网络与信息安全-计算机信息系统安全评估标准介绍.ppt

网络与信息安全第十七讲计算机信息系统安全评估标准介绍闫强北京大学信息科学技术学院软件研究所 信息安全研究室yanqiang 2003年春季北京大学硕士研究生课程 2 标准介绍 信息技术安全评估准则发展过程可信计算机系统评估准则 TCSEC 可信网络解释 TNI 通用准则CC 计算机信息系统安全保护等级划分准则 信息系统安全评估方法探讨 3 信息技术安全评估准则发展过程 信息技术安全评估是对一个构件 产品 子系统或系统的安全属性进行的技术评价 通过评估判断该构件 产品 子系统或系统是否满足一组特定的要求 信息技术安全评估的另一层含义是在一定的安全策略 安全功能需求及目标保证级别下获得相应保证的过程 产品安全评估信息系统安全评估信息系统安全评估 或简称为系统评估 是在具体的操作环境与任务下对一个系统的安全保护能力进行的评估 4 信息技术安全评估准则发展过程 20世纪60年代后期 1967年美国国防部 DOD 成立了一个研究组 针对当时计算机使用环境中的安全策略进行研究 其研究结果是 DefenseScienceBoardreport 70年代的后期DOD对当时流行的操作系统KSOS PSOS KVM进行了安全方面的研究 5 信息技术安全评估准则发展过程 80年代后 美国国防部发布的 可信计算机系统评估准则 TCSEC 即桔皮书 后来DOD又发布了可信数据库解释 TDI 可信网络解释 TNI 等一系列相关的说明和指南90年代初 英 法 德 荷等四国针对TCSEC准则的局限性 提出了包含保密性 完整性 可用性等概念的 信息技术安全评估准则 ITSEC 定义了从E0级到E6级的七个安全等级 6 信息技术安全评估准则发展过程 加拿大1988年开始制订 TheCanadianTrustedComputerProductEvaluationCriteria CTCPEC 1993年 美国对TCSEC作了补充和修改 制定了 组合的联邦标准 简称FC 国际标准化组织 ISO 从1990年开始开发通用的国际标准评估准则 7 信息技术安全评估准则发展过程 在1993年6月 CTCPEC FC TCSEC和ITSEC的发起组织开始联合起来 将各自独立的准则组合成一个单一的 能被广泛使用的IT安全准则发起组织包括六国七方 加拿大 法国 德国 荷兰 英国 美国NIST及美国NSA 他们的代表建立了CC编辑委员会 CCEB 来开发CC 8 信息技术安全评估准则发展过程 1996年1月完成CC1 0版 在1996年4月被ISO采纳1997年10月完成CC2 0的测试版1998年5月发布CC2 0版1999年12月ISO采纳CC 并作为国际标准ISO15408发布 9 安全评估标准的发展历程 10 标准介绍 信息技术安全评估准则发展过程可信计算机系统评估准则 TCSEC 可信网络解释 TNI 通用准则CC 计算机信息系统安全保护等级划分准则 信息系统安全评估方法探讨 11 TCSEC 在TCSEC中 美国国防部按处理信息的等级和应采用的响应措施 将计算机安全从高到低分为 A B C D四类八个级别 共27条评估准则随着安全等级的提高 系统的可信度随之增加 风险逐渐减少 12 TCSEC 四个安全等级 无保护级自主保护级强制保护级验证保护级 13 TCSEC D类是最低保护等级 即无保护级是为那些经过评估 但不满足较高评估等级要求的系统设计的 只具有一个级别该类是指不符合要求的那些系统 因此 这种系统不能在多用户环境下处理敏感信息 14 TCSEC 四个安全等级 无保护级自主保护级强制保护级验证保护级 15 TCSEC C类为自主保护级具有一定的保护能力 采用的措施是自主访问控制和审计跟踪一般只适用于具有一定等级的多用户环境具有对主体责任及其动作审计的能力 