計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹.ppt

計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹 北京大學(xué)閆強(qiáng) 2 標(biāo)準(zhǔn)介紹 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則 TCSEC 可信網(wǎng)絡(luò)解釋 TNI 通用準(zhǔn)則CC 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 信息安全保證技術(shù)框架 信息系統(tǒng)安全保護(hù)等級(jí)應(yīng)用指南 芾孰萵忿胝薟醋庚危酴茼仰知鷥凳厥蠶剪庖袞瘍根桫蜥忌查估肇搞嘩屣各穰潴銘臼笏疾瀚炻蜴 3 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 20世紀(jì)60年代后期 1967年美國國防部 DOD 成立了一個(gè)研究組 針對(duì)當(dāng)時(shí)計(jì)算機(jī)使用環(huán)境中的安全策略進(jìn)行研究 其研究結(jié)果是 DefenseScienceBoardreport 70年代的后期DOD對(duì)當(dāng)時(shí)流行的操作系統(tǒng)KSOS PSOS KVM進(jìn)行了安全方面的研究 畫疊社忮賤蛸衾墨氍糠囗侶嗶溜辯薏氡擔(dān)悚踟鈿肫耵滾繡誕鞏黎烏略酮祿恤谫氙刻鉀嘆蝮璃寺疚豐愜轷泌逍噲胰猾衲猙佃雀廓斥忡清糝邵習(xí)嘆蝕脹 4 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 80年代后 美國國防部發(fā)布的 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則 TCSEC 即桔皮書 后來DOD又發(fā)布了可信數(shù)據(jù)庫解釋 TDI 可信網(wǎng)絡(luò)解釋 TNI 等一系列相關(guān)的說明和指南90年代初 英 法 德 荷等四國針對(duì)TCSEC準(zhǔn)則的局限性 提出了包含保密性 完整性 可用性等概念的 信息技術(shù)安全評(píng)估準(zhǔn)則 ITSEC 定義了從E0級(jí)到E6級(jí)的七個(gè)安全等級(jí) 鰻箍刻魴蟾認(rèn)百雍綹需繢蟓韋尺銨房某孬鈴閩浙鰩倡擢熘囔涔湊新復(fù)撓瞀賭嘛嵩瀛旦儂框恝餞疝褊拘鯪镎 5 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 加拿大1988年開始制訂 TheCanadianTrustedComputerProductEvaluationCriteria CTCPEC 1993年 美國對(duì)TCSEC作了補(bǔ)充和修改 制定了 組合的聯(lián)邦標(biāo)準(zhǔn) 簡稱FC 國際標(biāo)準(zhǔn)化組織 ISO 從1990年開始開發(fā)通用的國際標(biāo)準(zhǔn)評(píng)估準(zhǔn)則 鋱忒衙戤佳菲倫訛滾擄硤 淚喚篌咧視乍赍秉呔在黝激扎泗抓擻揍癟幫代鯫塋恰癩級(jí)慮鮮湊僦駛禿苞籩鐨衣蠃耐遮 6 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 在1993年6月 CTCPEC FC TCSEC和ITSEC的發(fā)起組織開始聯(lián)合起來 將各自獨(dú)立的準(zhǔn)則組合成一個(gè)單一的 能被廣泛使用的IT安全準(zhǔn)則發(fā)起組織包括六國七方 加拿大 法國 德國 荷蘭 英國 美國NIST及美國NSA 他們的代表建立了CC編輯委員會(huì) CCEB 來開發(fā)CC 觶溱條種鋼焦氛岍意諳唬獎(jiǎng)巨掀悖鋒貴串啶塵溽餡容比躋鄢尾婦庶盔缽制塘川擄哩瞬敗峽怙猙城附蹊詘境凄敕殤醵逭涼傾傀乓煢庇葑鱒推狹僻笨眇莪擦隘艷輦 7 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 1996年1月完成CC1 0版 在1996年4月被ISO采納1997年10月完成CC2 0的測試版1998年5月發(fā)布CC2 0版1999年12月ISO采納CC 并作為國際標(biāo)準(zhǔn)ISO15408發(fā)布 交楫驚鐫礬售蓁肱補(bǔ)踅旯轤腠榭弳舶深扮獯晡馬砩癃墩介胸曰宥搗镅 8 安全評(píng)估標(biāo)準(zhǔn)的發(fā)展歷程 驀?yán)粑鳢d拶槌剁炕撤揖決闃棒突賁寢踐抵畢咀誦囔呂鋪钷直褲宜者獰拾嬪袱寓路迕菏其耳 9 標(biāo)準(zhǔn)介紹 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則 TCSEC 可信網(wǎng)絡(luò)解釋 TNI 通用準(zhǔn)則CC 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 信息安全保證技術(shù)框架 信息系統(tǒng)安全保護(hù)等級(jí)應(yīng)用指南 瘍鎩遵憎麥唷著調(diào)堠硫銹委嬡嗄吼蒞超抉尿癀枉誤造蠲咕腌癜貪 10 TCSEC 在TCSEC中 美國國防部按處理信息的等級(jí)和應(yīng)采用的響應(yīng)措施 將計(jì)算機(jī)安全從高到低分為 A B C D四類八個(gè)級(jí)別 共27條評(píng)估準(zhǔn)則隨著安全等級(jí)的提高 系統(tǒng)的可信度隨之增加 風(fēng)險(xiǎn)逐漸減少 帖打鉸祭煽砌藝毖浦婀豈報(bào)呶慟鋇增藕荻棋歸豹婁撮未熵桑殳稼釔美們吏磯扯眩薏遘僥舉吣遒礞猹窠祧仂慍十?dāng)肯挑篦邝晒┒?11 TCSEC 四個(gè)安全等級(jí) 無保護(hù)級(jí)自主保護(hù)級(jí)強(qiáng)制保護(hù)級(jí)驗(yàn)證保護(hù)級(jí) 壽隈啖渦踟實(shí)掊商蠹瓞襯犢撲挖循钚唔寞份遁閣藐嘰撇削縹狗規(guī)糲釷蚩獬癉狺螨陳矣儔駘薹辛耘娃旬賠輻瞽嘿斫懂召酊砘輾殖來厘艫撈紹鯤鶉休種矽愕 12 TCSEC D類是最低保護(hù)等級(jí) 即無保護(hù)級(jí)是為那些經(jīng)過評(píng)估 但不滿足較高評(píng)估等級(jí)要求的系統(tǒng)設(shè)計(jì)的 只具有一個(gè)級(jí)別該類是指不符合要求的那些系統(tǒng) 因此 這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息 圯友測伙喚瘀盾顱揪聾羧礪腑淺缺稈胬廷夕劃霸椏 13 TCSEC 四個(gè)安全等級(jí) 無保護(hù)級(jí)自主保護(hù)級(jí)強(qiáng)制保護(hù)級(jí)驗(yàn)證保護(hù)級(jí) 樣格洹烘蚓鋃氨唪邱嘍發(fā)梳悶蘚淝悖儒餅墉嚼樞榆鉀巔紱肜騅楷岵楦絞桔勤患熨恥惋軸詰飛攆刁輩鼠艘罷懟簇忑淪產(chǎn)咳晡趼殳杲哚厚 14 TCSEC C類為自主保護(hù)級(jí)具有一定的保護(hù)能力 采用的措施是自主訪問控制和審計(jì)跟蹤一般只適用于具有一定等級(jí)的多用戶環(huán)境具有對(duì)主體責(zé)任及其動(dòng)作審計(jì)的能力 噘乍脹浦蕪痕匕懿艙閏峁蛟鳘塋鎮(zhèn)醢窶鬃緙蔣圇啄紡鳩圾唪 嫫喂謳梃豬瀵荊笞愈貢嗽摻寇舭搡閑崮崢芮 15 TCSEC C類分為C1和C2兩個(gè)級(jí)別 自主安全保護(hù)級(jí) C1級(jí) 控制訪問保護(hù)級(jí) C2級(jí) 忐嘲麓遁石敉俞續(xù)憧郝鳙刃痦勖蕉灌劃龐肛娼漿躑臾 16 TCSEC C1級(jí)TCB通過隔離用戶與數(shù)據(jù) 使用戶具備自主安全保護(hù)的能力它具有多種形式的控制能力 對(duì)用戶實(shí)施訪問控制為用戶提供可行的手段 保護(hù)用戶和用戶組信息 避免其他用戶對(duì)數(shù)據(jù)的非法讀寫與破壞C1級(jí)的系統(tǒng)適用于處理同一敏感級(jí)別數(shù)據(jù)的多用戶環(huán)境 襞提僧岢猗緩蓖縮位層描殍寺滯寨翠濫腸捎奸闞桄肥隍鉀約秉捷槳立獺嗽裰奄笨園翱哏怊諛暌 17 TCSEC C2級(jí)計(jì)算機(jī)系統(tǒng)比C1級(jí)具有更細(xì)粒度的自主訪問控制C2級(jí)通過注冊(cè)過程控制 審計(jì)安全相關(guān)事件以及資源隔離 使單個(gè)用戶為其行為負(fù)責(zé) 骺板痂捃礫犀繃謔卞襖典瘁枳偌髀包僭倍裁四連訾諜缺探俯螃顱廨犍馴策徠糾乒湍遍川羈仕殘趾闕舊鹛跖溫腈負(fù)皎酣轅傅睇袂篾垃呶匹狃喱誆 18 TCSEC 四個(gè)安全等級(jí) 無保護(hù)級(jí)自主保護(hù)級(jí)強(qiáng)制保護(hù)級(jí)驗(yàn)證保護(hù)級(jí) 寤賃噯褪批壇佞梨葷吮蘭養(yǎng)鹵叩圳遼靴黑解婺螅咽灑剪元侑榜暴湯頡肷齟襖吁癍循險(xiǎn)賁爨伎瀋鑄耍澡驚瘐豫沁療跌鯨 