用部分条款非等效采用NEQ notequivalent 指技术内容有重大差异 只表示与国际标准有关 10 IT标准化 IT标准发展趋势 1 标准逐步从技术驱动向市场驱动方向发展 2 信息技术标准化机构由分散走向联合 3 信息技术标准化的内容更加广泛 重点更加突出 从IT技术领域向社会各个领域渗透 涉及教育 文化 医疗 交通 商务等广泛领域 需求大量增加 4 从技术角度看 IT标准化的重点将放在网络接口 软件接口 信息格式 安全等方面 并向着以技术中立为前提 保证互操作为目的方向发展 11 信息安全标准化组织 ISOJTC1SC27 信息技术 安全技术ISO TC68银行和有关的金融服务SC2 安全管理和通用银行运作 SC4 安全及相关金融工具 SC6 零售金融服务 JTC1其他分技术委员会 SC6 系统间通信与信息交换 主要开发开放系统互连下四层安全模型和安全协议 如ISO9160 ISO IEC11557 SC17 识别卡和有关设备 主要开发与识别卡有关的安全标准ISO7816SC18 文件处理及有关通信 主要开发电子邮件 消息处理系统等 SC21 开放系统互连 数据管理和开放式分布处理 主要开发开放系统互连安全体系结构 各种安全框架 高层安全模型等标准 如 ISO IEC7498 2 ISO IEC9594 1至8 SC22 程序语言 其环境及系统软件接口 也开发相应的安全标准 SC30 开放式电子数据交换 主要开发电子数据交换的有关安全标准 如ISO9735 9 ISO9735 10 12 信息安全标准化组织 续 IECTC56可靠性 TC74IT设备安全和功效 TC77电磁兼容 CISPR无线电干扰特别委员会ITU前身是CCITT消息处理系统目录系统 X 400系列 X 500系列 安全框架安全模型等标准 13 信息安全标准化组织 续 IETF 170多个RFC 12个工作组 PGP开发规范 openpgp 鉴别防火墙遍历 aft 通用鉴别技术 cat 域名服务系统安全 dnssec IP安全协议 ipsec 一次性口令鉴别 otp X 509公钥基础设施 pkix S MIME邮件安全 smime 安全Shell secsh 简单公钥基础设施 spki 传输层安全 tls Web处理安全 wts 14 信息安全标准化组织 续 美国ANSINCITS T4制定IT安全技术标准X9制定金融业务标准X12制定商业交易标准NIST负责联邦政府非密敏感信息FIPS 197DOD负责涉密信息NSA国防部指令 DODI 如TCSEC 15 信息安全标准化组织 续 IEEESILS LAN WAN 安全P1363公钥密码标准ECMA 欧洲计算机厂商协会 TC32 通信 网络和系统互连 曾定义了开放系统应用层安全结构 TC36 IT安全 负责信息技术设备的安全标准 16 信息安全标准化组织 续 英国BS7799医疗卫生信息系统安全加拿大计算机安全管理日本JIS国家标准JISC工业协会标准韩国KISA负责防火墙 IDS PKI方面标准 17 信息安全标准化组织 续 我国共38个标准4个产品标准其他工业标准SSLSETCDSAPGPPCT 18 2 信息安全基础标准 19 基于OSI七层协议的安全体系结构 20 五种安全服务 鉴别 提供对通信中的对等实体和数据来源的鉴别 访问控制 提供保护以对抗开放系统互连可访问资源的非授权使用 可应用于对资源的各种不同类型的访问 例如 使用通信资源 读 写或删除信息资源 处理资源的操作 或应用于对某种资源的所有访问数据机密性 对数据提供保护使之不被非授权地泄露数据完整性 对付主动威胁 在一次连接上 连接开始时使用对某实体鉴别服务 并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证 为这些数据单元的完整性提供确证 抗抵赖 可取有数据原发证明的抗抵赖 有交付证明的抗抵赖两种形式 或两者之一 21 与网络各层相关的OSI安全服务 22 八种安全机制 加密 加密既能为数据提供机密性 也能为通信业务流信息提供机密性 数字签名 确定两个过程 对数据单元签名和验证签过名的数据单元 访问控制 为了决定和实施一个实体的访问权 访问控制机制可以使用该实体已鉴别的身份 或使用有关该实体的信息 例如它与一个已知的实体集的从属关系 或使用该实体的权力 数据完整性 包括单个数据单元或字段的完整性以及数据单元流或字段流的完整性 23 安全机制 鉴别交换机制 可以提供对等实体鉴别 如果在鉴别实体时 这一机制得到否定的结果 就会导致连接的拒绝或终止 也可能使在安全审计跟踪中增加一个记录 或给安全管理中心一个报告 通信业务填充机制 能用来提供各种不同级别的保护 对抗通信业务分析 路由选择控制机制 路由能动态地或预定地选取 以便只使用物理上安全的子网络 中继站或链路 在检测到持续的操作攻击时 端系统可希望指示网络服务的提供者经不同的路由建立连接 公证机制 有关在两个或多个实体之间通信的数据的性质 如它的完整性 原发 时间和目的地等能够借助公证机制而得到确保 24 