[精选]第11章-计算机网络安全标准简介.pptx

《[精选]第11章-计算机网络安全标准简介.pptx》由会员分享，可在线阅读，更多相关《[精选]第11章-计算机网络安全标准简介.pptx（43页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第11章 计算机网络安全标准简介重点和难点 的可信任的计算机系统评估准则 国际的通用准则 中国的计算机信息系统安全保护等级划分准则掌握 国际通用准则和我国计算机信息系统安全保护等级划分准则的基本内涵了解 计算机网络安全标准的形成过程 的可信任的计算机系统评估准则 信息安全保证技术框架所涉及的基本内容11.1 计算机网络安全标准的形成 在20世纪60年代，国防部成立了专门机构，开始研究计算机使用环境中的安全策略问题，70年代又在KSOS、PSOS和KVM操作系统上展开了进一步的研究工作，80年代，国防部发布了“可信计算机系统评估准则TCSEC，Trusted puter System Evalu

2、ation Criteria，简称桔皮书，后经修改用作了 国防部的标准，并相继发布了可信数据库解释TDI、可信网络解释TNI等一系列相关的说明和指南。1991年，英、法、德、荷四国针对TCSEC准则的局限性，提出了包含保密性、完整性、可用性等概念的欧洲“信息技术安全评估准则ITSEC，Information Technology Security Evaluation Criteria。1988年，加拿大开始制订“加拿大可信计算机产品评估准则CTCPEC，The Canadian Trusted puter Product Evaluation Criteria。该标准将安全需求分为机密性、完

3、整性、可靠性和可说明性四个层次。1993年，对TCSEC作了补充和修改，制定了“组合的联邦标准简称FC。1990年，国际标准化组织ISO开始开发通用的国际标准评估准则。1993年，由加拿大、法国、德国、荷兰、英国、NIST和 NSA六国七方联合开始开发通用准则CCInformation Technology Security mon Criteria。1996年1月发布CC1.0版，1996年4月被ISO采纳，1997年10月完成CC2.0的测试版，1998年5月发布CC2.0版。1999年12月ISO采纳CC通用标准，并正式发布国际标准ISO 15408。11.2 国外计算机网络安全标准 T

4、CSEC按处理信息的等级和所采用的响应措施，将计算机系统安全等级从低到高分成D、C、B、A四大类八个级别，共27条评估准则参见表11.1。1D类无保护级这是最低保护等级。该类是为那些经过评估，但不满足较高评估等级要求的系统设计的。11.2.1可信任的计算机系统评估准则TCSEC简介 类 别等 级安全功能D类无保护级无保护级很少保护措施，无安全功能C类自主保护级自主安全保护级C1级隔离用户和数据，实施用户访问控制，保护用户和用户组数据信息。控制访问保护级C2级除C1功能外，增加注册过程控制、相关事件审计和资源隔离功能。B类强制保护级标记安全保护级B1级除C2功能外，提供安全策略模型、数据标记和强

5、制访问控制功能。结构化保护级B2级除B1功能外，提供合理的可测试和审查的系统总体设计方案、鉴别机制，对所有主体与客体进行访问控制，对隐蔽信道进行分析，提供一定的抗渗透能力。安全区域保护级B3级除B2功能外，优化系统总体设计方案，扩充审计机制和系统恢复机制，提供安全警报和高抗渗透能力。A类验证保护级验证设计级A1级在安全功能上，A1级系统与B3级系统相同，其突出特点是：采用形式化设计标准和验证方法分析系统。超A1级在A1级基础上进行扩展安全范畴，已超出了目前技术的开展。表11.1 可信任的计算机系统评估准则TCSEC2C类自主保护等级该类采用自主访问控制和审计跟踪等措施实现一定的自主保护功能，具

