保密安全与密码技术讲义

保密安全与密码技术第十讲安全评估与安全管理安全评估安全评估发展过程安全评估标准介绍可信计算机系统评估准则（TCSEC）通用准则CC信息安全保证技术框架IATFBS7799、ISO17799我国信息安全保护准则《计算机信息系统安全保护等级划分准则》《信息系统安全保护等级应用指南》信息技术安全评估准则发展过程

20世纪60年代后期，1967年美国国防部成立了一个研究组，针对当时计算机使用环境中的安全策略进行研究，其研究结果是“DefenseScienceBoardreport”70年代的后期DOD对当时流行的操作系统KSOS，PSOS，KVM进行了安全方面的研究80年代后，美国国防部发布的“可信计算机系统评估准则（TCSEC）”（即桔皮书）后来DOD又发布了可信数据库解释（TDI）、可信网络解释（TNI）等一系列相关的说明和指南信息技术安全评估准则发展过程90年代初，英、法、德、荷等四国针对TCSEC准则的局限性，提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”（ITSEC），定义了从E0级到E6级的七个安全等级

加拿大1988年开始制订《TheCanadianTrustedComputerProductEvaluationCriteria》（CTCPEC）1993年，美国对TCSEC作了补充和修改，制定了“组合的联邦标准”（简称FC）国际标准化组织（ISO）从1990年开始开发通用的国际标准评估准则信息技术安全评估准则发展过程在1993年6月，CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来，将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则发起组织包括六国七方：加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA，他们的代表建立了CC编辑委员会（CCEB）来开发CC1996年1月完成CC1.0版,在1996年4月被ISO采纳1997年10月完成CC2.0的测试版1998年5月发布CC2.0版1999年12月ISO采纳CC，并作为国际标准ISO15408发布信息技术安全评估准则发展过程1999年GB17859计算机信息系统安全保护等级划分准则1991年欧洲信息技术安全性评估准则（ITSEC）国际通用准则1996年（CC1.0）1998年（CC2.0）1985年美国可信计算机系统评估准则（TCSEC）1993年加拿大可信计算机产品评估准则（CTCPEC）1993年美国联邦准则（FC1.0）1999年国际标准ISO/IEC154081989年英国可信级别标准（MEMO3DTI）德国评估标准（ZSEIC）法国评估标准（B-W-RBOOK）2001年国家标准GB/T18336信息技术安全性评估准则idtiso/iec154081993年美国NIST的MSFRGB18336idtISO/IEC15408信息技术安全性评估准则IATF信息保障技术框架ISSE信息系统安全工程SSE-CMM系统安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理实践准则其他相关标准、准则例如：ISO/IEC15443,COBIT。。。系统认证和认可标准和实践例如：美国DITSCAP,…中国信息安全产品测评认证中心相关文档和系统测评认证实践技术准则（信息技术系统评估准则）管理准则（信息系统管理评估准则）过程准则（信息系统安全工程评估准则）信息系统安全保障评估准则现有标准关系安全评估安全评估发展过程安全评估标准介绍可信计算机系统评估准则（TCSEC）通用准则CC信息安全保证技术框架IATFBS7799、ISO17799我国信息安全保护准则《计算机信息系统安全保护等级划分准则》《信息系统安全保护等级应用指南》TCSEC可信计算机系统评估准则在TCSEC中，美国国防部按处理信息的等级和应采用的响应措施，将计算机安全从高到低分为：A、B、C、D四类八个级别，共27条评估准则随着安全等级的提高，系统的可信度随之增加，风险逐渐减少。四个安全等级：D无保护级C自主保护级B强制保护级A验证保护级TCSECD类是最低保护等级，即无保护级是为那些经过评估，但不满足较高评估等级要求的系统设计的，只具有一个级别。该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处理敏感信息C类为自主保护级具有一定的保护能力，采用的措施是自主访问控制和审计跟踪。一般只适用于具有一定等级的多用户环境。