信息安全标准

信息平安标准中国信息平安产品测评认证中心〔CNITSEC〕CISP-信息平安标准〔培训稿〕主要内容信息平安根底标准信息平安评估标准开展史通用评估准那么〔CC〕PP和ST产生指南标准化根底标准：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为根底，经有关方面协商一致，由主管部门批准，以特定的方式发布，作为共同遵守的准那么和依据。强制性标准：保障人体健康、人身、财产平安的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。我国标准分四级：国家标准、行业标准、地方标准、企业标准。国家标准：对需要在全国范围内统一的技术要求(含标准样品的制作〕。GB/TXXXX.X-200XGBXXXX-200X行业标准：没有国家标准，需要在全国某个行业范围内统一的技术要求。GA,SJ地方标准：没有国家标准、行业标准而又需要在省、自治区、直辖市范围内统一的工业产品的平安、卫生要求。DBXX/TXXX-200XDBXX/XXX-200X企业标准：对企业范围内需要统一的技术要求、管理要求和工作要求。QXXX-XXX-200X标准化根底标准化根底标准化：为在一定的范围内获得最正确秩序，对实际的或潜在的问题制定共同的和重复使用的规那么的活动实质：通过制定、发布和实施标准，到达统一。目的：获得最正确秩序和社会效益。标准化根底标准化三维空间国际级区域级国家级行业级地方级企业级人员效劳系统产品过程管理应用技术机制体系、框架术语XYZX轴代表标准化对象，Y轴代表标准化的内容，Z轴代表标准化的级别。

标准化根底我国通行“标准化八字原理〞：“统一〞原理“简化〞原理“协调〞原理“最优〞化原理我国标准工作归口单位2001年10月11日成立国家标准化委员会信息技术标准委员会数据加密技术标准委员会2002年4月15日成立信息平安技术标准委员会标准化根底采标：等同采用idt〔identical〕：指技术内容相同，没有或仅有编辑性修改，编写方法完全相对应；修改采用MOD〔modified〕：与国际标准之间存在技术性差异，有编辑性修改，可能不采用局部条款非等效采用NEQ〔notequivalent〕：指技术内容有重大差异，只表示与国际标准有关。IT标准化IT标准开展趋势(1)标准逐步从技术驱动向市场驱动方向开展。(2)信息技术标准化机构由分散走向联合。(3)信息技术标准化的内容更加广泛，重点更加突出，从IT技术领域向社会各个领域渗透，涉及教育、文化、医疗、交通、商务等广泛领域，需求大量增加。(4)从技术角度看，IT标准化的重点将放在网络接口、软件接口、信息格式、平安等方面，并向着以技术中立为前提，保证互操作为目的方向开展。信息平安标准化组织ISOJTC1SC27，信息技术-平安技术ISO/TC68银行和有关的金融效劳SC2，平安管理和通用银行运作；SC4，平安及相关金融工具；SC6，零售金融效劳。JTC1其他分技术委员会：SC6—系统间通信与信息交换，主要开发开放系统互连下四层平安模型和平安协议，如ISO9160、ISO/IEC11557。SC17—识别卡和有关设备，主要开发与识别卡有关的平安标准ISO7816SC18—文件处理及有关通信，主要开发电子邮件、消息处理系统等。SC21—开放系统互连，数据管理和开放式分布处理，主要开发开放系统互连平安体系结构，各种平安框架，高层平安模型等标准，如:ISO/IEC7498-2、ISO/IEC9594-1至8。SC22—程序语言，其环境及系统软件接口，也开发相应的平安标准。SC30—开放式电子数据交换，主要开发电子数据交换的有关平安标准。如ISO9735-9、ISO9735-10。信息平安标准化组织〔续〕IECTC56可靠性；TC74IT设备平安和成效；TC77电磁兼容；CISPR无线电干扰特别委员会ITU前身是CCITT消息处理系统目录系统(X.400系列、X.500系列)平安框架平安模型等标准信息平安标准化组织〔续〕IETF〔170多个RFC、12个工作组〕PGP开发标准(openpgp)；鉴别防火墙遍历(aft)；通用鉴别技术(cat)；域名效劳系统平安(dnssec)；IP平安协议(ipsec)；一次性口令鉴别(otp)；X.509公钥根底设施(pkix)；S/MIME邮件平安(smime)；平安Shell(secsh)；简单公钥根底设施(spki)；传输层平安(tls)Web处理平安(wts)信息平安标准化组织〔续〕美国ANSINCITS-T4制定IT平安技术标准X9制定金融业务标准X12制定商业交易标准NIST负责联邦政府非密敏感信息FIPS-197DOD负责涉密信息NSA国防部指令〔DODDI〕〔如TCSEC〕信息平安标准化组织〔续〕IEEESILS〔LAN/WAN〕平安P1363公钥密码标准ECMA(欧洲计算机厂商协会)TC32——“通信、网络和系统互连〞曾定义了开放系统应用层平安结构；TC36——“IT平安〞负责信息技术设备的平安标准。信息平安标准化组织〔续〕英国BS7799医疗卫生信息系统平安加拿大计算机平安管理日本JIS国家标准JISC工业协会标准韩国KISA负责防火墙、IDS、PKI方面标准信息平安标准化组织〔续〕我国共38个标准4个产品标准其他工业标准SSLSETCDSAPGPPCT……例题标准采用中的“idt〞指的是？A.等效采用B.等同采用C.修改采用D.非等效采用著名的TCSEC是由下面哪个组织制定的？A.ISOB.IECC.CNITSECD.美国国防部2.信息平安根底标准词汇安全体系结构安全框架安全模型GB/T5271.8-2000信息技术词汇第8部分：安全GB/T9387.2-1995开放系统互连基本参考模型第2部分：安全体系结构ISO/IEC10181-1~7开放系统的安全框架GB/T17965高层安全模型GB/T18231低层安全模型ISO/IEC15443-1IT安全保障框架IATF信息保障技术框架ISO/IEC11586-1~6通用高层安全网络层安全GJB2256-1994军用计算机安全术语RFC2401因特网安全体系结构ISO/IEC7498-4管理框架传输层安全基于OSI七层协议的

