1、2023年1月14日星期六网络系统安全评估及高网络系统安全评估及高危漏洞危漏洞提纲提纲安全态势(15分钟)安全标准与风险评估(90分钟)概述(15分钟)通用准则CC(45分钟)BS7799(30分钟)休息(15分钟)系统高危漏洞(60分钟)概述(10分钟)20个最危险的安全漏洞(25分钟)网络安全维护(20分钟)安全编程与其他安全技术领域(5分钟)安全态势安全态势安全态势安全态势近年网络安全态势近年网络安全态势任何组织都会遭受到的攻击每年发现的漏洞数量飞速上升发起攻击越来越容易、攻击能力越来越强黑客职业化攻击方式的转变不为人知的威胁 zero-day特点特点任何组织都会遭受攻击任何组织都会遭受
2、攻击每年发现的漏洞数量飞速上升每年发现的漏洞数量飞速上升每年发现的漏洞数量飞速上升 2004年CVE全年收集漏洞信息1707条 到2005年到5月6日就已经达到1470条年份年份漏洞数量漏洞数量1999742200040420018322002100620031049200417072005*1479发起攻击越来越容易、攻击能力越来越强发起攻击越来越容易、攻击能力越来越强黑客的职业化之路黑客的职业化之路不再是小孩的游戏,而是与¥挂钩职业入侵者受网络商人或商业间谍雇佣不在网上公开身份,不为人知,但确实存在!攻击水平通常很高,精通多种技术攻击者对自己提出了更高的要求,不再满足于普通的技巧而转向底层
3、研究面临严峻的安全形势面临严峻的安全形势SQL Injection等攻击方式对使用者要求较低缓冲区溢出、格式串攻击已公开流传多年,越来越多的人掌握这些技巧少部分人掌握自行挖掘漏洞的能力,并且这个数量在增加漏洞挖掘流程专业化,工具自动化“看不见的风险”厂商为了声誉不完全公开产品的安全缺陷:漏洞私有,不为人知网络安全事件造成巨大损失网络安全事件造成巨大损失在FBI/CSI的一次抽样调查结果:被调查的企业2004年度由于网络安全事件直接造成的损失就达到1.4亿美元怠工、蓄意破坏 系统渗透 Web页面替换 电信欺诈 电脑盗窃 无线网络的滥用 私有信息窃取 公共web应用的滥用 非授权访问 金融欺诈 内
4、部网络的滥用 拒绝服务攻击 病毒事件 发生的网络安全事件类型(多选)来源:来源:信息网络安全状况调查常用管理方法常用管理方法来源:来源:信息网络安全状况调查来源:来源:信息网络安全状况调查来源:来源:信息网络安全状况调查安全设计四步方法论安全设计四步方法论ISSF模型模型安全设计和安全域安全设计和安全域/等级保护的结合等级保护的结合(示例)示例)等级组织体系管理体系技术体系机构建设人员管理制度管理风险管理资产管理技术管理安全评估安全防护入侵检测应急恢复123 4 5 安全体系的全面性 措施分级保护、适度安全 强度分级 三分技术,七分管理网络系统安全风险评估网络系统安全风险评估网络系统安全风险评
5、估网络系统安全风险评估l 组织实现信息安全的必要的、重要的步骤组织实现信息安全的必要的、重要的步骤风险评估的目的风险评估的目的l 了解组织的安全现状了解组织的安全现状l 分析组织的安全需求分析组织的安全需求l 建立信息安全管理体系的要求建立信息安全管理体系的要求l 制订安全策略和实施安防措施的依据制订安全策略和实施安防措施的依据风险的四个要素:l 资产及其价值l 威胁l 脆弱性l 现有的和计划的控制措施风险的要素资产的分类 电子信息资产电子信息资产 软件资产软件资产 物理资产物理资产 人员人员 公司形象和名誉公司形象和名誉威胁举例:黑客入侵和攻击黑客入侵和攻击病毒和其他恶意程序病毒和其他恶意程
6、序软硬件故障软硬件故障人为误操作人为误操作自然灾害如:地震、火灾、爆炸等自然灾害如:地震、火灾、爆炸等盗窃盗窃网络监听网络监听供电故障供电故障后门后门未授权访问未授权访问脆弱性是与信息资产有关的弱点或安全隐患。是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害,但是在一定条件得到满足时,脆弱性脆弱性本身并不对资产构成危害,但是在一定条件得到满足时,脆弱性会被威胁加以利用来对信息资产造成危害。会被威胁加以利用来对信息资产造成危害。脆弱性举例:系统漏洞系统漏洞程序程序Bug专业人员缺乏专业人员缺乏不良习惯不良习惯系统没有进行安全配置系统没有进行安全配置物理环境不安全物理环境不安全缺少审
