信息安全工程安全標準及模型課件

1、第13章安全標準及模型 第13章 安全標準及模型 13.1安全標準概況安全標準概況 13.2信息安全風險評估標準信息安全風險評估標準 13.3信息安全模型信息安全模型 13.4能力成熟模型能力成熟模型 第13章安全標準及模型 13.1安全標準概況安全標準概況13.1.1國際安全標準組織國際安全標準組織國際性的標準化組織主要有國際標準化組織(ISO)、國際電器技術委員會(IEC)及國際電信聯(lián)盟(ITU)所屬的電信標準化組織(ITUTS)。ISO是一個總體標準化組織,IEC在電工與電子技術領域里相當于ISO的位置,ITUTS是一個聯(lián)合締約組織。這些組織在安全需求服務分析指導、安全技術機制開發(fā)、安全

2、評估標準等方面制定了一些標準草案,但尚未正式執(zhí)行。另外,還有眾多標準化組織也制定了一些安全標準,如IETF(theInternetEngineeringTaskForce)就有如下功能組:認證防火墻測試組(AFT)、公共認證技術組(CAT)、域名安全組(DNSSEC)、IP安全協(xié)議組(IPSEC)、一次性口令認證組(OTP)、公開密鑰結構組(PKIX)、安全界面組(SECSH)、簡單公開密鑰結構組(SPKI)、傳輸層安全組(TLS)和Web安全組(WTS)等,它們都制定了有關的標準。第13章安全標準及模型 13.1.2國際安全標準概況國際安全標準概況1.ISO的有關安全標準的有關安全標準ISO

3、和IEC制定了一系列有關信息和網(wǎng)絡安全的標準,其中包括安全算法、安全機制、安全協(xié)議、安全管理和網(wǎng)絡安全等方面。下面列出一些有代表性的安全標準。1)安全算法標準ISO/IEC101181:單向散列函數(shù)部分1通用模型。ISO/IEC101182:單向散列函數(shù)部分2使用n位塊密碼算法的單向散列函數(shù)。ISO/IEC101183:單向散列函數(shù)部分3專用的單向散列函數(shù)。 第13章安全標準及模型 2)安全機制標準ISO/IEC10116:n位塊密碼算法的操作模式(加密機制)。ISO/IEC9798197985:實體認證的通用模型和使用各種認證算法的認證機制(實體認證機制)。ISO/IEC9797:使用加密檢

4、查功能的數(shù)據(jù)完整性機制(完整性機制)。ISO/IEC148881148883:數(shù)字簽名的通用模型、基于身份的機制和基于證書的機制(數(shù)字簽名機制)。ISO/IEC138881138883:不可否認的通用模型、基于對稱和非對稱的密碼算法的機制(不可否認機制)。 第13章安全標準及模型 3)安全協(xié)議標準ISO/IEC95948:認證框架,定義了各種強制性的認證機制和框架結構。4)安全管理標準ISO/IEC117701117703:密鑰管理框架、使用對稱和非對稱的密碼算法的密鑰管理機制。 5)網(wǎng)絡安全標準ISO/IEC74982:OSI安全結構,定義了基于OSI層次結構的安全機制和安全服務。ISO/I

5、EC101811101817:OSI安全框架、實體認證框架、訪問控制框架、不可否認性框架、完整性框架、機密性結構和安全審計框架等。 第13章安全標準及模型 6)安全評估標準ISO/IEC15408:信息技術安全評估通用準則(CC),為相互獨立的機構對相同信息安全產(chǎn)品的評估提供了可比性。 第13章安全標準及模型 表表13.1.1ISO和和ISO/IEC通用密碼技術標準通用密碼技術標準 I S O 號號 主主 題題 有有 關關 標標 準準 及及 算算 法法 8372 64 bit 密碼的工作模式 FIPS 81, ANSI X3.106 9796 可恢復消息的簽字(例 RSA) ANSI X9.3

6、1 9797 數(shù)據(jù)完整性機制(MAC) ISO 8731-1,ISO 9807, ANSI X9.9, ANSI 9.19 9798-1 實體認證：引論 9798-2 實體認證：采用對稱密鑰加密 9798-3 實體認證：采用公鑰技術 9798-4 實體認證：采用密鑰控制的單向函數(shù) 9798-5 實體認證：采用零知識技術 9979 密碼算法的注冊 10116 n-bit 密碼的工作模式 10118-1 雜湊函數(shù)：引論 10118-2 雜湊函數(shù)：采用分組密碼 Matyas-Meyer-Oseas 及 MDC-2 算法 10118-3 雜湊函數(shù)：采用定制的算法 SHA-I.RIPEMD-128, R

7、IPEMD-166 10118-4 雜湊函數(shù)：采用模算術 MASH-1, MASH-2 11770-1 密鑰管理：引論 11770-2 密鑰管理：對稱技術 Kerberos, Otway-Rel 協(xié)議 11770-3 密鑰管理：非對稱技術 Diffie-Hellman 協(xié)議 ISO/IEC 9798 13888-1 不可否認性：引論 13888-2 不可否認性：對稱技術 13888-3 不可否認性：非對稱技術 14888-1 有附件的簽字：引論 ANSI X9.30-1 ISO/IEC 9796 14888-2 有附件的簽字：基于身份的機制 14888-3 有附件的簽字：基于證書的機制 DSA

8、, EIGamal Schvlorr, RSA 等簽字 第13章安全標準及模型 表表13.1.2ISO和和ISO/IEC的安全結構和安全框架標準的安全結構和安全框架標準 第13章安全標準及模型 2.ITU的有關網(wǎng)絡安全標準的有關網(wǎng)絡安全標準ITU針對數(shù)據(jù)通信網(wǎng)的安全問題制定了有關網(wǎng)絡安全標準,它與ISO安全標準是相對應的。例如:ITUX.800:安全結構,與ISO74982相對應。ITUX.509:認證框架,與ISO95948相對應。ITUX.816:安全框架,與ISO10181相對應。 第13章安全標準及模型 3.IETF的有關網(wǎng)絡安全標準的有關網(wǎng)絡安全標準Internet研究和發(fā)展共同體(