OSI安全服务和安全机制之间的关系 25 TCP IP协议 四层概念模型 应用层 传输层 网络层和网络接口层IP层是TCP IP模型的网络层 不考虑网络接口 提供数据在源和目的主机之间通过子网的路由功能 应用层 传输层 网络层 26 OSI参考模型与TCP IP的对应关系 27 3 信息安全评测标准发展 1999年GB17859计算机信息系统安全保护等级划分准则 1991年欧洲信息技术安全性评估准则 ITSEC 国际通用准则1996年 CC1 0 1998年 CC2 0 1985年美国可信计算机系统评估准则 TCSEC 1993年加拿大可信计算机产品评估准则 CTCPEC 1993年美国联邦准则 FC1 0 1999年国际标准ISO IEC15408 1989年英国可信级别标准 MEMO3DTI 德国评估标准 ZSEIC 法国评估标准 B W RBOOK 2001年国家标准GB T18336信息技术安全性评估准则 1993年美国NIST的MSFR 28 美国TCSEC 1970年由美国国防科学委员会提出 1985年公布 主要为军用标准 延用至民用 安全级别从高到低分为A B C D四级 级下再分小级 彩虹系列桔皮书 可信计算机系统评估准则黄皮书 桔皮书的应用指南红皮书 可信网络解释紫皮书 可信数据库解释 29 美国TCSEC 30 主要依据之间的关系 安全政策 确定选择哪些控制措施 可控性 提出安全机制以确定系统人员并跟踪其行动 保证能力 给安全政策及可控性的实现提供保证 文档 存在哪些文档 31 各级别的特征 安全政策C1C2B1B2B3A1自主访问控制 ncnc nc客体重用0 ncncncnc标签00 ncnc标签完整性00 ncncnc标签信息的输出00 ncncnc标签输出00 ncncnc强制访问控制00 ncnc主体敏感性标签000 ncnc设计标签000 ncnc可控性鉴别 ncncnc审计0 nc可信路径000 nc 32 保证措施C1C2B1B2B3A1系统体系 nc系统完整性 ncncncncnc系统测试 设计说明和验证00 隐蔽信道分析000 可信设备管理000 nc配置管理000 nc 可信恢复0000 nc可信分发00000 文档C1C2B1B2B3A1安全特性用户指南 ncncncncnc可信设备手册 nc测试文档 ncnc nc 设计文档 nc 33 C1 自主安全保护 本级的计算机信息系统可信计算基通过隔离用户与数据 使用户具备自主安全保护的能力 本级实施的是自主访问控制 即通过可信计算基定义系统中的用户和命名用户对命名客体的访问 并允许用户以自己的身份或用户组的身份指定并控制对客体的访问 这意味着系统用户或用户组可以通过可信计算基自主地定义对客体的访问权限 从用户的角度来看 用户自主保护级的责任只有一个 即为用户提供身份鉴别 可以包括穿透性测试 34 C2 访问控制保护 与用户自主保护级相比 本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制 它通过登录规程 审计安全性相关事件和隔离资源 使用户对自己的行为负责 本级实施的是自主访问控制和客体的安全重用身份鉴别方面 比用户自主保护级增加两点 为用户提供唯一标识 使用户对自己的行为负责 为支持安全审计功能 具有将身份标识与用户所有可审计的行为相关联的能力 安全审计方面 可信计算基能够创建 维护对其所保护客体的访问审计记录 35 B1 安全标签保护 提供有关安全策略模型 数据标记以及主体对客体强制访问控制的非形式化描述 安全标签 具有准确地标记输出信息的能力 本级的主要特征是可信计算基实施基于BellLaPadula模型的强制访问控制 分析和测试设计文档 源代码 客体代码消除通过测试发现的任何错误 36 B2 结构化保护 形式化安全策略模型访问控制 自主的和强制的 扩展到所有主体和客体隐蔽信道分析可信计算基构造成为关键保护元素和非关键保护元素通过提供可信路径来增强鉴别机制 计算机信息系统可信计算基的接口也必须明确定义 使其设计与实现能经受更充分的测试和更完整的复审增强了配置管理控制 系统具有相当的抗渗透能力 分开系统管理员和操作员的职能 提供可信实施管理 37 B3 安全域保护 在可信计算基的构造方面 具有访问监控器 referencemonitor 计算机信息系统可信计算基在其构造时 排除那些对实施安全策略来说并非必要的代码 扩充审计机制 当发生与安全相关的事件时发出信号提供系统恢复机制 系统具有很高的抗渗透能力 38 A1 验证设计保护 功能上与B3级相同要求形式化验证设计 形式化模型形式化高层设计实现 39 TCSEC的缺陷 集中考虑数据机密性 而忽略了数据完整性 系统可用性等 将安全功能和安全保证混在一起安全功能规定得过为严格 不便于实际开发和测评 40 欧洲多国安全评价方法的综合产物 军用 政府用和商用 以超越TCSEC为目的 将安全概念分为功能与功能评估两部分 功能准则在测定上分10级 1 5级对应于TCSEC的C1到B3 6 10级加上了以下概念 F