銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系課件

1、信息安全標(biāo)準(zhǔn)介紹,中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心 張利 博士,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,2,主要內(nèi)容,信息安全基礎(chǔ)標(biāo)準(zhǔn) 信息安全評(píng)估標(biāo)準(zhǔn)發(fā)展史 通用評(píng)估準(zhǔn)則（CC） PP和ST產(chǎn)生指南 IATF SCC,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,3,標(biāo)準(zhǔn)化基礎(chǔ),標(biāo)準(zhǔn)：標(biāo)準(zhǔn)是對(duì)重復(fù)性事物和概念所做的統(tǒng)一規(guī)定。它以科學(xué)、技術(shù)和實(shí)踐的綜合成果為基礎(chǔ)，經(jīng)有關(guān)方面協(xié)商一致，由主管部門(mén)批準(zhǔn)，以特定的方式發(fā)布，作為共同遵守的準(zhǔn)則和依據(jù)。 強(qiáng)制性標(biāo)準(zhǔn)：保障人體健康、人身、財(cái)產(chǎn)安全的標(biāo)準(zhǔn)和法律、行政法規(guī)規(guī)定強(qiáng)制執(zhí)行的標(biāo)準(zhǔn)；其它標(biāo)準(zhǔn)是推薦性標(biāo)準(zhǔn)。 我國(guó)標(biāo)準(zhǔn)分四級(jí)：國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)。,銀行及

2、相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,4,國(guó)家標(biāo)準(zhǔn)：對(duì)需要在全國(guó)范圍內(nèi)統(tǒng)一的技術(shù)要求(含標(biāo)準(zhǔn)樣品的制作）。GB/T XXXX.X-200X GB XXXX-200X 行業(yè)標(biāo)準(zhǔn)：沒(méi)有國(guó)家標(biāo)準(zhǔn)，需要在全國(guó)某個(gè)行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求。GA ,SJ 地方標(biāo)準(zhǔn)：沒(méi)有國(guó)家標(biāo)準(zhǔn) 、行業(yè)標(biāo)準(zhǔn)而又需要在省、自治區(qū)、直轄市范圍內(nèi)統(tǒng)一的工業(yè)產(chǎn)品的安全、衛(wèi)生要求。 DBXX/T XXX-200X DBXX/XXX-200X 企業(yè)標(biāo)準(zhǔn)：對(duì)企業(yè)范圍內(nèi)需要統(tǒng)一的技術(shù)要求、管理要求和工作要求。QXXX-XXX-200X,標(biāo)準(zhǔn)化基礎(chǔ),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,5,標(biāo)準(zhǔn)化基礎(chǔ),標(biāo)準(zhǔn)化：為在一定的范圍內(nèi)獲得最佳秩序，對(duì)實(shí)際的或

3、潛在的問(wèn)題制定共同的和重復(fù)使用的規(guī)則的活動(dòng) 實(shí)質(zhì)：通過(guò)制定、發(fā)布和實(shí)施標(biāo)準(zhǔn)，達(dá)到統(tǒng)一。 目的：獲得最佳秩序和社會(huì)效益。,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,6,標(biāo)準(zhǔn)化基礎(chǔ),標(biāo)準(zhǔn)化三維空間,國(guó)際級(jí) 區(qū)域級(jí) 國(guó)家級(jí) 行業(yè)級(jí) 地方級(jí) 企業(yè)級(jí),人員 服務(wù) 系統(tǒng) 產(chǎn)品 過(guò)程,管理,應(yīng)用,技術(shù)機(jī)制,體系、框架,術(shù)語(yǔ),X,Y,Z,X軸代表標(biāo)準(zhǔn)化對(duì)象，Y軸代表標(biāo)準(zhǔn)化的內(nèi)容，Z軸代表標(biāo)準(zhǔn)化的級(jí)別。,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,7,標(biāo)準(zhǔn)化基礎(chǔ),我國(guó)通行“標(biāo)準(zhǔn)化八字原理”： “統(tǒng)一”原理 “簡(jiǎn)化”原理 “協(xié)調(diào)”原理 “最優(yōu)”化原理,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,8,我國(guó)標(biāo)準(zhǔn)工作歸口單位,2001年10

4、月11日成立國(guó)家標(biāo)準(zhǔn)化委員會(huì) 信息技術(shù)標(biāo)準(zhǔn)委員會(huì) 數(shù)據(jù)加密技術(shù)標(biāo)準(zhǔn)委員會(huì) 2002年4月15日成立信息安全技術(shù)標(biāo)準(zhǔn)委員會(huì),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,9,標(biāo)準(zhǔn)化基礎(chǔ),采標(biāo)： 等同采用idt（identical）：指技術(shù)內(nèi)容相同，沒(méi)有或僅有編輯性修改，編寫(xiě)方法完全相對(duì)應(yīng)； 修改采用MOD（modified）：與國(guó)際標(biāo)準(zhǔn)之間存在技術(shù)性差異，有編輯性修改，可能不采用部分條款 非等效采用NEQ（not equivalent）：指技術(shù)內(nèi)容有重大差異，只表示與國(guó)際標(biāo)準(zhǔn)有關(guān)。,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,10,IT標(biāo)準(zhǔn)化,IT標(biāo)準(zhǔn)發(fā)展趨勢(shì) (1)標(biāo)準(zhǔn)逐步從技術(shù)驅(qū)動(dòng)向市場(chǎng)驅(qū)動(dòng)方向發(fā)展。 (2)

5、信息技術(shù)標(biāo)準(zhǔn)化機(jī)構(gòu)由分散走向聯(lián)合。 (3)信息技術(shù)標(biāo)準(zhǔn)化的內(nèi)容更加廣泛，重點(diǎn)更加突出，從IT技術(shù)領(lǐng)域向社會(huì)各個(gè)領(lǐng)域滲透，涉及教育、文化、醫(yī)療、交通、商務(wù)等廣泛領(lǐng)域，需求大量增加。 (4)從技術(shù)角度看，IT標(biāo)準(zhǔn)化的重點(diǎn)將放在網(wǎng)絡(luò)接口、軟件接口、信息格式、安全等方面，并向著以技術(shù)中立為前提，保證互操作為目的方向發(fā)展。,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,11,信息安全標(biāo)準(zhǔn)化組織,ISO JTC1 SC27，信息技術(shù)-安全技術(shù) ISO/TC 68 銀行和有關(guān)的金融服務(wù) SC2，安全管理和通用銀行運(yùn)作； SC4，安全及相關(guān)金融工具； SC6，零售金融服務(wù)。 JTC1其他分技術(shù)委員會(huì)： SC6系統(tǒng)間通信

6、與信息交換，主要開(kāi)發(fā)開(kāi)放系統(tǒng)互連下四層安全模型和安全協(xié)議，如ISO 9160、ISO/IEC 11557。 SC17識(shí)別卡和有關(guān)設(shè)備，主要開(kāi)發(fā)與識(shí)別卡有關(guān)的安全標(biāo)準(zhǔn)ISO 7816 SC18文件處理及有關(guān)通信，主要開(kāi)發(fā)電子郵件、消息處理系統(tǒng)等。 SC21開(kāi)放系統(tǒng)互連，數(shù)據(jù)管理和開(kāi)放式分布處理，主要開(kāi)發(fā)開(kāi)放系統(tǒng)互連安全體系結(jié)構(gòu)，各種安全框架，高層安全模型等標(biāo)準(zhǔn)，如:ISO/IEC 7498-2、ISO/IEC 9594-1至8。 SC22程序語(yǔ)言，其環(huán)境及系統(tǒng)軟件接口，也開(kāi)發(fā)相應(yīng)的安全標(biāo)準(zhǔn)。 SC30開(kāi)放式電子數(shù)據(jù)交換，主要開(kāi)發(fā)電子數(shù)據(jù)交換的有關(guān)安全標(biāo)準(zhǔn)。如ISO 9735-9 、 ISO 97