9、InternetResearchandDevelopmentCommunity)正式公布的文件稱做應征意見稿(RFC,RequestforComments),其中一部分被規(guī)定為共同體內Internet標準的候選。例如:IETFRFC1825:IP協(xié)議安全結構。IETFRFC2401RFC2412:IP安全協(xié)議。IETFRFC2246:傳輸層安全協(xié)議。IETFRFC2632和IETFRFC2633:有關安全電子郵件協(xié)議(S/MIME)。IETFRFC2659RFC2660:有關安全HTTP協(xié)議(SHTTP)。IETFRFC2559:InternetX.509公鑰基礎結構操作協(xié)議。 第13章安全標

10、準及模型 表表13.1.3InternetRFC 第13章安全標準及模型 4.IEEE的有關局域網(wǎng)安全標準的有關局域網(wǎng)安全標準IEEE針對局域網(wǎng)安全問題制定了有關互操作局域網(wǎng)的安全規(guī)范,并將其作為IEEE802.10標準。該標準包括數(shù)據(jù)安全交換、密鑰管理以及網(wǎng)絡安全管理等規(guī)范。IEEE還制定了有關公鑰密碼算法的標準(IEEEP1363)。 第13章安全標準及模型 13.1.3各國安全標準概況各國安全標準概況1.信息安全技術標準信息安全技術標準信息安全技術標準主要指數(shù)據(jù)加密、數(shù)字簽名以及實體認證等標準。美國國家標準與技術協(xié)會(NIST,NationalInstituteStandardandTe

11、chnology,原美國國家標準局)、美國國家標準協(xié)會(ANSI)、美國國防部(DoD)和美國國家安全局(NSA)都從不同角度制定了有關信息安全的標準。NIST在信息處理標準(FIPS)中公布的有關信息安全的標準為美國聯(lián)邦政府標準,供美國聯(lián)邦政府各個部門使用。標準號以FIPS為標志頭,主要有數(shù)據(jù)加密、數(shù)據(jù)認證、密鑰管理、數(shù)字簽名以及實體認證等標準。 第13章安全標準及模型 表表13.1.4美國美國FIPS公布的有關標準公布的有關標準 FIPS 號號 主主 題題 有有 關關 標標 準準 FIPS 46-2 數(shù)據(jù)加密標準(DES) ANSI X3.92 FIPS 74 使用 DES指南 FIPS

12、81 DES 工作模式 ANSI X 3.106 FIPS 112 通行字使用 FIPS 113 數(shù)據(jù)認證(CBCMAC) ISO/IEC 9797 FIPS 114-1 密碼模塊安全性要求 FIPS 171 采用 X9.17 的密鑰管理 FIPS 180-1 安全雜湊標準(SHA-1) FIPS 185 密鑰托管(Clipper 和 SKIPJACK ) FIPS 186 數(shù)字簽名標準(DSA) FIPS 180, FIPS 180-1 FIPS JJJ 實體認證(非對稱) ISO/IEC 9798-3 第13章安全標準及模型 表表13.1.5 ANSI 的加密標準和銀行業(yè)務安全標準的加密標

13、準和銀行業(yè)務安全標準 第13章安全標準及模型 表13.1.6ISO制定的銀行業(yè)務安全標準(W批發(fā),R零售) 第13章安全標準及模型 2.系統(tǒng)安全評價標準系統(tǒng)安全評價標準信息安全產(chǎn)品不同于其他信息產(chǎn)品,必須經(jīng)過權威認證機構的評估和認證后才能進入市場,被用戶所使用。權威認證機構在評估和認證安全產(chǎn)品時必須遵循被廣泛認可的評估標準或準則,以實現(xiàn)產(chǎn)品評估的公正性和一致性。因此,一個能被廣泛接受的評估標準是極為重要的。20世紀70年代后期,美國國防部首先意識到了這個問題,并提出了一組計算機系統(tǒng)評估標準。這組標準包含20多個文件,每個文件使用不同顏色的封皮,因此稱為“彩虹系列”。其中,最核心的是“可信計算機

14、系統(tǒng)評估準則(TCSEC)”,按其封皮顏色被稱之為“橙皮書”。 第13章安全標準及模型 TCSEC主要提供一種度量標準,用于評估處理敏感信息的計算機系統(tǒng)的可信度和安全性。TCSEC主要有兩部分:第一部分描述了劃分計算機系統(tǒng)安全等級的標準,這種劃分是建立在人們對敏感信息保護所持有的全部信心的基礎上的;第二部分描述了該標準開發(fā)的基本目標、基本原理以及美國政府的政策等。TCSEC定義了4個安全等級:A、B、C和D。A級表示計算機系統(tǒng)提供了最強的安全性,D級表示計算機系統(tǒng)提供了最弱的安全性。B級劃分成B1、B2和B3三個子類,C級劃分成C1和C2兩個子類。這樣,總共劃分為7個安全等級。(1)D級(最小

15、保護):所有系統(tǒng)都能滿足的最低安全級,不具備更高級的安全特性。(2)C級(自主保護):提供自主接入控制(DAC)和目標重用,支持識別、認證和審計。C級劃分成C1和C2兩個子類。 第13章安全標準及模型 C1級(自主訪問保護):通過將用戶和數(shù)據(jù)相分離來滿足自主保護的要求,它將各種控制集為一體,對每個實體獨立地提供DAC、識別和認證。C2級(受控訪問保護):比C1級控制更加嚴格,要求對用戶也要實施DAC、識別、認證和審計,并要求目標重用。 第13章安全標準及模型 (3)B級(受控保護):利用受控接入控制(MAC)和數(shù)據(jù)敏感標記實現(xiàn)多級安全性,并提供一些保證要求。B級劃分成B1、B2和B3三個子類。

