信息系统安全 第八章 信息系统安全评价标准和等级保护

信息系统安全 第八章 信息系统安全评价标准和等级保护

信息安全评价标准的发展

1983 年美国国防部发布《可信计算机系统评价标准》(TCSEC),又称“橘皮书”,是第一个广泛使用的安全评估标准,计算机系统安全评估领域的第一个正式标准。

欧共体于 1991 年推出《信息技术安全评估标准》(ITSEC),又称“欧洲白皮书”,首次提出了信息安全的保密性、完整性、可用性的概念。

加拿大于 1993 年公布《加拿大计算机产品评估准则》(CTCPEC)第三版。

美国政府于 1993 年公布了联邦准则的 1.0 草案,简称 FC,首次引入了“保护轮廓 (PP)”的概念。

在 1996 年,综合了前述方案的《信息技术安全通用评估准则》(CC)1.0 出版。1998 年发行了 2.0 版,1999 年发布了 2.1 版,被 ISO 批准为国际标准。

信息系统评估标准发展历史
信息系统评估标准发展历史

可信计算机系统评价标准

TCSEC 的主要概念

  • 安全性
    • 安全策略:实现软件系统安全指定的规定和细则
    • 策略模型:实施安全策略的模型
    • 安全服务:根据安全策略和策略模型提供的服务
    • 安全机制:实现安全服务的方法
  • 可信计算基(Trusted Computing Base, TCB)
    • 包含所有与系统安全有关的功能
    • 根据访问控制策略处理主体集合对客体集合的访问
  • 主体(Subject)
  • 客体(Object)
  • 自主访问控制(Discretionary Access Control, DAC)
    • 资源所有者可以自主确定其他用户对其资源的访问权
    • 主体可动态地转让和回收其访问权
  • 强制访问权限(Mandatory Access Control, MAC)
    • 客体访问权限由系统管理者强制规定
  • 审计(Audit)
    • 记录与系统安全相关的事件
  • 隐蔽信道
    • 一个进程利用违反系统安全的方式传输信息
    • 存储信道:利用存储介质
    • 时钟信道:利用与时钟有关的操作
  • 客体重用
    • 对空闲存储客体空间分配主体时,撤销该客体所含信息的所有授权

TCSEC 的安全等级

TCSEC 将可信计算机系统的评价规则分为 4 类:

  • 安全策略
    • 包括:自主访问控制、客体重用、标记、标记完整性、标记信息的扩散、主体敏感度标记、设备标记、强制访问控制等
  • 可记账性
    • 标识与认证、可信路径、审计等
  • 安全保证措施
    • 系统体系结构、系统完整性、隐蔽信道分析、科新设施管理、可信恢复、生命周期保证、安全测试、设计规范和验证、配置管理、可信分配等
  • 文档
    • 安全特性用户指南、可信设施手册、测试文档、设计文档等

根据计算机系统对上述各项指标的支持情况及安全性相近的特点,TCSEC 将系统划分为 4 类 7 个等级:

TCSEC 安全级别划分
TCSEC 安全级别划分
  • D 最低保护类
    • 在安全性方面没有专门的机制保障
    • 如 DOS 操作系统
  • C 自主保护类
    • 客体可由主体定义访问权限
    • C1:初级的自主安全保护,可对用户按组授权,用户与数据隔离
    • C2:以用户为单位的 DAC 机制,保护粒度更细,引入审计、客体重用机制
      • 如 Linux、Unix、Netware、MS WinNT
  • B 强制保护类
    • 每个客体和主体都有自己的安全标签,系统据此赋予权限
    • B1:增加了标记、MAC、审计、可记账性和保障,真正意义上的安全产品
      • OSF1
    • B2:最小特权原则,形式化的安全策略模型,可验证的顶级设计,隐蔽信道分析
    • B3:满足访问监控器的要求,提供系统恢复过程,增加了安全策略
  • A 验证保护类
    • A1:可验证性设计保护级,增加了严格的设计、控制、验证过程

TCSEC 的不足

最主要:仅对操作系统进行评估、只考虑了保密性需求。

  • 仅针对无漏洞和非侵入系统指定的分级标准
  • 针对互联网络和商用网络很少有成功的事例支持
  • 主要用于军事和政府信息系统
  • 缺少对保障(保证)的讨论
  • 安全策略是固定的,缺少安全威胁的针对性
  • 脱离了 IT 和非 IT 环境的讨论,不与安全环境相结合
  • 评测一个安全操作系统花费时间长
  • 不可裁剪,必须满足全部功能要求

信息技术安全评估标准

ITSEC 体现了信息安全理论从“计算机安全”到“信息安全”的安全理念变迁。

将安全需求分为功能保证两个部分。

  • 功能需求:为满足用户安全需求采取的一系列技术控制措施,如访问控制、审计、鉴别等
    • 安全功能等级(F1~F10),F1~F5 与 TCSEC 的 C1~B3 相对应
  • 保证需求:确保安全功能正确及有效的措施
    • 安全保证等级(E0~E6)

