【正文】 ence Board report” ? 70年代的后期 DOD對當(dāng)時(shí)流行的操作系統(tǒng) KSOS， PSOS，KVM進(jìn)行了安全方面的研究 4 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 ? 80年代后，美國國防部發(fā)布的“可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（ TCSEC）”（即桔皮書） ? 后來 DOD又發(fā)布了可信數(shù)據(jù)庫解釋（ TDI）、可信網(wǎng)絡(luò)解釋（ TNI）等一系列相關(guān)的說明和指南 ? 90年代初，英、法、德、荷等四國針對 TCSEC準(zhǔn)則的局限性，提出了包含保密性、完整性、可用性等概念的“信息技術(shù)安全評(píng)估準(zhǔn)則 ”（ ITSEC），定義了從 E0級(jí)到E6級(jí)的七個(gè)安全等級(jí) 5 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 ? 加拿大 1988年開始制訂《 The Canadian Trusted Computer Product Evaluation Criteria 》（ CTCPEC） ? 1993年，美國對 TCSEC作了補(bǔ)充和修改，制定了“組合的聯(lián)邦標(biāo)準(zhǔn)”（簡稱 FC） ? 國際標(biāo)準(zhǔn)化組織（ ISO）從 1990年開始開發(fā)通用的國際標(biāo)準(zhǔn)評(píng)估準(zhǔn)則 6 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 ? 在 1993年 6月， CTCPEC、 FC、 TCSEC和 ITSEC的發(fā)起組織開始聯(lián)合起來，將各自獨(dú)立的準(zhǔn)則組合成一個(gè)單一的、能被廣泛使用的 IT安全準(zhǔn)則 ? 發(fā)起組織包括六國七方：加拿大、法國、德國、荷蘭、英國、美國 NIST及美國 NSA，他們的代表建立了 CC編輯委員會(huì)（ CCEB）來開發(fā) CC 7 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 ? 1996年 1月完成 ,在 1996年 4月被 ISO采納 ? 1997年 10月完成 ? 1998年 5月發(fā)布 ? 1999年 12月 ISO采納 CC，并作為國際標(biāo)準(zhǔn) ISO 15408發(fā)布 8 安全評(píng)估標(biāo)準(zhǔn)的發(fā)展歷程 桔皮書 （ TCSEC）1985 英國安全標(biāo)準(zhǔn) 1989 德國標(biāo)準(zhǔn) 法國標(biāo)準(zhǔn) 加拿大標(biāo)準(zhǔn) 1993 聯(lián)邦標(biāo)準(zhǔn)草案 1993 ITSEC 1991 通用標(biāo)準(zhǔn) 1996 1998 1999 9 標(biāo)準(zhǔn)介紹 ? 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 ? 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（ TCSEC） ? 可信網(wǎng)絡(luò)解釋 （ TNI） ? 通用準(zhǔn)則 CC ? 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》 ? 信息系統(tǒng)安全評(píng)估方法探討 10 TCSEC ? 在 TCSEC中，美國國防部按處理信息的等級(jí)和應(yīng)采用的響應(yīng)措施，將計(jì)算機(jī)安全從高到低分為： A、 B、 C、 D四類八個(gè)級(jí)別，共 27條評(píng)估準(zhǔn)則 ? 隨著安全等級(jí)的提高，系統(tǒng)的可信度隨之增加，風(fēng)險(xiǎn)逐漸減少。 網(wǎng)絡(luò)與信息安全 第十七講 計(jì)算機(jī)信息系統(tǒng) 安全評(píng)估標(biāo)準(zhǔn)介紹 閆 強(qiáng) 北京大學(xué)信息科學(xué)技術(shù)學(xué)院 軟件研究所－信息安全研究室 2023年春季北京大學(xué)碩士研究生課程 1 標(biāo)準(zhǔn)介紹 ? 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 ? 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（ TCSEC ） ? 可信網(wǎng)絡(luò)解釋 （ TNI） ? 