计算机信息系统安全评估标准介绍 共174页
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4
信息技术安全评估准则发展过程
• 加拿大1988年开始制订《The Canadian Trusted Computer Product Evaluation Criteria 》(CTCPEC)
• 1993年,美国对TCSEC作了补充和修改,制定了“组合 的联邦标准”(简称FC)
• 国际标准化组织(ISO)从1990年开始开发通用的国际 标准评估准则
约 • 应提供证据证明访问监控器得到了正确的实施
19
TCSEC
B类分为三个类别: 标记安全保护级(B1级) 结构化保护级(B2级) 安全区域保护级(B3级)
20
TCSEC
• B1级系统要求具有C2级系统的所有特性 • 在此基础上,还应提供安全策略模型的非形式化描述、
数据标记以及命名主体和客体的强制访问控制 • 并消除测试中发现的所有缺陷
自主和强制安全控制措施能够有效地保护系统中存储 和处理的秘密信息或其他敏感信息 • 为证明TCB满足设计、开发及实现等各个方面的安全要 求,系统应提供丰富的文档信息
30
TCSEC
A类分为两个类别: 验证设计级(A1级) 超A1级
31
TCSEC
• A1级系统在功能上和B3级系统是相同的,没有增加体 系结构特性和策略要求
42
可信网络解释(TNI)
• TNI第一部分提供了在网络系统作为一个单一系统进行 评估时TCSEC中各个等级(从D到A类)的解释
• 与单机系统不同的是,网络系统的可信计算基称为网 络可信计算基(NTCB)
43
可信网络解释(TNI)
• 第二部分以附加安全服务的形式提出了在网络互联时出 现的一些附加要求
计算机信息系统安全评估标准介绍
北京大学 闫强
1
标准介绍
• 信息技术安全评估准则发展过程 • 可信计算机系统评估准则(TCSEC ) • 可信网络解释(TNI) • 通用准则CC • 《计算机信息系统安全保护等级划分准则》 • 信息安全保证技术框架 • 《信息系统安全保护等级应用指南》
2
信息技术安全评估准则发展过程
37
TCSEC
• 超A1级在A1级基础上增加的许多安全措施超出了目前 的技术发展
• 随着更多、更好的分析技术的出现,本级系统的要求 才会变的更加明确
• 今后,形式化的验证方法将应用到源码一级,并且时 间隐蔽信道将得到全面的分析
38
TCSEC
• 在这一级,设计环境将变的更重要 • 形式化高层规约的分析将对测试提供帮助 • TCB开发中使用的工具的正确性及TCB运行的软硬件
6
信息技术安全评估准则发展过程
• 2019年1月完成CC1.0版 ,在2019年4月被ISO采纳 • 2019年10月完成CC2.0的测试版 • 2019年5月发布CC2.0版 • 2019年12月ISO采纳CC,并作为国际标准ISO 15408发
布
7
安全评估标准的发展历程
桔皮书 (TCSEC)
34
TCSEC
应使用形式化的方法标识并分析隐蔽信道,非形式化 的方法可以用来标识时间隐蔽信道,必须对系统中存 在的隐蔽信道进行解释
35
TCSEC
A1级系统: • 要求更严格的配置管理 • 要求建立系统安全分发的程序 • 支持系统安全管理员的职能
36
TCSEC
A类分为两个类别: 验证设计级(A1级) 超A1级
修改 抗抵赖:提供数据发送、接受的证据
50
可信网络解释(TNI)
• 当网络处理能力下降到一个规定的界限以下或远程实 体无法访问时,即发生了拒绝服务
• 所有由网络提供的服务都应考虑拒绝服务的情况 • 网络管理者应决定网络拒绝服务需求
51
可信网络解释(TNI)
解决拒绝服务的方法有: 操作连续性 基于协议的拒绝服务保护 网络管理
• 它具有多种形式的控制能力,对用户实施访问控制 • 为用户提供可行的手段,保护用户和用户组信息,避
免其他用户对数据的非法读写与破坏 • C1级的系统适用于处理同一敏感级别数据的多用户环
