系统评估准则与安全策略

系统评估准则与安全策略

北京科技大学计算机系陈红松副教授第一页，共三十九页。11系统评估准则2信息安全测评认证准则3安全管理的实施4制定安全策略5系统备份和紧急恢复方法6审计与评估7容灾技术及其典型应用第二页，共三十九页。21系统评估准则1.1可信计算机系统评估准则1.2欧洲信息技术安全评估准则1.3加拿大可信计算机产品评估准则1.4美国联邦信息技术安全准则1.5国际通用准则1.6标准的比较与评价第三页，共三十九页。31系统评估准则表7.1安全评估准则时间国别名称1985年12月1990年5月1990年5月1991年2月1996年1月1999年7月美国法德荷英四国加拿大美国北美及联盟国际标准化组织ISO可信计算机系统评估准则（TCSEC）欧洲信息技术安全评估准则（ITSEC）加拿大可信计算机产品评估准则（CTCPEC）美国联邦信息技术安全准则（FC）通用信息技术安全评估准则（CC）批准CC成为国际标准ISO/IEC15408-1999第四页，共三十九页。41系统评估准则1.1可信计算机系统评估准则表7.2TCSEC安全等级和功能说明安全等级名称功能D低级保护系统已经被评估，但不满足A到C级要求的等级，最低级安全产品C1自主安全保护该级产品提供一些必须要知道的保护，用户和数据分离C2受控存取保护该级产品提供了比C1级更细的访问控制，可把注册过程、审计跟踪和资源分配分开B1标记性安全保护除了需要C2级的特点外，该级还要求数据标号、目标的强制性访问控制以及正规或非正规的安全模型规范B2结构性保护该级保护建立在B1级上，具有安全策略的形式描述，更多的自由选择和强制性访问控制措施，验证机制强，并含有隐蔽通道分析。通常，B2级相对可以防止非法访问B3安全域该级覆盖了B2级的安全要求，并增加了下述内容：传递所有用户行为，系统防窜改，安全特点完全是健全的和合理的。安全信息之中不含有任何附加代码或信息。系统必须要提供管理支持、审计、备份和恢复方法。通常，B3级完全能够防止非法访问A1验证设计A1级与B3级的功能完全相同，但A1级的安全特点经过了更正式的分析和验证。通常，A1级只适用于军事计算机系统超A1已经超出当前技术发展，有待进一步描述第五页，共三十九页。51.2欧洲信息技术安全评估准则表7.3ITSEC和TCSEC的关系1系统评估准则ITSEC准则TCSEC准则含义功能级可信赖等级分类等级E0D非安全保护F1E1C1自主安全保护F2E2C2可控安全保护F3E3B1标记强制安全保护F4E4B2结构强制保护级F5E4B3强制安全区域保护F6E6A1验证设计安全保护超A1超出当前技术发展第六页，共三十九页。61.3加拿大可信计算机产品评估准则表7.4CTCPEC功能要求和规格等级1系统评估准则功能要求等级可计算性审计WA-0→WA-5识别和验证WI-0→WI-3可信路径WT-0→WT-3可用性容量AC-0→AC-3容错AF-0→AF-3坚固性AR-0→AR-3恢复AY-0→AY-3机密性隐蔽信道CC-0→CC-3选择机密性CD-0→CD-4强制机密性CM-0→CM-4目标重用CR-0→CR-1完整性域完整性IB-0→IB-2选择完整性ID-0→ID-4强制完整性IM-0→IM-4物理完整性IP-0→IP-4重新运行IR-0→IR-2功能分离IS-0→IS-3自测试IT-0→IT-3第七页，共三十九页。7

表7.5四种准则安全等级的近似比较1.4美国联邦信息技术安全准则TCSECFCCTCPECITSECDE0C1E1C2T-1T-1E2B1T-2T-2E3T-3T-3T-4B2T-5T-4E4B3T-6T-5E5A1T-7T-6E6T-71系统评估准则第八页，共三十九页。81.5国际通用准则