16 TCSEC C类分为C1和C2两个级别 自主安全保护级 C1级 控制访问保护级 C2级 17 TCSEC C1级TCB通过隔离用户与数据 使用户具备自主安全保护的能力它具有多种形式的控制能力 对用户实施访问控制为用户提供可行的手段 保护用户和用户组信息 避免其他用户对数据的非法读写与破坏C1级的系统适用于处理同一敏感级别数据的多用户环境 18 TCSEC C2级计算机系统比C1级具有更细粒度的自主访问控制C2级通过注册过程控制 审计安全相关事件以及资源隔离 使单个用户为其行为负责 19 TCSEC 四个安全等级 无保护级自主保护级强制保护级验证保护级 20 TCSEC B类为强制保护级主要要求是TCB应维护完整的安全标记 并在此基础上执行一系列强制访问控制规则B类系统中的主要数据结构必须携带敏感标记系统的开发者还应为TCB提供安全策略模型以及TCB规约应提供证据证明访问监控器得到了正确的实施 21 TCSEC B类分为三个类别 标记安全保护级 B1级 结构化保护级 B2级 安全区域保护级 B3级 22 TCSEC B1级系统要求具有C2级系统的所有特性在此基础上 还应提供安全策略模型的非形式化描述 数据标记以及命名主体和客体的强制访问控制并消除测试中发现的所有缺陷 23 TCSEC B类分为三个类别 标记安全保护级 B1级 结构化保护级 B2级 安全区域保护级 B3级 24 TCSEC 在B2级系统中 TCB建立于一个明确定义并文档化形式化安全策略模型之上要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体在此基础上 应对隐蔽信道进行分析TCB应结构化为关键保护元素和非关键保护元素 25 TCSEC TCB接口必须明确定义其设计与实现应能够经受更充分的测试和更完善的审查鉴别机制应得到加强 提供可信设施管理以支持系统管理员和操作员的职能提供严格的配置管理控制B2级系统应具备相当的抗渗透能力 26 TCSEC B类分为三个类别 标记安全保护级 B1级 结构化保护级 B2级 安全区域保护级 B3级 27 TCSEC 在B3级系统中 TCB必须满足访问监控器需求访问监控器对所有主体对客体的访问进行仲裁访问监控器本身是抗篡改的访问监控器足够小访问监控器能够分析和测试 28 TCSEC 为了满足访问控制器需求 计算机信息系统可信计算基在构造时 排除那些对实施安全策略来说并非必要的代码计算机信息系统可信计算基在设计和实现时 从系统工程角度将其复杂性降低到最小程度 29 TCSEC B3级系统支持 安全管理员职能扩充审计机制当发生与安全相关的事件时 发出信号提供系统恢复机制系统具有很高的抗渗透能力 30 TCSEC 四个安全等级 无保护级自主保护级强制保护级验证保护级 31 TCSEC A类为验证保护级A类的特点是使用形式化的安全验证方法 保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息为证明TCB满足设计 开发及实现等各个方面的安全要求 系统应提供丰富的文档信息 32 TCSEC A类分为两个类别 验证设计级 A1级 超A1级 33 TCSEC A1级系统在功能上和B3级系统是相同的 没有增加体系结构特性和策略要求最显著的特点是 要求用形式化设计规范和验证方法来对系统进行分析 确保TCB按设计要求实现从本质上说 这种保证是发展的 它从一个安全策略的形式化模型和设计的形式化高层规约 FTLS 开始 34 TCSEC 针对A1级系统设计验证 有5种独立于特定规约语言或验证方法的重要准则 安全策略的形式化模型必须得到明确标识并文档化 提供该模型与其公理一致以及能够对安全策略提供足够支持的数学证明应提供形式化的高层规约 包括TCB功能的抽象定义 