1、 网络与信息安全网络与信息安全第十七讲第十七讲 计算机信息系统计算机信息系统安全评定标准介绍安全评定标准介绍闫闫 强强 北京大学信息科学技术学院北京大学信息科学技术学院软件研究所信息安全研究室软件研究所信息安全研究室 年春季北京大学硕士硕士课程1网络与信息系统安全评估标准介绍第1页标准介绍标准介绍信息技术安全评定准则发展过程信息技术安全评定准则发展过程可信计算机系统评定准则(可信计算机系统评定准则(TCSEC)可信网络解释可信网络解释(TNI)通用准则通用准则CC计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息系统安全评定方法探讨信息系统安全评定方法探讨2网络与信息系统
2、安全评估标准介绍第2页信息技术安全评定准则发展过程信息技术安全评定准则发展过程信息技术安全评定是对一个构件、产品、子系统或系统信息技术安全评定是对一个构件、产品、子系统或系统安全属性进行技术评价,经过评定判断该构件、产品、安全属性进行技术评价,经过评定判断该构件、产品、子系统或系统是否满足一组特定要求。信息技术安全评子系统或系统是否满足一组特定要求。信息技术安全评定另一层含义是在一定安全策略、安全功效需求及目标定另一层含义是在一定安全策略、安全功效需求及目标确保级别下取得对应确保过程确保级别下取得对应确保过程 。产品安全评定产品安全评定信息系统安全评定信息系统安全评定信息系统安全评定,或简称为
3、系统评定,是在详细操作信息系统安全评定,或简称为系统评定,是在详细操作环境与任务下对一个系统安全保护能力进行评定环境与任务下对一个系统安全保护能力进行评定 。3网络与信息系统安全评估标准介绍第3页信息技术安全评定准则发展过程信息技术安全评定准则发展过程2020世纪世纪6060年代后期,年代后期,19671967年美国国防部(年美国国防部(DODDOD)成立了)成立了一个研究组,针对当初计算机使用环境中安全策略进行一个研究组,针对当初计算机使用环境中安全策略进行研究,其研究结果是研究,其研究结果是“Defense Science Board“Defense Science Board repor
4、t”report”7070年代后期年代后期DODDOD对当初流行操作系当初流行操作系统KSOSKSOS,PSOSPSOS,KVMKVM进行了安全方面研究行了安全方面研究 4网络与信息系统安全评估标准介绍第4页信息技术安全评定准则发展过程信息技术安全评定准则发展过程8080年代后,美国国防部公布年代后,美国国防部公布“可信计算机系统评定准则可信计算机系统评定准则(TCSECTCSEC)”(即桔皮书)(即桔皮书)以后以后DODDOD又公布了可信数据又公布了可信数据库解解释(TDITDI)、可信网)、可信网络解解释(TNITNI)等一系列相关)等一系列相关说明和指南明和指南 9090年代初,英、法、
5、德、荷等四国年代初,英、法、德、荷等四国针对TCSECTCSEC准准则不足,不足,提出了包含保密性、完整性、可用性等概念提出了包含保密性、完整性、可用性等概念“信息技信息技术安全安全评定准定准则”(ITSECITSEC),定),定义了从了从E0E0级到到E6E6级七个七个安全等安全等级 5网络与信息系统安全评估标准介绍第5页信息技术安全评定准则发展过程信息技术安全评定准则发展过程加拿大加拿大19881988年开始制订年开始制订The Canadian Trusted The Canadian Trusted Computer Product Evaluation Criteria Comput
6、er Product Evaluation Criteria(CTCPECCTCPEC)19931993年,美国对年,美国对TCSECTCSEC作了补充和修改,制订了作了补充和修改,制订了“组合组合联邦标准联邦标准”(简称(简称FCFC)国际标准化组织(国际标准化组织(ISOISO)从)从19901990年开始开发通用国际标年开始开发通用国际标准评定准则准评定准则6网络与信息系统安全评估标准介绍第6页信息技术安全评定准则发展过程信息技术安全评定准则发展过程在在19931993年年6 6月,月,CTCPECCTCPEC、FCFC、TCSECTCSEC和和ITSECITSEC发起组织开发起组织开始
7、联合起来,将各自独立准则组合成一个单一、能被广始联合起来,将各自独立准则组合成一个单一、能被广泛使用泛使用ITIT安全准则安全准则发起组织包含六国七方:加拿大、法国、德国、荷兰、发起组织包含六国七方:加拿大、法国、德国、荷兰、英国、美国英国、美国NISTNIST及美国及美国NSANSA,他们代表建立了,他们代表建立了CCCC编辑委编辑委员会(员会(CCEBCCEB)来开发)来开发CCCC7网络与信息系统安全评估标准介绍第7页信息技术安全评定准则发展过程信息技术安全评定准则发展过程19961996年年1 1月完成月完成CC1.0CC1.0版版,在在19961996年年4 4月被月被ISOISO采
8、纳采纳19971997年年1010月完成月完成CC2.0CC2.0测试版测试版19981998年年5 5月公布月公布CC2.0CC2.0版版19991999年年1212月月ISOISO采纳采纳CCCC,并作为国际标准,并作为国际标准ISO 15408ISO 15408公布公布8网络与信息系统安全评估标准介绍第8页安全评定标准发展历程安全评定标准发展历程桔皮书桔皮书(TCSEC)1985英英国国安安全全标准标准1989德德国国家家标标准准准准法法国国家家标标准准准准加拿大标准加拿大标准1993联联邦邦标标准准草案草案1993ITSEC1991通用标准通用标准V1.01996V2.01998V2.
