信息安全有关标准标准的发展一.国际标准的发展

第三章 信息安全有关标准第一节 标准的发展一 国际标准的发展 1960年代末，1970年代初，美国出现有关论文。可信Ttusted，评测级别，DoD美国防部1967年10月，美国防科委赞助成立特别工作组。1970年，Tast Force等人计算机系统的安全控制（始于1967年）。1970年代初，欧、日等国开始。1970年2月，美发表计算机系统的安全控制。1972年，美发表DoD5200.28条令。1972年，美DoD自动数据处理系统的安全要求1973年，美DoDADP安全手册-实施、撤消、测试和评估安全的资源共享ADP系统的技术与过程1973年，美发表DoD5200.28-M（.28相应的指南）。1976年，MITRE公司的Bell、LaPadula推出经典安全模型贝尔-拉柏丢拉模型（形式化）。1976年，美DoD主要防卫系统中计算机资源的管理1976年，美联邦信息处理标准出版署FIPS PUB制订计算机系统安全用词。1977年，美国防研究与工程部赞助成立DoD（Computer Security Initiative，1981年01月 成立DoD CSC）。1977年3月，美NBS成立一个工作组，负责安全的审计。1978年，MITRE公司发表可信计算机系统的建设技术评估标准。1978年10月，美NBS成立一个工作组，负责安全的评估。1983年，美发布“可信计算机系统评价标准TCSEC”桔皮书（1985年正式版DoD85）。DoD85：四类七级：D、C（C1、C2）、B（B1、B2、B3）、A（后又有超A）。1985年，美DoD向DBMS，NET环境延伸。1991年，欧四国(英、荷兰、法等)发布“信息技术安全评价标准IT-SEC”。1993年，加拿大发布“可信计算机系统评价标准CTCPEC”。国际标准组织IEEE/POSIX的FIPS，X/OPEN。1993年，美DoD在C4I(命令、控制、通信、计算机、集成系统)上提出多级安全MIS技术。1994年4月，美国家计算机安全中心NCSC颁布TDI可信计算机系统评估标准在数据库管理系统的解释。1994年，美、加、欧的信息技术安全评测公共标准CC V0.9，1996年为1.0版本。与上述标准不同，目前信息安全尚无统一标准。影响较大的：美TCSEC 桔皮书及红皮书（桔皮书在网络环境下和解释）；美信息系统安全协会ISSA的GSSP（一般接受的系统原则）（与C2不同，更强调个人管理而不是系统管理）；日本计算机系统安全规范；英国制订自己的安全控制和安全目标的评估标准（1989年）；西德信息安全部门的信息安全技术的安全评价标准（1989年）；加拿大、新西兰、欧盟。二 我国1994年2月，国务院“计算机信息安全保护条例”近年，靠近TDI，TCSEC的国际标准。一般C2级，部分C1级。日本还处于开始阶段CoBASE系统。第二节 概述一基本概念1桔皮书TCSEC与数据库解释TDI（Trusted Computer System Evaluation Criteria）设计、实现时要：数学模型、型式化描述、验证技术。（1）提供一标准 可信度评估（2）提供制造原则（3）提供有关方面的解释 可信数据库解释TDI（Trusted Database Interpretation） 可信网络解释 TNI（Trusted Network Interpretation）1987年4组division七等级class偏序兼容向下、层次化、积聚性。可信计算基TCB（Trusted Computing Base）硬件与支持不可信应用及不可信用户的操作系统组合体。B级开始要求强制存取控制和形式化模型的应用。A1级要求形式化描述、验证，形式化隐秘通道（Covert Channel）分析等。二我国信息安全标准1995年，GB/T9387-2-1995相当于ISO7498-2-1989（最早1984年提出）1996年，GJB2646-96军用计算机安全评估准则相当于桔皮书1999年，GB17859-1999计算机系统安全特性等级划分准则GB4943-1995信息技术设备的安全（IEC950）GB9254-88信息技术设备的无线电干扰限值和测量方法GB9361-88计算机场地安全GB/T9387.2-1995OSI的第二部分安全体系结构ISO7498.2：1989GB/T15277-1994信息处理64位块加密算法ISO8372：1987GB/T15278-1994 信息技术数据加密，物理层互操作性要求ISO9160：1988GB15851-1995信息技术安全技术，带消息恢复的数字签名方案ISO/IEC9796：1991GB15852-1995 信息技术安全技术，用块加密算法校验函数的数据完整性ISO/IEC9797：1994 GB15853.1-1995信息技术安全技术，实体鉴别机制部分：一般模型ISO/IEC 9798.1：1991GB15853.2-1995信息技术安全技术，实体鉴别机制部分：对称加密算法的实体鉴别ISO/IEC9798.2：1994GB15853.3信息技术安全技术，实体鉴别机制部分：非对称签名技术机制ISO/IEC9798.3：1997GB15853.7信息技术开放系统连接-系统管理-安全报警功能ISO/IEC10164-7：1992GB15853.8 