安全评估培训课件.ppt

1、 安全评估安全评估2005-2007第1页，共55页。ToC 安全评估准则 DOD/TCSEC橘皮书 DOD/TNI红皮书 ITSEC CSSC NIST/FIPS CC BS7799 密码设备的评估 安全方案的规划 需求分析 具体方案 基础设施 产品规划第2页，共55页。关于安全评估 需要什么样的安全 使用什么技术 买什么产品 对产品的评估 如何部署和实施 对运行系统的现状的评估 标准：关于建立、评估、审计第3页，共55页。沿革关系 TCSEC/85/AM ITSEC/90/EU CTCPEC/90/CA FC/91/AM CC/95(99IS)BS7799/95/EN ISO17799/2

2、000/ISO第4页，共55页。DOD/TCSEC第5页，共55页。C级 自主保护级 C级 具有一定的保护能力，采用自主访问控制和审计跟踪 一般只适用于具有一定等级的多用户环境 具有对主体责任及其动作审计的能力 C1级 自主安全保护级 隔离用户与数据，使用户具备自主安全保护的能力 为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏 适用于处理同一敏感级别数据的多用户环境 C2级 控制访问保护级 比C1级具有更细粒度的自主访问控制 通过注册过程控制、审计安全相关事件以及资源隔离，使单个用户为其行为负责 第6页，共55页。B级 强制保护级 B级 维护完整的安全标记，并在

3、此基础上执行一系列强制访问控制规则 主要数据结构必须携带敏感标记 提供安全策略模型以及规约 应提供证据证明访问监控器得到了正确的实施 B1级 标记安全保护级 要求具有C2级系统的所有特性 应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制 消除测试中发现的所有缺陷第7页，共55页。-B2级 结构化保护级 要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体 鉴别机制应得到加强，提供可信设施管理以支持系统管理员和操作员的职能 提供严格的配置管理控制 B2级系统应具备相当的抗渗透能力第8页，共55页。-B3 安全区域保护级 安全管理员职能 扩充审计机制 当发生与

4、安全相关的事件时，发出信号 提供系统恢复机制 系统具有很高的抗渗透能力第9页，共55页。A级 验证保护级 A级 使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息 为证明满足设计、开发及实现等各个方面的安全要求，系统应提供丰富的文档信息 A1级 验证设计级 在功能上和B3级系统是相同的 要求用形式化设计规范和验证方法来对系统进行分析，确保按设计要求实现第10页，共55页。-超A1级 系统体系结构 安全测试 形式化规约与验证 可信设计环境等第11页，共55页。TNI TNI Trusted Network Interpretation

5、 of the TCSEC Goto“TNI.htm”“TNIEG.htm”Content Part I Part II APPENDIX A,B,C第12页，共55页。TNI/I Part I of this document provides interpretations of the Department of Defense Trusted Computer System Evaluation Criteria (TCSEC)(DOD-5200.28-STD),for trusted computer/communications network systems.The specif

6、ic security feature,the assurance requirements,and the rating structure of the TCSEC are extended to networks of computers ranging from isolated local area networks to wide-area internetwork systems.第13页，共55页。TNI/II Part II of this document describes a number of additional security services (e.g.,co

7、mmunications integrity,denial of service,transmission security)that arise in conjunction with networks.Those services available in specific network offerings,while inappropriate for the rigorous evaluation applied to TCSEC related feature and assurance requirements,may receive qualitative ratings.第1

8、4页，共55页。ITSEC ITSEC by European Union Information Technology Security Evaluation Criteria Goto“itsec-en.pdf”Ex递增 E0 无安全保证 E1 有安全目标和关于体系结构设计的非形式化描述 E2 对详细设计有非形式化的描述第15页，共55页。-E3 评估源代码或硬件设计图 E4 有对安全目标/策略的基本形式模型 E5 设计和源代码/硬件有紧密的对应关系 E6 安全功能/体系结构设计与安全目标/策略模型一致第16页，共55页。CSSCCTCPEC CSSC:CTCPEC Goto“ctcpec

9、1.pdf”Canadian System Security Centre:Canadian Trusted Computer Product Evaluation Criteria It is a computer security standard comparable to the American TCSEC(Orange Book)but somewhat more advanced.It has been superseded by the international Common Criteria standard.可和TCSEC相比，但更进步 已被国际标准CC替代第17页，共5

10、5页。NIST/FIPS第18页，共55页。CC第19页，共55页。CC 3Parts Part 1Introduction and General Model Part 2Security Functional Requirements Annexes Part 3Security Assurance Requirements refto:/addon_11/CC_Overview.ppt第20页，共55页。CC/EALEvaluation Assurance Levels EAL1：功能测试 EAL2：结构测试 EAL3：系统测试和检查 EAL4：系统设计、测试和复查 EAL5：半形式化设

11、计和测试 EAL6：半形式化验证的设计和测试 EAL7：形式化验证的设计和测试第21页，共55页。EAL1:Functional Test Confidence in current operation is required No assistance from TOE developer Applicable where threat to security is not serious Independent testing against specification and guidance documentation 第22页，共55页。EAL2:Structural Test Re

12、quires some cooperation of the developer Adds requirements for configuration list,delivery,high-level design documentation,developer functional testing,vulnerability analysis,and more extensive independent testing第23页，共55页。EAL3:Methodical Test and Check Requires some positive security engineering at

13、 the design stage,with minimal changes to existing practices Added assurance through investigation of product and development environment controls,and high-level design documentation Places additional requirements on testing,development environment controls and TOE configuration management第24页，共55页。

