銀行及相關金融服務信息安全標準體系課件

1、信息安全標準介紹,中國信息安全產(chǎn)品測評認證中心 張利 博士,銀行及相關金融服務信息安全標準體系,2,主要內容,信息安全基礎標準 信息安全評估標準發(fā)展史 通用評估準則（CC） PP和ST產(chǎn)生指南 IATF SCC,銀行及相關金融服務信息安全標準體系,3,標準化基礎,標準：標準是對重復性事物和概念所做的統(tǒng)一規(guī)定。它以科學、技術和實踐的綜合成果為基礎，經(jīng)有關方面協(xié)商一致，由主管部門批準，以特定的方式發(fā)布，作為共同遵守的準則和依據(jù)。 強制性標準：保障人體健康、人身、財產(chǎn)安全的標準和法律、行政法規(guī)規(guī)定強制執(zhí)行的標準；其它標準是推薦性標準。 我國標準分四級：國家標準、行業(yè)標準、地方標準、企業(yè)標準。,銀行及

2、相關金融服務信息安全標準體系,4,國家標準：對需要在全國范圍內統(tǒng)一的技術要求(含標準樣品的制作）。GB/T XXXX.X-200X GB XXXX-200X 行業(yè)標準：沒有國家標準，需要在全國某個行業(yè)范圍內統(tǒng)一的技術要求。GA ,SJ 地方標準：沒有國家標準 、行業(yè)標準而又需要在省、自治區(qū)、直轄市范圍內統(tǒng)一的工業(yè)產(chǎn)品的安全、衛(wèi)生要求。 DBXX/T XXX-200X DBXX/XXX-200X 企業(yè)標準：對企業(yè)范圍內需要統(tǒng)一的技術要求、管理要求和工作要求。QXXX-XXX-200X,標準化基礎,銀行及相關金融服務信息安全標準體系,5,標準化基礎,標準化：為在一定的范圍內獲得最佳秩序，對實際的或

3、潛在的問題制定共同的和重復使用的規(guī)則的活動 實質：通過制定、發(fā)布和實施標準，達到統(tǒng)一。 目的：獲得最佳秩序和社會效益。,銀行及相關金融服務信息安全標準體系,6,標準化基礎,標準化三維空間,國際級 區(qū)域級 國家級 行業(yè)級 地方級 企業(yè)級,人員 服務 系統(tǒng) 產(chǎn)品 過程,管理,應用,技術機制,體系、框架,術語,X,Y,Z,X軸代表標準化對象，Y軸代表標準化的內容，Z軸代表標準化的級別。,銀行及相關金融服務信息安全標準體系,7,標準化基礎,我國通行“標準化八字原理”： “統(tǒng)一”原理 “簡化”原理 “協(xié)調”原理 “最優(yōu)”化原理,銀行及相關金融服務信息安全標準體系,8,我國標準工作歸口單位,2001年10

4、月11日成立國家標準化委員會 信息技術標準委員會 數(shù)據(jù)加密技術標準委員會 2002年4月15日成立信息安全技術標準委員會,銀行及相關金融服務信息安全標準體系,9,標準化基礎,采標： 等同采用idt（identical）：指技術內容相同，沒有或僅有編輯性修改，編寫方法完全相對應； 修改采用MOD（modified）：與國際標準之間存在技術性差異，有編輯性修改，可能不采用部分條款 非等效采用NEQ（not equivalent）：指技術內容有重大差異，只表示與國際標準有關。,銀行及相關金融服務信息安全標準體系,10,IT標準化,IT標準發(fā)展趨勢 (1)標準逐步從技術驅動向市場驅動方向發(fā)展。 (2)

5、信息技術標準化機構由分散走向聯(lián)合。 (3)信息技術標準化的內容更加廣泛，重點更加突出，從IT技術領域向社會各個領域滲透，涉及教育、文化、醫(yī)療、交通、商務等廣泛領域，需求大量增加。 (4)從技術角度看，IT標準化的重點將放在網(wǎng)絡接口、軟件接口、信息格式、安全等方面，并向著以技術中立為前提，保證互操作為目的方向發(fā)展。,銀行及相關金融服務信息安全標準體系,11,信息安全標準化組織,ISO JTC1 SC27，信息技術-安全技術 ISO/TC 68 銀行和有關的金融服務 SC2，安全管理和通用銀行運作； SC4，安全及相關金融工具； SC6，零售金融服務。 JTC1其他分技術委員會： SC6系統(tǒng)間通信

6、與信息交換，主要開發(fā)開放系統(tǒng)互連下四層安全模型和安全協(xié)議，如ISO 9160、ISO/IEC 11557。 SC17識別卡和有關設備，主要開發(fā)與識別卡有關的安全標準ISO 7816 SC18文件處理及有關通信，主要開發(fā)電子郵件、消息處理系統(tǒng)等。 SC21開放系統(tǒng)互連，數(shù)據(jù)管理和開放式分布處理，主要開發(fā)開放系統(tǒng)互連安全體系結構，各種安全框架，高層安全模型等標準，如:ISO/IEC 7498-2、ISO/IEC 9594-1至8。 SC22程序語言，其環(huán)境及系統(tǒng)軟件接口，也開發(fā)相應的安全標準。 SC30開放式電子數(shù)據(jù)交換，主要開發(fā)電子數(shù)據(jù)交換的有關安全標準。如ISO 9735-9 、 ISO 97

7、35-10。,銀行及相關金融服務信息安全標準體系,12,信息安全標準化組織（續(xù)）,IEC TC56 可靠性； TC74 IT設備安全和功效； TC77 電磁兼容； CISPR 無線電干擾特別委員會 ITU 前身是CCITT 消息處理系統(tǒng) 目錄系統(tǒng)(X.400系列、X.500系列) 安全框架 安全模型等標準,銀行及相關金融服務信息安全標準體系,13,信息安全標準化組織（續(xù)）,IETF（170多個RFC、12個工作組） PGP開發(fā)規(guī)范(openpgp)； 鑒別防火墻遍歷(aft)； 通用鑒別技術(cat) ； 域名服務系統(tǒng)安全(dnssec)； IP安全協(xié)議(ipsec)； 一次性口令鑒別(otp

