,第13章 安全標準及模型,13.1 安全標準概況 13.2 信息安全風險評估標準 13.3 信息安全模型 13.4 能力成熟模型,13.1 安全標準概況 13.1.1 國際安全標準組織 國際性的標準化組織主要有國際標準化組織(ISO)、國際電器技術委員會(IEC)及國際電信聯盟(ITU)所屬的電信標準化組織(ITUTS)。ISO是一個總體標準化組織,IEC在電工與電子技術領域里相當于ISO的位置,ITUTS是一個聯合締約組織。這些組織在安全需求服務分析指導、安全技術機制開發、安全評估標準等方面制定了一些標準草案,但尚未正式執行。另外,還有眾多標準化組織也制定了一些安全標準,如IETF(theInternetEngineeringTaskForce)就有如下功能組:認證防火墻測試組(AFT)、公共認證技術組(CAT)、域名安全組(DNSSEC)、IP安全協議組(IPSEC)、一次性口令認證組(OTP)、公開密鑰結構組(PKIX)、安全界面組(SECSH)、簡單公開密鑰結構組(SPKI)、傳輸層安全組(TLS)和Web安全組(WTS)等,它們都制定了有關的標準。,13.1.2 國際安全標準概況 1.ISO的有關安全標準 ISO和IEC制定了一系列有關信息和網絡安全的標準,其中包括安全算法、安全機制、安全協議、安全管理和網絡安全等方面。下面列出一些有代表性的安全標準。 1)安全算法標準 ISO/IEC101181:單向散列函數部分1通用模型。 ISO/IEC101182:單向散列函數部分2使用n位塊密碼算法的單向散列函數。 ISO/IEC101183:單向散列函數部分3專用的單向散列函數。,2)安全機制標準 ISO/IEC10116:n位塊密碼算法的操作模式(加密機制)。 ISO/IEC9798197985:實體認證的通用模型和使用各種認證算法的認證機制(實體認證機制)。 ISO/IEC9797:使用加密檢查功能的數據完整性機制(完整性機制)。 ISO/IEC148881148883:數字簽名的通用模型、基于身份的機制和基于證書的機制(數字簽名機制)。 ISO/IEC138881138883:不可否認的通用模型、基于對稱和非對稱的密碼算法的機制(不可否認機制)。,3)安全協議標準 ISO/IEC95948:認證框架,定義了各種強制性的認證機制和框架結構。 4)安全管理標準 ISO/IEC117701117703:密鑰管理框架、使用對稱和非對稱的密碼算法的密鑰管理機制。 5)網絡安全標準 ISO/IEC74982:OSI安全結構,定義了基于OSI層次結構的安全機制和安全服務。 ISO/IEC101811101817:OSI安全框架、實體認證框架、訪問控制框架、不可否認性框架、完整性框架、機密性結構和安全審計框架等。,6)安全評估標準 ISO/IEC15408:信息技術安全評估通用準則(CC),為相互獨立的機構對相同信息安全產品的評估提供了可比性。,表13.1.1 ISO和ISO/IEC通用密碼技術標準,表13.1.2 ISO和ISO/IEC的安全結構和安全框架標準,2.ITU的有關網絡安全標準 ITU針對數據通信網的安全問題制定了有關網絡安全標準,它與ISO安全標準是相對應的。例如: ITUX.800:安全結構,與ISO74982相對應。 ITUX.509:認證框架,與ISO95948相對應。 ITUX.816:安全框架,與ISO10181相對應。,3.IETF的有關網絡安全標準 Internet研究和發展共同體(InternetResearchandDevelopmentCommunity)正式公布的文件稱做應征意見稿(RFC,RequestforComments),其中一部分被規定為共同體內Internet標準的候選。例如: IETFRFC1825:IP協議安全結構。 IETFRFC2401RFC2412:IP安全協議。 IETFRFC2246:傳輸層安全協議。 IETFRFC2632和IETFRFC2633:有關安全電子郵件協議(S/MIME)。 IETFRFC2659RFC2660:有關安全HTTP協議(SHTTP)。 IETFRFC2559:InternetX.509公鑰基礎結構操作協議。,表13.1.3 InternetRFC,4.IEEE的有關局域網安全標準 IEEE針對局域網安全問題制定了有關互操作局域網的安全規范,并將其作為IEEE802.10標準。該標準包括數據安全交換、密鑰管理以及網絡安全管理等規范。IEEE還制定了有關公鑰密碼算法的標準(IEEEP1363)。,13.1.3 各國安全標準概況 1.信息安全技術標準 信息安全技術標準主要指數據加密、數字簽名以及實體認證等標準。美國國家標準與技術協會(NIST,NationalInstituteStandardandTechnology,原美國國家標準局)、美國國家標準協會(ANSI)、美國國防部(DoD)和美國國家安全局(NSA)都從不同角度制定了有關信息安全的標準。 NIST在信息處理標準(FIPS)中公布的有關信息安全的標準為美國聯邦政府標準,供美國聯邦政府各個部門使用。標準號以FIPS為標志頭,主要有數據加密、數據認證、密鑰管理、數字簽名以及實體認證等標準。