在瞭解這些安全評估標準之前,我們先要了解一下基本的概念:產品和系統。我們知道,所有的安全評估標準,所針對的對象都是產品或系統,那這裏所提到的產品和系統到底指的是什麼?在CISSP Official Guide裏面提到,“產品”,指的是某個特定的可以使用在其設計目標場合的應用程序,或在某些預定義的規則下操作的應用程序,操作系統作爲一個整體來看,就是一個產品;而“系統”則是指完成某個特定目標或者在某個特定場合下操作的許多產品的集合。明白這兩個概念之間的差異,對理解安全評估標準很有幫助。
說完了最基本的概念,J0ker開始給大家介紹CISSP CBK上所提到的安全評估標準:
TCSEC,也就是俗稱的橘皮書(Orange Book),它是第一個被廣泛接受的安全評估標準,由美國國防部於1985年提出,目的在於評估所部署系統的安全程度。TCSEC評估產品的出發點基於三個:
TCSEC,也就是俗稱的橘皮書(Orange Book),它是第一個被廣泛接受的安全評估標準,由美國國防部於1985年提出,目的在於評估所部署系統的安全程度。TCSEC評估產品的出發點基於三個:
◆功能,目標系統所具有的安全功能,比如用戶驗證和審計;
◆有效性,安全功能的使用是否滿足所需要提供的安全級別;
◆認可度:授權機構對系統所提供的安全級別的認可程度。
◆有效性,安全功能的使用是否滿足所需要提供的安全級別;
◆認可度:授權機構對系統所提供的安全級別的認可程度。
TCSEC把評估對象的安全程度分成了4個等級:A、B、C和D,安全程度從A到D逐級下降,確定爲A的產品具有最高的安全性,而D等級的產品則完全沒有安全性的考慮。這四個等級的分級標準包括:
◆安全策略:目標系統的安全策略設置是強制或自主式訪問控制策略
◆物件標記:是否對系統內的物件根據敏感程度的不同進行標記
◆使用者識別:使用者必須經過識別和驗證
◆審計:安全相關的事件必須進行日誌記錄
◆保證性:指:1.操作保證性,比如系統架構、對執行域的保護、系統完整性;2.生命週期保證性,如設計方法、安全測試和設置管理等
◆文檔:用戶和管理員應該瞭解如何安裝和使用系統的安全功能,測試人員也需要文檔去進行測試
◆持續保護:保護機制本身不容易被幹擾或破壞
根據這些分級標準,TCSEC的4個安全等級再細分爲7個等級,這些等級的名字和詳細內容如下:
◆物件標記:是否對系統內的物件根據敏感程度的不同進行標記
◆使用者識別:使用者必須經過識別和驗證
◆審計:安全相關的事件必須進行日誌記錄
◆保證性:指:1.操作保證性,比如系統架構、對執行域的保護、系統完整性;2.生命週期保證性,如設計方法、安全測試和設置管理等
◆文檔:用戶和管理員應該瞭解如何安裝和使用系統的安全功能,測試人員也需要文檔去進行測試
◆持續保護:保護機制本身不容易被幹擾或破壞
根據這些分級標準,TCSEC的4個安全等級再細分爲7個等級,這些等級的名字和詳細內容如下:
分級 |
安全功能 |
A1 ( Verified Security ) |
A1 級等於 B3 級,它提供最高的安全性,並設有系統安全管理員這一角色,不過A1級別系統的部署和維護成本也是非常高的,現實中只有極少數的系統要求達到這一安全級別。 |
B1 、 B2 、 B3( Mandatory Protection ) |
B1 級( Labeled protection )是安全等級 B 中最低一級,要求提供滿足強制訪問控制策略的模型,數據標籤、已命名的訪問者及訪問目標控制、更詳細的文檔和測試、文檔 / 源代碼 / 目標代碼需要經過分析,這個安全等級常用於 Compartment 環境 |
B2 級( Structured Protection )在 B1 的基礎上,增加了更多系統設計要求。其中,要求實現規範的安全模型,隱蔽信道分析、更強的驗證方式和可信機房管理。 | |
B3 級( Security Domains )是安全等級 B 中最強的一級,它在 B2 的基礎上增加的新元素是安全管理,包括安全事件的自動通知、安全管理員的支持等 | |
C1 、 C2 ( Discretionary Protection ) |