9、119999网络与信息系统安全评估标准介绍第9页标准介绍标准介绍信息技术安全评定准则发展过程信息技术安全评定准则发展过程可信计算机系统评定准则(可信计算机系统评定准则(TCSEC)可信网络解释可信网络解释(TNI)通用准则通用准则CC计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息系统安全评定方法探讨信息系统安全评定方法探讨10网络与信息系统安全评估标准介绍第10页TCSEC在在TCSECTCSEC中,美国国防部按处理信息等级和应采取响应中,美国国防部按处理信息等级和应采取响应办法,将计算机安全从高到低分为:办法,将计算机安全从高到低分为:A A、B B、C C、D D
10、四类八四类八个级别,共个级别,共2727条评定准则条评定准则伴随安全等级提升,系统可信度随之增加,风险逐步降伴随安全等级提升,系统可信度随之增加,风险逐步降低。低。11网络与信息系统安全评估标准介绍第11页TCSEC四个安全等级:四个安全等级:无保护级无保护级自主保护级自主保护级强制保护级强制保护级验证保护级验证保护级12网络与信息系统安全评估标准介绍第12页TCSECD D类是最低保护等级,即无保护级类是最低保护等级,即无保护级是为那些经过评定,但不满足较高评定等级要求系统设是为那些经过评定,但不满足较高评定等级要求系统设计,只含有一个级别计,只含有一个级别该类是指不符合要求那些系统,所以,
11、这种系统不能在该类是指不符合要求那些系统,所以,这种系统不能在多用户环境下处理敏感信息多用户环境下处理敏感信息13网络与信息系统安全评估标准介绍第13页TCSEC四个安全等级:四个安全等级:无保护级无保护级自主保护级自主保护级强制保护级强制保护级验证保护级验证保护级14网络与信息系统安全评估标准介绍第14页TCSECC C类为自主保护级类为自主保护级含有一定保含有一定保护能力,采取能力,采取办法是自主法是自主访问控制和控制和审计跟跟踪踪 普通只适合用于含有一定等普通只适合用于含有一定等级多用多用户环境境含有含有对主体主体责任及其任及其动作作审计能力能力15网络与信息系统安全评估标准介绍第15页
12、TCSECC C类分分为C1C1和和C2C2两个两个级别:自主安全保护级(自主安全保护级(C1级级)控制访问保护级(控制访问保护级(C2级)级)16网络与信息系统安全评估标准介绍第16页TCSECC1级级TCBTCB经过隔离用户与数据,使用户具备自主安全保经过隔离用户与数据,使用户具备自主安全保护能力护能力它含有各种形式控制能力,对用户实施访问控制它含有各种形式控制能力,对用户实施访问控制为用户提供可行伎俩,保护用户和用户组信息,防止其为用户提供可行伎俩,保护用户和用户组信息,防止其它用户对数据非法读写与破坏它用户对数据非法读写与破坏C1C1级系统适合用于处理同一敏感级别数据多用户环境级系统适
13、合用于处理同一敏感级别数据多用户环境17网络与信息系统安全评估标准介绍第17页TCSECC2C2级计算机系统比级计算机系统比C1C1级含有更细粒度自主访问控制级含有更细粒度自主访问控制C2C2级经过注册过程控制、审计安全相关事件以及资源隔级经过注册过程控制、审计安全相关事件以及资源隔离,使单个用户为其行为负责离,使单个用户为其行为负责18网络与信息系统安全评估标准介绍第18页TCSEC四个安全等级:四个安全等级:无保护级无保护级自主保护级自主保护级强制保护级强制保护级验证保护级验证保护级19网络与信息系统安全评估标准介绍第19页TCSECB B类为强制保护级类为强制保护级主要要求是主要要求是T
14、CBTCB应维护完整安全标识,并在此基础上执应维护完整安全标识,并在此基础上执行一系列强制访问控制规则行一系列强制访问控制规则B B类系统中主要数据结构必须携带敏感标识类系统中主要数据结构必须携带敏感标识系统开发者还应为系统开发者还应为TCBTCB提供安全策略模型以及提供安全策略模型以及TCBTCB规约规约应提供证据证实访问监控器得到了正确实施应提供证据证实访问监控器得到了正确实施20网络与信息系统安全评估标准介绍第20页TCSECB类分为三个类别:类分为三个类别:标识安全保护级(标识安全保护级(B1级)级)结构化保护级(结构化保护级(B2级)级)安全区域保护级(安全区域保护级(B3级)级)2
