【正文】 B1 A1 61 可信網(wǎng)絡(luò)解釋（ TNI） ? 附錄 B給出了根據(jù) TCSEC對網(wǎng)絡(luò)組件進(jìn)行評估的基本原理 ? 附錄 C則給出了幾個 AIS互聯(lián)時的認(rèn)證指南及互聯(lián)中可能遇到的問題 62 可信網(wǎng)絡(luò)解釋（ TNI） TNI中關(guān)于網(wǎng)絡(luò)有兩種概念： ? 一是單一可信系統(tǒng)的概念（ single trusted system） ? 另一個是互聯(lián)信息系統(tǒng)的概念（ interconnected AIS） 這兩個概念并不互相排斥 63 可信網(wǎng)絡(luò)解釋（ TNI） ? 在單一可信系統(tǒng)中，網(wǎng)絡(luò)具有包括各個安全相關(guān)部分的單一 TCB，稱為 NTCB（ work trusted puting base） ? NTCB作為一個整體滿足系統(tǒng)的安全體系設(shè)計 64 可信網(wǎng)絡(luò)解釋（ TNI） 在互聯(lián)信息系統(tǒng)中 ? 各個子系統(tǒng)可能具有不同的安全策略 ? 具有不同的信任等級 ? 并且可以分別進(jìn)行評估 ? 各個子系統(tǒng)甚至可能是異構(gòu)的 65 可信網(wǎng)絡(luò)解釋（ TNI） ? 安全策略的實施一般控制在各個子系統(tǒng)內(nèi)，在附錄 C中給出了各個子系統(tǒng)安全地互聯(lián)的指南，在互聯(lián)時要控制局部風(fēng)險的擴(kuò)散，排除整個系統(tǒng)中的級聯(lián)問題（ cascade problem） ? 限制局部風(fēng)險的擴(kuò)散的方法：單向連接、傳輸?shù)氖止z測、加密、隔離或其他措施。 12 TCSEC 四個安全等級： ? 無保護(hù)級 ? 自主保護(hù)級 ? 強(qiáng)制保護(hù)級 ? 驗證保護(hù)級 13 TCSEC ? D類是最低保護(hù)等級，即無保護(hù)級 ? 是為那些經(jīng)過評估，但不滿足較高評估等級要求的系統(tǒng)設(shè)計的，只具有一個級別 ? 該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息 14 TCSEC 四個安全等級： ? 無保護(hù)級 ? 自主保護(hù)級 ? 強(qiáng)制保護(hù)級 ? 驗證保護(hù)級 15 TCSEC ? C類為自主保護(hù)級 ? 具有一定的保護(hù)能力，采用的措施是自主訪問控制和審計跟蹤 ? 一般只適用于具有一定等級的多用戶環(huán)境 ? 具有對主體責(zé)任及其動作審計的能力 16 TCSEC C類分為 C1和 C2兩個級別 : ? 自主安全保護(hù)級（ C1級 ) ? 控制訪問保護(hù)級（ C2級） 17 TCSEC ? C1級 TCB通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力 ? 它具有多種形式的控制能力，對用戶實施訪問控制 ? 為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞 ? C1級的系統(tǒng)適用于處理同一敏感級別數(shù)據(jù)的多用戶環(huán)境 18 TCSEC ? C2級計算機(jī)系統(tǒng)比 C1級具有更細(xì)粒度的自主訪問控制 ? C2級通過注冊過程控制、審計安全相關(guān)事件以及資源隔離，使單個用戶為其行為負(fù)責(zé) 19 TCSEC 四個安全等級： ? 無保護(hù)級 ? 自主保護(hù)級 ? 強(qiáng)制保護(hù)級 ? 驗證保護(hù)級 20 TCSEC ? B類為強(qiáng)制保護(hù)級 ? 主要要求是 TCB應(yīng)維護(hù)完整的安全標(biāo)記，并在此基礎(chǔ)上執(zhí)行一系列強(qiáng)制訪問控制規(guī)則 ? B類系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標(biāo)記 ? 系統(tǒng)的開發(fā)者還應(yīng)為 TCB提供安全策略模型以及 TCB規(guī)約 ? 