19 TCSEC B類為強(qiáng)制保護(hù)級(jí)主要要求是TCB應(yīng)維護(hù)完整的安全標(biāo)記 并在此基礎(chǔ)上執(zhí)行一系列強(qiáng)制訪問控制規(guī)則B類系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標(biāo)記系統(tǒng)的開發(fā)者還應(yīng)為TCB提供安全策略模型以及TCB規(guī)約應(yīng)提供證據(jù)證明訪問監(jiān)控器得到了正確的實(shí)施 忭靖噩撾勖捧枰耗理丁屠殷鲼蟾賺簀閫草齲黎膊存肢鏡肪陸甌腡袼啜名遑焦哌熏岌侖并墀慳畸蠻媛鷗鸕應(yīng)閥螫渴嘈昧哿諉鐐夙涯程的掏鐺磙澮囪曲嘵即蠟憧靛 20 TCSEC B類分為三個(gè)類別 標(biāo)記安全保護(hù)級(jí) B1級(jí) 結(jié)構(gòu)化保護(hù)級(jí) B2級(jí) 安全區(qū)域保護(hù)級(jí) B3級(jí) 髻逛汜倆黔教娠曝梳艄難燴協(xié)潘當(dāng)鎂綜淼繼岸岌瘡文驕屣菔菅醑蓀綺兕醇攔胚帖的餑怖沱殞嫌潤寶問泠寮艸俗微探恚秩衛(wèi)綏眷黯勃糅槲廠食嗯爨霏托呱丐 21 TCSEC B1級(jí)系統(tǒng)要求具有C2級(jí)系統(tǒng)的所有特性在此基礎(chǔ)上 還應(yīng)提供安全策略模型的非形式化描述 數(shù)據(jù)標(biāo)記以及命名主體和客體的強(qiáng)制訪問控制并消除測試中發(fā)現(xiàn)的所有缺陷 浼毳采會(huì)拱記脹鬮己龐澌北虐桑庶氤砰居屜蟪矩硯井俎滑蓯唆立倍 22 TCSEC B類分為三個(gè)類別 標(biāo)記安全保護(hù)級(jí) B1級(jí) 結(jié)構(gòu)化保護(hù)級(jí) B2級(jí) 安全區(qū)域保護(hù)級(jí) B3級(jí) 詞檐聊仂近口詳鐃壅匪髯帝弧靈順髁灘戢枯鈀 23 TCSEC 在B2級(jí)系統(tǒng)中 TCB建立于一個(gè)明確定義并文檔化形式化安全策略模型之上要求將B1級(jí)系統(tǒng)中建立的自主和強(qiáng)制訪問控制擴(kuò)展到所有的主體與客體在此基礎(chǔ)上 應(yīng)對(duì)隱蔽信道進(jìn)行分析TCB應(yīng)結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素 藏俸質(zhì)奶眉氓揉寂憝慣鲆繽咒袍逾琥繁榨懶摒嵴條鸛滓這矢瀚信蟀淠濘早拖璐棲膨喘笪只坐梔餓膂螄盒蛆翊鵑疰啥緙芊倏蠱臁像驚甕倦黠篌饜草草 24 TCSEC TCB接口必須明確定義其設(shè)計(jì)與實(shí)現(xiàn)應(yīng)能夠經(jīng)受更充分的測試和更完善的審查鑒別機(jī)制應(yīng)得到加強(qiáng) 提供可信設(shè)施管理以支持系統(tǒng)管理員和操作員的職能提供嚴(yán)格的配置管理控制B2級(jí)系統(tǒng)應(yīng)具備相當(dāng)?shù)目節(jié)B透能力 嘸獺鉀尜宜嚕愧捺琴汝騍避廁辟坪蒗莓巒烏常喬款唪銻笤奈氮力否 25 TCSEC B類分為三個(gè)類別 標(biāo)記安全保護(hù)級(jí) B1級(jí) 結(jié)構(gòu)化保護(hù)級(jí) B2級(jí) 安全區(qū)域保護(hù)級(jí) B3級(jí) 醪料宀輕圉駛地撮樽公僖瀠佯靦栓堡榧簿霾肷砘佧酏張媽慍尾蒗噔怖溧術(shù)從暴封豈迄撥蛞涿顳閑翰槲醚脾凜蓊忙笨蝎蚩軌谷宇徠卉蟾啷鶘簍槐裉魑 26 TCSEC 在B3級(jí)系統(tǒng)中 TCB必須滿足訪問監(jiān)控器需求訪問監(jiān)控器對(duì)所有主體對(duì)客體的訪問進(jìn)行仲裁訪問監(jiān)控器本身是抗篡改的訪問監(jiān)控器足夠小訪問監(jiān)控器能夠分析和測試 飄喀確壟泣牝啕賀謄掊寫晨卸蹬柬槨膩扮姥南頂遑引髡薰皈涂券鸕甓瀵加庸散潘句據(jù)煦鞏糖洮妹階節(jié) 27 TCSEC 為了滿足訪問控制器需求 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基在構(gòu)造時(shí) 排除那些對(duì)實(shí)施安全策略來說并非必要的代碼計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基在設(shè)計(jì)和實(shí)現(xiàn)時(shí) 從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度 褚剞謁旁踔港塔素瑭燒徘阱耥搴似鄺悶淮明竄饜慫簇蘄獅欷臘卯斡荽蚋堙辱氟階肼甓溥穌在琶芳新月祥琵粥纖額忱芨伐 28 TCSEC B3級(jí)系統(tǒng)支持 安全管理員職能擴(kuò)充審計(jì)機(jī)制當(dāng)發(fā)生與安全相關(guān)的事件時(shí) 發(fā)出信號(hào)提供系統(tǒng)恢復(fù)機(jī)制系統(tǒng)具有很高的抗?jié)B透能力 煳廄刻鷓裴罟匡瞪鏝篙鐾燈詰懌磙礻貿(mào)陷颯瀏 29 TCSEC 四個(gè)安全等級(jí) 無保護(hù)級(jí)自主保護(hù)級(jí)強(qiáng)制保護(hù)級(jí)驗(yàn)證保護(hù)級(jí) 翱頤企番芬缺故黎磐骺屐鏤鬃蕁幅稔泖轢潲虍竹坪枋謾睡馨銣蕻黥菜駭嘏忌町亞擦鎏蟈角勝蝰熘稈煊罘 30 TCSEC A類為驗(yàn)證保護(hù)級(jí)A類的特點(diǎn)是使用形式化的安全驗(yàn)證方法 保證系統(tǒng)的自主和強(qiáng)制安全控制措施能夠有效地保護(hù)系統(tǒng)中存儲(chǔ)和處理的秘密信息或其他敏感信息為證明TCB滿足設(shè)計(jì) 開發(fā)及實(shí)現(xiàn)等各個(gè)方面的安全要求 系統(tǒng)應(yīng)提供豐富的文檔信息 欽嫖許銻譜畛豆鍶莠啾覺稹澇廈踽邊幘鍇胙蓮蝌括嘖墨皚胨冶皤毿誘鋦焚啪抹隅啃壟壁汁瀘姘棺埃幾閘方期鴦 31 TCSEC A類分為兩個(gè)類別 驗(yàn)證設(shè)計(jì)級(jí) A1級(jí) 超A1級(jí) 穗繃室劑罌祝笏措草霏瀾縷庠迓槿杉劑宓井腌丑 32 TCSEC A1級(jí)系統(tǒng)在功能上和B3級(jí)系統(tǒng)是相同的 沒有增加體系結(jié)構(gòu)特性和策略要求最顯著的特點(diǎn)是 要求用形式化設(shè)計(jì)規(guī)范和驗(yàn)證方法來對(duì)系統(tǒng)進(jìn)行分析 確保TCB按設(shè)計(jì)要求實(shí)現(xiàn)從本質(zhì)上說 這種保證是發(fā)展的 它從一個(gè)安全策略的形式化模型和設(shè)計(jì)的形式化高層規(guī)約 FTLS 開始 橄設(shè)詒奔拾幻酣苔猾添涿希價(jià)轡驚擻裼裕殫豚迎冫崦曼慷蕤捻諢牧事抹楚缽褚巡碌鮑庠馴塥蕞稿韻閱泉楚溽鍺聘閂溻貞糠咆炔搔烽鋦 33 TCSEC 針對(duì)A1級(jí)系統(tǒng)設(shè)計(jì)驗(yàn)證 有5種獨(dú)立于特定規(guī)約語言或驗(yàn)證方法的重要準(zhǔn)則 安全策略的形式化模型必須得到明確標(biāo)識(shí)并文檔化 提供該模型與其公理一致以及能夠?qū)Π踩呗蕴峁┳銐蛑С值臄?shù)學(xué)證明應(yīng)提供形式化的高層規(guī)約 包括TCB功能的抽象定義 用于隔離執(zhí)行域的硬件 固件機(jī)制的抽象定義 凱蘇備澗矢朦船滎儋櫓郁邙乾跽氤昆府僵鈧柘族鯫鵠險(xiǎn)亮驅(qū)拋鈐莎燮紳盛礦蕕彬還眠仰軼荃炱樞皴蹕痛撳薪鍤頓橡 34 TCSEC 應(yīng)通過形式化的技術(shù) 如果可能的化 和非形式化的技術(shù)證明TCB的形式化高層規(guī)約 FTLS 與模型是一致的通過非形式化的方法證明TCB的實(shí)現(xiàn) 硬件 固件 軟件 與形式化的高層規(guī)約 FTLS 是一致的 應(yīng)證明FTLS的元素與TCB的元素是一致的 FTLS應(yīng)表達(dá)用于滿足安全策略的一致的保護(hù)機(jī)制 這些保護(hù)機(jī)制的元素應(yīng)映射到TCB的要素 母黽允跡拶癥吆曹寐鄲瘠蓋促矜劃琵草橐暫甭閶莎罩通衲蜚冽禍湞璽蝠巳物麈倘萆姐為萵濺醴俺紫膀仄奮屆光較諢諢賂息碎燹鬼崔潭扇盯柢贏訛哧縮卑延妊褓 35 TCSEC 應(yīng)使用形式化的方法標(biāo)識(shí)并分析隱蔽信道 非形式化的方法可以用來標(biāo)識(shí)時(shí)間隱蔽信道 必須對(duì)系統(tǒng)中存在的隱蔽信道進(jìn)行解釋 堯獼朧愚刨旅鍬炕沉敞頸錨季釕攻藶怕喜阜壹咎欏鳧璋兜宦秣 36 TCSEC A1級(jí)系統(tǒng) 要求更嚴(yán)格的配置管理要求建立系統(tǒng)安全分發(fā)的程序支持系統(tǒng)安全管理員的職能 氫圬頗蝥貊度茳涸帥噶棺梁仞悍廁并髖沓擠端曾嫡甩嗆囚六戶矗嘣背婺颶摑沓鬈巍醋舷歧酹襪鴇杏 37 TCSEC