信息安全安全架构与设计课件.ppt

1、安全架构和设计Security Architecture and Design 关键知识领域?A.理解安全模型的基本概念（如保密性、完整性与多层次模型）B.理解信息系统安全评估模型的组成?B.1 产品评估模型（如通用准则）B.2 工业与国际安全实施准则（如 PIC-DSS、ISO）?C.理解信息系统的安全功能（如内存保护、虚拟技术、可信平台模块）D.理解安全架构的漏洞?D.1 系统（如隐蔽通道、状态攻击、电子发射）D.2 技术与流程的整合（如单点故障、面向服务的架构）E.1 基于Web（如XML、SAML、OWASP）E.2 基于客户端（如小程序）?E.理解软件与系统的漏洞与威胁?目录?计算机

2、安全系统架构计算机系统结构操作系统架构系统安全体系结构安全模型操作安全模式系统评价方法橘皮书和彩虹系列信息技术安全评估标准通用标准认证与认可计算机安全（Computer Security）?可用性：防止丢失或访问，数据和资源流失?Availability:Prevention of loss of,or loss of access to,data and resources?完整性：防止数据和资源的未经授权的修改?Integrity:Prevention of unauthorized modification of data and resourcesConfidentiality:Pre

3、vention of unauthorized disclosure of data and resources?保密性：防止未授权披露的数据和资源?系统架构（System Architecture）?架构（Architecture）：体现在其组成部分，它们彼此之间以及与环境的关系，和指导原则其设计和演进的系统的基本组织。架构描述（Architectural description，AD）：以正式的方式表述一个架构的文档集合。利益相关者（Stakeholder）：对于系统有利益关系或关注系统的个人、团队、组织（或集体）视图（View）：从相关的一组关注点透视出的整个系统的表述视角（Viewpo

4、int）：关于建设和使用视图的惯例性说明，也是通过明确视图建立目的、读者，确立视图与分析技巧后开发单个视图的模板。?正式的架构术语和关系计算机系统结构（Computer Architecture）?计算机体系结构包括所有用于它的计算机系统的所必需的部件的功能，包括操作系统，存储芯片，逻辑电路，存储设备，输入和输出设备，安全组件，总线和网络接口。?中央处理器（The Central Processing Unit）多重处理（Multiprocessing）操作系统组件（Operating System Components）中央处理器（The Central Processing Unit，CP

5、U）?计算机的大脑。对CPU最常见的描述可能是：它从存储器中提取指令并加以执行。控制单元算术逻辑单元寄存器解码单元预取单元指令高速缓存器数据高速缓存器总线单元（主存储器）中央处理器（The Central Processing Unit，CPU）?中央处理单元是计算机硬件的核心，主要任务是执行各种命令，完成各种运算和控制功能，是计算机的心脏，决定着系统的类型、性能和速度，CPU中包含：?(1)算术逻辑运算单元ALU(Arithmetic Logic Unit)：主要负责数据的计算或处理。(2)控制单元(Control unit)：控制数据流向，例如数据或指令进出CPU；并控制ALU的动作。(3

6、)寄存器/缓存器(Registers)：负责储存数据，以利CPU快速地存取。?累加器(Accumulator)程序记数器(Program Counter)内存地址寄存器(Memory Address Register)内存数据寄存器(Memory Buffer Register)指令寄存器(Instruction Register)CPU运行状态?运行状态：Run/operating state?执行指令执行应用程序仅执行非特权(nonprivileged instructions)指令特权模式下执行程序可以访问整个系统，同时执行特权(Privileged instructions)和非特权指

7、令解题状态：Application/Problem state?管理程序状态：Supervisor state?等待状态：Wait state?等待特定事件完成多重处理（Multiprocessing）?对称模式多重处理（Symmetric mode multiprocessing）?计算机有两个或者多个CPU且每个CPU都使用加载均衡方式计算机有两个或者多个CPU，且有一个CPU仅专门处理一个特定程序，而其他CPU执行通用的处理程序非对称模式多重处理（Asymmetric mode multiprocessing）?关键概念?中央处理单元CPU，算术逻辑单元ALU，寄存器，控制单元通用寄存器

