安全评价标准PPT课件

精品课件 1 第14章安全评价标准 精品课件 2 主要内容 可信计算机系统评价标准通用评估准则CC我国信息系统安全评价标准 精品课件 3 计算机系统的提供者需要对他们的产品的安全特性进行说明 而用户则需要验证这些安全特性的可靠性 国际上有多种为计算机安全系统构筑独立审查措施的安全评价体系 其内容和发展深刻地反映了对信息安全问题的认识程度 精品课件 4 14 1可信计算机系统评价标准 1985年12月美国国防部公布了评价安全计算机系统的六项标准 这套标准的文献名称即为 可信计算机系统评价标准 TrustedComputerSystemEvaluationCriteria 简记为TCSEC 又称为橘皮书 精品课件 5 14 1 1TCSEC的主要概念 1 考核标准 1 安全策略 SecurityPolicy 2 标识 Identification 3 标记 Marking 4 可记账性 Accountability 5 保障机制 Assurance 6 连续性保护 ContinuousProtection 精品课件 6 2 主要概念安全性可信计算基 TCB 自主访问控制 DiscretionaryAccessControl DAC 强制访问控制 MandatoryAccessControl MAC 隐蔽信道 精品课件 7 3 系统模型 精品课件 8 14 1 2计算机系统的安全等级 TCSEC将可信计算机系统的评价规则划分为四类 即安全策略 可记账性 安全保证措施和文档 精品课件 9 根据计算机系统对上述各项指标的支持情况及安全性相近的特点 TCSEC将系统划分为四类 Division 七个等级 精品课件 10 1 D安全级最低级别 一切不符合更高标准的系统 统统归于D级 2 C1安全级只提供了非常初级的自主安全保护 称为自主安全保护系统 现有的商业系统往往稍作改进即可满足要求 精品课件 11 3 C2安全级称为可控安全保护级 是安全产品的最低档次很多商业产品已得到该级别的认证 达到C2级的产品在其名称中往往不突出 安全 Security 这一特色 精品课件 12 4 B1安全级又称为带标记的访问控制保护级 其在C2级的基础上增加了或加强了标记 强制访问控制 审计 可记账性和保障等功能 B1级能够较好地满足大型企业或一般政府部门对数据的安全需求 这一级别的产品才被认为是真正意义上的安全产品 满足此级别的产品前一般多冠以 安全 Security 或 可信的 Trusted 字样 B类安全包含三个级别 B1 B2 B3级 他们都采用强制保护控制机制 精品课件 13 B2安全级称为结构化保护级 该级系统的设计中把系统内部结构化地划分成明确而大体上独立的模块 并采用最小特权原则进行管理 目前 经过认证的B2级以上的安全系统非常稀少 精品课件 14 B3安全级又称为安全域保护级 该级的TCB必须满足访问监控器的要求 审计跟踪能力更强 并提供系统恢复过程 精品课件 15 A1安全级又称为可验证设计保护级 即提供B3级保护的同时给出系统的形式化设计说明和验证以确信各安全保护真正实现 精品课件 16 14 2通用评估准则CC CC CommonCriteriaforInformationTechnologySecurityEvaluation 标准是国际标准化组织ISO IECJTC1发布的一个标准 是信息技术安全性通用评估准则 用来评估信息系统或者信息产品的安全性 精品课件 17 14 2 1CC的主要用户 CC的主要用户包括消费者 开发者和评估者 1 消费者消费者可以用评估结果来决定一个已评估的产品和系统是否满足他们的安全需求 精品课件 18 2 开发者CC为开发者在准备和参与评估产品或系统以及确定每种产品和系统要满足安全需求方面提供支持 3 评估者当要做出TOE及其安全需求一致性判断时 CC为评估者提供了评估准则 精品课件 19 14 2 2CC的组成 CC分为三个部分1 简介和一般模型 正文介绍了CC中的有关术语 基本概念和一般模型以及与评估有关的一些框架 附录部分主要介绍保护轮廓 PP 和安全目标 ST 的基本内容 2 安全功能要求 按 类 族 组件 的方式提出安全功能要求 提供了表示评估对象TOE安全功能要求的标准方法 精品课件 20 3 安全保证要求 定义了评估保证级别 建立了一系列安全保证组建作为表示TOE保证要求的标准方法 CC的三个部分相互依存 缺一不可 精品课件 21 精品课件 22 14 2 