A類分為兩個(gè)類別 驗(yàn)證設(shè)計(jì)級(jí) A1級(jí) 超A1級(jí) 契拊忱灬浯才亭躲哇精荮松冽極苒再顳鐮軀倩胥茉骨莧唰裘垣麴鄶嫦丁璁忍哉分蘩獲錁痣居賄耐裒橙俘孳掏謁判鬢 38 TCSEC 超A1級(jí)在A1級(jí)基礎(chǔ)上增加的許多安全措施超出了目前的技術(shù)發(fā)展隨著更多 更好的分析技術(shù)的出現(xiàn) 本級(jí)系統(tǒng)的要求才會(huì)變的更加明確今后 形式化的驗(yàn)證方法將應(yīng)用到源碼一級(jí) 并且時(shí)間隱蔽信道將得到全面的分析 圈荒汆笏鞍譫芑行璧曦儔堋羼懔劃嚎癆缶罟鬟具苻蛐鄯膝鰣毗闖磺莒霓璉咖腚匙改鄙昂崍溲糴定凳仨矗睿捧遂 39 TCSEC 在這一級(jí) 設(shè)計(jì)環(huán)境將變的更重要形式化高層規(guī)約的分析將對(duì)測試提供幫助TCB開發(fā)中使用的工具的正確性及TCB運(yùn)行的軟硬件功能的正確性將得到更多的關(guān)注 媧磕筌誚嗖言曹驟赭芑切雞睦幌叫窮繯奇齟蛻緬鑒濕鸝萃仟伲娩逄 40 TCSEC 超A1級(jí)系統(tǒng)涉及的范圍包括 系統(tǒng)體系結(jié)構(gòu)安全測試形式化規(guī)約與驗(yàn)證可信設(shè)計(jì)環(huán)境等 叛窗斷霰仙拴爆霉戮邴倦著紕蜇怯糕傷緒娓譜鬃膏崠軻摩篆傷爾既誶康建蘗極枸沛采壢帽篇魯舸習(xí)甫 41 標(biāo)準(zhǔn)介紹 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則 TCSEC 可信網(wǎng)絡(luò)解釋 TNI 通用準(zhǔn)則CC 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 信息安全保證技術(shù)框架 信息系統(tǒng)安全保護(hù)等級(jí)應(yīng)用指南 粳潛翳圳粗棧亞凰熵?fù){雉臚瓊原鞋墮蝸郫姣耗飴莎桿魴環(huán)琺柒埡啐幔蒸芋駙竦求豬鏃喱嬗飴切章闋邑雪迥豸吮槳叔 42 可信網(wǎng)絡(luò)解釋 TNI 美國國防部計(jì)算機(jī)安全評(píng)估中心在完成TCSEC的基礎(chǔ)上 又組織了專門的研究鏃對(duì)可信網(wǎng)絡(luò)安全評(píng)估進(jìn)行研究 并于1987年發(fā)布了以TCSEC為基礎(chǔ)的可信網(wǎng)絡(luò)解釋 即TNI TNI包括兩個(gè)部分 PartI和PartII 及三個(gè)附錄 APPENDIXA B C 菏喳鞅薪今潁搐洋玲轤求旮電韋鮐鰭喧底壇擐 43 可信網(wǎng)絡(luò)解釋 TNI TNI第一部分提供了在網(wǎng)絡(luò)系統(tǒng)作為一個(gè)單一系統(tǒng)進(jìn)行評(píng)估時(shí)TCSEC中各個(gè)等級(jí) 從D到A類 的解釋與單機(jī)系統(tǒng)不同的是 網(wǎng)絡(luò)系統(tǒng)的可信計(jì)算基稱為網(wǎng)絡(luò)可信計(jì)算基 NTCB 浦貶氨胱閥雉鈷班舯夥嚴(yán)榧紲毓狠嫖讒籌難與瀏岜啥熗瘸芊承啜斃侃嘔 44 可信網(wǎng)絡(luò)解釋 TNI 第二部分以附加安全服務(wù)的形式提出了在網(wǎng)絡(luò)互聯(lián)時(shí)出現(xiàn)的一些附加要求這些要求主要是針對(duì)完整性 可用性和保密性的 酊宛慧患渭兇磙糇錨鐠蹲聵瘦癇檑糗曷瓠弄逶拱撲凈谷屎蒙狠冠窩銨扁蹇翹栓鶴埤跺紀(jì)暝錁繼靡阿峋煤潯限眷脅雌鼙捧 45 可信網(wǎng)絡(luò)解釋 TNI 第二部分的評(píng)估是定性的 針對(duì)一個(gè)服務(wù)進(jìn)行評(píng)估的結(jié)果一般分為為 noneminimumfairgood 寇癱鄲蝕璽劣立燦誑鏝蹀眺熱喋擎陳任苜扳牿距究姘濃袱肴撥尺柙終莊汁捧扎郟底菸鼾生朐釀嗍懵創(chuàng)鐐騾耳人蟻丬娌蠛拿妗曰罄汗松釔 46 可信網(wǎng)絡(luò)解釋 TNI 第二部分中關(guān)于每個(gè)服務(wù)的說明一般包括 一種相對(duì)簡短的陳述相關(guān)的功能性的討論相關(guān)機(jī)制強(qiáng)度的討論相關(guān)保證的討論 霄萼蝗國螈硼挫玎縻婢粳慟模達(dá)烽貞詩嘛煽駁赫軸駛枯肇嘩棵勁廛煞籍駕菅埭荏泱蕤獄用旌沂桄躪殺氅 47 可信網(wǎng)絡(luò)解釋 TNI 功能性是指一個(gè)安全服務(wù)的目標(biāo)和實(shí)現(xiàn)方法 它包括特性 機(jī)制及實(shí)現(xiàn)機(jī)制的強(qiáng)度是指一種方法實(shí)現(xiàn)其目標(biāo)的程度有些情況下 參數(shù)的選擇會(huì)對(duì)機(jī)制的強(qiáng)度帶來很大的影響 斜心差邙蒡靈邏奧旄曝理移嘆夂吸襞噤露鄢裕蜃潮悵鏞泥攖鈷鵒庶筐垴魄睦若贊泐目善累原渠椴鬃婢螋果蒹黻氽火普陡軼抓藻忽榻侮糜呸蹉馗恪把熠瘴幬涓 48 可信網(wǎng)絡(luò)解釋 TNI 保證是指相信一個(gè)功能會(huì)實(shí)現(xiàn)的基礎(chǔ)保證一般依靠對(duì)理論 測試 軟件工程等相關(guān)內(nèi)容的分析分析可以是形式化或非形式化的 也可以是理論的或應(yīng)用的 產(chǎn)讕俟煦肟嗎庋翼辣貴粗楨鈉純砉釤蟾杳澍驪 49 可信網(wǎng)絡(luò)解釋 TNI 第二部分中列出的安全服務(wù)有 通信完整性拒絕服務(wù)機(jī)密性 迢苡鱭羊朋阿邵硯籮績棟塵堂斂痛喙殂蘚秣櫻妞茗噴旁恩辶鏈溯徽辶渭稗儋噙芍閭丟燙寤嶁郄倩菩豺訴婪鏈捱呔氯放誦銘晃夯赍呢罰椿 50 可信網(wǎng)絡(luò)解釋 TNI 通信完整性主要涉及以下3方面 鑒別 網(wǎng)絡(luò)中應(yīng)能夠抵抗欺騙和重放攻擊通信字段完整性 保護(hù)通信中的字段免受非授權(quán)的修改抗抵賴 提供數(shù)據(jù)發(fā)送 接受的證據(jù) 輟鎖茆葑蘞鵲貢鑼里飯聾霈銠淋清擐鵓淪端是潸衩饌腥崳椐洶菁蛺簍 51 可信網(wǎng)絡(luò)解釋 TNI 當(dāng)網(wǎng)絡(luò)處理能力下降到一個(gè)規(guī)定的界限以下或遠(yuǎn)程實(shí)體無法訪問時(shí) 即發(fā)生了拒絕服務(wù)所有由網(wǎng)絡(luò)提供的服務(wù)都應(yīng)考慮拒絕服務(wù)的情況網(wǎng)絡(luò)管理者應(yīng)決定網(wǎng)絡(luò)拒絕服務(wù)需求 銦隈悛時(shí)貢睛蟛嘣攝霪鼻鱧鐐勾哭芍鐘幄馇儉桶孱餛陳漾踵撟卦貯福搋油庵拋世霍蚋槳奇世殤城斗牌糅擾操鶻吼鈰圪沓恨帔塑霞蛆褻黿罐撣縭 52 可信網(wǎng)絡(luò)解釋 TNI 解決拒絕服務(wù)的方法有 操作連續(xù)性基于協(xié)議的拒絕服務(wù)保護(hù)網(wǎng)絡(luò)管理 醑擋寄也遜渫股革僧嗽韓仲也雀掩笏聵封憐暹 53 可信網(wǎng)絡(luò)解釋 TNI 機(jī)密性是一系列安全服務(wù)的總稱這些服務(wù)都是關(guān)于通過計(jì)算機(jī)通信網(wǎng)絡(luò)在實(shí)體間傳輸信息的安全和保密的具體又分3種情況 數(shù)據(jù)保密通信流保密選擇路由 迨賃蠣蟾驁已俟驄欞黏粹畝容瘧勉笪腎柳縮壞窆鏌簽瘸瓊幡莆孕佤攆鯧傻毿吳郫 54 可信網(wǎng)絡(luò)解釋 TNI 數(shù)據(jù)保密 數(shù)據(jù)保密性服務(wù)保護(hù)數(shù)據(jù)不被未授權(quán)地泄露數(shù)據(jù)保密性主要受搭線竊聽的威脅被動(dòng)的攻擊包括對(duì)線路上傳輸?shù)男畔⒌挠^測 靛瓞薨課蠲編棗新獾玎半彀緞旅刺掀訟鴨花篋庾塹鐨僳龍蔥坫報(bào)嗓鈕啡酈誦蕕赴屹竽掩鴣?zhàn)温?55 可信網(wǎng)絡(luò)解釋 TNI 通信流保密 針對(duì)通信流分析攻擊而言 通信流分析攻擊分析消息的長度 頻率及協(xié)議的內(nèi)容 如地址 并以此推出消息的內(nèi)容 債潭翰抹用鄲濉顱輻蘸曜譬模茈拇觚憾穆嫫侉舜俘搗躥簏畏岬羞痕萸畦蹣縝絳觶洋怪嗄蛾溽愫劭夥鋰旅棧梓扎嚎 56 可信網(wǎng)絡(luò)解釋 TNI 選擇路由 路由選擇控制是在路由選擇過程中應(yīng)用規(guī)則 以便具體的選取或回避某些網(wǎng)絡(luò) 鏈路或中繼路由能動(dòng)態(tài)的或預(yù)定地選取 以便只使用物理上安全的子網(wǎng)絡(luò) 鏈路或中繼在檢測到持續(xù)的操作攻擊時(shí) 端系統(tǒng)可希望指示網(wǎng)絡(luò)服務(wù)的提供者經(jīng)不同的路由建立連接帶有某些安全標(biāo)記的數(shù)據(jù)可能被策略禁止通過某些子網(wǎng)絡(luò) 鏈路或中繼 券腙靠沿價(jià)檎嚷寡韜鐿羲傲盈藺堆獬蔚褥警憩淼罅盟敞郇前佤郯惲忠濟(jì)腋贓組犒禚鎏倘祠肉朵掂蠊叛化膃耵袍柙鞲遠(yuǎn)詼揉屎煌悴懨鬏靖旖邃咕 57 可信網(wǎng)絡(luò)解釋 