8、（General registers）：CPU在执行指令过程中使用的临时存储位置。特殊寄存器（Special registers）：保存关键处理参数的临时存储位置。保存诸如程序计数器，堆栈指针，程序状态字（PSW）。?程序计数器（Program counter）：为CPU所要执行的指令保存存储器地址栈（Stack）：进程用来彼此传输指令和数据的存储器分段程序状态字（Program status word）：向CPU表明需要用什么状态（内核模式还是用户模式）运行的条件变量关键概念?用户模式（问题状态）（User mode(problem state)）：CPU在执行不太可信的进程指令时所用的保护

9、模式内核模式（监管状态、特权模式）（Kernel mode(supervisory state,privilege mode)）：CPU在执行较为可信的进程指令时所用的工作状态，进程在内核模式下比在用户模式下可以访问更多的计算机资源地址总线（Address bus）：处理组件和存储器段之间的物理连接，用来传输处理过程中所拥到的物理存储器地址数据总线（Data bus）：处理组件和存储器段之间的物理连接，用来传输处理过程中所用到的数据。对称模式多重处理，不对称模式多重处理操作系统组件（Operating System Components）?进程管理（Process Management）线程管

10、理（Thread Management）进程调度（Process Scheduling）进程活动（Process Activity）进程管理（Process Management）?进程管理：操作系统的职能之一，主要是对处理机进行管理。为了提高CPU的利用率而采用多道程序技术。通过进程管理来协调多道程序之间的关系，使CPU得到充分的利用。?进程：Process?一个独立运行的程序，有自己的地址空间,是程序运行的动态过程只能有限地与其它进程通信，由 OS负责处理进程间的通信进程是程序运行的一个实例，是运行着的程序关键概念?多程序设计(MultiProgramming)?一个处理器允许多处程序的将

11、交叉运行,即两个或两个以上程序在计算机系统中同处于开始个结束之间的状态：多道、宏观上并行、微观上串行解决主机和外转设备速度不匹配问题，为提高 CPU的利用率。通过进程管理，协调多道程序之间的 CPU分配调度、冲突处理及资源回收等关系。对象重用问题,TOC/TOU单个处理器对两个或两个以上的任务并行执行、交叉执行实时多任务(Realtime)、抢占式多任务(Preemptive)、协作式多任务(Cooperative)。协调式多任务各个进程控制释放CPU时间，抢占式多任务主要由操作系统控制时间?多任务（MultiTasking）?关键概念?进程表PCB：包含CPU所需的进程状态数据中断（Inte

12、rrupts）：?分配给计算机部件（硬件和软件）的值，以对计算机资源进行有效的时间分片。可屏蔽中断（Maskable interrupt）：分配给非关键操作系统活动中断值。不可屏蔽中断（Nonmaskable interrupt）：分配给关键操作系统活动中断值，如复位键线程管理（Thread Management）?线程（Thread）：是为了节省资源而可以在同一个进程中共享资源的一个执行单位。多线程（Multithreading）：通过生成不同指令集（线程）同时执行多个活动的应用程序进程调度（Process Scheduling）?无论是在批处理系统还是分时系统中，用户进程数一般都多于处理机

13、数、这将导致它们互相争夺处理机。另外，系统进程也同样需要使用处理机。这就要求进程调度程序按一定的策略，动态地把处理机分配给处于就绪队列中的某一个进程，以使之执行。软件死锁（Software deadlock）：两个进程都在等待系统资源被释放额导致不能完成他们的活动的情况。进程活动?早期操作系统中，一个进程挂起，其它所有程序也会挂起进程隔离：对象封装，共享资源时分复用，命名区分，虚拟映射关键概念?进程多程序设计：操作系统交叉执行不止一个进程多任务处理：操作系统同时执行不止一个任务协调式多任务抢占式多任务进程状态：就绪，运行，阻塞中断，可屏蔽中断线程，多线程软件死锁存储器管理?管理目标?为编程人员

