,第13章 安全標準及模型,13.1 安全標準概況 13.2 信息安全風險評估標準 13.3 信息安全模型 13.4 能力成熟模型,13.1 安全標準概況 13.1.1 國際安全標準組織 國際性的標準化組織主要有國際標準化組織(ISO)、國際電器技術(shù)委員會(IEC)及國際電信聯(lián)盟(ITU)所屬的電信標準化組織(ITUTS)。ISO是一個總體標準化組織,IEC在電工與電子技術(shù)領(lǐng)域里相當于ISO的位置,ITUTS是一個聯(lián)合締約組織。這些組織在安全需求服務分析指導、安全技術(shù)機制開發(fā)、安全評估標準等方面制定了一些標準草案,但尚未正式執(zhí)行。另外,還有眾多標準化組織也制定了一些安全標準,如IETF(theInternetEngineeringTaskForce)就有如下功能組:認證防火墻測試組(AFT)、公共認證技術(shù)組(CAT)、域名安全組(DNSSEC)、IP安全協(xié)議組(IPSEC)、一次性口令認證組(OTP)、公開密鑰結(jié)構(gòu)組(PKIX)、安全界面組(SECSH)、簡單公開密鑰結(jié)構(gòu)組(SPKI)、傳輸層安全組(TLS)和Web安全組(WTS)等,它們都制定了有關(guān)的標準。,13.1.2 國際安全標準概況 1.ISO的有關(guān)安全標準 ISO和IEC制定了一系列有關(guān)信息和網(wǎng)絡(luò)安全的標準,其中包括安全算法、安全機制、安全協(xié)議、安全管理和網(wǎng)絡(luò)安全等方面。下面列出一些有代表性的安全標準。 1)安全算法標準 ISO/IEC101181:單向散列函數(shù)部分1通用模型。 ISO/IEC101182:單向散列函數(shù)部分2使用n位塊密碼算法的單向散列函數(shù)。 ISO/IEC101183:單向散列函數(shù)部分3專用的單向散列函數(shù)。,2)安全機制標準 ISO/IEC10116:n位塊密碼算法的操作模式(加密機制)。 ISO/IEC9798197985:實體認證的通用模型和使用各種認證算法的認證機制(實體認證機制)。 ISO/IEC9797:使用加密檢查功能的數(shù)據(jù)完整性機制(完整性機制)。 ISO/IEC148881148883:數(shù)字簽名的通用模型、基于身份的機制和基于證書的機制(數(shù)字簽名機制)。 ISO/IEC138881138883:不可否認的通用模型、基于對稱和非對稱的密碼算法的機制(不可否認機制)。,3)安全協(xié)議標準 ISO/IEC95948:認證框架,定義了各種強制性的認證機制和框架結(jié)構(gòu)。 4)安全管理標準 ISO/IEC117701117703:密鑰管理框架、使用對稱和非對稱的密碼算法的密鑰管理機制。 5)網(wǎng)絡(luò)安全標準 ISO/IEC74982:OSI安全結(jié)構(gòu),定義了基于OSI層次結(jié)構(gòu)的安全機制和安全服務。 ISO/IEC101811101817:OSI安全框架、實體認證框架、訪問控制框架、不可否認性框架、完整性框架、機密性結(jié)構(gòu)和安全審計框架等。,6)安全評估標準 ISO/IEC15408:信息技術(shù)安全評估通用準則(CC),為相互獨立的機構(gòu)對相同信息安全產(chǎn)品的評估提供了可比性。,表13.1.1 ISO和ISO/IEC通用密碼技術(shù)標準,表13.1.2 ISO和ISO/IEC的安全結(jié)構(gòu)和安全框架標準,2.ITU的有關(guān)網(wǎng)絡(luò)安全標準 ITU針對數(shù)據(jù)通信網(wǎng)的安全問題制定了有關(guān)網(wǎng)絡(luò)安全標準,它與ISO安全標準是相對應的。例如: ITUX.800:安全結(jié)構(gòu),與ISO74982相對應。 ITUX.509:認證框架,與ISO95948相對應。 ITUX.816:安全框架,與ISO10181相對應。,3.IETF的有關(guān)網(wǎng)絡(luò)安全標準 Internet研究和發(fā)展共同體(InternetResearchandDevelopmentCommunity)正式公布的文件稱做應征意見稿(RFC,RequestforComments),其中一部分被規(guī)定為共同體內(nèi)Internet標準的候選。例如: IETFRFC1825:IP協(xié)議安全結(jié)構(gòu)。 IETFRFC2401RFC2412:IP安全協(xié)議。 IETFRFC2246:傳輸層安全協(xié)議。 IETFRFC2632和IETFRFC2633:有關(guān)安全電子郵件協(xié)議(S/MIME)。 IETFRFC2659RFC2660:有關(guān)安全HTTP協(xié)議(SHTTP)。 IETFRFC2559:InternetX.509公鑰基礎(chǔ)結(jié)構(gòu)操作協(xié)議。,表13.1.3 InternetRFC,4.IEEE的有關(guān)局域網(wǎng)安全標準 IEEE針對局域網(wǎng)安全問題制定了有關(guān)互操作局域網(wǎng)的安全規(guī)范,并將其作為IEEE802.10標準。該標準包括數(shù)據(jù)安全交換、密鑰管理以及網(wǎng)絡(luò)安全管理等規(guī)范。IEEE還制定了有關(guān)公鑰密碼算法的標準(IEEEP1363)。,13.1.3 各國安全標準概況 1.信息安全技術(shù)標準 信息安全技術(shù)標準主要指數(shù)據(jù)加密、數(shù)字簽名以及實體認證等標準。美國國家標準與技術(shù)協(xié)會(NIST,NationalInstituteStandardandTechnology,原美國國家標準局)、美國國家標準協(xié)會(ANSI)、美國國防部(DoD)和美國國家安全局(NSA)都從不同角度制定了有關(guān)信息安全的標準。 