國家信息安全測評認證標準體系.ppt

1、國家信息安全測評認證標準體系,目 錄,1、概述 2、基礎標準 3、應用標準 4、運行標準 5、標準化工作,概述標準化基礎,標準：為在一定的范圍內(nèi)獲得最佳秩序，對活動或其結果規(guī)定共同的和重復使用的規(guī)則、導則或特性的文件。 強制性標準：保障人體健康、人身、財產(chǎn)安全的標準和法律、行政法規(guī)規(guī)定強制執(zhí)行的標準；其它標準是推薦性標準。 我國標準分四級：國家標準、行業(yè)標準、地方標準、企業(yè)標準。,概述標準化基礎,標準化：為在一定的范圍內(nèi)獲得最佳秩序，對實際的或潛在的問題制定共同的和重復使用的規(guī)則的活動。 實質(zhì)：通過制定、發(fā)布和實施標準，達到統(tǒng)一。 目的：獲得最佳秩序和社會效益。,概述標準化基礎,標準化的基本特

2、性： 抽象性 技術性 經(jīng)濟性 連續(xù)性，亦稱繼承性 約束性 政策性,概述標準化基礎,標準化三維空間,國際級 區(qū)域級 國家級 行業(yè)級 地方級 企業(yè)級,人員 服務 系統(tǒng) 產(chǎn)品 過程,管理,應用,技術機制,體系、框架,術語,X,Y,Z,X軸代表標準化對象，Y軸代表標準化的內(nèi)容，Z軸代表標準化的級別。,概述標準化基礎,標準化的地位和作用 標準化為科學管理奠定了基礎； 促進經(jīng)濟全面發(fā)展，提高經(jīng)濟效益； 標準化是科研、生產(chǎn)、使用三者之間的橋梁； 標準化為組織現(xiàn)代化生產(chǎn)創(chuàng)造了前提條件； 促進對自然資源的合理利用，保持生態(tài)平衡，維護人類社會當前和長遠的利益； 合理發(fā)展產(chǎn)品品種，提高企業(yè)應變能力，以更好地滿足社會

3、需求； 保證產(chǎn)品質(zhì)量，維護消費者利益； 在社會生產(chǎn)組成部分之間進行協(xié)調(diào)，確立共同遵循的準則，建立穩(wěn)定的秩序； 在消除貿(mào)易障礙，促進國際技術交流和貿(mào)易發(fā)展，提高產(chǎn)品在國際市場上的競爭能力方面具有重大作用； 保障身體健康和生命安全。大量的環(huán)保標準、衛(wèi)生標準和安全標準制定發(fā)布后，用法律形式強制執(zhí)行，對保障人民的身體健康和生命財產(chǎn)安全具有重大作用。,概述標準化基礎,標準化對象 標準化研究對象 標準化學的基本概念 支撐標準化學的理論基礎 標準化原理的研究 標準化形式的研究 標準化系統(tǒng)的研究 標準體系的研究 標準化科學管理的研究 標準化工作對象 制定和實施標準：技術基礎、產(chǎn)品標準、過程、服務 標準的實施監(jiān)

4、督,概述標準化基礎,國際通行“標準化七原理”： 原理1-簡化 原理2-協(xié)商一致 原理3-實踐、運用 原理4-選擇、固定 原理5-修訂 原理6-技術要求+試驗方法+抽樣 原理7-強制性適應于：安全、健康、環(huán)保等,概述標準化基礎,我國通行“標準化八字原理”： “統(tǒng)一”原理 “簡化”原理 “協(xié)調(diào)”原理 “最優(yōu)”化原理,概述標準化基礎,采標： 等同采用：指技術內(nèi)容相同，沒有或僅有編輯性修改，編寫方法完全相對應； 等效采用：指主要技術內(nèi)容相同，技術上只有很小差異，編寫方法完全相對應； 非等效采用：指技術內(nèi)容有重大差異。,概述標準化基礎,標準體系：一定范圍內(nèi)標準按其內(nèi)在聯(lián)系形成的科學的有機整體 標準體系是

5、具有層次的，我國全國標準體系表可分成五個層次。,概述IT標準化,國際標準化 ISO/IEC JTC1 ECMA IETF ITU IEEE ESTI 國內(nèi)標準化 標準化所歸口 14個分委會 “漢字編碼字符集”,概述IT標準化,IT標準發(fā)展趨勢 (1)標準逐步從技術驅(qū)動向市場驅(qū)動方向發(fā)展。 (2)信息技術標準化機構由分散走向聯(lián)合。 (3)信息技術標準化的內(nèi)容更加廣泛，重點更加突出，從IT技術領域向社會各個領域滲透，涉及教育、文化、醫(yī)療、交通、商務等廣泛領域，需求大量增加。 (4)從技術角度看，IT標準化的重點將放在網(wǎng)絡接口、軟件接口、信息格式、安全等方面，并向著以技術中立為前提，保證互操作為目的