IN 数据和程序的完整性F AV 系统可用性F DI 数据通信完整性F DC 数据通信保密性F DX包括机密性和完整性的网络安全评估准则分为6级 E1 测试E2 配置控制和可控的分配E3 能访问详细设计和源码E4 详细的脆弱性分析E5 设计与源码明显对应E6 设计与源码在形式上一致 欧洲ITSEC 41 与TCSEC的不同 安全被定义为机密性 完整性 可用性功能和质量 保证分开对产品和系统的评估都适用 提出评估对象 TOE 的概念产品 能够被集成在不同系统中的软件或硬件包 系统 具有一定用途 处于给定操作环境的特殊安全装置 42 功能评估1 预先定义的功能级 43 功能评估2 按功能分类评估其声称的安全功能 标识和鉴别访问控制可控性客体重用审计准确性服务的有效性数据交换 44 保证评估 实现的正确性安全功能和机制的有效性 1 考虑所有使用的安全功能的适用性 2 考虑安全机制的强度 评估其抵挡直接攻击的能力3 如果有可利用的安全脆弱性 则保证为E0 E0E1E2E3E4E5E6不可信高度可信 45 加拿大CTCPEC 1989年公布 专为政府需求而设计与ITSEC类似 将安全分为功能性需求和保证性需要两部分 功能性要求分为四个大类 a机密性b完整性c可用性d可控性在每种安全需求下又分成很多小类 表示安全性上的差别 分级条数为0 5级 早期评估准则 续 46 美国联邦准则 FC 对TCSEC的升级1992年12月公布引入了 保护轮廓 PP 这一重要概念 每个轮廓都包括功能部分 开发保证部分和评测部分 分级方式与TCSEC不同 吸取了ITSEC CTCPEC中的优点 供美国政府用 民用和商用 早期评估准则 续 47 GB17859 1999计算机信息系统安全等级划分准则 第一级用户自主保护级第二级系统审计保护级第三级安全标记保护级第四级结构化保护级第五级访问验证保护级 48 4 通用准则 CC 国际标准化组织统一现有多种准则的努力结果 1993年开始 1996年出V1 0 1998年出V2 0 1999年6月正式成为国际标准 1999年12月ISO出版发行ISO IEC15408 主要思想和框架取自ITSEC和FC 充分突出 保护轮廓 将评估过程分 功能 和 保证 两部分 是目前最全面的评价准则 49 通用准则 CC 续 国际上认同的表达IT安全的体系结构一组规则集一种评估方法 其评估结果国际互认通用测试方法 CEM 已有安全准则的总结和兼容通用的表达方式 便于理解灵活的架构可以定义自己的要求扩展CC要求准则今后发展的框架 50 评估上下文 51 CC的结构以及目标读者 52 本标准定义作为评估信息技术产品和系统安全特性的基础准则不包括属于行政性管理安全措施的评估准则 不包括物理安全方面 诸如电磁辐射控制 的评估准则 不包括密码算法固有质量评价准则 应用范围 53 关键概念 评估对象 TOE TargetofEvaluation 保护轮廓 PP ProtectionProfile 安全目标 ST SecurityTarget 功能 Function 保证 Assurance 组件 Component 包 Package 评估保证级 EAL EvaluationAssuranceLevel 54 评估对象 TOE 产品 系统 子系统 55 保护轮廓 PP 表达一类产品或系统的用户需求组合安全功能要求和安全保证要求技术与需求之间的内在完备性提高安全保护的针对性 有效性安全标准有助于以后的兼容性同TCSEC级类似 56 PP的内容 57 安全目标 ST IT安全目的和要求要求的具体实现实用方案适用于产品和系统与ITSECST类似 58 ST的内容 59 功能 保证结构 类 如用户数据保护 FDP 关注共同的安全焦点的一组族 覆盖不同的安全目的范围子类 如访问控制 FDP ACC 共享安全目的的一组组件 侧重点和严格性不同组件 如子集访问控制 FDP ACC 1 包含在PP ST 包中的最小可选安全要求集 60 组件 CC将传统的安全要求分成不能再分的构件块用户 开发者可以组织这些要求到PP中到ST中组件可以进一步细化 61 举例 类 子类 组件 FIA标识和鉴别 FIA AFL鉴别失败 FIA ATD用户属性定义 FIA SOS秘密的规范 类子类组件 FIA AFL 1鉴别失败处理 FIA ATD 1用户属性定义 FIA SOS 1秘密的验证 FIA SOS 2秘密的TSF生成 62 安全要求的结构 类 Class 子类 Family 子类 Family 组件 组件 组件 组件 功能和保证 PP ST 包 63 功能 规范IT产品和系统的安全行为 应做的事 64 安全功能要求类 11类135个组件 65 保证 对功能产生信心的方法 66 安全保证要求 67 TOE安全保证类 68 包 IT安全目的和要求功能或保证要求 如EAL 适用于产品和系统与ITSECE 级类似 69 评估保证级 EAL 预定义的保证包公认的广泛适用的一组保证要求 CC第一部分 概念和模型 71 安全概念和关系 所有者 威胁主体 资产 措施 弱点 