信息技术 安全技术信息技术安全性评估准则简介

1、cccc及移动智能终端操作系统及移动智能终端操作系统 安全技术要求编写安全技术要求编写 思路介绍思路介绍 大唐电信科技产业集团大唐电信科技产业集团 2011-11-162011-11-16 数据通信科学技术研究所数据通信科学技术研究所 主要内容主要内容 一一cccc是什么是什么 cccc是什么是什么 pppp是什么，包括的内容是什么，包括的内容 两者的关系两者的关系 二二cccc的组成及思路的组成及思路 基本概念基本概念 主要内容主要内容 安全要求描述安全要求描述 与等级保护的对比与等级保护的对比 三三国标编写思路及内容国标编写思路及内容 安全需求分析安全需求分析 建立安全目标建立安全目标 选

2、择安全功能要求和安全保证要求选择安全功能要求和安全保证要求 检查完备性和一致性检查完备性和一致性 2 数据通信科学技术研究所数据通信科学技术研究所 一一cccc是什么？是什么？ cccc是什么？是什么？ common criteria for it security evaluation-iso/iec 15408.系列 评估信息技术产品或系统安全特性安全特性的国际通用基础准则通用基础准则 国际上认同的表达it安全的体系结构 中国的“cc”即gb/t 18336.1-3 信息技术安全性评估准则-2008 cc common criteria 信息系统或it产品：如操作系统、分布式系统、数据库系

3、统等 安全产品：如防火墙、防病毒软件、智能卡、生物技术、vpn等 指导性文档：如安全技术要求等 评估对象评估对象 target of evaluation cccc适用范围适用范围 使各安全评估结果具备可比性 使用户确定所选用的信息系统及安全产品是否足够安全？ 用于具备安全功能的信息技术产品和系统的开发与采购指南 运用运用cccc 效果效果 3 数据通信科学技术研究所数据通信科学技术研究所 一一cccc是什么？是什么？ cccc的内容的内容 定义it产品安全性评估的一般概念和原理 一般模型一般模型 定义了一组安全功能组件，有标识与鉴别、用户 数据保护等11类，可作为表述安全功能要求的标 准方法

4、 通用安全功能集通用安全功能集 规定了一组安全保证组件，有配置管理、交付与 运行等7类，作为表述toe安全功能保证要求的标 准方法 通用安全保证集通用安全保证集 预定了7级评估保证级别eal1-eal7,可根据实际 需要进行选择 定义了对pp、st的评估准则 预定的保证尺度预定的保证尺度 4 数据通信科学技术研究所数据通信科学技术研究所 一一cccc是什么？是什么？ cccc与与pppp的关系的关系 通用准则通用准则- - 国标国标gb18336gb18336 一般模型 通用安全功能 通用安全保证 预定保证级别 保护轮廓保护轮廓- - 安全技术要求安全技术要求 一类产品的 提出与实现无关 的安

5、全要求，如 操作系统、防火 墙等系统或产品 包含对应需求的 安全功能、保证 级别 安全目标安全目标- - 设计要求设计要求 具体产品的安全 要求 包含生产厂家对 产品的安全描述 5 数据通信科学技术研究所数据通信科学技术研究所 一一cccc是什么？是什么？ 用用pppp形式写形式写“安全技术要求安全技术要求”好处好处 选择国际公认的分析、选择及描述方式选择国际公认的分析、选择及描述方式 确定性：使各方面能够正确理解和解释需求确定性：使各方面能够正确理解和解释需求 测试性：所定义的各类要求，可在各阶段评估测试性：所定义的各类要求，可在各阶段评估 抽象性：具备一定的抽象，不要求实现方法抽象性：具备