7、计缺少审计缺乏安全意识缺乏安全意识后门后门风险的要素风险分析矩阵风险分析矩阵风险程度风险程度 可能性 后果可以忽略1较小2中等3较大4灾难性5A(几乎肯定)HHEEEB(很可能)MHH EEC (可能)LMHEED(不太可能)LLMHEE(罕见)LLMHH E E:极度风险:极度风险 H H:高风险:高风险 M M:中等风险:中等风险 L:L:低风险低风险国际上常见的风险控制流程国际上常见的风险控制流程确定风险评估方法确定风险评估方法 风险评估风险评估确定安全需求确定安全需求法律、法规法律、法规系统任务和使命系统任务和使命系统建设阶段、规模系统建设阶段、规模资产、威胁、资产、威胁、脆弱性、现有
8、措施脆弱性、现有措施法律、法规,系统法律、法规,系统任务和使命、评估结果任务和使命、评估结果制定安全策略制定安全策略选择风险控制措施选择风险控制措施验证措施实施效果验证措施实施效果安全需求安全需求技术限制、资源限制技术限制、资源限制安全需求、安全需求、实施效果实施效果安全策略文件安全策略文件风险评估报告风险评估报告安全需求报告安全需求报告风险管理方案风险管理方案适用性声明适用性声明验证报告验证报告风险评估要素关系模型安全措施 抗击业务战略脆弱性安全需求威胁风险残余风险安全事件依赖拥有被满足利用暴露降低增加增加增加导出演变 未被满足未控制可能诱发残留成本资产资产价值信息系统是一个巨型复杂系统(系
9、统要素、安全要素)信息系统是一个巨型复杂系统(系统要素、安全要素)信息系统受制于外部因素(物理环境、行政管理、人员)信息系统受制于外部因素(物理环境、行政管理、人员)作业连续性保证作业连续性保证威胁和风险在同领域内的相似性威胁和风险在同领域内的相似性自评估、委托评估、检察评估自评估、委托评估、检察评估评估工具评估工具目前存在以下几类:评估工具目前存在以下几类:扫描工具:扫描工具:包括主机扫描、网络扫描、数据库扫描,用于分析系统的常见漏洞;包括主机扫描、网络扫描、数据库扫描,用于分析系统的常见漏洞;入侵检测系统(入侵检测系统(IDSIDS):):用于收集与统计威胁数据;用于收集与统计威胁数据;渗
10、透性测试工具:渗透性测试工具:黑客工具,用于人工渗透,评估系统的深层次漏洞;黑客工具,用于人工渗透,评估系统的深层次漏洞;主机安全性审计工具:主机安全性审计工具:用于分析主机系统配置的安全性;用于分析主机系统配置的安全性;安全管理评价系统:安全管理评价系统:用于安全访谈,评价安全管理措施;用于安全访谈,评价安全管理措施;风险综合分析系统:风险综合分析系统:在基础数据基础上,定量、综合分析系统的风险,并且提供分类统在基础数据基础上,定量、综合分析系统的风险,并且提供分类统计、查询、计、查询、TOP N查询以及报表输出功能;查询以及报表输出功能;评估支撑环境工具评估支撑环境工具:评估指标库、知识库
11、、漏洞库、算法库、模型库。评估指标库、知识库、漏洞库、算法库、模型库。GB 18336 idt ISO/IEC 15408信息技术安全性评估准则信息技术安全性评估准则IATF 信息保障技术框架信息保障技术框架ISSE 信息系统安全工程信息系统安全工程SSE-CMM系统安全工程能力成熟度模型系统安全工程能力成熟度模型BS 7799,ISO/IEC 17799信息安全管理实践准则信息安全管理实践准则其他相关标准、准则其他相关标准、准则例如:例如:ISO/IEC 15443,COBIT。系统认证和认可标准和实践系统认证和认可标准和实践例如:美国例如:美国DITSCAP,中国信息安全产品测评认证中心中
12、国信息安全产品测评认证中心相关文档和系统测评认证实践相关文档和系统测评认证实践技术准则技术准则(信息技术系统评估准则)(信息技术系统评估准则)管理准则管理准则(信息系统管理评估准则)(信息系统管理评估准则)过程准则过程准则(信息系统安全工程评估准则)(信息系统安全工程评估准则)信信息息系系统统安安全全保保障障评评估估准准则则与现有标准关系信息系统安全保障评估准则信息系统安全保障评估准则信息技术安全评估准则发展过程信息技术安全评估准则发展过程 可信计算机系统评估准则可信计算机系统评估准则TCSEC信息技术安全评估准则信息技术安全评估准则ITSEC通用准则通用准则CC(ISO 15408、GB/T