境
16
TCSEC
• C2级计算机系统比C1级具有更细粒度的自主访问控制 • C2级通过注册过程控制、审计安全相关事件以及资源
23
TCSEC
• TCB接口必须明确定义 • 其设计与实现应能够经受更充分的测试和更完善的审
查 • 鉴别机制应得到加强,提供可信设施管理以支持系统
管理员和操作员的职能 • 提供严格的配置管理控制 • B2级系统应具备相当的抗渗透能力
24
TCSEC
B类分为三个类别: 标记安全保护级(B1级) 结构化保护级(B2级) 安全区域保护级(B3级)
25
TCSEC
• 在B3级系统中,TCB必须满足访问监控器需求 • 访问监控器对所有主体对客体的访问进行仲裁 • 访问监控器本身是抗篡改的 • 访问监控器足够小 • 访问监控器能够分析和测试
26
TCSEC
为了满足访问控制器需求: 计算机信息系统可信计算基在构造时,排除那些对 实施安全策略来说并非必要的代码 计算机信息系统可信计算基在设计和实现时,从系 统工程角度将其复杂性降低到最小程度
隔离,使单个用户为其行为负责
17
四个安全等级: 无保护级 自主保护级 强制保护级 验证保护级
TCSEC
18
TCSEC
• B类为强制保护级 • 主要要求是TCB应维护完整的安全标记,并在此基础上
执行一系列强制访问控制规则 • B类系统中的主要数据结构必须携带敏感标记 • 系统的开发者还应为TCB提供安全策略模型以及TCB规
• 这些要求主要是针对完整性、可用性和保密性的
44
可信网络解释(TNI)
第二部分的评估是定性的,针对一个服务进行评估的结 果一般分为为:
none minimum fair good
45
可信网络解释(TNI)
第二部分中关于每个服务的说明一般包括: 一种相对简短的陈述 相关的功能性的讨论 相关机制强度的讨论 相关保证的讨论
• 最显著的特点是,要求用形式化设计规范和验证方法 来对系统进行分析,确保TCB按设计要求实现
• 从本质上说,这种保证是发展的,它从一个安全策略 的形式化模型和设计的形式化高层规约(FTLS)开始
32
TCSEC
针对A1级系统设计验证,有5种独立于特定规约语言或 验证方法的重要准则:
安全策略的形式化模型必须得到明确标识并文档化,提供该模 型与其公理一致以及能够对安全策略提供足够支持的数学证明
应提供形式化的高层规约,包括TCB功能的抽象定义、用于隔 离执行域的硬件/固件机制的抽象定义
33
TCSEC
应通过形式化的技术(如果可能的化)和非形式化的 技术证明TCB的形式化高层规约(FTLS)与模型是一 致的
通过非形式化的方法证明TCB的实现(硬件、固件、 软件)与形式化的高层规约(FTLS)是一致的。应证 明FTLS的元素与TCB的元素是一致的,FTLS应表达 用于满足安全策略的一致的保护机制,这些保护机制 的元素应映射到TCB的要素
46
可信网络解释(TNI)
• 功能性是指一个安全服务的目标和实现方法,它包括特 性、机制及实现
• 机制的强度是指一种方法实现其目标的程度 • 有些情况下,参数的选择会对机制的强度带来很大的影
响
47
可信网络解释(TNI)
• 保证是指相信一个功能会实现的基础 • 保证一般依靠对理论、测试、软件工程等相关内容的分
1985 英国安全 标准1989
德国标准
法国标准
ITSEC 1991
加拿大标准 1993
联邦标准 草案1993
通用标准 V1.0 2019 V2.0 2019 V2.1 2019
8
标准介绍
• 信息技术安全评估准则发展过程 • 可信计算机系统评估准则(TCSEC) • 可信网络解释 (TNI) • 通用准则CC • 《计算机信息系统安全保护等级划分准则》 • 信息安全保证技术框架 • 《信息系统安全保护等级应用指南》
功能的正确性将得到更多的关注
39
TCSEC
超A1级系统涉及的范围包括: 系统体系结构 安全测试 形式化规约与验证 可信设计环境等
40
标准介绍
