計算機(jī)信息系統(tǒng)安全保護(hù)等級.ppt

計算機(jī)信息系統(tǒng)安全評估標(biāo)準(zhǔn)介紹,北京大學(xué) 閆強(qiáng),2,標(biāo)準(zhǔn)介紹,信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 可信計算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC ） 可信網(wǎng)絡(luò)解釋（TNI） 通用準(zhǔn)則CC 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 信息安全保證技術(shù)框架 信息系統(tǒng)安全保護(hù)等級應(yīng)用指南,3,信息技術(shù)安全評估準(zhǔn)則發(fā)展過程,20世紀(jì)60年代后期，1967年美國國防部（DOD）成立了一個研究組，針對當(dāng)時計算機(jī)使用環(huán)境中的安全策略進(jìn)行研究，其研究結(jié)果是“Defense Science Board report” 70年代的后期DOD對當(dāng)時流行的操作系統(tǒng)KSOS，PSOS，KVM進(jìn)行了安全方面的研究,4,信息技術(shù)安全評估準(zhǔn)則發(fā)展過程,80年代后，美國國防部發(fā)布的“可信計算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC）”（即桔皮書） 后來DOD又發(fā)布了可信數(shù)據(jù)庫解釋（TDI）、可信網(wǎng)絡(luò)解釋（TNI）等一系列相關(guān)的說明和指南 90年代初，英、法、德、荷等四國針對TCSEC準(zhǔn)則的局限性，提出了包含保密性、完整性、可用性等概念的“信息技術(shù)安全評估準(zhǔn)則”（ITSEC），定義了從E0級到E6級的七個安全等級,5,信息技術(shù)安全評估準(zhǔn)則發(fā)展過程,加拿大1988年開始制訂The Canadian Trusted Computer Product Evaluation Criteria （CTCPEC） 1993年，美國對TCSEC作了補(bǔ)充和修改，制定了“組合的聯(lián)邦標(biāo)準(zhǔn)”（簡稱FC） 國際標(biāo)準(zhǔn)化組織（ISO）從1990年開始開發(fā)通用的國際標(biāo)準(zhǔn)評估準(zhǔn)則,6,信息技術(shù)安全評估準(zhǔn)則發(fā)展過程,在1993年6月，CTCPEC、FC、TCSEC和ITSEC的發(fā)起組織開始聯(lián)合起來，將各自獨立的準(zhǔn)則組合成一個單一的、能被廣泛使用的IT安全準(zhǔn)則 發(fā)起組織包括六國七方：加拿大、法國、德國、荷蘭、英國、美國NIST及美國NSA，他們的代表建立了CC編輯委員會（CCEB）來開發(fā)CC,7,信息技術(shù)安全評估準(zhǔn)則發(fā)展過程,1996年1月完成CC1.0版 ,在1996年4月被ISO采納 1997年10月完成CC2.0的測試版 1998年5月發(fā)布CC2.0版 1999年12月ISO采納CC，并作為國際標(biāo)準(zhǔn)ISO 15408發(fā)布,8,安全評估標(biāo)準(zhǔn)的發(fā)展歷程,9,標(biāo)準(zhǔn)介紹,信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 可信計算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC） 可信網(wǎng)絡(luò)解釋 （TNI） 通用準(zhǔn)則CC 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 信息安全保證技術(shù)框架 信息系統(tǒng)安全保護(hù)等級應(yīng)用指南,10,TCSEC,在TCSEC中，美國國防部按處理信息的等級和應(yīng)采用的響應(yīng)措施，將計算機(jī)安全從高到低分為：A、B、C、D四類八個級別，共27條評估準(zhǔn)則 隨著安全等級的提高，系統(tǒng)的可信度隨之增加，風(fēng)險逐漸減少。,11,TCSEC,四個安全等級： 無保護(hù)級 自主保護(hù)級 強(qiáng)制保護(hù)級 驗證保護(hù)級,12,TCSEC,D類是最低保護(hù)等級，即無保護(hù)級 是為那些經(jīng)過評估，但不滿足較高評估等級要求的系統(tǒng)設(shè)計的，只具有一個級別 該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息,13,TCSEC,四個安全等級： 無保護(hù)級 自主保護(hù)級 強(qiáng)制保護(hù)級 驗證保護(hù)級,14,TCSEC,C類為自主保護(hù)級 具有一定的保護(hù)能力，采用的措施是自主訪問控制和審計跟蹤 一般只適用于具有一定等級的多用戶環(huán)境 具有對主體責(zé)任及其動作審計的能力,15,TCSEC,C類分為C1和C2兩個級別: 自主安全保護(hù)級（C1級) 控制訪問保護(hù)級（C2級）,16,TCSEC,C1級TCB通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力 它具有多種形式的控制能力，對用戶實施訪問控制 為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞 C1級的系統(tǒng)適用于處理同一敏感級別數(shù)據(jù)的多用戶環(huán)境,17,TCSEC,C2級計算機(jī)系統(tǒng)比C1級具有更細(xì)粒度的自主訪問控制 C2級通過注冊過程控制、審計安全相關(guān)事件以及資源隔離，使單個用戶為其行為負(fù)責(zé),18,TCSEC,四個安全等級： 無保護(hù)級 自主保護(hù)級 強(qiáng)制保護(hù)級 驗證保護(hù)級,19,TCSEC,B類為強(qiáng)制保護(hù)級 主要要求是TCB應(yīng)維護(hù)完整的安全標(biāo)記，并在此基礎(chǔ)上執(zhí)行一系列強(qiáng)制訪問控制規(guī)則 B類系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標(biāo)記 系統(tǒng)的開發(fā)者還應(yīng)為TCB提供安全策略模型以及TCB規(guī)約 應(yīng)提供證據(jù)證明訪問監(jiān)控器得到了正確的實施,20,TCSEC,B類分為三個類別： 標(biāo)記安全保護(hù)級（B1級） 結(jié)構(gòu)化保護(hù)級（B2級） 安全區(qū)域保護(hù)級（B3級）,21,TCSEC,B1級系統(tǒng)要求具有C2級系統(tǒng)的所有特性 在此基礎(chǔ)上，還應(yīng)提供安全策略模型的非形式化描述、數(shù)據(jù)標(biāo)記以及命名主體和客體的強(qiáng)制訪問控制 并消除測試中發(fā)現(xiàn)的所有缺陷,22,TCSEC,B類分為三個類別： 標(biāo)記安全保護(hù)級（B1級） 結(jié)構(gòu)化保護(hù)級（B2級） 安全區(qū)域保護(hù)級（B3級）,23,TCSEC,在B2級系統(tǒng)中，TCB建立于一個明確定義并文檔化形式化安全策略模型之上 