應(yīng)提供證據(jù)證明訪問監(jiān)控器得到了正確的實施 21 TCSEC B類分為三個類別： ? 標(biāo)記安全保護(hù)級（ B1級） ? 結(jié)構(gòu)化保護(hù)級（ B2級） ? 安全區(qū)域保護(hù)級（ B3級） 22 TCSEC ? B1級系統(tǒng)要求具有 C2級系統(tǒng)的所有特性 ? 在此基礎(chǔ)上，還應(yīng)提供安全策略模型的非形式化描述、數(shù)據(jù)標(biāo)記以及命名主體和客體的強(qiáng)制訪問控制 ? 并消除測試中發(fā)現(xiàn)的所有缺陷 23 TCSEC B類分為三個類別： ? 標(biāo)記安全保護(hù)級（ B1級） ? 結(jié)構(gòu)化保護(hù)級（ B2級） ? 安全區(qū)域保護(hù)級（ B3級） 24 TCSEC ? 在 B2級系統(tǒng)中， TCB建立于一個明確定義并文檔化形式化安全策略模型之上 ? 要求將 B1級系統(tǒng)中建立的自主和強(qiáng)制訪問控制擴(kuò)展到所有的主體與客體 ? 在此基礎(chǔ)上，應(yīng)對隱蔽信道進(jìn)行分析 ? TCB應(yīng)結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素 25 TCSEC ? TCB接口必須明確定義 ? 其設(shè)計與實現(xiàn)應(yīng)能夠經(jīng)受更充分的測試和更完善的審查 ? 鑒別機(jī)制應(yīng)得到加強(qiáng)，提供可信設(shè)施管理以支持系統(tǒng)管理員和操作員的職能 ? 提供嚴(yán)格的配置管理控制 ? B2級系統(tǒng)應(yīng)具備相當(dāng)?shù)目節(jié)B透能力 26 TCSEC B類分為三個類別： ? 標(biāo)記安全保護(hù)級（ B1級） ? 結(jié)構(gòu)化保護(hù)級（ B2級） ? 安全區(qū)域保護(hù)級（ B3級） 27 TCSEC ? 在 B3級系統(tǒng)中， TCB必須滿足訪問監(jiān)控器需求 ? 訪問監(jiān)控器對所有主體對客體的訪問進(jìn)行仲裁 ? 訪問監(jiān)控器本身是抗篡改的 ? 訪問監(jiān)控器足夠小 ? 訪問監(jiān)控器能夠分析和測試 28 TCSEC 為了滿足訪問控制器需求 : ? 計算機(jī)信息系統(tǒng)可信計算基在構(gòu)造時，排除那些對實施安全策略來說并非必要的代碼 ? 計算機(jī)信息系統(tǒng)可信計算基在設(shè)計和實現(xiàn)時，從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度 29 TCSEC B3級系統(tǒng)支持 : ? 安全管理員職能 ? 擴(kuò)充審計機(jī)制 ? 當(dāng)發(fā)生與安全相關(guān)的事件時，發(fā)出信號 ? 提供系統(tǒng)恢復(fù)機(jī)制 ? 系統(tǒng)具有很高的抗?jié)B透能力 30 TCSEC 四個安全等級： ? 無保護(hù)級 ? 自主保護(hù)級 ? 強(qiáng)制保護(hù)級 ? 驗證保護(hù)級 31 TCSEC ? A類為驗證保護(hù)級 ? A類的特點是使用形式化的安全驗證方法，保證系統(tǒng)的自主和強(qiáng)制安全控制措施能夠有效地保護(hù)系統(tǒng)中存儲和處理的秘密信息或其他敏感信息 ? 為證明 TCB滿足設(shè)計、開發(fā)及實現(xiàn)等各個方面的安全要求，系統(tǒng)應(yīng)提供豐富的文檔信息 32 TCSEC A類分為兩個類別： ? 驗證設(shè)計級（ A1級） ? 超 A1級 33 TCSEC ? A1級系統(tǒng)在功能上和 B3級系統(tǒng)是相同的，沒有增加體系結(jié)構(gòu)特性和策略要求 ? 最顯著的特點是，要求用形式化設(shè)計規(guī)范和驗證方法來對系統(tǒng)進(jìn)行分析，確保 TCB按設(shè)計要求實現(xiàn) ? 從本質(zhì)上說，這種保證是發(fā)展的，它從一個安全策略的形式化模型和設(shè)計的形式化高層規(guī)約（ FTLS）開始 34 TCSEC 針對 A1級系統(tǒng)設(shè)計驗證，有 5種獨立于特定規(guī)約語言或驗證方法的重要準(zhǔn)則： ? 