16、B1級(帶有標記的保護):系統(tǒng)必須對主要數(shù)據(jù)結構加敏感度標記,必須給出有關安全策略模型、數(shù)據(jù)標記以及對主體和客體的強制訪問控制的非正規(guī)表述。B2級(結構化保護):基于一種形式化的安全策略模型,B1級系統(tǒng)中所采用的自主訪問控制和強制訪問控制都被擴展到B2級系統(tǒng)中的所有主體和客體。B2級特別強調了隱蔽通道的概念,必須構造可信任計算機庫(TCB),強化認證機制,提供嚴格的配置管理控制的能力。 第13章安全標準及模型 B3級(安全域):所有主體對客體的訪問必須通過TCB中介,并且必須是防篡改的。B3級要求系統(tǒng)必須提供安全管理功能、安全審計機制和可信任系統(tǒng)恢復程序。 第13章安全標準及模型 (4)A級(

17、可驗證保護):采用可驗證的形式化安全策略模型。A1級是最高的安全級,功能上等價于B3級。A級要求對安全策略模型進行形式化驗證,并且形式化驗證要貫穿于整個系統(tǒng)開發(fā)過程。為了將TCSEC中確立的原則應用于網(wǎng)絡環(huán)境中,DoD對TCSEC進行了增補,公布了可信任網(wǎng)絡注釋TNI(紅皮書)。紅皮書有兩個主要部分:第一部分對橙皮書的相應部分進行了擴充,建立了網(wǎng)絡系統(tǒng)安全等級的劃分標準;第二部分描述了網(wǎng)絡環(huán)境中的一些特有業(yè)務,如認證、不可否認以及網(wǎng)絡安全管理等。因此,紅皮書是局域網(wǎng)和廣域網(wǎng)環(huán)境中網(wǎng)絡系統(tǒng)和產(chǎn)品安全等級劃分的基礎。 第13章安全標準及模型 美國的橙皮書公布后,歐洲各國相繼提出了各自的信息安全評價

18、標準,如德國的信息安全標準ZSIEC、英國的商用安全產(chǎn)品分級標準(綠皮書)、法國的信息安全標準SCSSI、加拿大的可信計算機產(chǎn)品評估準則CTCPEC以及歐共體的信息技術安全評估準則ITSEC等。德國的信息安全標準ZSIEC(綠皮書)是由德國信息安全局制定的。在ZSIEC中,定義了信息安全政策所需的8種基本安全功能。與TCSEC不同的是,ZSIEC在基本安全功能中增加了對系統(tǒng)可用性(不間斷服務)和數(shù)據(jù)完整性的要求。在評定級別方面,ZSIEC規(guī)定了10個功能級別(F1F10)和7個質量級別(Q1Q7)。其中,F1F5大致與TCSEC的C1B3相對應,Q1Q7近似對應于TCSEC的信任度級別DA1。

19、第13章安全標準及模型 英國的商用安全產(chǎn)品分級標準(綠皮書)是由英國國防部和商業(yè)部共同制定的。英國標準主要定義一種規(guī)范的產(chǎn)品功能說明語言,使用這種語言描述的產(chǎn)品,其安全功能可以由評審人員用規(guī)范方法加以驗證。英國標準定義了6個信任度級別L1L6,大致對應于TCSEC的C1A1或德國綠皮書的Q1Q6。同時,英國政府還建立了一個商用許可評定體制,以促進該標準的商業(yè)化應用。加拿大、澳大利亞和法國也制定了本國的標準。 第13章安全標準及模型 由于各國對信息安全產(chǎn)品等級劃分和評定存在著認識上的差異,因此這些標準之間存在較嚴重的兼容性問題。在一個國家獲得某一安全級別評定和認證的信息安全產(chǎn)品在另一個國家得不到

20、承認,需要重新評定和認證,影響了產(chǎn)品進入市場的時間和商機。為了協(xié)調歐共體國家的安全產(chǎn)品評價標準,在歐共體各成員國的支持下,英、德、法、荷四國聯(lián)合制定了信息技術安全評估準則(ITSEC),作為歐共體成員國的共同標準。ITSEC保留了德國標準中10個功能級別和8個質量級別(改成有效性級別E0E7)的內容,同時吸取了英國標準中功能描述語言的思想。安全產(chǎn)品(系統(tǒng))的評定是由TCSEC式的政府行為轉變?yōu)橛墒袌鲵屖沟男袠I(yè)行為,首先由廠商提出其安全產(chǎn)品(系統(tǒng))的評價目標和所期望的級別,然后由評定人員通過對產(chǎn)品的測評來確定是否同意廠商對產(chǎn)品安全功能的描述,以及是否給予廠商所要求的有效性級別。ITSEC比美國橙

21、皮書寬松一些,目的在于提供一種統(tǒng)一的安全系統(tǒng)評價方法,以滿足各種產(chǎn)品、應用和環(huán)境的需要。第13章安全標準及模型 在ITSEC的推動下,美國于1992年制定了TCSEC的更新計劃,由國家標準局和國家安全局合作制定了一個新標準,即“組合的聯(lián)邦標準”(FC,CombinedFederalcriteria)。FC仿照ITSEC的思路將功能要求和信任度要求分割開,定義了保護框架(PP,ProtectionProfile)和安全目標(ST,SecurityTarget)。用戶負責書寫保護框架,詳細說明其系統(tǒng)的保護需求。產(chǎn)品廠商提出產(chǎn)品的安全目標,描述產(chǎn)品的安全功能和信任度,并與用戶的保護框架相對比,以證明

22、該產(chǎn)品是否滿足用戶的需要。在FC的架構中,安全目標便成為評價的基礎,安全目標必須用具體的語言和有力的論據(jù)來說明保護框架中的抽象描述是怎樣逐條地在所評價的產(chǎn)品中得到滿足的。然而,在FC草案問世后不久,美國政府便宣布停止草案的修改工作,轉而與加拿大及歐共體國家一起聯(lián)合制定了共同的標準,即信息技術安全評估通用準則(theCommonCriteriaforInformationTechnologySecurityEvaluation),簡稱為CC。 第13章安全標準及模型 13.2信息安全風險評估標準信息安全風險評估標準 13.2.1國外信息安全風險評估標準國外信息安全風險評估標準1.國外風險評估標準