8、)； X.509公鑰基礎設施(pkix)； S/MIME郵件安全(smime)； 安全Shell (secsh)； 簡單公鑰基礎設施(spki)； 傳輸層安全(tls) Web處理安全 (wts),銀行及相關金融服務信息安全標準體系,14,信息安全標準化組織（續(xù)）,美國 ANSI NCITS-T4 制定IT安全技術標準 X9 制定金融業(yè)務標準 X12 制定商業(yè)交易標準 NIST 負責聯(lián)邦政府非密敏感信息 FIPS-197 DOD 負責涉密信息 NSA 國防部指令（DODI）（如TCSEC）,銀行及相關金融服務信息安全標準體系,15,信息安全標準化組織（續(xù)）,IEEE SILS（LAN/WAN）

9、安全 P1363公鑰密碼標準 ECMA(歐洲計算機廠商協(xié)會) TC32“通信、網(wǎng)絡和系統(tǒng)互連”曾定義了開放系統(tǒng)應用層安全結構； TC36“IT安全”負責信息技術設備的安全標準。,銀行及相關金融服務信息安全標準體系,16,信息安全標準化組織（續(xù)）,英國 BS 7799 醫(yī)療衛(wèi)生信息系統(tǒng)安全 加拿大 計算機安全管理 日本 JIS 國家標準 JISC 工業(yè)協(xié)會標準 韓國 KISA負責 防火墻、IDS、PKI方面標準,銀行及相關金融服務信息安全標準體系,17,信息安全標準化組織（續(xù)）,我國 共38個標準 4個產(chǎn)品標準 其他工業(yè)標準 SSL SET CDSA PGP PCT ,銀行及相關金融服務信息安全

10、標準體系,18,2.信息安全基礎標準,銀行及相關金融服務信息安全標準體系,19,基于OSI七層協(xié)議的安全體系結構,銀行及相關金融服務信息安全標準體系,20,五種安全服務,鑒別：提供對通信中的對等實體和數(shù)據(jù)來源的鑒別。 訪問控制：提供保護以對抗開放系統(tǒng)互連可訪問資源的非授權使用?？蓱糜趯Y源的各種不同類型的訪問（例如，使用通信資源，讀、寫或刪除信息資源，處理資源的操作），或應用于對某種資源的所有訪問 數(shù)據(jù)機密性：對數(shù)據(jù)提供保護使之不被非授權地泄露 數(shù)據(jù)完整性：對付主動威脅。在一次連接上，連接開始時使用對某實體鑒別服務，并在連接的存活期使用數(shù)據(jù)完整性服務就能聯(lián)合起來為在此連接上傳送的所有數(shù)據(jù)單元

11、的來源提供確證，為這些數(shù)據(jù)單元的完整性提供確證。 抗抵賴：可取有數(shù)據(jù)原發(fā)證明的抗抵賴、有交付證明的抗抵賴兩種形式，或兩者之一。,銀行及相關金融服務信息安全標準體系,21,與網(wǎng)絡各層相關的OSI安全服務,銀行及相關金融服務信息安全標準體系,22,八種安全機制,加密：加密既能為數(shù)據(jù)提供機密性，也能為通信業(yè)務流信息提供機密性。 數(shù)字簽名：確定兩個過程：對數(shù)據(jù)單元簽名和驗證簽過名的數(shù)據(jù)單元。 訪問控制：為了決定和實施一個實體的訪問權，訪問控制機制可以使用該實體已鑒別的身份，或使用有關該實體的信息（例如它與一個已知的實體集的從屬關系），或使用該實體的權力。 數(shù)據(jù)完整性：包括單個數(shù)據(jù)單元或字段的完整性以及

12、數(shù)據(jù)單元流或字段流的完整性。,銀行及相關金融服務信息安全標準體系,23,安全機制,鑒別交換機制：可以提供對等實體鑒別。如果在鑒別實體時，這一機制得到否定的結果，就會導致連接的拒絕或終止，也可能使在安全審計跟蹤中增加一個記錄，或給安全管理中心一個報告。 通信業(yè)務填充機制：能用來提供各種不同級別的保護，對抗通信業(yè)務分析。 路由選擇控制機制：路由能動態(tài)地或預定地選取，以便只使用物理上安全的子網(wǎng)絡、中繼站或鏈路。在檢測到持續(xù)的操作攻擊時，端系統(tǒng)可希望指示網(wǎng)絡服務的提供者經(jīng)不同的路由建立連接。 公證機制：有關在兩個或多個實體之間通信的數(shù)據(jù)的性質，如它的完整性、原發(fā)、時間和目的地等能夠借助公證機制而得到確

13、保。,銀行及相關金融服務信息安全標準體系,24,OSI安全服務和安全機制之間的關系,銀行及相關金融服務信息安全標準體系,25,TCP/IP協(xié)議,四層概念模型：應用層、傳輸層、網(wǎng)絡層和網(wǎng)絡接口層 IP層是TCP/IP模型的網(wǎng)絡層（不考慮網(wǎng)絡接口），提供數(shù)據(jù)在源和目的主機之間通過子網(wǎng)的路由功能,應用層,傳輸層,網(wǎng)絡層,銀行及相關金融服務信息安全標準體系,26,OSI參考模型與TCP/IP的對應關系,銀行及相關金融服務信息安全標準體系,27,3.信息安全評測標準發(fā)展,1999年 GB 17859 計算機信息系統(tǒng)安全保護等級劃分準則,1991年歐洲信息技術安全性評估準則 （ITSEC）,國際通用準則

14、1996年（CC1.0） 1998年（CC2.0）,1985年美國可信計算機系統(tǒng)評估準則（TCSEC）,1993年 加拿大可信計算機產(chǎn)品評估準則 （CTCPEC）,1993年美國聯(lián)邦準則（FC 1.0）,1999年 國際標準 ISO/IEC 15408,1989年 英國 可信級別標準 （MEMO 3 DTI）,德國評估標準 （ZSEIC）,法國評估標準 （B-W-R BOOK）,2001年 國家標準 GB/T 18336 信息技術安全性評估準則,1993年美國NIST的MSFR,銀行及相關金融服務信息安全標準體系,28,美國TCSEC,1970年由美國國防科學委員會提出。1985年公布。 主要