6、方向發(fā)展。,概述信息安全標準化,ISO JTC1 SC27，信息技術-安全技術 ISO/TC 68 銀行和有關的金融服務 JTC1其他分技術委員會： SC6系統(tǒng)間通信與信息交換，主要開發(fā)開放系統(tǒng)互連下四層安全模型和安全協(xié)議，如ISO 9160、ISO/IEC 11557。 SC17識別卡和有關設備，主要開發(fā)與識別卡有關的安全標準。 SC18文件處理及有關通信，主要開發(fā)電子郵件、消息處理系統(tǒng)等安全標準。 SC21開放系統(tǒng)互連，數(shù)據(jù)管理和開放式分布處理，主要開發(fā)開放系統(tǒng)互連安全體系結構，各種安全框架，高層安全模型等標準，如:ISO/IEC 7498-2、ISO/IEC 9594-1至8。 SC22

7、程序語言，其環(huán)境及系統(tǒng)軟件接口，也開發(fā)相應的安全標準。 SC30開放式電子數(shù)據(jù)交換，主要開發(fā)電子數(shù)據(jù)交換的有關安全標準。如ISO 9735-9 、 ISO 9735-10。,概述信息安全標準化,IEC TC56 可靠性； TC74 IT設備安全和功效； TC77 電磁兼容； CISPR 無線電干擾特別委員會 ITU 前身是CCITT 消息處理系統(tǒng) 目錄系統(tǒng)(X.400系列、X.500系列) 安全框架 安全模型等標準,概述信息安全標準化,IETF（170多個RFC、12個工作組） PGP開發(fā)規(guī)范(openpgp)； 鑒別防火墻遍歷(aft)； 通用鑒別技術(cat) ； 域名服務系統(tǒng)安全(dns

8、sec)； IP安全協(xié)議(ipsec)； 一次性口令鑒別(otp)； X.509公鑰基礎設施(pkix)； S/MIME郵件安全(smime)； 安全Shell (secsh)； 簡單公鑰基礎設施(spki)； 傳輸層安全(tls) Web處理安全 (wts),概述信息安全標準化,ECMA TC32“通信、網(wǎng)絡和系統(tǒng)互連”曾定義了開放系統(tǒng)應用層安全結構； TC36“IT安全”負責信息技術設備的安全標準。 美國 ANSI NCITS-T4 制定IT安全技術標準 X9 制定金融業(yè)務標準 X12 制定商業(yè)交易標準,概述信息安全標準化,NIST 負責聯(lián)邦政府非密敏感信息 FIPS DOD 負責涉密信息

9、 NSA 國防部指令（DODDI）（如TCSEC） IEEE SILS P1363 我國 38個標準,概述國家信息安全標準體系,基礎類標準 信息技術安全詞匯 信息技術安全體系結構 信息技術安全框架 信息技術安全模型,概述國家信息安全標準體系,技術機制類標準 加密機制 簽名機制 完整性機制 鑒別機制 訪問控制機制 抗抵賴機制 路由選擇控制機制 通信業(yè)務填充機制 公證機制 可信功能度 事件檢測和報警 安全審計跟蹤 安全標記 安全恢復 其他,概述國家信息安全標準體系,應用類標準 應用基礎 物理環(huán)境和保障 信息處理 信息傳輸 信息存儲 人機接口 計算機病毒防治 安全工程和服務 安全信息交換語法規(guī)則 應

10、用產(chǎn)品 應用系統(tǒng) 特殊行業(yè),概述國家信息安全標準體系,安全管理類標準 管理基礎 系統(tǒng)管理 測評認證 信息技術安全性評估準則（ISO/IEC 15408:1999）（CC） 計算機信息系統(tǒng)安全保護等級劃分準則(GB 17859：1999) PP/ST產(chǎn)生指南(ISO/IEC PDTR 15446: 2000) 通用測評方法(SC27 N2722|CEM) PP注冊(ISO/IEC CD 15292: 2000) 系統(tǒng)安全工程能力成熟模型(SSE-CMM) 安全工程質(zhì)量評估準則 信息安全服務評估準則,基礎標準,安全體系結構 前CC準則 GB/T 18336-2001（idt ISO/IEC 154

11、08：1999、CC） CEM PP和ST產(chǎn)生指南 SSE-CMM ISO9000 族 ISO/IEC 17799,基礎標準安全體系結構,國家標準GB/T 9387.2-1995信息處理系統(tǒng) 開放系統(tǒng)互連 基本參考模型第二部分：安全體系結構（idt ISO 7498-2） RFC 2401 因特網(wǎng)安全體系結構,基礎標準安全體系結構,ISO開放系統(tǒng)互連安全體系結構,OSI 參考模型,7 應用層 6 表達層 5 會話層 4 運輸層 3 網(wǎng)絡層 2 鏈路層 1 物理層,安全機制,公 證 路由控制 業(yè)務流填充 鑒別交換 數(shù)據(jù)完整性 訪問控制 數(shù)字簽名 加 密,安全服務,鑒別服務,訪問控制,數(shù)據(jù)完整性,

