银行及相关金融服务信息安全标准体系课件

1、信息安全标准介绍,中国信息安全产品测评认证中心 张利 博士,银行及相关金融服务信息安全标准体系,2,主要内容,信息安全基础标准 信息安全评估标准发展史 通用评估准则（CC） PP和ST产生指南 IATF SCC,银行及相关金融服务信息安全标准体系,3,标准化基础,标准：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为基础，经有关方面协商一致，由主管部门批准，以特定的方式发布，作为共同遵守的准则和依据。 强制性标准：保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。 我国标准分四级：国家标准、行业标准、地方标准、企业标准。,银行及

2、相关金融服务信息安全标准体系,4,国家标准：对需要在全国范围内统一的技术要求(含标准样品的制作）。GB/T XXXX.X-200X GB XXXX-200X 行业标准：没有国家标准，需要在全国某个行业范围内统一的技术要求。GA ,SJ 地方标准：没有国家标准 、行业标准而又需要在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求。 DBXX/T XXX-200X DBXX/XXX-200X 企业标准：对企业范围内需要统一的技术要求、管理要求和工作要求。QXXX-XXX-200X,标准化基础,银行及相关金融服务信息安全标准体系,5,标准化基础,标准化：为在一定的范围内获得最佳秩序，对实际的或

3、潜在的问题制定共同的和重复使用的规则的活动 实质：通过制定、发布和实施标准，达到统一。 目的：获得最佳秩序和社会效益。,银行及相关金融服务信息安全标准体系,6,标准化基础,标准化三维空间,国际级 区域级 国家级 行业级 地方级 企业级,人员 服务 系统 产品 过程,管理,应用,技术机制,体系、框架,术语,X,Y,Z,X轴代表标准化对象，Y轴代表标准化的内容，Z轴代表标准化的级别。,银行及相关金融服务信息安全标准体系,7,标准化基础,我国通行“标准化八字原理”： “统一”原理 “简化”原理 “协调”原理 “最优”化原理,银行及相关金融服务信息安全标准体系,8,我国标准工作归口单位,2001年10

4、月11日成立国家标准化委员会 信息技术标准委员会 数据加密技术标准委员会 2002年4月15日成立信息安全技术标准委员会,银行及相关金融服务信息安全标准体系,9,标准化基础,采标： 等同采用idt（identical）：指技术内容相同，没有或仅有编辑性修改，编写方法完全相对应； 修改采用MOD（modified）：与国际标准之间存在技术性差异，有编辑性修改，可能不采用部分条款 非等效采用NEQ（not equivalent）：指技术内容有重大差异，只表示与国际标准有关。,银行及相关金融服务信息安全标准体系,10,IT标准化,IT标准发展趋势 (1)标准逐步从技术驱动向市场驱动方向发展。 (2)

5、信息技术标准化机构由分散走向联合。 (3)信息技术标准化的内容更加广泛，重点更加突出，从IT技术领域向社会各个领域渗透，涉及教育、文化、医疗、交通、商务等广泛领域，需求大量增加。 (4)从技术角度看，IT标准化的重点将放在网络接口、软件接口、信息格式、安全等方面，并向着以技术中立为前提，保证互操作为目的方向发展。,银行及相关金融服务信息安全标准体系,11,信息安全标准化组织,ISO JTC1 SC27，信息技术-安全技术 ISO/TC 68 银行和有关的金融服务 SC2，安全管理和通用银行运作； SC4，安全及相关金融工具； SC6，零售金融服务。 JTC1其他分技术委员会： SC6系统间通信

6、与信息交换，主要开发开放系统互连下四层安全模型和安全协议，如ISO 9160、ISO/IEC 11557。 SC17识别卡和有关设备，主要开发与识别卡有关的安全标准ISO 7816 SC18文件处理及有关通信，主要开发电子邮件、消息处理系统等。 SC21开放系统互连，数据管理和开放式分布处理，主要开发开放系统互连安全体系结构，各种安全框架，高层安全模型等标准，如:ISO/IEC 7498-2、ISO/IEC 9594-1至8。 SC22程序语言，其环境及系统软件接口，也开发相应的安全标准。 SC30开放式电子数据交换，主要开发电子数据交换的有关安全标准。如ISO 9735-9 、 ISO 97

7、35-10。,银行及相关金融服务信息安全标准体系,12,信息安全标准化组织（续）,IEC TC56 可靠性； TC74 IT设备安全和功效； TC77 电磁兼容； CISPR 无线电干扰特别委员会 ITU 前身是CCITT 消息处理系统 目录系统(X.400系列、X.500系列) 安全框架 安全模型等标准,银行及相关金融服务信息安全标准体系,13,信息安全标准化组织（续）,IETF（170多个RFC、12个工作组） PGP开发规范(openpgp)； 鉴别防火墙遍历(aft)； 通用鉴别技术(cat) ； 域名服务系统安全(dnssec)； IP安全协议(ipsec)； 一次性口令鉴别(otp

8、)； X.509公钥基础设施(pkix)； S/MIME邮件安全(smime)； 安全Shell (secsh)； 简单公钥基础设施(spki)； 传输层安全(tls) Web处理安全 (wts),银行及相关金融服务信息安全标准体系,14,信息安全标准化组织（续）,美国 ANSI NCITS-T4 制定IT安全技术标准 X9 制定金融业务标准 X12 制定商业交易标准 NIST 负责联邦政府非密敏感信息 FIPS-197 DOD 负责涉密信息 NSA 国防部指令（DODI）（如TCSEC）,银行及相关金融服务信息安全标准体系,15,信息安全标准化组织（续）,IEEE SILS（LAN/WAN）

