《《網(wǎng)絡(luò)與信息安全》PPT課件.ppt》由會員分享，可在線閱讀，更多相關(guān)《《網(wǎng)絡(luò)與信息安全》PPT課件.ppt（148頁珍藏版）》請在裝配圖網(wǎng)上搜索。

網(wǎng)絡(luò)與信息安全第十七講計算機(jī)信息系統(tǒng)安全評估標(biāo)準(zhǔn)介紹 2 標(biāo)準(zhǔn)介紹 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程可信計算機(jī)系統(tǒng)評估準(zhǔn)則 TCSEC 可信網(wǎng)絡(luò)解釋 TNI 通用準(zhǔn)則CC 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 信息系統(tǒng)安全評估方法探討 3 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 信息技術(shù)安全評估是對一個構(gòu)件 產(chǎn)品 子系統(tǒng)或系統(tǒng)的安全屬性進(jìn)行的技術(shù)評價 通過評估判斷該構(gòu)件 產(chǎn)品 子系統(tǒng)或系統(tǒng)是否滿足一組特定的要求 信息技術(shù)安全評估的另一層含義是在一定的安全策略 安全功能需求及目標(biāo)保證級別下獲得相應(yīng)保證的過程 產(chǎn)品安全評估信息系統(tǒng)安全評估信息系統(tǒng)安全評估 或簡稱為系統(tǒng)評估 是在具體的操作環(huán)境與任務(wù)下對一個系統(tǒng)的安全保護(hù)能力進(jìn)行的評估 4 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 20世紀(jì)60年代后期 1967年美國國防部 DOD 成立了一個研究組 針對當(dāng)時計算機(jī)使用環(huán)境中的安全策略進(jìn)行研究 其研究結(jié)果是 DefenseScienceBoardreport 70年代的后期DOD對當(dāng)時流行的操作系統(tǒng)KSOS PSOS KVM進(jìn)行了安全方面的研究 5 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 80年代后 美國國防部發(fā)布的 可信計算機(jī)系統(tǒng)評估準(zhǔn)則 TCSEC 即桔皮書 后來DOD又發(fā)布了可信數(shù)據(jù)庫解釋 TDI 可信網(wǎng)絡(luò)解釋 TNI 等一系列相關(guān)的說明和指南90年代初 英 法 德 荷等四國針對TCSEC準(zhǔn)則的局限性 提出了包含保密性 完整性 可用性等概念的 信息技術(shù)安全評估準(zhǔn)則 ITSEC 定義了從E0級到E6級的七個安全等級 6 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 加拿大1988年開始制訂 TheCanadianTrustedComputerProductEvaluationCriteria CTCPEC 1993年 美國對TCSEC作了補(bǔ)充和修改 制定了 組合的聯(lián)邦標(biāo)準(zhǔn) 簡稱FC 國際標(biāo)準(zhǔn)化組織 ISO 從1990年開始開發(fā)通用的國際標(biāo)準(zhǔn)評估準(zhǔn)則 7 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 在1993年6月 CTCPEC FC TCSEC和ITSEC的發(fā)起組織開始聯(lián)合起來 將各自獨立的準(zhǔn)則組合成一個單一的 能被廣泛使用的IT安全準(zhǔn)則發(fā)起組織包括六國七方 加拿大 法國 德國 荷蘭 英國 美國NIST及美國NSA 他們的代表建立了CC編輯委員會 CCEB 來開發(fā)CC 8 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 1996年1月完成CC1 0版 在1996年4月被ISO采納1997年10月完成CC2 0的測試版1998年5月發(fā)布CC2 0版1999年12月ISO采納CC 并作為國際標(biāo)準(zhǔn)ISO15408發(fā)布 9 安全評估標(biāo)準(zhǔn)的發(fā)展歷程 10 標(biāo)準(zhǔn)介紹 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程可信計算機(jī)系統(tǒng)評估準(zhǔn)則 TCSEC 可信網(wǎng)絡(luò)解釋 TNI 通用準(zhǔn)則CC 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 信息系統(tǒng)安全評估方法探討 11 TCSEC 在TCSEC中 美國國防部按處理信息的等級和應(yīng)采用的響應(yīng)措施 將計算機(jī)安全從高到低分為 A B C D四類八個級別 共27條評估準(zhǔn)則隨著安全等級的提高 系統(tǒng)的可信度隨之增加 風(fēng)險逐漸減少 12 TCSEC 四個安全等級 無保護(hù)級自主保護(hù)級強(qiáng)制保護(hù)級驗證保護(hù)級 13 TCSEC D類是最低保護(hù)等級 即無保護(hù)級是為那些經(jīng)過評估 但不滿足較高評估等級要求的系統(tǒng)設(shè)計的 只具有一個級別該類是指不符合要求的那些系統(tǒng) 因此 這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息 14 TCSEC 四個安全等級 無保護(hù)級自主保護(hù)級強(qiáng)制保護(hù)級驗證保護(hù)級 15 TCSEC C類為自主保護(hù)級具有一定的保護(hù)能力 采用的措施是自主訪問控制和審計跟蹤一般只適用于具有一定等級的多用戶環(huán)境具有對主體責(zé)任及其動作審計的能力 16 TCSEC C類分為C1和C2兩個級別 自主安全保護(hù)級 C1級 控制訪問保護(hù)級 C2級 17 TCSEC C1級TCB通過隔離用戶與數(shù)據(jù) 使用戶具備自主安全保護(hù)的能力它具有多種形式的控制能力 對用戶實施訪問控制為用戶提供可行的手段 保護(hù)用戶和用戶組信息 避免其他用戶對數(shù)據(jù)的非法讀寫與破壞C1級的系統(tǒng)適用于處理同一敏感級別數(shù)據(jù)的多用戶環(huán)境 