12、數(shù)據(jù)保密性,抗抵賴,與管理有關機制,公證機制,與安全服務有關機制,數(shù)據(jù)完整性機制,安全恢復機制,安全審核機制,事件探測機制,安全標簽機制,可信功能機制,路由控制機制,防業(yè)務流分析機制,認證交換機制,訪問控制機制,數(shù)字簽名機制,安全機制,加密機制,安全服務,對象認證安全服務,訪問控制安全服務,數(shù)據(jù)機密性安全服務,數(shù)據(jù)完整性安全服務,抗抵賴安全服務,安全服務是由安全機制來實現(xiàn)的。一個安全服務可以由一個或幾個安全機制來實現(xiàn)；同樣，一個安全機制也可用于實現(xiàn)不同的安全服務中。,安全服務與安全機制的關系,基礎標準安全體系結構,TCP/IP安全體系,應用層 表示層 會話層 傳輸層 網(wǎng)絡層 數(shù)據(jù)鏈路層 物理層

13、,FTP、TELNET NFS SMTP、SNMP XDR RPC TCP、UDP IP Ethernet、 PDN、 IEEE802.3、 IEEE802.4、 IEEE802.5及其它,ICMP,ARP RARP,OSI參考模型,Internet協(xié)議簇,TCP/IP協(xié)議模型中提供的安全服務,IP層安全體系結構 IPsec協(xié)議標準 RFC 2402 IP Authentication Header RFC 2403 The Use of HMAC-MD5-96 within ESP and AH RFC 2404 The Use of HMAC-SHA-1-96 within ESP and

14、 AH RFC 2405 The ESP DES-CBC Cipher Algorithm With Explicit IV RFC 2406 IP Encapsulating Security Payload (ESP),基礎標準前CC準則,美國TCSEC 1970年由美國國防科學委員會提出。1985年公布。 主要為軍用標準。延用至民用。 安全級別從高到低分為A、B、C、D四級，級下再分小級。 分級主要依據(jù)四個準則： a 安全政策 b 可控性 c 保證能力 d 文檔,歐洲多國安全評價方法的綜合產(chǎn)物，軍用，政府用和商用。 以超越TCSEC為目的，將安全概念分為功能與功能評估兩部分。 功能準則在

15、測定上分F1-F10共10級。15級對應于TCSEC的D 到A。610級加上了以下概念： F6：數(shù)據(jù)和程序的完整性 F7：系統(tǒng)可用性 F8：數(shù)據(jù)通信完整性 F9：數(shù)據(jù)通信保密性 F10 包括機密性和完整性的網(wǎng)絡安全 評估準則分為6級： E1：測試 E2：配置控制和可控的分配 E3：能訪問詳細設計和源碼 E4：詳細的脆弱性分析 E5：設計與源碼明顯對應 E6：設計與源碼在形式上一致。,歐洲ITSEC,基礎標準前CC準則,加拿大CTCPEC,1989年公布，專為政府需求而設計 與ITSEC類似，將安全分為功能性需求和保證性需要兩部分。 功能性要求分為四個大類： a 機密性 b 完整性 c 可用性

16、d 可控性 在每種安全需求下又分成很多小類，表示安全性上的差別，分級條數(shù)為05級。,基礎標準前CC準則,CTCPEC的功能性要求及分級,美國聯(lián)邦準則(FC),對TCSEC的升級1992年12月公布 引入了“保護輪廓（PP）”這一重要概念 每個輪廓都包括功能部分、開發(fā)保證部分和評測部分。 分級方式與TCSEC不同，吸取了ITSEC、CTCPEC中的優(yōu)點。 供美國政府用、民用和商用。,基礎標準前CC準則,GB 17859-1999 計算機信息系統(tǒng)安全等級劃分準則,基礎標準前CC準則,安全等級保護制度,國務院令147號中華人民共和國計算機信息系統(tǒng)安全保護條例第九條：計算機信息系統(tǒng)實行安全等級保護。,

17、等級保護制度內(nèi)容,安全等級保護標準體系 等級劃分標準 等級設備標準 等級建設標準 等級管理標準 安全等級保護管理的行政法規(guī) 安全等級保護所需的系統(tǒng)設備 安全等級系統(tǒng)的建設和管理,等級劃分準則,計算機信息系統(tǒng)安全等級保護系列標準的核心 實行計算機信息系統(tǒng)安全等級保護制度建設的重要基礎,等級劃分準則的目的,支持計算機信息系統(tǒng)安全法規(guī)的制定 為計算機信息系統(tǒng)安全產(chǎn)品的研發(fā)提供功能框架 為安全系統(tǒng)的建設和管理提供技術指導,等級劃分準則內(nèi)容,可信計算基（TCB）,TCBTrusted Computing Base 一個實現(xiàn)安全策略的機制 包括硬件、固件和軟件 根據(jù)安全策略來處理主體（系統(tǒng)管理員、安全管理