7、35-10。,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,12,信息安全標(biāo)準(zhǔn)化組織（續(xù)）,IEC TC56 可靠性； TC74 IT設(shè)備安全和功效； TC77 電磁兼容； CISPR 無(wú)線電干擾特別委員會(huì) ITU 前身是CCITT 消息處理系統(tǒng) 目錄系統(tǒng)(X.400系列、X.500系列) 安全框架 安全模型等標(biāo)準(zhǔn),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,13,信息安全標(biāo)準(zhǔn)化組織（續(xù)）,IETF（170多個(gè)RFC、12個(gè)工作組） PGP開(kāi)發(fā)規(guī)范(openpgp)； 鑒別防火墻遍歷(aft)； 通用鑒別技術(shù)(cat) ； 域名服務(wù)系統(tǒng)安全(dnssec)； IP安全協(xié)議(ipsec)； 一次性口令鑒別(otp

8、)； X.509公鑰基礎(chǔ)設(shè)施(pkix)； S/MIME郵件安全(smime)； 安全Shell (secsh)； 簡(jiǎn)單公鑰基礎(chǔ)設(shè)施(spki)； 傳輸層安全(tls) Web處理安全 (wts),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,14,信息安全標(biāo)準(zhǔn)化組織（續(xù)）,美國(guó) ANSI NCITS-T4 制定IT安全技術(shù)標(biāo)準(zhǔn) X9 制定金融業(yè)務(wù)標(biāo)準(zhǔn) X12 制定商業(yè)交易標(biāo)準(zhǔn) NIST 負(fù)責(zé)聯(lián)邦政府非密敏感信息 FIPS-197 DOD 負(fù)責(zé)涉密信息 NSA 國(guó)防部指令（DODI）（如TCSEC）,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,15,信息安全標(biāo)準(zhǔn)化組織（續(xù)）,IEEE SILS（LAN/WAN）

9、安全 P1363公鑰密碼標(biāo)準(zhǔn) ECMA(歐洲計(jì)算機(jī)廠商協(xié)會(huì)) TC32“通信、網(wǎng)絡(luò)和系統(tǒng)互連”曾定義了開(kāi)放系統(tǒng)應(yīng)用層安全結(jié)構(gòu)； TC36“IT安全”負(fù)責(zé)信息技術(shù)設(shè)備的安全標(biāo)準(zhǔn)。,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,16,信息安全標(biāo)準(zhǔn)化組織（續(xù)）,英國(guó) BS 7799 醫(yī)療衛(wèi)生信息系統(tǒng)安全 加拿大 計(jì)算機(jī)安全管理 日本 JIS 國(guó)家標(biāo)準(zhǔn) JISC 工業(yè)協(xié)會(huì)標(biāo)準(zhǔn) 韓國(guó) KISA負(fù)責(zé) 防火墻、IDS、PKI方面標(biāo)準(zhǔn),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,17,信息安全標(biāo)準(zhǔn)化組織（續(xù)）,我國(guó) 共38個(gè)標(biāo)準(zhǔn) 4個(gè)產(chǎn)品標(biāo)準(zhǔn) 其他工業(yè)標(biāo)準(zhǔn) SSL SET CDSA PGP PCT ,銀行及相關(guān)金融服務(wù)信息安全

10、標(biāo)準(zhǔn)體系,18,2.信息安全基礎(chǔ)標(biāo)準(zhǔn),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,19,基于OSI七層協(xié)議的安全體系結(jié)構(gòu),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,20,五種安全服務(wù),鑒別：提供對(duì)通信中的對(duì)等實(shí)體和數(shù)據(jù)來(lái)源的鑒別。 訪問(wèn)控制：提供保護(hù)以對(duì)抗開(kāi)放系統(tǒng)互連可訪問(wèn)資源的非授權(quán)使用?？蓱?yīng)用于對(duì)資源的各種不同類(lèi)型的訪問(wèn)（例如，使用通信資源，讀、寫(xiě)或刪除信息資源，處理資源的操作），或應(yīng)用于對(duì)某種資源的所有訪問(wèn) 數(shù)據(jù)機(jī)密性：對(duì)數(shù)據(jù)提供保護(hù)使之不被非授權(quán)地泄露 數(shù)據(jù)完整性：對(duì)付主動(dòng)威脅。在一次連接上，連接開(kāi)始時(shí)使用對(duì)某實(shí)體鑒別服務(wù)，并在連接的存活期使用數(shù)據(jù)完整性服務(wù)就能聯(lián)合起來(lái)為在此連接上傳送的所有數(shù)據(jù)單元

11、的來(lái)源提供確證，為這些數(shù)據(jù)單元的完整性提供確證。 抗抵賴：可取有數(shù)據(jù)原發(fā)證明的抗抵賴、有交付證明的抗抵賴兩種形式，或兩者之一。,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,21,與網(wǎng)絡(luò)各層相關(guān)的OSI安全服務(wù),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,22,八種安全機(jī)制,加密：加密既能為數(shù)據(jù)提供機(jī)密性，也能為通信業(yè)務(wù)流信息提供機(jī)密性。 數(shù)字簽名：確定兩個(gè)過(guò)程：對(duì)數(shù)據(jù)單元簽名和驗(yàn)證簽過(guò)名的數(shù)據(jù)單元。 訪問(wèn)控制：為了決定和實(shí)施一個(gè)實(shí)體的訪問(wèn)權(quán)，訪問(wèn)控制機(jī)制可以使用該實(shí)體已鑒別的身份，或使用有關(guān)該實(shí)體的信息（例如它與一個(gè)已知的實(shí)體集的從屬關(guān)系），或使用該實(shí)體的權(quán)力。 數(shù)據(jù)完整性：包括單個(gè)數(shù)據(jù)單元或字段的完整性以及

12、數(shù)據(jù)單元流或字段流的完整性。,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,23,安全機(jī)制,鑒別交換機(jī)制：可以提供對(duì)等實(shí)體鑒別。如果在鑒別實(shí)體時(shí)，這一機(jī)制得到否定的結(jié)果，就會(huì)導(dǎo)致連接的拒絕或終止，也可能使在安全審計(jì)跟蹤中增加一個(gè)記錄，或給安全管理中心一個(gè)報(bào)告。 通信業(yè)務(wù)填充機(jī)制：能用來(lái)提供各種不同級(jí)別的保護(hù)，對(duì)抗通信業(yè)務(wù)分析。 路由選擇控制機(jī)制：路由能動(dòng)態(tài)地或預(yù)定地選取，以便只使用物理上安全的子網(wǎng)絡(luò)、中繼站或鏈路。在檢測(cè)到持續(xù)的操作攻擊時(shí)，端系統(tǒng)可希望指示網(wǎng)絡(luò)服務(wù)的提供者經(jīng)不同的路由建立連接。 公證機(jī)制：有關(guān)在兩個(gè)或多個(gè)實(shí)體之間通信的數(shù)據(jù)的性質(zhì)，如它的完整性、原發(fā)、時(shí)間和目的地等能夠借助公證機(jī)制而得到確