18 TCSEC C2級計算機(jī)系統(tǒng)比C1級具有更細(xì)粒度的自主訪問控制C2級通過注冊過程控制 審計安全相關(guān)事件以及資源隔離 使單個用戶為其行為負(fù)責(zé) 19 TCSEC 四個安全等級 無保護(hù)級自主保護(hù)級強(qiáng)制保護(hù)級驗證保護(hù)級 20 TCSEC B類為強(qiáng)制保護(hù)級主要要求是TCB應(yīng)維護(hù)完整的安全標(biāo)記 并在此基礎(chǔ)上執(zhí)行一系列強(qiáng)制訪問控制規(guī)則B類系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標(biāo)記系統(tǒng)的開發(fā)者還應(yīng)為TCB提供安全策略模型以及TCB規(guī)約應(yīng)提供證據(jù)證明訪問監(jiān)控器得到了正確的實施 21 TCSEC B類分為三個類別 標(biāo)記安全保護(hù)級 B1級 結(jié)構(gòu)化保護(hù)級 B2級 安全區(qū)域保護(hù)級 B3級 22 TCSEC B1級系統(tǒng)要求具有C2級系統(tǒng)的所有特性在此基礎(chǔ)上 還應(yīng)提供安全策略模型的非形式化描述 數(shù)據(jù)標(biāo)記以及命名主體和客體的強(qiáng)制訪問控制并消除測試中發(fā)現(xiàn)的所有缺陷 23 TCSEC B類分為三個類別 標(biāo)記安全保護(hù)級 B1級 結(jié)構(gòu)化保護(hù)級 B2級 安全區(qū)域保護(hù)級 B3級 24 TCSEC 在B2級系統(tǒng)中 TCB建立于一個明確定義并文檔化形式化安全策略模型之上要求將B1級系統(tǒng)中建立的自主和強(qiáng)制訪問控制擴(kuò)展到所有的主體與客體在此基礎(chǔ)上 應(yīng)對隱蔽信道進(jìn)行分析TCB應(yīng)結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素 25 TCSEC TCB接口必須明確定義其設(shè)計與實現(xiàn)應(yīng)能夠經(jīng)受更充分的測試和更完善的審查鑒別機(jī)制應(yīng)得到加強(qiáng) 提供可信設(shè)施管理以支持系統(tǒng)管理員和操作員的職能提供嚴(yán)格的配置管理控制B2級系統(tǒng)應(yīng)具備相當(dāng)?shù)目節(jié)B透能力 26 TCSEC B類分為三個類別 標(biāo)記安全保護(hù)級 B1級 結(jié)構(gòu)化保護(hù)級 B2級 安全區(qū)域保護(hù)級 B3級 27 TCSEC 在B3級系統(tǒng)中 TCB必須滿足訪問監(jiān)控器需求訪問監(jiān)控器對所有主體對客體的訪問進(jìn)行仲裁訪問監(jiān)控器本身是抗篡改的訪問監(jiān)控器足夠小訪問監(jiān)控器能夠分析和測試 28 TCSEC 為了滿足訪問控制器需求 計算機(jī)信息系統(tǒng)可信計算基在構(gòu)造時 排除那些對實施安全策略來說并非必要的代碼計算機(jī)信息系統(tǒng)可信計算基在設(shè)計和實現(xiàn)時 從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度 29 TCSEC B3級系統(tǒng)支持 安全管理員職能擴(kuò)充審計機(jī)制當(dāng)發(fā)生與安全相關(guān)的事件時 發(fā)出信號提供系統(tǒng)恢復(fù)機(jī)制系統(tǒng)具有很高的抗?jié)B透能力 30 TCSEC 四個安全等級 無保護(hù)級自主保護(hù)級強(qiáng)制保護(hù)級驗證保護(hù)級 31 TCSEC A類為驗證保護(hù)級A類的特點是使用形式化的安全驗證方法 保證系統(tǒng)的自主和強(qiáng)制安全控制措施能夠有效地保護(hù)系統(tǒng)中存儲和處理的秘密信息或其他敏感信息為證明TCB滿足設(shè)計 開發(fā)及實現(xiàn)等各個方面的安全要求 系統(tǒng)應(yīng)提供豐富的文檔信息 32 TCSEC A類分為兩個類別 驗證設(shè)計級 A1級 超A1級 33 TCSEC A1級系統(tǒng)在功能上和B3級系統(tǒng)是相同的 沒有增加體系結(jié)構(gòu)特性和策略要求最顯著的特點是 要求用形式化設(shè)計規(guī)范和驗證方法來對系統(tǒng)進(jìn)行分析 確保TCB按設(shè)計要求實現(xiàn)從本質(zhì)上說 這種保證是發(fā)展的 它從一個安全策略的形式化模型和設(shè)計的形式化高層規(guī)約 FTLS 開始 34 TCSEC 針對A1級系統(tǒng)設(shè)計驗證 有5種獨立于特定規(guī)約語言或驗證方法的重要準(zhǔn)則 安全策略的形式化模型必須得到明確標(biāo)識并文檔化 提供該模型與其公理一致以及能夠?qū)Π踩呗蕴峁┳銐蛑С值臄?shù)學(xué)證明應(yīng)提供形式化的高層規(guī)約 包括TCB功能的抽象定義 用于隔離執(zhí)行域的硬件 固件機(jī)制的抽象定義 35 TCSEC 應(yīng)通過形式化的技術(shù) 如果可能的化 和非形式化的技術(shù)證明TCB的形式化高層規(guī)約 FTLS 與模型是一致的通過非形式化的方法證明TCB的實現(xiàn) 硬件 固件 軟件 與形式化的高層規(guī)約 FTLS 是一致的 應(yīng)證明FTLS的元素與TCB的元素是一致的 FTLS應(yīng)表達(dá)用于滿足安全策略的一致的保護(hù)機(jī)制 這些保護(hù)機(jī)制的元素應(yīng)映射到TCB的要素 36 TCSEC 應(yīng)使用形式化的方法標(biāo)識并分析隱蔽信道 非形式化的方法可以用來標(biāo)識時間隱蔽信道 必須對系統(tǒng)中存在的隱蔽信道進(jìn)行解釋 37 TCSEC A1級系統(tǒng) 要求更嚴(yán)格的配置管理要求建立系統(tǒng)安全分發(fā)的程序支持系統(tǒng)安全管理員的職能 38 TCSEC A類分為兩個類別 驗證設(shè)計級 A1級 超A1級 39 TCSEC 超A1級在A1級基礎(chǔ)上增加的許多安全措施超出了目前的技術(shù)發(fā)展隨著更多 更好的分析技術(shù)的出現(xiàn) 本級系統(tǒng)的要求才會變的更加明確今后 形式化的驗證方法將應(yīng)用到源碼一級 