18、員、用戶）對客體（進程、文件、記錄、設備等）的訪問,TCB的特性,實施主體對客體的安全訪問功能 抗篡改的性質(zhì) 易于分析與測試的結構 安全保護能力主要取決于TCB,各級之間的差異主要體現(xiàn)在TCB的構造以及它所具有的安全保護能力,第一級 用戶自主保護級,本級的計算機信息系統(tǒng)TCB通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護的能力。它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞。,第一級,自主訪問控制 為用戶提供身份鑒別 TCB通過自主完整性策略，阻止非授權用戶修改或破壞敏感信息,第二級 系統(tǒng)審計保護級,與用戶自主保護級相

19、比，本級的計算機信息系統(tǒng)TCB實施了粒度更細的自主訪問控制，它通過登錄規(guī)程、審計安全性相關事件和隔離資源，使用戶對自己的行為負責。,第二級,自主訪問控制 客體的安全重用 為用戶提供身份鑒別和安全審計 TCB提供并發(fā)控制等機制，以確保多個主體對同一客體的正確訪問,第三級 安全標記保護級,本級的計算機信息系統(tǒng)TCB具有系統(tǒng)審計保護級所有功能。此外，還提供有關安全策略模型、數(shù)據(jù)標記以及主體對客體強制訪問控制的非形式化描述；具有準確地標記輸出信息的能力；消除通過測試發(fā)現(xiàn)的任何錯誤。,第三級,TCB實施強制訪問控制，以敏感標記為主體和客體指定其安全等級。安全等級是一個二維組，第一維是分類等級（如密碼、數(shù)

20、字簽名等），第二維是范疇。 主體分類等級的級別高于客體分類等級的級別，主體范疇包含客體范疇時，主體才能讀一個客體 主體分類等級的級別低于或等于客體分類等級的級別，主體范疇包含于客體范疇時，主體才能寫一個客體,第三級,身份鑒別和審計 TCB應提供定義、驗證完整性約束條件的功能，以維護客體和敏感標記的完整性,第四級 結構化保護級,本級的計算機信息系統(tǒng)TCB建立于一個明確定義的形式化安全策略模型之上，它要求將第三級系統(tǒng)中的自主和強制訪問控制擴展到所有主體與客體。此外，還要考慮隱蔽通道。本級的計算機信息系統(tǒng)TCB必須結構化為關鍵保護元素和非關鍵保護元素。,第四級,計算機信息系統(tǒng)TCB的接口也必須明確定

21、義，使其設計與實現(xiàn)能經(jīng)受更充分的測試和更完整的復審。加強了鑒別機制；支持系統(tǒng)管理員和操作員的職能；提供可信設施管理；增強了配置管理控制。系統(tǒng)具有相當?shù)目節(jié)B透能力。,第四級,TCB基于一個明確定義的形式化安全保護策略。 將第三級實施的訪問控制（自主的和強制的）擴展到所有主體和客體。 針對隱蔽信道，將TCB構造成為關鍵保護元素和非關鍵保護元素。 TCB具有合理定義的接口，使其能夠經(jīng)受嚴格測試和復查。 通過提供可信路徑來增強鑒別機制。 支持系統(tǒng)管理員和操作員的職能，提供可信實施管理，增強嚴格的配置管理控制。,第四級,第五級 訪問驗證保護級,本級的計算機信息系統(tǒng)TCB滿足訪問監(jiān)控器需求。訪問監(jiān)控器仲裁

22、主體對客體的全部訪問。訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測試。為了滿足訪問監(jiān)控器需求，計算機信息系統(tǒng)可信計算基在其構造時，排除那些對實施安全策略來說并非必要的代碼；在設計和實現(xiàn)時，從系統(tǒng)工程角度將其復雜性降低到最小程度。,第五級,支持安全管理員職能；擴充審計機制，當發(fā)生與安全相關的事件時發(fā)出信號；提供系統(tǒng)恢復機制。系統(tǒng)具有很高的抗?jié)B透能力。,第五級,在TCB的構造方面，具有訪問監(jiān)控器 訪問控制能夠為每個客體指定用戶和用戶組，并規(guī)定他們對客體的訪問模式 TCB擴展了審計能力 TCB提供可信恢復機制，保證系統(tǒng)失效或中斷后，可以進行不損害任何安全保護性能的恢復,訪問監(jiān)控器,訪問控制數(shù)據(jù)

23、庫,客體,主體,訪問監(jiān)控器,審計文件,基礎標準CC準則,GB/T 18336:2001 信息技術安全性評估準則（idt ISO/IEC 15408-1999）,要 點,概述 標準內(nèi)容和關鍵概念 評估模型 國際互認,概 述,ISO/IEC 15408= Common Criteria (CC),安全準則 & 產(chǎn)品評估,促進因素,國際IT 市場趨勢,各國的基本 安全要求,早期準則的 演變和改進,信息系統(tǒng) 安全問題,需要國際標準,發(fā)展史,1990年 歐洲信息技術 安全性評估準則 （ITSEC）,1993年 通用評估準則 （CC）,1985年 美國可信計算機 系統(tǒng)評估準則 （TCSEC）,1990年

