安全評估培訓(xùn)通用課件VIP

1、 安全評估培訓(xùn)課件安全評估培訓(xùn)課件 ToCl安全評估準(zhǔn)則安全評估準(zhǔn)則pDOD/TCSEC橘皮書pDOD/TNI紅皮書pITSECpCSSCpNIST/FIPSpCCpBS7799p密碼設(shè)備的評估l安全方案的規(guī)劃安全方案的規(guī)劃p需求分析p具體方案p基礎(chǔ)設(shè)施p產(chǎn)品規(guī)劃 關(guān)于安全評估關(guān)于安全評估l需要什么樣的安全需要什么樣的安全l使用什么技術(shù)使用什么技術(shù)l買什么產(chǎn)品買什么產(chǎn)品l對產(chǎn)品的評估對產(chǎn)品的評估l如何部署和實施如何部署和實施l對運行系統(tǒng)的現(xiàn)狀的評估對運行系統(tǒng)的現(xiàn)狀的評估l標(biāo)準(zhǔn)：關(guān)于建立、評估、審計標(biāo)準(zhǔn)：關(guān)于建立、評估、審計 沿革關(guān)系沿革關(guān)系lTCSEC/85/AMl ITSEC/90/EUl

2、CTCPEC/90/CA l FC/91/AMl CC/95 (99IS)lBS7799/95/EN l ISO17799/2000/ISO DOD/TCSEClTCSEC 1983/1985 (Orange Book)pTrusted Computer System Evaluation Criteriap Rainbow Series by NIST/NCSCpgoto “TCSEC.htm”lTCSEC 4個級別個級別 按照安全性遞減定義了ABCD4個級別pD級，評估達不到更高級別的系統(tǒng)pC級，自主保護級 pB級，強制保護級pA級，驗證保護級 http:/www.fact- C級級 自主

3、保護級自主保護級 lC級級p具有一定的保護能力，采用自主訪問控制和審計跟蹤 p一般只適用于具有一定等級的多用戶環(huán)境p具有對主體責(zé)任及其動作審計的能力lC1級級 自主安全保護級自主安全保護級p隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護的能力 p為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞p適用于處理同一敏感級別數(shù)據(jù)的多用戶環(huán)境 lC2級級 控制訪問保護級控制訪問保護級p比C1級具有更細粒度的自主訪問控制p通過注冊過程控制、審計安全相關(guān)事件以及資源隔離，使單個用戶為其行為負責(zé) B級級 強制保護級強制保護級lB級級p維護完整的安全標(biāo)記，并在此基礎(chǔ)上執(zhí)行一系列強制訪問控制

4、規(guī)則p主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標(biāo)記p提供安全策略模型以及規(guī)約p應(yīng)提供證據(jù)證明訪問監(jiān)控器得到了正確的實施 lB1級級 標(biāo)記安全保護級標(biāo)記安全保護級p要求具有C2級系統(tǒng)的所有特性 p應(yīng)提供安全策略模型的非形式化描述、數(shù)據(jù)標(biāo)記以及命名主體和客體的強制訪問控制p消除測試中發(fā)現(xiàn)的所有缺陷 -lB2級級 結(jié)構(gòu)化保護級結(jié)構(gòu)化保護級p要求將B1級系統(tǒng)中建立的自主和強制訪問控制擴展到所有的主體與客體p鑒別機制應(yīng)得到加強，提供可信設(shè)施管理以支持系統(tǒng)管理員和操作員的職能p提供嚴(yán)格的配置管理控制pB2級系統(tǒng)應(yīng)具備相當(dāng)?shù)目節(jié)B透能力 -lB3 安全區(qū)域保護級安全區(qū)域保護級p安全管理員職能p擴充審計機制p當(dāng)發(fā)生與安全相關(guān)的