13、18336)计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则BS7799、ISO17799信息技术信息技术 安全技术安全技术 信息技术安全性评估准则信息技术安全性评估准则ISO13335 IT安全管理指南安全管理指南SSE-CMM 系统安全工程能力成熟度模型系统安全工程能力成熟度模型我国的信息安全标准制定情况我国的信息安全标准制定情况标准介绍标准介绍保障信息安全有三个支柱,一个是技术、一个是管理、一个是法律法规。国家的法律法规,有专保障信息安全有三个支柱,一个是技术、一个是管理、一个是法律法规。国家的法律法规,有专门的部门在研究和制定和推广。门的部门在研究和制定和推广。根据
14、国务院根据国务院27号文件,对信息安全实施分级安全保护的规定出台后,各有关部门都在积极制定相号文件,对信息安全实施分级安全保护的规定出台后,各有关部门都在积极制定相关的制度和法规,当前被普遍采用的技术标准的是关的制度和法规,当前被普遍采用的技术标准的是CC/ISO 15408,管理体系标准是,管理体系标准是ISO 17799/BS 7799。通用准则通用准则CCCC(ISO/IEC 15408(ISO/IEC 15408、GB/T18336GB/T18336)通用准则通用准则CC信息技术安全评估准则发展过程信息技术安全评估准则发展过程1999年 GB 17859 计算机信息系统安全保护等级划分
15、准则1991年欧洲信息技术安全性评估准则(ITSEC)国际通用准则1996年(CC1.0)1998年(CC2.0)1985年美国可信计算机系统评估准则(TCSEC)1993年 加拿大可信计算机产品评估准则(CTCPEC)1993年美国联邦准则(FC 1.0)1999年 国际标准ISO/IEC 154081989年 英国可信级别标准(MEMO 3 DTI)德国评估标准(ZSEIC)法国评估标准(B-W-R BOOK)2001年 国家标准GB/T 18336 信息技术安全性评估准则idt iso/iec154081993年美国NIST的MSFRCC的适用范围的适用范围CC定义了评估信息技术产品和系
16、统安全型所需的基础准则,是度量信息技术安全性的基准针对在安全评估过程中信息技术产品和系统的安全功能及相应的保证措施提出的一组通用要求,使各种相对独立的安全评估结果具有可比性。该标准适用于对信息技术产品或系统的安全性进行评估,不论其实现方式是硬件、固件还是软件,还可用于指导产品和系统开发。该标准的主要目标读者是用户、开发者、评估者。CC内容内容CC吸收了个先进国家对现代信息系统安全的经验和知识,对信息系统安全的研究和应用定来了深刻的影响。它分为三部分:第一部分介绍CC的基本概念和基本原理;第二部分提出了安全功能要求;第三部分提出了非技术性的安全保证要求。后两部分构成了CC安全要求的全部:安全功能
17、要求和安全保证要求,其中安全保证的目的是为了确保安全功能的正确性和有效性,这是从ITSEC和CTCPEC中吸收的。同时CC还从FC中吸收了保护轮廓的(PP)的概念,从而为CC的应用和发展提供了最大可能的空间和自由度。CC定义了作为评估信息技术产品和系统安全性的基础准则,提出了目前国际上公认的表述信息技术安全性的结构,即:安全要求安全要求=规范产品和系统安全行为的功能要求+解决如何正确有效的实施这些功能的保证要求。CC的关键概念的关键概念评估对象(评估对象(Target of Evaluation,TOE)用于安全评估的信息技术产品、系统或子系统(如防火墙、计算机网络、密码用于安全评估的信息技术
18、产品、系统或子系统(如防火墙、计算机网络、密码模块等),包括相关的管理员指南、用户指南、设计方案等文档。模块等),包括相关的管理员指南、用户指南、设计方案等文档。保护轮廓(保护轮廓(Protection Profile,PP)为既定的一系列安全对象提出功能和保证要求的完备集合,表达了一类产品或为既定的一系列安全对象提出功能和保证要求的完备集合,表达了一类产品或系统的用户需求。系统的用户需求。P P 与 某 个 具 体 的与 某 个 具 体 的 T O E 无 关,它 定 义 的 是 用 户 对 这 类无 关,它 定 义 的 是 用 户 对 这 类 T O E的安全需求。的安全需求。主要内容:需
19、保护的对象;确定安全环境;主要内容:需保护的对象;确定安全环境;TOE的安全目的;的安全目的;IT安全要求;基安全要求;基本原理本原理在标准体系中在标准体系中PP相当于产品标准,也有助于过程规范性标准的开发。相当于产品标准,也有助于过程规范性标准的开发。国内外已对应用级防火墙、包过滤防火墙、智能卡等开发了相应的国内外已对应用级防火墙、包过滤防火墙、智能卡等开发了相应的PP。CC的关键概念的关键概念安全目标(Security Target)ST针对具体TOE而言,它包括该TOE的安全要求和用于满足安全要求的特定安全功能和保证措施。ST包括的技术要求和保证措施可以直接引用该TOE所属产品或系统类的