15、為軍用標準。延用至民用。 安全級別從高到低分為A、B、C、D四級，級下再分小級。 彩虹系列 桔皮書：可信計算機系統(tǒng)評估準則 黃皮書：桔皮書的應用指南 紅皮書：可信網(wǎng)絡解釋 紫皮書：可信數(shù)據(jù)庫解釋,銀行及相關金融服務信息安全標準體系,29,美國TCSEC,銀行及相關金融服務信息安全標準體系,30,主要依據(jù)之間的關系,安全政策：確定選擇哪些控制措施， 可控性：提出安全機制以確定系統(tǒng)人員并跟蹤其行動。 保證能力：給安全政策及可控性的實現(xiàn)提供保證。 文檔：存在哪些文檔。,銀行及相關金融服務信息安全標準體系,31,各級別的特征,安全政策 C1 C2 B1 B2 B3 A1 自主訪問控制 + + nc n

16、c + nc 客體重用 0 + nc nc nc nc 標簽 0 0 + + nc nc 標簽完整性 0 0 + nc nc nc 標簽信息的輸出 0 0 + nc nc nc 標簽輸出 0 0 + nc nc nc 強制訪問控制 0 0 + + nc nc 主體敏感性標簽 0 0 0 + nc nc 設計標簽 0 0 0 + nc nc 可控性 鑒別 + + + nc nc nc 審計 0 + + + + nc 可信路徑 0 0 0 + + nc,銀行及相關金融服務信息安全標準體系,32,保證措施 C1 C2 B1 B2 B3 A1 系統(tǒng)體系 + + + + + nc 系統(tǒng)完整性 + nc

17、nc nc nc nc 系統(tǒng)測試 + + + + + + 設計說明和驗證 0 0 + + + + 隱蔽信道分析 0 0 0 + + + 可信設備管理 0 0 0 + + nc 配置管理 0 0 0 + nc + 可信恢復 0 0 0 0 + nc 可信分發(fā) 0 0 0 0 0 + 文檔 C1 C2 B1 B2 B3 A1 安全特性用戶指南 + nc nc nc nc nc 可信設備手冊 + + + + + nc 測試文檔 + nc nc + nc + 設計文檔 + nc + + + +,銀行及相關金融服務信息安全標準體系,33,C1: 自主安全保護,本級的計算機信息系統(tǒng)可信計算基通過隔離用戶與

18、數(shù)據(jù)，使用戶具備自主安全保護的能力。 本級實施的是自主訪問控制。即通過可信計算基定義系統(tǒng)中的用戶和命名用戶對命名客體的訪問，并允許用戶以自己的身份或用戶組的身份指定并控制對客體的訪問。這意味著系統(tǒng)用戶或用戶組可以通過可信計算基自主地定義對客體的訪問權限。 從用戶的角度來看，用戶自主保護級的責任只有一個，即為用戶提供身份鑒別。 可以包括穿透性測試,銀行及相關金融服務信息安全標準體系,34,C2: 訪問控制保護,與用戶自主保護級相比，本級的計算機信息系統(tǒng)可信計算基實施了粒度更細的自主訪問控制，它通過登錄規(guī)程、審計安全性相關事件和隔離資源，使用戶對自己的行為負責。 本級實施的是自主訪問控制和客體的安

19、全重用 身份鑒別方面，比用戶自主保護級增加兩點：為用戶提供唯一標識，使用戶對自己的行為負責。為支持安全審計功能，具有將身份標識與用戶所有可審計的行為相關聯(lián)的能力。 安全審計方面，可信計算基能夠創(chuàng)建、維護對其所保護客體的訪問審計記錄，,銀行及相關金融服務信息安全標準體系,35,B1: 安全標簽保護,提供有關安全策略模型、數(shù)據(jù)標記以及主體對客體強制訪問控制的非形式化描述； 安全標簽，具有準確地標記輸出信息的能力； 本級的主要特征是可信計算基實施基于Bell LaPadula模型的強制訪問控制。 分析和測試設計文檔、源代碼、客體代碼 消除通過測試發(fā)現(xiàn)的任何錯誤。,銀行及相關金融服務信息安全標準體系,

20、36,B2: 結構化保護,形式化安全策略模型 訪問控制（自主的和強制的）擴展到所有主體和客體 隱蔽信道分析 可信計算基構造成為關鍵保護元素和非關鍵保護元素 通過提供可信路徑來增強鑒別機制。 計算機信息系統(tǒng)可信計算基的接口也必須明確定義，使其設計與實現(xiàn)能經(jīng)受更充分的測試和更完整的復審 增強了配置管理控制。系統(tǒng)具有相當?shù)目節(jié)B透能力。 分開系統(tǒng)管理員和操作員的職能，提供可信實施管理,銀行及相關金融服務信息安全標準體系,37,B3: 安全域保護,在可信計算基的構造方面，具有訪問監(jiān)控器（reference monitor） 計算機信息系統(tǒng)可信計算基在其構造時，排除那些對實施安全策略來說并非必要的代碼；

21、擴充審計機制，當發(fā)生與安全相關的事件時發(fā)出信號 提供系統(tǒng)恢復機制。 系統(tǒng)具有很高的抗?jié)B透能力。,銀行及相關金融服務信息安全標準體系,38,A1: 驗證設計保護,功能上與B3級相同 要求形式化驗證設計： 形式化模型 形式化高層設計 實現(xiàn),銀行及相關金融服務信息安全標準體系,39,TCSEC的缺陷,集中考慮數(shù)據(jù)機密性，而忽略了數(shù)據(jù)完整性、系統(tǒng)可用性等； 將安全功能和安全保證混在一起 安全功能規(guī)定得過為嚴格，不便于實際開發(fā)和測評,銀行及相關金融服務信息安全標準體系,40,歐洲多國安全評價方法的綜合產(chǎn)物，軍用，政府用和商用。 以超越TCSEC為目的，將安全概念分為功能與功能評估兩部分。 功能準則在測定

22、上分10級。15級對應于TCSEC的C1 到B3。610級加上了以下概念： F-IN：數(shù)據(jù)和程序的完整性 F-AV：系統(tǒng)可用性 F-DI：數(shù)據(jù)通信完整性 F-DC：數(shù)據(jù)通信保密性 F-DX 包括機密性和完整性的網(wǎng)絡安全 評估準則分為6級： E1：測試 E2：配置控制和可控的分配 E3：能訪問詳細設計和源碼 E4：詳細的脆弱性分析 E5：設計與源碼明顯對應 E6：設計與源碼在形式上一致。,歐洲ITSEC,銀行及相關金融服務信息安全標準體系,41,與TCSEC的不同,安全被定義為機密性、完整性、可用性 功能和質量/保證分開 對產(chǎn)品和系統(tǒng)的評估都適用，提出評估對象（TOE）的概念 產(chǎn)品：能夠被集成在