C1 級( Discretionary Security Protection )主要用於多用戶環境,只提供防止用戶的數據被其他用戶修改或破壞的基本保護功能 |
C2 級( Controlled Access Protection )在 C1 的基礎上增加了用戶登錄和審計功能,並使用 DAC 訪問控制,儘管 C2 的安全功能較弱,但 C2 級是較適合用於商用系統和程序的安全級別,常見的 MS Windows 和 Linux 都是屬於 C2 級別 | |
D ( Minimal Protection ) |
只提交給 TCSEC 評估,自身沒有部署安全措施的系統都屬於 D 級。 |
因爲TCSEC是1960年代開始設計,並於1985年成型的標準,由於當時安全觀點的侷限性,TCSEC的評估目標只涉及了保密性,而沒有涉及完整性和可用性的評估。因爲逐漸不適合現代信息環境和新標準的紛紛推出,美國於2000年廢除了TCSEC。
TNI:TNI也稱爲紅皮書(Red Book),由於TCSEC存在評估對象只對單一系統,並且沒有完整性評估的缺點,1987年提出了TNI安全標準。TNI用於評估電信和網絡系統,它基於TCSEC,同樣使用了TCSEC中的ABCD分級方法。
TNI中的關鍵功能如下:
◆完整性:TNI使用了Biba安全模型來保證數據的完整性,並使用了信息源/目標認證、加密等方法來保證信息傳輸的完整性
◆標籤:在使用和TCSEC類似的保密性標籤之外,TNI還加入了完整性標籤,以進行強制訪問控制
◆其他安全服務,主要可分成以下幾個類型:通訊完整性,包括驗證、通訊域完整性、抗抵賴性;拒絕服務防禦:操作持續性、基於協議的保護和網絡管理;威脅保護:數據保密性和通訊保密性。
◆完整性:TNI使用了Biba安全模型來保證數據的完整性,並使用了信息源/目標認證、加密等方法來保證信息傳輸的完整性
◆標籤:在使用和TCSEC類似的保密性標籤之外,TNI還加入了完整性標籤,以進行強制訪問控制
◆其他安全服務,主要可分成以下幾個類型:通訊完整性,包括驗證、通訊域完整性、抗抵賴性;拒絕服務防禦:操作持續性、基於協議的保護和網絡管理;威脅保護:數據保密性和通訊保密性。
ITSEC:在TCSEC標準推出不久,許多歐洲國家也在醞釀推出自己的安全評測標準,結果便是ITSEC的推出。ITSEC於1990年推出第一版草稿,並最終於1995年又歐盟會議批准。儘管ITSEC借用了TCSEC的許多設計思想,但因爲TCSEC被認爲過分死板,因此ITSEC的一個主要目標就是爲安全評估提供一個更靈活的標準。ITSEC和TCSEC的主要區別在於,ITSEC不單針對了保密性,同時也把完整性和可用性作爲評估的標準之一。
ITSEC的制定認識到IT系統安全的實現通常是要將技術和非技術手段結合起來,技術手段用來抵禦威脅,而組織和管理手段則用來指導實現。因此ITSEC對目標的評估基於兩個因素:有效性和準確性,有效性表明評估目標能夠在多大程度上抵禦威脅,而準確性則表明系統的設計和操作在多大程度上保證安全性。
爲了涵蓋這兩個方面,ITSEC使用了“評估目標(TOE)“這一概念,它表述了目標產品的操作安全需求和麪臨的威脅,而另外一個概念,”安全目標(Security Objectives)“,則表述了目標產品所要滿足的安全功能和評估級別。ITSEC的安全等級劃分與ITSEC不同,他分爲功能性等級(F)和保證性等級(E),這兩個等級的具體內容如下:
功能性F:
功能性F:
功能性等級( F ) |
內容 |
F1-F5 |
和 TCSEC 安全等級所提供的功能相同 |
F6 |
有高完整性要求的系統和應用程序(如數據庫系統) |
F7 |
有高可用性要求或特殊要求的系統 |
F8 |
有通信完整性要求的系統 |
F9 |
有高保密性要求的系統(如加密系統) |
F10 |
網絡要求高的保密性和完整性 |
確定性等級E:
確定性等級( E ) |
內容 |
E0 |
無要求 |
E1 |
有安全目標和 TOE 的描述,滿足安全目標的測試 |
E2 |
要求具體設計的描述,測試證據需要加以評估,配置管理,分發控制 |
E3 |
需要進行源代碼和結構評估,安全機制的測試證據需要加以評估 |
E4 |
