《安全评估标准》PPT课件.ppt

第十四章安全评估标准 信管06 2焦德磊董昌宾 安全评估标准 信息技术安全评估准则发展过程安全评估标准的发展历程TCSEC通用准则CC国内的安全评估标准 信息技术安全评估准则发展过程 安全评估标准最早起源于美国20世纪60年代后期 1967年美国国防部 DOD 成立了一个研究组 针对当时计算机使用环境中的安全策略进行研究 其研究结果是 DefenseScienceBoardreport 70年代的后期DOD对当时流行的操作系统KSOS PSOS KVM进行了安全方面的研究 信息技术安全评估准则发展过程 80年代后 美国国防部发布的 可信计算机系统评估准则 TCSEC 即桔皮书 后来DOD又发布了可信数据库解释 TDI 可信网络解释 TNI 等一系列相关的说明和指南90年代初 英 法 德 荷等四国针对TCSEC准则的局限性 提出了包含保密性 完整性 可用性等概念的 信息技术安全评估准则 ITSEC 定义了从E0级到E6级的七个安全等级 信息技术安全评估准则发展过程 加拿大1988年开始制订 TheCanadianTrustedComputerProductEvaluationCriteria CTCPEC 1993年 美国对TCSEC作了补充和修改 制定了 组合的联邦标准 简称FC 国际标准化组织 ISO 从1990年开始开发通用的国际标准评估准则 信息技术安全评估准则发展过程 在1993年6月 CTCPEC FC TCSEC和ITSEC的发起组织开始联合起来 将各自独立的准则组合成一个单一的 能被广泛使用的IT安全准则发起组织包括六国七方 加拿大 法国 德国 荷兰 英国 美国NIST及美国NSA 他们的代表建立了CC编辑委员会 CCEB 来开发CC 信息技术安全评估准则发展过程 1996年1月完成CC1 0版 在1996年4月被ISO采纳1997年10月完成CC2 0的测试版1998年5月发布CC2 0版1999年12月ISO采纳CC 并作为国际标准ISO15408发布 安全评估标准的发展历程 TCSEC TCSEC的发布主要有三个目的 1 为制造商提供一个安全标准 使他们在开发商业产品时加入相应的安全因素 为用户提供广泛可信的应用系统 2 为国防部各部门提供一个度量标准 用来评估计算机系统或其他敏感信息的可信程度 3 在分析 研究规范时 为制定安全需求提供基础 TCSEC 在TCSEC中 美国国防部按处理信息的等级和应采用的响应措施 将计算机安全从高到低分为 A B C D四个等级八个级别 共27条评估准则TCSEC从安全策略 可审计性 保证和文档四个方面对不同安全级别的系统提出不同强度的要求 随着安全等级的提高 系统的可信度随之增加 风险逐渐减少 TCSEC 四个安全等级 D类 无保护级C类 自主保护级B类 强制保护级A类 验证保护级 TCSEC D类是最低保护等级 即无保护级是为那些经过评估 但不满足较高评估等级要求的系统设计的 只具有一个级别 该类是指不符合要求的那些系统 因此 这种系统不能在多用户环境下处理敏感信息 TCSEC 四个安全等级 无保护级自主保护级强制保护级验证保护级 TCSEC C类为自主保护级具有一定的保护能力 主要通过身份认证 自主访问控制和审计等安全措施来保护系统 一般只适用于具有一定等级的多用户环境具有对主体责任及其动作审计的能力 TCSEC C类分为C1和C2两个级别 自主安全保护级 C1级 控制访问保护级 C2级 TCSEC C1级通过隔离用户与数据 满足TCB自主安全要求 使用户具备自主安全保护的能力它具有多种形式的控制能力 对用户实施访问控制为用户提供可行的手段 保护用户和用户组信息 避免其他用户对数据的非法读写与破坏C1级的系统适用于处理同一敏感级别数据的多用户环境 TCSEC C2级计算机系统比C1级具有更细粒度的自主访问控制 细化到单个用户而不是组C2级通过注册过程控制 