要求將B1級系統(tǒng)中建立的自主和強(qiáng)制訪問控制擴(kuò)展到所有的主體與客體 在此基礎(chǔ)上，應(yīng)對隱蔽信道進(jìn)行分析 TCB應(yīng)結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素,24,TCSEC,TCB接口必須明確定義 其設(shè)計與實現(xiàn)應(yīng)能夠經(jīng)受更充分的測試和更完善的審查 鑒別機(jī)制應(yīng)得到加強(qiáng)，提供可信設(shè)施管理以支持系統(tǒng)管理員和操作員的職能 提供嚴(yán)格的配置管理控制 B2級系統(tǒng)應(yīng)具備相當(dāng)?shù)目節(jié)B透能力,25,TCSEC,B類分為三個類別： 標(biāo)記安全保護(hù)級（B1級） 結(jié)構(gòu)化保護(hù)級（B2級） 安全區(qū)域保護(hù)級（B3級）,26,TCSEC,在B3級系統(tǒng)中，TCB必須滿足訪問監(jiān)控器需求 訪問監(jiān)控器對所有主體對客體的訪問進(jìn)行仲裁 訪問監(jiān)控器本身是抗篡改的 訪問監(jiān)控器足夠小 訪問監(jiān)控器能夠分析和測試,27,TCSEC,為了滿足訪問控制器需求: 計算機(jī)信息系統(tǒng)可信計算基在構(gòu)造時，排除那些對實施安全策略來說并非必要的代碼 計算機(jī)信息系統(tǒng)可信計算基在設(shè)計和實現(xiàn)時，從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度,28,TCSEC,B3級系統(tǒng)支持: 安全管理員職能 擴(kuò)充審計機(jī)制 當(dāng)發(fā)生與安全相關(guān)的事件時，發(fā)出信號 提供系統(tǒng)恢復(fù)機(jī)制 系統(tǒng)具有很高的抗?jié)B透能力,29,TCSEC,四個安全等級： 無保護(hù)級 自主保護(hù)級 強(qiáng)制保護(hù)級 驗證保護(hù)級,30,TCSEC,A類為驗證保護(hù)級 A類的特點是使用形式化的安全驗證方法，保證系統(tǒng)的自主和強(qiáng)制安全控制措施能夠有效地保護(hù)系統(tǒng)中存儲和處理的秘密信息或其他敏感信息 為證明TCB滿足設(shè)計、開發(fā)及實現(xiàn)等各個方面的安全要求，系統(tǒng)應(yīng)提供豐富的文檔信息,31,TCSEC,A類分為兩個類別： 驗證設(shè)計級（A1級） 超A1級,32,TCSEC,A1級系統(tǒng)在功能上和B3級系統(tǒng)是相同的，沒有增加體系結(jié)構(gòu)特性和策略要求 最顯著的特點是，要求用形式化設(shè)計規(guī)范和驗證方法來對系統(tǒng)進(jìn)行分析，確保TCB按設(shè)計要求實現(xiàn) 從本質(zhì)上說，這種保證是發(fā)展的，它從一個安全策略的形式化模型和設(shè)計的形式化高層規(guī)約（FTLS）開始,33,TCSEC,針對A1級系統(tǒng)設(shè)計驗證，有5種獨立于特定規(guī)約語言或驗證方法的重要準(zhǔn)則： 安全策略的形式化模型必須得到明確標(biāo)識并文檔化，提供該模型與其公理一致以及能夠?qū)Π踩呗蕴峁┳銐蛑С值臄?shù)學(xué)證明 應(yīng)提供形式化的高層規(guī)約，包括TCB功能的抽象定義、用于隔離執(zhí)行域的硬件/固件機(jī)制的抽象定義,34,TCSEC,應(yīng)通過形式化的技術(shù)（如果可能的化）和非形式化的技術(shù)證明TCB的形式化高層規(guī)約（FTLS）與模型是一致的 通過非形式化的方法證明TCB的實現(xiàn)（硬件、固件、軟件）與形式化的高層規(guī)約（FTLS）是一致的。應(yīng)證明FTLS的元素與TCB的元素是一致的，F(xiàn)TLS應(yīng)表達(dá)用于滿足安全策略的一致的保護(hù)機(jī)制，這些保護(hù)機(jī)制的元素應(yīng)映射到TCB的要素,35,TCSEC,應(yīng)使用形式化的方法標(biāo)識并分析隱蔽信道，非形式化的方法可以用來標(biāo)識時間隱蔽信道，必須對系統(tǒng)中存在的隱蔽信道進(jìn)行解釋,36,TCSEC,A1級系統(tǒng): 要求更嚴(yán)格的配置管理 要求建立系統(tǒng)安全分發(fā)的程序 支持系統(tǒng)安全管理員的職能,37,TCSEC,A類分為兩個類別： 驗證設(shè)計級（A1級） 超A1級,38,TCSEC,超A1級在A1級基礎(chǔ)上增加的許多安全措施超出了目前的技術(shù)發(fā)展 隨著更多、更好的分析技術(shù)的出現(xiàn)，本級系統(tǒng)的要求才會變的更加明確 今后，形式化的驗證方法將應(yīng)用到源碼一級，并且時間隱蔽信道將得到全面的分析,39,TCSEC,在這一級，設(shè)計環(huán)境將變的更重要 形式化高層規(guī)約的分析將對測試提供幫助 TCB開發(fā)中使用的工具的正確性及TCB運行的軟硬件功能的正確性將得到更多的關(guān)注,40,TCSEC,超A1級系統(tǒng)涉及的范圍包括： 系統(tǒng)體系結(jié)構(gòu) 安全測試 形式化規(guī)約與驗證 可信設(shè)計環(huán)境等,41,標(biāo)準(zhǔn)介紹,信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 可信計算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC） 可信網(wǎng)絡(luò)解釋 （TNI） 通用準(zhǔn)則CC 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 信息安全保證技術(shù)框架 信息系統(tǒng)安全保護(hù)等級應(yīng)用指南,42,可信網(wǎng)絡(luò)解釋（TNI）,美國國防部計算機(jī)安全評估中心在完成TCSEC的基礎(chǔ)上，又組織了專門的研究鏃對可信網(wǎng)絡(luò)安全評估進(jìn)行研究，并于1987年發(fā)布了以TCSEC為基礎(chǔ)的可信網(wǎng)絡(luò)解釋，即TNI。 TNI包括兩個部分（Part I和Part II）及三個附錄（APPENDIX A、B、C）,43,可信網(wǎng)絡(luò)解釋（TNI）,TNI第一部分提供了在網(wǎng)絡(luò)系統(tǒng)作為一個單一系統(tǒng)進(jìn)行評估時TCSEC中各個等級（從D到A類）的解釋 與單機(jī)系統(tǒng)不同的是，網(wǎng)絡(luò)系統(tǒng)的可信計算基稱為網(wǎng)絡(luò)可信計算基（NTCB）,44,可信網(wǎng)絡(luò)解釋（TNI）,第二部分以附加安全服務(wù)的形式提出了在網(wǎng)絡(luò)互聯(lián)時出現(xiàn)的一些附加要求 這些要求主要是針對完整性、可用性和保密性的,45,可信網(wǎng)絡(luò)解釋（TNI）,第二部分的評估是定性的，針對一個服務(wù)進(jìn)行評估的結(jié)果一般分為為： none minimum fair good,46,可信網(wǎng)絡(luò)解釋（TNI）,第二部分中關(guān)于每個服務(wù)的說明一般包括: 一種相對簡短的陳述 相關(guān)的功能性的討論 相關(guān)機(jī)制強(qiáng)度的討論 