信息安全工程安全標(biāo)準(zhǔn)及模型課件

1、第13章安全標(biāo)準(zhǔn)及模型 第13章 安全標(biāo)準(zhǔn)及模型 13.1安全標(biāo)準(zhǔn)概況安全標(biāo)準(zhǔn)概況 13.2信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn) 13.3信息安全模型信息安全模型 13.4能力成熟模型能力成熟模型 第13章安全標(biāo)準(zhǔn)及模型 13.1安全標(biāo)準(zhǔn)概況安全標(biāo)準(zhǔn)概況13.1.1國際安全標(biāo)準(zhǔn)組織國際安全標(biāo)準(zhǔn)組織國際性的標(biāo)準(zhǔn)化組織主要有國際標(biāo)準(zhǔn)化組織(ISO)、國際電器技術(shù)委員會(huì)(IEC)及國際電信聯(lián)盟(ITU)所屬的電信標(biāo)準(zhǔn)化組織(ITUTS)。ISO是一個(gè)總體標(biāo)準(zhǔn)化組織,IEC在電工與電子技術(shù)領(lǐng)域里相當(dāng)于ISO的位置,ITUTS是一個(gè)聯(lián)合締約組織。這些組織在安全需求服務(wù)分析指導(dǎo)、安全技術(shù)機(jī)制開發(fā)、安全

2、評估標(biāo)準(zhǔn)等方面制定了一些標(biāo)準(zhǔn)草案,但尚未正式執(zhí)行。另外,還有眾多標(biāo)準(zhǔn)化組織也制定了一些安全標(biāo)準(zhǔn),如IETF(theInternetEngineeringTaskForce)就有如下功能組:認(rèn)證防火墻測試組(AFT)、公共認(rèn)證技術(shù)組(CAT)、域名安全組(DNSSEC)、IP安全協(xié)議組(IPSEC)、一次性口令認(rèn)證組(OTP)、公開密鑰結(jié)構(gòu)組(PKIX)、安全界面組(SECSH)、簡單公開密鑰結(jié)構(gòu)組(SPKI)、傳輸層安全組(TLS)和Web安全組(WTS)等,它們都制定了有關(guān)的標(biāo)準(zhǔn)。第13章安全標(biāo)準(zhǔn)及模型 13.1.2國際安全標(biāo)準(zhǔn)概況國際安全標(biāo)準(zhǔn)概況1.ISO的有關(guān)安全標(biāo)準(zhǔn)的有關(guān)安全標(biāo)準(zhǔn)ISO

3、和IEC制定了一系列有關(guān)信息和網(wǎng)絡(luò)安全的標(biāo)準(zhǔn),其中包括安全算法、安全機(jī)制、安全協(xié)議、安全管理和網(wǎng)絡(luò)安全等方面。下面列出一些有代表性的安全標(biāo)準(zhǔn)。1)安全算法標(biāo)準(zhǔn)ISO/IEC101181:單向散列函數(shù)部分1通用模型。ISO/IEC101182:單向散列函數(shù)部分2使用n位塊密碼算法的單向散列函數(shù)。ISO/IEC101183:單向散列函數(shù)部分3專用的單向散列函數(shù)。 第13章安全標(biāo)準(zhǔn)及模型 2)安全機(jī)制標(biāo)準(zhǔn)ISO/IEC10116:n位塊密碼算法的操作模式(加密機(jī)制)。ISO/IEC9798197985:實(shí)體認(rèn)證的通用模型和使用各種認(rèn)證算法的認(rèn)證機(jī)制(實(shí)體認(rèn)證機(jī)制)。ISO/IEC9797:使用加密檢

4、查功能的數(shù)據(jù)完整性機(jī)制(完整性機(jī)制)。ISO/IEC148881148883:數(shù)字簽名的通用模型、基于身份的機(jī)制和基于證書的機(jī)制(數(shù)字簽名機(jī)制)。ISO/IEC138881138883:不可否認(rèn)的通用模型、基于對稱和非對稱的密碼算法的機(jī)制(不可否認(rèn)機(jī)制)。 第13章安全標(biāo)準(zhǔn)及模型 3)安全協(xié)議標(biāo)準(zhǔn)ISO/IEC95948:認(rèn)證框架,定義了各種強(qiáng)制性的認(rèn)證機(jī)制和框架結(jié)構(gòu)。4)安全管理標(biāo)準(zhǔn)ISO/IEC117701117703:密鑰管理框架、使用對稱和非對稱的密碼算法的密鑰管理機(jī)制。 5)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)ISO/IEC74982:OSI安全結(jié)構(gòu),定義了基于OSI層次結(jié)構(gòu)的安全機(jī)制和安全服務(wù)。ISO/I

5、EC101811101817:OSI安全框架、實(shí)體認(rèn)證框架、訪問控制框架、不可否認(rèn)性框架、完整性框架、機(jī)密性結(jié)構(gòu)和安全審計(jì)框架等。 第13章安全標(biāo)準(zhǔn)及模型 6)安全評估標(biāo)準(zhǔn)ISO/IEC15408:信息技術(shù)安全評估通用準(zhǔn)則(CC),為相互獨(dú)立的機(jī)構(gòu)對相同信息安全產(chǎn)品的評估提供了可比性。 第13章安全標(biāo)準(zhǔn)及模型 表表13.1.1ISO和和ISO/IEC通用密碼技術(shù)標(biāo)準(zhǔn)通用密碼技術(shù)標(biāo)準(zhǔn) I S O 號號 主主 題題 有有 關(guān)關(guān) 標(biāo)標(biāo) 準(zhǔn)準(zhǔn) 及及 算算 法法 8372 64 bit 密碼的工作模式 FIPS 81, ANSI X3.106 9796 可恢復(fù)消息的簽字(例 RSA) ANSI X9.3

6、1 9797 數(shù)據(jù)完整性機(jī)制(MAC) ISO 8731-1,ISO 9807, ANSI X9.9, ANSI 9.19 9798-1 實(shí)體認(rèn)證：引論 9798-2 實(shí)體認(rèn)證：采用對稱密鑰加密 9798-3 實(shí)體認(rèn)證：采用公鑰技術(shù) 9798-4 實(shí)體認(rèn)證：采用密鑰控制的單向函數(shù) 9798-5 實(shí)體認(rèn)證：采用零知識技術(shù) 9979 密碼算法的注冊 10116 n-bit 密碼的工作模式 10118-1 雜湊函數(shù)：引論 10118-2 雜湊函數(shù)：采用分組密碼 Matyas-Meyer-Oseas 及 MDC-2 算法 10118-3 雜湊函數(shù)：采用定制的算法 SHA-I.RIPEMD-128, R

7、IPEMD-166 10118-4 雜湊函數(shù)：采用模算術(shù) MASH-1, MASH-2 11770-1 密鑰管理：引論 11770-2 密鑰管理：對稱技術(shù) Kerberos, Otway-Rel 協(xié)議 11770-3 密鑰管理：非對稱技術(shù) Diffie-Hellman 協(xié)議 ISO/IEC 9798 13888-1 不可否認(rèn)性：引論 13888-2 不可否認(rèn)性：對稱技術(shù) 13888-3 不可否認(rèn)性：非對稱技術(shù) 14888-1 有附件的簽字：引論 ANSI X9.30-1 ISO/IEC 9796 14888-2 有附件的簽字：基于身份的機(jī)制 14888-3 有附件的簽字：基于證書的機(jī)制 DSA

8、, EIGamal Schvlorr, RSA 等簽字 第13章安全標(biāo)準(zhǔn)及模型 表表13.1.2ISO和和ISO/IEC的安全結(jié)構(gòu)和安全框架標(biāo)準(zhǔn)的安全結(jié)構(gòu)和安全框架標(biāo)準(zhǔn) 第13章安全標(biāo)準(zhǔn)及模型 2.ITU的有關(guān)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的有關(guān)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)ITU針對數(shù)據(jù)通信網(wǎng)的安全問題制定了有關(guān)網(wǎng)絡(luò)安全標(biāo)準(zhǔn),它與ISO安全標(biāo)準(zhǔn)是相對應(yīng)的。例如:ITUX.800:安全結(jié)構(gòu),與ISO74982相對應(yīng)。ITUX.509:認(rèn)證框架,與ISO95948相對應(yīng)。ITUX.816:安全框架,與ISO10181相對應(yīng)。 第13章安全標(biāo)準(zhǔn)及模型 3.IETF的有關(guān)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的有關(guān)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)Internet研究和發(fā)展共同體(