15、1网络与信息系统安全评估标准介绍第21页TCSECB1B1级系统要求含有级系统要求含有C2C2级系统全部特征级系统全部特征在此基础上,还应提供安全策略模型非形式化描述、数在此基础上,还应提供安全策略模型非形式化描述、数据标识以及命名主体和客体强制访问控制据标识以及命名主体和客体强制访问控制并消除测试中发觉全部缺点并消除测试中发觉全部缺点22网络与信息系统安全评估标准介绍第22页TCSECB类分为三个类别:类分为三个类别:标识安全保护级(标识安全保护级(B1级)级)结构化保护级(结构化保护级(B2级)级)安全区域保护级(安全区域保护级(B3级)级)23网络与信息系统安全评估标准介绍第23页TCS
16、EC在在B2B2级系统中,级系统中,TCBTCB建立于一个明确定义并文档化形式建立于一个明确定义并文档化形式化安全策略模型之上化安全策略模型之上要求将要求将B1B1级系统中建立自主和强制访问控制扩展到全部级系统中建立自主和强制访问控制扩展到全部主体与客体主体与客体在此基础上,应对隐蔽信道进行分析在此基础上,应对隐蔽信道进行分析TCBTCB应结构化为关键保护元素和非关键保护元素应结构化为关键保护元素和非关键保护元素24网络与信息系统安全评估标准介绍第24页TCSECTCBTCB接口必须明确定义接口必须明确定义其设计与实现应能够经受更充分测试和更完善审查其设计与实现应能够经受更充分测试和更完善审查
17、判别机制应得到加强,提供可信设施管理以支持系统管判别机制应得到加强,提供可信设施管理以支持系统管理员和操作员职能理员和操作员职能提供严格配置管理控制提供严格配置管理控制B2B2级系统应具备相当抗渗透能力级系统应具备相当抗渗透能力25网络与信息系统安全评估标准介绍第25页TCSECB类分为三个类别:类分为三个类别:标识安全保护级(标识安全保护级(B1级)级)结构化保护级(结构化保护级(B2级)级)安全区域保护级(安全区域保护级(B3级)级)26网络与信息系统安全评估标准介绍第26页TCSEC在在B3B3级系统中,级系统中,TCBTCB必须满足访问监控器需求必须满足访问监控器需求访问监控器对全部主
18、体对客体访问进行仲裁访问监控器对全部主体对客体访问进行仲裁访问监控器本身是抗篡改访问监控器本身是抗篡改访问监控器足够小访问监控器足够小访问监控器能够分析和测试访问监控器能够分析和测试27网络与信息系统安全评估标准介绍第27页TCSEC为了满足访问控制器需求为了满足访问控制器需求:计算机信息系统可信计算基在结构时,排除那些对计算机信息系统可信计算基在结构时,排除那些对实施安全策略来说并非必要代码实施安全策略来说并非必要代码计算机信息系统可信计算基在设计和实现时,从系计算机信息系统可信计算基在设计和实现时,从系统工程角度将其复杂性降低到最小程度统工程角度将其复杂性降低到最小程度28网络与信息系统安
19、全评估标准介绍第28页TCSECB3B3级系统支持级系统支持:安全管理员职能安全管理员职能扩充审计机制扩充审计机制当发生与安全相关事件时,发出信号当发生与安全相关事件时,发出信号提供系统恢复机制提供系统恢复机制系统含有很高抗渗透能力系统含有很高抗渗透能力29网络与信息系统安全评估标准介绍第29页TCSEC四个安全等级:四个安全等级:无保护级无保护级自主保护级自主保护级强制保护级强制保护级验证保护级验证保护级30网络与信息系统安全评估标准介绍第30页TCSECA类为验证保护级类为验证保护级A A类特点是使用形式化安全验证方法,确保系统自主和类特点是使用形式化安全验证方法,确保系统自主和强制安全控
20、制办法能够有效地保护系统中存放和处理秘强制安全控制办法能够有效地保护系统中存放和处理秘密信息或其它敏感信息密信息或其它敏感信息为证实为证实TCBTCB满足设计、开发及实现等各个方面安全要求,满足设计、开发及实现等各个方面安全要求,系统应提供丰富文档信息系统应提供丰富文档信息31网络与信息系统安全评估标准介绍第31页TCSECA A类分为两个类别:类分为两个类别:验证设计级(验证设计级(A1A1级)级)超超A1A1级级 32网络与信息系统安全评估标准介绍第32页TCSECA1A1级系统在功效上和级系统在功效上和B3B3级系统是相同,没有增加体系结级系统是相同,没有增加体系结构特征和策略要求构特征
