信息安全导论安全评估

信息安全导论安全评估ToC安全评估准则DOD/TCSEC

橘皮书DOD/TNI

ITSEC

CSSCNIST/FIPSCCBS7799密码设备的评估安全方案的规划需求分析具体方案基础设施产品规划关于安全评估需要什么样的安全使用什么技术买什么产品对产品的评估如何部署和实施对运行系统的现状的评估标准：关于建立、评估、审计沿革关系TCSEC/85/AM

┣ITSEC/90/EU ┓ ┣CTCPEC/90/CA ┃ ┗FC/91/AM ┫ ┗CC/95(99IS)BS7799/95/EN ┗ISO17799/2000/ISODOD/TCSECC级自主保护级C级具有一定的保护能力，采用自主访问控制和审计跟踪一般只适用于具有一定等级的多用户环境具有对主体责任及其动作审计的能力C1级自主安全保护级隔离用户与数据，使用户具备自主安全保护的能力为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏适用于处理同一敏感级别数据的多用户环境C2级控制访问保护级比C1级具有更细粒度的自主访问控制通过注册过程控制、审计安全相关事件以及资源隔离，使单个用户为其行为负责B级强制保护级B级维护完整的安全标记，并在此基础上执行一系列强制访问控制规则主要数据结构必须携带敏感标记提供安全策略模型以及规约应提供证据证明访问监控器得到了正确的实施B1级标记安全保护级要求具有C2级系统的所有特性应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制消除测试中发现的所有缺陷-B2级结构化保护级要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体鉴别机制应得到加强，提供可信设施管理以支持系统管理员和操作员的职能提供严格的配置管理控制B2级系统应具备相当的抗渗透能力-B3安全区域保护级安全管理员职能扩充审计机制当发生与安全相关的事件时，发出信号提供系统恢复机制系统具有很高的抗渗透能力A级验证保护级A级使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息为证明满足设计、开发及实现等各个方面的安全要求，系统应提供丰富的文档信息A1级验证设计级在功能上和B3级系统是相同的要求用形式化设计规范和验证方法来对系统进行分析，确保按设计要求实现-超A1级系统体系结构安全测试形式化规约与验证可信设计环境等TNITNITrustedNetworkInterpretationoftheTCSECGoto “TNI.htm” “TNIEG.htm”ContentPartIPartIIAPPENDIXA,B,CTNI/IPartIofthisdocumentprovidesinterpretationsoftheDepartmentofDefenseTrustedComputerSystemEvaluationCriteria(TCSEC)(DOD-5200.28-STD),fortrustedcomputer/communicationsnetworksystems.Thespecificsecurityfeature,theassurancerequirements,andtheratingstructureoftheTCSECareextendedtonetworksofcomputersrangingfromisolatedlocalareanetworkstowide-areainternetworksystems.TNI/IIPartIIofthisdocumentdescribesanumberofadditionalsecurityservices(e.g.,communicationsintegrity,denialofservice,transmissionsecurity)thatariseinconjunctionwithnetworks.Thoseservicesavailableinspecificnetworkofferings,whileinappropriatefortherigorousevaluationappliedtoTCSECrelatedfeatureandassurancerequirements,mayreceivequalitativeratings.ITSECITSECbyEuropeanUnionInformationTechnologySecurityEvaluationCriteriaGoto“itsec-en.pdf”Ex递增E0无安全保证E1有安全目标和关于体系结构设计的非形式化描述E2对详细设计有非形式化的描述-E3评估源代码或硬件设计图E4有对安全目标/策略的基本形式模型E5设计和源代码/硬件有紧密的对应关系E6安全功能/体系结构设计与安全目标/策略模型一致CSSC’CTCPECCSSC:CTCPECGoto“ctcpec1.pdf”CanadianSystemSecurityCentre:CanadianTrustedComputerProductEvaluationCriteriaItisacomputersecuritystandardcomparabletotheAmericanTCSEC("OrangeBook")butsomewhatmoreadvanced.IthasbeensupersededbytheinternationalCommonCriteriastandard.可和TCSEC相比，但更进步已被国际标准CC替代NIST/FIPSCCCC3PartsPart1 IntroductionandGeneralModelPart2 SecurityFunctionalRequirements AnnexesPart3 SecurityAssuranceRequirementsrefto:////addon_11/CC_Overview.pptCC/EALEvaluationAssuranceLevelsEAL1：功能测试EAL2：结构测试EAL3：系统测试和检查EAL4：系统设计、测试和复查EAL5：半形式化设计和测试EAL6：半形式化验证的设计和测试EAL7：形式化验证的设计和测试EAL1:FunctionalTestConfidenceincurrentoperationisrequiredNoassistancefromTOEdeveloperApplicablewherethreattosecurityisnotseriousIndependenttestingagainstspecificationandguidancedocumentationEAL2:StructuralTestRequiressomecooperationofthedeveloperAddsrequirementsforconfigurationlist,delivery,high-leveldesigndocumentation,developerfunctionaltesting,vulnerabilityanalysis,andmoreextensiveindependenttestingEAL3:MethodicalTestandCheckRequiressomepositivesecurityengineeringatthedesignstage,withminimalchangestoexistingpracticesAddedassurancethroughinvestigationofproductanddevelopmentenvironmentcontrols,andhigh-leveldesigndocumentationPlacesadditionalrequirementsontesting,developmentenvironmentcontrolsandTOEconfigurationmanagementEAL4:MethodicalDesign,Test,andReviewHighestlevellikelyforretrofitofanexistingproductAdditionalrequirementsondesign,implementation,vulnerabilityanalysis,lowleveldesigndocumentation,developmentandsystemautomatedconfigurationmanagement,andaninformalsecuritypolicymodelEAL5:SemiformalDesignandTestHigherassurance,risksituations–wheresomepenetrationresistanceisneededRequiresrigorouscommercialdevelopmentpracticesandmoderateuseofspecialistengineeringtechniquesAdditionalrequirementsonsemi-formalfunctionalspecification,high-leveldesign,andtheircorrespondence,vulnerability,andcovertchannelanalysisEAL6:SemiformallyVerifiedDesignandTestedHighAssurance-wherepenetrationresistanceisnecessaryAdditionalrequirementsonanalysis,layeredTOEdesign,semi-formallow-leveldesigndocumentation,completeCMsystemautomationandastructureddevelopmentenvironment,andvulnerability/covertchannelanalysisEAL7:FormallyVerifiedDesignandTestedHighestassurance–wherehighresistancetopenetrationisnecessaryAssuranceisgainedthroughapplicationofformalmethodsinthedocumentationofthefunctionalspecificationandhigh-leveldesignAdditionalrequirementsforcompletedevelopertestingandcompleteindependentconfirmationofthetestresultsCOMP