并且時間隱蔽信道將得到全面的分析 40 TCSEC 在這一級 設(shè)計環(huán)境將變的更重要形式化高層規(guī)約的分析將對測試提供幫助TCB開發(fā)中使用的工具的正確性及TCB運行的軟硬件功能的正確性將得到更多的關(guān)注 41 TCSEC 超A1級系統(tǒng)涉及的范圍包括 系統(tǒng)體系結(jié)構(gòu)安全測試形式化規(guī)約與驗證可信設(shè)計環(huán)境等 42 標(biāo)準(zhǔn)介紹 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程可信計算機(jī)系統(tǒng)評估準(zhǔn)則 TCSEC 可信網(wǎng)絡(luò)解釋 TNI 通用準(zhǔn)則CC 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 信息系統(tǒng)安全評估方法探討 43 可信網(wǎng)絡(luò)解釋 TNI 美國國防部計算機(jī)安全評估中心在完成TCSEC的基礎(chǔ)上 又組織了專門的研究鏃對可信網(wǎng)絡(luò)安全評估進(jìn)行研究 并于1987年發(fā)布了以TCSEC為基礎(chǔ)的可信網(wǎng)絡(luò)解釋 即TNI TNI包括兩個部分 PartI和PartII 及三個附錄 APPENDIXA B C 44 可信網(wǎng)絡(luò)解釋 TNI TNI第一部分提供了在網(wǎng)絡(luò)系統(tǒng)作為一個單一系統(tǒng)進(jìn)行評估時TCSEC中各個等級 從D到A類 的解釋與單機(jī)系統(tǒng)不同的是 網(wǎng)絡(luò)系統(tǒng)的可信計算基稱為網(wǎng)絡(luò)可信計算基 NTCB 45 可信網(wǎng)絡(luò)解釋 TNI 第二部分以附加安全服務(wù)的形式提出了在網(wǎng)絡(luò)互聯(lián)時出現(xiàn)的一些附加要求這些要求主要是針對完整性 可用性和保密性的 46 可信網(wǎng)絡(luò)解釋 TNI 第二部分的評估是定性的 針對一個服務(wù)進(jìn)行評估的結(jié)果一般分為為 noneminimumfairgood 47 可信網(wǎng)絡(luò)解釋 TNI 第二部分中關(guān)于每個服務(wù)的說明一般包括 一種相對簡短的陳述相關(guān)的功能性的討論相關(guān)機(jī)制強(qiáng)度的討論相關(guān)保證的討論 48 可信網(wǎng)絡(luò)解釋 TNI 功能性是指一個安全服務(wù)的目標(biāo)和實現(xiàn)方法 它包括特性 機(jī)制及實現(xiàn)機(jī)制的強(qiáng)度是指一種方法實現(xiàn)其目標(biāo)的程度有些情況下 參數(shù)的選擇會對機(jī)制的強(qiáng)度帶來很大的影響 49 可信網(wǎng)絡(luò)解釋 TNI 保證是指相信一個功能會實現(xiàn)的基礎(chǔ)保證一般依靠對理論 測試 軟件工程等相關(guān)內(nèi)容的分析分析可以是形式化或非形式化的 也可以是理論的或應(yīng)用的 50 可信網(wǎng)絡(luò)解釋 TNI 第二部分中列出的安全服務(wù)有 通信完整性拒絕服務(wù)機(jī)密性 51 可信網(wǎng)絡(luò)解釋 TNI 通信完整性主要涉及以下3方面 鑒別 網(wǎng)絡(luò)中應(yīng)能夠抵抗欺騙和重放攻擊通信字段完整性 保護(hù)通信中的字段免受非授權(quán)的修改抗抵賴 提供數(shù)據(jù)發(fā)送 接受的證據(jù) 52 可信網(wǎng)絡(luò)解釋 TNI 當(dāng)網(wǎng)絡(luò)處理能力下降到一個規(guī)定的界限以下或遠(yuǎn)程實體無法訪問時 即發(fā)生了拒絕服務(wù)所有由網(wǎng)絡(luò)提供的服務(wù)都應(yīng)考慮拒絕服務(wù)的情況網(wǎng)絡(luò)管理者應(yīng)決定網(wǎng)絡(luò)拒絕服務(wù)需求 53 可信網(wǎng)絡(luò)解釋 TNI 解決拒絕服務(wù)的方法有 操作連續(xù)性基于協(xié)議的拒絕服務(wù)保護(hù)網(wǎng)絡(luò)管理 54 可信網(wǎng)絡(luò)解釋 TNI 機(jī)密性是一系列安全服務(wù)的總稱這些服務(wù)都是關(guān)于通過計算機(jī)通信網(wǎng)絡(luò)在實體間傳輸信息的安全和保密的具體又分3種情況 數(shù)據(jù)保密通信流保密選擇路由 55 可信網(wǎng)絡(luò)解釋 TNI 數(shù)據(jù)保密 數(shù)據(jù)保密性服務(wù)保護(hù)數(shù)據(jù)不被未授權(quán)地泄露數(shù)據(jù)保密性主要受搭線竊聽的威脅被動的攻擊包括對線路上傳輸?shù)男畔⒌挠^測 56 可信網(wǎng)絡(luò)解釋 TNI 通信流保密 針對通信流分析攻擊而言 通信流分析攻擊分析消息的長度 頻率及協(xié)議的內(nèi)容 如地址 并以此推出消息的內(nèi)容 57 可信網(wǎng)絡(luò)解釋 TNI 選擇路由 路由選擇控制是在路由選擇過程中應(yīng)用規(guī)則 以便具體的選取或回避某些網(wǎng)絡(luò) 鏈路或中繼路由能動態(tài)的或預(yù)定地選取 以便只使用物理上安全的子網(wǎng)絡(luò) 鏈路或中繼在檢測到持續(xù)的操作攻擊時 端系統(tǒng)可希望指示網(wǎng)絡(luò)服務(wù)的提供者經(jīng)不同的路由建立連接帶有某些安全標(biāo)記的數(shù)據(jù)可能被策略禁止通過某些子網(wǎng)絡(luò) 鏈路或中繼 58 可信網(wǎng)絡(luò)解釋 TNI TNI第二部分的評估更多地表現(xiàn)出定性和主觀的特點 同第一部分相比表現(xiàn)出更多的變化第二部分的評估是關(guān)于被評估系統(tǒng)能力和它們對特定應(yīng)用環(huán)境的適合性的非常有價值的信息第二部分中所列舉的安全服務(wù)是網(wǎng)絡(luò)環(huán)境下有代表性的安全服務(wù)在不同的環(huán)境下 并非所有的服務(wù)都同等重要 同一服務(wù)在不同環(huán)境下的重要性也不一定一樣 59 可信網(wǎng)絡(luò)解釋 TNI TNI的附錄A是第一部分的擴(kuò)展 主要是關(guān)于網(wǎng)絡(luò)中組件及組件組合的評估附錄A把TCSEC為A1級系統(tǒng)定義的安全相關(guān)的策略分為四個相對獨立的種類 