6、有对主体责任及其动作审计的能力。C类系统一般只适用于具有一定等级的多用户环境。该类从低到高又分为C1级和C2级。1C1级自主安全保护级C1级TCB通过隔离用户与数据，使用户具备自主安全保护的能力；它具有多种形式的控制能力，对用户实施访问控制；为用户提供可行的手段，保护用户和用户组信息，防止其他用户对数据的非法读写与破坏；C1级的系统适用于处理同一敏感级别数据的多用户环境。2C2级控制访问保护级C2级计算机系统比C1级具有更细粒度的自主访问控制；C2级通过注册过程控制、审计安全相关事件以及资源隔离，使单个用户为其行为负责。3B类强制保护等级该类采用安全标记和强制访问控制等措施实现强制保护功能，主

7、要要求TCB能维护完整的安全标记，并在此基础上执行一系列强制访问控制规则。B类系统中的主要数据结构必须携带敏感标记；系统的开发者还应为TCB提供安全策略模型以及TCB规约；应提供证据证明访问监控器得到了正确的实施。该类从低到高又分为B1级、B2级和B3级。1B1级标记安全保护级B1级要求具有C2级系统的所有特性；在此基础上，还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制；并消除测试中发现的所有缺陷。2B2级结构化保护级B2级中的TCB建立于一个明确定义并文档化和形式化安全策略模型之上，要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体，并对隐蔽信道进

8、行分析。TCB应结构化为关键保护元素和非关键保护元素，明确定义TCB接口。TCB的设计与实现应能够经受更充分的测试和更完善的审查，增强鉴别机制功能，提供可信设施管理以支持系统管理员和操作员的职能，提供严格的配置管理控制。3B3级安全区域保护级B3级中的TCB必须满足访问监控器的需求，在构造TCB时，排除那些对实施安全策略来说并非必要的代码，在设计和实现TCB时，从系统工程角度将其复杂性降低到最小程度。访问监控器本身是抗篡改的、足够小、可分析和测试，应用它对所有主体对客体的访问进行仲裁。B3级系统支持安全管理员职能、扩充审计机制和系统恢复机制，当发生与安全相关的事件时，系统能发出信号。B3级系统

9、具有很高的抗渗透能力。4A类验证保护等级这是最高保护等级。A类系统的特点是使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息。系统提供丰富的文档信息用以证明TCB满足设计、开发及实现等各个方面的安全要求。该类从低到高细分为A1级和超A1级。1A1级验证设计级A1级系统在功能上和B3级系统是相同的，没有增加体系结构特性和策略要求。其突出特点是，要求用形式化设计标准和验证方法来对系统进行分析，确保TCB按设计要求实现。A1级系统要求更严格的配置管理；要求建立系统安全分发的程序；支持系统安全管理员的职能。2超A1级超A1级是在A1级基础上

10、增加了许多超出目前技术开展的安全措施。超A1级系统涉及的主要范围包括：系统体系结构、安全测试、形式化规约与验证和可信设计环境等。11.2.2 通用准则CC简介 CC主要包括简介和一般模型、安全功能要求以及安全保证要求三个局部。在安全保证要求局部提出了七个评估保证级别Evaluation Assurance Levels：EALs，从低到高依次为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7。通用准则CC仅适用于硬件、固件和软件实现的信息技术安全措施。1CC中的基本概念和评估方法1评估过程CC的评估依据是通用评估方法学、评估方案和CC评估准则。使用通用评估方法学可以提供结果

11、的可重复性和客观性；使用评估方案和评估准则可以提供结果的准确性和一致性。2安全概念所谓安全就是保护资产不受威胁，威胁可依据滥用被保护资产的可能性进行分类，所有的威胁类型都应该被考虑到。在安全领域内，被高度重视的威胁是和人们的恶意攻击及其它与人类活动相联系的行为。安全性损坏是指失去保密性、失去完整性和失去可用性。失去保密性是指资产破坏性地暴露于未授权的接收者；失去完整性是指资产由于未授权的更改而损坏；失去可用性是指资产访问权被未授权的获得等。3安全环境安全环境包括所有相关的法规、组织性安全策略、习惯、专门技术和知识，它定义了TOE使用的上下文。安全环境也包括环境里出现的安全威胁。为建立安全环境，

