計算機網(wǎng)絡安全標準簡介課件

1、第11章 計算機網(wǎng)絡安全標準簡介第1頁，共43頁。重點和難點 美國的可信任的計算機系統(tǒng)評估準則 國際的通用準則 中國的計算機信息系統(tǒng)安全保護等級劃分準則掌握 國際通用準則和我國計算機信息系統(tǒng)安全保護等級劃分準則的基本內涵了解 計算機網(wǎng)絡安全標準的形成過程 美國的可信任的計算機系統(tǒng)評估準則 信息安全保證技術框架所涉及的基本內容第2頁，共43頁。11.1 計算機網(wǎng)絡安全標準的形成 在20世紀60年代，美國國防部成立了專門機構，開始研究計算機使用環(huán)境中的安全策略問題，70年代又在KSOS、PSOS和KVM操作系統(tǒng)上展開了進一步的研究工作，80年代，美國國防部發(fā)布了“可信計算機系統(tǒng)評估準則”（TCSE

2、C，Trusted Computer System Evaluation Criteria），簡稱桔皮書，后經(jīng)修改用作了美國國防部的標準，并相繼發(fā)布了可信數(shù)據(jù)庫解釋（TDI）、可信網(wǎng)絡解釋（TNI）等一系列相關的說明和指南。第3頁，共43頁。1991年，英、法、德、荷四國針對TCSEC準則的局限性，提出了包含保密性、完整性、可用性等概念的歐洲“信息技術安全評估準則”（ITSEC，Information Technology Security Evaluation Criteria ）。1988年，加拿大開始制訂“加拿大可信計算機產(chǎn)品評估準則”（CTCPEC，The Canadian Trust

3、ed Computer Product Evaluation Criteria ）。該標準將安全需求分為機密性、完整性、可靠性和可說明性四個層次。 第4頁，共43頁。1993年，美國對TCSEC作了補充和修改，制定了“組合的聯(lián)邦標準”（簡稱FC）。 1990年，國際標準化組織（ISO）開始開發(fā)通用的國際標準評估準則。1993年，由加拿大、法國、德國、荷蘭、英國、美國NIST和美國NSA六國七方聯(lián)合開始開發(fā)通用準則CC（Information Technology Security Common Criteria）。1996年1月發(fā)布CC1.0版，1996年4月被ISO采納，1997年10月完成

4、CC2.0的測試版，1998年5月發(fā)布CC2.0版。1999年12月ISO采納CC通用標準，并正式發(fā)布國際標準ISO 15408。第5頁，共43頁。11.2 國外計算機網(wǎng)絡安全標準 TCSEC按處理信息的等級和所采用的響應措施，將計算機系統(tǒng)安全等級從低到高分成D、C、B、A四大類八個級別，共27條評估準則（參見表11.1）。1D類無保護級這是最低保護等級。該類是為那些經(jīng)過評估，但不滿足較高評估等級要求的系統(tǒng)設計的。11.2.1可信任的計算機系統(tǒng)評估準則（TCSEC）簡介 第6頁，共43頁。類 別等 級安全功能D類無保護級無保護級很少保護措施，無安全功能C類自主保護級自主安全保護級（C1級）隔離

5、用戶和數(shù)據(jù)，實施用戶訪問控制，保護用戶和用戶組數(shù)據(jù)信息?？刂圃L問保護級（C2級）除C1功能外，增加注冊過程控制、相關事件審計和資源隔離功能。B類強制保護級標記安全保護級（B1級）除C2功能外，提供安全策略模型、數(shù)據(jù)標記和強制訪問控制功能。結構化保護級（B2級）除B1功能外，提供合理的可測試和審查的系統(tǒng)總體設計方案、鑒別機制，對所有主體與客體進行訪問控制，對隱蔽信道進行分析，提供一定的抗?jié)B透能力。安全區(qū)域保護級（B3級）除B2功能外，優(yōu)化系統(tǒng)總體設計方案，擴充審計機制和系統(tǒng)恢復機制，提供安全警報和高抗?jié)B透能力。A類驗證保護級驗證設計級（A1級）在安全功能上，A1級系統(tǒng)與B3級系統(tǒng)相同，其突出特點