5、事件時，發(fā)出信號p提供系統(tǒng)恢復(fù)機制p系統(tǒng)具有很高的抗?jié)B透能力 A級級 驗證保護級驗證保護級lA級級p使用形式化的安全驗證方法，保證系統(tǒng)的自主和強制安全控制措施能夠有效地保護系統(tǒng)中存儲和處理的秘密信息或其他敏感信息p為證明滿足設(shè)計、開發(fā)及實現(xiàn)等各個方面的安全要求，系統(tǒng)應(yīng)提供豐富的文檔信息lA1級級 驗證設(shè)計級驗證設(shè)計級p在功能上和B3級系統(tǒng)是相同的p要求用形式化設(shè)計規(guī)范和驗證方法來對系統(tǒng)進行分析，確保按設(shè)計要求實現(xiàn) -l超超A1級級p系統(tǒng)體系結(jié)構(gòu)p安全測試p形式化規(guī)約與驗證p可信設(shè)計環(huán)境等 TNIlTNIpTrusted Network Interpretation of the TCSEC p

6、Goto“TNI.htm”“TNIEG.htm”lContentpPart IpPart IIpAPPENDIX A, B, C TNI / IlPart I of this document provides interpretations of the Department of Defense Trusted Computer System Evaluation Criteria (TCSEC) (DOD-5200.28-STD), for trusted computer/communications network systems. The specific security fea

7、ture, the assurance requirements, and the rating structure of the TCSEC are extended to networks of computers ranging from isolated local area networks to wide-area internetwork systems. TNI / IIlPart II of this document describes a number of additional security services (e.g., communications integr

8、ity, denial of service, transmission security) that arise in conjunction with networks. Those services available in specific network offerings, while inappropriate for the rigorous evaluation applied to TCSEC related feature and assurance requirements, may receive qualitative ratings. ITSEClITSEC by

9、 European UnionpInformation Technology Security Evaluation Criteria Goto “itsec-en.pdf”pEx遞增lE0p無安全保證lE1p有安全目標(biāo)和關(guān)于體系結(jié)構(gòu)設(shè)計的非形式化描述lE2p對詳細設(shè)計有非形式化的描述 -lE3p評估源代碼或硬件設(shè)計圖lE4p有對安全目標(biāo)/策略的基本形式模型lE5p設(shè)計和源代碼/硬件有緊密的對應(yīng)關(guān)系lE6p安全功能/體系結(jié)構(gòu)設(shè)計與安全目標(biāo)/策略模型一致 CSSCCTCPEClCSSC: CTCPEC Goto “ctcpec1.pdf”pCanadian System Security Cen

10、tre: Canadian Trusted Computer Product Evaluation CriteriapIt is a computer security standard comparable to the American TCSEC (Orange Book) but somewhat more advanced. It has been superseded by the international Common Criteria standard.p可和TCSEC相比，但更進步p已被國際標(biāo)準(zhǔn)CC替代 NIST/FIPSlNational Institute of Sta

11、ndards and Technology, Federal Information Processing Standards Publicationsp“sp800-12_The NIST Security Handbook.pdf”p/fipspubs/ CClCommon Criteria for Information Technology Securitypwith the aim of replacing existing criteria (FC/TCSEC, ITSEC, CTCPEC) with a single internati

12、onal standard: the Common Criteria (CC). pGoto “CC_*.*”llinksp/cc/Documents/p/phttp:/ CC 3PartslPart 1Introduction and General ModellPart 2Security Functional Requirements AnnexeslPart 3Security Assurance Requirementslrefto:/addon_11/CC_Overview.ppt CC / EALEv

13、aluation Assurance LevelslEAL1：功能測試：功能測試lEAL2：結(jié)構(gòu)測試：結(jié)構(gòu)測試lEAL3：系統(tǒng)測試和檢查：系統(tǒng)測試和檢查lEAL4：系統(tǒng)設(shè)計、測試和復(fù)查：系統(tǒng)設(shè)計、測試和復(fù)查lEAL5：半形式化設(shè)計和測試：半形式化設(shè)計和測試lEAL6：半形式化驗證的設(shè)計和測試：半形式化驗證的設(shè)計和測試lEAL7：形式化驗證的設(shè)計和測試：形式化驗證的設(shè)計和測試 EAL1: Functional TestlConfidence in current operation is requiredlNo assistance from TOE developerlApplicable w

