【文章內(nèi)容簡介】 為 一個可 評估 TOE的安全要求的聲明 ? ST評 估 ? ST評 估具有雙重目 標(biāo) ： ? 首先是 為 了 證 明 ST是完 備 的 、一致的 、技 術(shù) 合理的 ，而且適合于用作相 應(yīng) TOE評 估的基 礎(chǔ) ? 其次 ，當(dāng)某一 ST宣稱與某一 PP一致 時 ，證 明 ST滿 足 該 PP的要求 ? TOE評 估 ? TOE評 估的目 標(biāo) 是 為 了 證 明 TOE滿 足 ST中的安全要求 58 South China Univ. of Tech. 通用準(zhǔn) 則 CC 三種 評 估的關(guān)系 評估P P評估T O EP P 分類評估S T證書分類P P 評估結(jié)果T O E 評估結(jié)果S T 評估結(jié)果已評估過的T O E59 South China Univ. of Tech. 通用準(zhǔn) 則 CC 第二部分：安全功能要求 ? CC的第二部分是安全功能要求 ，對滿 足安全需求的 諸 安全功能提出了 詳細(xì) 的要求 ? 另外 ，如果有超出第二部分的安全功能要求 ，開 發(fā) 者可以根據(jù) “類 族 組 件 元素 ”的描述 結(jié) 構(gòu)表達(dá)其安全要求 ，并附加在其 ST中 60 South China Univ. of Tech. 通用準(zhǔn) 則 CC 第二部分：安全功能要求 61 South China Univ. of Tech. 通用準(zhǔn) 則 CC 第二部分：安全功能要求 62 South China Univ. of Tech. 通用準(zhǔn) 則 CC 第二部分：安全功能要求 63 South China Univ. of Tech. 通用準(zhǔn) 則 CC 第二部分：安全功能要求 64 South China Univ. of Tech. 安全功能需求 層 次關(guān)系 功能和保證要求以“類 —族 —組件”的結(jié)構(gòu)表述，組件作為安全要求的最小構(gòu)件塊，可以用于“保護輪廓”、“安全目標(biāo)”和“包”的構(gòu)建，例如由保證組件構(gòu)成典型的包 ——“評估保證級包”。 65 South China Univ. of Tech. 通用準(zhǔn) 則 CC CC共包含的 11個安全功能 類 ，如下： ? FAU類 ：安全 審計 ? FCO類 ：通信 ? FCS類 ：密 碼 支持 ? FDP類 ：用 戶 數(shù)據(jù)保 護 ? FIA類 ：標(biāo)識 與 鑒別 ? FMT類 ：安全管理 ? FPR類 ：隱 秘 ? FPT類 ：TSF保 護 ? FAU類 ：資 源利用 ? FTA類 ：TOE訪問 ? FTP類 ：可信路徑 /信道 66 South China Univ. of Tech. 通用準(zhǔn) 則 CC：第三部分 評 估方法 ? CC的第三部分是 評 估方法部分 ，提出了 PP、ST、TOE三種 評 估 ，共包括 10個 類 ，但其中的 APE類與 ASE類 分 別 介 紹 了 PP與 ST的描述 結(jié) 構(gòu)及 評 估準(zhǔn) 則 ? 維護類 提出了保 證評 估 過 的受 測 系 統(tǒng) 或 產(chǎn) 品運行于所 獲 得的安全 級別 上的要求 ? 只有七個安全保 證類 是 TOE的 評 估 類別 67 South China Univ. of Tech. 通用準(zhǔn) 則 CC：第三部分 評 估方法 ? CC的第三部分是 評 估方法部分 ，提出了 PP、ST、TOE三種 評 估 ，共包括 10個 類 ，但其中的 APE類與 ASE類 分 別 介 紹 了 PP與 ST的描述 結(jié) 構(gòu)及 評 估準(zhǔn) 則 ? 維護類 提出了保 證評 估 過 的受 測 系 統(tǒng) 或 產(chǎn) 品運行于所 獲 得的安全 級別 上的要求 ? 只有七個安全保 證類 是 TOE的 評 估 類別 68 South China Univ. of Tech. 通用準(zhǔn) 則 CC：第三部分 評 估方法 69 South China Univ. of Tech. 通用準(zhǔn) 則 CC：第三部分 評 估方法 70 South China Univ. of Tech. 通用準(zhǔn) 則 CC：第三部分 評 估方法 71 South China Univ. of Tech. 通用準(zhǔn) 則 CC：第三部分 評 估方法 72 South China Univ. of Tech. 通用準(zhǔn) 則 CC：第三部分 評 估方法 73 South China Univ. of Tech. 通用準(zhǔn) 則 CC 七個安全保 證類 1. ACM類 ：配置管理 ? CM 自 動 化 ? CM 能力 ? CM 范 圍 2. ADO類 ：交付和運行 ? 