,表13.1.4 美國FIPS公布的有關標準,表13.1.5 ANSI 的加密標準和銀行業務安全標準,表13.1.6 ISO制定的銀行業務安全標準(W批發,R零售),2.系統安全評價標準 信息安全產品不同于其他信息產品,必須經過權威認證機構的評估和認證后才能進入市場,被用戶所使用。權威認證機構在評估和認證安全產品時必須遵循被廣泛認可的評估標準或準則,以實現產品評估的公正性和一致性。因此,一個能被廣泛接受的評估標準是極為重要的。 20世紀70年代后期,美國國防部首先意識到了這個問題,并提出了一組計算機系統評估標準。這組標準包含20多個文件,每個文件使用不同顏色的封皮,因此稱為“彩虹系列”。其中,最核心的是“可信計算機系統評估準則(TCSEC)”,按其封皮顏色被稱之為“橙皮書”。,TCSEC主要提供一種度量標準,用于評估處理敏感信息的計算機系統的可信度和安全性。TCSEC主要有兩部分:第一部分描述了劃分計算機系統安全等級的標準,這種劃分是建立在人們對敏感信息保護所持有的全部信心的基礎上的;第二部分描述了該標準開發的基本目標、基本原理以及美國政府的政策等。TCSEC定義了4個安全等級:A、B、C和D。A級表示計算機系統提供了最強的安全性,D級表示計算機系統提供了最弱的安全性。B級劃分成B1、B2和B3三個子類,C級劃分成C1和C2兩個子類。這樣,總共劃分為7個安全等級。 (1)D級(最小保護):所有系統都能滿足的最低安全級,不具備更高級的安全特性。 (2)C級(自主保護):提供自主接入控制(DAC)和目標重用,支持識別、認證和審計。C級劃分成C1和C2兩個子類。,C1級(自主訪問保護):通過將用戶和數據相分離來滿足自主保護的要求,它將各種控制集為一體,對每個實體獨立地提供DAC、識別和認證。 C2級(受控訪問保護):比C1級控制更加嚴格,要求對用戶也要實施DAC、識別、認證和審計,并要求目標重用。,(3)B級(受控保護):利用受控接入控制(MAC)和數據敏感標記實現多級安全性,并提供一些保證要求。B級劃分成B1、B2和B3三個子類。 B1級(帶有標記的保護):系統必須對主要數據結構加敏感度標記,必須給出有關安全策略模型、數據標記以及對主體和客體的強制訪問控制的非正規表述。 B2級(結構化保護):基于一種形式化的安全策略模型,B1級系統中所采用的自主訪問控制和強制訪問控制都被擴展到B2級系統中的所有主體和客體。B2級特別強調了隱蔽通道的概念,必須構造可信任計算機庫(TCB),強化認證機制,提供嚴格的配置管理控制的能力。,B3級(安全域):所有主體對客體的訪問必須通過TCB中介,并且必須是防篡改的。B3級要求系統必須提供安全管理功能、安全審計機制和可信任系統恢復程序。,(4)A級(可驗證保護):采用可驗證的形式化安全策略模型。A1級是最高的安全級,功能上等價于B3級。A級要求對安全策略模型進行形式化驗證,并且形式化驗證要貫穿于整個系統開發過程。 為了將TCSEC中確立的原則應用于網絡環境中,DoD對TCSEC進行了增補,公布了可信任網絡注釋TNI(紅皮書)。紅皮書有兩個主要部分:第一部分對橙皮書的相應部分進行了擴充,建立了網絡系統安全等級的劃分標準;第二部分描述了網絡環境中的一些特有業務,如認證、不可否認以及網絡安全管理等。因此,紅皮書是局域網和廣域網環境中網絡系統和產品安全等級劃分的基礎。,美國的橙皮書公布后,歐洲各國相繼提出了各自的信息安全評價標準,如德國的信息安全標準ZSIEC、英國的商用安全產品分級標準(綠皮書)、法國的信息安全標準SCSSI、加拿大的可信計算機產品評估準則CTCPEC以及歐共體的信息技術安全評估準則ITSEC等。 德國的信息安全標準ZSIEC(綠皮書)是由德國信息安全局制定的。在ZSIEC中,定義了信息安全政策所需的8種基本安全功能。與TCSEC不同的是,ZSIEC在基本安全功能中增加了對系統可用性(不間斷服務)和數據完整性的要求。在評定級別方面,ZSIEC規定了10個功能級別(F1F10)和7個質量級別(Q1Q7)。其中,F1F5大致與TCSEC的C1B3相對應,Q1Q7近似對應于TCSEC的信任度級別DA1。,英國的商用安全產品分級標準(綠皮書)是由英國國防部和商業部共同制定的。英國標準主要定義一種規范的產品功能說明語言,使用這種語言描述的產品,其安全功能可以由評審人員用規范方法加以驗證。英國標準定義了6個信任度級別L1L6,大致對應于TCSEC的C1A1或德國綠皮書的Q1Q6。同時,英國政府還建立了一個商用許可評定體制,以促進該標準的商業化應用。 加拿大、澳大利亞和法國也制定了本國的標準。,由于各國對信息安全產品等級劃分和評定存在著認識上的差異,因此這些標準之間存在較嚴重的兼容性問題。在一個國家獲得某一安全級別評定和認證的信息安全產品在另一個國家得不到承認,需要重新評定和認證,影響了產品進入市場的時間和商機。為了協調歐共體國家的安全產品評價標準,在歐共體各成員國的支持下,英、德、法、荷四國聯合制定了信息技術安全評估準則(ITSEC),作為歐共體成員國的共同標準。ITSEC保留了德國標準中10個功能級別和8個質量級別(改成有效性級別E0E7)的內容,同時吸取了英國標準中功能描述語言的思想。