通用準(zhǔn)則 CC ? 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》 ? 信息系統(tǒng)安全評(píng)估方法探討 2 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 ? 信息技術(shù)安全評(píng)估是對一個(gè)構(gòu)件、產(chǎn)品、子系統(tǒng)或系統(tǒng)的安全屬性進(jìn)行的技術(shù)評(píng)價(jià)，通過評(píng)估判斷該構(gòu)件、產(chǎn)品、子系統(tǒng)或系統(tǒng)是否滿足一組特定的要求。 11 TCSEC 四個(gè)安全等級(jí)： ? 無保護(hù)級(jí) ? 自主保護(hù)級(jí) ? 強(qiáng)制保護(hù)級(jí) ? 驗(yàn)證保護(hù)級(jí) 12 TCSEC ? D類是最低保護(hù)等級(jí)，即無保護(hù)級(jí) ? 是為那些經(jīng)過評(píng)估，但不滿足較高評(píng)估等級(jí)要求的系統(tǒng)設(shè)計(jì)的，只具有一個(gè)級(jí)別 ? 該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息 13 TCSEC 四個(gè)安全等級(jí)： ? 無保護(hù)級(jí) ? 自主保護(hù)級(jí) ? 強(qiáng)制保護(hù)級(jí) ? 驗(yàn)證保護(hù)級(jí) 14 TCSEC ? C類為自主保護(hù)級(jí) ? 具有一定的保護(hù)能力，采用的措施是自主訪問控制和審計(jì)跟蹤 ? 一般只適用于具有一定等級(jí)的多用戶環(huán)境 ? 具有對主體責(zé)任及其動(dòng)作審計(jì)的能力 15 TCSEC C類分為 C1和 C2兩個(gè)級(jí)別 : ? 自主安全保護(hù)級(jí)（ C1級(jí) ) ? 控制訪問保護(hù)級(jí)（ C2級(jí)） 16 TCSEC ? C1級(jí) TCB通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力 ? 它具有多種形式的控制能力，對用戶實(shí)施訪問控制 ? 為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞 ? C1級(jí)的系統(tǒng)適用于處理同一敏感級(jí)別數(shù)據(jù)的多用戶環(huán)境 17 TCSEC ? C2級(jí)計(jì)算機(jī)系統(tǒng)比 C1級(jí)具有更細(xì)粒度的自主訪問控制 ? C2級(jí)通過注冊過程控制、審計(jì)安全相關(guān)事件以及資源隔離，使單個(gè)用戶為其行為負(fù)責(zé) 18 TCSEC 四個(gè)安全等級(jí)： ? 無保護(hù)級(jí) ? 自主保護(hù)級(jí) ? 強(qiáng)制保護(hù)級(jí) ? 驗(yàn)證保護(hù)級(jí) 19 TCSEC ? B類為強(qiáng)制保護(hù)級(jí) ? 主要要求是 TCB應(yīng)維護(hù)完整的安全標(biāo)記，并在此基礎(chǔ)上執(zhí)行一系列強(qiáng)制訪問控制規(guī)則 ? B類系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標(biāo)記 ? 系統(tǒng)的開發(fā)者還應(yīng)為 TCB提供安全策略模型以及 TCB規(guī)約 ? 應(yīng)提供證據(jù)證明訪問監(jiān)控器得到了正確的實(shí)施 20 TCSEC B類分為三個(gè)類別： ? 標(biāo)記安全保護(hù)級(jí)（ B1級(jí)） ? 結(jié)構(gòu)化保護(hù)級(jí)（ B2級(jí)） ? 安全區(qū)域保護(hù)級(jí)（ B3級(jí)） 21 TCSEC ? B1級(jí)系統(tǒng)要求具有 C2級(jí)系統(tǒng)的所有特性 ? 在此基礎(chǔ)上，還應(yīng)提供安全策略模型的非形式化描述、數(shù)據(jù)標(biāo)記以及命名主體和客體的強(qiáng)制訪問控制 ? 并消除測試中發(fā)現(xiàn)的所有缺陷 22 TCSEC B類分為三個(gè)類別： ? 標(biāo)記安全保護(hù)級(jí)（ B1級(jí)） ? 結(jié)構(gòu)化保護(hù)級(jí)（ B2級(jí)） ? 安全區(qū)域保護(hù)級(jí)（ B3級(jí)） 23 TCSEC ? 在 B2級(jí)系統(tǒng)中， TCB建立于一個(gè)明確定義并文檔化形式化安全策略模型之上 ? 