信息安全有关标准标准的发展一国际标准的发展

第三章信息安全有关标准第一节标准的发展国际标准的发展1960年代末，1970年代初，美国出现有关论文。可信Ttusted，评测级别，DoD美国防部1967年10月，美 国防科委赞助成立特别工作组。1970年，TastForce等人《计算机系统的安全控制》（始于1967年）。1970年代初，欧、日等国开始。1970年2月，美发表计算机系统的安全控制。1972年，美发表DoD5200.28条令。1972年，美DoD《自动数据处理系统的安全要求》1973年，美DoD《ADP安全手册-实施、撤消、测试和评估安全的资源共享ADP系统的技术与过程》1973年，美发表DoD5200.28-M（.28相应的指南）。1976年，MITRE公司的Bell、LaPadula推出经典安全模型——贝尔-拉柏丢拉模型（形式化）。1976年，美DoD《主要防卫系统中计算机资源的管理》1976年，美联邦信息处理标准出版署FIPSPUB制订《计算机系统安全用词》。1977年，美国防研究与工程部赞助成立DoD（ComputerSecurityInitiative，1981年01月成立DoDCSC）。1977年3月，美NBS成立一个工作组，负责安全的审计。1978年，MITRE公司发表《可信计算机系统的建设技术评估标准》。1978年10月，美NBS成立一个工作组，负责安全的评估。1983年，美发布“可信计算机系统评价标准TCSEC”桔皮书（1985年正式版DoD85）。DoD85：四类七级：D、C（C1、C2）、B（B1、B2、B3）、A（后又有超A）。1985年，美DoD向DBMS，NET环境延伸。1991年，欧四国(英、荷兰、法等)发布“信息技术安全评价标准IT-SEC”。1993年，加拿大发布“可信计算机系统评价标准CTCPEC”。国际标准组织IEEE/POSIX的FIPS，X/OPEN。1993年，美DoD在C4I(命令、控制、通信、计算机、集成系统)上提出多级安全MIS技术。1994年4月，美国家计算机安全中心NCSC颁布TDI可信计算机系统评估标准在数据库管理系统的解释。1994年，美、加、欧的信息技术安全评测公共标准CCV0.9，1996年为1.0版本。与上述标准不同，目前信息安全尚无统一标准。影响较大的：美TCSEC桔皮书及红皮书（桔皮书在网络环境下和解释）；美信息系统安全协会ISSA的GSSP（一般接受的系统原则）（与C2不同，更强调个人管理而不是系统管理）；日本《计算机系统安全规范》；英国制订自己的安全控制和安全目标的评估标准（1989年）；西德信息安全部门的信息安全技术的安全评价标准（1989年）；加拿大、新西兰、欧盟。我国1994年2月，国务院“计算机信息安全保护条例”近年，靠近TDI，TCSEC的国际标准。一般C2级，部分C1级。日本还处于开始阶段—CoBASE系统。第二节概述一．基本概念1．桔皮书TCSEC与数据库解释TDI（TrustedComputerSystemEvaluationCriteria）设计、实现时要：数学模型、型式化描述、验证技术。（1）提供一标准 可信度评估（2）提供制造原则（3）提供有关方面的解释 可信数据库解释 TDI（TrustedDatabaseInterpretation） 可信网络解释 TNI（TrustedNetworkInterpretation）1987年4组division七等级class 偏序兼容向下、层次化、积聚性。可信计算基TCB（TrustedComputingBase）——硬件与支持不可信应用及不可信用户的操作系统组合体。B级开始要求强制存取控制和形式化模型的应用。A1级要求形式化描述、验证，形式化隐秘通道（CovertChannel）分析等。二．