3评估保证级别EAL 评估保证级别是评估保证要求的一种特定组合 保证包 是度量保证措施的一个尺度 这种尺度的确定权衡了所获得的保证级别以及达到该保证级别所需的代价和可能性 在CC中定义了7个递增的评估保证级 精品课件 23 1 EAL1 功能测试EAL1适用于对正确运行需要一定信任的场合2 EAL2 结构测试要求开发者递交设计信息和测试结果 但不需要开发者增加过多的费用或时间的投入 精品课件 24 3 EAL3 方法测试和校验在不需要对现有的合理的开发规则进行实质性改进的情况下 EAL3可使开发者在设计阶段能从正确的安全工程中获得最大限度的保证 精品课件 25 4 EAL4 系统地设计 测试和评审基于良好而严格的商业开发规则 在不需额外增加大量专业知识 技巧和其他资源的情况下 开发者从正确的安全工程中所获得的保证级别最高可达到EAL4 精品课件 26 5 EAL5 半形式化设计和测试适当应用专业性的一些安全工程技术 并基于严格的商业开发实践 EAL5可使开发者从安全工程中获得最大限度的保证 精品课件 27 6 EAL6 半形式化验证的设计和测试EAL6允许开发者通过在一个严格的开发环境中使用安全工程技术来获得高度保证 以便生产一个优异的TOE来保护高价值的资源避免重大的风险 精品课件 28 7 EAL7 形式化验证的设计和测试EAL7适用于在极端高风险的形势下 并且所保护的资源价值极高 值得花费更高的开销进行安全TOE的开发 精品课件 29 14 2 4CC的特点 CC比起早期的评估准则其特点体现在其结构的开放性 表达方式的通用性以及结构和表达方式的内在完备性和实用性等四个方面 精品课件 30 14 3我国信息系统安全评价标准 公安部提出并组织制定了强制性国家标准GB 17859 1999 计算机信息安全保护等级划分准则 该准则于1999年9月13日经国家质量技术监督局发布 并于2001年1月1日起实施 精品课件 31 14 3 1所涉及的术语 1 计算机信息系统 ComputerInformationSystem 计算机信息系统是由计算机及其相关的和配套的设备 设施 含网络 构成的 按照一定的应用目标和规则对信息进行采集 加工 存储 传输 检索等处理的人机系统 2 计算机信息系统可信计算基 TrustedComputingBaseofComputerInformationSystem 计算机系统内保护装置的总体 包括硬件 固件 软件和负责执行安全策略的组合体 它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务 3 客体 Object 信息的载体 4 主体 Subject 引起信息在客体之间流动的人 进程或设备等 精品课件 32 所涉及的术语 5 敏感标记 SensitivityLabel 表示客体安全级别并描述客体数据敏感性的一组信息 可信计算基中把敏感标记作为强制访问控制决策的依据 6 安全策略 SecurityPolicy 有关管理 保护和发布敏感信息的法律 规定和实施细则 7 信道 Channel 系统内的信息传输路径 8 隐蔽信道 CovertChannel 允许进程以危害系统安全策略的方式传输信息的通信信道 精品课件 33 所涉及的术语 9 访问监控器 ReferenceMonitor 监控主体和客体之间授权访问关系的部件 10 可信信道 TrustedChannel 为了执行关键的安全操作 在主体 客体及可信IT产品之间建立和维护的保护通信数据免遭修改和泄露的通信路径 11 客体重用 在计算机信息系统可信计算基的空闲存储客体空间中 对客体初始制定 分配或再分配一个主体之前 撤销该客体所含信息的所有授权 当主体获得对一个已被释放的客体的访问权时 当前主体不能获得原主体活动所产生的任何信息 精品课件 34 14 3 2等级的划分及各等级的要求 1 第一级用户自主保护级 1 自主访问控制 2 身份鉴别 3 数据完整性 精品课件 35 2 第二级系统审计保护级 1 自主访问控制 2 身份鉴别 3 客体重用 4 审计 5 数据完整性 精品课件 36 3 第三级安全标记保护级 1 自主访问控制 2 强制访问控制 3 标记 4 身份鉴别 5 客体重用 6 审计 7 数据完整性 精品课件 37 4 第四级结构化保护级 1 自主访问控制 2 强制访问控制 3 标记 4 身份鉴别 5 客体重用 6 审计 7 数据完整性 8 隐蔽信道分析 9 可信路径 精品课件 38 5 第五级