相關(guān)保證的討論,47,可信網(wǎng)絡(luò)解釋（TNI）,功能性是指一個安全服務(wù)的目標(biāo)和實現(xiàn)方法，它包括特性、機(jī)制及實現(xiàn) 機(jī)制的強(qiáng)度是指一種方法實現(xiàn)其目標(biāo)的程度 有些情況下，參數(shù)的選擇會對機(jī)制的強(qiáng)度帶來很大的影響,48,可信網(wǎng)絡(luò)解釋（TNI）,保證是指相信一個功能會實現(xiàn)的基礎(chǔ) 保證一般依靠對理論、測試、軟件工程等相關(guān)內(nèi)容的分析 分析可以是形式化或非形式化的，也可以是理論的或應(yīng)用的,49,可信網(wǎng)絡(luò)解釋（TNI）,第二部分中列出的安全服務(wù)有： 通信完整性 拒絕服務(wù) 機(jī)密性,50,可信網(wǎng)絡(luò)解釋（TNI）,通信完整性主要涉及以下3方面： 鑒別：網(wǎng)絡(luò)中應(yīng)能夠抵抗欺騙和重放攻擊 通信字段完整性：保護(hù)通信中的字段免受非授權(quán)的修改 抗抵賴：提供數(shù)據(jù)發(fā)送、接受的證據(jù),51,可信網(wǎng)絡(luò)解釋（TNI）,當(dāng)網(wǎng)絡(luò)處理能力下降到一個規(guī)定的界限以下或遠(yuǎn)程實體無法訪問時，即發(fā)生了拒絕服務(wù) 所有由網(wǎng)絡(luò)提供的服務(wù)都應(yīng)考慮拒絕服務(wù)的情況 網(wǎng)絡(luò)管理者應(yīng)決定網(wǎng)絡(luò)拒絕服務(wù)需求,52,可信網(wǎng)絡(luò)解釋（TNI）,解決拒絕服務(wù)的方法有： 操作連續(xù)性 基于協(xié)議的拒絕服務(wù)保護(hù) 網(wǎng)絡(luò)管理,53,可信網(wǎng)絡(luò)解釋（TNI）,機(jī)密性是一系列安全服務(wù)的總稱 這些服務(wù)都是關(guān)于通過計算機(jī)通信網(wǎng)絡(luò)在實體間傳輸信息的安全和保密的 具體又分3種情況： 數(shù)據(jù)保密 通信流保密 選擇路由,54,可信網(wǎng)絡(luò)解釋（TNI）,數(shù)據(jù)保密： 數(shù)據(jù)保密性服務(wù)保護(hù)數(shù)據(jù)不被未授權(quán)地泄露 數(shù)據(jù)保密性主要受搭線竊聽的威脅 被動的攻擊包括對線路上傳輸?shù)男畔⒌挠^測,55,可信網(wǎng)絡(luò)解釋（TNI）,通信流保密： 針對通信流分析攻擊而言，通信流分析攻擊分析消息的長度、頻率及協(xié)議的內(nèi)容（如地址） 并以此推出消息的內(nèi)容,56,可信網(wǎng)絡(luò)解釋（TNI）,選擇路由： 路由選擇控制是在路由選擇過程中應(yīng)用規(guī)則，以便具體的選取或回避某些網(wǎng)絡(luò)、鏈路或中繼 路由能動態(tài)的或預(yù)定地選取，以便只使用物理上安全的子網(wǎng)絡(luò)、鏈路或中繼 在檢測到持續(xù)的操作攻擊時，端系統(tǒng)可希望指示網(wǎng)絡(luò)服務(wù)的提供者經(jīng)不同的路由建立連接 帶有某些安全標(biāo)記的數(shù)據(jù)可能被策略禁止通過某些子網(wǎng)絡(luò)、鏈路或中繼,57,可信網(wǎng)絡(luò)解釋（TNI）,TNI第二部分的評估更多地表現(xiàn)出定性和主觀的特點，同第一部分相比表現(xiàn)出更多的變化 第二部分的評估是關(guān)于被評估系統(tǒng)能力和它們對特定應(yīng)用環(huán)境的適合性的非常有價值的信息 第二部分中所列舉的安全服務(wù)是網(wǎng)絡(luò)環(huán)境下有代表性的安全服務(wù) 在不同的環(huán)境下，并非所有的服務(wù)都同等重要，同一服務(wù)在不同環(huán)境下的重要性也不一定一樣,58,可信網(wǎng)絡(luò)解釋（TNI）,TNI的附錄A是第一部分的擴(kuò)展，主要是關(guān)于網(wǎng)絡(luò)中組件及組件組合的評估 附錄A把TCSEC為A1級系統(tǒng)定義的安全相關(guān)的策略分為四個相對獨立的種類，他們分別支持強(qiáng)制訪問控制（MAC），自主訪問控制（DAC），身份鑒別（IA），審計（AUDIT）,59,可信網(wǎng)絡(luò)解釋（TNI）,60,可信網(wǎng)絡(luò)解釋（TNI）,附錄B給出了根據(jù)TCSEC對網(wǎng)絡(luò)組件進(jìn)行評估的基本原理 附錄C則給出了幾個AIS互聯(lián)時的認(rèn)證指南及互聯(lián)中可能遇到的問題,61,可信網(wǎng)絡(luò)解釋（TNI）,TNI中關(guān)于網(wǎng)絡(luò)有兩種概念： 一是單一可信系統(tǒng)的概念（single trusted system） 另一個是互聯(lián)信息系統(tǒng)的概念（interconnected AIS） 這兩個概念并不互相排斥,62,可信網(wǎng)絡(luò)解釋（TNI）,在單一可信系統(tǒng)中，網(wǎng)絡(luò)具有包括各個安全相關(guān)部分的單一TCB，稱為NTCB（network trusted computing base） NTCB作為一個整體滿足系統(tǒng)的安全體系設(shè)計,63,可信網(wǎng)絡(luò)解釋（TNI）,在互聯(lián)信息系統(tǒng)中 各個子系統(tǒng)可能具有不同的安全策略 具有不同的信任等級 并且可以分別進(jìn)行評估 各個子系統(tǒng)甚至可能是異構(gòu)的,64,可信網(wǎng)絡(luò)解釋（TNI）,安全策略的實施一般控制在各個子系統(tǒng)內(nèi)，在附錄C中給出了各個子系統(tǒng)安全地互聯(lián)的指南，在互聯(lián)時要控制局部風(fēng)險的擴(kuò)散，排除整個系統(tǒng)中的級聯(lián)問題（cascade problem） 限制局部風(fēng)險的擴(kuò)散的方法：單向連接、傳輸?shù)氖止z測、加密、隔離或其他措施。,65,標(biāo)準(zhǔn)介紹,信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 可信計算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC） 可信網(wǎng)絡(luò)解釋 （TNI） 通用準(zhǔn)則CC 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 信息安全保證技術(shù)框架 信息系統(tǒng)安全保護(hù)等級應(yīng)用指南,66,通用準(zhǔn)則CC,CC的范圍 : CC適用于硬件、固件和軟件實現(xiàn)的信息技術(shù)安全措施 而某些內(nèi)容因涉及特殊專業(yè)技術(shù)或僅是信息技術(shù)安全的外圍技術(shù)不在CC的范圍內(nèi),67,通用準(zhǔn)則CC,評估上下文,68,通用準(zhǔn)則CC,使用通用評估方法學(xué)可以提供結(jié)果的可重復(fù)性和客觀性 許多評估準(zhǔn)則需要使用專家判斷和一定的背景知識 為了增強(qiáng)評估結(jié)果的一致性，最終的評估結(jié)果應(yīng)提交給一個認(rèn)證過程，該過程是一個針對評估結(jié)果的獨立的檢查過程，并生成最終的證書或正式批文,69,通用準(zhǔn)則CC,CC包括三個部分: 