計(jì)算機(jī)系統(tǒng)安全概述

1、計(jì)算機(jī)系統(tǒng)安全概述1 計(jì)算機(jī)系統(tǒng)安全概述 計(jì)算機(jī)系統(tǒng)安全概述2 課程內(nèi)容 信息安全歷史、概念和關(guān)系 安全攻擊示例 安全模型 風(fēng)險(xiǎn)管理 安全體系 重要安全標(biāo)準(zhǔn) 計(jì)算機(jī)系統(tǒng)安全概述3 ISO的定義： 為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)， 保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因 而遭到破壞、更改和顯露。 信息安全概念 計(jì)算機(jī)系統(tǒng)安全概述4 確保以電磁信號(hào)為主要形式的，在計(jì)算機(jī)網(wǎng)絡(luò)化 系統(tǒng)中進(jìn)行獲取、處理、存儲(chǔ)、傳輸和利用的信 息內(nèi)容，在各個(gè)物理位置、邏輯區(qū)域、存儲(chǔ)和傳 輸介質(zhì)中，處于動(dòng)態(tài)和靜態(tài)過程中的機(jī)密性、完 整性、可用性、可審查性和抗抵賴性的，與人、 網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)和管

2、理規(guī)程的有機(jī)集合。 戴宗坤 羅萬伯 信息系統(tǒng)安全 信息系統(tǒng)安全概念 計(jì)算機(jī)系統(tǒng)安全概述5 信息安全的發(fā)展歷史 信息安全的發(fā)展經(jīng)歷了三個(gè)歷史時(shí)期： 通信安全（COMSEC） 保密性。 信息安全（INFOSEC） 保密性、完整性、可用性。 信息保障（IA） 保密性、完整性、可用性、可控性、不可否認(rèn)性 Confidentiality integrity availability 計(jì)算機(jī)系統(tǒng)安全概述6 方濱興院士 計(jì)算機(jī)系統(tǒng)安全概述7 方濱興院士 計(jì)算機(jī)系統(tǒng)安全概述8 方濱興院士 計(jì)算機(jī)系統(tǒng)安全概述9 信息安全內(nèi)容 不統(tǒng)一： ISO/IEC17799 ISO/IEC 15408 ISO/IEC TR1

3、3335 ISO7498-2 。 計(jì)算機(jī)系統(tǒng)安全概述10 ISO/IEC 17799 信息安全內(nèi)容: 保密性（Confidentiality) 完整性（Integrity) 可用性（Availability) 計(jì)算機(jī)系統(tǒng)安全概述11 ISO/IEC TR 13335-1 安全內(nèi)容: Confidentiality (保密性) Integrity(完整性) Availability (可用性) Non-repudiation(不可抵賴性) Accountability(可追蹤性) Authentity & Reliability (真實(shí)性和可靠性) 計(jì)算機(jī)系統(tǒng)安全概述12 ISO 7498-2

4、信息安全服務(wù): 認(rèn)證 訪問控制 保密性 完整性 不可否認(rèn)性 計(jì)算機(jī)系統(tǒng)安全概述13 方濱興院士 計(jì)算機(jī)系統(tǒng)安全概述14 方濱興院士 計(jì)算機(jī)系統(tǒng)安全概述15 保證機(jī)密信息不會(huì)泄露給非授權(quán)的人或?qū)嶓w， 或供其使用的特性 案例 保密性 計(jì)算機(jī)系統(tǒng)安全概述16 防止信息被未經(jīng)授權(quán)的篡改，保證真實(shí)的信 息從真實(shí)的信源無失真地到達(dá)真實(shí)的信宿 案例 完整性 計(jì)算機(jī)系統(tǒng)安全概述17 保證信息及信息系統(tǒng)確實(shí)為授權(quán)使用者所用， 防止由于計(jì)算機(jī)病毒或其它人為因素造成的 系統(tǒng)拒絕服務(wù)，或?yàn)閿呈挚捎?，信息系統(tǒng)能 夠在規(guī)定的條件下和規(guī)定的時(shí)間內(nèi)完成規(guī)定 的功能 案例 可用性 計(jì)算機(jī)系統(tǒng)安全概述18 能對(duì)通信實(shí)體身份的真實(shí)

5、性進(jìn)行鑒別 案例 身份真實(shí)性 計(jì)算機(jī)系統(tǒng)安全概述19 能夠控制使用資源的人或?qū)嶓w的使用方式 案例 系統(tǒng)可控性 計(jì)算機(jī)系統(tǒng)安全概述20 建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為 案例 不可抵賴性 計(jì)算機(jī)系統(tǒng)安全概述21 對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段 案例 可審查性 計(jì)算機(jī)系統(tǒng)安全概述22 安全要素： 資產(chǎn) 弱點(diǎn) 威脅 風(fēng)險(xiǎn) 安全控制 信息安全認(rèn)識(shí) 計(jì)算機(jī)系統(tǒng)安全概述23 信息安全風(fēng)險(xiǎn)管理:以資產(chǎn)為核心 計(jì)算機(jī)系統(tǒng)安全概述24 信息安全管理：以風(fēng)險(xiǎn)管理為基礎(chǔ) 計(jì)算機(jī)系統(tǒng)安全概述25 ISO/IEC 15408：安全概念 計(jì)算機(jī)系統(tǒng)安全概述26 信息安全風(fēng)險(xiǎn)評(píng)估指南：安全概念 計(jì)算機(jī)系統(tǒng)安