• 信息技术安全评估准则发展过程 • 可信计算机系统评估准则(TCSEC) • 可信网络解释 (TNI) • 通用准则CC • 《计算机信息系统安全保护等级划分准则》 • 信息安全保证技术框架 • 《信息系统安全保护等级应用指南》
9
TCSEC
• 在TCSEC中,美国国防部按处理信息的等级和应采用的 响应措施,将计算机安全从高到低分为:A、B、C、D 四类八个级别,共27条评估准则
• 随着安全等级的提高,系统的可信度随之增加,风险 逐渐减少。
10
四个安全等级: 无保护级 自主保护级 强制保护级 验证保护级
TCSEC
5
信息技术安全评估准则发展过程
• 在1993年6月,CTCPEC、FC、TCSEC和ITSEC的发起组织 开始联合起来,将各自独立的准则组合成一个单一的、 能被广泛使用的IT安全准则
• 发起组织包括六国七方:加拿大、法国、德国、荷兰、 英国、美国NIST及美国NSA,他们的代表建立了CC编辑 委员会(CCEB)来开发CC
TCSEC
• C类为自主保护级 • 具有一定的保护能力,采用的措施是自主访问控制和
审计跟踪 • 一般只适用于具有一定等级的多用户环境 • 具有对主体责任及其动作审1和C2两个级别: 自主安全保护级(C1级) 控制访问保护级(C2级)
15
TCSEC
• C1级TCB通过隔离用户与数据,使用户具备自主安全保 护的能力
析 • 分析可以是形式化或非形式化的,也可以是理论的或应
用的
48
可信网络解释(TNI)
第二部分中列出的安全服务有: 通信完整性 拒绝服务 机密性
49
可信网络解释(TNI)
通信完整性主要涉及以下3方面: 鉴别:网络中应能够抵抗欺骗和重放攻击 通信字段完整性:保护通信中的字段免受非授权的
• 80年代后,美国国防部发布的“可信计算机系统评估 准则(TCSEC)”(即桔皮书)
• 后来DOD又发布了可信数据库解释(TDI)、可信网络 解释(TNI)等一系列相关的说明和指南
• 90年代初,英、法、德、荷等四国针对TCSEC准则的局 限性,提出了包含保密性、完整性、可用性等概念的 “信息技术安全评估准则”(ITSEC),定义了从E0级 到E6级的七个安全等级
• 20世纪60年代后期,1967年美国国防部(DOD)成立了 一个研究组,针对当时计算机使用环境中的安全策略 进行研究,其研究结果是“Defense Science Board report”
• 70年代的后期DOD对当时流行的操作系统KSOS,PSOS, KVM进行了安全方面的研究
3
信息技术安全评估准则发展过程
41
可信网络解释(TNI)
• 美国国防部计算机安全评估中心在完成TCSEC的基础 上,又组织了专门的研究镞对可信网络安全评估进行 研究,并于1987年发布了以TCSEC为基础的可信网络 解释,即TNI。
• TNI包括两个部分(Part I和Part II)及三个附录 (APPENDIX A、B、C)
21
TCSEC
B类分为三个类别: 标记安全保护级(B1级) 结构化保护级(B2级) 安全区域保护级(B3级)
22
TCSEC
• 在B2级系统中,TCB建立于一个明确定义并文档化形式 化安全策略模型之上
• 要求将B1级系统中建立的自主和强制访问控制扩展到 所有的主体与客体
• 在此基础上,应对隐蔽信道进行分析 • TCB应结构化为关键保护元素和非关键保护元素
27
TCSEC
B3级系统支持: 安全管理员职能 扩充审计机制 当发生与安全相关的事件时,发出信号 提供系统恢复机制 系统具有很高的抗渗透能力
28
四个安全等级: 无保护级 自主保护级 强制保护级 验证保护级
TCSEC
29
TCSEC
• A类为验证保护级 • A类的特点是使用形式化的安全验证方法,保证系统的
11
TCSEC
• D类是最低保护等级,即无保护级 • 是为那些经过评估,但不满足较高评估等级要求的系
统设计的,只具有一个级别 • 该类是指不符合要求的那些系统,因此,这种系统不
能在多用户环境下处理敏感信息
12