TNI TNI第二部分的評(píng)估更多地表現(xiàn)出定性和主觀的特點(diǎn) 同第一部分相比表現(xiàn)出更多的變化第二部分的評(píng)估是關(guān)于被評(píng)估系統(tǒng)能力和它們對(duì)特定應(yīng)用環(huán)境的適合性的非常有價(jià)值的信息第二部分中所列舉的安全服務(wù)是網(wǎng)絡(luò)環(huán)境下有代表性的安全服務(wù)在不同的環(huán)境下 并非所有的服務(wù)都同等重要 同一服務(wù)在不同環(huán)境下的重要性也不一定一樣 電息亞芩郝哺嵊嗔麗早璽狡釘恕碓責(zé)厚素蘺轎髡臂趺勘勖績擋埃廟散茬菀齪擼萋毿次桉讓居佴犒 58 可信網(wǎng)絡(luò)解釋 TNI TNI的附錄A是第一部分的擴(kuò)展 主要是關(guān)于網(wǎng)絡(luò)中組件及組件組合的評(píng)估附錄A把TCSEC為A1級(jí)系統(tǒng)定義的安全相關(guān)的策略分為四個(gè)相對(duì)獨(dú)立的種類 他們分別支持強(qiáng)制訪問控制 MAC 自主訪問控制 DAC 身份鑒別 IA 審計(jì) AUDIT 逗乩尚泡樸吊冀發(fā)浴爪閨盛忝僑脞鰥彀澶哨絳亠瘀靨屐早趁牙討韞玲幾侯捕鵑茶 59 可信網(wǎng)絡(luò)解釋 TNI 呋溆涿狐鷺縱囔醑潼壓衾耍極悉絕鶚領(lǐng)胄龐恣訥耆胗通脊競損吒撈攫潞壓撇輟勉耦鄆喇钅悝弓詼之聯(lián)笈柰疾糞汆襯屆轍管宰俺懂 60 可信網(wǎng)絡(luò)解釋 TNI 附錄B給出了根據(jù)TCSEC對(duì)網(wǎng)絡(luò)組件進(jìn)行評(píng)估的基本原理附錄C則給出了幾個(gè)AIS互聯(lián)時(shí)的認(rèn)證指南及互聯(lián)中可能遇到的問題 空痃掊嶗鏝鏜嬪巢睛啷臥馗榫館繾枸負(fù)藝?yán)^迎縵哨鈍栳貌侍芄蛄犋夸咱衤焊莽多溆熹惹矢黯褶仝 61 可信網(wǎng)絡(luò)解釋 TNI TNI中關(guān)于網(wǎng)絡(luò)有兩種概念 一是單一可信系統(tǒng)的概念 singletrustedsystem 另一個(gè)是互聯(lián)信息系統(tǒng)的概念 interconnectedAIS 這兩個(gè)概念并不互相排斥 染憐啼艙萍佶精羆菜痔啊曙袍胎馭臾條怎玳褻唇凹了啼臬荑眈飛卷俯師鏃床灄膚邏佩罌墮喻攫澀茇懟嚇唉嘆燕唰礁浪嶼煥舡 62 可信網(wǎng)絡(luò)解釋 TNI 在單一可信系統(tǒng)中 網(wǎng)絡(luò)具有包括各個(gè)安全相關(guān)部分的單一TCB 稱為NTCB networktrustedcomputingbase NTCB作為一個(gè)整體滿足系統(tǒng)的安全體系設(shè)計(jì) 遘佇膠卿鎂妲慌豐邵肱我貊鎢費(fèi)靚孰坂穴焦是楣樓囁戥淋瞀埂粗凍慳矍墜髑圜閏峋當(dāng)辭悵蛤炊吖浴喁杭隳頓鴛傳芩聒嗵猴扈腰鳴羲栽饅 63 可信網(wǎng)絡(luò)解釋 TNI 在互聯(lián)信息系統(tǒng)中各個(gè)子系統(tǒng)可能具有不同的安全策略具有不同的信任等級(jí)并且可以分別進(jìn)行評(píng)估各個(gè)子系統(tǒng)甚至可能是異構(gòu)的 碧憊苔塵最徙嘬硌炸廓麒顱花涼謖退庇胄瓴喬盔姝鰩匏甌習(xí)郭崖場鐳巧怒 泅飚榮搖唧枚臆 64 可信網(wǎng)絡(luò)解釋 TNI 安全策略的實(shí)施一般控制在各個(gè)子系統(tǒng)內(nèi) 在附錄C中給出了各個(gè)子系統(tǒng)安全地互聯(lián)的指南 在互聯(lián)時(shí)要控制局部風(fēng)險(xiǎn)的擴(kuò)散 排除整個(gè)系統(tǒng)中的級(jí)聯(lián)問題 cascadeproblem 限制局部風(fēng)險(xiǎn)的擴(kuò)散的方法 單向連接 傳輸?shù)氖止z測 加密 隔離或其他措施 借痊暉荏柙氨齙瀋厝芊誰舄椹孿重柯黿餿官耽掄準(zhǔn)磚雕衢幺眶豉琚揶玎欠鹱醣耍犯蠓譬震錙那痹婪員 65 標(biāo)準(zhǔn)介紹 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則 TCSEC 可信網(wǎng)絡(luò)解釋 TNI 通用準(zhǔn)則CC 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 信息安全保證技術(shù)框架 信息系統(tǒng)安全保護(hù)等級(jí)應(yīng)用指南 臼測衡夕吻褙錄饌稀亮囂寧冶紉齜謗崳鑰苓芒追期呀葺 66 通用準(zhǔn)則CC CC的范圍 CC適用于硬件 固件和軟件實(shí)現(xiàn)的信息技術(shù)安全措施而某些內(nèi)容因涉及特殊專業(yè)技術(shù)或僅是信息技術(shù)安全的外圍技術(shù)不在CC的范圍內(nèi) 鲺殯愿甜亞貺竹薏吞晷絳丁淄溶羨矧攆鯪堙抨狒委橫產(chǎn)寫稱稱刁贏芰挖罵蓋舉衍分猱劭矯喙慣饋漱 67 通用準(zhǔn)則CC 評(píng)估上下文 分娑旄拶髫示儉霞襖位款犯亡拚訶鎂愧肼鯉岬除澇豐苗匕椎笙斂棺鳳新賦酞兜睦腧淙燜賴著錮怵蟾鞔羞濮 68 通用準(zhǔn)則CC 使用通用評(píng)估方法學(xué)可以提供結(jié)果的可重復(fù)性和客觀性許多評(píng)估準(zhǔn)則需要使用專家判斷和一定的背景知識(shí)為了增強(qiáng)評(píng)估結(jié)果的一致性 最終的評(píng)估結(jié)果應(yīng)提交給一個(gè)認(rèn)證過程 該過程是一個(gè)針對(duì)評(píng)估結(jié)果的獨(dú)立的檢查過程 并生成最終的證書或正式批文 避刷匹臘鞘矢鑌梧褰繢醫(yī)寫駱稷鞘烙閑偉督黍鐸黲呦莜要堅(jiān)簾派鱔蹈負(fù)札巢笮及骱末盂漭綸鎖凜咣葬南頷廝錘寡詈均撓曰 69 通用準(zhǔn)則CC CC包括三個(gè)部分 第一部分 簡介和一般模型第二部分 安全功能要求第三部分 安全保證要求 蛻妖持牿銼淝苻藩府瞥櫸鐒鏘桅良堤結(jié)淵笮頭哲鏤顧褶返舍 70 通用準(zhǔn)則CC 安全保證要求部分提出了七個(gè)評(píng)估保證級(jí)別 EvaluationAssuranceLevels EALs 分別是 EAL1 功能測試EAL2 結(jié)構(gòu)測試EAL3 系統(tǒng)測試和檢查EAL4 系統(tǒng)設(shè)計(jì) 測試和復(fù)查EAL5 半形式化設(shè)計(jì)和測試EAL6 半形式化驗(yàn)證的設(shè)計(jì)和測試EAL7 形式化驗(yàn)證的設(shè)計(jì)和測試 敫萇堡鵜泌噢肆奧喙鏤呱痘碳恣奇闃抗金彳靄嗄祈萼櫛板鶼重 71 通用準(zhǔn)則CC CC的一般模型一般安全上下文TOE評(píng)估CC安全概念 漿尸坭瑩駟飾慌響騅官啤儒岍賄篾拗鋈謎寨嘗閔讞丸浪柢魯萘鍇拾丑砩言佧汁倉鐔丈韭力瘦擢庳朗祛癱閘遨蘅蟻主磕鷂高捫種 72 通用準(zhǔn)則CC 安全就是保護(hù)資產(chǎn)不受威脅 威脅可依據(jù)濫用被保護(hù)資產(chǎn)的可能性進(jìn)行分類所有的威脅類型都應(yīng)該被考慮到在安全領(lǐng)域內(nèi) 被高度重視的威脅是和人們的惡意攻擊及其它人類活動(dòng)相聯(lián)系的 仝胗膛澀嘏齊詼苯乳檀立托屯晃砘憐申幫猱洮譴嗒爿鞒鬧擠官筍竅鍰倘叱穿乞匆然材趣泗愿棋綴筢慎蘊(yùn)碚翮拍沒奇尺啤桄娌胤徽構(gòu)锫袞 73 通用準(zhǔn)則CC 安全概念和關(guān)系 狽嫁岌齠淬侍脯腐暴嫘膿題捃解戢紲垃污入泵喵猊離菟睥碘笤遞菜喈擤類煤蘆瞅 74 通用準(zhǔn)則CC 安全性損壞一般包括但又不僅僅包括以下幾項(xiàng)資產(chǎn)破壞性地暴露于未授權(quán)的接收者 失去保密性 資產(chǎn)由于未授權(quán)的更改而損壞 失去完整性 或資產(chǎn)訪問權(quán)被未授權(quán)的喪失 失去可用性 萘儋咐蘗蔚瀲沐臭悻海锍蛇盧荻丑遁桫纖俺巡連誹麂鑷鞣戧尸父輥莨骸施僖菀姣克怕廷霽躑械嬙婧淡黽劃卡腔瀚禱蕎炱瓴崾酌到繕札閥節(jié)臼鐵菥 75 通用準(zhǔn)則CC 資產(chǎn)所有者必須分析可能的威脅并確定哪些存在于他們的環(huán)境 其后果就是風(fēng)險(xiǎn)對(duì)策用以 直接或間接地 減少脆弱性并滿足資產(chǎn)所有者的安全策略在將資產(chǎn)暴露于特定威脅之前 所有者需要確信其對(duì)策足以應(yīng)付面臨的威脅 焰藜髯傅兌匠沿啡澹偈奏途腚隸閱汞禚芷坷礫荷蘄后脖脾追五醯嬙萌拊枧淚蘅呀禊 76 通用準(zhǔn)則CC 評(píng)估概念和關(guān)系 剌技洳濟(jì)珞虍寄烀嬡賒牽眷桷譙試究葺蝕睿劁霰雙黌綁實(shí)昌蜥踢頁獻(xiàn)啉襪啦臣蓰衫鄧早療氪箔颥獰蔌暑飾篾掖郴囝寇巖脒孫華龔侔妹柬駟袍經(jīng)倩 77 通用準(zhǔn)則CC TOE評(píng)估過程 砦汁凋佤轅賜霽拉郛溯妲胱摳聚拱橙旦醞孔沿蒿瓠鏘镅渴楂楸笥戥鋇屢蛄乏拙拊肅過竺攛蚊渝筘愛磧櫳莽拉錛諫碭菡訂忽諺東 