网络系统安全评估及高危漏洞

广东省中小学信息网络管理员平安技术培训班 Dec 2005许伯桐博士Professional Security Solution Provider网络系统平安评估及高危漏洞1South China Univ.of Tech.提提纲纲平安态势 15分钟平安标准与风险评估90分钟)概述15分钟通用准那么CC 45分钟BS7799 30分钟休息 15分钟)系统高危漏洞 60分钟)概述10分钟20个最危险的平安漏洞25分钟网络平安维护20分钟平安编程与其他平安技术领域5分钟2South China Univ.of Tech.平安平安态势态势平安态势平安态势3South China Univ.of Tech.近年网络平安态势近年网络平安态势任何组织都会遭受到的攻击每年发现的漏洞数量飞速上升发起攻击越来越容易、攻击能力越来越强黑客职业化攻击方式的转变不为人知的威胁 zero-day特点特点4South China Univ.of Tech.任何组织都会遭受攻击任何组织都会遭受攻击5South China Univ.of Tech.每年发现的漏洞数量飞速上升每年发现的漏洞数量飞速上升每年发现的漏洞数量飞速上升 2004年CVE全年收集漏洞信息1707条 到2005年到5月6日就已经到达1470条年份年份漏洞数量漏洞数量1999742200040420018322002100620031049200417072005*14796South China Univ.of Tech.发起攻击越来越容易、攻击能力越来越强发起攻击越来越容易、攻击能力越来越强7South China Univ.of Tech.黑客的职业化之路黑客的职业化之路不再是小孩的游戏，而是与￥挂钩职业入侵者受网络商人或商业间谍雇佣不在网上公开身份，不为人知，但确实存在！攻击水平通常很高，精通多种技术攻击者对自己提出了更高的要求，不再满足于普通的技巧而转向底层研究8South China Univ.of Tech.面临严峻的平安形势面临严峻的平安形势SQL Injection等攻击方式对使用者要求较低缓冲区溢出、格式串攻击已公开流传多年，越来越多的人掌握这些技巧少局部人掌握自行挖掘漏洞的能力，并且这个数量在增加漏洞挖掘流程专业化，工具自动化“看不见的风险厂商为了声誉不完全公开产品的平安缺陷：漏洞私有，不为人知9South China Univ.of Tech.网络平安事件造成巨大损失网络平安事件造成巨大损失在FBI/CSI的一次抽样调查结果：被调查的企业2004年度由于网络平安事件直接造成的损失就到达1.4亿美元怠工、蓄意破坏 系统渗透 Web页面替换 电信欺诈 电脑盗窃 无线网络的滥用 私有信息窃取 公共web应用的滥用 非授权访问 金融欺诈 内部网络的滥用 拒绝效劳攻击 病毒事件 10South China Univ.of Tech.网网络络平安事件平安事件类类型型来源：信息网络平安状况调查来源：信息网络平安状况调查11South China Univ.of Tech.常用管理方法常用管理方法来源：信息网络平安状况调查来源：信息网络平安状况调查12South China Univ.of Tech.应应用最广泛的网用最广泛的网络络平安平安产产品品 来源：信息网络平安状况调查来源：信息网络平安状况调查13South China Univ.of Tech.网网络络攻攻击产击产生原因分析生原因分析 来源：信息网络平安状况调查来源：信息网络平安状况调查14South China Univ.of Tech.平安平安设计设计四步方法四步方法论论15South China Univ.of Tech.ISSF模型模型16South China Univ.of Tech.平安平安设计设计和平安域和平安域/等等级级保保护护的的结结合合(例如例如 等级组织体系管理体系技术体系机构建设人员管理制度管理风险管理资产管理技术管理安全评估安全防护入侵检测应急恢复123 4 5 平安体系的全面性 措施分级保护、适度平安 强度分级 三分技术，七分管理17South China Univ.of Tech.网络系统平安风险评估网络系统平安风险评估网络系统平安风险评估网络系统平安风险评估18South China Univ.of Tech.l 组织实现信息平安的必要的、重要的步骤组织实现信息平安的必要的、重要的步骤风险评估的目的风险评估的目的l 了解组织的平安现状了解组织的平安现状l 分析组织的平安需求分析组织的平安需求l 建立信息平安管理体系的要求建立信息平安管理体系的要求l 制订平安策略和实施安防措施的依据制订平安策略和实施安防措施的依据19South China Univ.of Tech.风险的四个要素：l 资产及其价值l 威胁l 脆弱性l 现有的和方案的控制措施风险的要素资产的分类 电子信息资产电子信息资产 软件资产软件资产 物理资产物理资产 人员人员 公司形象和名誉公司形象和名誉威胁举例：黑客入侵和攻击黑客入侵和攻击病毒和其他恶意程序病毒和其他恶意程序软硬件故障软硬件故障人为误操作人为误操作自然灾害如：地震、火灾、爆炸等自然灾害如：地震、火灾、爆炸等盗窃盗窃网络监听网络监听供电故障供电故障后门后门未授权访问未授权访问20South China Univ.of Tech.脆弱性是与信息资产有关的弱点或平安隐患。是与信息资产有关的弱点或平安隐患。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。会被威胁加以利用来对信息资产造成危害。脆弱性举例：系统漏洞系统漏洞程序程序Bug专业人员缺乏专业人员缺乏不良习惯不良习惯系统没有进行平安配置系统没有进行平安配置物理环境不平安物理环境不平安缺少审计缺少审计缺乏平安意识缺乏平安意识后门后门风险的要素21South China Univ.of Tech.