1、安全架构和设计12 安全架构和设计(1)如果把信息安全管理比作指引组织进行安全项目的路标,那么安全架构和设计便是组织通往信息安全这个目标所用的交通工具的基本结构,它包括用于设计、实施、监控和保护操作系统、设备、网络、应用以及用以实施各种级别保密性、完整性和可用性控制的概念、原则、结构和标准。安全架构和设计 CBK 的内容大概可以分为四个部分:概念部分、保护机制、安全模型和系统测评,J0ker 打算用 5 到 6 个文章的篇幅,逐一介绍这些内容并总结 CISSP 考试的重点。本文先从第一部分: 概念部分开始。在进行一个信息系统的设计时,我们需要对目标系统的众多需求进行平衡,这些需求包括功能、灵活
2、性、性能、易用性、成本、业务需求和安全。这里强调一下,安全应该在系统设计中的开始阶段就作为一个关键因素进行考虑,使用了超过业务需求的安全性能,就会导致用户体验的恶化,但降低的安全性能也会系统的部署和运行维护成本将会大大增加。系统设计的过程就是平衡多种需求的过程,设计者通常需要根据组成构架的每个元素的重要性,来确定如何 Trade-off。在设计阶段考虑安全性,并不会对架构的设计增加太多的劳动量,它可以平滑的嵌入到架构设计的各个阶段,这样就可以保证安全性可以随着架构逐渐的设计完成而完成。安全架构从概念上说,便是从安全角度审视整个系统架构,它主要提供系统架构所需要的安全服务、机制、技术和功能,并提
3、供如何进行安全设施部署的建议。CISSP CBK 中在安全架构概念部分的安排里面,还要求 CISSP 对最基本的架构有了解,它所指出的就是Layered Approach,也就是分层结构。请看下图:图 1 在这个架构中,用户只与应用程序进行交流,而操作系统向上负责与应用程序,向下负责与硬件、网络层进行联络。为了更好的理解安全架构,CISSP 还需要进一步的了解分层结构包含的底层架构,列表如下:Platform Architecture 平台架构Network Environment 网络环境Enterprise Architecture 企业架构Security Model 安全模型Prote
4、ction Mechanisms 保护机制在深入讨论这些组成安全架构的元素之前,朋友们还要了解一点,安全架构的设计应该和组织的安全策略相吻合,否则就不能实现组织的安全目标。关于安全策略的详细内容大家可参与 CISSP Official Guide、All in One 或本系列文章的之前内容。平台架构主要指冯诺依曼的经典计算机模型,CISSP 需要了解操作系统软件和工具的概念和功能、组成计算机的 CPU、内存、存储设备的类型和输入输出设备的概念和功能、针对内存攻击的类型等。从 CISSP 考试的模拟题和 J0ker 自己参加过的考试来看,关于平台架构的题目一般只会简单的考察概念。网络环境方面主
5、要是对常见的网络威胁进行分类,在 Telecommunication and Network Security CBK 中有更深入的介绍。企业架构主要是指组织本身对人员和职能的划分,在 Official Guide 中定义了六个角色和与其相对应的职能,朋友们在复习时也需要记住。安全模型指的是一些常见的保证信息安全的保密性完整性可用性(CIA)三角的控制模型,这是本 CBK 的考察重点,J0ker 在后面的文章还将详细讲述。另外,在这一节中,有以下的一些概念在复习时也需要理解一下:CPU 的状态内存管理中的分页技术、虚拟内存技术以及相应的内存保护、攻击技术TOU/TOC Time of use/
6、Time of check多种类型的操作系统类型的概念及其安全性共享环境(Shared environment)下的攻击概念系统五种安全模式的概念Dedicated Security modeSystem high-security modeMulti-level security modeControlled modeCompartmentalized security mode 这一个 CBK 里的概念比较多也比较抽象,但因为这一章里面的内容对后面的 CBK 起了技术方面的总领作用,CISSP 考试也以考概念为主,建议朋友们在复习这个 CBK 时尽量静下心来看。13 安全架构和设计之安全模