信息技术开放系统连接-系统管理-安全审计跟踪ISO/IEC10164-8：1993国家军用标准：GJB1281-91 指挥自动化计算机网络安全要求GJB1295-91 军队通用计算机使用安全要求GJB1894-94 自动化指挥系统数据加密要求GJB2256-94 军用计算机安全术语GJB2646-96 军用计算机安全评估准则GJB2824-97 军用数据库安全要求正制定： 分组过滤防火墙防火墙系统安全技术要求 应用网关防火墙网关安全技术要求 网络代理服务器和信息选择平台安全标准 鉴别机制标准 数字签名机制标准 安全电子商务标准部分：抗抵赖机制 网络安全服务标准：信息系统安全性评价准则及测试规范 安全电子数据交换标准 安全电子商务标准部分：密钥管理框架 路由器安全技术要求 信息技术N位块密码算法的操作方式 信息技术开放系统互连-上层安全模型信息技术开放系统互连-网络层安全模型信息技术安全技术-实体鉴别部分-用加密校验函数的机制三几种等级1GB17859-1999计算机系统安全保护等级划分与准则 具体等级：第1级 用户自主保护级第2级 系统审计保护级第3级 安全标记保护级第1级 结构化保护级第1级 访问验证保护级2TCSEC等级（1）TCSEC等级A1 设计的形式化验证Verified DesignB3 安全域 Security DomainsB2 结构化保护 Structural ProtectionB1 带标记的安全保护 Labeled Security ProtectionC2 受控制的存取保护 Controlled Access ProtectionC1 自主安全保护 Discretionary Security Protection D 最小保护 Minimal Protection（2）TCB 可信度算基操作系统级含：操作系统内核具有特权的程序和命令处理敏感信息的程序，如系统管理命令与TCB实施安全策略有关的文档资料保障固件和硬件正确运行的程序和诊断程序构成系统的固件和硬件负责系统管理的人员TCSEC设计目标是将TCB做得尽可能少只考虑系统安全性，不考虑系统中其他与系统安全无关的因素。四各级标准及其应用背景每一较高级别的都是其较底级别的超集安全评测标准四方面：安全策略，责任，保证，相关文档D级：不好的统统放入DOSC1级：很初级商业系统C2级：安全产品的最低档次 WinNT3.5，Open VMS VAX6.0、6.1，oracle7，Sybase的SQL Server11.0B1级: 强制存取控制，审计，真正的安全产品 SEVMS VAX 6.0，HP-UX BLS release 9.0.9+incorporated INFORMIX-Online/Secure5.0，Trusted Oracle7，Sybase Secure SQL Server V11.0.6 B2：产品很少Trusted XENIX（操作系统），LLC VSLAN（网络）理论研究，产品化及商品化程度不高，特殊应用军队 美：很先进，已有一批产品，欲下放到商业应用中我国1998年，初级阶段，应用少 COSA中国开放系统平台，有B2级的COSIX 操作系统和B1级的COBASE数据库第三节 TCSEC/TDT安全标准一安全级别的划分1 说明（4方面）（1）R1安全策略R1.1自主存取控制 R1.2 客体重用 *R1.3 标记R1.3.1 标记完整性R1.3.2 标记信息的扩散R1.3.3 主体敏感度标记R1.3.4 设备标记 R1.4 强制存取控制（2）R2 责任R2.1标识与鉴别 R2.1.1 可信路径 *R2.2 审计（3）R3 保证R3.1 操作保证*R3.1.1 系统体系结构R3.1.2 系统完整性R3.1.3 隐蔽信道分析R3.1.4 可信设施管理区分操作员，管理员和安全管理员等的不同功能R3.1.5 可信恢复 R3.2 生命周期保证R3.2.1 安全测试*R3.2.2 设计规范和验证R3.2.3 配置管理R3.2.4 可信分配 主数据与其现场拷贝之间映射的完整性（4）R4文档R4.1 安全特性用户指南R4.2 可信设施手册R4.3 测试文档R4.4 设计手册(加*的有针对DBMS的专门解释)（5）安全要求相邻的安全级之间随级别升高,安全性能指标：从无到有 New；相同Same；改变Change；新增Add安全要求:安全1 安全策略2责任3保证4文档级别1.11.21.3.1.2.3.41.42.12.1.12.23.1.1.2.3.4.5 3.2.1.2.3.44.14.24.34.4C1C2B1B2B3A1 NCASSCASNSSSS N N S S N N S S S S S S S SNCSSN/-A/-C/-S/NS/CS/SNCAASN NA SA SC S N NA S C A NS S A S SNAN NC CA NC A SC CA CA NNSSSSSNAAAASNSSASANSACAA说明：B级跳跃大；C2级用户能对各自的行为负责,使用LOG-ON登录，审计跟踪与安全性有关的事件和资源隔离；B1级能使用标记机制对特定的客体进行强制存取控制。