第十三讲 1 信息安全标准 法规
2 安全方案设计网络与信息安全教程段云所 副教授北京大学计算机系部门规章及规范性文件
中华人民共和国公安部令第32号计算机信息系统安全专用产品检测和销售许可证管理办法
中华人民共和国公安部令第33号计算机信息网络国际联网安全保护管理办法
中华人民共和国公安部令第51号计算机病毒防治管理办法
中华人民共和国公共安全行业标准计算机信息系统安全专用产品分类原则国家法律中华人民共和国主席令第6号中华人民共和国保守国家秘密法行政法规
中华人民共和国国务院令147号中华人民共和国计算机信息系统安全保护条例
中华人民共和国国务院令第195号中华人民共和国计算机信息网络国际联网管理暂行规定
中华人民共和国计算机信息网络国际联网管理暂行规定实施办法
中华人民共和国国务院令第273号商用密码管理条例
中华人民共和国国务院令第291号中华人民共和国电信条例安全标准
计算机病毒防治产品评级准则(2000-5-17
计算机信息系统安全保护 级 分准则(1999-9-13
信息 理系统 系统 第2部分 安全 系
计算机信息系统安全专用产品分类原则
信息 电 和测 法
计算机机 用?¢£? 条件
DOS¥?系统§currency1中计算机病毒防治产品测' 法
,DOS 信息安全产品评级准则
电?计算机机 计规范安全标准
电?计算机机 施?及?fi规范
计算fl £安全–?
计算fl £ 条件
信息 理64bit分?密码算法 ·
信息 安全?息”?… ‰
测?和'? 用电` 安全–?第1部分 ′用–
ˉ用′信 及系统安全–?
ˉ?′用计算机系统˙用安全–?
¨?¢?计算机网络安全–?
ˉ用计算机安全评 准则
ˉ用计算机安全?
安全标准
GB/T 15843-1999 信息 安全 实?ˇ
1-4
GB/T 15851-1995 信息 安全?息 安全 –?
GB/T 15852-1995 信息 安全 用—密码算法 密码
性机?
GB/T 15852-1995 信息 安全 密 管理
GB/T 15852-1995 信息 安全?”?…
GB/T 15852-1995 信息 安全
安全标准
GB/T 17900-1999 网络 理 务 安全 –?
GB/T 18018-1999? 安全 –?
GB/T 18019-1999 信息 a 防 安全 –
GB/T 18020-1999 信息 用级防 安全 –
安全标准
GB17859-1999
计算机信息系统安全保护
级 分准则第?级 用主保护级第?级 系统o计保护级第 级 安全标 保护级第 级?保护级第 级证保护级安全评估标准
1985年美国可信计算机系统评估准则 TCSEC
1990年欧洲信息技术评估准则ITSEC
1990年加拿大可信计算机产品评估准则
CTCPEC
1991年美国联邦准则
FC
目前联合公共准则
CC
TCSEC和安全 级保护
1 计算机安全保密
计算机 ˙用 绕计算机 安全保密?题越来越突出 计算机
安全保密 成为 为重– 任务 与′信安全保密相比 计算机安全保密具有更 内容 涉及计算机硬件 软件 以及所 理?
安全和保密 除了沿用′信安全保密 理论 法和 外 计算机安全保密有?己独特 内容 并 成?己 系
安全保密?题得到 认识以前 计算机 安全保密 绝大多?人 印象中是¨硬件 物理安全但是 当今计算机远程终端存取 ′信和网络 新
已取得长足 展 单纯物理意义上 保护措施除可保护硬件 安全外 对信息和 务 保护意义越来越小? 安全保密已成为计算机安全保密 主题 而且 重点是内部?题 即?合法用?造成
威胁(或许是 意 ) 事实上 绝大多? 计算机犯罪是内部知情者所为 因此70年 以来 计算机安全保密 重点?直 解决内部犯罪这题上
计算机安全保密? 保密性 性和 务拒绝 面内容?
保密性解决? 非授权存取(泄露)?题? 性保护? 不被篡改或破 务拒绝 系统性 和系统 威胁
计算机安全保密 中 国 Gasser 出了系统
和安全 认为 计算机安全保密?
中 对系统 有 了解 并
是系统 防 (来?系统 外) 威胁 则
不可?造¢£ 安全§currency1¥¨出 系统内? 得到保护 而系统外? 得不到保护
系统内部部分§currency1?成?部分与'护系统安全有,部分与系统安全,对与安全相,§currency1实行内部? 这?部分
分象中 fi?安全
Gasser fl点 有 –性了计算机安全保密?· 法 但有?定 性 系统?˙这· 法用“以计算机网络为特? 信息系统安全保密
计算机安全保密 中 主 (subject)
和? (object)是重– 保护?
安全?主 权 成了?
主题 这 出˙计算机安全保密中”重– 内容——
题得以?象象?
…是可以? 这 ˙计算机安全保密 前?了?大¥
信息系统?成成‰ 面
信息 理`有′中·?有分 ·
成? ˉ 计算机 ¥?系统和网络
`可 是? ˙可 是¨ 实
计算机联? 网络 可 是多·?
合 所用 网络?件?
′信ˇ—多·多 因此 信息系统
安全保密 是所有安全保密学
合 用 …
信息系统安全保密 对象是系统而不 是系统中?或 §currency1 系统内所有§currency1或成‰ 是 内容
系统内 内容 ′信安全
(COMESC) 计算机安全 ¥?安全
(OPSEC) 信息安全 人事安全?业安全 保护和实 安全
系统外 (因为系统不是 )
内容 管理和法律 面?