安全產品(系統)的評定是由TCSEC式的政府行為轉變為由市場驅使的行業行為,首先由廠商提出其安全產品(系統)的評價目標和所期望的級別,然后由評定人員通過對產品的測評來確定是否同意廠商對產品安全功能的描述,以及是否給予廠商所要求的有效性級別。ITSEC比美國橙皮書寬松一些,目的在于提供一種統一的安全系統評價方法,以滿足各種產品、應用和環境的需要。,在ITSEC的推動下,美國于1992年制定了TCSEC的更新計劃,由國家標準局和國家安全局合作制定了一個新標準,即“組合的聯邦標準”(FC,CombinedFederalcriteria)。FC仿照ITSEC的思路將功能要求和信任度要求分割開,定義了保護框架(PP,ProtectionProfile)和安全目標(ST,SecurityTarget)。用戶負責書寫保護框架,詳細說明其系統的保護需求。產品廠商提出產品的安全目標,描述產品的安全功能和信任度,并與用戶的保護框架相對比,以證明該產品是否滿足用戶的需要。在FC的架構中,安全目標便成為評價的基礎,安全目標必須用具體的語言和有力的論據來說明保護框架中的抽象描述是怎樣逐條地在所評價的產品中得到滿足的。然而,在FC草案問世后不久,美國政府便宣布停止草案的修改工作,轉而與加拿大及歐共體國家一起聯合制定了共同的標準,即信息技術安全評估通用準則(theCommonCriteriaforInformationTechnologySecurityEvaluation),簡稱為CC。,13.2 信息安全風險評估標準 13.2.1 國外信息安全風險評估標準 1.國外風險評估標準發展與簡介 從20世紀80年代開始,世界各國相繼制定了多個信息安全評估標準,主要有:桔皮書(TCSEC)1985、英國安全標準1989、德國標準、法國標準、ITSEC1991、加拿大標準1993、聯邦標準草案FC1993、通用評估準則CC1993、澳大利亞標準AS/NZS43601995、英國BS77991995、國際ISO/IEC系列標準、美國NIST2000和德國BMP2001等。 國外信息安全風險評估標準的演變歷程如圖13.2.1所示。,圖13.2.1 國際標準體系的發展,1)可信計算機系統評估準則(TCSEC) 1985年美國國防部首次公布了可信計算機系統評估準則,簡稱TCSEC(TrustedComputerSystemEvaluationCriteria),也稱桔皮書。TCSEC是信息技術安全評估的第一個正式標準。此標準作為軍用標準,提出了美國在軍用信息技術安全方面的要求。TCSEC對用戶登錄、授權管理、訪問控制、訪問追蹤、隱蔽通道分析、可信通道建立、安全檢測、生命周期保障、文檔寫作、用戶指南等內容提出了規范性的要求。TCSEC將計算機系統的安全等級劃分為D、C、B、A四類,每類下面又分為多個級別。D類安全等級只包括D1一個安全級別,D1的安全等級最低,只為文件和用戶提供安全保護。C類安全等級分為C1和C2兩個安全級別,該類安全等級能夠提供審慎的保護,并為用戶的行動和責任提供審計能力。B類安全等級分為B1、B2和B3三個安全級別,該類安全等級具有強制性保護功能。A類安全等級只包含A1一個安全級別,A類的安全級別最高。,2)信息技術安全評估準則(ITSEC) 在20世紀80年代后期,幾個歐洲國家和加拿大紛紛開始開發自己的評估準則。1991年,歐洲標準化委員會正式公開發表信息技術安全評估準則(ITSEC,InformationonTechnologySecurityEvaluationCriteria)1.2版。ITSEC適用于軍隊、政府和商業部門。它以超越TCSEC為目的,將安全概念分為功能和評估兩部分:功能準則分為10級,15級對應于TCSEC的DA類;評估準則分為E0E6共7個安全等級。ITSEC還提出了信息安全的保密性、完整性和可用性等屬性,并且把可信計算機的概念提高到可信信息技術的高度來認識,對國際信息安全的研究產生了深遠的影響。,3)加拿大可信計算機產品評估準則(CTCPEC) 加拿大可信計算機產品評估準則(CTCPEC)1.0版于1989年公布,專為政府需求而設計。1993年公布了3.0版,作為ITSEC和TCSEC的結合,將安全分為功能性要求和保證性要求兩部分。功能性要求分為保密性、完整性、可用性、可控性四大類。在每種安全要求下,各類按程度不同又分為5級,以表示安全性上的差別。,4)美國信息技術安全聯邦準則(FC) 20世紀90年代初,美國為了適應信息技術的發展和推動美國國內非軍用信息技術產品安全性的進步,NSA和NIST聯合起來對TCSEC進行了修訂,于1992年底公布了FC草案1.0版。在此標準中引入了“保護輪廓”這一重要概念,每個保護輪廓都包括功能部分、開發保證部分和評測部分。其分級方式與TCSEC不同,充分吸取了ITSEC和CTCPEC的優點,主要供美國民用、商用及政府使用。,5)AS/NZS4360風險管理標準 AS/NZS4360是澳大利亞和新西蘭聯合開發的風險管理標準,是風險管理的通用指南,它給出了一整套風險管理的流程。它把風險管理過程分為建立環境、風險識別、風險分析、風險評價、風險處理5個標準環節。