【文章內容簡介】 為 一個可 評估 TOE的安全要求的聲明 ? ST評 估 ? ST評 估具有雙重目 標 ： ? 首先是 為 了 證 明 ST是完 備 的 、一致的 、技 術 合理的 ，而且適合于用作相 應 TOE評 估的基 礎 ? 其次 ，當某一 ST宣稱與某一 PP一致 時 ，證 明 ST滿 足 該 PP的要求 ? TOE評 估 ? TOE評 估的目 標 是 為 了 證 明 TOE滿 足 ST中的安全要求 58 South China Univ. of Tech. 通用準 則 CC 三種 評 估的關系 評估P P評估T O EP P 分類評估S T證書分類P P 評估結果T O E 評估結果S T 評估結果已評估過的T O E59 South China Univ. of Tech. 通用準 則 CC 第二部分：安全功能要求 ? CC的第二部分是安全功能要求 ，對滿 足安全需求的 諸 安全功能提出了 詳細 的要求 ? 另外 ，如果有超出第二部分的安全功能要求 ，開 發(fā) 者可以根據 “類 族 組 件 元素 ”的描述 結 構表達其安全要求 ，并附加在其 ST中 60 South China Univ. of Tech. 通用準 則 CC 第二部分：安全功能要求 61 South China Univ. of Tech. 通用準 則 CC 第二部分：安全功能要求 62 South China Univ. of Tech. 通用準 則 CC 第二部分：安全功能要求 63 South China Univ. of Tech. 通用準 則 CC 第二部分：安全功能要求 64 South China Univ. of Tech. 安全功能需求 層 次關系 功能和保證要求以“類 —族 —組件”的結構表述，組件作為安全要求的最小構件塊，可以用于“保護輪廓”、“安全目標”和“包”的構建，例如由保證組件構成典型的包 ——“評估保證級包”。 65 South China Univ. of Tech. 通用準 則 CC CC共包含的 11個安全功能 類 ，如下： ? FAU類 ：安全 審計 ? FCO類 ：通信 ? FCS類 ：密 碼 支持 ? FDP類 ：用 戶 數據保 護 ? FIA類 ：標識 與 鑒別 ? FMT類 ：安全管理 ? FPR類 ：隱 秘 ? FPT類 ：TSF保 護 ? FAU類 ：資 源利用 ? FTA類 ：TOE訪問 ? FTP類 ：可信路徑 /信道 66 South China Univ. of Tech. 通用準 則 CC：第三部分 評 估方法 ? CC的第三部分是 評 估方法部分 ，提出了 PP、ST、TOE三種 評 估 ，共包括 10個 類 ，但其中的 APE類與 ASE類 分 別 介 紹 了 PP與 ST的描述 結 構及 評 估準 則 ? 維護類 提出了保 證評 估 過 的受 測 系 統(tǒng) 或 產 品運行于所 獲 得的安全 級別 上的要求 ? 只有七個安全保 證類 是 TOE的 評 估 類別 67 South China Univ. of Tech. 通用準 則 CC：第三部分 評 估方法 ? CC的第三部分是 評 估方法部分 ，提出了 PP、ST、TOE三種 評 估 ，共包括 10個 類 ，但其中的 APE類與 ASE類 分 別 介 紹 了 PP與 ST的描述 結 構及 評 估準 則 ? 維護類 提出了保 證評 估 過 的受 測 系 統(tǒng) 或 產 品運行于所 獲 得的安全 級別 上的要求 ? 只有七個安全保 證類 是 TOE的 評 估 類別 68 South China Univ. of Tech. 通用準 則 CC：第三部分 評 估方法 69 South China Univ. of Tech. 通用準 則 CC：第三部分 評 估方法 70 South China Univ. of Tech. 通用準 則 CC：第三部分 評 估方法 71 South China Univ. of Tech. 通用準 則 CC：第三部分 評 估方法 72 South China Univ. of Tech. 通用準 則 CC：第三部分 評 估方法 73 South China Univ. of Tech. 