1、保密安全与密码技术讲义安全评估n安全评估发展过程n安全评估标准介绍可信计算机系统评估准则(TCSEC)通用准则CC 信息安全保证技术框架IATFBS7799、ISO17799n我国信息安全保护准则计算机信息系统安全保护等级划分准则 信息系统安全保护等级应用指南 信息技术安全评估准则发展过程 n20世纪60年代后期,1967年美国国防部成立了一个研究组,针对当时计算机使用环境中的安全策略进行研究,其研究结果是“Defense Science Board report”n70年代的后期DOD对当时流行的操作系统KSOS,PSOS,KVM进行了安全方面的研究n80年代后,美国国防部发布的“可信计算机
2、系统评估准则(TCSEC)”(即桔皮书)n后来DOD又发布了可信数据库解释(TDI)、可信网络解释(TNI)等一系列相关的说明和指南 信息技术安全评估准则发展过程n90年代初,英、法、德、荷等四国针对TCSEC准则的局限性,提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”(ITSEC),定义了从E0级到E6级的七个安全等级 n加拿大1988年开始制订The Canadian Trusted Computer Product Evaluation Criteria(CTCPEC)n1993年,美国对TCSEC作了补充和修改,制定了“组合的联邦标准”(简称FC)n国际标准化组织(I
3、SO)从1990年开始开发通用的国际标准评估准则 信息技术安全评估准则发展过程n在1993年6月,CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来,将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则 n发起组织包括六国七方:加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA,他们的代表建立了CC编辑委员会(CCEB)来开发CC n1996年1月完成CC1.0版,在1996年4月被ISO采纳 n1997年10月完成CC2.0的测试版 n1998年5月发布CC2.0版 n1999年12月ISO采纳CC,并作为国际标准ISO 15408发布 信息技术安全评估准则发展过
4、程1999年 GB 17859 计算机信息系统安全保护等级划分准则1991年欧洲信息技术安全性评估准则(ITSEC)国际通用准则1996年(CC1.0)1998年(CC2.0)1985年美国可信计算机系统评估准则(TCSEC)1993年 加拿大可信计算机产品评估准则(CTCPEC)1993年美国联邦准则(FC 1.0)1999年 国际标准ISO/IEC 154081989年 英国可信级别标准(MEMO 3 DTI)德国评估标准(ZSEIC)法国评估标准(B-W-R BOOK)2001年 国家标准GB/T 18336 信息技术安全性评估准则idt iso/iec154081993年美国NIST的
5、MSFRGB 18336 idt ISO/IEC 15408信息技术安全性评估准则信息技术安全性评估准则IATF 信息保障技术框架信息保障技术框架ISSE 信息系统安全工程信息系统安全工程SSE-CMM系统安全工程能力成熟度模型系统安全工程能力成熟度模型BS 7799,ISO/IEC 17799信息安全管理实践准则信息安全管理实践准则其他相关标准、准则其他相关标准、准则例如:例如:ISO/IEC 15443,COBIT。系统认证和认可标准和实践系统认证和认可标准和实践例如:美国例如:美国DITSCAP,中国信息安全产品测评认证中心中国信息安全产品测评认证中心相关文档和系统测评认证实践相关文档和
6、系统测评认证实践技术准则技术准则(信息技术系统评估准则)(信息技术系统评估准则)管理准则管理准则(信息系统管理评估准则)(信息系统管理评估准则)过程准则过程准则(信息系统安全工程评估准则)(信息系统安全工程评估准则)信信息息系系统统安安全全保保障障评评估估准准则则现现有有标标准准关关系系安全评估n安全评估发展过程n安全评估标准介绍可信计算机系统评估准则(TCSEC)通用准则CC 信息安全保证技术框架IATFBS7799、ISO17799n我国信息安全保护准则计算机信息系统安全保护等级划分准则 信息系统安全保护等级应用指南 TCSEC可信计算机系统评估准则n在TCSEC中,美国国防部按处理信息的
