【文档说明】信息安全导论-ch21-安全评估.pptx，共(54)页，155.435 KB，由精品优选上传

转载请保留链接：https://www.ichengzhen.cn/view-287950.html

以下为本文档部分文字说明：

ВΓ安全评估2005-2007ВΓToC•安全评估准则–DOD/TCSEC橘皮书–DOD/TNI红皮书–ITSEC–CSSC–NIST/FIPS–CC–BS7799–密码设备的评估•安全方案的规划–需求分析–具体方案–基础设施–产品规划ВΓ关于安全评估•需要什么

样的安全•使用什么技术•买什么产品•对产品的评估•如何部署和实施•对运行系统的现状的评估•标准：关于建立、评估、审计ВΓ沿革关系•TCSEC/85/AM•┣ITSEC/90/EU┓•┣CTCPEC/90/CA┃•┗FC/91/AM┫•┗CC/95(99IS)•BS7799/95/EN•┗ISO17

799/2000/ISOВΓDOD/TCSECВΓC级自主保护级•C级–具有一定的保护能力，采用自主访问控制和审计跟踪–一般只适用于具有一定等级的多用户环境–具有对主体责任及其动作审计的能力•C1级自主安

全保护级–隔离用户与数据，使用户具备自主安全保护的能力–为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏–适用于处理同一敏感级别数据的多用户环境•C2级控制访问保护级–比C1级具有更细粒度的自主访问控制–通过注册过程控制、审计安全相关事件以及资源隔离，使单

个用户为其行为负责ВΓB级强制保护级•B级–维护完整的安全标记，并在此基础上执行一系列强制访问控制规则–主要数据结构必须携带敏感标记–提供安全策略模型以及规约–应提供证据证明访问监控器得到了正确的实施•B1级标记安全保护级–要求具有C2级系统的所有特性–应提供安全策

略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制–消除测试中发现的所有缺陷ВΓ-•B2级结构化保护级–要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体–鉴别机制应得到加强，提供可信设施管理以支持系统管理员和操作员的职能–提供严格的配置管理控制–B2级系

统应具备相当的抗渗透能力ВΓ-•B3安全区域保护级–安全管理员职能–扩充审计机制–当发生与安全相关的事件时，发出信号–提供系统恢复机制–系统具有很高的抗渗透能力ВΓA级验证保护级•A级–使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统

中存储和处理的秘密信息或其他敏感信息–为证明满足设计、开发及实现等各个方面的安全要求，系统应提供丰富的文档信息•A1级验证设计级–在功能上和B3级系统是相同的–要求用形式化设计规范和验证方法来对系统进行分析，确保按设计要求实现ВΓ-•超A1级–系统体系结构–安全测试–形式化规约与验

证–可信设计环境等ВΓTNI•TNI–TrustedNetworkInterpretationoftheTCSEC–Goto“TNI.htm”“TNIEG.htm”•Content–PartI–PartII–APPENDIXA,B,CВΓ

TNI/I•PartIofthisdocumentprovidesinterpretationsoftheDepartmentofDefenseTrustedComputerSystemEvaluationCriteria(TCSEC)(DOD-520

0.28-STD),fortrustedcomputer/communicationsnetworksystems.Thespecificsecurityfeature,theassurancerequirement

s,andtheratingstructureoftheTCSECareextendedtonetworksofcomputersrangingfromisolatedlocalareanetworkstowide-areainternetworksystems.ВΓTNI/I

I•PartIIofthisdocumentdescribesanumberofadditionalsecurityservices(e.g.,communicationsintegrity,denialofservice,transmissionsecurity)thatariseinconj

unctionwithnetworks.Thoseservicesavailableinspecificnetworkofferings,whileinappropriatefortherigorousevaluationappliedtoTCSECrelatedfeatureandassu

rancerequirements,mayreceivequalitativeratings.ВΓITSEC•ITSECbyEuropeanUnion–InformationTechnologySecurityEvaluationCriteria•Goto“i

tsec-en.pdf”–Ex递增•E0–无安全保证•E1–有安全目标和关于体系结构设计的非形式化描述•E2–对详细设计有非形式化的描述ВΓ-•E3–评估源代码或硬件设计图•E4–有对安全目标/策略的基本形式模型•E5–设计和源代码/硬件有紧密的对应关系•E6–安全功能/体系结构设计与