6、全概述27 NIST SP800-33 安全目標(biāo) 可用性 完整性 保密性 可追蹤性 保證性 計(jì)算機(jī)系統(tǒng)安全概述28 安全目標(biāo)的依賴關(guān)系 計(jì)算機(jī)系統(tǒng)安全概述29 安全服務(wù)模型 計(jì)算機(jī)系統(tǒng)安全概述30 可用性服務(wù) 計(jì)算機(jī)系統(tǒng)安全概述31 完整性服務(wù) 計(jì)算機(jī)系統(tǒng)安全概述32 保密性服務(wù) 計(jì)算機(jī)系統(tǒng)安全概述33 可追蹤性服務(wù) 計(jì)算機(jī)系統(tǒng)安全概述34 保證服務(wù) 計(jì)算機(jī)系統(tǒng)安全概述35 課程內(nèi)容 信息安全歷史、概念和關(guān)系 安全攻擊示例 安全模型 風(fēng)險(xiǎn)管理 安全體系 重要安全標(biāo)準(zhǔn) 計(jì)算機(jī)系統(tǒng)安全概述36 攻擊過程示例 計(jì)算機(jī)系統(tǒng)安全概述37 演示1 演示2 計(jì)算機(jī)系統(tǒng)安全概述38 攻擊過程總結(jié) 踩點(diǎn) 攻擊

7、留下暗門 消滅蹤跡（沒做好） ././././信息安全儲(chǔ)備/攻防/服務(wù)器安全技巧： Unix系統(tǒng)的攻擊和防范 %20%20DOSERV_com%20服務(wù)器在 線.htm 計(jì)算機(jī)系統(tǒng)安全概述39 ？ 演示3 計(jì)算機(jī)系統(tǒng)安全概述40 可能破壞？ 討論 計(jì)算機(jī)系統(tǒng)安全概述41 攻擊分析 攻擊者 動(dòng)機(jī) 能力和機(jī)會(huì) 攻擊種類 計(jì)算機(jī)系統(tǒng)安全概述42 攻擊者 惡意 國家 黑客 恐怖分子/計(jì)算機(jī)恐怖分子 有組織犯罪 其它犯罪成員 國際新聞社 工業(yè)競(jìng)爭(zhēng) 不滿雇員 非惡意 粗心或未受到良好培訓(xùn)的雇員 計(jì)算機(jī)系統(tǒng)安全概述43 動(dòng)機(jī) 獲取機(jī)密或敏感數(shù)據(jù)的訪問權(quán) 跟蹤或監(jiān)視目標(biāo)系統(tǒng)的運(yùn)行（跟蹤分析） 破壞目標(biāo)系統(tǒng)的運(yùn)

8、行 竊取錢物、產(chǎn)品或服務(wù) 獲取對(duì)資源的免費(fèi)使用 使目標(biāo)陷入窘境 攻克可擊潰安全機(jī)制的技術(shù)挑戰(zhàn) 計(jì)算機(jī)系統(tǒng)安全概述44 攻擊風(fēng)險(xiǎn) 暴露其進(jìn)行其它類型攻擊的能力 打草驚蛇，尤其是當(dāng)可獲取的攻擊利益 巨大時(shí)引起目標(biāo)系統(tǒng)的防范 遭受懲罰（如罰款、坐牢等） 危及生命安全 攻擊者愿意接受的風(fēng)險(xiǎn)級(jí)別取決于其攻擊動(dòng)機(jī) 計(jì)算機(jī)系統(tǒng)安全概述45 能力和機(jī)會(huì) 能力因素 施展攻擊的知識(shí)和技能 能否得到所需資源 機(jī)會(huì) 系統(tǒng)的漏洞、錯(cuò)誤配置、未受保護(hù)環(huán)境 安全意識(shí)薄弱 我們不可能削弱攻擊者的能力， 但可以減少其攻擊機(jī)會(huì) 計(jì)算機(jī)系統(tǒng)安全概述46 攻擊種類 被動(dòng)攻擊 主動(dòng)攻擊 臨近攻擊 內(nèi)部人員攻擊 分發(fā)攻擊 計(jì)算機(jī)系統(tǒng)安全