第一部分：簡介和一般模型 第二部分：安全功能要求 第三部分：安全保證要求,70,通用準(zhǔn)則CC,安全保證要求部分提出了七個評估保證級別（Evaluation Assurance Levels：EALs）分別是： EAL1：功能測試 EAL2：結(jié)構(gòu)測試 EAL3：系統(tǒng)測試和檢查 EAL4：系統(tǒng)設(shè)計、測試和復(fù)查 EAL5：半形式化設(shè)計和測試 EAL6：半形式化驗證的設(shè)計和測試 EAL7：形式化驗證的設(shè)計和測試,71,通用準(zhǔn)則CC,CC的一般模型 一般安全上下文 TOE評估 CC安全概念,72,通用準(zhǔn)則CC,安全就是保護(hù)資產(chǎn)不受威脅，威脅可依據(jù)濫用被保護(hù)資產(chǎn)的可能性進(jìn)行分類 所有的威脅類型都應(yīng)該被考慮到 在安全領(lǐng)域內(nèi)，被高度重視的威脅是和人們的惡意攻擊及其它人類活動相聯(lián)系的,73,通用準(zhǔn)則CC,安全概念和關(guān)系,74,通用準(zhǔn)則CC,安全性損壞一般包括但又不僅僅包括以下幾項 資產(chǎn)破壞性地暴露于未授權(quán)的接收者（失去保密性） 資產(chǎn)由于未授權(quán)的更改而損壞（失去完整性） 或資產(chǎn)訪問權(quán)被未授權(quán)的喪失（失去可用性）,75,通用準(zhǔn)則CC,資產(chǎn)所有者必須分析可能的威脅并確定哪些存在于他們的環(huán)境，其后果就是風(fēng)險 對策用以（直接或間接地）減少脆弱性并滿足資產(chǎn)所有者的安全策略 在將資產(chǎn)暴露于特定威脅之前，所有者需要確信其對策足以應(yīng)付面臨的威脅,76,通用準(zhǔn)則CC,評估概念 和關(guān)系,77,通用準(zhǔn)則CC,TOE評估過程,78,通用準(zhǔn)則CC,TOE評估過程的主要輸入有： 一系列TOE證據(jù)，包括評估過的ST作為TOE評估的基礎(chǔ) 需要評估的TOE 評估準(zhǔn)則、方法和方案 另外，說明性材料（例如CC的使用說明書）和評估者及評估組織的IT安全專業(yè)知識也常用來作為評估過程的輸入,79,通用準(zhǔn)則CC,評估過程通過兩種途徑產(chǎn)生更好的安全產(chǎn)品 評估過程能發(fā)現(xiàn)開發(fā)者可以糾正的TOE錯誤或弱點，從而在減少將來操作中安全失效的可能性 另一方面，為了通過嚴(yán)格的評估，開發(fā)者在TOE設(shè)計和開發(fā)時也將更加細(xì)心 因此，評估過程對最初需求、開發(fā)過程、最終產(chǎn)品以及操作環(huán)境將產(chǎn)生強(qiáng)烈的積極影響,80,通用準(zhǔn)則CC,只有在IT環(huán)境中考慮IT組件保護(hù)資產(chǎn)的能力時，CC才是可用的 為了表明資產(chǎn)是安全的，安全考慮必須出現(xiàn)在所有層次的表述中，包括從最抽象到最終的IT實現(xiàn) CC要求在某層次上的表述包含在該層次上TOE描述的基本原理,81,通用準(zhǔn)則CC,CC安全概念包括： 安全環(huán)境 安全目的 IT安全要求 TOE概要規(guī)范,82,通用準(zhǔn)則CC,安全環(huán)境包括所有相關(guān)的法規(guī)、組織性安全策略、習(xí)慣、專門技術(shù)和知識 它定義了TOE使用的上下文，安全環(huán)境也包括環(huán)境里出現(xiàn)的安全威脅,83,通用準(zhǔn)則CC,為建立安全環(huán)境，必須考慮以下幾點： TOE物理環(huán)境，指所有的與TOE安全相關(guān)的TOE運行環(huán)境，包括已知的物理和人事的安全安排 需要根據(jù)安全策略由TOE的元素實施保護(hù)的資產(chǎn)。包括可直接相關(guān)的資產(chǎn)（如文件和數(shù)據(jù)庫）和間接受安全要求支配的資產(chǎn)（如授權(quán)憑證和IT實現(xiàn)本身） TOE目的，說明產(chǎn)品類型和可能的TOE用途,84,通用準(zhǔn)則CC,安全環(huán)境的分析結(jié)果被用來闡明對抗已標(biāo)識的威脅、說明組織性安全策略和假設(shè)的安全目的 安全目的和已說明的TOE運行目標(biāo)或產(chǎn)品目標(biāo)以及有關(guān)的物理環(huán)境知識一致 確定安全目的的意圖是為了闡明所有的安全考慮并指出哪些安全方面的問題是直接由TOE還是由它的環(huán)境來處理 環(huán)境安全目的將在IT領(lǐng)域內(nèi)用非技術(shù)上的或程序化的手段來實現(xiàn),85,通用準(zhǔn)則CC,IT安全要求是將安全目的細(xì)化為一系列TOE及其環(huán)境的安全要求，一旦這些要求得到滿足，就可以保證TOE達(dá)到它的安全目的 IT安全需求只涉及TOE安全目的和它的IT環(huán)境,86,通用準(zhǔn)則CC,ST中提供的TOE概要規(guī)范定義TOE安全要求的實現(xiàn)方法 它提供了分別滿足功能需求和保證需求的安全功能和保證措施的高層定義,87,通用準(zhǔn)則CC,CC定義了一系列與已知有效的安全要求集合相結(jié)合的概念，該概念可被用來為預(yù)期的產(chǎn)品和系統(tǒng)建立安全需求 CC安全要求以類族組件這種層次方式組織，以幫助用戶定位特定的安全要求 對功能和保證方面的要求，CC使用相同的風(fēng)格、組織方式和術(shù)語。,88,通用準(zhǔn)則CC,要求的組織和結(jié)構(gòu),89,通用準(zhǔn)則CC,CC中安全要求的描述方法： 類：類用作最通用安全要求的組合，類的所有的成員關(guān)注共同的安全焦點，但覆蓋不同的安全目的 族：類的成員被稱為族。族是若干組安全要求的組合，這些要求有共同的安全目的，但在側(cè)重點和嚴(yán)格性上有所區(qū)別 組件：族的成員被稱為組件。組件描述一組特定的安全要求集，它是CC定義的結(jié)構(gòu)中所包含的最小的可選安全要求集,90,通用準(zhǔn)則CC,組件由單個元素組成，元素是安全需求最低層次的表達(dá)，并且是能被評估驗證的不可分割的安全要求 族內(nèi)具有相同目標(biāo)的組件可以以安全要求強(qiáng)度（或能力）逐步增加的順序排列，也可以部分地按相關(guān)非層次集合的方式組織,91,通用準(zhǔn)則CC,組件間可能存在依賴關(guān)系 依賴關(guān)系可以存在于功能組件之間、保證組件之間以及功能和保證組件之間 組件間依賴關(guān)系描述是CC組件定義的一部分,92,通用準(zhǔn)則CC,可以通過使用組件允許的操作，對組件進(jìn)行裁剪 每一個CC組件標(biāo)識并定義組件允許的“賦值”和“選擇”操作、在哪些情況下可對組件使用這些操作，以及使用這些操作的后果 任何一個組件均允許“反復(fù)”和“細(xì)化”操作,93,通用準(zhǔn)則CC,這四個操作如下所述： 反復(fù)：在不同操作時，允許組件多次使用 賦值：當(dāng)組件被應(yīng)用時，允許規(guī)定所賦予的參數(shù) 選擇：允許從組件給出的列表中選定若干項 細(xì)化：當(dāng)組件被應(yīng)用時，允許對組件增加細(xì)節(jié),94,通用準(zhǔn)則CC,CC中安全需求的描述方法: 包:組件的中間組合被稱為包 