要求將 B1級(jí)系統(tǒng)中建立的自主和強(qiáng)制訪問控制擴(kuò)展到所有的主體與客體 ? 在此基礎(chǔ)上，應(yīng)對隱蔽信道進(jìn)行分析 ? TCB應(yīng)結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素 24 TCSEC ? TCB接口必須明確定義 ? 其設(shè)計(jì)與實(shí)現(xiàn)應(yīng)能夠經(jīng)受更充分的測試和更完善的審查 ? 鑒別機(jī)制應(yīng)得到加強(qiáng)，提供可信設(shè)施管理以支持系統(tǒng)管理員和操作員的職能 ? 提供嚴(yán)格的配置管理控制 ? B2級(jí)系統(tǒng)應(yīng)具備相當(dāng)?shù)目節(jié)B透能力 25 TCSEC B類分為三個(gè)類別： ? 標(biāo)記安全保護(hù)級(jí)（ B1級(jí)） ? 結(jié)構(gòu)化保護(hù)級(jí)（ B2級(jí)） ? 安全區(qū)域保護(hù)級(jí)（ B3級(jí)） 26 TCSEC ? 在 B3級(jí)系統(tǒng)中， TCB必須滿足訪問監(jiān)控器需求 ? 訪問監(jiān)控器對所有主體對客體的訪問進(jìn)行仲裁 ? 訪問監(jiān)控器本身是抗篡改的 ? 訪問監(jiān)控器足夠小 ? 訪問監(jiān)控器能夠分析和測試 27 TCSEC 為了滿足訪問控制器需求 : ? 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基在構(gòu)造時(shí)，排除那些對實(shí)施安全策略來說并非必要的代碼 ? 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基在設(shè)計(jì)和實(shí)現(xiàn)時(shí)，從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度 28 TCSEC B3級(jí)系統(tǒng)支持 : ? 安全管理員職能 ? 擴(kuò)充審計(jì)機(jī)制 ? 當(dāng)發(fā)生與安全相關(guān)的事件時(shí)，發(fā)出信號(hào) ? 提供系統(tǒng)恢復(fù)機(jī)制 ? 系統(tǒng)具有很高的抗?jié)B透能力 29 TCSEC 四個(gè)安全等級(jí)： ? 無保護(hù)級(jí) ? 自主保護(hù)級(jí) ? 強(qiáng)制保護(hù)級(jí) ? 驗(yàn)證保護(hù)級(jí) 30 TCSEC ? A類為驗(yàn)證保護(hù)級(jí) ? A類的特點(diǎn)是使用形式化的安全驗(yàn)證方法，保證系統(tǒng)的自主和強(qiáng)制安全控制措施能夠有效地保護(hù)系統(tǒng)中存儲(chǔ)和處理的秘密信息或其他敏感信息 ? 為證明 TCB滿足設(shè)計(jì)、開發(fā)及實(shí)現(xiàn)等各個(gè)方面的安全要求，系統(tǒng)應(yīng)提供豐富的文檔信息 31 TCSEC A類分為兩個(gè)類別： ? 驗(yàn)證設(shè)計(jì)級(jí)（ A1級(jí)） ? 超 A1級(jí) 32 TCSEC ? A1級(jí)系統(tǒng)在功能上和 B3級(jí)系統(tǒng)是相同的，沒有增加體系結(jié)構(gòu)特性和策略要求 ? 最顯著的特點(diǎn)是，要求用形式化設(shè)計(jì)規(guī)范和驗(yàn)證方法來對系統(tǒng)進(jìn)行分析，確保 TCB按設(shè)計(jì)要求實(shí)現(xiàn) ? 從本質(zhì)上說，這種保證是發(fā)展的，它從一個(gè)安全策略的形式化模型和設(shè)計(jì)的形式化高層規(guī)約（ FTLS）開始 33 TCSEC 針對 A1級(jí)系統(tǒng)設(shè)計(jì)驗(yàn)證，有 5種獨(dú)立于特定規(guī)約語言或驗(yàn)證方法的重要準(zhǔn)則： ? 安全策略的形式化模型必須得到明確標(biāo)識(shí)并文檔化，提供該模型與其公理一致以及能夠?qū)Π踩呗蕴峁┳銐蛑С值臄?shù)學(xué)證明 ? 應(yīng)提供形式化的高層規(guī)約，包括 TCB功能的抽象定義、用于隔離執(zhí)行域的硬件 /固件機(jī)制的抽象定義 34 TCSEC ? 應(yīng)通過形式化的技術(shù)（如果可能的化）和非形式化的技術(shù)證明 TCB的形式化高層規(guī)約（ FTLS）與模型是一致的 ? 通過非形式化的方法證明 TCB的實(shí)現(xiàn)（硬件、固件、軟件）與形式化的高層規(guī)約（ FTLS）是一致的。 83 通用準(zhǔn)則 CC CC中安全要求的描述方法 ： ? 類： 類用作最通用安全要求的組合，類的所有的成員