6、是：采用形式化設計規(guī)范和驗證方法分析系統(tǒng)。超A1級在A1級基礎上進行擴展安全范疇，已超出了目前技術的發(fā)展。表11.1 可信任的計算機系統(tǒng)評估準則（TCSEC）第7頁，共43頁。2C類自主保護等級該類采用自主訪問控制和審計跟蹤等措施實現(xiàn)一定的自主保護功能，具有對主體責任及其動作審計的能力。C類系統(tǒng)一般只適用于具有一定等級的多用戶環(huán)境。該類從低到高又分為C1級和C2級。1）C1級自主安全保護級C1級TCB通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護的能力 ；它具有多種形式的控制能力，對用戶實施訪問控制；為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞；C1級的系統(tǒng)適用于

7、處理同一敏感級別數(shù)據(jù)的多用戶環(huán)境。2）C2級控制訪問保護級C2級計算機系統(tǒng)比C1級具有更細粒度的自主訪問控制；C2級通過注冊過程控制、審計安全相關事件以及資源隔離，使單個用戶為其行為負責。 第8頁，共43頁。3B類強制保護等級該類采用安全標記和強制訪問控制等措施實現(xiàn)強制保護功能，主要要求TCB能維護完整的安全標記，并在此基礎上執(zhí)行一系列強制訪問控制規(guī)則。B類系統(tǒng)中的主要數(shù)據(jù)結構必須攜帶敏感標記；系統(tǒng)的開發(fā)者還應為TCB提供安全策略模型以及TCB規(guī)約；應提供證據(jù)證明訪問監(jiān)控器得到了正確的實施。該類從低到高又分為B1級、B2級和B3級。1）B1級標記安全保護級B1級要求具有C2級系統(tǒng)的所有特性；在

8、此基礎上，還應提供安全策略模型的非形式化描述、數(shù)據(jù)標記以及命名主體和客體的強制訪問控制；并消除測試中發(fā)現(xiàn)的所有缺陷。 第9頁，共43頁。2）B2級結構化保護級B2級中的TCB建立于一個明確定義并文檔化和形式化安全策略模型之上，要求將B1級系統(tǒng)中建立的自主和強制訪問控制擴展到所有的主體與客體，并對隱蔽信道進行分析。TCB應結構化為關鍵保護元素和非關鍵保護元素，明確定義TCB接口。TCB的設計與實現(xiàn)應能夠經(jīng)受更充分的測試和更完善的審查，增強鑒別機制功能，提供可信設施管理以支持系統(tǒng)管理員和操作員的職能，提供嚴格的配置管理控制。3）B3級安全區(qū)域保護級B3級中的TCB必須滿足訪問監(jiān)控器的需求，在構造T

9、CB時，排除那些對實施安全策略來說并非必要的代碼，在設計和實現(xiàn)TCB時，從系統(tǒng)工程角度將其復雜性降低到最小程度。訪問監(jiān)控器本身是抗篡改的、足夠小、可分析和測試，應用它對所有主體對客體的訪問進行仲裁。 第10頁，共43頁。B3級系統(tǒng)支持安全管理員職能、擴充審計機制和系統(tǒng)恢復機制，當發(fā)生與安全相關的事件時，系統(tǒng)能發(fā)出信號。B3級系統(tǒng)具有很高的抗?jié)B透能力。4A類驗證保護等級這是最高保護等級。A類系統(tǒng)的特點是使用形式化的安全驗證方法，保證系統(tǒng)的自主和強制安全控制措施能夠有效地保護系統(tǒng)中存儲和處理的秘密信息或其他敏感信息。系統(tǒng)提供豐富的文檔信息用以證明TCB滿足設計、開發(fā)及實現(xiàn)等各個方面的安全要求。該類