7、型我们都知道,信息安全的目的就是要保证信息资产的三个元素:保密性,完整性和可用性(CIA) ,CIA 这个也就是这三个元素开始为人们所关注的时间的先后。现在系统设计中所使用的安全模型的出现的顺序也大概如此,先出现专门针对保密性的 BLP 模型,然后出现针对完整性的 Biba 模型、Clark-Wilson 模型等,在访问控制中所使用的访问控制列表/ 矩阵(Access Control List(ACL)/Access Control Matrix(ACM)) ,在 CISSP 的 CBK 内容中也把它划分到安全模型的范围内。顺便说明一下,因为可用性本身涉及到的因素很多,并没有一个被广泛接受的通
8、用安全模型,所以 CISSP 的 CBK 里只要求掌握针对保密性和完整性的安全模型。安全模型所依赖的理论基础状态机模型和信息流模型状态机(State Machine)模型是信息安全里用来描述无论何时状态都是安全的系统模型,而处于特定时刻系统的快照便是一种状态(State),如果这种状态满足安全策略的要求,我们就可以认为它是安全的。许多活动会导致系统状态的改变,称之为状态转换(States transaction) ,如果这些活动都是系统所允许而且不会威胁到系统安全的,则系统执行的便是安全的状态机模型(Secure State Machine) 。一个安全状态机模型总是从安全的状态启动,并且在所
9、有状态的转换中保证安全,并只允许行为的实施者以符合安全策略要求的形式去访问资源。信息流(Information flow)模型是状态机模型的具体化,在这个模型中,信息在的传递被抽象成流的形式,大家可以想象一下水流的样子。信息流模型由对象,状态转换和信息流策略所组成,其中的对象可以是用户,每个对象都会根据信息流策略分配一个安全等级和具体化的数值。信息流不单可以处理信息流的流向,同时它还可以处理信息流的种类在 BLP 模型中,信息流模型处理的便是保密性,而在 Biba 模型中信息流所处理的则变成完整性。由于信息流动的行为可以在同安全级别的主体和客体之间发生,也可以在不同一个安全级别的情况下发生,所
10、以信息流模型主要用于防止未授权的、不安全的或受限制的信息流动,信息只能够在安全策略允许的方向上流动。状态机模型和信息流模型的进一步具体化就是 CISSP CBK 中所包括的安全模型,CISSP CBK 中所提到的安全模型有:Bell-Lapadula(BLP 模型)、Biba 模型、Clark-Wilson 模型、访问控制矩阵模型、China Wall 模型、Lattice 模型。下面 J0ker 将向大家逐一介绍。前面说过,在信息安全目标的三个元素里面最先为人们所关注的是保密性,因此,在 1973年出现了第一个针对保密性的安全模型Bell-Lapadula 模型,这个模型由 David Be
11、ll 和Len Lapadula 为美国国防部的多级安全策略的具体化而开发。它基于强制访问控制系统(MAC) ,以信息的敏感度作为安全等级的划分标准,它的特点如下:基于状态机和信息流模型只针对保密性进行处理基于美国政府信息分级标准分为:Unclassified、Restricted、Confidential、Secret、Top Secret使用“Need to know” 原则开始于安全状态,在多个安全状态中进行转换(要求初始状态必须为安全,转换结果才在安全状态)上图 来自 CISSP Official Guide,是 BLP 模型的安全策略示意图, BLP 模型规定,信息只能按照安全等级从
12、下往上流动,或者根据策略的规定在同安全级别间流动。由于 BLP 模型存在不保护信息的完整性和可用性,不涉及访问控制等缺点,1977 年 Biba模型作为 BLP 模型的补充而提出,它针对的是信息的完整性保护,主要用于非军用领域。它和 BLP 模型相类似,也是基于状态机和信息流模型,也使用了和 BLP 模型相似的安全等级划分方式,只不过 Biba 模型的划分标准是信息对象的完整性。上图 来自于 CISSP Official Guide,Biba 模型规定,信息只能从高完整性的安全等级向低完整性的安全等级流动,也就是要防止 低完整性的信息“污染”高完整性的信息。我们知道,信息安全对完整性的要求有