14、提供一个抽象层通过有限的可用存储器提供最高性能保护操作系统与加载入存储器的应用程序重新部署?存储器管理器五项基本功能?根据需要，在RAM和硬盘之间交换内容限制进程只与分配给它们的存储器段交互，为存储器段提供访保护?问控制共享?当进程需要使用相同的共享存储器段时，使用复杂的控制来确保完整性和机密性?逻辑组织存储器类型?随机存取存储器（Random access memory，RAM）?可随时写入或读出数据用于操作系统和应用所执行的读写活动，即通常所说的内存?寄存器，RegisterCache动态随机储存内存(Dynamic RAM,DRAM)静态随机储存内存(Static RAM，SRAM)：面

15、积更大，造价更高，速度更快由CPU直接存取?关闭电源存放在DRAM、寄存器、Cache的内容消失，不可永久保存资料抖动：读取数据所花时间超过处理数据的时间存储器类型?只读存储器（Read only memory，ROM）?只能读不能写?关闭电源内容不消失，可永久保存数据。而使用 SRAM进行存储，需要有电池等设备。?种类：?PROM(programmable ROM)：数据或程序可依使用者的需求来烧录，程序或数据一经烧录便无法更改。EPROM(erasable PROM)：可擦拭可程序规划的ROM，旧有的数据或程序可利用紫外线的照射来加以消除，使用者可以重复使用该颗EPROM，来烧录不同程序的

16、程序或数据。EEPROM(electrically erase PROM)：电子式可擦拭可程序规划的ROM。MASK ROM：屏蔽式，数据由制造厂商在内存制造过程时写入。存储器类型?高速缓存（Cache Memory）?为了缓和CPU与主存储器之间速度的矛盾，在CPU和主存储器之间设置一个缓冲性的高速存储部件，它的工作速度接近CPU的工作速度，但其存储容量比主存储器小得多。?高速缓存分为两种，一种是内建在CPU中的L1快取，另一种则是在CPU之外，称为L2快取。?高速缓存愈大，对计算机执行效率的帮助愈大。?速度最快、最贵存储器映射（Memory Mapping）：逻辑地址引导到特定的物理地址缓

17、冲区溢出（Buffer Overflows）?缓冲区溢出攻击利用编写不够严谨的程序，通过向程序的?虚拟存储器（Virtual Memory）?通过使用二级存储器(部分硬盘空间)来扩展内存(RAM)的容量，对未被执行的程序页进行处理虚拟存储器属于操作系统中存储管理的内容，因此，其大部分功能由软件实现。虚拟存储器是一个逻辑模型，并不是一个实际的物理存储器。虚拟存储器的作用：分隔地址空间；解决主存的容量问题；程序的重定位虚拟存储器不仅解决了存储容量和存取速度之间的矛盾，而且也是管理存储设备的有效方法。有了虚拟存储器，用户无需考虑所编程序在主存中是否放得下或放在什么位置等问题。关键概念?进程隔离动态链

18、接库基础寄存器（起始地址），限制寄存器（终止地址）RAM ROM 高速缓冲存储器绝对地址，逻辑地址缓冲区溢出，ASLR，DEP垃圾收集器，虚拟存储器输入输出设备管理?输入是把信息送入计算机系统的过程，输出是从计算机系统送出信息的过程，用户通过输入/输出设备与计算机系统互相通信。?常用输入设备：键盘、鼠标器、扫描仪常用输出设备：显示器、打印机、绘图仪输出/输入接口?数据要从计算机内部输出时，它会将内部的表示法转成外围设备看得懂的表示法以利输出。反之，若要从外围设备传数据到计算机内部，它也会将外界的数据格式转成计算机内部看得懂的表示法。检验数据的完整性I/O技术?可编程Programmed I/O