我国信息安全标准1995年，GB/T9387-2-1995——相当于ISO7498-2-1989（最早1984年提出）1996年，GJB2646-96 军用计算机安全评估准则——相当于桔皮书1999年，GB17859-1999 计算机系统安全特性等级划分准则GB4943-1995 信息技术设备的安全（IEC950）GB9254-88 信息技术设备的无线电干扰限值和测量方法GB9361-88 计算机场地安全 GB/T9387.2-1995 OSI的第二部分安全体系结构ISO7498.2：1989GB/T15277-1994 信息处理64位块加密算法ISO8372：1987GB/T15278-1994 信息技术——数据加密，物理层互操作性要求ISO9160：1988GB15851-1995 信息技术——安全技术，带消息恢复的数字签名方案ISO/IEC9796：1991GB15852-1995 信息技术——安全技术，用块加密算法校验函数的数据完整性ISO/IEC9797：1994 GB15853.1-1995 信息技术——安全技术，实体鉴别机制Ⅰ部分：一般模型ISO/IEC9798.1：1991 GB15853.2-1995 信息技术——安全技术，实体鉴别机制Ⅱ部分：对称加密算法的实体鉴别ISO/IEC9798.2：1994 GB15853.3 信息技术——安全技术，实体鉴别机制Ⅲ部分：非对称签名技术机制R1.3.4设备标记R1.4强制存取控制（2）R2责任R2.1标识与鉴别 R2.1.1可信路径 *R2.2审计（3）R3保证R3.1操作保证*R3.1.1系统体系结构R3.1.2系统完整性R3.1.3隐蔽信道分析R3.1.4可信设施管理 区分操作员，管理员和安全管理员等的不同功能R3.1.5可信恢复 R3.2生命周期保证R3.2.1安全测试*R3.2.2设计规范和验证R3.2.3配置管理R3.2.4可信分配 主数据与其现场拷贝之间映射的完整性 （4）R4文档R4.1安全特性用户指南R4.2可信设施手册R4.3测试文档R4.4设计手册(加*的有针对DBMS的专门解释)（5）安全要求相邻的安全级之间随级别升高,安全性能指标：从无到有New；相同Same；改变Change；新增Add安全要求:安全1安全策略2责任3保证4文档级别1.11.21.3.1.2.3.41.42.12.1.12.23.1.1.2.3.4.53.2.1.2.3.44.14.24.34.4C1C2B1B2B3A1NCASSCASNSSSSNNSSNNSSSSSSSSNCSSN/-A/-C/-S/NS/CS/SNCAASNNASASCSNNASCANSSASSNANNCCANCASCCACANNSSSSSNAAAASNSSASANSACAA说明：B２级 跳跃大；C2级 用户能对各自的行为负责,使用LOG-ON登录，审计跟踪与安全性有关的事件和资源隔离；B1级 能使用标记机制对特定的客体进行强制存取控制。二．安全级别介绍1．D组——最低安全类最小保护。2．C组——自由选择性安全保护自主保护，引入审计功能，可对主体其行为进行审计。（1）C1级自主安全保护，对用户和数据的分离，保护或限制用户权限的传播。（系统管理员安全有问题，多人知道根口令）（2）C2级——比C1更精细（自主存取控制）受控安全保护，以个人身份注册负责，实施审计和资源隔离。A．安全策略·自主存取控制保护对象以避免非授权存取，对存取权限的传播提供控制，存取控制粒度达单个用户。·对象重用当系统资源被回收并重新利用时，先前的在资源上存储的信息不应被现在的资源拥有者所看到。B．责任·标识与验证当用户要求可信计算基TCB完成某工作时，TCB首先应当要求用户提供身份证明，再使用某保护机制（如口令）来验证用户提供的身份证明。责任落实到个体，将标识操作与可审计的动作关联起来。·审计TCB能建立、维护以及保护审计记录不被更改、破坏或受到非授权存取。能记录：使用标识，验证机制；向用户地址空间引入对象；删除对象；操作员/管理员/安全主管发出的动作；其他与安全有关的事件。审计项：事件发生的日期与时间，涉及的用户，事件类型，事件成功或失败。能通过对个体的识别，有选择地审计任何一个或多个用户。C．保证·操作性保证涉及系统结构——TCB为自己的操作维护一域，从而防止外部的干涉或篡改；有关系统完整性——用硬件或软件可周期地对TCB的正确性作出验证。·生命周期保证进行安检以符合标准。保证没有明显的旁路可绕过或欺骗TCB的安全保护机制。检查是否存在明显的漏路（违背对资源的隔离，造成对审计或验证数据的非法操作）。