第章安全评价标准.ppt
《第章安全评价标准.ppt》由会员分享,可在线阅读,更多相关《第章安全评价标准.ppt(39页珍藏版)》请在冰豆网上搜索。
第14章安全评价标准主要内容v可信计算机系统评价标准v通用评估准则CCv我国信息系统安全评价标准v计算机系统的提供者需要对他们的产品的安全特性进行说明,而用户则需要验证这些安全特性的可靠性。
v国际上有多种为计算机安全系统构筑独立审查措施的安全评价体系,其内容和发展深刻地反映了对信息安全问题的认识程度。
14.1可信计算机系统评价标准v1985年12月美国国防部公布了评价安全计算机系统的六项标准。
这套标准的文献名称即为“可信计算机系统评价标准”(TrustedComputerSystemEvaluationCriteria,简记为TCSEC),又称为橘皮书。
14.1.1TCSEC的主要概念v1考核标准
(1)安全策略(SecurityPolicy)
(2)标识(Identification)(3)标记(Marking)(4)可记账性(Accountability)(5)保障机制(Assurance)(6)连续性保护(ContinuousProtection)v2主要概念安全性可信计算基(TCB)自主访问控制(DiscretionaryAccessControl,DAC)强制访问控制(MandatoryAccessControl,MAC)隐蔽信道v3系统模型主体审计信息访问监控器监控器数据基:
(用户权限表、访问控制表)客体14.1.2计算机系统的安全等级vTCSEC将可信计算机系统的评价规则划分为四类,即安全策略、可记账性、安全保证措施和文档v根据计算机系统对上述各项指标的支持情况及安全性相近的特点,TCSEC将系统划分为四类(Division)七个等级v1D安全级最低级别,一切不符合更高标准的系统,统统归于D级。
v2C1安全级只提供了非常初级的自主安全保护,称为自主安全保护系统,现有的商业系统往往稍作改进即可满足要求。
v3C2安全级称为可控安全保护级,是安全产品的最低档次很多商业产品已得到该级别的认证。
达到C2级的产品在其名称中往往不突出“安全”(Security)这一特色v4B1安全级又称为带标记的访问控制保护级,其在C2级的基础上增加了或加强了标记、强制访问控制、审计、可记账性和保障等功能。
B1级能够较好地满足大型企业或一般政府部门对数据的安全需求,这一级别的产品才被认为是真正意义上的安全产品。
满足此级别的产品前一般多冠以“安全”(Security)或“可信的”(Trusted)字样B类安全包含三个级别:
B1、B2、B3级,他们都采用强制保护控制机制。
vB2安全级称为结构化保护级。
该级系统的设计中把系统内部结构化地划分成明确而大体上独立的模块,并采用最小特权原则进行管理。
目前,经过认证的B2级以上的安全系统非常稀少。
vB3安全级又称为安全域保护级。
该级的TCB必须满足访问监控器的要求,审计跟踪能力更强,并提供系统恢复过程。
vA1安全级又称为可验证设计保护级,即提供B3级保护的同时给出系统的形式化设计说明和验证以确信各安全保护真正实现。
14.2通用评估准则CCvCC(CommonCriteriaforInformationTechnologySecurityEvaluation)标准是国际标准化组织ISO/IECJTC1发布的一个标准,是信息技术安全性通用评估准则,用来评估信息系统或者信息产品的安全性。
14.2.1CC的主要用户vCC的主要用户包括消费者、开发者和评估者。
v1消费者消费者可以用评估结果来决定一个已评估的产品和系统是否满足他们的安全需求。
v2开发者CC为开发者在准备和参与评估产品或系统以及确定每种产品和系统要满足安全需求方面提供支持。
v3评估者当要做出TOE及其安全需求一致性判断时,CC为评估者提供了评估准则。
14.2.2CC的组成vCC分为三个部分1.简介和一般模型:
正文介绍了CC中的有关术语、基本概念和一般模型以及与评估有关的一些框架,附录部分主要介绍保护轮廓(PP)和安全目标(ST)的基本内容。
2.安全功能要求:
按“类-族-组件”的方式提出安全功能要求,提供了表示评估对象TOE安全功能要求的标准方法。
3.安全保证要求:
定义了评估保证级别,建立了一系列安全保证组建作为表示TOE保证要求的标准方法。
vCC的三个部分相互依存,缺一不可。
14.2.3评估保证级别EALv评估保证级别是评估保证要求的一种特定组合(保证包),是度量保证措施的一个尺度,这种尺度的确定权衡了所获得的保证级别以及达到该保证级别所需的代价和可能性。
v在CC中定义了7个递增的评估保证级v1EAL1:
功能测试EAL1适用于对正确运行需要一定信任的场合v2.EAL2:
结构测试要求开发者递交设计信息和测试结果,但不需要开发者增加过多的费用或时间的投入。
v3EAL3:
方法测试和校验在不需要对现有的合理的开发规则进行实质性改进的情况下,EAL3可使开发者在设计阶段能从正确的安全工程中获得最大限度的保证。
v4EAL4:
系统地设计、测试和评审基于良好而严格的商业开发规则,在不需额外增加大量专业知识、技巧和其他资源的情况下,开发者从正确的安全工程中所获得的保证级别最高可达到EAL4。
v5EAL5:
半形式化设计和测试适当应用专业性的一些安全工程技术,并基于严格的商业开发实践,EAL5可使开发者从安全工程中获得最大限度的保证。
v6EAL6:
半形式化验证的设计和测试EAL6允许开发者通过在一个严格的开发环境中使用安全工程技术来获得高度保证,以便生产一个优异的TOE来保护高价值的资源避免重大的风险。
v7EAL7:
形式化验证的设计和测试EAL7适用于在极端高风险的形势下,并且所保护的资源价值极高,值得花费更高的开销进行安全TOE的开发。
14.2.4CC的特点vCC比起早期的评估准则其特点体现在其结构的开放性、表达方式的通用性以及结构和表达方式的内在完备性和实用性等四个方面。
14.3我国信息系统安全评价标准v公安部提出并组织制定了强制性国家标准GB-17859:
1999计算机信息安全保护等级划分准则,该准则于1999年9月13日经国家质量技术监督局发布,并于2001年1月1日起实施。
14.3.1所涉及的术语v
(1)计算机信息系统(ComputerInformationSystem):
计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
v
(2)计算机信息系统可信计算基(TrustedComputingBaseofComputerInformationSystem):
计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。
它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。
v(3)客体(Object):
信息的载体。
v(4)主体(Subject):
引起信息在客体之间流动的人、进程或设备等。
所涉及的术语v(5)敏感标记(SensitivityLabel):
表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。
v(6)安全策略(SecurityPolicy):
有关管理、保护和发布敏感信息的法律、规定和实施细则。
v(7)信道(Channel):
系统内的信息传输路径。
v(8)隐蔽信道(CovertChannel):
允许进程以危害系统安全策略的方式传输信息的通信信道。
所涉及的术语v(9)访问监控器(ReferenceMonitor):
监控主体和客体之间授权访问关系的部件。
v(10)可信信道(TrustedChannel):
为了执行关键的安全操作,在主体、客体及可信IT产品之间建立和维护的保护通信数据免遭修改和泄露的通信路径。
v(11)客体重用:
在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始制定、分配或再分配一个主体之前,撤销该客体所含信息的所有授权。
当主体获得对一个已被释放的客体的访问权时,当前主体不能获得原主体活动所产生的任何信息。
14.3.2等级的划分及各等级的要求v1第一级用户自主保护级
(1)自主访问控制
(2)身份鉴别(3)数据完整性v2第二级系统审计保护级
(1)自主访问控制
(2)身份鉴别(3)客体重用(4)审计(5)数据完整性v3第三级安全标记保护级
(1)自主访问控制
(2)强制访问控制(3)标记(4)身份鉴别(5)客体重用(6)审计(7)数据完整性v4第四级结构化保护级
(1)自主访问控制
(2)强制访问控制(3)标记(4)身份鉴别(5)客体重用(6)审计(7)数据完整性(8)隐蔽信道分析(9)可信路径v5第五级访问验证保护级
(1)自主访问控制
(2)强制访问控制(3)标记(4)身份鉴别(5)客体重用(6)审计(7)数据完整性(8)隐蔽信道分析(9)可信路径(10)可信恢复14.3.3对标准的分析v从第三安全级开始增加了强制访问控制的要求,同时保留了自主访问控制安全要求v对于要求达到第三级以上安全等级的系统,需要以强制访问控制为主v和TCSEC比较来看,第五等级更接近TCSEC中的A1级。
升级会员 