6、一定的抽象，不要求实现方法 完备性：结构性的表达方法完备性：结构性的表达方法 用用pppp形式写形式写“安全技术要求安全技术要求”的缺陷的缺陷 接触的比较少，理解不充分接触的比较少，理解不充分 是否能够起到是否能够起到“要求要求”的作用的作用 6 数据通信科学技术研究所数据通信科学技术研究所 二二cccc的基本思路及方法的基本思路及方法 定义定义 被评估的it产品、系统以及相关的指南性文档，在本标准中，指移动通信智能终 端操作系统 评估对象评估对象-toe-toe 由toe安全策略保护的信息或资源资产资产-asset-asset 为保障运转而需遵循的若干安全规则、过程、或指南 组织安全策略组织

7、安全策略-osp-osp 由toe特定安全功能实施的一组规则 安全功能策略安全功能策略-sfp-sfp 用户、主体、客体、信息及资源的特性 实施安全功能时的依据 安全属性安全属性-sa-sa 需要toe提供的安全行为，以达到安全目标 安全功能要求安全功能要求-sfrs-sfrs 满足安全功能要求（sfrs）的toe的硬件、软件及固件的功能组合 toetoe的安全功能的安全功能-tsf-tsf 7 数据通信科学技术研究所数据通信科学技术研究所 二二cccc的基本思路及方法的基本思路及方法 定义定义 在toe之外，与toe交互的任何实体（人员用户或外部it实体）用户用户- -user 在toe之外

8、与其交互的任何可信或不可信的it产品或系统 外部外部itit实体实体- -external it entity 依据toe的安全策略，可执行某项操作的用户授权用户授权用户- -authorised user 在toe的安全控制范围内实施操作的实体主体主体- -subject 在toe的安全控制范围内接收主体操作的储存或接受信息实 体 客体客体- -object 一组预先规定的规则，规定在一个用户和toe之间所允许的 交互操作 角色角色- -role 8 数据通信科学技术研究所数据通信科学技术研究所 二二cccc的基本思路及方法的基本思路及方法 cccc中安全功能要求的分类中安全功能要求的分类-

9、1-1（20082008年版有年版有1111类）类） 定义了一组结构化的、已知的、有效的通用安全要求描 述预期产品的安全要求，具体有： 提出与安全相关事件的监测、记录、分析等功能要求，此功能要求还涉及 审计数据的保护、记录格式及事件选择等功能要求 1.1.安全审计安全审计 : fau: fau类类 提出在通信中抗抵赖的功能要求，包括发送和接收信息的抗抵赖行为2.2.通信：通信： fcofco类类 提出为toe的安全功能提供密码支持的要求，以满足高安全目标，这些目 标包括但不限于标识与鉴别、抗抵赖、数据保护、可信路径等 3.3.密码支持：密码支持： fcsfcs类类 提出依据安全功能策略的保护用

10、户数据的功能要求 4.4.用户数据保护：用户数据保护： fdpfdp类类 提出应无歧义的标识toe用户的功能要求，包括验证用户所声称的身份， 此要求可确保用户与安全属性的正确关联 5.5.标识与鉴别：标识与鉴别： fiafia类类 提出应对toe安全功能管理的功能要求，包括安全属性、toe安全功能数据 的管理，并应设置不同的安全管理角色 6.6.安全管理：安全管理： fmtfmt类类 9 数据通信科学技术研究所数据通信科学技术研究所 二二cccc的基本思路及方法的基本思路及方法 cccc中安全功能要求的分类中安全功能要求的分类-2-2 （20082008年版有年版有1111类）类） 定义了一组

11、结构化的、已知的、有效的通用安全要求描 述预期产品的安全要求，具体有： 提出保护用户隐私的功能要求，使用户即使用了资源或服务，但还 不泄露自己的真实身份。同时考虑到系统应具有的灵活性，以保持 对系统操作的充分控制 7.7.私密性：私密性： fprfpr类类 提出对toe安全功能的保护要求，以抵御安全功能策略sfp被篡改和 旁路 8.tsf8.tsf保护：保护： fptfpt类类 提出应保证toe资源持续可用的功能要求，涉及系统容错、服务优 先级及资源分配三类功能要求 9.9.资源利用：资源利用： frufru类类 提出相关建立用户会话功能要求，包括代表用户行为的主体的创建、 会话建立的安全属性