10、從低到高細分為A1級和超A1級。1）A1級驗證設計級A1級系統(tǒng)在功能上和B3級系統(tǒng)是相同的，沒有增加體系結構特性和策略要求。其突出特點是，要求用形式化設計規(guī)范和驗證方法來對系統(tǒng)進行分析，確保TCB按設計要求實現(xiàn)。 第11頁，共43頁。A1級系統(tǒng)要求更嚴格的配置管理；要求建立系統(tǒng)安全分發(fā)的程序；支持系統(tǒng)安全管理員的職能。2）超A1級超A1級是在A1級基礎上增加了許多超出目前技術發(fā)展的安全措施。超A1級系統(tǒng)涉及的主要范圍包括：系統(tǒng)體系結構、安全測試、形式化規(guī)約與驗證和可信設計環(huán)境等。第12頁，共43頁。11.2.2 通用準則CC簡介 CC主要包括簡介和一般模型、安全功能要求以及安全保證要求三個部分

11、。在安全保證要求部分提出了七個評估保證級別（Evaluation Assurance Levels：EALs），從低到高依次為EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7。通用準則CC僅適用于硬件、固件和軟件實現(xiàn)的信息技術安全措施。第13頁，共43頁。1CC中的基本概念和評估方法（1）評估過程CC的評估依據(jù)是通用評估方法學、評估方案和CC評估準則。使用通用評估方法學可以提供結果的可重復性和客觀性；使用評估方案和評估準則可以提供結果的準確性和一致性。（2）安全概念所謂安全就是保護資產(chǎn)不受威脅，威脅可依據(jù)濫用被保護資產(chǎn)的可能性進行分類，所有的威脅類型都應該被考慮到。在安全領

12、域內，被高度重視的威脅是和人們的惡意攻擊及其它與人類活動相聯(lián)系的行為。 第14頁，共43頁。安全性損壞是指失去保密性、失去完整性和失去可用性。失去保密性是指資產(chǎn)破壞性地暴露于未授權的接收者；失去完整性是指資產(chǎn)由于未授權的更改而損壞；失去可用性是指資產(chǎn)訪問權被未授權的獲得等。（3）安全環(huán)境安全環(huán)境包括所有相關的法規(guī)、組織性安全策略、習慣、專門技術和知識，它定義了TOE使用的上下文。安全環(huán)境也包括環(huán)境里出現(xiàn)的安全威脅。第15頁，共43頁。為建立安全環(huán)境，必須考慮以下幾點：1）TOE物理環(huán)境：指所有的與TOE安全相關的TOE運行環(huán)境，包括已知的物理和人事的安全安排。2）安全目的：安全環(huán)境的分析結果被

13、用來闡明對抗已標識的威脅、說明組織性安全策略和假設的安全目的；安全目的和已說明的TOE運行目標或產(chǎn)品目標以及有關的物理環(huán)境知識一致。第16頁，共43頁。3）IT安全要求：IT安全要求是將安全目的細化為一系列TOE及其環(huán)境的安全要求。4）TOE概要規(guī)范：ST中提供的TOE概要規(guī)范定義TOE安全要求的實現(xiàn)方法。（4）安全要求的描述方法安全要求是按“類族組件元素”的描述結構表達的，并附加在其ST中。1）類：類被用作最通用安全要求的組合，類的所有的成員關注共同的安全焦點，但所覆蓋安全目的是不同的。2）族：類的成員被稱為族。第17頁，共43頁。3）組件：族的成員被稱為組件。組件描述一組特定的安全要求集。

14、4）元素：組件由單個元素組成，元素是安全需求最低層次的表達，并且是能被評估驗證的不可分割的安全要求。第18頁，共43頁。（5）安全需求的描述方法1）包：組件的中間組合被稱為包。包允許對功能或保證需求集合的描述，這個集合能夠滿足一個安全目標的可標識子集；包可重復使用，可用來定義那些公認有用的、能夠有效滿足特定安全目標的要求。2）保護輪廓(PP)：PP是關于一系列滿足一個安全目標集的TOE的、與實現(xiàn)無關的描述。PP包含一套來自CC（或明確闡述）的安全要求，它應包括一個評估保證級別（EAL）；PP包括安全目的和安全要求的基本原理；PP的開發(fā)者可以是用戶團體、IT產(chǎn)品開發(fā)者或其它對定義這樣一系列通用要