安全策略模型、需要有安全增強功能、架構設計和詳細設計 |
E5 |
具體設計和源代碼必須相符,並需要使用源代碼進行漏洞分析 |
E6 |
TOE 的強制標準、安全策略模型的實施 |
E3級別被認爲是最常用的安全產品評估標準,安全操作系統或數據庫系統通常會使用F2+E3這個結合來進行評估。下面是J0ker做的一個ITSEC和TCSEC的簡單對比表格:
ITSEC |
TCSEC |
E0 |
D |
F1 + E1 |
C1 |
F2 + E2 |
C2 |
F3 + E3 |
B1 |
F4 + E4 |
B2 |
F5 + E5 |
B3 |
F5 + E6 |
A1 |
F6 |
系統提供高完整性 |
F7 |
系統提供高可用性 |
F8 |
系統提供通信時的數據完整性 |
F9 |
系統提供高保密性 ( 如加密設備 ) |
F10 |
網絡要求高的保密性和完整性 |
在1990年代的早期,TCSEC漸漸不能適應信息技術的發展,美國開始對其進行升級,但不久美國就終止了升級行動,轉而和加拿大及歐洲聯合制定一個國際統一的安全評估標準,這個聯合行動的最終結果便是CC的制定。CC,也即常說的通用準則(Common Criteria),在1999年通過了ISO的認可,稱爲ISO15408。中國加入WTO之後,按照WTO的規則接受CC爲信息系統產品安全評估標準,並制定了相應的國家標準GB18336。
CC保留了ITSEC的靈活性,並結合了美國聯邦準則(FC)的保護輪廓(Protection Profile)及預定義安全級別。CC的關鍵概念有:
◆評估對象—— TOE(Target of Evaluation)
◆保護輪廓——PP (Protection Profile)
◆安全目標——ST( Security Target)
◆功能(Function)
◆保證(Assurance)
◆組件(Component)
◆包(Package)
◆評估保證級——EAL( Evaluation Assurance Level)
CC保留了ITSEC的靈活性,並結合了美國聯邦準則(FC)的保護輪廓(Protection Profile)及預定義安全級別。CC的關鍵概念有:
◆評估對象—— TOE(Target of Evaluation)
◆保護輪廓——PP (Protection Profile)
◆安全目標——ST( Security Target)
◆功能(Function)
◆保證(Assurance)
◆組件(Component)
◆包(Package)
◆評估保證級——EAL( Evaluation Assurance Level)
其中保護輪廓是CC最重要的概念,它滿足了以下的要求:
◆表達一類產品或系統的用戶需求
◆組合安全功能要求和安全保證要求
◆技術與需求之間的內在完備性
◆提高安全保護的針對性、有效性
◆安全標準
◆有助於以後的兼容性
◆同TCSEC級類似
◆表達一類產品或系統的用戶需求
◆組合安全功能要求和安全保證要求
◆技術與需求之間的內在完備性
◆提高安全保護的針對性、有效性
◆安全標準
◆有助於以後的兼容性
◆同TCSEC級類似
CC是平時大家在工作和實踐中最有可能接觸到的標準,因此大家可以結合工作中的經驗來記憶和理解CC的內容。CISSP考試中對安全標準的考覈主要是考概念,TCSEC安全等級的內容、ITSEC和CC裏面名詞的識記等。最後J0ker把TCSEC、ITSEC和CC做一個比較作爲本文的結束:
CC 標準 |
美國 TCSEC |
歐洲 ITSEC |
-- |
D: 最小保護 |
E0 |
EAL1- 功能測試 |
-- |
-- |
EAL2- 結構測試 |
C1: 任意安全保護 |
F1+E1 |
EAL3- 方法測試和檢驗 |
C2: 控制存取保護 |
F2+E2 |
EAL4- 方法設計,測試和評審 |
B1: 標識安全保護 |
F3+E3 |
EAL5- 半正式設計和測試 |
B2: 結構保護 |
F4+E4 |
EAL6- 半正式驗證的設計和測試 |
B3: 安全域 |
F5+E5 |
EAL7- 正式驗證的設計和測試 |
A1: 驗證設計 |
F6+E6 |