19、?速度慢由外部发出请求，请求CPU中断或结束正常程序运行处理中断导致时间消耗是一种完全由硬件执行I/O交换的工作方式。速度快I/O取得足够信任，IIO与存储器直接交互数据中断驱动Interrupt-driven I/O?DMA I/O using DMA?映射前Premapped I/O?全映射Fully mapped I/O?不完全信任I/O，IO设备只与逻辑地址直接交互CPU架构?保护环Protection Ring?一组同心的编号环环数决定可以访问的层次，越低的环数表示越高的特权程序假定执行环数的位置程序不可以直接访问比自身高的层次，如需访问，系统调用(system call)一般使用4

20、个保护环：?Ring 1 操作系统安全核心Ring 2 其他操作系统功能 设图示控制器Ring 3 系统应用程序，数据库功能等Ring 4 应用程序空间操作系统架构（Operating System Architectures）单块操作系统架构分层操作系统架构操作系统架构?单片（Monolithic）?所有操作系统进程在内核模式下运行。所有操作系统进程在内核模式下的分层模型上运行。内核过大核心操作系统进程运行在内核模式，其余运行在用户模式。内核过小所有操作系统进程在内核模式下运行。核心进程运行在微内核，其他运行在客户端服务器模式。分层（Layered）?微内核（Microkernel）?混合微

21、内核（Hybrid microkernel）?分层操作系统微内核操作系统Windows混合微内核架构主要的操作系统内核架构虚拟机虚拟机优势?多个服务器整合遗留应用程序运行运行不可信程序，提供安全的隔离的沙箱模仿独立计算机网络多个系统，多种硬件适合强大的调试和性能监控超强隔离能力备份、恢复、迁移更简单系统安全体系结构（System Security Architecture）?安全策略（Security Policy）安全架构要求（Security Architecture Requirements）安全策略（Security Policy）?指导性纲领，为系统整体和构成它的组件从安全角度提出根

22、本的目标，是战略工具。安全策略是一个系统的基础规范，使系统集成后评估它的基准。安全架构要求（Security Architecture Requirements）?可信计算基（Trusted Computing Base）安全边界（Security Perimeter）引用监视器（Reference Monitor，RM）安全内核（Security Kernel）可信计算基（Trusted Computing Base）?TCB是计算机系统内保护机制的总体,包括硬件、固体、软件和负责执行安全策略的组合体。TCB由一系列的部件构成，在产品或系统中执行统一的安全策略。TCB的三个要求?TCB必须保

23、证其自身在一个域中的执行，防止被外界干扰或破坏TCB所控制的资源必须是已经定义的主体或客体的子集TCB必须隔离被保护的资源，以便进行访问控制和审计?TCB维护每个域的保密性和完整性，监视4个基本功能?进程激活：Process activation执行域的切换：Execution domain switching内存保护：Memory protection引用监视器（Reference Monitor，RM）?RM是一个抽象机的访问控制概念，基于访问控制数据库协调所有主体对客体的访问RM的任务?根据访问控制数据库，对主体对客体的访问请求做出是否允许的裁决，并将该请求记录到审计数据库中。注意：基准

24、监视器有动态维护访问控制数据库的能力。?RM的特性：?执行主体到对象所有访问的抽象机必须执行所有访问，能够在修改中被保护，能够恢复正常，并且总是被调用。处理所有主体到客体访问的抽象机安全内核（Security Kernel）?安全内核是TCB中执行引用监视器概念的硬件、固件和软件元素理论基础：在一个大的操作系统中，只将相对比较小的一部分软件负责实施系统安全，并将实施安全的这部分软件隔离在一个可信的安全核，这个核就称为安全核。需要满足三个原则?完备性：协调所有的访问控制隔离性：受保护，不允许被修改可验证性：被验证是正确的?安全核技术是早期构建安全操作系统最为常用的技术，几乎可以说是唯一能够实用的

25、技术。引用监视器RM是概念，抽象的机器，协调所有主体关键概念?虚拟化Hypervisor:用来管理模拟环境中的虚拟机的中央程序安全策略可信计算基可信路径：进程之间用来通信的，不能被绕过的可信软件通道安全边界引用监视器安全内核多级安全策略?安全模型（Security Models）?状态机模型（State Machine Models）?Bell-LaPadula 模型Biba模型Clark-Wilson模型信息流模型（Information Flow Model）非干涉模型（Noninterference Model）格子模型（Lattice Model）Brewer and Nash模型Gr