二安全级别介绍1D组最低安全类最小保护。2C组自由选择性安全保护自主保护，引入审计功能，可对主体其行为进行审计。（1）C1级自主安全保护，对用户和数据的分离，保护或限制用户权限的传播。（系统管理员安全有问题，多人知道根口令）（2）C2级比C1更精细（自主存取控制）受控安全保护，以个人身份注册负责，实施审计和资源隔离。A安全策略自主存取控制保护对象以避免非授权存取，对存取权限的传播提供控制，存取控制粒度达单个用户。对象重用当系统资源被回收并重新利用时，先前的在资源上存储的信息不应被现在的资源拥有者所看到。B责任标识与验证当用户要求可信计算基TCB完成某工作时，TCB首先应当要求用户提供身份证明，再使用某保护机制（如口令）来验证用户提供的身份证明。责任落实到个体，将标识操作与可审计的动作关联起来。审计TCB能建立、维护以及保护审计记录不被更改、破坏或受到非授权存取。能记录：使用标识，验证机制；向用户地址空间引入对象；删除对象；操作员/管理员/安全主管发出的动作；其他与安全有关的事件。审计项：事件发生的日期与时间，涉及的用户，事件类型，事件成功或失败。能通过对个体的识别，有选择地审计任何一个或多个用户。C保证操作性保证涉及系统结构TCB为自己的操作维护一域，从而防止外部的干涉或篡改；有关系统完整性用硬件或软件可周期地对TCB的正确性作出验证。生命周期保证进行安检以符合标准。保证没有明显的旁路可绕过或欺骗TCB的安全保护机制。检查是否存在明显的漏路（违背对资源的隔离，造成对审计或验证数据的非法操作）。D文档三个是必需的安全特性用户指南提供什么机制，如何使用之以及这些机制之间的关系。可信设备手册（系统管理员用）对控制的职责和特权提出建议，如何检查维护审计文件以及详细审计记录结构的程序。测试文档解释保护策略及其如何应用到TCB上；当TCB由多模块组成时，还应对模块间接口进行描述。3B组强制性安全保护强制保护：定义及保持标记的完整性，引用监视的概念。（1）B1级标识安全保护A安全策略自主存取控制和对象重用与C2完全相同有关标记的内容TCB维护所有敏感标识控制下的主体和客体（极端例子即每一对象都上一把锁，形成用户标识、加密标记的双重保护）。TCB要求授权用户提供无标识数据的安全级别，并且要求与之相关的动作都可审计的。 涉及：标识完整性被标识信息的导出方式（TCB设每信道和I/O设备或为单一安全级别，或为多重安全级别，这种级别的改变由手工完成且能审计）强制存取控制区别于C级的最重要特征，是B组安全机制的关键所在。如L(s)=L(o)，则主体S能读客体O如L(s)=L(o)，则主体S能写客体OB责任标识和认证维护认证数据，清除和授权信息。为每一用户提供唯一的身份并与相应个体的所有可审计动作关联起来。审计与C2差别不大。增加：审计任何试图违反可读输出标记的行为。C保证操作保证对系统结构方面，TCB可通过控制独立地址空间来维护进程的隔离。对身份完整方面，B1与C2完全相同。生命周期保证提供设计文档，源代码以及目标代码，以供彻底地分析和测试。确保任何用户使TCB陷入无法和其他用户通讯的境地。能清除或补救缺陷，并再次测试以证明所有漏洞确实清除，且没有引入新漏洞。模型可以是形式化的，也可以是非形式化的。D文档 4种手册安全特性文档与C2完全相同。可信设备手册描述责任，包括改变用户的安全机制；安全标识对普通用户是不可变更的；赋予特权-“后门”。测试文档与C2要求相同。设计文档有一TCB所实行安全策略的模型，它可形式化，也可非形式化，且证明该模型满足安全策略的需求。（2）B2级结构化保护形式化，能找出隐秘通道（监控对象在不同安全环境下的移动过程（如两进程间的数据传递），具体有定时、存贮两种类型的隐秘通道），加强验证机制，更安全的评测，更严格的配置控制；可多级安全标记。（3）B3级安全域保护必须满足访问监控器要求，审计跟踪能力更强，提供系统恢复过程。能抗篡改（保证自身安全），TCB足够小以利分析和测试（为理论上验证提供保证），支持安全管理员角色，引用监视器参与所有主体对客体的存取（保证不存在旁路），用户终端必须通过一可信话途径连到系统上。用安装硬件的方法来加强域，例如：用内存管理硬件来防止无授权访问；基准监控器，用于追踪对象的使用情况。4A组验证设计验证设计给出形式化设计说明和验证。系统安全管理器；设计，控制，验证，创建安全模型。部件来源有安全保证，销售/运输中严密跟踪，严格的配置管理。第四节产品重要的TCSEC，TDI。美的多数大型DBMS通过NCEC的安全认证，达到B1级，个别系统已达B2级。国内：C级，部分C1级，B级处于开始阶段。美NCSC，1994年4月，颁布TDI（数据库）为生产者，评估者及研究者提供权威根据。HP，1996年3月，领导发布X/Open Security Branding计划，推出国际密码架构ICF策略，推出HP UXCMW B1级OS（通过TC-SE的ITSEC评测）。还推出Security Mail.在我国市场推出HP Praesidium系列产品，其中HP P/Virtual Valut(VVOS)是使用了B1级的核心。HP在NCSC评测的B1级的OS为HP-UX BLS。DEC的C2级OS为Digital Unix和 Open