NIST在信息處理標準(FIPS)中公布的有關(guān)信息安全的標準為美國聯(lián)邦政府標準,供美國聯(lián)邦政府各個部門使用。標準號以FIPS為標志頭,主要有數(shù)據(jù)加密、數(shù)據(jù)認證、密鑰管理、數(shù)字簽名以及實體認證等標準。,表13.1.4 美國FIPS公布的有關(guān)標準,表13.1.5 ANSI 的加密標準和銀行業(yè)務安全標準,表13.1.6 ISO制定的銀行業(yè)務安全標準(W批發(fā),R零售),2.系統(tǒng)安全評價標準 信息安全產(chǎn)品不同于其他信息產(chǎn)品,必須經(jīng)過權(quán)威認證機構(gòu)的評估和認證后才能進入市場,被用戶所使用。權(quán)威認證機構(gòu)在評估和認證安全產(chǎn)品時必須遵循被廣泛認可的評估標準或準則,以實現(xiàn)產(chǎn)品評估的公正性和一致性。因此,一個能被廣泛接受的評估標準是極為重要的。 20世紀70年代后期,美國國防部首先意識到了這個問題,并提出了一組計算機系統(tǒng)評估標準。這組標準包含20多個文件,每個文件使用不同顏色的封皮,因此稱為“彩虹系列”。其中,最核心的是“可信計算機系統(tǒng)評估準則(TCSEC)”,按其封皮顏色被稱之為“橙皮書”。,TCSEC主要提供一種度量標準,用于評估處理敏感信息的計算機系統(tǒng)的可信度和安全性。TCSEC主要有兩部分:第一部分描述了劃分計算機系統(tǒng)安全等級的標準,這種劃分是建立在人們對敏感信息保護所持有的全部信心的基礎(chǔ)上的;第二部分描述了該標準開發(fā)的基本目標、基本原理以及美國政府的政策等。TCSEC定義了4個安全等級:A、B、C和D。A級表示計算機系統(tǒng)提供了最強的安全性,D級表示計算機系統(tǒng)提供了最弱的安全性。B級劃分成B1、B2和B3三個子類,C級劃分成C1和C2兩個子類。這樣,總共劃分為7個安全等級。 (1)D級(最小保護):所有系統(tǒng)都能滿足的最低安全級,不具備更高級的安全特性。 (2)C級(自主保護):提供自主接入控制(DAC)和目標重用,支持識別、認證和審計。C級劃分成C1和C2兩個子類。,C1級(自主訪問保護):通過將用戶和數(shù)據(jù)相分離來滿足自主保護的要求,它將各種控制集為一體,對每個實體獨立地提供DAC、識別和認證。 C2級(受控訪問保護):比C1級控制更加嚴格,要求對用戶也要實施DAC、識別、認證和審計,并要求目標重用。,(3)B級(受控保護):利用受控接入控制(MAC)和數(shù)據(jù)敏感標記實現(xiàn)多級安全性,并提供一些保證要求。B級劃分成B1、B2和B3三個子類。 B1級(帶有標記的保護):系統(tǒng)必須對主要數(shù)據(jù)結(jié)構(gòu)加敏感度標記,必須給出有關(guān)安全策略模型、數(shù)據(jù)標記以及對主體和客體的強制訪問控制的非正規(guī)表述。 B2級(結(jié)構(gòu)化保護):基于一種形式化的安全策略模型,B1級系統(tǒng)中所采用的自主訪問控制和強制訪問控制都被擴展到B2級系統(tǒng)中的所有主體和客體。B2級特別強調(diào)了隱蔽通道的概念,必須構(gòu)造可信任計算機庫(TCB),強化認證機制,提供嚴格的配置管理控制的能力。,B3級(安全域):所有主體對客體的訪問必須通過TCB中介,并且必須是防篡改的。B3級要求系統(tǒng)必須提供安全管理功能、安全審計機制和可信任系統(tǒng)恢復程序。,(4)A級(可驗證保護):采用可驗證的形式化安全策略模型。A1級是最高的安全級,功能上等價于B3級。A級要求對安全策略模型進行形式化驗證,并且形式化驗證要貫穿于整個系統(tǒng)開發(fā)過程。 為了將TCSEC中確立的原則應用于網(wǎng)絡(luò)環(huán)境中,DoD對TCSEC進行了增補,公布了可信任網(wǎng)絡(luò)注釋TNI(紅皮書)。紅皮書有兩個主要部分:第一部分對橙皮書的相應部分進行了擴充,建立了網(wǎng)絡(luò)系統(tǒng)安全等級的劃分標準;第二部分描述了網(wǎng)絡(luò)環(huán)境中的一些特有業(yè)務,如認證、不可否認以及網(wǎng)絡(luò)安全管理等。因此,紅皮書是局域網(wǎng)和廣域網(wǎng)環(huán)境中網(wǎng)絡(luò)系統(tǒng)和產(chǎn)品安全等級劃分的基礎(chǔ)。,美國的橙皮書公布后,歐洲各國相繼提出了各自的信息安全評價標準,如德國的信息安全標準ZSIEC、英國的商用安全產(chǎn)品分級標準(綠皮書)、法國的信息安全標準SCSSI、加拿大的可信計算機產(chǎn)品評估準則CTCPEC以及歐共體的信息技術(shù)安全評估準則ITSEC等。 德國的信息安全標準ZSIEC(綠皮書)是由德國信息安全局制定的。在ZSIEC中,定義了信息安全政策所需的8種基本安全功能。與TCSEC不同的是,ZSIEC在基本安全功能中增加了對系統(tǒng)可用性(不間斷服務)和數(shù)據(jù)完整性的要求。在評定級別方面,ZSIEC規(guī)定了10個功能級別(F1F10)和7個質(zhì)量級別(Q1Q7)。其中,F1F5大致與TCSEC的C1B3相對應,Q1Q7近似對應于TCSEC的信任度級別DA1。,英國的商用安全產(chǎn)品分級標準(綠皮書)是由英國國防部和商業(yè)部共同制定的。英國標準主要定義一種規(guī)范的產(chǎn)品功能說明語言,使用這種語言描述的產(chǎn)品,其安全功能可以由評審人員用規(guī)范方法加以驗證。英國標準定義了6個信任度級別L1L6,大致對應于TCSEC的C1A1或德國綠皮書的Q1Q6。同時,英國政府還建立了一個商用許可評定體制,以促進該標準的商業(yè)化應用。 加拿大、澳大利亞和法國也制定了本國的標準。,由于各國對信息安全產(chǎn)品等級劃分和評定存在著認識上的差異,因此這些標準之間存在較嚴重的兼容性問題。在一個國家獲得某一安全級別評定和認證的信息安全產(chǎn)品在另一個國家得不到承認,需要重新評定和認證,影響了產(chǎn)品進入市場的時間和商機。