26、aham-Denning模型Harrison-Ruzzo-Ullman（HRU）模型安全策略与安全模型?安全策略勾勒出目标，宽泛、模糊而抽象，安全模型提供了实现这些目标应该做什么，不应该做什么，具有实践指导意义，给出了策略的形式状态机模型（State Machine Models）?状态机模型描述了一种无论处于何种状态都是安全的系统一个状态（State）是处于特定时刻系统的一个快照，如果该状态所有方面都满足安全策略的要求，就称之为安全的?State transition：状态转换，许多活动可能会改变系统状态，成为状态迁移（State transition），迁移总是导致新的状态的出现如果所有的

27、行为都在系统中允许并且不危及系统使之处于不安全状态，则系统执行一个 安全状态机模型：secure state model。一个安全的状态机模型系统，总是从一个安全状态启动，并且在所有迁移当中保持安全状态，只允许主体以和安全策略相一致的安全方式来访问资源状态机模型（State Machine Models）Bell-LaPadula 模型?1973年，David Bell和Len LaPadula提出了第一个正式的安全模型，该模型基于强制访问控制系统，以敏感度来划分资源的安全级别。将数据划分为多安全级别与敏感度的系统称之为多级安全系统为美国国防部多级安全策略形式化而开发Bell-LaPadula

28、保密性模型是第一个能够提供分级别数据机密性保障的安全策略模型(多级安全)。特点：?信息流安全模型只对机密性进行处理运用状态机模型和状态转换的概念基于政府信息分级无密级、敏感但无密级、机密、秘密、绝密Bell-LaPadula 模型安全规则?简单安全规则ss(Simple Security Property)?安全级别低的主体不能读安全级别高的客体信息(No Read Up)?星规则*The*(star)security Property?安全级别高的主体不能往低级别的客体写(No write Down)不允许对另一级别进行读取使用访问控制矩阵来定义说明自由存取控制内容相关 Content De

29、pendent 上下文相关Context Dependent强星规则 Strong*property?自主安全规则ds(Discretionary security Property)?BLP模型的缺陷?不能防止隐蔽通道(covert channels)不针对使用文件共享和服务器的现代信息系统没有明确定义何谓安全状态转移(secure state transition)基于多级安全保护(multilevel security)而未针对其他策略类型不涉及访问控制管理不保护完整性和可用性Biba模型?完整性的三个目标：保护数据不被未授权用户更改；保护数据不被授权用户越权修改(未授权更改)；维持数据

30、内部和外部的一致性1977作为Bell-Lapadula的完整性补充而提出,用于非军事行业Biba基于一种层次化的完整性级别格子(hierarchical lattice of integrity levels)，是一种信息流安全模型。特点：?基于小于或等于关系的偏序的格?最小上限(上确界)，least upper bound(LUB)最大下限(下确界)，greatest lower bound(GLB)Lattice=(IC,=,LUB,GUB)?数据和用户分级Biba模型安全规则?*完整性公理：主题不能向位于较高完整性级别的客体写数据，不能向上写简单完整性公理：主题不能从较低完整性级别读取

31、数据，不能向下读调用属性：主体不能请求完整性级别更高的主体服务信息来源，可信数据?Clark-Wilson模型?在1987年被提出的?经常应用在银行应用中以保证数据完整性实现基于成形的事务处理机制要求完整性标记受限数据条目Constrained Data Item(CDI)完整性检查程序Integrity Verification Procedure(IVP)转换程序Transformation Procedure(TP)自由数据条目Unconstrained Data Item?定义：?Clark-Wilson需要integrity label用于确定一个数据项的完整级别，并在TP后验证其完