12、必须考虑以下几点：1TOE物理环境：指所有的与TOE安全相关的TOE运行环境，包括的物理和人事的安全安排。2安全目的：安全环境的分析结果被用来说明对抗已标识的威胁、说明组织性安全策略和假设的安全目的；安全目的和已说明的TOE运行目标或产品目标以及有关的物理环境知识一致。3IT安全要求：IT安全要求是将安全目的细化为一系列TOE及其环境的安全要求。4TOE概要标准：ST中提供的TOE概要标准定义TOE安全要求的实现方法。4安全要求的描述方法安全要求是按“类族组件元素的描述结构表达的，并附加在其ST中。1类：类被用作最通用安全要求的组合，类的所有的成员关注共同的安全焦点，但所覆盖安全目的是不同的。

13、2族：类的成员被称为族。3组件：族的成员被称为组件。组件描述一组特定的安全要求集。4元素：组件由单个元素组成，元素是安全需求最低层次的表达，并且是能被评估验证的不可分割的安全要求。5安全需求的描述方法1包：组件的中间组合被称为包。包允许对功能或保证需求集合的描述，这个集合能够满足一个安全目标的可标识子集；包可重复使用，可用来定义那些公认有用的、能够有效满足特定安全目标的要求。2保护轮廓PP：PP是关于一系列满足一个安全目标集的TOE的、与实现无关的描述。PP包含一套来自CC或明确阐述的安全要求，它应包括一个评估保证级别EAL；PP包括安全目的和安全要求的基本原理；PP的开发者可以是用户团体、I

14、T产品开发者或其它对定义这样一系列通用要求有兴趣的团体。IT环境安全要求PP应用注解PP标识PP概述假设威胁组织性安全策略TOE安全目的环境安全目的安全目的基本原理安全要求基本原理TOE安全功能要求TOE安全保证要求保护轮廓PP引言TOE描述TOE安全环境安全目的IT安全要求基本原理TOE安全要求图11.2 保护轮廓PP的描述结构 3安全目标ST：ST是针对特定TOE安全要求的描述，通过评估可以证明这些安全要求对满足指定目的是有用和有效的。图11.4 PP、ST和TOE三种评估的关系评估PP评估TOEPP分类评估ST证书分类PP评估结果TOE评估结果ST评估结果已评估过的TOE6评估类型CC框

15、架下的评估类型有PP评估、ST评估和TOE评估三种，其关系如图11.4所示。1PP评估：PP评估是依照CC第3局部的PP评估准则进行的。其目标是为了证明PP是完备的、一致的、技术合理的，而且适合于作为一个可评估TOE的安全要求的声明。2ST评估：针对TOE的ST评估是依照CC第3局部的ST评估准则进行的。3TOE评估：TOE评估是使用一个已经评估过的ST作为基础，依照CC第3局部的评估准则进行的。其目标是为了证明TOE满足ST中的安全要求。2TOE的评估过程如图11.5所示 PP与ST 安全需求开发TOETOE和评估评估TOE评估结果操作TOE评估方案评估方法评估准则反响图11.5 TOE的评

16、估过程示意图3CC的安全功能要求CC中提出了11类安全功能，并给出了详细说明和具体要求。对于超出CC定义范围的安全功能，提出了描述标准，开发者可以根据“类-族-组件-元素的描述结构表达其安全要求，并附加在其ST中。CC给出的11类安全功能如下：1FAU类安全审计。2FCO类通信。3FCS类密码支持。4FDP类用户数据保护。5FIA类标识与鉴别。6FMT类安全管理。7FPR类隐秘。8FPT类TFS保护。9FAU类资源利用。10FTA类TOE访问。11FTP类可信信道/路径。4CC的安全保证要求CC中提出了PP、ST、TOE三种评估方法、七个评估保证级别和10个安全保证类，其中，APE类与ASE类