9、安全 P1363公钥密码标准 ECMA(欧洲计算机厂商协会) TC32“通信、网络和系统互连”曾定义了开放系统应用层安全结构； TC36“IT安全”负责信息技术设备的安全标准。,银行及相关金融服务信息安全标准体系,16,信息安全标准化组织（续）,英国 BS 7799 医疗卫生信息系统安全 加拿大 计算机安全管理 日本 JIS 国家标准 JISC 工业协会标准 韩国 KISA负责 防火墙、IDS、PKI方面标准,银行及相关金融服务信息安全标准体系,17,信息安全标准化组织（续）,我国 共38个标准 4个产品标准 其他工业标准 SSL SET CDSA PGP PCT ,银行及相关金融服务信息安全

10、标准体系,18,2.信息安全基础标准,银行及相关金融服务信息安全标准体系,19,基于OSI七层协议的安全体系结构,银行及相关金融服务信息安全标准体系,20,五种安全服务,鉴别：提供对通信中的对等实体和数据来源的鉴别。 访问控制：提供保护以对抗开放系统互连可访问资源的非授权使用。可应用于对资源的各种不同类型的访问（例如，使用通信资源，读、写或删除信息资源，处理资源的操作），或应用于对某种资源的所有访问 数据机密性：对数据提供保护使之不被非授权地泄露 数据完整性：对付主动威胁。在一次连接上，连接开始时使用对某实体鉴别服务，并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元

11、的来源提供确证，为这些数据单元的完整性提供确证。 抗抵赖：可取有数据原发证明的抗抵赖、有交付证明的抗抵赖两种形式，或两者之一。,银行及相关金融服务信息安全标准体系,21,与网络各层相关的OSI安全服务,银行及相关金融服务信息安全标准体系,22,八种安全机制,加密：加密既能为数据提供机密性，也能为通信业务流信息提供机密性。 数字签名：确定两个过程：对数据单元签名和验证签过名的数据单元。 访问控制：为了决定和实施一个实体的访问权，访问控制机制可以使用该实体已鉴别的身份，或使用有关该实体的信息（例如它与一个已知的实体集的从属关系），或使用该实体的权力。 数据完整性：包括单个数据单元或字段的完整性以及

12、数据单元流或字段流的完整性。,银行及相关金融服务信息安全标准体系,23,安全机制,鉴别交换机制：可以提供对等实体鉴别。如果在鉴别实体时，这一机制得到否定的结果，就会导致连接的拒绝或终止，也可能使在安全审计跟踪中增加一个记录，或给安全管理中心一个报告。 通信业务填充机制：能用来提供各种不同级别的保护，对抗通信业务分析。 路由选择控制机制：路由能动态地或预定地选取，以便只使用物理上安全的子网络、中继站或链路。在检测到持续的操作攻击时，端系统可希望指示网络服务的提供者经不同的路由建立连接。 公证机制：有关在两个或多个实体之间通信的数据的性质，如它的完整性、原发、时间和目的地等能够借助公证机制而得到确

13、保。,银行及相关金融服务信息安全标准体系,24,OSI安全服务和安全机制之间的关系,银行及相关金融服务信息安全标准体系,25,TCP/IP协议,四层概念模型：应用层、传输层、网络层和网络接口层 IP层是TCP/IP模型的网络层（不考虑网络接口），提供数据在源和目的主机之间通过子网的路由功能,应用层,传输层,网络层,银行及相关金融服务信息安全标准体系,26,OSI参考模型与TCP/IP的对应关系,银行及相关金融服务信息安全标准体系,27,3.信息安全评测标准发展,1999年 GB 17859 计算机信息系统安全保护等级划分准则,1991年欧洲信息技术安全性评估准则 （ITSEC）,国际通用准则

14、1996年（CC1.0） 1998年（CC2.0）,1985年美国可信计算机系统评估准则（TCSEC）,1993年 加拿大可信计算机产品评估准则 （CTCPEC）,1993年美国联邦准则（FC 1.0）,1999年 国际标准 ISO/IEC 15408,1989年 英国 可信级别标准 （MEMO 3 DTI）,德国评估标准 （ZSEIC）,法国评估标准 （B-W-R BOOK）,2001年 国家标准 GB/T 18336 信息技术安全性评估准则,1993年美国NIST的MSFR,银行及相关金融服务信息安全标准体系,28,美国TCSEC,1970年由美国国防科学委员会提出。1985年公布。 主要

15、为军用标准。延用至民用。 安全级别从高到低分为A、B、C、D四级，级下再分小级。 彩虹系列 桔皮书：可信计算机系统评估准则 黄皮书：桔皮书的应用指南 红皮书：可信网络解释 紫皮书：可信数据库解释,银行及相关金融服务信息安全标准体系,29,美国TCSEC,银行及相关金融服务信息安全标准体系,30,主要依据之间的关系,安全政策：确定选择哪些控制措施， 可控性：提出安全机制以确定系统人员并跟踪其行动。 保证能力：给安全政策及可控性的实现提供保证。 文档：存在哪些文档。,银行及相关金融服务信息安全标准体系,31,各级别的特征,安全政策 C1 C2 B1 B2 B3 A1 自主访问控制 + + nc n

