信息安全有关标准标准的发展一国际标准的发展

1、学习参考第三章信息安全有关标准第一节标准的发展一国际标准的发展I960年代末，1970年代初，美国出现有关论文。可信Ttusted，评测级别，DoD美国防部1967年10月，美 国防科委赞助成立特别工作组。1970年，Tast Force 等人计算机系统的安全控制（始于1967年）。1970年代初，欧、日等国开始。1970年2月，美发表计算机系统的安全控制。1972年，美发表 DOD5200.28条令。1972年，美DoD自动数据处理系统的安全要求1973年，美DoDADP安全手册-实施、撤消、测试和评估安全的资源共享ADP系统的技术与过程1973年，美发表 DOD5200.28-M（ .28

2、相应的指南）。1976年，MITRE公司的Bell、LaPadula推出经典安全模型贝尔 -拉柏丢拉模型（形式化）。1976年，美DoD主要防卫系统中计算机资源的管理1976年，美联邦信息处理标准出版署FIPS PUB制订计算机系统安全用词。1977年，美国防研究与工程部赞助成立DoD（ Computer Security Initiative ，1981年01月 成立 DoD CSC。1977年3月，美NBS成立一个工作组，负责安全的审计。1978年，MITRE公司发表可信计算机系统的建设技术评估标准。1978年10月，美NBS成立一个工作组，负责安全的评估。1983年，美发布“可信计算机系

3、统评价标准TCSEC桔皮书（1985年正式版DoD85。DoD85:四类七级：D、C（ C1、C2）、B（ B1、B2、B3）、A （后又有超A）。1985年，美 DoD向 DBMS NET环境延伸。1991年，欧四国（英、荷兰、法等）发布“信息技术安全评价标准IT-SEC”。1993年，加拿大发布“可信计算机系统评价标准CTCPECo国际标准组织IEEE/POSIX的FIPS, X/OPEN1993年，美DoD在 C4I（命令、控制、通信、计算机、集成系统）上提出多级安全 MIS技术。1994年4月，美国家计算机安全中心NCSC颁布TDI可信计算机系统评估标准在数据库管理系统的解释。1994

4、年，美、加、欧的信息技术安全评测公共标准CC V0.9 , 1996年为1.0版本。与上述标准不同，目前信息安全尚无统一标准。影响较大的：美TCSEC桔皮书及红皮书（桔皮书在网络环境下和解释）；美信息系统安全协会ISSA的GSSP（ 般接受的系统原则）（与C2不同，更强调个人管理而不是 系统管理）；日本计算机系统安全规范；英国制订自己的安全控制和安全目标的评估标准（1989 年）;学习参考1989 年);GB/T9387.2-1995GB/T15277-1994GB/T15278-1994GB15851-1995GB15852-1995信息处理64位块加密算法ISO8372: 1987信息技术

5、数据加密，信息技术一一安全技术，信息技术一一安全技术，物理层互操作性要求ISO9160: 1988带消息恢复的数字签名方案用块加密算法校验函数的数据完整性ISO/IEC9796 : 1991ISO/IEC9797 :GB15853.1-19951994信息技术一一安全技术，实体鉴别机制I部分：一般模型ISO/IEC 9798.1GB15853.2-1995GB15853.31991信息技术一一安全技术，实体鉴别机制n部分：对称加密算法的实体鉴别ISO/IEC9798.2 : 1994信息技术一一安全技术，实体鉴别机制川部分：非对称签名技术机制西德信息安全部门的信息安全技术的安全评价标准( 加拿

6、大、新西兰、欧盟。我国1994年2月，国务院“计算机信息安全保护条例” 近年，靠近TDI，TCSEC勺国际标准。般C2级，部分C1级。日本还处于开始阶段 一CoBASE系统。第二节概述.基本概念1.桔皮书TCSEC与数据库解释TDI(Trusted Computer System Evaluatio n Criteria)设计、实现时要：数学模型、型式化描述、验证技术。(1) 提供一标准(2) 提供制造原则(3) 提供有关方面的解释可信度评估可信数据库解释TDI (Trusted Database Interpretation)可信网络解释TNI (Trusted Network Interp