保護(hù)輪廓(PP): PP是關(guān)于一系列滿足一個安全目標(biāo)集的TOE的、與實現(xiàn)無關(guān)的描述 安全目標(biāo)(ST)： ST是針對特定TOE安全要求的描述，通過評估可以證明這些安全要求對滿足指定目的是有用和有效的,95,通用準(zhǔn)則CC,包允許對功能或保證需求集合的描述，這個集合能夠滿足一個安全目標(biāo)的可標(biāo)識子集 包可重復(fù)使用，可用來定義那些公認(rèn)有用的、能夠有效滿足特定安全目標(biāo)的要求 包可用在構(gòu)造更大的包、PP和ST中,96,通用準(zhǔn)則CC,PP包含一套來自CC（或明確闡述）的安全要求，它應(yīng)包括一個評估保證級別（EAL） PP可反復(fù)使用，還可用來定義那些公認(rèn)有用的、能夠有效滿足特定安全目標(biāo)的TOE要求 PP包括安全目的和安全要求的基本原理 PP的開發(fā)者可以是用戶團(tuán)體、IT產(chǎn)品開發(fā)者或其它對定義這樣一系列通用要求有興趣的團(tuán)體,97,通用準(zhǔn)則CC,保護(hù)輪廓PP描述結(jié)構(gòu),98,通用準(zhǔn)則CC,安全目標(biāo)(ST)包括一系列安全要求，這些要求可以引用PP，也可以直接引用CC中的功能或保證組件，或明確說明 一個ST包含TOE的概要規(guī)范，安全要求和目的，以及它們的基本原理 ST是所有團(tuán)體間就TOE應(yīng)提供什么樣的安全性達(dá)成一致的基礎(chǔ),99,通用準(zhǔn)則CC,安全目標(biāo)描述結(jié)構(gòu),100,通用準(zhǔn)則CC,CC框架下的評估類型 PP評估 ST評估 TOE評估,101,通用準(zhǔn)則CC,PP評估是依照CC第3部分的PP評估準(zhǔn)則進(jìn)行的。 評估的目標(biāo)是為了證明PP是完備的、一致的、技術(shù)合理的，而且適合于作為一個可評估TOE的安全要求的聲明,102,通用準(zhǔn)則CC,針對TOE的ST評估是依照CC第3部分的ST評估準(zhǔn)則進(jìn)行的 ST評估具有雙重目標(biāo)： 首先是為了證明ST是完備的、一致的、技術(shù)合理的，而且適合于用作相應(yīng)TOE評估的基礎(chǔ) 其次，當(dāng)某一ST宣稱與某一PP一致時，證明ST滿足該PP的要求,103,通用準(zhǔn)則CC,TOE評估是使用一個已經(jīng)評估過的ST作為基礎(chǔ)，依照CC第3部分的評估準(zhǔn)則進(jìn)行的 評估的目標(biāo)是為了證明TOE滿足ST中的安全要求,104,通用準(zhǔn)則CC,三種評估的關(guān)系,105,通用準(zhǔn)則CC,CC的第二部分是安全功能要求，對滿足安全需求的諸安全功能提出了詳細(xì)的要求 另外，如果有超出第二部分的安全功能要求，開發(fā)者可以根據(jù)“類-族-組件-元素”的描述結(jié)構(gòu)表達(dá)其安全要求，并附加在其ST中,106,通用準(zhǔn)則CC,CC共包含的11個安全功能類，如下： FAU類：安全審計 FCO類：通信 FCS類：密碼支持 FDP類：用戶數(shù)據(jù)保護(hù) FIA類：標(biāo)識與鑒別 FMT類：安全管理 FPR類：隱秘 FPT類：TFS保護(hù) FAU類：資源利用 FTA類：TOE訪問 FTP類：可信信道/路徑,107,通用準(zhǔn)則CC,CC的第三部分是評估方法部分，提出了PP、ST、TOE三種評估，共包括10個類，但其中的APE類與ASE類分別介紹了PP與ST的描述結(jié)構(gòu)及評估準(zhǔn)則 維護(hù)類提出了保證評估過的受測系統(tǒng)或產(chǎn)品運行于所獲得的安全級別上的要求 只有七個安全保證類是TOE的評估類別,108,通用準(zhǔn)則CC,七個安全保證類 ACM類：配置管理 ADO類：分發(fā)與操作 ADV類：開發(fā) AGD類：指導(dǎo)性文檔 ALC類：生命周期支持 ATE類：測試 AVA類：脆弱性評定,109,通用準(zhǔn)則CC,1998年1月，經(jīng)過兩年的密切協(xié)商，來自美國、加拿大、法國、德國以及英國的政府組織簽訂了歷史性的安全評估互認(rèn)協(xié)議：IT安全領(lǐng)域內(nèi)CC認(rèn)可協(xié)議 根據(jù)該協(xié)議，在協(xié)議簽署國范圍內(nèi)，在某個國家進(jìn)行的基于CC的安全評估將在其他國家內(nèi)得到承認(rèn) 截止2003年3月，加入該協(xié)議的國家共有十五個：澳大利亞、新西蘭、加拿大、芬蘭、法國、德國、希臘、以色列、意大利、荷蘭、挪威、西班牙、瑞典、英國及美國,110,通用準(zhǔn)則CC,該協(xié)議的參與者在這個領(lǐng)域內(nèi)有共同的目的即： 確保IT產(chǎn)品及保護(hù)輪廓的評估遵循一致的標(biāo)準(zhǔn)，為這些產(chǎn)品及保護(hù)輪廓的安全提供足夠的信心。 在國際范圍內(nèi)提高那些經(jīng)過評估的、安全增強(qiáng)的IT產(chǎn)品及保護(hù)輪廓的可用性。 消除IT產(chǎn)品及保護(hù)輪廓的重復(fù)評估，改進(jìn)安全評估的效率及成本效果，改進(jìn)IT產(chǎn)品及保護(hù)輪廓的證明/確認(rèn)過程,111,通用準(zhǔn)則CC,美國NSA內(nèi)部的可信產(chǎn)品評估計劃（TPEP）以及可信技術(shù)評價計劃（TTAP）最初根據(jù)TCSEC進(jìn)行產(chǎn)品的評估，但從1999年2月1日起，這些計劃將不再接收基于TCSEC的新的評估。此后這些計劃接受的任何新的產(chǎn)品都必須根據(jù)CC的要求進(jìn)行評估。到2001年底，所有已經(jīng)經(jīng)過TCSEC評估的產(chǎn)品，其評估結(jié)果或者過時，或者轉(zhuǎn)換為CC評估等級。 NSA已經(jīng)將TCSEC對操作系統(tǒng)的C2和B1級要求轉(zhuǎn)換為基于CC的要求（或PP）， NSA正在將TCSEC的B2和B3級要求轉(zhuǎn)換成基于CC的保護(hù)輪廓，但對TCSEC中的A1級要求不作轉(zhuǎn)換。 TCSEC的可信網(wǎng)絡(luò)解釋（TNI）在使用范圍上受到了限制，已經(jīng)不能廣泛適用于目前的網(wǎng)絡(luò)技術(shù)，因此，NSA目前不計劃提交與TNI相應(yīng)的PP,112,通用準(zhǔn)則CC,113,標(biāo)準(zhǔn)介紹,信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 可信計算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC） 可信網(wǎng)絡(luò)解釋 （TNI） 通用準(zhǔn)則CC 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 信息安全保證技術(shù)框架 信息系統(tǒng)安全保護(hù)等級應(yīng)用指南,114,系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則,我國政府及各行各業(yè)在進(jìn)行大量的信息系統(tǒng)的建設(shè)，并且已經(jīng)成為國家的重要基礎(chǔ)設(shè)施 計算機(jī)犯罪、黑客攻擊、有害病毒等問題的出現(xiàn)對社會穩(wěn)定、國家安全造成了極大的危害，信息安全的重要性日益突出 