9、InternetResearchandDevelopmentCommunity)正式公布的文件稱做應(yīng)征意見稿(RFC,RequestforComments),其中一部分被規(guī)定為共同體內(nèi)Internet標(biāo)準(zhǔn)的候選。例如:IETFRFC1825:IP協(xié)議安全結(jié)構(gòu)。IETFRFC2401RFC2412:IP安全協(xié)議。IETFRFC2246:傳輸層安全協(xié)議。IETFRFC2632和IETFRFC2633:有關(guān)安全電子郵件協(xié)議(S/MIME)。IETFRFC2659RFC2660:有關(guān)安全HTTP協(xié)議(SHTTP)。IETFRFC2559:InternetX.509公鑰基礎(chǔ)結(jié)構(gòu)操作協(xié)議。 第13章安全標(biāo)

10、準(zhǔn)及模型 表表13.1.3InternetRFC 第13章安全標(biāo)準(zhǔn)及模型 4.IEEE的有關(guān)局域網(wǎng)安全標(biāo)準(zhǔn)的有關(guān)局域網(wǎng)安全標(biāo)準(zhǔn)IEEE針對局域網(wǎng)安全問題制定了有關(guān)互操作局域網(wǎng)的安全規(guī)范,并將其作為IEEE802.10標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)包括數(shù)據(jù)安全交換、密鑰管理以及網(wǎng)絡(luò)安全管理等規(guī)范。IEEE還制定了有關(guān)公鑰密碼算法的標(biāo)準(zhǔn)(IEEEP1363)。 第13章安全標(biāo)準(zhǔn)及模型 13.1.3各國安全標(biāo)準(zhǔn)概況各國安全標(biāo)準(zhǔn)概況1.信息安全技術(shù)標(biāo)準(zhǔn)信息安全技術(shù)標(biāo)準(zhǔn)信息安全技術(shù)標(biāo)準(zhǔn)主要指數(shù)據(jù)加密、數(shù)字簽名以及實(shí)體認(rèn)證等標(biāo)準(zhǔn)。美國國家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)(NIST,NationalInstituteStandardandTe

11、chnology,原美國國家標(biāo)準(zhǔn)局)、美國國家標(biāo)準(zhǔn)協(xié)會(huì)(ANSI)、美國國防部(DoD)和美國國家安全局(NSA)都從不同角度制定了有關(guān)信息安全的標(biāo)準(zhǔn)。NIST在信息處理標(biāo)準(zhǔn)(FIPS)中公布的有關(guān)信息安全的標(biāo)準(zhǔn)為美國聯(lián)邦政府標(biāo)準(zhǔn),供美國聯(lián)邦政府各個(gè)部門使用。標(biāo)準(zhǔn)號以FIPS為標(biāo)志頭,主要有數(shù)據(jù)加密、數(shù)據(jù)認(rèn)證、密鑰管理、數(shù)字簽名以及實(shí)體認(rèn)證等標(biāo)準(zhǔn)。 第13章安全標(biāo)準(zhǔn)及模型 表表13.1.4美國美國FIPS公布的有關(guān)標(biāo)準(zhǔn)公布的有關(guān)標(biāo)準(zhǔn) FIPS 號號 主主 題題 有有 關(guān)關(guān) 標(biāo)標(biāo) 準(zhǔn)準(zhǔn) FIPS 46-2 數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) ANSI X3.92 FIPS 74 使用 DES指南 FIPS

12、81 DES 工作模式 ANSI X 3.106 FIPS 112 通行字使用 FIPS 113 數(shù)據(jù)認(rèn)證(CBCMAC) ISO/IEC 9797 FIPS 114-1 密碼模塊安全性要求 FIPS 171 采用 X9.17 的密鑰管理 FIPS 180-1 安全雜湊標(biāo)準(zhǔn)(SHA-1) FIPS 185 密鑰托管(Clipper 和 SKIPJACK ) FIPS 186 數(shù)字簽名標(biāo)準(zhǔn)(DSA) FIPS 180, FIPS 180-1 FIPS JJJ 實(shí)體認(rèn)證(非對稱) ISO/IEC 9798-3 第13章安全標(biāo)準(zhǔn)及模型 表表13.1.5 ANSI 的加密標(biāo)準(zhǔn)和銀行業(yè)務(wù)安全標(biāo)準(zhǔn)的加密標(biāo)

13、準(zhǔn)和銀行業(yè)務(wù)安全標(biāo)準(zhǔn) 第13章安全標(biāo)準(zhǔn)及模型 表13.1.6ISO制定的銀行業(yè)務(wù)安全標(biāo)準(zhǔn)(W批發(fā),R零售) 第13章安全標(biāo)準(zhǔn)及模型 2.系統(tǒng)安全評價(jià)標(biāo)準(zhǔn)系統(tǒng)安全評價(jià)標(biāo)準(zhǔn)信息安全產(chǎn)品不同于其他信息產(chǎn)品,必須經(jīng)過權(quán)威認(rèn)證機(jī)構(gòu)的評估和認(rèn)證后才能進(jìn)入市場,被用戶所使用。權(quán)威認(rèn)證機(jī)構(gòu)在評估和認(rèn)證安全產(chǎn)品時(shí)必須遵循被廣泛認(rèn)可的評估標(biāo)準(zhǔn)或準(zhǔn)則,以實(shí)現(xiàn)產(chǎn)品評估的公正性和一致性。因此,一個(gè)能被廣泛接受的評估標(biāo)準(zhǔn)是極為重要的。20世紀(jì)70年代后期,美國國防部首先意識到了這個(gè)問題,并提出了一組計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)。這組標(biāo)準(zhǔn)包含20多個(gè)文件,每個(gè)文件使用不同顏色的封皮,因此稱為“彩虹系列”。其中,最核心的是“可信計(jì)算機(jī)

14、系統(tǒng)評估準(zhǔn)則(TCSEC)”,按其封皮顏色被稱之為“橙皮書”。 第13章安全標(biāo)準(zhǔn)及模型 TCSEC主要提供一種度量標(biāo)準(zhǔn),用于評估處理敏感信息的計(jì)算機(jī)系統(tǒng)的可信度和安全性。TCSEC主要有兩部分:第一部分描述了劃分計(jì)算機(jī)系統(tǒng)安全等級的標(biāo)準(zhǔn),這種劃分是建立在人們對敏感信息保護(hù)所持有的全部信心的基礎(chǔ)上的;第二部分描述了該標(biāo)準(zhǔn)開發(fā)的基本目標(biāo)、基本原理以及美國政府的政策等。TCSEC定義了4個(gè)安全等級:A、B、C和D。A級表示計(jì)算機(jī)系統(tǒng)提供了最強(qiáng)的安全性,D級表示計(jì)算機(jī)系統(tǒng)提供了最弱的安全性。B級劃分成B1、B2和B3三個(gè)子類,C級劃分成C1和C2兩個(gè)子類。這樣,總共劃分為7個(gè)安全等級。(1)D級(最小

15、保護(hù)):所有系統(tǒng)都能滿足的最低安全級,不具備更高級的安全特性。(2)C級(自主保護(hù)):提供自主接入控制(DAC)和目標(biāo)重用,支持識別、認(rèn)證和審計(jì)。C級劃分成C1和C2兩個(gè)子類。 第13章安全標(biāo)準(zhǔn)及模型 C1級(自主訪問保護(hù)):通過將用戶和數(shù)據(jù)相分離來滿足自主保護(hù)的要求,它將各種控制集為一體,對每個(gè)實(shí)體獨(dú)立地提供DAC、識別和認(rèn)證。C2級(受控訪問保護(hù)):比C1級控制更加嚴(yán)格,要求對用戶也要實(shí)施DAC、識別、認(rèn)證和審計(jì),并要求目標(biāo)重用。 第13章安全標(biāo)準(zhǔn)及模型 (3)B級(受控保護(hù)):利用受控接入控制(MAC)和數(shù)據(jù)敏感標(biāo)記實(shí)現(xiàn)多級安全性,并提供一些保證要求。B級劃分成B1、B2和B3三個(gè)子類。