在進行資產的識別和評估時,采取半定量化的方法,將威脅和風險發生的可能性與造成的影響劃分為不同的等級,然后對不同等級的風險給出了處理方法。它將對象定位在信息系統,對信息安全風險評估具有指導作用。,對上面幾個主要標準的總體評價如下:最初的TCSEC是針對孤立計算機系統提出的,特別是小型機和大型機系統,該標準僅適用于軍隊和政府,不適用于企業。TCSEC和ITSEC均是不涉及開放系統的安全標準,僅針對產品的安全保證要求來劃分等級并進行評測,且均為靜態模型,僅能反映靜態安全狀況。CTCPEC雖在二者的基礎上有一定發展,但也未能突破上述局限性。FC對TCSEC作了補充和修改,對保護輪廓和安全目標作了定義,明確了由用戶提供其系統安全保護所要求的詳細輪廓,由產品商定義產品的安全功能和安全目標等,但因其本身的一些缺陷一直沒有正式投入使用。 目前國際上流行的標準有:CC、BS7799、ISO/IEC13335、ISO/IEC17799等。,2.通用評估準則(CC) 信息技術安全評估通用準則(theCommonCriteriaforInformationTechnologySecurityEvaluation,簡稱為CC)是北美和歐盟聯合開發的一個統一的國際公認的安全準則,是由FC和CTCPEC準則相互間的總結和互補發展起來的。1999年,CC被ISO批準成為國際標準ISO/IEC154081999,并正式頒布發行。 CC是目前最全面的信息技術安全評估準則,其內容分為三部分。 (1)簡介和一般模型:定義了信息技術安全評估的一般概念和原則,并規定了如何創建安全目標和需求。,(2)安全功能要求:用標準化的方法對評價目標建立一個明確的滿足安全要求的部件功能集合。該功能集合分為部件(components)、族(families)和類(classes)。 (3)安全保證要求:用標準化的方法對評價目標建立一個明確的滿足安全要求的部件集合,對保護方案和安全目標進行了定義,并且對安全評價目標提出了安全評價保證級別(EAL)。級別分為EAL1到EAL7,共7個等級。每一級均需評估7個功能類,分別是:配置管理、分發和操作、并發過程、指導文獻、生命期的技術支持、測試和脆弱性評估。,3.信息安全管理標準BS7799 BS7799現已成為國際公認的安全管理權威標準。1993年9月,英國標準協會(BSI)頒布信息安全管理實施細則,形成了BS7799的基礎。1995年2月,BSI首次公布了BS77991:1995。1998年2月,BSI公布了BS77992:1998。1999年4月,BS77991和BS77992修訂后重新發布。2000年12月,BS77991:1999通過國際標準組織認可,正式成為國際標準,即ISO/IEC177991:2000。2002年9月,BSI對BS77992:2000進行了改版,BS77992:2002通過了ISO認可。,BS7799分為兩部分:BS77991:1999信息安全管理細則(Codeof PracticeforInformationSecurityManagement)和BS77992:2002信息安全管理體系規范(SpecificationforInformationSecurityManagement)。BS77991:1999主要為組織建立并實施信息安全管理體系提供了一個指導性的準則,BS77992:2000詳細說明了建立、實施和維護信息安全管理系統的要求。 BS77991:1999是一個非常詳盡、復雜的信息安全管理標準層次體系,共分為4層內容、10個管理要項、36個管理目標、127個控制措施以及若干個控制要點,主要提供有效實施信息系統風險管理的建議。,BS77992:2000詳細說明了建立、實施和維護信息安全管理系統(ISMS)的要求。具體實施步驟是:定義安全策略,定義ISMS范圍(邊界);確定資產,進行資產風險評估;確定高風險資產、風險管理措施決策;選擇合適的控制方式、部署和管理控制方式,啟用聲明、目標審查、安全策略、安全目標、契約和法律需求。,4.ISO/IEC17799 由于BS7799日益得到國際的認同,使用的國家也越來越多,2000年12月,國際標準化組織正式將其第一部分轉化為國際標準,即所頒布的ISO/IEC17799:2000信息技術信息安全管理實施細則(InformationTechnology-CodeofPracticeforInformationSecurityManagement)。作為一個全球通用的標準,ISO/IEC17799并不局限于IT,也不依賴于專門的技術,它是由長期積累的一些最佳實踐構成的,是市場驅動的結果。 ISO/IEC17799提出了風險評估的方法、步驟和主要內容,為風險評估提供了實施指南;指出了風險評估的主要步驟,包括資產識別、威脅識別、脆弱性識別、已有控制措施確認、風險計算等過程;首次給出了信息安全的保密性、完整性、可用性、審計性、認證性、可靠性6個方面的含義,并提出了以風險為核心的安全模型;指出風險就是威脅利用漏洞使資產暴露而產生的影響的大小。,5.ISO/IEC13335 ISO/IEC13335信息技術IT安全管理指導方針(GMITS,InformationTechnology-GuidelinesfortheManagementofITSecurity)是一個關于IT安全管理的指南,它提出了以風險為核心的安全模型,闡述了信息安全評估的思路,對信息安全評估工作具有指導意義。