风险分析矩阵风险分析矩阵风险程度风险程度 可能性 后果可以忽略1较小2中等3较大4灾难性5A（几乎肯定）HHEEEB（很可能）MHH EEC (可能）LMHEED（不太可能）LLMHEE（罕见）LLMHH E E：极度风险：极度风险 H H：高风险：高风险 M M：中等风险：中等风险 L:L:低风险低风险22South China Univ.of Tech.国国际际上常上常见见的的风险风险控制流程控制流程确定风险评估方法确定风险评估方法 风险评估风险评估确定安全需求确定安全需求法律、法规法律、法规系统任务和使命系统任务和使命系统建设阶段、规模系统建设阶段、规模资产、威胁、资产、威胁、脆弱性、现有措施脆弱性、现有措施法律、法规，系统法律、法规，系统任务和使命、评估结果任务和使命、评估结果制定安全策略制定安全策略选择风险控制措施选择风险控制措施验证措施实施效果验证措施实施效果安全需求安全需求技术限制、资源限制技术限制、资源限制安全需求、安全需求、实施效果实施效果安全策略文件安全策略文件风险评估报告风险评估报告安全需求报告安全需求报告风险管理方案风险管理方案适用性声明适用性声明验证报告验证报告23South China Univ.of Tech.提提提提供供供供采采采采取取取取降降降降低低低低影响影响影响影响完成完成完成完成保保保保护护护护平安保证技术提供者平安保证技术提供者平安保证技术提供者平安保证技术提供者系统评估者系统评估者系统评估者系统评估者平安保证平安保证平安保证平安保证信心信心信心信心风险风险风险风险对策对策对策对策资产资产资产资产使命使命使命使命资产拥有者资产拥有者资产拥有者资产拥有者价价价价值值值值给出证据给出证据给出证据给出证据生成保证生成保证生成保证生成保证具有具有具有具有信息平安有效评估的目标信息平安有效评估的目标信息平安有效评估的目标信息平安有效评估的目标24South China Univ.of Tech.风险评估要素关系模型安全措施 抗击业务战略脆弱性安全需求威胁风险残余风险安全事件依赖拥有被满足利用暴露降低增加增加增加导出演变 未被满足未控制可能诱发残留成本资产资产价值25South China Univ.of Tech.信息系信息系统统是一个巨型复是一个巨型复杂杂系系统统 系系统统要素、平安要素要素、平安要素 信息系信息系统统受制于外部因素受制于外部因素 物理物理环环境、行政管理、人境、行政管理、人员员 作作业连续业连续性保性保证证威威胁胁和和风险风险在同在同领领域内的相似性域内的相似性自自评评估、委托估、委托评评估、估、检检察察评评估估信息系统平安风险评估的特征信息系统平安风险评估的特征26South China Univ.of Tech.风险评估的一般工作流程风险评估的一般工作流程风险评估活动风险评估活动27South China Univ.of Tech.风险评估活动风险评估活动28South China Univ.of Tech.风险评估活动风险评估活动29South China Univ.of Tech.评估工具评估工具目前存在以下几类：评估工具目前存在以下几类：扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞；扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞；入侵检测系统入侵检测系统IDS：用于收集与统计威胁数据；：用于收集与统计威胁数据；渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞；渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞；主机平安性审计工具：用于分析主机系统配置的平安性；主机平安性审计工具：用于分析主机系统配置的平安性；平安管理评价系统：用于平安访谈，评价平安管理措施；平安管理评价系统：用于平安访谈，评价平安管理措施；风风险险综综合合分分析析系系统统：在在根根底底数数据据根根底底上上，定定量量、综综合合分分析析系系统统的的风风险险，并并且且提提供供分分类类统统计计、查查询询、TOP N查询以及报表输出功能；查询以及报表输出功能；评估支撑环境工具评估支撑环境工具:评估指标库、知识库、漏洞库、算法库、模型库。评估指标库、知识库、漏洞库、算法库、模型库。30South China Univ.of Tech.GB 18336 idt ISO/IEC 15408信息技术平安性评估准那么信息技术平安性评估准那么IATF 信息保障技术框架信息保障技术框架ISSE 信息系统平安工程信息系统平安工程SSE-CMM系统平安工程能力成熟度模型系统平安工程能力成熟度模型BS 7799,ISO/IEC 17799信息平安管理实践准那么信息平安管理实践准那么其他相关标准、准那么其他相关标准、准那么例如：例如：ISO/IEC 15443,COBIT。系统认证和认可标准和实践系统认证和认可标准和实践例如：美国例如：美国DITSCAP,中国信息平安产品测评认证中心中国信息平安产品测评认证中心相关文档和系统测评认证实践相关文档和系统测评认证实践技术准那么技术准那么信息技术系统评估准那么信息技术系统评估准那么管理准那么管理准那么信息系统管理评估准那么信息系统管理评估准那么过程准那么过程准那么信息系统平安工程评估准那么信息系统平安工程评估准那么信信息息系系统统平平安安保保障障评评估估准准那那么么与现有标准关系信息系统平安保障评估准那么信息系统平安保障评估准那么31South China Univ.of Tech.信息技信息技术术平安平安评评估准那么开展估准那么开展过过程程?可信可信计计算机系算机系统评统评估准那么估准那么?TCSEC?信息技信息技术术平安平安评评估准那么估准那么?ITSEC通用准那么通用准那么CC ISO 15408、GB/T18336)?