16、c + nc 客体重用 0 + nc nc nc nc 标签 0 0 + + nc nc 标签完整性 0 0 + nc nc nc 标签信息的输出 0 0 + nc nc nc 标签输出 0 0 + nc nc nc 强制访问控制 0 0 + + nc nc 主体敏感性标签 0 0 0 + nc nc 设计标签 0 0 0 + nc nc 可控性 鉴别 + + + nc nc nc 审计 0 + + + + nc 可信路径 0 0 0 + + nc,银行及相关金融服务信息安全标准体系,32,保证措施 C1 C2 B1 B2 B3 A1 系统体系 + + + + + nc 系统完整性 + nc

17、nc nc nc nc 系统测试 + + + + + + 设计说明和验证 0 0 + + + + 隐蔽信道分析 0 0 0 + + + 可信设备管理 0 0 0 + + nc 配置管理 0 0 0 + nc + 可信恢复 0 0 0 0 + nc 可信分发 0 0 0 0 0 + 文档 C1 C2 B1 B2 B3 A1 安全特性用户指南 + nc nc nc nc nc 可信设备手册 + + + + + nc 测试文档 + nc nc + nc + 设计文档 + nc + + + +,银行及相关金融服务信息安全标准体系,33,C1: 自主安全保护,本级的计算机信息系统可信计算基通过隔离用户与

18、数据，使用户具备自主安全保护的能力。 本级实施的是自主访问控制。即通过可信计算基定义系统中的用户和命名用户对命名客体的访问，并允许用户以自己的身份或用户组的身份指定并控制对客体的访问。这意味着系统用户或用户组可以通过可信计算基自主地定义对客体的访问权限。 从用户的角度来看，用户自主保护级的责任只有一个，即为用户提供身份鉴别。 可以包括穿透性测试,银行及相关金融服务信息安全标准体系,34,C2: 访问控制保护,与用户自主保护级相比，本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。 本级实施的是自主访问控制和客体的安

19、全重用 身份鉴别方面，比用户自主保护级增加两点：为用户提供唯一标识，使用户对自己的行为负责。为支持安全审计功能，具有将身份标识与用户所有可审计的行为相关联的能力。 安全审计方面，可信计算基能够创建、维护对其所保护客体的访问审计记录，,银行及相关金融服务信息安全标准体系,35,B1: 安全标签保护,提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述； 安全标签，具有准确地标记输出信息的能力； 本级的主要特征是可信计算基实施基于Bell LaPadula模型的强制访问控制。 分析和测试设计文档、源代码、客体代码 消除通过测试发现的任何错误。,银行及相关金融服务信息安全标准体系,

20、36,B2: 结构化保护,形式化安全策略模型 访问控制（自主的和强制的）扩展到所有主体和客体 隐蔽信道分析 可信计算基构造成为关键保护元素和非关键保护元素 通过提供可信路径来增强鉴别机制。 计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审 增强了配置管理控制。系统具有相当的抗渗透能力。 分开系统管理员和操作员的职能，提供可信实施管理,银行及相关金融服务信息安全标准体系,37,B3: 安全域保护,在可信计算基的构造方面，具有访问监控器（reference monitor） 计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码；

21、扩充审计机制，当发生与安全相关的事件时发出信号 提供系统恢复机制。 系统具有很高的抗渗透能力。,银行及相关金融服务信息安全标准体系,38,A1: 验证设计保护,功能上与B3级相同 要求形式化验证设计： 形式化模型 形式化高层设计 实现,银行及相关金融服务信息安全标准体系,39,TCSEC的缺陷,集中考虑数据机密性，而忽略了数据完整性、系统可用性等； 将安全功能和安全保证混在一起 安全功能规定得过为严格，不便于实际开发和测评,银行及相关金融服务信息安全标准体系,40,欧洲多国安全评价方法的综合产物，军用，政府用和商用。 以超越TCSEC为目的，将安全概念分为功能与功能评估两部分。 功能准则在测定

22、上分10级。15级对应于TCSEC的C1 到B3。610级加上了以下概念： F-IN：数据和程序的完整性 F-AV：系统可用性 F-DI：数据通信完整性 F-DC：数据通信保密性 F-DX 包括机密性和完整性的网络安全 评估准则分为6级： E1：测试 E2：配置控制和可控的分配 E3：能访问详细设计和源码 E4：详细的脆弱性分析 E5：设计与源码明显对应 E6：设计与源码在形式上一致。,欧洲ITSEC,银行及相关金融服务信息安全标准体系,41,与TCSEC的不同,安全被定义为机密性、完整性、可用性 功能和质量/保证分开 对产品和系统的评估都适用，提出评估对象（TOE）的概念 产品：能够被集成在

23、不同系统中的软件或硬件包； 系统：具有一定用途、处于给定操作环境的特殊安全装置,银行及相关金融服务信息安全标准体系,42,功能评估1预先定义的功能级,银行及相关金融服务信息安全标准体系,43,功能评估2按功能分类评估其声称的安全功能,标识和鉴别 访问控制 可控性 客体重用 审计 准确性 服务的有效性 数据交换,银行及相关金融服务信息安全标准体系,44,保证评估,实现的正确性 安全功能和机制的有效性： 1.考虑所有使用的安全功能的适用性， 2.考虑安全机制的强度，评估其抵挡直接攻击的能力 3.如果有可利用的安全脆弱性，则保证为E0,E0 E1 E2 E3 E4 E5 E6 不可信 高度可信,银行