7、retation) 1987 年4组division 七等级class偏序兼容向下、层次化、积聚性。可信计算基TCB (Trusted Co mputing Base ) -硬件与支持不可信应用及不可信用户的操作系统组合体。B级开始要求强制存取控制和形式化模型的应用。A1级要求形式化描述、验证，形式化隐秘通道(Covert Cha nnel )分析等。.我国信息安全标准1995 年，GB/T9387-2-1995 相当于 ISO7498-2-1989 (最早 1984 年提出)1996年，GJB2646-96军用计算机安全评估准则一一相当于桔皮书1999年，GB17859-1999计算机系统安

8、全特性等级划分准则GB4943-1995信息技术设备的安全(IEC950)GB9254-88信息技术设备的无线电干扰限值和测量方法GB9361-88计算机场地安全OSI的第二部分安全体系结构ISO7498.2 : 1989ISO/IEC9798.3 : 1997学习参考GB15853.7信息技术一一开放系统连接-系统管理-安全报警功能ISO/IEC10164-7 : 1992GB15853.8信息技术一一开放系统连接-系统管理-安全审计跟踪ISO/IEC10164-8 : 1993国家军用标准：GJB1281-91指挥自动化计算机网络安全要求GJB1295-91军队通用计算机使用安全要求GJB

9、1894-94自动化指挥系统数据加密要求GJB2256-94军用计算机安全术语GJB2646-96军用计算机安全评估准则GJB2824-97军用数据库安全要求正制定：分组过滤防火墙一一防火墙系统安全技术要求应用网关防火墙一一网关安全技术要求网络代理服务器和信息选择平台安全标准鉴别机制标准数字签名机制标准安全电子商务标准I部分：抗抵赖机制网络安全服务标准：信息系统安全性评价准则及测试规范安全电子数据交换标准安全电子商务标准n部分：密钥管理框架路由器安全技术要求信息技术-N位块密码算法的操作方式信息技术一一开放系统互连-上层安全模型信息技术一一开放系统互连-网络层安全模型信息技术一一安全技术-实体

10、鉴别W部分-用加密校验函数的机制三几种等级1 . GB17859-1999计算机系统安全保护等级划分与准则具体等级：第1级 用户自主保护级第2级系统审计保护级第3级安全标记保护级第1级结构化保护级第1级访问验证保护级2. TCSEC等级(1) TCSEC等级A1设计的形式化验证Verified Desig nB3安全域Security Doma insB2结构化保护Structural Protectio nB1带标记的安全保护Labeled Security Protect ionC2受控制的存取保护Con trolled Access Protect ionC1自主安全保护Discreti

11、 onary Security Protect ionD最小保护Mi ni mal Protecti on学习参考（2） TCB可信度算基操作系统级含：操作系统内核具有特权的程序和命令处理敏感信息的程序，如系统管理命令与TCB实施安全策略有关的文档资料保障固件和硬件正确运行的程序和诊断程序构成系统的固件和硬件负责系统管理的人员TCSEC设计目标是将TCB做得尽可能少一一只考虑系统安全性，不考虑系统中其他与系统安全无 关的因素。四各级标准及其应用背景每一较高级别的都是其较底级别的超集安全评测标准四方面：安全策略，责任，保证，相关文档D级：不好的统统放入DOSC1级：很初级商业系统C2级：安全产品

12、的最低档次WinNT3.5, Open VMS VAX6.0、6.1 , oracle7 , Sybase 的 SQL Server 11.0B1级：强制存取控制，审计，真正的安全产品SEVMS VAX 6.0, HP-UX BLS release 9.0.9+i ncorporatedINFORMIX-Online/Secure5.0 , Trusted Oracle7 , Sybase Secure SQL Server V11.0.6B2:产品很少Trusted XENIX （操作系统），LLC VSLAN （网络）理论研究，产品化及商品化程度不高，特殊应用一一军队美：很先进，已有一批产