交付 ? 安裝 、生成和啟 動 3. ADV類 ：開 發(fā) ? 功能 規(guī) 范 ? 高 層設(shè)計 ? 實現(xiàn) 表示 ? TSF內(nèi)部 ? 低 層設(shè)計 ? 表示 對應(yīng) 性 ? 安全策略模型 74 South China Univ. of Tech. 4. AGD類 ：指南文檔 ? 管理 員 指南 ? 用 戶 指南 5. ALC類 ：生命周期支持 ? 開 發(fā) 安全 ? 缺陷 糾 正 ? 生命周期定 義 ? 工具和技 術(shù) 6. ATE類 ：測試 ? 覆蓋范 圍 ? 深度 ? 功能 測試 ? 獨立性 測試 7. AVA類 ：脆弱性 評 定 ? 隱 蔽信道分析 ? 誤 用 ? TOE安全功能 強 度 ? 脆弱性分析 通用準(zhǔn) 則 CC 75 South China Univ. of Tech. 通用準(zhǔn) 則 CC 安全保 證 要求部分提出了七個 評 估保 證級別 （Evaluation Assurance Levels：EALs）分 別 是： 76 South China Univ. of Tech. 通用準(zhǔn) 則 CC： EAL解 釋 77 South China Univ. of Tech. 通用準(zhǔn) 則 CC： EAL解 釋 78 South China Univ. of Tech. CC的 EAL與其他 標(biāo) 準(zhǔn)等 級 的比 較 79 South China Univ. of Tech. 80 South China Univ. of Tech. 81 South China Univ. of Tech. PP基本原理 ? 對 PP進 行 評 估的依據(jù) ，證 明 PP是一個完整的 、緊 密 結(jié) 合的要求集合 ，滿 足 該 PP的 TOE將在安全 環(huán)境內(nèi)提供一 組 有效的 IT安全 對 策 – 安全目的基本原理 – 安全要求基本原理 威脅 組織安全策略 假設(shè) 安全需求 IT安全要求 TOE 目的 環(huán)境的目的 安全目的 相互支持 支持 恰好滿足 恰好滿足 功能強度聲明 一致 82 South China Univ. of Tech. 威 脅舉 例 重放 當(dāng)截獲了有效用戶的識別和鑒別數(shù)據(jù)后，未授權(quán)用戶可能在將來使用這些鑒別數(shù)據(jù)，以訪問 TOE提供的功能。 83 South China Univ. of Tech. 安全目的 舉 例 單用途 TOE必須防止用戶重復(fù)使用鑒別數(shù)據(jù)，嘗試通過互連網(wǎng)絡(luò)在 TOE上進行鑒別。 安全功能 TOE必須提供一種功能使授權(quán)管理員能夠使用 TOE的安全功能，并且確保只有授權(quán)管理員才能訪問該功能。 84 South China Univ. of Tech. 用戶屬性定義：允許為每個用戶單獨保存其用戶安全屬性 。 鑒別定時：允許用戶在身份被鑒別前 ， 實施一定的動作 。 單用戶鑒別機制：需要操作單用戶鑒別數(shù)據(jù)的鑒別機制 。 靜態(tài)屬性初始化：確保安全屬性的默認(rèn)值是允許的或限制某行為的 。 TOE安全功能要求 舉 例 85 South China Univ. of Tech. TOE安全功能要求 舉 例 安全功能行為的管理：允許授權(quán)用戶管理 TSF中使用規(guī)則或有可管理的指定條件的功能行為 。 受保護的審計蹤跡存儲：放在審計蹤跡中的數(shù)據(jù)將受到保護 ， 以避免未授權(quán)的刪除或修改 。 防止審計數(shù)據(jù)丟失：規(guī)定當(dāng)審計蹤跡溢滿時的行動 。 86 South China Univ. of Tech. PP示例 ? “包 過濾 防火 墻 安全技 術(shù) 要求 ”（GB 1801999） ? ―應(yīng) 用 級 防火 墻 安全技 術(shù) 要求 ”（GB1802099） ? ―路由器安全技 術(shù) 要求 ”（GB1801899） ? ―電 信智能卡安全技 術(shù) 要求 ” ? “網(wǎng)上 證 券委托系 統(tǒng) 安全技 術(shù) 要求 ” 87 South China Univ. of Tech. 通用準(zhǔn) 則 CC CC優(yōu) 點： ? CC代表了先 進 的信息安全 評 估 標(biāo) 準(zhǔn)的 發(fā) 展方向 ，基于 CC的 IT安全 測評認(rèn)證 正在逐 漸為 更多的國家所采 納 ，CC的互 認(rèn) 可 協(xié) 定 簽 署國也在不斷增多 。根據(jù) IT安全領(lǐng)域內(nèi) CC認(rèn)可協(xié)議 ，在 協(xié)議簽 署國范 圍 內(nèi) ，在某個國家 進 行的基于 CC的安全 評 估將在其他國家內(nèi)得到承 認(rèn) 。