24、加拿大可信計算機產(chǎn)品 評估準則 （CTCPEC）,1991年 美國聯(lián)邦準則 （FC）,1999年 國際標準 （ISO 15408）,第三代,通用準則（CC ）,國際標準化組織統(tǒng)一現(xiàn)有多種準則的努力結果； 1993年開始，1996年出V 1.0, 1998年出V 2.0，1999年6月正式成為國際標準，1999年12月ISO出版發(fā)行ISO/IEC 15408； 主要思想和框架取自ITSEC和FC； 充分突出“保護輪廓”，將評估過程分“功能”和“保證”兩部分； 是目前最全面的評價準則,通用準則（CC）（續(xù)）,國際上認同的表達IT安全的體系結構 一組規(guī)則集 一種評估方法，其評估結果國際互認 通用測試

25、方法（CEM） 已有安全準則的總結和兼容 通用的表達方式，便于理解 靈活的架構 可以定義自己的要求擴展CC要求 準則今后發(fā)展的框架,標準內(nèi)容和關鍵概念,GB/T 18336-1：簡介和一般模型 保護輪廓規(guī)范 安全目標規(guī)范,GB/T 18336-2：安全功能要求,GB/T 18336-3：安全保證要求,標準的文檔結構,第1部分,范圍 引用標準 定義：縮略語和術語 概述：介紹主要概念、目標用戶、評估環(huán)境和文檔結構 一般模型：介紹CC的一般模型 CC要求和評估結果：提出評估要求和評估結果的應用 附錄A通用準則項目：介紹CC項目來源 附錄B保護輪廓規(guī)范：介紹PP的主要內(nèi)容 附錄C安全目標規(guī)范：介紹ST

26、的主要內(nèi)容 附錄D參考書目：列出標準的參考書目,第2部分,范圍 引用標準 安全功能組件 FAU類：安全審計 FCO類：通信 FCS類：密碼支持 FDP類：用戶數(shù)據(jù)保護 FIA類：標識和鑒別 FMT類：安全管理 FPR類：隱私 FPT 類：TSF保護 FRU類：資源利用 FTA 類：TOE訪問 FTP類：可信路徑/信道,附錄A安全功能要求應用注釋 附錄B功能類、族和組件 附錄C安全審計（FAU） 附錄D通信（FCO） 附錄E密碼支持（FCS） 附錄F用戶數(shù)據(jù)保護(FDP) 附錄G標識和鑒別（FIA） 附錄H安全管理(FMT) 附錄I隱私 (FPR) 附錄J TSF保護（FPT） 附錄K資源利用(

27、FRU) 附錄L TOE訪問(FTA) 附錄M可信路徑/通道(FTP),第3部分,范圍 引用標準 安全保證要求 保護輪廓與安全目標評估準則 APE類：保護輪廓評估 ASE類：安全目標評估 評估保證級 保證類、族和組件 ACM類：配置管理,ADO類：交付和運行 ADV類：開發(fā) AGD類: 指導性文件 ALC類: 生命周期支持 ATE類: 測試 AVA類: 脆弱性評定 保證維護范例 AMA類: 保證的維護 附錄A保證組件依賴關系的交叉引用 附錄B EAL和保證組件的交叉引用,標準的目標讀者,系統(tǒng)管理員和系統(tǒng)安全管理員 內(nèi)部和外部審計員 安全規(guī)劃和設計者 認可者 評估發(fā)起者 評估機構,本標準定義作為

28、評估信息技術產(chǎn)品和系統(tǒng)安全特性的基礎準則 不包括屬于行政性管理安全措施的評估準則；不包括物理安全方面（諸如電磁輻射控制）的評估準則；不包括密碼算法固有質(zhì)量評價準則,標準的應用范圍,關鍵概念,評估對象 TOE(Target of Evaluation) 保護輪廓PP (Protection Profile） 安全目標ST( Security Target） 功能(Function) 保證(Assurance) 組件(Component) 包(Package) 評估保證級EAL( Evaluation Assurance Level）,評估對象（TOE）,產(chǎn)品、系統(tǒng)、子系統(tǒng),保護輪廓（PP）,表達

29、一類產(chǎn)品或系統(tǒng)的用戶需求 組合安全功能要求和安全保證要求 技術與需求之間的內(nèi)在完備性 提高安全保護的針對性、有效性 安全標準 有助于以后的兼容性 同TCSEC級類似,PP的內(nèi)容,安全目標（ST）,IT安全目的和要求 要求的具體實現(xiàn) 實用方案 適用于產(chǎn)品和系統(tǒng) 與ITSEC ST 類似,ST的內(nèi)容,功能/保證結構,類（如用戶數(shù)據(jù)保護FDP） 關注共同的安全焦點的一組族，覆蓋不同的安全目的范圍 子類（如訪問控制FDP_ACC） 共享安全目的的一組組件，側(cè)重點和嚴格性不同 組件（如子集訪問控制FDP_ACC.1) 包含在PP/ST/包中的最小可選安全要求集,組件,CC將傳統(tǒng)的安全要求分成不能再分的構