用于隔离执行域的硬件 固件机制的抽象定义 35 TCSEC 应通过形式化的技术 如果可能的化 和非形式化的技术证明TCB的形式化高层规约 FTLS 与模型是一致的通过非形式化的方法证明TCB的实现 硬件 固件 软件 与形式化的高层规约 FTLS 是一致的 应证明FTLS的元素与TCB的元素是一致的 FTLS应表达用于满足安全策略的一致的保护机制 这些保护机制的元素应映射到TCB的要素 36 TCSEC 应使用形式化的方法标识并分析隐蔽信道 非形式化的方法可以用来标识时间隐蔽信道 必须对系统中存在的隐蔽信道进行解释 37 TCSEC A1级系统 要求更严格的配置管理要求建立系统安全分发的程序支持系统安全管理员的职能 38 TCSEC A类分为两个类别 验证设计级 A1级 超A1级 39 TCSEC 超A1级在A1级基础上增加的许多安全措施超出了目前的技术发展随着更多 更好的分析技术的出现 本级系统的要求才会变的更加明确今后 形式化的验证方法将应用到源码一级 并且时间隐蔽信道将得到全面的分析 40 TCSEC 在这一级 设计环境将变的更重要形式化高层规约的分析将对测试提供帮助TCB开发中使用的工具的正确性及TCB运行的软硬件功能的正确性将得到更多的关注 41 TCSEC 超A1级系统涉及的范围包括 系统体系结构安全测试形式化规约与验证可信设计环境等 42 标准介绍 信息技术安全评估准则发展过程可信计算机系统评估准则 TCSEC 可信网络解释 TNI 通用准则CC 计算机信息系统安全保护等级划分准则 信息系统安全评估方法探讨 43 可信网络解释 TNI 美国国防部计算机安全评估中心在完成TCSEC的基础上 又组织了专门的研究镞对可信网络安全评估进行研究 并于1987年发布了以TCSEC为基础的可信网络解释 即TNI TNI包括两个部分 PartI和PartII 及三个附录 APPENDIXA B C 44 可信网络解释 TNI TNI第一部分提供了在网络系统作为一个单一系统进行评估时TCSEC中各个等级 从D到A类 的解释与单机系统不同的是 网络系统的可信计算基称为网络可信计算基 NTCB 45 可信网络解释 TNI 第二部分以附加安全服务的形式提出了在网络互联时出现的一些附加要求这些要求主要是针对完整性 可用性和保密性的 46 可信网络解释 TNI 第二部分的评估是定性的 针对一个服务进行评估的结果一般分为为 noneminimumfairgood 47 可信网络解释 TNI 第二部分中关于每个服务的说明一般包括 一种相对简短的陈述相关的功能性的讨论相关机制强度的讨论相关保证的讨论 48 可信网络解释 TNI 功能性是指一个安全服务的目标和实现方法 它包括特性 机制及实现机制的强度是指一种方法实现其目标的程度有些情况下 参数的选择会对机制的强度带来很大的影响 49 可信网络解释 TNI 保证是指相信一个功能会实现的基础保证一般依靠对理论 测试 软件工程等相关内容的分析分析可以是形式化或非形式化的 也可以是理论的或应用的 50 可信网络解释 TNI 第二部分中列出的安全服务有 通信完整性拒绝服务机密性 51 可信网络解释 TNI 通信完整性主要涉及以下3方面 鉴别 网络中应能够抵抗欺骗和重放攻击通信字段完整性 保护通信中的字段免受非授权的修改抗抵赖 提供数据发送 接受的证据 52 可信网络解释 TNI 当网络处理能力下降到一个规定的界限以下或远程实体无法访问时 即发生了拒绝服务所有由网络提供的服务都应考虑拒绝服务的情况网络管理者应决定网络拒绝服务需求 53 可信网络解释 TNI 解决拒绝服务的方法有 操作连续性基于协议的拒绝服务保护网络管理 54 可信网络解释 TNI 机密性是一系列安全服务的总称这些服务都是关于通过计算机通信网络在实体间传输信息的安全和保密的具体又分3种情况 