為了協(xié)調(diào)歐共體國家的安全產(chǎn)品評價標準,在歐共體各成員國的支持下,英、德、法、荷四國聯(lián)合制定了信息技術(shù)安全評估準則(ITSEC),作為歐共體成員國的共同標準。ITSEC保留了德國標準中10個功能級別和8個質(zhì)量級別(改成有效性級別E0E7)的內(nèi)容,同時吸取了英國標準中功能描述語言的思想。安全產(chǎn)品(系統(tǒng))的評定是由TCSEC式的政府行為轉(zhuǎn)變?yōu)橛墒袌鲵?qū)使的行業(yè)行為,首先由廠商提出其安全產(chǎn)品(系統(tǒng))的評價目標和所期望的級別,然后由評定人員通過對產(chǎn)品的測評來確定是否同意廠商對產(chǎn)品安全功能的描述,以及是否給予廠商所要求的有效性級別。ITSEC比美國橙皮書寬松一些,目的在于提供一種統(tǒng)一的安全系統(tǒng)評價方法,以滿足各種產(chǎn)品、應用和環(huán)境的需要。,在ITSEC的推動下,美國于1992年制定了TCSEC的更新計劃,由國家標準局和國家安全局合作制定了一個新標準,即“組合的聯(lián)邦標準”(FC,CombinedFederalcriteria)。FC仿照ITSEC的思路將功能要求和信任度要求分割開,定義了保護框架(PP,ProtectionProfile)和安全目標(ST,SecurityTarget)。用戶負責書寫保護框架,詳細說明其系統(tǒng)的保護需求。產(chǎn)品廠商提出產(chǎn)品的安全目標,描述產(chǎn)品的安全功能和信任度,并與用戶的保護框架相對比,以證明該產(chǎn)品是否滿足用戶的需要。在FC的架構(gòu)中,安全目標便成為評價的基礎(chǔ),安全目標必須用具體的語言和有力的論據(jù)來說明保護框架中的抽象描述是怎樣逐條地在所評價的產(chǎn)品中得到滿足的。然而,在FC草案問世后不久,美國政府便宣布停止草案的修改工作,轉(zhuǎn)而與加拿大及歐共體國家一起聯(lián)合制定了共同的標準,即信息技術(shù)安全評估通用準則(theCommonCriteriaforInformationTechnologySecurityEvaluation),簡稱為CC。,13.2 信息安全風險評估標準 13.2.1 國外信息安全風險評估標準 1.國外風險評估標準發(fā)展與簡介 從20世紀80年代開始,世界各國相繼制定了多個信息安全評估標準,主要有:桔皮書(TCSEC)1985、英國安全標準1989、德國標準、法國標準、ITSEC1991、加拿大標準1993、聯(lián)邦標準草案FC1993、通用評估準則CC1993、澳大利亞標準AS/NZS43601995、英國BS77991995、國際ISO/IEC系列標準、美國NIST2000和德國BMP2001等。 國外信息安全風險評估標準的演變歷程如圖13.2.1所示。,圖13.2.1 國際標準體系的發(fā)展,1)可信計算機系統(tǒng)評估準則(TCSEC) 1985年美國國防部首次公布了可信計算機系統(tǒng)評估準則,簡稱TCSEC(TrustedComputerSystemEvaluationCriteria),也稱桔皮書。TCSEC是信息技術(shù)安全評估的第一個正式標準。此標準作為軍用標準,提出了美國在軍用信息技術(shù)安全方面的要求。TCSEC對用戶登錄、授權(quán)管理、訪問控制、訪問追蹤、隱蔽通道分析、可信通道建立、安全檢測、生命周期保障、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性的要求。TCSEC將計算機系統(tǒng)的安全等級劃分為D、C、B、A四類,每類下面又分為多個級別。D類安全等級只包括D1一個安全級別,D1的安全等級最低,只為文件和用戶提供安全保護。C類安全等級分為C1和C2兩個安全級別,該類安全等級能夠提供審慎的保護,并為用戶的行動和責任提供審計能力。B類安全等級分為B1、B2和B3三個安全級別,該類安全等級具有強制性保護功能。A類安全等級只包含A1一個安全級別,A類的安全級別最高。,2)信息技術(shù)安全評估準則(ITSEC) 在20世紀80年代后期,幾個歐洲國家和加拿大紛紛開始開發(fā)自己的評估準則。1991年,歐洲標準化委員會正式公開發(fā)表信息技術(shù)安全評估準則(ITSEC,InformationonTechnologySecurityEvaluationCriteria)1.2版。ITSEC適用于軍隊、政府和商業(yè)部門。它以超越TCSEC為目的,將安全概念分為功能和評估兩部分:功能準則分為10級,15級對應于TCSEC的DA類;評估準則分為E0E6共7個安全等級。ITSEC還提出了信息安全的保密性、完整性和可用性等屬性,并且把可信計算機的概念提高到可信信息技術(shù)的高度來認識,對國際信息安全的研究產(chǎn)生了深遠的影響。,3)加拿大可信計算機產(chǎn)品評估準則(CTCPEC) 加拿大可信計算機產(chǎn)品評估準則(CTCPEC)1.0版于1989年公布,專為政府需求而設(shè)計。1993年公布了3.0版,作為ITSEC和TCSEC的結(jié)合,將安全分為功能性要求和保證性要求兩部分。功能性要求分為保密性、完整性、可用性、可控性四大類。在每種安全要求下,各類按程度不同又分為5級,以表示安全性上的差別。,4)美國信息技術(shù)安全聯(lián)邦準則(FC) 20世紀90年代初,美國為了適應信息技術(shù)的發(fā)展和推動美國國內(nèi)非軍用信息技術(shù)產(chǎn)品安全性的進步,NSA和NIST聯(lián)合起來對TCSEC進行了修訂,于1992年底公布了FC草案1.0版。在此標準中引入了“保護輪廓”這一重要概念,每個保護輪廓都包括功能部分、開發(fā)保證部分和評測部分。其分級方式與TCSEC不同,充分吸取了ITSEC和CTCPEC的優(yōu)點,主要供美國民用、商用及政府使用。,5)AS/NZS4360風險管理標準 AS/NZS4360是澳大利亞和新西蘭聯(lián)合開發(fā)的風險管理標準,是風險管理的通用指南,它給出了一整套風險管理的流程。