計算機系統(tǒng)安全評價標準

第14章

安全評價標準計算機系統(tǒng)安全評價標準第1頁主要內(nèi)容可信計算機系統(tǒng)評價標準通用評定準則CC我國信息系統(tǒng)安全評價標準計算機系統(tǒng)安全評價標準第2頁計算機系統(tǒng)提供者需要對他們產(chǎn)品安全特征進行說明，而用戶則需要驗證這些安全特征可靠性。國際上有各種為計算機安全系統(tǒng)構(gòu)筑獨立審查辦法安全評價體系,其內(nèi)容和發(fā)展深刻地反應了對信息安全問題認識程度。計算機系統(tǒng)安全評價標準第3頁14.1可信計算機系統(tǒng)評價標準1985年12月美國國防部公布了評價安全計算機系統(tǒng)六項標準。這套標準文件名稱即為“可信計算機系統(tǒng)評價標準”（TrustedComputerSystemEvaluationCriteria，簡記為TCSEC），又稱為橘皮書。計算機系統(tǒng)安全評價標準第4頁14.1.1TCSEC主要概念1．考評標準（1）安全策略（SecurityPolicy）（2）標識（Identification）（3）標識（Marking）（4）可記賬性（Accountability）（5）保障機制（Assurance）（6）連續(xù)性保護（ContinuousProtection）計算機系統(tǒng)安全評價標準第5頁2．主要概念安全性可信計算基(TCB)自主訪問控制（DiscretionaryAccessControl，DAC）強制訪問控制（MandatoryAccessControl，MAC）隱蔽信道計算機系統(tǒng)安全評價標準第6頁3．系統(tǒng)模型主體審計信息訪問監(jiān)控器監(jiān)控器數(shù)據(jù)基：（用戶權限表、訪問控制表）客體計算機系統(tǒng)安全評價標準第7頁14.1.2計算機系統(tǒng)安全等級TCSEC將可信計算機系統(tǒng)評價規(guī)則劃分為四類，即安全策略、可記賬性、安全確保辦法和文檔計算機系統(tǒng)安全評價標準第8頁依據(jù)計算機系統(tǒng)對上述各項指標支持情況及安全性相近特點，TCSEC將系統(tǒng)劃分為四類(Division)七個等級計算機系統(tǒng)安全評價標準第9頁1．D安全級最低級別,一切不符合更高標準系統(tǒng)，統(tǒng)統(tǒng)歸于D級。2．C1安全級只提供了非常初級自主安全保護,稱為自主安全保護系統(tǒng),現(xiàn)有商業(yè)系統(tǒng)往往稍作改進即可滿足要求。計算機系統(tǒng)安全評價標準第10頁3．C2安全級稱為可控安全保護級，是安全產(chǎn)品最低級次很多商業(yè)產(chǎn)品已得到該級別認證。到達C2級產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色計算機系統(tǒng)安全評價標準第11頁4．B1安全級 又稱為帶標識訪問控制保護級，其在C2級基礎上增加了或加強了標識、強制訪問控制、審計、可記賬性和保障等功效。B1級能夠很好地滿足大型企業(yè)或普通政府部門對數(shù)據(jù)安全需求，這一級別產(chǎn)品才被認為是真正意義上安全產(chǎn)品。滿足此級別產(chǎn)品前普通多冠以“安全”(Security)或“可信”(Trusted)字樣B類安全包含三個級別：B1、B2、B3級，他們都采取強制保護控制機制。計算機系統(tǒng)安全評價標準第12頁B2安全級稱為結(jié)構(gòu)化保護級。該級系統(tǒng)設計中把系統(tǒng)內(nèi)部結(jié)構(gòu)化地劃分成明確而大致上獨立模塊，并采取最小特權標準進行管理。當前，經(jīng)過認證B2級以上安全系統(tǒng)非常稀少。計算機系統(tǒng)安全評價標準第13頁B3安全級又稱為安全域保護級。該級TCB必須滿足訪問監(jiān)控器要求，審計跟蹤能力更強，并提供系統(tǒng)恢復過程。計算機系統(tǒng)安全評價標準第14頁A1安全級又稱為可驗證設計保護級，即提供B3級保護同時給出系統(tǒng)形式化設計說明和驗證以確信各安全保護真正實現(xiàn)。