20、PP。ST是开发者、评估者、用户在TOE安全性和评估范围之间达成一致的基础。ST相当于产品和系统的实现方案,与ITSEC的安全目标类似。TOE Security Policy(TSP)TOE安全策略控制TOE中资产如何管理、保护和分发的规则。CC的关键概念的关键概念TOE Security Functions(TSF)TOE安全功能必须依赖于TSP正确执行的TOE的所有部件。组件(Component)组件描述了一组特定的安全要求,使可供PP、ST或包选取的最小的安全要求集合。在CC中,以“类_族.组件号”的方式来标识组件。包(Package)组件依据某个特定关系的组合,就构成了包。构建包的目的
21、是定义那些公认有用的、对满足某个特定安全目的有效的安全要求。包可以用来构造更大的包,PP和ST。包可以重复使用。CC中有功能包和保证包两种形式。CC的关键概念的关键概念CC的关键概念的关键概念CC的关键概念的关键概念CC的先进性的先进性 结构的开放性结构的开放性 即功能要求和保证要求都可以在具体的即功能要求和保证要求都可以在具体的“保护轮廓保护轮廓”和和“安全目标安全目标”中进一步细化和扩展,中进一步细化和扩展,如可以增加如可以增加“备份和恢复备份和恢复”方面的功能要求或一些环境安全要求。这种开放式的结构更方面的功能要求或一些环境安全要求。这种开放式的结构更适应信息技术和信息安全技术的发展。适
22、应信息技术和信息安全技术的发展。表达方式的通用性表达方式的通用性 即给出通用的表达方式。如果用户、开发者、评估者、认可者等目标读者都使用即给出通用的表达方式。如果用户、开发者、评估者、认可者等目标读者都使用CC的的语言,互相之间就更容易理解沟通。例如,用户使用语言,互相之间就更容易理解沟通。例如,用户使用CC的语言表述自己的安全需求,的语言表述自己的安全需求,开发者就可以更具针对性地描述产品和系统的安全功能和性能,评估者也更容易有效开发者就可以更具针对性地描述产品和系统的安全功能和性能,评估者也更容易有效地进行客观评估,并确保用户更容易理解评估结果。这种特点对规范实用方案的编写地进行客观评估,
23、并确保用户更容易理解评估结果。这种特点对规范实用方案的编写和安全性测试评估都具有重要意义。在经济全球化发展、全球信息化发展的趋势下,和安全性测试评估都具有重要意义。在经济全球化发展、全球信息化发展的趋势下,这种特点也是进行合格评定和使评估结果实现国际互认的需要。这种特点也是进行合格评定和使评估结果实现国际互认的需要。CC的先进性的先进性结构和表达方式的内在完备性和实用性结构和表达方式的内在完备性和实用性体现在体现在“保护轮廓保护轮廓”和和“安全目标安全目标”的编制上。的编制上。“保护轮廓保护轮廓”主要用于表达一类产品或系统的用户需求,在标准化体系中可以作为主要用于表达一类产品或系统的用户需求,
24、在标准化体系中可以作为安全技术类标准对待。安全技术类标准对待。内容主要包括:内容主要包括:对该类产品或系统的界定性描述,即确定需要保护的对象;对该类产品或系统的界定性描述,即确定需要保护的对象;确定安全环境,即指明安全问题确定安全环境,即指明安全问题需要保护的资产、已知的威胁、用户的需要保护的资产、已知的威胁、用户的组织安全策略;组织安全策略;产品或系统的安全目的,即对安全问题的相应对策产品或系统的安全目的,即对安全问题的相应对策技术性和非技术性措技术性和非技术性措施;施;信息技术安全要求,包括功能要求、保证要求和环境安全要求,这些要求通信息技术安全要求,包括功能要求、保证要求和环境安全要求,
25、这些要求通过满足安全目的,进一步提出具体在技术上如何解决安全问题;过满足安全目的,进一步提出具体在技术上如何解决安全问题;基本原理,指明安全要求对安全目的、安全目的对安全环境是充分且必要的;基本原理,指明安全要求对安全目的、安全目的对安全环境是充分且必要的;附加的补充说明信息。附加的补充说明信息。“保护轮廓保护轮廓”编制,一方面解决了技术与真实客观需求之间的内在完备性;编制,一方面解决了技术与真实客观需求之间的内在完备性;另一方面用户通过分析所需要的产品和系统面临的安全问题,明确所需的安另一方面用户通过分析所需要的产品和系统面临的安全问题,明确所需的安全策略,进而确定应采取的安全措施,包括技术