9、概述47 攻擊對(duì)策 攻擊種類攻擊種類典型對(duì)策典型對(duì)策 被動(dòng)攻擊VPN，網(wǎng)絡(luò)加密、使用受到保護(hù)的分布式網(wǎng)絡(luò) 主動(dòng)攻擊邊界保護(hù)（如防火墻）、基于身份認(rèn)證的訪問控制、受保 護(hù)的遠(yuǎn)程訪問、質(zhì)量安全管理、病毒檢測(cè)、審計(jì)、入侵檢 測(cè) 臨近攻擊 內(nèi)部人員攻擊安全意識(shí)培訓(xùn)、審計(jì)、入侵檢測(cè)、安全策略及強(qiáng)制實(shí)施、 基于計(jì)算機(jī)和網(wǎng)絡(luò)組件中信任技術(shù)對(duì)關(guān)鍵數(shù)據(jù)/服務(wù)器/局 域網(wǎng)實(shí)施專業(yè)的訪問控制、強(qiáng)的身份標(biāo)識(shí)和鑒別技術(shù) 分發(fā)攻擊加強(qiáng)對(duì)過程其間的配置控制、使用受控分發(fā)、簽名軟件、 訪問控制 計(jì)算機(jī)系統(tǒng)安全概述48 課程內(nèi)容 信息安全歷史、概念和關(guān)系 安全攻擊分析 安全模型 風(fēng)險(xiǎn)管理 安全體系 重要安全標(biāo)準(zhǔn) 計(jì)算機(jī)系統(tǒng)安全

10、概述49 基于時(shí)間的PDR安全模型 PProtection、DDetection、RReact Pt Dt Rt 時(shí)間時(shí)間 Pt Dt+ Rt，則該系統(tǒng)是安全的 Pt Dt+ Rt，則該系統(tǒng)是不安全的,且Et=(Dt+Rt)-Pt為安全暴露時(shí)間 計(jì)算機(jī)系統(tǒng)安全概述50 所謂P2DR 計(jì)算機(jī)系統(tǒng)安全概述51 保護(hù)保護(hù) Protect 檢測(cè)檢測(cè) Detect 反應(yīng)反應(yīng) React 恢復(fù)恢復(fù) Restore IA 所謂PDRR 計(jì)算機(jī)系統(tǒng)安全概述52 WPDRRC模型 檢測(cè)檢測(cè) D 恢復(fù)恢復(fù) R 保護(hù)保護(hù) P 響應(yīng)響應(yīng) R 預(yù)警預(yù)警 W 反擊反擊 C 計(jì)算機(jī)系統(tǒng)安全概述53 模型的價(jià)值 用戶： 提高

11、安全認(rèn)識(shí) 廠商: 圍繞利益 計(jì)算機(jī)系統(tǒng)安全概述54 小結(jié) 安全概念 安全認(rèn)識(shí) 安全模型 計(jì)算機(jī)系統(tǒng)安全概述55 課程內(nèi)容 信息安全歷史、概念和關(guān)系 安全攻擊示例 安全模型 風(fēng)險(xiǎn)管理 安全體系 重要安全標(biāo)準(zhǔn) 計(jì)算機(jī)系統(tǒng)安全概述56 風(fēng)險(xiǎn) 風(fēng)險(xiǎn)是可能性和影響的函數(shù)，前者指給定的威脅 源利用一個(gè)特定的潛在脆弱性的可能性，后者指 不利事件對(duì)機(jī)構(gòu)產(chǎn)生的影響。 為了確定未來的不利事件發(fā)生的可能性，必須要 對(duì)IT系統(tǒng)面臨的威脅、可能的脆弱性以及IT系統(tǒng) 中部署的安全控制一起進(jìn)行分析。影響是指因?yàn)?一個(gè)威脅攻擊脆弱性而造成的危害程度。 計(jì)算機(jī)系統(tǒng)安全概述57 風(fēng)險(xiǎn)管理 信息安全某種程度上就是風(fēng)險(xiǎn)管理過程。 風(fēng)

12、險(xiǎn)管理過程包含哪些？ 計(jì)算機(jī)系統(tǒng)安全概述58 風(fēng)險(xiǎn)管理過程 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)減緩 評(píng)價(jià)與評(píng)估 計(jì)算機(jī)系統(tǒng)安全概述59 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理方法學(xué)中的第一個(gè)過程。機(jī) 構(gòu)應(yīng)使用風(fēng)險(xiǎn)評(píng)估來確定潛在威脅的程度以及貫 穿整個(gè)SDLC中的IT相關(guān)風(fēng)險(xiǎn)。 該過程的輸出可以幫助我們確定適當(dāng)?shù)陌踩刂疲?從而在風(fēng)險(xiǎn)減緩過程中減緩或消除風(fēng)險(xiǎn)。 計(jì)算機(jī)系統(tǒng)安全概述60 風(fēng) 險(xiǎn) 評(píng) 估 步 驟 計(jì)算機(jī)系統(tǒng)安全概述61 風(fēng)險(xiǎn)減緩 是 威脅源 & 系統(tǒng)設(shè)計(jì) 脆弱性 是 能被利用 嗎？ 存在可發(fā)起攻 擊的脆弱性 否 否 無風(fēng)險(xiǎn) 無風(fēng)險(xiǎn) 存在 威脅 攻 擊 的 成 本 小 于獲利 否 是 否 預(yù)期損 失大于 門限 無風(fēng)