它把風險管理過程分為建立環(huán)境、風險識別、風險分析、風險評價、風險處理5個標準環(huán)節(jié)。在進行資產(chǎn)的識別和評估時,采取半定量化的方法,將威脅和風險發(fā)生的可能性與造成的影響劃分為不同的等級,然后對不同等級的風險給出了處理方法。它將對象定位在信息系統(tǒng),對信息安全風險評估具有指導作用。,對上面幾個主要標準的總體評價如下:最初的TCSEC是針對孤立計算機系統(tǒng)提出的,特別是小型機和大型機系統(tǒng),該標準僅適用于軍隊和政府,不適用于企業(yè)。TCSEC和ITSEC均是不涉及開放系統(tǒng)的安全標準,僅針對產(chǎn)品的安全保證要求來劃分等級并進行評測,且均為靜態(tài)模型,僅能反映靜態(tài)安全狀況。CTCPEC雖在二者的基礎(chǔ)上有一定發(fā)展,但也未能突破上述局限性。FC對TCSEC作了補充和修改,對保護輪廓和安全目標作了定義,明確了由用戶提供其系統(tǒng)安全保護所要求的詳細輪廓,由產(chǎn)品商定義產(chǎn)品的安全功能和安全目標等,但因其本身的一些缺陷一直沒有正式投入使用。 目前國際上流行的標準有:CC、BS7799、ISO/IEC13335、ISO/IEC17799等。,2.通用評估準則(CC) 信息技術(shù)安全評估通用準則(theCommonCriteriaforInformationTechnologySecurityEvaluation,簡稱為CC)是北美和歐盟聯(lián)合開發(fā)的一個統(tǒng)一的國際公認的安全準則,是由FC和CTCPEC準則相互間的總結(jié)和互補發(fā)展起來的。1999年,CC被ISO批準成為國際標準ISO/IEC154081999,并正式頒布發(fā)行。 CC是目前最全面的信息技術(shù)安全評估準則,其內(nèi)容分為三部分。 (1)簡介和一般模型:定義了信息技術(shù)安全評估的一般概念和原則,并規(guī)定了如何創(chuàng)建安全目標和需求。,(2)安全功能要求:用標準化的方法對評價目標建立一個明確的滿足安全要求的部件功能集合。該功能集合分為部件(components)、族(families)和類(classes)。 (3)安全保證要求:用標準化的方法對評價目標建立一個明確的滿足安全要求的部件集合,對保護方案和安全目標進行了定義,并且對安全評價目標提出了安全評價保證級別(EAL)。級別分為EAL1到EAL7,共7個等級。每一級均需評估7個功能類,分別是:配置管理、分發(fā)和操作、并發(fā)過程、指導文獻、生命期的技術(shù)支持、測試和脆弱性評估。,3.信息安全管理標準BS7799 BS7799現(xiàn)已成為國際公認的安全管理權(quán)威標準。1993年9月,英國標準協(xié)會(BSI)頒布信息安全管理實施細則,形成了BS7799的基礎(chǔ)。1995年2月,BSI首次公布了BS77991:1995。1998年2月,BSI公布了BS77992:1998。1999年4月,BS77991和BS77992修訂后重新發(fā)布。2000年12月,BS77991:1999通過國際標準組織認可,正式成為國際標準,即ISO/IEC177991:2000。2002年9月,BSI對BS77992:2000進行了改版,BS77992:2002通過了ISO認可。,BS7799分為兩部分:BS77991:1999信息安全管理細則(Codeof PracticeforInformationSecurityManagement)和BS77992:2002信息安全管理體系規(guī)范(SpecificationforInformationSecurityManagement)。BS77991:1999主要為組織建立并實施信息安全管理體系提供了一個指導性的準則,BS77992:2000詳細說明了建立、實施和維護信息安全管理系統(tǒng)的要求。 BS77991:1999是一個非常詳盡、復雜的信息安全管理標準層次體系,共分為4層內(nèi)容、10個管理要項、36個管理目標、127個控制措施以及若干個控制要點,主要提供有效實施信息系統(tǒng)風險管理的建議。,BS77992:2000詳細說明了建立、實施和維護信息安全管理系統(tǒng)(ISMS)的要求。具體實施步驟是:定義安全策略,定義ISMS范圍(邊界);確定資產(chǎn),進行資產(chǎn)風險評估;確定高風險資產(chǎn)、風險管理措施決策;選擇合適的控制方式、部署和管理控制方式,啟用聲明、目標審查、安全策略、安全目標、契約和法律需求。,4.ISO/IEC17799 由于BS7799日益得到國際的認同,使用的國家也越來越多,2000年12月,國際標準化組織正式將其第一部分轉(zhuǎn)化為國際標準,即所頒布的ISO/IEC17799:2000信息技術(shù)信息安全管理實施細則(InformationTechnology-CodeofPracticeforInformationSecurityManagement)。作為一個全球通用的標準,ISO/IEC17799并不局限于IT,也不依賴于專門的技術(shù),它是由長期積累的一些最佳實踐構(gòu)成的,是市場驅(qū)動的結(jié)果。 ISO/IEC17799提出了風險評估的方法、步驟和主要內(nèi)容,為風險評估提供了實施指南;指出了風險評估的主要步驟,包括資產(chǎn)識別、威脅識別、脆弱性識別、已有控制措施確認、風險計算等過程;首次給出了信息安全的保密性、完整性、可用性、審計性、認證性、可靠性6個方面的含義,并提出了以風險為核心的安全模型;指出風險就是威脅利用漏洞使資產(chǎn)暴露而產(chǎn)生的影響的大小。,5.ISO/IEC13335 ISO/IEC13335信息技術(shù)IT安全管理指導方針(GMITS,InformationTechnology-GuidelinesfortheManagementofITSecurity)是一個關(guān)于IT安全管理的指南,它提出了以風險為核心的安全模型,闡述了信息安全評估的思路,對信息安全評估工作具有指導意義。