风险 威胁 拥有 引起 到 希望滥用 最小化 增加 到 利用 导致 减少 可能具有 可能被减少 利用 可能意识到 72 评估环境 评估准则 评估方法 最终评估结果 评估方案 评估 批准 证明 证书 注册 73 TOE开发模型 74 TOE评估过程 安全需求 PP ST 开发 TOE TOE 和评估 评估结果 评估准则 评估方案 评估方法 操作 TOE 反馈 评估 TOE 75 安全要求或规范的产生方式 CC第二部分 安全功能要求 77 安全功能要求的表达形式 78 安全功能要求 79 安全功能要求组件标识 80 FAU类 安全审计 1 安全审计自动响应 FAU ARP 2 安全审计数据产生 FAU GEN 3 安全审计分析 FAU SAA 4 安全审计查阅 FAU SAR 5 安全审计事件选择 FAU SEL 6 安全审计数据存贮 FAU STG 81 FCO类 通信 1 原发抗抵赖 FCO NRO 2 接收抗抵赖 FCO NRR 82 FCS类 密码支持 1 密钥管理 FCS CKM 2 密码运算 FCS COP 83 FDP类 保护用户数据 1 访问控制策略 FDP ACC 2 访问控制功能 FDP ACF 3 数据鉴别 FDP DAU 4 输出到TSF控制范围之外 FDP ETC 5 信息流控制策略 FDP IFC 6 信息流控制功能 FDP ICF 7 从TSF控制范围之外输入 FDP ITC 8 TOE内部传输 FDP ITT 9 剩余信息保护 FDP RIP 10 反转 FDP ROL 11 存储数据的完整性 FDP SDI 12 TSF间用户数据机密性的传输保护 FDP UCT 13 TSF间用户数据完整性的传输保护 FDP UIT 84 FIA类 标识和鉴别 1 鉴别失败 FIA AFL 2 用户属性定义 FIA ATD 3 秘密的规范 FIA SOS 4 用户鉴别 FIA UAU 5 用户标识 FIA UID 6 用户 主体绑定 FIA USB 85 FMT类 安全管理 1 TSF中功能的管理 FMT MOF 2 安全属性的管理 FMT MSA 3 TSF数据的管理 FMT MTD 4 取消 FMT REV 5 安全属性到期 FMT SAE 6 安全管理角色 FMT SMR 86 FPR类 秘密 1 匿名 FPR ANO 2 假签名 FPR PSE 3 非关联性 FPR UNL 4 无观察性 FPR UNO 87 FPT类 TOE安全功能的保护 1 根本的抽象机测试 FPT AMT 2 保护失败 FPT FLS 3 TSF输出数据的有效性 FPT ITA 4 TSF输出数据的机密性 FPT ITC 5 输出TSF数据的完整性 FPT ITI 6 TOE内TSF数据交换 FPT ITT 7 TSF物理保护 FPT PHP 8 信任恢复 FPT RCV 9 重复检测 FPT RPL 10 参考调解器 FPT RVM 11 域分离 FPT SEP 12 状态同步协议 FPT SSP 13 时间标志 FPT STM 14 TSF内部的TSF数据的一致性 FPT TDC 15 内部TOETSF数据复制的一致性 FPT TRC 16 TSF自测试 FPT TST 88 FRU类 资源利用 1 失效容限 FRU FLT 2 工作优先级 FRU PRS 3 资源分配 FRU RSA 89 FTA类 TOE访问 1 可选属性范围限定 FTA LSA 2 多重并发会话限定 FTA MCS 3 会话锁定 FTA SSL 4 TOE访问方法 FTA TAB 5 TOE访问历史 FTA TAH 6 TOE会话建立 FTA TSE 90 FTP类 可信路径 通道 1 TSF间可信信道 FTP ITC 2 可信路径 FTP TRP 91 安全功能要求应用 用于构成PP中IT安全要求的TOE安全功能要求 用于构成ST中IT安全要求的TOE安全功能要求 92 安全功能要求 1 标识和鉴别 93 安全功能要求 2 访问控制 94 安全功能要求 3 安全审计 95 安全功能要求 4 完整性 96 安全功能要求 5 私密 97 安全功能要求 6 适用性 98 安全功能要求 7 数据交换 CC第三部分 安全保证要求 100 保证要求细分类 101 评估保证级 EAL EAL1 功能测试EAL2 结构测试EAL3 系统地测试和检查EAL4 系统地设计 测试和复查EAL5 半形式化设计和测试EAL6 半形式化验证的设计和测试EAL7 形式化验证的设计和测试 102 评估保证级别 EAL 103 EAL1 功能测试 EAL1适用于安全的威胁并不严重的场合TOE的功能与其文档在形式上是一致的 并且对已标识的威胁提供了有效的保护 利用功能和接口的规范以及指导性文档 对安全功能进行分析 进行独立性测试保证组件 ACM CAP 1版本号ADO IGS 1安装 生成和启动程序ADV FSP 1非形式化功能规范ADV RCR 1非形式化对应性论证AGD ADM 1管理员指南AGD USR 1用户指南ATE IND 1 一致性 104 安全保证级别1 