16、B1級(帶有標(biāo)記的保護(hù)):系統(tǒng)必須對主要數(shù)據(jù)結(jié)構(gòu)加敏感度標(biāo)記,必須給出有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及對主體和客體的強(qiáng)制訪問控制的非正規(guī)表述。B2級(結(jié)構(gòu)化保護(hù)):基于一種形式化的安全策略模型,B1級系統(tǒng)中所采用的自主訪問控制和強(qiáng)制訪問控制都被擴(kuò)展到B2級系統(tǒng)中的所有主體和客體。B2級特別強(qiáng)調(diào)了隱蔽通道的概念,必須構(gòu)造可信任計(jì)算機(jī)庫(TCB),強(qiáng)化認(rèn)證機(jī)制,提供嚴(yán)格的配置管理控制的能力。 第13章安全標(biāo)準(zhǔn)及模型 B3級(安全域):所有主體對客體的訪問必須通過TCB中介,并且必須是防篡改的。B3級要求系統(tǒng)必須提供安全管理功能、安全審計(jì)機(jī)制和可信任系統(tǒng)恢復(fù)程序。 第13章安全標(biāo)準(zhǔn)及模型 (4)A級(

17、可驗(yàn)證保護(hù)):采用可驗(yàn)證的形式化安全策略模型。A1級是最高的安全級,功能上等價(jià)于B3級。A級要求對安全策略模型進(jìn)行形式化驗(yàn)證,并且形式化驗(yàn)證要貫穿于整個(gè)系統(tǒng)開發(fā)過程。為了將TCSEC中確立的原則應(yīng)用于網(wǎng)絡(luò)環(huán)境中,DoD對TCSEC進(jìn)行了增補(bǔ),公布了可信任網(wǎng)絡(luò)注釋TNI(紅皮書)。紅皮書有兩個(gè)主要部分:第一部分對橙皮書的相應(yīng)部分進(jìn)行了擴(kuò)充,建立了網(wǎng)絡(luò)系統(tǒng)安全等級的劃分標(biāo)準(zhǔn);第二部分描述了網(wǎng)絡(luò)環(huán)境中的一些特有業(yè)務(wù),如認(rèn)證、不可否認(rèn)以及網(wǎng)絡(luò)安全管理等。因此,紅皮書是局域網(wǎng)和廣域網(wǎng)環(huán)境中網(wǎng)絡(luò)系統(tǒng)和產(chǎn)品安全等級劃分的基礎(chǔ)。 第13章安全標(biāo)準(zhǔn)及模型 美國的橙皮書公布后,歐洲各國相繼提出了各自的信息安全評價(jià)

18、標(biāo)準(zhǔn),如德國的信息安全標(biāo)準(zhǔn)ZSIEC、英國的商用安全產(chǎn)品分級標(biāo)準(zhǔn)(綠皮書)、法國的信息安全標(biāo)準(zhǔn)SCSSI、加拿大的可信計(jì)算機(jī)產(chǎn)品評估準(zhǔn)則CTCPEC以及歐共體的信息技術(shù)安全評估準(zhǔn)則ITSEC等。德國的信息安全標(biāo)準(zhǔn)ZSIEC(綠皮書)是由德國信息安全局制定的。在ZSIEC中,定義了信息安全政策所需的8種基本安全功能。與TCSEC不同的是,ZSIEC在基本安全功能中增加了對系統(tǒng)可用性(不間斷服務(wù))和數(shù)據(jù)完整性的要求。在評定級別方面,ZSIEC規(guī)定了10個(gè)功能級別(F1F10)和7個(gè)質(zhì)量級別(Q1Q7)。其中,F1F5大致與TCSEC的C1B3相對應(yīng),Q1Q7近似對應(yīng)于TCSEC的信任度級別DA1。

19、第13章安全標(biāo)準(zhǔn)及模型 英國的商用安全產(chǎn)品分級標(biāo)準(zhǔn)(綠皮書)是由英國國防部和商業(yè)部共同制定的。英國標(biāo)準(zhǔn)主要定義一種規(guī)范的產(chǎn)品功能說明語言,使用這種語言描述的產(chǎn)品,其安全功能可以由評審人員用規(guī)范方法加以驗(yàn)證。英國標(biāo)準(zhǔn)定義了6個(gè)信任度級別L1L6,大致對應(yīng)于TCSEC的C1A1或德國綠皮書的Q1Q6。同時(shí),英國政府還建立了一個(gè)商用許可評定體制,以促進(jìn)該標(biāo)準(zhǔn)的商業(yè)化應(yīng)用。加拿大、澳大利亞和法國也制定了本國的標(biāo)準(zhǔn)。 第13章安全標(biāo)準(zhǔn)及模型 由于各國對信息安全產(chǎn)品等級劃分和評定存在著認(rèn)識上的差異,因此這些標(biāo)準(zhǔn)之間存在較嚴(yán)重的兼容性問題。在一個(gè)國家獲得某一安全級別評定和認(rèn)證的信息安全產(chǎn)品在另一個(gè)國家得不到

20、承認(rèn),需要重新評定和認(rèn)證,影響了產(chǎn)品進(jìn)入市場的時(shí)間和商機(jī)。為了協(xié)調(diào)歐共體國家的安全產(chǎn)品評價(jià)標(biāo)準(zhǔn),在歐共體各成員國的支持下,英、德、法、荷四國聯(lián)合制定了信息技術(shù)安全評估準(zhǔn)則(ITSEC),作為歐共體成員國的共同標(biāo)準(zhǔn)。ITSEC保留了德國標(biāo)準(zhǔn)中10個(gè)功能級別和8個(gè)質(zhì)量級別(改成有效性級別E0E7)的內(nèi)容,同時(shí)吸取了英國標(biāo)準(zhǔn)中功能描述語言的思想。安全產(chǎn)品(系統(tǒng))的評定是由TCSEC式的政府行為轉(zhuǎn)變?yōu)橛墒袌鲵?qū)使的行業(yè)行為,首先由廠商提出其安全產(chǎn)品(系統(tǒng))的評價(jià)目標(biāo)和所期望的級別,然后由評定人員通過對產(chǎn)品的測評來確定是否同意廠商對產(chǎn)品安全功能的描述,以及是否給予廠商所要求的有效性級別。ITSEC比美國橙

21、皮書寬松一些,目的在于提供一種統(tǒng)一的安全系統(tǒng)評價(jià)方法,以滿足各種產(chǎn)品、應(yīng)用和環(huán)境的需要。第13章安全標(biāo)準(zhǔn)及模型 在ITSEC的推動(dòng)下,美國于1992年制定了TCSEC的更新計(jì)劃,由國家標(biāo)準(zhǔn)局和國家安全局合作制定了一個(gè)新標(biāo)準(zhǔn),即“組合的聯(lián)邦標(biāo)準(zhǔn)”(FC,CombinedFederalcriteria)。FC仿照ITSEC的思路將功能要求和信任度要求分割開,定義了保護(hù)框架(PP,ProtectionProfile)和安全目標(biāo)(ST,SecurityTarget)。用戶負(fù)責(zé)書寫保護(hù)框架,詳細(xì)說明其系統(tǒng)的保護(hù)需求。產(chǎn)品廠商提出產(chǎn)品的安全目標(biāo),描述產(chǎn)品的安全功能和信任度,并與用戶的保護(hù)框架相對比,以證明

22、該產(chǎn)品是否滿足用戶的需要。在FC的架構(gòu)中,安全目標(biāo)便成為評價(jià)的基礎(chǔ),安全目標(biāo)必須用具體的語言和有力的論據(jù)來說明保護(hù)框架中的抽象描述是怎樣逐條地在所評價(jià)的產(chǎn)品中得到滿足的。然而,在FC草案問世后不久,美國政府便宣布停止草案的修改工作,轉(zhuǎn)而與加拿大及歐共體國家一起聯(lián)合制定了共同的標(biāo)準(zhǔn),即信息技術(shù)安全評估通用準(zhǔn)則(theCommonCriteriaforInformationTechnologySecurityEvaluation),簡稱為CC。 第13章安全標(biāo)準(zhǔn)及模型 13.2信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn) 13.2.1國外信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)國外信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)1.國外風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)