13、保。,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,24,OSI安全服務(wù)和安全機(jī)制之間的關(guān)系,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,25,TCP/IP協(xié)議,四層概念模型：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層 IP層是TCP/IP模型的網(wǎng)絡(luò)層（不考慮網(wǎng)絡(luò)接口），提供數(shù)據(jù)在源和目的主機(jī)之間通過(guò)子網(wǎng)的路由功能,應(yīng)用層,傳輸層,網(wǎng)絡(luò)層,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,26,OSI參考模型與TCP/IP的對(duì)應(yīng)關(guān)系,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,27,3.信息安全評(píng)測(cè)標(biāo)準(zhǔn)發(fā)展,1999年 GB 17859 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,1991年歐洲信息技術(shù)安全性評(píng)估準(zhǔn)則 （ITSEC）,國(guó)際通用準(zhǔn)則

14、1996年（CC1.0） 1998年（CC2.0）,1985年美國(guó)可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）,1993年 加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則 （CTCPEC）,1993年美國(guó)聯(lián)邦準(zhǔn)則（FC 1.0）,1999年 國(guó)際標(biāo)準(zhǔn) ISO/IEC 15408,1989年 英國(guó) 可信級(jí)別標(biāo)準(zhǔn) （MEMO 3 DTI）,德國(guó)評(píng)估標(biāo)準(zhǔn) （ZSEIC）,法國(guó)評(píng)估標(biāo)準(zhǔn) （B-W-R BOOK）,2001年 國(guó)家標(biāo)準(zhǔn) GB/T 18336 信息技術(shù)安全性評(píng)估準(zhǔn)則,1993年美國(guó)NIST的MSFR,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,28,美國(guó)TCSEC,1970年由美國(guó)國(guó)防科學(xué)委員會(huì)提出。1985年公布。 主要

15、為軍用標(biāo)準(zhǔn)。延用至民用。 安全級(jí)別從高到低分為A、B、C、D四級(jí)，級(jí)下再分小級(jí)。 彩虹系列 桔皮書(shū)：可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則 黃皮書(shū)：桔皮書(shū)的應(yīng)用指南 紅皮書(shū)：可信網(wǎng)絡(luò)解釋 紫皮書(shū)：可信數(shù)據(jù)庫(kù)解釋,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,29,美國(guó)TCSEC,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,30,主要依據(jù)之間的關(guān)系,安全政策：確定選擇哪些控制措施， 可控性：提出安全機(jī)制以確定系統(tǒng)人員并跟蹤其行動(dòng)。 保證能力：給安全政策及可控性的實(shí)現(xiàn)提供保證。 文檔：存在哪些文檔。,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,31,各級(jí)別的特征,安全政策 C1 C2 B1 B2 B3 A1 自主訪問(wèn)控制 + + nc n

16、c + nc 客體重用 0 + nc nc nc nc 標(biāo)簽 0 0 + + nc nc 標(biāo)簽完整性 0 0 + nc nc nc 標(biāo)簽信息的輸出 0 0 + nc nc nc 標(biāo)簽輸出 0 0 + nc nc nc 強(qiáng)制訪問(wèn)控制 0 0 + + nc nc 主體敏感性標(biāo)簽 0 0 0 + nc nc 設(shè)計(jì)標(biāo)簽 0 0 0 + nc nc 可控性 鑒別 + + + nc nc nc 審計(jì) 0 + + + + nc 可信路徑 0 0 0 + + nc,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,32,保證措施 C1 C2 B1 B2 B3 A1 系統(tǒng)體系 + + + + + nc 系統(tǒng)完整性 + nc

17、nc nc nc nc 系統(tǒng)測(cè)試 + + + + + + 設(shè)計(jì)說(shuō)明和驗(yàn)證 0 0 + + + + 隱蔽信道分析 0 0 0 + + + 可信設(shè)備管理 0 0 0 + + nc 配置管理 0 0 0 + nc + 可信恢復(fù) 0 0 0 0 + nc 可信分發(fā) 0 0 0 0 0 + 文檔 C1 C2 B1 B2 B3 A1 安全特性用戶指南 + nc nc nc nc nc 可信設(shè)備手冊(cè) + + + + + nc 測(cè)試文檔 + nc nc + nc + 設(shè)計(jì)文檔 + nc + + + +,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,33,C1: 自主安全保護(hù),本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基通過(guò)隔離用戶與

18、數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。 本級(jí)實(shí)施的是自主訪問(wèn)控制。即通過(guò)可信計(jì)算基定義系統(tǒng)中的用戶和命名用戶對(duì)命名客體的訪問(wèn)，并允許用戶以自己的身份或用戶組的身份指定并控制對(duì)客體的訪問(wèn)。這意味著系統(tǒng)用戶或用戶組可以通過(guò)可信計(jì)算基自主地定義對(duì)客體的訪問(wèn)權(quán)限。 從用戶的角度來(lái)看，用戶自主保護(hù)級(jí)的責(zé)任只有一個(gè)，即為用戶提供身份鑒別。 可以包括穿透性測(cè)試,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,34,C2: 訪問(wèn)控制保護(hù),與用戶自主保護(hù)級(jí)相比，本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基實(shí)施了粒度更細(xì)的自主訪問(wèn)控制，它通過(guò)登錄規(guī)程、審計(jì)安全性相關(guān)事件和隔離資源，使用戶對(duì)自己的行為負(fù)責(zé)。 本級(jí)實(shí)施的是自主訪問(wèn)控制和客體的安

19、全重用 身份鑒別方面，比用戶自主保護(hù)級(jí)增加兩點(diǎn)：為用戶提供唯一標(biāo)識(shí)，使用戶對(duì)自己的行為負(fù)責(zé)。為支持安全審計(jì)功能，具有將身份標(biāo)識(shí)與用戶所有可審計(jì)的行為相關(guān)聯(lián)的能力。 安全審計(jì)方面，可信計(jì)算基能夠創(chuàng)建、維護(hù)對(duì)其所保護(hù)客體的訪問(wèn)審計(jì)記錄，,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,35,B1: 安全標(biāo)簽保護(hù),提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對(duì)客體強(qiáng)制訪問(wèn)控制的非形式化描述； 安全標(biāo)簽，具有準(zhǔn)確地標(biāo)記輸出信息的能力； 本級(jí)的主要特征是可信計(jì)算基實(shí)施基于Bell LaPadula模型的強(qiáng)制訪問(wèn)控制。 分析和測(cè)試設(shè)計(jì)文檔、源代碼、客體代碼 消除通過(guò)測(cè)試發(fā)現(xiàn)的任何錯(cuò)誤。,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,

20、36,B2: 結(jié)構(gòu)化保護(hù),形式化安全策略模型 訪問(wèn)控制（自主的和強(qiáng)制的）擴(kuò)展到所有主體和客體 隱蔽信道分析 可信計(jì)算基構(gòu)造成為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素 通過(guò)提供可信路徑來(lái)增強(qiáng)鑒別機(jī)制。 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基的接口也必須明確定義，使其設(shè)計(jì)與實(shí)現(xiàn)能經(jīng)受更充分的測(cè)試和更完整的復(fù)審 增強(qiáng)了配置管理控制。系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。 分開(kāi)系統(tǒng)管理員和操作員的職能，提供可信實(shí)施管理,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,37,B3: 安全域保護(hù),在可信計(jì)算基的構(gòu)造方面，具有訪問(wèn)監(jiān)控器（reference monitor） 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基在其構(gòu)造時(shí)，排除那些對(duì)實(shí)施安全策略來(lái)說(shuō)并非必要的代碼；

