第13讲 安全等级保护.pptVIP

PKI技术 安全等级保护 一般分为 技术要求 对PKI系统安全保护等级划分给定技术要求 主要是指导如何实现达到一定级别的系统 评估准则 从安全保护等级进行划分的角度来说明评估内容 主要是指导评估者如何对系统的安全保护等级进行评估 本课课程 主要是根据公安部行业标准 《PKI系统安全等级保护评估准则》 《PKI系统安全等级保护技术要求》 说明了现有我国对于PKI系统的5级安全等级保护是如何划分的、各级之间的主要区别。 安全等级划分依据的方面 主要是依据系统在如下12个方面 物理安全 访问控制 客体重用 审计 备份与恢复 可信路径 标识与鉴别 安全等级划分依据的方面（续） 主要是依据系统在如下12个方面 数据输入输出 角色 密钥管理 轮廓管理 证书管理 12个方面 对于PKI/CA系统的安全性都会有影响。 例如，物理安全方面 缺少专门的机房、门禁会影响到CA的安全性 例如，备份与恢复方面 完备的备份和恢复机制，将会提供CA的业务连续性能力 分为5级 下面分别讲述5个等级的安全特性方面的要求 用户自主保护级（1级） 系统审计保护级（2级） 安全标记保护级（3级） 结构化保护级（4级） 访问验证保护级（5级） 分开12个方面进行讲述，讲述5个等级在各方面的不同安全要求 安全等级的安全要求 不同安全等级的安全要求 是逐级递增的，例如 5级必须满足4级的所有安全要求，同时还会提出了新的要求 后面的讲解都是说明本级相对于下一级的、新增加的安全要求 1 物理安全 物理安全，包括了3个方面，基本要求如下 环境安全 具备机房、门禁、防火、空调等等 设备安全 防盗报警装置 记录介质安全 防止被盗、被毁和受损的措施 物理安全是实施安全的基本方面 5个等级都有着物理安全方面的要求 分级说明 1、2级与基本要求相同 3级还必须： 机房应避开自然灾害（如火山、地震发生地） 预防因为自然灾害给系统带来危害 设备必须有专人值守 防止设备被盗等 记录介质中的重要数据，要进行加密 防止泄密 分级说明 4、5级还必须（5级与4级相同）： 机房避开公共区域（例如，广场、车站） 远离可能的攻击者 机房应该分区，自动灭火装置、不间断电源 层层设防 设备还要有闭路电视系统监视 能够留有记录 关键数据能长期保存 2 客体重用 定义： 客体资源（内存缓冲区、磁盘空间、记录介质等），重新指定、分配或再分配给另一个主体。 一般要求是没有残留剩余信息 分级说明 1级（没有客体重用方面的要求） 2、3、4、5级的要求一致 重用时，应确保其中没有上一次分配的主体的任何剩余信息。 否则，可能因此造成泄密 3 访问控制 包括 访问控制策略 必须具有访问控制策略。策略可以是基于身份、角色、访问类型、访问内容和是否拥有访问密钥 分级说明 1级与基本要求相同 2、3级 不可旁路性 在策略范围内，访问控制是不可能被绕过的 确保访问控制能够起到效果 分级说明 4级 域隔离措施 对访问控制策略本身所需要的数据（例如，身份、角色等），进行专门的保护 进一步加强访问控制功能 5级 非信任用户不能读取系统用户的证书 防止隐私泄露 4 审计 包括 审计数据产生 包括什么内容 审计查阅 可供查阅 审计事件存储 一般都有要求防非授权修改 PKI系统的审计事件 对于PKI系统中，应该被审计的事件至少应该包括如下： 开启和关闭审计功能 证书生成和撤销 特权用户的产生、删除、登录、注销 所有对安全功能进行修改的尝试 所有对证书资料库进行修改的尝试 用户公私钥的导入、导出、存储、添加和删除 CA公私钥的导入、导出、存储、添加和删除 分级说明 1级（没有审计方面的要求） 2级 审计内容。包括时间、事件类型、用户、结果 审计审阅（只供管理员查阅） 审计事件存储 防非授权修改； 存储区满时，能阻止除管理员外的用户发起的所有审计事件的发生。 存储区满时，系统就停止运转。 分级说明 3、4、5级一致 有专门的审计员。（只供审计员查阅） 存储区满时，能阻止除审计员以外的用户发起的所有审计事件的发生。 管理员没有相应的审计功能。 参考后面对于角色的说明。 5 角色 是否区分多种不同的角色 具有不同的功能权限 支持多少种角色 角色的分离，能够对系统起到保护作用 级别越高，就增加了新的、功能单一的角色 分级说明 1级，要区分： 管理员：安装、配置、维护系统；建立和管理用户账户；配置轮廓；生成部件密钥。 办事员：签发和撤销证书。 2级： 管理员同时有审计功能、备份操作功能。 要保证1个身份不能同时拥有2个角色。 分级说明 3级： 增加了审计员的角色 将管理员的审计功能分离出来。 4级 增加了操作员的角色 将管理员的备份恢复功能分离出来。 5级 限制每个角色的行为，使各个角色无法越权操作，也不能对系统进行任何恶意活动。 6 备份与恢复 备份与恢