30、件塊 用戶/開發(fā)者可以組織這些要求 到PP中 到ST中 組件可以進一步細化,安全要求的結構,類（Class）,子類（Family）,子類（Family）,組件,組件,組件,組件,功能和保證,PP/ST/包,功能,規(guī)范IT產(chǎn)品和系統(tǒng)的安全行為，應做的事,安全功能要求類,135個組件,保證,對功能產(chǎn)生信心的方法,安全保證要求,TOE安全保證類,包,IT安全目的和要求 功能或保證要求（如EAL） 適用于產(chǎn)品和系統(tǒng) 與ITSEC E-級類似,評估保證級（EAL）,預定義的保證包 公認的廣泛適用的一組保證要求,評估保證級（EAL）,EAL1功能測試 EAL2結構測試 EAL3系統(tǒng)地測試和檢查 EAL4系

31、統(tǒng)地設計、測試和復查 EAL5半形式化設計和測試 EAL6半形式化驗證的設計和測試 EAL7形式化驗證的設計和測試,評估保證級（EAL）,評測級別對應,各部分關系,評估模型,評估環(huán)境,評估準則,評估方法學,最終評估結果,評估體制,評估,批準/ 認證,證書列表/ 注冊,評估的目的,保證技術,產(chǎn)生,保證,評估,給出證據(jù),所有者,提供,需要,置信度,那么,對策,最小化,風險,到,資產(chǎn),評估流程圖,評估PP,PP評估 結果,編目PP,已評估 的PP,評估ST,ST評估 結果,評估TOE,TOE評估 結果,編目證書,已評估 的TOE,TOE評估過程,安全需求,開發(fā),TOE,TOE,和評估,評估結果,評估

32、準則,評估方案,評估方法,操作,TOE,反饋,評估,TOE,要求和規(guī)范的導出,評估產(chǎn) 品目錄,PP目錄,安全 需求,評估 對象,分類 產(chǎn)品,系統(tǒng) 授權,系統(tǒng)授 權準則,二選一,可選,可選,評估后產(chǎn)品,開發(fā)和 評估TOE,授權后 系統(tǒng),TOE評估結果的應用,國際互認,互認的意義,認同其他機構的評估結果 開發(fā)商獲得更大的市場空間 信息化的必然趨勢,CC國際互認（1）,1995年，CC項目組成立CC國際互認工作組 1997年制訂過度性CC互認協(xié)定 1997年10月美國的NSA和NIST、加拿大的CSE和英國的CESG簽署了該協(xié)定 1998年5月德國的GISA、法國的SCSSI也簽署了此互認協(xié)定。 依

33、照CC1.0版，互認范圍限于評估保證級13,CC國際互認（2）,1999年10月澳大利亞和新西蘭的DSD加入了CC互認協(xié)定 互認范圍發(fā)展為評估保證級14，但證書發(fā)放機構限于政府機構,CC國際互認（3）,今年，又有荷蘭、西班牙、意大利、挪威、芬蘭、瑞典、希臘、瑞士、以色列等國加入了此互認協(xié)定 日本、韓國等也正在積極準備加入此協(xié)定 目前的證書發(fā)放機構也不再限于政府機構，非政府的認證機構也可以加入此協(xié)定，但必須有政府機構參與或授權,通用評估方法（CEM）,基礎標準CEM,介紹,通用評估方法（CEM）是為了進行CC評估而開發(fā)的一種國際公認方法。CEM支撐信息安全評估的國際互認,用戶,保護輪廓（PP）開

34、發(fā)者一組用戶代表或信息技術（IT）產(chǎn)品的一個制造商。PP開發(fā)者使用CEM有利于在執(zhí)行PP評估的一致性和獨立性方面證實PP方面的應用。 評估對象（TOE）開發(fā)者可以是IT產(chǎn)品的一個制造商，將IT產(chǎn)品結合到系統(tǒng)中的一個系統(tǒng)集成商，或其他提出IT解決方案的組織實體。,用戶,評估發(fā)起者是起動一個評估的組織實體。發(fā)起者可以是一個開發(fā)者（如制造商、集成商）或顧客（如用戶、認可者、系統(tǒng)管理員、系統(tǒng)安全管理員）。 評估者使用CC時要與CEM一致。評估者將把CEM用在CC的一致性使用方面提供詳細的指導。 監(jiān)督者是確保所進行的評估過程與CC、CEM一致性的實體。監(jiān)督者把CEM用于定義評估者所提供的一組一致性信息。

35、,相互認可,通用評估方法,評估者&監(jiān)督者,開發(fā)者,顧客,發(fā)起者,評估框架,開發(fā)過程,檢測過程,評估方法 （原則、程序、過程）,評估過程（行為）,普遍原則,適當性原則：為達到一個預定的保證級所采取的評估活動應該是適當?shù)模?公正性原則：所有的評估應當沒有偏見； 客觀性原則：應當在最小主觀判斷或主張情形下，得到評估結果； 可重復性和可再現(xiàn)性原則：依照同樣的要求，使用同樣的評估證據(jù)，對同一TOE或PP的重復評估應該導出同樣的結果； 結果的完善性原則：評估結果應當是完備的并且采取的技術恰當。,假設,性能/價格比假設：評估的價值將會彌補所有利益團體所花費的時間、資源和金錢。 方法發(fā)展假設：評估環(huán)境和技術因