13、3 个目标:防止数据不被未授权用户修改、保护数据不被授权用户越权修改、维护数据的内部和外部一致性。Biba 模型中只实现了完整性要求的第一点。于是,针对 Biba 模型的不足,1987 年,另外一个完整性模型Clark-Wilson 模型被提出,这个模型实现了成型的事务处理机制,目前常用于银行系统中以保证数据完整性。Clark-Wilson 模型的特点是:采用 Subject/Program/Object 三元素的组成方式,Subject 要访问 Object 只能通过 Program进行权限分离原则:将关键功能分为由 2 个或多个 Subject 完成,防止已授权用户进行未授权的修改要求具有
14、设计能力(Auditing)因为 Clark-Wilson 模型因为使用了 Program 这一元素进行 Subject 对 Object 的访问控制手段,因此 Clark-Wilson 模型也常称为 Restricted Interface 模型。访问控制矩阵模型不属于信息流模型,它主要用于 Subject 对 Object 的访问进行控制的领域:上图 来自 CISSP Official Guide,访问控制矩阵模型定义了每一个 Subject 对每一个 Object的访问权限,而单个 Subject 对所用 Object 的访问权限控制模型通常称为访问控制列表,也即 Access Cont
15、rol List。针对民用领域有对保密性控制灵活性的需求,同时安全要求也没有政府和军用领域的严格,Lattice 模型作为 BLP 模型的扩展被提出。 Lattice 模型同样是基于信息流和状态机模型,但Lattice 模型使用安全范围来代替 BLP 模型里面的安全等级概念,已实现更灵活的保密性控制需求。如上图,在 Lattice 模型中,一个 Subject 可以访问安全级别基于 Sensitive 和 Private之间的信息。这种权限设置常可以在企业中看到。China Wall 模型于 1989 年由 Brew 和 Nash 提出,这个模型和上述的安全模型不同,它主要用于可能存在利益冲突
16、的多边应用体系中。比如在某个领域有两个竞争对手同时选择了一个投资银行作为他们的服务机构,而这个银行出于对这两个客户的商业机密的保护就只能为其中一个客户提供服务。China Wall 模型的特点是:用户必须选择一个他可以自由访问的领域用户必须拒绝来自其他与其已选区域的内容冲突的其他内容的访问。以上的安全模型便是 CISSP CBK 中所包含的众多经典安全模型,在许多系统和应用也常常可以找到它们的使用,朋友们可以结合这些实际例子来加强理解。14 系统架构和设计之保护机制安全模型只是个概念,要把它应用到实践中,就需要使用到本文要介绍的保护机制,它是比安全模型更具体,更接近实际应用的概念,当前的许多操
17、作系统、安全软件产品的基础,都是建立在它之上的(再次提醒,CISSP 考试不涉及具体的产品和技术细节)。保护机制实现的目标是将系统内的所有实体(数据、用户、程序等)进行隔离,并通过一定的规则允许实体间进行访问。因此从所执行的动作,保护机制可以分成主动(Active)和被动(Passive)两类:主动保护机制是根据所定义的规则,主动阻止对指定实体的访问,访问控制、内存保护等技术都属于主动保护机制;而被动保护机制本身不会阻止对指定实体的访问,但会通过阻止对指定实体的使用来实现保护功能,我们使用加密技术来防止信息的泄漏、用 Checksum 来检测对信息的未授权修改,都属于被动保护机制。保护机制通常