“信息技术安全性通用标准”（CC）是事实上的国际安全评估标准。1999年，CC被国际标准化组织（ISO）批准成为国际标准ISO/IEC15408-1999并正式颁布发行。表7.6通用准则的功能类族功能类名称族成员数量通信2识别和验证10保密性4可信安全功能的保护14资源分配3安全审计10TOE入口9可信路径3用户数据保护131系统评估准则第九页，共三十九页。91.5国际通用准则表7.7通用准则的可信赖性类族1系统评估准则可信赖性类名称族成员数量配置管理3传递和操作2开发10引导文件2寿命周期支持4测试4脆弱性测验4第十页，共三十九页。101.6标准的比较与评价最初的TCSEC是针对孤立计算机系统提出的，特别是小型机和大型机系统。该标准仅适用于军队和政府，不适用于企业。TCSEC与ITSEC均是不涉及开放系统的安全标准，仅针对产品的安全保证要求来划分等级并进行评测，且均为静态模型，仅能反映静态安全状况。CTCPEC虽在二者的基础上有一定发展，但也未能突破上述的局限性。FC对TCSEC作了补充和修改，对保护框架（PP）和安全目标（ST)作了定义，明确了由用户提供出其系统安全保护要求的详细框架，由产品厂商定义产品的安全功能、安全目标等。CC定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构。CC与早期的评估标准相比，其优势体现在其结构的开放性、表达方式的通用性以及结构和表达方式的内在完备性和实用性三个方面。CC的几项明显的缺点。

1系统评估准则第十一页，共三十九页。112信息安全测评认证准则2.1信息安全测评认证制度2.2安全产品控制2.3测评认证的标准与规范2.4中国测评认证标准与工作体系第十二页，共三十九页。122.1信息安全测评认证制度测评认证制度的组成测评——检验产品是否符合所定义的评估标准。认证——检验评估过程是否正确，并保证评估结果的正确性和权威性，且公布于众。测评认证制度的重要性

根据信息安全测评认证制度，产品的使用者就能在众多销售环境下放心地构筑、运用信息系统，开发者也能在可以信赖的指南下开发产品。信息安全测评认证制度对维护国家的信息安全起着极其重要的作用，对信息安全产业起步较晚且不够完善的中国而言尤为重要。2信息安全测评认证准则第十三页，共三十九页。132.2安全产品控制在市场准入上，发达国家为严格进出口控制。对国内使用的产品，实行强制性认证。对信息技术和信息安全技术中的核心技术，由政府直接控制。形成政府的行政管理与技术支持相结合、相依赖的管理体制。

2.3测评认证的标准与规范信息技术安全性通用标准CC，使大部分的基础性安全机制，在任何一个地方通过了CC准则评价并得到许可进入国际市场时，不需要再作评价，大幅度节省评价支出并迅速推向市场。各国通常是在充分借鉴国际标准的前提下，制订自己的测评认证标准。

2信息安全测评认证准则第十四页，共三十九页。142.4中国测评认证标准与工作体系开展信息安全测评认证的紧迫性

评测认证标准

评测工作体系

信息安全测评认证体系，由3个层次的组织和功能构成国家信息安全测评认证管理委员会国家信息安全测评认证中心若干个产品或信息系统的测评分支机构(实验室，分中心等)

测评认证中心

中国国家信息安全测评认证中心(CNISTEC)对外开展4种认证业务产品形式认证产品认证信息系统安全认证信息安全服务认证

2信息安全测评认证准则第十五页，共三十九页。153安全管理的实施3.1安全管理的类型3.2安全管理的原则3.3安全管理的基础第十六页，共三十九页。163.1安全管理的类型系统安全管理安全服务管理安全机制管理OSI管理的安全3.2安全管理的原则安全管理平台的设计原则标准化设计原则

逐步扩充的原则

集中与分布的原则

安全管理平台的管理原则多人负责原则系统管理岗位任期有限原则职责有限、分离原则

3安全管理的实施第十七页，共三十九页。173.3安全管理的基础根据安全等级，确定安全管理的范围，分别进行安全管理制定安全制度和操作规程重视系统维护的安全管理制定紧急恢复措施加强人员管理，建立有利于保护系统安全的雇佣和解聘制度网络用户安全管理

3安全管理的实施第十八页，共三十九页。184制定安全策略4.1制定安全策略的原则4.2制定安全策略的目的和内容4.3制定安全策略的层次

第十九页，共三十九页。194.1制定安全策略的原则均衡性整体性一致性易操作性可靠性层次性可评价性

4.2制定安全策略的目的和内容目的：

保证网络安全保护工作的整体、计划性及规范性，保证各项措施和管理手段的正确实施，使网络系统信息数据的机密性、完整性及可使用性受到全面、可靠的保护内容：进行安全需求分析对网络系统资源进行评估对可能存在的风险进行分析确定内部信息对外开放的种类及发布方式和访问方式明确网络系统管理人员的责任和义务确定针对潜在风险采取的安全保护措施的主要构成方面，制定安全存取、访问规则4制定安全策略第二十页，共三十九页。204.3制定安全策略的层次按照网络OSI的7层模型，网络安全应贯穿在整个模型的各个层次。根据内部网(如Intranet)的层次结构，网络安全的层次分为网络层和应用层两个方面：网络层——该层安全策略的目的，是在可用性的前提下实现网络服务安全性。