23、發(fā)展與簡介國外風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)發(fā)展與簡介從20世紀(jì)80年代開始,世界各國相繼制定了多個(gè)信息安全評估標(biāo)準(zhǔn),主要有:桔皮書(TCSEC)1985、英國安全標(biāo)準(zhǔn)1989、德國標(biāo)準(zhǔn)、法國標(biāo)準(zhǔn)、ITSEC1991、加拿大標(biāo)準(zhǔn)1993、聯(lián)邦標(biāo)準(zhǔn)草案FC1993、通用評估準(zhǔn)則CC1993、澳大利亞標(biāo)準(zhǔn)AS/NZS43601995、英國BS77991995、國際ISO/IEC系列標(biāo)準(zhǔn)、美國NIST2000和德國BMP2001等。國外信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)的演變歷程如圖13.2.1所示。 第13章安全標(biāo)準(zhǔn)及模型 圖13.2.1國際標(biāo)準(zhǔn)體系的發(fā)展 第13章安全標(biāo)準(zhǔn)及模型 1)可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則(TCSEC)1985

24、年美國國防部首次公布了可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則,簡稱TCSEC(TrustedComputerSystemEvaluationCriteria),也稱桔皮書。TCSEC是信息技術(shù)安全評估的第一個(gè)正式標(biāo)準(zhǔn)。此標(biāo)準(zhǔn)作為軍用標(biāo)準(zhǔn),提出了美國在軍用信息技術(shù)安全方面的要求。TCSEC對用戶登錄、授權(quán)管理、訪問控制、訪問追蹤、隱蔽通道分析、可信通道建立、安全檢測、生命周期保障、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性的要求。TCSEC將計(jì)算機(jī)系統(tǒng)的安全等級劃分為D、C、B、A四類,每類下面又分為多個(gè)級別。D類安全等級只包括D1一個(gè)安全級別,D1的安全等級最低,只為文件和用戶提供安全保護(hù)。C類安全等級分為C1和C

25、2兩個(gè)安全級別,該類安全等級能夠提供審慎的保護(hù),并為用戶的行動(dòng)和責(zé)任提供審計(jì)能力。B類安全等級分為B1、B2和B3三個(gè)安全級別,該類安全等級具有強(qiáng)制性保護(hù)功能。A類安全等級只包含A1一個(gè)安全級別,A類的安全級別最高。第13章安全標(biāo)準(zhǔn)及模型 2)信息技術(shù)安全評估準(zhǔn)則(ITSEC)在20世紀(jì)80年代后期,幾個(gè)歐洲國家和加拿大紛紛開始開發(fā)自己的評估準(zhǔn)則。1991年,歐洲標(biāo)準(zhǔn)化委員會(huì)正式公開發(fā)表信息技術(shù)安全評估準(zhǔn)則(ITSEC,InformationonTechnologySecurityEvaluationCriteria)1.2版。ITSEC適用于軍隊(duì)、政府和商業(yè)部門。它以超越TCSEC為目的,將

26、安全概念分為功能和評估兩部分:功能準(zhǔn)則分為10級,15級對應(yīng)于TCSEC的DA類;評估準(zhǔn)則分為E0E6共7個(gè)安全等級。ITSEC還提出了信息安全的保密性、完整性和可用性等屬性,并且把可信計(jì)算機(jī)的概念提高到可信信息技術(shù)的高度來認(rèn)識,對國際信息安全的研究產(chǎn)生了深遠(yuǎn)的影響。第13章安全標(biāo)準(zhǔn)及模型 3)加拿大可信計(jì)算機(jī)產(chǎn)品評估準(zhǔn)則(CTCPEC)加拿大可信計(jì)算機(jī)產(chǎn)品評估準(zhǔn)則(CTCPEC)1.0版于1989年公布,專為政府需求而設(shè)計(jì)。1993年公布了3.0版,作為ITSEC和TCSEC的結(jié)合,將安全分為功能性要求和保證性要求兩部分。功能性要求分為保密性、完整性、可用性、可控性四大類。在每種安全要求下,

27、各類按程度不同又分為5級,以表示安全性上的差別。 第13章安全標(biāo)準(zhǔn)及模型 4)美國信息技術(shù)安全聯(lián)邦準(zhǔn)則(FC)20世紀(jì)90年代初,美國為了適應(yīng)信息技術(shù)的發(fā)展和推動(dòng)美國國內(nèi)非軍用信息技術(shù)產(chǎn)品安全性的進(jìn)步,NSA和NIST聯(lián)合起來對TCSEC進(jìn)行了修訂,于1992年底公布了FC草案1.0版。在此標(biāo)準(zhǔn)中引入了“保護(hù)輪廓”這一重要概念,每個(gè)保護(hù)輪廓都包括功能部分、開發(fā)保證部分和評測部分。其分級方式與TCSEC不同,充分吸取了ITSEC和CTCPEC的優(yōu)點(diǎn),主要供美國民用、商用及政府使用。 第13章安全標(biāo)準(zhǔn)及模型 5)AS/NZS4360風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)AS/NZS4360是澳大利亞和新西蘭聯(lián)合開發(fā)的風(fēng)險(xiǎn)管

28、理標(biāo)準(zhǔn),是風(fēng)險(xiǎn)管理的通用指南,它給出了一整套風(fēng)險(xiǎn)管理的流程。它把風(fēng)險(xiǎn)管理過程分為建立環(huán)境、風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評價(jià)、風(fēng)險(xiǎn)處理5個(gè)標(biāo)準(zhǔn)環(huán)節(jié)。在進(jìn)行資產(chǎn)的識別和評估時(shí),采取半定量化的方法,將威脅和風(fēng)險(xiǎn)發(fā)生的可能性與造成的影響劃分為不同的等級,然后對不同等級的風(fēng)險(xiǎn)給出了處理方法。它將對象定位在信息系統(tǒng),對信息安全風(fēng)險(xiǎn)評估具有指導(dǎo)作用。 第13章安全標(biāo)準(zhǔn)及模型 對上面幾個(gè)主要標(biāo)準(zhǔn)的總體評價(jià)如下:最初的TCSEC是針對孤立計(jì)算機(jī)系統(tǒng)提出的,特別是小型機(jī)和大型機(jī)系統(tǒng),該標(biāo)準(zhǔn)僅適用于軍隊(duì)和政府,不適用于企業(yè)。TCSEC和ITSEC均是不涉及開放系統(tǒng)的安全標(biāo)準(zhǔn),僅針對產(chǎn)品的安全保證要求來劃分等級并進(jìn)行評測

29、,且均為靜態(tài)模型,僅能反映靜態(tài)安全狀況。CTCPEC雖在二者的基礎(chǔ)上有一定發(fā)展,但也未能突破上述局限性。FC對TCSEC作了補(bǔ)充和修改,對保護(hù)輪廓和安全目標(biāo)作了定義,明確了由用戶提供其系統(tǒng)安全保護(hù)所要求的詳細(xì)輪廓,由產(chǎn)品商定義產(chǎn)品的安全功能和安全目標(biāo)等,但因其本身的一些缺陷一直沒有正式投入使用。目前國際上流行的標(biāo)準(zhǔn)有:CC、BS7799、ISO/IEC13335、ISO/IEC17799等。 第13章安全標(biāo)準(zhǔn)及模型 2.通用評估準(zhǔn)則通用評估準(zhǔn)則(CC)信息技術(shù)安全評估通用準(zhǔn)則(theCommonCriteriaforInformationTechnologySecurityEvaluation

30、,簡稱為CC)是北美和歐盟聯(lián)合開發(fā)的一個(gè)統(tǒng)一的國際公認(rèn)的安全準(zhǔn)則,是由FC和CTCPEC準(zhǔn)則相互間的總結(jié)和互補(bǔ)發(fā)展起來的。1999年,CC被ISO批準(zhǔn)成為國際標(biāo)準(zhǔn)ISO/IEC154081999,并正式頒布發(fā)行。CC是目前最全面的信息技術(shù)安全評估準(zhǔn)則,其內(nèi)容分為三部分。(1)簡介和一般模型:定義了信息技術(shù)安全評估的一般概念和原則,并規(guī)定了如何創(chuàng)建安全目標(biāo)和需求。 第13章安全標(biāo)準(zhǔn)及模型 (2)安全功能要求:用標(biāo)準(zhǔn)化的方法對評價(jià)目標(biāo)建立一個(gè)明確的滿足安全要求的部件功能集合。該功能集合分為部件(components)、族(families)和類(classes)。(3)安全保證要求:用標(biāo)準(zhǔn)化的方法