安全目标/策略模型一致ВΓCSSC’CTCPEC•CSSC:CTCPEC»Goto“ctcpec1.pdf”–CanadianSystemSecurityCentre:CanadianTrustedComputerProductEvaluationCr

iteria–ItisacomputersecuritystandardcomparabletotheAmericanTCSEC("OrangeBook")butsomewhatmoreadvanced.Ithasbeensupersededbyth

einternationalCommonCriteriastandard.–可和TCSEC相比，但更进步–已被国际标准CC替代ВΓNIST/FIPSВΓCCВΓCC3Parts•Part1IntroductionandGeneralModel•Pa

rt2SecurityFunctionalRequirementsAnnexes•Part3SecurityAssuranceRequirements•refto:////addon_11/CC_Overview.pptВΓCC/EA

LEvaluationAssuranceLevels•EAL1：功能测试•EAL2：结构测试•EAL3：系统测试和检查•EAL4：系统设计、测试和复查•EAL5：半形式化设计和测试•EAL6：半形式化验证的设计和测试•EAL7：形式化验证的设计和

测试ВΓEAL1:FunctionalTest•Confidenceincurrentoperationisrequired•NoassistancefromTOEdeveloper•Applicablewherethreatt

osecurityisnotserious•IndependenttestingagainstspecificationandguidancedocumentationВΓEAL2:StructuralTest•Requiressomecooperationofthedeveloper

•Addsrequirementsforconfigurationlist,delivery,high-leveldesigndocumentation,developerfunctionaltestin

g,vulnerabilityanalysis,andmoreextensiveindependenttestingВΓEAL3:MethodicalTestandCheck•Requiressomepositivesecurityen

gineeringatthedesignstage,withminimalchangestoexistingpractices•Addedassurancethroughinvestigationofproductanddevelopmentenvironmentc

ontrols,andhigh-leveldesigndocumentation•Placesadditionalrequirementsontesting,developmentenvironmentcontrolsa

ndTOEconfigurationmanagementВΓEAL4:MethodicalDesign,Test,andReview•Highestlevellikelyforretrofitofanexistingproduct•Additionalrequirements

ondesign,implementation,vulnerabilityanalysis,lowleveldesigndocumentation,developmentandsystemautomatedconfigurationma

nagement,andaninformalsecuritypolicymodelВΓEAL5:SemiformalDesignandTest•Higherassurance,risksituations–whe

resomepenetrationresistanceisneeded•Requiresrigorouscommercialdevelopmentpracticesandmoderateuseofspecialistengineeringtechniques•Additi

onalrequirementsonsemi-formalfunctionalspecification,high-leveldesign,andtheircorrespondence,vulnerability,andcovertchannelanal

ysisВΓEAL6:SemiformallyVerifiedDesignandTested•HighAssurance-wherepenetrationresistanceisnecessary•Additionalrequirementsonanalys

is,layeredTOEdesign,semi-formallow-leveldesigndocumentation,completeCMsystemautomationandastructureddevelopmentenvir

onment,andvulnerability/covertchannelanalysisВΓEAL7:FormallyVerifiedDesignandTested•Highestassurance–wherehighre

sistancetopenetrationisnecessary•Assuranceisgainedthroughapplicationofformalmethodsinthedocumentationofthefunctionalspeci

ficationandhigh-leveldesign•Additionalrequirementsforcompletedevelopertestingandcompleteindependentconfirmat

ionofthetestresultsВΓCOMP•CCTCSECITSEC-DE0EAL1--EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E6ВΓBS7799•BS7799–byBSI–theBriti

shStandardsInstitution–2000,ISO/17799–Goto:“BS7799-1_1999(ISO).doc”•Twoparts–ISO17799–BS7799-2ВΓBS7799s介绍•有关敏感资料管理的国际认可标准，强调资料的保密性及完整性。•此标准可分为两