计计算机信息系算机信息系统统平安保平安保护护等等级级划分准那么划分准那么?BS7799、ISO17799?信息技信息技术术 平安技平安技术术 信息技信息技术术平安性平安性评评估准那么估准那么?ISO13335?IT平安管理指南平安管理指南?SSE-CMM 系系统统平安工程能力成熟度模型平安工程能力成熟度模型我国的信息平安我国的信息平安标标准制定情况准制定情况标准介绍标准介绍保障信息平安有三个支柱，一个是技术、一个是管理、一个是法律法规。国家的法律法规，有专保障信息平安有三个支柱，一个是技术、一个是管理、一个是法律法规。国家的法律法规，有专门的部门在研究和制定和推广。门的部门在研究和制定和推广。根据国务院根据国务院27号文件，对信息平安实施分级平安保护的规定出台后，各有关部门都在积极制定相号文件，对信息平安实施分级平安保护的规定出台后，各有关部门都在积极制定相关的制度和法规，当前被普遍采用的技术标准的是关的制度和法规，当前被普遍采用的技术标准的是CC/ISO 15408，管理体系标准是，管理体系标准是ISO 17799/BS 7799。32South China Univ.of Tech.通用准那么通用准那么CCCC(ISO/IEC 15408(ISO/IEC 15408、GB/T18336GB/T18336通用准那么通用准那么CC33South China Univ.of Tech.信息技信息技术术平安平安评评估准那么开展估准那么开展过过程程1999年 GB 17859 计算机信息系统平安保护等级划分准那么1991年欧洲信息技术平安性评估准那么ITSEC国际通用准那么1996年CC1.01998年CC2.01985年美国可信计算机系统评估准那么TCSEC1993年 加拿大可信计算机产品评估准那么CTCPEC1993年美国联邦准那么FC 1.01999年 国际标准ISO/IEC 154081989年 英国可信级别标准MEMO 3 DTI德国评估标准ZSEIC法国评估标准B-W-R BOOK2001年 国家标准GB/T 18336 信息技术平安性评估准那么idt iso/iec154081993年美国NIST的MSFR34South China Univ.of Tech.CC的适用范的适用范围围CC定义了评估信息技术产品和系统平安型所需的根底准那么，是度量信息技术平安性的基准针对在平安评估过程中信息技术产品和系统的平安功能及相应的保证措施提出的一组通用要求，使各种相对独立的平安评估结果具有可比性。该标准适用于对信息技术产品或系统的平安性进行评估，不管其实现方式是硬件、固件还是软件，还可用于指导产品和系统开发。该标准的主要目标读者是用户、开发者、评估者。35South China Univ.of Tech.CC内容内容CC吸收了个先进国家对现代信息系统平安的经验和知识，对信息系统平安的研究和应用定来了深刻的影响。它分为三局部：第一局部介绍CC的根本概念和根本原理；第二局部提出了平安功能要求；第三局部提出了非技术性的平安保证要求。后两局部构成了CC平安要求的全部：平安功能要求和平安保证要求，其中平安保证的目的是为了确保平安功能的正确性和有效性，这是从ITSEC和CTCPEC中吸收的。同时CC还从FC中吸收了保护轮廓的(PP)的概念，从而为CC的应用和开展提供了最大可能的空间和自由度。CC定义了作为评估信息技术产品和系统平安性的根底准那么，提出了目前国际上公认的表述信息技术平安性的结构，即：平安要求=标准产品和系统平安行为的功能要求+解决如何正确有效的实施这些功能的保证要求。36South China Univ.of Tech.CC的关的关键键概念概念评评估估对对象象 Target of Evaluation,TOE)用用于于平平安安评评估估的的信信息息技技术术产产品品、系系统统或或子子系系统统 如如防防火火墙墙、计计算算机机网网络络、密密码码模模块块等等，包括相关的管理，包括相关的管理员员指南、用指南、用户户指南、指南、设计设计方案等文档。方案等文档。保保护轮护轮廓廓 Protection Profile,PP)为为既既定定的的一一系系列列平平安安对对象象提提出出功功能能和和保保证证要要求求的的完完备备集集合合，表表达达了了一一类类产产品品或或系系统统的用的用户户需求。需求。PP与与 某某 个个 具具 体体 的的 TOE无无 关关，它它 定定 义义 的的 是是 用用 户户 对对 这这 类类 TOE的平安需求。的平安需求。主主要要内内容容：需需保保护护的的对对象象；确确定定平平安安环环境境；TOE的的平平安安目目的的；IT平平安安要要求求；根根本本原原理理在在标标准体系中准体系中PP相当于相当于产产品品标标准，也有助于准，也有助于过过程程标标准性准性标标准的开准的开发发。国内外已国内外已对应对应用用级级防火防火墙墙、包、包过滤过滤防火防火墙墙、智能卡等开、智能卡等开发发了相了相应应的的PP。37South China Univ.of Tech.CC的关的关键键概念概念平安目标Security Target)ST针对具体TOE而言，它包括该TOE的平安要求和用于满足平安要求的特定平安功能和保证措施。ST包括的技术要求和保证措施可以直接引用该TOE所属产品或系统类的PP。ST是开发者、评估者、用户在TOE平安性和评估范围之间达成一致的根底。ST相当于产品和系统的实现方案，与ITSEC的平安目标类似。TOE Security Policy(TSP)TOE平安策略控制TOE中资产如何管理、保护和分发的规那么。38South China Univ.of Tech.CC的关的关键键概念概念TOE Security Functions(TSF)TOE平安功能必须依赖于TSP正确执行的TOE的所有部件。组件Component)组件描述了一组特定的平安要求，使可供PP、ST或包选取的最小的平安要求集合。在CC中，以“类_族.组件号的方式来标识组件。包Package)组件依据某个特定关系的组合，就构成了包。