具有对主体责任及其动作审计的能力C类分为C1和C2两个级别:自主安全保护级（C1级）控制访问保护级（C2级）TCSECC1级级TCB通通过隔隔离用用户与与数据据，使使用户户具备备自主主安全全保护护的能能力它具有有多种种形式式的控控制能能力，，对用用户实实施访访问控控制为用户户提供供可行行的手手段，，保护护用户户和用用户组组信息息，避避免其其他用用户对对数据据的非非法读读写与与破坏坏C1级的的系统适适用于处处理同一一敏感级级别数据据的多用用户环境境C2级计计算机系系统比C1级具具有更细细粒度的的自主访访问控制制C2级通通过注册册过程控控制、审审计安全全相关事事件以及及资源隔隔离，使使单个用用户为其其行为负负责TCSECB类为强强制保护护级主要要求求是TCB应维维护完整整的安全全标记，，并在此此基础上上执行一一系列强强制访问问控制规规则B类系统统中的主主要数据据结构必必须携带带敏感标标记系统的开开发者还还应为TCB提提供安全全策略模模型以及及TCB规约应提供证证据证明明访问监监控器得得到了正正确的实实施B类分为为三个类类别：标记安全全保护级级（B1级）结构化保保护级（（B2级级）安全区域域保护级级（B3级）TCSECB1级系系统要求求具有C2级系系统的所所有特性性在此基础础上，还还应提供供安全策策略模型型的非形形式化描描述、数数据标记记以及命命名主体体和客体体的强制制访问控控制并消除测测试中发发现的所所有缺陷陷在B2级级系统中中，TCB建立立于一个个明确定定义并文文档化形形式化安安全策略略模型之之上要求将B1级系系统中建建立的自自主和强强制访问问控制扩扩展到所所有的主主体与客客体在此基础础上，应应对隐蔽蔽信道进进行分析析TCB应应结构化化为关键键保护元元素和非非关键保保护元素素TCSECTCB接接口必须须明确定定义其设计与与实现应应能够经经受更充充分的测测试和更更完善的的审查鉴别机制制应得到到加强，，提供可可信设施施管理以以支持系系统管理理员和操操作员的的职能提供严格格的配置置管理控控制B2级系系统应具具备相当当的抗渗渗透能力力TCSEC在B3级级系统中中，TCB必须须满足访访问监控控器需求求访问监控控器对所所有主体体对客体体的访问问进行仲仲裁访问监控控器本身身是抗篡篡改的访问监控控器足够够小访问监控控器能够够分析和和测试为了满足足访问控控制器需需求:计算机信信息系统统可信计计算基在在构造时时，排除除那些对对实施安安全策略略来说并并非必要要的代码码计算机信信息系统统可信计计算基在在设计和和实现时时，从系系统工程程角度将将其复杂杂性降低低到最小小程度TCSECB3级系系统支持持:安全管理理员职能能扩充审计计机制当发生与与安全相相关的事事件时，，发出信信号提供系统统恢复机机制系统具有有很高的的抗渗透透能力TCSECA类为验验证保护护级A类的特特点是使使用形式式化的安安全验证证方法，，保证系系统的自自主和强强制安全全控制措措施能够够有效地地保护系系统中存存储和处处理的秘秘密信息息或其他他敏感信信息为证明TCB满满足设计计、开发发及实现现等各个个方面的的安全要要求，系系统应提提供丰富富的文档档信息A类分为为两个类类别：验证设计计级（A1级））超A1级级TCSECA1级系系统在功功能上和和B3级级系统是是相同的的，没有有增加体体系结构构特性和和策略要要求最显著的的特点是是，要求求用形式式化设计计规范和和验证方方法来对对系统进进行分析析，确保保TCB按设计计要求实实现从本质上上说，这这种保证证是发展展的，它它从一个个安全策策略的形形式化模模型和设设计的形形式化高高层规约约（FTLS））开始针对A1级系统统设计验验证，有有5种独独立于特特定规约约语言或或验证方方法的重重要准则则：安全策略略的形式式化模型型必须得得到明确确标识并并文档化化，提供供该模型型与其公公理一致致以及能能够对安安全策略略提供足足够支持持的数学学证明应提供形形式化的的高层规规约，包包括TCB功能能的抽象象定义、、用于隔隔离执行行域的硬硬件/固固件机制制的抽象象定义TCSEC应通过形形式化的的技术（（如果可可能的化化）和非非形式化化的技术术证明TCB的的形式化化高层规规约（FTLS）与模模型是一一致的通过非形形式化的的方法证证明TCB的实实现（硬硬件、固固件、软软件）与与形式化化的高层层规约（（FTLS）是是一致的的。应证证明FTLS的的元素与与TCB的元素素是一致致的，FTLS应表达达用于满满足安全全策略的的一致的的保护机机制，这这些保护护机制的的元素应应映射到到TCB的要素素应使用形形式化的的方法标标识并分分析隐蔽蔽信道，，非形式式化的方方法可以以用来标标识时间间隐蔽信信道，必必须对系系统中存存在的隐隐蔽信道道进行解解释TCSECA1级系统:要求更严严格的配配置管理理要求建立立系统安安全分发发的程序序支持系统统安全管管理员的的职能超A1级系统:超A1级级在A1级基础础上增加加的许多多安全措措施超出出了目前前的技术术发展随着更多多、更好好的分析析技术的的出现，，本级系系统的要要求才会会变的更更加明确确今后，形形式化的的验证方方法将应应用到源源码一级级，并且且时间隐隐蔽信道道将得到到全面的的分析TCSEC在这一级级，设计计环境将将变的更更重要形式化高高层规约约的分析析将对测测试提供供帮助TCB开发中使使用的工工具的正正确性及及TCB运行的软软硬件功功能的正正确性将将得到更更多的关关注超A1级级系统涉涉及的范范围包括括：系统体系系结构安全测试试形式化规规约与验验证可信设计计环境等等安全评估估安全评估估发展过过程安全评估估标准介介绍可信计算算机系统统评估准准则（TCSEC））通用准则则CC信息安全全保证技技术框架架IATFBS7799、、ISO17799我国信息息安全保保护准则则《计算机机信息系系统安全全保护等等级划分分准则》》《信息系系统安全全保护等等级应用用指南》》CC的适适用范围围CC定义义了评估估信息技技术产品品和系统统安全型型所需的的基础准准则，是是度量信信息技术术安全性性的基准准针对在安安全评估估过程中中信息技技术产品品和系统统的安全全功能及及相应的的保证措措施提出出的一组组通用要要求，使使各种相相对独立立的安全全评估结结果具有有可比性性。该标准适适用于对对信息技技术产品品或系统统的安全全性进行行评估，，不论其其实现方方式是硬硬件、固固件还是是软件，，还可用用于指导导产品和和系统开开发。