15、求有興趣的團體。第19頁，共43頁。IT環(huán)境安全要求PP應用注解PP標識PP概述假設威脅組織性安全策略TOE安全目的環(huán)境安全目的安全目的基本原理安全要求基本原理TOE安全功能要求TOE安全保證要求保護輪廓PP引言TOE描述TOE安全環(huán)境安全目的IT安全要求基本原理TOE安全要求圖11.2 保護輪廓PP的描述結構 第20頁，共43頁。3）安全目標(ST)：ST是針對特定TOE安全要求的描述，通過評估可以證明這些安全要求對滿足指定目的是有用和有效的。圖11.4 PP、ST和TOE三種評估的關系評估PP評估TOEPP分類評估ST證書分類PP評估結果TOE評估結果ST評估結果已評估過的TOE第21頁，

16、共43頁。（6）評估類型CC框架下的評估類型有PP評估、ST評估和TOE評估三種，其關系如圖11.4所示。1）PP評估：PP評估是依照CC第3部分的PP評估準則進行的。其目標是為了證明PP是完備的、一致的、技術合理的，而且適合于作為一個可評估TOE的安全要求的聲明。2）ST評估：針對TOE的ST評估是依照CC第3部分的ST評估準則進行的。3）TOE評估：TOE評估是使用一個已經(jīng)評估過的ST作為基礎，依照CC第3部分的評估準則進行的。其目標是為了證明TOE滿足ST中的安全要求。2TOE的評估過程（如圖11.5所示） 第22頁，共43頁。（PP與ST） 安全需求開發(fā)TOETOE和評估評估TOE評估

17、結果操作TOE評估方案評估方法評估準則反饋圖11.5 TOE的評估過程示意圖第23頁，共43頁。3CC的安全功能要求CC中提出了11類安全功能，并給出了詳細說明和具體要求。對于超出CC定義范圍的安全功能，提出了描述規(guī)范，開發(fā)者可以根據(jù)“類-族-組件-元素”的描述結構表達其安全要求，并附加在其ST中。CC給出的11類安全功能如下：1）FAU類（安全審計）。2）FCO類（通信）。3）FCS類（密碼支持）。4）FDP類（用戶數(shù)據(jù)保護）。5）FIA類（標識與鑒別）。6）FMT類（安全管理）。7）FPR類（隱秘）。8）FPT類（TFS保護）。9）FAU類（資源利用）。第24頁，共43頁。10）FTA類（

18、TOE訪問）。11）FTP類（可信信道/路徑）。4CC的安全保證要求CC中提出了PP、ST、TOE三種評估方法、七個評估保證級別和10個安全保證類，其中，APE類與ASE類分別介紹了PP與ST的描述結構及評估準則，維護類提出了保證評估過的受測系統(tǒng)或產(chǎn)品運行于所獲得的安全級別上的要求，只有七個安全保證類是TOE的評估類別，這七個安全保證類分別是：1）ACM類（配置管理）。2）ADO類（分發(fā)與操作）。3）ADV類（開發(fā)）。4）AGD類（指導性文檔）。5）ALC類（生命周期支持）。6）ATE類（測試）。7）AVA類（脆弱性評定）。第25頁，共43頁。11.3 國內計算機網(wǎng)絡安全標準 我國政府提出計算

19、機信息系統(tǒng)實行安全等級保護，并于1999年頒布了國家標準GB17859-1999，即計算機信息系統(tǒng)安全保護等級劃分準則（以下簡稱準則）。它是我國計算機信息系統(tǒng)安全保護等級工作的基礎。其相關技術標準還包括：第26頁，共43頁。計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術要求（GA 388-2002）計算機信息系統(tǒng)安全等級保護管理要求（GA 391-2002）計算機信息系統(tǒng)安全等級保護網(wǎng)絡技術要求（GA/T 387-2002）計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術要求（GA/T 389-2002）計算機信息系統(tǒng)安全等級保護通用技術要求（GA/T 390-2002）。第27頁，共43頁。11.3.1