32、整性是否维持，采用了实现内/外一致性的机制，separation of duty,mandatory integrity policyClark-Wilson模型?完整性的模型没有像Biba那样使用lattice结构，而是使用Subject/Program/Object这样的三方关系（triple），Subject并不能直接访问Object，只能通过Program来访问两个原则：?well-formed transactions：采用了program的形式，主体只能通过program访问客体，每个恰当设计的 program都有特定的限制规则，这就有效限制了主体的能力separation of

33、duties：将关键功能分成两个或多个部分，必须由不同的主体去完成各个部分，可防止已授权用户进行未授权的修改?要求具有审计能力（Auditing）信息流模型（Information Flow Model）?基于状态机，由对象、状态转换以及格(流策略)状态组成,对象可以是用户，每个对象都被分配一个安全等级和值Bell-LaPadula和Biba模型都是信息流模型，前者要防止信息从高安全等级流向低安全等级，后者要防止信息从低安全等级流向高安全等级信息流模型并不是只处理信息流向，也可以处理流类型信息流模型用于防止未授权的、不安全的或者受到限制的信息流，信息流可以是同一级别主体与客体之间的，也可以是不

34、同级别间的信息流模型允许所有授权信息流，无论是否在同一级别;信息流模型防止所有未授权的信息流，无论是否隐蔽信道（Covert Channels）?隐蔽通道是一种让一个实体以未授权方式接收信息。条件?在产品开发过程中不当监督?在软件中实施不当的访问控制?两个实体之间未适当地控制共享资源?隐蔽通道有两种类型：?存储：?存储隐蔽通道，进程能够通过系统的一些类型的存储空间通信。（木马）通过创建文件。一个进程通过调整其使用系统资源的信息转发到另一个进程中继续传送数据。?计时?非干涉模型（Noninterference Model）?基于信息流模型非干涉模型并不关心信息流，而是关心影响系统状态或者其他主体

35、活动的某个主体的活动确保在较高安全级别发生的任何活动不会影响，或者干涉在较低安全级别发生的活动。如果在较高安全级内的一个实体执行一项操作，那么它不能改变在较低安全级内实体的状态如果一个处于较低安全级的实体感受到了由处于较高安全级内的一个实体所引发的某种活动，那么该实体可能能够推断出较高级别的信息，引发信息泄漏基本原理为，一组用户(A)使用命令(C)，不被用户组(B)(使用命令D)干扰，可以表达成A,C:|B,D，同样，使用命令C的组A的行为不能被使用命令D的组B看到格子模型（Lattice Model）?Lattice 模型通过划分安全边界对BLP模型进行了扩充，它将用户和资源进行分类，并允许

36、它们之间交换信息，这是多边安全体系的基础。多边安全的焦点是在不同的安全集束（部门，组织等）间控制信息的流动，而不仅是垂直检验其敏感级别。建立多边安全的基础是为分属不同安全集束的主体划分安全等级，同样在不同安全集束中的客体也必须进行安全等级划分，一个主体可同时从属于多个安全集束，而一个客体仅能位于一个安全集束。在执行访问控制功能时，lattice模型本质上同BLP模型是相同的，而lattice模型更注重形成 安全集束。BLP模型中的 上读下写 原则在此仍然适用，但前提条件必须是各对象位于相同的安全集束中。主体和客体位Brewer and Nash Model?Brew and Nash:Chin

37、ese WallChinese Wall模型是应用在多边安全系统中的安全模型（也就是多个组织间的访问控制系统），应用在可能存在利益冲突的组织中。最初是为投资银行设计的，但也可应用在其它相似的场合。Chinese Wall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突。在投资银行中，一个银行会同时拥有多个互为竞争者的客户，一个银行家可能为一个客户工作，但他可以访问所有客户的信息。因此，应当制止该银行家访问其它客户的数据。Chinese Wall安全模型的两个主要属性：?用户必须选择一个他可以访问的区域用户必须自动拒绝来自其它与用户所选区域的利益冲突区Graham-Denning