21、和策略要求最显著特点是,要求用形式化设计规范和验证方法来对最显著特点是,要求用形式化设计规范和验证方法来对系统进行分析,确保系统进行分析,确保TCBTCB按设计要求实现按设计要求实现从本质上说,这种确保是发展,它从一个安全策略形式从本质上说,这种确保是发展,它从一个安全策略形式化模型和设计形式化高层规约(化模型和设计形式化高层规约(FTLSFTLS)开始)开始33网络与信息系统安全评估标准介绍第33页TCSEC 针对针对A1A1级系统设计验证,有级系统设计验证,有5 5种独立于特定规约语言或种独立于特定规约语言或验证方法主要准则:验证方法主要准则:安全策略形式化模型必须得到明确标识并文档化,提
22、供该模型安全策略形式化模型必须得到明确标识并文档化,提供该模型与其公理一致以及能够对安全策略提供足够支持数学证实与其公理一致以及能够对安全策略提供足够支持数学证实 应提供形式化高层规约,包含应提供形式化高层规约,包含TCBTCB功效抽象定义、用于隔离执功效抽象定义、用于隔离执行域硬件行域硬件/固件机制抽象定义固件机制抽象定义 34网络与信息系统安全评估标准介绍第34页TCSEC应经过形式化技术(假如可能化)和非形式化技术证实应经过形式化技术(假如可能化)和非形式化技术证实TCB形式化高层规约(形式化高层规约(FTLS)与模型是一致)与模型是一致经过非形式化方法证实经过非形式化方法证实TCB实现
23、(硬件、固件、软件)实现(硬件、固件、软件)与形式化高层规约(与形式化高层规约(FTLS)是一致。应证实)是一致。应证实FTLS元素元素与与TCB元素是一致,元素是一致,FTLS应表示用于满足安全策略一应表示用于满足安全策略一致保护机制,这些保护机制元素应映射到致保护机制,这些保护机制元素应映射到TCB要素要素35网络与信息系统安全评估标准介绍第35页TCSEC应使用形式化方法标识并分析隐蔽信道,非形式化方法应使用形式化方法标识并分析隐蔽信道,非形式化方法能够用来标识时间隐蔽信道,必须对系统中存在隐蔽信能够用来标识时间隐蔽信道,必须对系统中存在隐蔽信道进行解释道进行解释36网络与信息系统安全评
24、估标准介绍第36页TCSECA1级系统级系统:要求更严格配置管理要求更严格配置管理要求建立系统安全分发程序要求建立系统安全分发程序支持系统安全管理员职能支持系统安全管理员职能37网络与信息系统安全评估标准介绍第37页TCSECA A类分为两个类别:类分为两个类别:验证设计级(验证设计级(A1A1级)级)超超A1A1级级38网络与信息系统安全评估标准介绍第38页TCSEC超超A1A1级在级在A1级基础上增加许多安全办法超出了当前技级基础上增加许多安全办法超出了当前技术发展术发展伴随更多、愈加好分析技术出现,本级系统要求才会变伴随更多、愈加好分析技术出现,本级系统要求才会变愈加明确愈加明确今后,形
25、式化验证方法将应用到源码一级,而且时间隐今后,形式化验证方法将应用到源码一级,而且时间隐蔽信道将得到全方面分析蔽信道将得到全方面分析39网络与信息系统安全评估标准介绍第39页TCSEC在这一级,设计环境将变更主要在这一级,设计环境将变更主要形式化高层规约分析将对测试提供帮助形式化高层规约分析将对测试提供帮助TCB开发中使用工具正确性及开发中使用工具正确性及TCB运行软硬件功效正运行软硬件功效正确性将得到更多关注确性将得到更多关注40网络与信息系统安全评估标准介绍第40页TCSEC超超A1级系统包括范围包含:级系统包括范围包含:系统体系结构系统体系结构安全测试安全测试形式化规约与验证形式化规约与
26、验证可信设计环境等可信设计环境等41网络与信息系统安全评估标准介绍第41页标准介绍标准介绍信息技术安全评定准则发展过程信息技术安全评定准则发展过程可信计算机系统评定准则(可信计算机系统评定准则(TCSEC)可信网络解释可信网络解释(TNI)通用准则通用准则CC计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息系统安全评定方法探讨信息系统安全评定方法探讨42网络与信息系统安全评估标准介绍第42页可信网络解释(可信网络解释(TNI)美国国防部计算机安全评定中心在完成美国国防部计算机安全评定中心在完成TCSEC基础上,基础上,又组织了专门研究镞对可信网络安全评定进行研究,并又组