23、不同系統(tǒng)中的軟件或硬件包； 系統(tǒng)：具有一定用途、處于給定操作環(huán)境的特殊安全裝置,銀行及相關金融服務信息安全標準體系,42,功能評估1預先定義的功能級,銀行及相關金融服務信息安全標準體系,43,功能評估2按功能分類評估其聲稱的安全功能,標識和鑒別 訪問控制 可控性 客體重用 審計 準確性 服務的有效性 數(shù)據(jù)交換,銀行及相關金融服務信息安全標準體系,44,保證評估,實現(xiàn)的正確性 安全功能和機制的有效性： 1.考慮所有使用的安全功能的適用性， 2.考慮安全機制的強度，評估其抵擋直接攻擊的能力 3.如果有可利用的安全脆弱性，則保證為E0,E0 E1 E2 E3 E4 E5 E6 不可信 高度可信,銀行

24、及相關金融服務信息安全標準體系,45,加拿大CTCPEC,1989年公布，專為政府需求而設計 與ITSEC類似，將安全分為功能性需求和保證性需要兩部分。 功能性要求分為四個大類： a 機密性 b 完整性 c 可用性 d 可控性 在每種安全需求下又分成很多小類，表示安全性上的差別，分級條數(shù)為05級。,早期評估準則（續(xù)）,銀行及相關金融服務信息安全標準體系,46,美國聯(lián)邦準則(FC),對TCSEC的升級1992年12月公布 引入了“保護輪廓（PP）”這一重要概念 每個輪廓都包括功能部分、開發(fā)保證部分和評測部分。 分級方式與TCSEC不同，吸取了ITSEC、CTCPEC中的優(yōu)點。 供美國政府用、民用

25、和商用。,早期評估準則（續(xù)）,銀行及相關金融服務信息安全標準體系,47,GB 17859-1999 計算機信息 系統(tǒng)安全等級劃分準則,第一級 用戶自主保護級 第二級 系統(tǒng)審計保護級 第三級 安全標記保護級 第四級 結構化保護級 第五級 訪問驗證保護級,銀行及相關金融服務信息安全標準體系,48,4.通用準則（CC ）,國際標準化組織統(tǒng)一現(xiàn)有多種準則的努力結果； 1993年開始，1996年出V 1.0, 1998年出V 2.0，1999年6月正式成為國際標準，1999年12月ISO出版發(fā)行ISO/IEC 15408； 主要思想和框架取自ITSEC和FC； 充分突出“保護輪廓”，將評估過程分“功能”

26、和“保證”兩部分； 是目前最全面的評價準則,銀行及相關金融服務信息安全標準體系,49,通用準則（CC）（續(xù)）,國際上認同的表達IT安全的體系結構 一組規(guī)則集 一種評估方法，其評估結果國際互認 通用測試方法（CEM） 已有安全準則的總結和兼容 通用的表達方式，便于理解 靈活的架構 可以定義自己的要求擴展CC要求 準則今后發(fā)展的框架,銀行及相關金融服務信息安全標準體系,50,評估上下文,銀行及相關金融服務信息安全標準體系,51,CC的結構以及目標讀者,銀行及相關金融服務信息安全標準體系,52,本標準定義作為評估信息技術產(chǎn)品和系統(tǒng)安全特性的基礎準則 不包括屬于行政性管理安全措施的評估準則；不包括物理

27、安全方面（諸如電磁輻射控制）的評估準則；不包括密碼算法固有質量評價準則,應用范圍,銀行及相關金融服務信息安全標準體系,53,關鍵概念,評估對象 TOE(Target of Evaluation) 保護輪廓PP (Protection Profile） 安全目標ST( Security Target） 功能(Function) 保證(Assurance) 組件(Component) 包(Package) 評估保證級EAL( Evaluation Assurance Level）,銀行及相關金融服務信息安全標準體系,54,評估對象（TOE）,產(chǎn)品、系統(tǒng)、子系統(tǒng),銀行及相關金融服務信息安全標準體系,

28、55,保護輪 廓（PP）,表達一類產(chǎn)品或系統(tǒng)的用戶需求 組合安全功能要求和安全保證要求 技術與需求之間的內在完備性 提高安全保護的針對性、有效性 安全標準 有助于以后的兼容性 同TCSEC級類似,銀行及相關金融服務信息安全標準體系,56,PP的內容,銀行及相關金融服務信息安全標準體系,57,安全目標（ST）,IT安全目的和要求 要求的具體實現(xiàn) 實用方案 適用于產(chǎn)品和系統(tǒng) 與ITSEC ST 類似,銀行及相關金融服務信息安全標準體系,58,ST的內容,銀行及相關金融服務信息安全標準體系,59,功能/保證結構,類（如用戶數(shù)據(jù)保護FDP） 關注共同的安全焦點的一組族，覆蓋不同的安全目的范圍 子類（如

29、訪問控制FDP_ACC） 共享安全目的的一組組件，側重點和嚴格性不同 組件（如子集訪問控制FDP_ACC.1) 包含在PP/ST/包中的最小可選安全要求集,銀行及相關金融服務信息安全標準體系,60,組件,CC將傳統(tǒng)的安全要求分成不能再分的構件塊 用戶/開發(fā)者可以組織這些要求 到PP中 到ST中 組件可以進一步細化,銀行及相關金融服務信息安全標準體系,61,舉例：類子類組件,FIA 標識和鑒別,FIA_AFL 鑒別失敗,FIA_ATD 用戶屬性定義,FIA_SOS 秘密的規(guī)范,類子類組件,FIA_AFL.1鑒別失敗處理,FIA_ATD.1用戶屬性定義,FIA_SOS.1 秘密的驗證,FIA_SO