18、部署到操作系统、硬件或固件上,CISSP CBK 中将它按照所部署的位置分成三类:平台(Platform)、大型机(Mainframe)、网络(Network),下面 J0ker 给逐一给大家介绍在这三个分类上使用的保护机制:平台保护和大型机保护机制:平台保护是主要用在通用操作系统上的保护机制,主要以软件实现为主;大型机保护则是主要应用于大型机上的保护机制,一般使用专用的安全硬件实现。但随着近年来软硬件技术的发展,这两个分类所使用的保护技术都在互相融合,由于硬件产品集成度提高和价格的大大下降,许多 PC 和工作站上已经集成了原来只在大型机上使用的安全硬件,而大型机为了降低制造成本,也将越来越多
19、的保护功能通过软件来实现,所以在 CISSPOfficialGuide 中不再将平台保护和大型机保护分开来列,而是将它们所用的保护技术列在一起。使用在这两个分类的保护技术可信计算基础(Trusted Computing Base,TCB):TCB 是一个计算机系统中所有提供保护功能的组件的总称,包括硬件、软件、固件、进程和一些进程间的通信等,它通过这些组件完成对安全策略的实现。TCP 功能的实现是根据其内置的保护机制或用户所输入的参数,来保证安全策略的实施或满足相应的安全标准(如 TCSEC 等)。不过要注意的是,TCB 是一个定义而不是一个特定的产品,目前的大部分操作系统都没有完全使用 TC
20、B 的全部组件,只使用了 TCB 用来执行功能的一部分,这个部分就是接下去要介绍到的引用监视器(Reference Monitor)。TCB 的设计需求如下:1、TCB 应该在一个不受外部干扰影响的自有域内执行2、TCB 所控制的资源应根据使用关系分为使用者(Subject)和目标(Object)两个子集3、TCB 应该把资源进行隔离以执行访问控制和审计功能TCB 提供的基本功能有:1、进程激活:在一个多重处理的环境内管理进程激活/挂起时提供寄存器、文件访问列表、进程状态信息和指针等敏感信息的管理功能2、执行域切换:确保在一个域内执行的进程不会影响到其他域内的其他进程3、内存保护:确保每个域所
21、使用的内存的安全4、输入输出操作:监视程序对设备直接或间接的输入输出操作引用监视器(Reference Monitor):RM 的功能是根据访问控制数据库的定义,对抽象系统中所有使用者对目标的访问进行控制。安全内核(Security Kernel):安全内核由 TCB 的硬件、软件和固件部分加上引用监视器所构成,我们可以这样来区分安全内核和引用监视器:引用监视器和安全内核的功能是相同的,但引用监视器是执行访问控制功能的抽象模型,而安全内核则是使用在各种系统中的具体实现。安全内核的结构如下图:为了保证安全功能的实现,安全内核必须满足以下三个要求:1、安全内核能管理所有的访问(全局性)2、安全内核
22、能保护自己不受有意或意外修改(隔离性)3、安全内核可以通过验证确定其有效性(可验证性)TCB、RM 和 Security Kernel 这三个概念挺容易混淆,CISSP 考试也经常考核与它们相关的内容,复习的时候应当注意一下。安全边界(Security Perimeter):用来隔离安全内核内外的资源,安全边界外的资源是不可信的。注意将它和近两年常说的“边界安全“相区别。分层(Layering):分层是指在系统设计时对功能和实现按照一定的原则进行分层,层次越低的权限越高,每一层的操作和使用的数据都尽量不对其它层次产生影响,这里会引入一个技术数据隐藏(Data Hiding)。此外,部署安全措施
23、的层次越低,则安全措施的效能和控制范围就越好,因此应该把安全措施部署在系统的最底层,下面是一个示例系统的分层:TOC/TOU 保护:系统设计时需要使用资源锁定防止权限低的进程/用户通过劫持或修改特权用户的操作的途径访问敏感信息。额外保护(Guard Protection):系统常常需要使用其他的方案来提供额外的保护,比如在数据库系统中,除了在数据库本身对用户的访问权限进行控制之外,通常还会通过提供一个带有查询检查功能的界面来限制用户提交不符合安全策略规定的查询。进程隔离(Process Isolation):系统对同时执行的进程进行隔离,防止进程之间的互相影响,这个功能在现代操作系统中是一个基