数据保密通信流保密选择路由 55 可信网络解释 TNI 数据保密 数据保密性服务保护数据不被未授权地泄露数据保密性主要受搭线窃听的威胁被动的攻击包括对线路上传输的信息的观测 56 可信网络解释 TNI 通信流保密 针对通信流分析攻击而言 通信流分析攻击分析消息的长度 频率及协议的内容 如地址 并以此推出消息的内容 57 可信网络解释 TNI 选择路由 路由选择控制是在路由选择过程中应用规则 以便具体的选取或回避某些网络 链路或中继路由能动态的或预定地选取 以便只使用物理上安全的子网络 链路或中继在检测到持续的操作攻击时 端系统可希望指示网络服务的提供者经不同的路由建立连接带有某些安全标记的数据可能被策略禁止通过某些子网络 链路或中继 58 可信网络解释 TNI TNI第二部分的评估更多地表现出定性和主观的特点 同第一部分相比表现出更多的变化第二部分的评估是关于被评估系统能力和它们对特定应用环境的适合性的非常有价值的信息第二部分中所列举的安全服务是网络环境下有代表性的安全服务在不同的环境下 并非所有的服务都同等重要 同一服务在不同环境下的重要性也不一定一样 59 可信网络解释 TNI TNI的附录A是第一部分的扩展 主要是关于网络中组件及组件组合的评估附录A把TCSEC为A1级系统定义的安全相关的策略分为四个相对独立的种类 他们分别支持强制访问控制 MAC 自主访问控制 DAC 身份鉴别 IA 审计 AUDIT 60 可信网络解释 TNI 61 可信网络解释 TNI 附录B给出了根据TCSEC对网络组件进行评估的基本原理附录C则给出了几个AIS互联时的认证指南及互联中可能遇到的问题 62 可信网络解释 TNI TNI中关于网络有两种概念 一是单一可信系统的概念 singletrustedsystem 另一个是互联信息系统的概念 interconnectedAIS 这两个概念并不互相排斥 63 可信网络解释 TNI 在单一可信系统中 网络具有包括各个安全相关部分的单一TCB 称为NTCB networktrustedcomputingbase NTCB作为一个整体满足系统的安全体系设计 64 可信网络解释 TNI 在互联信息系统中各个子系统可能具有不同的安全策略具有不同的信任等级并且可以分别进行评估各个子系统甚至可能是异构的 65 可信网络解释 TNI 安全策略的实施一般控制在各个子系统内 在附录C中给出了各个子系统安全地互联的指南 在互联时要控制局部风险的扩散 排除整个系统中的级联问题 cascadeproblem 限制局部风险的扩散的方法 单向连接 传输的手工检测 加密 隔离或其他措施 66 标准介绍 信息技术安全评估准则发展过程可信计算机系统评估准则 TCSEC 可信网络解释 TNI 通用准则CC 计算机信息系统安全保护等级划分准则 信息系统安全评估方法探讨 67 通用准则CC CC的范围 CC适用于硬件 固件和软件实现的信息技术安全措施而某些内容因涉及特殊专业技术或仅是信息技术安全的外围技术不在CC的范围内 68 通用准则CC 评估上下文 69 通用准则CC 使用通用评估方法学可以提供结果的可重复性和客观性许多评估准则需要使用专家判断和一定的背景知识为了增强评估结果的一致性 最终的评估结果应提交给一个认证过程 该过程是一个针对评估结果的独立的检查过程 并生成最终的证书或正式批文 70 通用准则CC CC包括三个部分 第一部分 简介和一般模型第二部分 安全功能要求第三部分 安全保证要求 71 通用准则CC 安全保证要求部分提出了七个评估保证级别 EvaluationAssuranceLevels EALs 分别是 EAL1 功能测试EAL2 结构测试EAL3 系统测试和检查EAL4 系统设计 测试和复查EAL5 半形式化设计和测试EAL6 