合 成合理 和a
系统? fl点 信息系统安全保密并?o 性 因而
–相?o 不 重此
这 是系统论 fl点
当前 信息系统多 分′
成? 展 分 ·?成为”?行
理 · 而′中分 相 合 理
·˙到 今 信息系统
大 ′成 网络 ˉ上 因而
新 信息系统§currency1中 存取点?大大增加 脆弱点?分 更 信息系统 这
展趋势?影响安全保密
信息系统安全保密?·¢态是
分 ·§currency1及′中分 ·相 合§
currency1 安全保密策略了分 ·信息系统?需?和传统 ′中·安全保密策略 不? 性
第?·¢态是 为? 多 计算§currency1
而 面网络 安全机? 80年
安全保密 主–′中“标准?
致性和单? 安全?
第?¢态是 系统安全标准
和?定上 国 TCSEC和欧洲
ITSEC标准不涉及 系统 安全标准而ECMATR46-A只是 系统 安全框架 因而 定 系统 安全评价标准
为 – 并?“人 对 系统 普遍认?而显得迫
2 信息系统安全 级评测标准 状
1985年,DoD5200.28-STD,即可信计算机系统评测标准(TCSEC)( 国国防部桔皮书,以下简fiDOD85评测标准),为计算机安全产品 评测 供了测'和 法,¨导信息安全产品?造和 用 1987年,国国家计算机安全中心(NCSC)为TCSEC桔皮书
出可依 网络解释(TNI),′常被fi?红皮书
1991年,国国家计算机安全中心(NCSC)为
TCSEC桔皮书 出可依? 库管理系统解释(TDI)
90年 始,?“Internet
用,"黑?"?¢日益猖獗,信息系统安全
出了许多新?题,信息系统安全?
呼吁修改DoD585 桔皮书,国颁新 联邦评测标准(FC)草‰,用以 替80年 颁
桔皮书
上述标准 ˉ上,国 加拿大和欧洲联合?CC(信息 安全评测公共标准),并“1994年颁 0.9版,“1996年颁
了1.0版
欧洲,英国 荷兰和法国 头,欧洲 始联合?欧洲共? 安全评测标准,并“
1991年颁 ITSEC(信息 安全标准)
1993年,加拿大颁 CTCPEC(加拿大可信计算机产品评测标准)
3 ITSEC
Trusted Computer System Evaluation
Criteria,by DoD
给出?套标准来定义满足特定安全 级所需 安全功 及?保证 程
TCSEC橘皮书 Orange book 定义了系统安全?–currency1
系统 安全策略
系统 可o计机?
系统安全 可¥?性
系统安全 生命期保证
针对以上系统安全–currency1而? 并'护
相“文件
时 TCSEC橘皮书定义了系统安全
级来描述以上所有–currency1 安全特性
D,保护 minimal protection
未加任 实际 安全措施
C 被¢?主?策略 disretionary
access policy enforced
B 被¢策略 mandatory
access policy enforced
A 形·?证 安全 formally proven
security
每? 级 内 可以细分 这 标准
够被用来? 计算机 ¥?系统及?,硬件 安全性 标准
UNIX 只有login口令 文件保护 安全措施 被定为C1级 DOS被定为D1级目前 少有¥?系统 够符合B级标准
TCSEC彩皮书 Rainbow Books 中给出标准来? 系统?成 加密
LAN部件 和相“? 库管理系统 安全性
4 计算机安全 级 分准则
标准规定了计算机系统安全保护
级 即
第?级 用主保护级
第?级 系统o计保护级
第 级 安全标 保护级
第 级?保护级
第 级证保护级国标主要安全指标国家安全标准主– 核¨标有身份认证 自主访问控制 数据完整性审计 隐蔽信道分析 客体重用 强制访问控制 安全标记 可信路径 可信恢复等特点这些指标涵盖了不同级别的安全要求网络主–安全¨标
身份认证 主– 虑用? 主机和?点 身‰认证
访问控制 采用?主策略
数据完整性 虑存储 传输和˙用中不被篡改和泄密
审计 主– 虑? 主? 时间 成败情况
隐蔽信道分析 主– 虑采用安全监 和安全漏洞检测来加?
对隐蔽信道 防范安全技术架构安全威胁
网络a
安全¨标
安全
拨 号
用? PSTN
E xtranet
网
内 部网
Internet
主
重用
隐蔽信道可信
V
L
A
N
V
P
N
加密
物理身
‰
o
安全标
用网络
传输
ˉ
施安全漏洞
理
a
”
…
£
意
务拒绝
¢
篡口令身
‰
安全监
网络安全 框架
o
计
标准?用计算机信息系统安全保护
级 分 计算机信息系统安全保护?安全保护 级 增
增?
4.1 第?级用主保护级
级 计算机信息系统可信计算 ′
a 用?与? ˙用?具?主安全保护?具有多·形·?
对用?实施 即为用?
供可行 段 保护用?和用信息? 用?对? 非法 与破
4.1.1?主
计算机信息系统可信计算 定义和
系统中命…用?对命…
实施机? 例– 许命
…用?以用?和 或 用 身‰规定并 共 非授权用?
取 信息
4.1.2 身‰?ˇ
计算机信息系统可信计算 始 行时 –?用?标识?己 身‰ 并
˙用保护机? 例 口令 来?ˇ用
身‰ 非授权用用?身
‰?ˇ?
4.1.3? 性
计算机信息系统可信计算 ′a?主 性策略 非授权用?修改或破 信息
4.2 第?级系统o计保护级
与用主保护级相比 级 计算机信息系统可信计算 实施了? 更细?主?
′a¢ 规程 o计安全性相“事件和
˙用?对?己 行为£?
4.2.1?主
计算机信息系统可信计算 定义和
系统中命…用?对命…
实施机? 例– 许命
…用?以用?和 或 用 身‰规定并 共 非授权用?