24、本功能。最低权限原则(Least Privilege):系统中所有的权限给予满足操作所需的最低权限即可,这个在其他许多领域也能看到,比如许多企业内网用户只有 User 权限,不能够在自己的机器上安装或修改软件,要新增软件必须由管理员干涉。加固(Hardening):加固是通过一定的操作和配置使系统的安全程度得到提高,它不属于系统设计阶段,而属于系统的部署和维护阶段。以上是在系统设计时常使用的安全措施,此外,根据安全措施在系统中部署的层次不同,还可以将其分为通用操作系统级保护、应用程序级保护、存储设备保护、网络级保护。其中:操作系统级别保护需要满足的需求有:用户识别和认证(User Identi
25、fication and Authentication)强制访问控制(Mandatory Access Control)自主访问控制(Discretionary Access Control)完全控制(Complete mediation)目标重用保护(Object reuse protection)审计 (Audit)审计日志的保护 (Protection of Audit logs)日志筛选 (Audit logs reduction)可信路径 (Trusted Path)入侵检测 (Intrusion Detection)应用程序级别上所提供的保护措施主要是针对用户的输入和程序的输出进行
26、保护、过滤,还使用上面说过的 Guard Protection 技术来提供额外的安全功能。存储设备保护关注的是保护存储在各种设备上的敏感信息的保密性和完整性,最近几年安全业界比较关注的企业移动设备安全和企业级加密就属于这个领域。网络级保护关注的是信息传输过程中的保密性和完整性,这个领域的内容在 CISSP 另外一个 CBK电信和网络安全还会详细介绍。15 系统架构和设计之安全标准在J0ker 的 CISSP 之路系列的上一篇文章保护机制里,J0ker 给大家介绍了 CISSP CBK 中提到的,同时也是现实产品中最常使用的几个保护机制。在实践中采购一个信息技术产品之前,我们一般都会先了解目标产
27、品的安全程度。但如果由不同需求的人员来对产品进行评估,如果没有统一的标准,结果也是千差万别这样就产生对统一标准的需求,因此世界上的许多国家和组织推出了自己的产品安全评估标准,其中使用最广泛的就是CISSP CBK 中介绍到的 TCSEC(橘皮书) 、TNI(红皮书) 、ITSEC 和 CC 这几种。在了解这些安全评估标准之前,我们先要了解一下基本的概念:产品和系统。我们知道,所有的安全评估标准,所针对的对象都是产品或系统,那这里所提到的产品和系统到底指的是什么?在 CISSP Official Guide 里面提到, “产品” ,指的是某个特定的可以使用在其设计目标场合的应用程序,或在某些预定
28、义的规则下操作的应用程序,操作系统作为一个整体来看,就是一个产品;而“系统”则是指完成某个特定目标或者在某个特定场合下操作的许多产品的集合。明白这两个概念之间的差异,对理解安全评估标准很有帮助。说完了最基本的概念,J0ker 开始给大家介绍 CISSP CBK 上所提到的安全评估标准:TCSEC,也就是俗称的橘皮书(Orange Book) ,它是第一个被广泛接受的安全评估标准,由美国国防部于 1985 年提出,目的在于评估所部署系统的安全程度。TCSEC 评估产品的出发点基于三个:功能,目标系统所具有的安全功能,比如用户验证和审计;有效性,安全功能的使用是否满足所需要提供的安全级别;认可度:
29、授权机构对系统所提供的安全级别的认可程度。TCSEC 把评估对象的安全程度分成了 4 个等级:A 、B、C 和 D,安全程度从 A 到 D 逐级下降,确定为 A 的产品具有最高的安全性,而 D 等级的产品则完全没有安全性的考虑。这四个等级的分级标准包括:安全策略:目标系统的安全策略设置是强制或自主式访问控制策略物件标记:是否对系统内的物件根据敏感程度的不同进行标记使用者识别:使用者必须经过识别和验证审计:安全相关的事件必须进行日志记录保证性:指:1.操作保证性,比如系统架构、对执行域的保护、系统完整性;2.生命周期保证性,如设计方法、安全测试和设置管理等文档:用户和管理员应该了解如何安装和使用
