信息与网络安全概论(第三版)CHD16 信息安全管理

信息安全管理(InformationSecurityManagement)信息与网络安全概论(第三版)2本章內容16.1可信赖的系统16.2可信赖计算机系统的评估准则16.3密码模块的安全规范——FIPS14016.4信息技术安全评估共同准则16.5信息安全管理作业要点——BS779916.6审核控制信息与网络安全概论(第三版)3所谓可信赖是指在现有及未来可预见的技术下，可以有效地管理系统及信息，以防止非法用户破坏或窃取。16.1可信赖的系统信息与网络安全概论(第三版)4可信赖核心处理器(TrustedComputingBase，TCB)任意性访问控制(DiscretionaryAccessControl，DAC)账户(Accountability)审核(Auditing)识别与验证(IdentificationandAuthentication)授权(Authorizations)可信赖的系统具有以下特征：16.1可信赖的系统(续)信息与网络安全概论(第三版)5•1985年，美国计算机安全委员会(NCSC)提出可信赖系统评估准则(TCSEC)，作为评估可信赖计算机系统的准则，此准则在当时成为各厂商研发计算机系统安全的方针，也是美国政府采购与规划计算机系统安全的依据。16.2可信赖计算机系统的评估准则信息与网络安全概论(第三版)6可信赖系统评估准则的安全等级信息与网络安全概论(第三版)7安全等級D这个等级的计算机系统无任何防护或只有最低等级的安全防护，常见的如一般的家用计算机。可信赖系统评估准则的安全等级(续)信息与网络安全概论(第三版)8安全等級C这个等级必须具有任意性安全防护机制(DiscretionaryProtection)，由低到高还可细分为C1及C2两个安全等级。–C1安全等级：这个等级主要的评估准则为是否具有任意性的安全保护机制(DiscretionarySecurityProtection)，这个等级允许用户可自行决定所需要的安全防护措施。–C2安全等级：这个等级主要的评估准则为是否具有受控制的访问保护机制(ControlledAccessProtection)，也就是允许系统管理者可以依照需求对系统的资源、文件及处理等进行保护，并可建立审核文件，对用户进行追踪。任意式访问控制(DiscretionaryAccessControl)物件再利用(ObjectReuse)识别与验证(IdentificationandAuthentication)审核(Audit)可信赖系统评估准则的安全等级(续)信息与网络安全概论(第三版)9安全等級B这个等级必须具有强制性的安全防护机制(MandatoryProtection)，由低到高还可再细分为B1、B2及B3这3个安全等级。–B1安全等级：这个等级主要的评估准则是要提供安全防护标示(LabelledSecurityProtection)。例如，依照用户或数据的安全等级来实施强制性的访问控制或将数据分开存放，一般政府单位的电子公文系统必须要达到这个等级。–B2安全等级：这个等级主要的评估准则是要提供结构化的防护机制(StructuredProtection)，这个等级支持硬件、内存的保护，常见的例子如银行的计算机系统。–B3安全等级：这个等级主要的评估准则是划分安全范围(SecurityDomains)，并建立独立的系统安全模块，目的在于保护不同层之间的信息安全。可信赖系统评估准则的安全等级(续)信息与网络安全概论(第三版)10安全等級A这个等级只有A1这一个安全等级。此等级的计算机系统拥有最高的防护等级，有关国防或与国家安全相关的计算机系统大多都需要达到这个等级。这个等级的计算机系统必须具有经过验证的保护措施(VerifiedProtection)，所有的安全设计也都需经过验证，其安全保护措施及系统安全设计都必须经过认可或严谨的数学证明，来确保这些机制是安全的。换句话说，若能以严谨的数学来证明B3等级的安全性，就可以提升B3到A1安全等级可信赖系统评估准则的安全等级(续)信息与网络安全概论(第三版)1116.3密码模块的安全规范——FIPS140密码模块包含一个由硬件、软件或其他元件所形成的集合，并使其能在密码所定义的边界内使用密码逻辑或密码算法，来完成重要或敏感信息的保密工作。目前的最新版本为于2001年所公布的FIPS140-2，作为从业人员在开发一个民用的密码模块时的准则。信息与网络安全概论(第三版)12FIPS140-2的安全等級安全等級一(SecurityLevel1)•提供基本的安全需求，它是4个安全等级中安全需求最低的。•它不需要检测实体安全机制，仅规定此密码模块中至少需使用一个通过FIPS验证的算法或安全功能，例如个人计算机的加密接口版。•这个等级也允许密码模块的软件可以在一般用途的个人计算机上执行。•这个等级的规范可避免因硬件设备昂贵而不通过密码系统保护数据的情况发生。信息与网络安全概论(第三版)13安全等級二(SecurityLevel2)•提供了一般的防护措施，它加强了安全等级一有关实体安全机制的部分，但却不要花费较高防护等级所需的成本。•常见的防护机制有加入破坏存迹涂层(Tamper-evidentcoating)、密封(Seals)或抗拆锁(Pick-resistantLock)等。•破坏存迹涂层及密封可以安置在密码模块上，若要通过实体去访问加密密钥或其他重要的安全参数，则涂层及密封就会被破坏掉，密码模块内的参数已不再安全。•抗拆锁则是安置在实体的盖子或活门上，用于防止未经授权的实体访问。•提供角色验证(Role-basedAuthentication)功能，密码模块至少要验证一个用户的特定角色及此角色所执行的相关服务。FIPS140-2的安全等級(续)信息与网络安全概论(第三版)14安全等級三(SecurityLevel3)•提供了严谨的防护措施，除了具有安全等级二所要达到的破坏存迹实体安全机制外，它还尝试去防止入侵者(Intruder)取得密码模块内的重要参数。