30、S.2 秘密的TSF生成,銀行及相關金融服務信息安全標準體系,62,安全要求的結構,類（Class）,子類（Family）,子類（Family）,組件,組件,組件,組件,功能和保證,PP/ST/包,銀行及相關金融服務信息安全標準體系,63,功能,規(guī)范IT產(chǎn)品和系統(tǒng)的安全行為，應做的事,銀行及相關金融服務信息安全標準體系,64,安全功能要求類,11類 135個組件,銀行及相關金融服務信息安全標準體系,65,保 證,對功能產(chǎn)生信心的方法,銀行及相關金融服務信息安全標準體系,66,安全保證要求,銀行及相關金融服務信息安全標準體系,67,TOE安全保證類,銀行及相關金融服務信息安全標準體系,68,包,

31、IT安全目的和要求 功能或保證要求（如EAL） 適用于產(chǎn)品和系統(tǒng) 與ITSEC E-級類似,銀行及相關金融服務信息安全標準體系,69,評估保證級（EAL）,預定義的保證包 公認的廣泛適用的一組保證要求,CC 第一部分,概念和模型,銀行及相關金融服務信息安全標準體系,71,安全概念和關系,所有者,威脅主體,資產(chǎn),措施,弱點,風險,威脅,擁有,引起,到,希望濫用,最小化,增加,到,利用,導致,減少,可能具有,可能被減少,利用,可能意識到,銀行及相關金融服務信息安全標準體系,72,評估環(huán)境,評估準則,評估方法,最終評估結果,評估方案,評估,批準/ 證明,證書/ 注冊,銀行及相關金融服務信息安全標準體

32、系,73,TOE開發(fā)模型,銀行及相關金融服務信息安全標準體系,74,TOE評估過程,安全需求 （PP、ST),開發(fā),TOE,TOE,和評估,評估結果,評估準則,評估方案,評估方法,操作,TOE,反饋,評估,TOE,銀行及相關金融服務信息安全標準體系,75,安全要求或規(guī)范的產(chǎn)生方式,CC 第二部分,安全功能要求,銀行及相關金融服務信息安全標準體系,77,安全功能要求的表達形式,銀行及相關金融服務信息安全標準體系,78,安全功能要求,銀行及相關金融服務信息安全標準體系,79,安全功能要求組件標識,銀行及相關金融服務信息安全標準體系,80,FAU類:安全審計,1、安全審計自動響應（FAU-ARP）

33、2、安全審計數(shù)據(jù)產(chǎn)生（FAU-GEN） 3、安全審計分析（FAU-SAA） 4、安全審計查閱（FAU-SAR） 5、安全審計事件選擇（FAU-SEL） 6、安全審計數(shù)據(jù)存貯（FAU-STG）,銀行及相關金融服務信息安全標準體系,81,FCO類：通信,1、原發(fā)抗抵賴（FCO-NRO） 2、接收抗抵賴（FCO-NRR）,銀行及相關金融服務信息安全標準體系,82,FCS類：密碼支持,1、密鑰管理（FCS-CKM） 2、密碼運算（FCS-COP）,銀行及相關金融服務信息安全標準體系,83,FDP類：保護用戶數(shù)據(jù),1、訪問控制策略（FDP-ACC） 2、訪問控制功能（FDP-ACF） 3、數(shù)據(jù)鑒別（FD

34、P-DAU） 4、輸出到TSF控制范圍之外（FDP-ETC） 5、信息流控制策略（FDP-IFC） 6、信息流控制功能（FDP-ICF） 7、從TSF控制范圍之外輸入（FDP-ITC） 8、TOE內部傳輸（FDP-ITT） 9、剩余信息保護（FDP-RIP） 10、反轉（FDP-ROL） 11、存儲數(shù)據(jù)的完整性（FDP-SDI） 12、TSF間用戶數(shù)據(jù)機密性的傳輸保護（FDP-UCT） 13、TSF間用戶數(shù)據(jù)完整性的傳輸保護（FDP-UIT）,銀行及相關金融服務信息安全標準體系,84,FIA類：標識和鑒別,1、鑒別失敗（FIA-AFL） 2、用戶屬性定義（FIA-ATD） 3、秘密的規(guī)范（FI

35、A-SOS） 4、用戶鑒別（FIA-UAU） 5、用戶標識（FIA-UID） 6、用戶-主體綁定（FIA-USB）,銀行及相關金融服務信息安全標準體系,85,FMT類：安全管理,1、TSF中功能的管理（FMT-MOF） 2、安全屬性的管理（FMT-MSA） 3、TSF數(shù)據(jù)的管理（FMT-MTD） 4、取消（FMT-REV） 5、安全屬性到期（FMT-SAE） 6、安全管理角色（FMT-SMR）,銀行及相關金融服務信息安全標準體系,86,FPR類：秘密,1、匿名（FPR-ANO） 2、假簽名（FPR-PSE） 3、非關聯(lián)性（FPR-UNL） 4、無觀察性（FPR-UNO）,銀行及相關金融服務信息

36、安全標準體系,87,FPT類：TOE安全功能的保護,1、根本的抽象機測試（FPT-AMT） 2、保護失?。‵PT-FLS） 3、TSF輸出數(shù)據(jù)的有效性（FPT-ITA） 4、TSF輸出數(shù)據(jù)的機密性（FPT-ITC） 5、輸出TSF數(shù)據(jù)的完整性（FPT-ITI） 6、TOE內TSF 數(shù)據(jù)交換（FPT-ITT） 7、TSF物理保護（FPT-PHP） 8、信任恢復（FPT-RCV） 9、重復檢測（FPT-RPL） 10、參考調解器（FPT-RVM） 11、域分離（FPT-SEP） 12、狀態(tài)同步協(xié)議（FPT-SSP） 13、時間標志（FPT-STM） 14、TSF內部的TSF數(shù)據(jù)的一致性（FPT-T

37、DC） 15、內部TOE TSF數(shù)據(jù)復制的一致性（FPT-TRC） 16、TSF自測試（FPT-TST）,銀行及相關金融服務信息安全標準體系,88,FRU類：資源利用,1、失效容限（FRU-FLT） 2、工作優(yōu)先級（FRU-PRS） 3、資源分配（FRU-RSA）,銀行及相關金融服務信息安全標準體系,89,FTA類：TOE訪問,1、可選屬性范圍限定（FTA-LSA） 2、多重并發(fā)會話限定（FTA-MCS） 3、會話鎖定（FTA-SSL） 4、TOE訪問方法（FTA-TAB） 5、TOE訪問歷史（FTA-TAH） 6、TOE會話建立（FTA-TSE）,銀行及相關金融服務信息安全標準體系,90,F

