【導(dǎo)讀】信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程?！队?jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》。產(chǎn)品、子系統(tǒng)或系統(tǒng)是否滿足一組特定的要求。全功能需求及目標(biāo)保證級(jí)別下獲得相應(yīng)保證的過程。信息系統(tǒng)安全評(píng)估，或簡(jiǎn)稱為系統(tǒng)評(píng)估，是在具體的。20世紀(jì)60年代后期，1967年美國(guó)國(guó)防部成立了。80年代后，美國(guó)國(guó)防部發(fā)布的“可信計(jì)算機(jī)系統(tǒng)評(píng)估。后來DOD又發(fā)布了可信數(shù)據(jù)庫(kù)解釋、可信網(wǎng)絡(luò)。90年代初，英、法、德、荷等四國(guó)針對(duì)TCSEC準(zhǔn)則的局。加拿大1988年開始制訂《TheCanadianTrusted. 1993年，美國(guó)對(duì)TCSEC作了補(bǔ)充和修改，制定了“組合。在1993年6月，CTCPEC、FC、TCSEC和ITSEC的發(fā)起組織。1996年1月完成,在1996年4月被ISO采納。具有一定的保護(hù)能力，采用的措施是自主訪問控制和。具有對(duì)主體責(zé)任及其動(dòng)作審計(jì)的能力。C1級(jí)TCB通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保。C2級(jí)通過注冊(cè)過程控制、審計(jì)安全相關(guān)事件以及資源。主要要求是TCB應(yīng)維護(hù)完整的安全標(biāo)記，并在此基礎(chǔ)上。在B2級(jí)系統(tǒng)中，TCB建立于一個(gè)明確定義并文檔化形式。提供嚴(yán)格的配置管理控制

　　

【正文】 構(gòu)件與系統(tǒng)安全性的關(guān)系。 ? 穿透測(cè)試（ peration testing）不能全面反映信息系統(tǒng)的安全保護(hù)能力。 127 信息系統(tǒng)安全評(píng)估方法 目標(biāo)： ? 結(jié)合實(shí)際應(yīng)用需求，從技術(shù)的角度提出一種信息系統(tǒng)安全評(píng)估方法，解決構(gòu)件組裝安全性評(píng)估問題，建立一種具有適應(yīng)性及可擴(kuò)充性的信息系統(tǒng)安全要素評(píng)估模型，研制信息系統(tǒng)安全評(píng)估的輔助工具，為在實(shí)際工作中開展信息系統(tǒng)安全保護(hù)等級(jí)評(píng)估提供理論及技術(shù)的支持。 128 假 設(shè) 威脅可能來自系統(tǒng)外部，也可能來自系統(tǒng)內(nèi)部。 系統(tǒng)的安全性取決于系統(tǒng)中最薄弱的環(huán)節(jié)。 構(gòu)件安全性評(píng)估數(shù)據(jù)已知。 129 訪問路徑 訪問路徑 pP在信息系統(tǒng)中，響應(yīng)一種用戶請(qǐng)求（如信息采集、加工、存儲(chǔ)、傳輸及檢索等）所涉及到的所有構(gòu)件，以系統(tǒng)邊界上的構(gòu)件為起點(diǎn)，按其在系統(tǒng)拓?fù)浣Y(jié)構(gòu)中的順序構(gòu)成一條訪問路徑，簡(jiǎn)稱為路徑，記為 ，系統(tǒng)中所有訪問路徑的集合記為 。