13、險(xiǎn) 無風(fēng)險(xiǎn) 是 不可接受 的風(fēng)險(xiǎn) 計(jì)算機(jī)系統(tǒng)安全概述62 課程內(nèi)容 信息安全歷史、概念和關(guān)系 安全攻擊示例 安全模型 風(fēng)險(xiǎn)管理 安全體系 重要安全標(biāo)準(zhǔn) 計(jì)算機(jī)系統(tǒng)安全概述63 ISO7498-2：信息安全體系結(jié)構(gòu) 信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型 第二部分：安全體系結(jié)構(gòu) 1989.2.15頒布，確立了基于OSI參考模 型的七層協(xié)議之上的信息安全體系結(jié)構(gòu) 五類服務(wù) 認(rèn)證、訪問控制、保密性、完整性、不可否認(rèn)性 八種機(jī)制 加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、認(rèn)證交 換、業(yè)務(wù)流填充、路由控制、公證 OSI安全管理 計(jì)算機(jī)系統(tǒng)安全概述64 五大類安全服務(wù) 認(rèn)證 對(duì)等實(shí)體認(rèn)證 數(shù)據(jù)起源認(rèn)證 訪問控制

14、 機(jī)密性 連接機(jī)密性 無連接機(jī)密性 選擇字段機(jī)密性 業(yè)務(wù)流機(jī)密性 完整性 可恢復(fù)的連接完整性 不可恢復(fù)的連接完整性 選擇字段的連接完整性 無連接完整性 選擇字段的無連接完整性 抗否認(rèn) 數(shù)據(jù)起源的抗否認(rèn) 傳遞過程的抗否認(rèn) 計(jì)算機(jī)系統(tǒng)安全概述65 八類安全機(jī)制 加密 數(shù)字簽名 訪問控制 數(shù)據(jù)完整性 認(rèn)證交換 業(yè)務(wù)流填充 路由控制 公證 另有 可信功能模塊 安全標(biāo)記 事件檢測(cè) 安全審計(jì)追蹤 安全恢復(fù) 計(jì)算機(jī)系統(tǒng)安全概述66 機(jī)制與實(shí)現(xiàn)的安全服務(wù) 機(jī)制 服務(wù) 加 密 數(shù) 字 簽 名 訪 問 控 制 數(shù) 據(jù) 完 整 性 認(rèn) 證 交 換 業(yè) 務(wù) 流 填 充 路 由 控 制 公 證 對(duì)等實(shí)體認(rèn)證 數(shù)據(jù)起源認(rèn)

15、證 訪問控制服務(wù) 連接機(jī)密性 無連接機(jī)密性 選擇字段機(jī)密 性 業(yè)務(wù)流機(jī)密性 計(jì)算機(jī)系統(tǒng)安全概述67 機(jī)制與實(shí)現(xiàn)的安全服務(wù)（續(xù)） 機(jī)制 服務(wù) 加 密 數(shù) 字 簽 名 訪 問 控 制 數(shù) 據(jù) 完 整 性 認(rèn) 證 交 換 業(yè) 務(wù) 流 填 充 路 由 控 制 公 證 可恢復(fù)的連接完整性 不可恢復(fù)的連接完整性 選擇字段的連接完整性 無連接完整性 選擇字段的無連接完整 性 數(shù)據(jù)起源的抗否認(rèn) 傳遞過程的抗否認(rèn) “”表示機(jī)制適合提供該種服務(wù)，空格表示機(jī)制不適合提供該種服務(wù)。 計(jì)算機(jī)系統(tǒng)安全概述68 安全服務(wù)與層之間的關(guān)系 分層 服務(wù) 物 理 層 鏈 路 層 網(wǎng) 絡(luò) 層 傳 輸 層 會(huì) 話 層 表 示 層 應(yīng)

16、用 層 對(duì)等實(shí)體認(rèn)證 數(shù)據(jù)起源認(rèn)證 訪問控制服務(wù) 連接機(jī)密性 無連接機(jī)密性 選擇字段機(jī)密性 業(yè)務(wù)流機(jī)密性 計(jì)算機(jī)系統(tǒng)安全概述69 安全服務(wù)與層之間的關(guān)系（續(xù)） 分層 服務(wù) 物 理 層 鏈 路 層 網(wǎng) 絡(luò) 層 傳 輸 層 會(huì) 話 層 表 示 層 應(yīng) 用 層 可恢復(fù)的連接完整性 不可恢復(fù)的連接完整性 選擇字段的連接完整性 無連接完整性 選擇字段的無連接完整 性 數(shù)據(jù)起源的抗否認(rèn) 傳遞過程的抗否認(rèn) 計(jì)算機(jī)系統(tǒng)安全概述70 IATF Information Assurance Technical Framework 美國國家安全局 計(jì)算機(jī)系統(tǒng)安全概述71 深層防御戰(zhàn)略（Defense-In-Depth