12、设置、会话锁定等功能要求 10.toe10.toe访问：访问： ftafta类类 提出用户与toe安全功能交互是通过可信路径的功能要求 提出在toe安全功能之间的建立可信通信的功能要求 11.11.可信路径可信路径/ /信道：信道： ftpftp类类 10 数据通信科学技术研究所数据通信科学技术研究所 二二cccc的基本思路及方法的基本思路及方法 重要的功能要求类重要的功能要求类 fdp类-用户数据保护（包括对系统敏感资源的保护） fpt类-tsf保护 支撑性的功能要求类支撑性的功能要求类 fcs类-密码支持 fia类-标识与鉴别 fta类-toe访问 fmt类-安全管理 fco类-通信 ft

13、a类-可信路径/信道 fau类-审计、fru类-资源利用 特殊的功能要求类特殊的功能要求类 私密性 用户数据 保护 tsf保护 toe访问 标识与鉴 别 安全管理审计 可信路径/ 可信通道 11 密码支持密码支持 数据通信科学技术研究所数据通信科学技术研究所 二二cccc的基本思路及方法的基本思路及方法 cc功能要求的结构: 类-族-组件，每一组件可分为多个元素 组件标识：fxx-yyy.n n.m m为元素,其中n、m由数字表示fxx表 示功能类、fxx-yyy表示fxx类的功能族，均大写字母表示，如 fdp-acc.1表示“用户数据保护类”的“访问控制策略族”的第 一个组件。 功能类 族1

14、组件1 组件2 组件3组件4 族2组件1组件2组件3 族n 组件1 组件2 组件3 12 数据通信科学技术研究所数据通信科学技术研究所 二二cccc的基本思路及方法的基本思路及方法 安全功能要求均由组件的方式描述安全功能要求均由组件的方式描述 唯一标识唯一标识+ +确定语义的描述，如：确定语义的描述，如： fdp-acc.1.1-访问控制策略（用户数据保护类的组件元素） tsf应对【赋值：主体、客体及sfp所涵盖主体和客体之间的操作列 表】执行【赋值：访问控制sfp】。 移动通信智能终端操作系统的安全功能应对所有与应用软件关联的主所有与应用软件关联的主 体体对号码本、日程、待办事宜、信息、配置

15、信息和号码本、日程、待办事宜、信息、配置信息和【赋值：其他客 体】的读、写及的读、写及【赋值：其他操作】执行自主访问控制策略。自主访问控制策略。 可明确的参数，需要pp/st作者根据需要补充 赋值也可转化为选择的形式，为st作者进行进一步选择 赋值含义 可选择地参数，从列出的项目中指定一项或多项 需要pp/st作者，根据需要进行指定 选择的含义 对功能组件进行细化描述，即将要求结合产品特性详细描 述 细化的含义 13 数据通信科学技术研究所数据通信科学技术研究所 二二cccc的基本思路及方法的基本思路及方法 安全功能要求均由组件的方式描述安全功能要求均由组件的方式描述 唯一标识唯一标识+ +确

16、定语义的描述，如确定语义的描述，如 fia-afl.1.1-鉴别失败处理(标识与鉴别类的组件元素) tsf应检测当发生【选择：【赋值：正整数】，管理员可设置的 【赋值：可接受的数值范围】内的一个正整数】次与【赋值：鉴别事 件列表】相关的未成功鉴别尝试。 移动操作系统的安全功能应检测当【选择之一：5 5，管理员可设置 的8 8以内的整数】次与设备解锁鉴别失败设备解锁鉴别失败、【赋值：其 他鉴别事件】相关的未成功鉴别尝试。 明确表明参数，需要pp/st作者根据需要补充 赋值也可转化为选择的形式，为st作者进行进一步选择 赋值含义 可选参数，从列出的项目中指定一项或多项 需要pp/st作者，根据需要