平安体系结构

OSI参考模型7应用层6表示层5会话层4传输层3网络层2链路层1物理层安全机制公证路由选择控制通信业务填充鉴别交换数据完整性访问控制数字签名加密安全服务鉴别服务

访问控制数据完整性数据机密性抗抵赖五种平安效劳鉴别：提供对通信中的对等实体和数据来源的鉴别。访问控制：提供保护以对抗开放系统互连可访问资源的非授权使用。可应用于对资源的各种不同类型的访问〔例如，使用通信资源，读、写或删除信息资源，处理资源的操作〕，或应用于对某种资源的所有访问数据机密性：对数据提供保护使之不被非授权地泄露数据完整性：对付主动威胁。在一次连接上，连接开始时使用对某实体鉴别效劳，并在连接的存活期使用数据完整性效劳就能联合起来为在此连接上传送的所有数据单元的来源提供确证，为这些数据单元的完整性提供确证。抗抵赖：可取有数据原发证明的抗抵赖、有交付证明的抗抵赖两种形式，或两者之一。与网络各层相关的OSI

平安效劳安全服务1234567对等实体鉴别数据源鉴别访问控制服务连接机密性无连接机密性选择字段机密性流量机密性有恢复功能的连接完整性无恢复功能的连接完整性选择字段连接完整性无连接完整性选择字段非连接完整性源发方抗抵赖接收方抗抵赖－－－Y－－Y－－－－－－－－－－YY－－－－－－－－－YYYYY－Y－Y－Y－－－YYYYY－－YY－Y－－－－－－－－－－－－－－－－－－－－YYY－－－－－－－－

YYYYYYYYYYYYYYOSI平安效劳和平安

机制之间的关系安全服务加密数字签名访问控制数据完整鉴别交换业务填塞路由控制公证对等实体鉴别数据源鉴别访问控制服务连接机密性无连接机密性选择字段机密性流量机密性有恢复功能的连接完整性无恢复功能的连接完整性选择字段连接完整性无连接完整性选择字段非连接完整性源发方抗抵赖接收方抗抵赖YY－YYYYYYYYY－－YY－－－－－－－－YYYY－－Y－－－－－－－－－－－－－－－－－－YYYYYYYY－－－－－－－－－－－－－－－－－－－Y－－－－－－－－－－YY－Y－－－－－－－－－－－－－－－－－－－YYOSI参考模型与TCP/IP