27、织了专门研究镞对可信网络安全评定进行研究,并于于1987年公布了以年公布了以TCSEC为基础可信网络解释,即为基础可信网络解释,即TNI。TNI包含两个部分(包含两个部分(PartI和和PartII)及三个附录)及三个附录(APPENDIXA、B、C)43网络与信息系统安全评估标准介绍第43页可信网络解释(可信网络解释(TNI)TNI第一部分提供了在网络系统作为一个单一系统进行第一部分提供了在网络系统作为一个单一系统进行评定时评定时TCSEC中各个等级(从中各个等级(从D到到A类)解释类)解释与单机系统不一样是,网络系统可信计算基称为网络可与单机系统不一样是,网络系统可信计算基称为网络可信计算
28、基(信计算基(NTCB)44网络与信息系统安全评估标准介绍第44页可信网络解释(可信网络解释(TNI)第二部分以附加安全服务形式提出了在网络互联时出现第二部分以附加安全服务形式提出了在网络互联时出现一些附加要求一些附加要求这些要求主要是针对完整性、可用性和保密性这些要求主要是针对完整性、可用性和保密性45网络与信息系统安全评估标准介绍第45页可信网络解释(可信网络解释(TNI)第二部分评定是定性,针对一个服务进行评定结果普通第二部分评定是定性,针对一个服务进行评定结果普通分为为:分为为:vnonevminimumvfairvgood46网络与信息系统安全评估标准介绍第46页可信网络解释(可信网
29、络解释(TNI)第二部分中关于每个服务说明普通包含第二部分中关于每个服务说明普通包含:一个相对简短陈说一个相对简短陈说相关功效性讨论相关功效性讨论相关机制强度讨论相关机制强度讨论相关确保讨论相关确保讨论47网络与信息系统安全评估标准介绍第47页可信网络解释(可信网络解释(TNI)功效性是指一个安全服务目标和实现方法,它包含特征、功效性是指一个安全服务目标和实现方法,它包含特征、机制及实现机制及实现机制强度是指一个方法实现其目标程度机制强度是指一个方法实现其目标程度有些情况下,参数选择会对机制强度带来很大影响有些情况下,参数选择会对机制强度带来很大影响48网络与信息系统安全评估标准介绍第48页可
30、信网络解释(可信网络解释(TNI)确保是指相信一个功效会实现基础确保是指相信一个功效会实现基础确保普通依靠对理论、测试、软件工程等相关内容分析确保普通依靠对理论、测试、软件工程等相关内容分析分析能够是形式化或非形式化,也能够是理论或应用分析能够是形式化或非形式化,也能够是理论或应用49网络与信息系统安全评估标准介绍第49页可信网络解释(可信网络解释(TNI)第二部分中列出安全服务有:第二部分中列出安全服务有:通信完整性通信完整性拒绝服务拒绝服务机密性机密性50网络与信息系统安全评估标准介绍第50页可信网络解释(可信网络解释(TNI)通信完整性主要包括以下通信完整性主要包括以下3方面:方面:判别
31、:网络中应能够抵抗坑骗和重放攻击判别:网络中应能够抵抗坑骗和重放攻击通信字段完整性:保护通信中字段免受非授权修改通信字段完整性:保护通信中字段免受非授权修改抗抵赖:提供数据发送、接收证据抗抵赖:提供数据发送、接收证据51网络与信息系统安全评估标准介绍第51页可信网络解释(可信网络解释(TNI)当网络处理能力下降到一个要求界限以下或远程实体无当网络处理能力下降到一个要求界限以下或远程实体无法访问时,即发生了拒绝服务法访问时,即发生了拒绝服务全部由网络提供服务都应考虑拒绝服务情况全部由网络提供服务都应考虑拒绝服务情况网络管理者应决定网络拒绝服务需求网络管理者应决定网络拒绝服务需求52网络与信息系统
32、安全评估标准介绍第52页可信网络解释(可信网络解释(TNI)处理拒绝服务方法有:处理拒绝服务方法有:操作连续性操作连续性基于协议拒绝服务保护基于协议拒绝服务保护网络管理网络管理53网络与信息系统安全评估标准介绍第53页可信网络解释(可信网络解释(TNI)机密性是一系列安全服务总称机密性是一系列安全服务总称这些服务都是关于经过计算机通信网络在实体间传输信这些服务都是关于经过计算机通信网络在实体间传输信息安全和保密息安全和保密详细又分详细又分3种情况:种情况:数据保密数据保密通信流保密通信流保密选择路由选择路由54网络与信息系统安全评估标准介绍第54页可信网络解释(可信网络解释(TNI)数据保密:
33、数据保密:数据保密性服务保护数据不被未授权地泄露数据保密性服务保护数据不被未授权地泄露数据保密性主要受搭线窃听威胁数据保密性主要受搭线窃听威胁被动攻击包含对线路上传输信息观察被动攻击包含对线路上传输信息观察55网络与信息系统安全评估标准介绍第55页可信网络解释(可信网络解释(TNI)通信流保密:通信流保密:针对通信流分析攻击而言,通信流分析攻击分析消息长针对通信流分析攻击而言,通信流分析攻击分析消息长度、频率及协议内容(如地址)度、频率及协议内容(如地址)并以此推出消息内容并以此推出消息内容56网络与信息系统安全评估标准介绍第56页可信网络解释(可信网络解释(TNI)选择路由:选择路由:路由选
34、择控制是在路由选择过程中应用规则,方便详细路由选择控制是在路由选择过程中应用规则,方便详细选取或回避一些网络、链路或中继选取或回避一些网络、链路或中继路由能动态或预定地选取,方便只使用物理上安全子网路由能动态或预定地选取,方便只使用物理上安全子网络、链路或中继络、链路或中继在检测到连续操作攻击时,端系统可希望指示网络服务在检测到连续操作攻击时,端系统可希望指示网络服务提供者经不一样路由建立连接提供者经不一样路由建立连接带有一些安全标识数据可能被策略禁止经过一些子网络、带有一些安全标识数据可能被策略禁止经过一些子网络、链路或中继链路或中继57网络与信息系统安全评估标准介绍第57页可信网络解释(可
35、信网络解释(TNI)TNI第二部分评定更多地表现出定性和主观特点,同第第二部分评定更多地表现出定性和主观特点,同第一部分相比表现出更多改变一部分相比表现出更多改变第二部分评定是关于被评定系统能力和它们对特定应用第二部分评定是关于被评定系统能力和它们对特定应用环境适合性非常有价值信息环境适合性非常有价值信息第二部分中所列举安全服务是网络环境下有代表性安全第二部分中所列举安全服务是网络环境下有代表性安全服务服务在不一样环境下,并非全部服务都同等主要,同一服务在不一样环境下,并非全部服务都同等主要,同一服务在不一样环境下主要性也不一定一样在不一样环境下主要性也不一定一样58网络与信息系统安全评估标准
36、介绍第58页可信网络解释(可信网络解释(TNI)TNI附录附录A是第一部分扩展,主要是关于网络中组件及是第一部分扩展,主要是关于网络中组件及组件组合评定组件组合评定附录附录A A把把TCSECTCSEC为为A1A1级系统定义安全相关策略分为四个相级系统定义安全相关策略分为四个相对独立种类,他们分别支持强制访问控制(对独立种类,他们分别支持强制访问控制(MACMAC),自),自主访问控制(主访问控制(DACDAC),身份判别(),身份判别(IAIA),审计(),审计(AUDITAUDIT)59网络与信息系统安全评估标准介绍第59页可信网络解释(可信网络解释(TNI)组成部分类型最小级别最大级别M
37、B1A1DC1C2+IC1C2AC2C2+DIC1C2+DAC2C2+IAC2C2+IADC2C2+MDB1A1MAB1A1MIB1A1MDAB1A1MDIB1A1MIAB1A1MIADB1A160网络与信息系统安全评估标准介绍第60页可信网络解释(可信网络解释(TNI)附录附录B给出了依据给出了依据TCSEC对网络组件进行评定基本原理对网络组件进行评定基本原理附录附录C则给出了几个则给出了几个AIS互联时认证指南及互联中可能互联时认证指南及互联中可能碰到问题碰到问题61网络与信息系统安全评估标准介绍第61页可信网络解释(可信网络解释(TNI)TNI中关于网络有两种概念:中关于网络有两种概念:
38、一是单一可信系统概念(一是单一可信系统概念(singletrustedsystem)另一个是互联信息系统概念(另一个是互联信息系统概念(interconnectedAIS)这两个概念并不相互排斥这两个概念并不相互排斥62网络与信息系统安全评估标准介绍第62页可信网络解释(可信网络解释(TNI)在单一可信系统中,网络含有包含各个安全相关部分单在单一可信系统中,网络含有包含各个安全相关部分单一一TCB,称为,称为NTCB(networktrustedcomputingbase)NTCB作为一个整体满足系统安全体系设计作为一个整体满足系统安全体系设计63网络与信息系统安全评估标准介绍第63页可信网络