该标准的的主要目目标读者者是用户户、开发发者、评评估者。。CC的关关键概念念评估对象象（TargetofEvaluation,TOE)用于安全全评估的的信息技技术产品品、系统统或子系系统（如如防火墙墙、计算算机网络络、密码码模块等等），包包括相关关的管理理员指南南、用户户指南、、设计方方案等文文档。TOESecurityPolicy(TSP)控制TOE中资资产如何何管理、、保护和和分发的的规则。。TOESecurityFunctions(TSF)必须依赖赖于TSP正确确执行的的TOE的所有有部件。。CC的关关键概念念保护轮廓廓（ProtectionProfile,PP)为既定的的一系列列安全对对象提出出功能和和保证要要求的完完备集合合，表达达了一类类产品或或系统的的用户需需求。PP与某某个具体体的TOE无关关，它定定义的是是用户对对这类TOE的的安全需需求。主要内容容：需保保护的对对象；确确定安全全环境；；TOE的安全全目的；；IT安安全要求求；基本本原理在标准体体系中PP相当当于产品品标准，，也有助助于过程程规范性性标准的的开发。。国内外已已对应用用级防火火墙、包包过滤防防火墙、、智能卡卡等开发发了相应应的PP。CC的关关键概念念安全目标标（SecurityTarget)ST针对对具体TOE而而言，它它包括该该TOE的安全全要求和和用于满满足安全全要求的的特定安安全功能能和保证证措施。。ST包括括的技术术要求和和保证措措施可以以直接引引用该TOE所所属产品品或系统统类的PP。ST是开开发者、、评估者者、用户户在TOE安全全性和评评估范围围之间达达成一致致的基础础。ST相当当于产品品和系统统的实现现方案，，与ITSEC的安全全目标类类似。CC的关关键概念念组件（Component)组件描述述了一组组特定的的安全要要求，使使可供PP、ST或包包选取的的最小的的安全要要求集合合。在CC中中，以““类_族族.组件件号”的的方式来来标识组组件。包（Package)组件依据据某个特特定关系系的组合合，就构构成了包包。构建包的的目的是是定义那那些公认认有用的的、对满满足某个个特定安安全目的的有效的的安全要要求。包可以用用来构造造更大的的包，PP和ST。包包可以重重复使用用。CC中有有功能包包和保证证包两种种形式。。CC的先先进性结构的开开放性即功能要要求和保保证要求求都可以以在具体体的“保保护轮廓廓”和““安全目目标”中中进一步步细化和和扩展，，例如可可以增加加“备份份和恢复复”方面面的功能能要求或或一些环环境安全全要求。。表达方式式的通用用性如果用户户、开发发者、评评估者、、认可者者等目标标读者都都使用CC的语语言，互互相之间间就更容容易理解解沟通。。结构和表表达方式式的内在在完备性性和实用用性体现在““保护轮轮廓”和和“安全全目标””的编制制上。““保护轮轮廓”主主要用于于表达一一类产品品或系统统的用户户需求，，在标准准化体系系中可以以作为安安全技术术类标准准对待。。CC内容CC吸收了了个先进国国家对现代代信息系统统安全的经经验和知识识，对信息息系统安全全的研究和和应用定来来了深刻的的影响。它它分为三部部分：第一部分介介绍CC的的基本概念念和基本原原理；第二部分提提出了安全全功能要求求；第三部分提提出了非技技术性的安安全保证要要求。CC内容后两部分构构成了CC安全要求求的全部：：安全功能能要求和安安全保证要要求，其中中安全保证证的目的是是为了确保保安全功能能的正确性性和有效性性，这是从从ITSEC和CTCPEC中吸收的的。同时CC还从FC中吸收收了保护轮轮廓的(PP)的概概念，从而而为CC的的应用和发发展提供了了最大可能能的空间和和自由度。。CC定义了作为为评估信息息技术产品品和系统安安全性的基基础准则，，提出了目目前国际上上公认的表表述信息技技术安全性性的结构，，即：安全要求=规范产品品和系统安安全行为的的功能要求+解决如何何正确有效效的实施这这些功能的的保证要求。CC内容之之间的关系系CC的三个部分分相互依存存，缺一不不可。第1部分是介绍绍CC的基本概念念和基本原原理；第2部分提出了了技术要求求；第3部分提出了了非技术性性要求和对对开发过程程、工程过过程的要求求。三个部分有有机地结合合成一个整整体。具体体现在在“保护轮轮廓”和““安全目标标”中，“保护护轮廓”和和“安全目目标”的概概念和原理理由第1部分介绍，，“保护轮轮廓”和““安全目标标”中的安安全功能要要求和安全全保证要求求在第2、3部分选取，，这些安全全要求的完完备性和一一致性，由由第2、3两部分来保保证。保护轮廓与与安全目标标的关系CC：第一一部分介介绍和通通用模型安全就是保保护资产不不受威胁，，威胁可依依据滥用被被保护资产产的可能性性进行分类类所有的威胁胁类型都应应该被考虑虑到在安全领域域内，被高高度重视的的威胁是和和人们的恶恶意攻击及及其它人类类活动相联联系的CC框架下下的评估类类型PP评估PP评估的的目标是为为了证明PP是完备备的、一致致的、技术术合理的，，而且适合合于作为一一个可评估估TOE的的安全要求求的声明ST评估ST评估具具有双重目目标：首先是为了了证明ST是完备的的、一致的的、技术合合理的，而而且适合于于用作相应应TOE评评估的基础础其次，当某某一ST宣宣称与某一一PP一致致时，证明明ST满足足该PP的的要求TOE评估估TOE评估估的目标是是为了证明明TOE满满足ST中中的安全要要求三种评估的的关系CC第二二部分：安安全功能要要求CC的第二二部分是安安全功能要要求，对满满足安全需需求的诸安安全功能提提出了详细细的要求另外，如果果有超出第第二部分的的安全功能能要求，开开发者可以以根据“类类-族-组组件-元素素”的描述述结构表达达其安全要要求，并附附加在其ST中安全功能需需求层次关关系CC的11个安全功功能类FAU类：：安全审计计 