【正文】 訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測試 124 系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 訪問驗證保護(hù)級 ? 支持安全管理員職能 ? 擴(kuò)充審計機(jī)制，當(dāng)發(fā)生與安全相關(guān)的事件時發(fā)出信號 ? 提供系統(tǒng)恢復(fù)機(jī)制 ? 系統(tǒng)具有很高的抗?jié)B透能力 125 標(biāo)準(zhǔn)介紹 ? 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 ? 可信計算機(jī)系統(tǒng)評估準(zhǔn)則（ TCSEC） ? 可信網(wǎng)絡(luò)解釋 （ TNI） ? 通用準(zhǔn)則 CC ? 《 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 》 ? 信息系統(tǒng)安全評估方法探討 126 信息系統(tǒng)安全評估方法 信息系統(tǒng)安全評估面臨的問題： ? 信息系統(tǒng)本身的復(fù)雜性。130 訪問路徑 訪問路徑 因特網(wǎng) 數(shù)據(jù)庫 主 W e b 服務(wù)器 代理服務(wù)器 主交換機(jī) 本地用戶 數(shù)據(jù)庫應(yīng)用服務(wù)器 防火墻 備份 W e b 服務(wù)器 遠(yuǎn)程用戶 131 評估結(jié)果的類型 ()ee f S信息系統(tǒng)就安全要素 而言達(dá)到的安全保護(hù)等級()fS信息系統(tǒng)達(dá)到的安全保護(hù)等級 ()ee f c產(chǎn)品/ 構(gòu)件就安全要素 而言達(dá)到的安全保護(hù)等級()ee f p訪問路徑就安全要素 而言達(dá)到的安全保護(hù)等級()pee f c構(gòu)件在訪問路徑中就安全要素 而言達(dá)到的安全保護(hù)等級( ) ( )peef c f c不一定等于132 安全要素分類及構(gòu)件間的關(guān)系 組裝互補(bǔ)性安全要素 組裝關(guān)聯(lián)性安全要素 組裝獨(dú)立性安全要素 構(gòu)件間的依賴關(guān)系 構(gòu)件間的關(guān)聯(lián)關(guān)系 133 構(gòu)件間依賴關(guān)系的性質(zhì) 構(gòu)件間依賴關(guān)系 的 性質(zhì)： , , , , , ,1 ( )23 ( ) ( )4 ( , ) ( ) ( )p e p ep e p e p epe ppeepe peee E a b c C p P a b c pa b b aa b b c a ca b f a f bd C d p a d f a f a???? ???????? ???? ????????????? ? ????? ? ? ? ?對 ， ， ， ， 非對稱性：若 ，則， 傳遞性：若 ，則， 若 ，則， 若 ，則134 組裝互補(bǔ)性安全要素 自主訪問控制 數(shù)據(jù)完整性 身份鑒別 審計 強(qiáng)制訪問控制 135 構(gòu)件間關(guān)聯(lián)關(guān)系要求 審計： 在一條訪問路徑所包含的構(gòu)件中，如果所有與某個事件（如涉及多個構(gòu)件的一次網(wǎng)絡(luò)訪問行為）相關(guān)的審計信息能夠通過某種標(biāo)識關(guān)聯(lián)起來，且各構(gòu)件對審計記錄的查閱、存儲、保護(hù)等策略相一致，則稱這條訪問路徑中的構(gòu)件就審計而言滿足關(guān)聯(lián)關(guān)系。 證據(jù)是安全評估過程中所獲得的原始數(shù)據(jù)，是關(guān)于信息系統(tǒng)的狀態(tài)、響應(yīng)及策略等的客觀信息，證據(jù)與信息系統(tǒng)的具體實現(xiàn)直接相關(guān)，是對度量作出判斷的依據(jù)。 