14、here threat to security is not seriouslIndependent testing against specification and guidance documentation EAL2: Structural TestlRequires some cooperation of the developerlAdds requirements for configuration list, delivery, high-level design documentation, developer functional testing, vulnerabilit

15、y analysis, and more extensive independent testing EAL3: Methodical Test and ChecklRequires some positive security engineering at the design stage, with minimal changes to existing practiceslAdded assurance through investigation of product and development environment controls, and high-level design

16、documentationlPlaces additional requirements on testing, development environment controls and TOE configuration management EAL4: Methodical Design, Test, and ReviewlHighest level likely for retrofit of an existing productlAdditional requirements on design, implementation, vulnerability analysis, low

17、 level design documentation, development and system automated configuration management, and an informal security policy model EAL5: Semiformal Design and TestlHigher assurance, risk situations where some penetration resistance is neededlRequires rigorous commercial development practices and moderate

18、 use of specialist engineering techniqueslAdditional requirements on semi-formal functional specification, high-level design, and their correspondence, vulnerability, and covert channel analysis EAL6: Semiformally Verified Design and TestedlHigh Assurance - where penetration resistance is necessaryl

19、Additional requirements on analysis, layered TOE design, semi-formal low-level design documentation, complete CM system automation and a structured development environment, and vulnerability/covert channel analysis EAL7: Formally Verified Design and TestedlHighest assurance where high resistance to

20、penetration is necessarylAssurance is gained through application of formal methods in the documentation of the functional specification and high-level design lAdditional requirements for complete developer testing and complete independent confirmation of the test results COMP l CCTCSECITSEC-DE0EAL1-

21、EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E6 BS7799lBS7799pby BSI the British Standards Institutionp2000, ISO/17799pGoto: “BS7799-1_1999(ISO).doc”lTwo partspISO17799pBS7799-2 BS7799s介紹介紹l有關(guān)敏感資料管理的國際認可標(biāo)準(zhǔn)，強調(diào)資料的有關(guān)敏感資料管理的國際認可標(biāo)準(zhǔn)，強調(diào)資料的保密性及完整性。保密性及完整性。l此標(biāo)準(zhǔn)可分為兩部份：首部份為準(zhǔn)則部份，旨在此標(biāo)準(zhǔn)可分為兩部份：首部份為準(zhǔn)則部份，旨在協(xié)助機構(gòu)確認其運

22、作對資料保密方面的影響，這協(xié)助機構(gòu)確認其運作對資料保密方面的影響，這項準(zhǔn)則已納入項準(zhǔn)則已納入ISO品質(zhì)認證的范疇之內(nèi)（品質(zhì)認證的范疇之內(nèi)（ISO 17799認證），涵蓋認證），涵蓋10大范疇，大范疇，127控制點；控制點；l次部份為施行細則，是有關(guān)資料保密管理系統(tǒng)次部份為施行細則，是有關(guān)資料保密管理系統(tǒng) Information Security Management System 的的架構(gòu)、目標(biāo)以及監(jiān)控。架構(gòu)、目標(biāo)以及監(jiān)控。lBS7799認證標(biāo)準(zhǔn)早于一九九五年確立，旨在協(xié)認證標(biāo)準(zhǔn)早于一九九五年確立，旨在協(xié)助各行各業(yè)及政府機構(gòu)加強資料保安，一直獲各助各行各業(yè)及政府機構(gòu)加強資料保安，一直獲各地機構(gòu)