他們分別支持強(qiáng)制訪問控制 MAC 自主訪問控制 DAC 身份鑒別 IA 審計 AUDIT 60 可信網(wǎng)絡(luò)解釋 TNI 61 可信網(wǎng)絡(luò)解釋 TNI 附錄B給出了根據(jù)TCSEC對網(wǎng)絡(luò)組件進(jìn)行評估的基本原理附錄C則給出了幾個AIS互聯(lián)時的認(rèn)證指南及互聯(lián)中可能遇到的問題 62 可信網(wǎng)絡(luò)解釋 TNI TNI中關(guān)于網(wǎng)絡(luò)有兩種概念 一是單一可信系統(tǒng)的概念 singletrustedsystem 另一個是互聯(lián)信息系統(tǒng)的概念 interconnectedAIS 這兩個概念并不互相排斥 63 可信網(wǎng)絡(luò)解釋 TNI 在單一可信系統(tǒng)中 網(wǎng)絡(luò)具有包括各個安全相關(guān)部分的單一TCB 稱為NTCB networktrustedcomputingbase NTCB作為一個整體滿足系統(tǒng)的安全體系設(shè)計 64 可信網(wǎng)絡(luò)解釋 TNI 在互聯(lián)信息系統(tǒng)中各個子系統(tǒng)可能具有不同的安全策略具有不同的信任等級并且可以分別進(jìn)行評估各個子系統(tǒng)甚至可能是異構(gòu)的 65 可信網(wǎng)絡(luò)解釋 TNI 安全策略的實施一般控制在各個子系統(tǒng)內(nèi) 在附錄C中給出了各個子系統(tǒng)安全地互聯(lián)的指南 在互聯(lián)時要控制局部風(fēng)險的擴(kuò)散 排除整個系統(tǒng)中的級聯(lián)問題 cascadeproblem 限制局部風(fēng)險的擴(kuò)散的方法 單向連接 傳輸?shù)氖止z測 加密 隔離或其他措施 66 標(biāo)準(zhǔn)介紹 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程可信計算機(jī)系統(tǒng)評估準(zhǔn)則 TCSEC 可信網(wǎng)絡(luò)解釋 TNI 通用準(zhǔn)則CC 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 信息系統(tǒng)安全評估方法探討 67 通用準(zhǔn)則CC CC的范圍 CC適用于硬件 固件和軟件實現(xiàn)的信息技術(shù)安全措施而某些內(nèi)容因涉及特殊專業(yè)技術(shù)或僅是信息技術(shù)安全的外圍技術(shù)不在CC的范圍內(nèi) 68 通用準(zhǔn)則CC 評估上下文 69 通用準(zhǔn)則CC 使用通用評估方法學(xué)可以提供結(jié)果的可重復(fù)性和客觀性許多評估準(zhǔn)則需要使用專家判斷和一定的背景知識為了增強(qiáng)評估結(jié)果的一致性 最終的評估結(jié)果應(yīng)提交給一個認(rèn)證過程 該過程是一個針對評估結(jié)果的獨立的檢查過程 并生成最終的證書或正式批文 70 通用準(zhǔn)則CC CC包括三個部分 第一部分 簡介和一般模型第二部分 安全功能要求第三部分 安全保證要求 71 通用準(zhǔn)則CC 安全保證要求部分提出了七個評估保證級別 EvaluationAssuranceLevels EALs 分別是 EAL1 功能測試EAL2 結(jié)構(gòu)測試EAL3 系統(tǒng)測試和檢查EAL4 系統(tǒng)設(shè)計 測試和復(fù)查EAL5 半形式化設(shè)計和測試EAL6 半形式化驗證的設(shè)計和測試EAL7 形式化驗證的設(shè)計和測試 72 通用準(zhǔn)則CC 安全就是保護(hù)資產(chǎn)不受威脅 威脅可依據(jù)濫用被保護(hù)資產(chǎn)的可能性進(jìn)行分類所有的威脅類型都應(yīng)該被考慮到在安全領(lǐng)域內(nèi) 被高度重視的威脅是和人們的惡意攻擊及其它人類活動相聯(lián)系的 73 通用準(zhǔn)則CC 安全概念和關(guān)系 74 通用準(zhǔn)則CC 安全性損壞一般包括但又不僅僅包括以下幾項資產(chǎn)破壞性地暴露于未授權(quán)的接收者 失去保密性 資產(chǎn)由于未授權(quán)的更改而損壞 失去完整性 或資產(chǎn)訪問權(quán)被未授權(quán)的喪失 失去可用性 75 通用準(zhǔn)則CC 資產(chǎn)所有者必須分析可能的威脅并確定哪些存在于他們的環(huán)境 其后果就是風(fēng)險對策用以 直接或間接地 減少脆弱性并滿足資產(chǎn)所有者的安全策略在將資產(chǎn)暴露于特定威脅之前 所有者需要確信其對策足以應(yīng)付面臨的威脅 76 通用準(zhǔn)則CC 評估概念和關(guān)系 77 通用準(zhǔn)則CC TOE評估過程 78 通用準(zhǔn)則CC 評估過程通過兩種途徑產(chǎn)生更好的安全產(chǎn)品評估過程能發(fā)現(xiàn)開發(fā)者可以糾正的TOE錯誤或弱點 從而在減少將來操作中安全失效的可能性另一方面 為了通過嚴(yán)格的評估 開發(fā)者在TOE設(shè)計和開發(fā)時也將更加細(xì)心因此 評估過程對最初需求 開發(fā)過程 最終產(chǎn)品以及操作環(huán)境將產(chǎn)生強(qiáng)烈的積極影響 79 通用準(zhǔn)則CC CC安全概念包括 安全環(huán)境安全目的IT安全要求TOE概要規(guī)范 80 通用準(zhǔn)則CC 安全環(huán)境包括所有相關(guān)的法規(guī) 組織性安全策略 習(xí)慣 專門技術(shù)和知識它定義了TOE使用的上下文 安全環(huán)境也包括環(huán)境里出現(xiàn)的安全威脅 81 通用準(zhǔn)則CC 安全環(huán)境的分析結(jié)果被用來闡明對抗已標(biāo)識的威脅 說明組織性安全策略和假設(shè)的安全目的安全目的和已說明的TOE運行目標(biāo)或產(chǎn)品目標(biāo)以及有關(guān)的物理環(huán)境知識一致確定安全目的的意圖是為了闡明所有的安全考慮并指出哪些安全方面的問題是直接由TOE還是由它的環(huán)境來處理環(huán)境安全目的將在IT領(lǐng)域內(nèi)用非技術(shù)上的或程序化的手段來實現(xiàn) 82 通用準(zhǔn)則CC IT安全要求是將安全目的細(xì)化為一系列TOE及其環(huán)境的安全要求 