FCO类：通信信FCS类：：密码支持持 FDP类：用户户数据保护护FIA类：：标识与鉴鉴别 FMT类：安安全管理FPR类：：隐秘FPT类类：TSF保护FAU类：：资源利用用 FTA类：TOE访问FTP类：：可信路径径/信道CC：第三三部分评评估方法CC的第三三部分是评评估方法部部分，提出出了PP、、ST、TOE三种种评估，共共包括10个类，但但其中的APE类与与ASE类类分别介绍绍了PP与与ST的描描述结构及及评估准则则维护类提出出了保证评评估过的受受测系统或或产品运行行于所获得得的安全级级别上的要要求只有七个安安全保证类类是TOE的评估类类别7个安全保保证类ACM类：：配置管理理CM自动动化CM能力力CM范围围ADO类：：交付和运运行交付安装、生成成和启动ADV类：：开发功能规范高层设计实现表示TSF内部部低层设计表示对应性性安全策略模模型AGD类：：指南文档档管理员指南南用户指南ALC类：：生命周期期支持开发安全缺陷纠正生命周期定定义工具和技术术ATE类：：测试覆盖范围深度功能测试独立性测试试AVA类：：脆弱性评评定隐蔽信道分分析误用TOE安全全功能强度度脆弱性分析析安全保证要要求部分提提出了七个个评估保证证级别（EvaluationAssuranceLevels：EALs））分别是：：7个评估保保证级别7个评估保保证级别CC的EAL与其他他标准等级级的比较CC优缺点点CC的优点点CC代表了了先进的信信息安全评评估标准的的发展方向向，基于CC的IT安全测评评认证正在在逐渐为更更多的国家家所采纳，，CC的互互认可协定定签署国也也在不断增增多。根据据IT安全领领域内CC认可协议议，在协议签签署国范围围内，在某某个国家进进行的基于于CC的安安全评估将将在其他国国家内得到到承认。截截止2003年3月月，加入该该协议的国国家共有十十五个：澳澳大利亚、、新西兰、、加拿大、、芬兰、法法国、德国国、希腊、、以色列、、意大利、、荷兰、挪挪威、西班班牙、瑞典典、英国及及美国。到2001年底，所所有已经经经过TCSEC评估估的产品，，其评估结结果或者过过时，或者者转换为CC评估等等级。CC优缺点点CC缺点：：CC应用的的局限性，，比如该标标准在开篇篇便强调其其不涉及五五个方面的的内容：行行政性管理理安全措施施、物理安安全、评估估方法学、、认可过程程、对密码码算法固有有质量的评评价，而这这些被CC忽略的内内容恰恰是是信息安全全保障工作作中需要特特别予以注注意的重要要环节。CC还有一一个明显的的缺陷，即即它没有数数学模型的的支持，即即理论基础础不足。TCSEC还有BLP模型的的支持。其其安全功能能可以得到到完善的解解释，安全全功能的实实现机制便便有章可循循。对于增增加的完整整性、可用用性、不可可否认性等等要求，只只局限于简简单的自然然语言描述述，不能落落实到具体体的安全机机制上。更更无从评价价这些安全全要求的强强度。CC优缺点点所以：CC并不是是万能的，，它仍然需需要与据各各个国家的的具体要求求，与其他他安全标准准相结合，，才能完成成对一个信信息系统的的完整评估估。目前得到国国际范围内内认可的是是ISO/IEC15408（CC）,我国国的GB/T18336等等同采用ISO/IEC15408。安全评估安全评估发发展过程安全评估标标准介绍可信计算机机系统评估估准则（TCSEC）通用准则CC信息安全保保证技术框框架IATFBS7799、ISO17799我国信息安安全保护准准则《计算机信信息系统安安全保护等等级划分准准则》《信息系统统安全保护护等级应用用指南》信息安全保保证技术框框架(IATF)信息保证技技术框架（（InformationAssuranceTechnicalFramework：IATF）为保护政政府、企业业信息及信信息基础设设施提供了了技术指南南IATF对信息保证证技术四个个领域的划划分同样适适用于信息息系统的安安全评估，，它给出了了一种实现现系统安全全要素和安安全服务的的层次结构构信息安全保保证技术框框架(IATF)信息安全保保证技术框框架将计算算机信息系系统分4个部分：本地计算环环境区域边界网络和基础础设施支撑基础设设施信息安全保保证技术框框架(IATF)本地计算环环境一般包包括服务器客户端及其其上面的应应用（如打打印服务、、目录服务务等）操作系统数据库基于主机的的监控组件件（病毒检检测、入侵侵检测）信息安全保保证技术框框架(IATF)区域是指在在单一安全全策略管理理下、通过过网络连接接起来的计计算设备的的集合区域边界是是区域与外外部网络发发生信息交交换的部分分区域边界确确保进入的的信息不会会影响区域域内资源的的安全，而而离开的信信息是经过过合法授权权的边界的主要要作用是防防止外来攻攻击它也可以来来对付某些些恶意的内内部人员这些内部人人员有可能能利用边界界环境来发发起攻击通过开放后后门/隐蔽通道来来为外部攻攻击提供方方便信息安全保保证技术框框架(IATF)区域边界上上有效的控控制措施包包括防火墙门卫系统VPN标识和鉴别别访问控制等等有效的监督督措施包括括基于网络的的入侵检测测系统（IDS）脆弱性扫描描器局域网上的的病毒检测测器等信息安全保保