半形式化验证的设计和测试EAL7 形式化验证的设计和测试 72 通用准则CC 安全就是保护资产不受威胁 威胁可依据滥用被保护资产的可能性进行分类所有的威胁类型都应该被考虑到在安全领域内 被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的 73 通用准则CC 安全概念和关系 74 通用准则CC 安全性损坏一般包括但又不仅仅包括以下几项资产破坏性地暴露于未授权的接收者 失去保密性 资产由于未授权的更改而损坏 失去完整性 或资产访问权被未授权的丧失 失去可用性 75 通用准则CC 资产所有者必须分析可能的威胁并确定哪些存在于他们的环境 其后果就是风险对策用以 直接或间接地 减少脆弱性并满足资产所有者的安全策略在将资产暴露于特定威胁之前 所有者需要确信其对策足以应付面临的威胁 76 通用准则CC 评估概念和关系 77 通用准则CC TOE评估过程 78 通用准则CC 评估过程通过两种途径产生更好的安全产品评估过程能发现开发者可以纠正的TOE错误或弱点 从而在减少将来操作中安全失效的可能性另一方面 为了通过严格的评估 开发者在TOE设计和开发时也将更加细心因此 评估过程对最初需求 开发过程 最终产品以及操作环境将产生强烈的积极影响 79 通用准则CC CC安全概念包括 安全环境安全目的IT安全要求TOE概要规范 80 通用准则CC 安全环境包括所有相关的法规 组织性安全策略 习惯 专门技术和知识它定义了TOE使用的上下文 安全环境也包括环境里出现的安全威胁 81 通用准则CC 安全环境的分析结果被用来阐明对抗已标识的威胁 说明组织性安全策略和假设的安全目的安全目的和已说明的TOE运行目标或产品目标以及有关的物理环境知识一致确定安全目的的意图是为了阐明所有的安全考虑并指出哪些安全方面的问题是直接由TOE还是由它的环境来处理环境安全目的将在IT领域内用非技术上的或程序化的手段来实现 82 通用准则CC IT安全要求是将安全目的细化为一系列TOE及其环境的安全要求 一旦这些要求得到满足 就可以保证TOE达到它的安全目的IT安全需求只涉及TOE安全目的和它的IT环境 83 通用准则CC CC定义了一系列与已知有效的安全要求集合相结合的概念 该概念可被用来为预期的产品和系统建立安全需求CC安全要求以类 族 组件这种层次方式组织 以帮助用户定位特定的安全要求对功能和保证方面的要求 CC使用相同的风格 组织方式和术语 84 通用准则CC CC中安全要求的描述方法 类 类用作最通用安全要求的组合 类的所有的成员关注共同的安全焦点 但覆盖不同的安全目的族 类的成员被称为族 族是若干组安全要求的组合 这些要求有共同的安全目的 但在侧重点和严格性上有所区别组件 族的成员被称为组件 组件描述一组特定的安全要求集 它是CC定义的结构中所包含的最小的可选安全要求集 85 通用准则CC 组件由单个元素组成 元素是安全需求最低层次的表达 并且是能被评估验证的不可分割的安全要求族内具有相同目标的组件可以以安全要求强度 或能力 逐步增加的顺序排列 也可以部分地按相关非层次集合的方式组织 86 通用准则CC 组件间可能存在依赖关系依赖关系可以存在于功能组件之间 保证组件之间以及功能和保证组件之间组件间依赖关系描述是CC组件定义的一部分 87 通用准则CC 可以通过使用组件允许的操作 对组件进行裁剪每一个CC组件标识并定义组件允许的 赋值 和 选择 操作 在哪些情况下可对组件使用这些操作 以及使用这些操作的后果任何一个组件均允许 反复 和 细化 操作 88 通用准则CC 这四个操作如下所述 反复 在不同操作时 允许组件多次使用赋值 当组件被应用时 允许规定所赋予的参数选择 允许从组件给出的列表中选定若干项细化 当组件被应用时 允许对组件增加细节 