20、 計算機信息系統(tǒng)安全保護等級劃分準則準則中規(guī)定的計算機系統(tǒng)安全保護等級從低到高依次為：用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結構化保護級和訪問驗證保護級五個保護級別。（1）用戶自主保護級計算機信息系統(tǒng)可信計算基（TCB）通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護的能力。它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞。第28頁，共43頁。（2）系統(tǒng)審計保護級與用戶自主保護級相比，計算機信息系統(tǒng)可信計算基實施了粒度更細的自主訪問控制。（3）安全標記保護級計算機信息系統(tǒng)可信計算基具有系統(tǒng)審計保護級所有功能。提供

21、有關安全策略模型、數(shù)據(jù)標記以及主體對客體強制訪問控制的非形式化描述，具有準確地標記輸出信息的能力和消除通過測試發(fā)現(xiàn)的任何錯誤。（4）結構化保護級計算機信息系統(tǒng)可信計算基建立于一個明確定義的形式化安全策略模型之上。第29頁，共43頁。（5）訪問驗證保護級計算機信息系統(tǒng)可信計算基滿足訪問監(jiān)控器需求，訪問監(jiān)控器仲裁主體對客體的全部訪問，訪問監(jiān)控器本身是抗篡改的、必須足夠小、能夠分析和測試，支持安全管理員職能，擴充審計機制，當發(fā)生與安全相關的事件時發(fā)出信號，提供系統(tǒng)恢復機制，系統(tǒng)具有很高的抗?jié)B透能力。 第30頁，共43頁。ISOCC標準美國TCSEC歐洲ITSEC加拿大CTCPEC中國GB17859-

22、1999D：最小保護E0T0EAL1：功能測試T1EAL2：結構測試C1：任意安全保護E1T21：用戶自主保護級EAL3：系統(tǒng)測試和檢查C2：控制存取保護E2T32：系統(tǒng)審計保護級EAL4：系統(tǒng)設計、測試和復查B1：標識安全保護E3T43：安全標記保護級EAL5：半形式化設計和測試B2：結構保護E4T54：結構化保護級EAL6：半形式化驗證的設計和測試B3：安全域E6T65：訪問驗證保護級EAL7：形式化驗證的設計和測試A1：驗證設計E7T7表11.2 國家標準與國外標準的對比第31頁，共43頁。11.3.2 信息系統(tǒng)安全等級保護應用概要1計算機信息系統(tǒng)安全等級保護通用技術要求通用技術要求共分

23、6個部分，前3個部分主要介紹了通用技術要求的應用范圍、規(guī)范性引用文件、以及術語和定義。第4部分是安全功能技術要求。在這里，對計算機信息系統(tǒng)安全功能的實現(xiàn)進行了完整的描述，并對實現(xiàn)這些安全功能所涉及的所有因素做了較為全面的說明。安全功能包括物理安全、運行安全和信息安全三個方面。第32頁，共43頁。物理安全也稱實體安全，是指包括環(huán)境設備和記錄介質在內的所有支持信息系統(tǒng)運行的硬件的安全，它是一個信息系統(tǒng)安全運行的基礎。計算機網(wǎng)絡信息系統(tǒng)的實體安全包括環(huán)境安全、設備安全和介質安全。運行安全是指在物理安全得到保障的前提下，為確保計算機信息系統(tǒng)不間斷運行而采取的各種檢測、監(jiān)控、審計、分析、備份及容錯等方法