7、等级和应采用的响应措施,将计算机安全从高到低分为:A、B、C、D四类八个级别,共27条评估准则n随着安全等级的提高,系统的可信度随之增加,风险逐渐减少。n四个安全等级:D无保护级 C自主保护级 B强制保护级A验证保护级TCSECnD类是最低保护等级,即无保护级 n是为那些经过评估,但不满足较高评估等级要求的系统设计的,只具有一个级别。该类是指不符合要求的那些系统,因此,这种系统不能在多用户环境下处理敏感信息 nC类为自主保护级n具有一定的保护能力,采用的措施是自主访问控制和审计跟踪。一般只适用于具有一定等级的多用户环境。具有对主体责任及其动作审计的能力nC类分为C1和C2两个级别:自主安全保护
8、级(C1级)控制访问保护级(C2级)TCSECnC1级TCB通过隔离用户与数据,使用户具备自主安全保护的能力 n它具有多种形式的控制能力,对用户实施访问控制n为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏nC1级的系统适用于处理同一敏感级别数据的多用户环境 nC2级计算机系统比C1级具有更细粒度的自主访问控制nC2级通过注册过程控制、审计安全相关事件以及资源隔离,使单个用户为其行为负责 TCSECnB类为强制保护级 n主要要求是TCB应维护完整的安全标记,并在此基础上执行一系列强制访问控制规则nB类系统中的主要数据结构必须携带敏感标记n系统的开发者还应为TCB提
9、供安全策略模型以及TCB规约n应提供证据证明访问监控器得到了正确的实施 nB类分为三个类别:标记安全保护级(B1级)结构化保护级(B2级)安全区域保护级(B3级)TCSECnB1级系统要求具有C2级系统的所有特性 n在此基础上,还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制n并消除测试中发现的所有缺陷 n在B2级系统中,TCB建立于一个明确定义并文档化形式化安全策略模型之上n要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体n在此基础上,应对隐蔽信道进行分析nTCB应结构化为关键保护元素和非关键保护元素TCSECnTCB接口必须明确定义n其设计与实现
10、应能够经受更充分的测试和更完善的审查n鉴别机制应得到加强,提供可信设施管理以支持系统管理员和操作员的职能n提供严格的配置管理控制nB2级系统应具备相当的抗渗透能力TCSECn在B3级系统中,TCB必须满足访问监控器需求n访问监控器对所有主体对客体的访问进行仲裁n访问监控器本身是抗篡改的n访问监控器足够小n访问监控器能够分析和测试n为了满足访问控制器需求:计算机信息系统可信计算基在构造时,排除那些对实施安全策略来说并非必要的代码计算机信息系统可信计算基在设计和实现时,从系统工程角度将其复杂性降低到最小程度TCSECB3级系统支持:安全管理员职能扩充审计机制当发生与安全相关的事件时,发出信号提供系
11、统恢复机制系统具有很高的抗渗透能力TCSECnA类为验证保护级nA类的特点是使用形式化的安全验证方法,保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息n为证明TCB满足设计、开发及实现等各个方面的安全要求,系统应提供丰富的文档信息nA类分为两个类别:验证设计级(A1级)超A1级 TCSECnA1级系统在功能上和B3级系统是相同的,没有增加体系结构特性和策略要求n最显著的特点是,要求用形式化设计规范和验证方法来对系统进行分析,确保TCB按设计要求实现n从本质上说,这种保证是发展的,它从一个安全策略的形式化模型和设计的形式化高层规约(FTLS)开始 n针对A1
12、级系统设计验证,有5种独立于特定规约语言或验证方法的重要准则:安全策略的形式化模型必须得到明确标识并文档化,提供该模型与其公理一致以及能够对安全策略提供足够支持的数学证明 应提供形式化的高层规约,包括TCB功能的抽象定义、用于隔离执行域的硬件/固件机制的抽象定义 TCSEC应通过形式化的技术(如果可能的化)和非形式化的技术证明TCB的形式化高层规约(FTLS)与模型是一致的 通过非形式化的方法证明TCB的实现(硬件、固件、软件)与形式化的高层规约(FTLS)是一致的。应证明FTLS的元素与TCB的元素是一致的,FTLS应表达用于满足安全策略的一致的保护机制,这些保护机制的元素应映射到TCB的要