取 信息 并权 ¥?
主机?§ 用?¨定 ·或
currency1认 · 非授权用
是单?用? '有存取权 用?只 许?授权用?¨定对?
权
4.2.2 身‰?ˇ
计算机信息系统可信计算 始 行时 –?用?标识?己 身‰ 并
˙用保护机? 例 口令 来?ˇ用
身‰ 非授权用用?身
‰?ˇ? ′a为用? 供“?标识计算机信息系统可信计算 够˙用?
对?己 行为£?
计算机信息系统可信计算 具?身
‰标识与?用?所有可o计行为相“联
4.2.3? 重用
计算机信息系统可信计算
存储间中 对? 始¨定 分
fi或fl分fi主 前 销
所–信息 所有授权
4.2.4 o计
计算机信息系统可信计算和'
护?保护o计?· 并
非授权 用?对或破
计算机信息系统可信计算 下述事件 ˙用身‰?ˇ机
用?£?间 例? 文件 程?
始除¥?” 系统管理”或 和 系统安全管理”实施
¢? 以及? 与系统安全有,事件
对“每?事件?o计 事件
日期和时间 用? 事件类 事件是 成功 对“身‰?ˇ事件 o计
– 来 例 终端标识符对“用?£?间 事件及?
除事件 o计 –? …
4.2.5? 性
计算机信息系统可信计算 ′a?主
性策略 非授权用?修改或破
信息
4.3 第 级安全标 保护级
级 计算机信息系统可信计算 具有系统o计保护级所有功 此外
供有“安全策略? 标 以及主 对 非形·?描述 具有准 £标 输出信息
除′a测' 任?…
4.3.1?主
计算机信息系统可信计算 定义和
系统中命…用?对命…
实施机? 例– 许命
…用?以用?和 或 用 身‰规定并 共 非授权用?
取 信息 并权 ¥?
主机?§ 用?¨定 ·或
currency1认 · 非授权用
是单?用? '有存取权 用?只 许?授权用?¨定对?
权 非授权用? 取 信息
4.3.2
计算机信息系统可信计算 对所有主
及?所 例?程 文件 段 实施 为这 主 及? ¨定 标 这 标
是 级分类和非 级类ˇ?合?
是实施 依 计算机信息系统可信计算 ‰?·或?·以上成分?成 安全级
计算机信息系统可信计算? 所有主 对 满足 当主 安全级中 级分类,或,? 安全级中 级分类 且主 安全级中 非
级类ˇ –了? 安全级中 全部非
级类ˇ 主 当主
安全级中 级分类,或,? 安全级中 级分类 且主 安全级中
非 级类ˇ –了? 安全级中 非
级类ˇ 主
计算机信息系统可信计算 ˙用身‰和
ˇˇ用? 身‰ 并保证用
计算机信息系统可信计算 外部主 安全级和授权用? 安全级和授权?
4.3.3 标
计算机信息系统可信计算 '护与主 及 存储? 例?程文件 段 相,标 这
标 是实施 ˉ 为了输
未加安全标? 计算机信息系统可信计算?授权用?–?并这
安全级ˇ 且可?计算机信息系统可信计算 o计
4.3.4 身‰?ˇ
上?级
4.3.5? 重用
计算机信息系统可信计算
存储间中 对? 始¨定 分
fi或fl分fi主 前 销? 所
–信息 所有授权 当主 得对
已被释权时 当前主
不 得原主?¢所产生 任 信息
4.4 第 级?保护级
级 计算机信息系统可信计算?
, 定义 形·?安全策略
上?–第 级系统中?主和¥展到所有主 与?
此外 – 虑隐蔽′道 级 计算机信息系统可信计算?为“
`保护§currency1和非“`保护§currency1
计算机信息系统可信计算?口˙
定义 ˙? 计与实 ′?更
分 测'和更?o 加?了?
ˇ机? ‰ 系统管理”和¥?”?
供可信 施管理 增?了fi?管理? 系统具有相当 ˉ?
4.4.1?主
上?级
4.4.2
上?级
4.4.3 标
上?级
4.4.4 身‰?ˇ
上?级
4.4.5? 重用
上?级
4.4.6 o计
除?上?级相“规定外 计算机信息系统可信计算 够o计˙用隐蔽存储信道时可 被˙用 事件
4.4.7? 性
上?级
4.4.8 隐蔽信道分
系统 者 ¨隐蔽存储信道并§ 实际测 或?程 算 定每
被标识信道,大
4.4.9 可信
对用? 始¢ 和?ˇ 计算机信息系统可信计算?与用? 间 供可信′信? 上 ′信只?
用? 始?
4.5 第 级证保护级
级 计算机信息系统可信计算 满足?监 需监主
对? 全部监 身是 篡改 足够小 够分 和测' 为了满足?监 需? 计算机信息系统可信计算? 造时 ˇ
除— 对实施安全策略来 并非 –
码
计和实 时 系统?程
性 到”小程 ‰ 安全管理
”? ¥ o计机? 当 生与安全相,事件时 出信号 供系统
机? 系统具有 ˉ?
