网络空间安全导论 课件 第13章 网络安全检测与评估

网络空间安全导论第十三章

网络安全检测与评估目录CONTENTS01网络安全评估发展史02网络安全评估方法和流程03我国的网络安全等级保护01网络安全评估发展史PRAT01网络安全评估标准1.1网络安全检测与评估是保证网络与信息系统安全运行的重要手段，对于准确掌握网络与信息系统的安全状况具有重要意义。在网络运行和信息系统的整个生命周期内，随着系统结构的变化、新漏洞的发现及管理员和用户的操作，安全状况不断发生变化，随时可能需要对系统的安全性进行检测与评估，只有让安全意识、安全制度和安全检测贯穿整个过程才有可能做到相对安全。网络安全评估标准1.1标准是评估网络与信息系统安全的依据。一般来说，完整的评估标准应涵盖方法、手段和途径。国际上网络安全评估标准的发展经历了以下几个阶段。首创阶段普及阶段统一阶段网络安全评估标准1.1一、首创阶段：1983年，根据国防信息系统的保密需要，美国国防部首次发布了《可信计算机系统安全评估标准》（TCSEC）。1985年，TCSEC经修改后正式发布，由于使用了橘色书皮，因此人们通常称其为“橘皮书”。此后，在美国国防部国家计算机安全中心（NationalComputerSecurityCenter，NCSC）的主持下制定了一系列相关准则，因每本书使用不同颜色的书皮，故称其为“彩虹系列”。这些准则从用户登录、授权管理、访问控制、安全审计、隐通道建立、安全检测、生命周期保障、文本写作、用户指南等方面提出了规范性要求。同时，这些准则根据所采用的安全策略和系统所具备的安全功能，将系统分为4类7个安全级别网络安全评估标准1.1TCSEC的安全级别：网络安全评估标准1.1在TCSEC中首次引入了公正的第三方，该第三方借助技术分析和测试手段来获取相关证据，以此来证明开发人员正确且有效地实现了标准所要求的安全功能。它运用的主要安全策略是访问控制，考虑的安全问题大体上局限于信息的机密性，所依据的安全模型则是贝尔—拉帕杜拉模型（Bell-LaPadulaModel），该模型所制定的最重要的安全准则就是严禁上读下写，所针对的就是信息的机密性要求。TCSEC存在明显的局限性，其评估只针对操作系统，并且只考虑信息的机密性需求。不过，它极大地推动了国际计算机安全评估研究，促使网络安全评估标准研究迈入了第二个阶段。网络安全评估标准1.1二、普及阶段：欧洲各国不甘落后于美国，曾纷纷效仿TCSEC制定本国的评估标准。德国信息安全局于1990年发出号召，与英国、法国、荷兰联合推出了《信息技术安全评估标准》（ITSEC）。除了吸取TCSEC的成功经验，ITSEC首次提出了信息安全的机密性、完整性、可用性概念，将可信计算机的概念提升到可信信息技术的高度。ITSEC的推出为欧洲共同体制订信息安全计划奠定了基础，并对国际信息安全研究与实施产生了深远的影响。ITSEC也定义了7个安全级别，即E6（形式化验证）、E5（形式化分析）、E4（半形式化分析）、E3（数字化测试分析）、E2（数字化测试）、E1（功能测试）、E0（不能充分保证）。网络安全评估标准1.1二、普及阶段：加拿大也在同期制定了《加拿大可信计算机产品评估标准》（CTCPEC）第一版。其第三版于1993年发布，不仅吸取了TCSEC和ITSEC的优点，还将安全要求清晰地分为功能性要求和保证性要求两部分。在此期间，美国并没有停止对评估标准的研究，于1993年发布了《联邦准则》1.0版草案，首次引入了保护轮廓（ProtectionProfile，PP）的概念，每个保护轮廓都包括功能部分、开发保证部分和测评部分。其分级方式与TCSEC的分级方式不同，并充分吸取了ITSEC和CTCPEC的优点，供民用及政府商业使用。网络安全评估标准1.1二、普及阶段：总的来说，这一阶段的网络安全评估标准不但涵盖了现代网络与信息系统的整体安全性要求，而且内容不断扩展，不再局限于安全功能要求，增加了开发保证、评估分析和评估测试要求。然而，这些标准分散于各国，度量标准也不尽相同，客观上阻碍了信息安全保障的国际合作和交流，统一的网络安全评估标准呼之欲出。网络安全评估标准1.1三、统一阶段：为了整合各国网络安全评估标准的优点，ISO于1990年开始着手编写国际性评估标准，但由于任务量庞大、协调困难，该项工作一度进展缓慢。直到1993年6月，在6国7方（英国、加拿大、法国、德国、荷兰、美国国家安全局及国家标准技术研究所）的合作下，将多个评估标准整合到一起，形成了《信息技术安全通用评估标准》（CommonCriteriaforInformationTechnologySecurityEvaluation，CC）。1996年，CC1.0发行。1998年，CC2.0正式发行。1999年，CC2.0成为国际标准ISO/IEC15408。2001年，我国将其转化为推荐性国家标准《信息安全