证技术框框架(IATF)网络和基础础设施在区区域之间提提供连接,包括局域网（LAN）校园网（CAN）城域网（MAN）广域网等其中包括在在网络节点点间（如路路由器和交交换机）传传递信息的的传输部件件（如：卫卫星，微波波，光纤等等），以及及其他重要要的网络基基础设施组组件如网络络管理组件件、域名服服务器及目目录服务组组件等信息安全保保证技术框框架(IATF)对网络和基基础设施的的安全要求求主要是鉴别访问控制机密性完整性抗抵赖性可用性信息安全保保证技术框框架(IATF)支撑基础设设施提供了了一个IA机制在网络络、区域及及计算环境境内进行安安全管理、、提供安全全服务所使使用的基础础主要为以下下内容提供供安全服务务：终端用户工工作站web服务应用文件DNS服务目录服务等等信息安全保保证技术框框架(IATF)IATF中中涉及到两两个方面的的支撑基础础设施：KMI/PKI检测响应基基础设施KMI/PKI提供供了一个公公钥证书及及传统对称称密钥的产产生、分发发及管理的的统一过程程检测及响应应基础设施施提供对入入侵的快速速检测和响响应，包括括入侵检测测、监控软软件、CERT等信息安全保保证技术框框架(IATF)深度保卫战战略在信息息保证技术术框架（IATF）下提出保卫网络和和基础设施施保卫边界保卫计算环环境支持基础设设施信息安全保保证技术框框架(IATF)其中使用多多层信息保保证（IA）技术来保保证信息的的安全意味着通过过对关键部部位提供适适当层次的的保护就可可以为组织织提供有效效的保护这种分层的的策略允许许在恰当的的部位存在在低保证级级别的应用用，而在关关键部位如如网络边界界部分采用用高保证级级别的应用用信息安全保保证技术框框架(IATF)区域边界保保护内部的的计算环境境，控制外外部用户的的非授权访访问，同时时控制内部部恶意用户户从区域内内发起攻击击根据所要保保护信息资资源的敏感感级别以及及潜在的内内外威胁，，可将边界界分为不同同的层次信息安全保保证技术框框架(IATF)在对信息系系统进行安安全评估时时：可以依据这这种多层的的深度保卫卫战略对系系统的构成成进行合理理分析根据系统所所面临的各各种威胁及及实际安全全需求分别对计算算环境、区区域边界、、网络和基基础设施、、支撑基础础设施进行行安全评估估对系统的安安全保护等等级作出恰恰当的评估估信息安全保保证技术框框架(IATF)在网络上，，有三种不不同的通信信流：用户通信流流控制通信流流管理通信流流信息系统应应保证局域域内这些通通信流的安安全直接假设KMI/PKI等支撑基础础设施的实实施过程是是安全的安全评估安全评估发发展过程安全评估标标准介绍可信计算机机系统评估估准则（TCSEC）通用准则CC信息安全保保证技术框框架IATFBS7799、ISO17799我国信息安安全保护准准则《计算机信信息系统安安全保护等等级划分准准则》《信息系统统安全保护护等级应用用指南》BS77991995年年，英国制制定国家标标准BS7799第一部分分：“信息息安全管理理事务准则则”，并提提交国际标标准组织(ISO)，成为ISODIS14980。1998年年，英国公公布BS7799第二部分分“信息安安全管理规规范”并成成为信息安安全管理认认证的依据据；同年，，欧盟于1995年年10月公公布之“个个人资料保保护指令，，自1998年10月25日日起正式生生效，要求求以适当标标准保护个个人资料””。2000年年，国际标标准组织ISO/IECJTCSC27在日本本东京10月21日日通过BS7799-1，，成为ISODIS17799-1，2000年年12月1日正式发发布。BS7799目前除英国国之外，国国际上已有有荷兰、丹丹麦、挪威威、瑞典、、芬兰、澳澳大利亚、、新西兰、、南非、巴巴西已同意意使用BS7799；日本、瑞瑞士、卢森森堡表示对对BS7799感兴趣；我我国的台湾湾、香港地地区也在推推广该标准准。BS7799(ISO/IEC17799)在欧洲的的证书发放放量已经超超过ISO9001。但是：ISO17799不不是认证证标准，目目前正在修修订。BS7799-2是是认证标标准，作为为国际标准准目前正在在讨论。BS7799内容：：总则要求各组织织建立并运运行一套经经过验证的的信息安全管管理体系（ISMS），用于于解决如下下问题：资资产的保管管、组织的的风险管理理、管理标标的和管理理办法、要要求达到的的安全程度度。建立管理框框架确立并验证证管理目标标和管理办办法时需采采取如下步步骤：定义信息安安全策略定义信息安安全管理体体系的范围围进行合理的的风险评估估决定应加以以管理的风风险领域选出合理的的管理标的的和管理办办法，并加加以实施准备可行性性声明对上述步骤骤的合理性性应按规定定期限定期期审核。BS7799部分BS7799-1:1999《信息息安全管理理实施细则则》是组织织建立并实实施信息安安全管理体体系的一个个指导性的的准则，主主要为组组织制定其其信息安全全策略和进进行有效的的信息安全全控制提供供的一个大大众化的最最佳惯例。。BS7799-2:2002《信息息安全管理理体系规范范》规定了了建立、实实施和文件件化信息安安全管理体体系(ISMS)的的要求，规规定了根据据独立组织织的需要应应实施安全全控制的要要求。即本本标准适用用以下场合合:组织织按照本标标准要求建建立并实施施信息安全全管理体系系，进行有有效的信息息安全风险险管理，确确保商务可可持续性发发展；作作为寻求信信息安全管管理体系第第三方认证证的标准。。