,該標準由以下5部分組成: (1)ISO/IEC133351:IT安全的概念和模型(ConceptsandModelsofITSecurity)。這部分包括對IT安全和安全管理的一些基本概念和模型的介紹。 (2)ISO/IEC133352:IT安全的管理和計劃(ManagingandPlanningITSecurity)。這部分建議性地描述了IT安全管理和計劃的方式及要點,包括:決定IT安全目標、戰(zhàn)略和策略;決定組織的IT安全需求;管理IT安全風險;計劃適當IT安全防護措施的實施;開發(fā)安全教育計劃;策劃跟進的程序,如監(jiān)控、復查和維護安全服務;開發(fā)事件處理計劃。,(3) ISO/IEC133353:IT管理技術(shù)(TechniquesfortheManagementofITSecurity)。這部分覆蓋了風險管理技術(shù)、IT安全計劃的開發(fā)以及實施和測試,包括一些后續(xù)的制度審查、事件分析、IT安全教育程序等,并且介紹了四種風險評估方法(基線方法、非形式化方法、詳細分析方法、綜合分析方法)。 (4)ISO/IEC133354:防護的選擇(SelectionofSafeguards)。這部分主要探討了如何針對一個組織的特定環(huán)境和安全需求來選擇防護措施。,(5)ISO/IEC133355:網(wǎng)絡(luò)安全管理指南(ManagementGuidanceonNetworkSecurity)。這部分提出了IT安全和機制應用指南。 ISO/IEC13335認為安全管理中的主要部件包括資產(chǎn)、威脅、脆弱性、影響、風險、防護措施和剩余風險;主要的安全管理過程包括風險管理、風險評估、安全意識、監(jiān)控與一致性檢驗等。,6.標準對比 1)CC與BS7799 CC強調(diào)對防護措施進行評估,評估的結(jié)果是對防護措施保障程度的描述,即防護措施能夠降低安全風險的可信度,資產(chǎn)所有者可以根據(jù)CC來決定是否接受將資產(chǎn)暴露給威脅所冒的風險。CC的不足之處是:由于涉及面太廣,所以很難被人們掌握和控制,而且它并不涉及管理細節(jié)和信息安全的具體實現(xiàn)、算法和評估方法等方面,也不能作為安全協(xié)議或用于安全鑒定。,BS7799提供了一套普遍適用且行之有效的全面的安全控制措施,還提出了建立信息安全管理體系的目標,這和人們對信息安全管理認識的加強是相適應的。BS77992提出的信息安全管理體系(ISMS)是一個系統(tǒng)化、程序化和文檔化的管理體系。BS7799的不足之處在于:其所描述的所有控制方式并不適合于每種情況,它不可能將具體的系統(tǒng)環(huán)境和技術(shù)限制考慮在內(nèi),也不可能適合一個組織中的每個潛在用戶。,BS7799和CC都是信息安全領(lǐng)域的評估標準,并且都以信息的保密性、完整性和可用性作為信息安全的基礎(chǔ)。然而,這兩個標準所面向的角度有很大的不同:BS7799是一個基于管理的標準,它處理的是與IT系統(tǒng)相關(guān)的非技術(shù)問題;CC則是一個基于技術(shù)的標準,它強調(diào)的是系統(tǒng)和產(chǎn)品安全技術(shù)方面的問題。與BS7799相比,CC更側(cè)重于對系統(tǒng)和產(chǎn)品的技術(shù)指標的評估,而在對信息系統(tǒng)的日常安全管理方面,BS7799的地位是其他標準無法取代的。,2)BS7799與ISO/IEC17799 BS77991不支持信息安全認證,而支持認證的BS77992與ISO/IEC17799沒有任何關(guān)系。BS7799是針對企業(yè)的整體利益而言的,它將對象定位在信息系統(tǒng)安全管理體系。ISO/IEC17799來自BS77991。ISO/IEC17799主要提供了信息系統(tǒng)安全管理的指導性原則,將風險評估作為了建立信息安全管理體系的中間步驟,盡管沒有給出可操作的信息安全風險評估方案,但是確定了包括識別風險、評估風險、處理風險等在內(nèi)的風險評估控制目標和控制方式。,3)ISO/IEC13335與CC ISO/IEC13335是由國際標準化組織頒布的一個信息安全管理指南,這個標準的主要目的是給出如何有效地實施IT安全管理的建議和指南。用戶完全可以參照這個完整的標準制定出自己的安全計劃和實施步驟。ISO/IEC13335首次給出了關(guān)于IT安全的保密性、完整性、可用性、審計性、認證性、可靠性6個方面的定義,并提出了以風險為核心的安全模型,闡述了信息安全評估的思路,對信息安全評估工作具有指導意義。 CC是針對安全產(chǎn)品和系統(tǒng)進行安全性評估的一個詳細方法,而ISO/IEC13335是包含與信息安全項目開發(fā)相關(guān)的一切模板。ISO/IEC13335關(guān)注的是安全項目的開發(fā),而CC是從技術(shù)的角度關(guān)心安全產(chǎn)品和系統(tǒng)的安全性評價。也就是說,CC沒有敘述怎樣開發(fā)安全產(chǎn)品和系統(tǒng),但是提供了評估安全產(chǎn)品和系統(tǒng)與預先定義的安全需求的符合程度的評價過程。,4)ISO/IEC13335與BS7799 與BS7799比較而言,ISO/IEC13335對安全管理的過程描述得更加細致,完全可操作;有多種角度的模型和闡述;對安全管理過程中的最關(guān)鍵環(huán)節(jié)風險分析和管理有非常細致的描述,闡述了包括基線方法、非形式化方法、詳細分析方法和綜合分析方法等風險分析方法;有比較完整的針對6種安全需求的防護措施的介紹。 BS7799以安全管理為基礎(chǔ),提供了一系列安全控制機制,供組織建立、貫徹和維護使用;提出了風險評估的要求,但是只注重信息安全管理方面。ISO/IEC13335介紹了風險評估的過程和方法,但是該方法是針對一般信息系統(tǒng)而言的,過于籠統(tǒng),沒有針對性。,總之,國際上風險評估相關(guān)的安全標準基本沒有一個是能直接拿來使用的。