89 通用准则CC 要求的组织和结构 90 通用准则CC CC中安全需求的描述方法 包 组件的中间组合被称为包保护轮廓 PP PP是关于一系列满足一个安全目标集的TOE的 与实现无关的描述安全目标 ST ST是针对特定TOE安全要求的描述 通过评估可以证明这些安全要求对满足指定目的是有用和有效的 91 通用准则CC 包允许对功能或保证需求集合的描述 这个集合能够满足一个安全目标的可标识子集包可重复使用 可用来定义那些公认有用的 能够有效满足特定安全目标的要求包可用在构造更大的包 PP和ST中 92 通用准则CC PP包含一套来自CC 或明确阐述 的安全要求 它应包括一个评估保证级别 EAL PP可反复使用 还可用来定义那些公认有用的 能够有效满足特定安全目标的TOE要求PP包括安全目的和安全要求的基本原理PP的开发者可以是用户团体 IT产品开发者或其它对定义这样一系列通用要求有兴趣的团体 93 通用准则CC 保护轮廓PP描述结构 94 通用准则CC 安全目标 ST 包括一系列安全要求 这些要求可以引用PP 也可以直接引用CC中的功能或保证组件 或明确说明一个ST包含TOE的概要规范 安全要求和目的 以及它们的基本原理ST是所有团体间就TOE应提供什么样的安全性达成一致的基础 95 通用准则CC 安全目标描述结构 96 通用准则CC CC框架下的评估类型PP评估ST评估TOE评估 97 通用准则CC PP评估是依照CC第3部分的PP评估准则进行的 评估的目标是为了证明PP是完备的 一致的 技术合理的 而且适合于作为一个可评估TOE的安全要求的声明 98 通用准则CC 针对TOE的ST评估是依照CC第3部分的ST评估准则进行的ST评估具有双重目标 首先是为了证明ST是完备的 一致的 技术合理的 而且适合于用作相应TOE评估的基础其次 当某一ST宣称与某一PP一致时 证明ST满足该PP的要求 99 通用准则CC TOE评估是使用一个已经评估过的ST作为基础 依照CC第3部分的评估准则进行的评估的目标是为了证明TOE满足ST中的安全要求 100 通用准则CC 三种评估的关系 101 通用准则CC CC的第二部分是安全功能要求 对满足安全需求的诸安全功能提出了详细的要求另外 如果有超出第二部分的安全功能要求 开发者可以根据 类 族 组件 元素 的描述结构表达其安全要求 并附加在其ST中 102 通用准则CC CC共包含的11个安全功能类 如下 FAU类 安全审计FCO类 通信FCS类 密码支持FDP类 用户数据保护FIA类 标识与鉴别FMT类 安全管理FPR类 隐秘FPT类 TFS保护FAU类 资源利用FTA类 TOE访问FTP类 可信信道 路径 103 通用准则CC CC的第三部分是评估方法部分 提出了PP ST TOE三种评估 共包括10个类 但其中的APE类与ASE类分别介绍了PP与ST的描述结构及评估准则维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求只有七个安全保证类是TOE的评估类别 104 通用准则CC 七个安全保证类ACM类 配置管理ADO类 分发与操作ADV类 开发AGD类 指导性文档ALC类 生命周期支持ATE类 测试AVA类 脆弱性评定 105 通用准则CC 1998年1月 经过两年的密切协商 来自美国 加拿大 法国 德国以及英国的政府组织签订了历史性的安全评估互认协议 IT安全领域内CC认可协议根据该协议 在协议签署国范围内 在某个国家进行的基于CC的安全评估将在其他国家内得到承认截止2003年3月 加入该协议的国家共有十五个 澳大利亚 新西兰 加拿大 芬兰 法国 德国 希腊 以色列 意大利 荷兰 挪威 西班牙 瑞典 英国及美国 106 通用准则CC 该协议的参与者在这个领域内有共同的目的即 