17、） 計(jì)算機(jī)系統(tǒng)安全概述72 計(jì)算機(jī)系統(tǒng)安全概述73 深層防御的技術(shù)層面 網(wǎng)絡(luò)傳輸設(shè)施網(wǎng)絡(luò)傳輸設(shè)施 主機(jī)主機(jī) 互聯(lián)網(wǎng) 邊界路由邊界路由 撥入服務(wù)器撥入服務(wù)器 網(wǎng)絡(luò)邊界網(wǎng)絡(luò)邊界 計(jì)算機(jī)系統(tǒng)安全概述74 深層防御戰(zhàn)略的含義 層次化、多樣性 人、操作、技術(shù) 網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)、主機(jī) 預(yù)警、保護(hù)、檢測(cè)、反應(yīng)、恢復(fù) 在攻擊者成功地破壞了某個(gè)保護(hù)機(jī)制的情況下， 其它保護(hù)機(jī)制能夠提供附加的保護(hù)。 采用層次化的保護(hù)策略并不意味著需要在網(wǎng)絡(luò) 體系結(jié)構(gòu)的各個(gè)可能位置實(shí)現(xiàn)信息保障機(jī)制， 通過在主要位置實(shí)現(xiàn)適當(dāng)?shù)谋Ｗo(hù)級(jí)別，便能夠 依據(jù)各機(jī)構(gòu)的特殊需要實(shí)現(xiàn)有效保護(hù)。 計(jì)算機(jī)系統(tǒng)安全概述75 課程內(nèi)容 信息安全歷史、概念和關(guān)系

18、 安全攻擊示例 安全模型 風(fēng)險(xiǎn)管理 安全體系 重要安全標(biāo)準(zhǔn) 計(jì)算機(jī)系統(tǒng)安全概述76 標(biāo)準(zhǔn)的重要性 知識(shí)性：了解安全背景 指南性：指導(dǎo)實(shí)踐 溝通性： 。 計(jì)算機(jī)系統(tǒng)安全概述77 彩虹系列 The rainbow series is a library of about 37 documents that address specific areas of computer security. Each of the documents is a different color, which is how they became to be refereed to as the Rainbow S

19、eries. The primary document of the set is the Trusted Computer System Evaluation Criteria (5200.28-STD, Orange Book), dated December 26, 1985. This document defines the seven different levels of trust that a product can achieve under the Trusted Product Evaluation Program (TPEP) within NSA. Some of

20、the titles include, Password Management, Audit, Discretionary Access Control, Trusted Network Interpretation, Configuration Management, Identification and Authentication, Object Reuse and Covert Channels. A new International criteria for system and product evaluation called the International Common

21、Criteria (ICCC) has been developed for product evaluations. The TCSEC has been largely superceded by the International Common Criteria, but is still used for products that require a higher level of assurance in specific operational environments. Most of the rainbow series documents are available on-

22、line. 計(jì)算機(jī)系統(tǒng)安全概述78 TCSEC 在TCSEC中，美國國防部按處理信息的等級(jí)和應(yīng) 采用的響應(yīng)措施，將計(jì)算機(jī)安全從高到低分為： A、B、C、D四類八個(gè)級(jí)別，共27條評(píng)估準(zhǔn)則 隨著安全等級(jí)的提高，系統(tǒng)的可信度隨之增加， 風(fēng)險(xiǎn)逐漸減少。 計(jì)算機(jī)系統(tǒng)安全概述79 TCSEC 四個(gè)安全等級(jí)： 無保護(hù)級(jí) 自主保護(hù)級(jí) 強(qiáng)制保護(hù)級(jí) 驗(yàn)證保護(hù)級(jí) 計(jì)算機(jī)系統(tǒng)安全概述80 TCSEC D類是最低保護(hù)等級(jí)，即無保護(hù)級(jí) 是為那些經(jīng)過評(píng)估，但不滿足較高評(píng)估等級(jí)要求 的系統(tǒng)設(shè)計(jì)的，只具有一個(gè)級(jí)別 該類是指不符合要求的那些系統(tǒng)，因此，這種系 統(tǒng)不能在多用戶環(huán)境下處理敏感信息 計(jì)算機(jī)系統(tǒng)安全概述81 TCSEC

23、C類為自主保護(hù)級(jí) 具有一定的保護(hù)能力，采用的措施是自主訪問控 制和審計(jì)跟蹤 一般只適用于具有一定等級(jí)的多用戶環(huán)境 具有對(duì)主體責(zé)任及其動(dòng)作審計(jì)的能力 計(jì)算機(jī)系統(tǒng)安全概述82 TCSEC C類分為C1和C2兩個(gè)級(jí)別: 自主安全保護(hù)級(jí)（C1級(jí)) 控制訪問保護(hù)級(jí)（C2級(jí)） 計(jì)算機(jī)系統(tǒng)安全概述83 TCSEC B類為強(qiáng)制保護(hù)級(jí) 主要要求是TCB應(yīng)維護(hù)完整的安全標(biāo)記，并在此基 礎(chǔ)上執(zhí)行一系列強(qiáng)制訪問控制規(guī)則 B類系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標(biāo)記 系統(tǒng)的開發(fā)者還應(yīng)為TCB提供安全策略模型以及 TCB規(guī)約 應(yīng)提供證據(jù)證明訪問監(jiān)控器得到了正確的實(shí)施 計(jì)算機(jī)系統(tǒng)安全概述84 TCSEC B類分為三個(gè)類別： 標(biāo)