的对应关系OSI参考模型TCP/IP协议集模型应用层

表示层应用层会话层

传输层传输层网络层互联网层数据链路层物理层网络接口层3.信息平安评测标准开展1999年GB17859计算机信息系统平安保护等级划分准那么1991年欧洲信息技术平安性评估准那么〔ITSEC〕国际通用准那么1996年〔CC1.0〕1998年〔CC2.0〕1985年美国可信计算机系统评估准那么〔TCSEC〕1993年加拿大可信计算机产品评估准那么〔CTCPEC〕1993年美国联邦准那么〔FC1.0〕1999年国际标准ISO/IEC154081989年英国可信级别标准〔MEMO3DTI〕德国评估标准〔ZSEIC〕法国评估标准〔B-W-RBOOK〕2001年国家标准GB/T18336信息技术平安性评估准那么1993年美国NIST的MSFR美国TCSEC1970年由美国国防科学委员会提出。1985年公布。主要为军用标准。延用至民用。平安级别从高到低分为A、B、C、D四级，级下再分小级。彩虹系列 桔皮书：可信计算机系统评估准那么 黄皮书：桔皮书的应用指南 红皮书：可信网络解释 紫皮书：可信数据库解释美国TCSECD:最小保护MinimalProtectionC1:自主安全保护DiscretionarySecurityProtectionC2:访问控制保护ControlledAccessProtectionB1:安全标签保护LabeledSecurityProtectionB2:结构化保护StructuredProtectionB3:安全域保护SecurityDomainA1:验证设计保护VerifiedDesign低保证系统高保证系统主要依据之间的关系可信设备指南安全特性用户手册测试文档.设计文档.自主访问控制强制访问控制标签客体重用安全政策标识和鉴别审计可信路径可控性系统体系 可信设备系统完整性 管理系统测试

可信恢复设计说明验证

配置

隐蔽信道分析 管理保证确保支持文档操作者/管理员用户开发者/维护者平安政策：确定选择哪些控制措施，可控性：提出平安机制以确定系统人员并跟踪其行动。保证能力：给平安政策及可控性的实现提供保证。文档：存在哪些文档。各级别的特征平安政策 C1C2B1B2B3A1自主访问控制 ++ncnc+nc客体重用 0+ncncncnc标签 00++ncnc标签完整性 00+ncncnc标签信息的输出 00+ncncnc标签输出 00+ncncnc强制访问控制 00++ncnc主体敏感性标签 000+ncnc设计标签 000+ncnc可控性鉴别 +++ncncnc审计 0++++nc可信路径 000++nc保证措施C1C2B1B2B3A1系统体系 +++++nc系统完整性 +ncncncncnc系统测试 ++++++设计说明和验证 00++++隐蔽信道分析 000+++可信设备管理 000++nc配置管理 000+nc+可信恢复 0000+nc可信分发 00000+文档C1C2B1B2B3A1平安特性用户指南 +ncncncncnc可信设备手册 +++++nc测试文档 +ncnc+nc+设计文档 +nc++++C1:自主平安保护本级的计算机信息系统可信计算基通过隔离用户与数据，使用户具备自主平安保护的能力。本级实施的是自主访问控制。即通过可信计算基定义系统中的用户和命名用户多命名客体的访问，并允许用户以自己的身份或用户组的身份指定并控制对客体的访问。这意味着系统用户或用户组可以通过可信计算基自主地定义对客体的访问权限。从用户的角度来看，用户自主保护级的责任只有一个，即为用户提供身份鉴别。可以包括穿透性测试C2:访问控制保护与用户自主保护级相比，本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计平安性相关事件和隔离资源，使用户对自己的行为负责。本级实施的是自主访问控制和客体的平安重用身份鉴别方面，比用户自主保护级增加两点：为用户提供唯一标识，使用户对自己的行为负责。为支持平安审计功能，具有将身份标识与用户所有可审计的行为相关联的能力。平安审计方面，可信计算基能够创立、维护对其所保护客体的访问审计记录，B1:平安标签保护提供有关平安策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；平安标签，具有准确地标记输出信息的能力；本级的主要特征是可信计算基实施基于BellLaPadula模型的强制访问控制。分析和测试设计文档、源代码、客体代码消除通过测试发现的任何错误。B2:结构化保护形式化平安策略模型访问控制〔自主的和强制的〕扩展到所有主体和客体隐蔽信道分析可信计算基构造成为关键保护元素和非关键保护元素通过提供可信路径来增强鉴别机制。计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审增强了配置管理控制。系统具有相当的抗渗透能力。分开系统管理员和操作员的职能，提供可信实施管理B3:平安域保护在可信计算基的构造方面，具有访问监控器〔referencemonitor〕计算机信息系统可信计算基在其构造时，排除那些对实施平安策略来说并非必要的代码；扩充审计机制，当发生与平安相关的事件时发出信号提供系统恢复机制。系统具有很高的抗渗透能力。A1:验证设计保护功能上与B3级相同要求形式化验证设计：形式化模型形式化高层设计实现TCSEC的缺陷集中考虑数据机密性，而忽略了数据完整性、系统可用性等；将平安功能和平安保证混在一起平安功能规定得过为严格，不便于实际开发和测评欧洲多国平安评价方法的综合产物，军用，政府用和商用。以超越TCSEC为目的，将平安概念分为功能与功能评估两局部。功能准那么在测定上分10级。1－5级对应于TCSEC的C1到B3。6－10级加上了以下概念：F-IN：数据和程序的完整性F-AV：系统可用性F-DI：数据通信完整性F-DC：数据通信保密性F-DX包括机密性和完整性的网络平安评估准那么分为6级：E1：测试E2：配置控制和可控的分配E3：能访问详细设计和源码E4：详细的脆弱性分析E5：设计与源码明显对应E6：设计与源码在形式上一致。