36、素變化的影響應當予以充分考慮并一致地反映到評估方法中。 可復用性假設：評估應當有效地利用以前的評估結果。 術語假設：所有參與評估的團體應當使用共同的命名法。,角色間關系,準備階段,實施階段,結束階段,ISO/IEC PDTR 15446：2000 PP和ST產(chǎn)生指南,基礎標準PP和ST產(chǎn)生指南,為既定的一系列安全對象提出功能和保證要求的完備集合 可復用集合 - 對各種應用的抽象 希望和要求的陳述,PP定義,什么是PP？,用戶要求陳述 用戶希望達到什么程度 主要針對: 業(yè)務/商業(yè)擁有者 對用戶、開發(fā)者、評估者和審計者都有用 系統(tǒng)設計文檔 將幾級要求細化成特定的需求 一致性 需求符合用戶的要求,誰

37、用PP？,PP是用戶要求的根本陳述 理想的“使用”團體應當擁有PP并 驅(qū)動PP的開發(fā) 從開發(fā)者、評估者、審計者和校準者那里得到輸入 用戶理解任務/商業(yè)并能陳述 希望怎樣的評估對象（TOE） 不希望怎樣的TOE 其他 賣主難于陳述產(chǎn)品不做什么 安全技術專家常常不能完全理解用戶要求,PP要點,范圍：PP的適用范圍 引用標準：與TOE實現(xiàn)相關的其他信息技術標準 術語定義和記法約定：一些便于理解PP的術語和PP中相關記法的約定 TOE描述：TOE的一般信息 TOE類型 一般TOE功能 TOE界限 TOE操作環(huán)境 有關TOE的主要假設,PP要點（續(xù)）,TOE安全環(huán)境：定義TOE “安全需求”的特征和范圍

38、,假設：如果環(huán)境滿足該假定，TOE被認為是安全的,威脅：包括TOE及其環(huán)境需要保護的特定資產(chǎn)所面臨的與TOE安全操作相關的威脅,組織安全策略：TOE必須遵守的任何組織安全策略和規(guī)則,PP要點（續(xù)）,有關環(huán)境的假設,對資產(chǎn)的威脅,組織安全策略,安全需求,定義,TOE安全環(huán)境,環(huán)境安全目的,TOE安全目的,安全目的：意在對抗確定的威脅，滿足確定的組織安全策略和假定的陳述,PP要點（續(xù)）,在確定安全目的時，需要確保每個已知的威脅，至少有一個安全目的對抗；每個已知的組織安全策略，至少有一個安全目的來滿足。 在對抗威脅方面主要有預防、檢測和糾正三種目的。,威脅,組織安全策略,假設,安全需求,TOE,IT

39、環(huán)境,非IT安全要求,TOE 目的,環(huán)境目的,安全目的,IT安全要求,安全目的,橋梁作用,IT安全要求,TOE安全要求,IT環(huán)境安全要求,TOE安全功能要求,TOE安全保證要求,PP要點（續(xù)）,安全功能要求,安全保證要求,IT環(huán)境安全要求,TOE 安全目的,IT環(huán)境安全目的,ISO/IEC 15408 第二部分,ISO/IEC 15408 第三部分,IT安全要求,賦值、反復、選擇和細化,PP要點（續(xù)）,PP應用注解：對開發(fā)、評估或使用TOE是相關的或有用的一些附加信息 基本原理：對PP進行評估的依據(jù)，證明PP是一個完整的、緊密結合的要求集合，滿足該PP的TOE將在安全環(huán)境內(nèi)提供一組有效的IT安

40、全對策 安全目的基本原理 安全要求基本原理,威脅,組織安全策略,假設,安全需求,IT安全要求,TOE 目的,環(huán)境的目的,安全目的,相互支持,支持,恰好滿足,恰好滿足,功能強度聲明,一致,基本原理,威脅舉例,T.REPLAY 重放,當截獲了有效用戶的識別和鑒別數(shù)據(jù)后，未授權用戶可能在將來使用這些鑒別數(shù)據(jù)，以訪問TOE提供的功能。,安全目的舉例,O.SINUSE 單用途,TOE必須防止用戶重復使用鑒別數(shù)據(jù)，嘗試通過互連網(wǎng)絡在TOE上進行鑒別。,O.SECFUN 安全功能,TOE必須提供一種功能使授權管理員能夠使用TOE的安全功能，并且確保只有授權管理員才能訪問該功能。,O.SINUSE,FIA_A

41、TD.1 用戶屬性定義：允許為每個用戶單獨保存其用戶安全屬性。 FIA_UAU.1 鑒別定時：允許用戶在身份被鑒別前，實施一定的動作。 FIA_UAU.4 單用戶鑒別機制：需要操作單用戶鑒別數(shù)據(jù)的鑒別機制。 FMT_MSA.3 靜態(tài)屬性初始化：確保安全屬性的默認值是允許的或限制某行為的。,TOE安全功能要求舉例,TOE安全功能要求舉例,FMT_MOF.1 安全功能行為的管理：允許授權用戶管理TSF中使用規(guī)則或有可管理的指定條件的功能行為。 FAU_STG.1 受保護的審計蹤跡存儲：放在審計蹤跡中的數(shù)據(jù)將受到保護，以避免未授權的刪除或修改。 FAU_STG.4 防止審計數(shù)據(jù)丟失：規(guī)定當審計蹤跡溢

