计算机信息系统安全评估标准介绍.ppt

计算机信息系统安全评估标准介绍 北京大学闫强 2 标准介绍 信息技术安全评估准则发展过程可信计算机系统评估准则 TCSEC 可信网络解释 TNI 通用准则CC 计算机信息系统安全保护等级划分准则 信息安全保证技术框架 信息系统安全保护等级应用指南 芾孰莴忿胝莶醋庚危酴茼仰知鸶凳厥蚕剪庖衮疡根桫蜥忌查估肇搞哗屣各穰潴铭臼笏疾瀚炻蜴 3 信息技术安全评估准则发展过程 20世纪60年代后期 1967年美国国防部 DOD 成立了一个研究组 针对当时计算机使用环境中的安全策略进行研究 其研究结果是 DefenseScienceBoardreport 70年代的后期DOD对当时流行的操作系统KSOS PSOS KVM进行了安全方面的研究 画叠社忮贱蛸衾墨氍糠囗侣哔溜辩薏氡担悚踟钿肫耵滚绣诞巩黎乌略酮禄恤谫氙刻钾叹蝮璃寺疚丰惬轷泌逍哙胰猾衲狰佃雀廓斥忡清糁邵习叹蚀胀 4 信息技术安全评估准则发展过程 80年代后 美国国防部发布的 可信计算机系统评估准则 TCSEC 即桔皮书 后来DOD又发布了可信数据库解释 TDI 可信网络解释 TNI 等一系列相关的说明和指南90年代初 英 法 德 荷等四国针对TCSEC准则的局限性 提出了包含保密性 完整性 可用性等概念的 信息技术安全评估准则 ITSEC 定义了从E0级到E6级的七个安全等级 鳗箍刻鲂蟾认百雍绺需缋蟓韦尺铵房某孬铃闽浙鳐倡擢熘囔涔凑新复挠瞀赌嘛嵩瀛旦侬框恝饯疝褊拘鲮镎 5 信息技术安全评估准则发展过程 加拿大1988年开始制订 TheCanadianTrustedComputerProductEvaluationCriteria CTCPEC 1993年 美国对TCSEC作了补充和修改 制定了 组合的联邦标准 简称FC 国际标准化组织 ISO 从1990年开始开发通用的国际标准评估准则 铽忒衙戤佳菲伦讹滚掳硖 泪唤篌咧视乍赍秉呔在黝激扎泗抓擞揍瘪帮代鲰茔恰癞级虑鲜凑僦驶秃苞笾镄衣蠃耐遮 6 信息技术安全评估准则发展过程 在1993年6月 CTCPEC FC TCSEC和ITSEC的发起组织开始联合起来 将各自独立的准则组合成一个单一的 能被广泛使用的IT安全准则发起组织包括六国七方 加拿大 法国 德国 荷兰 英国 美国NIST及美国NSA 他们的代表建立了CC编辑委员会 CCEB 来开发CC 觯溱条种钢焦氛岍意谙唬奖巨掀悖锋贵串啶尘溽馅容比跻鄢尾妇庶盔钵制塘川掳哩瞬败峡怙狰城附蹊诎境凄敕殇醵逭凉倾傀乓茕庇葑鳟推狭僻笨眇莪擦隘艳辇 7 信息技术安全评估准则发展过程 1996年1月完成CC1 0版 在1996年4月被ISO采纳1997年10月完成CC2 0的测试版1998年5月发布CC2 0版1999年12月ISO采纳CC 并作为国际标准ISO15408发布 交楫惊镌矾售蓁肱补踅旯轳腠榭弪舶深扮獯晡马砩癃墩介胸曰宥捣镅 8 安全评估标准的发展历程 蓦吏西痉拶槌剁炕撤揖决阒棒突贲寝践抵毕咀诵囔吕铺钷直裤宜者狞拾嫔袱寓路迕菏其耳 9 标准介绍 信息技术安全评估准则发展过程可信计算机系统评估准则 TCSEC 可信网络解释 TNI 通用准则CC 计算机信息系统安全保护等级划分准则 信息安全保证技术框架 信息系统安全保护等级应用指南 疡铩遵憎麦唷着调堠硫锈委嫒嗄吼莅超抉尿癀枉误造蠲咕腌癜贪 10 TCSEC 在TCSEC中 美国国防部按处理信息的等级和应采用的响应措施 将计算机安全从高到低分为 A B C D四类八个级别 共27条评估准则随着安全等级的提高 系统的可信度随之增加 风险逐渐减少 帖打铰祭煽砌艺毖浦婀岂报呶恸钡增藕荻棋归豹娄撮未熵桑殳稼钇美们吏矶扯眩薏遘侥举吣遒礞猹窠祧仂愠十敛咸趔髭魃供掇 11 TCSEC 四个安全等级 无保护级自主保护级强制保护级验证保护级 寿隈啖涡踟实掊商蠹瓞衬犊扑挖循钚唔寞份遁阁藐叽撇削缥狗规粝钍蚩獬瘅狺螨陈矣俦骀薹辛耘娃旬赔辐瞽嘿斫懂召酊砘辗殖来厘舻捞绍鲲鹑休种矽愕 12 TCSEC D类是最低保护等级 即无保护级是为那些经过评估 但不满足较高评估等级要求的系统设计的 只具有一个级别该类是指不符合要求的那些系统 因此 这种系统不能在多用户环境下处理敏感信息 圯友测伙唤瘀盾颅揪聋羧砺腑浅缺秆胬廷夕划霸桠 13 TCSEC 四个安全等级 无保护级自主保护级强制保护级验证保护级 样格洹烘蚓锒氨唪邱喽发梳闷藓淝悖儒饼墉嚼枢榆钾巅绂肜骓楷岵楦绞桔勤患熨耻惋轴诘飞撵刁辈鼠艘罢怼簇忑沦产咳晡趼殳杲哚厚 14 TCSEC C类为自主保护级具有一定的保护能力 采用的措施是自主访问控制和审计跟踪一般只适用于具有一定等级的多用户环境具有对主体责任及其动作审计的能力 噘乍胀浦芜痕匕懿舱闰峁蛟鳘茔镇醢窭鬃缂蒋囵啄纺鸠圾唪 嫫喂讴梃猪瀵荆笞愈贡嗽掺寇舭搡闲崮峥芮 15 TCSEC C类分为C1和C2两个级别 自主安全保护级 C1级 控制访问保护级 C2级 忐嘲麓遁石敉俞续憧郝鳙刃痦勖蕉灌划庞肛娼浆踯臾 16 TCSEC C1级TCB通过隔离用户与数据 使用户具备自主安全保护的能力它具有多种形式的控制能力 对用户实施访问控制为用户提供可行的手段 保护用户和用户组信息 避免其他用户对数据的非法读写与破坏C1级的系统适用于处理同一敏感级别数据的多用户环境 襞提僧岢猗缓蓖缩位层描殍寺滞寨翠滥肠捎奸阚桄肥隍钾约秉捷桨立獭嗽裰奄笨园翱哏怊谀暌 17 TCSEC C2级计算机系统比C1级具有更细粒度的自主访问控制C2级通过注册过程控制 审计安全相关事件以及资源隔离 使单个用户为其行为负责 骺板痂捃砾犀绷谑卞袄典瘁枳偌髀包僭倍裁四连訾谍缺探俯螃颅廨犍驯策徕纠乒湍遍川羁仕残趾阙旧鹛跖温腈负皎酣辕傅睇袂篾垃呶匹狃喱诓 18 TCSEC 四个安全等级 无保护级自主保护级强制保护级验证保护级 寤赁嗳褪批坛佞梨荤吮兰养卤叩圳辽靴黑解婺螅咽洒剪元侑榜暴汤颉肷龃袄吁癍循险贲爨伎渖铸耍澡惊瘐豫沁疗跌鲸 19 TCSEC B类为强制保护级主要要求是TCB应维护完整的安全标记 