《信息安全测评技术》PPT课件.ppt

信息安全测评技术 姓名 衣秀学号 S309060145 主要内容 信息安全测评的概念及发展 信息安全测评技术 可信计算机系统评估准则 信息安全评估通用准则 我国信息安全测评情况 信息安全测评概念 信息安全测评是指对信息安全模块 产品或信息系统的安全性等进行验证 测试 评价和定级 以规范它们的安全特性 信息安全测评 又称信息安全测试与评估 作为信息系统安全工程过程 ISSE 中的关键环节 在整个信息系统的生命周期中具有十分重要的作用 关系到信息系统安全建设的成败 信息安全测评的对象从传统的通信系统 操作系统 网络系统发展到涵盖技术和管理在内的完整的信息安全保障体系 信息安全测评与具体信息安全特性的分析与测试 前者一般指在方案 规程或表转指导下实施的一系列措施 后者一般指一个具体的分析与测评工作 可构成前者的一个环节 信息安全测评面向获得更具有系统性和权威性的结论 也一般面向实用的产品和系统 对信息产品的研发 系统集成 用户采购等有指导作用 信息安全测评认证体系框架 技术标准 测试技术 颁发 注册证书 评估结果 测评 认证 评估准则评估方法评估体制 反映了信息安全测评 认证 测试技术 技术标准 评估准则和测评体制等的关系 测评和认证首先都需要参照评估准侧 方法和体制 并且测评结果由认证机构检查认可 我国信息安全测评的发展 1 1999 颁布 计算机信息系统安全保护等级划分准则 2 1999 2 正式批准国家信息安全测评认证管理委员会章程及测评认证管理办法3 2001 5 成立 中国信息安全产品测评认证中心 4 2001 根据CC颁布国家标准 信息技术安全技术信息技术安全评估准则 5 2007 成立 中国信息安全认证中心 6 2008 中国信息安全测评中心独立承担完成的 国家信息安全测评认证技术体系建设 项目荣获2008年度国家科学技术进步一等奖 这个项目 在信息安全测评认证理论体系 专用技术体系与标准体系三个方面取得了系统性突破 通过自主创新与综合集成创新 填补了我国信息安全测评认证工作的空白 7 2009 国家质检总局与国家标准委发布信息安全国家标准GB Z24294 2009基于互联网电子政务信息安全实施指南 确立了基于互联网电子政务信息安全保障总体架构 为基于互联网电子政务所涉及的信息安全技术 信息安全管理 信息安全工程建设等方面安全要求的实施提供指导 信息安全验证与测试技术 为了测评信息安全产品或信息系统 需要验证或测试他们的安全性质及安全保障措施的效能 分析验证和形式化分析需要借助一定的分析手段测试技术需要在一定的方案下用测试设备 分析验证与形式化分析验证 分析验证基于一定的分析手段或经验 验证信息产品或信息系统中不存在相应的安全隐患 控制流 信息流 边界值等是重点分析的对象 普通安全隐患可凭经验发现 复杂的需形式化的安全验证 形式化方法 就是用语义符号 数学或模型描述研究与设计的系统 使便于推理并得到严谨的结论 当前设计人员或分析人员可以采用安全模型 协议形式化分析以及课证明安全性方法等手段对安全策略 安全协议或密码算法进行验证 验证手段 1 安全模型是一种安全方法的高层抽象 独立于软件与硬件的实现具体实现方法 如RBAC 有助于建立形式化的描述与推理方法 2 协议形式化分析主要是基于逻辑推理 基于攻击结构性及基于证明结构性三种方法 基于逻辑推理的分析方法运用逻辑系统 从协议各方的交互出发 通过一系列的推理验证安全协议是否满足安全目的或说明 基于攻击结构性分析方法从协议初态开始 对合法主体攻击者的可能执行路径进行搜索或分析来找到可能的错误或漏洞 基于证明结构性的方法 在形式化语言或数学描述的基础上对安全性质进行证明 如秩函数法与重写逼近法 3 可证明安全性方法与以前 设计 攻击 改进 再攻击 再改进 的方法不同 他在一定的安全模型下将设计算法与协议的安全性归结于伪随机数 分组密码等已被认可算法或函数的安全性 在一定程度上增强了设计者对安全性的把握与控制 提高了密码与安全一些的设计水平 测试技术 在信息安全产品或信息系统的开发或评估中 开发者或评估人员借助测试技术获得反映他们性能的数据 能反映产品或系统相关性能度量的检测对象称为指标 值为指标值 测试技术需准确 经济的为开发者或评估人员提供指标值或计算他们的相关数据 反映产品或系统在安全性 运行性能 协议符合性与一致性 环境适应性 兼容性等方面的状况 为提高产品或系统的质量或准确评估它们的等级提供了依据 测试技术 1 测试环境的构造与仿真传统测试方法依靠构建实际运行环境进行测试 随着运行环境的复杂化 代价越来越高 测试环境仿真技术应运而生 由各类测试仪来实现 2 有效性测试用测试的方法检查信息安全产品 系统与他们模块 子系统是否完成了所设计的功能 