130 訪問路徑 訪問路徑 因特網(wǎng) 數(shù)據(jù)庫(kù) 主 W e b 服務(wù)器 代理服務(wù)器 主交換機(jī) 本地用戶 數(shù)據(jù)庫(kù)應(yīng)用服務(wù)器 防火墻 備份 W e b 服務(wù)器 遠(yuǎn)程用戶 131 評(píng)估結(jié)果的類型 ()ee f S信息系統(tǒng)就安全要素 而言達(dá)到的安全保護(hù)等級(jí)()fS信息系統(tǒng)達(dá)到的安全保護(hù)等級(jí) ()ee f c產(chǎn)品/ 構(gòu)件就安全要素 而言達(dá)到的安全保護(hù)等級(jí)()ee f p訪問路徑就安全要素 而言達(dá)到的安全保護(hù)等級(jí)()pee f c構(gòu)件在訪問路徑中就安全要素 而言達(dá)到的安全保護(hù)等級(jí)( ) ( )peef c f c不一定等于132 安全要素分類及構(gòu)件間的關(guān)系 組裝互補(bǔ)性安全要素 組裝關(guān)聯(lián)性安全要素 組裝獨(dú)立性安全要素 構(gòu)件間的依賴關(guān)系 構(gòu)件間的關(guān)聯(lián)關(guān)系 133 構(gòu)件間依賴關(guān)系的性質(zhì) 構(gòu)件間依賴關(guān)系 的 性質(zhì)： , , , , , ,1 ( )23 ( ) ( )4 ( , ) ( ) ( )p e p ep e p e p epe ppeepe peee E a b c C p P a b c pa b b aa b b c a ca b f a f bd C d p a d f a f a???? ???????? ???? ????????????? ? ????? ? ? ? ?對(duì) ， ， ， ， 非對(duì)稱性：若 ，則， 傳遞性：若 ，則， 若 ，則， 若 ，則134 組裝互補(bǔ)性安全要素 自主訪問控制 數(shù)據(jù)完整性 身份鑒別 審計(jì) 強(qiáng)制訪問控制 135 構(gòu)件間關(guān)聯(lián)關(guān)系要求 審計(jì)： 在一條訪問路徑所包含的構(gòu)件中，如果所有與某個(gè)事件（如涉及多個(gè)構(gòu)件的一次網(wǎng)絡(luò)訪問行為）相關(guān)的審計(jì)信息能夠通過某種標(biāo)識(shí)關(guān)聯(lián)起來，且各構(gòu)件對(duì)審計(jì)記錄的查閱、存儲(chǔ)、保護(hù)等策略相一致，則稱這條訪問路徑中的構(gòu)件就審計(jì)而言滿足關(guān)聯(lián)關(guān)系。 標(biāo)記： 在一條訪問路徑中，若各構(gòu)件對(duì)其主、客體的敏感標(biāo)記定義之間無沖突存在，則稱這條訪問路徑中的構(gòu)件就標(biāo)記而言滿足關(guān)聯(lián)關(guān)系。 136 構(gòu)件組裝安全性評(píng)估模型 規(guī)則 1. 安全要素集 E上訪問路徑安全保護(hù)等級(jí)評(píng)估規(guī)則 安全要素集 E上信息系統(tǒng)安全保護(hù)等級(jí)評(píng)估規(guī)則 137 訪問路徑的標(biāo)識(shí) 評(píng)估對(duì)象拓?fù)浣Y(jié)構(gòu)分析 標(biāo)識(shí)用戶發(fā)起訪問的邏輯位置 根據(jù)系統(tǒng)提供的應(yīng)用服務(wù)，確定系統(tǒng)中所包含的訪問路徑 138 依賴關(guān)系和關(guān)聯(lián)關(guān)系的分析與檢測(cè) 對(duì)任意組裝互補(bǔ)性安全要素，系統(tǒng)邊界、計(jì)算環(huán)境及網(wǎng)絡(luò)各自內(nèi)部的構(gòu)件之間可以（但不是一定）存在依賴關(guān)系。 對(duì)數(shù)據(jù)完整性，系統(tǒng)邊界、計(jì)算環(huán)境及網(wǎng)絡(luò)三個(gè)部分中的構(gòu)件不能相互依賴，因?yàn)閿?shù)據(jù)完整性不僅僅是指所處理的信息的完整性，同時(shí)還包括構(gòu)件本身的完整性。 