税务系统网络与安全信息生产管理技术培训.ppt

税务系统网络与信息安全技术培训班安全标准2004年6月,要点,一、信息安全及标准化介绍二、基础标准三、技术机制安全标准四、应用安全标准五、管理类安全标准六、信息安全标准对比,一、信息安全及标准化介绍,信息安全概述标准化基础知识国际信息安全标准化组织我国信息安全标准化归口单位信息安全标准体系,21世纪，国家经济与社会文化发展的主要战略目标与技术产业动力，国家实现现代化的基本途径内容：领域信息化党政机关国防军事银行证券新闻文化社会基础设施（电力、航空、交通等）区域信息化（北京、上海、深圳等）社区信息化企业信息化家庭信息化,1.信息安全概述,性质：信息技术以网络化的方式应用于社会生活各方面时，对国家、社会、个人安全利益的侵害与保护关键点：安全利益：国家、社会、个人的生存和发展的利益信息技术：侵害信息、信息系统（网络化）以及信息和信息系统关联的主体（国家、社会、个人）的特定安全利益保护信息、信息系统（网络化）以及信息和信息系统关联的主体（国家、社会、个人）的特定安全利益核心问题：信息技术：特性和过程结果可侵害或保护国家、社会、个人的安全利益,信息安全,党的十五届五中全会和第九届人大第六次会议决定建立国家信息安全保障体系性质：国家以国家意志和国家行为的方式，在信息技术方面所形成的用于保护其安全利益的资源和能力，这种资源和能力体现为特定形态和过程的技术结构、社会结构和人才结构内容技术资源管理资源人力资源,信息安全保障体系,2.标准化基础,标准：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为基础，经有关方面协商一致，由主管部门批准，以特定的方式发布，作为共同遵守的准则和依据。强制性标准：保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。我国标准分四级：国家标准、行业标准、地方标准、企业标准。,国家标准：对需要在全国范围内统一的技术要求(含标准样品的制作）。GB/TXXXX.X-200XGBXXXX-200X行业标准：没有国家标准，需要在全国某个行业范围内统一的技术要求。GA,SJ地方标准：没有国家标准、行业标准而又需要在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求。DBXX/TXXX-200XDBXX/XXX-200X企业标准：对企业范围内需要统一的技术要求、管理要求和工作要求。QXXX-XXX-200X,标准分类,标准化定义,标准化：为在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动实质：通过制定、发布和实施标准，达到统一。目的：获得最佳秩序和社会效益。,标准化对象,标准化三维空间,国际级区域级国家级行业级地方级企业级,人员服务系统产品过程,管理,应用,技术机制,体系、框架,术语,X,Y,Z,X轴代表标准化对象，Y轴代表标准化的内容，Z轴代表标准化的级别。,标准化原理,我国通行“标准化八字原理”：“统一”原理“简化”原理“协调”原理“最优”化原理,采标,等同采用idt（identical）：指技术内容相同，没有或仅有编辑性修改，编写方法完全相对应；修改采用MOD（modified）：与国际标准之间存在技术性差异，有编辑性修改，可能不采用部分条款非等效采用NEQ（notequivalent）：指技术内容有重大差异，只表示与国际标准有关。,3.国际信息安全标准化组织,ISOIECITUIETF美国欧洲英国加拿大日本韩国,信息安全标准化组织ISO,JTC1SC27，信息技术-安全技术ISO/TC68银行和有关的金融服务SC2，安全管理和通用银行运作；SC4，安全及相关金融工具；SC6，零售金融服务。JTC1其他分技术委员会：SC6系统间通信与信息交换，主要开发开放系统互连下四层安全模型和安全协议，如ISO9160、ISO/IEC11557。