应用层——应用层的安全措施主要有以下几方面：建立全网统一、有效的身份认证机制。单一注册。信息传输加密。确定是否采用代理服务（ProxyService）及选择配置方式、维护方式，根据安全防范的重点对象，灵活运用代理服务器与防火墙的不同配置，以达到最大限度同时满足开放性与安全性的要求。建立审计和统计分析机制。

4制定安全策略第二十一页，共三十九页。215系统备份和紧急恢复方法5.1系统备份方法5.2紧急恢复第二十二页，共三十九页。225.1系统备份方法系统备份系统备份主要的对象包括：数据备份，关键设备及部件，电源备份，外部设备及空调设备备份，通信线路备份等。系统备份对象中的关键设备、部件以及电源的备份：设备备份方式、主机备份方式、高可靠电源备份、网卡备份。数据备份数据备份是指将计算机系统中硬盘上的一部分数据通过适当的形式转录到可脱机保存的介质(如磁带，软盘和光盘)上，以便需要时再输入计算机系统使用。热备份、冷备份在线的备份称为热备份脱机数据备份称为冷备份5系统备份和紧急恢复方法第二十三页，共三十九页。235.1系统备份方法数据备份数据备份的介质软磁盘光盘磁带硬盘基本备份方法日常业务数据备份数据库数据备份永久性数据备份应用项目基本备份远程备份5系统备份和紧急恢复方法第二十四页，共三十九页。245.2紧急恢复

紧急恢复又称灾难恢复，是指灾难产生后迅速采取措施恢复网络系统的正常运行。

紧急事件的主要内容制定紧急恢复计划

制定紧急恢复计划的大的原则和至少要考虑的因素：

明确规定事先的预备措施和事后的应急方案紧急反应根据网络的实际情况明确紧急反应的等级紧急恢复计划的制定应简洁明了

5系统备份和紧急恢复方法第二十五页，共三十九页。256审计与评估6.1安全审计6.2网络安全评估第二十六页，共三十九页。266.1安全审计安全审计的目的：有针对性地对网络运行的状况和过程进行记录、跟踪和审查，以从中发现安全问题。安全审计的主要功能：记录、跟踪系统运行状况。检测各种安全事故。保存、维护和管理审计日志。

6审计与评估第二十七页，共三十九页。276.2网络安全评估

网络安全评估是运用系统的方法，根据各种网络安全保护措施、管理机制以及结合所产生的客观效果，对网络系统作出是否安全的结论。 网络安全扫描：基于服务器的安全扫描器、基于网络的安全扫描器

评估的主要内容

环境控制应用安全管理机制远程通信安全审计机制评估实例

某行业对计算机信息系统(包括网络)的安全竞选检查评估的评分标准，见表7.9安全检查评估标准。

6审计与评估第二十八页，共三十九页。287容灾技术及其典型应用7.1容灾理论和技术的发展过程7.2容灾在国内外的规范现状7.3容灾的基本理论7.4容灾的关键技术7.5容灾系统7.6远程应用级容灾系统模型7.7企业如何选择容灾解决方案7.8银行各容灾级别及案例分析

第二十九页，共三十九页。297.1容灾理论和技术的发展过程

容灾这个概念出现于90年代初期提出的。国内对于容灾技术领域的研究，最早的是在90年代中后期（在1997年）。7.2容灾在国内外的规范现状

国外政府对数据备份有详细规定；我国香港特别行政区也针对不同行业的特点，对容灾、数据备份有严格的规定；但在国内，目前对这部分的要求还较少。

7容灾技术及其典型应用第三十页，共三十九页。307.3容灾的基本理论容灾的相关定义：容灾是在灾难发生时，能够保证数据尽量少的丢失，系统能够不间断地运行，或者尽量快地恢复正常运行。容灾备份是通过在异地建立和维护一个备份存储系统，利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。根据容灾系统对灾难的抵抗程度，可分为数据容灾和应用容灾:数据容灾是指建立一个异地的数据系统应用容灾比数据容灾层次更高，即在异地建立一套完整的、与本地数据系统相当的备份应用系统容灾技术与传统数据系统安全技术比较传统的数据系统的安全体系主要有数据备份系统和高可用系统两个方面。容灾不仅是一项技术，而应该把它理解为一项系统工程。