26、和管理上的措施,这样就有全策略,进而确定应采取的安全措施,包括技术和管理上的措施,这样就有助于提高安全保护的针对性、有效性。助于提高安全保护的针对性、有效性。“安全目标安全目标”在在“保护轮廓保护轮廓”的基础上,通过将安全要求进一步针对性具体化,的基础上,通过将安全要求进一步针对性具体化,解决了要求的具体实现。常见的实用方案就可以当成解决了要求的具体实现。常见的实用方案就可以当成“安全目标安全目标”对待。对待。通过通过“保护轮廓保护轮廓”和和“安全目标安全目标”这两种结构,就便于将这两种结构,就便于将CC的安全性要求具体应的安全性要求具体应用到用到IT产品的开发、生产、测试、评估和信息系统的集
27、成、运行、评估、管理产品的开发、生产、测试、评估和信息系统的集成、运行、评估、管理中。中。CC的先进性的先进性CC内容之间的关系内容之间的关系CC的三个部分相互依存,缺一不可。的三个部分相互依存,缺一不可。第第1部分是介绍部分是介绍CC的基本概念和基本原理;的基本概念和基本原理;第第2部分提出了技术要求;部分提出了技术要求;第第3部分提出了非技术性要求和对开发过程、工程过程的要求。部分提出了非技术性要求和对开发过程、工程过程的要求。三个部分有机地结合成一个整体。三个部分有机地结合成一个整体。具体体现在具体体现在“保护轮廓保护轮廓”和和“安全目标安全目标”中,中,“保护轮廓保护轮廓”和和“安全目
28、标安全目标”的概念和原理的概念和原理由第由第1部分介绍,部分介绍,“保护轮廓保护轮廓”和和“安全目标安全目标”中的安全功能要求和安全保证要求在第中的安全功能要求和安全保证要求在第2、3部分选取,这些安全要求的完备性和一致性,由第部分选取,这些安全要求的完备性和一致性,由第2、3两部分来保证。两部分来保证。保护轮廓与安全目标的关系保护轮廓与安全目标的关系通用准则通用准则CCCC包括三个部分包括三个部分:第一部分:简介和一般模型第一部分:简介和一般模型 第二部分:安全功能要求第二部分:安全功能要求 第三部分:安全保证要求第三部分:安全保证要求 通用准则通用准则CC:第一部分:第一部分 介绍和通用模
29、型介绍和通用模型安全就是保护资产不受威胁,威胁可依据滥用被保护资产的可能性进行安全就是保护资产不受威胁,威胁可依据滥用被保护资产的可能性进行分类分类 所有的威胁类型都应该被考虑到所有的威胁类型都应该被考虑到在安全领域内,被高度重视的威胁是和人们的恶意攻击及其它人类活动在安全领域内,被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的相联系的 CC 第一部分内容(第一部分内容(1)CC 第一部分内容(第一部分内容(2)通用准则通用准则CCCC中安全需求的描述方法中安全需求的描述方法:包包:组件的中间组合被称为包组件的中间组合被称为包 保护轮廓保护轮廓(PP):PP是关于一系列满足一个安全目标
30、集的是关于一系列满足一个安全目标集的TOE的、与实现无关的描述的、与实现无关的描述 安全目标安全目标(ST):ST是针对特定是针对特定TOE安全要求的描述,通过评估可以证明这些安全要求安全要求的描述,通过评估可以证明这些安全要求对满足指定目的是有用和有效的对满足指定目的是有用和有效的通用准则通用准则CC包允许对功能或保证需求集合的描述,这个集合能够满足一个安全目标的可标识子集包允许对功能或保证需求集合的描述,这个集合能够满足一个安全目标的可标识子集包可重复使用,可用来定义那些公认有用的、能够有效满足特定安全目标的要求包可重复使用,可用来定义那些公认有用的、能够有效满足特定安全目标的要求包可用在
31、构造更大的包、包可用在构造更大的包、PP和和ST中中 通用准则通用准则CCPP包含一套来自包含一套来自CC(或明确阐述)的安全要求,它应包括一个评估保证级别(或明确阐述)的安全要求,它应包括一个评估保证级别(EAL)PP可反复使用,还可用来定义那些公认有用的、能够有效满足特定安全目标的可反复使用,还可用来定义那些公认有用的、能够有效满足特定安全目标的TOE要求要求PP包括安全目的和安全要求的基本原理包括安全目的和安全要求的基本原理 PP的开发者可以是用户团体、的开发者可以是用户团体、IT产品开发者或其它对定义这样一系列通用要求有兴趣的产品开发者或其它对定义这样一系列通用要求有兴趣的团体团体 通