SC17识别卡和有关设备，主要开发与识别卡有关的安全标准ISO7816SC18文件处理及有关通信，主要开发电子邮件、消息处理系统等。SC21开放系统互连，数据管理和开放式分布处理，主要开发开放系统互连安全体系结构，各种安全框架，高层安全模型等标准，如:ISO/IEC7498-2、ISO/IEC9594-1至8。SC22程序语言，其环境及系统软件接口，也开发相应的安全标准。SC30开放式电子数据交换，主要开发电子数据交换的有关安全标准。如ISO9735-9、ISO9735-10。,信息安全标准化组织IEC/ITU,IECTC56可靠性；TC74IT设备安全和功效；TC77电磁兼容；CISPR无线电干扰特别委员会ITU前身是CCITT消息处理系统目录系统(X.400系列、X.500系列)安全框架安全模型等标准,信息安全标准化组织IETF,IETF（170多个RFC、12个工作组）PGP开发规范(openpgp)；鉴别防火墙遍历(aft)；通用鉴别技术(cat)；域名服务系统安全(dnssec)；IP安全协议(ipsec)；一次性口令鉴别(otp)；X.509公钥基础设施(pkix)；S/MIME邮件安全(smime)；安全Shell(secsh)；简单公钥基础设施(spki)；传输层安全(tls)Web处理安全(wts),信息安全标准化组织美国,ANSINCITS-T4制定IT安全技术标准X9制定金融业务标准X12制定商业交易标准NIST负责联邦政府非密敏感信息FIPS-197DOD负责涉密信息NSA国防部指令（DODDI）（如TCSEC）IEEESILS（LAN/WAN）安全P1363公钥密码标准,信息安全标准化组织欧洲,ECMA(欧洲计算机厂商协会)TC32“通信、网络和系统互连”曾定义了开放系统应用层安全结构；TC36“IT安全”负责信息技术设备的安全标准。,信息安全标准化组织英、加、日、韩,英国BS7799医疗卫生信息系统安全加拿大计算机安全管理日本JIS国家标准JISC工业协会标准韩国KISA负责防火墙、IDS、PKI方面标准,4.我国标准工作归口单位,信息安全标委会工作组设置,信息安全标准体系与协调工作组（WG1）内容安全分级及标识工作组（WG2）PKI/PMI工作组（WG4）信息安全评估工作组（WG5）应急处理工作组（WG6）信息安全管理（含工程与开发）工作组（WG7）电子证据及处理工作组（WG8）身份标识与鉴别协议工作组（WG9）操作系统与数据库安全工作组（WG10）,信息安全标准体系与协调工作组(WG1),研究信息安全标准体系；跟踪国际信息安全标准发展动态；研究、分析国内信息安全标准的应用需求；研究并提出新工作项目及设立新工作组的建议；各工作组项目的协调；,PKI/PMI工作组(WG4),PKI结构框架PKI技术模块PKI主要功能PKI/CA结构PKI/数字证书管理PKI/CRL管理PKI/CA间交叉认证PKI/数字证书查询PKI的应用技术和应用模块PKI体系安全保护PMI结构框架PMI技术模块PMI主要功能PMI应用技术PMI管理机制,信息安全评估工作组(WG5),工作范围：与其它工作组协调，组织相关标准制定。主要工作内容：安全评估等级划分；研究国内外信息安全测试、评估与认证标准；对国内已有的测试、评估与认证标准进行统一协调；提出我国目前急需的信息安全测试、评估与认证标准目录。,信息安全管理（含工程与开发）工作组(WG7),工作范围：对信息安全的行政、技术、人员等管理提出规范要求及指导指南信息安全管理指南；信息安全管理实施规范；人员培训教育及录用要求；信息安全社会化服务管理规范；安全策略要求与指南；,5.标准体系,标准体系：一定范围内标准按其内在联系形成的科学的有机整体标准体系是具有层次的，我国全国标准体系表可分成五个层次。