關(guān)聯(lián)關(guān)系 要素、準(zhǔn)則、度量及證據(jù)層次 依賴關(guān)系 證據(jù)層次 143 FCME模型的合成規(guī)則 證據(jù)的合成 通過問卷調(diào)查，導(dǎo)航測試及穿透測試獲取 “ 與 ” 規(guī)則 “ 或 ” 規(guī)則 度量、準(zhǔn)則的合成 “ 與 ” 規(guī)則 144 安全評估系統(tǒng)的實現(xiàn)與應(yīng)用 實現(xiàn)環(huán)境 RedHat MySQL+Apache+PHP C和 perl 客戶端軟件為任意一款瀏覽器 適用范圍 Windows, FreeBSD, Linux以及 Solaris等系列 145 安全評估系統(tǒng)的實現(xiàn)與應(yīng)用 安全評估內(nèi)容 主要功能：安全要素評估、構(gòu)件組裝安全性評估及安全保證評估 覆蓋范圍：安全需求分析、威脅分析、安全策略及組織管理評估等環(huán)節(jié) 安全評估的方式 問卷調(diào)查 導(dǎo)航測試 穿透測試 146 安全評估系統(tǒng)的實現(xiàn)與應(yīng)用 安全評估系統(tǒng)構(gòu)成 評估知識庫 檢測工具箱 問卷調(diào)查表及處理工具 評估信息庫 漏洞信息庫 系統(tǒng)管理 147 問卷調(diào)查反饋信息 評估資料收集 構(gòu)件 組裝 評估 操作 平臺 網(wǎng)絡(luò) 環(huán)境 評估對象預(yù)分析 評估準(zhǔn)則 知識庫 信息庫 評估申請 相關(guān)文檔 產(chǎn)品評估數(shù)據(jù) 工具箱 評估推理 評估報告 準(zhǔn)備階段 評估實施階段 匯總報告階段 安全 要素 評估 應(yīng)用 環(huán)境 導(dǎo)航測試 + 穿 透測試 評估資料審查 確定評估環(huán)境與假設(shè) 標(biāo)識 構(gòu)件、 路徑 區(qū)域 劃分 安全 保證 評估 安全評估過程 導(dǎo)航測試和穿透測試 安全要素評估 構(gòu)件組裝安全性評估 安全保證評估 形成原始評估證據(jù) 安全策略是否能夠滿足其安全需求，是否適應(yīng)評估對象的威脅環(huán)境 技術(shù)安全措施是否符合有關(guān)標(biāo)準(zhǔn)的要求 安全保證是否符合有關(guān)標(biāo)準(zhǔn)的要求 物理安全環(huán)境是否符合有關(guān)的物理安全標(biāo)準(zhǔn) 組織管理是否符合有關(guān)的安全管理要求 安全建議 確定評估對象能夠到達(dá)的安全保護(hù)等級 評估資料收集 通過問卷調(diào)查獲取評估所需的基本信息 評估對象預(yù)分析 審查評估資料的有效性、完備性； 根據(jù)對評估對象安全環(huán)境、安全需求及安全策略的分析，確定評估環(huán)境與假設(shè)； 確定系統(tǒng)拓?fù)?，?biāo)識系統(tǒng)中包含的構(gòu)件，標(biāo)識系統(tǒng)中存在的訪問路徑 區(qū)域劃分 148 參考網(wǎng)址 ? ? ? ? ? html（ library of TCSEC final evaluation report） ? public/ (public index to IWG queue) ? ? (open vulnerability assessment language) 。 139 安全要素評估 構(gòu)件的評估數(shù)據(jù)未知 構(gòu)件在集成到系統(tǒng)過程中發(fā)生安全功能變動，需要對調(diào)整后的安全性重新進(jìn)行評估 安全要素評估將為構(gòu)件組裝安全性評估提供以下信息： ()pee f c構(gòu)件在訪問路徑中就安全要素 而言達(dá)到的安全保護(hù)等級關(guān)聯(lián)關(guān)系與依賴關(guān)系檢測中的證據(jù)信息等140 每個要素可以分解為多個準(zhǔn)則。 構(gòu)件安全性評估數(shù)據(jù)已知。 ? NSA已經(jīng)將 TCSEC對操作系統(tǒng)的 C2和 B1級要求轉(zhuǎn)換為基于 CC的要求 （ 或 PP） ， NSA正在將 TCSEC的 B2和 B3級要求轉(zhuǎn)換成基于CC的保護(hù)輪廓 ， 但對 TCSEC中的 A1級要求不作轉(zhuǎn)換 。 84 通用準(zhǔn)則 CC CC中安全要求的描述方法 ： ? 類： 類用作最通用安全要求的組合，類的所有的成員關(guān)注共同的安全焦點(diǎn)，但覆蓋不同的安全目的 ? 族：類的成員被稱為族 。 網(wǎng)絡(luò)與信息安全 第十七講 計算機(jī)信息系統(tǒng)安全評估標(biāo)準(zhǔn)介紹 閆 強(qiáng) 北京大學(xué)信息科學(xué)技術(shù)學(xué)院 軟件研究所－信息安全研究室 20xx年春季北京大學(xué)碩士研究生課程 2 標(biāo)準(zhǔn)介紹 ? 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 ? 可信計算機(jī)系統(tǒng)評估準(zhǔn)則（ TCSEC ） ? 可信網(wǎng)絡(luò)解釋 （ TNI） ? 通用準(zhǔn)則 CC ? 《 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 》 ? 信息系統(tǒng)安全評估方法探討 3 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 ? 信息技術(shù)安全評估是對一個構(gòu)件、產(chǎn)品、子系統(tǒng)或系統(tǒng)的安全屬性進(jìn)行的技術(shù)評價，通過評估判斷該構(gòu)件、產(chǎn)品、子系統(tǒng)或系統(tǒng)是否滿足一組特定的要求。 66 標(biāo)準(zhǔn)介紹 ? 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 ? 可信計算機(jī)系統(tǒng)評估準(zhǔn)則（ TCSEC） ? 可信網(wǎng)絡(luò)解釋 （ TNI） ? 通用準(zhǔn)則 CC ? 《 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 》 ? 信息系統(tǒng)安全評估方法探討 67 通用準(zhǔn)則 CC CC的范圍 : ? CC適用于硬件、固件和軟件實現(xiàn)的信息技術(shù)安全措施 ? 而某些內(nèi)容因涉及特殊專業(yè)技術(shù)或僅是信息技術(shù)安全的外圍技術(shù)不在 CC的范圍內(nèi) 68 通用準(zhǔn)則 CC 評估上下文 評估準(zhǔn)則 (通用準(zhǔn)則 ） 評估方法學(xué) 評估方案 最終評估 結(jié)果 評估 批準(zhǔn) /證明 證書表 / (注冊 ) 69 通用準(zhǔn)則 CC ? 使用通用評估方法學(xué)可以提供結(jié)果的可重復(fù)性和客觀性 ? 許多評估準(zhǔn)則需要使用專家判斷和一定的背景知識 ? 為了增強(qiáng)評估結(jié)果的一致性，最終的評估結(jié)果應(yīng)提交給一個認(rèn)證過程，該過程是一個針對評估結(jié)果的獨(dú)立的檢查過程，并生成最終的證書或正式批文 70 通用準(zhǔn)則 CC CC包括三個部分 : ? 第一部分：簡介和一般模型 ? 第二部分：安全功能要求 ? 第三部分：安全保證要求 71 通用準(zhǔn)則 CC 安全保證要求部分提出了七個評估保證級別 （ Evaluation Assurance Levels： EALs） 分別是： ? EAL1：功能測試 ? EAL2：結(jié)構(gòu)測試 ? EAL3：系統(tǒng)測試和檢查 ? EAL4：系統(tǒng)設(shè)計 、 測試和復(fù)查 ? EAL5：半形式化設(shè)計和測試 ? EAL6：半形式化驗證的設(shè)計和測試 ? EAL7：形式化驗證的設(shè)計和測試