24、記安全保護(hù)級(jí)（B1級(jí)） 結(jié)構(gòu)化保護(hù)級(jí)（B2級(jí)） 安全區(qū)域保護(hù)級(jí)（B3級(jí)） 計(jì)算機(jī)系統(tǒng)安全概述85 TCSEC A類為驗(yàn)證保護(hù)級(jí) A類的特點(diǎn)是使用形式化的安全驗(yàn)證方法，保證系 統(tǒng)的自主和強(qiáng)制安全控制措施能夠有效地保護(hù)系 統(tǒng)中存儲(chǔ)和處理的秘密信息或其他敏感信息 為證明TCB滿足設(shè)計(jì)、開發(fā)及實(shí)現(xiàn)等各個(gè)方面的安 全要求，系統(tǒng)應(yīng)提供豐富的文檔信息 計(jì)算機(jī)系統(tǒng)安全概述86 TCSEC A類分為兩個(gè)類別： 驗(yàn)證設(shè)計(jì)級(jí)（A1級(jí)） 超A1級(jí) 計(jì)算機(jī)系統(tǒng)安全概述87 ISO/IEC 15408 IT安全評(píng)估通用準(zhǔn)則(Common Criteria for Information Technology Securi

25、ty Evaluation) ISO/IEC JTC 1 SC27 WG3 計(jì)算機(jī)系統(tǒng)安全概述88 ISO/IEC 15408的歷史 1985年 美國國防部可信 計(jì)算機(jī)評(píng)價(jià)準(zhǔn)則 （TCSEC） 1991年 美國聯(lián)邦政府 評(píng)價(jià)準(zhǔn)則 （FC） 1990年 歐洲信息技術(shù) 安全性評(píng)價(jià)準(zhǔn)則 （ITSEC） 1995年 國際通用準(zhǔn)則 （CC） 1990年 加拿大可信計(jì)算機(jī)產(chǎn)品 評(píng)價(jià)準(zhǔn)則 （CTCPEC） 1999年 CC成為國際標(biāo)準(zhǔn) （ISO15408） 中國國家標(biāo)準(zhǔn) GB/T 18336-2001 計(jì)算機(jī)系統(tǒng)安全概述89 ISO/IEC 15408的背景 ISO/IEC JTC1 SC27 WG3（國際

26、標(biāo)準(zhǔn)化組織和國際電工委員會(huì)的聯(lián)合 技術(shù)委員會(huì)） WG1：信息安全有關(guān)的需求、服務(wù)和指南 WG2：信息安全技術(shù)和機(jī)制 WG3：信息安全評(píng)估標(biāo)準(zhǔn) 六國七方共同提出： Canada: Communications Security Establishment France: Service Central de la Scurit des Systmes dInformation Germany: Bundesamt fr Sicherheit in der Informationstechnik Netherlands: Netherlands National Communications Se

27、curity Agency United Kingdom: Communications-Electronics Security Group United States: National Institute of Standards and Technology United States: National Security Agency 計(jì)算機(jī)系統(tǒng)安全概述90 ISO/IEC 15408的相關(guān)組織 CCEB: CC Editorial Board ,V1.0 CCIB: CC Implememtation Board,V2.0 CCIMB: CC Interpretations Man

28、agement Board , responsible for interpretations of Version 2.0 在ISO中的正式名稱是“信息技術(shù)安全評(píng)價(jià)標(biāo)準(zhǔn)” 計(jì)算機(jī)系統(tǒng)安全概述91 ISO/IEC 15408標(biāo)準(zhǔn)的組成 包括三個(gè)部分： 簡(jiǎn)介和一般模型 安全功能要求 安全保障要求 計(jì)算機(jī)系統(tǒng)安全概述92 ISO/IEC 15408的作用 客戶開發(fā)人員評(píng)估人員 第一部分 用于了解背景信 息和參考。 PP的指導(dǎo)性結(jié)構(gòu)。 用于了解背景信息， 開發(fā)安全要求和形成 TOE的安全規(guī)范的參 考。 用于了解背景信 息和參考目的。 PP和ST的指導(dǎo)性 結(jié)構(gòu)。 第二部分 在闡明安全功能 要求的描述時(shí)