D．文档 三个是必需的·安全特性用户指南——提供什么机制，如何使用之以及这些机制之间的关系。·可信设备手册——（系统管理员用）对控制的职责和特权提出建议，如何检查／维护审计文件以及详细审计记录结构的程序。 ·测试文档——解释保护策略及其如何应用到TCB上； 当TCB由多模块组成时，还应对模块间接口进行描述。3．B组——强制性安全保护强制保护：定义及保持标记的完整性，引用监视的概念。（1）B1级——标识安全保护A．安全策略·自主存取控制和对象重用 与C2完全相同·有关标记的内容 TCB维护所有敏感标识控制下的主体和客体（极端例子即每一对象都上一把锁，形成用户标识、加密标记的双重保护）。 TCB要求授权用户提供无标识数据的安全级别，并且要求与之相关的动作都可审计的。涉及： 标识完整性被标识信息的导出方式（TCB设每信道和I/O设备或为单一安全级别，或为多重安全级别，这种级别的改变由手工完成且能审计）·强制存取控制 区别于C级的最重要特征，是B组安全机制的关键所在。 如L(s)>=L(o)，则主体S能读客体O 如L(s)<=L(o)，则主体S能写客体OB．责任·标识和认证维护认证数据，清除和授权信息。为每一用户提供唯一的身份并与相应个体的所有可审计动作关联起来。·审计与C2差别不大。增加：审计任何试图违反可读输出标记的行为。C．保证·操作保证对系统结构方面，TCB可通过控制独立地址空间来维护进程的隔离。对身份完整方面，B1与C2完全相同。·生命周期保证提供设计文档，源代码以及目标代码，以供彻底地分析和测试。确保任何用户使TCB陷入无法和其他用户通讯的境地。能清除或补救缺陷，并再次测试以证明所有漏洞确实清除，且没有引入新漏洞。模型可以是形式化的，也可以是非形式化的。 D．文档 4种手册 ·安全特性文档——与C2完全相同。·可信设备手册—— 描述责任，包括改变用户的安全机制；安全标识对普通用户是不可变更的；赋予特权-——“后门”。 ·测试文档——与C2要求相同。·设计文档——有一TCB所实行安全策略的模型，它可形式化，也可非形式化，且证明该模型满足安全策略的需求。 （2）B2级——结构化保护形式化，能找出隐秘通道（监控对象在不同安全环境下的移动过程（如两进程间的数据传递），具体有定时、存贮两种类型的隐秘通道）），加强验证机制，更安全的评测，更严格的配置控制；可多级安全标记。（3）B3级——安全域保护必须满足访问监控器要求，审计跟踪能力更强，提供系统恢复过程。能抗篡改（保证自身安全），TCB足够小以利分析和测试（为理论上验证提供保证），支持安全管理员角色，，引用监视器参与所有主体对客体的存取（保证不存在旁路），用户终端必须通过一可信话途径连到系统上。用安装硬件的方法来加强域，例如：用内存管理硬件来防止无授权访问；基准监控器，用于追踪对象的使用情况。4．A组——验证设计验证设计—— 给出形式化设计说明和验证。系统安全管理器；设计，控制，验证，创建安全模型。部件来源有安全保证，销售/运输中严密跟踪，严格的配置管理。第四节产品重要的TCSEC，TDI。美的多数大型DBMS通过NCEC的安全认证，达到B1级，个别系统已达B2级。国内：C２级，部分C1级，B级处于开始阶段。 ·美NCSC，1994年4月，颁布TDI（数据库）——为生产者，评估者及研究者提供权威根据。 ·HP，1996年3月，领导发布X/OpenSecurityBranding计划，推出国际密码架构ICF策略，推出HPUXCMWB1级OS（通过TC-SE的ITSEC评测）。还推出SecurityMail.在我国市场推出HPPraesidium系列产品，其中HPP/VirtualValut(VVOS)是使用了B1级的核心。HP在NCSC评测的B1级的OS为HP-UXBLS。·DEC的C2级OS为DigitalUnix和OpenVMS。B1级OS/CMW级OS为SEVMS和DigitalMLS+（通过TCSEC和ITSEC认证）。网络监视器和防火墙产品：AltaVistaTunnelPersonalEditionAltaVistaTunnelWorkgroupEditi