构建包的目的是定义那些公认有用的、对满足某个特定平安目的有效的平安要求。包可以用来构造更大的包，PP和ST。包可以重复使用。CC中有功能包和保证包两种形式。39South China Univ.of Tech.CC的关的关键键概念概念40South China Univ.of Tech.CC的关的关键键概念概念41South China Univ.of Tech.CC的关的关键键概念概念42South China Univ.of Tech.CC的先的先进进性性 结结构的开放性构的开放性 即即功功能能要要求求和和保保证证要要求求都都可可以以在在具具体体的的“保保护护轮轮廓廓和和“平平安安目目标标中中进进一一步步细细化化和和扩扩展展，如如可可以以增增加加“备备份份和和恢恢复复方方面面的的功功能能要要求求或或一一些些环环境境平平安安要要求求。这这种种开开放放式式的的结结构构更更适适应应信信息息技技术术和信息平安技和信息平安技术术的开展。的开展。表达方式的通用性表达方式的通用性 即即给给出出通通用用的的表表达达方方式式。如如果果用用户户、开开发发者者、评评估估者者、认认可可者者等等目目标标读读者者都都使使用用CC的的语语言言，互互相相之之间间就就更更容容易易理理解解沟沟通通。例例如如，用用户户使使用用CC的的语语言言表表述述自自己己的的平平安安需需求求，开开发发者者就就可可以以更更具具针针对对性性地地描描述述产产品品和和系系统统的的平平安安功功能能和和性性能能，评评估估者者也也更更容容易易有有效效地地进进行行客客观观评评估估，并并确确保保用用户户更更容容易易理理解解评评估估结结果果。这这种种特特点点对对标标准准实实用用方方案案的的编编写写和和平平安安性性测测试试评评估估都都具具有有重重要要意意义义。在在经经济济全全球球化化开开展展、全全球球信信息息化化开开展展的的趋趋势势下下，这这种种特特点点也也是是进进行行合合格格评评定定和和使使评评估估结结果果实现实现国国际际互互认认的需要。的需要。43South China Univ.of Tech.CC的先的先进进性性结结构和表达方式的内在完构和表达方式的内在完备备性和性和实实用性用性表达在表达在“保保护轮护轮廓和廓和“平安目平安目标标的的编编制上。制上。“保保护护轮轮廓廓主主要要用用于于表表达达一一类类产产品品或或系系统统的的用用户户需需求求，在在标标准准化化体体系系中中可可以以作作为为平平安安技技术术类类标标准准对对待。待。内容主要包括：内容主要包括：对该类产对该类产品或系品或系统统的界定性描述，即确定需要保的界定性描述，即确定需要保护护的的对对象；象；确定平安确定平安环环境，即指明平安境，即指明平安问题问题需要保需要保护护的的资产资产、的威、的威胁胁、用、用户户的的组织组织平安策略；平安策略；产产品或系品或系统统的平安目的，即的平安目的，即对对平安平安问题问题的相的相应对应对策策技技术术性和非技性和非技术术性措施；性措施；信信息息技技术术平平安安要要求求，包包括括功功能能要要求求、保保证证要要求求和和环环境境平平安安要要求求，这这些些要要求求通通过过满满足足平平安安目目的的，进进一步提出具体在技一步提出具体在技术术上如何解决平安上如何解决平安问题问题；44South China Univ.of Tech.根本原理，指明平安要求根本原理，指明平安要求对对平安目的、平安目的平安目的、平安目的对对平安平安环环境是充分且必要的；境是充分且必要的；附加的附加的补补充充说说明信息。明信息。“保保护轮护轮廓廓编编制，一方面解决了技制，一方面解决了技术术与真与真实实客客观观需求之需求之间间的内在完的内在完备备性；性；另另一一方方面面用用户户通通过过分分析析所所需需要要的的产产品品和和系系统统面面临临的的平平安安问问题题，明明确确所所需需的的平平安安策策略略，进进而而确确定定应应采采取取的的平平安安措措施施，包包括括技技术术和和管管理理上上的的措措施施，这这样样就就有有助助于于提提高高平平安安保保护护的的针对针对性、有效性。性、有效性。“平平安安目目标标在在“保保护护轮轮廓廓的的根根底底上上，通通过过将将平平安安要要求求进进一一步步针针对对性性具具体体化化，解解决决了了要求的具体要求的具体实现实现。常。常见见的的实实用方案就可以当成用方案就可以当成“平安目平安目标标对对待。待。通通过过“保保护护轮轮廓廓和和“平平安安目目标标这这两两种种结结构构，就就便便于于将将CC的的平平安安性性要要求求具具体体应应用用到到IT产产品的开品的开发发、生、生产产、测试测试、评评估和信息系估和信息系统统的集成、运行、的集成、运行、评评估、管理中。估、管理中。CC的先的先进进性性45South China Univ.of Tech.CC内容之内容之间间的关系的关系CC的三个局部相互依存，缺一不可。的三个局部相互依存，缺一不可。第第1局部是介局部是介绍绍CC的根本概念和根本原理；的根本概念和根本原理；第第2局部提出了技局部提出了技术术要求；要求；第第3局部提出了非技局部提出了非技术术性要求和性要求和对对开开发过发过程、工程程、工程过过程的要求。程的要求。三个局部有机地三个局部有机地结结合成一个整体。合成一个整体。具具体体表表达达在在“保保护护轮轮廓廓和和“平平安安目目标标 中中，“保保护护轮轮廓廓和和“平平安安目目标标的的概概念念和和原原理理由由第第1局局部部介介绍绍，“保保护护轮轮廓廓和和“平平安安目目标标中中的的平平安安功功能能要要求求和和平平安安保保证证要要求求在在第第2、3局局部部选选取取，这这些些平平安要求的完安要求的完备备性和一致性，由第性和一致性，由第2、3两局部来保两局部来保证证。46South China Univ.of Tech.保保护轮护轮廓与平安目廓与平安目标标的关系的关系47South China Univ.of Tech.