23、發(fā)展與簡介國外風險評估標準發(fā)展與簡介從20世紀80年代開始,世界各國相繼制定了多個信息安全評估標準,主要有:桔皮書(TCSEC)1985、英國安全標準1989、德國標準、法國標準、ITSEC1991、加拿大標準1993、聯(lián)邦標準草案FC1993、通用評估準則CC1993、澳大利亞標準AS/NZS43601995、英國BS77991995、國際ISO/IEC系列標準、美國NIST2000和德國BMP2001等。國外信息安全風險評估標準的演變歷程如圖13.2.1所示。 第13章安全標準及模型 圖13.2.1國際標準體系的發(fā)展 第13章安全標準及模型 1)可信計算機系統(tǒng)評估準則(TCSEC)1985

24、年美國國防部首次公布了可信計算機系統(tǒng)評估準則,簡稱TCSEC(TrustedComputerSystemEvaluationCriteria),也稱桔皮書。TCSEC是信息技術安全評估的第一個正式標準。此標準作為軍用標準,提出了美國在軍用信息技術安全方面的要求。TCSEC對用戶登錄、授權管理、訪問控制、訪問追蹤、隱蔽通道分析、可信通道建立、安全檢測、生命周期保障、文檔寫作、用戶指南等內容提出了規(guī)范性的要求。TCSEC將計算機系統(tǒng)的安全等級劃分為D、C、B、A四類,每類下面又分為多個級別。D類安全等級只包括D1一個安全級別,D1的安全等級最低,只為文件和用戶提供安全保護。C類安全等級分為C1和C

25、2兩個安全級別,該類安全等級能夠提供審慎的保護,并為用戶的行動和責任提供審計能力。B類安全等級分為B1、B2和B3三個安全級別,該類安全等級具有強制性保護功能。A類安全等級只包含A1一個安全級別,A類的安全級別最高。第13章安全標準及模型 2)信息技術安全評估準則(ITSEC)在20世紀80年代后期,幾個歐洲國家和加拿大紛紛開始開發(fā)自己的評估準則。1991年,歐洲標準化委員會正式公開發(fā)表信息技術安全評估準則(ITSEC,InformationonTechnologySecurityEvaluationCriteria)1.2版。ITSEC適用于軍隊、政府和商業(yè)部門。它以超越TCSEC為目的,將

26、安全概念分為功能和評估兩部分:功能準則分為10級,15級對應于TCSEC的DA類;評估準則分為E0E6共7個安全等級。ITSEC還提出了信息安全的保密性、完整性和可用性等屬性,并且把可信計算機的概念提高到可信信息技術的高度來認識,對國際信息安全的研究產(chǎn)生了深遠的影響。第13章安全標準及模型 3)加拿大可信計算機產(chǎn)品評估準則(CTCPEC)加拿大可信計算機產(chǎn)品評估準則(CTCPEC)1.0版于1989年公布,專為政府需求而設計。1993年公布了3.0版,作為ITSEC和TCSEC的結合,將安全分為功能性要求和保證性要求兩部分。功能性要求分為保密性、完整性、可用性、可控性四大類。在每種安全要求下,

27、各類按程度不同又分為5級,以表示安全性上的差別。 第13章安全標準及模型 4)美國信息技術安全聯(lián)邦準則(FC)20世紀90年代初,美國為了適應信息技術的發(fā)展和推動美國國內非軍用信息技術產(chǎn)品安全性的進步,NSA和NIST聯(lián)合起來對TCSEC進行了修訂,于1992年底公布了FC草案1.0版。在此標準中引入了“保護輪廓”這一重要概念,每個保護輪廓都包括功能部分、開發(fā)保證部分和評測部分。其分級方式與TCSEC不同,充分吸取了ITSEC和CTCPEC的優(yōu)點,主要供美國民用、商用及政府使用。 第13章安全標準及模型 5)AS/NZS4360風險管理標準AS/NZS4360是澳大利亞和新西蘭聯(lián)合開發(fā)的風險管

28、理標準,是風險管理的通用指南,它給出了一整套風險管理的流程。它把風險管理過程分為建立環(huán)境、風險識別、風險分析、風險評價、風險處理5個標準環(huán)節(jié)。在進行資產(chǎn)的識別和評估時,采取半定量化的方法,將威脅和風險發(fā)生的可能性與造成的影響劃分為不同的等級,然后對不同等級的風險給出了處理方法。它將對象定位在信息系統(tǒng),對信息安全風險評估具有指導作用。 第13章安全標準及模型 對上面幾個主要標準的總體評價如下:最初的TCSEC是針對孤立計算機系統(tǒng)提出的,特別是小型機和大型機系統(tǒng),該標準僅適用于軍隊和政府,不適用于企業(yè)。TCSEC和ITSEC均是不涉及開放系統(tǒng)的安全標準,僅針對產(chǎn)品的安全保證要求來劃分等級并進行評測

29、,且均為靜態(tài)模型,僅能反映靜態(tài)安全狀況。CTCPEC雖在二者的基礎上有一定發(fā)展,但也未能突破上述局限性。FC對TCSEC作了補充和修改,對保護輪廓和安全目標作了定義,明確了由用戶提供其系統(tǒng)安全保護所要求的詳細輪廓,由產(chǎn)品商定義產(chǎn)品的安全功能和安全目標等,但因其本身的一些缺陷一直沒有正式投入使用。目前國際上流行的標準有:CC、BS7799、ISO/IEC13335、ISO/IEC17799等。 第13章安全標準及模型 2.通用評估準則通用評估準則(CC)信息技術安全評估通用準則(theCommonCriteriaforInformationTechnologySecurityEvaluation