,該標準由以下5部分組成: (1)ISO/IEC133351:IT安全的概念和模型(ConceptsandModelsofITSecurity)。這部分包括對IT安全和安全管理的一些基本概念和模型的介紹。 (2)ISO/IEC133352:IT安全的管理和計劃(ManagingandPlanningITSecurity)。這部分建議性地描述了IT安全管理和計劃的方式及要點,包括:決定IT安全目標、戰略和策略;決定組織的IT安全需求;管理IT安全風險;計劃適當IT安全防護措施的實施;開發安全教育計劃;策劃跟進的程序,如監控、復查和維護安全服務;開發事件處理計劃。,(3) ISO/IEC133353:IT管理技術(TechniquesfortheManagementofITSecurity)。這部分覆蓋了風險管理技術、IT安全計劃的開發以及實施和測試,包括一些后續的制度審查、事件分析、IT安全教育程序等,并且介紹了四種風險評估方法(基線方法、非形式化方法、詳細分析方法、綜合分析方法)。 (4)ISO/IEC133354:防護的選擇(SelectionofSafeguards)。這部分主要探討了如何針對一個組織的特定環境和安全需求來選擇防護措施。,(5)ISO/IEC133355:網絡安全管理指南(ManagementGuidanceonNetworkSecurity)。這部分提出了IT安全和機制應用指南。 ISO/IEC13335認為安全管理中的主要部件包括資產、威脅、脆弱性、影響、風險、防護措施和剩余風險;主要的安全管理過程包括風險管理、風險評估、安全意識、監控與一致性檢驗等。,6.標準對比 1)CC與BS7799 CC強調對防護措施進行評估,評估的結果是對防護措施保障程度的描述,即防護措施能夠降低安全風險的可信度,資產所有者可以根據CC來決定是否接受將資產暴露給威脅所冒的風險。CC的不足之處是:由于涉及面太廣,所以很難被人們掌握和控制,而且它并不涉及管理細節和信息安全的具體實現、算法和評估方法等方面,也不能作為安全協議或用于安全鑒定。,BS7799提供了一套普遍適用且行之有效的全面的安全控制措施,還提出了建立信息安全管理體系的目標,這和人們對信息安全管理認識的加強是相適應的。BS77992提出的信息安全管理體系(ISMS)是一個系統化、程序化和文檔化的管理體系。BS7799的不足之處在于:其所描述的所有控制方式并不適合于每種情況,它不可能將具體的系統環境和技術限制考慮在內,也不可能適合一個組織中的每個潛在用戶。,BS7799和CC都是信息安全領域的評估標準,并且都以信息的保密性、完整性和可用性作為信息安全的基礎。然而,這兩個標準所面向的角度有很大的不同:BS7799是一個基于管理的標準,它處理的是與IT系統相關的非技術問題;CC則是一個基于技術的標準,它強調的是系統和產品安全技術方面的問題。與BS7799相比,CC更側重于對系統和產品的技術指標的評估,而在對信息系統的日常安全管理方面,BS7799的地位是其他標準無法取代的。,2)BS7799與ISO/IEC17799 BS77991不支持信息安全認證,而支持認證的BS77992與ISO/IEC17799沒有任何關系。BS7799是針對企業的整體利益而言的,它將對象定位在信息系統安全管理體系。ISO/IEC17799來自BS77991。ISO/IEC17799主要提供了信息系統安全管理的指導性原則,將風險評估作為了建立信息安全管理體系的中間步驟,盡管沒有給出可操作的信息安全風險評估方案,但是確定了包括識別風險、評估風險、處理風險等在內的風險評估控制目標和控制方式。,3)ISO/IEC13335與CC ISO/IEC13335是由國際標準化組織頒布的一個信息安全管理指南,這個標準的主要目的是給出如何有效地實施IT安全管理的建議和指南。用戶完全可以參照這個完整的標準制定出自己的安全計劃和實施步驟。ISO/IEC13335首次給出了關于IT安全的保密性、完整性、可用性、審計性、認證性、可靠性6個方面的定義,并提出了以風險為核心的安全模型,闡述了信息安全評估的思路,對信息安全評估工作具有指導意義。 CC是針對安全產品和系統進行安全性評估的一個詳細方法,而ISO/IEC13335是包含與信息安全項目開發相關的一切模板。ISO/IEC13335關注的是安全項目的開發,而CC是從技術的角度關心安全產品和系統的安全性評價。也就是說,CC沒有敘述怎樣開發安全產品和系統,但是提供了評估安全產品和系統與預先定義的安全需求的符合程度的評價過程。,4)ISO/IEC13335與BS7799 與BS7799比較而言,ISO/IEC13335對安全管理的過程描述得更加細致,完全可操作;有多種角度的模型和闡述;對安全管理過程中的最關鍵環節風險分析和管理有非常細致的描述,闡述了包括基線方法、非形式化方法、詳細分析方法和綜合分析方法等風險分析方法;有比較完整的針對6種安全需求的防護措施的介紹。 BS7799以安全管理為基礎,提供了一系列安全控制機制,供組織建立、貫徹和維護使用;提出了風險評估的要求,但是只注重信息安全管理方面。