21、擴(kuò)充審計(jì)機(jī)制，當(dāng)發(fā)生與安全相關(guān)的事件時(shí)發(fā)出信號(hào) 提供系統(tǒng)恢復(fù)機(jī)制。 系統(tǒng)具有很高的抗?jié)B透能力。,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,38,A1: 驗(yàn)證設(shè)計(jì)保護(hù),功能上與B3級(jí)相同 要求形式化驗(yàn)證設(shè)計(jì)： 形式化模型 形式化高層設(shè)計(jì) 實(shí)現(xiàn),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,39,TCSEC的缺陷,集中考慮數(shù)據(jù)機(jī)密性，而忽略了數(shù)據(jù)完整性、系統(tǒng)可用性等； 將安全功能和安全保證混在一起 安全功能規(guī)定得過(guò)為嚴(yán)格，不便于實(shí)際開(kāi)發(fā)和測(cè)評(píng),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,40,歐洲多國(guó)安全評(píng)價(jià)方法的綜合產(chǎn)物，軍用，政府用和商用。 以超越TCSEC為目的，將安全概念分為功能與功能評(píng)估兩部分。 功能準(zhǔn)則在測(cè)定

22、上分10級(jí)。15級(jí)對(duì)應(yīng)于TCSEC的C1 到B3。610級(jí)加上了以下概念： F-IN：數(shù)據(jù)和程序的完整性 F-AV：系統(tǒng)可用性 F-DI：數(shù)據(jù)通信完整性 F-DC：數(shù)據(jù)通信保密性 F-DX 包括機(jī)密性和完整性的網(wǎng)絡(luò)安全 評(píng)估準(zhǔn)則分為6級(jí)： E1：測(cè)試 E2：配置控制和可控的分配 E3：能訪問(wèn)詳細(xì)設(shè)計(jì)和源碼 E4：詳細(xì)的脆弱性分析 E5：設(shè)計(jì)與源碼明顯對(duì)應(yīng) E6：設(shè)計(jì)與源碼在形式上一致。,歐洲ITSEC,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,41,與TCSEC的不同,安全被定義為機(jī)密性、完整性、可用性 功能和質(zhì)量/保證分開(kāi) 對(duì)產(chǎn)品和系統(tǒng)的評(píng)估都適用，提出評(píng)估對(duì)象（TOE）的概念 產(chǎn)品：能夠被集成在

23、不同系統(tǒng)中的軟件或硬件包； 系統(tǒng)：具有一定用途、處于給定操作環(huán)境的特殊安全裝置,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,42,功能評(píng)估1預(yù)先定義的功能級(jí),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,43,功能評(píng)估2按功能分類(lèi)評(píng)估其聲稱(chēng)的安全功能,標(biāo)識(shí)和鑒別 訪問(wèn)控制 可控性 客體重用 審計(jì) 準(zhǔn)確性 服務(wù)的有效性 數(shù)據(jù)交換,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,44,保證評(píng)估,實(shí)現(xiàn)的正確性 安全功能和機(jī)制的有效性： 1.考慮所有使用的安全功能的適用性， 2.考慮安全機(jī)制的強(qiáng)度，評(píng)估其抵擋直接攻擊的能力 3.如果有可利用的安全脆弱性，則保證為E0,E0 E1 E2 E3 E4 E5 E6 不可信 高度可信,銀行

24、及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,45,加拿大CTCPEC,1989年公布，專(zhuān)為政府需求而設(shè)計(jì) 與ITSEC類(lèi)似，將安全分為功能性需求和保證性需要兩部分。 功能性要求分為四個(gè)大類(lèi)： a 機(jī)密性 b 完整性 c 可用性 d 可控性 在每種安全需求下又分成很多小類(lèi)，表示安全性上的差別，分級(jí)條數(shù)為05級(jí)。,早期評(píng)估準(zhǔn)則（續(xù)）,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,46,美國(guó)聯(lián)邦準(zhǔn)則(FC),對(duì)TCSEC的升級(jí)1992年12月公布 引入了“保護(hù)輪廓（PP）”這一重要概念 每個(gè)輪廓都包括功能部分、開(kāi)發(fā)保證部分和評(píng)測(cè)部分。 分級(jí)方式與TCSEC不同，吸取了ITSEC、CTCPEC中的優(yōu)點(diǎn)。 供美國(guó)政府用、民用

25、和商用。,早期評(píng)估準(zhǔn)則（續(xù)）,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,47,GB 17859-1999 計(jì)算機(jī)信息 系統(tǒng)安全等級(jí)劃分準(zhǔn)則,第一級(jí) 用戶自主保護(hù)級(jí) 第二級(jí) 系統(tǒng)審計(jì)保護(hù)級(jí) 第三級(jí) 安全標(biāo)記保護(hù)級(jí) 第四級(jí) 結(jié)構(gòu)化保護(hù)級(jí) 第五級(jí) 訪問(wèn)驗(yàn)證保護(hù)級(jí),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,48,4.通用準(zhǔn)則（CC ）,國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的努力結(jié)果； 1993年開(kāi)始，1996年出V 1.0, 1998年出V 2.0，1999年6月正式成為國(guó)際標(biāo)準(zhǔn)，1999年12月ISO出版發(fā)行ISO/IEC 15408； 主要思想和框架取自ITSEC和FC； 充分突出“保護(hù)輪廓”，將評(píng)估過(guò)程分“功能”

26、和“保證”兩部分； 是目前最全面的評(píng)價(jià)準(zhǔn)則,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,49,通用準(zhǔn)則（CC）（續(xù)）,國(guó)際上認(rèn)同的表達(dá)IT安全的體系結(jié)構(gòu) 一組規(guī)則集 一種評(píng)估方法，其評(píng)估結(jié)果國(guó)際互認(rèn) 通用測(cè)試方法（CEM） 已有安全準(zhǔn)則的總結(jié)和兼容 通用的表達(dá)方式，便于理解 靈活的架構(gòu) 可以定義自己的要求擴(kuò)展CC要求 準(zhǔn)則今后發(fā)展的框架,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,50,評(píng)估上下文,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,51,CC的結(jié)構(gòu)以及目標(biāo)讀者,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,52,本標(biāo)準(zhǔn)定義作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)準(zhǔn)則 不包括屬于行政性管理安全措施的評(píng)估準(zhǔn)則；不包括物理

27、安全方面（諸如電磁輻射控制）的評(píng)估準(zhǔn)則；不包括密碼算法固有質(zhì)量評(píng)價(jià)準(zhǔn)則,應(yīng)用范圍,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,53,關(guān)鍵概念,評(píng)估對(duì)象 TOE(Target of Evaluation) 保護(hù)輪廓PP (Protection Profile） 安全目標(biāo)ST( Security Target） 功能(Function) 保證(Assurance) 組件(Component) 包(Package) 評(píng)估保證級(jí)EAL( Evaluation Assurance Level）,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,54,評(píng)估對(duì)象（TOE）,產(chǎn)品、系統(tǒng)、子系統(tǒng),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,

28、55,保護(hù)輪 廓（PP）,表達(dá)一類(lèi)產(chǎn)品或系統(tǒng)的用戶需求 組合安全功能要求和安全保證要求 技術(shù)與需求之間的內(nèi)在完備性 提高安全保護(hù)的針對(duì)性、有效性 安全標(biāo)準(zhǔn) 有助于以后的兼容性 同TCSEC級(jí)類(lèi)似,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,56,PP的內(nèi)容,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,57,安全目標(biāo)（ST）,IT安全目的和要求 要求的具體實(shí)現(xiàn) 實(shí)用方案 適用于產(chǎn)品和系統(tǒng) 與ITSEC ST 類(lèi)似,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,58,ST的內(nèi)容,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,59,功能/保證結(jié)構(gòu),類(lèi)（如用戶數(shù)據(jù)保護(hù)FDP） 關(guān)注共同的安全焦點(diǎn)的一組族，覆蓋不同的安全目的范圍 子類(lèi)（如