24、及相关金融服务信息安全标准体系,45,加拿大CTCPEC,1989年公布，专为政府需求而设计 与ITSEC类似，将安全分为功能性需求和保证性需要两部分。 功能性要求分为四个大类： a 机密性 b 完整性 c 可用性 d 可控性 在每种安全需求下又分成很多小类，表示安全性上的差别，分级条数为05级。,早期评估准则（续）,银行及相关金融服务信息安全标准体系,46,美国联邦准则(FC),对TCSEC的升级1992年12月公布 引入了“保护轮廓（PP）”这一重要概念 每个轮廓都包括功能部分、开发保证部分和评测部分。 分级方式与TCSEC不同，吸取了ITSEC、CTCPEC中的优点。 供美国政府用、民用

25、和商用。,早期评估准则（续）,银行及相关金融服务信息安全标准体系,47,GB 17859-1999 计算机信息 系统安全等级划分准则,第一级 用户自主保护级 第二级 系统审计保护级 第三级 安全标记保护级 第四级 结构化保护级 第五级 访问验证保护级,银行及相关金融服务信息安全标准体系,48,4.通用准则（CC ）,国际标准化组织统一现有多种准则的努力结果； 1993年开始，1996年出V 1.0, 1998年出V 2.0，1999年6月正式成为国际标准，1999年12月ISO出版发行ISO/IEC 15408； 主要思想和框架取自ITSEC和FC； 充分突出“保护轮廓”，将评估过程分“功能”

26、和“保证”两部分； 是目前最全面的评价准则,银行及相关金融服务信息安全标准体系,49,通用准则（CC）（续）,国际上认同的表达IT安全的体系结构 一组规则集 一种评估方法，其评估结果国际互认 通用测试方法（CEM） 已有安全准则的总结和兼容 通用的表达方式，便于理解 灵活的架构 可以定义自己的要求扩展CC要求 准则今后发展的框架,银行及相关金融服务信息安全标准体系,50,评估上下文,银行及相关金融服务信息安全标准体系,51,CC的结构以及目标读者,银行及相关金融服务信息安全标准体系,52,本标准定义作为评估信息技术产品和系统安全特性的基础准则 不包括属于行政性管理安全措施的评估准则；不包括物理

27、安全方面（诸如电磁辐射控制）的评估准则；不包括密码算法固有质量评价准则,应用范围,银行及相关金融服务信息安全标准体系,53,关键概念,评估对象 TOE(Target of Evaluation) 保护轮廓PP (Protection Profile） 安全目标ST( Security Target） 功能(Function) 保证(Assurance) 组件(Component) 包(Package) 评估保证级EAL( Evaluation Assurance Level）,银行及相关金融服务信息安全标准体系,54,评估对象（TOE）,产品、系统、子系统,银行及相关金融服务信息安全标准体系,

28、55,保护轮 廓（PP）,表达一类产品或系统的用户需求 组合安全功能要求和安全保证要求 技术与需求之间的内在完备性 提高安全保护的针对性、有效性 安全标准 有助于以后的兼容性 同TCSEC级类似,银行及相关金融服务信息安全标准体系,56,PP的内容,银行及相关金融服务信息安全标准体系,57,安全目标（ST）,IT安全目的和要求 要求的具体实现 实用方案 适用于产品和系统 与ITSEC ST 类似,银行及相关金融服务信息安全标准体系,58,ST的内容,银行及相关金融服务信息安全标准体系,59,功能/保证结构,类（如用户数据保护FDP） 关注共同的安全焦点的一组族，覆盖不同的安全目的范围 子类（如

29、访问控制FDP_ACC） 共享安全目的的一组组件，侧重点和严格性不同 组件（如子集访问控制FDP_ACC.1) 包含在PP/ST/包中的最小可选安全要求集,银行及相关金融服务信息安全标准体系,60,组件,CC将传统的安全要求分成不能再分的构件块 用户/开发者可以组织这些要求 到PP中 到ST中 组件可以进一步细化,银行及相关金融服务信息安全标准体系,61,举例：类子类组件,FIA 标识和鉴别,FIA_AFL 鉴别失败,FIA_ATD 用户属性定义,FIA_SOS 秘密的规范,类子类组件,FIA_AFL.1鉴别失败处理,FIA_ATD.1用户属性定义,FIA_SOS.1 秘密的验证,FIA_SO

30、S.2 秘密的TSF生成,银行及相关金融服务信息安全标准体系,62,安全要求的结构,类（Class）,子类（Family）,子类（Family）,组件,组件,组件,组件,功能和保证,PP/ST/包,银行及相关金融服务信息安全标准体系,63,功能,规范IT产品和系统的安全行为，应做的事,银行及相关金融服务信息安全标准体系,64,安全功能要求类,11类 135个组件,银行及相关金融服务信息安全标准体系,65,保 证,对功能产生信心的方法,银行及相关金融服务信息安全标准体系,66,安全保证要求,银行及相关金融服务信息安全标准体系,67,TOE安全保证类,银行及相关金融服务信息安全标准体系,68,包,