31、對評價(jià)目標(biāo)建立一個(gè)明確的滿足安全要求的部件集合,對保護(hù)方案和安全目標(biāo)進(jìn)行了定義,并且對安全評價(jià)目標(biāo)提出了安全評價(jià)保證級別(EAL)。級別分為EAL1到EAL7,共7個(gè)等級。每一級均需評估7個(gè)功能類,分別是:配置管理、分發(fā)和操作、并發(fā)過程、指導(dǎo)文獻(xiàn)、生命期的技術(shù)支持、測試和脆弱性評估。 第13章安全標(biāo)準(zhǔn)及模型 3.信息安全管理標(biāo)準(zhǔn)信息安全管理標(biāo)準(zhǔn)BS7799BS7799現(xiàn)已成為國際公認(rèn)的安全管理權(quán)威標(biāo)準(zhǔn)。1993年9月,英國標(biāo)準(zhǔn)協(xié)會(huì)(BSI)頒布信息安全管理實(shí)施細(xì)則,形成了BS7799的基礎(chǔ)。1995年2月,BSI首次公布了BS77991:1995。1998年2月,BSI公布了BS77992:1

32、998。1999年4月,BS77991和BS77992修訂后重新發(fā)布。2000年12月,BS77991:1999通過國際標(biāo)準(zhǔn)組織認(rèn)可,正式成為國際標(biāo)準(zhǔn),即ISO/IEC177991:2000。2002年9月,BSI對BS77992:2000進(jìn)行了改版,BS77992:2002通過了ISO認(rèn)可。 第13章安全標(biāo)準(zhǔn)及模型 BS7799分為兩部分:BS77991:1999信息安全管理細(xì)則(CodeofPracticeforInformationSecurityManagement)和BS77992:2002信息安全管理體系規(guī)范(SpecificationforInformationSecurityM

33、anagement)。BS77991:1999主要為組織建立并實(shí)施信息安全管理體系提供了一個(gè)指導(dǎo)性的準(zhǔn)則,BS77992:2000詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)的要求。BS77991:1999是一個(gè)非常詳盡、復(fù)雜的信息安全管理標(biāo)準(zhǔn)層次體系,共分為4層內(nèi)容、10個(gè)管理要項(xiàng)、36個(gè)管理目標(biāo)、127個(gè)控制措施以及若干個(gè)控制要點(diǎn),主要提供有效實(shí)施信息系統(tǒng)風(fēng)險(xiǎn)管理的建議。 第13章安全標(biāo)準(zhǔn)及模型 BS77992:2000詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)(ISMS)的要求。具體實(shí)施步驟是:定義安全策略,定義ISMS范圍(邊界);確定資產(chǎn),進(jìn)行資產(chǎn)風(fēng)險(xiǎn)評估;確定高風(fēng)險(xiǎn)資產(chǎn)、風(fēng)險(xiǎn)管理措施

34、決策;選擇合適的控制方式、部署和管理控制方式,啟用聲明、目標(biāo)審查、安全策略、安全目標(biāo)、契約和法律需求。 第13章安全標(biāo)準(zhǔn)及模型 4.ISO/IEC17799由于BS7799日益得到國際的認(rèn)同,使用的國家也越來越多,2000年12月,國際標(biāo)準(zhǔn)化組織正式將其第一部分轉(zhuǎn)化為國際標(biāo)準(zhǔn),即所頒布的ISO/IEC17799:2000信息技術(shù)信息安全管理實(shí)施細(xì)則(InformationTechnology-CodeofPracticeforInformationSecurityManagement)。作為一個(gè)全球通用的標(biāo)準(zhǔn),ISO/IEC17799并不局限于IT,也不依賴于專門的技術(shù),它是由長期積累的一些最

35、佳實(shí)踐構(gòu)成的,是市場驅(qū)動(dòng)的結(jié)果。ISO/IEC17799提出了風(fēng)險(xiǎn)評估的方法、步驟和主要內(nèi)容,為風(fēng)險(xiǎn)評估提供了實(shí)施指南;指出了風(fēng)險(xiǎn)評估的主要步驟,包括資產(chǎn)識別、威脅識別、脆弱性識別、已有控制措施確認(rèn)、風(fēng)險(xiǎn)計(jì)算等過程;首次給出了信息安全的保密性、完整性、可用性、審計(jì)性、認(rèn)證性、可靠性6個(gè)方面的含義,并提出了以風(fēng)險(xiǎn)為核心的安全模型;指出風(fēng)險(xiǎn)就是威脅利用漏洞使資產(chǎn)暴露而產(chǎn)生的影響的大小。 第13章安全標(biāo)準(zhǔn)及模型 5.ISO/IEC13335ISO/IEC13335信息技術(shù)IT安全管理指導(dǎo)方針(GMITS,InformationTechnology-GuidelinesfortheManagement

36、ofITSecurity)是一個(gè)關(guān)于IT安全管理的指南,它提出了以風(fēng)險(xiǎn)為核心的安全模型,闡述了信息安全評估的思路,對信息安全評估工作具有指導(dǎo)意義。 第13章安全標(biāo)準(zhǔn)及模型 該標(biāo)準(zhǔn)由以下5部分組成:(1)ISO/IEC133351:IT安全的概念和模型(ConceptsandModelsofITSecurity)。這部分包括對IT安全和安全管理的一些基本概念和模型的介紹。(2)ISO/IEC133352:IT安全的管理和計(jì)劃(ManagingandPlanningITSecurity)。這部分建議性地描述了IT安全管理和計(jì)劃的方式及要點(diǎn),包括:決定IT安全目標(biāo)、戰(zhàn)略和策略;決定組織的IT安全需求

37、;管理IT安全風(fēng)險(xiǎn);計(jì)劃適當(dāng)IT安全防護(hù)措施的實(shí)施;開發(fā)安全教育計(jì)劃;策劃跟進(jìn)的程序,如監(jiān)控、復(fù)查和維護(hù)安全服務(wù);開發(fā)事件處理計(jì)劃。 第13章安全標(biāo)準(zhǔn)及模型 (3)ISO/IEC133353:IT管理技術(shù)(TechniquesfortheManagementofITSecurity)。這部分覆蓋了風(fēng)險(xiǎn)管理技術(shù)、IT安全計(jì)劃的開發(fā)以及實(shí)施和測試,包括一些后續(xù)的制度審查、事件分析、IT安全教育程序等,并且介紹了四種風(fēng)險(xiǎn)評估方法(基線方法、非形式化方法、詳細(xì)分析方法、綜合分析方法)。(4)ISO/IEC133354:防護(hù)的選擇(SelectionofSafeguards)。這部分主要探討了如何針對一

38、個(gè)組織的特定環(huán)境和安全需求來選擇防護(hù)措施。 第13章安全標(biāo)準(zhǔn)及模型 (5)ISO/IEC133355:網(wǎng)絡(luò)安全管理指南(ManagementGuidanceonNetworkSecurity)。這部分提出了IT安全和機(jī)制應(yīng)用指南。ISO/IEC13335認(rèn)為安全管理中的主要部件包括資產(chǎn)、威脅、脆弱性、影響、風(fēng)險(xiǎn)、防護(hù)措施和剩余風(fēng)險(xiǎn);主要的安全管理過程包括風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)評估、安全意識、監(jiān)控與一致性檢驗(yàn)等。 第13章安全標(biāo)準(zhǔn)及模型 6.標(biāo)準(zhǔn)對比標(biāo)準(zhǔn)對比1)CC與BS7799CC強(qiáng)調(diào)對防護(hù)措施進(jìn)行評估,評估的結(jié)果是對防護(hù)措施保障程度的描述,即防護(hù)措施能夠降低安全風(fēng)險(xiǎn)的可信度,資產(chǎn)所有者可以根據(jù)CC來