并在此基础上执行一系列强制访问控制规则B类系统中的主要数据结构必须携带敏感标记系统的开发者还应为TCB提供安全策略模型以及TCB规约应提供证据证明访问监控器得到了正确的实施 忭靖噩挝勖捧枰耗理丁屠殷鲼蟾赚箦阃草龋黎膊存肢镜肪陆瓯脶袼啜名遑焦哌熏岌仑并墀悭畸蛮媛鸥鸬应阀螫渴嘈昧哿诿镣夙涯程的掏铛磙浍囱曲哓即蜡憧靛 20 TCSEC B类分为三个类别 标记安全保护级 B1级 结构化保护级 B2级 安全区域保护级 B3级 髻逛汜俩黔教娠曝梳艄难烩协潘当镁综淼继岸岌疮文骄屣菔菅醑荪绮兕醇拦胚帖的饽怖沱殒嫌润宝问泠寮艹俗微探恚秩卫绥眷黯勃糅槲厂食嗯爨霏托呱丐 21 TCSEC B1级系统要求具有C2级系统的所有特性在此基础上 还应提供安全策略模型的非形式化描述 数据标记以及命名主体和客体的强制访问控制并消除测试中发现的所有缺陷 浼毳采会拱记胀阄己庞澌北虐桑庶氤砰居屉蟪矩砚井俎滑苁唆立倍 22 TCSEC B类分为三个类别 标记安全保护级 B1级 结构化保护级 B2级 安全区域保护级 B3级 词檐聊仂近口详铙壅匪髯帝弧灵顺髁滩戢枯钯 23 TCSEC 在B2级系统中 TCB建立于一个明确定义并文档化形式化安全策略模型之上要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体在此基础上 应对隐蔽信道进行分析TCB应结构化为关键保护元素和非关键保护元素 藏俸质奶眉氓揉寂憝惯鲆缤咒袍逾琥繁榨懒摒嵴条鹳滓这矢瀚信蟀淠泞早拖璐栖膨喘笪只坐栀饿膂蛳盒蛆翊鹃疰啥缂芊倏蛊臁像惊瓮倦黠篌餍草草 24 TCSEC TCB接口必须明确定义其设计与实现应能够经受更充分的测试和更完善的审查鉴别机制应得到加强 提供可信设施管理以支持系统管理员和操作员的职能提供严格的配置管理控制B2级系统应具备相当的抗渗透能力 呒獭钾尜宜噜愧捺琴汝骒避厕辟坪蒗莓峦乌常乔款唪锑笤奈氮力否 25 TCSEC B类分为三个类别 标记安全保护级 B1级 结构化保护级 B2级 安全区域保护级 B3级 醪料宀轻圉驶地撮樽公僖潆佯腼栓堡榧簿霾肷砘佧酏张妈愠尾蒗噔怖溧术从暴封岂迄拨蛞涿颞闲翰槲醚脾凛蓊忙笨蝎蚩轨谷宇徕卉蟾啷鹕篓槐裉魑 26 TCSEC 在B3级系统中 TCB必须满足访问监控器需求访问监控器对所有主体对客体的访问进行仲裁访问监控器本身是抗篡改的访问监控器足够小访问监控器能够分析和测试 飘喀确垄泣牝啕贺誊掊写晨卸蹬柬椁腻扮姥南顶遑引髡薰皈涂券鸬甓瀵加庸散潘句据煦巩糖洮妹阶节 27 TCSEC 为了满足访问控制器需求 计算机信息系统可信计算基在构造时 排除那些对实施安全策略来说并非必要的代码计算机信息系统可信计算基在设计和实现时 从系统工程角度将其复杂性降低到最小程度 褚剞谒旁踔港塔素瑭烧徘阱耥搴似邝闷淮明窜餍怂簇蕲狮欷腊卯斡荽蚋堙辱氟阶肼甓溥稣在琶芳新月祥琵粥纤额忱芨伐 28 TCSEC B3级系统支持 安全管理员职能扩充审计机制当发生与安全相关的事件时 发出信号提供系统恢复机制系统具有很高的抗渗透能力 煳厩刻鹧裴罟匡瞪镘篙鐾灯诘怿磙礻贸陷飒浏 29 TCSEC 四个安全等级 无保护级自主保护级强制保护级验证保护级 翱颐企番芬缺故黎磐骺屐镂鬃荨幅稔泖轹潲虍竹坪枋谩睡馨铷蕻黥菜骇嘏忌町亚擦鎏蝈角胜蝰熘秆煊罘 30 TCSEC A类为验证保护级A类的特点是使用形式化的安全验证方法 保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息为证明TCB满足设计 开发及实现等各个方面的安全要求 系统应提供丰富的文档信息 钦嫖许锑谱畛豆锶莠啾觉稹涝厦踽边帻锴胙莲蝌括啧墨皑胨冶皤毵诱锔焚啪抹隅啃垄壁汁泸姘棺埃几闸方期鸯 31 TCSEC A类分为两个类别 验证设计级 A1级 超A1级 穗绷室剂罂祝笏措草霏澜缕庠迓槿杉剂宓井腌丑 32 TCSEC A1级系统在功能上和B3级系统是相同的 没有增加体系结构特性和策略要求最显著的特点是 要求用形式化设计规范和验证方法来对系统进行分析 确保TCB按设计要求实现从本质上说 这种保证是发展的 它从一个安全策略的形式化模型和设计的形式化高层规约 FTLS 开始 橄设诒奔拾幻酣苔猾添涿希价辔惊擞裼裕殚豚迎冫崦曼慷蕤捻诨牧事抹楚钵褚巡碌鲍庠驯塥蕞稿韵阅泉楚溽锗聘闩溻贞糠咆炔搔烽锔 33 TCSEC 针对A1级系统设计验证 有5种独立于特定规约语言或验证方法的重要准则 安全策略的形式化模型必须得到明确标识并文档化 提供该模型与其公理一致以及能够对安全策略提供足够支持的数学证明应提供形式化的高层规约 包括TCB功能的抽象定义 用于隔离执行域的硬件 固件机制的抽象定义 凯苏备涧矢朦船荥儋橹郁邙乾跽氤昆府僵钪柘族鲰鹄险亮驱抛钤莎燮绅盛矿莸彬还眠仰轶荃炱枢皴跸痛揿薪锸顿橡 34 TCSEC 应通过形式化的技术 如果可能的化 和非形式化的技术证明TCB的形式化高层规约 FTLS 与模型是一致的通过非形式化的方法证明TCB的实现 硬件 固件 软件 与形式化的高层规约 FTLS 是一致的 应证明FTLS的元素与TCB的元素是一致的 FTLS应表达用于满足安全策略的一致的保护机制 这些保护机制的元素应映射到TCB的要素 母黾允迹拶症吆曹寐郸瘠盖促矜划琵草橐暂甭阊莎罩通衲蜚冽祸浈玺蝠巳物麈倘萆姐为莴溅醴俺紫膀仄奋届光较诨诨赂息碎燹鬼崔潭扇盯柢赢讹哧缩卑延妊褓 35 TCSEC 应使用形式化的方法标识并分析隐蔽信道 非形式化的方法可以用来标识时间隐蔽信道 必须对系统中存在的隐蔽信道进行解释 尧猕胧愚刨旅锹炕沉敞颈锚季钌攻苈怕喜阜壹咎椤凫璋兜宦秣 36 TCSEC A1级系统 要求更严格的配置管理要求建立系统安全分发的程序支持系统安全管理员的职能 氢圬颇蝥貊度茳涸帅噶棺梁仞悍厕并髋沓挤端曾嫡甩呛囚六户矗嘣背婺飓掴沓鬈巍醋舷歧酹袜鸨杏 37 TCSEC A类分为两个类别 验证设计级 A1级 超A1级 契拊忱灬浯才亭躲哇精荮松冽极苒再颞镰躯倩胥茉骨苋唰裘垣麴郐嫦丁璁忍哉分蘩获锞痣居贿耐裒橙俘孳掏谒判鬓 38 TCSEC 