31、IT安全目的和要求 功能或保证要求（如EAL） 适用于产品和系统 与ITSEC E-级类似,银行及相关金融服务信息安全标准体系,69,评估保证级（EAL）,预定义的保证包 公认的广泛适用的一组保证要求,CC 第一部分,概念和模型,银行及相关金融服务信息安全标准体系,71,安全概念和关系,所有者,威胁主体,资产,措施,弱点,风险,威胁,拥有,引起,到,希望滥用,最小化,增加,到,利用,导致,减少,可能具有,可能被减少,利用,可能意识到,银行及相关金融服务信息安全标准体系,72,评估环境,评估准则,评估方法,最终评估结果,评估方案,评估,批准/ 证明,证书/ 注册,银行及相关金融服务信息安全标准体

32、系,73,TOE开发模型,银行及相关金融服务信息安全标准体系,74,TOE评估过程,安全需求 （PP、ST),开发,TOE,TOE,和评估,评估结果,评估准则,评估方案,评估方法,操作,TOE,反馈,评估,TOE,银行及相关金融服务信息安全标准体系,75,安全要求或规范的产生方式,CC 第二部分,安全功能要求,银行及相关金融服务信息安全标准体系,77,安全功能要求的表达形式,银行及相关金融服务信息安全标准体系,78,安全功能要求,银行及相关金融服务信息安全标准体系,79,安全功能要求组件标识,银行及相关金融服务信息安全标准体系,80,FAU类:安全审计,1、安全审计自动响应（FAU-ARP）

33、2、安全审计数据产生（FAU-GEN） 3、安全审计分析（FAU-SAA） 4、安全审计查阅（FAU-SAR） 5、安全审计事件选择（FAU-SEL） 6、安全审计数据存贮（FAU-STG）,银行及相关金融服务信息安全标准体系,81,FCO类：通信,1、原发抗抵赖（FCO-NRO） 2、接收抗抵赖（FCO-NRR）,银行及相关金融服务信息安全标准体系,82,FCS类：密码支持,1、密钥管理（FCS-CKM） 2、密码运算（FCS-COP）,银行及相关金融服务信息安全标准体系,83,FDP类：保护用户数据,1、访问控制策略（FDP-ACC） 2、访问控制功能（FDP-ACF） 3、数据鉴别（FD

34、P-DAU） 4、输出到TSF控制范围之外（FDP-ETC） 5、信息流控制策略（FDP-IFC） 6、信息流控制功能（FDP-ICF） 7、从TSF控制范围之外输入（FDP-ITC） 8、TOE内部传输（FDP-ITT） 9、剩余信息保护（FDP-RIP） 10、反转（FDP-ROL） 11、存储数据的完整性（FDP-SDI） 12、TSF间用户数据机密性的传输保护（FDP-UCT） 13、TSF间用户数据完整性的传输保护（FDP-UIT）,银行及相关金融服务信息安全标准体系,84,FIA类：标识和鉴别,1、鉴别失败（FIA-AFL） 2、用户属性定义（FIA-ATD） 3、秘密的规范（FI

35、A-SOS） 4、用户鉴别（FIA-UAU） 5、用户标识（FIA-UID） 6、用户-主体绑定（FIA-USB）,银行及相关金融服务信息安全标准体系,85,FMT类：安全管理,1、TSF中功能的管理（FMT-MOF） 2、安全属性的管理（FMT-MSA） 3、TSF数据的管理（FMT-MTD） 4、取消（FMT-REV） 5、安全属性到期（FMT-SAE） 6、安全管理角色（FMT-SMR）,银行及相关金融服务信息安全标准体系,86,FPR类：秘密,1、匿名（FPR-ANO） 2、假签名（FPR-PSE） 3、非关联性（FPR-UNL） 4、无观察性（FPR-UNO）,银行及相关金融服务信息

36、安全标准体系,87,FPT类：TOE安全功能的保护,1、根本的抽象机测试（FPT-AMT） 2、保护失败（FPT-FLS） 3、TSF输出数据的有效性（FPT-ITA） 4、TSF输出数据的机密性（FPT-ITC） 5、输出TSF数据的完整性（FPT-ITI） 6、TOE内TSF 数据交换（FPT-ITT） 7、TSF物理保护（FPT-PHP） 8、信任恢复（FPT-RCV） 9、重复检测（FPT-RPL） 10、参考调解器（FPT-RVM） 11、域分离（FPT-SEP） 12、状态同步协议（FPT-SSP） 13、时间标志（FPT-STM） 14、TSF内部的TSF数据的一致性（FPT-T

37、DC） 15、内部TOE TSF数据复制的一致性（FPT-TRC） 16、TSF自测试（FPT-TST）,银行及相关金融服务信息安全标准体系,88,FRU类：资源利用,1、失效容限（FRU-FLT） 2、工作优先级（FRU-PRS） 3、资源分配（FRU-RSA）,银行及相关金融服务信息安全标准体系,89,FTA类：TOE访问,1、可选属性范围限定（FTA-LSA） 2、多重并发会话限定（FTA-MCS） 3、会话锁定（FTA-SSL） 4、TOE访问方法（FTA-TAB） 5、TOE访问历史（FTA-TAH） 6、TOE会话建立（FTA-TSE）,银行及相关金融服务信息安全标准体系,90,F