确保IT产品及保护轮廓的评估遵循一致的标准 为这些产品及保护轮廓的安全提供足够的信心 在国际范围内提高那些经过评估的 安全增强的IT产品及保护轮廓的可用性 消除IT产品及保护轮廓的重复评估 改进安全评估的效率及成本效果 改进IT产品及保护轮廓的证明 确认过程 107 通用准则CC 美国NSA内部的可信产品评估计划 TPEP 以及可信技术评价计划 TTAP 最初根据TCSEC进行产品的评估 但从1999年2月1日起 这些计划将不再接收基于TCSEC的新的评估 此后这些计划接受的任何新的产品都必须根据CC的要求进行评估 到2001年底 所有已经经过TCSEC评估的产品 其评估结果或者过时 或者转换为CC评估等级 NSA已经将TCSEC对操作系统的C2和B1级要求转换为基于CC的要求 或PP NSA正在将TCSEC的B2和B3级要求转换成基于CC的保护轮廓 但对TCSEC中的A1级要求不作转换 TCSEC的可信网络解释 TNI 在使用范围上受到了限制 已经不能广泛适用于目前的网络技术 因此 NSA目前不计划提交与TNI相应的PP 108 通用准则CC 109 标准介绍 信息技术安全评估准则发展过程可信计算机系统评估准则 TCSEC 可信网络解释 TNI 通用准则CC 计算机信息系统安全保护等级划分准则 信息系统安全评估方法探讨 110 系统安全保护等级划分准则 我国政府及各行各业在进行大量的信息系统的建设 并且已经成为国家的重要基础设施计算机犯罪 黑客攻击 有害病毒等问题的出现对社会稳定 国家安全造成了极大的危害 信息安全的重要性日益突出信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度 111 系统安全保护等级划分准则 大多数信息系统缺少有效的安全技术防范措施 安全性非常脆弱我国的信息系统安全专用产品市场一直被外国产品占据 增加了新的安全隐患因此 尽快建立能适应和保障我国信息产业健康发展的国家信息系统安全等级保护制度已迫在眉睫 112 系统安全保护等级划分准则 为了从整体上形成多级信息系统安全保护体系为了提高国家信息系统安全保护能力为从根本上解决信息社会国家易受攻击的脆弱性和有效预防计算机犯罪等问题 中华人民共和国计算机信息系统安全保护条例 第九条明确规定 计算机信息系统实行安全等级保护 113 系统安全保护等级划分准则 为切实加强重要领域信息系统安全的规范化建设和管理全面提高国家信息系统安全保护的整体水平使公安机关公共信息网络安全监察工作更加科学 规范 指导工作更具体 明确 114 系统安全保护等级划分准则 公安部组织制订了 计算机信息系统安全保护等级划分准则 国家标准于1999年9月13日由国家质量技术监督局审查通过并正式批准发布于2001年1月1日执行 115 系统安全保护等级划分准则 该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据为安全产品的研制提供了技术支持为安全系统的建设和管理提供了技术指导是我国计算机信息系统安全保护等级工作的基础 116 系统安全保护等级划分准则 GA388 2002 计算机信息系统安全等级保护操作系统技术要求 GA391 2002 计算机信息系统安全等级保护管理要求 GA T387 2002 计算机信息系统安全等级保护网络技术要求 GA T389 2002 计算机信息系统安全等级保护数据库管理系统技术要求 GA T390 2002 计算机信息系统安全等级保护通用技术要求 117 系统安全保护等级划分准则 准则 规定了计算机系统安全保护能力的五个等级 即 第一级 用户自主保护级第二级 系统审计保护级第三级 安全标记保护级第四级 结构化保护级第五级 访问验证保护级 118 系统安全保护等级划分准则 