系统评估准则与安全策略ppt课件

1、系统评价准那么与平安战略 北京科技大学计算机系陈红松 副教授1 系统评价准那么2 信息平安测评认证准那么3 平安管理的实施4 制定平安战略5 系统备份和紧急恢复方法6 审计与评价7 容灾技术及其典型运用1 系统评价准那么1.1 可信计算机系统评价准那么1.2 欧洲信息技术平安评价准那么1.3 加拿大可信计算机产品评价准那么1.4 美国联邦信息技术平安准那么1.5 国际通用准那么1.6 规范的比较与评价1 系统评价准那么表7.1 平安评价准那么时间 国 别 名 称 1985年12月1990年5月1990年5月1991年2月1996年1月1999年7月 美国法德荷英四国加拿大美国北美及联盟国际标准

2、化组织ISO 可信计算机系统评估准则（TCSEC）欧洲信息技术安全评估准则（ITSEC）加拿大可信计算机产品评估准则（CTCPEC）美国联邦信息技术安全准则（FC）通用信息技术安全评估准则（CC）批准CC成为国际标准ISO/IEC15408-1999 1 系统评价准那么1.1 可信计算机系统评价准那么表7.2 TCSEC 平安等级和功能阐明安全等级名 称功 能D低级保护系统已经被评估，但不满足A到C级要求的等级，最低级安全产品 C1自主安全保护该级产品提供一些必须要知道的保护，用户和数据分离 C2受控存取保护该级产品提供了比C1级更细的访问控制，可把注册过程、审计跟踪和资源分配分开 B1标记性

3、安全保护除了需要C2级的特点外，该级还要求数据标号、目标的强制性访问控制以及正规或非正规的安全模型规范 B2结构性保护该级保护建立在B1级上，具有安全策略的形式描述，更多的自由选择和强制性访问控制措施，验证机制强，并含有隐蔽通道分析。通常，B2级相对可以防止非法访问 B3安全域该级覆盖了B2级的安全要求，并增加了下述内容：传递所有用户行为，系统防窜改，安全特点完全是健全的和合理的。安全信息之中不含有任何附加代码或信息。系统必须要提供管理支持、审计、备份和恢复方法。通常，B3级完全能够防止非法访问 A1验证设计A1级与B3级的功能完全相同，但A1级的安全特点经过了更正式的分析和验证。通常，A1级

4、只适用于军事计算机系统 超A1 已经超出当前技术发展，有待进一步描述 1.2 欧洲信息技术平安评价准那么表7.3 ITSEC和TCSEC的关系1 系统评价准那么 ITSEC准则 TCSEC准则 含 义 功能级 可信赖等级 分类等级 E0D非安全保护F1E1C1自主安全保护F2E2C2可控安全保护F3E3B1标记强制安全保护F4E4B2结构强制保护级F5E4B3强制安全区域保护F6E6A1验证设计安全保护超A1超出当前技术发展1.3 加拿大可信计算机产品评价准那么 表7.4 CTCPEC功能要求和规格等级1 系统评价准那么功 能 要 求 等 级可计算性审计WA-0WA-5识别和验证WI-0WI-

5、3可信路径WT-0WT-3可用性容量AC-0AC-3容错AF-0AF-3坚固性AR-0AR-3恢复AY-0AY-3机密性隐蔽信道CC-0CC-3选择机密性CD-0CD-4强制机密性CM-0CM-4目标重用CR-0CR-1完整性域完整性IB-0IB-2选择完整性ID-0ID-4强制完整性IM-0IM-4物理完整性IP-0IP-4重新运行IR-0IR-2功能分离IS-0IS-3自测试IT-0IT-3 表7.5 四种准那么平安等级的近似比较1.4 美国联邦信息技术平安准那么TCSECFCCTCPECITSECDE0C1E1C2T-1T-1E2B1T-2T-2E3T-3 T-3 T-4B2T-5T-4

6、E4B3T-6T-5E5A1T-7T-6E6T-7 1 系统评价准那么1.5 国际通用准那么“信息技术平安性通用规范CC是现实上的国际平安评价规范。1999年，CC 被国际规范化组织ISO同意成为国际规范ISO/IEC15408-1999并正式公布发行。表7.6 通用准那么的功能类族功能类名称族成员数量通信2识别和验证10保密性4可信安全功能的保护14资源分配3安全审计10TOE入口9可信路径3用户数据保护131 系统评价准那么1.5 国际通用准那么表7.7 通用准那么的可信任性类族1 系统评价准那么可信赖性类名称族成员数量配置管理3传递和操作2开发10引导文件2寿命周期支持4测试4脆弱性测验