32、用准则通用准则CC:保护轮廓内容结构:保护轮廓内容结构通用准则通用准则CC安全目标安全目标(ST)包括一系列安全要求,这些要求可以引用包括一系列安全要求,这些要求可以引用PP,也可以直接引用,也可以直接引用CC中的功中的功能或保证组件,或明确说明能或保证组件,或明确说明一个一个ST包含包含TOE的概要规范,安全要求和目的,以及它们的基本原理的概要规范,安全要求和目的,以及它们的基本原理ST是所有团体间就是所有团体间就TOE应提供什么样的安全性达成一致的基础应提供什么样的安全性达成一致的基础 通用准则通用准则CC:安全目标:安全目标ST内容结构内容结构通用准则通用准则CCCC框架下的评估类型框架
33、下的评估类型 PP评估评估PP评估的目标是为了证明评估的目标是为了证明PP是完备的、一致的、技术合理的,而且适合于作为是完备的、一致的、技术合理的,而且适合于作为一个可评估一个可评估TOE的安全要求的声明的安全要求的声明ST评估评估ST评估具有双重目标:评估具有双重目标:首先是为了证明首先是为了证明ST是完备的、一致的、技术合理的,而且适合于用作相应是完备的、一致的、技术合理的,而且适合于用作相应TOE评估的基础评估的基础其次,当某一其次,当某一ST宣称与某一宣称与某一PP一致时,证明一致时,证明ST满足该满足该PP的要求的要求TOE评估评估 TOE评估的目标是为了证明评估的目标是为了证明TO
34、E满足满足ST中的安全要求中的安全要求通用准则通用准则CC三种评估的关系三种评估的关系评估PP评估TOEPP分类评估ST证书分类PP评估结果TOE评估结果ST评估结果已评估过的TOE通用准则通用准则CC 第二部分:安全功能要求第二部分:安全功能要求CC的第二部分是安全功能要求,对满足安全需求的诸安全功能提出了详细的要求的第二部分是安全功能要求,对满足安全需求的诸安全功能提出了详细的要求另外,如果有超出第二部分的安全功能要求,开发者可以根据另外,如果有超出第二部分的安全功能要求,开发者可以根据“类类-族族-组件组件-元素元素”的的描述结构表达其安全要求,并附加在其描述结构表达其安全要求,并附加在
35、其ST中中通用准则通用准则CC 第二部分:安全功能要求第二部分:安全功能要求通用准则通用准则CC 第二部分:安全功能要求第二部分:安全功能要求通用准则通用准则CC 第二部分:安全功能要求第二部分:安全功能要求通用准则通用准则CC 第二部分:安全功能要求第二部分:安全功能要求安全功能需求层次关系安全功能需求层次关系功能和保证要求以“类族组件”的结构表述,组件作为安全要求的最小构件块,可以用于“保护轮廓”、“安全目标”和“包”的构建,例如由保证组件构成典型的包“评估保证级包”。通用准则通用准则CCCC共包含的共包含的11个安全功能类,如下:个安全功能类,如下:FAU类:安全审计类:安全审计FCO类
36、:通信类:通信FCS类:密码支持类:密码支持FDP类:用户数据保护类:用户数据保护FIA类:标识与鉴别类:标识与鉴别FMT类:安全管理类:安全管理FPR类:隐秘类:隐秘FPT类:类:TSF保护保护FAU类:资源利用类:资源利用FTA类:类:TOE访问访问FTP类:可信路径类:可信路径/信道信道通用准则通用准则CC:第三部分:第三部分 评估方法评估方法CC的第三部分是评估方法部分,提出了的第三部分是评估方法部分,提出了PP、ST、TOE三种评估,共包括三种评估,共包括10个类,但其个类,但其中的中的APE类与类与ASE类分别介绍了类分别介绍了PP与与ST的描述结构及评估准则的描述结构及评估准则维
37、护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求只有七个安全保证类是只有七个安全保证类是TOE的评估类别的评估类别 通用准则通用准则CC:第三部分:第三部分 评估方法评估方法CC的第三部分是评估方法部分,提出了的第三部分是评估方法部分,提出了PP、ST、TOE三种评估,共包括三种评估,共包括10个类,但其个类,但其中的中的APE类与类与ASE类分别介绍了类分别介绍了PP与与ST的描述结构及评估准则的描述结构及评估准则维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求维护类提出了保证评估过的受