39、決定是否接受將資產(chǎn)暴露給威脅所冒的風(fēng)險(xiǎn)。CC的不足之處是:由于涉及面太廣,所以很難被人們掌握和控制,而且它并不涉及管理細(xì)節(jié)和信息安全的具體實(shí)現(xiàn)、算法和評估方法等方面,也不能作為安全協(xié)議或用于安全鑒定。 第13章安全標(biāo)準(zhǔn)及模型 BS7799提供了一套普遍適用且行之有效的全面的安全控制措施,還提出了建立信息安全管理體系的目標(biāo),這和人們對信息安全管理認(rèn)識的加強(qiáng)是相適應(yīng)的。BS77992提出的信息安全管理體系(ISMS)是一個(gè)系統(tǒng)化、程序化和文檔化的管理體系。BS7799的不足之處在于:其所描述的所有控制方式并不適合于每種情況,它不可能將具體的系統(tǒng)環(huán)境和技術(shù)限制考慮在內(nèi),也不可能適合一個(gè)組織中的每個(gè)潛

40、在用戶。 第13章安全標(biāo)準(zhǔn)及模型 BS7799和CC都是信息安全領(lǐng)域的評估標(biāo)準(zhǔn),并且都以信息的保密性、完整性和可用性作為信息安全的基礎(chǔ)。然而,這兩個(gè)標(biāo)準(zhǔn)所面向的角度有很大的不同:BS7799是一個(gè)基于管理的標(biāo)準(zhǔn),它處理的是與IT系統(tǒng)相關(guān)的非技術(shù)問題;CC則是一個(gè)基于技術(shù)的標(biāo)準(zhǔn),它強(qiáng)調(diào)的是系統(tǒng)和產(chǎn)品安全技術(shù)方面的問題。與BS7799相比,CC更側(cè)重于對系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)的評估,而在對信息系統(tǒng)的日常安全管理方面,BS7799的地位是其他標(biāo)準(zhǔn)無法取代的。 第13章安全標(biāo)準(zhǔn)及模型 2)BS7799與ISO/IEC17799BS77991不支持信息安全認(rèn)證,而支持認(rèn)證的BS77992與ISO/IEC1

41、7799沒有任何關(guān)系。BS7799是針對企業(yè)的整體利益而言的,它將對象定位在信息系統(tǒng)安全管理體系。ISO/IEC17799來自BS77991。ISO/IEC17799主要提供了信息系統(tǒng)安全管理的指導(dǎo)性原則,將風(fēng)險(xiǎn)評估作為了建立信息安全管理體系的中間步驟,盡管沒有給出可操作的信息安全風(fēng)險(xiǎn)評估方案,但是確定了包括識別風(fēng)險(xiǎn)、評估風(fēng)險(xiǎn)、處理風(fēng)險(xiǎn)等在內(nèi)的風(fēng)險(xiǎn)評估控制目標(biāo)和控制方式。 第13章安全標(biāo)準(zhǔn)及模型 3)ISO/IEC13335與CCISO/IEC13335是由國際標(biāo)準(zhǔn)化組織頒布的一個(gè)信息安全管理指南,這個(gè)標(biāo)準(zhǔn)的主要目的是給出如何有效地實(shí)施IT安全管理的建議和指南。用戶完全可以參照這個(gè)完整的標(biāo)準(zhǔn)制

42、定出自己的安全計(jì)劃和實(shí)施步驟。ISO/IEC13335首次給出了關(guān)于IT安全的保密性、完整性、可用性、審計(jì)性、認(rèn)證性、可靠性6個(gè)方面的定義,并提出了以風(fēng)險(xiǎn)為核心的安全模型,闡述了信息安全評估的思路,對信息安全評估工作具有指導(dǎo)意義。CC是針對安全產(chǎn)品和系統(tǒng)進(jìn)行安全性評估的一個(gè)詳細(xì)方法,而ISO/IEC13335是包含與信息安全項(xiàng)目開發(fā)相關(guān)的一切模板。ISO/IEC13335關(guān)注的是安全項(xiàng)目的開發(fā),而CC是從技術(shù)的角度關(guān)心安全產(chǎn)品和系統(tǒng)的安全性評價(jià)。也就是說,CC沒有敘述怎樣開發(fā)安全產(chǎn)品和系統(tǒng),但是提供了評估安全產(chǎn)品和系統(tǒng)與預(yù)先定義的安全需求的符合程度的評價(jià)過程。 第13章安全標(biāo)準(zhǔn)及模型 4)IS

43、O/IEC13335與BS7799與BS7799比較而言,ISO/IEC13335對安全管理的過程描述得更加細(xì)致,完全可操作;有多種角度的模型和闡述;對安全管理過程中的最關(guān)鍵環(huán)節(jié)風(fēng)險(xiǎn)分析和管理有非常細(xì)致的描述,闡述了包括基線方法、非形式化方法、詳細(xì)分析方法和綜合分析方法等風(fēng)險(xiǎn)分析方法;有比較完整的針對6種安全需求的防護(hù)措施的介紹。BS7799以安全管理為基礎(chǔ),提供了一系列安全控制機(jī)制,供組織建立、貫徹和維護(hù)使用;提出了風(fēng)險(xiǎn)評估的要求,但是只注重信息安全管理方面。ISO/IEC13335介紹了風(fēng)險(xiǎn)評估的過程和方法,但是該方法是針對一般信息系統(tǒng)而言的,過于籠統(tǒng),沒有針對性。 第13章安全標(biāo)準(zhǔn)及模型

44、 總之,國際上風(fēng)險(xiǎn)評估相關(guān)的安全標(biāo)準(zhǔn)基本沒有一個(gè)是能直接拿來使用的。其原因是各標(biāo)準(zhǔn)針對的對象和目標(biāo)不一樣,有的標(biāo)準(zhǔn)強(qiáng)調(diào)風(fēng)險(xiǎn)管理,有的強(qiáng)調(diào)具體的安全技術(shù),有的只定義某一方面的安全等級,有的則強(qiáng)調(diào)國際通用的規(guī)范和認(rèn)證。 第13章安全標(biāo)準(zhǔn)及模型 13.2.2國內(nèi)信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)國內(nèi)信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)1.國內(nèi)風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)發(fā)展與簡介國內(nèi)風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)發(fā)展與簡介我國信息安全標(biāo)準(zhǔn)的研究基本上是從20世紀(jì)90年代末啟動(dòng)的,主要是等同采用或修改相關(guān)的國際標(biāo)準(zhǔn)。已經(jīng)頒布的標(biāo)準(zhǔn)如下:(1)GB/T18336-2001信息技術(shù)安全技術(shù)信息技術(shù)信息安全評估準(zhǔn)則;(2)GB/T19716-2005信息技術(shù)信息安全管理

45、實(shí)用規(guī)則;(3)GB/T19715.1-2005信息技術(shù)信息技術(shù)安全管理指南第1部分:信息技術(shù)安全概念和模型;(4)GB/T9361-2000計(jì)算機(jī)場地安全要求;(5)GB/T20984-2007信息安全技術(shù)信息系統(tǒng)的風(fēng)險(xiǎn)評估規(guī)范。 第13章安全標(biāo)準(zhǔn)及模型 另外,在國際標(biāo)準(zhǔn)的基礎(chǔ)上,我國也制定了一些針對信息化建設(shè)特點(diǎn)的信息安全技術(shù)和信息安全評估的國家、地方標(biāo)準(zhǔn)。由公安部主持制定、國家質(zhì)量技術(shù)監(jiān)督局發(fā)布的國家標(biāo)準(zhǔn)GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則將信息系統(tǒng)安全分為自主保護(hù)級、系統(tǒng)審計(jì)保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗(yàn)證保護(hù)級5個(gè)級別。我國還制定了金融行業(yè)標(biāo)準(zhǔn)銀行

