【文档说明】信息安全导论-ch21-安全评估.pptx,共(54)页,155.435 KB,由精品优选上传
转载请保留链接:https://www.ichengzhen.cn/view-287950.html
以下为本文档部分文字说明:
ВΓ安全评估2005-2007ВΓToC•安全评估准则–DOD/TCSEC橘皮书–DOD/TNI红皮书–ITSEC–CSSC–NIST/FIPS–CC–BS7799–密码设备的评估•安全方案的规划–需求分析–具体方案–基础设施–产品规划ВΓ关于安全评估•
需要什么样的安全•使用什么技术•买什么产品•对产品的评估•如何部署和实施•对运行系统的现状的评估•标准:关于建立、评估、审计ВΓ沿革关系•TCSEC/85/AM•┣ITSEC/90/EU┓•┣CTCPEC/90/CA┃•┗FC/91/AM┫•┗CC/95(99IS)•B
S7799/95/EN•┗ISO17799/2000/ISOВΓDOD/TCSECВΓC级自主保护级•C级–具有一定的保护能力,采用自主访问控制和审计跟踪–一般只适用于具有一定等级的多用户环境–具有对主体
责任及其动作审计的能力•C1级自主安全保护级–隔离用户与数据,使用户具备自主安全保护的能力–为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏–适用于处理同一敏感级别数据的多用户
环境•C2级控制访问保护级–比C1级具有更细粒度的自主访问控制–通过注册过程控制、审计安全相关事件以及资源隔离,使单个用户为其行为负责ВΓB级强制保护级•B级–维护完整的安全标记,并在此基础上执行一系列强制访问控制规则–主要数据结
构必须携带敏感标记–提供安全策略模型以及规约–应提供证据证明访问监控器得到了正确的实施•B1级标记安全保护级–要求具有C2级系统的所有特性–应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制–消除测试中发现的所有缺陷В
Γ-•B2级结构化保护级–要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体–鉴别机制应得到加强,提供可信设施管理以支持系统管理员和操作员的职能–提供严格的配置管理控制–B2级系统应具备相当的抗渗透能力ВΓ-
•B3安全区域保护级–安全管理员职能–扩充审计机制–当发生与安全相关的事件时,发出信号–提供系统恢复机制–系统具有很高的抗渗透能力ВΓA级验证保护级•A级–使用形式化的安全验证方法,保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息–为证明满足设计、开发及实现等
各个方面的安全要求,系统应提供丰富的文档信息•A1级验证设计级–在功能上和B3级系统是相同的–要求用形式化设计规范和验证方法来对系统进行分析,确保按设计要求实现ВΓ-•超A1级–系统体系结构–安全测试–
形式化规约与验证–可信设计环境等ВΓTNI•TNI–TrustedNetworkInterpretationoftheTCSEC–Goto“TNI.htm”“TNIEG.htm”•Content–PartI–PartII–APPENDIXA,B,CВΓTNI/I•PartIofth
isdocumentprovidesinterpretationsoftheDepartmentofDefenseTrustedComputerSystemEvaluationCriteria(TCSEC)(DOD-5200.28
-STD),fortrustedcomputer/communicationsnetworksystems.Thespecificsecurityfeature,theassurancerequirements,andtheratingst
ructureoftheTCSECareextendedtonetworksofcomputersrangingfromisolatedlocalareanetworkstowide-areainternetworks
ystems.ВΓTNI/II•PartIIofthisdocumentdescribesanumberofadditionalsecurityservices(e.g.,communicationsintegrity,d
enialofservice,transmissionsecurity)thatariseinconjunctionwithnetworks.Thoseservicesavailableinspecificnetworkofferings,while
inappropriatefortherigorousevaluationappliedtoTCSECrelatedfeatureandassurancerequirements,mayreceivequalitativeratings.ВΓITSEC•ITSECbyEurope
anUnion–InformationTechnologySecurityEvaluationCriteria•Goto“itsec-en.pdf”–Ex递增•E0–无安全保证•E1–有安全目标和关于体系结构设计的非形式化描述•E2–对详细设计有非形式化的描述ВΓ-•E3–
评估源代码或硬件设计图•E4–有对安全目标/策略的基本形式模型•E5–设计和源代码/硬件有紧密的对应关系•E6–安全功能/体系结构设计与安全目标/策略模型一致ВΓCSSC’CTCPEC•CSSC:CTCPEC»Goto“ctcpec1.pdf”–Can