17、进行选择 选择的含义 对功能组件进行细化操作，即将要求结合产品特性详细描述 细化的含义 14 数据通信科学技术研究所数据通信科学技术研究所 二二cccc的基本思路及方法的基本思路及方法 组件的关系组件的关系 指一个组件包括了本族中其他组件所定义的 全部要求 一般情况下，有从属关系的组件不会同时包 含在一安全要求中 实例：fdp-acc.2从属于fdp-acc.1组件 从属- - hierarchic 当一个组件无法独立充分表达安全要求而依 赖于其他组件时，产生依赖关系 一般情况下，有依赖关系的组件应都包含在 安全要求中 实例：fdp-acc.1对fdp-acf.1的依赖 依赖- - depen

18、dencies 15 数据通信科学技术研究所数据通信科学技术研究所 二二cccc的基本思路及方法的基本思路及方法 cccc中安全保证要求的分类中安全保证要求的分类- - （2008年版有7类） 提出使用cm工具，使toe安全功能要求得以正确实现 acm-管理类 提出有关toe正确交付、安装、生成和启动的要求 ado-交付和运行 提出从概要设计到实现，逐步细化toe安全功能的要求 要求各层之间的表示的对应性关系，保证安全功能实现的准确 性 adv-开发类 提出关于用户指南、管理员指南的要求，保证安全使用和管理 toe agd-指导性文件 提出在toe开发和维护阶段，建立规则、控制过程的要求 al

19、c-生命周期支持类 提出测试要求，以确定toe的安全功能是否得到满足 涉及测试覆盖、测试深度、独立测试、功能测试 ate-测试类 提出对可被利用脆弱性识别的要求，包含toe构造、运行、误用 或配置错误所引入的脆弱性 ava-脆弱性评定类 16 数据通信科学技术研究所数据通信科学技术研究所 二二cccc的基本思路及方法的基本思路及方法 安全保证要求的表达方法安全保证要求的表达方法 与功能表示方法类似，仅增加大写字母，表示那类保证 元素。 组件标识：axx-yyy.n.m.q q m为元素,其中n、m由数字 表示axx表示某保证类、axx-yyy表示某保证类下的一族， 均大写字母表示，如acm-a

20、ut 1.1c表示“配置管理类” 的“自动化族”的第一个组件、第一元素，c表明属于 要提供的证据信息。 q d：属于开发者行为元素，由开发者实施 c：表明其属于内容和表示元素，即要说明的证据信息 e：属于评估者行为元素，由评估者实施 17 数据通信科学技术研究所数据通信科学技术研究所 二二cccc的基本思路及方法的基本思路及方法 对比对比cccc安全要求与等级保护安全要求安全要求与等级保护安全要求 安全功能项有对应关系（除物理保护外） 各有优劣和特点 等级保护等级保护 自然语言，易于理解 但容易存在不一致性、不确定性 cccc 不易理解，不熟悉（尽管已引入10年多） 但可保证完整性、减少不一致

21、性和不确定性 符合国际规范 18 数据通信科学技术研究所数据通信科学技术研究所 三三编写思路及内容编写思路及内容 物理环境物理环境 移动终端的物理环境特殊，toe的安全性无法依 赖于特定的物理环境。 资产资产 用户信息 系统资源 服务信誉、用户体验（无形资产） 19 数据通信科学技术研究所数据通信科学技术研究所 三三编写思路及内容编写思路及内容 假设假设 假设是在toe的安全环境中分析安全威胁时的前提条件, 针对移动智能终端操作系统，假设如下： 1. 不期望不期望toetoe能够充分消除授权用户的恶意行为能够充分消除授权用户的恶意行为 a.malicious-inside 2. toe2. t

22、oe不抵御专业的技术攻击不抵御专业的技术攻击 a.sophisticate-attack 20 数据通信科学技术研究所数据通信科学技术研究所 三三编写思路及内容编写思路及内容 组织安全策略（组织安全策略（osposp） 限制用户及主体对系统敏感资源和用户数据的访问权限授权授权 限制授权用户及主体访问能力的原则是按需给予按需授予按需授予 应向持有者提供访问授权管理的能力授权管理授权管理 当与安全、法律有关的数据和系统资源被访问时，toe应能够向 持有人提示 提示提示 对用户、应用程序、进程等主体都应被分配唯一的标识，并在 执行访问和实施动作之前加以鉴别 标识和鉴别标识和鉴别 主体行为可以被追溯