信息系統(tǒng)安全問題已經(jīng)被提到關(guān)系國家安全和國家主權(quán)的戰(zhàn)略性高度,115,系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則,大多數(shù)信息系統(tǒng)缺少有效的安全技術(shù)防范措施，安全性非常脆弱 我國的信息系統(tǒng)安全專用產(chǎn)品市場一直被外國產(chǎn)品占據(jù)，增加了新的安全隱患 因此，盡快建立能適應(yīng)和保障我國信息產(chǎn)業(yè)健康發(fā)展的國家信息系統(tǒng)安全等級保護(hù)制度已迫在眉睫,116,系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則,為了從整體上形成多級信息系統(tǒng)安全保護(hù)體系 為了提高國家信息系統(tǒng)安全保護(hù)能力 為從根本上解決信息社會國家易受攻擊的脆弱性和有效預(yù)防計算機(jī)犯罪等問題 中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例第九條明確規(guī)定，計算機(jī)信息系統(tǒng)實行安全等級保護(hù),117,系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則,為切實加強(qiáng)重要領(lǐng)域信息系統(tǒng)安全的規(guī)范化建設(shè)和管理 全面提高國家信息系統(tǒng)安全保護(hù)的整體水平 使公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察工作更加科學(xué)、規(guī)范，指導(dǎo)工作更具體、明確,118,系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則,公安部組織制訂了計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則國家標(biāo)準(zhǔn) 于1999年9月13日由國家質(zhì)量技術(shù)監(jiān)督局審查通過并正式批準(zhǔn)發(fā)布 于 2001年1月1日執(zhí)行,119,系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則,該準(zhǔn)則的發(fā)布為計算機(jī)信息系統(tǒng)安全法規(guī)和配套標(biāo)準(zhǔn)的制定和執(zhí)法部門的監(jiān)督檢查提供了依據(jù) 為安全產(chǎn)品的研制提供了技術(shù)支持 為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)是我國計算機(jī)信息系統(tǒng)安全保護(hù)等級工作的基礎(chǔ),120,系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則,GA 388-2002 計算機(jī)信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求 GA 391-2002 計算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求 GA/T 387-2002計算機(jī)信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求 GA/T 389-2002計算機(jī)信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求 GA/T 390-2002計算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求,121,系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則,準(zhǔn)則規(guī)定了計算機(jī)系統(tǒng)安全保護(hù)能力的五個等級，即： 第一級：用戶自主保護(hù)級 第二級：系統(tǒng)審計保護(hù)級 第三級：安全標(biāo)記保護(hù)級 第四級：結(jié)構(gòu)化保護(hù)級 第五級：訪問驗證保護(hù)級,122,系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則,用戶自主保護(hù)級： 計算機(jī)信息系統(tǒng)可信計算基通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。 它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞,123,系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則,系統(tǒng)審計保護(hù)級： 與用戶自主保護(hù)級相比，計算機(jī)信息系統(tǒng)可信計算基實施了粒度更細(xì)的自主訪問控制 它通過登錄規(guī)程、審計安全性相關(guān)事件和隔離資源，使用戶對自己的行為負(fù)責(zé),124,系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則,安全標(biāo)記保護(hù)級： 計算機(jī)信息系統(tǒng)可信計算基具有系統(tǒng)審計保護(hù)級所有功能 此外，還提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對客體強(qiáng)制訪問控制的非形式化描述 具有準(zhǔn)確地標(biāo)記輸出信息的能力 消除通過測試發(fā)現(xiàn)的任何錯誤,125,系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則,結(jié)構(gòu)化保護(hù)級： 計算機(jī)信息系統(tǒng)可信計算基建立于一個明確定義的形式化安全策略模型之上 要求將第三級系統(tǒng)中的自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體 此外，還要考慮隱蔽通道 計算機(jī)信息系統(tǒng)可信計算基必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素,126,系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則,計算機(jī)信息系統(tǒng)可信計算基的接口也必須明確定義，使其設(shè)計與實現(xiàn)能經(jīng)受更充分的測試和更完整的復(fù)審 加強(qiáng)了鑒別機(jī)制 支持系統(tǒng)管理員和操作員的職能 提供可信設(shè)施管理 增強(qiáng)了配置管理控制 系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力,127,系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則,訪問驗證保護(hù)級 計算機(jī)信息系統(tǒng)可信計算基滿足訪問監(jiān)控器需求 訪問監(jiān)控器仲裁主體對客體的全部訪問 訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測試,128,系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則,訪問驗證保護(hù)級 