EAL1 105 EAL2 结构测试 EAL2适用于在缺乏现成可用的完整的开发记录时 开发者或使用者需要一种低到中等级别的独立保证的安全性 增加 ACM CAP 2配置项ADO DEL 1交付程序ADV HLD 1描述性高层设计 ATE COV 1范围证据ATE FUN 1功能测试ATE IND 2独立性测试 抽样AVA SOF 1TOE安全功能强度评估 AVA VLA 1开发者脆弱性分析 106 安全保证级别2 EAL2 107 EAL3 系统地测试和检查 EAL3适用于开发者或使用者需要一个中等级别的安全性 和不需要再次进行真正的工程实践的情况下 对TOE及其开发过程进行彻底检查 增加组件 ACM CAP 3授权控制ACM SCP 1TOE配置管理 CM 范围ADV HLD 2安全加强的高层设计 ALC DVS 1安全措施标识 ATE COV 2范围分析ATE DPT 1测试 高层设计AVA MSU 1指南审查 108 安全保证级别3 EAL3 109 EAL4 系统地设计 测试和复查 EAL4适用于 开发者或使用者对传统的商品化的TOE需要一个中等到高等级别的安全性 并准备负担额外的安全专用工程费用 增加组件 ACM AUT 1部分配置管理 CM 自动化ACM CAP 4产生支持和接受程序ACM SCP 2跟踪配置管理 CM 范围问题ADO DEL 2修改检测ADV FSP 2完全定义的外部接口 ADV IMP 1TSF实现的子集 ADV LLD 1描述性低层设计 ALC LCD 1开发者定义的生命周期模型ALC TAT 1明确定义的开发工具AVA MSU 2分析确认AVA VLA 2独立脆弱性分析 穿透性测试 110 安全保证级别4 EAL4 111 EAL5 半形式化设计和测试 TOE安全策略的形式化模型 功能规范和高层设计的半形式化表示 及它们之间对应性的半形式化论证 还需模块化的TOE设计 这种分析也包括对开发者的隐蔽信道分析的确认增加组件 ACM SCP 3开发工具配置管理 CM 范围ADV FSP 3半形式化功能规范 ADV HLD 3半形式化高层设计 ADV IMP 2TSF实现ADV INT 1模块化 ADV RCR 2半形式化对应性论证 ADV SPM 3形式化TOE安全策略模型ALC LCD 2标准化生命周期模型 ALC TAT 2遵从实现标准ATE DPT 2测试 低层设计 AVA CCA 1隐蔽信道分析 AVA VLA 3中级抵抗力 112 安全保证级别5 EAL5 113 EAL6 半形式化验证的设计和测试 低层设计的半形式化表示结构化的开发流程增加组件 ACM AUT 2完全配置管理 CM 自动化ACM CAP 5高级支持ADV HLD 4半形式化高层解释ADV IMP 3TSF的结构化实现ADV INT 2复杂性降低ADV LLD 2半形式化低层设计ALC DVS 2安全措施的充分性ALC TAT 3遵从实现标准 所有部分ATE COV 3范围的严格分析ATE FUN 2顺序的功能测试AVA CCA 2系统化隐蔽信道分析AVA MSU 3对非安全状态的分析和测试AVA VLA 4高级抵抗力 114 安全保证级别6 EAL6 115 EAL7 形式化验证的设计和测试 EAL7的实际应用目前只局限于一些TOE 这些TOE非常关注能经受广泛地形式化分析的安全功能功能规范和高层设计的形式化表示增加组件 ADO DEL 3修改预防ADV FSP 4形式化功能规范ADV HLD 5形式化高层设计ADV INT 3复杂性最小化ADV RCR 3形式化对应性论证ALC LCD 3可测量的生命周期模型ATE DPT 3测试 实现表示ATE IND 3独立性测试 全部 116 安全保证级别7 EAL7 117 评估保证级 EAL 118 形式化 有三种类型的规范风格 非形式化 半形式化和形式化 功能规范 高层设计 低层设计和TSP模型都将使用以上一种或多种规范风格来书写 非形式化规范就是象散文一样用自然语言来书写 半形式化规范就是用一种受限制的句法语言来书写 并且通常伴随着支持性的解释 非形式化 语句 这里的受限制句法语言可以是一种带有受限制句子结构和具有特殊意义的关键字的自然语言 也可以是图表式的 如数据流图 状态转换图 实体关系图 数据结构图 流程或程序结构图 形式化规范就是用一套基于明确定义的数学概念的符号来书写 并且通常伴随着支持性的解释 非形式化 语句 119 评测级别对应 120 保证 功能 EAL1EAL2EAL3EAL4EAL5EAL6EAL7 E0E1E2E3E4E5E6 D级 C1级 C2级 B1级 B2级 B3级 A1级 F C1级 F C2级 F B1级 F B2级 F B3级 HP UNIX VV Winnt3 5 Winnt4 0Win2000 121 各部分关系 122 4 PP ST产生指南 123 为既定的一系列安全对象提出功能和保证要求的完备集合可复用集合 对各种应用的抽象希望和要求的陈述 PP定义 124 什么是PP 用户要求陈述用户希望达到什么程度主要针对 