30、系统的安全功能,测试人员也需要文档去进行测试持续保护:保护机制本身不容易被干扰或破坏根据这些分级标准,TCSEC 的 4 个安全等级再细分为 7 个等级,这些等级的名字和详细内容如下:分级 安全功能 A1 ( Verified Security ) A1 级等于 B3 级,它提供最高的安全性,并设有系统安全管理员这一角色,不过 A1 级别系统的部署和维护成本也是非常高的,现实中只有极少数的系统要求达到这一安全级别。 B1 级( Labeled protection )是安全等级 B 中最低一级,要求提供满足强制访问控制策略的模型,数据标签、已命名的访问者及访问目标控制、更详细的文档和测试、文档
31、 / 源代码 / 目标代码需要经过分析,这个安全等级常用于 Compartment 环境 B2 级( Structured Protection )在 B1 的基础上,增加了更多系统设计要求。其中,要求实现规范的安全模型,隐蔽信道分析、更强的验证方式和可信机房管理。 B1 、 B2 、 B3( Mandatory Protection ) B3 级( Security Domains )是安全等级 B 中最强的一级,它在 B2 的基础上增加的新元素是安全管理,包括安全事件的自动通知、安全管理员的支持等 C1 级( Discretionary Security Protection )主要用于多
32、用户环境,只提供防止用户的数据被其他用户修改或破坏的基本保护功能 C1 、 C2 ( Discretionary Protection ) C2 级( Controlled Access Protection )在 C1 的基础上增加了用户登录和审计功能,并使用 DAC 访问控制,尽管 C2 的安全功能较弱,但 C2 级是较适合用于商用系统和程序的安全级别,常见的 MS Windows 和 Linux 都是属于 C2 级别 D( Minimal Protection ) 只提交给 TCSEC 评估,自身没有部署安全措施的系统都属于 D 级。因为 TCSEC 是 1960 年代开始设计,并于 1
33、985 年成型的标准,由于当时安全观点的局限性,TCSEC 的评估目标只涉及了保密性,而没有涉及完整性和可用性的评估。因为逐渐不适合现代信息环境和新标准的纷纷推出,美国于 2000 年废除了 TCSEC。TNI:TNI 也称为红皮书(Red Book) ,由于 TCSEC 存在评估对象只对单一系统,并且没有完整性评估的缺点,1987 年提出了 TNI 安全标准。 TNI 用于评估电信和网络系统,它基于 TCSEC,同样使用了 TCSEC 中的 ABCD 分级方法。TNI 中的关键功能如下:完整性:TNI 使用了 Biba 安全模型来保证数据的完整性,并使用了信息源/目标认证、加密等方法来保证信
34、息传输的完整性标签:在使用和 TCSEC 类似的保密性标签之外,TNI 还加入了完整性标签,以进行强制访问控制其他安全服务,主要可分成以下几个类型:通讯完整性,包括验证、通讯域完整性、抗抵赖性;拒绝服务防御:操作持续性、基于协议的保护和网络管理;威胁保护:数据保密性和通讯保密性。ITSEC:在 TCSEC 标准推出不久,许多欧洲国家也在酝酿推出自己的安全评测标准,结果便是 ITSEC 的推出。ITSEC 于 1990 年推出第一版草稿,并最终于 1995 年又欧盟会议批准。尽管 ITSEC 借用了 TCSEC 的许多设计思想,但因为 TCSEC 被认为过分死板,因此ITSEC 的一个主要目标就
35、是为安全评估提供一个更灵活的标准。ITSEC 和 TCSEC 的主要区别在于,ITSEC 不单针对了保密性,同时也把完整性和可用性作为评估的标准之一。ITSEC 的制定认识到 IT 系统安全的实现通常是要将技术和非技术手段结合起来,技术手段用来抵御威胁,而组织和管理手段则用来指导实现。因此 ITSEC 对目标的评估基于两个因素:有效性和准确性,有效性表明评估目标能够在多大程度上抵御威胁,而准确性则表明系统的设计和操作在多大程度上保证安全性。为了涵盖这两个方面,ITSEC 使用了“ 评估目标(TOE) “这一概念,它表述了目标产品的操作安全需求和面临的威胁,而另外一个概念, ”安全目标(Secu