38、TP类：可信路径/通道,1、TSF间可信信道（FTP-ITC） 2、可信路径（FTP-TRP）,银行及相关金融服务信息安全标准体系,91,安全功能要求应用, 用于构成PP中IT安全要求的TOE安 全功能要求, 用于构成ST中IT安全要求的TOE安 全功能要求,银行及相关金融服务信息安全标准体系,92,安全功能要求-1,标识和鉴别,银行及相关金融服务信息安全标准体系,93,安全功能要求-2,访问控制,银行及相关金融服务信息安全标准体系,94,安全功能要求-3,安全审计,银行及相关金融服务信息安全标准体系,95,安全功能要求-4,完整性,银行及相关金融服务信息安全标准体系,96,安全功能要求-5,

39、私密,银行及相关金融服务信息安全标准体系,97,安全功能要求-6,适用性,银行及相关金融服务信息安全标准体系,98,安全功能要求-7,数据交换,CC 第三部分,安全保证要求,银行及相关金融服务信息安全标准体系,100,保证要求细分类,银行及相关金融服务信息安全标准体系,101,评估 保 证级（EAL）,EAL1功能测试 EAL2结构测试 EAL3系统地测试和检查 EAL4系统地设计、测试和复查 EAL5半形式化设计和测试 EAL6半形式化验证的设计和测试 EAL7形式化验证的设计和测试,银行及相关金融服务信息安全标准体系,102,评估保证级别（EAL）,银行及相关金融服务信息安全标准体系,10

40、3,EAL1功能测试,EAL1适用于安全的威胁并不严重的场合 TOE的功能与其文档在形式上是一致的，并且对已标识的威胁提供了有效的保护。 利用功能和接口的规范以及指导性文档，对安全功能进行分析，进行独立性测试 保证组件： ACM_CAP.1 版本号 ADO_IGS.1 安装、生成和启动程序 ADV_FSP.1 非形式化功能规范 ADV_RCR.1非形式化对应性论证 AGD_ADM.1 管理员指南 AGD_USR.1用户指南 ATE_IND.1 一致性,银行及相关金融服务信息安全标准体系,104,安全保证级别1(EAL1),银行及相关金融服务信息安全标准体系,105,EAL2结构测试,EAL2适

41、用于在缺乏现成可用的完整的开发记录时，开发者或使用者需要一种低到中等级别的独立保证的安全性。 增加： ACM_CAP.2 配置项 ADO_DEL.1 交付程序 ADV_HLD.1 描述性高层设计 * ATE_COV.1 范围证据 ATE_FUN.1 功能测试 ATE_IND.2 独立性测试抽样 AVA_SOF.1 TOE安全功能强度评估* AVA_VLA.1开发者脆弱性分析*,银行及相关金融服务信息安全标准体系,106,安全保证级别2(EAL2),银行及相关金融服务信息安全标准体系,107,EAL3系统地测试和检查,EAL3适用于开发者或使用者需要一个中等级别的安全性，和不需要再次进行真正的工

42、程实践的情况下，对TOE及其开发过程进行彻底检查。 增加组件： ACM_CAP.3 授权控制 ACM_SCP.1 TOE 配置管理（CM）范围 ADV_HLD.2 安全加强的高层设计* ALC_DVS.1 安全措施标识* ATE_COV.2 范围分析 ATE_DPT.1 测试：高层设计 AVA_MSU.1 指南审查,银行及相关金融服务信息安全标准体系,108,安全保证级别3(EAL3),银行及相关金融服务信息安全标准体系,109,EAL4系统地设计、测试和复查,EAL4适用于：开发者或使用者对传统的商品化的TOE需要一个中等到高等级别的安全性，并准备负担额外的安全专用工程费用。 增加组件： A

43、CM_AUT.1 部分配置管理（CM）自动化 ACM_CAP.4 产生支持和接受程序 ACM_SCP.2 跟踪配置管理（CM）范围问题 ADO_DEL.2 修改检测 ADV_FSP.2 完全定义的外部接口* ADV_IMP.1 TSF实现的子集* ADV_LLD.1 描述性低层设计* ALC_LCD.1 开发者定义的生命周期模型 ALC_TAT.1 明确定义的开发工具 AVA_MSU.2 分析确认 AVA_VLA.2 独立脆弱性分析*(穿透性测试）,银行及相关金融服务信息安全标准体系,110,安全保证级别4(EAL4),银行及相关金融服务信息安全标准体系,111,EAL5半形式化设计和测试,T

44、OE安全策略的形式化模型，功能规范和高层设计的半形式化表示，及它们之间对应性的半形式化论证。还需模块化的TOE设计。 这种分析也包括对开发者的隐蔽信道分析的确认 增加组件： ACM_SCP.3 开发工具配置管理（CM）范围 ADV_FSP.3 半形式化功能规范* ADV_HLD.3 半形式化高层设计* ADV_IMP.2 TSF实现 ADV_INT.1 模块化* ADV_RCR.2半形式化对应性论证* ADV_SPM.3形式化TOE安全策略模型 ALC_LCD.2 标准化生命周期模型* ALC_TAT.2 遵从实现标准 ATE_DPT.2 测试：低层设计* AVA_CCA.1 隐蔽信道分析*

45、AVA_VLA.3 中级抵抗力,银行及相关金融服务信息安全标准体系,112,安全保证级别5(EAL5),银行及相关金融服务信息安全标准体系,113,EAL6半形式化验证的设计和测试,低层设计的半形式化表示 结构化的开发流程 增加组件： ACM_AUT.2 完全配置管理（CM）自动化 ACM_CAP.5 高级支持 ADV_HLD.4 半形式化高层解释 ADV_IMP.3 TSF的结构化实现 ADV_INT.2 复杂性降低 ADV_LLD.2半形式化低层设计 ALC_DVS.2 安全措施的充分性 ALC_TAT.3 遵从实现标准所有部分 ATE_COV.3 范围的严格分析 ATE_FUN.2 顺序