13、素 应使用形式化的方法标识并分析隐蔽信道,非形式化的方法可以用来标识时间隐蔽信道,必须对系统中存在的隐蔽信道进行解释 TCSECA1级系统:n要求更严格的配置管理n要求建立系统安全分发的程序n支持系统安全管理员的职能超A1级系统:n超A1级在A1级基础上增加的许多安全措施超出了目前的技术发展n随着更多、更好的分析技术的出现,本级系统的要求才会变的更加明确n今后,形式化的验证方法将应用到源码一级,并且时间隐蔽信道将得到全面的分析 TCSECn在这一级,设计环境将变的更重要n形式化高层规约的分析将对测试提供帮助nTCB开发中使用的工具的正确性及TCB运行的软硬件功能的正确性将得到更多的关注n超A1
14、级系统涉及的范围包括:系统体系结构安全测试形式化规约与验证可信设计环境等安全评估n安全评估发展过程n安全评估标准介绍可信计算机系统评估准则(TCSEC)通用准则CC 信息安全保证技术框架IATFBS7799、ISO17799n我国信息安全保护准则计算机信息系统安全保护等级划分准则 信息系统安全保护等级应用指南 CC的适用范围nCC定义了评估信息技术产品和系统安全型所需的基础准则,是度量信息技术安全性的基准n针对在安全评估过程中信息技术产品和系统的安全功能及相应的保证措施提出的一组通用要求,使各种相对独立的安全评估结果具有可比性。n该标准适用于对信息技术产品或系统的安全性进行评估,不论其实现方式
15、是硬件、固件还是软件,还可用于指导产品和系统开发。n该标准的主要目标读者是用户、开发者、评估者。CC的关键概念n评估对象(Target of Evaluation,TOE)用于安全评估的信息技术产品、系统或子系统(如防火墙、计算机网络、密码模块等),包括相关的管理员指南、用户指南、设计方案等文档。nTOE Security Policy(TSP)控制TOE中资产如何管理、保护和分发的规则。nTOE Security Functions(TSF)必须依赖于TSP正确执行的TOE的所有部件。CC的关键概念n保护轮廓(Protection Profile,PP)为既定的一系列安全对象提出功能和保证要
16、求的完备集合,表达了一类产品或系统的用户需求。PP与某个具体的TOE无关,它定义的是用户对这类TOE的安全需求。主要内容:需保护的对象;确定安全环境;TOE的安全目的;IT安全要求;基本原理在标准体系中PP相当于产品标准,也有助于过程规范性标准的开发。国内外已对应用级防火墙、包过滤防火墙、智能卡等开发了相应的PP。CC的关键概念n安全目标(Security Target)ST针对具体TOE而言,它包括该TOE的安全要求和用于满足安全要求的特定安全功能和保证措施。ST包括的技术要求和保证措施可以直接引用该TOE所属产品或系统类的PP。ST是开发者、评估者、用户在TOE安全性和评估范围之间达成一致
17、的基础。ST相当于产品和系统的实现方案,与ITSEC的安全目标类似。CC的关键概念n组件(Component)组件描述了一组特定的安全要求,使可供PP、ST或包选取的最小的安全要求集合。在CC中,以“类_族.组件号”的方式来标识组件。n包(Package)组件依据某个特定关系的组合,就构成了包。构建包的目的是定义那些公认有用的、对满足某个特定安全目的有效的安全要求。包可以用来构造更大的包,PP和ST。包可以重复使用。CC中有功能包和保证包两种形式。CC的先进性 n结构的开放性 即功能要求和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展,例如可以增加“备份和恢复”方面的功能要
18、求或一些环境安全要求。n表达方式的通用性 如果用户、开发者、评估者、认可者等目标读者都使用CC的语言,互相之间就更容易理解沟通。n结构和表达方式的内在完备性和实用性 体现在“保护轮廓”和“安全目标”的编制上。“保护轮廓”主要用于表达一类产品或系统的用户需求,在标准化体系中可以作为安全技术类标准对待。CC内容nCC吸收了个先进国家对现代信息系统安全的经验和知识,对信息系统安全的研究和应用定来了深刻的影响。它分为三部分:第一部分介绍CC的基本概念和基本原理;第二部分提出了安全功能要求;第三部分提出了非技术性的安全保证要求。CC内容n后两部分构成了CC安全要求的全部:安全功能要求和安全保证要求,其中
19、安全保证的目的是为了确保安全功能的正确性和有效性,这是从ITSEC和CTCPEC中吸收的。同时CC还从FC中吸收了保护轮廓的(PP)的概念,从而为CC的应用和发展提供了最大可能的空间和自由度。nCC定义了作为评估信息技术产品和系统安全性的基础准则,提出了目前国际上公认的表述信息技术安全性的结构,即:安全要求安全要求=规范产品和系统安全行为的功能要求+解决如何正确有效的实施这些功能的保证要求。CC内容之间的关系nCC的三个部分相互依存,缺一不可。第1部分是介绍CC的基本概念和基本原理;第2部分提出了技术要求;第3部分提出了非技术性要求和对开发过程、工程过程的要求。n三个部分有机地结合成一个整体。