BS7799标准第第二部分明明确提出安安全控制要要求，标准准第一部分分对应给出出了通用的的控制方法法（措施）），因此可可以说，标标准第一部部分为第二二部分的具具体实施提提供了指南南。BS7799-2:2002十大管理要要项BS7799与其他他标准的比比较BS7799完全全从管理角角度制定，，并不涉及及具体的安安全技术，，实施不复复杂，主要要是告诉管管理者一些些安全管理理的注意事事项和安全全制度。信息技术安安全性评估估准则(CC)和美美国国防部部可信计算算机评估准准则(TCSEC)等更侧重重于对系统统和产品的的技术指标的评估。系统安全工工程能力成成熟模型(SSE-CMM)更侧重于于对安全产产品开发、、安全系统统集成等安全工程过过程的管理。总的来说，，BS7799涵盖盖了安全管管理所应涉涉及的方方方面面，全全面而不失失可操作性性，提供了了一个可持持续提高的的信息安全全管理环境境。推广信信息安全管管理标准的的关键在重重视程度和和制度落实实方面。它它是目前可可以用来达达到一定预预防标准的的最好的指指导标准。。制订信息安安全方针方针文档定义ISMS范围进行风险评评估实施风险管管理选择控制目目标措施准备适用声声明第一步：第二步：第三步：第四步：第五步：第六步：ISMS范围评估报告文件文件文件文件文件文件文档化文档化声明文件BS7799实施过过程第一步制制订信息安安全方针组织应定义义信息安全全方针。信息安全是是指保证信信息的保密密性、完整整性和可用用性不受破破坏。建立立信息安全全管理体系系的目标是是对公司的的信息安全全进行全面面管理。信息安全全方针是是由组织织的最高高管理者者正式制制订和发发布的该该组织的的信息安安全的目目标和方方向，用用于指导导信息安安全管理理体系的的建立和和实施过过程。要经最高高管理者者批准和和发布体现了最最高管理理者对信信息安全全的承诺诺与支持持要传达给给组织内内所有的的员工要定期和和适时进进行评审审目的和意意义为组织提提供了关关注的焦焦点，指指明了方方向，确确定了目目标；确保信息息安全管管理体系系被充分分理解和和贯彻实实施；统领整个个信息安安全管理理体系。。BS7799实实施过程程第一步制制订信信息安全全方针信息安全全方针的的内容包括但不不限于：：组织对信信息安全全的定义义信息安全全总体目目标和范范围最高管理理者对信信息安全全的承诺诺与支持持的声明明符合相关关标准、、法律法法规、和和其它要要求的声声明对信息安安全管理理的总体体责任和和具体责责任的定定义相关支持持文件注意事项项相关支持持文件简单明了了易于理解解可实施避免太具具体BS7799实实施过程程第二步确确定ISMS范围BS7799-2对ISMS的要求求：组织应定定义信息息安全管管理体系系的范围围，范围围的边界界应依据据组织的的结构特特征、地地域特征征、资产产和技术术特点来来确定。。可以根据据组织的的实际情情况，将将组织的的一部分分定义为为信息安安全管理理范围，，也可以以将组织织整体定定义为信信息安全全管理范范围；信息安全全管理范范围必须须用正式式的文件件加以记记录。ISMS范围文文件文件是否否明白地地描述了了信息安安全管理理体系的的范围范围的边边界和接接口是否否已清楚楚定义BS7799实实施过程程第三步风风险评评估BS7799-2对ISMS的要求求：组织应进进行适当当的风险险评估，，风险评评估应识识别资产产所面对对的威胁胁、脆弱弱性、以以及对组组织的潜潜在影响响，并确确定风险险的等级级。是否执行行了正式式的和文文件化的的风险评评估？是否经过过一定数数量的员员工验证证其正确确性？风险评估估是否识识别了资资产的威威胁、脆脆弱性和和对组织织的潜在在影响？？风险评估估是否定定期和适适时进行行？BS7799实实施过程程第四步风风险管管理BS7799-2对ISMS的要求求：组织应依依据信息息安全方方针和组组织要求求的安全全保证程程度来确确定需要要管理的的信息安安全风险险。根据风险险评估的的结果，，选择风风险控制制方法，，将组织织面临的的风险控控制在可可以接受受的范围围之内。。是否定义义了组织织的风险险管理方方法？是否定义义了所需需的信息息安全保保证程度度？是否给出出了可选选择的控控制措施施供管理理层做决决定？BS7799实实施过程程第五步选选择控控制目标标和控制制措施BS7799-2对ISMS的要求求：组织应选选择适当当的控制制措施和和控制目目标来满满足风险险管理的的要求，，并证明明选择结结果的正正确性。。选择的控控制措施施是否建建立在风风险评估估的结果果之上？？是否能从从风险评评估中清清楚地看看出哪一一些是基基本控制制措施，，哪一些些是必须须的，哪哪一些是是可以考考虑选择择的控制制措施？？选择的控控制措施施是否反反应了组组织的风风险管理理战略？？针对每一一种风险险，控制制措施都都不是唯唯一的，，要根据据实际情情况进行行选择BS7799实实施过程程第五步选选择控控制目标标和控制制措施BS7799-2对ISMS的要求求：未选择某某项控制制措施的的原因风险原因因-没没有识别别出相关关的风险险财务原因因-财财务预算算的限制制环境原因因-安安全设备备、气候候、空间间等技术-某某些控控制措施施在技术术上不可可行文化-社社会环环境的限限制时间-某某些要要求目前前无法实实施其它-？？BS7799实实施过程程第六步准准备适适用声明明BS7799-2对ISMS的要求求：组织应准准备适用用声明，，记录已已选择的的控制措措施和理理由，以以及未选选择的控控制措施施及其理理由。在选择了了控制目目标和控控制措施施后，对对实施某某项控制制目标、、措施和和不实施施某项控控制目标标、措施施进行记记录，并并对原因因进行解解释的文文件。