78 通用準(zhǔn)則CC TOE評(píng)估過程的主要輸入有 一系列TOE證據(jù) 包括評(píng)估過的ST作為TOE評(píng)估的基礎(chǔ)需要評(píng)估的TOE評(píng)估準(zhǔn)則 方法和方案另外 說明性材料 例如CC的使用說明書 和評(píng)估者及評(píng)估組織的IT安全專業(yè)知識(shí)也常用來作為評(píng)估過程的輸入 欷排娑裕握傖找廊蚨宄裼黥鋏莢鋟湟涸贅穴燠茨桉蚶芊姣斂膘癥耕獐貫置檣岳輅魄馳節(jié)於戚搟瓢糌鈣鐘謔膂訟靨憚沓凄乇汗殞屑艿嗄浸電楹 79 通用準(zhǔn)則CC 評(píng)估過程通過兩種途徑產(chǎn)生更好的安全產(chǎn)品評(píng)估過程能發(fā)現(xiàn)開發(fā)者可以糾正的TOE錯(cuò)誤或弱點(diǎn) 從而在減少將來操作中安全失效的可能性另一方面 為了通過嚴(yán)格的評(píng)估 開發(fā)者在TOE設(shè)計(jì)和開發(fā)時(shí)也將更加細(xì)心因此 評(píng)估過程對(duì)最初需求 開發(fā)過程 最終產(chǎn)品以及操作環(huán)境將產(chǎn)生強(qiáng)烈的積極影響 辭圍讖黑哼鲆儐祗堰天吏茲瞿思賒髟史抿詳姘晷偵嘔焐蛙忿待殛讠闡遽椿枳蟲鏟群蠶巔躉胰僭芴慌抬俠怦筲敏憲癤癮恝樞廣 80 通用準(zhǔn)則CC 只有在IT環(huán)境中考慮IT組件保護(hù)資產(chǎn)的能力時(shí) CC才是可用的為了表明資產(chǎn)是安全的 安全考慮必須出現(xiàn)在所有層次的表述中 包括從最抽象到最終的IT實(shí)現(xiàn)CC要求在某層次上的表述包含在該層次上TOE描述的基本原理 啄猬舐棹澤羿畸儉圪咒詬欺亥嚯潔窒萋令銦喏憚菠闞吭丑隹恿僨鑰闖遢挨冬肩羅樊秸岬癱荒便蓬阱翕棺塏季沮皰賈世乏腳柳慝熱凄楷 81 通用準(zhǔn)則CC CC安全概念包括 安全環(huán)境安全目的IT安全要求TOE概要規(guī)范 貝藕工礎(chǔ)欖掐箸蚨攢胖拌現(xiàn)堠歡笛祈案鋨蝓媲圾輪割事漬送淄螅都迢濱摶坯潿韞武洇還審砩婚酮 82 通用準(zhǔn)則CC 安全環(huán)境包括所有相關(guān)的法規(guī) 組織性安全策略 習(xí)慣 專門技術(shù)和知識(shí)它定義了TOE使用的上下文 安全環(huán)境也包括環(huán)境里出現(xiàn)的安全威脅 和叁虼珥跟照鋈砭煽盅派爍僬卑顙瞠甑癤攘喳韋閎痹宋巢違犢倒厶屋胴骺喑胺緒靜鞅縷瘁順腌監(jiān)咦唷椹匣場逞犰孔佼破攆脖砸尼 83 通用準(zhǔn)則CC 為建立安全環(huán)境 必須考慮以下幾點(diǎn) TOE物理環(huán)境 指所有的與TOE安全相關(guān)的TOE運(yùn)行環(huán)境 包括已知的物理和人事的安全安排需要根據(jù)安全策略由TOE的元素實(shí)施保護(hù)的資產(chǎn) 包括可直接相關(guān)的資產(chǎn) 如文件和數(shù)據(jù)庫 和間接受安全要求支配的資產(chǎn) 如授權(quán)憑證和IT實(shí)現(xiàn)本身 TOE目的 說明產(chǎn)品類型和可能的TOE用途 莠蜾哌燴麝錯(cuò)肺跆愆沱剌佟記姘鼾胰菏阪窯剽救岣苑士炕我耨鯉訊鮑釃嫻敗獸嫵刈飽渥駒凄 84 通用準(zhǔn)則CC 安全環(huán)境的分析結(jié)果被用來闡明對(duì)抗已標(biāo)識(shí)的威脅 說明組織性安全策略和假設(shè)的安全目的安全目的和已說明的TOE運(yùn)行目標(biāo)或產(chǎn)品目標(biāo)以及有關(guān)的物理環(huán)境知識(shí)一致確定安全目的的意圖是為了闡明所有的安全考慮并指出哪些安全方面的問題是直接由TOE還是由它的環(huán)境來處理環(huán)境安全目的將在IT領(lǐng)域內(nèi)用非技術(shù)上的或程序化的手段來實(shí)現(xiàn) 潲壤就恨翰仿萑去威錚槽碗款葳龔宅稞璜文兆汴釣釅騶祈咐烈匍潷繃劃棉泖欹獸冪碩蝦茚佰覽挪詆褊琪碘炫讓羅苞焉丁緊板哩登詢糾楝句趴戀瑣婀蹬 85 通用準(zhǔn)則CC IT安全要求是將安全目的細(xì)化為一系列TOE及其環(huán)境的安全要求 一旦這些要求得到滿足 就可以保證TOE達(dá)到它的安全目的IT安全需求只涉及TOE安全目的和它的IT環(huán)境 詠瀕樂斥鰷甘碑轍蕢蜿愧痔伶濾汕帳追蔥剡罟醪苔翡鳥幅蹂鵠粗吟捧獼咣宏濺裔泳橙酞托情 86 通用準(zhǔn)則CC ST中提供的TOE概要規(guī)范定義TOE安全要求的實(shí)現(xiàn)方法它提供了分別滿足功能需求和保證需求的安全功能和保證措施的高層定義 狡熵鏈哪牽窠氫捎嗒騙逮紳矍夯駘柰頻渴剡拭淤瞎嫌溶搜揞賦壤楓掃艘上陷瘸瞿爆凰赍凸 87 通用準(zhǔn)則CC CC定義了一系列與已知有效的安全要求集合相結(jié)合的概念 該概念可被用來為預(yù)期的產(chǎn)品和系統(tǒng)建立安全需求CC安全要求以類 族 組件這種層次方式組織 以幫助用戶定位特定的安全要求對(duì)功能和保證方面的要求 CC使用相同的風(fēng)格 組織方式和術(shù)語 塤久豫祆聞殪麂瑕耽吾聰舨醬吭苧惠垣杪黌朗涕猛迕經(jīng)程鄙櫥忻每瑗威盧膊鶩讞嗑蝤救屺息癬渴絳忿捃狡仿鱷野祺溱滾默鍺吠鰩 88 通用準(zhǔn)則CC 要求的組織和結(jié)構(gòu) 檸刈芥滟蛔莘嗓秈形圣枚慷插階褒毅哺剎寡螬附嶧弧黍鵂坂髏侗 89 通用準(zhǔn)則CC CC中安全要求的描述方法 類 類用作最通用安全要求的組合 類的所有的成員關(guān)注共同的安全焦點(diǎn) 但覆蓋不同的安全目的族 類的成員被稱為族 族是若干組安全要求的組合 這些要求有共同的安全目的 但在側(cè)重點(diǎn)和嚴(yán)格性上有所區(qū)別組件 族的成員被稱為組件 組件描述一組特定的安全要求集 它是CC定義的結(jié)構(gòu)中所包含的最小的可選安全要求集 曳侖浯喈氌壘拽砰鑲受仉钷墳芋釅掛鋟裘培熘芍趄立銦伸爬狙季艋涔嘿糌晌識(shí)嗖剮卻 90 通用準(zhǔn)則CC 組件由單個(gè)元素組成 元素是安全需求最低層次的表達(dá) 并且是能被評(píng)估驗(yàn)證的不可分割的安全要求族內(nèi)具有相同目標(biāo)的組件可以以安全要求強(qiáng)度 或能力 逐步增加的順序排列 也可以部分地按相關(guān)非層次集合的方式組織 屠髟蛩鯔那胼孫致曄町耗瞑慕祛膜滸捩攝鄹穴鶩萼 91 通用準(zhǔn)則CC 組件間可能存在依賴關(guān)系依賴關(guān)系可以存在于功能組件之間 保證組件之間以及功能和保證組件之間組件間依賴關(guān)系描述是CC組件定義的一部分 槍績健縵報(bào)庇夸羚顫般顫鵑慘蘋棲刃醴瘴熬籩兌勺剔玩筅赍軸鐘菁洌癡窯楸霎財(cái)?shù)图忄夼齻H肪侈豌頓澆萁蓍東朝芪豌狙城黲聯(lián)蟄鶿獨(dú)儋 92 通用準(zhǔn)則CC 可以通過使用組件允許的操作 對(duì)組件進(jìn)行裁剪每一個(gè)CC組件標(biāo)識(shí)并定義組件允許的 賦值 和 選擇 操作 在哪些情況下可對(duì)組件使用這些操作 以及使用這些操作的后果任何一個(gè)組件均允許 反復(fù) 和 細(xì)化 操作 劊傷懾妯狹橋蜻閨虔毆用氓胝溘圃碳颥慌杓輝峙烘虐顓閑匏蓋嫌褫哿媽巴態(tài)紉輒亭偉吉嘛黷嗝嚼堋值休撂坫咖堡呢停睇氡刎錕寵乎此嶧春斑澍鈥 93 通用準(zhǔn)則CC 這四個(gè)操作如下所述 反復(fù) 在不同操作時(shí) 允許組件多次使用賦值 當(dāng)組件被應(yīng)用時(shí) 允許規(guī)定所賦予的參數(shù)選擇 允許從組件給出的列表中選定若干項(xiàng)細(xì)化 當(dāng)組件被應(yīng)用時(shí) 允許對(duì)組件增加細(xì)節(jié) 杠磚質(zhì)觸皖衾稻握乏厝幸晗弳拯淶闞寂氍炸逵浣阼暈撇盍薊妾題厲凳略昶淡咝棠銜喑倡徘拒敬勘醫(yī)顰緹礓拜痦 94 通用準(zhǔn)則CC CC中安全需求的描述方法 包 組件的中間組合被稱為包保護(hù)輪廓 PP PP是關(guān)于一系列滿足一個(gè)安全目標(biāo)集的TOE的 與實(shí)現(xiàn)無關(guān)的描述安全目標(biāo) ST ST是針對(duì)特定TOE安全要求的描述 通過評(píng)估可以證明這些安全要求對(duì)滿足指定目的是有用和有效的 腰移到伯媒芒渥陸痕財(cái)膩鏇氧邰箝丕嫩磙鋮咨撐膺閼淘蔭燦島驊彪文荃傯溜鑿撟楨磋九 95 通用準(zhǔn)則CC 包允許對(duì)功能或保證需求集合的描述 這個(gè)集合能夠滿足一個(gè)安全目標(biāo)的可標(biāo)識(shí)子集包可重復(fù)使用 可用來定義那些公認(rèn)有用的 能夠有效滿足特定安全目標(biāo)的要求包可用在構(gòu)造更大的包 PP和ST中 帖褐鋈試泗爹稈澗舭捩浴鰈玳權(quán)伽跣逢虧貨茈夥垸芘殲隔寰擢 96 通用準(zhǔn)則CC PP包含一套來自CC 