审计安全相关事件以及资源隔离 使单个用户为其行为负责 TCSEC 四个安全等级 无保护级自主保护级强制保护级验证保护级 TCSEC B类为强制保护级主要要求是TCB应维护完整的安全标记 并在此基础上执行一系列强制访问控制规则B类系统中的主要数据结构 客体 必须携带敏感标记系统的开发者还应为TCB提供安全策略模型以及TCB规约应提供证据证明访问监控器得到了正确的实施 TCSEC B类分为三个类别 标记安全保护级 B1级 结构化保护级 B2级 安全区域保护级 B3级 TCSEC B1级系统要求具有C2级系统的所有特性并增加了标记 强制访问控制 责任 审计和保证功能 在此基础上 还应提供安全策略模型的非形式化描述 数据标记以及命名主体和客体的强制访问控制并消除测试中发现的所有缺陷 TCSEC B类分为三个类别 标记安全保护级 B1级 结构化保护级 B2级 安全区域保护级 B3级 TCSEC 在B2级系统中 TCB建立于一个明确定义并文档化形式化安全策略模型之上要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体在此基础上 应对隐蔽信道进行分析TCB应结构化为关键保护元素和非关键保护元素 TCSEC TCB接口必须明确定义其设计与实现应能够经受更充分的测试和更完善的审查鉴别机制应得到加强 提供可信设施管理以支持系统管理员和操作员的职能提供严格的配置管理控制B2级系统应具备相当的抗渗透能力 TCSEC B类分为三个类别 标记安全保护级 B1级 结构化保护级 B2级 安全区域保护级 B3级 TCSEC 在B3级系统中 TCB必须满足访问监控器需求访问监控器对所有主体对客体的访问进行仲裁访问监控器本身是抗篡改的访问监控器足够小访问监控器能够分析和测试 TCSEC 为了满足访问控制器需求 计算机信息系统可信计算基在构造时 排除那些对实施安全策略来说并非必要的代码计算机信息系统可信计算基在设计和实现时 从系统工程角度将其复杂性降低到最小程度 TCSEC B3级系统支持 安全管理员职能扩充审计机制当发生与安全相关的事件时 发出信号提供系统恢复机制系统具有很高的抗渗透能力 TCSEC 四个安全等级 无保护级自主保护级强制保护级验证保护级 TCSEC A类为验证保护级A类的特点是使用形式化的安全验证方法保证系统的自主 而且强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息为证明TCB满足设计 开发及实现等各个方面的安全要求以及采用形式化验证方法 系统应提供丰富的文档信息 TCSEC A类分为两个类别 验证设计级 A1级 超A1级 TCSEC A1级系统在功能上和B3级系统是相同的 没有增加体系结构特性和策略要求最显著的特点是 要求用形式化设计规范和验证方法来对系统进行分析 确保TCB按设计要求实现从本质上说 这种保证是发展的 它从一个安全策略的形式化模型和设计的形式化高层规约 FTLS 开始 TCSEC 针对A1级系统设计验证 有5种独立于特定规约语言验证方法的重要准则 安全策略的形式化模型必须得到明确标识并文档化 以提供该模型与其公理一致的 能够对安全策略提供足够支持的数学证明应提供形式化的高层规约 包括TCB功能的抽象定义 用于隔离执行域的硬件 固件机制的抽象定义 TCSEC 应通过形式化的技术 如果可能的话 和非形式化的技术证明TCB的形式化高层规约 FTLS 与模型一致通过非形式化的方法证明TCB的实现 硬件 固件 软件 与形式化的高层规约 FTLS 是一致的 应证明FTLS的元素与TCB的元素是一致的 FTLS应表达用于满足安全策略的一致的保护机制 这些保护机制的元素应映射到TCB的要素 TCSEC 应使用形式化的方法标识并分析隐蔽信道 非形式化的方法可以用来标识时间隐蔽信道 必须对系统中存在的隐蔽信道进行解释 TCSEC A1级系统 