38、TP類：可信路徑/通道,1、TSF間可信信道（FTP-ITC） 2、可信路徑（FTP-TRP）,銀行及相關金融服務信息安全標準體系,91,安全功能要求應用, 用于構成PP中IT安全要求的TOE安 全功能要求, 用于構成ST中IT安全要求的TOE安 全功能要求,銀行及相關金融服務信息安全標準體系,92,安全功能要求-1,標識和鑒別,銀行及相關金融服務信息安全標準體系,93,安全功能要求-2,訪問控制,銀行及相關金融服務信息安全標準體系,94,安全功能要求-3,安全審計,銀行及相關金融服務信息安全標準體系,95,安全功能要求-4,完整性,銀行及相關金融服務信息安全標準體系,96,安全功能要求-5,

39、私密,銀行及相關金融服務信息安全標準體系,97,安全功能要求-6,適用性,銀行及相關金融服務信息安全標準體系,98,安全功能要求-7,數(shù)據(jù)交換,CC 第三部分,安全保證要求,銀行及相關金融服務信息安全標準體系,100,保證要求細分類,銀行及相關金融服務信息安全標準體系,101,評估 保 證級（EAL）,EAL1功能測試 EAL2結構測試 EAL3系統(tǒng)地測試和檢查 EAL4系統(tǒng)地設計、測試和復查 EAL5半形式化設計和測試 EAL6半形式化驗證的設計和測試 EAL7形式化驗證的設計和測試,銀行及相關金融服務信息安全標準體系,102,評估保證級別（EAL）,銀行及相關金融服務信息安全標準體系,10

40、3,EAL1功能測試,EAL1適用于安全的威脅并不嚴重的場合 TOE的功能與其文檔在形式上是一致的，并且對已標識的威脅提供了有效的保護。 利用功能和接口的規(guī)范以及指導性文檔，對安全功能進行分析，進行獨立性測試 保證組件： ACM_CAP.1 版本號 ADO_IGS.1 安裝、生成和啟動程序 ADV_FSP.1 非形式化功能規(guī)范 ADV_RCR.1非形式化對應性論證 AGD_ADM.1 管理員指南 AGD_USR.1用戶指南 ATE_IND.1 一致性,銀行及相關金融服務信息安全標準體系,104,安全保證級別1(EAL1),銀行及相關金融服務信息安全標準體系,105,EAL2結構測試,EAL2適

41、用于在缺乏現(xiàn)成可用的完整的開發(fā)記錄時，開發(fā)者或使用者需要一種低到中等級別的獨立保證的安全性。 增加： ACM_CAP.2 配置項 ADO_DEL.1 交付程序 ADV_HLD.1 描述性高層設計 * ATE_COV.1 范圍證據(jù) ATE_FUN.1 功能測試 ATE_IND.2 獨立性測試抽樣 AVA_SOF.1 TOE安全功能強度評估* AVA_VLA.1開發(fā)者脆弱性分析*,銀行及相關金融服務信息安全標準體系,106,安全保證級別2(EAL2),銀行及相關金融服務信息安全標準體系,107,EAL3系統(tǒng)地測試和檢查,EAL3適用于開發(fā)者或使用者需要一個中等級別的安全性，和不需要再次進行真正的工

42、程實踐的情況下，對TOE及其開發(fā)過程進行徹底檢查。 增加組件： ACM_CAP.3 授權控制 ACM_SCP.1 TOE 配置管理（CM）范圍 ADV_HLD.2 安全加強的高層設計* ALC_DVS.1 安全措施標識* ATE_COV.2 范圍分析 ATE_DPT.1 測試：高層設計 AVA_MSU.1 指南審查,銀行及相關金融服務信息安全標準體系,108,安全保證級別3(EAL3),銀行及相關金融服務信息安全標準體系,109,EAL4系統(tǒng)地設計、測試和復查,EAL4適用于：開發(fā)者或使用者對傳統(tǒng)的商品化的TOE需要一個中等到高等級別的安全性，并準備負擔額外的安全專用工程費用。 增加組件： A

43、CM_AUT.1 部分配置管理（CM）自動化 ACM_CAP.4 產(chǎn)生支持和接受程序 ACM_SCP.2 跟蹤配置管理（CM）范圍問題 ADO_DEL.2 修改檢測 ADV_FSP.2 完全定義的外部接口* ADV_IMP.1 TSF實現(xiàn)的子集* ADV_LLD.1 描述性低層設計* ALC_LCD.1 開發(fā)者定義的生命周期模型 ALC_TAT.1 明確定義的開發(fā)工具 AVA_MSU.2 分析確認 AVA_VLA.2 獨立脆弱性分析*(穿透性測試）,銀行及相關金融服務信息安全標準體系,110,安全保證級別4(EAL4),銀行及相關金融服務信息安全標準體系,111,EAL5半形式化設計和測試,T

44、OE安全策略的形式化模型，功能規(guī)范和高層設計的半形式化表示，及它們之間對應性的半形式化論證。還需模塊化的TOE設計。 這種分析也包括對開發(fā)者的隱蔽信道分析的確認 增加組件： ACM_SCP.3 開發(fā)工具配置管理（CM）范圍 ADV_FSP.3 半形式化功能規(guī)范* ADV_HLD.3 半形式化高層設計* ADV_IMP.2 TSF實現(xiàn) ADV_INT.1 模塊化* ADV_RCR.2半形式化對應性論證* ADV_SPM.3形式化TOE安全策略模型 ALC_LCD.2 標準化生命周期模型* ALC_TAT.2 遵從實現(xiàn)標準 ATE_DPT.2 測試：低層設計* AVA_CCA.1 隱蔽信道分析*

45、AVA_VLA.3 中級抵抗力,銀行及相關金融服務信息安全標準體系,112,安全保證級別5(EAL5),銀行及相關金融服務信息安全標準體系,113,EAL6半形式化驗證的設計和測試,低層設計的半形式化表示 結構化的開發(fā)流程 增加組件： ACM_AUT.2 完全配置管理（CM）自動化 ACM_CAP.5 高級支持 ADV_HLD.4 半形式化高層解釋 ADV_IMP.3 TSF的結構化實現(xiàn) ADV_INT.2 復雜性降低 ADV_LLD.2半形式化低層設計 ALC_DVS.2 安全措施的充分性 ALC_TAT.3 遵從實現(xiàn)標準所有部分 ATE_COV.3 范圍的嚴格分析 ATE_FUN.2 順序