四个安全等级: 无保护级 自主保护级 强制保护级 验证保护级
TCSEC
13
信息技术安全评估准则发展过程
• 加拿大1988年开始制订《The Canadian Trusted Computer Product Evaluation Criteria 》(CTCPEC)
• 1993年,美国对TCSEC作了补充和修改,制定了“组合 的联邦标准”(简称FC)
• 国际标准化组织(ISO)从1990年开始开发通用的国际 标准评估准则
约 • 应提供证据证明访问监控器得到了正确的实施
19
TCSEC
B类分为三个类别: 标记安全保护级(B1级) 结构化保护级(B2级) 安全区域保护级(B3级)
20
TCSEC
• B1级系统要求具有C2级系统的所有特性 • 在此基础上,还应提供安全策略模型的非形式化描述、
数据标记以及命名主体和客体的强制访问控制 • 并消除测试中发现的所有缺陷
自主和强制安全控制措施能够有效地保护系统中存储 和处理的秘密信息或其他敏感信息 • 为证明TCB满足设计、开发及实现等各个方面的安全要 求,系统应提供丰富的文档信息
30
TCSEC
A类分为两个类别: 验证设计级(A1级) 超A1级
31
TCSEC
• A1级系统在功能上和B3级系统是相同的,没有增加体 系结构特性和策略要求
42
可信网络解释(TNI)
• TNI第一部分提供了在网络系统作为一个单一系统进行 评估时TCSEC中各个等级(从D到A类)的解释
• 与单机系统不同的是,网络系统的可信计算基称为网 络可信计算基(NTCB)
43
可信网络解释(TNI)
• 第二部分以附加安全服务的形式提出了在网络互联时出 现的一些附加要求
计算机信息系统安全评估标准介绍
北京大学 闫强
1
标准介绍
• 信息技术安全评估准则发展过程 • 可信计算机系统评估准则(TCSEC ) • 可信网络解释(TNI) • 通用准则CC • 《计算机信息系统安全保护等级划分准则》 • 信息安全保证技术框架 • 《信息系统安全保护等级应用指南》
2
信息技术安全评估准则发展过程
37
TCSEC
• 超A1级在A1级基础上增加的许多安全措施超出了目前 的技术发展
• 随着更多、更好的分析技术的出现,本级系统的要求 才会变的更加明确
• 今后,形式化的验证方法将应用到源码一级,并且时 间隐蔽信道将得到全面的分析
38
TCSEC
• 在这一级,设计环境将变的更重要 • 形式化高层规约的分析将对测试提供帮助 • TCB开发中使用的工具的正确性及TCB运行的软硬件
6
信息技术安全评估准则发展过程
• 2019年1月完成CC1.0版 ,在2019年4月被ISO采纳 • 2019年10月完成CC2.0的测试版 • 2019年5月发布CC2.0版 • 2019年12月ISO采纳CC,并作为国际标准ISO 15408发
布
7
安全评估标准的发展历程
桔皮书 (TCSEC)
34
TCSEC
应使用形式化的方法标识并分析隐蔽信道,非形式化 的方法可以用来标识时间隐蔽信道,必须对系统中存 在的隐蔽信道进行解释
35
TCSEC
A1级系统: • 要求更严格的配置管理 • 要求建立系统安全分发的程序 • 支持系统安全管理员的职能
36
TCSEC
A类分为两个类别: 验证设计级(A1级) 超A1级
修改 抗抵赖:提供数据发送、接受的证据
50
可信网络解释(TNI)
• 当网络处理能力下降到一个规定的界限以下或远程实 体无法访问时,即发生了拒绝服务
• 所有由网络提供的服务都应考虑拒绝服务的情况 • 网络管理者应决定网络拒绝服务需求
51
可信网络解释(TNI)
解决拒绝服务的方法有: 操作连续性 基于协议的拒绝服务保护 网络管理
• 它具有多种形式的控制能力,对用户实施访问控制 • 为用户提供可行的手段,保护用户和用户组信息,避
免其他用户对数据的非法读写与破坏 • C1级的系统适用于处理同一敏感级别数据的多用户环
境
16
TCSEC