通用准那么通用准那么CCCC包括三个局部包括三个局部:第一局部：第一局部：简简介和一般模型介和一般模型 第二局部：平安功能要求第二局部：平安功能要求 第三局部：平安保第三局部：平安保证证要求要求 48South China Univ.of Tech.通用准那么通用准那么CC：第一局部：第一局部 介介绍绍和通用模型和通用模型平安就是保平安就是保护资产护资产不受威不受威胁胁，威，威胁胁可依据可依据滥滥用被保用被保护资产护资产的可能性的可能性进进行分行分类类 所有的威所有的威胁类胁类型都型都应该应该被考被考虑虑到到在在平平安安领领域域内内，被被高高度度重重视视的的威威胁胁是是和和人人们们的的恶恶意意攻攻击击及及其其它它人人类类活活动动相相联联系系的的 49South China Univ.of Tech.CC 第一局部内容第一局部内容 1 50South China Univ.of Tech.CC 第一局部内容第一局部内容 2 51South China Univ.of Tech.通用准那么通用准那么CCCC中平安需求的描述方法中平安需求的描述方法:包包:组组件的中件的中间组间组合被称合被称为为包包 保保护轮护轮廓廓(PP):PP是关于一系列是关于一系列满满足一个平安目足一个平安目标标集的集的TOE的、与的、与实现实现无关的描述无关的描述 平平安安目目标标(ST)：ST是是针针对对特特定定TOE平平安安要要求求的的描描述述，通通过过评评估估可可以以证证明明这这些些平平安安要要求求对对满满足足指指定定目目的是有用和有效的的是有用和有效的52South China Univ.of Tech.通用准那么通用准那么CC包允包允许对许对功能或保功能或保证证需求集合的描述，需求集合的描述，这这个集合能个集合能够满够满足一个平安目足一个平安目标标的可的可标识标识子集子集包可重复使用，可用来定包可重复使用，可用来定义义那些公那些公认认有用的、能有用的、能够够有效有效满满足特定平安目足特定平安目标标的要求的要求包可用在构造更大的包、包可用在构造更大的包、PP和和ST中中 53South China Univ.of Tech.通用准那么通用准那么CCPP包含一套来自包含一套来自CC 或明确或明确阐阐述述 的平安要求，它的平安要求，它应应包括一个包括一个评评估保估保证级别证级别 EAL PP可反复使用，可反复使用，还还可用来定可用来定义义那些公那些公认认有用的、能有用的、能够够有效有效满满足特定平安目足特定平安目标标的的TOE要求要求PP包括平安目的和平安要求的根本原理包括平安目的和平安要求的根本原理 PP的开的开发发者可以是用者可以是用户团户团体、体、IT产产品开品开发发者或其它者或其它对对定定义这样义这样一系列通用要求有一系列通用要求有兴兴趣的趣的团团体体 54South China Univ.of Tech.通用准那么通用准那么CC：保：保护轮护轮廓内容廓内容结结构构55South China Univ.of Tech.通用准那么通用准那么CC平平安安目目标标(ST)包包括括一一系系列列平平安安要要求求，这这些些要要求求可可以以引引用用PP，也也可可以以直直接接引引用用CC中中的的功功能能或或保保证证组组件，或明确件，或明确说说明明一个一个ST包含包含TOE的概要的概要标标准，平安要求和目的，以及它准，平安要求和目的，以及它们们的根本原理的根本原理ST是所有是所有团团体体间间就就TOE应应提供什么提供什么样样的平安性达成一致的根底的平安性达成一致的根底 56South China Univ.of Tech.通用准那么通用准那么CC：平安目：平安目标标ST内容内容结结构构57South China Univ.of Tech.通用准那么通用准那么CCCC框架下的框架下的评评估估类类型型 PP评评估估PP评评估估的的目目标标是是为为了了证证明明PP是是完完备备的的、一一致致的的、技技术术合合理理的的，而而且且适适合合于于作作为为一一个个可可评评估估TOE的的平平安要求的声明安要求的声明ST评评估估ST评评估具有双重目估具有双重目标标：首先是首先是为为了了证证明明ST是完是完备备的、一致的、技的、一致的、技术术合理的，而且适合于用作相合理的，而且适合于用作相应应TOE评评估的根底估的根底其次，当某一其次，当某一ST宣称与某一宣称与某一PP一致一致时时，证证明明ST满满足足该该PP的要求的要求TOE评评估估 TOE评评估的目估的目标标是是为为了了证证明明TOE满满足足ST中的平安要求中的平安要求58South China Univ.of Tech.通用准那么通用准那么CC三种三种评评估的关系估的关系59South China Univ.of Tech.通用准那么通用准那么CC 第二局部：平安功能要求第二局部：平安功能要求CC的第二局部是平安功能要求，的第二局部是平安功能要求，对满对满足平安需求的足平安需求的诸诸平安功能提出了平安功能提出了详细详细的要求的要求另另外外，如如果果有有超超出出第第二二局局部部的的平平安安功功能能要要求求，开开发发者者可可以以根根据据“类类-族族-组组件件-元元素素的的描描述述结结构构表达其平安要求，并附加在其表达其平安要求，并附加在其ST中中60South China Univ.of Tech.通用准那么通用准那么CC 第二局部：平安功能要求第二局部：平安功能要求61South China Univ.of Tech.通用准那么通用准那么CC 第二局部：平安功能要求第二局部：平安功能要求62South China Univ.of Tech.通用准那么通用准那么CC 第二局部：平安功能要求第二局部：平安功能要求63South China Univ.of Tech.通用准那么通用准那么CC 第二局部：平安功能要求第二局部：平安功能要求64South China Univ.of Tech.平安功能需求平安功能需求层层次关系次关系功能和保证要求以“类族组件的结构表述，组件作为平安要求的最小构件块，可以用于“保护轮廓、“平安目标和“包的构建，例如由保证组件构成典型的包“评估保证级包。