业务 商业拥有者对用户 开发者 评估者和审计者都有用系统设计文档将几级要求细化成特定的需求一致性需求符合用户的要求 125 谁用PP PP是用户要求的根本陈述理想的 使用 团体应当拥有PP并驱动PP的开发从开发者 评估者 审计者和校准者那里得到输入用户理解任务 商业并能陈述希望怎样的评估对象 TOE 不希望怎样的TOE其他卖主难于陈述产品不做什么安全技术专家常常不能完全理解用户要求 126 PP要点 127 范围 PP的适用范围引用标准 与TOE实现相关的其他信息技术标准术语定义和记法约定 一些便于理解PP的术语和PP中相关记法的约定TOE描述 TOE的一般信息TOE类型一般TOE功能TOE界限TOE操作环境有关TOE的主要假设 PP要点 续 128 TOE安全环境 定义TOE 安全需求 的特征和范围 假设 如果环境满足该假定 TOE被认为是安全的 威胁 包括TOE及其环境需要保护的特定资产所面临的与TOE安全操作相关的威胁 组织安全策略 TOE必须遵守的任何组织安全策略和规则 PP要点 续 129 有关环境的假设 对资产的威胁 组织安全策略 安全需求 定义 TOE安全环境 130 环境安全目的 TOE安全目的 安全目的 意在对抗确定的威胁 满足确定的组织安全策略和假定的陈述 PP要点 续 在确定安全目的时 需要确保每个已知的威胁 至少有一个安全目的对抗 每个已知的组织安全策略 至少有一个安全目的来满足 在对抗威胁方面主要有预防 检测和纠正三种目的 131 威胁 组织安全策略 假设 安全需求 TOE IT环境 非IT安全要求 TOE目的 环境目的 安全目的 IT安全要求 安全目的 桥梁作用 132 IT安全要求 TOE安全要求 IT环境安全要求 TOE安全功能要求 TOE安全保证要求 PP要点 续 133 安全功能要求 安全保证要求 IT环境安全要求 TOE安全目的 IT环境安全目的 ISO IEC15408第二部分 ISO IEC15408第三部分 IT安全要求 赋值 反复 选择和细化 134 PP要点 续 PP应用注解 对开发 评估或使用TOE是相关的或有用的一些附加信息基本原理 对PP进行评估的依据 证明PP是一个完整的 紧密结合的要求集合 满足该PP的TOE将在安全环境内提供一组有效的IT安全对策安全目的基本原理安全要求基本原理 135 威胁 组织安全策略 假设 安全需求 IT安全要求 TOE目的 环境的目的 安全目的 相互支持 支持 恰好满足 恰好满足 功能强度声明 一致 基本原理 136 威胁举例 T REPLAY重放 当截获了有效用户的识别和鉴别数据后 未授权用户可能在将来使用这些鉴别数据 以访问TOE提供的功能 137 安全目的举例 O SINUSE单用途 TOE必须防止用户重复使用鉴别数据 尝试通过互连网络在TOE上进行鉴别 O SECFUN安全功能 TOE必须提供一种功能使授权管理员能够使用TOE的安全功能 并且确保只有授权管理员才能访问该功能 138 O SINUSE FIA ATD 1用户属性定义 允许为每个用户单独保存其用户安全属性 FIA UAU 1鉴别定时 允许用户在身份被鉴别前 实施一定的动作 FIA UAU 4单用户鉴别机制 需要操作单用户鉴别数据的鉴别机制 FMT MSA 3静态属性初始化 确保安全属性的默认值是允许的或限制某行为的 TOE安全功能要求举例 139 TOE安全功能要求举例 FMT MOF 1安全功能行为的管理 允许授权用户管理TSF中使用规则或有可管理的指定条件的功能行为 FAU STG 1受保护的审计踪迹存储 放在审计踪迹中的数据将受到保护 以避免未授权的删除或修改 FAU STG 4防止审计数据丢失 规定当审计踪迹溢满时的行动 O SECFUN 140 PP示例 CAPP代替TCSEC的C2级要求LSPP代替TCSEC的B1级要求 包过滤防火墙安全技术要求 GB18019 99 应用级防火墙安全技术要求 GB18020 99 路由器安全技术要求 GB18018 99 电信智能卡安全技术要求 网上证券委托系统安全技术要求 141 国家信息化 领域信息化区域信息化社区信息化企业信息化家庭信息化 国家信息安全保障体系 安全需求 基于安全利益的威胁和风险分析利益分类分级及其网络化映射威胁分类分级风险分析与评估方式方法 国家以国家意志和国家行为的方式 在技术 管理和人员方面所形成的用于保护其安全利益的资源和能力 这种资源和能力体现为特定形态和过程的技术结构 社会结构和人才结构 技术 管理 人员 基础性技术 专用产品 基础设施 结构化规则 政府管理 用户管理 服务商管理 司法行政人员 用户管理人员 研发服务人员 教学研究人员 标准化管理 政策法规 资质 能力 基础理论 技术标准 应急救援 防护类产品 管理类产品 核心技术 平台技术 教育基础研究 教育培训 要点 安全利益和风险分析评估 基础性技术 专用产品 基础设施 结构化规则 政府管理 服务商管理 用户管理 教育基础研究 教育培训 142 电子政务信息系统安全标准 143 IATF 144 纵深防御战略的内涵 