• C2级计算机系统比C1级具有更细粒度的自主访问控制 • C2级通过注册过程控制、审计安全相关事件以及资源
23
TCSEC
• TCB接口必须明确定义 • 其设计与实现应能够经受更充分的测试和更完善的审
查 • 鉴别机制应得到加强,提供可信设施管理以支持系统
管理员和操作员的职能 • 提供严格的配置管理控制 • B2级系统应具备相当的抗渗透能力
24
TCSEC
B类分为三个类别: 标记安全保护级(B1级) 结构化保护级(B2级) 安全区域保护级(B3级)
25
TCSEC
• 在B3级系统中,TCB必须满足访问监控器需求 • 访问监控器对所有主体对客体的访问进行仲裁 • 访问监控器本身是抗篡改的 • 访问监控器足够小 • 访问监控器能够分析和测试
26
TCSEC
为了满足访问控制器需求: 计算机信息系统可信计算基在构造时,排除那些对 实施安全策略来说并非必要的代码 计算机信息系统可信计算基在设计和实现时,从系 统工程角度将其复杂性降低到最小程度
隔离,使单个用户为其行为负责
17
四个安全等级: 无保护级 自主保护级 强制保护级 验证保护级
TCSEC
18
TCSEC
• B类为强制保护级 • 主要要求是TCB应维护完整的安全标记,并在此基础上
执行一系列强制访问控制规则 • B类系统中的主要数据结构必须携带敏感标记 • 系统的开发者还应为TCB提供安全策略模型以及TCB规
• 这些要求主要是针对完整性、可用性和保密性的
44
可信网络解释(TNI)
第二部分的评估是定性的,针对一个服务进行评估的结 果一般分为为:
none minimum fair good
45
可信网络解释(TNI)
第二部分中关于每个服务的说明一般包括: 一种相对简短的陈述 相关的功能性的讨论 相关机制强度的讨论 相关保证的讨论
• 最显著的特点是,要求用形式化设计规范和验证方法 来对系统进行分析,确保TCB按设计要求实现
• 从本质上说,这种保证是发展的,它从一个安全策略 的形式化模型和设计的形式化高层规约(FTLS)开始
32
TCSEC
针对A1级系统设计验证,有5种独立于特定规约语言或 验证方法的重要准则:
安全策略的形式化模型必须得到明确标识并文档化,提供该模 型与其公理一致以及能够对安全策略提供足够支持的数学证明
应提供形式化的高层规约,包括TCB功能的抽象定义、用于隔 离执行域的硬件/固件机制的抽象定义
33
TCSEC
应通过形式化的技术(如果可能的化)和非形式化的 技术证明TCB的形式化高层规约(FTLS)与模型是一 致的
通过非形式化的方法证明TCB的实现(硬件、固件、 软件)与形式化的高层规约(FTLS)是一致的。应证 明FTLS的元素与TCB的元素是一致的,FTLS应表达 用于满足安全策略的一致的保护机制,这些保护机制 的元素应映射到TCB的要素
46
可信网络解释(TNI)
• 功能性是指一个安全服务的目标和实现方法,它包括特 性、机制及实现
• 机制的强度是指一种方法实现其目标的程度 • 有些情况下,参数的选择会对机制的强度带来很大的影
响
47
可信网络解释(TNI)
• 保证是指相信一个功能会实现的基础 • 保证一般依靠对理论、测试、软件工程等相关内容的分
1985 英国安全 标准1989
德国标准
法国标准
ITSEC 1991
加拿大标准 1993
联邦标准 草案1993
通用标准 V1.0 2019 V2.0 2019 V2.1 2019
8
标准介绍
• 信息技术安全评估准则发展过程 • 可信计算机系统评估准则(TCSEC) • 可信网络解释 (TNI) • 通用准则CC • 《计算机信息系统安全保护等级划分准则》 • 信息安全保证技术框架 • 《信息系统安全保护等级应用指南》
功能的正确性将得到更多的关注
39
TCSEC
超A1级系统涉及的范围包括: 系统体系结构 安全测试 形式化规约与验证 可信设计环境等
40
标准介绍