截止 2022年 3月 ，加入 該協(xié)議 的國家共有十五個：澳大利 亞 、新西 蘭 、加拿大 、芬 蘭 、法國 、德國 、希臘 、以色列 、意大利 、荷蘭 、挪威 、西班牙 、瑞典 、英國及美國 。 ? 到 2022年底 ，所有已 經(jīng)經(jīng)過 TCSEC評 估的 產(chǎn) 品 ，其 評 估 結(jié) 果或者 過時 ，或者 轉(zhuǎn)換為 CC評 估等 級 。 CC缺點： ? CC應(yīng) 用的局限性 ，比如 該標(biāo) 準(zhǔn)在開篇便 強調(diào) 其不涉及五個方面的內(nèi)容：行政性管理安全措施 、物理安全 、評 估方法學(xué) 、認(rèn) 可 過 程 、對 密 碼 算法固有 質(zhì) 量的 評 價 ，而 這 些被 CC忽略的內(nèi)容恰恰是信息安全保障工作中需要特 別 予以注意的重要 環(huán)節(jié) 。 ? CC還 有一個明 顯 的缺陷 ，即它沒有數(shù)學(xué)模型的支持 ，即理 論 基 礎(chǔ) 不足 。TCSEC還 有 BLP模型的支持 。其安全功能可以得到完善的解 釋 ，安全功能的 實現(xiàn) 機制便有章可循 。對 于增加的完整性 、可用性 、不可否 認(rèn) 性等要求 ，只局限于 簡單 的自然 語 言描述 ，不能落 實 到具體的安全機制上 。更無從 評價 這 些安全要求的 強 度 。 所以： ? CC并不是萬能的 ，它仍然需要與據(jù)各個國家的具體要求 ，與其他安全 標(biāo) 準(zhǔn)相 結(jié) 合 ，才能完成 對 一個信息系 統(tǒng) 的完整 評 估 。 ? 目前得到國 際 范 圍 內(nèi) 認(rèn) 可的是 ISO/IEC 15408（CC）,我國的 GB/T 18336等同采用 ISO /IEC 15408。 88 South China Univ. of Tech. BS779 ISO17799 BS7799 89 South China Univ. of Tech. 歷 史沿革 ? 1995年 ，英國制定國家 標(biāo) 準(zhǔn) BS 7799第一部分： “信息安全管理事 務(wù) 準(zhǔn) 則 ”，并提交國 際標(biāo) 準(zhǔn) 組織(ISO)，成 為 ISO DIS 14980。 ? 1998年 ，英國公布 BS 7799第二部分 “信息安全管理 規(guī) 范 ”并成 為 信息安全管理 認(rèn)證 的依據(jù)；同年 ，歐盟于 1995年 10月公布之 “個人 資 料保 護 指令 ，自 1998年 10月 25日起正式生效 ，要求以適當(dāng) 標(biāo) 準(zhǔn)保 護 個人 資 料 ”。 ? 2022年 ，國 際標(biāo) 準(zhǔn) 組織 ISO/IEC JTC SC 27在日本 東 京 10月 21日通 過 BS 77991，成 為 ISO DIS 177991，2022年 12月 1日正式 發(fā) 布 。 ? 目前除英國之外 ，國 際 上已有荷 蘭 、丹麥 、挪威 、瑞典 、芬 蘭 、澳大利 亞 、新西 蘭 、南非 、巴西已同意使用 BS 7799；日本 、瑞士 、盧 森堡表示 對 BS 7799感 興 趣；我國的臺灣 、香港地區(qū)也在推廣 該標(biāo) 準(zhǔn) 。 ? BS 7799(ISO/IEC17799)在歐洲的 證書發(fā) 放量已 經(jīng) 超 過 ISO9001。 但是： ? ISO17799 不是 認(rèn)證標(biāo) 準(zhǔn) ，目前正在修 訂 。 ? BS77992 是 認(rèn)證標(biāo) 準(zhǔn) ，作 為 國 際標(biāo) 準(zhǔn)目前正在 討論 。 90 South China Univ. of Tech. BS7799內(nèi)容： 總則 ? 要求各 組織 建立并運行一套 經(jīng)過驗證 的信息安全管理體系 （ISMS），用于解決如下 問題 ：資產(chǎn) 的保管 、組織 的 風(fēng)險 管理 、管理 標(biāo) 的和管理 辦 法 、要求達(dá)到的安全程度 。 ? 建立管理框架 – 確立并 驗證 管理目 標(biāo) 和管理 辦 法 時 需采取如下步 驟 ： – 定 義 信息安全策略 – 定 義 信息安全管理體系的范 圍 ，包括定 義該組織 的特征 、地點 、資產(chǎn) 和技 術(shù) 等方面的特征 – 進 行合理的 風(fēng)險評 估 ，包括找出 資產(chǎn) 面 臨 的威 脅 、弱點 、對組織 的沖 擊 、風(fēng)險 的 強 弱程度等等 – 根據(jù) 組織 的信息安全策略及所要求的安全程度 ，決定 應(yīng) 加以管理的 風(fēng)險領(lǐng) 域 – 選 出合理的管理 標(biāo) 的和管理 辦 法 ，并加以 實 施； 選擇 方案 時應(yīng) 做到有法可