計算機系統(tǒng)安全評價標準第15頁14.2通用評定準則CCCC(CommonCriteriaforInformationTechnologySecurityEvaluation)標準是國際標準化組織ISO/IECJTC1公布一個標準，是信息技術安全性通用評定準則，用來評定信息系統(tǒng)或者信息產(chǎn)品安全性。計算機系統(tǒng)安全評價標準第16頁14.2.1CC主要用戶CC主要用戶包含消費者、開發(fā)者和評定者。1．消費者消費者能夠用評定結(jié)果來決定一個已評定產(chǎn)品和系統(tǒng)是否滿足他們安全需求。計算機系統(tǒng)安全評價標準第17頁2．開發(fā)者CC為開發(fā)者在準備和參加評定產(chǎn)品或系統(tǒng)以及確定每種產(chǎn)品和系統(tǒng)要滿足安全需求方面提供支持。3．評定者當要做出TOE及其安全需求一致性判斷時，CC為評定者提供了評定準則。計算機系統(tǒng)安全評價標準第18頁14.2.2CC組成CC分為三個部分1.介紹和普通模型: 正文介紹了CC中相關術語、基本概念和普通模型以及與評定相關一些框架，附錄部分主要介紹保護輪廓（PP）和安全目標（ST）基本內(nèi)容。2.安全功效要求:按“類-族-組件”方式提出安全功效要求，提供了表示評定對象TOE安全功效要求標準方法。計算機系統(tǒng)安全評價標準第19頁3.安全確保要求:定義了評定確保級別，建立了一系列安全確保組建作為表示TOE確保要求標準方法。CC三個部分相互依存，缺一不可。計算機系統(tǒng)安全評價標準第20頁計算機系統(tǒng)安全評價標準第21頁14.2.3評定確保級別EAL評定確保級別是評定確保要求一個特定組合（確保包），是度量確保辦法一個尺度，這種尺度確實定權衡了所取得確保級別以及到達該確保級別所需代價和可能性。在CC中定義了7個遞增評定確保級計算機系統(tǒng)安全評價標準第22頁1．EAL1：功效測試EAL1適合用于對正確運行需要一定信任場所2.EAL2：結(jié)構(gòu)測試 要求開發(fā)者遞交設計信息和測試結(jié)果，但不需要開發(fā)者增加過多費用或時間投入。計算機系統(tǒng)安全評價標準第23頁3．EAL3：方法測試和校驗在不需要對現(xiàn)有合理開發(fā)規(guī)則進行實質(zhì)性改進情況下，EAL3可使開發(fā)者在設計階段能從正確安全工程中取得最大程度確保。計算機系統(tǒng)安全評價標準第24頁4．EAL4：系統(tǒng)地設計、測試和評審基于良好而嚴格商業(yè)開發(fā)規(guī)則，在不需額外增加大量專業(yè)知識、技巧和其它資源情況下，開發(fā)者從正確安全工程中所取得確保級別最高可到達EAL4。計算機系統(tǒng)安全評價標準第25頁5．EAL5：半形式化設計和測試適當應用專業(yè)性一些安全工程技術，并基于嚴格商業(yè)開發(fā)實踐，EAL5可使開發(fā)者從安全工程中取得最大程度確保。計算機系統(tǒng)安全評價標準第26頁6．EAL6：半形式化驗證設計和測試EAL6允許開發(fā)者經(jīng)過在一個嚴格開發(fā)環(huán)境中使用安全工程技術來取得高度確保，方便生產(chǎn)一個優(yōu)異TOE來保護高價值資源防止重大風險。計算機系統(tǒng)安全評價標準第27頁7．EAL7：形式化驗證設計和測試EAL7適合用于在極端高風險形勢下，而且所保護資源價值極高，值得花費更高開銷進行安全TOE開發(fā)。計算機系統(tǒng)安全評價標準第28頁14.2.4CC特點CC比起早期評定準則其特點表示在其結(jié)構(gòu)開放性、表示方式通用性以及結(jié)構(gòu)和表示方式內(nèi)在完備性和實用性等四個方面。計算機系統(tǒng)安全評價標準第29頁14.3我國信息系統(tǒng)安全評價標準公安部提出并組織制訂了強制性國家標準GB-17859：1999《計算機信息安全保護等級劃分準則》，該準則于1999年9月13日經(jīng)國家質(zhì)量技術監(jiān)督局公布，并于年1月1日起實施。計算機系統(tǒng)安全評價標準第30頁14.3.1所包括術語（1）計算機信息系統(tǒng)（ComputerInformationSystem）：計算機信息系統(tǒng)是由計算機及其相關和配套設備、設施（含網(wǎng)絡）組成，按照一定應用目標和規(guī)則對信息進行采集、加工、存放、傳輸、檢索等處理人機系統(tǒng)。