用户自主保护级 计算机信息系统可信计算基通过隔离用户与数据 使用户具备自主安全保护的能力 它具有多种形式的控制能力 对用户实施访问控制 即为用户提供可行的手段 保护用户和用户组信息 避免其他用户对数据的非法读写与破坏 119 系统安全保护等级划分准则 系统审计保护级 与用户自主保护级相比 计算机信息系统可信计算基实施了粒度更细的自主访问控制它通过登录规程 审计安全性相关事件和隔离资源 使用户对自己的行为负责 120 系统安全保护等级划分准则 安全标记保护级 计算机信息系统可信计算基具有系统审计保护级所有功能此外 还提供有关安全策略模型 数据标记以及主体对客体强制访问控制的非形式化描述具有准确地标记输出信息的能力消除通过测试发现的任何错误 121 系统安全保护等级划分准则 结构化保护级 计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体此外 还要考虑隐蔽通道计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素 122 系统安全保护等级划分准则 计算机信息系统可信计算基的接口也必须明确定义 使其设计与实现能经受更充分的测试和更完整的复审加强了鉴别机制支持系统管理员和操作员的职能提供可信设施管理增强了配置管理控制系统具有相当的抗渗透能力 123 系统安全保护等级划分准则 访问验证保护级计算机信息系统可信计算基满足访问监控器需求访问监控器仲裁主体对客体的全部访问访问监控器本身是抗篡改的 必须足够小 能够分析和测试 124 系统安全保护等级划分准则 访问验证保护级支持安全管理员职能扩充审计机制 当发生与安全相关的事件时发出信号提供系统恢复机制系统具有很高的抗渗透能力 125 标准介绍 信息技术安全评估准则发展过程可信计算机系统评估准则 TCSEC 可信网络解释 TNI 通用准则CC 计算机信息系统安全保护等级划分准则 信息系统安全评估方法探讨 126 信息系统安全评估方法 信息系统安全评估面临的问题 信息系统本身的复杂性 信息系统安全评估中构件与系统安全性的关系 穿透测试 penetrationtesting 不能全面反映信息系统的安全保护能力 127 信息系统安全评估方法 目标 结合实际应用需求 从技术的角度提出一种信息系统安全评估方法 解决构件组装安全性评估问题 建立一种具有适应性及可扩充性的信息系统安全要素评估模型 研制信息系统安全评估的辅助工具 为在实际工作中开展信息系统安全保护等级评估提供理论及技术的支持 128 假设 威胁可能来自系统外部 也可能来自系统内部 系统的安全性取决于系统中最薄弱的环节 构件安全性评估数据已知 129 访问路径 访问路径 130 访问路径 访问路径 131 评估结果的类型 132 安全要素分类及构件间的关系 组装互补性安全要素组装关联性安全要素组装独立性安全要素 构件间的依赖关系构件间的关联关系 133 构件间依赖关系的性质 构件间依赖关系的性质 134 组装互补性安全要素 自主访问控制数据完整性身份鉴别审计强制访问控制 135 构件间关联关系要求 审计 在一条访问路径所包含的构件中 如果所有与某个事件 如涉及多个构件的一次网络访问行为 相关的审计信息能够通过某种标识关联起来 且各构件对审计记录的查阅 存储 保护等策略相一致 则称这条访问路径中的构件就审计而言满足关联关系 标记 在一条访问路径中 若各构件对其主 客体的敏感标记定义之间无冲突存在 则称这条访问路径中的构件就标记而言满足关联关系 136 构件组装安全性评估模型 规则1 安全要素集E上访问路径安全保护等级评估规则安全要素集E上信息系统安全保护等级评估规则 137 访问路径的标识 评估对象拓扑结构分析标识用户发起访问的逻辑位置根据系统提供的应用服务 确定