支持安全管理員職能 擴(kuò)充審計機(jī)制，當(dāng)發(fā)生與安全相關(guān)的事件時發(fā)出信號 提供系統(tǒng)恢復(fù)機(jī)制 系統(tǒng)具有很高的抗?jié)B透能力,129,標(biāo)準(zhǔn)介紹,信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 可信計算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC） 可信網(wǎng)絡(luò)解釋 （TNI） 通用準(zhǔn)則CC 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 信息安全保證技術(shù)框架 信息系統(tǒng)安全保護(hù)等級應(yīng)用指南,130,信息安全保證技術(shù)框架(IATF),信息保證技術(shù)框架（Information Assurance Technical Framework：IATF）為保護(hù)政府、企業(yè)信息及信息基礎(chǔ)設(shè)施提供了技術(shù)指南 IATF對信息保證技術(shù)四個領(lǐng)域的劃分同樣適用于信息系統(tǒng)的安全評估，它給出了一種實現(xiàn)系統(tǒng)安全要素和安全服務(wù)的層次結(jié)構(gòu),131,信息安全保證技術(shù)框架(IATF),132,信息安全保證技術(shù)框架(IATF),信息安全保證技術(shù)框架將計算機(jī)信息系統(tǒng)分4個部分： 本地計算環(huán)境 區(qū)域邊界 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施 支撐基礎(chǔ)設(shè)施,133,信息安全保證技術(shù)框架(IATF),本地計算環(huán)境一般包括 服務(wù)器 客戶端及其上面的應(yīng)用（如打印服務(wù)、目錄服務(wù)等） 操作系統(tǒng) 數(shù)據(jù)庫 基于主機(jī)的監(jiān)控組件（病毒檢測、入侵檢測）,134,信息安全保證技術(shù)框架(IATF),信息安全保證技術(shù)框架將計算機(jī)信息系統(tǒng)分4個部分： 本地計算環(huán)境 區(qū)域邊界 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施 支撐基礎(chǔ)設(shè)施,135,信息安全保證技術(shù)框架(IATF),區(qū)域是指在單一安全策略管理下、通過網(wǎng)絡(luò)連接起來的計算設(shè)備的集合 區(qū)域邊界是區(qū)域與外部網(wǎng)絡(luò)發(fā)生信息交換的部分 區(qū)域邊界確保進(jìn)入的信息不會影響區(qū)域內(nèi)資源的安全，而離開的信息是經(jīng)過合法授權(quán)的,136,信息安全保證技術(shù)框架(IATF),區(qū)域邊界上有效的控制措施包括 防火墻 門衛(wèi)系統(tǒng) VPN 標(biāo)識和鑒別 訪問控制等 有效的監(jiān)督措施包括 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（IDS） 脆弱性掃描器 局域網(wǎng)上的病毒檢測器等,137,信息安全保證技術(shù)框架(IATF),邊界的主要作用是防止外來攻擊 它也可以來對付某些惡意的內(nèi)部人員 這些內(nèi)部人員有可能利用邊界環(huán)境來發(fā)起攻擊 通過開放后門/隱蔽通道來為外部攻擊提供方便,138,信息安全保證技術(shù)框架(IATF),信息安全保證技術(shù)框架將計算機(jī)信息系統(tǒng)分4個部分： 本地計算環(huán)境 區(qū)域邊界 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施 支撐基礎(chǔ)設(shè)施,139,信息安全保證技術(shù)框架(IATF),網(wǎng)絡(luò)和基礎(chǔ)設(shè)施在區(qū)域之間提供連接,包括 局域網(wǎng)（LAN） 校園網(wǎng)（CAN） 城域網(wǎng)（MAN） 廣域網(wǎng)等 其中包括在網(wǎng)絡(luò)節(jié)點間（如路由器和交換機(jī)）傳遞信息的傳輸部件（如：衛(wèi)星，微波，光纖等），以及其他重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件如網(wǎng)絡(luò)管理組件、域名服務(wù)器及目錄服務(wù)組件等,140,信息安全保證技術(shù)框架(IATF),對網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的安全要求主要是 鑒別 訪問控制 機(jī)密性 完整性 抗抵賴性 可用性,141,信息安全保證技術(shù)框架(IATF),信息安全保證技術(shù)框架將計算機(jī)信息系統(tǒng)分4個部分： 本地計算環(huán)境 區(qū)域邊界 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施 支撐基礎(chǔ)設(shè)施,142,信息安全保證技術(shù)框架(IATF),支撐基礎(chǔ)設(shè)施提供了一個IA機(jī)制在網(wǎng)絡(luò)、區(qū)域及計算環(huán)境內(nèi)進(jìn)行安全管理、提供安全服務(wù)所使用的基礎(chǔ) 主要為以下內(nèi)容提供安全服務(wù)： 終端用戶工作站 web服務(wù) 應(yīng)用 文件 DNS服務(wù) 目錄服務(wù)等,143,信息安全保證技術(shù)框架(IATF),IATF中涉及到兩個方面的支撐基礎(chǔ)設(shè)施： KMI/PKI 檢測響應(yīng)基礎(chǔ)設(shè)施 KMI/PKI提供了一個公鑰證書及傳統(tǒng)對稱密鑰的產(chǎn)生、分發(fā)及管理的統(tǒng)一過程 檢測及響應(yīng)基礎(chǔ)設(shè)施提供對入侵的快速檢測和響應(yīng)，包括入侵檢測、監(jiān)控軟件、CERT等,144,信息安全保證技術(shù)框架(IATF),深度保衛(wèi)戰(zhàn)略在信息保證技術(shù)框架（IATF）下提出 保衛(wèi)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施 保衛(wèi)邊界 保衛(wèi)計算環(huán)境 支持基礎(chǔ)設(shè)施,145,信息安全保證技術(shù)框架(IATF),其中使用多層信息保證（IA）技術(shù)來保證信息的安全 意味著通過對關(guān)鍵部位提供適當(dāng)層次的保護(hù)就可以為組織提供有效的保護(hù) 這種分層的策略允許在恰當(dāng)?shù)牟课淮嬖诘捅ＷC級別的應(yīng)用，而在關(guān)鍵部位如網(wǎng)絡(luò)邊界部分采用高保證級別的應(yīng)用,146,信息安全保證技術(shù)框架(IATF),區(qū)域邊界保護(hù)內(nèi)部的計算環(huán)境，控制外部用戶的非授權(quán)訪問，同時控制內(nèi)部惡意用戶從區(qū)域內(nèi)發(fā)起攻擊 