信息技术安全评估准则》（GB/T18336）。至此，国际上统一度量安全性的评估标准宣告形成。网络安全评估标准1.1三、统一阶段：为了推进信息技术产品的安全性评估，便于国际互认，减少重复检测认证，CC互认组织（CommonCriteriaRecognitionArrangement，CCRA）宣告成立。截至2019年，CCRA成员国已发展到31个。根据协议要求，各CCRA成员国之间对评估结果互认。网络安全评估标准1.1三、统一阶段：为了从整体上形成多级信息系统安全保护体系，提高我国计算机信息系统安全保护水平，公安部提出并组织制定了强制性国家标准《计算机信息系统安全保护等级划分准则》（GB17859—1999）。1999年9月，该标准经国家质量技术监督局发布，并于2001年1月1日起实施。网络安全评估标准1.1三、统一阶段：《计算机信息系统安全保护等级划分准则》（GB17859—1999）是建立安全保护等级制度、实施安全保护等级管理的重要基础性标准。它将信息系统安全保护体系划分为5个级别：第一级是用户自主保护级；第二级是系统审计保护级；第三级是安全标记保护级；第四级是结构化保护级；第五级是访问验证保护级。各级别通过对一系列安全要素的不同要求进行界定。同一安全要素在不同级别中的要求不同，级别越高，要求也就越高。同时，级别越高，所需的安全要素越多，也就意味着信息系统的安全保护能力越强。TCSEC、ITSEC和CC的基本构成1.2TCSEC的基本构成：可以从4个方面来描述TCSEC：安全策略模型可追究性安全保证文档TCSEC、ITSEC和CC的基本构成1.2TCSEC的基本构成：安全策略模型：B1级及以下的安全评估级别，其安全策略模型是非形式化定义。从B2级开始，其安全策略模型是更加严格的形式化定义，甚至引入形式化验证方法。安全策略制定的基础是可信计算基（TrustedComputingBase，TCB）结构。在TCSEC评估标准中给出了11项安全策略内容，其中以自主访问控制（C级及以上级别采用）、客体重用、标识（有8个）和强制访问控制（B级及以上级别采用）作为主要特性。TCSEC、ITSEC和CC的基本构成1.2TCSEC的基本构成：可追究性：在TCSEC评估标准中给出了3个可追究性特性，分别是识别与授权、审计和可信通路。安全保证：在TCSEC评估标准中给出了9个安全保证特性，主要用于解决安全测试、验证分析等方面的问题。文档：在TCSEC评估标准中还给出了对文档的要求。TCSEC、ITSEC和CC的基本构成1.2C2级对于一般意义上的攻击具有一定的抵抗能力；B1级对于一般意义上的攻击具有较强的抵抗能力，但对于抵抗高威胁的渗透入侵能力较差；B2级有一定的抵抗高威胁的渗透入侵能力；B3级有较强的抵抗高威胁的渗透入侵能力。TCSEC是第一代网络安全评估标准，虽存在不足，但仍有借鉴意义。TCSEC、ITSEC和CC的基本构成1.2ITSEC的基本构成：ITSEC的安全功能涵盖标识与鉴别、访问控制、可追究性、审计、客体重用、精确性、服务可靠性和数据交换等方面。ITSEC的生命力顽强，其系列文档一直以UKSPXX（UnitedKindomITSECSchemePublication）为编号不断发布。1996年发布的基础性文档UKSP01《框架描述》于2000年2月进行了第4次修订，此次修订最大的改动是增加了对CC最新动态的响应。TCSEC、ITSEC和CC的基本构成1.2CC的基本构成：CC主要有两个核心思想：一是信息安全提供的安全功能本身和对信息安全技术的保证承诺之间相互独立；二是安全工程的思想，即通过对信息安全产品开发、评价、使用全过程的各个环节实施安全工程来确保产品的安全性。TCSEC、ITSEC和CC的基本构成1.2CC的基本构成：CC由三部分构成，它们相互依存、缺一不可：第一部分介绍CC的基本概念和基本原理第二部分提出安全功能要求，包含定义明确、易于理解的安全功能要求。第三部分提出非技术的安全保证要求，包含表示信息技术产品和系统安全要求的标准。TCSEC、ITSEC和CC的基本构成1.2CC的基本构成：CC将安全要求分为安全功能要求，以及用来解决如何正确且有效地实现这些功能的安全保证要求。这是从ITSEC和CTCPEC中吸取的优点，还从FC（功能组件）中吸取了保护轮廓的概念。CC的安全功能要求和安全保证要求均以类、族、组件的结构来表述。