7、41.6 规范的比较与评价最初的TCSEC是针对孤立计算机系统提出的，特别是小型机和大型机系统。该规范仅适用于军队和政府，不适用于企业。TCSEC与ITSEC均是不涉及开放系统的平安规范，仅针对产品的平安保证要求来划分等级并进展评测，且均为静态模型，仅能反映静态平安情况。 CTCPEC虽在二者的根底上有一定开展，但也未能突破上述的局限性。 FC 对TCSEC作了补充和修正，对维护框架PP和平安目的ST )作了定义，明确了由用户提供出其系统平安维护要求的详细框架，由产品厂商定义产品的平安功能、平安目的等。CC定义了作为评价信息技术产品和系统平安性的根底准那么，提出了目前国际上公认的表述信息技术平

8、安性的构造。 CC与早期的评价规范相比，其优势表达在其构造的开放性、表达方式的通用性以及构造和表达方式的内在完备性和适用性三个方面。CC的几项明显的缺陷。 1 系统评价准那么2 信息平安测评认证准那么2.1 信息平安测评认证制度2.2 平安产品控制2.3 测评认证的规范与规范2.4 中国测评认证规范与任务体系2.1 信息平安测评认证制度测评认证制度的组成测评检验产品能否符合所定义的评价规范。认证检验评价过程能否正确，并保证评价结果的正确性和权威性，且公布于众。测评认证制度的重要性 根据信息平安测评认证制度，产品的运用者就能在众多销售环境下放心地构筑、运用信息系统，开发者也能在可以信任的指南下开

9、发产品。信息平安测评认证制度对维护国家的信息平安起着极其重要的作用，对信息平安产业起步较晚且不够完善的中国而言尤为重要。2信息平安测评认证准那么2.2 平安产品控制在市场准入上，兴隆国家为严厉进出口控制。对国内运用的产品，实行强迫性认证。 对信息技术和信息平安技术中的中心技术，由政府直接控制。 构成政府的行政管理与技术支持相结合、相依赖的管理体制。 2.3 测评认证的规范与规范信息技术平安性通用规范CC，使大部分的根底性平安机制，在任何一个地方经过了CC准那么评价并得到答应进入国际市场时，不需求再作评价，大幅度节省评价支出并迅速推向市场。 各国通常是在充分自创国际规范的前提下，制定本人的测评认

10、证规范。 2信息平安测评认证准那么2.4 中国测评认证规范与任务体系开展信息平安测评认证的紧迫性 评测认证规范 评测任务体系信息平安测评认证体系，由3个层次的组织和功能构成国家信息平安测评认证管理委员会 国家信息平安测评认证中心 假设干个产品或信息系统的测评分支机构(实验室，分中心等) 测评认证中心 中国国家信息平安测评认证中心(CNISTEC)对外开展4种认证业务 产品方式认证 产品认证 信息系统平安认证 信息平安效力认证 2信息平安测评认证准那么3 平安管理的实施3.1 平安管理的类型3.2 平安管理的原那么3.3 平安管理的根底3.1 平安管理的类型系统平安管理平安效力管理平安机制管理O

11、SI管理的平安3.2 平安管理的原那么平安管理平台的设计原那么规范化设计原那么 逐渐扩展的原那么 集中与分布的原那么 平安管理平台的管理原那么多人担任原那么 系统管理岗位任期有限原那么 职责有限、分别原那么 3 平安管理的实施3.3 平安管理的根底根据平安等级，确定平安管理的范围，分别进展平安管理制定平安制度和操作规程注重系统维护的平安管理 制定紧急恢复措施 加强者员管理，建立有利于维护系统平安的雇佣和解聘制度 网络用户平安管理 3 平安管理的实施4 制定平安战略4.1 制定平安战略的原那么4.2 制定平安战略的目的和内容4.3 制定平安战略的层次 4.1 制定平安战略的原那么平衡性 整体性一