23、追溯追溯 必要的安全功能需要得到密码技术的支持，密码算法应符合国 家和行业的信息技术安全标准或规范 密码密码 应具备在系统失败或安全异常状态下恢复的机制 故障恢复故障恢复 与互联网建立的通信连接需遵循国家相关网络安全标准网络连接网络连接 21 数据通信科学技术研究所数据通信科学技术研究所 三三编写思路及内容编写思路及内容 威胁主要来自以下方面威胁主要来自以下方面 丢失或被窃丢失或被窃 非授权访问非授权访问 恶意软件恶意软件 多种形式垃圾信息多种形式垃圾信息 电子窃听电子窃听 电子跟踪电子跟踪 数据备份和同步数据备份和同步 设备管理和维护设备管理和维护 22 获取用户信息 产生非预期流量 占用终

24、端系统资源 影响、破坏网络服务 数据通信科学技术研究所数据通信科学技术研究所 三三编写思路及内容编写思路及内容 威胁分析威胁分析 23 toetoe面临的威胁面临的威胁 用户数据丢失用户数据丢失- -t.loss_theft 非授权访问非授权访问- -t.entry_toe 用户配置错误用户配置错误- - t.user_configration_err 对安全功能的威胁对安全功能的威胁- - t.tsf_compromise 残余信息残余信息- -t.residual_data 资源消耗资源消耗- -t.resource_exhaustion 未知状态未知状态- -t.unknown_stat

25、e 与环境共同抵御的威胁与环境共同抵御的威胁 授权用户的恶意行为授权用户的恶意行为- -t.access- malicious 恶意软件恶意软件- -t. malicious_software_def 垃圾信息垃圾信息-t.anti_spam 数据备份数据备份-t.backup_data_protect 数据同步数据同步-t.data_ syn_protect 网络连接网络连接-t.network 数据通信科学技术研究所数据通信科学技术研究所 操作系统 系统平台保护 三三编写思路及内容编写思路及内容 操作 系统 远程可 信it产 品 远程不 可信it 产品 个人计 算机 蜂窝 网络 无线局 域

26、网络 维护、 管理设 备 授权主体通过操作系统安全 功能介导实现对系统资源、 用户数据的访问 24 数据通信科学技术研究所数据通信科学技术研究所 三三编写思路及内容编写思路及内容 访问控制及信息流控制功能 提供适度的审计功能 应用授权管理 提供符合国家相关部门要求的 密码支持服务 主要安全主要安全 功能功能 自主访问控制策略 网络信息流控制策略 安全策略安全策略 25 数据通信科学技术研究所数据通信科学技术研究所 三三编写思路及内容编写思路及内容 基本术语基本术语 n移动终端操作系统移动终端操作系统 移动通信智能终端操作系统是运行在移动通信智能终端上的系统 软件，主要功能是控制和管理移动终端上

27、的硬件资源和软件资源，并且 提供用户界面和应用程序开发接口。 n操作系统边界操作系统边界 1.在边界内的软件，受基础平台保护，保证不受非可信主体的干扰和访问 2.边界内的软件具有对基础硬件进行特权操作的能力，不受安全策略的限制 26 数据通信科学技术研究所数据通信科学技术研究所 三三编写思路及内容编写思路及内容 27 移动智能终端操作系统之外， 向用户提供服务功能的软件 对系统资源的访问受到安全策 略的限制 应用 软件 以一个中间步骤来传递或起媒 介的作用 授权主体通过操作系统安全功 能介导实现对系统资源、用户 数据的访问 介导 基本术语基本术语 数据通信科学技术研究所数据通信科学技术研究所