4.5.1 可信
当?用?时 更改主 安全级 计算机信息系统可信计算
供?与用? 间 可信′信 可信
上 ′信只用?或计算机信息系统可信计算? 且 上与
上 ′信相 且 £
加以 分
4.5.2 可信
计算机信息系统可信计算 供a程和机? 保证计算机信息系统 或中
可以?行不 任 安全保护性
条?上级安全技术架构安全威胁
网络a
安全¨标
安全
拨 号
用? PSTN
E xtranet
网
内 部网
Internet
主
重用
隐蔽信道可信
V
L
A
N
V
P
N
加密
物理身
‰
o
安全标
用网络
传输
ˉ
施安全漏洞
理
a
”
…
£
意
务拒绝
¢
篡口令身
‰
安全监
网络安全 框架
o
计
安全体系设计安全方案设计要素
Jade Bird
明确的需求分析 合理的设计原则合理的设计原则可信的安全等级 良好的指导方法良好的指导方法全面的理论模型 正确的技术选择正确的技术选择可靠的支撑产品 实用的 性 实用的 性
可 的评 完 的 理 完 的 理
的 级
安全需求
Jade Bird
安全
安全
理安全评估安全
需要保护的对象
安全层次分析
隐患分析安全需求分析
Jade Bird
!保 网络安全 可靠 高效 可控 持续£ 行
!保 信息机密 完整 不可否认£传输和˙用安全设计 标
Jade Bird
安全 分析企业级安全总体规划安全业务调度安全安全政策法规功能设计安全职能划分安全应用级安全文件安全目录安全数据安全邮件安全群件安全事件安全系统级安全操作系统安全用户管理安全分布系统管理安全故障诊断系统监控安全网络运行监测平台安全网络级安全
...
信息传输安全路由安全广
网安全
安全
安全
路安全
理安全安全需求分析-安全
Jade Bird
事件 生
¢
规则′/检?
修改 状态
¨常
计新
¢
定义/修改规则时
方法
系 Anomaly
计方法 模 法?¢£?法
¥用 系 Misuse
§系 模型currency1',分析
fi合 系 Hybrid
要求实fl 全面 准确安全需求分析-安全
Jade Bird
– 路 · 数据设?等
”–?…系 ‰用”–? 实用`′
数据ˉ–?˙自¨ 信息系
需要? 的?ˇ
Jade Bird
安全需求分析-安全
安全需求分析--安全评估
Jade Bird
!— 分析
!评估标准
! 指标设计原则
! 实用
! 产 currency1'
国 的10%-15%
! 级? fla性
£?安全设计方法
设计 ‰用 明性
实体?
产品 技术分?
£?安全等级设计
‰?o等级 B1级理? C2级自主访问 安全性
B1级 安全标记+强制访问控制
B2级要求确认隐蔽 道?实
安全技术选择-- 据£?
路 加密
£? a IPSEC?a VPN.
TCP SSL?a,公 认证和对fi 加密
‰用 SHTTP PGP SMIM 专用?a
£ 访问?理 安全£?
审计? 追踪安全技术选择-- 据£?拓扑
信道
密
密级管理
信
密访问控制
身份认证
… …
应网络级系统级用级管理级信息网络系统级
ˇ
安全模型
信道
密
密级管理
信
密访问控制
身份认证
… …
应网络级系统级用级管理级信息网络系统级
ˇ
信道
密
密级管理
信
密访问控制
身份认证
… …
应网络级系统级用级管理级信息网络系统级
ˇ
信道
密
密级管理
信
密访问控制
身份认证
… …
应网络级系统级用级管理级信息网络系统级
ˇ
信道
密
密级管理
信
密访问控制
身份认证
… …
应网络级系统级用级管理级信息网络系统级
ˇ
信道
密
密级管理
信
密访问控制
身份认证
… …
应网络级系统级用级管理级信息网络系统级
ˇ
信道
密
密级管理
信
密访问控制
身份认证
… …
应网络级系统级用级管理级信息网络系统级
ˇ
信道
密
密级管理
信
密访问控制
身份认证
… …
应网络级系统级用级管理级信息网络系统级
ˇ
信道
密
密级管理
信
密访问控制
身份认证
… …
应网络级系统级用级管理级信息网络系统级
ˇ
信道
密
密级管理
信
密访问控制
身份认证
… …
应网络级系统级用级管理级信息网络系统级
ˇ
网
2000 2005
2010
网
£ 网多
安全模型安全 理
Jade Bird
"加强内部人员的安全知识培训及职 道德教育
"制定安全政策 法规
"从技术上实 系 理分权制约
"从技术上?证口令的安全性
"从`′上规范安全 理安全 级
Jade Bird
"跟踪 研究£?攻击
"及fl更新 使用安全产品的 级版本
"及fl采纳新 的必须的安全产品
"‰在年度 算中留 安全?障 ¢费
"?持 安全技术支持单位的良好合…?系设计实
Jade Bird
典型局域£安全设计
DMZ
DDN/X.25/FR
网加密机防
PSTN
¢用?
外部mail
务
外部
WWW
务
外部DNS
户密
管理
防
安全
户
务
1
务
2
务
3
务
n
要 务
1
要 务 2
要 务 3
要 务 n
/
认证
务
访问
理漏洞 描/
检测安全方案拓扑
图
理 务
Jade Bird
£ a
身‰认证
理出,?
加
/
解密日
o
计安全
Jade Bird
′信a
身‰认证
加
/
解密 软件或
IC
email www FTP
…
理?口安全
Jade Bird
目 1
安全端
务 1
普′终端安全网
务 1
务 2目 2
身
‰
认证和
理重–信息普′信息目 1
目 2
务 2
传输安全
Jade Bird
B
£
网加密
o
文认证
A
£
网加密
o
文认证
认证 密文传输公网拨号安全
Jade Bird
人行
网安全
务
认证安全
端
认证 密文
PSTN
文
DMZ
DDN/X.25/FR
网加密机防
PSTN
¢用?