,信息安全标准体系,基础类标准技术机制类标准应用类标准安全管理标准,5.1基础类标准,1、信息技术安全词汇2、信息技术安全体系结构3、信息技术安全框架4、信息技术安全模型,5.2技术机制类标准,加密机制签名机制完整性机制鉴别机制访问控制机制抗抵赖机制路由选择控制机制通信业务填充机制公证机制可信功能度事件检测和报警安全审计跟踪安全标记安全恢复,5.3应用类标准,应用基础应用产品应用系统特殊行业,5.4管理类安全标准,管理基础系统管理测评认证,小结（重点记忆）,标准化基础国家标准的写法；公安部标准的写法；等同采标的写法；修改采标的含义；标准化八字原理国外信息安全标准化组织我国信息安全标准化归口我国信息安全标准化归口单位；信息安全标准体系,二、信息安全基础标准,基础标准目录,1、信息技术安全词汇数据处理词汇08部分：控制、完整性和安全性（GB/T5271.8-1993：idtISO2382.8-1996）计算机安全术语规范（GJB2256-94）2、信息技术安全体系结构OSI安全体系结构（9387.2-1995idtISO7498-2）TCP/IP安全体系结构(RFC1825)通用数据安全体系（CDSA）3、信息技术安全框架开放系统安全框架（ISO10181-1）鉴别框架（ISO10181-2）访问控制框架（ISO10181-3）抗抵赖框架（ISO10181-4）完整性框架（ISO10181-5）保密性框架（ISO10181-6）安全审计框架（ISO10181-7）管理框架（ISO7498-4）信息技术安全保证框架(ISO/IECWD15443:1999)信息保障技术框架（IATF）4、信息技术安全模型高层安全模型（ISO10745）（3层）通用高层安全(ISO/IEC11586)低层安全模型(ISO/IEC13594)（四层）传输层安全模型网络层安全模型,1.基于OSI七层协议的安全体系结构,五种安全服务,鉴别：提供对通信中的对等实体和数据来源的鉴别。访问控制：提供保护以对抗开放系统互连可访问资源的非授权使用。可应用于对资源的各种不同类型的访问（例如，使用通信资源，读、写或删除信息资源，处理资源的操作），或应用于对某种资源的所有访问数据机密性：对数据提供保护使之不被非授权地泄露数据完整性：对付主动威胁。在一次连接上，连接开始时使用对某实体鉴别服务，并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证，为这些数据单元的完整性提供确证。抗抵赖：可取有数据原发证明的抗抵赖、有交付证明的抗抵赖两种形式，或两者之一。,与网络各层相关的OSI安全服务,OSI安全服务和安全机制之间的关系,OSI参考模型与TCP/IP的对应关系,2.信息保障（INFO-Assurance）技术框架,IATF-由美国国防部主持编写；2000年9月推出V3.0版本，2003年推出V3.1，预计2005年推出V4.0。IATF定义了对一个系统进行信息保障的过程以及系统中硬件和软件部件的安全需求。遵循这些原则，就可以对信息基础设施进行多层防护深度防御战略。内容包括：IA的概念攻击与对策深度防御的内涵,2.1信息安全保障的概念,信息安全保障:反应InformationAssurance保护（Protect）检测（Detect）反应（React）恢复（Restore）,保护Protect,检测Detect,恢复Restore,反应React,IA,信息保障的几个主要方面,信息保障的原则,信息保障关注的领域,2.2技术上的攻击与对策,IATF的作者充分认为，信息保障要同时依赖于技术和非技术对策。知己知彼敌人的主要目的可以分为三大类：非授权访问非授权篡改对授权访问的拒绝,潜在的敌人,定义了五类攻击,攻击类型图例,2.3纵深防御战略的内涵：,保卫网络和基础设施保卫边界保卫计算环境为基础设施提供支持,2.3.1保卫网络和基础设施,在网络上，有三种不同的通信流：用户通信流-是用户通过网络传输的信息控制通信流-是在网络组件之间传输的、对建立用户连接非常重要的信息（如SS7）管理通信流-是用来配置网络组件或表明网络组件状态的信息，与其相关的协议包括简单网络管理协议（SNMP）、公共管理信息协议（CMIP）、超文本传输协议（HTTP）等，网络管理通信流对于确保网络组件没有被非授权用户改变是非常重要的。,主干网面临三类威胁：可用带宽的损耗；网络管理通信的破坏；网络基础设施的失控。