38、模型?如何安全地创建一个客体如何安全地创建一个主体如何安全地删除客体如何安全地删除主体如何安全地提供读访问权如何安全地提供准许接入权如何安全地提供删除访问权限如何安全地提供转移访问权限Harrison-Ruzzo-Ullman（HRU）模型?主体的访问权限以及这些权限的完整性。主体只能对客体执行一组有限的操作HRU被软件设计人员用来确保没有引入意外脆弱性，从而可以实现访问控制目标操作安全模式（Security Modes of Operation）访问系统上所有信息的适当许可专用安全模式专用安全模式访问系统上所有信息的正式访问批准Dedicated Security 访问系统上所有信息的签名N

39、DA访问系统上所有信息的有效”知其所需“Mode任何用户都能够访问所有数据系统高安全模式系统高安全模式访问系统上所有信息的适当许可访问系统上所有信息的正式访问批准访问系统上所有信息的签名NDA访问系统上所有信息的有效”知其所需“根据他们的“知其所需”,所有用户都能访问一些数据访问系统上所有信息的适当许可访问系统上所有信息的正式访问批准访问系统上所有信息的签名NDA访问系统上所有信息的有效”知其所需“根据他们的“知其所需”和正式批准,所有用户都能访问一些数据System High-Security Mode分隔安全模式分隔安全模式Compartmented Security Mode访问系统上所

40、有信息的适当许可多级安全模式多级安全模式访问系统上所有信息的正式访问批准Multilevel Security 访问系统上所有信息的签名NDA访问系统上所有信息的有效”知其所需“Mode根据他们的“知其所需”、许可和正式批准,所有用户都能访问一些数据信任与保证?TCSEC中，较低保证级别评定工作会考察系统的保护机制和测试结果，较高保证级别评定工作更多考查系统的设计、规范、开发过程、支持文档以及测试结果系统评估方法（Systems Evaluation Methods）ITSEC 1991CTCPEC 1993CC 1.01996CC 2.01998TCSEC1985FC 1992CD1997F

41、CD1998GB 17859 1999ISO15408 1999GB/T 18336 2001ISO15408 1999GIB 2646 1996GB/T 18336 2008橘皮书（Orange Book）?Trusted Computer System Evaluation Criteria（TCSEC），是一个评估OS、应用的、系统的规范，评价不同系统的尺度，检查系统的功能性、有效性和保证程度，提供多种级别。1970年由美国国防科学委员会提出。1985年公布。主要为军用标准，延用至民用。TCSEC2000年被Common Criteria所替代，是第一个涉及计算机系统的安全规范。TCSE

42、C等级?D 最小保护(minimal protection)C 自主保护(discretionary protection)?C1:选择安全性保护，Discretionary Security ProtectionC2:受约束的访问保护，Controlled Access Protection B1:标签式安全保护，Labeled SecurityB2:结构化保护，Structure ProtectionB3:安全域，Security DomainA1:验证设计，Verified Design?B 强制保护(mandatory protection)?A 校验保护(verified prote

43、ction)?类别类别AB3名称名称验证设计（verity design）安全域(security domain)结构防护（structured protection）标号安全防护（label security protection）受控的访问环境选择性安全防护（discretionary security protection）最小保护主要特征主要特征安全要求安全要求形式化的最高级描述和验证，形设计必须从数学角度上经过验证，式化的隐密通道分析，非形式而且必须进行秘密能道和可信任分化的代码一致性证明布的分析。安全内核，高抗渗透能力设计系统时必须有一个合理的总体设计方案，面向安全的体系结构，遵循

44、最小授权原则，较好的渗透能力，访问控制应对所有的主体和客体提供保护，对系统进行隐蔽通道分析除了C2级别的安全需求外，增加安全策略模型，数据标号（安全和属性）存取控制以用户为单位广泛的审计有选择的存取控制，用户与数据分离，数据的保护以用户组为单位用户工作站或终端能过可信任途径连接网络系统计算机系统中所有对象都加标签，而且给设备（如工作站、终端和磁盘驱动器）分配安全级别。B2B1C2在不同级别对敏感信息提供更高级的保护，让每个对象都有有一个敏感标签加入身份认证级别，系统对发生的事件加以审计并写入日志硬件有一定的安全保护（如硬件有带锁装置），用户在使用计算机系统前必须先登录。允许系统管理员为一些程序