外部mail
务
外部
WWW
务
外部DNS
户密
管理
防
安全
户
务
1
务
2
务
3
务
n
要 务
1
要 务 2
要 务 3
要 务 n
/
认证
务
访问
理漏洞 描/
检测安全方案拓扑
图
2 安全方案设计网络与信息安全教程段云所 副教授北京大学计算机系部门规章及规范性文件
中华人民共和国公安部令第32号计算机信息系统安全专用产品检测和销售许可证管理办法
中华人民共和国公安部令第33号计算机信息网络国际联网安全保护管理办法
中华人民共和国公安部令第51号计算机病毒防治管理办法
中华人民共和国公共安全行业标准计算机信息系统安全专用产品分类原则国家法律中华人民共和国主席令第6号中华人民共和国保守国家秘密法行政法规
中华人民共和国国务院令147号中华人民共和国计算机信息系统安全保护条例
中华人民共和国国务院令第195号中华人民共和国计算机信息网络国际联网管理暂行规定
中华人民共和国计算机信息网络国际联网管理暂行规定实施办法
中华人民共和国国务院令第273号商用密码管理条例
中华人民共和国国务院令第291号中华人民共和国电信条例安全标准
计算机病毒防治产品评级准则(2000-5-17
计算机信息系统安全保护 级 分准则(1999-9-13
信息 理系统 系统 第2部分 安全 系
计算机信息系统安全专用产品分类原则
信息 电 和测 法
计算机机 用?¢£? 条件
DOS¥?系统§currency1中计算机病毒防治产品测' 法
,DOS 信息安全产品评级准则
电?计算机机 计规范安全标准
电?计算机机 施?及?fi规范
计算fl £安全–?
计算fl £ 条件
信息 理64bit分?密码算法 ·
信息 安全?息”?… ‰
测?和'? 用电` 安全–?第1部分 ′用–
ˉ用′信 及系统安全–?
ˉ?′用计算机系统˙用安全–?
¨?¢?计算机网络安全–?
ˉ用计算机安全评 准则
ˉ用计算机安全?
安全标准
GB/T 15843-1999 信息 安全 实?ˇ
1-4
GB/T 15851-1995 信息 安全?息 安全 –?
GB/T 15852-1995 信息 安全 用—密码算法 密码
性机?
GB/T 15852-1995 信息 安全 密 管理
GB/T 15852-1995 信息 安全?”?…
GB/T 15852-1995 信息 安全
安全标准
GB/T 17900-1999 网络 理 务 安全 –?
GB/T 18018-1999? 安全 –?
GB/T 18019-1999 信息 a 防 安全 –
GB/T 18020-1999 信息 用级防 安全 –
安全标准
GB17859-1999
计算机信息系统安全保护
级 分准则第?级 用主保护级第?级 系统o计保护级第 级 安全标 保护级第 级?保护级第 级证保护级安全评估标准
1985年美国可信计算机系统评估准则 TCSEC
1990年欧洲信息技术评估准则ITSEC
1990年加拿大可信计算机产品评估准则
CTCPEC
1991年美国联邦准则
FC
目前联合公共准则
CC
TCSEC和安全 级保护
1 计算机安全保密
计算机 ˙用 绕计算机 安全保密?题越来越突出 计算机
安全保密 成为 为重– 任务 与′信安全保密相比 计算机安全保密具有更 内容 涉及计算机硬件 软件 以及所 理?
安全和保密 除了沿用′信安全保密 理论 法和 外 计算机安全保密有?己独特 内容 并 成?己 系
安全保密?题得到 认识以前 计算机 安全保密 绝大多?人 印象中是¨硬件 物理安全但是 当今计算机远程终端存取 ′信和网络 新
已取得长足 展 单纯物理意义上 保护措施除可保护硬件 安全外 对信息和 务 保护意义越来越小? 安全保密已成为计算机安全保密 主题 而且 重点是内部?题 即?合法用?造成
威胁(或许是 意 ) 事实上 绝大多? 计算机犯罪是内部知情者所为 因此70年 以来 计算机安全保密 重点?直 解决内部犯罪这题上
计算机安全保密? 保密性 性和 务拒绝 面内容?
保密性解决? 非授权存取(泄露)?题? 性保护? 不被篡改或破 务拒绝 系统性 和系统 威胁
计算机安全保密 中 国 Gasser 出了系统
和安全 认为 计算机安全保密?
中 对系统 有 了解 并
是系统 防 (来?系统 外) 威胁 则
不可?造¢£ 安全§currency1¥¨出 系统内? 得到保护 而系统外? 得不到保护
系统内部部分§currency1?成?部分与'护系统安全有,部分与系统安全,对与安全相,§currency1实行内部? 这?部分
分象中 fi?安全
Gasser fl点 有 –性了计算机安全保密?· 法 但有?定 性 系统?˙这· 法用“以计算机网络为特? 信息系统安全保密
计算机安全保密 中 主 (subject)
和? (object)是重– 保护?
安全?主 权 成了?
主题 这 出˙计算机安全保密中”重– 内容——
题得以?象象?
…是可以? 这 ˙计算机安全保密 前?了?大¥
信息系统?成成‰ 面
信息 理`有′中·?有分 ·
成? ˉ 计算机 ¥?系统和网络
`可 是? ˙可 是¨ 实
计算机联? 网络 可 是多·?
合 所用 网络?件?
′信ˇ—多·多 因此 信息系统
安全保密 是所有安全保密学
合 用 …
信息系统安全保密 对象是系统而不 是系统中?或 §currency1 系统内所有§currency1或成‰ 是 内容
系统内 内容 ′信安全
(COMESC) 计算机安全 ¥?安全
(OPSEC) 信息安全 人事安全?业安全 保护和实 安全
系统外 (因为系统不是 )
内容 管理和法律 面?