20、具体体现在“保护轮廓”和“安全目标”中,“保护轮廓”和“安全目标”的概念和原理由第1部分介绍,“保护轮廓”和“安全目标”中的安全功能要求和安全保证要求在第2、3部分选取,这些安全要求的完备性和一致性,由第2、3两部分来保证。保护轮廓与安全目标的关系CC:第一部分 介绍和通用模型n安全就是保护资产不受威胁,威胁可依据滥用被保护资产的可能性进行分类 n所有的威胁类型都应该被考虑到n在安全领域内,被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的 CC框架下的评估类型 PP评估PP评估的目标是为了证明PP是完备的、一致的、技术合理的,而且适合于作为一个可评估TOE的安全要求的声明ST评估ST评
21、估具有双重目标:首先是为了证明ST是完备的、一致的、技术合理的,而且适合于用作相应TOE评估的基础其次,当某一ST宣称与某一PP一致时,证明ST满足该PP的要求TOE评估 TOE评估的目标是为了证明TOE满足ST中的安全要求三种评估的关系评 估 PP评 估 TOEPP分 类评 估 ST证 书 分 类PP评 估 结 果TOE评 估 结 果ST评 估 结 果已 评 估 过 的 TOECC 第二部分:安全功能要求nCC的第二部分是安全功能要求,对满足安全需求的诸安全功能提出了详细的要求n另外,如果有超出第二部分的安全功能要求,开发者可以根据“类-族-组件-元素”的描述结构表达其安全要求,并附加在其S
22、T中安全功能需求层次关系CC的11个安全功能类FAU类:安全审计类:安全审计FCO类:通信类:通信FCS类:密码支持类:密码支持FDP类:用户数据保护类:用户数据保护FIA类:标识与鉴别类:标识与鉴别FMT类:安全管理类:安全管理FPR类:隐秘类:隐秘FPT类:类:TSF保护保护FAU类:资源利用类:资源利用FTA类:类:TOE访问访问FTP类:可信路径类:可信路径/信道信道CC:第三部分 评估方法nCC的第三部分是评估方法部分,提出了PP、ST、TOE三种评估,共包括10个类,但其中的APE类与ASE类分别介绍了PP与ST的描述结构及评估准则n维护类提出了保证评估过的受测系统或产品运行于所获
23、得的安全级别上的要求n只有七个安全保证类是TOE的评估类别 7个安全保证类1.ACM类:配置管理类:配置管理CM 自动化自动化CM 能力能力CM 范围范围2.ADO类:交付和运行类:交付和运行交付交付安装、生成和启动安装、生成和启动3.ADV类:开发类:开发功能规范功能规范高层设计高层设计实现表示实现表示TSF内部内部低层设计低层设计表示对应性表示对应性安全策略模型安全策略模型4.AGD类:指南文档类:指南文档管理员指南管理员指南用户指南用户指南5.ALC类:生命周期支持类:生命周期支持开发安全开发安全缺陷纠正缺陷纠正生命周期定义生命周期定义工具和技术工具和技术6.ATE类:测试类:测试覆盖范
24、围覆盖范围深度深度功能测试功能测试独立性测试独立性测试7.AVA类:脆弱性评定类:脆弱性评定隐蔽信道分析隐蔽信道分析误用误用TOE安全功能强度安全功能强度脆弱性分析脆弱性分析 安全保证要求部分提出了七个评估保证级别安全保证要求部分提出了七个评估保证级别(Evaluation Assurance Levels:EALs)分别是:分别是:7个评估保证级别7个评估保证级别CC的EAL与其他标准等级的比较CC优缺点nCC的优点CC代表了先进的信息安全评估标准的发展方向,基于CC的IT安全测评认证正在逐渐为更多的国家所采纳,CC的互认可协定签署国也在不断增多。根据IT安全领域内CC认可协议,在协议签署国
25、范围内,在某个国家进行的基于CC的安全评估将在其他国家内得到承认。截止2003年3月,加入该协议的国家共有十五个:澳大利亚、新西兰、加拿大、芬兰、法国、德国、希腊、以色列、意大利、荷兰、挪威、西班牙、瑞典、英国及美国。到2001年底,所有已经经过TCSEC评估的产品,其评估结果或者过时,或者转换为CC评估等级。CC优缺点nCC缺点:CC应用的局限性,比如该标准在开篇便强调其不涉及五个方面的内容:行政性管理安全措施、物理安全、评估方法学、认可过程、对密码算法固有质量的评价,而这些被CC忽略的内容恰恰是信息安全保障工作中需要特别予以注意的重要环节。CC还有一个明显的缺陷,即它没有数学模型的支持,即