13、品，欲下放到商业应用中我国1998年，初级阶段，应用少COSA中国开放系统平台，有B2级的COSIX操作系统和B1级的COBAS数据库第三节TCSEC/TDT安全标准一安全级别的划分1 说明（4方面）（1）R1安全策略R1.1自主存取控制R1.2客体重用*R1.3标记R1.3.1 标记完整性R1.3.2标记信息的扩散R1.3.3主体敏感度标记学习参考R1.3.4设备标记R1.4强制存取控制（2）R2责任R2.1标识与鉴别R2.1.1 可信路径*R2.2审计（3）R3保证R3.1操作保证*R3.1.1系统体系结构R3.1.2系统完整性R3.1.3隐蔽信道分析R3.1.4可信设施管理区分操作员，管

14、理员和安全管理员等的不同功能R3.1.5可信恢复R3.2生命周期保证R3.2.1安全测试*R3.2.2设计规范和验证R3.2.3配置管理R3.2.4可信分配主数据与其现场拷贝之间映射的完整性（4）R4文档R4.1安全特性用户指南R4.2可信设施手册R4.3测试文档R4.4设计手册（加*的有针对DBMS勺专门解释）（5 ）安全要求相邻的安全级之间随级别升高，安全性能指标：从无到有New;相同Same改变Change;新增Add安全要求：安 全1安全策略2责任3保证4文档级1.11.21.31.42.12.23.13.24.14.24.34.4别.1.2.3.42.1.1.1.2.3.4.5.1.

15、2.3.4C1NN/-N NNNNNNC2CANA/-NA SASASSB1SSN NNC/-CA SN NSASAB2SSS S N NCS/NAC S N NC CA NSAACB3CASS S S SSS/CAA S C A NC A SSASAA1SSS S S SSS/SSS S A S SCCACANSSAA说明:B2级 跳跃大；C2级用户能对各自的行为负责 ，使用LOG-ON登录，审计跟踪与安全性有关的事件和资源隔学习参考离;B1级能使用标记机制对特定的客体进行强制存取控制。二安全级别介绍1.D组一一最低安全类最小保护。2.C组一一自由选择性安全保护自主保护，引入审计功能，可对主

16、体其行为进行审计。（1）C1 级自主安全保护，对用户和数据的分离，保护或限制用户权限的传播。（系统管理员安全有问题，多人知道根口令）（2）C2级一一比C1更精细（自主存取控制）受控安全保护，以个人身份注册负责，实施审计和资源隔离。A.安全策略自主存取控制保护对象以避免非授权存取，对存取权限的传播提供控制，存取控制粒度达单个用户。对象重用当系统资源被回收并重新利用时，先前的在资源上存储的信息不应被现在的资源拥有者所看到。B.责任标识与验证当用户要求可信计算基 TCB完成某工作时，TCB首先应当要求用户提供身份证明，再使用某保护 机制（如口令）来验证用户提供的身份证明。责任落实到个体，将标识操作与

17、可审计的动作关联起来。审计TCB能建立、维护以及保护审计记录不被更改、破坏或受到非授权存取。能记录：使用标识，验证机制；向用户地址空间引入对象；删除对象；操作员/管理员/安全主管发出的动作；其他与安全有关的事件。审计项：事件发生的日期与时间，涉及的用户，事件类型，事件成功或失败。能通过对个体的识别，有选择地审计任何一个或多个用户。C.保证操作性保证I涉及系统结构一一TCB为自己的操作维护一域，从而防止外部的干涉或篡改；1有关系统完整性一一用硬件或软件可周期地对TCB的正确性作出验证。生命周期保证进行安检以符合标准。保证没有明显的旁路可绕过或欺骗TCB的安全保护机制。检查是否存在明显的漏路（违背