46、的功能測試 AVA_CCA.2系統(tǒng)化隱蔽信道分析 AVA_MSU.3 對非安全狀態(tài)的分析和測試 AVA_VLA.4 高級抵抗力,銀行及相關金融服務信息安全標準體系,114,安全保證級別6(EAL6),銀行及相關金融服務信息安全標準體系,115,EAL7形式化驗證的設計和測試,EAL7的實際應用目前只局限于一些TOE，這些TOE非常關注能經(jīng)受廣泛地形式化分析的安全功能功能規(guī)范和高層設計的形式化表示 增加組件： ADO_DEL.3 修改預防 ADV_FSP.4 形式化功能規(guī)范 ADV_HLD.5 形式化高層設計 ADV_INT.3 復雜性最小化 ADV_RCR.3 形式化對應性論證 ALC_LCD

47、.3 可測量的生命周期模型 ATE_DPT.3 測試：實現(xiàn)表示 ATE_IND.3 獨立性測試全部,銀行及相關金融服務信息安全標準體系,116,安全保證級別7(EAL7),銀行及相關金融服務信息安全標準體系,117,評估保證級（EAL）,銀行及相關金融服務信息安全標準體系,118,形式化,有三種類型的規(guī)范風格：非形式化、半形式化和形式化。功能規(guī)范、高層設計、低層設計和TSP模型都將使用以上一種或多種規(guī)范風格來書寫。 非形式化規(guī)范就是象散文一樣用自然語言來書寫。 半形式化規(guī)范就是用一種受限制的句法語言來書寫，并且通常伴隨著支持性的解釋(非形式化)語句。這里的受限制句法語言可以是一種帶有受限制句子

48、結構和具有特殊意義的關鍵字的自然語言，也可以是圖表式的(如數(shù)據(jù)流圖、狀態(tài)轉換圖、實體關系圖、數(shù)據(jù)結構圖、流程或程序結構圖)。 形式化規(guī)范就是用一套基于明確定義的數(shù)學概念的符號來書寫，并且通常伴隨著支持性的解釋(非形式化)語句。,銀行及相關金融服務信息安全標準體系,119,評測級別對應,銀行及相關金融服務信息安全標準體系,120,保證,功能,EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7,E0 E1 E2 E3 E4 E5 E6,D級,C1級,C2級,B1級,B2級,B3級,A1級,F-C1級,F-C2級,F-B1級,F-B2級,F-B3級,HP-UNIX(VV),Win

49、nt 3.5,Win nt 4.0 Win 2000,銀行及相關金融服務信息安全標準體系,121,各部分關系,銀行及相關金融服務信息安全標準體系,122,4. PP/ST產(chǎn)生指南,銀行及相關金融服務信息安全標準體系,123,為既定的一系列安全對象提出功能和保證要求的完備集合 可復用集合 - 對各種應用的抽象 希望和要求的陳述,PP定義,銀行及相關金融服務信息安全標準體系,124,什么是PP？,用戶要求陳述 用戶希望達到什么程度 主要針對: 業(yè)務/商業(yè)擁有者 對用戶、開發(fā)者、評估者和審計者都有用 系統(tǒng)設計文檔 將幾級要求細化成特定的需求 一致性 需求符合用戶的要求,銀行及相關金融服務信息安全標準

50、體系,125,誰用PP？,PP是用戶要求的根本陳述 理想的“使用”團體應當擁有PP并 驅動PP的開發(fā) 從開發(fā)者、評估者、審計者和校準者那里得到輸入 用戶理解任務/商業(yè)并能陳述 希望怎樣的評估對象（TOE） 不希望怎樣的TOE 其他 賣主難于陳述產(chǎn)品不做什么 安全技術專家常常不能完全理解用戶要求,銀行及相關金融服務信息安全標準體系,126,PP要點,銀行及相關金融服務信息安全標準體系,127,范圍：PP的適用范圍 引用標準：與TOE實現(xiàn)相關的其他信息技術標準 術語定義和記法約定：一些便于理解PP的術語和PP中相關記法的約定 TOE描述：TOE的一般信息 TOE類型 一般TOE功能 TOE界限 T

51、OE操作環(huán)境 有關TOE的主要假設,PP要點（續(xù)）,銀行及相關金融服務信息安全標準體系,128,TOE安全環(huán)境：定義TOE “安全需求”的特征和范圍,假設：如果環(huán)境滿足該假定，TOE被認為是安全的,威脅：包括TOE及其環(huán)境需要保護的特定資產(chǎn)所面臨的與TOE安全操作相關的威脅,組織安全策略：TOE必須遵守的任何組織安全策略和規(guī)則,PP要點（續(xù)）,銀行及相關金融服務信息安全標準體系,129,有關環(huán)境的假設,對資產(chǎn)的威脅,組織安全策略,安全需求,定義,TOE安全環(huán)境,銀行及相關金融服務信息安全標準體系,130,環(huán)境安全目的,TOE安全目的,安全目的：意在對抗確定的威脅，滿足確定的組織安全策略和假定的

52、陳述,PP要點（續(xù)）,在確定安全目的時，需要確保每個已知的威脅，至少有一個安全目的對抗；每個已知的組織安全策略，至少有一個安全目的來滿足。 在對抗威脅方面主要有預防、檢測和糾正三種目的。,銀行及相關金融服務信息安全標準體系,131,威脅,組織安全策略,假設,安全需求,TOE,IT環(huán)境,非IT安全要求,TOE 目的,環(huán)境目的,安全目的,IT安全要求,安全目的,橋梁作用,銀行及相關金融服務信息安全標準體系,132,IT安全要求,TOE安全要求,IT環(huán)境安全要求,TOE安全功能要求,TOE安全保證要求,PP要點（續(xù)）,銀行及相關金融服務信息安全標準體系,133,安全功能要求,安全保證要求,IT環(huán)境安