欧洲ITSEC与TCSEC的不同平安被定义为机密性、完整性、可用性功能和质量/保证分开对产品和系统的评估都适用，提出评估对象〔TOE〕的概念产品：能够被集成在不同系统中的软件或硬件包；系统：具有一定用途、处于给定操作环境的特殊平安装置功能评估1

——预先定义的功能级ITSEC保

证TCSEC分

级

E0DF-C1E1C1F–C2E2C2F–B1E3B1F–B2E4B2F–B3E5B3F–B3E6A1

加拿大CTCPEC1989年公布，专为政府需求而设计与ITSEC类似，将平安分为功能性需求和保证性需要两局部。功能性要求分为四个大类：a机密性b完整性c可用性d可控性在每种平安需求下又分成很多小类，表示平安性上的差异，分级条数为0－5级。早期评估准那么〔续〕美国联邦准那么(FC)对TCSEC的升级1992年12月公布引入了“保护轮廓〔PP〕〞这一重要概念每个轮廓都包括功能局部、开发保证局部和评测局部。分级方式与TCSEC不同，吸取了ITSEC、CTCPEC中的优点。供美国政府用、民用和商用。早期评估准那么〔续〕GB17859-1999计算机信息系统平安等级划分准那么第一级用户自主保护级第二级系统审计保护级第三级平安标记保护级第四级结构化保护级第五级访问验证保护级4.通用准那么〔CC〕国际标准化组织统一现有多种准那么的努力结果；1993年开始，1996年出V1.0,1998年出V2.0，1999年6月正式成为国际标准，1999年12月ISO出版发行ISO/IEC15408；主要思想和框架取自ITSEC和FC；充分突出“保护轮廓〞，将评估过程分“功能〞和“保证〞两局部；是目前最全面的评价准那么通用准那么〔CC〕〔续〕国际上认同的表达IT平安的体系结构一组规那么集一种评估方法，其评估结果国际互认通用测试方法〔CEM〕已有平安准那么的总结和兼容通用的表达方式，便于理解灵活的架构可以定义自己的要求扩展CC要求准那么今后开展的框架评估上下文CC的结构以及目标读者本标准定义作为评估信息技术产品和系统平安特性的根底准那么不包括属于行政性管理平安措施的评估准那么；不包括物理平安方面〔诸如电磁辐射控制〕的评估准那么；不包括密码算法固有质量评价准那么应用范围关键概念评估对象——TOE(TargetofEvaluation)保护轮廓——PP(ProtectionProfile〕平安目标——ST(SecurityTarget〕功能(Function)保证(Assurance)组件(Component)包(Package)评估保证级——EAL(EvaluationAssuranceLevel〕评估对象〔TOE〕产品、系统、子系统保护轮廓〔PP〕表达一类产品或系统的用户需求组合平安功能要求和平安保证要求技术与需求之间的内在完备性提高平安保护的针对性、有效性平安标准有助于以后的兼容性同TCSEC级类似PP的内容平安目标〔ST〕IT平安目的和要求要求的具体实现实用方案适用于产品和系统与ITSECST类似ST的内容功能/保证结构类〔如用户数据保护——FDP〕关注共同的平安焦点的一组族，覆盖不同的平安目的范围子类〔如访问控制——FDP_ACC〕共享平安目的的一组组件，侧重点和严格性不同组件〔如子集访问控制——FDP_ACC.1)包含在PP/ST/包中的最小可选平安要求集组件CC将传统的平安要求分成不能再分的构件块用户/开发者可以组织这些要求到PP中到ST中组件可以进一步细化举例：类－子类－组件FIA标识和鉴别