65South China Univ.of Tech.通用准那么通用准那么CCCC共包含的共包含的11个平安功能个平安功能类类，如下：，如下：FAU类类：平安：平安审计审计FCO类类：通信：通信FCS类类：密：密码码支持支持FDP类类：用：用户户数据保数据保护护FIA类类：标识标识与与鉴别鉴别FMT类类：平安管理：平安管理FPR类类：隐隐秘秘FPT类类：TSF保保护护FAU类类：资资源利用源利用FTA类类：TOE访问访问FTP类类：可信路径：可信路径/信道信道66South China Univ.of Tech.通用准那么通用准那么CC：第三局部：第三局部 评评估方法估方法CC的的第第三三局局部部是是评评估估方方法法局局部部，提提出出了了PP、ST、TOE三三种种评评估估，共共包包括括10个个类类，但但其其中中的的APE类类与与ASE类类分分别别介介绍绍了了PP与与ST的描述的描述结结构及构及评评估准那么估准那么维护类维护类提出了保提出了保证评证评估估过过的受的受测测系系统统或或产产品运行于所品运行于所获获得的平安得的平安级别级别上的要求上的要求只有七个平安保只有七个平安保证类证类是是TOE的的评评估估类别类别 67South China Univ.of Tech.通用准那么通用准那么CC：第三局部：第三局部 评评估方法估方法CC的的第第三三局局部部是是评评估估方方法法局局部部，提提出出了了PP、ST、TOE三三种种评评估估，共共包包括括10个个类类，但但其其中中的的APE类类与与ASE类类分分别别介介绍绍了了PP与与ST的描述的描述结结构及构及评评估准那么估准那么维护类维护类提出了保提出了保证评证评估估过过的受的受测测系系统统或或产产品运行于所品运行于所获获得的平安得的平安级别级别上的要求上的要求只有七个平安保只有七个平安保证类证类是是TOE的的评评估估类别类别 68South China Univ.of Tech.通用准那么通用准那么CC：第三局部：第三局部 评评估方法估方法69South China Univ.of Tech.通用准那么通用准那么CC：第三局部：第三局部 评评估方法估方法70South China Univ.of Tech.通用准那么通用准那么CC：第三局部：第三局部 评评估方法估方法71South China Univ.of Tech.通用准那么通用准那么CC：第三局部：第三局部 评评估方法估方法72South China Univ.of Tech.通用准那么通用准那么CC：第三局部：第三局部 评评估方法估方法73South China Univ.of Tech.通用准那么通用准那么CC七个平安保七个平安保证类证类ACM类类：配置管理：配置管理CM 自自动动化化CM 能力能力CM 范范围围ADO类类：交付和运行：交付和运行交付交付安装、生成和启安装、生成和启动动ADV类类：开：开发发功能功能标标准准高高层设计层设计实现实现表示表示TSF内部内部低低层设计层设计表示表示对应对应性性平安策略模型平安策略模型74South China Univ.of Tech.4.AGD类类：指南文档：指南文档5.管理管理员员指南指南6.用用户户指南指南7.ALC类类：生命周期支持：生命周期支持8.开开发发平安平安9.缺陷缺陷纠纠正正10.生命周期定生命周期定义义11.工具和技工具和技术术12.ATE类类：测试测试13.覆盖范覆盖范围围14.深度深度15.功能功能测试测试16.独立性独立性测试测试17.AVA类类：脆弱性：脆弱性评评定定18.隐隐蔽信道分析蔽信道分析19.误误用用20.TOE平安功能平安功能强强度度21.脆弱性分析脆弱性分析通用准那么通用准那么CC75South China Univ.of Tech.通用准那么通用准那么CC 平平安安保保证证要要求求局局部部提提出出了了七七个个评评估估保保证证级级别别 Evaluation Assurance Levels：EALs 分分别别是：是：76South China Univ.of Tech.通用准那么通用准那么CC：EAL解解释释77South China Univ.of Tech.通用准那么通用准那么CC：EAL解解释释78South China Univ.of Tech.CC的的EAL与其他与其他标标准等准等级级的比的比较较79South China Univ.of Tech.80South China Univ.of Tech.81South China Univ.of Tech.PP根本原理根本原理对PP进行评估的依据，证明PP是一个完整的、紧密结合的要求集合，满足该PP的TOE将在平安环境内提供一组有效的IT平安对策平安目的根本原理平安要求根本原理威胁组织平安策略假设平安需求IT平安要求TOE 目的环境的目的平安目的相互支持支持支持恰好满足恰好满足恰好满足恰好满足功能强度声明一致一致82South China Univ.of Tech.威威胁举胁举例例T.REPLAY 重放当截获了有效用户的识别和鉴别数据后，未授权用户可能在将来使用这些鉴别数据，以访问TOE提供的功能。83South China Univ.of Tech.平安目的平安目的举举例例O.SINUSE 单用途TOE必须防止用户重复使用鉴别数据，尝试通过互连网络在TOE上进行鉴别。O.SECFUN 平安功能TOE必须提供一种功能使授权管理员能够使用TOE的平安功能，并且确保只有授权管理员才能访问该功能。84South China Univ.of Tech.O.SINUSETOE平安功能要求举例平安功能要求举例85South China Univ.of Tech.O.SECFUN86South China Univ.of Tech.PP例如例如“包过滤防火墙平安技术要求GB 18019-99“应用级防火墙平安技术要求GB18020-99“路由器平安技术要求GB18018-99“电信智能卡平安技术要求“网上证券委托系统平安技术要求87South China Univ.of Tech.