其原因是各標準針對的對象和目標不一樣,有的標準強調(diào)風險管理,有的強調(diào)具體的安全技術(shù),有的只定義某一方面的安全等級,有的則強調(diào)國際通用的規(guī)范和認證。,13.2.2 國內(nèi)信息安全風險評估標準 1.國內(nèi)風險評估標準發(fā)展與簡介 我國信息安全標準的研究基本上是從20世紀90年代末啟動的,主要是等同采用或修改相關(guān)的國際標準。已經(jīng)頒布的標準如下: (1)GB/T 18336-2001信息技術(shù)安全技術(shù)信息技術(shù)信息安全評估準則; (2)GB/T19716-2005信息技術(shù)信息安全管理實用規(guī)則; (3)GB/T19715.1-2005信息技術(shù)信息技術(shù)安全管理指南第1部分:信息技術(shù)安全概念和模型; (4)GB/T9361-2000計算機場地安全要求; (5)GB/T20984-2007信息安全技術(shù)信息系統(tǒng)的風險評估規(guī)范。,另外,在國際標準的基礎(chǔ)上,我國也制定了一些針對信息化建設(shè)特點的信息安全技術(shù)和信息安全評估的國家、地方標準。由公安部主持制定、國家質(zhì)量技術(shù)監(jiān)督局發(fā)布的國家標準GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則將信息系統(tǒng)安全分為自主保護級、系統(tǒng)審計保護級、安全標記保護級、結(jié)構(gòu)化保護級和訪問驗證保護級5個級別。我國還制定了金融行業(yè)標準銀行及相關(guān)金融服務信息安全管理規(guī)范20030037-T-320,以及GB18018/18019等產(chǎn)品標準。部分省(市)也發(fā)布了一些地方標準,例如,北京市于2002年制定并頒布了DB11/T171-2002北京市黨政機關(guān)信息網(wǎng)絡(luò)安全系統(tǒng)測評規(guī)范,上海市于2002年制定并頒布了DB31/T272-2002計算機信息系統(tǒng)安全測評通用技術(shù)規(guī)范。這些地方標準的制定為各地開展信息安全評估奠定了良好的基礎(chǔ)。,2.GB/T20984-2007信息安全技術(shù)信息安全風險評估規(guī)范 2003年7月,中辦發(fā)200327號文件對開展信息安全風險評估工作提出了明確的要求。國信辦委托國家信息中心牽頭,成立了國家信息安全風險評估課題組,對信息安全風險評估相關(guān)工作展開調(diào)查研究。2004年3月29日正式啟動了信息安全風險評估標準草案的編制工作。2004年底完成了信息安全風險評估指南標準草案。2005年由國務院信息辦組織在北京、上海、黑龍江、云南等省市與人民銀行、國家稅務總局、國家信息中心及國家電力總公司開展了驗證信息安全風險評估指南的可行性與可用性的試點工作。2006年6月19日,全國信息安全標準化技術(shù)委員會經(jīng)過討論,將標準正式命名為信息安全技術(shù)信息安全風險評估規(guī)范,并同意其通過評審。由國家標準化管理委員會審查批準發(fā)布的GB/T20984-2007信息安全技術(shù)信息安全風險評估規(guī)范于2007年11月1日正式實施。,信息安全風險評估規(guī)范(以下簡稱規(guī)范)是我國開展信息安全風險評估工作遵循的國家標準。規(guī)范定義了風險評估的基本概念、原理及實施流程,對被評估系統(tǒng)的資產(chǎn)、威脅和脆弱性識別要求進行了詳細描述,并給出了具體的定級依據(jù);提出了風險評估在信息系統(tǒng)生命周期不同階段的實施要點,以及風險評估的工作形式。 規(guī)范分為兩個部分:主體和附錄。主體部分主要介紹風險評估的定義、風險評估的模型以及風險評估的實施過程;附錄部分包括信息安全風險評估的方法、工具介紹和實施案例。,規(guī)范主體又分為引言和7項條款。 引言指出信息安全風險評估的意義,還指出信息安全風險評估要貫穿于信息系統(tǒng)生命周期的各個階段,其出發(fā)點是:從風險管理角度,運用科學的方法和手段,系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施;為防范和化解信息安全風險,將風險控制在可接受的水平,從而為最大限度地保障信息安全提供科學依據(jù)。,規(guī)范主體的7項條款包括: (1)范圍: 提出了規(guī)范涵蓋的內(nèi)容。 (2)規(guī)范性引用文件: 規(guī)范引用了四個標準,即GB/T9361-2000計算機場地安全要求、GB 17859-1999計算機信息系統(tǒng)安全保護等級劃分準則、GB/T18336-2001信息技術(shù) 安全技術(shù) 信息技術(shù)信息安全評估準則(idtISO/IEC15408:1999)及GB/T19716-2005信息技術(shù)信息安全管理實用規(guī)則(idtISO/IEC17799:2000)。 (3)術(shù)語和定義:給出了與信息安全風險評估相關(guān)的一些概念。,(4)風險管理框架及流程: 風險評估要素的關(guān)系模型如圖13.2.2所示。風險評估中各要素的關(guān)系是:業(yè)務戰(zhàn)略依賴于資產(chǎn)去完成;資產(chǎn)擁有價值,單位的業(yè)務戰(zhàn)略越重要,對資產(chǎn)的依賴程度越高,資產(chǎn)的價值就越大;資產(chǎn)的價值越大,則風險越大;風險由威脅發(fā)起,威脅越大,則風險越大,并可能演變成安全事件;威脅都要利用脆弱性,脆弱性越大,則風險越大;脆弱性使資產(chǎn)暴露,是未被滿足的安全需求,威脅要通過利用脆弱性來危害資產(chǎn),從而形成風險;資產(chǎn)的重要性和對風險的意識會導出安全需求;安全需求要通過安全措施來得以滿足,且是有成本的;安全措施可以抗擊威脅,降低風險,減弱安全事件的影響;在實施了安全措施后還會有殘余風險,殘余風險可能會誘發(fā)新的安全事件。