FIA_AFL鉴别失败

FIA_ATD用户属性定义FIA_SOS秘密的标准类 子类 组件FIA_AFL.1鉴别失败处理FIA_ATD.1用户属性定义FIA_SOS.1秘密的验证FIA_SOS.2秘密的TSF生成功能标准IT产品和系统的平安行为，应做的事平安功能要求类11类135个组件保证对功能产生信心的方法平安保证要求APE类-保护轮廓的评估准则ASE类-安全目标的评估准则用于TOE的七个安全保证要求类TOE平安保证类包IT平安目的和要求功能或保证要求〔如EAL〕适用于产品和系统与ITSECE-级类似评估保证级〔EAL〕预定义的保证包公认的广泛适用的一组保证要求CC第一局部概念和模型平安概念和关系所有者威胁主体资产措施弱点风险威胁拥有引起到希望滥用最小化增加到利用导致减少可能具有可能被减少利用可能意识到评估环境评估准那么评估方法最终评估结果评估方案评估批准/证明证书/注册评估保证级〔EAL〕EAL1—功能测试EAL2—结构测试EAL3—系统地测试和检查EAL4—系统地设计、测试和复查EAL5—半形式化设计和测试EAL6—半形式化验证的设计和测试EAL7—形式化验证的设计和测试评估保证级别〔EAL〕EAL1—功能测试EAL1适用于平安的威胁并不严重的场合TOE的功能与其文档在形式上是一致的，并且对已标识的威胁提供了有效的保护。利用功能和接口的标准以及指导性文档，对平安功能进行分析，进行独立性测试保证组件：ACM_CAP.1版本号ADO_IGS.1安装、生成和启动程序ADV_FSP.1非形式化功能标准ADV_RCR.1非形式化对应性论证AGD_ADM.1管理员指南AGD_USR.1用户指南ATE_IND.1——一致性EAL2—结构测试EAL2适用于在缺乏现成可用的完整的开发记录时，开发者或使用者需要一种低到中等级别的独立保证的平安性。增加：ACM_CAP.2配置项ADO_DEL.1交付程序ADV_HLD.1描述性高层设计*ATE_COV.1范围证据ATE_FUN.1功能测试ATE_IND.2独立性测试——抽样AVA_SOF.1TOE平安功能强度评估*AVA_VLA.1开发者脆弱性分析*平安保证级别2(EAL2)EAL3—系统地测试和检查EAL3适用于开发者或使用者需要一个中等级别的平安性，和不需要再次进行真正的工程实践的情况下，对TOE及其开发过程进行彻底检查。增加组件：ACM_CAP.3授权控制ACM_SCP.1TOE配置管理〔CM〕范围ADV_HLD.2平安加强的高层设计*ALC_DVS.1平安措施标识*ATE_COV.2范围分析ATE_DPT.1测试：高层设计AVA_MSU.1指南审查平安保证级别3(EAL3)EAL4—系统地设计、测试和复查EAL4适用于：开发者或使用者对传统的商品化的TOE需要一个中等到高等级别的平安性，并准备负担额外的平安专用工程费用。增加组件：ACM_AUT.1局部配置管理〔CM〕自动化ACM_CAP.4产生支持和接受程序ACM_SCP.2跟踪配置管理〔CM〕范围问题ADO_DEL.2修改检测ADV_FSP.2完全定义的外部接口*ADV_IMP.1TSF实现的子集*ADV_LLD.1描述性低层设计*ALC_LCD.1开发者定义的生命周期模型ALC_TAT.1明确定义的开发工具AVA_MSU.2分析确认AVA_VLA.2独立脆弱性分析*(穿透性测试〕平安保证级别4(EAL4)EAL5—半形式化设计和测试TOE平安策略的形式化模型，功能标准和高层设计的半形式化表示，及它们之间对应性的半形式化论证。