45、或数据设立访问许可权限。不要求用户进行登记（要求用户提供用户名）或使用密码（要求用户提供惟一的字符串来进行访问）C1D保护措施很小，没有安全功能橘皮书和彩虹系列（The Orange Book and the Rainbow Series）?橘皮书（Orange Book）?专门针对操作系统?主要着眼于安全的一个属性（机密性）?适用于政府分类?评级数量较少红皮书（Red Book）?单个系统的安全问题?解决网络和网络组件的安全评估问题，主要针对独立局域网和广域网系统?涉及通信完整性、防止拒绝服务、泄露保护?信息技术安全评估标准（Information Technology Security）?

46、Information Technology Security Evaluation Criteria（ITSEC）?欧洲多国安全评价方法的综合产物，军用，政府用和商用。以超越TCSEC为目的，将安全概念分为功能与功能评估两部分。首次提出了信息安全的保密性、完整性、可用性的概念评估对象TOE(Target of Evaluation)?产品和系统安全增强机制安全策略安全性目标security target?通用标准（Common Criteria）?定义了作为评估信息技术产品和系统安全性的基础准则，全面地考虑了与信息技术安全性有关的所有因素，与PDR(防护、检听、反应)模型和现代动态安全概念相

47、符合的，强调安全的假设、威胁的、安全策略等安全需求的针对性，充分突出保护轮廓强调把安全需求划分为安全功能需求和安全保证需求两个独立的部分，根据安全保证需求定义安全产品的安全等级定义了7个评估保证级别(EAL)，每一级均需评估7个功能类通用标准（Common Criteria）?CC（ISO/IEC 15408-X）分为三个部分：?第一部分：介绍和一般模型 一般性概念，IT安全评估的原则，高级编写规范，对目标受众的有用价值。对消费者来说是不错的背景介绍和参考。第二部分：安全功能需求 功能性需求，组件，评估目标(Target of Evaluation，TOE)；对消费者来说是不错的指导和参考，可

48、以用来阐述对安全功能的需求。第三部分：安全保障 对TOE的保障需求(assurance requirement)，对保护轮廓(Protection Profile)和安全目标(Security Target)的评估标准。指导消费者提出相应的保障等级通用标准概念?保护轮廓（Protection profile，PP）满足特定用户需求、与一类TOE实现无关的一组安全要求。评估对象（Target of evaluation，TOE）作为评估主体的IT产品及系统以及相关的管理员和用户指南文档。安全目标（Security target）作为指定的TOE评估基础的一组安全要求和规范。安全功能（Securi

49、ty functional requirements）规范IT产品和系统的安全行为，应做的事安全保证（Security assurance requirements）对功能产生信心的方法包-功能保证级（PackagesEALs）把功能和保证要求封装起来，以便今后使用。这部分描述必须得到满足，以实现特定的EAL等级。评估标准间的比较CC标准标准美国美国TCSECD:最小保护-C1:任意安全保护C2:控制存取保护B1:标识安全保护B2:结构保护B3:安全域A1:验证设计欧洲欧洲ITSECE0-F1+E1F2+E2 F3+E3F4+E4F5+E5F6+E6加拿大加拿大CTCPECT0T1 T2 T3

50、T4T5T6T7 1:用户自主保护级2:系统审计保护级3:安全标记保护级4:结构化保护级5:访问验证保护级中国中国GB17859-1999-EAL1-功能测试EAL2-结构测试EAL3-方法测试和检验EAL4-方法设计，测试和评审EAL5-半正式设计和测试EAL6-半正式验证的设计和测试EAL7-正式验证的设计和测试认证与认可（Certification vs.Accreditation）?认证,Certification?评估技术和非技术特征以确定设计是否符合安全要求认证权威 DAA(Designated Approving Authority)来自于指定的认证权威的正式声明，表明系统已被认