14、EAL4:Methodical Design,Test,and Review Highest level likely for retrofit of an existing product Additional requirements on design,implementation,vulnerability analysis,low level design documentation,development and system automated configuration management,and an informal security policy model第25页，共

15、55页。EAL5:Semiformal Design and Test Higher assurance,risk situations where some penetration resistance is needed Requires rigorous commercial development practices and moderate use of specialist engineering techniques Additional requirements on semi-formal functional specification,high-level design,

16、and their correspondence,vulnerability,and covert channel analysis第26页，共55页。EAL6:Semiformally Verified Design and Tested High Assurance-where penetration resistance is necessary Additional requirements on analysis,layered TOE design,semi-formal low-level design documentation,complete CM system autom

17、ation and a structured development environment,and vulnerability/covert channel analysis第27页，共55页。EAL7:Formally Verified Design and Tested Highest assurance where high resistance to penetration is necessary Assurance is gained through application of formal methods in the documentation of the functio

18、nal specification and high-level design Additional requirements for complete developer testing and complete independent confirmation of the test results第28页，共55页。COMP CCTCSECITSEC-DE0EAL1-EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E6第29页，共55页。BS7799 BS7799 by BSI the British Standards Institution

19、 2000,ISO/17799 Goto:“BS7799-1_1999(ISO).doc”Two parts ISO17799 BS7799-2第30页，共55页。BS7799s介绍 有关敏感资料管理的国际认可标准，强调资料的保密性及完整性。此标准可分为两部份：首部份为准则部份，旨在协助机构确认其运作对资料保密方面的影响，这项准则已纳入ISO品质认证的范畴之内（ISO 17799认证），涵盖10大范畴，127控制点；次部份为施行细则，是有关资料保密管理系统 Information Security Management System 的架构、目标以及监控。BS7799认证标准早于一九九五年确立

20、，旨在协助各行各业及政府机构加强资料保安，一直获各地机构广泛采用，某些国家政府更将BS7799认证列为全国通用的标准。第31页，共55页。Parts 1,2 Part 1:ISO/IEC 17799:2000 the standard code of practice and can be regarded as a comprehensive catalogue of good security things to do.Part 2:BS7799-2:2002 Specify for security management a standard specification for an I

21、nformation Security Management Systems(ISMS).An ISMS is the means by which Senior Management monitor and control their security,minimising the residual business risk and ensuring that security continues to fulfil corporate,customer and legal requirements.第32页，共55页。ToC of P1Information security polic

22、y Security organization Assets classification and control Personal security Physical and environmental security Computer and network management System access control System development and maintenance Business continuity planning Compliance第33页，共55页。BS7799认证第34页，共55页。links第35页，共55页。对密码设备的评估 国内相关的法规

23、商用密码管理条例 国外 NIST FIPS 140-2 http:/csrc.nist.gov/cryptval/140-2.htm http:/csrc.nist.gov/cryptval/Goto“fips140-2.pdf”“fips140-2_SL.1-4.txt”“fips140faq.htm”第36页，共55页。Security Level 1/该级提供安全的最低水平。不要求物理安全机制。一个例子就是PC机加密板。/该级允许在未经评估的一般商用机器系统上运行你的密码模块。这主要是为了方便一些低安全需求的场合。“fips140-2_SL.1-4.txt”第37页，共55页。Secur

24、ity Level 2/该级增加了防干扰或窜改的物理安全机制要求，包括封装、封条、防撬等。/该级要求最小的基于角色的认证。/该级允许相关部件运行在具有EAL2/CC安全级别的计算系统上。第38页，共55页。Security Level 3/该级阻止试图对密码模块的入侵，并在必要时自毁敏感信息。/该级要求基于标识的认证机制。/该级系统得具有EAL3/CC安全级。第39页，共55页。Security Level 4/该级对密码模块提供彻底的封装保护，能探测到非授权的物理访问，并能及时的删除所有明文信息。/必须考虑外部的高温、高压导致的操作失效；非正常操作可以引发故意的内部爆炸。/该级系统得运行在E

25、AL4/CC以上安全级上。第40页，共55页。Links第41页，共55页。Rainbow Series Library第42页，共55页。第43页，共55页。国内的安全评测与等级 关于国外标准 GB 计算机信息系统安全保护条例/94 goto 商用密码管理条例 goto 计算机信息系统安全保护等级划分准则 第一级：用户自主保护级 第二级：系统审计保护级 第三级：安全标记保护级 第四级：结构化保护级 第五级：访问验证保护级第44页，共55页。附 准则 计算机信息系统安全保护等级划分准则第45页，共55页。学习：外部资料 Goto“certificationsystem.pdf”第46页，共55

26、页。整体安全解决方案的规划 需求分析 具体方案 基础设施 产品规划第47页，共55页。需求分析 环境与策略 安全功能 性能考虑 运行开销 标准化和国际化 用户接受性第48页，共55页。具体方案 标准和产品 体系结构布局 安全技术和算法 失败-恢复策略第49页，共55页。基础设施 命名管理 安全管理基础设施 认证 访问控制 密钥管理 证书管理 配置管理 远程监视 安全审计追踪报警第50页，共55页。产品规划 产品周期 设计 制造 运输 安装 操作 维护 退役 评价和认可第51页，共55页。应用系统案例考虑 图书馆信息管理系统 提供的服务和功能 面临的主要安全问题 要求的安全服务 建议的安全机制和方案 访问控制 学生宿舍网络系统 第52页，共55页。links第53页，共55页。Q&A 第54页，共55页。演讲完毕，谢谢观看！第55页，共55页。