根據(jù)所要保護(hù)信息資源的敏感級別以及潛在的內(nèi)外威脅，可將邊界分為不同的層次,147,信息安全保證技術(shù)框架(IATF),在對信息系統(tǒng)進(jìn)行安全評估時： 可以依據(jù)這種多層的深度保衛(wèi)戰(zhàn)略對系統(tǒng)的構(gòu)成進(jìn)行合理分析 根據(jù)系統(tǒng)所面臨的各種威脅及實際安全需求 分別對計算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、支撐基礎(chǔ)設(shè)施進(jìn)行安全評估 對系統(tǒng)的安全保護(hù)等級作出恰當(dāng)?shù)脑u估,148,信息安全保證技術(shù)框架(IATF),在網(wǎng)絡(luò)上，有三種不同的通信流： 用戶通信流 控制通信流 管理通信流 信息系統(tǒng)應(yīng)保證局域內(nèi)這些通信流的安全 直接假設(shè)KMI/PKI等支撐基礎(chǔ)設(shè)施的實施過程是安全的,149,標(biāo)準(zhǔn)介紹,信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 可信計算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC） 可信網(wǎng)絡(luò)解釋 （TNI） 通用準(zhǔn)則CC 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 信息安全保證技術(shù)框架 信息系統(tǒng)安全保護(hù)等級應(yīng)用指南,150,應(yīng)用指南（通用部分）,前三部分主要介紹了該準(zhǔn)則的應(yīng)用范圍、規(guī)范性引用文件以及一些術(shù)語的定義。 應(yīng)用指南詳細(xì)說明了為實現(xiàn)準(zhǔn)則所提出的安全要求應(yīng)采取的具體安全策略和安全機(jī)制，以及為確保實現(xiàn)這些安全策略和安全機(jī)制的安全功能達(dá)到其應(yīng)具有的安全性而采取的保證措施,151,應(yīng)用指南（通用部分）,第四部分是總體結(jié)構(gòu)與說明，給出了準(zhǔn)則應(yīng)用指南（技術(shù)要求）的總體結(jié)構(gòu)，并對有關(guān)內(nèi)容作一般性說明 。包括安全要求與目標(biāo)、組成與結(jié)構(gòu)和一般說明。,152,應(yīng)用指南（通用部分）,安全要求與目標(biāo) ：無論是安全保護(hù)框架的描述，還是安全目標(biāo)的設(shè)計，都要從安全功能的完備性、一致性和有效性等方面進(jìn)行考慮。 完備性：安全保護(hù)框架（PP）不應(yīng)有安全漏洞 一致性：安全保護(hù)框架（PP）中的安全功能應(yīng)該平滑一致 有效性：安全保護(hù)框架（PP）中的安全功能應(yīng)該是有效的,153,應(yīng)用指南（通用部分）,應(yīng)用指南在對安全功能和安全保證進(jìn)行詳細(xì)說明以后，對準(zhǔn)則各個安全等級的不同要求分別進(jìn)行詳細(xì)描述 安全功能主要說明一個計算機(jī)信息系統(tǒng)所實現(xiàn)的安全策略和安全機(jī)制符合準(zhǔn)則中哪一級的功能要求 安全保證則是通過一定的方法保證計算機(jī)信息系統(tǒng)所提供的安全功能確實達(dá)到了確定的功能要求和強(qiáng)度,154,應(yīng)用指南（通用部分）,安全功能要求從物理安全、運行安全和信息安全三個方面對一個安全的計算機(jī)信息系統(tǒng)所應(yīng)提供的與安全有關(guān)的功能進(jìn)行描述 安全保證要求則分別從TCB自身安全、TCB的設(shè)計和實現(xiàn)和TCB安全管理三個方面進(jìn)行描述,155,應(yīng)用指南（通用部分）,一般說明部分：對本指南內(nèi)容、安全等級劃分、主體和客體、TCB、引起信息流動的方式、密碼技術(shù)、安全的計算機(jī)信息系統(tǒng)開發(fā)方法進(jìn)行了進(jìn)一步的說明,156,應(yīng)用指南（通用部分）,第五部分是安全功能技術(shù)要求說明，為了對計算機(jī)信息系統(tǒng)安全功能的實現(xiàn)進(jìn)行了完整的描述，這里將實現(xiàn)這些安全功能所涉及的所有因素做了較為全面的說明 安全功能包括物理安全、運行安全和信息安全,157,應(yīng)用指南（通用部分）,物理安全也稱實體安全，是指包括環(huán)境設(shè)備和記錄介質(zhì)在內(nèi)的所有支持信息系統(tǒng)運行的硬件的安全 它是一個信息系統(tǒng)安全運行的基礎(chǔ) 計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的實體安全包括環(huán)境安全、設(shè)備安全和介質(zhì)安全,158,應(yīng)用指南（通用部分）,運行安全是指在物理安全得到保障的前提下，為確保計算機(jī)信息系統(tǒng)不間斷運行而采取的各種檢測、監(jiān)控、審計、分析、備份及容錯等方法和措施 當(dāng)前，保障運行安全的主要技術(shù)和機(jī)制有：風(fēng)險分析，網(wǎng)絡(luò)安全檢測與監(jiān)控，安全審計，網(wǎng)絡(luò)防病毒，備份與故障恢復(fù)，以及計算機(jī)信息系統(tǒng)應(yīng)急計劃與應(yīng)急措施等,159,應(yīng)用指南（通用部分）,信息安全是指在計算機(jī)信息系統(tǒng)運行安全得到保證的前提下，對在計算機(jī)信息系統(tǒng)中存儲、傳輸和處理的信息進(jìn)行有效的保護(hù)，使其不因人為的或自然的原因被泄露、篡改和破壞 當(dāng)前常用的信息保護(hù)技術(shù)有：進(jìn)入系統(tǒng)用戶的標(biāo)識和鑒別、信息交換的安全鑒別、隱秘、自主訪問控制、標(biāo)記與強(qiáng)制訪問控制、數(shù)據(jù)保密性保護(hù)、數(shù)據(jù)完整性保護(hù)、剩余信息保護(hù)及密碼支持等,160,應(yīng)用指南（通用部分）,第六部分是安全保證技術(shù)要求說明 為了確保所要求的安全功能達(dá)到所確定的安全目標(biāo)，必須從以下方面保證安全功能從設(shè)計、實現(xiàn)到運行管理等各個環(huán)節(jié)嚴(yán)格按照所規(guī)定的要求進(jìn)行 ： TCB自身安全保護(hù) TCB設(shè)計和實現(xiàn) TCB安全管理,161,應(yīng)用指南（通用部分）,TCB自身安全保護(hù)是指，一方面提供與TSF機(jī)制的完整性和管理有關(guān)的保護(hù)，另一方面提供與TSF數(shù)據(jù)的完整性有關(guān)的保護(hù) TCB自身安全保護(hù)可能采用與對用戶數(shù)據(jù)安全保護(hù)相同的安全策略和機(jī)制，但其所要實現(xiàn)的目標(biāo)是不同的。 前者是為了自身更健壯，從而使其所提供的安全功能更有保證；后者則是為了實現(xiàn)其直接所提供的安全功能,162,應(yīng)用指南（通用部分）,TCB自身安全保護(hù)的內(nèi)容主要包括: 根本的抽象機(jī)測試、失敗保護(hù)、輸出TSF數(shù)據(jù)的可用性、輸出TSF數(shù)據(jù)的保密性、輸出TSF數(shù)據(jù)的完整性、TCB內(nèi)TSF數(shù)據(jù)傳輸、