28、三三编写思路及内容编写思路及内容 主体主体(用户用户+ +安全属性安全属性) ) 人员用户人员用户 （授权和（授权和 非授权）非授权） 持有人持有人 维护人员维护人员 开发、测开发、测 试人员试人员 评估人员评估人员 其他其他 外部外部itit实实 体体 （授权和（授权和 非授权）非授权） 运营商运营商 服务或应服务或应 用用 终端终端/ /系统系统 提供商提供商 其他其他 移动操作系统中用户、主体、客体及安全属性移动操作系统中用户、主体、客体及安全属性 客体客体1 1+ +安全安全属性属性客体客体n n+ +安全安全属性属性 访问控制访问控制 策略策略 28 数据通信科学技术研究所数据通信科

29、学技术研究所 三三编写思路及内容编写思路及内容 29 应用软件访问权限控制应用软件访问权限控制 t用户数据、tsf数据 可信实体 tsf间,可信通道 t用户数据 不可信实体 toe外 安 全 属 性 可信 实体 t用户数据 不可信实体 toe外 tsf间，可信通道 数据通信科学技术研究所数据通信科学技术研究所 三三编写思路及内容编写思路及内容 主要安全目标主要安全目标 30 用户、进程、主体通过授权访问方式访问受保护的资源。 访问 o.access 设置管理员角色以隔离管理员行为 管理员角色 o.admin_role 具备检测与安全有关事件的能力，并提供审计记录产生、 保护及查阅的能力。 审计

30、产生、保护、调阅 o.audit_generation 给用户、应用程序分配唯一、正确的标识 标识 o.user_identification) 对用户、应用程序身份鉴别 鉴别 o.user_authentication 执行自主访问控制保护用户数据、系统资源等。 自主访问控制 o.dac 数据通信科学技术研究所数据通信科学技术研究所 三三编写思路及内容编写思路及内容 主要安全目标主要安全目标 31 访问用户数据和系统敏感资源时，toe应能够向用户 提供明确的提示 访问提示 o.access_prompt toe须保护其自身免于资源耗尽 资源耗尽 o.resource_exhaustion 给

31、安全功能数据提供完整性密码服务，给受保护的 用户数据提供完整性及私密性密码服务 密码服务 o.cryptographic_services 系统安全异常时，确保管理员或授权用户得到提示 安全异常提示 o.insecurity_prompt 在应用程序安装、初始化、运行过程中，应能对应 用程序的权限进行限制。 应用程序限制 o.application_restrict 数据通信科学技术研究所数据通信科学技术研究所 三三编写思路及内容编写思路及内容 原理对应（仅一个问题）原理对应（仅一个问题） 32 安全 问题 安全 目标 安全 功能 非授权人员访问 toe (t.entry_toe) 访问(o.

32、access） fta_ssl 会话锁定 fta_tse 会话建立 保护 (o.protect) fdp_acc 子集访问控制策 略 fdp_acf 访问控制控制功 能 数据通信科学技术研究所数据通信科学技术研究所 三三编写思路及内容编写思路及内容 完备性、一致性检查完备性、一致性检查- -原理表原理表 以某一项安全功能为例 33 p.authorization 授权访问 依据安全策略，toe应限制用户 及主体（比如进程、脚本等）的能 力。 访问(o.access） 用户、进程、主体通过授权访问方 式访问受保护的资源。 应用程序限制 (o.application_restrict) 在应用程序安装、初始化、运 行过程中，应能对应用程序的权限 进行限制。 fdp_itc.2： 从toe之外带安全属性的用户数 据输入 fdp_uct： tsf间用户数据保密性传送 fdp_uit： tsf间用户用户完整性传送 ； fdp_itc.1： 从toe之外不带安全属性的用户 数据的输入 标识(o.user_identification ) 给用户、应用程序分配唯一的 标识 保护(o.protect) toe应提供保护用户数据和资源 的机制 依赖： fmt_msa.3 ，安全属性初始化 fdp_acc.1，子集访问控制 依赖： fdp_acf