17、分别介绍了PP与ST的描述结构及评估准则，维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求，只有七个安全保证类是TOE的评估类别，这七个安全保证类分别是：1ACM类配置管理。2ADO类分发与操作。3ADV类开发。4AGD类指导性文档。5ALC类生命周期支持。6ATE类测试。7AVA类脆弱性评定。11.3 国内计算机网络安全标准 我国政府提出计算机信息系统实行安全等级保护，并于1999年公布了国家标准GB17859-1999，即计算机信息系统安全保护等级划分准则以下简称准则。它是我国计算机信息系统安全保护等级工作的基础。其相关技术标准还包括：计算机信息系统安全等级保护操作系统

18、技术要求GA 388-2002计算机信息系统安全等级保护管理要求GA 391-2002计算机信息系统安全等级保护网络技术要求GA/T 387-2002计算机信息系统安全等级保护数据库管理系统技术要求GA/T 389-2002计算机信息系统安全等级保护通用技术要求GA/T 390-2002。11.3.1 计算机信息系统安全保护等级划分准则准则中规定的计算机系统安全保护等级从低到高依次为：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级五个保护级别。1用户自主保护级计算机信息系统可信计算基TCB通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，

19、对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，防止其他用户对数据的非法读写与破坏。2系统审计保护级与用户自主保护级相比，计算机信息系统可信计算基实施了粒度更细的自主访问控制。3安全标记保护级计算机信息系统可信计算基具有系统审计保护级所有功能。提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述，具有准确地标记输出信息的能力和消除通过测试发现的任何错误。4结构化保护级计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上。5访问验证保护级计算机信息系统可信计算基满足访问监控器需求，访问监控器仲裁主体对客体的全部访问，访问监控器本身是抗篡改的、必须

20、足够小、能够分析和测试，支持安全管理员职能，扩充审计机制，当发生与安全相关的事件时发出信号，提供系统恢复机制，系统具有很高的抗渗透能力。表11.2 国家标准与国外标准的比照11.3.2 信息系统安全等级保护应用概要1计算机信息系统安全等级保护通用技术要求通用技术要求共分6个局部，前3个局部主要介绍了通用技术要求的应用范围、标准性引用文件、以及术语和定义。第4局部是安全功能技术要求。在这里，对计算机信息系统安全功能的实现进行了完整的描述，并对实现这些安全功能所涉及的所有因素做了较为全面的说明。安全功能包括物理安全、运行安全和信息安全三个方面。物理安全也称实体安全，是指包括环境设备和记录介质在内的

21、所有支持信息系统运行的硬件的安全，它是一个信息系统安全运行的基础。计算机网络信息系统的实体安全包括环境安全、设备安全和介质安全。运行安全是指在物理安全得到保障的前提下，为确保计算机信息系统不间断运行而采取的各种检测、监控、审计、分析、备份及容错等方法和措施。信息安全是指在计算机信息系统运行安全得到保证的前提下，对在计算机信息系统中存储、传输和处理的信息进行有效的保护，使其不因人为的或自然的原因被泄露、篡改和破坏。第5局部是安全保证技术要求。为了确保所要求的安全功能到达所确定的安全目标，必须从TCB自身安全保护、TCB设计和TCB安全管理三个方面保证安全功能从设计、实现到运行管理等各个环节严格按

22、照所规定的要求进行。TCB自身安全保护是指：一方面提供与TSF机制的完整性和管理有关的保护，另一方面提供与TSF数据的完整性有关的保护。它可能采用与对用户数据安全保护相同的安全策略和机制，但其所要实现的目标是不同的。前者是为了自身更健壮，从而使其所提供的安全功能更有保证；后者则是为了实现其直接所提供的安全功能。第6局部是安全保护等级划分要求。安全功能主要说明一个计算机信息系统所实现的安全策略和安全机制符合哪一等级的功能要求；安全保证则是通过一定的方法保证计算机信息系统所提供的安全功能确实到达了确定的功能要求和强度。安全功能要求从物理安全、运行安全和信息安全三个方面对一个安全的计算机信息系统所应