部份：首部份为准则部份，旨在协助机构确认其运作对资料保密方面的影响，这项准则已纳入ISO品质认证的范畴之内（ISO17799认证），涵盖10大范畴，127控制点；•次部份为施行细则，是有关资料保密管理系统InformationSecurityManagementSystem的架构、目标以

及监控。•BS7799认证标准早于一九九五年确立，旨在协助各行各业及政府机构加强资料保安，一直获各地机构广泛采用，某些国家政府更将BS7799认证列为全国通用的标准。ВΓParts1,2•Part1:ISO/IEC17799:2000–thestandardcodeofpracticeandcan

beregardedasacomprehensivecatalogueofgoodsecuritythingstodo.•Part2:BS7799-2:2002Specifyforsecuritymanagemen

t–astandardspecificationforanInformationSecurityManagementSystems(ISMS).–AnISMSisthemeansbywhichSeniorManagementmonitorandco

ntroltheirsecurity,minimisingtheresidualbusinessriskandensuringthatsecuritycontinuestofulfilcorporate,cu

stomerandlegalrequirements.ВΓToCofP1•Informationsecuritypolicy•Securityorganization•Assetsclassificationandcontrol•Personalsecurity•Ph

ysicalandenvironmentalsecurity•Computerandnetworkmanagement•Systemaccesscontrol•Systemdevelopmentandmaintenance•Businesscontinuityp

lanning•ComplianceВΓBS7799认证ВΓlinksВΓ对密码设备的评估•国内相关的法规–《商用密码管理条例》–…•国外–NISTFIPS140-2•http://csrc.nist.gov/cryptval/140-2.htm•http://csrc.nist.go

v/cryptval/–Goto“fips140-2.pdf”“fips140-2_SL.1-4.txt”“fips140faq.htm”ВΓSecurityLevel1•//该级提供安全的最低水平。不要求物理安全机制。一个例子就是PC机加密板。•//该级允许在

未经评估的一般商用机器系统上运行你的密码模块。这主要是为了方便一些低安全需求的场合。“fips140-2_SL.1-4.txt”ВΓSecurityLevel2•//该级增加了防干扰或窜改的物理安全机制要求，包括封装、封条、防撬等。•//该级

要求最小的基于角色的认证。•//该级允许相关部件运行在具有EAL2/CC安全级别的计算系统上。ВΓSecurityLevel3•//该级阻止试图对密码模块的入侵，并在必要时自毁敏感信息。•//该级要求基于标识的认证机制。•//该级系统得具有EAL3/CC安全级

。ВΓSecurityLevel4•//该级对密码模块提供彻底的封装保护，能探测到非授权的物理访问，并能及时的删除所有明文信息。•//必须考虑外部的高温、高压导致的操作失效；非正常操作可以引发故意的内部爆炸。•//该级系统得运行在EAL4

/CC以上安全级上。ВΓLinksВΓRainbowSeriesLibraryВΓ－ВΓ国内的安全评测与等级•关于国外标准•GB–《~计算机信息系统安全保护条例》/94goto→–《商用密码管理条例》go

to→•《计算机信息系统安全保护等级划分准则》–第一级：用户自主保护级–第二级：系统审计保护级–第三级：安全标记保护级–第四级：结构化保护级–第五级：访问验证保护级ВΓ附准则•计算机信息系统安全保护等级划分准则ВΓ学习：外部资料•Goto“certificationsyst

em.pdf”ВΓ整体安全解决方案的规划•需求分析•具体方案•基础设施•产品规划ВΓ需求分析•环境与策略•安全功能•性能考虑•运行开销•标准化和国际化•用户接受性ВΓ具体方案•标准和产品•体系结构布局•安全技术和算法•失败-恢复策略ВΓ基础设施•命名管理•安全管理基础设施–认证–

访问控制–密钥管理–证书管理–配置管理–远程监视–安全审计追踪报警ВΓ产品规划•产品周期–设计–制造–运输–安装–操作–维护–退役•评价和认可ВΓ应用系统案例考虑•图书馆信息管理系统–提供的服务和功能–面临的主要安全问题–要求的安全服务–建议的安全机制和方案–访问控制•学生宿舍网络系统–…ВΓ

linksВΓQ&A