对主干网的攻击手段可能有：主动攻击、被动攻击、内部人员攻击、和软硬件装配分发攻击。,潜在的攻击和可能的对策,2.3.2保卫边界/外部连接,一个区域边界之内通常包含多个局域网以及各种计算资源组件，比如用户平台、网络、应用程序、通信服务器、交换机等。边界环境是比较复杂的，比如它可以包含很多物理上分离的系统。绝大多数边界环境都拥有通向其它网络的外部连接。它与所连接的网络可以在密级等方面有所不同。,边界保护框架图例,对流入、流出边界的数据流进行有效的控制和监督。有效地控制措施包括防火墙、门卫系统、VPN、标识和鉴别/访问控制等。有效的监督措施包括基于网络的如今检测系统（IDS）、脆弱性扫描器、局域网上的病毒检测器等。这些机制可以单独使用，也可以结合使用，从而对边界内的各类系统提供保护。虽然边界的主要作用是防止外来攻击，但它也可以来对付某些恶意的内部人员，这些内部人员有可能利用边界环境来发起攻击，和通过开放后门/隐蔽通道来为外部攻击提供方便,边界保护的主要内容,2.3.3保卫计算环境,计算环境保护关注的问题是：在用户进入、离开或驻留于客户机与服务器的情况下，采用信息保障技术保护其信息的可用性、完整性与隐私。保护计算硬件与软件免受攻击是对付恶意内部攻击者的首道防线，也是对付外部攻击者的最后一道防线。在这两种情况下，保护计算环境都是信息保障的重要一环。计算环境可以位于一个物理上受保护的边界内部，也可以是一个移动用户的主机平台。计算环境包括主机或服务器应用，操作系统和客户机/服务器硬件。目前，深层意义的技术策略已经要求在客户机与服务器上安装安全应用与安全操作系统，以及基于主机的监视。,应用环境是由经验丰富的系统管理员依据安全原理进行维护并正常运行的UNIX或WindowsNT操作系统。许多应用程序具有商业性质，而且其所用的编码语言会影响系统安全。本节指出了C、C+、一些脚本语言（如CGI、PERL、JavaScript和MicrosoftMacro）、JAVA和ActiveX对系统安全可能造成的影响。应用环境假定程序开发代码中没有漏洞。,应用环境,操作系统提供用户共享硬件资源的能力，也支持以某种编码语言完成的软件在不同平台上具有通用性。对于操作系统应该向信息系统与应用安全提供的基本机制与性能，桔皮书、通用运行环境（COE）和CC中均有说明。桔皮书等一些出版物规定的操作系统安全功能由不含密码功能的可信软件实现。最近，人们开始考虑在可信操作系统中加入密码功能。,操作系统环境,2.3.4支撑性基础设施,支撑性基础设施是一套相关联的活动与能够提供安全服务的基础设施的综合。目前深层的策略定义了两种支撑基础设施：密钥管理基础设施/公钥基础设（KMI/PKI）；检测、响应与恢复。,KMI/PKI涉及网络环境的各个环节。密钥管理/公钥基础设施是密码服务的基础。本地的KMI/PKI提供本地授权，广域网范围的KMI/PKI提供证书、目录，以及密钥产生与发布功能。PKI提供不同级别的信息保护。其主要特色之一是提供普遍意义的互操作。,检测与响应基础设施中的组成部分提供攻击预警等功能。构建检测与响应基础设施需要许多功能的支持，目前的技术解决方案无法自动实现这些功能。因此，许多功能只能由分析员、网络操作员与系统管理员负责实现。,PKI受到的攻击有：预谋破坏通信干扰与篡改设计与实施缺陷操作员错误操作员伪装操作员行为不轨或受到胁迫可以采取的保护措施包括：物理保护对设计改良测试培训强认证访问控制加密意外事件计划/系统备份多人控制审计个人选择与监视,潜在的攻击和可能的对策,小结（重点记忆）,OSI安全体系5种服务；服务以及机制在7层上的实现；与TCP/IP模型的对应关系；信息保障技术框架信息保障的内容深度防御的内涵,三、技术机制类安全标准,1、加密机制算法注册(ISO/IEC9979:1999)64位块加密算法操作方式（GB/T15277idtISO8372）n位块加密算法操作方式（GB/T17964idtISO/IEC10116）随机比特生成(ISO/IECWD18031:2000)素数生成(ISO/IECWD18032:2000)密钥管理第1部分：框架（GB17901-1:1999idtISO/IEC11770.1:1996）密钥管理第2部分：使用对称技术的机制(ISO/IEC11770.2:1998）密钥管理第3部分：使用非对称技术的机制(ISO/IEC11770.3:1998）2、签名机制带消息恢复的数字签名方案(GB/T15852：1995idtISO/IEC9796)带附录的数字签名(GB/T17902idtISO/IEC14888)散列函数（ISO/IEC10118）,技术机制类安全标准续,3、完整性机制作密码校验函数的数据完整性机制(GB15852:1995idtISO/IEC9797)消息鉴别码（ISO/IEC9797）校验字符系统(ISO/IECCD7064:1999)4、鉴别机制实体鉴别（GB/T15843idtISO/IEC9798）目录鉴别框架(ISO/IEC9594-8:1997|ITU-TX.509)5、访问控制机制安全信息对象(ISO/IECFDIS15816:1999)6、抗抵赖机制抗抵赖（GB/T17903:1999idtISO/IEC13888：1998）时间戳服务(ISO/IECWD18014:2000)7、路由选择控制机制8、通信业务填充机制网络层安全协议（GB/T17963：2000idtISO/IEC11577：1995）,技术机制类安全标准续2,9、公证机制可信第三方服务管理指南(ISO/IECFDIS14516:1999)可信第三方服务规范(ISO/IECFDIS15945:1999)10、可信功能度11、事件检测和报警IT入侵检测框架(ISO/IECPDTR15947:1999)12、安全审计跟踪13、安全标记用户接口安全标记数据管理安全标记数据交换安全标记数据通信安全标记操作系统安全标记14、安全恢复,四、应用类安全标准,应用基础应用产品应用系统特殊行业,1.应用基础安全标准,（1）物理环境和保障计算机场地通用规范（GB/T2887：2000）计算机场地安全要求（GB9361：1988）计算机机房用活动地板技术条件(GB6650-1986)电子计算机机房设计规范(GB50174-1993)计算机信息系统防雷保安器(GA173-98)电磁泄露发射电磁兼容低压电气及电子设备发出的谐波电流限值（设备每相输入电流16A）(GB17625.1-1998)电磁兼容-限值-对额定电流不大于16A的设备在低压供电系统中产生的电压波动和闪烁的限制(GB17625.2-1999)电磁干扰信息技术设备的无线电骚扰极限值和测量方法(GB9254-1998)信息技术设备抗扰度限值和测量方法(GB17618-1998),1.1物理环境,涉及到的标准：计算站场地安全要求（GB9361-88）计算站场地技术要求（GB2887-2000）计算机信息系统防雷保安器（GA173-98）计算机机房用活动地板技术条件（GB6650-86）军用通信设备及系统安全要求（GJZB663）,计算站场地是计算机系统的安置地点，计算机供电、空调以及该系统的维修人员和工作人员的工作场所。(1）计算机机房安全等级划分A类，有完善的计算机机房安全措施B类，有较完善的计算机机房安全措施C类，有基本的计算机机房安全措施,应用基础标准续1,（2）信息处理应用软件安全应用硬件安全（GB4843：1995）应用平台安全软件工程服务(接口GSS-API/POSIX)操作系统安全(评估GB17859|TCSEC/鉴别/分布式计算服务)数据库安全(ISO/IEC9579:200)电子邮件安全(S/MIME/PEM/PGP/X.400)WEB安全（SHTTP/SSL/PCT）DNS安全TELNET安全文件传输系统目录系统（X.500）文电处理系统(X.400),应用基础标准续2,（3）信息传输端系统安全主机安全(服务器)安全算法（序列/分组/公开）PKI/证书管理体系证书轮廓(X.509)操作协议(LDAP|RFC2559/2587)交换格式(PKCS#12