（2）計算機信息系統(tǒng)可信計算基（TrustedComputingBaseofComputerInformationSystem）：計算機系統(tǒng)內(nèi)保護裝置總體，包含硬件、固件、軟件和負責執(zhí)行安全策略組合體。它建立了一個基本保護環(huán)境并提供一個可信計算系統(tǒng)所要求附加用戶服務。

（3）客體（Object）：

信息載體。 （4）主體（Subject）：引發(fā)信息在客體之間流動人、進程或設備等。

計算機系統(tǒng)安全評價標準第31頁所包括術語（5）敏感標識（SensitivityLabel）：表示客體安全級別并描述客體數(shù)據(jù)敏感性一組信息，可信計算基中把敏感標識作為強制訪問控制決議依據(jù)。（6）安全策略（SecurityPolicy）：相關管理、保護和公布敏感信息法律、要求和實施細則。

（7）信道（Channel）：系統(tǒng)內(nèi)信息傳輸路徑。

（8）隱蔽信道（CovertChannel）：允許進程以危害系統(tǒng)安全策略方式傳輸信息通信信道。

計算機系統(tǒng)安全評價標準第32頁所包括術語（9）訪問監(jiān)控器（ReferenceMonitor）：

監(jiān)控主體和客體之間授權訪問關系部件。（10）可信信道（TrustedChannel）：為了執(zhí)行關鍵安全操作，在主體、客體及可信IT產(chǎn)品之間建立和維護保護通信數(shù)據(jù)免遭修改和泄露通信路徑。（11）客體重用：在計算機信息系統(tǒng)可信計算基空閑存放客體空間中，對客體初始制訂、分配或再分配一個主體之前，撤消該客體所含信息全部授權。當主體取得對一個已被釋放客體訪問權時，當前主體不能取得原主體活動所產(chǎn)生任何信息。計算機系統(tǒng)安全評價標準第33頁14.3.2等級劃分及各等級要求1．第一級用戶自主保護級

（1）自主訪問控制

（2）身份判別

（3）數(shù)據(jù)完整性

計算機系統(tǒng)安全評價標準第34頁2．第二級系統(tǒng)審計保護級

（1）自主訪問控制

（2）身份判別

（3）客體重用

（4）審計

（5）數(shù)據(jù)完整性

計算機系統(tǒng)安全評價標準第35頁3．第三級安全標識保護級

（1）自主訪問控制

（2）強制訪問控制

（3）標識

（4）身份判別

（5）客體重用

（6）審計

（7）數(shù)據(jù)完整性

計算機系統(tǒng)安全評價標準第36頁4．第四級結(jié)構(gòu)化保護級

（1）自主訪問控制

（2）強制訪問控制

（3）標識

（4）身份判別

（5）客體重用

（6）審計

（7）數(shù)據(jù)完整性

（8）隱蔽信道分析

（9）可信路徑計算機系統(tǒng)安全評價標準第37頁5．第五級訪問驗證保護級（1）自主訪問控制

（2）強制訪問控制