CCTCSECITSEC-DE0EAL1--EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E6BS7799BS7799byBSI–theBritishStandardsInstitution2000,ISO/17799Goto:“BS7799-1_1999(ISO).doc”TwopartsISO17799BS7799-2BS7799s介绍有关敏感资料管理的国际认可标准，强调资料的保密性及完整性。此标准可分为两部份：首部份为准则部份，旨在协助机构确认其运作对资料保密方面的影响，这项准则已纳入ISO品质认证的范畴之内（ISO17799认证），涵盖10大范畴，127控制点；次部份为施行细则，是有关资料保密管理系统InformationSecurityManagementSystem的架构、目标以及监控。BS7799认证标准早于一九九五年确立，旨在协助各行各业及政府机构加强资料保安，一直获各地机构广泛采用，某些国家政府更将BS7799认证列为全国通用的标准。Parts1,2Part1:ISO/IEC17799:2000thestandardcodeofpracticeandcanberegardedasacomprehensivecatalogueofgoodsecuritythingstodo.Part2:BS7799-2:2002SpecifyforsecuritymanagementastandardspecificationforanInformationSecurityManagementSystems(ISMS).AnISMSisthemeansbywhichSeniorManagementmonitorandcontroltheirsecurity,minimisingtheresidualbusinessriskandensuringthatsecuritycontinuestofulfilcorporate,customerandlegalrequirements.ToCofP1InformationsecuritypolicySecurityorganizationAssetsclassificationandcontrolPersonalsecurityPhysicalandenvironmentalsecurityComputerandnetworkmanagementSystemaccesscontrolSystemdevelopmentandmaintenanceBusinesscontinuityplanningComplianceBS7799认证links对密码设备的评估国内相关的法规《商用密码管理条例》…国外NISTFIPS140-2Goto “fips140-2.pdf” “fips140-2_SL.1-4.txt” “fips140faq.htm”SecurityLevel1//该级提供安全的最低水平。不要求物理安全机制。一个例子就是PC机加密板。//该级允许在未经评估的一般商用机器系统上运行你的密码模块。这主要是为了方便一些低安全需求的场合。“fips140-2_SL.1-4.txt”SecurityLevel2//该级增加了防干扰或窜改的物理安全机制要求，包括封装、封条、防撬等。//该级要求最小的基于角色的认证。//该级允许相关部件运行在具有EAL2/CC安全级别的