nginx google 微软 wordpress Ubuntu Firefox 编程 linux Python 云计算 Android java Windows php centos 程序员 apache mysql 开源 shell

J0ker的CISSP之路:系統架構和設計之安全標準

在《J0ker的CISSP之路》系列的上一篇文章《保護機制》裏,J0ker給大家介紹了CISSP CBK中提到的,同時也是現實產品中最常使用的幾個保護機制。在實踐中采購一個信息技術產品之前,我們一般都會先了解目標產品的安全程度。但如果由不同需求的人員來對產品進行評估,如果沒有統一的標準,結果也是千差萬別——這樣就產生對統一標準的需求,因此世界上的許多國家和組織推出了自己的產品安全評估標準,其中使用最廣泛的就是CISSP CBK中介紹到的TCSEC(橘皮書)、TNI(紅皮書)、ITSEC和CC這幾種。

     在了解這些安全評估標準之前,我們先要了解一下基本的概念:產品和系統。我們知道,所有的安全評估標準,所針對的對象都是產品或系統,那這裏所提到的產品和系統到底指的是什麽?在CISSP Official Guide裏面提到,“產品”,指的是某個特定的可以使用在其設計目標場合的應用程序,或在某些預定義的規則下操作的應用程序,操作系統作為一個整體來看,就是一個產品;而“系統”則是指完成某個特定目標或者在某個特定場合下操作的許多產品的集合。明白這兩個概念之間的差異,對理解安全評估標準很有幫助。

說完了最基本的概念,J0ker開始給大家介紹CISSP CBK上所提到的安全評估標準:

    TCSEC,也就是俗稱的橘皮書(Orange Book),它是第一個被廣泛接受的安全評估標準,由美國國防部於1985年提出,目的在於評估所部署系統的安全程度。TCSEC評估產品的出發點基於三個:

   ◆功能,目標系統所具有的安全功能,比如用戶驗證和審計;
   ◆有效性,安全功能的使用是否滿足所需要提供的安全級別;
   ◆認可度:授權機構對系統所提供的安全級別的認可程度。

   TCSEC把評估對象的安全程度分成了4個等級:A、B、C和D,安全程度從A到D逐級下降,確定為A的產品具有最高的安全性,而D等級的產品則完全沒有安全性的考慮。這四個等級的分級標準包括:

   ◆安全策略:目標系統的安全策略設置是強制或自主式訪問控制策略
   ◆物件標記:是否對系統內的物件根據敏感程度的不同進行標記
   ◆使用者識別:使用者必須經過識別和驗證
   ◆審計:安全相關的事件必須進行日誌記錄
   ◆保證性:指:1.操作保證性,比如系統架構、對執行域的保護、系統完整性;2.生命周期保證性,如設計方法、安全測試和設置管理等
   ◆文檔:用戶和管理員應該了解如何安裝和使用系統的安全功能,測試人員也需要文檔去進行測試
  ◆持續保護:保護機制本身不容易被幹擾或破壞
  根據這些分級標準,TCSEC的4個安全等級再細分為7個等級,這些等級的名字和詳細內容如下:

分级

安全功能

A1 
( Verified Security 

A1 级等于 B3 级,它提供最高的安全性,并设有系统安全管理员这一角色,不过A1级别系统的部署和维护成本也是非常高的,现实中只有极少数的系统要求达到这一安全级别。

B1 、 B2 B3( Mandatory Protection 

B1 级( Labeled protection )是安全等级 B 中最低一级,要求提供满足强制访问控制策略的模型,数据标签、已命名的访问者及访问目标控制、更详细的文档和测试、文档 / 源代码 / 目标代码需要经过分析,这个安全等级常用于 Compartment 环境

B2 级( Structured Protection )在 B1 的基础上,增加了更多系统设计要求。其中,要求实现规范的安全模型,隐蔽信道分析、更强的验证方式和可信机房管理。

B3 级( Security Domains )是安全等级 B 中最强的一级,它在 B2 的基础上增加的新元素是安全管理,包括安全事件的自动通知、安全管理员的支持等