ISO/IEC13335介紹了風險評估的過程和方法,但是該方法是針對一般信息系統而言的,過于籠統,沒有針對性。,總之,國際上風險評估相關的安全標準基本沒有一個是能直接拿來使用的。其原因是各標準針對的對象和目標不一樣,有的標準強調風險管理,有的強調具體的安全技術,有的只定義某一方面的安全等級,有的則強調國際通用的規范和認證。,13.2.2 國內信息安全風險評估標準 1.國內風險評估標準發展與簡介 我國信息安全標準的研究基本上是從20世紀90年代末啟動的,主要是等同采用或修改相關的國際標準。已經頒布的標準如下: (1)GB/T 18336-2001信息技術安全技術信息技術信息安全評估準則; (2)GB/T19716-2005信息技術信息安全管理實用規則; (3)GB/T19715.1-2005信息技術信息技術安全管理指南第1部分:信息技術安全概念和模型; (4)GB/T9361-2000計算機場地安全要求; (5)GB/T20984-2007信息安全技術信息系統的風險評估規范。,另外,在國際標準的基礎上,我國也制定了一些針對信息化建設特點的信息安全技術和信息安全評估的國家、地方標準。由公安部主持制定、國家質量技術監督局發布的國家標準GB17859-1999計算機信息系統安全保護等級劃分準則將信息系統安全分為自主保護級、系統審計保護級、安全標記保護級、結構化保護級和訪問驗證保護級5個級別。我國還制定了金融行業標準銀行及相關金融服務信息安全管理規范20030037-T-320,以及GB18018/18019等產品標準。部分省(市)也發布了一些地方標準,例如,北京市于2002年制定并頒布了DB11/T171-2002北京市黨政機關信息網絡安全系統測評規范,上海市于2002年制定并頒布了DB31/T272-2002計算機信息系統安全測評通用技術規范。這些地方標準的制定為各地開展信息安全評估奠定了良好的基礎。,2.GB/T20984-2007信息安全技術信息安全風險評估規范 2003年7月,中辦發200327號文件對開展信息安全風險評估工作提出了明確的要求。國信辦委托國家信息中心牽頭,成立了國家信息安全風險評估課題組,對信息安全風險評估相關工作展開調查研究。2004年3月29日正式啟動了信息安全風險評估標準草案的編制工作。2004年底完成了信息安全風險評估指南標準草案。2005年由國務院信息辦組織在北京、上海、黑龍江、云南等省市與人民銀行、國家稅務總局、國家信息中心及國家電力總公司開展了驗證信息安全風險評估指南的可行性與可用性的試點工作。2006年6月19日,全國信息安全標準化技術委員會經過討論,將標準正式命名為信息安全技術信息安全風險評估規范,并同意其通過評審。由國家標準化管理委員會審查批準發布的GB/T20984-2007信息安全技術信息安全風險評估規范于2007年11月1日正式實施。,信息安全風險評估規范(以下簡稱規范)是我國開展信息安全風險評估工作遵循的國家標準。規范定義了風險評估的基本概念、原理及實施流程,對被評估系統的資產、威脅和脆弱性識別要求進行了詳細描述,并給出了具體的定級依據;提出了風險評估在信息系統生命周期不同階段的實施要點,以及風險評估的工作形式。 規范分為兩個部分:主體和附錄。主體部分主要介紹風險評估的定義、風險評估的模型以及風險評估的實施過程;附錄部分包括信息安全風險評估的方法、工具介紹和實施案例。,規范主體又分為引言和7項條款。 引言指出信息安全風險評估的意義,還指出信息安全風險評估要貫穿于信息系統生命周期的各個階段,其出發點是:從風險管理角度,運用科學的方法和手段,系統地分析信息系統所面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施;為防范和化解信息安全風險,將風險控制在可接受的水平,從而為最大限度地保障信息安全提供科學依據。,規范主體的7項條款包括: (1)范圍: 提出了規范涵蓋的內容。 (2)規范性引用文件: 規范引用了四個標準,即GB/T9361-2000計算機場地安全要求、GB 17859-1999計算機信息系統安全保護等級劃分準則、GB/T18336-2001信息技術 安全技術 信息技術信息安全評估準則(idtISO/IEC15408:1999)及GB/T19716-2005信息技術信息安全管理實用規則(idtISO/IEC17799:2000)。 (3)術語和定義:給出了與信息安全風險評估相關的一些概念。,(4)風險管理框架及流程: 風險評估要素的關系模型如圖13.2.2所示。風險評估中各要素的關系是:業務戰略依賴于資產去完成;資產擁有價值,單位的業務戰略越重要,對資產的依賴程度越高,資產的價值就越大;資產的價值越大,則風險越大;風險由威脅發起,威脅越大,則風險越大,并可能演變成安全事件;威脅都要利用脆弱性,脆弱性越大,則風險越大;脆弱性使資產暴露,是未被滿足的安全需求,威脅要通過利用脆弱性來危害資產,從而形成風險;資產的重要性和對風險的意識會導出安全需求;安全需求要通過安全措施來得以滿足,且是有成本的;安全措施可以抗擊威脅,降低風險,減弱安全事件的影響;在實施了安全措施后還會有殘余風險,殘余風險可能會誘發新的安全事件。