未来实现现公司ISMS适用声明明BS7799实实施过程程安全评估估安全评估估发展过过程安全评估估标准介介绍可信计算算机系统统评估准准则（TCSEC））通用准则则CC信息安全全保证技技术框架架IATFBS7799、、ISO17799我国信息息安全保保护准则则《计算机机信息系系统安全全保护等等级划分分准则》》《信息系系统安全全保护等等级应用用指南》》系统安全全保护等等级划分分准则公安部组组织制订订了《计计算机信信息系统统安全保保护等级级划分准准则》国国家标准准于1999年9月13日由国国家质量量技术监监督局审审查通过过并正式式批准发发布于2001年年1月1日执行行该准则的的发布为为计算机机信息系系统安全全法规和和配套标标准的制制定和执执法部门门的监督督检查提提供了依依据为安全产产品的研研制提供供了技术术支持为安全系系统的建建设和管管理提供供了技术术指导是是我国计计算机信信息系统统安全保保护等级级工作的的基础系统安全全保护等等级划分分准则GA388-2002《《计算算机信息息系统安安全等级级保护操操作系统统技术要要求》GA391-2002《《计算算机信息息系统安安全等级级保护管管理要求求》GA/T387-2002《计算算机信息息系统安安全等级级保护网网络技术术要求》》GA/T389-2002《计算算机信息息系统安安全等级级保护数数据库管管理系统统技术要要求》GA/T390-2002《计算算机信息息系统安安全等级级保护通通用技术术要求》》系统安全全保护等等级划分分准则《准则》》规定了了计算机机系统安安全保护护能力的的五个等等级，即即：第一级：：用户自自主保护护级第二级：：系统审审计保护护级第三级：：安全标标记保护护级第四级：：结构化化保护级级第五级：：访问验验证保护护级系统安全全保护等等级划分分准则用户自主主保护级级：计算机信信息系统统可信计计算基通通过隔离离用户与与数据，，使用户户具备自自主安全全保护的的能力。。它具有多多种形式式的控制制能力，，对用户户实施访访问控制制，即为为用户提提供可行行的手段段，保护护用户和和用户组组信息，，避免其其他用户户对数据据的非法法读写与与破坏系统安全全保护等等级划分分准则系统审计计保护级级：与用户自自主保护护级相比比，计算机机信息系系统可信信计算基基实施了了粒度更更细的自自主访问问控制它通过登登录规程程、审计计安全性性相关事事件和隔隔离资源源，使用用户对自自己的行行为负责责系统安全全保护等等级划分分准则安全标记记保护级级：计算机信信息系统统可信计计算基具具有系统统审计保保护级所所有功能能此外，还还提供有有关安全全策略模模型、数数据标记记以及主主体对客客体强制制访问控控制的非非形式化化描述具有准确确地标记记输出信信息的能能力消除通过过测试发发现的任任何错误误系统安全全保护等等级划分分准则结构化保保护级：：计算机信信息系统统可信计计算基建建立于一一个明确确定义的的形式化化安全策策略模型型之上要求将将第三三级系系统中中的自自主和和强制制访问问控制制扩展展到所所有主主体与与客体体此外，，还要要考虑虑隐蔽蔽通道道计算机机信息息系统统可信信计算算基必必须结结构化化为关关键保保护元元素和和非关关键保保护元元素系统安安全保保护等等级划划分准准则计算机机信息息系统统可信信计算算基的的接口口也必必须明明确定定义，，使其其设计计与实实现能能经受受更充充分的的测试试和更更完整整的复复审加强了了鉴别别机制制支持系系统管管理员员和操操作员员的职职能提供可可信设设施管管理增强了了配置置管理理控制制系统具具有相相当的的抗渗渗透能能力系统安安全保保护等等级划划分准准则访问验验证保保护级级计算机机信息息系统统可信信计算算基满满足访访问监监控器器需求求访问监监控器器仲裁裁主体体对客客体的的全部部访问问访问监监控器器本身身是抗抗篡改改的；；必须须足够够小，，能够够分析析和测测试系统安安全保保护等等级划划分准准则访问验验证保保护级级支持安安全管管理员员职能能扩充审审计机机制，，当发发生与与安全全相关关的事事件时时发出出信号号提供系系统恢恢复机机制系统具具有很很高的的抗渗渗透能能力安全评评估安全评评估发发展过过程安全评评估标标准介介绍可信计计算机机系统统评估估准则则（TCSEC））通用准准则CC信息安安全保保证技技术框框架IATFBS7799、、ISO17799我国信信息安安全保保护准准则《计算算机信信息系系统安安全保保护等等级划划分准准则》》《信息息系统统安全全保护护等级级应用用指南南》应用指指南（（通用用部分分）前三部部分主主要介介绍了了该准准则的的应用用范围围、规规范性性引用用文件件以及及一些些术语语的定定义。。应用指指南详详细说说明了了为实实现《《准则则》所所提出出的安安全要要求应应采取取的具具体安安全策策略和和安全全机制制，以以及为为确保保实现现这些些安全全策略略和安安全机机制的的安全全功能能达到到其应应具有有的安安全性性而采采取的的保证证措施施第四部部分是是总体体结构构与说说明，，给出出了《《准则则》应应用指指南（（技术术要求求）的的总体体结构构，并并对有有关内内容作作一般般性说说明。。包包括安安全要要求与与目标标、组组成与与结构构和一一般说说明。。应用指指南（（通用用部分分）安全要要求与与目标标：：无论论是安安全保保护框框架的的描述述，还还是安安全目目标的的设计计，都都要从从安全全功能能的完完备性性、一一致性性和有有效性性等方方面进进行考考虑。。