29、訪問(wèn)控制FDP_ACC） 共享安全目的的一組組件，側(cè)重點(diǎn)和嚴(yán)格性不同 組件（如子集訪問(wèn)控制FDP_ACC.1) 包含在PP/ST/包中的最小可選安全要求集,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,60,組件,CC將傳統(tǒng)的安全要求分成不能再分的構(gòu)件塊 用戶/開(kāi)發(fā)者可以組織這些要求 到PP中 到ST中 組件可以進(jìn)一步細(xì)化,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,61,舉例：類(lèi)子類(lèi)組件,FIA 標(biāo)識(shí)和鑒別,FIA_AFL 鑒別失敗,FIA_ATD 用戶屬性定義,FIA_SOS 秘密的規(guī)范,類(lèi)子類(lèi)組件,FIA_AFL.1鑒別失敗處理,FIA_ATD.1用戶屬性定義,FIA_SOS.1 秘密的驗(yàn)證,FIA_SO

30、S.2 秘密的TSF生成,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,62,安全要求的結(jié)構(gòu),類(lèi)（Class）,子類(lèi)（Family）,子類(lèi)（Family）,組件,組件,組件,組件,功能和保證,PP/ST/包,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,63,功能,規(guī)范IT產(chǎn)品和系統(tǒng)的安全行為，應(yīng)做的事,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,64,安全功能要求類(lèi),11類(lèi) 135個(gè)組件,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,65,保 證,對(duì)功能產(chǎn)生信心的方法,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,66,安全保證要求,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,67,TOE安全保證類(lèi),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,68,包,

31、IT安全目的和要求 功能或保證要求（如EAL） 適用于產(chǎn)品和系統(tǒng) 與ITSEC E-級(jí)類(lèi)似,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,69,評(píng)估保證級(jí)（EAL）,預(yù)定義的保證包 公認(rèn)的廣泛適用的一組保證要求,CC 第一部分,概念和模型,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,71,安全概念和關(guān)系,所有者,威脅主體,資產(chǎn),措施,弱點(diǎn),風(fēng)險(xiǎn),威脅,擁有,引起,到,希望濫用,最小化,增加,到,利用,導(dǎo)致,減少,可能具有,可能被減少,利用,可能意識(shí)到,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,72,評(píng)估環(huán)境,評(píng)估準(zhǔn)則,評(píng)估方法,最終評(píng)估結(jié)果,評(píng)估方案,評(píng)估,批準(zhǔn)/ 證明,證書(shū)/ 注冊(cè),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體

32、系,73,TOE開(kāi)發(fā)模型,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,74,TOE評(píng)估過(guò)程,安全需求 （PP、ST),開(kāi)發(fā),TOE,TOE,和評(píng)估,評(píng)估結(jié)果,評(píng)估準(zhǔn)則,評(píng)估方案,評(píng)估方法,操作,TOE,反饋,評(píng)估,TOE,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,75,安全要求或規(guī)范的產(chǎn)生方式,CC 第二部分,安全功能要求,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,77,安全功能要求的表達(dá)形式,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,78,安全功能要求,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,79,安全功能要求組件標(biāo)識(shí),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,80,FAU類(lèi):安全審計(jì),1、安全審計(jì)自動(dòng)響應(yīng)（FAU-ARP）

33、2、安全審計(jì)數(shù)據(jù)產(chǎn)生（FAU-GEN） 3、安全審計(jì)分析（FAU-SAA） 4、安全審計(jì)查閱（FAU-SAR） 5、安全審計(jì)事件選擇（FAU-SEL） 6、安全審計(jì)數(shù)據(jù)存貯（FAU-STG）,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,81,FCO類(lèi)：通信,1、原發(fā)抗抵賴（FCO-NRO） 2、接收抗抵賴（FCO-NRR）,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,82,FCS類(lèi)：密碼支持,1、密鑰管理（FCS-CKM） 2、密碼運(yùn)算（FCS-COP）,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,83,FDP類(lèi)：保護(hù)用戶數(shù)據(jù),1、訪問(wèn)控制策略（FDP-ACC） 2、訪問(wèn)控制功能（FDP-ACF） 3、數(shù)據(jù)鑒別（FD

34、P-DAU） 4、輸出到TSF控制范圍之外（FDP-ETC） 5、信息流控制策略（FDP-IFC） 6、信息流控制功能（FDP-ICF） 7、從TSF控制范圍之外輸入（FDP-ITC） 8、TOE內(nèi)部傳輸（FDP-ITT） 9、剩余信息保護(hù)（FDP-RIP） 10、反轉(zhuǎn)（FDP-ROL） 11、存儲(chǔ)數(shù)據(jù)的完整性（FDP-SDI） 12、TSF間用戶數(shù)據(jù)機(jī)密性的傳輸保護(hù)（FDP-UCT） 13、TSF間用戶數(shù)據(jù)完整性的傳輸保護(hù)（FDP-UIT）,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,84,FIA類(lèi)：標(biāo)識(shí)和鑒別,1、鑒別失?。‵IA-AFL） 2、用戶屬性定義（FIA-ATD） 3、秘密的規(guī)范（FI

35、A-SOS） 4、用戶鑒別（FIA-UAU） 5、用戶標(biāo)識(shí)（FIA-UID） 6、用戶-主體綁定（FIA-USB）,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,85,FMT類(lèi)：安全管理,1、TSF中功能的管理（FMT-MOF） 2、安全屬性的管理（FMT-MSA） 3、TSF數(shù)據(jù)的管理（FMT-MTD） 4、取消（FMT-REV） 5、安全屬性到期（FMT-SAE） 6、安全管理角色（FMT-SMR）,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,86,FPR類(lèi)：秘密,1、匿名（FPR-ANO） 2、假簽名（FPR-PSE） 3、非關(guān)聯(lián)性（FPR-UNL） 4、無(wú)觀察性（FPR-UNO）,銀行及相關(guān)金融服務(wù)信息

36、安全標(biāo)準(zhǔn)體系,87,FPT類(lèi)：TOE安全功能的保護(hù),1、根本的抽象機(jī)測(cè)試（FPT-AMT） 2、保護(hù)失?。‵PT-FLS） 3、TSF輸出數(shù)據(jù)的有效性（FPT-ITA） 4、TSF輸出數(shù)據(jù)的機(jī)密性（FPT-ITC） 5、輸出TSF數(shù)據(jù)的完整性（FPT-ITI） 6、TOE內(nèi)TSF 數(shù)據(jù)交換（FPT-ITT） 7、TSF物理保護(hù)（FPT-PHP） 8、信任恢復(fù)（FPT-RCV） 9、重復(fù)檢測(cè)（FPT-RPL） 10、參考調(diào)解器（FPT-RVM） 11、域分離（FPT-SEP） 12、狀態(tài)同步協(xié)議（FPT-SSP） 13、時(shí)間標(biāo)志（FPT-STM） 14、TSF內(nèi)部的TSF數(shù)據(jù)的一致性（FPT-T