保卫网络和基础设施 保卫边界 保卫计算环境 为基础设施提供支持 145 保卫边界 一个区域边界之内通常包含多个局域网以及各种计算资源组件 比如用户平台 网络 应用程序 通信服务器 交换机等 边界环境是比较复杂的 比如它可以包含很多物理上分离的系统 绝大多数边界环境都拥有通向其它网络的外部连接 它与所连接的网络可以在密级等方面有所不同 对流入 流出边界的数据流进行有效的控制和监督 有效地控制措施包括防火墙 门卫系统 VPN 标识和鉴别 访问控制等 有效的监督措施包括基于网络的如今检测系统 IDS 脆弱性扫描器 局域网上的病毒检测器等 这些机制可以单独使用 也可以结合使用 从而对边界内的各类系统提供保护 146 保卫网络和基础设施 主干网的可用性讨论了数据通信网络以及对网络管理的保护 无线网络安全框架讨论了手机 呼机 卫星系统和无线局域网的安全问题 系统互联和虚拟专用网讨论了在主干网上同样敏感度级别的系统之间安全五连的问题 保卫网络和基础设施的总的IA战略是 使用经过批准的广域网 WAN 来传输国防部和情报共同体之间的机密数据 加密方式采用美国国家安全局批准的算法 为保护非加密局域网上交换的敏感数据 要求使用符合下列条件的商业解决方案 满足已发布的标准 经过独立的 核准的实验室验证 配置合理 经国防部信息技术安全认证和认可过程 DITSCAP 等权威认证过程的批准 147 保卫计算环境 计算环境保护关注的问题是 在用户进入 离开或驻留于客户机与服务器的情况下 采用信息保障技术保护其信息的可用性 完整性与隐私 保护计算硬件与软件免受攻击是对付恶意内部攻击者的首道防线 也是对付外部攻击者的最后一道防线 在这两种情况下 保护计算环境都是信息保障的重要一环 计算环境可以位于一个物理上受保护的边界内部 也可以是一个移动用户的主机平台 计算环境包括主机或服务器应用 操作系统和客户机 服务器硬件 目前 深层意义的技术策略已经要求在客户机与服务器上安装安全应用与安全操作系统 以及基于主机的监视 148 支持性基础设施 支撑基础设施是一套相关联的活动与能够提供安全服务的基础设施的综合 目前深层的策略定义了两种支撑基础设施 密钥管理基础设施 公钥基础设施 KMI PKI 检测 响应与恢复 149 技术上的安全对策 IATF的作者充分认为 信息保障要同时依赖于技术和非技术对策 知己知彼敌人的主要目的可以分为三大类 非授权访问非授权篡改对授权访问的拒绝 150 潜在的敌人 151 152 动机访问机密或敏感的信息跟踪或监视目标的行动 行动分析 扰乱目标及其运作盗窃钱财 产品或服务获得免费资源 如计算机资料或免费使用网络 使目标处于尴尬境地战胜保护性装置的 挑战 153 能力知识技能所需资源的提供 154 定义了五类攻击 155 攻击类型图例 攻击类型图例 156 主要的安全服务访问控制 加密 完整性 可用性及不可抵赖性 在实际运用中 这些安全服务都是彼此相关或与其它服务相关的 157 重要的安全技术加密机访问控制装置入侵检测防火墙等 158 稳健性战略稳健性指的是在信息安全解决方案中安全机制的强度和保障级别 机制的强度 支持安全管理的机制的强度支持保密的机制的强度支持完整性的机制的强度支持可用性的机制的强度支持访问控制的机制的强度支持不可否认性的机制的强度 159 信息系统安全保障评估准则 160 安全保障由来 目前 国内外在信息系统安全的各个领域都提出和实践了很多比较成熟相关的标准和实践 但将信息系统作为一个整体进行评估尚未形成一个完备的整体方案 信息系统安全保障 例如 电子政务系统 网上证券系统 网上银行系统等信息系统 的需求要求我们必须从信息系统层面综合建立相应评估和认证体系 以保障这些信息系统使命的实现 161 现有局限性 162 信息系统和信息技术系统 信息技术系统作为信息系统一部分的执行组织机构信息功能的用于采集 创建 通信 计算 分发 处理 存储和 或控制数据或信息的计算机硬件 软件和 或固件的任何组合 信息系统信息系统用于采集 处理 存储 传输 分发和部署信息的整个基础设施 组织结构 人员和组件的总和 信息系统是在信息技术系统的基础上 综合考虑了人员 管理等系统综合运行环境的一个整体 163 信息安全概念和关系 一 GB18336idtISO IEC15408 信息技术安全性评估准则 资产 可能意识到 引起 增加 利用 导致 威胁主体 威胁 所有者 风险 脆弱性 对策 可能被减少 利用 价值 希望最小化 希望滥用或破坏 可能具有 减少 到 到 164 信息安全概念和关系 二 信息系统安全保障评估准则加入使命要求 165 信息系统安全保障涵义 出发点和核心以风险和策略为出发点和核心 即从信息系统所面临的风险出发制定组织机构信息系统安全保障策略 信息系统生命周期通过在信息系统生命周期中从技术 过程 管理和人员等方面提出安全保障要求 确保信息的安全特征确保信息的机密性 完整性和可用性特征 从而实现和贯彻组织机构策略并将风险降低到可接受的程度 保护资产达到保护组织机构信息和信息系统资产 最终保障使命从而保障组织机构实现其使命的最终目的 