adianSystemSecurityCentre:CanadianTrustedComputerProductEvaluationCriteria–Itisacomputersecuritystandardcomparableto
theAmericanTCSEC("OrangeBook")butsomewhatmoreadvanced.IthasbeensupersededbytheinternationalCommonCriteriastandar
d.–可和TCSEC相比,但更进步–已被国际标准CC替代ВΓNIST/FIPSВΓCCВΓCC3Parts•Part1IntroductionandGeneralModel•Part2SecurityF
unctionalRequirementsAnnexes•Part3SecurityAssuranceRequirements•refto:////addon_11/CC_Overview.pptВΓCC/EALEvaluationAssuranceLeve
ls•EAL1:功能测试•EAL2:结构测试•EAL3:系统测试和检查•EAL4:系统设计、测试和复查•EAL5:半形式化设计和测试•EAL6:半形式化验证的设计和测试•EAL7:形式化验证的设计和测试ВΓEAL1:Functiona
lTest•Confidenceincurrentoperationisrequired•NoassistancefromTOEdeveloper•Applicablewherethreattosecurityisnotserious•
IndependenttestingagainstspecificationandguidancedocumentationВΓEAL2:StructuralTest•Requiressomecooperationofthedeveloper•Addsrequirementsforconfigur
ationlist,delivery,high-leveldesigndocumentation,developerfunctionaltesting,vulnerabilityanalysis,andmoreextensiveindependenttestingВΓEAL3:
MethodicalTestandCheck•Requiressomepositivesecurityengineeringatthedesignstage,withminimalchangestoexistingpractices•Addedassura
ncethroughinvestigationofproductanddevelopmentenvironmentcontrols,andhigh-leveldesigndocumentation•P
lacesadditionalrequirementsontesting,developmentenvironmentcontrolsandTOEconfigurationmanagementВΓEAL4:MethodicalDesign,Test,an
dReview•Highestlevellikelyforretrofitofanexistingproduct•Additionalrequirementsondesign,implementation,vulnera
bilityanalysis,lowleveldesigndocumentation,developmentandsystemautomatedconfigurationmanagement,andaninformalsecuritypolicymodelВ
ΓEAL5:SemiformalDesignandTest•Higherassurance,risksituations–wheresomepenetrationresistanceisneeded•Req
uiresrigorouscommercialdevelopmentpracticesandmoderateuseofspecialistengineeringtechniques•Additionalrequirementsonsemi-formalfunctionalspeci
fication,high-leveldesign,andtheircorrespondence,vulnerability,andcovertchannelanalysisВΓEAL6:SemiformallyVer
ifiedDesignandTested•HighAssurance-wherepenetrationresistanceisnecessary•Additionalrequirementsonanalysis,layeredTOEdesign,semi-formallow-leveldesi
gndocumentation,completeCMsystemautomationandastructureddevelopmentenvironment,andvulnerability/covertchannelanalysisВΓEAL7:FormallyVerifiedDesigna
ndTested•Highestassurance–wherehighresistancetopenetrationisnecessary•Assuranceisgainedthroughapplicationofformalmethodsinthedocumentationof
thefunctionalspecificationandhigh-leveldesign•Additionalrequirementsforcompletedevelopertestingandcompleteindepen