,圖13.2.2 風險評估要素的關系模型,與CC標準的關系模型(如圖13.2.3所示)和ISO13335標準的關系模型(如圖13.2.4所示)相比,規范中對基本要素(圖13.2.2中方框部分)和與要素相關的屬性(圖13.2.2中橢圓部分)劃分更加細致,對與基本要素相關的一些屬性(如業務戰略、資產價值、安全事件、殘余風險等)進行了更充分的考慮。規范強調對殘余風險的評估,指出風險不可能也沒有必要降為零,在實施了安全措施后還會有殘留下來的風險。其中,一部分殘余風險來自于安全措施不當或無效,在以后需要繼續控制這部分風險;另一部分殘余風險則是在綜合考慮了安全的成本與資產價值后,有意未去控制的風險,這部分風險是可以接受的。規范明確提出:安全措施是基本要素;要對組織的安全措施進行評估;安全措施可以降低和抵御威脅;安全措施不當會造成殘余風險,進而誘發新的安全事件;安全措施是被滿足的安全需求;安全措施是有成本的。,圖13.2.3 CC標準的關系圖,圖13.2.4 ISO13335標準的關系模型,風險分析原理:識別資產并賦值;識別威脅并對威脅出現的頻率賦值;識別脆弱性并對脆弱性的嚴重程度賦值;根據威脅及威脅利用脆弱性的難易程度判斷安全事件發生的可能性;根據脆弱性的嚴重程度及安全事件所作用的資產的價值計算安全事件造成的損失;根據安全事件發生的可能性以及安全事件出現后的損失,計算安全事件一旦發生對組織產生的影響,即風險值。 規范給出了風險評估的實施流程圖。,(5)風險評估實施: 規范描述了風險評估的實施過程。 風險評估的準備:這是整個風險評估過程有效性的保證。在這個階段要完成以下任務:確定風險評估的目標和范圍,組建評估團隊,進行系統調研,確定評估依據和方法并獲取最高管理者對評估工作的支持。 資產識別: 依據資產的分類,對評估范圍內的資產逐一識別,完成對資產保密性、完整性和可用性的賦值,最后經過綜合評定得出資產重要性等級。 威脅識別:對資產可能遭受的威脅進行識別,并依據威脅出現的頻率對威脅進行賦值。,脆弱性識別:這是風險評估中最重要的一個環節。脆弱性識別可以以資產為核心,也可以從物理、網絡、系統、應用等層次進行識別,然后與資產、威脅對應起來。可以從技術和管理兩個方面對評估對象存在的脆弱性進行識別并賦值。 已有安全措施的確認:在識別脆弱性的同時,對評估對象已采取的安全措施的有效性進行確認,評估其有效性。 風險分析:采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性。綜合安全事件所作用的資產價值及脆弱性的嚴重程度,判斷安全事件所作用的資產價值及脆弱性的嚴重程度,并判斷安全事件造成的損失對組織的影響,即安全風險。,標準給出了風險計算原理,以下面的范式形式化加以說明: 風險值=R(A,T,V)=R(L(T,V),F(Ia,Va) 式中,R表示安全風險計算函數;A表示資產;T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產價值;Va表示脆弱性的嚴重程度;L表示威脅利用資產的脆弱性導致安全事件發生的可能性;F表示安全事件發生后造成的損失。 風險評估文件記錄:形成風險評估過程中的相關文檔,包括風險評估報告。,(6)信息系統生命周期各階段的風險評估: 風險評估貫穿于信息系統的整個生命周期中,各階段根據其活動內容的不同,安全目標和風險評估的要求也會不同。信息系統在規劃設計階段要通過風險評估確定系統的安全目標;在建設驗收階段要通過風險評估以確定系統的安全目標達成與否;在運行維護階段要不斷地進行風險評估以確定安全措施的有效性,確保安全保障目標始終如一、得以堅持。規范給出了各階段風險評估的側重點、評估要點及評估采取的方式。,(7)風險評估的工作形式: 根據評估實施者的不同,風險評估形式分為自評估和檢查評估兩大類。自評估是由被評估單位依靠自身的力量,對其自身的信息系統進行的風險評估活動。檢查評估是被評估單位的上級主管機關依據已經頒布的法規或標準進行的具有強制意味的檢查活動。,13.2.3 基于CC的認證 為了保證測評結果的可比性,所有基于CC的測評都應當在一個統一的框架下設立標準,監督測評質量和管理測評規范。CC本身并不包括這個框架,但描述了這個框架的要素,具體如圖13.2.5所示。 圖13.2.5中,公共測評方法(CEM)由另外的文件定義,包括EAL1EAL4級測評的具體過程。考慮到各個國家相關組織和機構的設置以及具體的管理模式可能會不同,在上述框架中,測評模式由各個國家自行確定。目前,創建CC的六個國家均建立了各自的測評模式,并基于上述框架簽署了相互認可測評結果的互認協議(MRA,MutualRecognitionAgreement)。,圖13.2.5 CC測評框架,13.2.4 信息安全準則的應用 下面以MicrosoftWindowsNT4.0操作系統為例,具體分析一個實際系統是如何應用這些信息安全準則來實現其安全策略和功能的。 WindowsNT4.0操作系統于1999年11月通過了美國國防部TCSECC2級安全認證,表明該系統具有身份認證、自主訪問控制、客體重用和安全審計等安全特性。這些安全特性是由WindowsNT4.0安全子系統提供的。