26、理论基础不足。TCSEC还有BLP模型的支持。其安全功能可以得到完善的解释,安全功能的实现机制便有章可循。对于增加的完整性、可用性、不可否认性等要求,只局限于简单的自然语言描述,不能落实到具体的安全机制上。更无从评价这些安全要求的强度。CC优缺点n所以:CC并不是万能的,它仍然需要与据各个国家的具体要求,与其他安全标准相结合,才能完成对一个信息系统的完整评估。目前得到国际范围内认可的是ISO/IEC 15408(CC),我国的GB/T 18336等同采用ISO/IEC 15408。安全评估n安全评估发展过程n安全评估标准介绍可信计算机系统评估准则(TCSEC)通用准则CC 信息安全保证技术框架
27、IATFBS7799、ISO17799n我国信息安全保护准则计算机信息系统安全保护等级划分准则 信息系统安全保护等级应用指南 信息安全保证技术框架(IATF)n信息保证技术框架(Information Assurance Technical Framework:IATF)为保护政府、企业信息及信息基础设施提供了技术指南nIATF对信息保证技术四个领域的划分同样适用于信息系统的安全评估,它给出了一种实现系统安全要素和安全服务的层次结构 信息安全保证技术框架(IATF)n信息安全保证技术框架将计算机信息系统信息安全保证技术框架将计算机信息系统分分4个部分:个部分:本地计算环境本地计算环境区域边界区
28、域边界网络和基础设施网络和基础设施支撑基础设施支撑基础设施 信息安全保证技术框架(IATF)n本地计算环境一般包括本地计算环境一般包括服务器服务器客户端及其上面的应用(如打印服务、目录服客户端及其上面的应用(如打印服务、目录服务等)务等)操作系统操作系统数据库数据库基于主机的监控组件(病毒检测、入侵检测)基于主机的监控组件(病毒检测、入侵检测)信息安全保证技术框架(IATF)n区域是指在单一安全策略管理下、通过网络连接区域是指在单一安全策略管理下、通过网络连接起来的计算设备的集合起来的计算设备的集合n区域边界是区域与外部网络发生信息交换的部分区域边界是区域与外部网络发生信息交换的部分 n区域边
29、界确保进入的信息不会影响区域内资源的区域边界确保进入的信息不会影响区域内资源的安全,而离开的信息是经过合法授权的安全,而离开的信息是经过合法授权的 n边界的主要作用是防止外来攻击边界的主要作用是防止外来攻击n它也可以来对付某些恶意的内部人员它也可以来对付某些恶意的内部人员这些内部人员有可能利用边界环境来发起攻击这些内部人员有可能利用边界环境来发起攻击通过开放后门通过开放后门/隐蔽通道来为外部攻击提供方便隐蔽通道来为外部攻击提供方便信息安全保证技术框架(IATF)n区域边界上有效的控制措施包括区域边界上有效的控制措施包括防火墙防火墙门卫系统门卫系统VPN标识和鉴别标识和鉴别访问控制等访问控制等n
30、有效的监督措施包括有效的监督措施包括基于网络的入侵检测系统(基于网络的入侵检测系统(IDS)脆弱性扫描器脆弱性扫描器局域网上的病毒检测器等局域网上的病毒检测器等 信息安全保证技术框架(IATF)n网络和基础设施在区域之间提供连接网络和基础设施在区域之间提供连接,包括包括局域网(局域网(LAN)校园网(校园网(CAN)城域网(城域网(MAN)广域网等广域网等n其中包括在网络节点间(如路由器和交换机)传其中包括在网络节点间(如路由器和交换机)传递信息的传输部件(如:卫星,微波,光纤等),递信息的传输部件(如:卫星,微波,光纤等),以及其他重要的网络基础设施组件如网络管理组以及其他重要的网络基础设施
31、组件如网络管理组件、域名服务器及目录服务组件等件、域名服务器及目录服务组件等 信息安全保证技术框架(IATF)n对网络和基础设施的安全要求主要是对网络和基础设施的安全要求主要是鉴别鉴别访问控制访问控制机密性机密性完整性完整性抗抵赖性抗抵赖性可用性可用性信息安全保证技术框架(IATF)n支撑基础设施提供了一个支撑基础设施提供了一个IA机制在网络、区域及机制在网络、区域及计算环境内进行安全管理、提供安全服务所使用计算环境内进行安全管理、提供安全服务所使用的基础的基础n主要为以下内容提供安全服务:主要为以下内容提供安全服务:终端用户工作站终端用户工作站web服务服务应用应用文件文件DNS服务服务目录