46、的功能测试 AVA_CCA.2系统化隐蔽信道分析 AVA_MSU.3 对非安全状态的分析和测试 AVA_VLA.4 高级抵抗力,银行及相关金融服务信息安全标准体系,114,安全保证级别6(EAL6),银行及相关金融服务信息安全标准体系,115,EAL7形式化验证的设计和测试,EAL7的实际应用目前只局限于一些TOE，这些TOE非常关注能经受广泛地形式化分析的安全功能功能规范和高层设计的形式化表示 增加组件： ADO_DEL.3 修改预防 ADV_FSP.4 形式化功能规范 ADV_HLD.5 形式化高层设计 ADV_INT.3 复杂性最小化 ADV_RCR.3 形式化对应性论证 ALC_LCD

47、.3 可测量的生命周期模型 ATE_DPT.3 测试：实现表示 ATE_IND.3 独立性测试全部,银行及相关金融服务信息安全标准体系,116,安全保证级别7(EAL7),银行及相关金融服务信息安全标准体系,117,评估保证级（EAL）,银行及相关金融服务信息安全标准体系,118,形式化,有三种类型的规范风格：非形式化、半形式化和形式化。功能规范、高层设计、低层设计和TSP模型都将使用以上一种或多种规范风格来书写。 非形式化规范就是象散文一样用自然语言来书写。 半形式化规范就是用一种受限制的句法语言来书写，并且通常伴随着支持性的解释(非形式化)语句。这里的受限制句法语言可以是一种带有受限制句子

48、结构和具有特殊意义的关键字的自然语言，也可以是图表式的(如数据流图、状态转换图、实体关系图、数据结构图、流程或程序结构图)。 形式化规范就是用一套基于明确定义的数学概念的符号来书写，并且通常伴随着支持性的解释(非形式化)语句。,银行及相关金融服务信息安全标准体系,119,评测级别对应,银行及相关金融服务信息安全标准体系,120,保证,功能,EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7,E0 E1 E2 E3 E4 E5 E6,D级,C1级,C2级,B1级,B2级,B3级,A1级,F-C1级,F-C2级,F-B1级,F-B2级,F-B3级,HP-UNIX(VV),Win

49、nt 3.5,Win nt 4.0 Win 2000,银行及相关金融服务信息安全标准体系,121,各部分关系,银行及相关金融服务信息安全标准体系,122,4. PP/ST产生指南,银行及相关金融服务信息安全标准体系,123,为既定的一系列安全对象提出功能和保证要求的完备集合 可复用集合 - 对各种应用的抽象 希望和要求的陈述,PP定义,银行及相关金融服务信息安全标准体系,124,什么是PP？,用户要求陈述 用户希望达到什么程度 主要针对: 业务/商业拥有者 对用户、开发者、评估者和审计者都有用 系统设计文档 将几级要求细化成特定的需求 一致性 需求符合用户的要求,银行及相关金融服务信息安全标准

50、体系,125,谁用PP？,PP是用户要求的根本陈述 理想的“使用”团体应当拥有PP并 驱动PP的开发 从开发者、评估者、审计者和校准者那里得到输入 用户理解任务/商业并能陈述 希望怎样的评估对象（TOE） 不希望怎样的TOE 其他 卖主难于陈述产品不做什么 安全技术专家常常不能完全理解用户要求,银行及相关金融服务信息安全标准体系,126,PP要点,银行及相关金融服务信息安全标准体系,127,范围：PP的适用范围 引用标准：与TOE实现相关的其他信息技术标准 术语定义和记法约定：一些便于理解PP的术语和PP中相关记法的约定 TOE描述：TOE的一般信息 TOE类型 一般TOE功能 TOE界限 T

51、OE操作环境 有关TOE的主要假设,PP要点（续）,银行及相关金融服务信息安全标准体系,128,TOE安全环境：定义TOE “安全需求”的特征和范围,假设：如果环境满足该假定，TOE被认为是安全的,威胁：包括TOE及其环境需要保护的特定资产所面临的与TOE安全操作相关的威胁,组织安全策略：TOE必须遵守的任何组织安全策略和规则,PP要点（续）,银行及相关金融服务信息安全标准体系,129,有关环境的假设,对资产的威胁,组织安全策略,安全需求,定义,TOE安全环境,银行及相关金融服务信息安全标准体系,130,环境安全目的,TOE安全目的,安全目的：意在对抗确定的威胁，满足确定的组织安全策略和假定的

52、陈述,PP要点（续）,在确定安全目的时，需要确保每个已知的威胁，至少有一个安全目的对抗；每个已知的组织安全策略，至少有一个安全目的来满足。 在对抗威胁方面主要有预防、检测和纠正三种目的。,银行及相关金融服务信息安全标准体系,131,威胁,组织安全策略,假设,安全需求,TOE,IT环境,非IT安全要求,TOE 目的,环境目的,安全目的,IT安全要求,安全目的,桥梁作用,银行及相关金融服务信息安全标准体系,132,IT安全要求,TOE安全要求,IT环境安全要求,TOE安全功能要求,TOE安全保证要求,PP要点（续）,银行及相关金融服务信息安全标准体系,133,安全功能要求,安全保证要求,IT环境安