30、,簡稱為CC)是北美和歐盟聯(lián)合開發(fā)的一個統(tǒng)一的國際公認的安全準則,是由FC和CTCPEC準則相互間的總結和互補發(fā)展起來的。1999年,CC被ISO批準成為國際標準ISO/IEC154081999,并正式頒布發(fā)行。CC是目前最全面的信息技術安全評估準則,其內容分為三部分。(1)簡介和一般模型:定義了信息技術安全評估的一般概念和原則,并規(guī)定了如何創(chuàng)建安全目標和需求。 第13章安全標準及模型 (2)安全功能要求:用標準化的方法對評價目標建立一個明確的滿足安全要求的部件功能集合。該功能集合分為部件(components)、族(families)和類(classes)。(3)安全保證要求:用標準化的方法

31、對評價目標建立一個明確的滿足安全要求的部件集合,對保護方案和安全目標進行了定義,并且對安全評價目標提出了安全評價保證級別(EAL)。級別分為EAL1到EAL7,共7個等級。每一級均需評估7個功能類,分別是:配置管理、分發(fā)和操作、并發(fā)過程、指導文獻、生命期的技術支持、測試和脆弱性評估。 第13章安全標準及模型 3.信息安全管理標準信息安全管理標準BS7799BS7799現(xiàn)已成為國際公認的安全管理權威標準。1993年9月,英國標準協(xié)會(BSI)頒布信息安全管理實施細則,形成了BS7799的基礎。1995年2月,BSI首次公布了BS77991:1995。1998年2月,BSI公布了BS77992:1

32、998。1999年4月,BS77991和BS77992修訂后重新發(fā)布。2000年12月,BS77991:1999通過國際標準組織認可,正式成為國際標準,即ISO/IEC177991:2000。2002年9月,BSI對BS77992:2000進行了改版,BS77992:2002通過了ISO認可。 第13章安全標準及模型 BS7799分為兩部分:BS77991:1999信息安全管理細則(CodeofPracticeforInformationSecurityManagement)和BS77992:2002信息安全管理體系規(guī)范(SpecificationforInformationSecurityM

33、anagement)。BS77991:1999主要為組織建立并實施信息安全管理體系提供了一個指導性的準則,BS77992:2000詳細說明了建立、實施和維護信息安全管理系統(tǒng)的要求。BS77991:1999是一個非常詳盡、復雜的信息安全管理標準層次體系,共分為4層內容、10個管理要項、36個管理目標、127個控制措施以及若干個控制要點,主要提供有效實施信息系統(tǒng)風險管理的建議。 第13章安全標準及模型 BS77992:2000詳細說明了建立、實施和維護信息安全管理系統(tǒng)(ISMS)的要求。具體實施步驟是:定義安全策略,定義ISMS范圍(邊界);確定資產(chǎn),進行資產(chǎn)風險評估;確定高風險資產(chǎn)、風險管理措施

34、決策;選擇合適的控制方式、部署和管理控制方式,啟用聲明、目標審查、安全策略、安全目標、契約和法律需求。 第13章安全標準及模型 4.ISO/IEC17799由于BS7799日益得到國際的認同,使用的國家也越來越多,2000年12月,國際標準化組織正式將其第一部分轉化為國際標準,即所頒布的ISO/IEC17799:2000信息技術信息安全管理實施細則(InformationTechnology-CodeofPracticeforInformationSecurityManagement)。作為一個全球通用的標準,ISO/IEC17799并不局限于IT,也不依賴于專門的技術,它是由長期積累的一些最

35、佳實踐構成的,是市場驅動的結果。ISO/IEC17799提出了風險評估的方法、步驟和主要內容,為風險評估提供了實施指南;指出了風險評估的主要步驟,包括資產(chǎn)識別、威脅識別、脆弱性識別、已有控制措施確認、風險計算等過程;首次給出了信息安全的保密性、完整性、可用性、審計性、認證性、可靠性6個方面的含義,并提出了以風險為核心的安全模型;指出風險就是威脅利用漏洞使資產(chǎn)暴露而產(chǎn)生的影響的大小。 第13章安全標準及模型 5.ISO/IEC13335ISO/IEC13335信息技術IT安全管理指導方針(GMITS,InformationTechnology-GuidelinesfortheManagement

36、ofITSecurity)是一個關于IT安全管理的指南,它提出了以風險為核心的安全模型,闡述了信息安全評估的思路,對信息安全評估工作具有指導意義。 第13章安全標準及模型 該標準由以下5部分組成:(1)ISO/IEC133351:IT安全的概念和模型(ConceptsandModelsofITSecurity)。這部分包括對IT安全和安全管理的一些基本概念和模型的介紹。(2)ISO/IEC133352:IT安全的管理和計劃(ManagingandPlanningITSecurity)。這部分建議性地描述了IT安全管理和計劃的方式及要點,包括:決定IT安全目標、戰(zhàn)略和策略;決定組織的IT安全需求

37、;管理IT安全風險;計劃適當IT安全防護措施的實施;開發(fā)安全教育計劃;策劃跟進的程序,如監(jiān)控、復查和維護安全服務;開發(fā)事件處理計劃。 第13章安全標準及模型 (3)ISO/IEC133353:IT管理技術(TechniquesfortheManagementofITSecurity)。這部分覆蓋了風險管理技術、IT安全計劃的開發(fā)以及實施和測試,包括一些后續(xù)的制度審查、事件分析、IT安全教育程序等,并且介紹了四種風險評估方法(基線方法、非形式化方法、詳細分析方法、綜合分析方法)。(4)ISO/IEC133354:防護的選擇(SelectionofSafeguards)。這部分主要探討了如何針對一

38、個組織的特定環(huán)境和安全需求來選擇防護措施。 第13章安全標準及模型 (5)ISO/IEC133355:網(wǎng)絡安全管理指南(ManagementGuidanceonNetworkSecurity)。這部分提出了IT安全和機制應用指南。ISO/IEC13335認為安全管理中的主要部件包括資產(chǎn)、威脅、脆弱性、影響、風險、防護措施和剩余風險;主要的安全管理過程包括風險管理、風險評估、安全意識、監(jiān)控與一致性檢驗等。 第13章安全標準及模型 6.標準對比標準對比1)CC與BS7799CC強調對防護措施進行評估,評估的結果是對防護措施保障程度的描述,即防護措施能夠降低安全風險的可信度,資產(chǎn)所有者可以根據(jù)CC來