53、全要求,TOE 安全目的,IT環(huán)境安全目的,ISO/IEC 15408 第二部分,ISO/IEC 15408 第三部分,IT安全要求,賦值、反復、選擇和細化,銀行及相關金融服務信息安全標準體系,134,PP要點（續(xù)）,PP應用注解：對開發(fā)、評估或使用TOE是相關的或有用的一些附加信息 基本原理：對PP進行評估的依據(jù)，證明PP是一個完整的、緊密結合的要求集合，滿足該PP的TOE將在安全環(huán)境內提供一組有效的IT安全對策 安全目的基本原理 安全要求基本原理,銀行及相關金融服務信息安全標準體系,135,威脅,組織安全策略,假設,安全需求,IT安全要求,TOE 目的,環(huán)境的目的,安全目的,相互支持,支持

54、,恰好滿足,恰好滿足,功能強度聲明,一致,基本原理,銀行及相關金融服務信息安全標準體系,136,威脅舉例,T.REPLAY 重放,當截獲了有效用戶的識別和鑒別數(shù)據(jù)后，未授權用戶可能在將來使用這些鑒別數(shù)據(jù)，以訪問TOE提供的功能。,銀行及相關金融服務信息安全標準體系,137,安全目的舉例,O.SINUSE 單用途,TOE必須防止用戶重復使用鑒別數(shù)據(jù)，嘗試通過互連網(wǎng)絡在TOE上進行鑒別。,O.SECFUN 安全功能,TOE必須提供一種功能使授權管理員能夠使用TOE的安全功能，并且確保只有授權管理員才能訪問該功能。,銀行及相關金融服務信息安全標準體系,138,O.SINUSE,FIA_ATD.1 用

55、戶屬性定義：允許為每個用戶單獨保存其用戶安全屬性。 FIA_UAU.1 鑒別定時：允許用戶在身份被鑒別前，實施一定的動作。 FIA_UAU.4 單用戶鑒別機制：需要操作單用戶鑒別數(shù)據(jù)的鑒別機制。 FMT_MSA.3 靜態(tài)屬性初始化：確保安全屬性的默認值是允許的或限制某行為的。,TOE安全功能要求舉例,銀行及相關金融服務信息安全標準體系,139,TOE安全功能要求舉例,FMT_MOF.1 安全功能行為的管理：允許授權用戶管理TSF中使用規(guī)則或有可管理的指定條件的功能行為。 FAU_STG.1 受保護的審計蹤跡存儲：放在審計蹤跡中的數(shù)據(jù)將受到保護，以避免未授權的刪除或修改。 FAU_STG.4 防

56、止審計數(shù)據(jù)丟失：規(guī)定當審計蹤跡溢滿時的行動。,O.SECFUN,銀行及相關金融服務信息安全標準體系,140,PP示例,CAPP代替TCSEC的C2級要求 LSPP代替TCSEC的B1級要求 “包過濾防火墻安全技術要求”（GB 18019-99） “應用級防火墻安全技術要求”（GB18020-99） “路由器安全技術要求”（GB18018-99） “電信智能卡安全技術要求” “網(wǎng)上證券委托系統(tǒng)安全技術要求”,銀行及相關金融服務信息安全標準體系,141,國家信息化,領域信息化 區(qū)域信息化 社區(qū)信息化 企業(yè)信息化 家庭信息化,國家信息安全保障體系,安全需求,基于安全利益的威脅和風險分析 利益分類分級

57、及其網(wǎng)絡化映射 威脅分類分級 風險分析與評估方式方法,國家以國家意志和國家行為的方式，在技術、管理和人員方面所形成的用于保護其安全利益的資源和能力，這種資源和能力體現(xiàn)為特定形態(tài)和過程的技術結構、社會結構和人才結構。,技術,管理,人員,基礎性技術,專用產(chǎn)品,基礎設施,結構化規(guī)則,政府管理,用戶管理,服務商管理,司法行政人員,用戶管理人員,研發(fā)服務人員,教學研究人員,標準化管理,政策法規(guī),資質,能力,基礎理論,技術標準,應急救援,防護類產(chǎn)品,管理類產(chǎn)品,核心技術,平臺技術,教育基礎研究,教育培訓,要點：安全利益和風險分析評估、基礎性技術、專用產(chǎn)品、基礎設施、結構化規(guī)則、政府管理、服務商管理、用戶管

58、理、教育基礎研究、教育培訓,銀行及相關金融服務信息安全標準體系,142,電子政務信息系統(tǒng)安全標準,銀行及相關金融服務信息安全標準體系,143,IATF,銀行及相關金融服務信息安全標準體系,144,縱深防御戰(zhàn)略的內涵：,保衛(wèi)網(wǎng)絡和基礎設施 保衛(wèi)邊界 保衛(wèi)計算環(huán)境 為基礎設施提供支持,銀行及相關金融服務信息安全標準體系,145,保衛(wèi)邊界：,一個區(qū)域邊界之內通常包含多個局域網(wǎng)以及各種計算資源組件，比如用戶平臺、網(wǎng)絡、應用程序、通信服務器、交換機等。邊界環(huán)境是比較復雜的，比如它可以包含很多物理上分離的系統(tǒng)。 絕大多數(shù)邊界環(huán)境都擁有通向其它網(wǎng)絡的外部連接。它與所連接的網(wǎng)絡可以在密級等方面有所不同。 對流

59、入、流出邊界的數(shù)據(jù)流進行有效的控制和監(jiān)督。 有效地控制措施包括防火墻、門衛(wèi)系統(tǒng)、VPN、標識和鑒別/訪問控制等。 有效的監(jiān)督措施包括基于網(wǎng)絡的如今檢測系統(tǒng)（IDS）、脆弱性掃描器、局域網(wǎng)上的病毒檢測器等。 這些機制可以單獨使用，也可以結合使用，從而對邊界內的各類系統(tǒng)提供保護。,銀行及相關金融服務信息安全標準體系,146,保衛(wèi)網(wǎng)絡和基礎設施：,*主干網(wǎng)的可用性 討論了數(shù)據(jù)通信網(wǎng)絡以及對網(wǎng)絡管理的保護 *無線網(wǎng)絡安全框架 討論了手機、呼機、衛(wèi)星系統(tǒng)和無線局域網(wǎng)的安全問題 *系統(tǒng)互聯(lián)和虛擬專用網(wǎng) 討論了在主干網(wǎng)上同樣敏感度級別的系統(tǒng)之間安全五連的問題 *保衛(wèi)網(wǎng)絡和基礎設施的總的IA戰(zhàn)略是： 使用經(jīng)過