39、解释(可信网络解释(TNI)在互联信息系统中在互联信息系统中各个子系统可能含有不一样安全策略各个子系统可能含有不一样安全策略含有不一样信任等级含有不一样信任等级而且能够分别进行评定而且能够分别进行评定各个子系统甚至可能是异构各个子系统甚至可能是异构64网络与信息系统安全评估标准介绍第64页可信网络解释(可信网络解释(TNI)安全策略实施普通控制在各个子系统内,在附录安全策略实施普通控制在各个子系统内,在附录C中给中给出了各个子系统安全地互联指南,在互联时要控制局部出了各个子系统安全地互联指南,在互联时要控制局部风险扩散,排除整个系统中级联问题(风险扩散,排除整个系统中级联问题(cascadep
40、roblem)限制局部风险扩散方法:单向连接、传输手工检测、加限制局部风险扩散方法:单向连接、传输手工检测、加密、隔离或其它办法。密、隔离或其它办法。65网络与信息系统安全评估标准介绍第65页标准介绍标准介绍信息技术安全评定准则发展过程信息技术安全评定准则发展过程可信计算机系统评定准则(可信计算机系统评定准则(TCSEC)可信网络解释可信网络解释(TNI)通用准则通用准则CC计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息系统安全评定方法探讨信息系统安全评定方法探讨66网络与信息系统安全评估标准介绍第66页通用准则通用准则CCCC范围范围:CC适合用于硬件、固件和软件实
41、现信息技术安全办法适合用于硬件、固件和软件实现信息技术安全办法而一些内容因包括特殊专业技术或仅是信息技术安全外而一些内容因包括特殊专业技术或仅是信息技术安全外围技术不在围技术不在CC范围内范围内67网络与信息系统安全评估标准介绍第67页通用准则通用准则CC评定上下文评定上下文评定准则(通用准则)评定方法学评定方案最终评定 结果评定同意/证实证书表/(注册)68网络与信息系统安全评估标准介绍第68页通用准则通用准则CC使用通用评定方法学能够提供结果可重复性和客观性使用通用评定方法学能够提供结果可重复性和客观性许多评定准则需要使用教授判断和一定背景知识许多评定准则需要使用教授判断和一定背景知识为了
42、增强评定结果一致性,最终评定结果应提交给一个为了增强评定结果一致性,最终评定结果应提交给一个认证过程,该过程是一个针对评定结果独立检验过程,认证过程,该过程是一个针对评定结果独立检验过程,并生成最终证书或正式批文并生成最终证书或正式批文69网络与信息系统安全评估标准介绍第69页通用准则通用准则CCCC包含三个部分包含三个部分:第一部分:介绍和普通模型第一部分:介绍和普通模型第二部分:安全功效要求第二部分:安全功效要求第三部分:安全确保要求第三部分:安全确保要求70网络与信息系统安全评估标准介绍第70页通用准则通用准则CC安安全全确确保保要要求求部部分分提提出出了了七七个个评评定定确确保保级级别
43、别(EvaluationAssuranceLevels:EALs)分分别别是:是:EAL1EAL1:功效:功效测试测试EAL2EAL2:结结构构测试测试EAL3EAL3:系:系统测试统测试和和检验检验EAL4EAL4:系:系统设计统设计、测试测试和复和复查查EAL5EAL5:半形式化:半形式化设计设计和和测试测试EAL6EAL6:半形式化:半形式化验证设计验证设计和和测试测试EAL7EAL7:形式化验证设计和测试:形式化验证设计和测试71网络与信息系统安全评估标准介绍第71页通用准则通用准则CC安全就是保护资产不受威胁,威胁可依据滥用被保护资安全就是保护资产不受威胁,威胁可依据滥用被保护资产可
44、能性进行分类产可能性进行分类全部威胁类型都应该被考虑到全部威胁类型都应该被考虑到在安全领域内,被高度重视威胁是和人们恶意攻击及其在安全领域内,被高度重视威胁是和人们恶意攻击及其它人类活动相联络它人类活动相联络72网络与信息系统安全评估标准介绍第72页通用准则通用准则CC安全安全概念概念和关和关系系73网络与信息系统安全评估标准介绍第73页通用准则通用准则CC安全性损坏普通包含但又不但仅包含以下几项安全性损坏普通包含但又不但仅包含以下几项资产破坏性地暴露于未授权接收者(失去保密性)资产破坏性地暴露于未授权接收者(失去保密性)资产因为未授权更改而损坏(失去完整性)资产因为未授权更改而损坏(失去完整