37、DC） 15、內(nèi)部TOE TSF數(shù)據(jù)復(fù)制的一致性（FPT-TRC） 16、TSF自測(cè)試（FPT-TST）,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,88,FRU類(lèi)：資源利用,1、失效容限（FRU-FLT） 2、工作優(yōu)先級(jí)（FRU-PRS） 3、資源分配（FRU-RSA）,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,89,FTA類(lèi)：TOE訪問(wèn),1、可選屬性范圍限定（FTA-LSA） 2、多重并發(fā)會(huì)話限定（FTA-MCS） 3、會(huì)話鎖定（FTA-SSL） 4、TOE訪問(wèn)方法（FTA-TAB） 5、TOE訪問(wèn)歷史（FTA-TAH） 6、TOE會(huì)話建立（FTA-TSE）,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,90,F

38、TP類(lèi)：可信路徑/通道,1、TSF間可信信道（FTP-ITC） 2、可信路徑（FTP-TRP）,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,91,安全功能要求應(yīng)用, 用于構(gòu)成PP中IT安全要求的TOE安 全功能要求, 用于構(gòu)成ST中IT安全要求的TOE安 全功能要求,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,92,安全功能要求-1,標(biāo)識(shí)和鑒別,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,93,安全功能要求-2,訪問(wèn)控制,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,94,安全功能要求-3,安全審計(jì),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,95,安全功能要求-4,完整性,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,96,安全功能要求-5,

39、私密,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,97,安全功能要求-6,適用性,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,98,安全功能要求-7,數(shù)據(jù)交換,CC 第三部分,安全保證要求,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,100,保證要求細(xì)分類(lèi),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,101,評(píng)估 保 證級(jí)（EAL）,EAL1功能測(cè)試 EAL2結(jié)構(gòu)測(cè)試 EAL3系統(tǒng)地測(cè)試和檢查 EAL4系統(tǒng)地設(shè)計(jì)、測(cè)試和復(fù)查 EAL5半形式化設(shè)計(jì)和測(cè)試 EAL6半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試 EAL7形式化驗(yàn)證的設(shè)計(jì)和測(cè)試,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,102,評(píng)估保證級(jí)別（EAL）,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,10

40、3,EAL1功能測(cè)試,EAL1適用于安全的威脅并不嚴(yán)重的場(chǎng)合 TOE的功能與其文檔在形式上是一致的，并且對(duì)已標(biāo)識(shí)的威脅提供了有效的保護(hù)。 利用功能和接口的規(guī)范以及指導(dǎo)性文檔，對(duì)安全功能進(jìn)行分析，進(jìn)行獨(dú)立性測(cè)試 保證組件： ACM_CAP.1 版本號(hào) ADO_IGS.1 安裝、生成和啟動(dòng)程序 ADV_FSP.1 非形式化功能規(guī)范 ADV_RCR.1非形式化對(duì)應(yīng)性論證 AGD_ADM.1 管理員指南 AGD_USR.1用戶指南 ATE_IND.1 一致性,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,104,安全保證級(jí)別1(EAL1),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,105,EAL2結(jié)構(gòu)測(cè)試,EAL2適

41、用于在缺乏現(xiàn)成可用的完整的開(kāi)發(fā)記錄時(shí)，開(kāi)發(fā)者或使用者需要一種低到中等級(jí)別的獨(dú)立保證的安全性。 增加： ACM_CAP.2 配置項(xiàng) ADO_DEL.1 交付程序 ADV_HLD.1 描述性高層設(shè)計(jì) * ATE_COV.1 范圍證據(jù) ATE_FUN.1 功能測(cè)試 ATE_IND.2 獨(dú)立性測(cè)試抽樣 AVA_SOF.1 TOE安全功能強(qiáng)度評(píng)估* AVA_VLA.1開(kāi)發(fā)者脆弱性分析*,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,106,安全保證級(jí)別2(EAL2),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,107,EAL3系統(tǒng)地測(cè)試和檢查,EAL3適用于開(kāi)發(fā)者或使用者需要一個(gè)中等級(jí)別的安全性，和不需要再次進(jìn)行真正的工

42、程實(shí)踐的情況下，對(duì)TOE及其開(kāi)發(fā)過(guò)程進(jìn)行徹底檢查。 增加組件： ACM_CAP.3 授權(quán)控制 ACM_SCP.1 TOE 配置管理（CM）范圍 ADV_HLD.2 安全加強(qiáng)的高層設(shè)計(jì)* ALC_DVS.1 安全措施標(biāo)識(shí)* ATE_COV.2 范圍分析 ATE_DPT.1 測(cè)試：高層設(shè)計(jì) AVA_MSU.1 指南審查,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,108,安全保證級(jí)別3(EAL3),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,109,EAL4系統(tǒng)地設(shè)計(jì)、測(cè)試和復(fù)查,EAL4適用于：開(kāi)發(fā)者或使用者對(duì)傳統(tǒng)的商品化的TOE需要一個(gè)中等到高等級(jí)別的安全性，并準(zhǔn)備負(fù)擔(dān)額外的安全專(zhuān)用工程費(fèi)用。 增加組件： A

43、CM_AUT.1 部分配置管理（CM）自動(dòng)化 ACM_CAP.4 產(chǎn)生支持和接受程序 ACM_SCP.2 跟蹤配置管理（CM）范圍問(wèn)題 ADO_DEL.2 修改檢測(cè) ADV_FSP.2 完全定義的外部接口* ADV_IMP.1 TSF實(shí)現(xiàn)的子集* ADV_LLD.1 描述性低層設(shè)計(jì)* ALC_LCD.1 開(kāi)發(fā)者定義的生命周期模型 ALC_TAT.1 明確定義的開(kāi)發(fā)工具 AVA_MSU.2 分析確認(rèn) AVA_VLA.2 獨(dú)立脆弱性分析*(穿透性測(cè)試）,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,110,安全保證級(jí)別4(EAL4),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,111,EAL5半形式化設(shè)計(jì)和測(cè)試,T

44、OE安全策略的形式化模型，功能規(guī)范和高層設(shè)計(jì)的半形式化表示，及它們之間對(duì)應(yīng)性的半形式化論證。還需模塊化的TOE設(shè)計(jì)。 這種分析也包括對(duì)開(kāi)發(fā)者的隱蔽信道分析的確認(rèn) 增加組件： ACM_SCP.3 開(kāi)發(fā)工具配置管理（CM）范圍 ADV_FSP.3 半形式化功能規(guī)范* ADV_HLD.3 半形式化高層設(shè)計(jì)* ADV_IMP.2 TSF實(shí)現(xiàn) ADV_INT.1 模塊化* ADV_RCR.2半形式化對(duì)應(yīng)性論證* ADV_SPM.3形式化TOE安全策略模型 ALC_LCD.2 標(biāo)準(zhǔn)化生命周期模型* ALC_TAT.2 遵從實(shí)現(xiàn)標(biāo)準(zhǔn) ATE_DPT.2 測(cè)試：低層設(shè)計(jì)* AVA_CCA.1 隱蔽信道分析*

45、AVA_VLA.3 中級(jí)抵抗力,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,112,安全保證級(jí)別5(EAL5),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,113,EAL6半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試,低層設(shè)計(jì)的半形式化表示 結(jié)構(gòu)化的開(kāi)發(fā)流程 增加組件： ACM_AUT.2 完全配置管理（CM）自動(dòng)化 ACM_CAP.5 高級(jí)支持 ADV_HLD.4 半形式化高層解釋 ADV_IMP.3 TSF的結(jié)構(gòu)化實(shí)現(xiàn) ADV_INT.2 復(fù)雜性降低 ADV_LLD.2半形式化低層設(shè)計(jì) ALC_DVS.2 安全措施的充分性 ALC_TAT.3 遵從實(shí)現(xiàn)標(biāo)準(zhǔn)所有部分 ATE_COV.3 范圍的嚴(yán)格分析 ATE_FUN.2 順序