包括通过测试相应的指标量衡量完成的程度与效果 测试方法包括典型的应用实例或输入数据 包含典型输入数据与边界值的测试用数据为测试序列 3 负荷与性能测试通过输入 下载不同带宽 速率的数据或建立不同数量的通信连接 得到被测产品或系统的数据处理能力指标值及他们之间可能的相互影响情况 如得到最大带宽 吞吐量 最大处理速率等 4 攻击测试利用网络攻击或密码分析手段 检测网络安全设备或密码模块的安全性质 如网络扫描技术 用于测试防火墙 IDS与服务器安全特性 测试技术 测试技术 5 故障测试通过测试了解信息安全产品或系统出现故障的可能性 故障环境及故障类型 故障测试结果课反映被测对象的运行稳健性 如错误数据输入 6 一致性与兼容性测试对于信息安全产品 系统或其模块 子系统 检测他们在接口 协议等方面与其他配套产品 系统或模块 子系统的互操作情况 确定他们是否都符合相关的接口 协议设计与规范 可信计算平台测评 可信平台模块 TrustedPlatformModule TPM 是可信计算平台的核心和基础 可信平台模块的功能测试和验证是保证可信平台模块的实现正确性以及规范一致性的重要手段 以TPM密码子系统为例给出了该子系统的形式化规格说明 并且基于该规格说明 给出了扩展有限状态机模型 最后 将该有限状态机模型应用于测试用例的自动生成 并通过实验验证了形式化测试的有效性 TPM密码子系统 在TPM1 2规范中 TPM提供了基本的密码操作 主要的密码操作有RSA的密钥生成 加密 解密操作 RSA的签名操作 同时TPM提供了封装存储的功能 其中主要有三类密钥 加密密钥 封装密钥和签名密钥 不同的密钥能执行不同的操作 如封装密钥能执行Seal和UnSeal的操作 EFSM模型 扩展的有限状态机 ExtendedFiniteStateMachine EFSM M定义为一个六元组 其中S是一个非空的状态集合 So是初始状态 I是一个非空的输入消息集合 O是一个非空的输出消息集合一 V是变量集合 对于任意的t T t是一个六元组 s x P op Y s 其中S s S分别为初始状态和终止状态 x I是状迁移t的输入 y O是状态迁移t的输出 P是状态迁移t的前置条件 可能为空 op是状态迂移中的操作 其中由一系列的输出语句和变量赋值语句组成 基于EFSM的形式化测试 本节的测试用例的生成分为两步 第1步通过算法自动生成抽象测试用例 抽象测试用例是不能执行的 第2步将抽象测试用例具体化为可执行的测试用例 在这一步中需要填入具体的测试数据 采用两阶段的方法更有利于测试方案的实施 更有利于模块化的部署 由于TPM命令的复杂性 第2步测试数据的生成目前还不能完全进行自动化的生成 需要人工的参与 在测试一些模块时 不需要用户显式地要求TPM产生授权会话 这是由用例工具自动生成的 也是一个基本的假设条件 通过EFSM模型生成的测试用例只能对TPM的抽象功能 主要是TPM规范的第一部分 进行符合性测试 并不能对具体的实现接口进行参数化的测试 子系统测试先后顺序 不同的子系统的测试是有先后顺序的 如密码子系统依赖于授权协议管理子系统 只有先对授权协议管理子系统进行测试之后才能对密码子系统进行测试 覆盖度 覆盖度是衡量测试用例完备性的一个重要手段 在一致性测试中 状态覆盖度和迁移覆盖度是最常见的覆盖标准 完全状态覆盖 allstatecoverage 测试集完全状态覆盖状态变量X指的是对于x的任意取值 至少有一个测试用例覆盖到该值 测试集完全状态覆盖EFSM模型 指的是对于任意的状态变量Y 测试集都完全状态覆盖变量Y EFSM的可达性分析树 是一颗表达在所有的可能性输入的情况下 从初始节点出发扩展有限状态机的行为 对于每一个输入序列 该树包含一条从根出发的路径 可达性树是一个有向图 因此可以通过图论中的DFS或BFS方法对图进行遍历 生成可达性分析树算法 1 设置遍历搜索的深度l 从EFSM的指定初始节点出发对EFSM进行深度优先遍历 生成可达性分析树 2 在深度优先遍历过稷中将遍历到的节点放入已遍历状态集合Stravel中 3 当遍历深度 l时 停止可达性分析树的生成 4 先在可达分析树中找到所有的可行路径 为每条可信路径指定具体的数据 主要指定的数据格式为 命令号 随机产生的命令数据 预期值 每一条路径对应一个完整的测试用例 密码予系统的可达性树 节点标示EFSM中状态 路径表示EFSM中的迁移 黑色节点表示初始节点 测试用例数与覆盖度 随着覆盖度的提高 生成的测试用例也不断地增加 但是在覆盖率为0 8 0 9之间 测试用侧数是比较合适的 如果再提高覆盖率测试用例数将会急剧增加 覆盖率的计算公式为 Stravel Stotal 其中Stotal表示总的状态空间 稍等一会