安全功能要求包括12个安全功能类，分别是安全审计、通信、密码支持、用户数据保护、标识和鉴别、安全管理、隐秘、TSF（文本服务框架）保护、资源利用、TOE（评估对象）访问、可信路径、信道。安全保证要求包括7个安全保证类，分别是配置管理、交付和运行、开发、指导性文件、生命周期支持、测试、脆弱性评定。TCSEC、ITSEC和CC的基本构成1.2在CC中定义了7个递增的评估保证级别，这种递增依靠替换成同一保证子类中一个更高级别的保证组件（增加严格性、范围或深度）和添加另一个保证子类中的保证组件（如添加新的要求）来实现。EAL1：功能测试EAL2：结构测试EAL3：系统测试和审查EAL4：系统设计、测试和评审EAL5：半形式化设计和测试EAL6：半形式化验证的设计和测试EAL7：形式化验证的设计和测试TCSEC、ITSEC和CC的基本构成1.2CC的先进性体现在以下几个方面：适用于各类信息技术产品的评估开放性语言的通用性以用户需求为中心的保护轮廓突出体现了安全以需求为目标的宗旨TCSEC、ITSEC和CC的基本构成1.2CC评估分为以下3种类型：PP评估。PP评估的目的是证明PP是完备的、一致的、技术合理的，并适合表达一个可评估的TOE要求。PP评估应得到“通过/未通过”的陈述。ST（SecurityTarget，安全目标）评估。ST评估的目的首先是证明ST是完备的、一致的、技术合理的，并适合作为相应TOE评估的基础；其次，当某个ST宣称与某个PP一致时，证明ST满足该PP的要求。TOE评估。评估人员依照CC第三部分的评估标准，遵从通用评估方法（CommonEvaluationMethodology，CEM）中的EAL1～EAL4级别进行评估。TOE评估使用一个已评估的ST作为基础，其目的是证明TOE满足ST中的安全要求。TOE评估也应得到“通过/未通过”的陈述。TCSEC、ITSEC和CC的基本构成1.23种CC评估类型之间的关系如图所示：由此可以看出，如果PP评估成功，那么这个PP会被编目，并且可以被ST评估引用；ST评估结果只能作为TOE评估的基础；如果TOE评估成功，就可以编目证书。02网络安全评估方法和流程PRAT02网络安全评估方法和流程2CEM是实施信息技术安全评估工作的评估人员在评估时遵循的工作准则，但对从事信息安全产品或系统集成的开发人员、评估申请者及评估认证机构的工作人员也有重要的参考价值。CEM由两部分组成：第一部分为简介和一般模型，包括评估的一般原则、评估过程中的角色、评估全过程概况和相关术语解释；第二部分为评估方法，详细介绍了适用于所有评估的通用评估任务、PP评估、ST评估、EAL1～EAL4评估及评估过程中使用的一般技术。第二部分按照EAL来组织，只涉及保证要求对应的评估活动，以工作单元的形式进行描述，即评估人员在评估时应执行什么操作。CC评估的流程2.1CC评估流程如图所示：CC评估的流程2.1首先，评估相关团体（如评估申请者、TOE开发人员等）使用与遵从CC标准和CEM对描述TOE的文档进行修改，生成TOE修正文档；其次，评估相关团体使用CC工具箱（CCToolBox）、CC标准、相关PP及TOE修正文档生成ST，此时评估准备工作已经完成；再次，当ST、TOE修正文档、TOE被提交给评估人员后，评估人员使用与遵从CC标准和CEM进行CC评估，审查ST、PP、TOE修正文档，测试TOE，生成ETR（EvaluationTechnologyReport，评估技术报告）；最后，评估人员将ETR提交给评估认证机构进行认证。至此，CC评估结束。在评估期间，评估认证机构对整个评估过程进行监督，以确保评估的公正性、客观性。CC评估的流程2.1评估人员依照以下算法来确定最终评估结果：CC评估的流程2.1上述算法的理念是：一个动作的失败将会导致整个行为的失败，直至整个评估的失败。CEM中的活动、子活动、行为和动作是不能被赋予评估结果的，CC评估中的评估结果只能赋予安全保证类、组件和评估人员行为元素。因此，在最终评估结果或ETR中，只有CC安全保证要求的各个类、组件和评估人员行为元素才有评估结果。在完成评估后，评估人员要提交ERT。即使评估失败，也要提交ERT，并且要在其中包含OR。OR用来记录评估失败的原因，并给出解决方案和建议。ETR和OR都有固定的格式。评估人员提交的ETR和OR是评估认证机构对产品进行认证的主要依据。CC评估的现状2.2CC评估是一个复杂、耗时的过程，除了归因于CC本身的复杂性，还与以下几个问题相关:CC评估结果具有国际互认的优势，但是仅限于EAL1～EAL4级别。缺乏针对CC评估的辅助工具（如CCToolBox），导致评估效率很难提高。缺乏专业性安全需求文档（如PP文档等）。