一旦這些要求得到滿足 就可以保證TOE達(dá)到它的安全目的IT安全需求只涉及TOE安全目的和它的IT環(huán)境 83 通用準(zhǔn)則CC CC定義了一系列與已知有效的安全要求集合相結(jié)合的概念 該概念可被用來為預(yù)期的產(chǎn)品和系統(tǒng)建立安全需求CC安全要求以類 族 組件這種層次方式組織 以幫助用戶定位特定的安全要求對功能和保證方面的要求 CC使用相同的風(fēng)格 組織方式和術(shù)語 84 通用準(zhǔn)則CC CC中安全要求的描述方法 類 類用作最通用安全要求的組合 類的所有的成員關(guān)注共同的安全焦點 但覆蓋不同的安全目的族 類的成員被稱為族 族是若干組安全要求的組合 這些要求有共同的安全目的 但在側(cè)重點和嚴(yán)格性上有所區(qū)別組件 族的成員被稱為組件 組件描述一組特定的安全要求集 它是CC定義的結(jié)構(gòu)中所包含的最小的可選安全要求集 85 通用準(zhǔn)則CC 組件由單個元素組成 元素是安全需求最低層次的表達(dá) 并且是能被評估驗證的不可分割的安全要求族內(nèi)具有相同目標(biāo)的組件可以以安全要求強(qiáng)度 或能力 逐步增加的順序排列 也可以部分地按相關(guān)非層次集合的方式組織 86 通用準(zhǔn)則CC 組件間可能存在依賴關(guān)系依賴關(guān)系可以存在于功能組件之間 保證組件之間以及功能和保證組件之間組件間依賴關(guān)系描述是CC組件定義的一部分 87 通用準(zhǔn)則CC 可以通過使用組件允許的操作 對組件進(jìn)行裁剪每一個CC組件標(biāo)識并定義組件允許的 賦值 和 選擇 操作 在哪些情況下可對組件使用這些操作 以及使用這些操作的后果任何一個組件均允許 反復(fù) 和 細(xì)化 操作 88 通用準(zhǔn)則CC 這四個操作如下所述 反復(fù) 在不同操作時 允許組件多次使用賦值 當(dāng)組件被應(yīng)用時 允許規(guī)定所賦予的參數(shù)選擇 允許從組件給出的列表中選定若干項細(xì)化 當(dāng)組件被應(yīng)用時 允許對組件增加細(xì)節(jié) 89 通用準(zhǔn)則CC 要求的組織和結(jié)構(gòu) 90 通用準(zhǔn)則CC CC中安全需求的描述方法 包 組件的中間組合被稱為包保護(hù)輪廓 PP PP是關(guān)于一系列滿足一個安全目標(biāo)集的TOE的 與實現(xiàn)無關(guān)的描述安全目標(biāo) ST ST是針對特定TOE安全要求的描述 通過評估可以證明這些安全要求對滿足指定目的是有用和有效的 91 通用準(zhǔn)則CC 包允許對功能或保證需求集合的描述 這個集合能夠滿足一個安全目標(biāo)的可標(biāo)識子集包可重復(fù)使用 可用來定義那些公認(rèn)有用的 能夠有效滿足特定安全目標(biāo)的要求包可用在構(gòu)造更大的包 PP和ST中 92 通用準(zhǔn)則CC PP包含一套來自CC 或明確闡述 的安全要求 它應(yīng)包括一個評估保證級別 EAL PP可反復(fù)使用 還可用來定義那些公認(rèn)有用的 能夠有效滿足特定安全目標(biāo)的TOE要求PP包括安全目的和安全要求的基本原理PP的開發(fā)者可以是用戶團(tuán)體 IT產(chǎn)品開發(fā)者或其它對定義這樣一系列通用要求有興趣的團(tuán)體 93 通用準(zhǔn)則CC 保護(hù)輪廓PP描述結(jié)構(gòu) 94 通用準(zhǔn)則CC 安全目標(biāo) ST 包括一系列安全要求 這些要求可以引用PP 也可以直接引用CC中的功能或保證組件 或明確說明一個ST包含TOE的概要規(guī)范 安全要求和目的 以及它們的基本原理ST是所有團(tuán)體間就TOE應(yīng)提供什么樣的安全性達(dá)成一致的基礎(chǔ) 95 通用準(zhǔn)則CC 安全目標(biāo)描述結(jié)構(gòu) 96 通用準(zhǔn)則CC CC框架下的評估類型PP評估ST評估TOE評估 97 通用準(zhǔn)則CC PP評估是依照CC第3部分的PP評估準(zhǔn)則進(jìn)行的 評估的目標(biāo)是為了證明PP是完備的 一致的 技術(shù)合理的 而且適合于作為一個可評估TOE的安全要求的聲明 98 通用準(zhǔn)則CC 針對TOE的ST評估是依照CC第3部分的ST評估準(zhǔn)則進(jìn)行的ST評估具有雙重目標(biāo) 首先是為了證明ST是完備的 一致的 技術(shù)合理的 而且適合于用作相應(yīng)TOE評估的基礎(chǔ)其次 當(dāng)某一ST宣稱與某一PP一致時 證明ST滿足該PP的要求 99 通用準(zhǔn)則CC TOE評估是使用一個已經(jīng)評估過的ST作為基礎(chǔ) 依照CC第3部分的評估準(zhǔn)則進(jìn)行的評估的目標(biāo)是為了證明TOE滿足ST中的安全要求 100 通用準(zhǔn)則CC 三種評估的關(guān)系 101 通用準(zhǔn)則CC CC的第二部分是安全功能要求 對滿足安全需求的諸安全功能提出了詳細(xì)的要求另外 如果有超出第二部分的安全功能要求 開發(fā)者可以根據(jù) 類 族 組件 元素 的描述結(jié)構(gòu)表達(dá)其安全要求 并附加在其ST中 102 通用準(zhǔn)則CC CC共包含的11個安全功能類 如下 FAU類 安全審計FCO類 通信FCS類 密碼支持FDP類 用戶數(shù)據(jù)保護(hù)FIA類 標(biāo)識與鑒別FMT類 安全管理FPR類 隱秘FPT類 TFS保護(hù)FAU類 資源利用FTA類 TOE訪問FTP類 可信信道 路徑 103 通用準(zhǔn)則CC CC的第三部分是評估方法部分 提出了PP ST TOE三種評估 共包括10個類 但其中的APE類與ASE類分別介紹了PP與ST的描述結(jié)構(gòu)及評估準(zhǔn)則維護(hù)類提出了保證評估過的受測系統(tǒng)或產(chǎn)品運行于所獲得的安全級別上的要求只有七個安全保證類是TOE的評估類別 104 通用準(zhǔn)則CC 七個安全保證類ACM類 配置管理ADO類 分發(fā)與操作ADV類 開發(fā)AGD類 指導(dǎo)性文檔ALC類 生命周期支持ATE類 測試AVA類 脆弱性評定 105 通用準(zhǔn)則CC 1998年1月 經(jīng)過兩年的密切協(xié)商 來自美國 加拿大 法國 德國以及英國的政府組織簽訂了歷史性的安全評估互認(rèn)協(xié)議 