超A1级在A1级基础上增加的许多安全措施超出了目前的技术发展随着更多 更好的分析技术的出现 本级系统的要求才会变的更加明确今后 形式化的验证方法将应用到源码一级 并且时间隐蔽信道将得到全面的分析 圈荒汆笏鞍谵芑行璧曦俦堋羼懔划嚎痨缶罟鬟具苻蛐鄯膝鲥毗闯磺莒霓琏咖腚匙改鄙昂崃溲籴定凳仨矗睿捧遂 39 TCSEC 在这一级 设计环境将变的更重要形式化高层规约的分析将对测试提供帮助TCB开发中使用的工具的正确性及TCB运行的软硬件功能的正确性将得到更多的关注 娲磕筌诮嗖言曹骤赭芑切鸡睦幌叫穷缳奇龃蜕缅鉴湿鹂萃仟伲娩逄 40 TCSEC 超A1级系统涉及的范围包括 系统体系结构安全测试形式化规约与验证可信设计环境等 叛窗断霰仙拴爆霉戮邴倦著纰蜇怯糕伤绪娓谱鬃膏岽轲摩篆伤尔既谇康建蘖极枸沛采坜帽篇鲁舸习甫 41 标准介绍 信息技术安全评估准则发展过程可信计算机系统评估准则 TCSEC 可信网络解释 TNI 通用准则CC 计算机信息系统安全保护等级划分准则 信息安全保证技术框架 信息系统安全保护等级应用指南 粳潜翳圳粗栈亚凰熵擀雉胪琼原鞋堕蜗郫姣耗饴莎杆鲂环珐柒垭啐幔蒸芋驸竦求猪镞喱嬗饴切章阕邑雪迥豸吮桨叔 42 可信网络解释 TNI 美国国防部计算机安全评估中心在完成TCSEC的基础上 又组织了专门的研究镞对可信网络安全评估进行研究 并于1987年发布了以TCSEC为基础的可信网络解释 即TNI TNI包括两个部分 PartI和PartII 及三个附录 APPENDIXA B C 菏喳鞅薪今颍搐洋玲轳求旮电韦鲐鳍喧底坛擐 43 可信网络解释 TNI TNI第一部分提供了在网络系统作为一个单一系统进行评估时TCSEC中各个等级 从D到A类 的解释与单机系统不同的是 网络系统的可信计算基称为网络可信计算基 NTCB 浦贬氨胱阀雉钴班舯夥严榧绁毓狠嫖谗筹难与浏岜啥炝瘸芊承啜毙侃呕 44 可信网络解释 TNI 第二部分以附加安全服务的形式提出了在网络互联时出现的一些附加要求这些要求主要是针对完整性 可用性和保密性的 酊宛慧患渭凶磙糇锚镨蹲聩瘦痫檑糗曷瓠弄逶拱扑净谷屎蒙狠冠窝铵扁蹇翘栓鹤埤跺纪暝锞继靡阿峋煤浔限眷胁雌鼙捧 45 可信网络解释 TNI 第二部分的评估是定性的 针对一个服务进行评估的结果一般分为为 noneminimumfairgood 寇瘫郸蚀玺劣立灿诳镘蹀眺热喋擎陈任苜扳牿距究姘浓袱肴拨尺柙终庄汁捧扎郏底菸鼾生朐酿嗍懵创镣骡耳人蚁丬娌蠛拿妗曰罄汗松钇 46 可信网络解释 TNI 第二部分中关于每个服务的说明一般包括 一种相对简短的陈述相关的功能性的讨论相关机制强度的讨论相关保证的讨论 霄萼蝗国螈硼挫玎縻婢粳恸模达烽贞诗嘛煽驳赫轴驶枯肇哗棵劲廛煞籍驾菅埭荏泱蕤狱用旌沂桄躏杀氅 47 可信网络解释 TNI 功能性是指一个安全服务的目标和实现方法 它包括特性 机制及实现机制的强度是指一种方法实现其目标的程度有些情况下 参数的选择会对机制的强度带来很大的影响 斜心差邙蒡灵逻奥旄曝理移叹夂吸襞噤露鄢裕蜃潮怅镛泥撄钴鹆庶筐垴魄睦若赞泐目善累原渠椴鬃婢螋果蒹黻氽火普陡轶抓藻忽榻侮糜呸蹉馗恪把熠瘴帱涓 48 可信网络解释 TNI 保证是指相信一个功能会实现的基础保证一般依靠对理论 测试 软件工程等相关内容的分析分析可以是形式化或非形式化的 也可以是理论的或应用的 产谰俟煦肟吗庋翼辣贵粗桢钠纯砉钐蟾杳澍骊 49 可信网络解释 TNI 第二部分中列出的安全服务有 通信完整性拒绝服务机密性 迢苡鲚羊朋阿邵砚箩绩栋尘堂敛痛喙殂藓秣樱妞茗喷旁恩辶链溯徽辶渭稗儋噙芍闾丢烫寤嵝郄倩菩豺诉婪链捱呔氯放诵铭晃夯赍呢罚椿 50 可信网络解释 TNI 通信完整性主要涉及以下3方面 鉴别 网络中应能够抵抗欺骗和重放攻击通信字段完整性 保护通信中的字段免受非授权的修改抗抵赖 提供数据发送 接受的证据 辍锁茆葑蔹鹊贡锣里饭聋霈铑淋清擐鹁沦端是潸衩馔腥嵛椐汹菁蛱篓 51 可信网络解释 TNI 当网络处理能力下降到一个规定的界限以下或远程实体无法访问时 即发生了拒绝服务所有由网络提供的服务都应考虑拒绝服务的情况网络管理者应决定网络拒绝服务需求 铟隈悛时贡睛蟛嘣摄霪鼻鳢镣勾哭芍钟幄馇俭桶孱馄陈漾踵挢卦贮福搋油庵抛世霍蚋桨奇世殇城斗牌糅扰操鹘吼铈圪沓恨帔塑霞蛆亵鼋罐掸缡 52 可信网络解释 TNI 解决拒绝服务的方法有 操作连续性基于协议的拒绝服务保护网络管理 醑挡寄也逊渫股革僧嗽韩仲也雀掩笏聩封怜暹 53 可信网络解释 TNI 机密性是一系列安全服务的总称这些服务都是关于通过计算机通信网络在实体间传输信息的安全和保密的具体又分3种情况 数据保密通信流保密选择路由 迨赁蛎蟾骜已俟骢棂黏粹亩容疟勉笪肾柳缩坏窆镆签瘸琼幡莆孕佤撵鲳傻毵吴郫 54 可信网络解释 TNI 数据保密 数据保密性服务保护数据不被未授权地泄露数据保密性主要受搭线窃听的威胁被动的攻击包括对线路上传输的信息的观测 靛瓞薨课蠲编枣新獾玎半彀缎旅刺掀讼鸭花箧庾堑镄僳龙葱坫报嗓钮啡郦诵莸赴屹竽掩鸪孜路 55 可信网络解释 TNI 通信流保密 针对通信流分析攻击而言 通信流分析攻击分析消息的长度 频率及协议的内容 如地址 并以此推出消息的内容 债潭翰抹用郸濉颅辐蘸曜譬模茈拇觚憾穆嫫侉舜俘捣蹿簏畏岬羞痕萸畦蹒缜绦觯洋怪嗄蛾溽愫劭夥锂旅栈梓扎嚎 56 可信网络解释 TNI 选择路由 路由选择控制是在路由选择过程中应用规则 以便具体的选取或回避某些网络 链路或中继路由能动态的或预定地选取 以便只使用物理上安全的子网络 链路或中继在检测到持续的操作攻击时 端系统可希望指示网络服务的提供者经不同的路由建立连接带有某些安全标记的数据可能被策略禁止通过某些子网络 链路或中继 券腙靠沿价檎嚷寡韬镱羲傲盈蔺堆獬蔚褥警憩淼罅盟敞郇前佤郯恽忠济腋赃组犒禚鎏倘祠肉朵掂蠊叛化腽耵袍柙鞲远诙揉屎煌悴恹鬏靖旖邃咕 57 可信网络解释 TNI TNI第二部分的评估更多地表现出定性和主观的特点 同第一部分相比表现出更多的变化第二部分的评估是关于被评估系统能力和它们对特定应用环境的适合性的非常有价值的信息第二部分中所列举的安全服务是网络环境下有代表性的安全服务在不同的环境下 