29、用 作指導(dǎo)和參考。 用于解釋功能要求和 生成TOE功能規(guī)范的 參考。 當(dāng)確定TOE是否有 效地符合已聲明 的安全功能時(shí)， 用作評(píng)估準(zhǔn)則的 強(qiáng)制性描述。 第三部分 用于指導(dǎo)保證需 求級(jí)別的確定 當(dāng)解釋保證要求描述 和確定TOE的保證措 施時(shí)，用作參考。 當(dāng)確定TOE的保證 和評(píng)估PP和ST時(shí)， 用于評(píng)估準(zhǔn)則的 強(qiáng)制描述。 計(jì)算機(jī)系統(tǒng)安全概述93 要求和規(guī)范的導(dǎo)出 計(jì)算機(jī)系統(tǒng)安全概述94 ISO/IEC 17799 信息安全管理準(zhǔn)則 (Information Technology Code of Practice for Information Security Management) ISO/I

30、EC JTC 1 SC27,WG 1 計(jì)算機(jī)系統(tǒng)安全概述95 ISO/IEC 17799的背景 ISO/IEC JTC1 SC27 （國際標(biāo)準(zhǔn)化組織和 國際電工委員會(huì)的聯(lián)合技術(shù)委員會(huì)） WG1：信息安全有關(guān)的需求、服務(wù)和指南 WG2：信息安全技術(shù)和機(jī)制 WG3：信息安全評(píng)估標(biāo)準(zhǔn) 源于BSI（英國標(biāo)準(zhǔn)學(xué)會(huì)）的BS7799 ： 7799-1（第一部分）：信息安全管理準(zhǔn)則 7799-2（第二部分）：信息安全管理系統(tǒng)規(guī)范。 ISO/IEC17799的當(dāng)前版本（不久它就會(huì)出新版本）是完全 基于BS7799-1的。 計(jì)算機(jī)系統(tǒng)安全概述96 ISO/IEC 17799 目的 為信息安全管理提供建議，供那些在

31、其機(jī)構(gòu)中負(fù)有 安全責(zé)任的人使用。它旨在為一個(gè)機(jī)構(gòu)提供用來制 定安全標(biāo)準(zhǔn)、實(shí)施有效的安全管理時(shí)的通用要素， 并得以使跨機(jī)構(gòu)的交易得到互信 計(jì)算機(jī)系統(tǒng)安全概述97 ISO/IEC 17799版本對(duì)比 ISO/IEC 17799:2005較早期版本做了一定的修訂，對(duì) 原有的11個(gè)控制進(jìn)行了修改，保留了116個(gè)原有控制， 增加了17個(gè)新的控制（共計(jì)133個(gè)控制），增加了8個(gè) 新的控制目標(biāo)（共計(jì)39個(gè)控制目標(biāo)），5個(gè)控制目標(biāo) 進(jìn)行了重新的調(diào)整。 計(jì)算機(jī)系統(tǒng)安全概述98 ISO/IEC 2700X系列標(biāo)準(zhǔn) 2005年10月，BS 7799-2信息安全管理體系規(guī)范成功升級(jí)為國際 標(biāo)準(zhǔn)，編號(hào)為ISO/IEC

32、27001。 ISO/IEC 27001是信息安全管理體系（ISMS）的規(guī)范說明，它解釋了 如何應(yīng)用ISO/IEC 17799。其重要性在于它提供了認(rèn)證執(zhí)行的標(biāo)準(zhǔn)， 且包括必要文檔的列表。 ISO/IEC 17799則同時(shí)被國際標(biāo)準(zhǔn)化組織重新編號(hào)為ISO/IEC 27002。 它提供了計(jì)劃和實(shí)現(xiàn)流程的指導(dǎo)，該標(biāo)準(zhǔn)也提出了一系列的控制（安 全措施）。 GBT 22080-2008信息技術(shù) 安全技術(shù) 信息安全管理體系 要求 （等同采用ISO/IEC 27001:2005） GBT 22081-2008信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則（代 替GB/T 19716-2005，等同采用ISO/I

33、EC 27002:2005） 計(jì)算機(jī)系統(tǒng)安全概述99 ISO/IEC 2700X系列標(biāo)準(zhǔn) 計(jì)算機(jī)系統(tǒng)安全概述100 過程方法 ISO 27001 采用過程方法，組織需要對(duì)很多行為 加以確定和管理，以使其有效作用。 計(jì)算機(jī)系統(tǒng)安全概述101 ISMS的PDCA模型 P Plan, D Do, C Check, A Act 適用于所有ISMS過程的結(jié) 構(gòu)中 計(jì)算機(jī)系統(tǒng)安全概述102 ISO/IEC 2700X要求 組織應(yīng)該在整體業(yè)務(wù)活動(dòng)中且在所面臨風(fēng)險(xiǎn)的環(huán) 境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改 進(jìn)文件化的ISMS，并采用PDCA模型。 計(jì)算機(jī)系統(tǒng)安全概述103 ISO/IEC 2700X安全