相比 TCSEC,ITSEC 时可裁剪的,不必为了获得合适的安全级别加入一些代价高昂却无必要的安全功能。

通用评估标准

CCRA,信息安全领域 CC 认证相互承认协定。

CC 的组成

三个部分,第一部分“简介和一般模型”、第二部分“安全功能要求”、第三部分“安全保证要求”。

CC 体系结构
CC 体系结构

第一部分介绍了 CC 中的有关术语、基本概念和一般模型以及评估的一些框架。

  • 评估对象(Target of Evaluation, TOE)
  • 功能需求(Function Requirements)
  • 保证需求(Assurance Requirements)
  • 保护轮廓(Protection Profile, PP)
    • 用户对 TOE 的安全需求,需求文档
  • 安全目标(Security Target, ST)
    • 产品和系统的实现方案
  • TOE 安全策略(TOE Security Policy, TSP)
  • TOE 安全功能(TOE Security Functions, TSF)
  • 组件(Component)
  • 包(Package)
PP、ST 和 TOE 的关系
PP、ST 和 TOE 的关系

第二部分按“类-族-组件”的方式提出安全要求(安全功能要求和安全保证要求)。这些安全要求有类构成,类由族构成,族由组件构成。共 11 个类,66 个族,135 个组件。

第三部分定义了评估保证级别,列出了一系列保证组件、族、类,还定义了 PP 和 ST 的评估准则。

CC 的总体结构
CC 的总体结构

需求定义的用法

类和族体现的是分类方法,具体安全需求由组件体现。

CC 定义了三种类型的用于描述产品安全需求的组织结构,及“安全组件包“、”保护轮廓定义书(PP)“和"安全对象定义书(PP)”。

  • 安全组件包
    • 把多个安全需求组件组合在一起
  • 保护轮廓定义书(PP)
    • 安全需求说明书
  • 安全对象定义书(ST)
    • 安全需求与概要设计说明书
    • 引用某个或多个 PP 来定义,还包括产品概要说明

评估保证级别(EAL)

评估保证级别(Evaluation Assurance Level, EAL),是安全可信度的尺度,定义了七个递增的评估保证等级(EAL1~EAL7)。

评估保证级(EAL) 名称 TCSEC
EAL1 功能化测试 D
EAL2 结构化测试 C1
EAL3 系统地测试和检查 C2
EAL4 系统地设计测试和检查 B1
EAL5 半形式化设计和检查 B2
EAL6 半形式化验证、设计和测试 B3
EAL7 形式化验证、设计和测试 A1

利用 CC 标准评估产品的一般过程

首先,根据产品类型和用户安全需求,使用 CC 编制保护轮廓。保护轮廓就是用户对某一产品安全需求的标准化、结构化和规范化的描述文件(PP)。

然后,产品产商根据保护轮廓,标识对应的安全目标(ST)以描述具体产品对用户的需求。也就是保护轮廓满足情况的描述。

CC 测试实验室使用 CC 的标准评估方法检查产商提供的安全目标,得出测试报告。

最后,CC 耳朵认可机构对测试机构的测试报告进行确认,发放认证报告。

CC 的特点和优点

特点:

  • 结构的开放性、表达方式的通用性、结构和表达方式的完备性和实用性
  • 定义了保护轮廓安全目标
  • 将评估标准分为功能保证两部分
  • 基于风险管理理论,对安全模型、安全概念和安全功能进行了全面系统描绘,强化了保证评估

优点:

  • 通用的表达方式,便于理解
  • 是目前最全面的评价准则
  • 一种评估方法,其评估结果国际互认

CC 的适用人群

  • 信息系统用户,表达信息保护需要
  • 系统安全工程师,确定系统安全需求
  • 评估者,度量产品的可信任程度

CC 中不包含什么

  • 不定义具体的评估方法
    • 符合 CC 的评估方法可以有多个
  • 不包括管理上的控制要求
  • 不包括物理安全方面的控制要求
  • 不定义衡量密码算法和密码模块的准则
  • 不包括相互认证协定
    • CCRA 不是 CC 的一部分
  • 不规定如何使用评估结果

我国的信息系统安全评估标准

《计算机信息系统安全保护等级划分准则》将信息系统划分为 5 个等级,自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。

  • 用户自主保护级别
    • 隔离用户和数据
    • 考核指标:自主访问控制、身份鉴别、数据完整性
  • 系统审计保护级
    • 粒度更细
    • 考核指标:自主访问控制、身份鉴别、客体重用、审计、数据完整性
  • 安全标记保护级
    • 增加了有关安全策略模型、数据标记以及强制访问控制
    • 考核指标:DAC、MAC、标记、身份鉴别、客体重用、审计、数据完整性
  • 结构化保护级
    • 将第三级系统的 DAC 和 MAC 扩展到所有主体和客体,增加了隐蔽信道
    • 考核指标:DAC、MAC、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径
  • 访问验证保护级
    • 满足访问监控器需求
    • 考核指标:DAC、MAC、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复

信息安全等级保护

核心观念:保护重点、适度安全。

目标:确保重点、照顾一般、适度保护、合理共享。

信息系统的安全保护等级由两个要素决定:等级保护对象受到破坏时所侵害的客体和客体造成侵害的程度。

  • 受侵害的客体
    • 公民、法人和其他组织的合法权益
    • 社会秩序、公共利益
    • 国家安全
  • 对客体侵害程度
    • 一般损害
    • 严重损害
    • 特别严重损害

《管理办法》将信息系统等级保护分为 5 级,自主保护级、指导保护级、监督保护级、强制保护级、专控保护级,第三级以上为国家重要信息系统。

信息系统等级保护划分
信息系统等级保护划分

等级保护工作的环节主要包括信息系统定级、备案、安全建设整改、等级测评、监督检查。

信息保障环节:等级保护、风险评估、应急处理、灾难恢复。

Comments

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×