對(duì)自主訪問控制、強(qiáng)制訪問控制和身份鑒別，系統(tǒng)邊界和網(wǎng)絡(luò)中的構(gòu)件不能依賴于計(jì)算環(huán)境中的構(gòu)件；但計(jì)算環(huán)境中的構(gòu)件可以依賴于系統(tǒng)邊界和網(wǎng)絡(luò)中的構(gòu)件。 對(duì)于審計(jì)，系統(tǒng)邊界、計(jì)算環(huán)境及網(wǎng)絡(luò)三個(gè)部分中的構(gòu)件之間可能存在依賴關(guān)系。 139 安全要素評(píng)估 構(gòu)件的評(píng)估數(shù)據(jù)未知 構(gòu)件在集成到系統(tǒng)過程中發(fā)生安全功能變動(dòng)，需要對(duì)調(diào)整后的安全性重新進(jìn)行評(píng)估 安全要素評(píng)估將為構(gòu)件組裝安全性評(píng)估提供以下信息： ()pee f c構(gòu)件在訪問路徑中就安全要素 而言達(dá)到的安全保護(hù)等級(jí)關(guān)聯(lián)關(guān)系與依賴關(guān)系檢測(cè)中的證據(jù)信息等140 每個(gè)要素可以分解為多個(gè)準(zhǔn)則。準(zhǔn)則是在更細(xì)的粒度上，對(duì)要素的不同實(shí)現(xiàn)環(huán)節(jié)作出的規(guī)定。 證據(jù)是安全評(píng)估過程中所獲得的原始數(shù)據(jù)，是關(guān)于信息系統(tǒng)的狀態(tài)、響應(yīng)及策略等的客觀信息，證據(jù)與信息系統(tǒng)的具體實(shí)現(xiàn)直接相關(guān)，是對(duì)度量作出判斷的依據(jù)。 對(duì)每一個(gè)準(zhǔn)則，可以有一個(gè)或多個(gè)度量作為判斷標(biāo)準(zhǔn)。 要素層次代表了 GB 17859定義的安全要素。 要素 準(zhǔn)則 度量 證據(jù)模型 (FCME) A ttrib u te① Fac to r② 1 Fac to r 2 Fac to r m Me tric④ 1 Me tric 2 Me tric k … … … Crite rio n③ 1 Crite rio n 2 Crite rio n n ①屬性 , ②要素 , ③準(zhǔn)則 , ④度量 , ⑤證據(jù) . Ev id e n c e⑤ 1 Ev id e n c e 2 Ev id e n c e l … 141 FCME模型內(nèi)容設(shè)計(jì) 要素、準(zhǔn)則及度量層次的內(nèi)容設(shè)計(jì)參照相關(guān)標(biāo)準(zhǔn)。 證據(jù)層次定義系統(tǒng)邊界、計(jì)算環(huán)境、網(wǎng)絡(luò)及基礎(chǔ)設(shè)施等各個(gè)部分中常見構(gòu)件類型應(yīng)提供的證據(jù)。 G B 1 7 8 5 9 用戶自主保護(hù)級(jí) 系統(tǒng)審計(jì)保護(hù)級(jí) 安全標(biāo)記保護(hù)級(jí) … 數(shù)據(jù)庫(kù)服務(wù)環(huán)境 F CM E 模型 W EB 服務(wù)環(huán)境 F CM E 模型 電子郵件服務(wù)環(huán)境 F CM E 模型 … 142 FCME模型內(nèi)容設(shè)計(jì) 本文針對(duì)各種應(yīng)用環(huán)境建立相應(yīng)的 FCME模型，而非針對(duì)各類構(gòu)件分別建立評(píng)估模型，目的是為了充分考慮在實(shí)際應(yīng)用環(huán)境中各類構(gòu)件之間的交互作用。 