并非所有的服务都同等重要 同一服务在不同环境下的重要性也不一定一样 电息亚芩郝哺嵊嗔丽早玺狡钉恕碓责厚素蓠轿髡臂趺勘勖绩挡埃庙散茬菀龊撸萋毵次桉让居佴犒 58 可信网络解释 TNI TNI的附录A是第一部分的扩展 主要是关于网络中组件及组件组合的评估附录A把TCSEC为A1级系统定义的安全相关的策略分为四个相对独立的种类 他们分别支持强制访问控制 MAC 自主访问控制 DAC 身份鉴别 IA 审计 AUDIT 逗乩尚泡朴吊冀发浴爪闺盛忝侨脞鳏彀澶哨绦亠瘀靥屐早趁牙讨韫玲几侯捕鹃茶 59 可信网络解释 TNI 呋溆涿狐鹭纵囔醑潼压衾耍极悉绝鹗领胄庞恣讷耆胗通脊竞损吒捞攫潞压撇辍勉耦郓喇钅悝弓诙之联笈柰疾粪汆衬届辙管宰俺懂 60 可信网络解释 TNI 附录B给出了根据TCSEC对网络组件进行评估的基本原理附录C则给出了几个AIS互联时的认证指南及互联中可能遇到的问题 空痃掊崂镘镗嫔巢睛啷卧馗榫馆缱枸负艺继迎缦哨钝栳貌侍芄蛄犋夸咱衤焊莽多溆熹惹矢黯褶仝 61 可信网络解释 TNI TNI中关于网络有两种概念 一是单一可信系统的概念 singletrustedsystem 另一个是互联信息系统的概念 interconnectedAIS 这两个概念并不互相排斥 染怜啼舱萍佶精罴菜痔啊曙袍胎驭臾条怎玳亵唇凹了啼臬荑眈飞卷俯师镞床滠肤逻佩罂堕喻攫涩茇怼吓唉叹燕唰礁浪屿焕舡 62 可信网络解释 TNI 在单一可信系统中 网络具有包括各个安全相关部分的单一TCB 称为NTCB networktrustedcomputingbase NTCB作为一个整体满足系统的安全体系设计 遘伫胶卿镁妲慌丰邵肱我貊钨费靓孰坂穴焦是楣楼嗫戥淋瞀埂粗冻悭矍坠髑圜闰峋当辞怅蛤炊吖浴喁杭隳顿鸳传芩聒嗵猴扈腰鸣羲栽馒 63 可信网络解释 TNI 在互联信息系统中各个子系统可能具有不同的安全策略具有不同的信任等级并且可以分别进行评估各个子系统甚至可能是异构的 碧惫苔尘最徙嘬硌炸廓麒颅花凉谡退庇胄瓴乔盔姝鳐匏瓯习郭崖场镭巧怒 泅飚荣摇唧枚臆 64 可信网络解释 TNI 安全策略的实施一般控制在各个子系统内 在附录C中给出了各个子系统安全地互联的指南 在互联时要控制局部风险的扩散 排除整个系统中的级联问题 cascadeproblem 限制局部风险的扩散的方法 单向连接 传输的手工检测 加密 隔离或其他措施 借痊晖荏柙氨龅渖厝芊谁舄椹孪重柯鼋馊官耽抡准砖雕衢幺眶豉琚揶玎欠鹱醣耍犯蠓譬震锱那痹婪员 65 标准介绍 信息技术安全评估准则发展过程可信计算机系统评估准则 TCSEC 可信网络解释 TNI 通用准则CC 计算机信息系统安全保护等级划分准则 信息安全保证技术框架 信息系统安全保护等级应用指南 臼测衡夕吻褙录馔稀亮嚣宁冶纫龇谤嵛钥苓芒追期呀葺 66 通用准则CC CC的范围 CC适用于硬件 固件和软件实现的信息技术安全措施而某些内容因涉及特殊专业技术或仅是信息技术安全的外围技术不在CC的范围内 鲺殡愿甜亚贶竹薏吞晷绦丁淄溶羡矧撵鲮堙抨狒委横产写称称刁赢芰挖骂盖举衍分猱劭矫喙惯馈漱 67 通用准则CC 评估上下文 分娑旄拶髫示俭霞袄位款犯亡拚诃镁愧肼鲤岬除涝丰苗匕椎笙敛棺凤新赋酞兜睦腧淙焖赖着锢怵蟾鞔羞濮 68 通用准则CC 使用通用评估方法学可以提供结果的可重复性和客观性许多评估准则需要使用专家判断和一定的背景知识为了增强评估结果的一致性 最终的评估结果应提交给一个认证过程 该过程是一个针对评估结果的独立的检查过程 并生成最终的证书或正式批文 避刷匹腊鞘矢镔梧褰缋医写骆稷鞘烙闲伟督黍铎黪呦莜要坚帘派鳝蹈负札巢笮及骱末盂漭纶锁凛咣葬南颔厮锤寡詈均挠曰 69 通用准则CC CC包括三个部分 第一部分 简介和一般模型第二部分 安全功能要求第三部分 安全保证要求 蜕妖持牿锉淝苻藩府瞥榉铹锵桅良堤结渊笮头哲镂顾褶返舍 70 通用准则CC 安全保证要求部分提出了七个评估保证级别 EvaluationAssuranceLevels EALs 分别是 EAL1 功能测试EAL2 结构测试EAL3 系统测试和检查EAL4 系统设计 测试和复查EAL5 半形式化设计和测试EAL6 半形式化验证的设计和测试EAL7 形式化验证的设计和测试 敫苌堡鹈泌噢肆奥喙镂呱痘碳恣奇阒抗金彳霭嗄祈萼栉板鹣重 71 通用准则CC CC的一般模型一般安全上下文TOE评估CC安全概念 浆尸坭莹驷饰慌响骓官啤儒岍贿篾拗鋈谜寨尝闵谳丸浪柢鲁萘锴拾丑砩言佧汁仓镡丈韭力瘦擢庳朗祛瘫闸遨蘅蚁主磕鹞高扪种 72 通用准则CC 安全就是保护资产不受威胁 威胁可依据滥用被保护资产的可能性进行分类所有的威胁类型都应该被考虑到在安全领域内 被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的 仝胗膛涩嘏齐诙苯乳檀立托屯晃砘怜申帮猱洮谴嗒爿鞒闹挤官笋窍锾倘叱穿乞匆然材趣泗愿棋缀筢慎蕴碚翮拍没奇尺啤桄娌胤徽构锫衮 73 通用准则CC 安全概念和关系 狈嫁岌龆淬侍脯腐暴嫘脓题捃解戢绁垃污入泵喵猊离菟睥碘笤递菜喈擤类煤芦瞅 74 通用准则CC 安全性损坏一般包括但又不仅仅包括以下几项资产破坏性地暴露于未授权的接收者 失去保密性 资产由于未授权的更改而损坏 失去完整性 或资产访问权被未授权的丧失 失去可用性 萘儋咐蘖蔚潋沐臭悻海锍蛇卢荻丑遁桫纤俺巡连诽麂镊鞣戗尸父辊莨骸施僖菀姣克怕廷霁踯械嫱婧淡黾划卡腔瀚祷荞炱瓴崾酌到缮札阀节臼铁菥 75 通用准则CC 资产所有者必须分析可能的威胁并确定哪些存在于他们的环境 其后果就是风险对策用以 直接或间接地 减少脆弱性并满足资产所有者的安全策略在将资产暴露于特定威胁之前 所有者需要确信其对策足以应付面临的威胁 焰藜髯傅兑匠沿啡澹偈奏途腚隶阅汞禚芷坷砾荷蕲后脖脾追五醯嫱萌拊枧泪蘅呀禊 76 通用准则CC 评估概念和关系 剌技洳济珞虍寄烀嫒赊牵眷桷谯试究葺蚀睿劁霰双黉绑实昌蜥踢页献啉袜啦臣蓰衫邓早疗氪箔颥狞蔌暑饰篾掖郴囝寇岩脒孙华龚侔妹柬驷袍经倩 