ST编写难度大。CC评估结果只适用于一定的TOE版本和配置。CC评估的发展趋势2.3CC评估主要有以下发展趋势:流程性评估方法的研究。EAL5～EAL7通用评估方法的研究。TOE安全环境的标准化。评估工具的开发。03我国的网络安全等级保护PRAT03我国的网络安全等级保护3网络安全等级保护制度是我国网络安全的基本制度。简而言之，网络安全等级保护就是分等级保护、分等级监管。实际上，网络安全等级保护制度是指对包括法人、公民和其他组织在内的专有或公共信息及国家秘密信息的分级安全保护。同时，对处理、传输和存储这些信息的系统也应进行分级安全保护。此外，在所使用的信息系统中，还需要对应用的安全产品进行分级管理，对安全事件进行分级响应和处置。我国网络安全等级保护的发展历程3.1我国网络安全等级保护的发展经历了3个阶段:起步与探索阶段（1994—2007年）标准化与发展阶段（2007—2016年）网络安全等级保护2.0时代（2016年至今）等保2.0的基本概念与标准体系3.2网络安全等级保护2.0制度是我国网络安全领域的基本国策、基本制度。《中华人民共和国网络安全法》第二十一条规定，“国家实行网络安全等级保护制度”，要求“网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”；第三十一条规定，“对于国家关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。等保2.0的基本概念与标准体系3.2等保2.0的基本概念:等保2.0注重主动防御，从被动防御逐步迈向事前、事中、事后全流程的安全可信、动态感知和全面审计，对象范围由原来的信息系统改为等级保护对象（信息系统、通信网络设施和数据资源等），包括网络基础设施（广电网、电信网、专用通信网络等）、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。等保2.0的基本概念与标准体系3.2等保2.0的5个级别没有变化，从第一级到第五级依次是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。同时，信息系统按重要程度由低到高分为5个等级，分别实施不同的保护策略，对应客体受侵害程度如表所示。等保2.0的基本概念与标准体系3.2等保2.0的规定动作不变，分别为定级、备案、安全建设整改、等级测评、监督检查。等保2.0的主体职责也不变，包含网安对定级对象的备案受理及监督检查职责、第三方测评机构对定级对象的安全评估职责、上级主管单位对所属单位的安全管理职责、运营使用单位对定级对象的等级保护职责。在依据标准方面，等保2.0依据《中华人民共和国网络安全法》，如第二十五条要求网络运营者应当制定网络安全事件应急预案，第三十一条要求在网络安全等级保护制度的基础上对关键基础设施实行重点保护，第五十九条规定了没有履行网络安全保护义务的处罚措施。等保2.0的基本概念与标准体系3.2在通用要求方面，等保2.0的核心是优化，删除过时的测评项，对测评项进行合理改写，新增新型网络攻击行为防护和个人信息保护等要求，调整标准结构，将安全管理中心从管理层面提升至技术层面；扩展要求则涵盖云计算、物联网、移动互联网、工业控制、大数据等领域。等保2.0的安全体系向事前防御、事中响应、事后审计的动态保障体系转变，建立安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综合防御体系，开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。等保2.0的基本概念与标准体系3.2在定级流程方面，等保2.0不再允许自主定级，二级及以上系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，整体定级更加严格。等保2.0测评标准的合格要求有所提高，70分以上才算基本符合要求。等保2.0的基本概念与标准体系3.2等保2.0的标准体系:等保2.0采用了统一的框架结构。如图所示为安全通用要求框架结构:等保2.0的基本概念与标准体系3.2等保2.0采用了“一个中心，三重防护”的防护理念和分类结构，强化了建立纵深防御和精细防御体系的思想；强化了密码技术和可信计算技术的使用，把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求，强调通过密码技术、可信验证、安全审计、态势感知等建立主动防御体系的期望。等保2.0的基本概念与标准体系3.2等保2.0标准体系中的应用安全通用要求