關(guān)聯(lián)關(guān)系 要素、準(zhǔn)則、度量及證據(jù)層次 依賴關(guān)系 證據(jù)層次 143 FCME模型的合成規(guī)則 證據(jù)的合成 通過問卷調(diào)查，導(dǎo)航測(cè)試及穿透測(cè)試獲取 “ 與 ” 規(guī)則 “ 或 ” 規(guī)則 度量、準(zhǔn)則的合成 “ 與 ” 規(guī)則 144 安全評(píng)估系統(tǒng)的實(shí)現(xiàn)與應(yīng)用 實(shí)現(xiàn)環(huán)境 RedHat MySQL+Apache+PHP C和 perl 客戶端軟件為任意一款瀏覽器 適用范圍 Windows, FreeBSD, Linux以及 Solaris等系列 145 安全評(píng)估系統(tǒng)的實(shí)現(xiàn)與應(yīng)用 安全評(píng)估內(nèi)容 主要功能：安全要素評(píng)估、構(gòu)件組裝安全性評(píng)估及安全保證評(píng)估 覆蓋范圍：安全需求分析、威脅分析、安全策略及組織管理評(píng)估等環(huán)節(jié) 安全評(píng)估的方式 問卷調(diào)查 導(dǎo)航測(cè)試 穿透測(cè)試 146 安全評(píng)估系統(tǒng)的實(shí)現(xiàn)與應(yīng)用 安全評(píng)估系統(tǒng)構(gòu)成 評(píng)估知識(shí)庫(kù) 檢測(cè)工具箱 問卷調(diào)查表及處理工具 評(píng)估信息庫(kù) 漏洞信息庫(kù) 系統(tǒng)管理 147 問卷調(diào)查反饋信息 評(píng)估資料收集 構(gòu)件 組裝 評(píng)估 操作 平臺(tái) 網(wǎng)絡(luò) 環(huán)境 評(píng)估對(duì)象預(yù)分析 評(píng)估準(zhǔn)則 知識(shí)庫(kù) 信息庫(kù) 評(píng)估申請(qǐng) 相關(guān)文檔 產(chǎn)品評(píng)估數(shù)據(jù) 工具箱 評(píng)估推理 評(píng)估報(bào)告 準(zhǔn)備階段 評(píng)估實(shí)施階段 匯總報(bào)告階段 安全 要素 評(píng)估 應(yīng)用 環(huán)境 導(dǎo)航測(cè)試 + 穿 透測(cè)試 評(píng)估資料審查 確定評(píng)估環(huán)境與假設(shè) 標(biāo)識(shí) 構(gòu)件、 路徑 區(qū)域 劃分 安全 保證 評(píng)估 安全評(píng)估過程 導(dǎo)航測(cè)試和穿透測(cè)試 安全要素評(píng)估 構(gòu)件組裝安全性評(píng)估 安全保證評(píng)估 形成原始評(píng)估證據(jù) 安全策略是否能夠滿足其安全需求，是否適應(yīng)評(píng)估對(duì)象的威脅環(huán)境 技術(shù)安全措施是否符合有關(guān)標(biāo)準(zhǔn)的要求 安全保證是否符合有關(guān)標(biāo)準(zhǔn)的要求 物理安全環(huán)境是否符合有關(guān)的物理安全標(biāo)準(zhǔn) 組織管理是否符合有關(guān)的安全管理要求 安全建議 確定評(píng)估對(duì)象能夠到達(dá)的安全保護(hù)等級(jí) 評(píng)估資料收集 通過問卷調(diào)查獲取評(píng)估所需的基本信息 評(píng)估對(duì)象預(yù)分析 審查評(píng)估資料的有效性、完備性； 根據(jù)對(duì)評(píng)估對(duì)象安全環(huán)境、安全需求及安全策略的分析，確定評(píng)估環(huán)境與假設(shè)； 確定系統(tǒng)拓?fù)?，?biāo)識(shí)系統(tǒng)中包含的構(gòu)件，標(biāo)識(shí)系統(tǒng)中存在的訪問路徑 區(qū)域劃分 148 參考網(wǎng)址 ? ? ? ? ? html（ library of TCSEC final evaluation report） ? public/ (public index to IWG queue) ? ? (open vulnerability assessment language)