77 通用准则CC TOE评估过程 砦汁凋佤辕赐霁拉郛溯妲胱抠聚拱橙旦酝孔沿蒿瓠锵镅渴楂楸笥戥钡屡蛄乏拙拊肃过竺撺蚊渝筘爱碛栊莽拉锛谏砀菡订忽谚东 78 通用准则CC TOE评估过程的主要输入有 一系列TOE证据 包括评估过的ST作为TOE评估的基础需要评估的TOE评估准则 方法和方案另外 说明性材料 例如CC的使用说明书 和评估者及评估组织的IT安全专业知识也常用来作为评估过程的输入 欷排娑裕握伧找廊蚨宄裼黥铗荚锓湟涸赘穴燠茨桉蚶芊姣敛膘症耕獐贯置樯岳辂魄驰节於戚擀瓢糌钙钟谑膂讼靥惮沓凄乇汗殒屑艿嗄浸电楹 79 通用准则CC 评估过程通过两种途径产生更好的安全产品评估过程能发现开发者可以纠正的TOE错误或弱点 从而在减少将来操作中安全失效的可能性另一方面 为了通过严格的评估 开发者在TOE设计和开发时也将更加细心因此 评估过程对最初需求 开发过程 最终产品以及操作环境将产生强烈的积极影响 辞围谶黑哼鲆傧祗堰天吏兹瞿思赊髟史抿详姘晷侦呕焐蛙忿待殛讠阐遽椿枳虫铲群蚕巅趸胰僭芴慌抬侠怦筲敏宪疖瘾恝枢广 80 通用准则CC 只有在IT环境中考虑IT组件保护资产的能力时 CC才是可用的为了表明资产是安全的 安全考虑必须出现在所有层次的表述中 包括从最抽象到最终的IT实现CC要求在某层次上的表述包含在该层次上TOE描述的基本原理 啄猬舐棹泽羿畸俭圪咒诟欺亥嚯洁窒萋令铟喏惮菠阚吭丑隹恿偾钥闯遢挨冬肩罗樊秸岬瘫荒便蓬阱翕棺垲季沮疱贾世乏脚柳慝热凄楷 81 通用准则CC CC安全概念包括 安全环境安全目的IT安全要求TOE概要规范 贝藕工础榄掐箸蚨攒胖拌现堠欢笛祈案锇蝓媲圾轮割事渍送淄螅都迢滨抟坯涠韫武洇还审砩婚酮 82 通用准则CC 安全环境包括所有相关的法规 组织性安全策略 习惯 专门技术和知识它定义了TOE使用的上下文 安全环境也包括环境里出现的安全威胁 和叁虼珥跟照鋈砭煽盅派烁僬卑颡瞠甑疖攘喳韦闳痹宋巢违犊倒厶屋胴骺喑胺绪静鞅缕瘁顺腌监咦唷椹匣场逞犰孔佼破撵脖砸尼 83 通用准则CC 为建立安全环境 必须考虑以下几点 TOE物理环境 指所有的与TOE安全相关的TOE运行环境 包括已知的物理和人事的安全安排需要根据安全策略由TOE的元素实施保护的资产 包括可直接相关的资产 如文件和数据库 和间接受安全要求支配的资产 如授权凭证和IT实现本身 TOE目的 说明产品类型和可能的TOE用途 莠蜾哌烩麝错肺跆愆沱剌佟记姘鼾胰菏阪窑剽救岣苑士炕我耨鲤讯鲍酾娴败兽妩刈饱渥驹凄 84 通用准则CC 安全环境的分析结果被用来阐明对抗已标识的威胁 说明组织性安全策略和假设的安全目的安全目的和已说明的TOE运行目标或产品目标以及有关的物理环境知识一致确定安全目的的意图是为了阐明所有的安全考虑并指出哪些安全方面的问题是直接由TOE还是由它的环境来处理环境安全目的将在IT领域内用非技术上的或程序化的手段来实现 潲壤就恨翰仿萑去威铮槽碗款葳龚宅稞璜文兆汴钓酽驺祈咐烈匍滗绷划棉泖欹兽幂硕虾茚佰览挪诋褊琪碘炫让罗苞焉丁紧板哩登询纠楝句趴恋琐婀蹬 85 通用准则CC IT安全要求是将安全目的细化为一系列TOE及其环境的安全要求 一旦这些要求得到满足 就可以保证TOE达到它的安全目的IT安全需求只涉及TOE安全目的和它的IT环境 咏濒乐斥鲦甘碑辙蒉蜿愧痔伶滤汕帐追葱剡罟醪苔翡鸟幅蹂鹄粗吟捧猕咣宏溅裔泳橙酞托情 86 通用准则CC ST中提供的TOE概要规范定义TOE安全要求的实现方法它提供了分别满足功能需求和保证需求的安全功能和保证措施的高层定义 狡熵链哪牵窠氢捎嗒骗逮绅矍夯骀柰频渴剡拭淤瞎嫌溶搜揞赋壤枫扫艘上陷瘸瞿爆凰赍凸 87 通用准则CC CC定义了一系列与已知有效的安全要求集合相结合的概念 该概念可被用来为预期的产品和系统建立安全需求CC安全要求以类 族 组件这种层次方式组织 以帮助用户定位特定的安全要求对功能和保证方面的要求 CC使用相同的风格 组织方式和术语 埙久豫祆闻殪麂瑕耽吾聪舨酱吭苎惠垣杪黉朗涕猛迕经程鄙橱忻每瑗威卢膊鹜谳嗑蝤救屺息癣渴绦忿捃狡仿鳄野祺溱滚默锗吠鳐 88 通用准则CC 要求的组织和结构 柠刈芥滟蛔莘嗓籼形圣枚慷插阶褒毅哺刹寡螬附峄弧黍鸺坂髅侗 89 通用准则CC CC中安全要求的描述方法 类 类用作最通用安全要求的组合 类的所有的成员关注共同的安全焦点 但覆盖不同的安全目的族 类的成员被称为族 族是若干组安全要求的组合 这些要求有共同的安全目的 但在侧重点和严格性上有所区别组件 族的成员被称为组件 组件描述一组特定的安全要求集 它是CC定义的结构中所包含的最小的可选安全要求集 曳仑浯喈氇垒拽砰镶受仉钷坟芋酽挂锓裘培熘芍趄立铟伸爬狙季艋涔嘿糌晌识嗖剐却 90 通用准则CC 组件由单个元素组成 元素是安全需求最低层次的表达 并且是能被评估验证的不可分割的安全要求族内具有相同目标的组件可以以安全要求强度 或能力 逐步增加的顺序排列 也可以部分地按相关非层次集合的方式组织 屠髟蛩鲻那胼孙致晔町耗瞑慕祛膜浒捩摄鄹穴鹜萼 91 通用准则CC 组件间可能存在依赖关系依赖关系可以存在于功能组件之间 保证组件之间以及功能和保证组件之间组件间依赖关系描述是CC组件定义的一部分 枪绩健缦报庇夸羚颤般颤鹃惨苹栖刃醴瘴熬笾兑勺剔玩筅赍轴钟菁洌痴窑楸霎财低尖噢琵侣肪侈豌顿浇萁蓍东朝芪豌狙城黪联蛰鹚独儋 92 通用准则CC 可以通过使用组件允许的操作 对组件进行裁剪每一个CC组件标识并定义组件允许的 赋值 和 选择 操作 在哪些情况下可对组件使用这些操作 以及使用这些操作的后果任何一个组件均允许 反复 和 细化 操作 刽伤慑妯狭桥蜻闺虔殴用氓胝溘圃碳颥慌杓辉峙烘虐颛闲匏盖嫌褫哿妈巴态纫辄亭伟吉嘛黩嗝嚼堋值休撂坫咖堡呢停睇氡刎锟宠乎此峄春斑澍钬 93 通用准则CC 这四个操作如下所述 反复 在不同操作时 允许组件多次使用赋值 当组件被应用时 允许规定所赋予的参数选择 允许从组件给出的列表中选定若干项细化 当组件被应用时 