)应用程序接口(PKCS#11)密码算法(PKCS#1/FIPS46-3/FIPS180-1/)网络安全IT网络安全（ISO/IECWD18028:2000）LAN安全LAN/WAN安全(SILS)Intranet安全Internet安全,网络安全指南网络管理（SNMP）IPSec物理层安全（GB15278：1994）链路层加密应用层安全（ISDN安全/CORBA安全/）安全协议安全数据交换协议IEEE802.10密钥管理协议IEEE802.10c消息安全协议传输层安全协议（ISO10736）应用层安全协议（ISO11577）,应用基础标准续3,（4）信息存储媒体安全场地安全（5）人机接口（6）计算机病毒防治（7）安全工程和服务（8）安全信息交换语法规则,2.应用产品安全标准,商用密码产品防火墙(GB18019/GB18020)保护轮廓（PP）应用代理服务器(GB17900)安全路由器(GB18018)电子商务CA智能卡IC卡(ISO/IEC7816/7813)安全服务器话音保密设备数据保密设备传真保密设备入侵检测产品安全安全审计产品安全交换机安全VPN安全PC卡网络转换设备,3.应用系统,电子商务支付型非支付型电子政务金融处理系统证券交易系统涉密系统远程医疗远程协作EDI,4.特殊行业,（1）金融交易安全ISO8730:1990ISO8731-1:1987ISO10126-1、2:1991ISO/TR13569:1997ISO15782ISO10202（2）金融服务安全标准ANSIX9.8ANSIX9.9-1986ANSIX9.17-1995ANSIX9.19-1996ANSIX9.23-1995（3）用于行政、商业和运输业电子数据交互（GB/T14805idtISO/IEC9735）（4）党政机关（5）军队（6）电信,五、管理类安全标准,管理基础安全产品分类编码信息技术安全管理指南（ISO/IEC13335）信息安全管理(ISO/IECTR17799)系统管理安全报警报告功能（GB17143.7-1997idt10164.7-1992）安全审计跟踪功能（GB17143.8-1997idt10164.8-1993）访问控制对象和属性（GB17143.9-1997idt10164.9-1993风险管理测评认证信息技术安全性评估准则（ISO/IEC15408:1999）（CC）计算机信息系统安全保护等级划分准则(GB17859：1999)通用测评方法(SC27N2722|CEM)系统安全工程能力成熟模型(SSE-CMM),信息安全管理实施规则codeofpracticeforinformationsecuritymanagement）ISO/IECCD17799BS7799-1BS7799-1首次出版于1995年专业性极强的标准一套综合的最佳的实施规则控制范围、控制方法的参考基准欧洲和北美洲得1999年修订ISO/IEC17799加入了符合性方面的要求,1.安全管理基础：ISO/IEC17799,ISO/IEC17799,1、范围2、术语和定义3、安全策略4、安全组织5、资产分级与控制6、人员安全7、物理和环境安全8、通信和运行管理9、访问控制10、系统开发和维护11、商业连续性管理12、符合性,BS7799-2,BS7799-2第1版出版于1998年BS7799-2第2版出版于2002年评估一个组织全面或部分信息安全管理体系的基础，也可以作为一个正式认证方案的基础。,BS7799-2,建立信息管理体系的要求总则建立管理框架实施文档化文档控制记录,BS7799-2,控制细则安全策略安全组织资产分级和控制人员安全物理和环境安全通信和运行管理访问控制系统开发和维护商业连续性管理符合性等10项要求,安全管理基础：ISO/IEC13335,信息技术安全的概念和模型信息技术安全的管理和规划信息技术安全的管理技术信息技术安全措施的安全网络安全性的管理指导,安全管理基础：ITBaselineProtection,德国BSI制定的信息安全指南安全管理组织人员业务可持续性计划数据备份策略数据保密计算机病毒防护加密硬件和软件管理,ITBaselineProtection结构,2.