32、服务等目录服务等信息安全保证技术框架(IATF)nIATF中涉及到两个方面的支撑基础设施:中涉及到两个方面的支撑基础设施:KMI/PKI检测响应基础设施检测响应基础设施nKMI/PKI提供了一个公钥证书及传统对称密提供了一个公钥证书及传统对称密钥的产生、分发及管理的统一过程钥的产生、分发及管理的统一过程n检测及响应基础设施提供对入侵的快速检检测及响应基础设施提供对入侵的快速检测和响应,包括入侵检测、监控软件、测和响应,包括入侵检测、监控软件、CERT等等 信息安全保证技术框架(IATF)n深度保卫战略在信息保证技术框架(深度保卫战略在信息保证技术框架(IATF)下提出下提出保卫网络和基础设施保
33、卫网络和基础设施保卫边界保卫边界保卫计算环境保卫计算环境支持基础设施支持基础设施 信息安全保证技术框架(IATF)n其中使用多层信息保证(其中使用多层信息保证(IA)技术来保证)技术来保证信息的安全信息的安全n意味着通过对关键部位提供适当层次的保意味着通过对关键部位提供适当层次的保护就可以为组织提供有效的保护护就可以为组织提供有效的保护n这种分层的策略允许在恰当的部位存在低这种分层的策略允许在恰当的部位存在低保证级别的应用,而在关键部位如网络边保证级别的应用,而在关键部位如网络边界部分采用高保证级别的应用界部分采用高保证级别的应用 信息安全保证技术框架(IATF)n区域边界保护内部的计算环境,
34、控制外部区域边界保护内部的计算环境,控制外部用户的非授权访问,同时控制内部恶意用用户的非授权访问,同时控制内部恶意用户从区域内发起攻击户从区域内发起攻击 n根据所要保护信息资源的敏感级别以及潜根据所要保护信息资源的敏感级别以及潜在的内外威胁,可将边界分为不同的层次在的内外威胁,可将边界分为不同的层次 信息安全保证技术框架(IATF)在对信息系统进行安全评估时:在对信息系统进行安全评估时:n可以依据这种多层的深度保卫战略对系统可以依据这种多层的深度保卫战略对系统的构成进行合理分析的构成进行合理分析n根据系统所面临的各种威胁及实际安全需根据系统所面临的各种威胁及实际安全需求求n分别对计算环境、区域
35、边界、网络和基础分别对计算环境、区域边界、网络和基础设施、支撑基础设施进行安全评估设施、支撑基础设施进行安全评估n对系统的安全保护等级作出恰当的评估对系统的安全保护等级作出恰当的评估 信息安全保证技术框架(IATF)n在网络上,有三种不同的通信流:在网络上,有三种不同的通信流:v用户通信流用户通信流v控制通信流控制通信流v管理通信流管理通信流n信息系统应保证局域内这些通信流的安全信息系统应保证局域内这些通信流的安全n直接假设直接假设KMI/PKI等支撑基础设施的实施过等支撑基础设施的实施过程是安全的程是安全的 安全评估n安全评估发展过程n安全评估标准介绍可信计算机系统评估准则(TCSEC)通用
36、准则CC 信息安全保证技术框架IATFBS7799、ISO17799n我国信息安全保护准则计算机信息系统安全保护等级划分准则 信息系统安全保护等级应用指南 BS7799n1995年,英国制定国家标准BS 7799第一部分:“信息安全管理事务准则”,并提交国际标准组织(ISO),成为ISO DIS 14980。n1998年,英国公布BS 7799第二部分“信息安全管理规范”并成为信息安全管理认证的依据;同年,欧盟于1995年10月公布之“个人资料保护指令,自1998年10月25日起正式生效,要求以适当标准保护个人资料”。n2000年,国际标准组织 ISO/IEC JTC SC 27在日本东京10
37、月21日通过BS 7799-1,成为 ISO DIS 17799-1,2000年12月1日正式发布。BS7799n目前除英国之外,国际上已有荷兰、丹麦、挪威、瑞典、芬兰、澳大利亚、新西兰、南非、巴西已同意使用BS 7799;日本、瑞士、卢森堡表示对BS 7799感兴趣;我国的台湾、香港地区也在推广该标准。nBS 7799(ISO/IEC17799)在欧洲的证书发放量已经超过ISO9001。但是:nISO17799 不是认证标准,目前正在修订。nBS7799-2 是认证标准,作为国际标准目前正在讨论。BS7799内容:总则n要求各组织建立并运行一套经过验证的信息安全管理体系信息安全管理体系(IS
38、MS),用于解决如下问题:资产的保管、组织的风险管理、管理标的和管理办法、要求达到的安全程度。n建立管理框架确立并验证管理目标和管理办法时需采取如下步骤:n定义信息安全策略n定义信息安全管理体系的范围n进行合理的风险评估n决定应加以管理的风险领域n选出合理的管理标的和管理办法,并加以实施n准备可行性声明n对上述步骤的合理性应按规定期限定期审核。BS7799部分nBS7799-1:1999 信息安全管理实施细则是组织建立并实施信息安全管理体系的一个指导性的准则,主要为组织制定其信息安全策略和进行有效的信息安全控制提供的一个大众化的最佳惯例。nBS7799-2:2002 信息安全管理体系规范规定了