,圖13.2.2 風險評估要素的關(guān)系模型,與CC標準的關(guān)系模型(如圖13.2.3所示)和ISO13335標準的關(guān)系模型(如圖13.2.4所示)相比,規(guī)范中對基本要素(圖13.2.2中方框部分)和與要素相關(guān)的屬性(圖13.2.2中橢圓部分)劃分更加細致,對與基本要素相關(guān)的一些屬性(如業(yè)務戰(zhàn)略、資產(chǎn)價值、安全事件、殘余風險等)進行了更充分的考慮。規(guī)范強調(diào)對殘余風險的評估,指出風險不可能也沒有必要降為零,在實施了安全措施后還會有殘留下來的風險。其中,一部分殘余風險來自于安全措施不當或無效,在以后需要繼續(xù)控制這部分風險;另一部分殘余風險則是在綜合考慮了安全的成本與資產(chǎn)價值后,有意未去控制的風險,這部分風險是可以接受的。規(guī)范明確提出:安全措施是基本要素;要對組織的安全措施進行評估;安全措施可以降低和抵御威脅;安全措施不當會造成殘余風險,進而誘發(fā)新的安全事件;安全措施是被滿足的安全需求;安全措施是有成本的。,圖13.2.3 CC標準的關(guān)系圖,圖13.2.4 ISO13335標準的關(guān)系模型,風險分析原理:識別資產(chǎn)并賦值;識別威脅并對威脅出現(xiàn)的頻率賦值;識別脆弱性并對脆弱性的嚴重程度賦值;根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性;根據(jù)脆弱性的嚴重程度及安全事件所作用的資產(chǎn)的價值計算安全事件造成的損失;根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失,計算安全事件一旦發(fā)生對組織產(chǎn)生的影響,即風險值。 規(guī)范給出了風險評估的實施流程圖。,(5)風險評估實施: 規(guī)范描述了風險評估的實施過程。 風險評估的準備:這是整個風險評估過程有效性的保證。在這個階段要完成以下任務:確定風險評估的目標和范圍,組建評估團隊,進行系統(tǒng)調(diào)研,確定評估依據(jù)和方法并獲取最高管理者對評估工作的支持。 資產(chǎn)識別: 依據(jù)資產(chǎn)的分類,對評估范圍內(nèi)的資產(chǎn)逐一識別,完成對資產(chǎn)保密性、完整性和可用性的賦值,最后經(jīng)過綜合評定得出資產(chǎn)重要性等級。 威脅識別:對資產(chǎn)可能遭受的威脅進行識別,并依據(jù)威脅出現(xiàn)的頻率對威脅進行賦值。,脆弱性識別:這是風險評估中最重要的一個環(huán)節(jié)。脆弱性識別可以以資產(chǎn)為核心,也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應用等層次進行識別,然后與資產(chǎn)、威脅對應起來?？梢詮募夹g(shù)和管理兩個方面對評估對象存在的脆弱性進行識別并賦值。 已有安全措施的確認:在識別脆弱性的同時,對評估對象已采取的安全措施的有效性進行確認,評估其有效性。 風險分析:采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度,判斷安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度,并判斷安全事件造成的損失對組織的影響,即安全風險。,標準給出了風險計算原理,以下面的范式形式化加以說明: 風險值=R(A,T,V)=R(L(T,V),F(Ia,Va) 式中,R表示安全風險計算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產(chǎn)價值;Va表示脆弱性的嚴重程度;L表示威脅利用資產(chǎn)的脆弱性導致安全事件發(fā)生的可能性;F表示安全事件發(fā)生后造成的損失。 風險評估文件記錄:形成風險評估過程中的相關(guān)文檔,包括風險評估報告。,(6)信息系統(tǒng)生命周期各階段的風險評估: 風險評估貫穿于信息系統(tǒng)的整個生命周期中,各階段根據(jù)其活動內(nèi)容的不同,安全目標和風險評估的要求也會不同。信息系統(tǒng)在規(guī)劃設(shè)計階段要通過風險評估確定系統(tǒng)的安全目標;在建設(shè)驗收階段要通過風險評估以確定系統(tǒng)的安全目標達成與否;在運行維護階段要不斷地進行風險評估以確定安全措施的有效性,確保安全保障目標始終如一、得以堅持。規(guī)范給出了各階段風險評估的側(cè)重點、評估要點及評估采取的方式。,(7)風險評估的工作形式: 根據(jù)評估實施者的不同,風險評估形式分為自評估和檢查評估兩大類。自評估是由被評估單位依靠自身的力量,對其自身的信息系統(tǒng)進行的風險評估活動。檢查評估是被評估單位的上級主管機關(guān)依據(jù)已經(jīng)頒布的法規(guī)或標準進行的具有強制意味的檢查活動。,13.2.3 基于CC的認證 為了保證測評結(jié)果的可比性,所有基于CC的測評都應當在一個統(tǒng)一的框架下設(shè)立標準,監(jiān)督測評質(zhì)量和管理測評規(guī)范。CC本身并不包括這個框架,但描述了這個框架的要素,具體如圖13.2.5所示。 圖13.2.5中,公共測評方法(CEM)由另外的文件定義,包括EAL1EAL4級測評的具體過程?？紤]到各個國家相關(guān)組織和機構(gòu)的設(shè)置以及具體的管理模式可能會不同,在上述框架中,測評模式由各個國家自行確定。目前,創(chuàng)建CC的六個國家均建立了各自的測評模式,并基于上述框架簽署了相互認可測評結(jié)果的互認協(xié)議(MRA,MutualRecognitionAgreement)。,圖13.2.5 CC測評框架,13.2.4 信息安全準則的應用 下面以MicrosoftWindowsNT4.0操作系統(tǒng)為例,具體分析一個實際系統(tǒng)是如何應用這些信息安全準則來實現(xiàn)其安全策略和功能的。 WindowsNT4.0操作系統(tǒng)于1999年11月通過了美國國防部TCSECC2級安全認證,表明該系統(tǒng)具有身份認證、自主訪問控制、客體重用和安全審計等安全特性。