合 成合理 和a
系统? fl点 信息系统安全保密并?o 性 因而
–相?o 不 重此
这 是系统论 fl点
当前 信息系统多 分′
成? 展 分 ·?成为”?行
理 · 而′中分 相 合 理
·˙到 今 信息系统
大 ′成 网络 ˉ上 因而
新 信息系统§currency1中 存取点?大大增加 脆弱点?分 更 信息系统 这
展趋势?影响安全保密
信息系统安全保密?·¢态是
分 ·§currency1及′中分 ·相 合§
currency1 安全保密策略了分 ·信息系统?需?和传统 ′中·安全保密策略 不? 性
第?·¢态是 为? 多 计算§currency1
而 面网络 安全机? 80年
安全保密 主–′中“标准?
致性和单? 安全?
第?¢态是 系统安全标准
和?定上 国 TCSEC和欧洲
ITSEC标准不涉及 系统 安全标准而ECMATR46-A只是 系统 安全框架 因而 定 系统 安全评价标准
为 – 并?“人 对 系统 普遍认?而显得迫
2 信息系统安全 级评测标准 状
1985年,DoD5200.28-STD,即可信计算机系统评测标准(TCSEC)( 国国防部桔皮书,以下简fiDOD85评测标准),为计算机安全产品 评测 供了测'和 法,¨导信息安全产品?造和 用 1987年,国国家计算机安全中心(NCSC)为TCSEC桔皮书
出可依 网络解释(TNI),′常被fi?红皮书
1991年,国国家计算机安全中心(NCSC)为
TCSEC桔皮书 出可依? 库管理系统解释(TDI)
90年 始,?“Internet
用,"黑?"?¢日益猖獗,信息系统安全
出了许多新?题,信息系统安全?
呼吁修改DoD585 桔皮书,国颁新 联邦评测标准(FC)草‰,用以 替80年 颁
桔皮书
上述标准 ˉ上,国 加拿大和欧洲联合?CC(信息 安全评测公共标准),并“1994年颁 0.9版,“1996年颁
了1.0版
欧洲,英国 荷兰和法国 头,欧洲 始联合?欧洲共? 安全评测标准,并“
1991年颁 ITSEC(信息 安全标准)
1993年,加拿大颁 CTCPEC(加拿大可信计算机产品评测标准)
3 ITSEC
Trusted Computer System Evaluation
Criteria,by DoD
给出?套标准来定义满足特定安全 级所需 安全功 及?保证 程
TCSEC橘皮书 Orange book 定义了系统安全?–currency1
系统 安全策略
系统 可o计机?
系统安全 可¥?性
系统安全 生命期保证
针对以上系统安全–currency1而? 并'护
相“文件
时 TCSEC橘皮书定义了系统安全
级来描述以上所有–currency1 安全特性
D,保护 minimal protection
未加任 实际 安全措施
C 被¢?主?策略 disretionary
access policy enforced
B 被¢策略 mandatory
access policy enforced
A 形·?证 安全 formally proven
security
每? 级 内 可以细分 这 标准
够被用来? 计算机 ¥?系统及?,硬件 安全性 标准
UNIX 只有login口令 文件保护 安全措施 被定为C1级 DOS被定为D1级目前 少有¥?系统 够符合B级标准
TCSEC彩皮书 Rainbow Books 中给出标准来? 系统?成 加密
LAN部件 和相“? 库管理系统 安全性
4 计算机安全 级 分准则
标准规定了计算机系统安全保护
级 即
第?级 用主保护级
第?级 系统o计保护级
第 级 安全标 保护级
第 级?保护级
第 级证保护级国标主要安全指标国家安全标准主– 核¨标有身份认证 自主访问控制 数据完整性审计 隐蔽信道分析 客体重用 强制访问控制 安全标记 可信路径 可信恢复等特点这些指标涵盖了不同级别的安全要求网络主–安全¨标
身份认证 主– 虑用? 主机和?点 身‰认证
访问控制 采用?主策略
数据完整性 虑存储 传输和˙用中不被篡改和泄密
审计 主– 虑? 主? 时间 成败情况
隐蔽信道分析 主– 虑采用安全监 和安全漏洞检测来加?
对隐蔽信道 防范安全技术架构安全威胁
网络a
安全¨标
安全
拨 号
用? PSTN
E xtranet
网
内 部网
Internet
主
重用
隐蔽信道可信
V
L
A
N
V
P
N
加密
物理身
‰
o
安全标
用网络
传输
ˉ
施安全漏洞
理
a
”
…
£
意
务拒绝
¢
篡口令身
‰
安全监
网络安全 框架
o
计
标准?用计算机信息系统安全保护
级 分 计算机信息系统安全保护?安全保护 级 增
增?
4.1 第?级用主保护级
级 计算机信息系统可信计算 ′
a 用?与? ˙用?具?主安全保护?具有多·形·?
对用?实施 即为用?
供可行 段 保护用?和用信息? 用?对? 非法 与破
4.1.1?主
计算机信息系统可信计算 定义和
系统中命…用?对命…
实施机? 例– 许命
…用?以用?和 或 用 身‰规定并 共 非授权用?
取 信息
4.1.2 身‰?ˇ
计算机信息系统可信计算 始 行时 –?用?标识?己 身‰ 并
˙用保护机? 例 口令 来?ˇ用
身‰ 非授权用用?身
‰?ˇ?
4.1.3? 性
计算机信息系统可信计算 ′a?主 性策略 非授权用?修改或破 信息
4.2 第?级系统o计保护级
与用主保护级相比 级 计算机信息系统可信计算 实施了? 更细?主?
′a¢ 规程 o计安全性相“事件和
˙用?对?己 行为£?
4.2.1?主
计算机信息系统可信计算 定义和
系统中命…用?对命…
实施机? 例– 许命
…用?以用?和 或 用 身‰规定并 共 非授权用?