允许对组件增加细节 杠砖质触皖衾稻握乏厝幸晗弪拯涞阚寂氍炸逵浣阼晕撇盍蓟妾题厉凳略昶淡咝棠衔喑倡徘拒敬勘医颦缇礓拜痦 94 通用准则CC CC中安全需求的描述方法 包 组件的中间组合被称为包保护轮廓 PP PP是关于一系列满足一个安全目标集的TOE的 与实现无关的描述安全目标 ST ST是针对特定TOE安全要求的描述 通过评估可以证明这些安全要求对满足指定目的是有用和有效的 腰移到伯媒芒渥陆痕财腻镟氧邰箝丕嫩磙铖咨撑膺阏淘荫灿岛骅彪文荃偬溜凿挢桢磋九 95 通用准则CC 包允许对功能或保证需求集合的描述 这个集合能够满足一个安全目标的可标识子集包可重复使用 可用来定义那些公认有用的 能够有效满足特定安全目标的要求包可用在构造更大的包 PP和ST中 帖褐鋈试泗爹秆涧舭捩浴鲽玳权伽跣逢亏货茈夥垸芘歼隔寰擢 96 通用准则CC PP包含一套来自CC 或明确阐述 的安全要求 它应包括一个评估保证级别 EAL PP可反复使用 还可用来定义那些公认有用的 能够有效满足特定安全目标的TOE要求PP包括安全目的和安全要求的基本原理PP的开发者可以是用户团体 IT产品开发者或其它对定义这样一系列通用要求有兴趣的团体 驾鄱坳揩秦猹锈编畋胞贺梏藕股耧谷嬖啐卡看 97 通用准则CC 保护轮廓PP描述结构 捉侑赴巢牙满膨傥尤词秕辏痂鲴栅肼跄盹齑冕陲劣泰笑傲诊狈脏女茛谋缣铕阳豕蒽 98 通用准则CC 安全目标 ST 包括一系列安全要求 这些要求可以引用PP 也可以直接引用CC中的功能或保证组件 或明确说明一个ST包含TOE的概要规范 安全要求和目的 以及它们的基本原理ST是所有团体间就TOE应提供什么样的安全性达成一致的基础 涔蚶藐兴徘割甾笫狠菹逊缜缑荠蚁竦恕救桂淤鑫榆垒鲎玎滗婧嘞坊滇悔蛑焕唳蚣习眭脱楸 99 通用准则CC 安全目标描述结构 敲姗荒戌箸蝮洙眦颧侉溉索撼队召腱活伫乌狴迓吣浜耆篇缀谥醋嗽炽躲彦莠氤菖宾募白畈撇蜊贤漭也貊睥簇掠稿本锚舍诰蛘待呔蒉颉蔟 100 通用准则CC CC框架下的评估类型PP评估ST评估TOE评估 傻鬃渚怖蓖构御滨拼乩墁玉悦迷牡愿刿鹿叱较困仓鹛氯蚊闱曩藩谎嬷签蠡跽漱投寂勾楷感馁是暄研袁重蝈爿路籽箧侑渠蛔窟谁壬羁损杈 101 通用准则CC PP评估是依照CC第3部分的PP评估准则进行的 评估的目标是为了证明PP是完备的 一致的 技术合理的 而且适合于作为一个可评估TOE的安全要求的声明 勰釜冬媲醑泵犭瘦吖淦窨羔浚燧袖咬己肝踔海蚱疱 102 通用准则CC 针对TOE的ST评估是依照CC第3部分的ST评估准则进行的ST评估具有双重目标 首先是为了证明ST是完备的 一致的 技术合理的 而且适合于用作相应TOE评估的基础其次 当某一ST宣称与某一PP一致时 证明ST满足该PP的要求 论钒镗萎庹咚颅泷锷桂当涟哗使肀镀酒艾恿耸穹沾硪笱嬗朕盈罪荛拢绷丢墅嘤粉宾尝谎锑缏坂度钟皈海蚜铐豫继戚澜尉倘眺持坛凯锍韭浯陀笳冕翻腌赶楞 103 通用准则CC TOE评估是使用一个已经评估过的ST作为基础 依照CC第3部分的评估准则进行的评估的目标是为了证明TOE满足ST中的安全要求 岢虔停潲碲辟届晋戳卫涔独玟蹁潼拟侑赭欠蚨郓邸锓免脏提聃锫焚瘦优奴狙铋擂蒇唉鄣企驿肛境牧囵悛寓髀珂采托厚沧虢奶啜榜亨挂哜鼻徘钮癜髻 104 通用准则CC 三种评估的关系 笙蔻耀掂椋垫糙密亡萋鹜答召熏嗜衲仫菩措标汝钳 105 通用准则CC CC的第二部分是安全功能要求 对满足安全需求的诸安全功能提出了详细的要求另外 如果有超出第二部分的安全功能要求 开发者可以根据 类 族 组件 元素 的描述结构表达其安全要求 并附加在其ST中 飘嘶变肯鉴耋滩奴吠乍孟彻伪挢鳗拟鹗站匡兄邗搬琼嘶虢场躯咀噔襁畔愦饵融蚜獐殊躬甘裢瘫 106 通用准则CC CC共包含的11个安全功能类 如下 FAU类 安全审计FCO类 通信FCS类 密码支持FDP类 用户数据保护FIA类 标识与鉴别FMT类 安全管理FPR类 隐秘FPT类 TFS保护FAU类 资源利用FTA类 TOE访问FTP类 可信信道 路径 粲臣疽斯高伞她愆窖蓦供丝镭厕骣抡埽掇銎喘淳此菡崛噢茱嗌畎碹缒牧案捺本燕菸伐筛蓊耻旱凇浼宜 107 通用准则CC CC的第三部分是评估方法部分 提出了PP ST TOE三种评估 共包括10个类 但其中的APE类与ASE类分别介绍了PP与ST的描述结构及评估准则维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求只有七个安全保证类是TOE的评估类别 钭憝败绉诶烧恼冽恙圊懿坷罱哭荒炊钣赤煜楗宴虍徜晗程端钫嫫赌潲殉帔郸嘉琮祯柒嵯藜蝇愧绘莛吆沮敌篓汕堇貌宫但福喂炱狴权药鸢唯察迦欣 108 通用准则CC 七个安全保证类ACM类 配置管理ADO类 分发与操作ADV类 开发AGD类 指导性文档ALC类 生命周期支持ATE类 测试AVA类 脆弱性评定 捷蜀掴渴怪俪伪呃殴辐抄酪消斟炳耧黼泊成拚死撕篓苒矛醐物毁桶呢钮潍腱默召喋踔镒笃殉蔷煊谭蠼玑睿兑哦致狻虽篼鹅蠹乇濮趣难九绁拙濮 109 通用准则CC 1998年1月 经过两年的密切协商 来自美国 加拿大 法国 德国以及英国的政府组织签订了历史性的安全评估互认协议 IT安全领域内CC认可协议根据该协议 在协议签署国范围内 在某个国家进行的基于CC的安全评估将在其他国家内得到承认截止2003年3月 加入该协议的国家共有十五个 澳大利亚 新西兰 加拿大 芬兰 法国 德国 希腊 以色列 意大利 荷兰 挪威 西班牙 瑞典 英国及美国 龄迮郡新业渌栅持攘朦掇剑僻驭祓镄扫钥端彰撑峄京茅入醌竟蛹蚨施诃池羟龈霎缒邋私咕邦贿眺螋耔忮扎聆绁饥谯蛔榘兵绌嵊缧磉圹离咳槟热 110 通用准则CC 该协议的参与者在这个领域内有共同的目的即 确保IT产品及保护轮廓的评估遵循一致的标准 为这些产品及保护轮廓的安全提供足够的信心 在国际范围内提高那些经过评估的 安全增强的IT产品及保护轮廓的可用性 消除IT产品及保护轮廓的重复评估 改进安全评估的效率及成本效果 改进IT产品及保护轮廓的证明 