39、建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。即本标准适用以下场合:组织按照本标准要求建立并实施信息安全管理体系,进行有效的信息安全风险管理,确保商务可持续性发展;作为寻求信息安全管理体系第三方认证的标准。nBS7799标准第二部分明确提出安全控制要求,标准第一部分对应给出了通用的控制方法(措施),因此可以说,标准第一部分为第二部分的具体实施提供了指南。BS 7799-2:2002十大管理要项 BS7799与其他标准的比较nBS 7799完全从管理角度制定,并不涉及具体的安全技术,实施不复杂,主要是告诉管理者一些安全管理的注意事项和安全制度
40、。n信息技术安全性评估准则(CC)和美国国防部可信计算机评估准则(TCSEC)等更侧重于对系统和产品的技术指标技术指标的评估。n系统安全工程能力成熟模型(SSE-CMM)更侧重于对安全产品开发、安全系统集成等安全工程过程安全工程过程的管理。n总的来说,BS7799涵盖了安全管理所应涉及的方方面面,全面而不失可操作性,提供了一个可持续提高的信息安全管理环境。推广信息安全管理标准的关键在重视程度和制度落实方面。它是目前可以用来达到一定预防标准的最好的指导标准。制订信息安全方针方针文档定义ISMS范围进行风险评估实施风险管理选择控制目标措施准备适用声明第一步:第二步:第三步:第四步:第五步:第六步:
41、ISMS范围评估报告文件文件文件文件文件文件文档化文档化声明文件BS7799实施过程 第一步第一步 制订信息安全方针制订信息安全方针组织应定义信息安全方针。组织应定义信息安全方针。信息安全是指保证信息的保密性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对公司的信息安全进行全面管理。信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向,用于指导信息安全管理体系的建立和实施过程。要经最高管理者批准和发布体现了最高管理者对信息安全的承诺与支持要传达给组织内所有的员工要定期和适时进行评审目的和意义目的和意义为组织提供了关注的焦点,指明了方向,确定了目标;确保信息安全管
42、理体系被充分理解和贯彻实施;统领整个信息安全管理体系。BS7799实施过程 第一步第一步 制订信息安全方针制订信息安全方针信息安全方针的内容包括但不限于:组织对信息安全的定义信息安全总体目标和范围最高管理者对信息安全的承诺与支持的声明符合相关标准、法律法规、和其它要求的声明对信息安全管理的总体责任和具体责任的定义相关支持文件注意事项相关支持文件简单明了易于理解可实施避免太具体BS7799实施过程 第二步第二步 确定确定ISMSISMS范围范围BS7799-2对ISMS的要求:组织应定义信息安全管理体系的范围,范围的边界应依据组织的结构特征、地域特征、资产和技术特点来确定。可以根据组织的实际情况
43、,将组织的一部分定义为信息安全管理范围,也可以将组织整体定义为信息安全管理范围;信息安全管理范围必须用正式的文件加以记录。ISMS范围文件文件是否明白地描述了信息安全管理体系的范围范围的边界和接口是否已清楚定义BS7799实施过程 第三步第三步 风险评估风险评估BS7799-2对对ISMS的要求:的要求:组织应进行适当的风险评估,风险评估应识别资产所面对的威胁、脆弱性、以及对组织的潜在影响,并确定风险的等级。是否执行了正式的和文件化的风险评估?是否经过一定数量的员工验证其正确性?风险评估是否识别了资产的威胁、脆弱性和对组织的潜在影响?风险评估是否定期和适时进行?BS7799实施过程第四步第四步
44、 风险管理风险管理BS7799-2对对ISMS的要求:的要求:组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险。根据风险评估的结果,选择风险控制方法,将组织面临的风险控制在可以接受的范围之内。是否定义了组织的风险管理方法?是否定义了所需的信息安全保证程度?是否给出了可选择的控制措施供管理层做决定?BS7799实施过程第五步第五步 选择控制目标和控制措施选择控制目标和控制措施BS7799-2对对ISMS的要求:的要求:组织应选择适当的控制措施和控制目标来满足风险管理的要求,并证明选择结果的正确性。选择的控制措施是否建立在风险评估的结果之上?是否能从风险评估中清楚地看出哪