要求更严格的配置管理要求建立系统安全分发的程序支持系统安全管理员的职能 TCSEC A类分为两个类别 验证设计级 A1级 超A1级 TCSEC 超A1级在A1级基础上增加的许多安全措施 超出了目前的技术发展随着更多 更好的分析技术的出现 本级系统的要求才会变的更加明确今后 形式化的验证方法将应用到源码一级 并且时间隐蔽信道将得到全面的分析超A1级系统设计的范围包括系统体系结构 安全测试 形式化规约与验证 可信设计环境等 TCSEC 在这一级 设计环境将变的更重要形式化高层规约的分析将对测试提供帮助TCB开发中使用的工具的正确性及TCB运行的软硬件功能的正确性将得到更多的关注 通用准则CC CC作为国际标准 对信息系统的安全功能 安全保障给出了分类描述 并综合考虑信息系统的资产价值 威胁等因素后 对被评估对象提出了安全需求 保护轮廓PP 及安全实现 安全目标ST 等方面的评估 通用准则CC CC的范围 CC重点考虑认为的信息威胁 无论是有意的还是无意的 CC也可用于非人为因素导致的威胁CC适用于硬件 固件和软件实现的信息技术安全措施某些内容因涉及特殊专业技术或仅是信息技术安全的外围技术不在CC的范围内 通用准则CC CC包括三个部分 第一部分 简介和一般模型介绍CC的一般概念和格式 描述CC的结构和适用范围 描述安全功能 保证需求的定义并给出保护轮廓PP和安全目标ST第二部分 安全功能要求为用户和开发者提供一系列安全功能组件 通用准则CC 第三部分 安全保证要求为开发者提供一系列安全保证组件 同时提出七个评估保证级别 EvaluationAssuranceLevels EALs 通用准则CC 安全保证要求部分提出了七个评估保证级别 EvaluationAssuranceLevels EALs 分别是 EAL1 功能测试EAL2 结构测试EAL3 系统测试和检查EAL4 系统设计 测试和复查EAL5 半形式化设计和测试EAL6 半形式化验证的设计和测试EAL7 形式化验证的设计和测试 通用准则CC 使用通用评估方法学可以提供结果的可重复性和客观性许多评估准则需要使用专家判断和一定的背景知识为了增强评估结果的一致性 最终的评估结果应提交给一个认证过程 该过程是一个针对评估结果的独立的检查过程 并生成最终的证书或正式批文 评估上下文 评估准则 通用准则 评估方法学 评估方案 最终评估结果 评估 批准 证明 证书表 注册 通用准则CC 通用准则CC CC的一般模型一般安全上下文TOE评估CC安全概念 通用准则CC 一般安全上下文CC认为 安全就是保护资产不受威胁 威胁可依据滥用被保护资产的可能性进行分类所有的威胁类型都应该考虑到在安全领域内 被高度重视的威胁是和人们的恶意攻击及其他人类活动密切联系的 通用准则CC 安全概念和关系 通用准则CC 安全性损坏一般包括但又不仅仅包括以下几项 资产破坏性地暴露于未授权的接收者 失去保密性 资产由于未授权的更改而损坏 失去完整性 授权用户无法访问资产 失去可用性 通用准则CC 资产所有者必须分析可能的威胁并确定哪些存在于他们的环境中 从而导致风险 这种分析有助于选择对策 把风险降低到一个可接受的水平 对策用以 直接或间接地 减少脆弱性 并满足资产所有者的安全策略 在将资产暴露于特定威胁之前 所有者需要确信其对策足以应付所面临的威胁 所有者自身可能没有能力判断对策的所有方面 但可以寻求对策的评估 通用准则CC 评估概念和关系 通用准则CC TOE评估TOE评估过程 通用准则CC TOE评估过程的主要输入内容有 一系列TOE证据 包括评估过的ST作为TOE评估的基础需要评估的TOE评估准则 方法和方案另外 说明性材料 例如CC的使用说明书 和评估者及评估组织的IT安全专业知识也常常是评估过程的输入内容 通用准则CC 评估过程通过两种途径改进安全产品 首先 评估过程能发现开发者可以纠正的TOE错误或弱点 从而减少将来操作中安全失效的可能性其次 为了通过严格的评估 