WindowsNT4.0安全子系統由本地安全授權(LSR)、安全賬戶管理(SAM)和安全參考監視器(SRM)等部分組成。,(1)本地安全授權部分:為了保障用戶獲得存取系統的許可權,它提供了許多服務程序,如產生令牌,執行本地安全管理,提供交互式登錄認證服務,控制安全審計策略以及由SRM產生的安全審計記錄信息等。 (2)安全賬戶管理部分:提供SAM數據庫。該數據庫包含所有的用戶和用戶組的信息。SAM提供用戶登錄認證,將用戶輸入的信息與SAM數據庫中的注冊信息相比較來驗證用戶身份的合法性。對于合法的用戶,將賦予一個安全標識符(SID)。根據網絡的配置,SAM數據庫可能存在于一個或多個WindowsNT系統中。,(3)安全參考監視器部分:負責訪問控制和審計策略,由LSA提供支持。SRM提供客體(文件、目錄等)的訪問權限,并檢查主體(用戶賬戶等)的權限,產生必要的審計信息。客體的安全屬性由安全控制項(ACE)來描述。全部客體的ACE組成訪問控制列表(ACL)。對于無ACL的客體,任何主體都能訪問。當主體訪問有ACL的客體時,由SRM檢查其中的每一個ACE,從而決定是否允許主體的訪問。,1.身份認證 WindowsNT4.0基于安全域(Domain)模型,每個域設有一個用戶賬號數據庫,每個用戶必須預先在一個域的用戶賬號數據庫中進行注冊。每個域都設有一個控制器來管理用戶賬號數據庫,并對試圖登錄的用戶身份進行認證。一個用戶在登錄WindowsNT4.0系統時,必須輸入所在的域名、用戶名和口令,控制器將根據這些信息對用戶身份進行認證。 在系統內部,使用安全標識符(SID)唯一地標識一個用戶。SID是唯一的,即使一個用戶被刪除,該用戶的SID也不能重用或重新分配給其他用戶。,2.自主訪問控制 WindowsNT4.0采用自主訪問控制策略,控制粒度為單個用戶。WindowsNT4.0的安全模式允許將訪問控制應用于所有的系統客體以及基于NTFS文件系統的全部文件。 在應用進程對任何客體操作之前,WindowsNT4.0安全系統將驗證該進程所具有的權限。對于文件訪問操作,只有在文件的所有者或系統管理員授權的情況下才能被執行。 WindowsNT4.0通過自主訪問控制列表(DACL)對系統中的客體進行自主訪問控制。DACL作為客體的一個安全屬性,用于控制用戶對客體的訪問操作。DACL規定了賦予一個用戶或用戶組的訪問授權(允許或拒絕)以及訪問權限。并非所有客體都必須具有相應的DACL。如果一個客體沒有DACL,則意味著所有用戶都具有訪問該客體的權限。,3.客體重用 WindowsNT4.0提供了TCB(TrustedComputingBase)接口,所有可見的資源都采用如下方式尋址: (1)在分配時清除客體。 (2)在分配時完全初始化客體。 (3)只允許讀取已寫入的部分。 用戶進程是不能訪問硬件寄存器、緩存等資源(CPU除外)的。當創建一個進程時,必須清除或初始化所有的寄存器。此后,每當一個進程被掛起時,所有寄存器信息都被保留;當該進程被喚醒時,重新將寄存器信息裝入寄存器。,4.安全審計 WindowsNT4.0的TCB可建立和維護一個安全日志,記錄有關身份認證、對保護客體的訪問、被保護客體的刪除、管理操作以及其他安全事件。安全審計功能由LSA、SRM、保護服務器、執行子系統、事件日志以及事件查看器等部件來完成。審計信息記錄在安全日志中,并且只有管理員才有權查看安全日志。,13.3 信息安全模型 在13.2節的信息安全標準中,高安全級別系統都要求采用形式化安全模型來描述系統安全策略,并且是可驗證的。例如,在美國的TCSEC中,B級以上的高安全級別都要求具有形式化安全策略模型的應用。因此,形式化安全模型對于精確地描述一個系統的安全性和安全策略是非常重要的。,安全模型通常具有如下特點: (1)安全模型應當是精確和無歧義的。 (2)安全模型應當是簡單和抽象的,并且容易理解。 (3)安全模型應當是一般性的,只涉及安全性質,不過多涉及具體的系統功能或實現。 (4)安全模型應當足夠小,便于模型的形式化描述、實現和驗證。,13.3.1 訪問控制模型 一般的安全模型都可以用一種稱為格(Lattice)的數學表達式來表示。格是一種定義在集合SC上的偏序關系,并且滿足SC中任意兩個元素都有最大下界和最小上界的條件。在一種多級安全策略模型中,SC表示有限的安全類集合。其中,每個安全類可用一個兩元組(A,C)來表示,A表示權力級別(Authoritylevel),C表示類別集合(Category)。權力級別共分成四級: (1)0級:普通級(Unclassified)。 (2)1級:秘密級(Confidential)。 (3)2級:機密級(Secret)。 (4)3級:絕密級(TopSecret)。,對于給定的安全類(A,C)和(A,C),當且僅當AA且CC時,(A,C)(A,C),稱(A,C)受(A,C)的支配。例如,假設一個文件F的安全類為Secret;NATO,NUCLEAR,如果一個用戶具有如下的安全類:TopSecret;NATO,NUCLEAR,CRYPTO,則該用戶就可以訪問文件F,因為該用戶擁有比文件F更高的權力級別,并且在其類別集合中包含了文件F的所有類別