39、決定是否接受將資產(chǎn)暴露給威脅所冒的風險。CC的不足之處是:由于涉及面太廣,所以很難被人們掌握和控制,而且它并不涉及管理細節(jié)和信息安全的具體實現(xiàn)、算法和評估方法等方面,也不能作為安全協(xié)議或用于安全鑒定。 第13章安全標準及模型 BS7799提供了一套普遍適用且行之有效的全面的安全控制措施,還提出了建立信息安全管理體系的目標,這和人們對信息安全管理認識的加強是相適應的。BS77992提出的信息安全管理體系(ISMS)是一個系統(tǒng)化、程序化和文檔化的管理體系。BS7799的不足之處在于:其所描述的所有控制方式并不適合于每種情況,它不可能將具體的系統(tǒng)環(huán)境和技術限制考慮在內,也不可能適合一個組織中的每個潛

40、在用戶。 第13章安全標準及模型 BS7799和CC都是信息安全領域的評估標準,并且都以信息的保密性、完整性和可用性作為信息安全的基礎。然而,這兩個標準所面向的角度有很大的不同:BS7799是一個基于管理的標準,它處理的是與IT系統(tǒng)相關的非技術問題;CC則是一個基于技術的標準,它強調的是系統(tǒng)和產(chǎn)品安全技術方面的問題。與BS7799相比,CC更側重于對系統(tǒng)和產(chǎn)品的技術指標的評估,而在對信息系統(tǒng)的日常安全管理方面,BS7799的地位是其他標準無法取代的。 第13章安全標準及模型 2)BS7799與ISO/IEC17799BS77991不支持信息安全認證,而支持認證的BS77992與ISO/IEC1

41、7799沒有任何關系。BS7799是針對企業(yè)的整體利益而言的,它將對象定位在信息系統(tǒng)安全管理體系。ISO/IEC17799來自BS77991。ISO/IEC17799主要提供了信息系統(tǒng)安全管理的指導性原則,將風險評估作為了建立信息安全管理體系的中間步驟,盡管沒有給出可操作的信息安全風險評估方案,但是確定了包括識別風險、評估風險、處理風險等在內的風險評估控制目標和控制方式。 第13章安全標準及模型 3)ISO/IEC13335與CCISO/IEC13335是由國際標準化組織頒布的一個信息安全管理指南,這個標準的主要目的是給出如何有效地實施IT安全管理的建議和指南。用戶完全可以參照這個完整的標準制

42、定出自己的安全計劃和實施步驟。ISO/IEC13335首次給出了關于IT安全的保密性、完整性、可用性、審計性、認證性、可靠性6個方面的定義,并提出了以風險為核心的安全模型,闡述了信息安全評估的思路,對信息安全評估工作具有指導意義。CC是針對安全產(chǎn)品和系統(tǒng)進行安全性評估的一個詳細方法,而ISO/IEC13335是包含與信息安全項目開發(fā)相關的一切模板。ISO/IEC13335關注的是安全項目的開發(fā),而CC是從技術的角度關心安全產(chǎn)品和系統(tǒng)的安全性評價。也就是說,CC沒有敘述怎樣開發(fā)安全產(chǎn)品和系統(tǒng),但是提供了評估安全產(chǎn)品和系統(tǒng)與預先定義的安全需求的符合程度的評價過程。 第13章安全標準及模型 4)IS

43、O/IEC13335與BS7799與BS7799比較而言,ISO/IEC13335對安全管理的過程描述得更加細致,完全可操作;有多種角度的模型和闡述;對安全管理過程中的最關鍵環(huán)節(jié)風險分析和管理有非常細致的描述,闡述了包括基線方法、非形式化方法、詳細分析方法和綜合分析方法等風險分析方法;有比較完整的針對6種安全需求的防護措施的介紹。BS7799以安全管理為基礎,提供了一系列安全控制機制,供組織建立、貫徹和維護使用;提出了風險評估的要求,但是只注重信息安全管理方面。ISO/IEC13335介紹了風險評估的過程和方法,但是該方法是針對一般信息系統(tǒng)而言的,過于籠統(tǒng),沒有針對性。 第13章安全標準及模型

44、 總之,國際上風險評估相關的安全標準基本沒有一個是能直接拿來使用的。其原因是各標準針對的對象和目標不一樣,有的標準強調風險管理,有的強調具體的安全技術,有的只定義某一方面的安全等級,有的則強調國際通用的規(guī)范和認證。 第13章安全標準及模型 13.2.2國內信息安全風險評估標準國內信息安全風險評估標準1.國內風險評估標準發(fā)展與簡介國內風險評估標準發(fā)展與簡介我國信息安全標準的研究基本上是從20世紀90年代末啟動的,主要是等同采用或修改相關的國際標準。已經(jīng)頒布的標準如下:(1)GB/T18336-2001信息技術安全技術信息技術信息安全評估準則;(2)GB/T19716-2005信息技術信息安全管理

45、實用規(guī)則;(3)GB/T19715.1-2005信息技術信息技術安全管理指南第1部分:信息技術安全概念和模型;(4)GB/T9361-2000計算機場地安全要求;(5)GB/T20984-2007信息安全技術信息系統(tǒng)的風險評估規(guī)范。 第13章安全標準及模型 另外,在國際標準的基礎上,我國也制定了一些針對信息化建設特點的信息安全技術和信息安全評估的國家、地方標準。由公安部主持制定、國家質量技術監(jiān)督局發(fā)布的國家標準GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則將信息系統(tǒng)安全分為自主保護級、系統(tǒng)審計保護級、安全標記保護級、結構化保護級和訪問驗證保護級5個級別。我國還制定了金融行業(yè)標準銀行