•安全等级三预期有很高的几率可以侦测密码模块中的非法实体访问、使用或篡改。例如，可以将密码模块封装在一个坚固的硬壳里以防止实体访问；或者是安装一个破坏侦测及回应晶片，当密码模块的外壳或盖子被打开时，就将内部的重要安全参数全部归零，以防止机密外泄。•采用的身份验证(Identity-basedAuthentication)机制，比安全等级二所使用的角色验证机制更加严谨。FIPS140-2的安全等級(续)信息与网络安全概论(第三版)15安全等級四(SecurityLevel4)•提供了最高等级的安全性。它提供对该密码模块完整的保护，能侦测并回应所有可能的实体访问。•所有试图由密码模块外层的入侵动作都会被侦测出来，同时会将模块内所有重要的安全参数都归零。•这个等级的密码模块特别适用于没有任何实体安全防护措施的环境中。•密码模块被要求对环境条件或外在变动进行侦测，一旦察觉便将所有重要安全参数归零。FIPS140-2的安全等級(续)信息与网络安全概论(第三版)16FIPS140-2所涵盖的范围•基本的设计和文件编写(BasicDesignandDocumentation)。•模块接口(ModuleInterfaces)。•授权的角色和服务(AuthorizedRolesandServices)。•实体安全(PhysicalSecurity)。•软件安全(SoftwareSecurity)。•操作系统安全(OperatingSystemSecurity)。•密钥管理(KeyManagement)。•密码算法(CryptographicAlgorithms)。•电磁干扰/电磁相容(ElectromagneticInterference/ElectromagneticCompatibility，EMI/EMC)。•自我测试(Self-testing)。信息与网络安全概论(第三版)17为使信息系统安全有统一的标准，1991年英、美、法、德这些国家共同公布了“信息技术安全评估准则”(InformationTechnologySecurityEvaluationCriteria，ITSEC)。1995年美国、加拿大、英国、法国、德国及荷兰制订了“信息技术安全评估共同准则”(CommonCriteriaforInformationTechnologySecurityEvaluation，CCITSE)。国际标准组织(ISO)于1998年根据CCITSE内容制订了ISO/IEC15408的信息安全技术国际标准。16.4信息技术安全评估共同准则信息与网络安全概论(第三版)18信息技术安全评估共同准则的发展过程TCSEC1985(OrangeBook)CCITSEISO/IEC154081998CTCPEC1993USFederalCriteria1993ITSEC1990FrenchCriteria1989GermanCriteria1989ConfidenceLevels1989信息与网络安全概论(第三版)19TCSEC、ITSEC及CCITSE安全等级的对应TCSECITSECCCITSED-最低安全防护E---EAL1-功能性测试C1-任意安全防护E1EAL2-结构性测试C2-控制访问防护F1、F2、E3EAL3-系统化测试及检查B1-安全防护标示F3、E3EAL4-系统化设计、测试及审查B2-结构化防护F4、E4EAL5-半正规化设计和测试B3-划分安全范围F5、E5EAL6-半正规化查证设计和测试A1-验证防护F6、E6EAL7-正规化查证设计和测试信息与网络安全概论(第三版)20CCITSE所提出的7种评估保证等级评估保证等级1(EAL1)—功能性测试证实评估的内容符合文件中所阐述的功能，并且对于可识别的威胁也可提供有效的防护。评估保证等级2(EAL2)—结构性测试适用于研发人员或用户缺乏完全的研发记录情况下，研发人员可自行进行测试、分析，并将其测试结果交给评估员，评估员再根据研发人员所提供的测试结果进行独立取样测试。评估保证等级3(EAL3)—系统化测试及检查适用于研发人员或用户需要中等级的独立保证安全环境，这个等级提供了被评估项目在研发期间不受篡改的信心。信息与网络安全概论(第三版)21CCITSE所提出的7种评估保证等级(续)评估保证等级4(EAL4)—系统化设计、测试及审查适用于研发人员或用户需要中至高等级的独立保证安全环境，并且可额外负担安全技术的成本。评估保证等级5(EAL5)—半正规化设计和测试适用于研发人员或用户需要高等级的独立保证安全环境，并且要求严谨的研发方式。评估保证等级6(EAL6)—半正规化查证设计和测试适用于高资产价值及高风险情况所需的高安全应用环境。评估保证等级7(EAL7)—正规化查证设计和测试适用于极高资产价值及极高风险情况所需的极高安全应用环境。信息与网络安全概论(第三版)22•保护概况（ProtectionProfile，简称PP）依消费者的需求所详细定义的安全需求。•评估目标（TargetofEvaluation，简称TOE）用来阐述一个信息技术产品或系统需要进行评估时，被评估项目的管理者或用户所使用的评估准则。•安全目标（SecurityTarget，简称ST）用来描述一个经确认的评估目标(TOE)所必须满足的安全需求，以及阐述某项信息技术或系统可以提供的安全服务。共同准则內容信息与网络安全概论(第三版)23共同准则內容(续)第一部分：简介及一般模型这部分定义了信息技术安全评估的一般性概念及原理，并提出了一个用来评估的一般化模型。第二部分：安全功能需求主要是建立一个功能元件的集合，此集合可作为阐述评估目标(TOE)功能需求的标准方式。此外还定义了一些功能元件(FunctionalComponents)、属别(Families)及类别(Classes)的架构第三部分：安全保证需求(Se