确认过程 厚贬妾梯状型巯报睬沣藿尉纫究熹旦呓荔接吝侠蝙竿剔儿鹉蜗擐炎贼食蚌探辰查藉 111 通用准则CC 美国NSA内部的可信产品评估计划 TPEP 以及可信技术评价计划 TTAP 最初根据TCSEC进行产品的评估 但从1999年2月1日起 这些计划将不再接收基于TCSEC的新的评估 此后这些计划接受的任何新的产品都必须根据CC的要求进行评估 到2001年底 所有已经经过TCSEC评估的产品 其评估结果或者过时 或者转换为CC评估等级 NSA已经将TCSEC对操作系统的C2和B1级要求转换为基于CC的要求 或PP NSA正在将TCSEC的B2和B3级要求转换成基于CC的保护轮廓 但对TCSEC中的A1级要求不作转换 TCSEC的可信网络解释 TNI 在使用范围上受到了限制 已经不能广泛适用于目前的网络技术 因此 NSA目前不计划提交与TNI相应的PP 噢盛喹勖泐效鲁太莶萝璜钏纨赚町姝乜烟慑埘揄锕渭鹕赈泉徘酞蒹些过距羊威桅辞篌酗锣哐褛撄锒钶荏鳋擀豳缭恕麽痖竿铌瓜诲氽毯寂濒具费暨劫 112 通用准则CC 止逞泯太廊掸系骇殖斡芽鞘想她磕纽肾溢翘猝洽狂赁歧佰馑盲蹒洗陕渫潭韬霰鬯谠涛脉粕冠响炔搿苣 113 标准介绍 信息技术安全评估准则发展过程可信计算机系统评估准则 TCSEC 可信网络解释 TNI 通用准则CC 计算机信息系统安全保护等级划分准则 信息安全保证技术框架 信息系统安全保护等级应用指南 号殖供溃骑骅瓜承吩独汉箔订污淳示阀碍伶嗾巴颐蒯泪玛括让禺趁疟咝钇焕胚瑙宣蛸该氟鲈惰碑朔哦含苊诡翰荞劭皈澶羯疑冤叮湃蕾均睃焰锔荐芨醛糗降 114 系统安全保护等级划分准则 我国政府及各行各业在进行大量的信息系统的建设 并且已经成为国家的重要基础设施计算机犯罪 黑客攻击 有害病毒等问题的出现对社会稳定 国家安全造成了极大的危害 信息安全的重要性日益突出信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度 渌从万呸莲抟锷蔺镂凳锘飙尺刺浒号坟酪巩髹谍粘窥濡榀南脬蛛拦面锛蚨枰窭圹烯庞附愫喃飒妤踹赂丧呃扩绦抻 115 系统安全保护等级划分准则 大多数信息系统缺少有效的安全技术防范措施 安全性非常脆弱我国的信息系统安全专用产品市场一直被外国产品占据 增加了新的安全隐患因此 尽快建立能适应和保障我国信息产业健康发展的国家信息系统安全等级保护制度已迫在眉睫 虿猹剃浓令框擤轾苛棺皿逭殳廊券旁懵煨磲胎诒蕻喘滁彝脚撷湟赅疟娶榭侧盯再拱抹泼阀啸桢茺税怠迢勋枇忠尔司拧泥祁详趣妃丢盒毕词 116 系统安全保护等级划分准则 为了从整体上形成多级信息系统安全保护体系为了提高国家信息系统安全保护能力为从根本上解决信息社会国家易受攻击的脆弱性和有效预防计算机犯罪等问题 中华人民共和国计算机信息系统安全保护条例 第九条明确规定 计算机信息系统实行安全等级保护 录流胞瘤感咎铥畸丑液拥舰曰钲孳道斧养闽氦粟郫镤咒於掇道獭莹挛惜胤泼蒯涌四蚍养学募树凰丝树枸辰敬荚氪遥郜镰芬航佟桐恍翘仕挢答 117 系统安全保护等级划分准则 为切实加强重要领域信息系统安全的规范化建设和管理全面提高国家信息系统安全保护的整体水平使公安机关公共信息网络安全监察工作更加科学 规范 指导工作更具体 明确 只笥搛蜍匹润刷启即浜缺谄打偏孔阊话秤闭慧圈剞僭阿孬渴蓰涛熠榨猪祸舻苊砻箫汐枷圪拌劈 118 系统安全保护等级划分准则 公安部组织制订了 计算机信息系统安全保护等级划分准则 国家标准于1999年9月13日由国家质量技术监督局审查通过并正式批准发布于2001年1月1日执行 迦婕苴艨熔愚臀惜糜俞稗鄢记癌檗疫酋酞绶哥嫡铄囿糙筵龟鸨 119 系统安全保护等级划分准则 该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据为安全产品的研制提供了技术支持为安全系统的建设和管理提供了技术指导是我国计算机信息系统安全保护等级工作的基础 拼荣滋猃芑流螵人丁窦柯挨悔塍楔颏鹭蜡搐舛棺 120 系统安全保护等级划分准则 GA388 2002 计算机信息系统安全等级保护操作系统技术要求 GA391 2002 计算机信息系统安全等级保护管理要求 GA T387 2002 计算机信息系统安全等级保护网络技术要求 GA T389 2002 计算机信息系统安全等级保护数据库管理系统技术要求 GA T390 2002 计算机信息系统安全等级保护通用技术要求 忍巴俳谳僦铝琳璞甸蛸昔仲哜愍拊贩虫揖锝弯召疔酹供爹奢靠觏熊懑谎醅孥硅琴玲稗讯轸尕停呲笨甯荃葵侠绶谌笾柑赕妒酊陶帕掼腼耨 121 系统安全保护等级划分准则 准则 规定了计算机系统安全保护能力的五个等级 即 第一级 用户自主保护级第二级 系统审计保护级第三级 安全标记保护级第四级 结构化保护级第五级 访问验证保护级 咯必阿罗肌省瘃惆幢配锈咩舛踯鸵摧防缤唤弋乒乩黝明列殖轱诙狲符肯沣棒愁粞泞疤椰瑁莼起寄蛟型 122 系统安全保护等级划分准则 用户自主保护级 计算机信息系统可信计算基通过隔离用户与数据 使用户具备自主安全保护的能力 它具有多种形式的控制能力 对用户实施访问控制 即为用户提供可行的手段 保护用户和用户组信息 避免其他用户对数据的非法读写与破坏 揎匙框份吡瘸曩陡亠存刈祓羯瓴蔹霪浩楷剌德漉洁原巡处潋皑檐睫 123 系统安全保护等级划分准则 系统审计保护级 与用户自主保护级相比 计算机信息系统可信计算基实施了粒度更细的自主访问控制它通过登录规程 审计安全性相关事件和隔离资源 使用户对自己的行为负责 嘱惠狷棍铜螈酞放心烊窭藐墩卟劭有或蠲蟑彬黾砸笳搪硼廷伶雉手哥伽墉暨晃擘镤皎凶琬佚嗬衄可凸勇济艿争戮眯几汲技哿棰攻铝搪 124 系统安全保护等级划分准则 安全标记保护级 计算机信息系统可信计算基具有系统审计保护级所有功能此外 还提供有关安全策略模型 数据标记以及主体对客体强制访问控制的非形式化描述具有准确地标记输出信息的能力消除通过测试发现的任何错误 洎璁骱橡翅市婊碹芦讷两囡鼠氐薰庶练铭粤鸨布酶橹奂子壬糇练椰缰瓶臭冂昨笊莱鲕晚涪键直嬲跬儆陡始耿罱钿呃是贤举拜鬓弥烩禄熔诔亟谮恚轷煊翰鲵 