dentconfirmationofthetestresultsВΓCOMP•CCTCSECITSEC-DE0EAL1--EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E6ВΓBS7799•BS7799
–byBSI–theBritishStandardsInstitution–2000,ISO/17799–Goto:“BS7799-1_1999(ISO).doc”•Twoparts–ISO17799–BS7799-2ВΓBS7799s介绍•有关敏感资料管理的国际
认可标准,强调资料的保密性及完整性。•此标准可分为两部份:首部份为准则部份,旨在协助机构确认其运作对资料保密方面的影响,这项准则已纳入ISO品质认证的范畴之内(ISO17799认证),涵盖10大范畴,127控制点;•次部份为施行细则,是
有关资料保密管理系统InformationSecurityManagementSystem的架构、目标以及监控。•BS7799认证标准早于一九九五年确立,旨在协助各行各业及政府机构加强资料保安,一直获各地机构广泛采用,某些国家政府更将
BS7799认证列为全国通用的标准。ВΓParts1,2•Part1:ISO/IEC17799:2000–thestandardcodeofpracticeandcanberegardedasacomprehensive
catalogueofgoodsecuritythingstodo.•Part2:BS7799-2:2002Specifyforsecuritymanagement–astandardspecificationforanInformationSecurityManageme
ntSystems(ISMS).–AnISMSisthemeansbywhichSeniorManagementmonitorandcontroltheirsecurity,minimisingtheresidualbusinessriskandensuringthatse
curitycontinuestofulfilcorporate,customerandlegalrequirements.ВΓToCofP1•Informationsecuritypolicy•Securityorganization•A
ssetsclassificationandcontrol•Personalsecurity•Physicalandenvironmentalsecurity•Computerandnetworkmanagement•Systemac
cesscontrol•Systemdevelopmentandmaintenance•Businesscontinuityplanning•ComplianceВΓBS7799认证ВΓlinksВΓ对密码设备的评估
•国内相关的法规–《商用密码管理条例》–…•国外–NISTFIPS140-2•http://csrc.nist.gov/cryptval/140-2.htm•http://csrc.nist.gov/cryptval/–Goto“fips140-2.pd
f”“fips140-2_SL.1-4.txt”“fips140faq.htm”ВΓSecurityLevel1•//该级提供安全的最低水平。不要求物理安全机制。一个例子就是PC机加密板。•//该级允许在
未经评估的一般商用机器系统上运行你的密码模块。这主要是为了方便一些低安全需求的场合。“fips140-2_SL.1-4.txt”ВΓSecurityLevel2•//该级增加了防干扰或窜改的物理安全机制要求,包括封装、封条、防撬等。•//该级
要求最小的基于角色的认证。•//该级允许相关部件运行在具有EAL2/CC安全级别的计算系统上。ВΓSecurityLevel3•//该级阻止试图对密码模块的入侵,并在必要时自毁敏感信息。•//该级要求基于标识的认证机制。•//该级系统得具有EAL3/CC安全级。В
ΓSecurityLevel4•//该级对密码模块提供彻底的封装保护,能探测到非授权的物理访问,并能及时的删除所有明文信息。•//必须考虑外部的高温、高压导致的操作失效;非正常操作可以引发故意的内部爆
炸。•//该级系统得运行在EAL4/CC以上安全级上。ВΓLinksВΓRainbowSeriesLibraryВΓ-ВΓ国内的安全评测与等级•关于国外标准•GB–《~计算机信息系统安全保护条例》/94
goto→–《商用密码管理条例》goto→•《计算机信息系统安全保护等级划分准则》–第一级:用户自主保护级–第二级:系统审计保护级–第三级:安全标记保护级–第四级:结构化保护级–第五级:访问验证保护级ВΓ附准则•计算机信息系统安全保护
等级划分准则ВΓ学习:外部资料•Goto“certificationsystem.pdf”ВΓ整体安全解决方案的规划•需求分析•具体方案•基础设施•产品规划ВΓ需求分析•环境与策略•安全功能•性能考虑•运行开销•标准化和国际化•用户接受性ВΓ具体
方案•标准和产品•体系结构布局•安全技术和算法•失败-恢复策略ВΓ基础设施•命名管理•安全管理基础设施–认证–访问控制–密钥管理–证书管理–配置管理–远程监视–安全审计追踪报警ВΓ产品规划•产品周期–设计
–制造–运输–安装–操作–维护–退役•评价和认可ВΓ应用系统案例考虑•图书馆信息管理系统–提供的服务和功能–面临的主要安全问题–要求的安全服务–建议的安全机制和方案–访问控制•学生宿舍网络系统–…ВΓlinksВΓ
Q&A