信息安全评测标准,1999年GB17859计算机信息系统安全保护等级划分准则,1991年欧洲信息技术安全性评估准则（ITSEC）,国际通用准则1996年（CC1.0）1998年（CC2.0）,1985年美国可信计算机系统评估准则（TCSEC）,1993年加拿大可信计算机产品评估准则（CTCPEC）,1993年美国联邦准则（FC1.0）,1999年国际标准ISO/IEC15408,1989年英国可信级别标准（MEMO3DTI）,德国评估标准（ZSEIC）,法国评估标准（B-W-RBOOK）,2001年国家标准GB/T18336信息技术安全性评估准则,1993年美国NIST的MSFR,2002年GA等级保护系列标准,2004年等级保护实施指南等级保护评估指南,2.1美国TCSEC,1970年由美国国防科学委员会提出。1985年公布。主要为军用标准。延用至民用。安全级别从高到低分为A、B、C、D四级，级下再分小级。彩虹系列桔皮书：可信计算机系统评估准则黄皮书：桔皮书的应用指南红皮书：可信网络解释紫皮书：可信数据库解释,美国TCSEC,欧洲多国安全评价方法的综合产物，军用，政府用和商用。以超越TCSEC为目的，将安全概念分为功能与功能评估两部分。功能准则在测定上分10级。15级对应于TCSEC的C1到B3。610级加上了以下概念：F-IN：数据和程序的完整性F-AV：系统可用性F-DI：数据通信完整性F-DC：数据通信保密性F-DX包括机密性和完整性的网络安全评估准则分为6级：E1：测试E2：配置控制和可控的分配E3：能访问详细设计和源码E4：详细的脆弱性分析E5：设计与源码明显对应E6：设计与源码在形式上一致。,2.2欧洲ITSEC,与TCSEC的不同,安全被定义为机密性、完整性、可用性功能和质量/保证分开对产品和系统的评估都适用，提出评估对象（TOE）的概念产品：能够被集成在不同系统中的软件或硬件包；系统：具有一定用途、处于给定操作环境的特殊安全装置,功能评估1预先定义的功能级,加拿大CTCPEC,1989年公布，专为政府需求而设计与ITSEC类似，将安全分为功能性需求和保证性需要两部分。功能性要求分为四个大类：a机密性b完整性c可用性d可控性在每种安全需求下又分成很多小类，表示安全性上的差别，分级条数为05级。,2.3CTCPEC,美国联邦准则(FC),对TCSEC的升级1992年12月公布引入了“保护轮廓（PP）”这一重要概念每个轮廓都包括功能部分、开发保证部分和评测部分。分级方式与TCSEC不同，吸取了ITSEC、CTCPEC中的优点。供美国政府用、民用和商用。,2.4FC,2.5GB17859-1999计算机信息系统安全等级划分准则,第一级用户自主保护级第二级系统审计保护级第三级安全标记保护级第四级结构化保护级第五级访问验证保护级,安全等级保护制度,国务院令147号中华人民共和国计算机信息系统安全保护条例第九条：计算机信息系统实行安全等级保护。,等级划分准则,计算机信息系统安全等级保护系列标准的核心实行计算机信息系统安全等级保护制度建设的重要基础,等级划分准则内容,第一级用户自主保护级,本级的计算机信息系统TCB通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。,第二级系统审计保护级,与用户自主保护级相比，本级的计算机信息系统TCB实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。,第三级安全标记保护级,本级的计算机信息系统TCB具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。,第四级结构化保护级,本级的计算机信息系统TCB建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统TCB必须结构化为关键保护元素和非关键保护元素。