18、对资源的隔离，造成对审计或验证数据的非法操作）。学习参考D. 文档三个是必需的安全特性用户指南一一提供什么机制，如何使用之以及这些机制之间的关系。可信设备手册一一(系统管理员用)对控制的职责和特权提出建议，如何检查/维护审计文件 以及详细审计记录结构的程序。测试文档一一解释保护策略及其如何应用到TCB上；当TCB由多模块组成时，还应对模块间接口进行描述。3.B组一一强制性安全保护强制保护：定义及保持标记的完整性，引用监视的概念。(1) B1级一一标识安全保护A.安全策略自主存取控制和对象重用与C2完全相同有关标记的内容TCB维护所有敏感标识控制下的主体和客体(极端例子即每一对象都上一把锁，形成

19、用户标识、 加密标记的双重保护)。TCB要求授权用户提供无标识数据的安全级别，并且要求与之相关的动作都可审计的。涉及：j标识完整性L被标识信息的导出方式(TCB设每信道和I/O设备或为单一安全级别，或为多重安全级 另这种级别的改变由手工完成且能审计)强制存取控制区别于C级的最重要特征，是 B组安全机制的关键所在。如L(s)=L(o)，则主体S能读客体O如L(s)=L(o)，则主体S能写客体OB.责任标识和认证维护认证数据，清除和授权信息。为每一用户提供唯一的身份并与相应个体的所有可审计动作关联起来。审计与C2差别不大。增加：审计任何试图违反可读输出标记的行为。C.保证操作保证对系统结构方面，T

20、CB可通过控制独立地址空间来维护进程的隔离。对身份完整方面，B1与C2完全相同。生命周期保证提供设计文档，源代码以及目标代码，以供彻底地分析和测试。确保任何用户使TCB陷入无法和其他用户通讯的境地。能清除或补救缺陷，并再次测试以证明所有漏洞确实清除，且没有引入新漏洞。模型可以是形式化的，也可以是非形式化的。D. 文档4种手册学习参考安全特性文档一一与 C2完全相同。可信设备手册一一描述责任，包括改变用户的安全机制；安全标识对普通用户是不可变更的； 赋予特权-“后门”。测试文档一一与 C2要求相同。设计文档一一有一 TCB所实行安全策略的模型，它可形式化，也可非形式化，且证明该模型满足安全策略的

21、需求。（2）B2级一一结构化保护形式化，能找出隐秘通道（监控对象在不同安全环境下的移动过程（如两进程间的数据传递），具体有定时、存贮两种类型的隐秘通道），加强验证机制，更安全的评测，更严格的配置控制；可多级安全标记。（3）B3级一一安全域保护必须满足访问监控器要求，审计跟踪能力更强，提供系统恢复过程。能抗篡改（保证自身安全），TCB足够小以利分析和测试（为理论上验证提供保证），支持安全管理员角色，引用监视器参与所有主体对客体的存取（保证不存在旁路），用户终端必须通过一可信话途径连到系统上。用安装硬件的方法来加强域，例如：用内存管理硬件来防止无授权访问；基准监控器，用于追踪 对象的使用情况。4.

22、 A组一一验证设计验证设计一一给出形式化设计说明和验证。系统安全管理器；设计，控制，验证，创建安全模型。部件来源有安全保证，销售 /运输中严密跟踪，严格的配置管理。第四节产品重要的TCSEC TDI。美的多数大型 DBMS1过NCEC勺安全认证，达到 B1级，个别系统已达 B2级。国内：C2级，部分C1级，B级处于开始阶段。美NCSC 1994年4月，颁布TDI （数据库）一一为生产者，评估者及研究者提供权威根据。HP, 1996年3月，领导发布 X/Open Security Branding计划，推出国际密码架构ICF策略，推出HP UXCMW B级OS （通过TC-SE的ITSEC评测）。还推出 Security Mail.在我国市场推出 HP Praesidium 系列产品，其中 HP P/Virtual Valut（WOS）是使用了 B1级的核心。HP在NCSC评测的B1级的OS为HP-UX BLS。DEC的 C2级 OS为 Digital Unix 和 OpenVMSB1 级 OS/CMW级 OS为 SEVMfD Digital MLS+