46、及相關(guān)金融服務(wù)信息安全管理規(guī)范20030037-T-320,以及GB18018/18019等產(chǎn)品標(biāo)準(zhǔn)。部分省(市)也發(fā)布了一些地方標(biāo)準(zhǔn),例如,北京市于2002年制定并頒布了DB11/T171-2002北京市黨政機(jī)關(guān)信息網(wǎng)絡(luò)安全系統(tǒng)測評規(guī)范,上海市于2002年制定并頒布了DB31/T272-2002計(jì)算機(jī)信息系統(tǒng)安全測評通用技術(shù)規(guī)范。這些地方標(biāo)準(zhǔn)的制定為各地開展信息安全評估奠定了良好的基礎(chǔ)。 第13章安全標(biāo)準(zhǔn)及模型 2.GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范2003年7月,中辦發(fā)200327號文件對開展信息安全風(fēng)險(xiǎn)評估工作提出了明確的要求。國

47、信辦委托國家信息中心牽頭,成立了國家信息安全風(fēng)險(xiǎn)評估課題組,對信息安全風(fēng)險(xiǎn)評估相關(guān)工作展開調(diào)查研究。2004年3月29日正式啟動(dòng)了信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)草案的編制工作。2004年底完成了信息安全風(fēng)險(xiǎn)評估指南標(biāo)準(zhǔn)草案。2005年由國務(wù)院信息辦組織在北京、上海、黑龍江、云南等省市與人民銀行、國家稅務(wù)總局、國家信息中心及國家電力總公司開展了驗(yàn)證信息安全風(fēng)險(xiǎn)評估指南的可行性與可用性的試點(diǎn)工作。2006年6月19日,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)經(jīng)過討論,將標(biāo)準(zhǔn)正式命名為信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范,并同意其通過評審。由國家標(biāo)準(zhǔn)化管理委員會(huì)審查批準(zhǔn)發(fā)布的GB/T20984-2007信息安全技術(shù)信息安全風(fēng)

48、險(xiǎn)評估規(guī)范于2007年11月1日正式實(shí)施。 第13章安全標(biāo)準(zhǔn)及模型 信息安全風(fēng)險(xiǎn)評估規(guī)范(以下簡稱規(guī)范)是我國開展信息安全風(fēng)險(xiǎn)評估工作遵循的國家標(biāo)準(zhǔn)。規(guī)范定義了風(fēng)險(xiǎn)評估的基本概念、原理及實(shí)施流程,對被評估系統(tǒng)的資產(chǎn)、威脅和脆弱性識別要求進(jìn)行了詳細(xì)描述,并給出了具體的定級依據(jù);提出了風(fēng)險(xiǎn)評估在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn),以及風(fēng)險(xiǎn)評估的工作形式。規(guī)范分為兩個(gè)部分:主體和附錄。主體部分主要介紹風(fēng)險(xiǎn)評估的定義、風(fēng)險(xiǎn)評估的模型以及風(fēng)險(xiǎn)評估的實(shí)施過程;附錄部分包括信息安全風(fēng)險(xiǎn)評估的方法、工具介紹和實(shí)施案例。 第13章安全標(biāo)準(zhǔn)及模型 規(guī)范主體又分為引言和7項(xiàng)條款。引言指出信息安全風(fēng)險(xiǎn)評估的意義,還指

49、出信息安全風(fēng)險(xiǎn)評估要貫穿于信息系統(tǒng)生命周期的各個(gè)階段,其出發(fā)點(diǎn)是:從風(fēng)險(xiǎn)管理角度,運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護(hù)對策和整改措施;為防范和化解信息安全風(fēng)險(xiǎn),將風(fēng)險(xiǎn)控制在可接受的水平,從而為最大限度地保障信息安全提供科學(xué)依據(jù)。 第13章安全標(biāo)準(zhǔn)及模型 規(guī)范主體的7項(xiàng)條款包括:(1)范圍:提出了規(guī)范涵蓋的內(nèi)容。(2)規(guī)范性引用文件:規(guī)范引用了四個(gè)標(biāo)準(zhǔn),即GB/T9361-2000計(jì)算機(jī)場地安全要求、GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則、GB/T18336-2001信息技術(shù)

50、安全技術(shù)信息技術(shù)信息安全評估準(zhǔn)則(idtISO/IEC15408:1999)及GB/T19716-2005信息技術(shù)信息安全管理實(shí)用規(guī)則(idtISO/IEC17799:2000)。(3)術(shù)語和定義:給出了與信息安全風(fēng)險(xiǎn)評估相關(guān)的一些概念。 第13章安全標(biāo)準(zhǔn)及模型 (4)風(fēng)險(xiǎn)管理框架及流程:風(fēng)險(xiǎn)評估要素的關(guān)系模型如圖13.2.2所示。風(fēng)險(xiǎn)評估中各要素的關(guān)系是:業(yè)務(wù)戰(zhàn)略依賴于資產(chǎn)去完成;資產(chǎn)擁有價(jià)值,單位的業(yè)務(wù)戰(zhàn)略越重要,對資產(chǎn)的依賴程度越高,資產(chǎn)的價(jià)值就越大;資產(chǎn)的價(jià)值越大,則風(fēng)險(xiǎn)越大;風(fēng)險(xiǎn)由威脅發(fā)起,威脅越大,則風(fēng)險(xiǎn)越大,并可能演變成安全事件;威脅都要利用脆弱性,脆弱性越大,則風(fēng)險(xiǎn)越大;脆弱性

51、使資產(chǎn)暴露,是未被滿足的安全需求,威脅要通過利用脆弱性來危害資產(chǎn),從而形成風(fēng)險(xiǎn);資產(chǎn)的重要性和對風(fēng)險(xiǎn)的意識會(huì)導(dǎo)出安全需求;安全需求要通過安全措施來得以滿足,且是有成本的;安全措施可以抗擊威脅,降低風(fēng)險(xiǎn),減弱安全事件的影響;在實(shí)施了安全措施后還會(huì)有殘余風(fēng)險(xiǎn),殘余風(fēng)險(xiǎn)可能會(huì)誘發(fā)新的安全事件。 第13章安全標(biāo)準(zhǔn)及模型 圖13.2.2風(fēng)險(xiǎn)評估要素的關(guān)系模型 第13章安全標(biāo)準(zhǔn)及模型 與CC標(biāo)準(zhǔn)的關(guān)系模型(如圖13.2.3所示)和ISO13335標(biāo)準(zhǔn)的關(guān)系模型(如圖13.2.4所示)相比,規(guī)范中對基本要素(圖13.2.2中方框部分)和與要素相關(guān)的屬性(圖13.2.2中橢圓部分)劃分更加細(xì)致,對與基本要素相

52、關(guān)的一些屬性(如業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全事件、殘余風(fēng)險(xiǎn)等)進(jìn)行了更充分的考慮。規(guī)范強(qiáng)調(diào)對殘余風(fēng)險(xiǎn)的評估,指出風(fēng)險(xiǎn)不可能也沒有必要降為零,在實(shí)施了安全措施后還會(huì)有殘留下來的風(fēng)險(xiǎn)。其中,一部分殘余風(fēng)險(xiǎn)來自于安全措施不當(dāng)或無效,在以后需要繼續(xù)控制這部分風(fēng)險(xiǎn);另一部分殘余風(fēng)險(xiǎn)則是在綜合考慮了安全的成本與資產(chǎn)價(jià)值后,有意未去控制的風(fēng)險(xiǎn),這部分風(fēng)險(xiǎn)是可以接受的。規(guī)范明確提出:安全措施是基本要素;要對組織的安全措施進(jìn)行評估;安全措施可以降低和抵御威脅;安全措施不當(dāng)會(huì)造成殘余風(fēng)險(xiǎn),進(jìn)而誘發(fā)新的安全事件;安全措施是被滿足的安全需求;安全措施是有成本的。 第13章安全標(biāo)準(zhǔn)及模型 圖13.2.3CC標(biāo)準(zhǔn)的關(guān)系圖 第