,第五级访问验证保护级,本级的计算机信息系统TCB满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。,2002年7月18日五个GA新标准,GA/T389-2002计算机信息系统安全等级保护数据库管理系统技术要求GA/T390-2002计算机信息系统安全等级保护通用技术要求GA388-2002计算机信息系统安全等级保护操作系统技术要求GA/T387-2002计算机信息系统安全等级保护网络技术要求GA391-2002计算机信息系统安全等级保护管理要求,等级保护实施/评估指南,2.6通用准则（CC）,国际标准化组织统一现有多种准则的努力结果；1993年开始，1996年出V1.0,1998年出V2.0，1999年6月正式成为国际标准，1999年12月ISO出版发行ISO/IEC15408；主要思想和框架取自ITSEC和FC；充分突出“保护轮廓”，将评估过程分“功能”和“保证”两部分；是目前最全面的评价准则,CC的结构以及目标读者,安全概念和关系,所有者,威胁主体,资产,措施,弱点,风险,威胁,拥有,引起,到,希望滥用,最小化,增加,到,利用,导致,减少,可能具有,可能被减少,利用,可能意识到,本标准定义作为评估信息技术产品和系统安全特性的基础准则不包括属于行政性管理安全措施的评估准则；不包括物理安全方面（诸如电磁辐射控制）的评估准则；不包括密码算法固有质量评价准则,应用范围,关键概念,评估对象TOE(TargetofEvaluation)保护轮廓PP(ProtectionProfile）安全目标ST(SecurityTarget）功能(Function)保证(Assurance)组件(Component)包(Package)评估保证级EAL(EvaluationAssuranceLevel）,评估对象（TOE）,产品、系统、子系统,保护轮廓（PP）,表达一类产品或系统的用户需求组合安全功能要求和安全保证要求技术与需求之间的内在完备性提高安全保护的针对性、有效性安全标准有助于以后的兼容性同TCSEC级类似,安全目标（ST）,IT安全目的和要求要求的具体实现实用方案适用于产品和系统与ITSECST类似,功能/保证结构,类（如用户数据保护FDP）关注共同的安全焦点的一组族，覆盖不同的安全目的范围子类（如访问控制FDP_ACC）共享安全目的的一组组件，侧重点和严格性不同组件（如子集访问控制FDP_ACC.1)包含在PP/ST/包中的最小可选安全要求集,组件,CC将传统的安全要求分成不能再分的构件块用户/开发者可以组织这些要求到PP中到ST中组件可以进一步细化,举例：类子类组件,FIA标识和鉴别,FIA_AFL鉴别失败,FIA_ATD用户属性定义,FIA_SOS秘密的规范,类子类组件,FIA_AFL.1鉴别失败处理,FIA_ATD.1用户属性定义,FIA_SOS.1秘密的验证,FIA_SOS.2秘密的TSF生成,功能,规范IT产品和系统的安全行为，应做的事,安全功能要求类,11类135个组件,TOE安全保证类,评估保证级（EAL）,预定义的保证包公认的广泛适用的一组保证要求,评估保证级（EAL）,EAL1功能测试EAL2结构测试EAL3系统地测试和检查EAL4系统地设计、测试和复查EAL5半形式化设计和测试EAL6半形式化验证的设计和测试EAL7形式化验证的设计和测试,评估保证级别（EAL）,评测级别对应,保证,功能,EAL1EAL2EAL3EAL4EAL5EAL6EAL7,E0E1E2E3E4E5E6,D级,C1级,C2级,B1级,B2级,B3级,A1级,F-C1级,F-C2级,F-B1级,F-B2级,F-B3级,HP-UNIX(VV),Winnt3.5,Winnt4.0Win2000,各部分关系,威胁,组织安全策略,假设,安全需求,IT安全要求,TOE目的,环境的目的,安全目的,相互支持,支持,恰好满足,恰好满足,功能强度声明,一致,PP的基本原理,PP示例,CAPP代替TCSEC的C2级要求LSPP代替TCSEC的B1级要