IT安全領(lǐng)域內(nèi)CC認(rèn)可協(xié)議根據(jù)該協(xié)議 在協(xié)議簽署國范圍內(nèi) 在某個國家進(jìn)行的基于CC的安全評估將在其他國家內(nèi)得到承認(rèn)截止2003年3月 加入該協(xié)議的國家共有十五個 澳大利亞 新西蘭 加拿大 芬蘭 法國 德國 希臘 以色列 意大利 荷蘭 挪威 西班牙 瑞典 英國及美國 106 通用準(zhǔn)則CC 該協(xié)議的參與者在這個領(lǐng)域內(nèi)有共同的目的即 確保IT產(chǎn)品及保護(hù)輪廓的評估遵循一致的標(biāo)準(zhǔn) 為這些產(chǎn)品及保護(hù)輪廓的安全提供足夠的信心 在國際范圍內(nèi)提高那些經(jīng)過評估的 安全增強(qiáng)的IT產(chǎn)品及保護(hù)輪廓的可用性 消除IT產(chǎn)品及保護(hù)輪廓的重復(fù)評估 改進(jìn)安全評估的效率及成本效果 改進(jìn)IT產(chǎn)品及保護(hù)輪廓的證明 確認(rèn)過程 107 通用準(zhǔn)則CC 美國NSA內(nèi)部的可信產(chǎn)品評估計劃 TPEP 以及可信技術(shù)評價計劃 TTAP 最初根據(jù)TCSEC進(jìn)行產(chǎn)品的評估 但從1999年2月1日起 這些計劃將不再接收基于TCSEC的新的評估 此后這些計劃接受的任何新的產(chǎn)品都必須根據(jù)CC的要求進(jìn)行評估 到2001年底 所有已經(jīng)經(jīng)過TCSEC評估的產(chǎn)品 其評估結(jié)果或者過時 或者轉(zhuǎn)換為CC評估等級 NSA已經(jīng)將TCSEC對操作系統(tǒng)的C2和B1級要求轉(zhuǎn)換為基于CC的要求 或PP NSA正在將TCSEC的B2和B3級要求轉(zhuǎn)換成基于CC的保護(hù)輪廓 但對TCSEC中的A1級要求不作轉(zhuǎn)換 TCSEC的可信網(wǎng)絡(luò)解釋 TNI 在使用范圍上受到了限制 已經(jīng)不能廣泛適用于目前的網(wǎng)絡(luò)技術(shù) 因此 NSA目前不計劃提交與TNI相應(yīng)的PP 108 通用準(zhǔn)則CC 109 標(biāo)準(zhǔn)介紹 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程可信計算機(jī)系統(tǒng)評估準(zhǔn)則 TCSEC 可信網(wǎng)絡(luò)解釋 TNI 通用準(zhǔn)則CC 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 信息系統(tǒng)安全評估方法探討 110 系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 我國政府及各行各業(yè)在進(jìn)行大量的信息系統(tǒng)的建設(shè) 并且已經(jīng)成為國家的重要基礎(chǔ)設(shè)施計算機(jī)犯罪 黑客攻擊 有害病毒等問題的出現(xiàn)對社會穩(wěn)定 國家安全造成了極大的危害 信息安全的重要性日益突出信息系統(tǒng)安全問題已經(jīng)被提到關(guān)系國家安全和國家主權(quán)的戰(zhàn)略性高度 111 系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 大多數(shù)信息系統(tǒng)缺少有效的安全技術(shù)防范措施 安全性非常脆弱我國的信息系統(tǒng)安全專用產(chǎn)品市場一直被外國產(chǎn)品占據(jù) 增加了新的安全隱患因此 盡快建立能適應(yīng)和保障我國信息產(chǎn)業(yè)健康發(fā)展的國家信息系統(tǒng)安全等級保護(hù)制度已迫在眉睫 112 系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 為了從整體上形成多級信息系統(tǒng)安全保護(hù)體系為了提高國家信息系統(tǒng)安全保護(hù)能力為從根本上解決信息社會國家易受攻擊的脆弱性和有效預(yù)防計算機(jī)犯罪等問題 中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例 第九條明確規(guī)定 計算機(jī)信息系統(tǒng)實行安全等級保護(hù) 113 系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 為切實加強(qiáng)重要領(lǐng)域信息系統(tǒng)安全的規(guī)范化建設(shè)和管理全面提高國家信息系統(tǒng)安全保護(hù)的整體水平使公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察工作更加科學(xué) 規(guī)范 指導(dǎo)工作更具體 明確 114 系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 公安部組織制訂了 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 國家標(biāo)準(zhǔn)于1999年9月13日由國家質(zhì)量技術(shù)監(jiān)督局審查通過并正式批準(zhǔn)發(fā)布于2001年1月1日執(zhí)行 115 系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 該準(zhǔn)則的發(fā)布為計算機(jī)信息系統(tǒng)安全法規(guī)和配套標(biāo)準(zhǔn)的制定和執(zhí)法部門的監(jiān)督檢查提供了依據(jù)為安全產(chǎn)品的研制提供了技術(shù)支持為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)是我國計算機(jī)信息系統(tǒng)安全保護(hù)等級工作的基礎(chǔ) 116 系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 GA388 2002 計算機(jī)信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求 GA391 2002 計算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求 GA T387 2002 