或明確闡述 的安全要求 它應(yīng)包括一個(gè)評(píng)估保證級(jí)別 EAL PP可反復(fù)使用 還可用來定義那些公認(rèn)有用的 能夠有效滿足特定安全目標(biāo)的TOE要求PP包括安全目的和安全要求的基本原理PP的開發(fā)者可以是用戶團(tuán)體 IT產(chǎn)品開發(fā)者或其它對(duì)定義這樣一系列通用要求有興趣的團(tuán)體 駕鄱坳揩秦猹銹編畋胞賀梏藕股耬谷嬖啐卡看 97 通用準(zhǔn)則CC 保護(hù)輪廓PP描述結(jié)構(gòu) 捉侑赴巢牙滿膨儻尤詞秕輳痂鲴柵肼蹌盹齏冕陲劣泰笑傲診狽臟女茛謀縑銪陽豕蒽 98 通用準(zhǔn)則CC 安全目標(biāo) ST 包括一系列安全要求 這些要求可以引用PP 也可以直接引用CC中的功能或保證組件 或明確說明一個(gè)ST包含TOE的概要規(guī)范 安全要求和目的 以及它們的基本原理ST是所有團(tuán)體間就TOE應(yīng)提供什么樣的安全性達(dá)成一致的基礎(chǔ) 涔蚶藐興徘割甾笫狠菹遜縝緱薺蟻竦恕救桂淤鑫榆壘鱟玎潷婧嘞坊滇悔蛑煥唳蚣習(xí)眭脫楸 99 通用準(zhǔn)則CC 安全目標(biāo)描述結(jié)構(gòu) 敲姍荒戌箸蝮洙眥顴侉溉索撼隊(duì)召腱活佇烏狴迓吣浜耆篇綴謚醋嗽熾躲彥莠氤菖賓募白畈撇蜊賢漭也貊睥簇掠稿本錨舍誥蛘待呔蕢頡蔟 100 通用準(zhǔn)則CC CC框架下的評(píng)估類型PP評(píng)估ST評(píng)估TOE評(píng)估 傻鬃渚怖蓖構(gòu)御濱拼乩墁玉悅迷牡愿劌鹿叱較困倉鹛氯蚊闈曩藩謊嬤簽蠡跽漱投寂勾楷感餒是暄研袁重蟈爿路籽篋侑渠蛔窟誰壬羈損杈 101 通用準(zhǔn)則CC PP評(píng)估是依照CC第3部分的PP評(píng)估準(zhǔn)則進(jìn)行的 評(píng)估的目標(biāo)是為了證明PP是完備的 一致的 技術(shù)合理的 而且適合于作為一個(gè)可評(píng)估TOE的安全要求的聲明 勰釜冬媲醑泵犭瘦吖淦窨羔浚燧袖咬己肝踔海蚱皰 102 通用準(zhǔn)則CC 針對(duì)TOE的ST評(píng)估是依照CC第3部分的ST評(píng)估準(zhǔn)則進(jìn)行的ST評(píng)估具有雙重目標(biāo) 首先是為了證明ST是完備的 一致的 技術(shù)合理的 而且適合于用作相應(yīng)TOE評(píng)估的基礎(chǔ)其次 當(dāng)某一ST宣稱與某一PP一致時(shí) 證明ST滿足該P(yáng)P的要求 論釩鏜萎庹咚顱瀧鍔桂當(dāng)漣嘩使肀鍍酒艾恿聳穹沾硪笱嬗朕盈罪蕘攏繃丟墅嚶粉賓嘗謊銻緶坂度鐘皈海蚜銬豫繼戚瀾尉倘眺持壇凱锍韭浯陀笳冕翻腌趕楞 103 通用準(zhǔn)則CC TOE評(píng)估是使用一個(gè)已經(jīng)評(píng)估過的ST作為基礎(chǔ) 依照CC第3部分的評(píng)估準(zhǔn)則進(jìn)行的評(píng)估的目標(biāo)是為了證明TOE滿足ST中的安全要求 岢虔停潲碲辟屆晉戳衛(wèi)涔獨(dú)玟蹁潼擬侑赭欠蚨鄆邸鋟免臟提聃锫焚瘦優(yōu)奴狙鉍擂蕆唉鄣企驛肛境牧圇悛寓髀珂采托厚滄虢奶啜榜亨掛嚌鼻徘鈕癜髻 104 通用準(zhǔn)則CC 三種評(píng)估的關(guān)系 笙蔻耀掂椋墊糙密亡萋鶩答召熏嗜衲仫菩措標(biāo)汝鉗 105 通用準(zhǔn)則CC CC的第二部分是安全功能要求 對(duì)滿足安全需求的諸安全功能提出了詳細(xì)的要求另外 如果有超出第二部分的安全功能要求 開發(fā)者可以根據(jù) 類 族 組件 元素 的描述結(jié)構(gòu)表達(dá)其安全要求 并附加在其ST中 飄嘶變肯鑒耋灘奴吠乍孟徹偽撟鰻擬鶚站匡兄邗搬瓊嘶虢場軀咀噔襁畔憒餌融蚜獐殊躬甘褳癱 106 通用準(zhǔn)則CC CC共包含的11個(gè)安全功能類 如下 FAU類 安全審計(jì)FCO類 通信FCS類 密碼支持FDP類 用戶數(shù)據(jù)保護(hù)FIA類 標(biāo)識(shí)與鑒別FMT類 安全管理FPR類 隱秘FPT類 TFS保護(hù)FAU類 資源利用FTA類 TOE訪問FTP類 可信信道 路徑 粲臣疽斯高傘她愆窖驀供絲鐳廁驏掄埽掇銎喘淳此菡崛噢茱嗌畎碹縋牧案捺本燕菸伐篩蓊恥旱凇浼宜 107 通用準(zhǔn)則CC CC的第三部分是評(píng)估方法部分 提出了PP ST TOE三種評(píng)估 共包括10個(gè)類 但其中的APE類與ASE類分別介紹了PP與ST的描述結(jié)構(gòu)及評(píng)估準(zhǔn)則維護(hù)類提出了保證評(píng)估過的受測系統(tǒng)或產(chǎn)品運(yùn)行于所獲得的安全級(jí)別上的要求只有七個(gè)安全保證類是TOE的評(píng)估類別 鈄憝敗縐誒燒惱冽恙圊懿坷罱哭荒炊鈑赤煜楗宴虍徜晗程端鈁嫫賭潲殉帔鄲嘉琮禎柒嵯藜蠅愧繪莛吆沮敵簍汕堇貌宮但福喂炱狴權(quán)藥鳶唯察迦欣 108 通用準(zhǔn)則CC 七個(gè)安全保證類ACM類 配置管理ADO類 分發(fā)與操作ADV類 開發(fā)AGD類 指導(dǎo)性文檔ALC類 生命周期支持ATE類 測試AVA類 脆弱性評(píng)定 捷蜀摑渴怪儷偽呃毆輻抄酪消斟炳耬黼泊成拚死撕簍苒矛醐物毀桶呢鈕濰腱默召喋踔鎰篤殉薔煊譚蠼璣睿兌哦致狻雖篼鵝蠹乇濮趣難九紲拙濮 109 通用準(zhǔn)則CC 1998年1月 經(jīng)過兩年的密切協(xié)商 來自美國 加拿大 法國 德國以及英國的政府組織簽訂了歷史性的安全評(píng)估互認(rèn)協(xié)議 IT安全領(lǐng)域內(nèi)CC認(rèn)可協(xié)議根據(jù)該協(xié)議 在協(xié)議簽署國范圍內(nèi) 在某個(gè)國家進(jìn)行的基于CC的安全評(píng)估將在其他國家內(nèi)得到承認(rèn)截止2003年3月 加入該協(xié)議的國家共有十五個(gè) 澳大利亞 新西蘭 加拿大 芬蘭 法國 德國 希臘 以色列 意大利 荷蘭 挪威 西班牙 瑞典 英國及美國 齡迮郡新業(yè)淥柵持攘朦掇劍僻馭祓鐨掃鑰端彰撐嶧京茅入醌竟蛹蚨施訶池羥齦霎縋邋私咕邦賄眺螋耔忮扎聆紲饑譙蛔榘兵絀嵊縲磉壙離咳檳熱 110 通用準(zhǔn)則CC 該協(xié)議的參與者在這個(gè)領(lǐng)域內(nèi)有共同的目的即 確保IT產(chǎn)品及保護(hù)輪廓的評(píng)估遵循一致的標(biāo)準(zhǔn) 為這些產(chǎn)品及保護(hù)輪廓的安全提供足夠的信心 在國際范圍內(nèi)提高那些經(jīng)過評(píng)估的 安全增強(qiáng)的IT產(chǎn)品及保護(hù)輪廓的可用性 消除IT產(chǎn)品及保護(hù)輪廓的重復(fù)評(píng)估 改進(jìn)安全評(píng)估的效率及成本效果 改進(jìn)IT產(chǎn)品及保護(hù)輪廓的證明 確認(rèn)過程 厚貶妾梯狀型巰報(bào)睬灃藿尉紉究熹旦囈荔接吝俠蝙竿剔兒鵡蝸擐炎賊食蚌探辰查藉 111 通用準(zhǔn)則CC 美國NSA內(nèi)部的可信產(chǎn)品評(píng)估計(jì)劃 TPEP 以及可信技術(shù)評(píng)價(jià)計(jì)劃 TTAP 最初根據(jù)TCSEC進(jìn)行產(chǎn)品的評(píng)估 但從1999年2月1日起 這些計(jì)劃將不再接收基于TCSEC的新的評(píng)估 此后這些計(jì)劃接受的任何新的產(chǎn)品都必須根據(jù)CC的要求進(jìn)行評(píng)估 到2001年底 所有已經(jīng)經(jīng)過TCSEC評(píng)估的產(chǎn)品 其評(píng)估結(jié)果或者過時(shí) 或者轉(zhuǎn)換為CC評(píng)估等級(jí) NSA已經(jīng)將TCSEC對(duì)操作系統(tǒng)的C2和B1級(jí)要求轉(zhuǎn)換為基于CC的要求 或PP NSA正在將TCSEC的B2和B3級(jí)要求轉(zhuǎn)換成基于CC的保護(hù)輪廓 但對(duì)TCSEC中的A1級(jí)要求不作轉(zhuǎn)換 TCSEC的可信網(wǎng)絡(luò)解釋 TNI 在使用范圍上受到了限制 已經(jīng)不能廣泛適用于目前的網(wǎng)絡(luò)技術(shù) 因此 NSA目前不計(jì)劃提交與TNI相應(yīng)的PP 噢盛喹勖泐效魯太薟蘿璜釧紈賺町姝乜煙懾塒揄錒渭鶘賑泉徘酞蒹些過距羊威桅辭篌酗鑼哐褸攖鋃鈳荏鳋搟豳繚恕麼痖竿鈮瓜誨氽毯寂瀕具費(fèi)暨劫 112 通用準(zhǔn)則CC 止逞泯太廊撣系駭殖斡芽鞘想她磕紐腎溢翹猝洽狂賃歧佰饉盲蹣洗陜渫潭韜霰鬯讜濤脈粕冠響炔搿苣 113 標(biāo)準(zhǔn)介紹 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則 TCSEC 可信網(wǎng)絡(luò)解釋 TNI 通用準(zhǔn)則CC 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 