34、控制目標(biāo) 計(jì)算機(jī)系統(tǒng)安全概述104 ISO/IEC TR 13335 IT安全管理指南 (Information Technology - Guidelines for Manangement of IT Security) ISO/IEC JTC 1 SC27,WG 1 計(jì)算機(jī)系統(tǒng)安全概述105 ISO/IEC TR 13335的背景 ISO/IEC JTC1 SC27 （國際標(biāo)準(zhǔn)化組織和 國際電工委員會(huì)的聯(lián)合技術(shù)委員會(huì)） WG1：信息安全有關(guān)的需求、服務(wù)和指南 WG2：信息安全技術(shù)和機(jī)制 WG3：信息安全評(píng)估標(biāo)準(zhǔn) Guidelines for the Management of IT Se

35、curity (GMITS)：信息技術(shù)安全管理方 針 TR:Technical Report (技術(shù)報(bào)告) 計(jì)算機(jī)系統(tǒng)安全概述106 ISO/IEC TR 13335 為IT安全管理方面提供指南而非解決方案 定義和描述IT安全管理關(guān)聯(lián)的概念 標(biāo)識(shí)IT安全管理和一般IT管理的關(guān)系 提供能用于解釋IT安全的一些模型 為IT安全管理提供一般性指南 計(jì)算機(jī)系統(tǒng)安全概述107 SSE-CMM 系統(tǒng)安全工程-能力成熟模型 (Systems Security Engineering - Capability Maturity Model) 計(jì)算機(jī)系統(tǒng)安全概述108 SSE-CMM的背景 SSE-CMM起源于

36、1993年4月美國國家安全局(NSA)對(duì)當(dāng)時(shí)各類能力成熟模型(CMM)工 作狀況的研究以判斷是否需要一個(gè)專門應(yīng)用于安全工程的CMM。在這個(gè)構(gòu)思階段， 確定了一個(gè)初步的安全工程CMM(strawman Security Engineering CMM)作為這個(gè) 判斷過程的基礎(chǔ)。 1995年1月，各界信息安全人士被邀請(qǐng)參加第一屆公開安全工程CMM工作討論會(huì)。 來自60多個(gè)組織的代表肯定了這種模型的需求。由于信息安全業(yè)界的興趣，在會(huì) 議中成立了項(xiàng)目工作組，這標(biāo)志著安全工程CMM開發(fā)階段的開始。項(xiàng)目工作組的 首次會(huì)議在1995年3月舉行。通過SSE-CMM指導(dǎo)組織、創(chuàng)作組織和應(yīng)用工作組織的 工作，完成

37、了模型和認(rèn)定方法的工作。1996年10月出版了SSE-CMM模型的第一個(gè) 版本，1997年4月出版了評(píng)定方法的第一個(gè)版本。 為了驗(yàn)證這個(gè)模型和評(píng)估方法，從1996年6月到1997年6月進(jìn)行許多實(shí)驗(yàn)項(xiàng)目。這 些實(shí)驗(yàn)項(xiàng)為出版的模型和評(píng)估方法1.1版提供了寶貴的數(shù)據(jù)。在實(shí)驗(yàn)項(xiàng)目中，模 型的第一個(gè)版本用于評(píng)估了兩個(gè)大型系統(tǒng)集成商，兩個(gè)服務(wù)供應(yīng)商和一個(gè)產(chǎn)品廠 商。實(shí)驗(yàn)項(xiàng)目涉及到為驗(yàn)證這個(gè)模型的各種組織機(jī)構(gòu)，其中包括：不同規(guī)模的組 織；合同驅(qū)動(dòng)系統(tǒng)開發(fā)的組織和市場(chǎng)驅(qū)動(dòng)產(chǎn)品開發(fā)的組織；高開發(fā)保證要求的組 織和低開發(fā)保證要求的組織；提供開發(fā)、實(shí)施和服務(wù)的組織。 1997年7月，召開了第二屆公開系統(tǒng)安全工程CM

38、M工作會(huì)議。這次會(huì)議主要涉及到 模型的應(yīng)用，特別在采購，過程改進(jìn)，產(chǎn)品和系統(tǒng)質(zhì)量保證等方面的應(yīng)用。這次 會(huì)議文集可通過SSE-CMM的WEB站點(diǎn)上獲得。在這次會(huì)議上，確定了需解決得問題 并成立了新得項(xiàng)目組織來直接解決這些問題。 計(jì)算機(jī)系統(tǒng)安全概述109 SSE-CMM的相關(guān)組織 SSE-CMM項(xiàng)目進(jìn)展來自于安全工程業(yè)界、美國國防部辦公 室和加拿大通訊安全機(jī)構(gòu)積極參與和共同的投入，并得到 NSA的部分贊助和配合。 SSE-CMM項(xiàng)目結(jié)構(gòu)包括： 指導(dǎo)組 評(píng)定方法組 模型維護(hù)組 生命期支持組 輪廓，保證和度量組 贊助，規(guī)劃和采用組 關(guān)鍵人員評(píng)審和業(yè)界評(píng)審 計(jì)算機(jī)系統(tǒng)安全概述110 能力成熟模型 計(jì)算機(jī)系統(tǒng)安全概述111 NIST SP800