38、测系统或产品运行于所获得的安全级别上的要求只有七个安全保证类是只有七个安全保证类是TOE的评估类别的评估类别 通用准则通用准则CC:第三部分:第三部分 评估方法评估方法通用准则通用准则CC:第三部分:第三部分 评估方法评估方法通用准则通用准则CC:第三部分:第三部分 评估方法评估方法通用准则通用准则CC:第三部分:第三部分 评估方法评估方法通用准则通用准则CC:第三部分:第三部分 评估方法评估方法通用准则通用准则CC七个安全保证类七个安全保证类1.ACM类:配置管理类:配置管理CM 自动化自动化CM 能力能力CM 范围范围2.ADO类:交付和运行类:交付和运行交付交付安装、生成和启动安装、生成
39、和启动3.ADV类:开发类:开发功能规范功能规范高层设计高层设计实现表示实现表示TSF内部内部低层设计低层设计表示对应性表示对应性安全策略模型安全策略模型4.AGD类:指南文档类:指南文档管理员指南管理员指南用户指南用户指南5.ALC类:生命周期支持类:生命周期支持开发安全开发安全缺陷纠正缺陷纠正生命周期定义生命周期定义工具和技术工具和技术6.ATE类:测试类:测试覆盖范围覆盖范围深度深度功能测试功能测试独立性测试独立性测试7.AVA类:脆弱性评定类:脆弱性评定隐蔽信道分析隐蔽信道分析误用误用TOE安全功能强度安全功能强度脆弱性分析脆弱性分析通用准则通用准则CC通用准则通用准则CC 安全保证要
40、求部分提出了七个评估保证级别(安全保证要求部分提出了七个评估保证级别(Evaluation Assurance Levels:EALs)分别是:)分别是:通用准则通用准则CC:EAL解释通用准则通用准则CC:EAL解释CC的的EAL与其他标准等级的比较与其他标准等级的比较PP基本原理对PP进行评估的依据,证明PP是一个完整的、紧密结合的要求集合,满足该PP的TOE将在安全环境内提供一组有效的IT安全对策安全目的基本原理安全要求基本原理威胁组织安全策略假设安全需求IT安全要求TOE 目的环境的目的安全目的相互支持支持支持恰好满足恰好满足恰好满足恰好满足功能强度声明一致一致威胁举例威胁举例T.RE
41、PLAY 重放当截获了有效用户的识别和鉴别数据后,未授权用户可能在将来使用这些鉴别数据,以访问TOE提供的功能。安全目的举例安全目的举例O.SINUSE 单用途TOE必须防止用户重复使用鉴别数据,尝试通过互连网络在TOE上进行鉴别。O.SECFUN 安全功能TOE必须提供一种功能使授权管理员能够使用TOE的安全功能,并且确保只有授权管理员才能访问该功能。O.SINUSEFIA_ATD.1 用户属性定义:允许为每个用户单独保存其用户安全属性。FIA_UAU.1 鉴别定时:允许用户在身份被鉴别前,实施一定的动作。FIA_UAU.4 单用户鉴别机制:需要操作单用户鉴别数据的鉴别机制。FMT_MSA.
42、3 静态属性初始化:确保安全属性的默认值是允许的或限制某行为的。TOE安全功能要求举例安全功能要求举例TOE安全功能要求举例安全功能要求举例FMT_MOF.1 安全功能行为的管理:允许授权用户管理TSF中使用规则或有可管理的指定条件的功能行为。FAU_STG.1 受保护的审计踪迹存储:放在审计踪迹中的数据将受到保护,以避免未授权的删除或修改。FAU_STG.4 防止审计数据丢失:规定当审计踪迹溢满时的行动。O.SECFUNPP示例示例“包过滤防火墙安全技术要求”(GB 18019-99)“应用级防火墙安全技术要求”(GB18020-99)“路由器安全技术要求”(GB18018-99)“电信智能
43、卡安全技术要求”“网上证券委托系统安全技术要求”通用准则通用准则CCCC优点:优点:CC代表了先进的信息安全评估标准的发展方向,基于代表了先进的信息安全评估标准的发展方向,基于CC的的IT安全测评认证正在逐渐为安全测评认证正在逐渐为更多的国家所采纳,更多的国家所采纳,CC的互认可协定签署国也在不断增多。根据的互认可协定签署国也在不断增多。根据ITIT安全领域内安全领域内CCCC认可认可协议协议,在协议签署国范围内,在某个国家进行的基于,在协议签署国范围内,在某个国家进行的基于CC的安全评估将在其他国家内得到的安全评估将在其他国家内得到承认。截止承认。截止2003年年3月,加入该协议的国家共有十
44、五个:澳大利亚、新西兰、加拿大、月,加入该协议的国家共有十五个:澳大利亚、新西兰、加拿大、芬兰、法国、德国、希腊、以色列、意大利、荷兰、挪威、西班牙、瑞典、英国及美国。芬兰、法国、德国、希腊、以色列、意大利、荷兰、挪威、西班牙、瑞典、英国及美国。到到2001年底,所有已经经过年底,所有已经经过TCSEC评估的产品,其评估结果或者过时,或者转换为评估的产品,其评估结果或者过时,或者转换为CC评估等级。评估等级。CC缺点:缺点:CC应用的局限性,比如该标准在开篇便强调其不涉及五个方面的内容:行政性管理安全应用的局限性,比如该标准在开篇便强调其不涉及五个方面的内容:行政性管理安全措施、物理安全、评估