45、性)或资产访问权被未授权丧失(失去可用性)或资产访问权被未授权丧失(失去可用性)74网络与信息系统安全评估标准介绍第74页通用准则通用准则CC资产全部者必须分析可能威胁并确定哪些存在于他们环资产全部者必须分析可能威胁并确定哪些存在于他们环境境,其后果就是风险其后果就是风险对策用以(直接或间接地)降低脆弱性并满足资产全部对策用以(直接或间接地)降低脆弱性并满足资产全部者安全策略者安全策略在将资产暴露于特定威胁之前,全部者需要确信其对策在将资产暴露于特定威胁之前,全部者需要确信其对策足以应付面临威胁足以应付面临威胁75网络与信息系统安全评估标准介绍第75页通用准则通用准则CC评评定定概概念念和和关
46、关系系76网络与信息系统安全评估标准介绍第76页通用准则通用准则CCTOE评评定定过过程程77网络与信息系统安全评估标准介绍第77页通用准则通用准则CC评估过程经过两种途径产生更好安全产品评估过程能发现开发者可以纠正TOE错误或弱点,从而在降低将来操作中安全失效可能性其次,为了经过严格评估,开发者在TOE设计和开发时也将更加细心所以,评估过程对最初需求、开发过程、最终产品以及操作环境将产生强烈主动影响 78网络与信息系统安全评估标准介绍第78页通用准则通用准则CCCC安全概念包括:安全环境 安全目 IT安全要求 TOE概要规范 79网络与信息系统安全评估标准介绍第79页通用准则通用准则CC安全
47、环境包含全部相关法规、组织性安全策略、习惯、安全环境包含全部相关法规、组织性安全策略、习惯、专门技术和知识专门技术和知识它定义了它定义了TOE使用上下文,安全环境也包含环境里出使用上下文,安全环境也包含环境里出现安全威胁现安全威胁80网络与信息系统安全评估标准介绍第80页通用准则通用准则CC安全环境分析结果被用来说明反抗已标识威胁、说明组安全环境分析结果被用来说明反抗已标识威胁、说明组织性安全策略和假设安全目标织性安全策略和假设安全目标安全目标和已说明安全目标和已说明TOE运行目标或产品目标以及相关运行目标或产品目标以及相关物理环境知识一致物理环境知识一致确定安全目标意图是为了说明全部安全考虑
48、并指出哪些确定安全目标意图是为了说明全部安全考虑并指出哪些安全方面问题是直接由安全方面问题是直接由TOE还是由它环境来处理还是由它环境来处理环境安全目标将在环境安全目标将在IT领域内用非技术上或程序化伎俩领域内用非技术上或程序化伎俩来实现来实现81网络与信息系统安全评估标准介绍第81页通用准则通用准则CCIT安全要求是将安全目标细化为一系列安全要求是将安全目标细化为一系列TOE及其环境及其环境安全要求,一旦这些要求得到满足,就能够确保安全要求,一旦这些要求得到满足,就能够确保TOE到达它安全目标到达它安全目标IT安全需求只包括安全需求只包括TOE安全目标和它安全目标和它IT环境环境82网络与信
49、息系统安全评估标准介绍第82页通用准则通用准则CCCC定义了一系列与已知有效安全要求集合相结合概念,定义了一系列与已知有效安全要求集合相结合概念,该概念可被用来为预期产品和系统建立安全需求该概念可被用来为预期产品和系统建立安全需求CCCC安全要求以安全要求以类类族族组组件件这这种种层层次方式次方式组织组织,以帮助,以帮助用用户户定位特定安全要求定位特定安全要求对功效和确保方面要求,对功效和确保方面要求,CC使用相同格调、组织方式使用相同格调、组织方式和术语。和术语。83网络与信息系统安全评估标准介绍第83页通用准则通用准则CCCC中安全要求描述方法中安全要求描述方法:类:类:类用作最通用安全要
50、求组合,类全部组员关注共同类用作最通用安全要求组合,类全部组员关注共同安全焦点,但覆盖不一样安全目标安全焦点,但覆盖不一样安全目标族:类组员被称为族族:类组员被称为族。族是若干组安全要求组合,这些族是若干组安全要求组合,这些要求有共同安全目标,但在侧重点和严格性上有所区分要求有共同安全目标,但在侧重点和严格性上有所区分组件:族组员被称为组件。组件描述一组特定安全要求组件:族组员被称为组件。组件描述一组特定安全要求集,它是集,它是CC定义结构中所包含最小可选安全要求集定义结构中所包含最小可选安全要求集84网络与信息系统安全评估标准介绍第84页通用准则通用准则CC组件由单个元素组成,元素是安全需求