安全评估方法及准则.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 《准则》在系统地、科学地分析计算机处理系统的安全问题的基础上，结合我国信息系统建设的实际情况，将计算机信息系统的安全等级划分为如下5级： 第一级,用户自主保护级； 第二级，系统审计保护级； 第三级，安全标记保护级； 第四级，结构化保护级； 第五级，访问验证保护级。 各级的命名，主要考虑了使各级的名称能够体现这一级别安全功能的主要特性。计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。5个级别的安全保护能力之间的关系如图20.3所示。 图20.3 各等级安全保护能力示意图 2.技术功能说明 在计算机信息系统的安全保护中，一个重要的概念是可信计算基（trusted computing base, TCB）。可信计算基是一个实现安全策略的机制，包括硬件、软件和必要的固件，它们将根据安全策略来处理主体（系统管理员、安全管理员和用户）对客体（进程、文件、记录、设备等）的访问。可信计算基具有以下特性： 实施主体对客体的安全访问的功能； 抗篡改的性质； 易于分析与测试的结构。 在《准则》规定的5个级别中，其安全保护能力主要取决于可信计算基的特性，即各级之间的差异主要体现在可信计算基的构造及它所具有的安全保护能力上。 1.概述 通用安全评估准则(CC)是一个国际标准。该标准描述了这么一个规则：“……可作为评估IT产品与系统的基础……，这个标准允许在相互独立的不同安全评估结果之间进行比较……，提供一套公共的用于IT产品与系统的安全功能集，以及适应该功能集的安全保障的测度。评估过程确定了IT产品与系统关于安全功能及保障的可信水平”。CC由3个部分组成：安全功能、安全保障与评估方法。信息系统安全工程（ISSE）可以利用CC作为工具支持其行为，包括为信息保护系统制定系统级的描述和支持批准过程。 20.5.3 通用安全评估准则 图20.4 CC中的安全概念与相互关系 图20.4显示CC是如何应用的，用CC的语法建立信息安全的过程是符合ISSE过程的。发掘信息保护需求的行为提供了各种信息，如所有者怎样评估资产、威胁代理是什么、什么是威胁、什么是对策（要求与功能）和什么是风险（部分地）。定义信息保护系统的行为提供了用于描述如下事务的信息：什么是对策（命名组件）、什么是脆弱性（基于体系结构）、什么是风险（更全面）。设计信息保护系统的行为提供了如下信息：什么是对策（验证了的信息保护产品功能）、什么是脆弱性（基于设计的、组合并验证了的测试结果）和什么是风险（更加全面）。 实现信息保护系统的行为最后提供了如下信息：什么是对策（安装了的、有效的信息系统保护功能）、什么是脆弱性（基于有效性与漏洞测试实现结果）、什么是风险（更加全面）。CC并不描述个体和操作的安全，也不描述评估的有效性或其他使系统更有效的管理经验。CC提供了一种标准的语言与语法，用户和开发者可以用它来声明系统的通用功能（保护轮廓或PP）或被评估的特定性能（安全目标或ST）。 PP都以标准化的格式定义了一套功能要求与保障要求，它们或者来自于CC，或由用户定义，用来解决已知的或假设的安全问题（可能定义成对被保护资产的威胁）。对于一个完全与安全目标一致的评估对象（TOE）集合，PP允许各对象有独立的安全要求表述。PP设计是可重用的，并且定义了可有效满足确定目标的TOE环境。PP也包括了安全性与安全目标的基本依据。即使评估对象是特定类型的IT产品、系统（如操作系统、数据库管理系统、智能卡、防火墙等），其安全需求的定义也不会因系统不同而不同。 PP可以由用户团体、IT产品开发者或其他有兴趣定义这样一个需求集合的集体开发。PP给了消费者一个参考特定安全需求集合的手段，并使得用户对这些要求的评估变得容易。因此，PP是一个合适的用于ISSE开发并描述其架构的CC文档，可以作为查询与技术评估的基础。 ST包括一个参考PP的安全需求的集合，或者直接引用CC的功能或保障部分，或是更加详细地对其说明。ST使得对稳定TOE的安全需求的描述能够有效地满足确定目标的需要。ST包括评估对象的概要说明、安全要