计算机系统安全评价标准

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,演示文档,路漫漫其悠远,少壮不努力，老大徒悲伤,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,计算机系统安全评价标准,主要内容,可信计算机系统评价标准,通用评估准则CC,我国信息系统安全评价标准,计算机系统的提供者需要对他们的产品的安全特性进行说明，而用户则需要验证这些安全特性的可靠性。,国际上有多种为计算机安全系统构筑独立审查措施的安全评价体系,其内容和发展深刻地反映了对信息安全问题的认识程度。,14.1 可信计算机系统评价标准,1985年12月美国国防部公布了评价安全计算机系统的六项标准。这套标准的文献名称即为“可信计算机系统评价标准”（Trusted Computer System Evaluation Criteria，简记为TCSEC），又称为橘皮书。,14.1.1 TCSEC的主要概念,1,考核标准,（,1,）安全策略（,Security Policy,）,（,2,）标识（,Identification,）,（,3,）标记（,Marking,）,（,4,）可记账性（,Accountability,）,（,5,）保障机制（,Assurance,）,（,6,）连续性保护（,Continuous Protection,）,2主要概念,安全性,可信计算基,(TCB),自主访问控制（Discretionary Access Control，DAC）,强制访问控制（Mandatory Access Control，MAC）,隐蔽信道,3系统模型,主体,审计信息,访问监控器,监控器数据基：,（用户权限表、,访问控制表）,客体,14.1.2 计算机系统的安全等级,TCSEC将可信计算机系统的评价规则划分为四类，即安全策略、可记账性、安全保证措施和文档,根据计算机系统对上述各项指标的支持情况及安全性相近的特点，TCSEC将系统划分为四类(Division)七个等级,1D安全级,最低级别,一切不符合更高标准的系统，统统归于,D,级。,2,C1,安全级,只提供了非常初级的自主安全保护,称为自主安全保护系统,现有的商业系统往往稍作改进即可满足要求。,3,C2,安全级,称为可控安全保护级，是安全产品的最低档次,很多商业产品已得到该级别的认证。达到,C2,级的产品在其名称中往往不突出“安全”,(Security),这一特色,4,B1,安全级,又称为带标记的访问控制保护级，其在,C2,级的基础上增加了或加强了标记、强制访问控制、审计、可记账性和保障等功能。,B1,级能够较好地满足大型企业或一般政府部门对数据的安全需求，这一级别的产品才被认为是真正意义上的安全产品。满足此级别的产品前一般多冠以“安全”,(Security),或“可信的”,(Trusted),字样,B类安全包含三个级别：B1、B2、B3级，,他们都采用强制保护控制机制。,B2,安全级,称为结构化保护级。该级系统的设计中把系统内部结构化地划分成明确而大体上独立的模块，并采用最小特权原则进行管理。,目前，经过认证的,B2,级以上的安全系统非常稀少。,B3,安全级,又称为安全域保护级。该级的,TCB,必须满足访问监控器的要求，审计跟踪能力更强，并提供系统恢复过程。,A1,安全级,又称为可验证设计保护级，即提供,B3,级保护的同时给出系统的形式化设计说明和验证以确信各安全保护真正实现。,14.2 通用评估准则CC,CC(Common Criteria for Information Technology Security Evaluation)标准是国际标准化组织ISO/IEC JTC1发布的一个标准，是信息技术安全性通用评估准则，用来评估信息系统或者信息产品的安全性。,14.2.1 CC的主要用户,CC,的主要用户包括消费者、开发者和评估者。,1,消费者,消费者可以用评估结果来决定一个已评估的产品和系统是否满足他们的安全需求。,2,开发者,CC,为开发者在准备和参与评估产品或系统以及确定每种产品和系统要满足安全需求方面提供支持。,3,评估者,当要做出,TOE,及其安全需求一致性判断时，,CC,为评估者提供了评估准则。,14.2.2 CC的组成,CC分为三个部分,1.,简介和一般模型,:,正文介绍了,CC,中的有关术语、基本概念和一般模型以及与评估有关的一些框架，附录部分主要介绍保护轮廓（,PP,）和安全目标（,ST,）的基本内容。,2.,安全功能要求,:,按“类,-,族,-,组件”的方式提出安全功能要求，提供了表示评估对象,TOE,安全功能要求的标准方法。,3.,安全保证要求,:,定义了评估保证级别，建立了一系列安全保证组建作为表示,TOE,保证要求的标准方法。,CC,的三个部分相互依存，缺一不可。