通用准那么通用准那么CCCC优优点：点：CC代代表表了了先先进进的的信信息息平平安安评评估估标标准准的的开开展展方方向向，基基于于CC的的IT平平安安测测评评认认证证正正在在逐逐渐渐为为更更多多的的国国家家所所采采纳纳，CC的的互互认认可可协协定定签签署署国国也也在在不不断断增增多多。根根据据IT平平安安领领域域内内CC认认可可协协议议，在在协协议议签签署署国国范范围围内内，在在某某个个国国家家进进行行的的基基于于CC的的平平安安评评估估将将在在其其他他国国家家内内得得到到成成认认。截截止止2003年年3月月，参参加加该该协协议议的的国国家家共共有有十十五五个个：澳澳大大利利亚亚、新新西西兰兰、加加拿拿大大、芬芬兰兰、法法国国、德德国国、希希腊腊、以以色色列列、意意大大利、荷利、荷兰兰、挪威、西班牙、瑞典、英国及美国。、挪威、西班牙、瑞典、英国及美国。到到2001年底，所有已年底，所有已经经过经经过TCSEC评评估的估的产产品，其品，其评评估估结结果或者果或者过时过时，或者，或者转换为转换为CC评评估等估等级级。CC缺点：缺点：CC应应用用的的局局限限性性，比比方方该该标标准准在在开开篇篇便便强强调调其其不不涉涉及及五五个个方方面面的的内内容容：行行政政性性管管理理平平安安措措施施、物物理理平平安安、评评估估方方法法学学、认认可可过过程程、对对密密码码算算法法固固有有质质量量的的评评价价，而而这这些些被被CC忽忽略略的的内内容容恰恰恰恰是是信信息息平安保障工作中需要特平安保障工作中需要特别别予以注意的重要予以注意的重要环节环节。CC还还有有一一个个明明显显的的缺缺陷陷，即即它它没没有有数数学学模模型型的的支支持持，即即理理论论根根底底缺缺乏乏。TCSEC还还有有BLP模模型型的的支支持持。其其平平安安功功能能可可以以得得到到完完善善的的解解释释，平平安安功功能能的的实实现现机机制制便便有有章章可可循循。对对于于增增加加的的完完整整性性、可可用用性性、不不可可否否认认性性等等要要求求，只只局局限限于于简简单单的的自自然然语语言言描描述述，不不能能落落实实到到具具体体的的平平安安机机制制上上。更更无无从从评评价价这这些平安要求的些平安要求的强强度。度。所以：所以：CC并并不不是是万万能能的的，它它仍仍然然需需要要与与据据各各个个国国家家的的具具体体要要求求，与与其其他他平平安安标标准准相相结结合合，才才能能完完成成对对一一个个信息系信息系统统的完整的完整评评估。估。目前得到国目前得到国际际范范围围内内认认可的是可的是ISO/IEC 15408 CC,我国的我国的GB/T 18336等同采用等同采用ISO/IEC 15408。88South China Univ.of Tech.BS7799BS7799、ISO17799ISO17799BS779989South China Univ.of Tech.历历史沿革史沿革1995年，英国制定国家标准BS 7799第一局部：“信息平安管理事务准那么，并提交国际标准组织(ISO)，成为ISO DIS 14980。1998年，英国公布BS 7799第二局部“信息平安管理标准并成为信息平安管理认证的依据；同年，欧盟于1995年10月公布之“个人资料保护指令，自1998年10月25日起正式生效，要求以适当标准保护个人资料。2000年，国际标准组织 ISO/IEC JTC SC 27在日本东京10月21日通过BS 7799-1，成为 ISO DIS 17799-1，2000年12月1日正式发布。目前除英国之外，国际上已有荷兰、丹麦、挪威、瑞典、芬兰、澳大利亚、新西兰、南非、巴西已同意使用BS 7799；日本、瑞士、卢森堡表示对BS 7799感兴趣；我国的台湾、香港地区也在推广该标准。BS 7799(ISO/IEC17799)在欧洲的证书发放量已经超过ISO9001。但是：ISO17799 不是认证标准，目前正在修订。BS7799-2 是认证标准，作为国际标准目前正在讨论。90South China Univ.of Tech.BS7799内容：内容：总总那么那么要求各组织建立并运行一套经过验证的信息平安管理体系ISMS，用于解决如下问题：资产的保管、组织的风险管理、管理标的和管理方法、要求到达的平安程度。建立管理框架确立并验证管理目标和管理方法时需采取如下步骤：定义信息平安策略定义信息平安管理体系的范围，包括定义该组织的特征、地点、资产和技术等方面的特征进行合理的风险评估，包括找出资产面临的威胁、弱点、对组织的冲击、风险的强弱程度等等根据组织的信息平安策略及所要求的平安程度，决定应加以管理的风险领域选出合理的管理标的和管理方法，并加以实施；选择方案时应做到有法可依准备可行性声明是指在声明中应对所选择的管理标的和管理方法加以验证，同时对选择的理由进行验证，并对第四章中排除的管理方法进行记录对上述步骤的合理性应按规定期限定期审核。91South China Univ.of Tech.BS7799局部局部BS7799-1:1999?信息平安管理实施细那么?是组织建立并实施信息平安管理体系的一个指导性的准那么，主要为组织制定其信息平安策略和进行有效的信息平安控制提供的一个群众化的最正确惯例。BS7799-2:2002?信息平安管理体系标准?规定了建立、实施和文件化信息平安管理体系(ISMS)的要求，规定了根据独立组织的需要应实施平安控制的要求。即本标准适用以下场合:组织按照本标准要求建立并实施信息平安管理体系，进行有效的信息平安风险管理，确保商务可持续性开展；作为寻求信息平安管理体系第三方认证的标准。BS7799标准第二局部明确提出平安控制要求，标准第一局部对应给出了通用的控制方法措施，因此可以说，标准第一局部为第二局部的具体实施提供了指南。