166 信息系统安全保障模型 167 信息系统安全保障 生命周期的保证 168 评估对象 信息系统描述要求 169 信息系统使命信息系统建模 GB18336idtISO IEC15408信息技术安全性评估准则 IATF信息保障技术框架 ISSE信息系统安全工程 SSE CMM系统安全工程能力成熟度模型 BS7799 ISO IEC17799信息安全管理实践准则 其他相关标准 准则例如 ISO IEC15443 COBIT 系统认证和认可标准和实践例如 美国DITSCAP 中国信息安全产品测评认证中心相关文档和系统测评认证实践 技术准则 信息技术系统评估准则 管理准则 信息系统管理评估准则 过程准则 信息系统安全工程评估准则 信息系统安全保障评估准则 信息安全管理和管理能力成熟度模型 将GB18336从产品和产品系统扩展到信息技术系统安全性评估 安全工程过程和能力成熟度模型 传统C A信息系统认证认可和实践 信息系统相关基础知识 与现有标准关系 170 技术准则 分析模型 171 管理准则 信息安全管理模型 172 过程准则 安全工程过程生命周期 173 分级原则 174 分级原则 175 分级原则 176 信息系统安全保障分级 177 分级 信息系统技术评估准则 产品EAL级别 信息系统管理评估准则 管理能力成熟度级别 信息系统工程评估准则 工程过程成熟度级别 信息系统安全保障级别评定 XX信息系统保护轮廓 ISPP XX信息系统安全目标 ISST 信息系统安全保障评估准则 管理要求 中国信息安全产品测评认证中心 179 主要内容 管理框架模型管理细则 180 管理框架 181 管理准则构成 行政管理 APPDRR 防护模型 行政管理 组织体系 人事安全A D Audit Detection 审计与监控管理P Policy 信息安全保障策略P Protection 运行管理 访问控制管理R Response 应急响应R Recovery 业务持续性计划 182 信息安全保障组织体系 MOA 组织架构 MOA ORG 决策层定位和承诺 MOA MLC 信息安全保障专家组 MOA DRV 本地合作 MOA LCP 183 信息安全保障策略 MSP 信息安全保障策略分类 MSP SPL 系统及子系统级策略 MSP OLP 安全策略文本制订与维护 MSP MSD 184 人事管理 MPS 人事资源安全 MPS SCR 安全意识 MPS SAW 安全教育 MPS SED 机密信息访问 MPS ACI 信息保障培训 MPS IAT 外包管理 MPS OSM 185 信息安全保障战略规划 MIP 信息安全保障长期规划 MIP LRP 信息安全保障长期规划变更 MIP LPC 信息安全保障短期规划 MIP SRP 信息安全保障规划的沟通 MIP CIP 186 投资和预算管理 MPB 信息安全保障年度预算 MPB AOB 费用和收益监控 MPB CPC 费用和收益调整 MPB CPD 信息保障项目预算 MPB IAP 采购管理 MPB RBM 187 资产管理 MAS 资产清单 MAS ASL 资产管理规范 MAS AMG 数据分类方案 MAS DCC 信息标注及处理 MAS DLP 安全级别 MAS SEL 188 应用系统开发与维护 MAD 应用系统安全保障要求 MAD ASR 应用系统文件安全 MAD AFS 开发和维护过程的安全 MAD DMS 189 物理安全 MPH 划分安全区域 MPH SAR 区域隔离保护 MPH ZIP 设备安全 MPH EQM 设备处理规范 MPH EDR 190 运行管理 MOP 接入安全管理 MOP DII 局域网安全管理 MOP LAN 系统安全管理 MOP OPS 支撑系统安全管理 MOP SUS 应用安全管理 MOP APS 桌面安全 MOP DES 191 访问控制 MAC 访问控制要求 MAC ACR 用户访问管理 MAC UAC 用户职责 MAC UDU 网络访问控制 MAC NAC 操作系统访问控制 MAC OPA 应用访问控制 MAC APA 日志纪录 MAC LOG 移动计算和远程工作 MAC MDW 192 应急响应 MRS 应急响应制度 MRS RER 应急响应流程 MRS REP 应急响应小组 MRS RET 193 业务持续性计划 MCO 业务影响分析 MCO BIA 系统及数据备份程序 MCO ODB 灾难恢复计划 MCO DRP 维护与支持制度 MCO MSR 定期演习计划 MCO RHS 评估改进制度 MCO IMP 194 评估与监控 MED 对系统访问和使用的监视 MED SAU 风险评估制度 MED RER 安全策略符合性评审 MED PLC 日志审查制度 MED LOA 195 变更管理 MRV 变更控制规程 MRV PRO 风险分析及技术评审 MRV RAR 软件包变更控制 MRV SWC 196 符合性 MCP 法律符合性 MCP LCP 197 管理能力成熟度等级 198 信息系统安全等级 199 管理能力成熟度要求 信息