安全策略的形式化模型必須得到明確標(biāo)識并文檔化，提供該模型與其公理一致以及能夠?qū)Π踩呗蕴峁┳銐蛑С值臄?shù)學(xué)證明 ? 應(yīng)提供形式化的高層規(guī)約，包括 TCB功能的抽象定義、用于隔離執(zhí)行域的硬件 /固件機(jī)制的抽象定義 35 TCSEC ? 應(yīng)通過形式化的技術(shù)（如果可能的化）和非形式化的技術(shù)證明 TCB的形式化高層規(guī)約（ FTLS）與模型是一致的 ? 通過非形式化的方法證明 TCB的實現(xiàn)（硬件、固件、軟件）與形式化的高層規(guī)約（ FTLS）是一致的。 ? 產(chǎn)品安全評估 ? 信息系統(tǒng)安全評估 ? 信息系統(tǒng)安全評估，或簡稱為系統(tǒng)評估，是在具體的操作環(huán)境與任務(wù)下對一個系統(tǒng)的安全保護(hù)能力進(jìn)行的評估 。 網(wǎng)絡(luò)與信息安全 第十七講 計算機(jī)信息系統(tǒng)安全評估標(biāo)準(zhǔn)介紹 閆 強(qiáng) 北京大學(xué)信息科學(xué)技術(shù)學(xué)院 軟件研究所－信息安全研究室 20xx年春季北京大學(xué)碩士研究生課程 2 標(biāo)準(zhǔn)介紹 ? 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 ? 可信計算機(jī)系統(tǒng)評估準(zhǔn)則（ TCSEC ） ? 可信網(wǎng)絡(luò)解釋 （ TNI） ? 通用準(zhǔn)則 CC ? 《 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 》 ? 信息系統(tǒng)安全評估方法探討 3 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 ? 信息技術(shù)安全評估是對一個構(gòu)件、產(chǎn)品、子系統(tǒng)或系統(tǒng)的安全屬性進(jìn)行的技術(shù)評價，通過評估判斷該構(gòu)件、產(chǎn)品、子系統(tǒng)或系統(tǒng)是否滿足一組特定的要求。信息技術(shù)安全評估的另一層含義是在一定的安全策略、安全功能需求及目標(biāo)保證級別下獲得相應(yīng)保證的過程 。 4 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 ? 20世紀(jì) 60年代后期， 1967年美國國防部（ DOD）成立了一個研究組，針對當(dāng)時計算機(jī)使用環(huán)境中的安全策略進(jìn)行研究，其研究結(jié)果是 “ Defense Science Board report” ? 70年代的后期 DOD對當(dāng)時流行的操作系統(tǒng) KSOS， PSOS，KVM進(jìn)行了安全方面的研究 5 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 ? 80年代后，美國國防部發(fā)布的 “ 可信計算機(jī)系統(tǒng)評估準(zhǔn)則（ TCSEC） ” （即桔皮書） ? 后來 DOD又發(fā)布了可信數(shù)據(jù)庫解釋（ TDI）、可信網(wǎng)絡(luò)解釋（ TNI）等一系列相關(guān)的說明和指南 ? 90年代初，英、法、德、荷等四國針對 TCSEC準(zhǔn)則的局限性，提出了包含保密性、完整性、可用性等概念的“ 信息技術(shù)安全評估準(zhǔn)則 ” （ ITSEC），定義了從 E0級到 E6級的七個安全等級 6 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 ? 加拿大 1988年開始制訂 《 The Canadian Trusted Computer Product Evaluation Criteria 》 （ CTCPEC） ? 1993年，美國對 TCSEC作了補(bǔ)充和修改，制定了 “ 組合的聯(lián)邦標(biāo)準(zhǔn) ” （簡稱 FC）