46、及相關金融服務信息安全管理規(guī)范20030037-T-320,以及GB18018/18019等產(chǎn)品標準。部分省(市)也發(fā)布了一些地方標準,例如,北京市于2002年制定并頒布了DB11/T171-2002北京市黨政機關信息網(wǎng)絡安全系統(tǒng)測評規(guī)范,上海市于2002年制定并頒布了DB31/T272-2002計算機信息系統(tǒng)安全測評通用技術規(guī)范。這些地方標準的制定為各地開展信息安全評估奠定了良好的基礎。 第13章安全標準及模型 2.GB/T20984-2007信息安全技術信息安全風險評估規(guī)范信息安全技術信息安全風險評估規(guī)范2003年7月,中辦發(fā)200327號文件對開展信息安全風險評估工作提出了明確的要求。國

47、信辦委托國家信息中心牽頭,成立了國家信息安全風險評估課題組,對信息安全風險評估相關工作展開調查研究。2004年3月29日正式啟動了信息安全風險評估標準草案的編制工作。2004年底完成了信息安全風險評估指南標準草案。2005年由國務院信息辦組織在北京、上海、黑龍江、云南等省市與人民銀行、國家稅務總局、國家信息中心及國家電力總公司開展了驗證信息安全風險評估指南的可行性與可用性的試點工作。2006年6月19日,全國信息安全標準化技術委員會經(jīng)過討論,將標準正式命名為信息安全技術信息安全風險評估規(guī)范,并同意其通過評審。由國家標準化管理委員會審查批準發(fā)布的GB/T20984-2007信息安全技術信息安全風

48、險評估規(guī)范于2007年11月1日正式實施。 第13章安全標準及模型 信息安全風險評估規(guī)范(以下簡稱規(guī)范)是我國開展信息安全風險評估工作遵循的國家標準。規(guī)范定義了風險評估的基本概念、原理及實施流程,對被評估系統(tǒng)的資產(chǎn)、威脅和脆弱性識別要求進行了詳細描述,并給出了具體的定級依據(jù);提出了風險評估在信息系統(tǒng)生命周期不同階段的實施要點,以及風險評估的工作形式。規(guī)范分為兩個部分:主體和附錄。主體部分主要介紹風險評估的定義、風險評估的模型以及風險評估的實施過程;附錄部分包括信息安全風險評估的方法、工具介紹和實施案例。 第13章安全標準及模型 規(guī)范主體又分為引言和7項條款。引言指出信息安全風險評估的意義,還指

49、出信息安全風險評估要貫穿于信息系統(tǒng)生命周期的各個階段,其出發(fā)點是:從風險管理角度,運用科學的方法和手段,系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施;為防范和化解信息安全風險,將風險控制在可接受的水平,從而為最大限度地保障信息安全提供科學依據(jù)。 第13章安全標準及模型 規(guī)范主體的7項條款包括:(1)范圍:提出了規(guī)范涵蓋的內容。(2)規(guī)范性引用文件:規(guī)范引用了四個標準,即GB/T9361-2000計算機場地安全要求、GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則、GB/T18336-2001信息技術

50、安全技術信息技術信息安全評估準則(idtISO/IEC15408:1999)及GB/T19716-2005信息技術信息安全管理實用規(guī)則(idtISO/IEC17799:2000)。(3)術語和定義:給出了與信息安全風險評估相關的一些概念。 第13章安全標準及模型 (4)風險管理框架及流程:風險評估要素的關系模型如圖13.2.2所示。風險評估中各要素的關系是:業(yè)務戰(zhàn)略依賴于資產(chǎn)去完成;資產(chǎn)擁有價值,單位的業(yè)務戰(zhàn)略越重要,對資產(chǎn)的依賴程度越高,資產(chǎn)的價值就越大;資產(chǎn)的價值越大,則風險越大;風險由威脅發(fā)起,威脅越大,則風險越大,并可能演變成安全事件;威脅都要利用脆弱性,脆弱性越大,則風險越大;脆弱性

51、使資產(chǎn)暴露,是未被滿足的安全需求,威脅要通過利用脆弱性來危害資產(chǎn),從而形成風險;資產(chǎn)的重要性和對風險的意識會導出安全需求;安全需求要通過安全措施來得以滿足,且是有成本的;安全措施可以抗擊威脅,降低風險,減弱安全事件的影響;在實施了安全措施后還會有殘余風險,殘余風險可能會誘發(fā)新的安全事件。 第13章安全標準及模型 圖13.2.2風險評估要素的關系模型 第13章安全標準及模型 與CC標準的關系模型(如圖13.2.3所示)和ISO13335標準的關系模型(如圖13.2.4所示)相比,規(guī)范中對基本要素(圖13.2.2中方框部分)和與要素相關的屬性(圖13.2.2中橢圓部分)劃分更加細致,對與基本要素相

52、關的一些屬性(如業(yè)務戰(zhàn)略、資產(chǎn)價值、安全事件、殘余風險等)進行了更充分的考慮。規(guī)范強調對殘余風險的評估,指出風險不可能也沒有必要降為零,在實施了安全措施后還會有殘留下來的風險。其中,一部分殘余風險來自于安全措施不當或無效,在以后需要繼續(xù)控制這部分風險;另一部分殘余風險則是在綜合考慮了安全的成本與資產(chǎn)價值后,有意未去控制的風險,這部分風險是可以接受的。規(guī)范明確提出:安全措施是基本要素;要對組織的安全措施進行評估;安全措施可以降低和抵御威脅;安全措施不當會造成殘余風險,進而誘發(fā)新的安全事件;安全措施是被滿足的安全需求;安全措施是有成本的。 第13章安全標準及模型 圖13.2.3CC標準的關系圖 第

53、13章安全標準及模型 圖13.2.4ISO13335標準的關系模型 第13章安全標準及模型 風險分析原理:識別資產(chǎn)并賦值;識別威脅并對威脅出現(xiàn)的頻率賦值;識別脆弱性并對脆弱性的嚴重程度賦值;根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性;根據(jù)脆弱性的嚴重程度及安全事件所作用的資產(chǎn)的價值計算安全事件造成的損失;根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失,計算安全事件一旦發(fā)生對組織產(chǎn)生的影響,即風險值。規(guī)范給出了風險評估的實施流程圖。 第13章安全標準及模型 (5)風險評估實施:規(guī)范描述了風險評估的實施過程。風險評估的準備:這是整個風險評估過程有效性的保證。在這個階段要完成以下任