还需模块化的TOE设计。这种分析也包括对开发者的隐蔽信道分析确实认增加组件：ACM_SCP.3开发工具配置管理〔CM〕范围ADV_FSP.3半形式化功能标准*ADV_HLD.3半形式化高层设计*ADV_IMP.2TSF实现ADV_INT.1模块化*ADV_RCR.2半形式化对应性论证*ADV_SPM.3形式化TOE平安策略模型ALC_LCD.2标准化生命周期模型*ALC_TAT.2遵从实现标准ATE_DPT.2测试：低层设计*AVA_CCA.1隐蔽信道分析*AVA_VLA.3中级抵抗力平安保证级别5(EAL5)EAL6—半形式化验证的设计和测试低层设计的半形式化表示结构化的开发流程增加组件：ACM_AUT.2完全配置管理〔CM〕自动化ACM_CAP.5高级支持ADV_HLD.4半形式化高层解释ADV_IMP.3TSF的结构化实现ADV_INT.2复杂性降低ADV_LLD.2半形式化低层设计ALC_DVS.2平安措施的充分性ALC_TAT.3遵从实现标准——所有局部ATE_COV.3范围的严格分析ATE_FUN.2顺序的功能测试AVA_CCA.2系统化隐蔽信道分析AVA_MSU.3对非平安状态的分析和测试AVA_VLA.4高级抵抗力平安保证级别6(EAL6)EAL7—形式化验证的设计和测试EAL7的实际应用目前只局限于一些TOE，这些TOE非常关注能经受广泛地形式化分析的平安功能功能标准和高层设计的形式化表示增加组件：ADO_DEL.3修改预防ADV_FSP.4形式化功能标准ADV_HLD.5形式化高层设计ADV_INT.3复杂性最小化ADV_RCR.3形式化对应性论证ALC_LCD.3可测量的生命周期模型ATE_DPT.3测试：实现表示ATE_IND.3独立性测试——全部平安保证级别7(EAL7)形式化有三种类型的标准风格：非形式化、半形式化和形式化。功能标准、高层设计、低层设计和TSP模型都将使用以上一种或多种标准风格来书写。非形式化标准就是象散文一样用自然语言来书写。半形式化标准就是用一种受限制的句法语言来书写，并且通常伴随着支持性的解释(非形式化)语句。这里的受限制句法语言可以是一种带有受限制句子结构和具有特殊意义的关键字的自然语言，也可以是图表式的(如数据流图、状态转换图、实体关系图、数据结构图、流程或程序结构图)。形式化标准就是用一套基于明确定义的数学概念的符号来书写，并且通常伴随着支持性的解释(非形式化)语句。评测级别对应保证功能EAL1EAL2EAL3EAL4EAL5EAL6EAL7E0E1E2E3E4E5E6D级C1级C2级B1级B2级B3级A1级F-C1级F-C2级F-B1级F-B2级F-B3级HP-UNIX(VV)Winnt3.5Winnt4.0Win2000各局部关系子类C1C2C3Cn功能(CCPART2)保证(CCPART3)FamilyC1C2C3CnFamilyC1C2C3Cn子类C1C2C3Cn子类C1C2C3Cn子类C1C2C3Cn功能类保证类功能包为构建PP或ST而选取的一组可重复使用的功能要求评估保证级1评估保证级2评估保证级3评估保证级n保护轮廓包括一个CC评估保证级的一组可重复使用且完备的安全要求。安全目标包括一个CC评估保证级的描