45、方法学、认可过程、对密码算法固有质量的评价,而这些被措施、物理安全、评估方法学、认可过程、对密码算法固有质量的评价,而这些被CC忽忽略的内容恰恰是信息安全保障工作中需要特别予以注意的重要环节。略的内容恰恰是信息安全保障工作中需要特别予以注意的重要环节。CC还有一个明显的缺陷,即它没有数学模型的支持,即理论基础不足。还有一个明显的缺陷,即它没有数学模型的支持,即理论基础不足。TCSEC还有还有BLP模型的支持。其安全功能可以得到完善的解释,安全功能的实现机制便有章可循。模型的支持。其安全功能可以得到完善的解释,安全功能的实现机制便有章可循。对于增加的完整性、可用性、不可否认性等要求,只局限于简单
46、的自然语言描述,不能对于增加的完整性、可用性、不可否认性等要求,只局限于简单的自然语言描述,不能落实到具体的安全机制上。更无从评价这些安全要求的强度。落实到具体的安全机制上。更无从评价这些安全要求的强度。所以:所以:CC并不是万能的,它仍然需要与据各个国家的具体要求,与其他安全标准相结合,才能并不是万能的,它仍然需要与据各个国家的具体要求,与其他安全标准相结合,才能完成对一个信息系统的完整评估。完成对一个信息系统的完整评估。目前得到国际范围内认可的是目前得到国际范围内认可的是ISO/IEC 15408(CC),我国的我国的GB/T 18336等同采用等同采用ISO/IEC 15408。BS77
47、99BS7799、ISO17799ISO17799BS7799历史沿革历史沿革1995年,英国制定国家标准BS 7799第一部分:“信息安全管理事务准则”,并提交国际标准组织(ISO),成为ISO DIS 14980。1998年,英国公布BS 7799第二部分“信息安全管理规范”并成为信息安全管理认证的依据;同年,欧盟于1995年10月公布之“个人资料保护指令,自1998年10月25日起正式生效,要求以适当标准保护个人资料”。2000年,国际标准组织 ISO/IEC JTC SC 27在日本东京10月21日通过BS 7799-1,成为 ISO DIS 17799-1,2000年12月1日正式发
48、布。目前除英国之外,国际上已有荷兰、丹麦、挪威、瑞典、芬兰、澳大利亚、新西兰、南非、巴西已同意使用BS 7799;日本、瑞士、卢森堡表示对BS 7799感兴趣;我国的台湾、香港地区也在推广该标准。BS 7799(ISO/IEC17799)在欧洲的证书发放量已经超过ISO9001。但是:ISO17799 不是认证标准,目前正在修订。BS7799-2 是认证标准,作为国际标准目前正在讨论。BS7799内容:总则内容:总则要求各组织建立并运行一套经过验证的信息安全管理体系(ISMS),用于解决如下问题:资产的保管、组织的风险管理、管理标的和管理办法、要求达到的安全程度。建立管理框架确立并验证管理目标
49、和管理办法时需采取如下步骤:定义信息安全策略定义信息安全管理体系的范围,包括定义该组织的特征、地点、资产和技术等方面的特征进行合理的风险评估,包括找出资产面临的威胁、弱点、对组织的冲击、风险的强弱程度等等根据组织的信息安全策略及所要求的安全程度,决定应加以管理的风险领域选出合理的管理标的和管理办法,并加以实施;选择方案时应做到有法可依准备可行性声明是指在声明中应对所选择的管理标的和管理办法加以验证,同时对选择的理由进行验证,并对第四章中排除的管理办法进行记录对上述步骤的合理性应按规定期限定期审核。BS7799部分部分BS7799-1:1999 信息安全管理实施细则是组织建立并实施信息安全管理体
50、系的一个指导性的准则,主要为组织制定其信息安全策略和进行有效的信息安全控制提供的一个大众化的最佳惯例。BS7799-2:2002 信息安全管理体系规范规定了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。即本标准适用以下场合:组织按照本标准要求建立并实施信息安全管理体系,进行有效的信息安全风险管理,确保商务可持续性发展;作为寻求信息安全管理体系第三方认证的标准。BS7799标准第二部分明确提出安全控制要求,标准第一部分对应给出了通用的控制方法(措施),因此可以说,标准第一部分为第二部分的具体实施提供了指南。BS 7799 Part 2Corp