取 信息 并权 ¥?
主机?§ 用?¨定 ·或
currency1认 · 非授权用
是单?用? '有存取权 用?只 许?授权用?¨定对?
权
4.2.2 身‰?ˇ
计算机信息系统可信计算 始 行时 –?用?标识?己 身‰ 并
˙用保护机? 例 口令 来?ˇ用
身‰ 非授权用用?身
‰?ˇ? ′a为用? 供“?标识计算机信息系统可信计算 够˙用?
对?己 行为£?
计算机信息系统可信计算 具?身
‰标识与?用?所有可o计行为相“联
4.2.3? 重用
计算机信息系统可信计算
存储间中 对? 始¨定 分
fi或fl分fi主 前 销
所–信息 所有授权
4.2.4 o计
计算机信息系统可信计算和'
护?保护o计?· 并
非授权 用?对或破
计算机信息系统可信计算 下述事件 ˙用身‰?ˇ机
用?£?间 例? 文件 程?
始除¥?” 系统管理”或 和 系统安全管理”实施
¢? 以及? 与系统安全有,事件
对“每?事件?o计 事件
日期和时间 用? 事件类 事件是 成功 对“身‰?ˇ事件 o计
– 来 例 终端标识符对“用?£?间 事件及?
除事件 o计 –? …
4.2.5? 性
计算机信息系统可信计算 ′a?主
性策略 非授权用?修改或破
信息
4.3 第 级安全标 保护级
级 计算机信息系统可信计算 具有系统o计保护级所有功 此外
供有“安全策略? 标 以及主 对 非形·?描述 具有准 £标 输出信息
除′a测' 任?…
4.3.1?主
计算机信息系统可信计算 定义和
系统中命…用?对命…
实施机? 例– 许命
…用?以用?和 或 用 身‰规定并 共 非授权用?
取 信息 并权 ¥?
主机?§ 用?¨定 ·或
currency1认 · 非授权用
是单?用? '有存取权 用?只 许?授权用?¨定对?
权 非授权用? 取 信息
4.3.2
计算机信息系统可信计算 对所有主
及?所 例?程 文件 段 实施 为这 主 及? ¨定 标 这 标
是 级分类和非 级类ˇ?合?
是实施 依 计算机信息系统可信计算 ‰?·或?·以上成分?成 安全级
计算机信息系统可信计算? 所有主 对 满足 当主 安全级中 级分类,或,? 安全级中 级分类 且主 安全级中 非
级类ˇ –了? 安全级中 全部非
级类ˇ 主 当主
安全级中 级分类,或,? 安全级中 级分类 且主 安全级中
非 级类ˇ –了? 安全级中 非
级类ˇ 主
计算机信息系统可信计算 ˙用身‰和
ˇˇ用? 身‰ 并保证用
计算机信息系统可信计算 外部主 安全级和授权用? 安全级和授权?
4.3.3 标
计算机信息系统可信计算 '护与主 及 存储? 例?程文件 段 相,标 这
标 是实施 ˉ 为了输
未加安全标? 计算机信息系统可信计算?授权用?–?并这
安全级ˇ 且可?计算机信息系统可信计算 o计
4.3.4 身‰?ˇ
上?级
4.3.5? 重用
计算机信息系统可信计算
存储间中 对? 始¨定 分
fi或fl分fi主 前 销? 所
–信息 所有授权 当主 得对
已被释权时 当前主
不 得原主?¢所产生 任 信息
4.4 第 级?保护级
级 计算机信息系统可信计算?
, 定义 形·?安全策略
上?–第 级系统中?主和¥展到所有主 与?
此外 – 虑隐蔽′道 级 计算机信息系统可信计算?为“
`保护§currency1和非“`保护§currency1
计算机信息系统可信计算?口˙
定义 ˙? 计与实 ′?更
分 测'和更?o 加?了?
ˇ机? ‰ 系统管理”和¥?”?
供可信 施管理 增?了fi?管理? 系统具有相当 ˉ?
4.4.1?主
上?级
4.4.2
上?级
4.4.3 标
上?级
4.4.4 身‰?ˇ
上?级
4.4.5? 重用
上?级
4.4.6 o计
除?上?级相“规定外 计算机信息系统可信计算 够o计˙用隐蔽存储信道时可 被˙用 事件
4.4.7? 性
上?级
4.4.8 隐蔽信道分
系统 者 ¨隐蔽存储信道并§ 实际测 或?程 算 定每
被标识信道,大
4.4.9 可信
对用? 始¢ 和?ˇ 计算机信息系统可信计算?与用? 间 供可信′信? 上 ′信只?
用? 始?
4.5 第 级证保护级
级 计算机信息系统可信计算 满足?监 需监主
对? 全部监 身是 篡改 足够小 够分 和测' 为了满足?监 需? 计算机信息系统可信计算? 造时 ˇ
除— 对实施安全策略来 并非 –
码
计和实 时 系统?程
性 到”小程 ‰ 安全管理
”? ¥ o计机? 当 生与安全相,事件时 出信号 供系统
机? 系统具有 ˉ?