12、致性 易操作性 可靠性 层次性 可评价性 4.2 制定平安战略的目的和内容目的：保证网络平安维护任务的整体、方案性及规范性，保证各项措施和管理手段的正确实施，使网络系统信息数据的性、完好性及可运用性遭到全面、可靠的维护内容：进展平安需求分析 对网络系统资源进展评价对能够存在的风险进展分析确定内部信息对外开放的种类及发布方式和访问方式明确网络系统管理人员的责任和义务 确定针对潜在风险采取的平安维护措施的主要构成方面，制定平安存取、访问规那么 4 制定平安战略4.3 制定平安战略的层次按照网络OSI的7层模型，网络平安应贯穿在整个模型的各个层次。根据内部网(如Intranet)的层次构造，网络平安

13、的层次分为网络层和运用层两个方面：网络层该层平安战略的目的，是在可用性的前提下实现网络效力平安性。 运用层运用层的平安措施主要有以下几方面：建立全网一致、有效的身份认证机制。单一注册。信息传输加密。 确定能否采用代理效力Proxy Service及选择配置方式、维护方式，根据平安防备的重点对象，灵敏运用代理效力器与防火墙的不同配置，以到达最大限制同时满足开放性与平安性的要求。建立审计和统计分析机制。 4 制定平安战略5 系统备份和紧急恢复方法5.1 系统备份方法5.2 紧急恢复5.1 系统备份方法系统备份系统备份主要的对象包括：数据备份，关键设备及部件，电源备份，外部设备及空调设备备份，通讯线

14、路备份等。系统备份对象中的关键设备、部件以及电源的备份：设备备份方式、主机备份方式、高可靠电源备份、网卡备份。数据备份数据备份是指将计算机系统中硬盘上的一部分数据经过适当的方式转录到可脱机保管的介质(如磁带，软盘和光盘)上，以便需求时再输入计算机系统运用。热备份、冷备份在线的备份称为热备份脱机数据备份称为冷备份 5 系统备份和紧急恢复方法5.1 系统备份方法数据备份数据备份的介质软磁盘 光盘 磁带 硬盘 根本备份方法日常业务数据备份 数据库数据备份 永久性数据备份 运用工程根本备份 远程备份 5 系统备份和紧急恢复方法5.2 紧急恢复紧急恢复又称灾难恢复，是指灾难产生后迅速采取措施恢复网络系统

15、的正常运转。 紧急事件的主要内容制定紧急恢复方案制定紧急恢复方案的大的原那么和至少要思索的要素： 明确规定事先的预备措施和事后的应急方案 紧急反响 根据网络的实践情况明确紧急反响的等级紧急恢复方案的制定应简约明了 5 系统备份和紧急恢复方法6 审计与评价6.1 平安审计6.2 网络平安评价6.1 平安审计平安审计的目的：有针对性地对网络运转的情况和过程进展记录、跟踪和审查，以从中发现平安问题。 平安审计的主要功能：记录、跟踪系统运转情况。检测各种平安事故。 保管、维护和管理审计日志。 6 审计与评价6.2 网络平安评价网络平安评价是运用系统的方法，根据各种网络平安维护措施、管理机制以及结合所产

16、生的客观效果，对网络系统作出能否平安的结论。网络平安扫描：基于效力器的平安扫描器、基于网络的平安扫描器 评价的主要内容 环境控制 运用平安 管理机制 远程通讯平安审计机制 评价实例 某行业对计算机信息系统(包括网络)的平安竞选检查评价的评分规范，见表7.9 平安检查评价规范。 6 审计与评价7 容灾技术及其典型运用7.1 容灾实际和技术的开展过程7.2 容灾在国内外的规范现状7.3 容灾的根本实际7.4 容灾的关键技术7.5 容灾系统7.6 远程运用级容灾系统模型7.7 企业如何选择容灾处理方案7.8 银行各容灾级别及案例分析 7.1 容灾实际和技术的开展过程容灾这个概念出现于90年代初期提出

17、的。国内对于容灾技术领域的研讨，最早的是在90年代中后期在1997年。7.2 容灾在国内外的规范现状国外政府对数据备份有详细规定；我国香港特别行政区也针对不同行业的特点，对容灾、数据备份有严厉的规定；但在国内，目前对这部分的要求还较少。 7 容灾技术及其典型运用7.3 容灾的根本实际容灾的相关定义：容灾是在灾难发生时，可以保证数据尽量少的丧失，系统可以不延续地运转，或者尽量快地恢复正常运转。容灾备份是经过在异地建立和维护一个备份存储系统，利用地理上的分别来保证系统和数据对灾难性事件的抵御才干。根据容灾系统对灾难的抵抗程度，可分为数据容灾和运用容灾: 数据容灾是指建立一个异地的数据系统 运用容灾