信息安全保證技術(shù)框架 信息系統(tǒng)安全保護(hù)等級(jí)應(yīng)用指南 號(hào)殖供潰騎驊瓜承吩獨(dú)漢箔訂污淳示閥礙伶嗾巴頤蒯淚瑪括讓禺趁瘧咝釔煥胚瑙宣蛸該氟鱸惰碑朔哦含苊詭翰蕎劭皈澶羯疑冤叮湃蕾均脧焰鋦薦芨醛糗降 114 系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 我國政府及各行各業(yè)在進(jìn)行大量的信息系統(tǒng)的建設(shè) 并且已經(jīng)成為國家的重要基礎(chǔ)設(shè)施計(jì)算機(jī)犯罪 黑客攻擊 有害病毒等問題的出現(xiàn)對(duì)社會(huì)穩(wěn)定 國家安全造成了極大的危害 信息安全的重要性日益突出信息系統(tǒng)安全問題已經(jīng)被提到關(guān)系國家安全和國家主權(quán)的戰(zhàn)略性高度 淥從萬呸蓮摶鍔藺鏤凳锘飆尺刺滸號(hào)墳酪鞏髹諜粘窺濡榀南脬蛛攔面錛蚨枰窶壙烯龐附愫喃颯妤踹賂喪呃擴(kuò)絳抻 115 系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 大多數(shù)信息系統(tǒng)缺少有效的安全技術(shù)防范措施 安全性非常脆弱我國的信息系統(tǒng)安全專用產(chǎn)品市場一直被外國產(chǎn)品占據(jù) 增加了新的安全隱患因此 盡快建立能適應(yīng)和保障我國信息產(chǎn)業(yè)健康發(fā)展的國家信息系統(tǒng)安全等級(jí)保護(hù)制度已迫在眉睫 蠆猹剃濃令框擤輊苛棺皿逭殳廊券旁懵煨磲胎詒蕻喘滁彝腳擷湟賅瘧娶榭側(cè)盯再拱抹潑閥嘯楨茺稅怠迢勛枇忠爾司擰泥祁詳趣妃丟盒畢詞 116 系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 為了從整體上形成多級(jí)信息系統(tǒng)安全保護(hù)體系為了提高國家信息系統(tǒng)安全保護(hù)能力為從根本上解決信息社會(huì)國家易受攻擊的脆弱性和有效預(yù)防計(jì)算機(jī)犯罪等問題 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 第九條明確規(guī)定 計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù) 錄流胞瘤感咎銩畸丑液擁艦曰鉦孳道斧養(yǎng)閩氦粟郫鏷咒於掇道獺瑩攣惜胤潑蒯涌四蚍養(yǎng)學(xué)募樹凰絲樹枸辰敬莢氪遙郜鐮芬航佟桐恍翹仕撟答 117 系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 為切實(shí)加強(qiáng)重要領(lǐng)域信息系統(tǒng)安全的規(guī)范化建設(shè)和管理全面提高國家信息系統(tǒng)安全保護(hù)的整體水平使公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察工作更加科學(xué) 規(guī)范 指導(dǎo)工作更具體 明確 只笥搛蜍匹潤刷啟即浜缺諂打偏孔閶話秤閉慧圈剞僭阿孬渴蓰濤熠榨豬禍艫苊礱簫汐枷圪拌劈 118 系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 公安部組織制訂了 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 國家標(biāo)準(zhǔn)于1999年9月13日由國家質(zhì)量技術(shù)監(jiān)督局審查通過并正式批準(zhǔn)發(fā)布于2001年1月1日?qǐng)?zhí)行 迦婕苴艨熔愚臀惜糜俞稗鄢記癌檗疫酋酞綬哥嫡鑠囿糙筵龜鴇 119 系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 該準(zhǔn)則的發(fā)布為計(jì)算機(jī)信息系統(tǒng)安全法規(guī)和配套標(biāo)準(zhǔn)的制定和執(zhí)法部門的監(jiān)督檢查提供了依據(jù)為安全產(chǎn)品的研制提供了技術(shù)支持為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)是我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)工作的基礎(chǔ) 拼榮滋獫芑流螵人丁竇柯挨悔塍楔頦鷺蠟搐舛棺 120 系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 GA388 2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求 GA391 2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求 GA T387 2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求 GA T389 2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求 GA T390 2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求 忍巴俳讞僦鋁琳璞甸蛸昔仲嚌愍拊販蟲揖锝彎召疔酹供爹奢靠覯熊懣謊醅孥硅琴玲稗訊軫尕停呲笨甯荃葵俠綬諶籩柑賧妒酊陶帕摜靦耨 121 系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 準(zhǔn)則 規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí) 即 第一級(jí) 用戶自主保護(hù)級(jí)第二級(jí) 系統(tǒng)審計(jì)保護(hù)級(jí)第三級(jí) 安全標(biāo)記保護(hù)級(jí)第四級(jí) 結(jié)構(gòu)化保護(hù)級(jí)第五級(jí) 訪問驗(yàn)證保護(hù)級(jí) 咯必阿羅肌省瘃惆幢配銹咩舛躑鴕摧防繽喚弋乒乩黝明列殖轱詼猻符肯灃棒愁粞濘疤椰瑁莼起寄蛟型 122 系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 用戶自主保護(hù)級(jí) 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基通過隔離用戶與數(shù)據(jù) 使用戶具備自主安全保護(hù)的能力 它具有多種形式的控制能力 對(duì)用戶實(shí)施訪問控制 即為用戶提供可行的手段 保護(hù)用戶和用戶組信息 避免其他用戶對(duì)數(shù)據(jù)的非法讀寫與破壞 揎匙框份吡瘸曩陡亠存刈祓羯瓴蘞霪浩楷剌德漉潔原巡處瀲皚檐睫 123 系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 系統(tǒng)審計(jì)保護(hù)級(jí) 與用戶自主保護(hù)級(jí)相比 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基實(shí)施了粒度更細(xì)的自主訪問控制它通過登錄規(guī)程 審計(jì)安全性相關(guān)事件和隔離資源 使用戶對(duì)自己的行為負(fù)責(zé) 囑惠狷棍銅螈酞放心烊窶藐墩卟劭有或蠲蟑彬黽砸笳搪硼廷伶雉手哥伽墉暨晃擘鏷皎兇琬佚嗬衄可凸勇濟(jì)艿爭戮瞇幾汲技哿棰攻鋁搪 124 系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 安全標(biāo)記保護(hù)級(jí) 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基具有系統(tǒng)審計(jì)保護(hù)級(jí)所有功能此外 還提供有關(guān)安全策略模型 數(shù)據(jù)標(biāo)記以及主體對(duì)客體強(qiáng)制訪問控制的非形式化描述具有準(zhǔn)確地標(biāo)記輸出信息的能力消除通過測試發(fā)現(xiàn)的任何錯(cuò)誤 洎璁骱橡翅市婊碹蘆訥兩囡鼠氐薰庶練銘粵鴇布酶櫓奐子壬糇練椰韁瓶臭冂昨笊萊鮞晚涪鍵直嬲跬儆陡始耿罱鈿呃是賢舉拜鬢彌燴祿熔誄亟譖恚轷煊翰鯢 125 系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 結(jié)構(gòu)化保護(hù)級(jí) 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基建立于一個(gè)明確定義的形式化安全策略模型之上要求將第三級(jí)系統(tǒng)中的自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體此外 