計算機(jī)信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求 GA T389 2002 計算機(jī)信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求 GA T390 2002 計算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求 117 系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 準(zhǔn)則 規(guī)定了計算機(jī)系統(tǒng)安全保護(hù)能力的五個等級 即 第一級 用戶自主保護(hù)級第二級 系統(tǒng)審計保護(hù)級第三級 安全標(biāo)記保護(hù)級第四級 結(jié)構(gòu)化保護(hù)級第五級 訪問驗證保護(hù)級 118 系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 用戶自主保護(hù)級 計算機(jī)信息系統(tǒng)可信計算基通過隔離用戶與數(shù)據(jù) 使用戶具備自主安全保護(hù)的能力 它具有多種形式的控制能力 對用戶實施訪問控制 即為用戶提供可行的手段 保護(hù)用戶和用戶組信息 避免其他用戶對數(shù)據(jù)的非法讀寫與破壞 119 系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 系統(tǒng)審計保護(hù)級 與用戶自主保護(hù)級相比 計算機(jī)信息系統(tǒng)可信計算基實施了粒度更細(xì)的自主訪問控制它通過登錄規(guī)程 審計安全性相關(guān)事件和隔離資源 使用戶對自己的行為負(fù)責(zé) 120 系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 安全標(biāo)記保護(hù)級 計算機(jī)信息系統(tǒng)可信計算基具有系統(tǒng)審計保護(hù)級所有功能此外 還提供有關(guān)安全策略模型 數(shù)據(jù)標(biāo)記以及主體對客體強(qiáng)制訪問控制的非形式化描述具有準(zhǔn)確地標(biāo)記輸出信息的能力消除通過測試發(fā)現(xiàn)的任何錯誤 121 系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 結(jié)構(gòu)化保護(hù)級 計算機(jī)信息系統(tǒng)可信計算基建立于一個明確定義的形式化安全策略模型之上要求將第三級系統(tǒng)中的自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體此外 還要考慮隱蔽通道計算機(jī)信息系統(tǒng)可信計算基必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素 122 系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 計算機(jī)信息系統(tǒng)可信計算基的接口也必須明確定義 使其設(shè)計與實現(xiàn)能經(jīng)受更充分的測試和更完整的復(fù)審加強(qiáng)了鑒別機(jī)制支持系統(tǒng)管理員和操作員的職能提供可信設(shè)施管理增強(qiáng)了配置管理控制系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力 123 系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 訪問驗證保護(hù)級計算機(jī)信息系統(tǒng)可信計算基滿足訪問監(jiān)控器需求訪問監(jiān)控器仲裁主體對客體的全部訪問訪問監(jiān)控器本身是抗篡改的 必須足夠小 能夠分析和測試 124 系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 訪問驗證保護(hù)級支持安全管理員職能擴(kuò)充審計機(jī)制 當(dāng)發(fā)生與安全相關(guān)的事件時發(fā)出信號提供系統(tǒng)恢復(fù)機(jī)制系統(tǒng)具有很高的抗?jié)B透能力 125 標(biāo)準(zhǔn)介紹 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程可信計算機(jī)系統(tǒng)評估準(zhǔn)則 TCSEC 可信網(wǎng)絡(luò)解釋 TNI 通用準(zhǔn)則CC 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 信息系統(tǒng)安全評估方法探討 126 信息系統(tǒng)安全評估方法 信息系統(tǒng)安全評估面臨的問題 信息系統(tǒng)本身的復(fù)雜性 信息系統(tǒng)安全評估中構(gòu)件與系統(tǒng)安全性的關(guān)系 穿透測試 penetrationtesting 不能全面反映信息系統(tǒng)的安全保護(hù)能力 127 信息系統(tǒng)安全評估方法 目標(biāo) 結(jié)合實際應(yīng)用需求 從技術(shù)的角度提出一種信息系統(tǒng)安全評估方法 解決構(gòu)件組裝安全性評估問題 建立一種具有適應(yīng)性及可擴(kuò)充性的信息系統(tǒng)安全要素評估模型 研制信息系統(tǒng)安全評估的輔助工具 為在實際工作中開展信息系統(tǒng)安全保護(hù)等級評估提供理論及技術(shù)的支持 128 假設(shè) 威脅可能來自系統(tǒng)外部 也可能來自系統(tǒng)內(nèi)部 系統(tǒng)的安全性取決于系統(tǒng)中最薄弱的環(huán)節(jié) 構(gòu)件安全性評估數(shù)據(jù)已知 129 訪問路徑 訪問路徑 130 訪問路徑 訪問路徑 131 評估結(jié)果的類型 132 安全要素分類及構(gòu)件間的關(guān)系 組裝互補(bǔ)性安全要素組裝關(guān)聯(lián)性安全要素組裝獨立性安全要素 構(gòu)件間的依賴關(guān)系構(gòu)件間的關(guān)聯(lián)關(guān)系 133 構(gòu)件間依賴關(guān)系的性質(zhì) 構(gòu)件間依賴關(guān)系的性質(zhì) 134 組裝互補(bǔ)性安全要素 