7容灾技术及其典型应用第三十一页，共三十九页。317.3容灾的基本理论容灾的分类表7.10容灾的分类7容灾技术及其典型应用级别内容说明第一级本地数据容灾只有很低的灾难恢复能力，能应付计算机软硬件方面的系统灾难，在灾难发生后无法保证业务连续性，且需要较长恢复时间。第二级本地应用容灾能应付计算机软硬件方面的系统灾难，但系统能迅速切换，保持业务的连续性。第三级异地数据冷备份在本地将关键数据备份，然后送异地保存。灾难发生后，按预定数据恢复程序恢复系统和数据。特点：成本低，易于配置，是常用的一种方法。问题是：当数据量增大时，存储介质难以管理。灾难发生时，大量数据难以及时恢复，对业务影响仍然很大，损失的数据量也较大。第四级异地异步数据容灾在异地建立一个数据备份站点，通过网络以异步方式进行数据备份。备份站点只备份数据，不承担业务。在对灾难的容忍程度同第3级。但他采用网络进行数据复制度方式，因此两个站点的数据同步程度要比3高，丢失数据也更少。第五级异地同步数据容灾除了是同步方式以外，基本和上面相同，出现灾难时，数据丢失量比上面小，基本可以做得零数据丢失，但存在系统恢复较慢地缺点。投入成本较大，注：同步数据容灾有距离限制，超过一定范围（10km～100km）在目前情况下性能大打折扣，和异步差别不大。它和第4级存在地共同问题是：没有备用应用系统，因此无法保证业务的连续性。第六级异地异步应用容灾在异地建立一个与生产系统完全相同的备用系统，他们之间采用异步的方式进行数据同步，当生产中心发生灾难时，备用系统接替其工作。该级别的容灾，既可以保证数据的极少量丢失，又可及时切换，从而保证业务的连续性。现在一般采用广域高可靠集群方式实现。第七级异地同步应用容灾在异地建立一个与生产系统完全相同的备用系统，他们之间采用同步的方式进行数据复制。当生产中心发生灾难时，备用系统接替其工作。该级别的容灾，在发生灾难时，可以基本保证数据零丢失和业务的连续性。容灾的等级标准第三十二页，共三十九页。327.4容灾的关键技术数据存储管理数据存储管理指对于计算机系统数据存储相关的一系列操作（如备份、归档、恢复等）进行的统一管理。数据存储管理包括数据备份、数据恢复、备份索引、备份设备及媒体和灾难恢复等。数据复制数据复制即将一个地点的数据拷贝到另一个不同的物理点上的过程。数据复制分为同步数据复制和异步数据复制。实现数据异地复制，有软件和硬件方式两种途径。灾难检测

对于灾难的发现方式，一般是通过心跳技术和检查点技术。系统迁移7容灾技术及其典型应用第三十三页，共三十九页。337.5容灾系统衡量容灾系统的技术评价指标：公认的标准有RPO/RTO。

容灾系统的系统结构

7容灾技术及其典型应用本地生产系统本地备用生产系统生产数据中心本地数据备份中心异地应用系统异地数据中心系统迁移灾难检测数据备份数据同步本地高可用系统本地容灾系统异地容灾系统第三十四页，共三十九页。347.6远程应用级容灾系统模型数据源容灾主系统容灾平台容灾平台备应用系统主应用系统容灾备系统远程容灾同步数据业务数据信息业务数据信息业务数据信息业务数据信息7容灾技术及其典型应用图7.2远程应用级容灾系统模型第三十五页，共三十九页。357.7企业如何选择容灾解决方案国外企业在选择容灾解决方案方面积累的经验国外的主流容灾产品：HP、VERITAS、IBM公司解决灾备问题的方法

7.8银行各容灾级别及案例分析银行各容灾级别分析根据银行业务特色和具体情况，综合的概括为以下容灾层次：业务连续性容灾数据连续性容灾IT设施容灾案例分析 中国建设银行——我国最早引入和应用容灾系统

7容灾技术及其典型应用第三十六页，共三十九页。36建设银行总行于1997年3月成立了计算机灾难备份模式安全设计小组，通过风险分析提出了如何划分应用系统灾难备份等级以及如何选择最佳灾难备份方案的策略，明确提出了不同类别的行、不同等级的应用系统的数据备份策略、系统备份策略和网络备份策略，做出了同城专用灾难备份中心、共用灾难备份中心、相同机型互为备份和网控中心四种灾难备份模式的设计。中国建设银行总行灾备系统以HP9000/T600为生产系统主机，以HP9000/T500为灾难备份系统主机，以EMCSymmetrix3430智能信息存储系统的SRDF远程磁盘镜像技术为数据备