36、rity Objectives) “,则表述了目标产品所要满足的安全功能和评估级别。ITSEC 的安全等级划分与 ITSEC 不同,他分为功能性等级(F)和保证性等级(E) ,这两个等级的具体内容如下:功能性 F:功能性等级( F ) 内容 F1-F5 和 TCSEC 安全等级所提供的功能相同 F6 有高完整性要求的系统和应用程序(如数据库系统) F7 有高可用性要求或特殊要求的系统 F8 有通信完整性要求的系统 F9 有高保密性要求的系统(如加密系统) F10 网络要求高的保密性和完整性 确定性等级 E:确定性等级( E ) 内容 E0 无要求 E1 有安全目标和 TOE 的描述,满足安全目
37、标的测试 E2 要求具体设计的描述,测试证据需要加以评估,配置管理,分发控制 E3 需要进行源代码和结构评估,安全机制的测试证据需要加以评估 E4 安全策略模型、需要有安全增强功能、架构设计和详细设计 E5 具体设计和源代码必须相符,并需要使用源代码进行漏洞分析 E6 TOE 的强制标准、安全策略模型的实施 E3 级别被认为是最常用的安全产品评估标准,安全操作系统或数据库系统通常会使用F2+E3 这个结合来进行评估。下面是 J0ker 做的一个 ITSEC 和 TCSEC 的简单对比表格:ITSEC TCSEC E0 D F1 + E1 C1 F2 + E2 C2 F3 + E3 B1 F4
38、+ E4 B2 F5 + E5 B3 F5 + E6 A1 F6 系统提供高完整性 F7 系统提供高可用性 F8 系统提供通信时的数据完整性 F9 系统提供高保密性 ( 如加密设备 ) F10 网络要求高的保密性和完整性 在 1990 年代的早期,TCSEC 渐渐不能适应信息技术的发展,美国开始对其进行升级,但不久美国就终止了升级行动,转而和加拿大及欧洲联合制定一个国际统一的安全评估标准,这个联合行动的最终结果便是 CC 的制定。CC,也即常说的通用准则(Common Criteria) ,在 1999 年通过了 ISO 的认可,称为 ISO15408。中国加入 WTO 之后,按照WTO 的规
39、则接受 CC 为信息系统产品安全评估标准,并制定了相应的国家标准 GB18336。CC 保留了 ITSEC 的灵活性,并结合了美国联邦准则(FC)的保护轮廓(Protection Profile)及预定义安全级别。CC 的关键概念有:评估对象 TOE(Target of Evaluation)保护轮廓PP (Protection Profile)安全目标ST( Security Target)功能(Function)保证(Assurance)组件(Component)包(Package)评估保证级EAL( Evaluation Assurance Level)其中保护轮廓是 CC 最重要的概念
40、,它满足了以下的要求:表达一类产品或系统的用户需求组合安全功能要求和安全保证要求技术与需求之间的内在完备性提高安全保护的针对性、有效性安全标准有助于以后的兼容性同 TCSEC 级类似CC 是平时大家在工作和实践中最有可能接触到的标准,因此大家可以结合工作中的经验来记忆和理解 CC 的内容。CISSP 考试中对安全标准的考核主要是考概念,TCSEC 安全等级的内容、ITSEC 和 CC 里面名词的识记等。最后 J0ker 把 TCSEC、ITSEC 和 CC 做一个比较作为本文的结束:CC 标准 美国 TCSEC 欧洲 ITSEC - D: 最小保护 E0 EAL1- 功能测试 - - EAL2- 结构测试 C1: 任意安全保护 F1+E1 EAL3- 方法测试和检验 C2: 控制存取保护 F2+E2 EAL4- 方法设计,测试和评审 B1: 标识安全保护 F3+E3 EAL5- 半正式设计和测试 B2: 结构保护 F4+E4 EAL6- 半正式验证的设计和测试 B3: 安全域 F5+E5 EAL7- 正式验证的设计和测试 A1: 验证设计 F6+E6