18、比数据容灾层次更高，即在异地建立一套完好的、与本地数据系统相当的备份运用系统 容灾技术与传统数据系统平安技术比较传统的数据系统的平安体系主要有数据备份系统和高可用系统两个方面。 容灾不仅是一项技术，而应该把它了解为一项系统工程。 7 容灾技术及其典型运用7.3 容灾的根本实际容灾的分类表7.10 容灾的分类7 容灾技术及其典型运用级 别内 容说 明第一级本地数据容灾只有很低的灾难恢复能力，能应付计算机软硬件方面的系统灾难，在灾难发生后无法保证业务连续性，且需要较长恢复时间。 第二级本地应用容灾能应付计算机软硬件方面的系统灾难，但系统能迅速切换，保持业务的连续性。 第三级异地数据冷备份在本地将关

19、键数据备份，然后送异地保存。灾难发生后，按预定数据恢复程序恢复系统和数据。特点：成本低，易于配置，是常用的一种方法。问题是：当数据量增大时，存储介质难以管理。灾难发生时，大量数据难以及时恢复，对业务影响仍然很大，损失的数据量也较大。 第四级异地异步数据容灾在异地建立一个数据备份站点，通过网络以异步方式进行数据备份。备份站点只备份数据，不承担业务。在对灾难的容忍程度同第3级。但他采用网络进行数据复制度方式，因此两个站点的数据同步程度要比3高，丢失数据也更少。 第五级异地同步数据容灾除了是同步方式以外，基本和上面相同，出现灾难时，数据丢失量比上面小，基本可以做得零数据丢失，但存在系统恢复较慢地缺点

20、。投入成本较大，注：同步数据容灾有距离限制，超过一定范围（10km100km）在目前情况下性能大打折扣，和异步差别不大。它和第4级存在地共同问题是：没有备用应用系统，因此无法保证业务的连续性。 第六级异地异步应用容灾在异地建立一个与生产系统完全相同的备用系统，他们之间采用异步的方式进行数据同步，当生产中心发生灾难时，备用系统接替其工作。该级别的容灾，既可以保证数据的极少量丢失，又可及时切换，从而保证业务的连续性。现在一般采用广域高可靠集群方式实现。 第七级异地同步应用容灾在异地建立一个与生产系统完全相同的备用系统，他们之间采用同步的方式进行数据复制。当生产中心发生灾难时，备用系统接替其工作。该

21、级别的容灾，在发生灾难时，可以基本保证数据零丢失和业务的连续性。 容灾的等级规范7.4 容灾的关键技术数据存储管理数据存储管理指对于计算机系统数据存储相关的一系列操作如备份、归档、恢复等进展的一致管理。 数据存储管理包括数据备份、数据恢复、备份索引、备份设备及媒体和灾难恢复等。 数据复制数据复制即将一个地点的数据拷贝到另一个不同的物理点上的过程。 数据复制分为同步数据复制和异步数据复制。实现数据异地复制，有软件和硬件方式两种途径。 灾难检测对于灾难的发现方式，普通是经过心跳技术和检查点技术。系统迁移7 容灾技术及其典型运用7.5 容灾系统衡量容灾系统的技术评价目的：公认的规范有RPO /RTO

22、。 容灾系统的系统构造 7 容灾技术及其典型运用本地消费系统本地备用消费系统消费数据中心本地数据备份中心异地运用系统异地数据中心系统迁移灾难检测数据备份数据同步本地高可用系统本地容灾系统异地容灾系统7.6 远程运用级容灾系统模型数据源容灾主系统容灾平台容灾平台备运用系统主运用系统容灾备系统远程容灾同步数据业务数据信息业务数据信息业务数据信息业务数据信息7 容灾技术及其典型运用图7.2 远程运用级容灾系统模型7.7 企业如何选择容灾处理方案国外企业在选择容灾处理方案方面积累的阅历国外的主流容灾产品：HP、VERITAS、IBM 公司处理灾备问题的方法 7.8 银行各容灾级别及案例分析银行各容灾级别分析根据银行业务特征和详细情况，综合的概括为以下容灾层次：业务延续性容灾数据延续性容灾IT设备容灾 案例分析 中国建立银行我国最早引入和运用容灾系统 7 容灾技术及其典型运用建立银行总行于1997年3月成立了计算机灾难备份方