开发者在TOE设计和开发时也将更加细心总之 评估过程对最初需求 开发过程 最终产品以及操作环境都将产生积极的影响 通用准则CC CC安全概念只有在IT环境中考虑IT组件保护资产的能力时 CC才是可用的为了表明资产是安全的 必须在各个层面考虑安全性 包括从最抽象到最终的IT实现CC要求在某层次上的表述包含在该层次上TOE描述的基本原理 也就是说 这个层次必须包含合情合理 令人信服的论据 表示它与更高层次是一致的 而且它自己也是全面的 正确的 内部一致的 通用准则CC CC将表述分成不同的层次 安全环境安全目的IT安全要求TOE概要规范 通用准则CC 安全环境安全环境包括所有相关的法规 组织性安全策略 习惯 专门技术和知识它定义了TOE使用的上下文 安全环境也包括环境里出现的安全威胁 通用准则CC 为建立安全环境 必须考虑以下几点 TOE物理环境 指所有的与TOE安全相关的TOE运行环境 包括已知的物理和人事的安全安排需要根据安全策略由TOE的元素实施保护的资产 包括可直接相关的资产 如文件和数据库 和间接受安全要求支配的资产 如授权凭证和IT实现本身 TOE目的 说明产品类型和可能的TOE用途 通用准则CC 安全目的安全环境的分析结果被用来阐明对抗已标识的威胁 说明组织性安全策略和假设的安全目的安全目的和已说明的TOE运行目标或产品目标以及有关的物理环境知识一致确定安全目的的意图是为了阐明所有的安全考虑并指出哪些安全方面的问题是直接由TOE还是由它的环境来处理环境安全目的将在IT领域内用非技术上的或程序化的手段来实现 通用准则CC IT安全需求IT安全需求只涉及TOE安全目的和它的IT环境IT安全要求是将安全目的细化为一系列TOE及其环境的安全要求 一旦这些要求得到满足 就可以保证TOE达到它的安全目的通过选择合理的安全功能 可以确保达到一定的安全目的 这种保证来源于以下两个因素 1 对安全功能正确实现的信任 也就是评估他们是否被正确实现2 对安全功能有效性的信任 也就是评估他们是否确实满足所陈述的安全目的 通用准则CC TOE概要规范ST中提供的TOE概要规范定义TOE安全要求的实现方法 它提供了分别满足功能需求和保证需求的安全功能和保证措施的高层定义 通用准则CC CC定义了一系列与已知有效的安全要求集合相结合的概念 该概念可被用来为预期的产品和系统建立安全需求CC安全要求以类 族 组件这种层次方式组织 以帮助用户定位特定的安全要求对功能和保证方面的要求 CC使用相同的风格 组织方式和术语 通用准则CC CC中安全要求的描述方法 类 类是最通用安全要求的组合 类的所有的成员关注共同的安全焦点 但覆盖不同的安全目的族 类的成员被称为族 族是若干组安全要求的组合 这些要求有共同的安全目的 但在侧重点和严格性上有所区别组件 族的成员被称为组件 组件描述一组特定的安全要求集 它是CC定义的结构中所包含的最小的可选安全要求集 通用准则CC 组件由单个元素组成 元素是安全需求最低层次的表达 并且是能被评估验证的不可分割的安全要求族内具有相同目标的组件可以以安全要求强度 或能力 逐步增加的顺序排列 也可以部分地按相关非层次集合的方式组织 通用准则CC 组件间的依赖组件间可能存在依赖关系依赖关系可以存在于功能组件之间 保证组件之间以及功能和保证组件之间组件间依赖关系描述是CC组件定义的一部分 通用准则CC 组建允许的操作可以通过使用组件允许的操作 对组件进行裁剪每一个CC组件标识并定义组件允许的 赋值 和 选择 操作 在哪些情况下可对组件使用这些操作 以及使用这些操作的后果任何一个组件均允许 反复 和 细化 操作 通用准则CC 这四个操作如下所述 反复 在不同操作时 允许组件多次使用赋值 当组件被应用时 允许规定所赋予的参数选择 允许从组件给出的列表中选定若干项细化 当组件被应用时 允许对组件增加细节 通用准则CC CC中安全需求的描述方法 包 组件的中间组合被称为包 