网络安全评估第一讲

1第一讲

网络系统平安风险评估2推荐教材3内容提纲一、风险评估的目的二、通用准那么CC4一、风险评估的目的了解组织的平安现状分析组织的平安需求建立信息平安管理体系的要求制订平安策略和实施安防措施的依据组织实现信息平安的必要的、重要的步骤52025/5/65二、风险的要素资产及其价值威胁脆弱性现有的和方案的控制措施62025/5/66资产的分类电子信息资产软件资产物理资产人员公司形象和名誉7威胁举例盗窃网络监听供电故障后门未授权访问……8脆弱性是与信息资产有关的弱点或平安隐患。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。9脆弱性举例系统漏洞程序Bug专业人员缺乏不良习惯系统没有进行平安配置物理环境不平安缺少审计缺乏平安意识后门……10风险分析矩阵—风险程度

可能性

后果可以忽略1较小2中等3较大4灾难性5A（几乎肯定）HHEEEB（很可能）MHHEEC(可能）LMHEED（不太可能）LLMHEE（罕见）LLMHHE：极度风险H：高风险M：中等风险L:低风险11国际上常见的风险控制流程确定风险评估方法

风险评估确定安全需求法律、法规系统任务和使命系统建设阶段、规模资产、威胁、脆弱性、现有措施法律、法规，系统任务和使命、评估结果制定安全策略选择风险控制措施验证措施实施效果安全需求技术限制、资源限制安全需求、实施效果安全策略文件风险评估报告安全需求报告风险管理方案适用性声明验证报告12提供采取降低影响完成保护系统评估者平安保证信心风险对策资产使命资产拥有者价值给出证据生成保证具有信息平安有效评估的目标13风险评估要素关系模型业务战略资产风险剩余风险资产价值平安需求平安措施脆弱性威胁平安事件依赖拥有增加导出本钱满足降低未控制残留可能诱发演变抗击增加利用增加暴露未满足14信息系统平安风险评估的特征信息系统是一个巨型复杂系统〔系统要素、平安要素〕信息系统受制于外部因素〔物理环境、行政管理、人员〕作业连续性保证威胁和风险在同领域内的相似性自评估、委托评估、检察评估15风险评估的一般工作流程

风险评估活动16风险评估的一般工作流程风险评估活动17风险评估的一般工作流程风险评估活动18评估工具评估工具目前存在以下几类：扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞；入侵检测系统〔IDS〕：用于收集与统计威胁数据；渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞；主机平安性审计工具：用于分析主机系统配置的平安性；平安管理评价系统：用于平安访谈，评价平安管理措施；风险综合分析系统：在根底数据根底上，定量、综合分析系统的风险，并且提供分类统计、查询、TOPN查询以及报表输出功能；评估支撑环境工具:评估指标库、知识库、漏洞库、算法库、模型库。19ISSE信息系统平安工程SSE-CMM系统平安工程能力成熟度模型BS7799,ISO/IEC17799信息平安管理实践准那么其他相关标准、准那么例如：ISO/IEC15443,COBIT。。。系统认证和认可标准和实践例如：美国DITSCAP,…中国信息平安产品测评认证中心相关文档和系统测评认证实践管理准那么〔信息系统管理评估准那么〕过程准那么〔信息系统平安工程评估准那么〕信息系统平安保障评估准那么与现有标准关系信息系统平安保障评估准那么20标准介绍21通用准那么CCISO/IEC15408GB/GB17859计算机信息系统平安保护等级划分准那么国际通用准那么1996年〔CC1.0〕1998年〔CC2.0〕1985年美国可信计算机系统评估准那么〔TCSEC〕1993年加拿大可信计算机产品评估准那么〔CTCPEC〕1993年美国联邦准那么〔FC1.0〕1999年国际标准ISO/IEC154081989年英国可信级别标准〔MEMO3DTI〕德国评估标准〔ZSEIC〕法国评估标准〔B-W-RBOOK〕1993年美国NIST的MSFR23CC的适用范围24CC内容25CC内容26CC的关键概念27CC的关键概念28CC的关键概念TOESecurityFunctions(TSF)TOE平安功能必须依赖于TSP正确执行的TOE的所有部件。组件〔Component)组件描述了一组特定的平安要求，使可供PP、ST或包选取的最小的平安要求集合。在CC中，以“类_族.组件号〞的方式来标识组件。包〔Package)组件依据某个特定关系的组合，就构成了包。构建包的目的是定义那些公认有用的、对满足某个特定平安目的有效的平安要求。包可以用来构造更大的包，PP和ST。包可以重复使用。CC中有功能包和保证包两种形式。