46、的功能測(cè)試 AVA_CCA.2系統(tǒng)化隱蔽信道分析 AVA_MSU.3 對(duì)非安全狀態(tài)的分析和測(cè)試 AVA_VLA.4 高級(jí)抵抗力,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,114,安全保證級(jí)別6(EAL6),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,115,EAL7形式化驗(yàn)證的設(shè)計(jì)和測(cè)試,EAL7的實(shí)際應(yīng)用目前只局限于一些TOE，這些TOE非常關(guān)注能經(jīng)受廣泛地形式化分析的安全功能功能規(guī)范和高層設(shè)計(jì)的形式化表示 增加組件： ADO_DEL.3 修改預(yù)防 ADV_FSP.4 形式化功能規(guī)范 ADV_HLD.5 形式化高層設(shè)計(jì) ADV_INT.3 復(fù)雜性最小化 ADV_RCR.3 形式化對(duì)應(yīng)性論證 ALC_LCD

47、.3 可測(cè)量的生命周期模型 ATE_DPT.3 測(cè)試：實(shí)現(xiàn)表示 ATE_IND.3 獨(dú)立性測(cè)試全部,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,116,安全保證級(jí)別7(EAL7),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,117,評(píng)估保證級(jí)（EAL）,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,118,形式化,有三種類(lèi)型的規(guī)范風(fēng)格：非形式化、半形式化和形式化。功能規(guī)范、高層設(shè)計(jì)、低層設(shè)計(jì)和TSP模型都將使用以上一種或多種規(guī)范風(fēng)格來(lái)書(shū)寫(xiě)。 非形式化規(guī)范就是象散文一樣用自然語(yǔ)言來(lái)書(shū)寫(xiě)。 半形式化規(guī)范就是用一種受限制的句法語(yǔ)言來(lái)書(shū)寫(xiě)，并且通常伴隨著支持性的解釋(非形式化)語(yǔ)句。這里的受限制句法語(yǔ)言可以是一種帶有受限制句子

48、結(jié)構(gòu)和具有特殊意義的關(guān)鍵字的自然語(yǔ)言，也可以是圖表式的(如數(shù)據(jù)流圖、狀態(tài)轉(zhuǎn)換圖、實(shí)體關(guān)系圖、數(shù)據(jù)結(jié)構(gòu)圖、流程或程序結(jié)構(gòu)圖)。 形式化規(guī)范就是用一套基于明確定義的數(shù)學(xué)概念的符號(hào)來(lái)書(shū)寫(xiě)，并且通常伴隨著支持性的解釋(非形式化)語(yǔ)句。,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,119,評(píng)測(cè)級(jí)別對(duì)應(yīng),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,120,保證,功能,EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7,E0 E1 E2 E3 E4 E5 E6,D級(jí),C1級(jí),C2級(jí),B1級(jí),B2級(jí),B3級(jí),A1級(jí),F-C1級(jí),F-C2級(jí),F-B1級(jí),F-B2級(jí),F-B3級(jí),HP-UNIX(VV),Win

49、nt 3.5,Win nt 4.0 Win 2000,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,121,各部分關(guān)系,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,122,4. PP/ST產(chǎn)生指南,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,123,為既定的一系列安全對(duì)象提出功能和保證要求的完備集合 可復(fù)用集合 - 對(duì)各種應(yīng)用的抽象 希望和要求的陳述,PP定義,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,124,什么是PP？,用戶要求陳述 用戶希望達(dá)到什么程度 主要針對(duì): 業(yè)務(wù)/商業(yè)擁有者 對(duì)用戶、開(kāi)發(fā)者、評(píng)估者和審計(jì)者都有用 系統(tǒng)設(shè)計(jì)文檔 將幾級(jí)要求細(xì)化成特定的需求 一致性 需求符合用戶的要求,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)

50、體系,125,誰(shuí)用PP？,PP是用戶要求的根本陳述 理想的“使用”團(tuán)體應(yīng)當(dāng)擁有PP并 驅(qū)動(dòng)PP的開(kāi)發(fā) 從開(kāi)發(fā)者、評(píng)估者、審計(jì)者和校準(zhǔn)者那里得到輸入 用戶理解任務(wù)/商業(yè)并能陳述 希望怎樣的評(píng)估對(duì)象（TOE） 不希望怎樣的TOE 其他 賣(mài)主難于陳述產(chǎn)品不做什么 安全技術(shù)專(zhuān)家常常不能完全理解用戶要求,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,126,PP要點(diǎn),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,127,范圍：PP的適用范圍 引用標(biāo)準(zhǔn)：與TOE實(shí)現(xiàn)相關(guān)的其他信息技術(shù)標(biāo)準(zhǔn) 術(shù)語(yǔ)定義和記法約定：一些便于理解PP的術(shù)語(yǔ)和PP中相關(guān)記法的約定 TOE描述：TOE的一般信息 TOE類(lèi)型 一般TOE功能 TOE界限 T

51、OE操作環(huán)境 有關(guān)TOE的主要假設(shè),PP要點(diǎn)（續(xù)）,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,128,TOE安全環(huán)境：定義TOE “安全需求”的特征和范圍,假設(shè)：如果環(huán)境滿足該假定，TOE被認(rèn)為是安全的,威脅：包括TOE及其環(huán)境需要保護(hù)的特定資產(chǎn)所面臨的與TOE安全操作相關(guān)的威脅,組織安全策略：TOE必須遵守的任何組織安全策略和規(guī)則,PP要點(diǎn)（續(xù)）,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,129,有關(guān)環(huán)境的假設(shè),對(duì)資產(chǎn)的威脅,組織安全策略,安全需求,定義,TOE安全環(huán)境,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,130,環(huán)境安全目的,TOE安全目的,安全目的：意在對(duì)抗確定的威脅，滿足確定的組織安全策略和假定的

52、陳述,PP要點(diǎn)（續(xù)）,在確定安全目的時(shí)，需要確保每個(gè)已知的威脅，至少有一個(gè)安全目的對(duì)抗；每個(gè)已知的組織安全策略，至少有一個(gè)安全目的來(lái)滿足。 在對(duì)抗威脅方面主要有預(yù)防、檢測(cè)和糾正三種目的。,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,131,威脅,組織安全策略,假設(shè),安全需求,TOE,IT環(huán)境,非IT安全要求,TOE 目的,環(huán)境目的,安全目的,IT安全要求,安全目的,橋梁作用,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,132,IT安全要求,TOE安全要求,IT環(huán)境安全要求,TOE安全功能要求,TOE安全保證要求,PP要點(diǎn)（續(xù)）,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,133,安全功能要求,安全保證要求,IT環(huán)境安

53、全要求,TOE 安全目的,IT環(huán)境安全目的,ISO/IEC 15408 第二部分,ISO/IEC 15408 第三部分,IT安全要求,賦值、反復(fù)、選擇和細(xì)化,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,134,PP要點(diǎn)（續(xù)）,PP應(yīng)用注解：對(duì)開(kāi)發(fā)、評(píng)估或使用TOE是相關(guān)的或有用的一些附加信息 基本原理：對(duì)PP進(jìn)行評(píng)估的依據(jù)，證明PP是一個(gè)完整的、緊密結(jié)合的要求集合，滿足該P(yáng)P的TOE將在安全環(huán)境內(nèi)提供一組有效的IT安全對(duì)策 安全目的基本原理 安全要求基本原理,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,135,威脅,組織安全策略,假設(shè),安全需求,IT安全要求,TOE 目的,環(huán)境的目的,安全目的,相互支持,支持