包允许对功能或保证需求集合的描述 这个集合能够满足一个安全目标的可标识子集 包可重复使用 可用来定义那些公认有用的 能够有效满足特定安全目标的要求 包可用在构造更大的包 PP和ST中 通用准则CC 保护轮廓 PP PP是关于一系列满足一个安全目标集的TOE的 与实现无关的描述PP包含一套来自CC 或明确阐述 的安全要求 它应包括一个评估保证级别 EAL PP可反复使用 还可用来定义那些公认有用的 能够有效满足特定安全目标的TOE要求PP包括安全目的和安全要求的基本原理PP的开发者可以是用户团体 IT产品开发者或其它对定义这样一系列通用要求有兴趣的团体 通用准则CC 保护轮廓PP描述结构 通用准则CC 安全目标 ST ST是针对特定TOE安全要求的描述 通过评估可以证明这些安全要求对满足指定目的是有用和有效的安全目标 ST 包括一系列安全要求 这些要求可以引用PP 也可以直接引用CC中的功能或保证组件 或明确说明一个ST包含TOE的概要规范 安全要求和目的 以及它们的基本原理ST是所有团体间就TOE应提供什么样的安全性达成一致的基础 通用准则CC 安全目标描述结构 通用准则CC CC框架下的评估类型PP评估ST评估TOE评估 通用准则CC PP评估PP评估是依照CC第3部分的PP评估准则进行的 评估的目标是为了证明PP是完备的 一致的 技术合理的 而且适合于作为一个可评估TOE的安全要求的声明 通用准则CC ST评估针对TOE的ST评估是依照CC第3部分的ST评估准则进行的ST评估具有双重目标 首先是为了证明ST是完备的 一致的 技术合理的 而且适合于用作相应TOE评估的基础其次 当某一ST宣称与某一PP一致时 证明ST满足该PP的要求 通用准则CC TOE评估TOE评估是使用一个已经评估过的ST作为基础 依照CC第3部分的评估准则进行的评估的目标是为了证明TOE满足ST中的安全要求 通用准则CC 三种评估的关系 通用准则CC CC安全要求CC的第二部分是安全功能要求 对满足安全需求的诸安全功能提出了详细的要求另外 如果有超出第二部分的安全功能要求 开发者可以根据 类 族 组件 元素 的描述结构表达其安全要求 并附加在其ST中 通用准则CC CC共包含的11个安全功能类 如下 FAU类 安全审计FCO类 通信FCS类 密码支持FDP类 用户数据保护FIA类 标识与鉴别FMT类 安全管理FPR类 隐秘FPT类 TFS保护FAU类 资源利用FTA类 TOE访问FTP类 可信信道 路径 通用准则CC CC的第三部分是评估方法部分 提出了PP ST TOE三种评估 共包括10个类 但其中的APE类与ASE类分别介绍了PP与ST的描述结构及评估准则维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求只有七个安全保证类是TOE的评估类别 通用准则CC 七个安全保证类ACM类 配置管理ADO类 分发与操作ADV类 开发AGD类 指导性文档ALC类 生命周期支持ATE类 测试AVA类 脆弱性评定 通用准则CC CC认可协议1998年1月 经过两年的密切协商 来自美国 加拿大 法国 德国以及英国的政府组织签订了历史性的安全评估互认协议 IT安全领域内CC认可协议 根据该协议 在协议签署国范围内 在某个国家进行的基于CC的安全评估将在其他国家内得到承认 通用准则CC 截止2003年3月 加入该协议的国家共有十五个 澳大利亚 新西兰 加拿大 芬兰 法国 德国 希腊 以色列 意大利 荷兰 挪威 西班牙 瑞典 英国及美国 通用准则CC 该协议的参与者在这个领域内有共同的目的即 确保IT产品及保护轮廓的评估遵循一致的标准 为这些产品及保护轮廓的安全提供足够的信心 在国际范围内提高那些经过评估的 安全增强的IT产品及保护轮廓的可用性 消除IT产品及保护轮廓的重复评估 改进安全评估的效率及成本效果 改进IT产品及保护轮廓的证明 确认过程 