通用準 則 CC 七個安全保 證類 1. ACM類 ：配置管理 ? CM 自 動 化 ? CM 能力 ? CM 范 圍 2. ADO類 ：交付和運行 ? 交付 ? 安裝 、生成和啟 動 3. ADV類 ：開 發(fā) ? 功能 規(guī) 范 ? 高 層設計 ? 實現 表示 ? TSF內部 ? 低 層設計 ? 表示 對應 性 ? 安全策略模型 74 South China Univ. of Tech. 4. AGD類 ：指南文檔 ? 管理 員 指南 ? 用 戶 指南 5. ALC類 ：生命周期支持 ? 開 發(fā) 安全 ? 缺陷 糾 正 ? 生命周期定 義 ? 工具和技 術 6. ATE類 ：測試 ? 覆蓋范 圍 ? 深度 ? 功能 測試 ? 獨立性 測試 7. AVA類 ：脆弱性 評 定 ? 隱 蔽信道分析 ? 誤 用 ? TOE安全功能 強 度 ? 脆弱性分析 通用準 則 CC 75 South China Univ. of Tech. 通用準 則 CC 安全保 證 要求部分提出了七個 評 估保 證級別 （Evaluation Assurance Levels：EALs）分 別 是： 76 South China Univ. of Tech. 通用準 則 CC： EAL解 釋 77 South China Univ. of Tech. 通用準 則 CC： EAL解 釋 78 South China Univ. of Tech. CC的 EAL與其他 標 準等 級 的比 較 79 South China Univ. of Tech. 80 South China Univ. of Tech. 81 South China Univ. of Tech. PP基本原理 ? 對 PP進 行 評 估的依據 ，證 明 PP是一個完整的 、緊 密 結 合的要求集合 ，滿 足 該 PP的 TOE將在安全 環(huán)境內提供一 組 有效的 IT安全 對 策 – 安全目的基本原理 – 安全要求基本原理 威脅 組織安全策略 假設 安全需求 IT安全要求 TOE 目的 環(huán)境的目的 安全目的 相互支持 支持 恰好滿足 恰好滿足 功能強度聲明 一致 82 South China Univ. of Tech. 威 脅舉 例 重放 當截獲了有效用戶的識別和鑒別數據后，未授權用戶可能在將來使用這些鑒別數據，以訪問 TOE提供的功能。 83 South China Univ. of Tech. 安全目的 舉 例 單用途 TOE必須防止用戶重復使用鑒別數據，嘗試通過互連網絡在 TOE上進行鑒別。 安全功能 TOE必須提供一種功能使授權管理員能夠使用 TOE的安全功能，并且確保只有授權管理員才能訪問該功能。 84 South China Univ. of Tech. 用戶屬性定義：允許為每個用戶單獨保存其用戶安全屬性 。 鑒別定時：允許用戶在身份被鑒別前 ， 實施一定的動作 。 單用戶鑒別機制：需要操作單用戶鑒別數據的鑒別機制 。 靜態(tài)屬性初始化：確保安全屬性的默認值是允許的或限制某行為的 。 TOE安全功能要求 舉 例 85 South China Univ. of Tech. TOE安全功能要求 舉 例 安全功能行為的管理：允許授權用戶管理 TSF中使用規(guī)則或有可管理的指定條件的功能行為 。 受保護的審計蹤跡存儲：放在審計蹤跡中的數據將受到保護 ， 以避免未授權的刪除或修改 。 防止審計數據丟失：規(guī)定當審計蹤跡溢滿時的行動 。 86 South China Univ. of Tech. PP示例 ? “包 過濾 防火 墻 安全技 術 要求 ”（GB 1801999） ? ―應 用 級 防火 墻 安全技 術 要求 ”（GB1802099） ? ―路由器安全技 術 要求 ”（GB1801899） ? ―電 信智能卡安全技 術 要求 ” ? “網上 證 券委托系 統(tǒng) 安全技 術 要求 ” 87 South China Univ. of Tech. 通用準 則 CC CC優(yōu) 點： ? CC代表了先 進 的信息安全 評 估 標 準的 發(fā) 展方向 ，基于 CC的 IT安全 測評認證 正在逐 漸為 更多的國家所采 納 ，CC的互 認 可 協(xié) 定 簽 署國也在不斷增多 。