54、,恰好滿足,恰好滿足,功能強(qiáng)度聲明,一致,基本原理,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,136,威脅舉例,T.REPLAY 重放,當(dāng)截獲了有效用戶的識(shí)別和鑒別數(shù)據(jù)后，未授權(quán)用戶可能在將來(lái)使用這些鑒別數(shù)據(jù)，以訪問(wèn)TOE提供的功能。,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,137,安全目的舉例,O.SINUSE 單用途,TOE必須防止用戶重復(fù)使用鑒別數(shù)據(jù)，嘗試通過(guò)互連網(wǎng)絡(luò)在TOE上進(jìn)行鑒別。,O.SECFUN 安全功能,TOE必須提供一種功能使授權(quán)管理員能夠使用TOE的安全功能，并且確保只有授權(quán)管理員才能訪問(wèn)該功能。,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,138,O.SINUSE,FIA_ATD.1 用

55、戶屬性定義：允許為每個(gè)用戶單獨(dú)保存其用戶安全屬性。 FIA_UAU.1 鑒別定時(shí)：允許用戶在身份被鑒別前，實(shí)施一定的動(dòng)作。 FIA_UAU.4 單用戶鑒別機(jī)制：需要操作單用戶鑒別數(shù)據(jù)的鑒別機(jī)制。 FMT_MSA.3 靜態(tài)屬性初始化：確保安全屬性的默認(rèn)值是允許的或限制某行為的。,TOE安全功能要求舉例,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,139,TOE安全功能要求舉例,FMT_MOF.1 安全功能行為的管理：允許授權(quán)用戶管理TSF中使用規(guī)則或有可管理的指定條件的功能行為。 FAU_STG.1 受保護(hù)的審計(jì)蹤跡存儲(chǔ)：放在審計(jì)蹤跡中的數(shù)據(jù)將受到保護(hù)，以避免未授權(quán)的刪除或修改。 FAU_STG.4 防

56、止審計(jì)數(shù)據(jù)丟失：規(guī)定當(dāng)審計(jì)蹤跡溢滿時(shí)的行動(dòng)。,O.SECFUN,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,140,PP示例,CAPP代替TCSEC的C2級(jí)要求 LSPP代替TCSEC的B1級(jí)要求 “包過(guò)濾防火墻安全技術(shù)要求”（GB 18019-99） “應(yīng)用級(jí)防火墻安全技術(shù)要求”（GB18020-99） “路由器安全技術(shù)要求”（GB18018-99） “電信智能卡安全技術(shù)要求” “網(wǎng)上證券委托系統(tǒng)安全技術(shù)要求”,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,141,國(guó)家信息化,領(lǐng)域信息化 區(qū)域信息化 社區(qū)信息化 企業(yè)信息化 家庭信息化,國(guó)家信息安全保障體系,安全需求,基于安全利益的威脅和風(fēng)險(xiǎn)分析 利益分類(lèi)分級(jí)

57、及其網(wǎng)絡(luò)化映射 威脅分類(lèi)分級(jí) 風(fēng)險(xiǎn)分析與評(píng)估方式方法,國(guó)家以國(guó)家意志和國(guó)家行為的方式，在技術(shù)、管理和人員方面所形成的用于保護(hù)其安全利益的資源和能力，這種資源和能力體現(xiàn)為特定形態(tài)和過(guò)程的技術(shù)結(jié)構(gòu)、社會(huì)結(jié)構(gòu)和人才結(jié)構(gòu)。,技術(shù),管理,人員,基礎(chǔ)性技術(shù),專(zhuān)用產(chǎn)品,基礎(chǔ)設(shè)施,結(jié)構(gòu)化規(guī)則,政府管理,用戶管理,服務(wù)商管理,司法行政人員,用戶管理人員,研發(fā)服務(wù)人員,教學(xué)研究人員,標(biāo)準(zhǔn)化管理,政策法規(guī),資質(zhì),能力,基礎(chǔ)理論,技術(shù)標(biāo)準(zhǔn),應(yīng)急救援,防護(hù)類(lèi)產(chǎn)品,管理類(lèi)產(chǎn)品,核心技術(shù),平臺(tái)技術(shù),教育基礎(chǔ)研究,教育培訓(xùn),要點(diǎn)：安全利益和風(fēng)險(xiǎn)分析評(píng)估、基礎(chǔ)性技術(shù)、專(zhuān)用產(chǎn)品、基礎(chǔ)設(shè)施、結(jié)構(gòu)化規(guī)則、政府管理、服務(wù)商管理、用戶管

58、理、教育基礎(chǔ)研究、教育培訓(xùn),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,142,電子政務(wù)信息系統(tǒng)安全標(biāo)準(zhǔn),銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,143,IATF,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,144,縱深防御戰(zhàn)略的內(nèi)涵：,保衛(wèi)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施 保衛(wèi)邊界 保衛(wèi)計(jì)算環(huán)境 為基礎(chǔ)設(shè)施提供支持,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,145,保衛(wèi)邊界：,一個(gè)區(qū)域邊界之內(nèi)通常包含多個(gè)局域網(wǎng)以及各種計(jì)算資源組件，比如用戶平臺(tái)、網(wǎng)絡(luò)、應(yīng)用程序、通信服務(wù)器、交換機(jī)等。邊界環(huán)境是比較復(fù)雜的，比如它可以包含很多物理上分離的系統(tǒng)。 絕大多數(shù)邊界環(huán)境都擁有通向其它網(wǎng)絡(luò)的外部連接。它與所連接的網(wǎng)絡(luò)可以在密級(jí)等方面有所不同。 對(duì)流

59、入、流出邊界的數(shù)據(jù)流進(jìn)行有效的控制和監(jiān)督。 有效地控制措施包括防火墻、門(mén)衛(wèi)系統(tǒng)、VPN、標(biāo)識(shí)和鑒別/訪問(wèn)控制等。 有效的監(jiān)督措施包括基于網(wǎng)絡(luò)的如今檢測(cè)系統(tǒng)（IDS）、脆弱性掃描器、局域網(wǎng)上的病毒檢測(cè)器等。 這些機(jī)制可以單獨(dú)使用，也可以結(jié)合使用，從而對(duì)邊界內(nèi)的各類(lèi)系統(tǒng)提供保護(hù)。,銀行及相關(guān)金融服務(wù)信息安全標(biāo)準(zhǔn)體系,146,保衛(wèi)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施：,*主干網(wǎng)的可用性 討論了數(shù)據(jù)通信網(wǎng)絡(luò)以及對(duì)網(wǎng)絡(luò)管理的保護(hù) *無(wú)線網(wǎng)絡(luò)安全框架 討論了手機(jī)、呼機(jī)、衛(wèi)星系統(tǒng)和無(wú)線局域網(wǎng)的安全問(wèn)題 *系統(tǒng)互聯(lián)和虛擬專(zhuān)用網(wǎng) 討論了在主干網(wǎng)上同樣敏感度級(jí)別的系統(tǒng)之間安全五連的問(wèn)題 *保衛(wèi)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的總的IA戰(zhàn)略是： 使用經(jīng)過(guò)