,14.2.3 评估保证级别EAL,评估保证级别是评估保证要求的一种特定组合（保证包），是度量保证措施的一个尺度，这种尺度的确定权衡了所获得的保证级别以及达到该保证级别所需的代价和可能性。,在CC中定义了7个递增的评估保证级,1EAL1：功能测试,EAL1适用于对正确运行需要一定信任的场合,2.,EAL2：结构测试,要求开发者递交设计信息和测试结果，但不需要开发者增加过多的费用或时间的投入。,3,EAL3,：方法测试和校验,在不需要对现有的合理的开发规则进行实质性改进的情况下，,EAL3,可使开发者在设计阶段能从正确的安全工程中获得最大限度的保证。,4,EAL4,：系统地设计、测试和评审,基于良好而严格的商业开发规则，在不需额外增加大量专业知识、技巧和其他资源的情况下，开发者从正确的安全工程中所获得的保证级别最高可达到,EAL4,。,5,EAL5,：半形式化设计和测试,适当应用专业性的一些安全工程技术，并基于严格的商业开发实践，,EAL5,可使开发者从安全工程中获得最大限度的保证。,6,EAL6,：半形式化验证的设计和测试,EAL6,允许开发者通过在一个严格的开发环境中使用安全工程技术来获得高度保证，以便生产一个优异的,TOE,来保护高价值的资源避免重大的风险。,7,EAL7,：形式化验证的设计和测试,EAL7,适用于在极端高风险的形势下，并且所保护的资源价值极高，值得花费更高的开销进行安全,TOE,的开发。,14.2.4 CC的特点,CC比起早期的评估准则其特点体现在其结构的开放性、表达方式的通用性以及结构和表达方式的内在完备性和实用性等四个方面。,14.3 我国信息系统安全评价标准,公安部提出并组织制定了强制性国家标准GB-17859：1999计算机信息安全保护等级划分准则，该准则于1999年9月13日经国家质量技术监督局发布，并于2001年1月1日起实施。,14.3.1 所涉及的术语,（,1,）计算机信息系统（,Computer Information System,）：计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。,（,2,）计算机信息系统可信计算基（,Trusted Computing Base of Computer Information System,）：计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。,（,3,）客体（,Object,）：信息的载体。,（,4,）主体（,Subject,）：引起信息在客体之间流动的人、进程或设备等。,所涉及的术语,（,5,）敏感标记（,Sensitivity Label,）：表示客体安全级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访问控制决策的依据。,（,6,）安全策略（,Security Policy,）：有关管理、保护和发布敏感信息的法律、规定和实施细则。,（,7,）信道（,Channel,）：系统内的信息传输路径。,（,8,）隐蔽信道（,Covert Channel,）：允许进程以危害系统安全策略的方式传输信息的通信信道。,所涉及的术语,（,9,）访问监控器（,Reference Monitor,）：监控主体和客体之间授权访问关系的部件。,（,10,）可信信道（,Trusted Channel,）：为了执行关键的安全操作，在主体、客体及可信,IT,产品之间建立和维护的保护通信数据免遭修改和泄露的通信路径。,（,11,）客体重用：在计算机信息系统可信计算基的空闲存储客体空间中，对客体初始制定、分配或再分配一个主体之前，撤销该客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时，当前主体不能获得原主体活动所产生的任何信息。,14.3.2,等级的划分及各等级的要求,1,第一级 用户自主保护级,（,1,）自主访问控制,（,2,）身份鉴别,（,3,）数据完整性,2,第二级 系统审计保护级,（,1,）自主访问控制,（,2,）身份鉴别,（,3,）客体重用,（,4,）审计,（,5,）数据完整性,3,第三级 安全标记保护级,（,1,）自主访问控制,（,2,）强制访问控制,（,3,）标记,（,4,）身份鉴别,（,5,）客体重用,（,6,）审计,（,7,）数据完整性,4,第四级 结构化保护级,（,1,）自主访问控制,（,2,）强制访问控制,（,3,）标记,（,4,）身份鉴别,（,5,） 客体重用,（,6,）审计,（,7,）数据完整性,（,8,）隐蔽信道分析,（,9,）可信路径,5,第五级 访问验证保护级,（,1,）自主访问控制,（,2,）强制访问控制,（,3,）标记,（,4,）身份鉴别,（,5,） 客体重用,（,6,）审计,（,7,）数据完整性,（,8,）隐蔽信道分析,（,9,）可信路径,（,10,）可信恢复,