23、廣泛采用，某些國家政府更將地機構(gòu)廣泛采用，某些國家政府更將BS7799認認證列為全國通用的標(biāo)準(zhǔn)。證列為全國通用的標(biāo)準(zhǔn)。 Parts 1, 2lPart 1: ISO/IEC 17799:2000 pthe standard code of practice and can be regarded as a comprehensive catalogue of good security things to do. lPart 2: BS7799-2:2002 Specify for security management pa standard specification for an Inf

24、ormation Security Management Systems (ISMS). pAn ISMS is the means by which Senior Management monitor and control their security, minimising the residual business risk and ensuring that security continues to fulfil corporate, customer and legal requirements. ToC of P1lInformation security policy lSe

25、curity organization lAssets classification and control lPersonal security lPhysical and environmental security lComputer and network management lSystem access control lSystem development and maintenance lBusiness continuity planning lCompliance BS7799認證認證lBS7799認證咨詢認證咨詢phttp:/ linkslBS7799/BSIphttp:

26、/www.bsi- ISO17799 Toolkitphttp:/www.iso17799-made- SECURITY ZONE phttp:/www.thewindow.to/bs7799/index.htm 對密碼設(shè)備的評估對密碼設(shè)備的評估l國內(nèi)相關(guān)的法規(guī)國內(nèi)相關(guān)的法規(guī)p商用密碼管理條例pl國外國外pNIST FIPS 140-2 /cryptval/140-2.htm /cryptval/pGoto“fips140-2.pdf”“fips140-2_SL.1-4.txt”“fips140faq.htm” Sec

27、urity Level 1l/ 該級提供安全的最低水平。不要求物理安全機制。一個該級提供安全的最低水平。不要求物理安全機制。一個例子就是例子就是PC機加密板。機加密板。l/ 該級允許在未經(jīng)評估的一般商用機器系統(tǒng)上運行你的密該級允許在未經(jīng)評估的一般商用機器系統(tǒng)上運行你的密碼模塊。這主要是為了方便一些低安全需求的場合。碼模塊。這主要是為了方便一些低安全需求的場合?！癴ips140-2_SL.1-4.txt” Security Level 2l/ 該級增加了防干擾或竄改的物理安全機制要求，包括封該級增加了防干擾或竄改的物理安全機制要求，包括封裝、封條、防撬等。裝、封條、防撬等。l/ 該級要求最小的基

28、于角色的認證。該級要求最小的基于角色的認證。l/ 該級允許相關(guān)部件運行在具有該級允許相關(guān)部件運行在具有EAL2/CC安全級別的計算安全級別的計算系統(tǒng)上。系統(tǒng)上。 Security Level 3l/ 該級阻止試圖對密碼模塊的入侵，并在必要時自毀敏感該級阻止試圖對密碼模塊的入侵，并在必要時自毀敏感信息。信息。l/ 該級要求基于標(biāo)識的認證機制。該級要求基于標(biāo)識的認證機制。l/ 該級系統(tǒng)得具有該級系統(tǒng)得具有EAL3/CC安全級。安全級。 Security Level 4l/ 該級對密碼模塊提供徹底的封裝保護，能探測到非授權(quán)該級對密碼模塊提供徹底的封裝保護，能探測到非授權(quán)的物理訪問，并能及時的刪除所有

29、明文信息。的物理訪問，并能及時的刪除所有明文信息。l/ 必須考慮外部的高溫、高壓導(dǎo)致的操作失效；非正常操必須考慮外部的高溫、高壓導(dǎo)致的操作失效；非正常操作可以引發(fā)故意的內(nèi)部爆炸。作可以引發(fā)故意的內(nèi)部爆炸。l/ 該級系統(tǒng)得運行在該級系統(tǒng)得運行在EAL4/CC以上安全級上。以上安全級上。 LinkslTCSECp/lFIPS 140 Security Requirements for Cryptographic Modulesp/cryptval/lCommon Criteria (CCITSE)p/cc/lTPEPp/tpep/p/tpep/tpep.htmllThe Information Warfare Site p.uk/ Rainbow Series LibrarylRainbow Series Libraryp/tpep/library/rainbow/p/a