42、滿時的行動。,O.SECFUN,PP示例,“包過濾防火墻安全技術要求”（GB 18019-99） “應用級防火墻安全技術要求”（GB18020-99） “路由器安全技術要求”（GB18018-99） “電信智能卡安全技術要求” “網(wǎng)上證券委托系統(tǒng)安全技術要求”,SSE-CMM 系統(tǒng)安全工程能力成熟模型,基礎標準SSE-CMM,SSE-CMM背景知識,開發(fā)SSE-CMM的目的： 降低開發(fā)和維護系統(tǒng)的花費； 提高工程進度和預算的一致性； 選擇合適的承包者。 發(fā)起者 國防部； 國家安全局。,SSE-CMM項目發(fā)展,1993年4月開始醞量，1996年10月出版了SSE-CMM模型的第一個版本，1997

43、年4月出版了評定方法的第一個版本。 1999年4月出版了第二版。 正在申報國際標準。 測評中心于1999年4月將第二版翻譯成中文。,SSE-CMM項目組織,指導委員會,制定組織,應用組織,關鍵評審人,行業(yè)評審人,項目 主任,能力方面,能力方面,通用實施,能力級別,公共特征,增強執(zhí)行任何過程 能力的實現(xiàn)和制度 化實施,一組實施列出管理 和制度化過程的相 同方面,共同工作的一組公共 特征主要增強執(zhí)行一 個過程的能力,能力級別,能力級別非正式執(zhí)行 公共特征 執(zhí)行基本實施 能力級別計劃與跟蹤 公共特征 計劃執(zhí)行 規(guī)范化執(zhí)行 驗證執(zhí)行 跟蹤執(zhí)行 能力級別充分定義 公共特征 定義標準過程 執(zhí)行已定義的過程

44、 協(xié)調(diào)安全實施,能力級別定量控制 公共特征 建立可測的質(zhì)量目標 客觀地管理過程的執(zhí)行 能力級別連續(xù)改進 公共特征 改進組織能力 改進過程的有效性,計劃執(zhí)行,規(guī)范化執(zhí)行,跟蹤執(zhí)行,定義標準過程,協(xié)調(diào)安全實施,建立可測量 的質(zhì)量目標,客觀地管理 過程的執(zhí)行,改進過程的有效性,1,非正式 執(zhí)行,2,計劃與跟蹤,3,充分定義,4,量化控制,5,連續(xù)改進,執(zhí)行 基本 實施,驗證執(zhí)行,執(zhí)行已定義的過程,改進組織能力,公共特性,域方面,過程類,基礎實施,過程區(qū),工程和安全實施是安全工程過 程中必須存在的性質(zhì)，指出特 殊過程區(qū)的目的并屬于該過程 區(qū),每個過程區(qū)（PA）是一組相關 安全工程過程的性質(zhì)，當這些 性

45、質(zhì)全部實施后則能夠達到過 程區(qū)定義的目的。,一組過程區(qū)指出活動的同一通用區(qū),SSE-CMM過程區(qū)（PA）,管理安全控制 評估影響 監(jiān)視影響 評估威脅 評估脆弱性 建立保證論據(jù) 協(xié)調(diào)安全 監(jiān)視安全態(tài)勢 提供安全輸入 指定安全要求 驗證和證實安全,質(zhì)量保證 管理配置 管理項目風險 監(jiān)控技術活動 規(guī)劃技術活動 定義組織的系統(tǒng)工程過程 改進組織的系統(tǒng)工程過程 管理產(chǎn)品系列進化 管理系統(tǒng)工程支持環(huán)境 提供不斷發(fā)展的技術和知識 與供應商協(xié)調(diào),安全工程,安全工程分三個基本過程：風險、工程和保證 風險過程是要確定產(chǎn)品或者系統(tǒng)的危險性，并對這些危險性進行優(yōu)先級排序 工程過程是針對面臨的危險性，安全工程過程與相關工程過程一起來確定并實施解決方案 保證過程是建立起對解方案的信任，并把這種信任傳達給顧客,安全工程（續(xù)）,風險,工程,PA：驗證和證實 安全,證據(jù),PA: 建立保證論據(jù),證據(jù),保證論據(jù),保證,評估結果,過程區(qū),評定方法,為評定收集數(shù)據(jù)廣泛、嚴格，每個數(shù)據(jù)有充分的證據(jù) 決定實施安全工程過程的能力 為評定定義了安全工程環(huán)境 在評定巧妙地使用了SSE-CMM體系結構中的兩個方面,基礎標準ISO 9000族,ISO 9000族 23個標準,ISO/IEC 17799 信息安全管