24、和措施。信息安全是指在計算機信息系統(tǒng)運行安全得到保證的前提下，對在計算機信息系統(tǒng)中存儲、傳輸和處理的信息進行有效的保護，使其不因人為的或自然的原因被泄露、篡改和破壞。第33頁，共43頁。第5部分是安全保證技術要求。為了確保所要求的安全功能達到所確定的安全目標，必須從TCB自身安全保護、TCB設計和TCB安全管理三個方面保證安全功能從設計、實現(xiàn)到運行管理等各個環(huán)節(jié)嚴格按照所規(guī)定的要求進行。TCB自身安全保護是指：一方面提供與TSF機制的完整性和管理有關的保護，另一方面提供與TSF數(shù)據(jù)的完整性有關的保護 。它可能采用與對用戶數(shù)據(jù)安全保護相同的安全策略和機制，但其所要實現(xiàn)的目標是不同的。前者是為了自

25、身更健壯，從而使其所提供的安全功能更有保證；后者則是為了實現(xiàn)其直接所提供的安全功能。第34頁，共43頁。第6部分是安全保護等級劃分要求。安全功能主要說明一個計算機信息系統(tǒng)所實現(xiàn)的安全策略和安全機制符合哪一等級的功能要求；安全保證則是通過一定的方法保證計算機信息系統(tǒng)所提供的安全功能確實達到了確定的功能要求和強度 。安全功能要求從物理安全、運行安全和信息安全三個方面對一個安全的計算機信息系統(tǒng)所應提供的與安全有關的功能進行描述。安全保證要求則分別從TCB自身安全、TCB的設計和實現(xiàn)和TCB安全管理三個方面進行描述。第35頁，共43頁。2計算機信息系統(tǒng)安全等級保護網(wǎng)絡技術要求網(wǎng)絡技術要求共分7個部分，

26、前3個部分主要介紹了網(wǎng)絡技術要求的應用范圍、規(guī)范性引用文件、以及術語和定義。第4部分是概述，主要描述了一般性要求、安全等級劃分、主體和客體、TCB、引起信息流動的方式、密碼技術和安全網(wǎng)絡系統(tǒng)的實現(xiàn)方法。第5部分是網(wǎng)絡的基本安全技術，在這里，對各種安全要素的策略、機制、功能、用戶屬性定義、安全管理和技術要求等做了具體的說明。主要描述了自主訪問控制、強制訪問控制、標記、用戶身份鑒別、剩余信息保護、安全審計、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑、可信恢復、抗抵賴和密碼支持等內容。 第36頁，共43頁。第6部分是網(wǎng)絡安全技術要求，主要從對網(wǎng)絡系統(tǒng)的安全等級進行劃分的角度來說明不同安全等級在安全功能方面的

27、特定技術要求。第7部分是網(wǎng)絡安全等級保護技術要求，主要針對七層網(wǎng)絡體系結構中的每一層，介紹了各個網(wǎng)絡安全等級的具體要求，以及每個等級中對各個安全要素的具體要求。同時針對每個安全等級，介紹了在網(wǎng)絡體系結構中的每層的具體要求，以及每層中對各個安全要素的具體要求。根據(jù)ISO/OSI的七層體系結構，網(wǎng)絡安全機制在各層的分布如下：第37頁，共43頁。1）物理層：數(shù)據(jù)流加密機制。2）數(shù)據(jù)鏈路層：數(shù)據(jù)加密機制。3）網(wǎng)絡層：身份認證機制，訪問控制機制，數(shù)據(jù)加密機制，路由控制機制，一致性檢查機制。4）傳輸層：身份認證機制，訪問控制機制，數(shù)據(jù)加密機制。5）會話層：身份認證機制，訪問控制機制，數(shù)據(jù)加密機制，數(shù)字簽名機制，交換認證（抗抵賴）機制。6）表示層：身份認證機制，訪問控制機制，數(shù)據(jù)加密機制，數(shù)字簽名機制，交換認證（抗抵賴）機制。7）應用層：身份認證機制，訪問控制機制，數(shù)據(jù)加密機制，數(shù)字簽名機制，交換認證（抗抵賴）機制，業(yè)務流分析機制。網(wǎng)絡系統(tǒng)安全體系結構是由物理層、鏈路層、網(wǎng)絡層、傳輸層、會話層、表示層、以及應用層信息系統(tǒng)所組成。第38頁，共43頁。11.4 信息安全保證技術框架（IATF）信息保證技術框