BS 7799 Part 2Corporate GovernancePLANDOACTCHECK风险管理处理风险管理处理系统控制系统控制内部审计功能内部审计功能ISO/IEC 1779992South China Univ.of Tech.十大管理要项十大管理要项 BS 7799-2:200293South China Univ.of Tech.十大管理要项十大管理要项 BS 7799-2:2002 1、平安方针：为信息平安提供管理指导和支持；2、组织平安：建立信息平安架构，保证组织的内部管理；被第三方访问或外协时，保障组织的信息平安；3、资产的归类与控制：明确资产责任，保持对组织资产的适当保护；将信息进行归类，确保信息资产受到适当程度的保护；4、人员平安：在工作说明和资源方面，减少因人为错误、盗窃、欺诈和设施误用造成的风险；加强用户培训，确保用户清楚知道信息平安的危险性和相关事项，以便在他们的日常工作中支持组织的平安方针；制定平安事故或故障的反响程序，减少由平安事故和故障造成的损失，监控平安事件并从这种事件中吸取教训；5、实物与环境平安：确定平安区域，防止非授权访问、破坏、干扰商务场所和信息；通过保障设备平安，防止资产的丧失、破坏、资产危害及商务活动的中断；采用通用的控制方式，防止信息或信息处理设施损坏或失窃；94South China Univ.of Tech.十大管理要项十大管理要项 BS 7799-2:2002 6、通信和操作方式管理：明确操作程序及其责任，确保信息处理设施的正确、平安操作；加强系统筹划与验收，减少系统失效风险；防范恶意软件以保持软件和信息的完整性；加强内务管理以保持信息处理和通讯效劳的完整性和有效性通过；加强网络管理确保网络中的信息平安及其辅助设施受到保护；通过保护媒体处理的平安，防止资产损坏和商务活动的中断；加强信息和软件的交换的管理，防止组织间在交换信息时发生丧失、更改和误用；7、访问控制：按照访问控制的商务要求，控制信息访问；加强用户访问管理，防止非授权访问信息系统；明确用户职责，防止非授权的用户访问；加强网络访问控制，保护网络效劳程序；加强操作系统访问控制，防止非授权的计算机访问；加强应用访问控制，防止非授权访问系统中的信息；通过监控系统的访问与使用，监测非授权行为；在移动式计算和电传工作方面，确保使用移动式计算和电传工作设施的信息平安；8、系统开发与维护：明确系统平安要求，确保平安性已构成信息系统的一部份；加强应用系统的平安，防止应用系统用户数据的丧失、被修改或误用；加强密码技术控制，保护信息的保密性、可靠性或完整性；加强系统文件的平安，确保IT方案及其支持活动以平安的方式进行；加强开发和支持过程的平安，确保应用系统软件和信息的平安；9、商务连续性管理：防止商务活动的中断及保护关键商务过程不受重大失误或灾难事故的影响；10、符合：符合法律法规要求，防止刑法、民法、有关法令法规或合同约定事宜及其他平安要求的规定相抵触；加强平安方针和技术符合性评审，确保体系按照组织的平安方针及标准执行；系统审核考虑因素，使效果最大化，并使系统审核过程的影响最小化。95South China Univ.of Tech.BS7799与与CC的比的比较较BS 7799完全从管理角度制定，并不涉及具体的平安技术，实施不复杂，主要是告诉管理者一些平安管理的本卷须知和平安制度，例如磁盘文件交换和处理的平安规定、设备的平安配置管理、工作区进出的控制等一些很容易理解的问题。这些管理规定一般的单位都可以制定，但要想到达BS 7799的全面性那么需要一番努力。同BS 7799相比，信息技术平安性评估准那么(CC)和美国国防部可信计算机评估准那么(TCSEC)等更侧重于对系统和产品的技术指标的评估；系统平安工程能力成熟模型(SSE-CMM)更侧重于对平安产品开发、平安系统集成等平安工程过程的管理。在对信息系统日常平安管理方面，BS 7799的地位是其他标准无法取代的。总的来说，BS7799涵盖了平安管理所应涉及的方方面面，全面而不失可操作性，提供了一个可持续提高的信息平安管理环境。推广信息平安管理标准的关键在重视程度和制度落实方面。它是目前可以用来到达一定预防标准的最好的指导标准。96South China Univ.of Tech.制订信息平安方针方针文档定义ISMS范围进行风险评估实施风险管理选择控制目标措施准备适用声明第一步：第二步：第三步：第四步：第五步：第六步：ISMS范围评估报告文件文件文件文件文件文件文档化文档化声明文件建立建立ISMS框架框架97South China Univ.of Tech.第一步第一步 制订信息平安方针制订信息平安方针BS7799-2BS7799-2对对ISMSISMS的要求：的要求：组织应定义信息平安方针。组织应定义信息平安方针。信息平安是指保证信息的保密性、完整性和可用性不受破信息平安是指保证信息的保密性、完整性和可用性不受破坏。建立信息平安管理体系的目标是对公司的信息平坏。建立信息平安管理体系的目标是对公司的信息平安进行全面管理。安进行全面管理。信息平安方针是由组织的最高管理者正式制订和发布的该信息平安方针是由组织的最高管理者正式制订和发布的该组织的信息平安的目标和方向，用于指导信息平安管组织的信息平安的目标和方向，用于指导信息平安管理体系的建立和实施过程。理体系的建立和实施过程。要经最高管理者批准和发布要经最高管理者批准和发布表达了最高管理者对信息平安的承诺与支持表达了最高管理者对信息平安的承诺与支持要传达给组织内所有的员工要传达给组织内所有的员工要定期和适时进行评审要定期和适时进行评审目的和意义目的和意义为组织提供了关注的焦点，指明了方向，确定了目标；为组织提供了关注的焦点，指明了方向，确定了目标；确保信息平安管理体系被充分理解和贯彻实施；确保信息平安管理体系被充分理解和贯彻实施；统领整个信息平安管理体系。统领整个信息平安管理体系。建立建立ISMS框架框架98South China Univ.of Tec