45、一些是基本控制措施,哪一些是必须的,哪一些是可以考虑选择的控制措施?选择的控制措施是否反应了组织的风险管理战略?针对每一种风险,控制措施都不是唯一的,要根据实际情况进行选择BS7799实施过程第五步第五步 选择控制目标和控制措施选择控制目标和控制措施BS7799-2对对ISMS的要求:的要求:未选择某项控制措施的原因风险原因-没有识别出相关的风险财务原因-财务预算的限制环境原因-安全设备、气候、空间等技术-某些控制措施在技术上不可行文化-社会环境的限制时间-某些要求目前无法实施其它-?BS7799实施过程第六步第六步 准备适用声明准备适用声明BS7799-2对对ISMS的要求:的要求:组织应准
46、备适用声明,记录已选择的控制措施和理由,以及未选择的控制措施及其理由。在选择了控制目标和控制措施后,对实施某项控制目标、措施和不实施某项控制目标、措施进行记录,并对原因进行解释的文件。未来实现公司ISMS适用声明BS7799实施过程安全评估n安全评估发展过程n安全评估标准介绍可信计算机系统评估准则(TCSEC)通用准则CC 信息安全保证技术框架IATFBS7799、ISO17799n我国信息安全保护准则计算机信息系统安全保护等级划分准则 信息系统安全保护等级应用指南 系统安全保护等级划分准则n公安部组织制订了计算机信息系统安全保护等级划分准则国家标准n于1999年9月13日由国家质量技术监督局
47、审查通过并正式批准发布n于 2001年1月1日执行 n该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据n为安全产品的研制提供了技术支持n为安全系统的建设和管理提供了技术指导是我国计算机信息系统安全保护等级工作的基础 系统安全保护等级划分准则nGA 388-2002 计算机信息系统安全等级保护操作系统技术要求nGA 391-2002 计算机信息系统安全等级保护管理要求nGA/T 387-2002计算机信息系统安全等级保护网络技术要求nGA/T 389-2002计算机信息系统安全等级保护数据库管理系统技术要求nGA/T 390-2002计算机信息系统安全等级保护通
48、用技术要求系统安全保护等级划分准则准则规定了计算机系统安全保护能力的五个等级,即:第一级:用户自主保护级第二级:系统审计保护级第三级:安全标记保护级第四级:结构化保护级第五级:访问验证保护级 系统安全保护等级划分准则用户自主保护级:n计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。n它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏 系统安全保护等级划分准则系统审计保护级:n与用户自主保护级相比,计算机信息系统可信计算基实施了粒度更细的自主访问控制n它通过登录规程、审计安全性相关事件和隔离资源
49、,使用户对自己的行为负责 系统安全保护等级划分准则安全标记保护级:n计算机信息系统可信计算基具有系统审计保护级所有功能n此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述n具有准确地标记输出信息的能力n消除通过测试发现的任何错误 系统安全保护等级划分准则结构化保护级:n计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上n要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体n此外,还要考虑隐蔽通道n计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素系统安全保护等级划分准则n计算机信息系统可信计算基的接口也必须明确定义,使其设计与实现
50、能经受更充分的测试和更完整的复审n加强了鉴别机制n支持系统管理员和操作员的职能n提供可信设施管理n增强了配置管理控制n系统具有相当的抗渗透能力 系统安全保护等级划分准则访问验证保护级n计算机信息系统可信计算基满足访问监控器需求n访问监控器仲裁主体对客体的全部访问n访问监控器本身是抗篡改的;必须足够小,能够分析和测试系统安全保护等级划分准则访问验证保护级n支持安全管理员职能n扩充审计机制,当发生与安全相关的事件时发出信号n提供系统恢复机制n系统具有很高的抗渗透能力 安全评估n安全评估发展过程n安全评估标准介绍可信计算机系统评估准则(TCSEC)通用准则CC 信息安全保证技术框架IATFBS779