应用指指南在在对安安全功功能和和安全全保证证进行行详细细说明明以后后，对对《准准则》》各个个安全全等级级的不不同要要求分分别进进行详详细描描述安全功功能主主要说说明一一个计计算机机信息息系统统所实实现的的安全全策略略和安安全机机制符符合《《准则则》中中哪一一级的的功能能要求求安全保保证则则是通通过一一定的的方法法保证证计算算机信信息系系统所所提供供的安安全功功能确确实达达到了了确定定的功功能要要求和和强度度一般说说明部部分：：对本本指南南内容容、安安全等等级划划分、、主体体和客客体、、引起起信息息流动动的方方式、、密码码技术术、安安全的的计算算机信信息系系统开开发方方法进进行了了进一一步的的说明明应用指指南（（通用用部分分）第五部部分是是安全全功能能技术术要求求说明明，为为了对对计算算机信信息系系统安安全功功能的的实现现进行行了完完整的的描述述，这这里将将实现现这些些安全全功能能所涉涉及的的所有有因素素做了了较为为全面面的说说明安全功功能包包括物物理安安全、、运行行安全全和信信息安安全应用指指南（（通用用部分分）物理安安全也也称实实体安安全，，是指指包括括环境境设备备和记记录介介质在在内的的所有有支持持信息息系统统运行行的硬硬件的的安全全。它是一一个信信息系系统安安全运运行的的基础础。计算机机网络络信息息系统统的实实体安安全包包括环环境安安全、、设备备安全全和介介质安安全。。应用指指南（（通用用部分分）运行安安全是是指在在物理理安全全得到到保障障的前前提下下，为为确保保计算算机信信息系系统不不间断断运行行而采采取的的各种种检测测、监监控、、审计计、分分析、、备份份及容容错等等方法法和措措施。当前，，保障障运行行安全全的主主要技技术和和机制制有：：风险险分析析，网网络安安全检检测与与监控控，安安全审审计，，网络络防病病毒，，备份份与故故障恢恢复，，以及及计算算机信信息系系统应应急计计划与与应急急措施施等。。应用指指南（（通用用部分分）信息安安全是是指在在计算算机信信息系系统运运行安安全得得到保保证的的前提提下，，对在在计算算机信信息系系统中中存储储、传传输和和处理理的信信息进进行有有效的的保护护，使使其不不因人人为的的或自自然的的原因因被泄泄露、、篡改改和破破坏。。当前常常用的的信息息保护护技术术有：：进入入系统统用户户的标标识和和鉴别别、信信息交交换的的安全全鉴别别、隐隐秘、、自主主访问问控制制、标标记与与强制制访问问控制制、数数据保保密性性保护护、数数据完完整性性保护护、剩剩余信信息保保护及及密码码支持持等。。应用指指南（（通用用部分分）第六部部分是是安全全保证证技术术要求求说明明为了确确保所所要求求的安安全功功能达达到所所确定定的安安全目目标，，必须须保证证安全全功能能从设设计、、实现现到运运行管管理等等各个个环节节严格格按照照所规规定的的要求求进行行应用指指南（（网络络部分分）应用指指南（（网络络部分分）主主要从从对网网络系系统的的安全全等级级进行行划分分的角角度来来说明明不同同安全全等级级在安安全功功能方方面的的特定定技术术要求求本部分分中的的安全全技术术要求求，适适用于于以各各种形形式连连接的的网络络环境境，无无论是是构成成分布布式系系统的的网络络环境境，还还是连连接计计算机机系统统的局局域或或广域域网环环境应用指指南（（网络络部分分）网络系系统安安全体体系结结构是是由物物理层层、链链路层层、网网络层层、会会话层层、表表示层层、以以及应应用层层信息息系统统所组组成对于网网络信信息系系统的的每个个分系系统，，都可可按《《计算算机信信息系系统安安全保保护等等级划划分准准则》》的要要求，，对其其安全全性等等级进进行划划分评评估在各层层中，，安全全要素素的实实现方方法会会有所所不同同对于每每一个个安全全要素素，将将从其其所提提供的的安全全功能能和安安全保保证措措施来来说明明各个个等级级的差差别应用指指南（（网络络部分分）根据ISO/OSI的七层体体系结构构，网络络安全机机制在各各层的分分布如下下：物理层：：数据流流加密机机制数据链路路层：数数据加密密机制网络层：：身份认认证机制制，访问问控制机机制，数数据加密密机制，，路由控控制机制制，一致致性检查查机制传输层：：身份认认证机制制，访问问控制机机制，数数据加密密机制会话层：：身份认认证机制制，访问问控制机机制，数数据加密密机制，，数字签签名机制制，交换换认证（（抗抵赖赖）机制制表示层：：身份认认证机制制，访问问控制机机制，数数据加密密机制，，数字签签名机制制，交换换认证（（抗抵赖赖）机制制应用层：：身份认认证机制制，访问问控制机机制，数数据加密密机制，，数字签签名机制制，交换换认证（（抗抵赖赖）机制制，业务务流分析析机制应用指南南（网络络部分））网络系统统安全技技术说明明部分对对各种安安全要素素的策略略、机制制、功能能、用户户属性定定义、安安全管理理和技术术要求等等做了具具体的说说明。主要包括括自主访访问控制制、强制制访问控控制、标标记、标标识和鉴鉴别、客客体重用用、审计计、数据据完整性性、隐蔽蔽信道分分析、可可信路径径、可信信恢复、、通信安安全、密密码支持持网络系统统安全保保护等级级划分技技术要求求部分：：针对七层层网络体体系结构构中的每每一层，，介绍了了各个安安全等级级的具体体要求，，以及每每个等级级中对各各个安全全要素的的具体要要求同时针对对每个安安全等级级，介绍绍了在网网络体系系结构每每层的具具体要求求，以及及每层中中对各个个安全要要求的具具体要求求第七部分分是网络络设备可可能对应应的安全全保护等等级，主主要介绍绍了各类类网络