29CC的关键概念30CC的关键概念31CC的关键概念32CC的先进性

33CC的先进性…34CC的先进性…35根本原理，指明平安要求对平安目的、平安目的对平安环境是充分且必要的；“平安目标〞在“保护轮廓〞的根底上，通过将平安要求进一步针对性具体化，解决了要求的具体实现。常见的实用方案就可以当成“平安目标〞对待。通过“保护轮廓〞和“平安目标〞这两种结构，就便于将CC的平安性要求具体应用到IT产品的开发、生产、测35试、评估和信息系统的集成、运行、评估、管理中。CC的先进性…36CC内容之间的关系37保护轮廓与平安目标的关系38通用准那么CCCC包括三个局部:第一局部：简介和一般模型第二局部：平安功能要求第三局部：平安保证要求39通用准那么CC：第一局部介绍和通用模型平安就是保护资产不受威胁，威胁可依据滥用被保护资产的可能性进行分类所有的威胁类型都应该被考虑到在平安领域内，被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的40CC第一局部内容〔1〕41CC第一局部内容〔2〕42通用准那么CCCC中平安需求的描述方法:包:组件的中间组合被称为包保护轮廓(PP):PP是关于一系列满足一个平安目标集的TOE的、与实现无关的描述平安目标(ST)：ST是针对特定TOE平安要求的描述，通过评估可以证明这些平安要求对满足指定目的是有用和有效的43通用准那么CC包允许对功能或保证需求集合的描述，这个集合能够满足一个平安目标的可标识子集包可重复使用，可用来定义那些公认有用的、能够有效满足特定平安目标的要求包可用在构造更大的包、PP和ST中44通用准那么CCPP包含一套来自CC〔或明确阐述〕的平安要求，它应包括一个评估保证级别〔EAL〕PP可反复使用，还可用来定义那些公认有用的、能够有效满足特定平安目标的TOE要求PP包括平安目的和平安要求的根本原理PP的开发者可以是用户团体、IT产品开发者或其它对定义这样一系列通用要求有兴趣的团体45通用准那么CC：保护轮廓内容结构46通用准那么CC平安目标(ST)包括一系列平安要求，这些要求可以引用PP，也可以直接引用CC中的功能或保证组件，或明确说明一个ST包含TOE的概要标准，平安要求和目的，以及它们的根本原理ST是所有团体间就TOE应提供什么样的平安性达成一致的根底47通用准那么CC：平安目标ST内容结构48通用准那么CC49通用准那么CC三种评估的关系50通用准那么CC第二局部：平安功能要求CC的第二局部是平安功能要求，对满足平安需求的诸平安功能提出了详细的要求另外，如果有超出第二局部的平安功能要求，开发者可以根据“类-族-组件-元素〞的描述结构表达其平安要求，并附加在其ST中51通用准那么CC第二局部：平安功能要求52通用准那么CC第二局部：平安功能要求53通用准那么CC第二局部：平安功能要求54通用准那么CC第二局部：平安功能要求55平安功能需求层次关系功能和保证要求以“类—族—组件〞的结构表述，组件作为平安要求的最小构件块，可以用于“保护轮廓〞、“平安目标〞和“包〞的构建，例如由保证组件构成典型的包——“评估保证级包〞。56通用准那么CCCC共包含的11个平安功能类，如下：FAU类：平安审计FCO类：通信FCS类：密码支持FDP类：用户数据保护FIA类：标识与鉴别FMT类：平安管理FPR类：隐秘FPT类：TSF保护FAU类：资源利用FTA类：TOE访问FTP类：可信路径/信道57通用准那么CC：第三局部评估方法CC的第三局部是评估方法局部，提出了PP、ST、TOE三种评估，共包括10个类，但其中的APE类与ASE类分别介绍了PP与ST的描述结构及评估准那么维护类提出了保证评估过的受测系统或产品运行于所获得的平安级别上的要求只有七个平安保证类是TOE的评估类别58通用准那么CC：第三局部评估方法59通用准那么CC：第三局部评估方法60通用准那么CC：第三局部评估方法61通用准那么CC：第三局部评估方法62通用准那么CC：第三局部评估方法63通用准那么CC七个平安保证类ACM类：配置管理CM自动化CM能力CM范围ADO类：交付和运行交付安装、生成和启动ADV类：开发功能标准高层设计实现表示TSF内部低层设计表示对应性平安策略模型64通用准那么CC65通用准那么CC平安保证要求局部提出了七个评估保证级别〔EvaluationAssuranceLevels：EALs〕分别是：66通用准那么CC：EAL解释67通用准那么CC：EAL解释68CC的EAL与其他标准等级的比较697071PP根本原理对PP进行评估的依据，证明PP是一个完整的、紧密结合的要求集合，满足该PP的TOE将在平安环境内提供一组有效的IT平安对策平安目的根本原理平安要求根本原理威胁组织平安策略假设平安需求IT平安要求TOE目的环境的目的平安目的相互支持支持恰好满足恰好满足功能强度声明一致72通用准那么CCCC优点：CC代表了先进的信息平安评估标准的开展方向，基于CC的IT平安测评认证正在逐渐为更多的国家所采纳，CC的互认可协定签署国也在不断增多。根据IT平安领域内CC认可协议，在协议签署国范围内，在某个国家进行的基于CC的平安评估将在其他国家内得到成认。截止2003年3月，参加该协议的国家共有十五个：澳大利亚、新西兰、加拿大、芬兰、法国、德国、希腊、以色列、意大利、荷兰、挪威、西班牙、瑞典、英国及美国。到2001年底，所有已经经过TCSEC评估的产品，其评估结果或者过时，或者转换为CC评估等级。73通用准那么CCCC缺点：CC应用的局限性，比方该标准在开篇便强调其不涉及五个方面的内容：行政性管理平安措施、物理平安、评估方法学、认可过程、对密码算法固有质量的评价，而这些被CC忽略的内容恰恰是信息平安保障工作中需要特别予以注意的重要环节。CC还有一个明显的缺陷，即它没有数学模型的支持