這些安全特性是由WindowsNT4.0安全子系統(tǒng)提供的。WindowsNT4.0安全子系統(tǒng)由本地安全授權(quán)(LSR)、安全賬戶管理(SAM)和安全參考監(jiān)視器(SRM)等部分組成。,(1)本地安全授權(quán)部分:為了保障用戶獲得存取系統(tǒng)的許可權(quán),它提供了許多服務程序,如產(chǎn)生令牌,執(zhí)行本地安全管理,提供交互式登錄認證服務,控制安全審計策略以及由SRM產(chǎn)生的安全審計記錄信息等。 (2)安全賬戶管理部分:提供SAM數(shù)據(jù)庫。該數(shù)據(jù)庫包含所有的用戶和用戶組的信息。SAM提供用戶登錄認證,將用戶輸入的信息與SAM數(shù)據(jù)庫中的注冊信息相比較來驗證用戶身份的合法性。對于合法的用戶,將賦予一個安全標識符(SID)。根據(jù)網(wǎng)絡(luò)的配置,SAM數(shù)據(jù)庫可能存在于一個或多個WindowsNT系統(tǒng)中。,(3)安全參考監(jiān)視器部分:負責訪問控制和審計策略,由LSA提供支持。SRM提供客體(文件、目錄等)的訪問權(quán)限,并檢查主體(用戶賬戶等)的權(quán)限,產(chǎn)生必要的審計信息?？腕w的安全屬性由安全控制項(ACE)來描述。全部客體的ACE組成訪問控制列表(ACL)。對于無ACL的客體,任何主體都能訪問。當主體訪問有ACL的客體時,由SRM檢查其中的每一個ACE,從而決定是否允許主體的訪問。,1.身份認證 WindowsNT4.0基于安全域(Domain)模型,每個域設(shè)有一個用戶賬號數(shù)據(jù)庫,每個用戶必須預先在一個域的用戶賬號數(shù)據(jù)庫中進行注冊。每個域都設(shè)有一個控制器來管理用戶賬號數(shù)據(jù)庫,并對試圖登錄的用戶身份進行認證。一個用戶在登錄WindowsNT4.0系統(tǒng)時,必須輸入所在的域名、用戶名和口令,控制器將根據(jù)這些信息對用戶身份進行認證。 在系統(tǒng)內(nèi)部,使用安全標識符(SID)唯一地標識一個用戶。SID是唯一的,即使一個用戶被刪除,該用戶的SID也不能重用或重新分配給其他用戶。,2.自主訪問控制 WindowsNT4.0采用自主訪問控制策略,控制粒度為單個用戶。WindowsNT4.0的安全模式允許將訪問控制應用于所有的系統(tǒng)客體以及基于NTFS文件系統(tǒng)的全部文件。 在應用進程對任何客體操作之前,WindowsNT4.0安全系統(tǒng)將驗證該進程所具有的權(quán)限。對于文件訪問操作,只有在文件的所有者或系統(tǒng)管理員授權(quán)的情況下才能被執(zhí)行。 WindowsNT4.0通過自主訪問控制列表(DACL)對系統(tǒng)中的客體進行自主訪問控制。DACL作為客體的一個安全屬性,用于控制用戶對客體的訪問操作。DACL規(guī)定了賦予一個用戶或用戶組的訪問授權(quán)(允許或拒絕)以及訪問權(quán)限。并非所有客體都必須具有相應的DACL。如果一個客體沒有DACL,則意味著所有用戶都具有訪問該客體的權(quán)限。,3.客體重用 WindowsNT4.0提供了TCB(TrustedComputingBase)接口,所有可見的資源都采用如下方式尋址: (1)在分配時清除客體。 (2)在分配時完全初始化客體。 (3)只允許讀取已寫入的部分。 用戶進程是不能訪問硬件寄存器、緩存等資源(CPU除外)的。當創(chuàng)建一個進程時,必須清除或初始化所有的寄存器。此后,每當一個進程被掛起時,所有寄存器信息都被保留;當該進程被喚醒時,重新將寄存器信息裝入寄存器。,4.安全審計 WindowsNT4.0的TCB可建立和維護一個安全日志,記錄有關(guān)身份認證、對保護客體的訪問、被保護客體的刪除、管理操作以及其他安全事件。安全審計功能由LSA、SRM、保護服務器、執(zhí)行子系統(tǒng)、事件日志以及事件查看器等部件來完成。審計信息記錄在安全日志中,并且只有管理員才有權(quán)查看安全日志。,13.3 信息安全模型 在13.2節(jié)的信息安全標準中,高安全級別系統(tǒng)都要求采用形式化安全模型來描述系統(tǒng)安全策略,并且是可驗證的。例如,在美國的TCSEC中,B級以上的高安全級別都要求具有形式化安全策略模型的應用。因此,形式化安全模型對于精確地描述一個系統(tǒng)的安全性和安全策略是非常重要的。,安全模型通常具有如下特點: (1)安全模型應當是精確和無歧義的。 (2)安全模型應當是簡單和抽象的,并且容易理解。 (3)安全模型應當是一般性的,只涉及安全性質(zhì),不過多涉及具體的系統(tǒng)功能或?qū)崿F(xiàn)。 (4)安全模型應當足夠小,便于模型的形式化描述、實現(xiàn)和驗證。,13.3.1 訪問控制模型 一般的安全模型都可以用一種稱為格(Lattice)的數(shù)學表達式來表示。格是一種定義在集合SC上的偏序關(guān)系,并且滿足SC中任意兩個元素都有最大下界和最小上界的條件。在一種多級安全策略模型中,SC表示有限的安全類集合。其中,每個安全類可用一個兩元組(A,C)來表示,A表示權(quán)力級別(Authoritylevel),C表示類別集合(Category)。權(quán)力級別共分成四級: (1)0級:普通級(Unclassified)。 (2)1級:秘密級(Confidential)。 (3)2級:機密級(Secret)。 (4)3級:絕密級(TopSecret)。,對于給定的安全類(A,C)和(A,C),當且僅當AA且CC時,(A,C)(A,C),稱(A,C)受(A,C)的支配。例如,假設(shè)一個文件F的安全類為Secret;NATO,NUCLEAR,如果一個用戶具有如下的安全類:TopSecret;NATO,NUCLEAR,CRYPTO,則該用戶就可以訪問文件F,因為該用戶擁有比文件F更高的權(quán)力級別,并且在其類別集合中包含了文件F的所有類別