自主訪問控制數(shù)據(jù)完整性身份鑒別審計強(qiáng)制訪問控制 135 構(gòu)件間關(guān)聯(lián)關(guān)系要求 審計 在一條訪問路徑所包含的構(gòu)件中 如果所有與某個事件 如涉及多個構(gòu)件的一次網(wǎng)絡(luò)訪問行為 相關(guān)的審計信息能夠通過某種標(biāo)識關(guān)聯(lián)起來 且各構(gòu)件對審計記錄的查閱 存儲 保護(hù)等策略相一致 則稱這條訪問路徑中的構(gòu)件就審計而言滿足關(guān)聯(lián)關(guān)系 標(biāo)記 在一條訪問路徑中 若各構(gòu)件對其主 客體的敏感標(biāo)記定義之間無沖突存在 則稱這條訪問路徑中的構(gòu)件就標(biāo)記而言滿足關(guān)聯(lián)關(guān)系 136 構(gòu)件組裝安全性評估模型 規(guī)則1 安全要素集E上訪問路徑安全保護(hù)等級評估規(guī)則安全要素集E上信息系統(tǒng)安全保護(hù)等級評估規(guī)則 137 訪問路徑的標(biāo)識 評估對象拓?fù)浣Y(jié)構(gòu)分析標(biāo)識用戶發(fā)起訪問的邏輯位置根據(jù)系統(tǒng)提供的應(yīng)用服務(wù) 確定系統(tǒng)中所包含的訪問路徑 138 依賴關(guān)系和關(guān)聯(lián)關(guān)系的分析與檢測 對任意組裝互補(bǔ)性安全要素 系統(tǒng)邊界 計算環(huán)境及網(wǎng)絡(luò)各自內(nèi)部的構(gòu)件之間可以 但不是一定 存在依賴關(guān)系 對數(shù)據(jù)完整性 系統(tǒng)邊界 計算環(huán)境及網(wǎng)絡(luò)三個部分中的構(gòu)件不能相互依賴 因為數(shù)據(jù)完整性不僅僅是指所處理的信息的完整性 同時還包括構(gòu)件本身的完整性 對自主訪問控制 強(qiáng)制訪問控制和身份鑒別 系統(tǒng)邊界和網(wǎng)絡(luò)中的構(gòu)件不能依賴于計算環(huán)境中的構(gòu)件 但計算環(huán)境中的構(gòu)件可以依賴于系統(tǒng)邊界和網(wǎng)絡(luò)中的構(gòu)件 對于審計 系統(tǒng)邊界 計算環(huán)境及網(wǎng)絡(luò)三個部分中的構(gòu)件之間可能存在依賴關(guān)系 139 安全要素評估 構(gòu)件的評估數(shù)據(jù)未知 構(gòu)件在集成到系統(tǒng)過程中發(fā)生安全功能變動 需要對調(diào)整后的安全性重新進(jìn)行評估 安全要素評估將為構(gòu)件組裝安全性評估提供以下信息 140 每個要素可以分解為多個準(zhǔn)則 準(zhǔn)則是在更細(xì)的粒度上 對要素的不同實現(xiàn)環(huán)節(jié)作出的規(guī)定 證據(jù)是安全評估過程中所獲得的原始數(shù)據(jù) 是關(guān)于信息系統(tǒng)的狀態(tài) 響應(yīng)及策略等的客觀信息 證據(jù)與信息系統(tǒng)的具體實現(xiàn)直接相關(guān) 是對度量作出判斷的依據(jù) 對每一個準(zhǔn)則 可以有一個或多個度量作為判斷標(biāo)準(zhǔn) 要素層次代表了GB17859定義的安全要素 要素 準(zhǔn)則 度量 證據(jù)模型 FCME 141 FCME模型內(nèi)容設(shè)計 要素 準(zhǔn)則及度量層次的內(nèi)容設(shè)計參照相關(guān)標(biāo)準(zhǔn) 證據(jù)層次定義系統(tǒng)邊界 計算環(huán)境 網(wǎng)絡(luò)及基礎(chǔ)設(shè)施等各個部分中常見構(gòu)件類型應(yīng)提供的證據(jù) 142 FCME模型內(nèi)容設(shè)計 本文針對各種應(yīng)用環(huán)境建立相應(yīng)的FCME模型 而非針對各類構(gòu)件分別建立評估模型 目的是為了充分考慮在實際應(yīng)用環(huán)境中各類構(gòu)件之間的交互作用 關(guān)聯(lián)關(guān)系要素 準(zhǔn)則 度量及證據(jù)層次依賴關(guān)系證據(jù)層次 143 FCME模型的合成規(guī)則 證據(jù)的合成通過問卷調(diào)查 導(dǎo)航測試及穿透測試獲取 與 規(guī)則 或 規(guī)則度量 準(zhǔn)則的合成 與 規(guī)則 144 安全評估系統(tǒng)的實現(xiàn)與應(yīng)用 實現(xiàn)環(huán)境RedHatLinux7 0MySQL Apache PHPC和perl客戶端軟件為任意一款瀏覽器 適用范圍Windows FreeBSD Linux以及Solaris等系列 145 安全評估系統(tǒng)的實現(xiàn)與應(yīng)用 安全評估內(nèi)容主要功能 安全要素評估 構(gòu)件組裝安全性評估及安全保證評估覆蓋范圍 安全需求分析 威脅分析 安全策略及組織管理評估等環(huán)節(jié) 安全評估的方式問卷調(diào)查導(dǎo)航測試穿透測試 146 安全評估系統(tǒng)的實現(xiàn)與應(yīng)用 安全評估系統(tǒng)構(gòu)成評估知識庫檢測工具箱問卷調(diào)查表及處理工具評估信息庫漏洞信息庫系統(tǒng)管理 147 安全評估過程 導(dǎo)航測試和穿透測試安全要素評估構(gòu)件組裝安全性評估安全保證評估形成原始評估證據(jù) 安全策略是否能夠滿足其安全需求 是否適應(yīng)評估對象的威脅環(huán)境技術(shù)安全措施是否符合有關(guān)標(biāo)準(zhǔn)的要求安全保證是否符合有關(guān)標(biāo)準(zhǔn)的要求物理安全環(huán)境是否符合有關(guān)的物理安全標(biāo)準(zhǔn)組織管理是否符合有關(guān)的安全管理要求安全建議確定評估對象能夠到達(dá)的安全保護(hù)等級 評估資料收集通過問卷調(diào)查獲取評估所需的基本信息評估對象預(yù)分析審查評估資料的有效性 完備性 根據(jù)對評估對象安全環(huán)境 安全需求及安全策略的分析 確定評估環(huán)境與假設(shè) 確定系統(tǒng)拓?fù)?標(biāo)識系統(tǒng)中包含的構(gòu)件 標(biāo)識系統(tǒng)中存在的訪問路徑區(qū)域劃分 148 參考網(wǎng)址 moncriteria org http oval mitre org openvulnerabilityassessmentlanguage