23、提供的与安全有关的功能进行描述。安全保证要求则分别从TCB自身安全、TCB的设计和实现和TCB安全管理三个方面进行描述。2计算机信息系统安全等级保护网络技术要求网络技术要求共分7个局部，前3个局部主要介绍了网络技术要求的应用范围、标准性引用文件、以及术语和定义。第4局部是概述，主要描述了一般性要求、安全等级划分、主体和客体、TCB、引起信息流动的方式、密码技术和安全网络系统的实现方法。第5局部是网络的基本安全技术，在这里，对各种安全要素的策略、机制、功能、用户属性定义、安全管理和技术要求等做了具体的说明。主要描述了自主访问控制、强制访问控制、标记、用户身份鉴别、剩余信息保护、安全审计、数据完整

24、性、隐蔽信道分析、可信路径、可信恢复、抗抵赖和密码支持等内容。第6局部是网络安全技术要求，主要从对网络系统的安全等级进行划分的角度来说明不同安全等级在安全功能方面的特定技术要求。第7局部是网络安全等级保护技术要求，主要针对七层网络体系结构中的每一层，介绍了各个网络安全等级的具体要求，以及每个等级中对各个安全要素的具体要求。同时针对每个安全等级，介绍了在网络体系结构中的每层的具体要求，以及每层中对各个安全要素的具体要求。根据ISO/OSI的七层体系结构，网络安全机制在各层的分布如下：1物理层：数据流加密机制。2数据链路层：数据加密机制。3网络层：身份认证机制，访问控制机制，数据加密机制，路由控制

25、机制，一致性检查机制。4传输层：身份认证机制，访问控制机制，数据加密机制。5会话层：身份认证机制，访问控制机制，数据加密机制，数字签名机制，交换认证抗抵赖机制。6表示层：身份认证机制，访问控制机制，数据加密机制，数字签名机制，交换认证抗抵赖机制。7应用层：身份认证机制，访问控制机制，数据加密机制，数字签名机制，交换认证抗抵赖机制，业务流分析机制。网络系统安全体系结构是由物理层、链路层、网络层、传输层、会话层、表示层、以及应用层信息系统所组成。11.4 信息安全保证技术框架IATF信息保证技术框架Information Assurance Technical Framework：IATF把信息保

26、证技术划分为本地计算环境LCE，Local puting Environment、区域边界EB，Enclave Boundaries、网络和基础设施NI，Networks&Infrastructures和支撑基础设施SI，Supporting Infrastructures四个领域，并给出了一种实现系统安全要素和安全效劳的层次结构，如图11.6所示。图11.6 信息安全保证技术框架IATF示意图1本地计算环境本地计算环境一般包括效劳器、客户端及其上面的应用、操作系统、数据库和基于主机的监控组件等。2区域边界区域是指在单一安全策略管理下、通过网络连接起来的计算设备的集合。区域边界是区域与外部网络

27、发生信息交换的局部，它应确保进入的信息不会影响区域内资源的安全，而离开的信息是经过合法授权的。边界的主要作用是防止外来攻击，它也可以用来对付某些恶意的内部人员，这些内部人员有可能利用边界环境来发起攻击，并通过开放后门/隐蔽通道来等为外部攻击者提供方便。3网络和基础设施网络和基础设施在区域之间提供连接，包括在网络节点间传递信息的传输部件，以及其他重要的网络基础设施组件如网络管理组件、域名效劳器及目录效劳组件等。4支撑基础设施支撑基础设施提供了一个IA机制在网络、区域及计算环境内进行安全管理、提供安全效劳所使用的基础。主要为终端用户工作站、web效劳、应用、文件、DNS效劳、目录效劳等内容提供安全效劳。IATF中涉及到两个方面的支撑基础设施：一个是KMI/PKI；另一个是检测响应基础设施。KMI/PKI提供了一个公钥证书及传统对称密钥的产生、分发及管理的统一过程。检测及响应基础设施提供对入侵的快速检测和响应，包括入侵检测、监控软件、CERT等。另外，在信息保证技术框架IATF下，还提出了深度保卫战略的概念。所谓深度保护战略是指：保卫网络和基础设施、保卫边界、保卫计算环境和保卫支持基础设施。