53、全要求,TOE 安全目的,IT环境安全目的,ISO/IEC 15408 第二部分,ISO/IEC 15408 第三部分,IT安全要求,赋值、反复、选择和细化,银行及相关金融服务信息安全标准体系,134,PP要点（续）,PP应用注解：对开发、评估或使用TOE是相关的或有用的一些附加信息 基本原理：对PP进行评估的依据，证明PP是一个完整的、紧密结合的要求集合，满足该PP的TOE将在安全环境内提供一组有效的IT安全对策 安全目的基本原理 安全要求基本原理,银行及相关金融服务信息安全标准体系,135,威胁,组织安全策略,假设,安全需求,IT安全要求,TOE 目的,环境的目的,安全目的,相互支持,支持

54、,恰好满足,恰好满足,功能强度声明,一致,基本原理,银行及相关金融服务信息安全标准体系,136,威胁举例,T.REPLAY 重放,当截获了有效用户的识别和鉴别数据后，未授权用户可能在将来使用这些鉴别数据，以访问TOE提供的功能。,银行及相关金融服务信息安全标准体系,137,安全目的举例,O.SINUSE 单用途,TOE必须防止用户重复使用鉴别数据，尝试通过互连网络在TOE上进行鉴别。,O.SECFUN 安全功能,TOE必须提供一种功能使授权管理员能够使用TOE的安全功能，并且确保只有授权管理员才能访问该功能。,银行及相关金融服务信息安全标准体系,138,O.SINUSE,FIA_ATD.1 用

55、户属性定义：允许为每个用户单独保存其用户安全属性。 FIA_UAU.1 鉴别定时：允许用户在身份被鉴别前，实施一定的动作。 FIA_UAU.4 单用户鉴别机制：需要操作单用户鉴别数据的鉴别机制。 FMT_MSA.3 静态属性初始化：确保安全属性的默认值是允许的或限制某行为的。,TOE安全功能要求举例,银行及相关金融服务信息安全标准体系,139,TOE安全功能要求举例,FMT_MOF.1 安全功能行为的管理：允许授权用户管理TSF中使用规则或有可管理的指定条件的功能行为。 FAU_STG.1 受保护的审计踪迹存储：放在审计踪迹中的数据将受到保护，以避免未授权的删除或修改。 FAU_STG.4 防

56、止审计数据丢失：规定当审计踪迹溢满时的行动。,O.SECFUN,银行及相关金融服务信息安全标准体系,140,PP示例,CAPP代替TCSEC的C2级要求 LSPP代替TCSEC的B1级要求 “包过滤防火墙安全技术要求”（GB 18019-99） “应用级防火墙安全技术要求”（GB18020-99） “路由器安全技术要求”（GB18018-99） “电信智能卡安全技术要求” “网上证券委托系统安全技术要求”,银行及相关金融服务信息安全标准体系,141,国家信息化,领域信息化 区域信息化 社区信息化 企业信息化 家庭信息化,国家信息安全保障体系,安全需求,基于安全利益的威胁和风险分析 利益分类分级

57、及其网络化映射 威胁分类分级 风险分析与评估方式方法,国家以国家意志和国家行为的方式，在技术、管理和人员方面所形成的用于保护其安全利益的资源和能力，这种资源和能力体现为特定形态和过程的技术结构、社会结构和人才结构。,技术,管理,人员,基础性技术,专用产品,基础设施,结构化规则,政府管理,用户管理,服务商管理,司法行政人员,用户管理人员,研发服务人员,教学研究人员,标准化管理,政策法规,资质,能力,基础理论,技术标准,应急救援,防护类产品,管理类产品,核心技术,平台技术,教育基础研究,教育培训,要点：安全利益和风险分析评估、基础性技术、专用产品、基础设施、结构化规则、政府管理、服务商管理、用户管

58、理、教育基础研究、教育培训,银行及相关金融服务信息安全标准体系,142,电子政务信息系统安全标准,银行及相关金融服务信息安全标准体系,143,IATF,银行及相关金融服务信息安全标准体系,144,纵深防御战略的内涵：,保卫网络和基础设施 保卫边界 保卫计算环境 为基础设施提供支持,银行及相关金融服务信息安全标准体系,145,保卫边界：,一个区域边界之内通常包含多个局域网以及各种计算资源组件，比如用户平台、网络、应用程序、通信服务器、交换机等。边界环境是比较复杂的，比如它可以包含很多物理上分离的系统。 绝大多数边界环境都拥有通向其它网络的外部连接。它与所连接的网络可以在密级等方面有所不同。 对流

59、入、流出边界的数据流进行有效的控制和监督。 有效地控制措施包括防火墙、门卫系统、VPN、标识和鉴别/访问控制等。 有效的监督措施包括基于网络的如今检测系统（IDS）、脆弱性扫描器、局域网上的病毒检测器等。 这些机制可以单独使用，也可以结合使用，从而对边界内的各类系统提供保护。,银行及相关金融服务信息安全标准体系,146,保卫网络和基础设施：,*主干网的可用性 讨论了数据通信网络以及对网络管理的保护 *无线网络安全框架 讨论了手机、呼机、卫星系统和无线局域网的安全问题 *系统互联和虚拟专用网 讨论了在主干网上同样敏感度级别的系统之间安全五连的问题 *保卫网络和基础设施的总的IA战略是： 使用经过