54、務:確定風險評估的目標和范圍,組建評估團隊,進行系統(tǒng)調研,確定評估依據(jù)和方法并獲取最高管理者對評估工作的支持。資產(chǎn)識別:依據(jù)資產(chǎn)的分類,對評估范圍內的資產(chǎn)逐一識別,完成對資產(chǎn)保密性、完整性和可用性的賦值,最后經(jīng)過綜合評定得出資產(chǎn)重要性等級。威脅識別:對資產(chǎn)可能遭受的威脅進行識別,并依據(jù)威脅出現(xiàn)的頻率對威脅進行賦值。 第13章安全標準及模型 脆弱性識別:這是風險評估中最重要的一個環(huán)節(jié)。脆弱性識別可以以資產(chǎn)為核心,也可以從物理、網(wǎng)絡、系統(tǒng)、應用等層次進行識別,然后與資產(chǎn)、威脅對應起來?？梢詮募夹g和管理兩個方面對評估對象存在的脆弱性進行識別并賦值。已有安全措施的確認:在識別脆弱性的同時,對評估對象已

55、采取的安全措施的有效性進行確認,評估其有效性。風險分析:采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度,判斷安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度,并判斷安全事件造成的損失對組織的影響,即安全風險。 第13章安全標準及模型 標準給出了風險計算原理,以下面的范式形式化加以說明:風險值=R(A,T,V)=R(L(T,V),F(Ia,Va)式中,R表示安全風險計算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產(chǎn)價值;Va表示脆弱性的嚴重程度;L表示威脅利用資產(chǎn)的脆弱性導致安全事件發(fā)生的可能性;F表示安全事件發(fā)

56、生后造成的損失。風險評估文件記錄:形成風險評估過程中的相關文檔,包括風險評估報告。 第13章安全標準及模型 (6)信息系統(tǒng)生命周期各階段的風險評估:風險評估貫穿于信息系統(tǒng)的整個生命周期中,各階段根據(jù)其活動內容的不同,安全目標和風險評估的要求也會不同。信息系統(tǒng)在規(guī)劃設計階段要通過風險評估確定系統(tǒng)的安全目標;在建設驗收階段要通過風險評估以確定系統(tǒng)的安全目標達成與否;在運行維護階段要不斷地進行風險評估以確定安全措施的有效性,確保安全保障目標始終如一、得以堅持。規(guī)范給出了各階段風險評估的側重點、評估要點及評估采取的方式。 第13章安全標準及模型 (7)風險評估的工作形式:根據(jù)評估實施者的不同,風險評估

57、形式分為自評估和檢查評估兩大類。自評估是由被評估單位依靠自身的力量,對其自身的信息系統(tǒng)進行的風險評估活動。檢查評估是被評估單位的上級主管機關依據(jù)已經(jīng)頒布的法規(guī)或標準進行的具有強制意味的檢查活動。 第13章安全標準及模型 13.2.3基于基于CC的認證的認證為了保證測評結果的可比性,所有基于CC的測評都應當在一個統(tǒng)一的框架下設立標準,監(jiān)督測評質量和管理測評規(guī)范。CC本身并不包括這個框架,但描述了這個框架的要素,具體如圖13.2.5所示。圖13.2.5中,公共測評方法(CEM)由另外的文件定義,包括EAL1EAL4級測評的具體過程。考慮到各個國家相關組織和機構的設置以及具體的管理模式可能會不同,在

58、上述框架中,測評模式由各個國家自行確定。目前,創(chuàng)建CC的六個國家均建立了各自的測評模式,并基于上述框架簽署了相互認可測評結果的互認協(xié)議(MRA,MutualRecognitionAgreement)。 第13章安全標準及模型 圖13.2.5CC測評框架第13章安全標準及模型 13.2.4信息安全準則的應用信息安全準則的應用下面以MicrosoftWindowsNT4.0操作系統(tǒng)為例,具體分析一個實際系統(tǒng)是如何應用這些信息安全準則來實現(xiàn)其安全策略和功能的。WindowsNT4.0操作系統(tǒng)于1999年11月通過了美國國防部TCSECC2級安全認證,表明該系統(tǒng)具有身份認證、自主訪問控制、客體重用和安

59、全審計等安全特性。這些安全特性是由WindowsNT4.0安全子系統(tǒng)提供的。WindowsNT4.0安全子系統(tǒng)由本地安全授權(LSR)、安全賬戶管理(SAM)和安全參考監(jiān)視器(SRM)等部分組成。 第13章安全標準及模型 (1)本地安全授權部分:為了保障用戶獲得存取系統(tǒng)的許可權,它提供了許多服務程序,如產(chǎn)生令牌,執(zhí)行本地安全管理,提供交互式登錄認證服務,控制安全審計策略以及由SRM產(chǎn)生的安全審計記錄信息等。(2)安全賬戶管理部分:提供SAM數(shù)據(jù)庫。該數(shù)據(jù)庫包含所有的用戶和用戶組的信息。SAM提供用戶登錄認證,將用戶輸入的信息與SAM數(shù)據(jù)庫中的注冊信息相比較來驗證用戶身份的合法性。對于合法的用戶

60、,將賦予一個安全標識符(SID)。根據(jù)網(wǎng)絡的配置,SAM數(shù)據(jù)庫可能存在于一個或多個WindowsNT系統(tǒng)中。 第13章安全標準及模型 (3)安全參考監(jiān)視器部分:負責訪問控制和審計策略,由LSA提供支持。SRM提供客體(文件、目錄等)的訪問權限,并檢查主體(用戶賬戶等)的權限,產(chǎn)生必要的審計信息?？腕w的安全屬性由安全控制項(ACE)來描述。全部客體的ACE組成訪問控制列表(ACL)。對于無ACL的客體,任何主體都能訪問。當主體訪問有ACL的客體時,由SRM檢查其中的每一個ACE,從而決定是否允許主體的訪問。 第13章安全標準及模型 1.身份認證身份認證WindowsNT4.0基于安全域(Doma