• 信息技术安全评估准则发展过程 • 可信计算机系统评估准则(TCSEC) • 可信网络解释 (TNI) • 通用准则CC • 《计算机信息系统安全保护等级划分准则》 • 信息安全保证技术框架 • 《信息系统安全保护等级应用指南》
9
TCSEC
• 在TCSEC中,美国国防部按处理信息的等级和应采用的 响应措施,将计算机安全从高到低分为:A、B、C、D 四类八个级别,共27条评估准则
• 随着安全等级的提高,系统的可信度随之增加,风险 逐渐减少。
10
四个安全等级: 无保护级 自主保护级 强制保护级 验证保护级
TCSEC
5
信息技术安全评估准则发展过程
• 在1993年6月,CTCPEC、FC、TCSEC和ITSEC的发起组织 开始联合起来,将各自独立的准则组合成一个单一的、 能被广泛使用的IT安全准则
• 发起组织包括六国七方:加拿大、法国、德国、荷兰、 英国、美国NIST及美国NSA,他们的代表建立了CC编辑 委员会(CCEB)来开发CC
TCSEC
• C类为自主保护级 • 具有一定的保护能力,采用的措施是自主访问控制和
审计跟踪 • 一般只适用于具有一定等级的多用户环境 • 具有对主体责任及其动作审1和C2两个级别: 自主安全保护级(C1级) 控制访问保护级(C2级)
15
TCSEC
• C1级TCB通过隔离用户与数据,使用户具备自主安全保 护的能力
析 • 分析可以是形式化或非形式化的,也可以是理论的或应
用的
48
可信网络解释(TNI)
第二部分中列出的安全服务有: 通信完整性 拒绝服务 机密性
49
可信网络解释(TNI)
通信完整性主要涉及以下3方面: 鉴别:网络中应能够抵抗欺骗和重放攻击 通信字段完整性:保护通信中的字段免受非授权的
• 80年代后,美国国防部发布的“可信计算机系统评估 准则(TCSEC)”(即桔皮书)
• 后来DOD又发布了可信数据库解释(TDI)、可信网络 解释(TNI)等一系列相关的说明和指南
• 90年代初,英、法、德、荷等四国针对TCSEC准则的局 限性,提出了包含保密性、完整性、可用性等概念的 “信息技术安全评估准则”(ITSEC),定义了从E0级 到E6级的七个安全等级
• 20世纪60年代后期,1967年美国国防部(DOD)成立了 一个研究组,针对当时计算机使用环境中的安全策略 进行研究,其研究结果是“Defense Science Board report”
• 70年代的后期DOD对当时流行的操作系统KSOS,PSOS, KVM进行了安全方面的研究
3
信息技术安全评估准则发展过程
41
可信网络解释(TNI)
• 美国国防部计算机安全评估中心在完成TCSEC的基础 上,又组织了专门的研究镞对可信网络安全评估进行 研究,并于1987年发布了以TCSEC为基础的可信网络 解释,即TNI。
• TNI包括两个部分(Part I和Part II)及三个附录 (APPENDIX A、B、C)
21
TCSEC
B类分为三个类别: 标记安全保护级(B1级) 结构化保护级(B2级) 安全区域保护级(B3级)
22
TCSEC
• 在B2级系统中,TCB建立于一个明确定义并文档化形式 化安全策略模型之上
• 要求将B1级系统中建立的自主和强制访问控制扩展到 所有的主体与客体
• 在此基础上,应对隐蔽信道进行分析 • TCB应结构化为关键保护元素和非关键保护元素
27
TCSEC
B3级系统支持: 安全管理员职能 扩充审计机制 当发生与安全相关的事件时,发出信号 提供系统恢复机制 系统具有很高的抗渗透能力
28
四个安全等级: 无保护级 自主保护级 强制保护级 验证保护级
TCSEC
29
TCSEC
• A类为验证保护级 • A类的特点是使用形式化的安全验证方法,保证系统的
11
TCSEC
• D类是最低保护等级,即无保护级 • 是为那些经过评估,但不满足较高评估等级要求的系
统设计的,只具有一个级别 • 该类是指不符合要求的那些系统,因此,这种系统不
能在多用户环境下处理敏感信息
12
四个安全等级: 无保护级 自主保护级 强制保护级 验证保护级
TCSEC
13