53、13章安全標(biāo)準(zhǔn)及模型 圖13.2.4ISO13335標(biāo)準(zhǔn)的關(guān)系模型 第13章安全標(biāo)準(zhǔn)及模型 風(fēng)險(xiǎn)分析原理:識別資產(chǎn)并賦值;識別威脅并對威脅出現(xiàn)的頻率賦值;識別脆弱性并對脆弱性的嚴(yán)重程度賦值;根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性;根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件造成的損失;根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失,計(jì)算安全事件一旦發(fā)生對組織產(chǎn)生的影響,即風(fēng)險(xiǎn)值。規(guī)范給出了風(fēng)險(xiǎn)評估的實(shí)施流程圖。 第13章安全標(biāo)準(zhǔn)及模型 (5)風(fēng)險(xiǎn)評估實(shí)施:規(guī)范描述了風(fēng)險(xiǎn)評估的實(shí)施過程。風(fēng)險(xiǎn)評估的準(zhǔn)備:這是整個(gè)風(fēng)險(xiǎn)評估過程有效性的保證。在這個(gè)階段要完成以下任

54、務(wù):確定風(fēng)險(xiǎn)評估的目標(biāo)和范圍,組建評估團(tuán)隊(duì),進(jìn)行系統(tǒng)調(diào)研,確定評估依據(jù)和方法并獲取最高管理者對評估工作的支持。資產(chǎn)識別:依據(jù)資產(chǎn)的分類,對評估范圍內(nèi)的資產(chǎn)逐一識別,完成對資產(chǎn)保密性、完整性和可用性的賦值,最后經(jīng)過綜合評定得出資產(chǎn)重要性等級。威脅識別:對資產(chǎn)可能遭受的威脅進(jìn)行識別,并依據(jù)威脅出現(xiàn)的頻率對威脅進(jìn)行賦值。 第13章安全標(biāo)準(zhǔn)及模型 脆弱性識別:這是風(fēng)險(xiǎn)評估中最重要的一個(gè)環(huán)節(jié)。脆弱性識別可以以資產(chǎn)為核心,也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識別,然后與資產(chǎn)、威脅對應(yīng)起來?？梢詮募夹g(shù)和管理兩個(gè)方面對評估對象存在的脆弱性進(jìn)行識別并賦值。已有安全措施的確認(rèn):在識別脆弱性的同時(shí),對評估對象已

55、采取的安全措施的有效性進(jìn)行確認(rèn),評估其有效性。風(fēng)險(xiǎn)分析:采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度,判斷安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度,并判斷安全事件造成的損失對組織的影響,即安全風(fēng)險(xiǎn)。 第13章安全標(biāo)準(zhǔn)及模型 標(biāo)準(zhǔn)給出了風(fēng)險(xiǎn)計(jì)算原理,以下面的范式形式化加以說明:風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(Ia,Va)式中,R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產(chǎn)價(jià)值;Va表示脆弱性的嚴(yán)重程度;L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性;F表示安全事件發(fā)

56、生后造成的損失。風(fēng)險(xiǎn)評估文件記錄:形成風(fēng)險(xiǎn)評估過程中的相關(guān)文檔,包括風(fēng)險(xiǎn)評估報(bào)告。 第13章安全標(biāo)準(zhǔn)及模型 (6)信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評估:風(fēng)險(xiǎn)評估貫穿于信息系統(tǒng)的整個(gè)生命周期中,各階段根據(jù)其活動(dòng)內(nèi)容的不同,安全目標(biāo)和風(fēng)險(xiǎn)評估的要求也會(huì)不同。信息系統(tǒng)在規(guī)劃設(shè)計(jì)階段要通過風(fēng)險(xiǎn)評估確定系統(tǒng)的安全目標(biāo);在建設(shè)驗(yàn)收階段要通過風(fēng)險(xiǎn)評估以確定系統(tǒng)的安全目標(biāo)達(dá)成與否;在運(yùn)行維護(hù)階段要不斷地進(jìn)行風(fēng)險(xiǎn)評估以確定安全措施的有效性,確保安全保障目標(biāo)始終如一、得以堅(jiān)持。規(guī)范給出了各階段風(fēng)險(xiǎn)評估的側(cè)重點(diǎn)、評估要點(diǎn)及評估采取的方式。 第13章安全標(biāo)準(zhǔn)及模型 (7)風(fēng)險(xiǎn)評估的工作形式:根據(jù)評估實(shí)施者的不同,風(fēng)險(xiǎn)評估

57、形式分為自評估和檢查評估兩大類。自評估是由被評估單位依靠自身的力量,對其自身的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評估活動(dòng)。檢查評估是被評估單位的上級主管機(jī)關(guān)依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的具有強(qiáng)制意味的檢查活動(dòng)。 第13章安全標(biāo)準(zhǔn)及模型 13.2.3基于基于CC的認(rèn)證的認(rèn)證為了保證測評結(jié)果的可比性,所有基于CC的測評都應(yīng)當(dāng)在一個(gè)統(tǒng)一的框架下設(shè)立標(biāo)準(zhǔn),監(jiān)督測評質(zhì)量和管理測評規(guī)范。CC本身并不包括這個(gè)框架,但描述了這個(gè)框架的要素,具體如圖13.2.5所示。圖13.2.5中,公共測評方法(CEM)由另外的文件定義,包括EAL1EAL4級測評的具體過程?？紤]到各個(gè)國家相關(guān)組織和機(jī)構(gòu)的設(shè)置以及具體的管理模式可能會(huì)不同,在

58、上述框架中,測評模式由各個(gè)國家自行確定。目前,創(chuàng)建CC的六個(gè)國家均建立了各自的測評模式,并基于上述框架簽署了相互認(rèn)可測評結(jié)果的互認(rèn)協(xié)議(MRA,MutualRecognitionAgreement)。 第13章安全標(biāo)準(zhǔn)及模型 圖13.2.5CC測評框架第13章安全標(biāo)準(zhǔn)及模型 13.2.4信息安全準(zhǔn)則的應(yīng)用信息安全準(zhǔn)則的應(yīng)用下面以MicrosoftWindowsNT4.0操作系統(tǒng)為例,具體分析一個(gè)實(shí)際系統(tǒng)是如何應(yīng)用這些信息安全準(zhǔn)則來實(shí)現(xiàn)其安全策略和功能的。WindowsNT4.0操作系統(tǒng)于1999年11月通過了美國國防部TCSECC2級安全認(rèn)證,表明該系統(tǒng)具有身份認(rèn)證、自主訪問控制、客體重用和安

59、全審計(jì)等安全特性。這些安全特性是由WindowsNT4.0安全子系統(tǒng)提供的。WindowsNT4.0安全子系統(tǒng)由本地安全授權(quán)(LSR)、安全賬戶管理(SAM)和安全參考監(jiān)視器(SRM)等部分組成。 第13章安全標(biāo)準(zhǔn)及模型 (1)本地安全授權(quán)部分:為了保障用戶獲得存取系統(tǒng)的許可權(quán),它提供了許多服務(wù)程序,如產(chǎn)生令牌,執(zhí)行本地安全管理,提供交互式登錄認(rèn)證服務(wù),控制安全審計(jì)策略以及由SRM產(chǎn)生的安全審計(jì)記錄信息等。(2)安全賬戶管理部分:提供SAM數(shù)據(jù)庫。該數(shù)據(jù)庫包含所有的用戶和用戶組的信息。SAM提供用戶登錄認(rèn)證,將用戶輸入的信息與SAM數(shù)據(jù)庫中的注冊信息相比較來驗(yàn)證用戶身份的合法性。對于合法的用戶

60、,將賦予一個(gè)安全標(biāo)識符(SID)。根據(jù)網(wǎng)絡(luò)的配置,SAM數(shù)據(jù)庫可能存在于一個(gè)或多個(gè)WindowsNT系統(tǒng)中。 第13章安全標(biāo)準(zhǔn)及模型 (3)安全參考監(jiān)視器部分:負(fù)責(zé)訪問控制和審計(jì)策略,由LSA提供支持。SRM提供客體(文件、目錄等)的訪問權(quán)限,并檢查主體(用戶賬戶等)的權(quán)限,產(chǎn)生必要的審計(jì)信息?？腕w的安全屬性由安全控制項(xiàng)(ACE)來描述。全部客體的ACE組成訪問控制列表(ACL)。對于無ACL的客體,任何主體都能訪問。當(dāng)主體訪問有ACL的客體時(shí),由SRM檢查其中的每一個(gè)ACE,從而決定是否允許主體的訪問。 第13章安全標(biāo)準(zhǔn)及模型 1.身份認(rèn)證身份認(rèn)證WindowsNT4.0基于安全域(Doma