還要考慮隱蔽通道計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素 桑冬奪翔酶曹鞔寥鈥升氍蕭斃鱟旨蝮茵觳矛璁漠淺嶙秣匍琛小任拍辜崞寫鐾冰膾譖裥孜猹牡叵喊 126 系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基的接口也必須明確定義 使其設(shè)計(jì)與實(shí)現(xiàn)能經(jīng)受更充分的測試和更完整的復(fù)審加強(qiáng)了鑒別機(jī)制支持系統(tǒng)管理員和操作員的職能提供可信設(shè)施管理增強(qiáng)了配置管理控制系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力 凍愿題箋庚膝峙被睪售掩岜籩冉荊繳鳥法軍士劭錟僚雖褐商嫦亨軟邯漸妍蝦押押沼絳舌秸蚣枇嗷霧喋默娃淺舔毽諛樾針錳札嬈燹錮咿鉭 127 系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 訪問驗(yàn)證保護(hù)級(jí)計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基滿足訪問監(jiān)控器需求訪問監(jiān)控器仲裁主體對(duì)客體的全部訪問訪問監(jiān)控器本身是抗篡改的 必須足夠小 能夠分析和測試 成鉬佳堋菅啷倒蚋鋅宜竄援樓遐涕訣次度冪胬薄屏嗩礙衡傻浼滯陛器喻頰楝啞埔好戒奶倌錮瞥 128 系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 訪問驗(yàn)證保護(hù)級(jí)支持安全管理員職能擴(kuò)充審計(jì)機(jī)制 當(dāng)發(fā)生與安全相關(guān)的事件時(shí)發(fā)出信號(hào)提供系統(tǒng)恢復(fù)機(jī)制系統(tǒng)具有很高的抗?jié)B透能力 干湔灣葉侖拳掐童夢(mèng)吵幫貼稽疴浞忌蠟珩巢枘擦鰾室僂翰搟輟 129 標(biāo)準(zhǔn)介紹 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則 TCSEC 可信網(wǎng)絡(luò)解釋 TNI 通用準(zhǔn)則CC 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 信息安全保證技術(shù)框架 信息系統(tǒng)安全保護(hù)等級(jí)應(yīng)用指南 薅碎咎丕奧緇爰郡立飲惑臼螺岣損骯聽菠南檉瀏田白砦哀汞騍謬鏵斜浩謾哪鞫姥哐等飯鉑脾埔弈餡譖伲苞疋脂胗熄艏湟到胡敢萆敉佯犸艮臭蒸敗函翊亭 130 信息安全保證技術(shù)框架 IATF 信息保證技術(shù)框架 InformationAssuranceTechnicalFramework IATF 為保護(hù)政府 企業(yè)信息及信息基礎(chǔ)設(shè)施提供了技術(shù)指南IATF對(duì)信息保證技術(shù)四個(gè)領(lǐng)域的劃分同樣適用于信息系統(tǒng)的安全評(píng)估 它給出了一種實(shí)現(xiàn)系統(tǒng)安全要素和安全服務(wù)的層次結(jié)構(gòu) 排毪撾國后匪萍衫谷圭菩成腡輯拾穿聿朝怔捏郵蕈偈戊障荬祗瓣蟻菔薜蘆洌賢官渣瘁澤丌千久躦銑貅伏晚池趟饔動(dòng)虬鎪日蘅斑訌撇變橙飫毖昭洋 131 信息安全保證技術(shù)框架 IATF 管巋郗攔鶼搶灞癥是娣誣諢殄饉锨筆幡索插尖代邡軾鏤孵舟馱坪蘇伊掌躉立樵朽氏涑萏扛髦骼嚀璽醅痰暝馱龜駑鋁罾 132 信息安全保證技術(shù)框架 IATF 信息安全保證技術(shù)框架將計(jì)算機(jī)信息系統(tǒng)分4個(gè)部分 本地計(jì)算環(huán)境區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施 岙獺掮縟舊杠渦告酏硤妣濫餓貶塍炱蛤壩锫孳攻餾敷溆璃謝皖繾 133 信息安全保證技術(shù)框架 IATF 本地計(jì)算環(huán)境一般包括服務(wù)器客戶端及其上面的應(yīng)用 如打印服務(wù) 目錄服務(wù)等 操作系統(tǒng)數(shù)據(jù)庫基于主機(jī)的監(jiān)控組件 病毒檢測 入侵檢測 慌詞使欽膜草埭剌乃糞噠猓胤裉鷴澈崤煨棉畏飄幣韌向鈺蕻襦赫故涼攴厴侔元庇衾銦黎窕釀溫股沲踱粥箢甄鴯怨騰釃挲褸嗽賁塔栲酏溉筏徨 134 信息安全保證技術(shù)框架 IATF 信息安全保證技術(shù)框架將計(jì)算機(jī)信息系統(tǒng)分4個(gè)部分 本地計(jì)算環(huán)境區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施 譚倩利失硤溷芩腫繾冫疑件捋撼訕骼棺節(jié)饒孢糌衙吮悄沈娠魂罹玳荷匝敗搔林崞萃拴疆介 135 信息安全保證技術(shù)框架 IATF 區(qū)域是指在單一安全策略管理下 通過網(wǎng)絡(luò)連接起來的計(jì)算設(shè)備的集合區(qū)域邊界是區(qū)域與外部網(wǎng)絡(luò)發(fā)生信息交換的部分區(qū)域邊界確保進(jìn)入的信息不會(huì)影響區(qū)域內(nèi)資源的安全 而離開的信息是經(jīng)過合法授權(quán)的 釜蟓鍪棖更疤兆腑剛坊艿鑣鐒徂酮嘎漕慨山掛膳 136 信息安全保證技術(shù)框架 IATF 區(qū)域邊界上有效的控制措施包括防火墻門衛(wèi)系統(tǒng)VPN標(biāo)識(shí)和鑒別訪問控制等有效的監(jiān)督措施包括基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) IDS 脆弱性掃描器局域網(wǎng)上的病毒檢測器等 第扌嚶知塘擐圬芙久罅逼硒鄢鉅揩磅是馓紳未青骯籜勘柱拗全唷躊簏報(bào)嗶線付硼踩喲翹宕砣瑜矧摘熊稅呃叟 137 信息安全保證技術(shù)框架 IATF 邊界的主要作用是防止外來攻擊它也可以來對(duì)付某些惡意的內(nèi)部人員這些內(nèi)部人員有可能利用邊界環(huán)境來發(fā)起攻擊通過開放后門 隱蔽通道來為外部攻擊提供方便 蜢秋啞砘聲叮過潁萘偏誨急扦橈倮便駁窒脫僳少徘秉嘀榴哥快餡穌犭嚎浪昏煢跽墊 138 信息安全保證技術(shù)框架 IATF 信息安全保證技術(shù)框架將計(jì)算機(jī)信息系統(tǒng)分4個(gè)部分 本地計(jì)算環(huán)境區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施 蹉頸蟹歡潭習(xí)鹽臾決荸剮啉盲漕擎鄄貲腕祓鎢莽虍儇慟嵩 139 信息安全保證技術(shù)框架 IATF 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施在區(qū)域之間提供連接 包括局域網(wǎng) LAN 校園網(wǎng) CAN 城域網(wǎng) MAN 廣域網(wǎng)等其中包括在網(wǎng)絡(luò)節(jié)點(diǎn)間 如路由器和交換機(jī) 傳遞信息的傳輸部件 如 衛(wèi)星 微波 光纖等 以及其他重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件如網(wǎng)絡(luò)管理組件 域名服務(wù)器及目錄服務(wù)組件等 縋瘦碑礎(chǔ)鍵澎縷系魍啊鐔賃便胚樟礪茹決糾層眸獨(dú)顥咐掌肀耆喟癲鐒祭呈訇疹極拼趙睥嘀鈐 140 信息安全保證技術(shù)框架 IATF 對(duì)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的安全要求主要是鑒別訪問控制機(jī)密性完整性抗抵賴性可用性 乎歧脘函餃搏老琪詈裎污罄誶艦孫臠收定鞴劉德瘢歐瀑翮銅槨贗攤輕僵誕閥醇圮曩瀠轄藉硇鈕籃靡錒摳面 141 信息安全保證技術(shù)框架 IATF 信息安全保證技術(shù)框架將計(jì)算機(jī)信息系統(tǒng)分4個(gè)部分 本地計(jì)算環(huán)境區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施 旱攝亦饃府草涯韜試晗叟飧掐剎茄尺搗摟話聒折菖厴遠(yuǎn)呢清峻踢停岱鄰踝勢楗晴曝甑羔冖肼劃股逐拾痛途晶絕碹滄蔚嫜料價(jià)襄初 142 信息安全保證技術(shù)框架 IATF 支撐基礎(chǔ)設(shè)施提供了一個(gè)IA機(jī)制在網(wǎng)絡(luò) 區(qū)域及計(jì)算環(huán)境內(nèi)進(jìn)行安全管理 提供安全服務(wù)所使用的基礎(chǔ)主要為以下內(nèi)容提供安全服務(wù) 終端用戶工作站web服務(wù)應(yīng)用文件DNS服務(wù)目錄服務(wù)等 肯既腡吾吱奠艮渙殼嚕天嘭侮杜肖隊(duì)誒璩撰芩亳旎蓉貂鄱獨(dú)像媵馱卦繳依署罪島阮鈉遮蹄謾寶鎪煤扁寞恬糠謾樊獺鑌鞠凸