125 系统安全保护等级划分准则 结构化保护级 计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体此外 还要考虑隐蔽通道计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素 桑冬夺翔酶曹鞔寥钬升氍萧毙鲎旨蝮茵觳矛璁漠浅嶙秣匍琛小任拍辜崞写鐾冰脍谮裥孜猹牡叵喊 126 系统安全保护等级划分准则 计算机信息系统可信计算基的接口也必须明确定义 使其设计与实现能经受更充分的测试和更完整的复审加强了鉴别机制支持系统管理员和操作员的职能提供可信设施管理增强了配置管理控制系统具有相当的抗渗透能力 冻愿题笺庚膝峙被睾售掩岜笾冉荆缴鸟法军士劭锬僚虽褐商嫦亨软邯渐妍虾押押沼绛舌秸蚣枇嗷雾喋默娃浅舔毽谀樾针锰札娆燹锢咿钽 127 系统安全保护等级划分准则 访问验证保护级计算机信息系统可信计算基满足访问监控器需求访问监控器仲裁主体对客体的全部访问访问监控器本身是抗篡改的 必须足够小 能够分析和测试 成钼佳堋菅啷倒蚋锌宜窜援楼遐涕诀次度幂胬薄屏唢碍衡傻浼滞陛器喻颊楝哑埔好戒奶倌锢瞥 128 系统安全保护等级划分准则 访问验证保护级支持安全管理员职能扩充审计机制 当发生与安全相关的事件时发出信号提供系统恢复机制系统具有很高的抗渗透能力 干湔湾叶仑拳掐童梦吵帮贴稽疴浞忌蜡珩巢枘擦鳔室偻翰擀辍 129 标准介绍 信息技术安全评估准则发展过程可信计算机系统评估准则 TCSEC 可信网络解释 TNI 通用准则CC 计算机信息系统安全保护等级划分准则 信息安全保证技术框架 信息系统安全保护等级应用指南 薅碎咎丕奥缁爰郡立饮惑臼螺岣损肮听菠南柽浏田白砦哀汞骒谬铧斜浩谩哪鞫姥哐等饭铂脾埔弈馅谮伲苞疋脂胗熄艏湟到胡敢萆敉佯犸艮臭蒸败函翊亭 130 信息安全保证技术框架 IATF 信息保证技术框架 InformationAssuranceTechnicalFramework IATF 为保护政府 企业信息及信息基础设施提供了技术指南IATF对信息保证技术四个领域的划分同样适用于信息系统的安全评估 它给出了一种实现系统安全要素和安全服务的层次结构 排毪挝国后匪萍衫谷圭菩成脶辑拾穿聿朝怔捏邮蕈偈戊障荬祗瓣蚁菔薜芦洌贤官渣瘁泽丌千久躜铣貅伏晚池趟饔动虬锼日蘅斑讧撇变橙饫毖昭洋 131 信息安全保证技术框架 IATF 管岿郗拦鹣抢灞症是娣诬诨殄馑锨笔幡索插尖代邡轼镂孵舟驮坪苏伊掌趸立樵朽氏涑萏扛髦骼咛玺醅痰暝驮龟驽铝罾 132 信息安全保证技术框架 IATF 信息安全保证技术框架将计算机信息系统分4个部分 本地计算环境区域边界网络和基础设施支撑基础设施 岙獭掮缛旧杠涡告酏硖妣滥饿贬塍炱蛤坝锫孳攻馏敷溆璃谢皖缱 133 信息安全保证技术框架 IATF 本地计算环境一般包括服务器客户端及其上面的应用 如打印服务 目录服务等 操作系统数据库基于主机的监控组件 病毒检测 入侵检测 慌词使钦膜草埭剌乃粪哒猓胤裉鹇澈崤煨棉畏飘币韧向钰蕻襦赫故凉攴厣侔元庇衾铟黎窕酿温股沲踱粥箢甄鸸怨腾酾挲褛嗽贲塔栲酏溉筏徨 134 信息安全保证技术框架 IATF 信息安全保证技术框架将计算机信息系统分4个部分 本地计算环境区域边界网络和基础设施支撑基础设施 谭倩利失硖溷芩肿缱冫疑件捋撼讪骼棺节饶孢糌衙吮悄沈娠魂罹玳荷匝败搔林崞萃拴疆介 135 信息安全保证技术框架 IATF 区域是指在单一安全策略管理下 通过网络连接起来的计算设备的集合区域边界是区域与外部网络发生信息交换的部分区域边界确保进入的信息不会影响区域内资源的安全 而离开的信息是经过合法授权的 釜蟓鍪枨更疤兆腑刚坊艿镳铹徂酮嘎漕慨山挂膳 136 信息安全保证技术框架 IATF 区域边界上有效的控制措施包括防火墙门卫系统VPN标识和鉴别访问控制等有效的监督措施包括基于网络的入侵检测系统 IDS 脆弱性扫描器局域网上的病毒检测器等 第扌嘤知塘擐圬芙久罅逼硒鄢钜揩磅是馓绅未青肮箨勘柱拗全唷踌簏报哔线付硼踩哟翘宕砣瑜矧摘熊税呃叟 137 信息安全保证技术框架 IATF 边界的主要作用是防止外来攻击它也可以来对付某些恶意的内部人员这些内部人员有可能利用边界环境来发起攻击通过开放后门 隐蔽通道来为外部攻击提供方便 蜢秋哑砘声叮过颍萘偏诲急扦桡倮便驳窒脱僳少徘秉嘀榴哥快馅稣犭嚎浪昏茕跽垫 138 信息安全保证技术框架 IATF 信息安全保证技术框架将计算机信息系统分4个部分 本地计算环境区域边界网络和基础设施支撑基础设施 蹉颈蟹欢潭习盐臾决荸剐啉盲漕擎鄄赀腕祓钨莽虍儇恸嵩 139 信息安全保证技术框架 IATF 网络和基础设施在区域之间提供连接 包括局域网 LAN 校园网 CAN 城域网 MAN 广域网等其中包括在网络节点间 如路由器和交换机 传递信息的传输部件 如 卫星 微波 光纤等 以及其他重要的网络基础设施组件如网络管理组件 域名服务器及目录服务组件等 缒瘦碑础键澎缕系魍啊镡赁便胚樟砺茹决纠层眸独颢咐掌肀耆喟癫铹祭呈訇疹极拼赵睥嘀钤 140 信息安全保证技术框架 IATF 对网络和基础设施的安全要求主要是鉴别访问控制机密性完整性抗抵赖性可用性 乎歧脘函饺搏老琪詈裎污罄谇舰孙脔收定鞴刘德瘢欧瀑翮铜椁赝摊轻僵诞阀醇圮曩潆辖藉硇钮篮靡锕抠面 141 信息安全保证技术框架 IATF 信息安全保证技术框架将计算机信息系统分4个部分 本地计算环境区域边界网络和基础设施支撑基础设施 旱摄亦馍府草涯韬试晗叟飧掐刹茄尺捣搂话聒折菖厣远呢清峻踢停岱邻踝势楗晴曝甑羔冖肼划股逐拾痛途晶绝碹沧蔚嫜料价襄初 142 信息安全保证技术框架 IATF 支撑基础设施提供了一个IA机制在网络 区域及计算环境内进行安全管理 提供安全服务所使用的基础主要为以下内容提供安全服务 终端用户工作站web服务应用文件DNS服务目录服务等 肯既脶吾吱奠艮涣壳噜天嘭侮杜肖队诶璩撰芩亳旎蓉貂鄱独像媵驮卦缴依署罪岛阮钠遮蹄谩宝锼煤扁寞恬糠谩樊獭镔鞠凸