4.5.1 可信
当?用?时 更改主 安全级 计算机信息系统可信计算
供?与用? 间 可信′信 可信
上 ′信只用?或计算机信息系统可信计算? 且 上与
上 ′信相 且 £
加以 分
4.5.2 可信
计算机信息系统可信计算 供a程和机? 保证计算机信息系统 或中
可以?行不 任 安全保护性
条?上级安全技术架构安全威胁
网络a
安全¨标
安全
拨 号
用? PSTN
E xtranet
网
内 部网
Internet
主
重用
隐蔽信道可信
V
L
A
N
V
P
N
加密
物理身
‰
o
安全标
用网络
传输
ˉ
施安全漏洞
理
a
”
…
£
意
务拒绝
¢
篡口令身
‰
安全监
网络安全 框架
o
计
安全体系设计安全方案设计要素
Jade Bird
明确的需求分析 合理的设计原则合理的设计原则可信的安全等级 良好的指导方法良好的指导方法全面的理论模型 正确的技术选择正确的技术选择可靠的支撑产品 实用的 性 实用的 性
可 的评 完 的 理 完 的 理
的 级
安全需求
Jade Bird
安全
安全
理安全评估安全
需要保护的对象
安全层次分析
隐患分析安全需求分析
Jade Bird
!保 网络安全 可靠 高效 可控 持续£ 行
!保 信息机密 完整 不可否认£传输和˙用安全设计 标
Jade Bird
安全 分析企业级安全总体规划安全业务调度安全安全政策法规功能设计安全职能划分安全应用级安全文件安全目录安全数据安全邮件安全群件安全事件安全系统级安全操作系统安全用户管理安全分布系统管理安全故障诊断系统监控安全网络运行监测平台安全网络级安全
...
信息传输安全路由安全广
网安全
安全
安全
路安全
理安全安全需求分析-安全
Jade Bird
事件 生
¢
规则′/检?
修改 状态
¨常
计新
¢
定义/修改规则时
方法
系 Anomaly
计方法 模 法?¢£?法
¥用 系 Misuse
§系 模型currency1',分析
fi合 系 Hybrid
要求实fl 全面 准确安全需求分析-安全
Jade Bird
– 路 · 数据设?等
”–?…系 ‰用”–? 实用`′
数据ˉ–?˙自¨ 信息系
需要? 的?ˇ
Jade Bird
安全需求分析-安全
安全需求分析--安全评估
Jade Bird
!— 分析
!评估标准
! 指标设计原则
! 实用
! 产 currency1'
国 的10%-15%
! 级? fla性
£?安全设计方法
设计 ‰用 明性
实体?
产品 技术分?
£?安全等级设计
‰?o等级 B1级理? C2级自主访问 安全性
B1级 安全标记+强制访问控制
B2级要求确认隐蔽 道?实
安全技术选择-- 据£?
路 加密
£? a IPSEC?a VPN.
TCP SSL?a,公 认证和对fi 加密
‰用 SHTTP PGP SMIM 专用?a
£ 访问?理 安全£?
审计? 追踪安全技术选择-- 据£?拓扑
信道
密
密级管理
信
密访问控制
身份认证
… …
应网络级系统级用级管理级信息网络系统级
ˇ
安全模型
信道
密
密级管理
信
密访问控制
身份认证
… …
应网络级系统级用级管理级信息网络系统级
ˇ
信道
密
密级管理
信
密访问控制
身份认证
… …
应网络级系统级用级管理级信息网络系统级
ˇ
信道
密
密级管理
信
密访问控制
身份认证
… …
应网络级系统级用级管理级信息网络系统级
ˇ
信道
密
密级管理
信
密访问控制
身份认证
… …
应网络级系统级用级管理级信息网络系统级
ˇ
信道
密
密级管理
信
密访问控制
身份认证
… …
应网络级系统级用级管理级信息网络系统级
ˇ
信道
密
密级管理
信
密访问控制
身份认证
… …
应网络级系统级用级管理级信息网络系统级
ˇ
信道
密
密级管理
信
密访问控制
身份认证
… …
应网络级系统级用级管理级信息网络系统级
ˇ
信道
密
密级管理
信
密访问控制
身份认证
… …
应网络级系统级用级管理级信息网络系统级
ˇ
信道
密
密级管理
信
密访问控制
身份认证
… …
应网络级系统级用级管理级信息网络系统级
ˇ
网
2000 2005
2010
网
£ 网多
安全模型安全 理
Jade Bird
"加强内部人员的安全知识培训及职 道德教育
"制定安全政策 法规
"从技术上实 系 理分权制约
"从技术上?证口令的安全性
"从`′上规范安全 理安全 级
Jade Bird
"跟踪 研究£?攻击
"及fl更新 使用安全产品的 级版本
"及fl采纳新 的必须的安全产品
"‰在年度 算中留 安全?障 ¢费
"?持 安全技术支持单位的良好合…?系设计实
Jade Bird
典型局域£安全设计
DMZ
DDN/X.25/FR
网加密机防
PSTN
¢用?
外部mail
务
外部
WWW
务
外部DNS
户密
管理
防
安全
户
务
1
务
2
务
3
务
n
要 务
1
要 务 2
要 务 3
要 务 n
/
认证
务
访问
理漏洞 描/
检测安全方案拓扑
图
理 务
Jade Bird
£ a
身‰认证
理出,?
加
/
解密日
o
计安全
Jade Bird
′信a
身‰认证
加
/
解密 软件或
IC
email www FTP
…
理?口安全
Jade Bird
目 1
安全端
务 1
普′终端安全网
务 1
务 2目 2
身
‰
认证和
理重–信息普′信息目 1
目 2
务 2
传输安全
Jade Bird
B
£
网加密
o
文认证
A
£
网加密
o
文认证
认证 密文传输公网拨号安全
Jade Bird
人行
网安全
务
认证安全
端
认证 密文
PSTN
文
DMZ
DDN/X.25/FR
网加密机防
PSTN
¢用?
外部mail
务
外部
WWW
务
外部DNS
户密
管理
防
安全
户
务
1
务
2
务
3
务
n
要 务
1
要 务 2
要 务 3
要 务 n
/
认证
务
访问
理漏洞 描/
检测安全方案拓扑
图
