第14章 安全评估标准.pptVIP

第十四章 安全评估标准 信管06-2 焦德磊 董昌宾 安全评估标准 信息技术安全评估准则发展过程 安全评估标准的发展历程 TCSEC 通用准则CC 国内的安全评估标准 信息技术安全评估准则发展过程 安全评估标准最早起源于美国 20世纪60年代后期，1967年美国国防部（DOD）成立了一个研究组，针对当时计算机使用环境中的安全策略进行研究，其研究结果是“Defense Science Board report” 70年代的后期DOD对当时流行的操作系统KSOS，PSOS，KVM进行了安全方面的研究 信息技术安全评估准则发展过程 80年代后，美国国防部发布的“可信计算机系统评估准则（TCSEC）”（即桔皮书） 后来DOD又发布了可信数据库解释（TDI）、可信网络解释（TNI）等一系列相关的说明和指南 90年代初，英、法、德、荷等四国针对TCSEC准则的局限性，提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”（ITSEC），定义了从E0级到E6级的七个安全等级 信息技术安全评估准则发展过程 加拿大1988年开始制订《The Canadian Trusted Computer Product Evaluation Criteria 》（CTCPEC） 1993年，美国对TCSEC作了补充和修改，制定了“组合的联邦标准”（简称FC） 国际标准化组织（ISO）从1990年开始开发通用的国际标准评估准则 信息技术安全评估准则发展过程 在1993年6月，CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来，将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则 发起组织包括六国七方：加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA，他们的代表建立了CC编辑委员会（CCEB）来开发CC 信息技术安全评估准则发展过程 1996年1月完成CC1.0版 ,在1996年4月被ISO采纳 1997年10月完成CC2.0的测试版 1998年5月发布CC2.0版 1999年12月ISO采纳CC，并作为国际标准ISO 15408发布 安全评估标准的发展历程 TCSEC TCSEC的发布主要有三个目的： （1）为制造商提供一个安全标准，使他们在开发商业产品时加入相应的安全因素，为用户提供广泛可信的应用系统； （2）为国防部各部门提供一个度量标准，用来评估计算机系统或其他敏感信息的可信程度； （3）在分析、研究规范时，为制定安全需求提供基础。 TCSEC 在TCSEC中，美国国防部按处理信息的等级和应采用的响应措施，将计算机安全从高到低分为：A、B、C、D四个等级八个级别，共27条评估准则 TCSEC从安全策略、可审计性、保证和文档四个方面对不同安全级别的系统提出不同强度的要求，随着安全等级的提高，系统的可信度随之增加，风险逐渐减少。 TCSEC 四个安全等级： D类：无保护级 C类：自主保护级 B类：强制保护级 A类：验证保护级 TCSEC D类是最低保护等级，即无保护级 是为那些经过评估，但不满足较高评估等级要求的系统设计的，只具有一个级别。 该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处理敏感信息。 TCSEC 四个安全等级： 无保护级 自主保护级 强制保护级 验证保护级 TCSEC C类为自主保护级 具有一定的保护能力，主要通过身份认证、自主访问控制和审计等安全措施来保护系统。 一般只适用于具有一定等级的多用户环境 具有对主体责任及其动作审计的能力 TCSEC C类分为C1和C2两个级别: 自主安全保护级（C1级) 控制访问保护级（C2级） TCSEC C1级通过隔离用户与数据，满足TCB自主安全要求，使用户具备自主安全保护的能力 它具有多种形式的控制能力，对用户实施访问控制 为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏 C1级的系统适用于处理同一敏感级别数据的多用户环境 TCSEC C2级计算机系统比C1级具有更细粒度的自主访问控制，细化到单个用户而不是组 C2级通过注册过程控制、审计安全相关事件以及资源隔离，使单个用户为其行为负责 TCSEC 四个安全等级： 无保护级 自主保护级 强制保护级 验证保护级 TCSEC B类为强制保护级 主要要求是TCB应维护完整的安全标记，并在此基础上执行一系列强制访问控制规则 B类系统中的主要数据结构（客体）必须携带敏感标记 系统的开发者还应为TCB提供安全策略模型以及TCB规约 应提供证据证明访问监控器得到了正确的实施