通用准则CC 美国NSA内部的可信产品评估计划 TPEP 以及可信技术评价计划 TTAP 最初根据TCSEC进行产品的评估 但从1999年2月1日起 这些计划将不再接收基于TCSEC的新的评估 此后这些计划接受的任何新的产品都必须根据CC的要求进行评估 到2001年底 所有已经经过TCSEC评估的产品 其评估结果或者过时 或者转换为CC评估等级 通用准则CC NSA已经将TCSEC对操作系统的C2和B1级要求转换为基于CC的要求 或PP NSA正在将TCSEC的B2和B3级要求转换成基于CC的保护轮廓 但对TCSEC中的A1级要求不作转换 TCSEC的可信网络解释 TNI 在使用范围上受到了限制 已经不能广泛适用于目前的网络技术 因此 NSA目前不计划提交与TNI相应的PP 通用准则CC 国内的安全评估标准 为提高我国计算机信息系统安全保护水平 1999年9月国家质量技术监督局发布了国家标准GB17859 1999 计算机信息安全保护等级划分准则 它是建立安全等级保护制度 实施安全等级管理的重要基础性标准 该标准是我国计算机信息系统保护等级系列标准的第一部分 其他数十个相关标准的制订工作还正在紧张进行 该标准的制定参照了美国的TCSEC 国内的安全评估标准 TCB安全模型 国内的安全评估标准 信息系统安全等级划分递进关系 国内的安全评估标准 该标准共分为五级与美国TCSEC标准的对应关系如下 第一级 用户自主保护级C1级第二级 系统审计保护级C2级第三级 安全标记保护级B1级第四级 结构化保护级B2级第五级 访问验证保护级B3级 国内的安全评估标准 第一级用户自主保护级本机的计算机信息系统可信计算基本通过隔离用户和数据 使用户具备自主安全保护的能力 它具有多种形式的控制能力 对用户实施访问控制 即为用户提供可行的手段 保护用户和用户组的信息 避免其他用户对数据非法读写与破坏 国内的安全评估标准 第二级系统审计保护与用户自主保护级相比 本机的计算机信息系统可信计算基实施了力度更细的自主访问控制 他通过登录规程 审计安全性相关事件和隔离资源 使用户对自己的行为负责 国内的安全评估标准 第三级安全标记保护级本级的计算机信息系统可信计算基具有系统审计保护级的所有功能 此外 还提供有关安全按策略模型 数据标记以及主题对客体强制访问控制的非形式化描述 能够准确的标记输出信息的能力 并消除通过测试发现的任何错误 国内的安全评估标准 第四级结构化保护级本机的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上 他要求见第三集系统中的自主和强制访问控制扩展到所有主体与客体 此外还要考虑隐蔽通道 本机的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素 计算机信息系统可信计算基的结构也必须明确定义 使其设计与实现能经受更充分的测试和更完整的复审 本机加强了鉴别机制 支持系统管理员和操作员的只能 提供可信设施管理 增强了配置管理控制 总之 系统具有了相当的抗渗透能力 国内的安全评估标准 第五级访问验证保护级本机的计算机信息系统可信计算基满足访问监控器需求 访问监控器仲裁主体对客体的全部访问 访问监控器本身是抗篡改的 同时必须足够小 能够分析和测试 为了满足访问监控器需求 计算机信息系统可信计算基在构造时 务必排除那些对实施安全策略来说并非必要的代码 在设计和实现时 应从系统工程角度将其复杂性降低到最小程度 此外 它还支持安全管理员职能 扩充了审计机制 当发生与安全相关的事件时发出信号 并提供系统恢复机制 从而 系统具有很高的抗渗透能力 国内的安全评估标准 自从CC1 0版公布后 我国相关部门就一直密切关注着它的发展情况 并对该版本做了大量的研究工作 2001年3月 国家质量技术监督局正式颁布了援引CC的国家标准GB T18336 2001 信息技术安全技术信息技术安全性评估准则