根據 IT安全領域內 CC認可協(xié)議 ，在 協(xié)議簽 署國范 圍 內 ，在某個國家 進 行的基于 CC的安全 評 估將在其他國家內得到承 認 。截止 2022年 3月 ，加入 該協(xié)議 的國家共有十五個：澳大利 亞 、新西 蘭 、加拿大 、芬 蘭 、法國 、德國 、希臘 、以色列 、意大利 、荷蘭 、挪威 、西班牙 、瑞典 、英國及美國 。 ? 到 2022年底 ，所有已 經經過 TCSEC評 估的 產 品 ，其 評 估 結 果或者 過時 ，或者 轉換為 CC評 估等 級 。 CC缺點： ? CC應 用的局限性 ，比如 該標 準在開篇便 強調 其不涉及五個方面的內容：行政性管理安全措施 、物理安全 、評 估方法學 、認 可 過 程 、對 密 碼 算法固有 質 量的 評 價 ，而 這 些被 CC忽略的內容恰恰是信息安全保障工作中需要特 別 予以注意的重要 環(huán)節(jié) 。 ? CC還 有一個明 顯 的缺陷 ，即它沒有數學模型的支持 ，即理 論 基 礎 不足 。TCSEC還 有 BLP模型的支持 。其安全功能可以得到完善的解 釋 ，安全功能的 實現 機制便有章可循 。對 于增加的完整性 、可用性 、不可否 認 性等要求 ，只局限于 簡單 的自然 語 言描述 ，不能落 實 到具體的安全機制上 。更無從 評價 這 些安全要求的 強 度 。 所以： ? CC并不是萬能的 ，它仍然需要與據各個國家的具體要求 ，與其他安全 標 準相 結 合 ，才能完成 對 一個信息系 統(tǒng) 的完整 評 估 。 ? 目前得到國 際 范 圍 內 認 可的是 ISO/IEC 15408（CC）,我國的 GB/T 18336等同采用 ISO /IEC 15408。 88 South China Univ. of Tech. BS779 ISO17799 BS7799 89 South China Univ. of Tech. 歷 史沿革 ? 1995年 ，英國制定國家 標 準 BS 7799第一部分： “信息安全管理事 務 準 則 ”，并提交國 際標 準 組織(ISO)，成 為 ISO DIS 14980。 ? 1998年 ，英國公布 BS 7799第二部分 “信息安全管理 規(guī) 范 ”并成 為 信息安全管理 認證 的依據；同年 ，歐盟于 1995年 10月公布之 “個人 資 料保 護 指令 ，自 1998年 10月 25日起正式生效 ，要求以適當 標 準保 護 個人 資 料 ”。 ? 2022年 ，國 際標 準 組織 ISO/IEC JTC SC 27在日本 東 京 10月 21日通 過 BS 77991，成 為 ISO DIS 177991，2022年 12月 1日正式 發(fā) 布 。 ? 目前除英國之外 ，國 際 上已有荷 蘭 、丹麥 、挪威 、瑞典 、芬 蘭 、澳大利 亞 、新西 蘭 、南非 、巴西已同意使用 BS 7799；日本 、瑞士 、盧 森堡表示 對 BS 7799感 興 趣；我國的臺灣 、香港地區(qū)也在推廣 該標 準 。 ? BS 7799(ISO/IEC17799)在歐洲的 證書發(fā) 放量已 經 超 過 ISO9001。 但是： ? ISO17799 不是 認證標 準 ，目前正在修 訂 。 ? BS77992 是 認證標 準 ，作 為 國 際標 準目前正在 討論 。 90 South China Univ. of Tech. BS7799內容： 總則 ? 要求各 組織 建立并運行一套 經過驗證 的信息安全管理體系 （ISMS），用于解決如下 問題 ：資產 的保管 、組織 的 風險 管理 、管理 標 的和管理 辦 法 、要求達到的安全程度 。 ? 建立管理框架 – 確立并 驗證 管理目 標 和管理 辦 法 時 需采取如下步 驟 ： – 定 義 信息安全策略 – 定 義 信息安全管理體系的范 圍 ，包括定 義該組織 的特征 、地點 、資產 和技 術 等方面的特征 – 進 行合理的 風險評 估 ，包括找出 資產 面 臨 的威 脅 、弱點 、對組織 的沖 擊 、風險 的 強 弱程度等等 – 根據 組織 的信息安全策略及所要求的安全程度 ，決定 應 加以管理的 風險領 域 – 選 出合理的管理 標 的和管理 辦 法 ，并加以 實 施； 選擇 方案 時應 做到有法可