C1 、 C2 ( Discretionary Protection 

C1 级( Discretionary Security Protection )主要用于多用户环境,只提供防止用户的数据被其他用户修改或破坏的基本保护功能

C2 级( Controlled Access Protection )在 C1 的基础上增加了用户登录和审计功能,并使用 DAC 访问控制,尽管 C2 的安全功能较弱,但 C2 级是较适合用于商用系统和程序的安全级别,常见的 MS Windows 和 Linux 都是属于 C2 级别

D
( Minimal Protection 

只提交给 TCSEC 评估,自身没有部署安全措施的系统都属于 D 级。

 

    

 因為TCSEC是1960年代開始設計,並於1985年成型的標準,由於當時安全觀點的局限性,TCSEC的評估目標只涉及了保密性,而沒有涉及完整性和可用性的評估。因為逐漸不適合現代信息環境和新標準的紛紛推出,美國於2000年廢除了TCSEC。

    TNI:TNI也稱為紅皮書(Red Book),由於TCSEC存在評估對象只對單一系統,並且沒有完整性評估的缺點,1987年提出了TNI安全標準。TNI用於評估電信和網絡系統,它基於TCSEC,同樣使用了TCSEC中的ABCD分級方法。

    TNI中的關鍵功能如下:
     ◆完整性:TNI使用了Biba安全模型來保證數據的完整性,並使用了信息源/目標認證、加密等方法來保證信息傳輸的完整性
     ◆標簽:在使用和TCSEC類似的保密性標簽之外,TNI還加入了完整性標簽,以進行強制訪問控制
     ◆其他安全服務,主要可分成以下幾個類型:通訊完整性,包括驗證、通訊域完整性、抗抵賴性;拒絕服務防禦:操作持續性、基於協議的保護和網絡管理;威脅保護:數據保密性和通訊保密性。

     ITSEC:在TCSEC標準推出不久,許多歐洲國家也在醞釀推出自己的安全評測標準,結果便是ITSEC的推出。ITSEC於1990年推出第一版草稿,並最終於1995年又歐盟會議批準。盡管ITSEC借用了TCSEC的許多設計思想,但因為TCSEC被認為過分死板,因此ITSEC的一個主要目標就是為安全評估提供一個更靈活的標準。ITSEC和TCSEC的主要區別在於,ITSEC不單針對了保密性,同時也把完整性和可用性作為評估的標準之一。

    ITSEC的制定認識到IT系統安全的實現通常是要將技術和非技術手段結合起來,技術手段用來抵禦威脅,而組織和管理手段則用來指導實現。因此ITSEC對目標的評估基於兩個因素:有效性和準確性,有效性表明評估目標能夠在多大程度上抵禦威脅,而準確性則表明系統的設計和操作在多大程度上保證安全性。

    為了涵蓋這兩個方面,ITSEC使用了“評估目標(TOE)“這一概念,它表述了目標產品的操作安全需求和面臨的威脅,而另外一個概念,”安全目標(Security Objectives)“,則表述了目標產品所要滿足的安全功能和評估級別。ITSEC的安全等級劃分與ITSEC不同,他分為功能性等級(F)和保證性等級(E),這兩個等級的具體內容如下:

功能性F:

功能性等级( 

内容

F1-F5

和 TCSEC 安全等级所提供的功能相同

F6

有高完整性要求的系统和应用程序(如数据库系统)

F7

有高可用性要求或特殊要求的系统

F8

有通信完整性要求的系统

F9

有高保密性要求的系统(如加密系统)

F10

网络要求高的保密性和完整性

 

确定性等级E:

确定性等级( E )

内容

E0

无要求

E1

有安全目标和 TOE 的描述,满足安全目标的测试

E2

要求具体设计的描述,测试证据需要加以评估,配置管理,分发控制

E3

需要进行源代码和结构评估,安全机制的测试证据需要加以评估

E4

安全策略模型、需要有安全增强功能、架构设计和详细设计

E5

具体设计和源代码必须相符,并需要使用源代码进行漏洞分析

E6

TOE 的强制标准、安全策略模型的实施

 

 E3級別被認為是最常用的安全產品評估標準,安全操作系統或數據庫系統通常會使用F2+E3這個結合來進行評估。下面是J0ker做的一個ITSEC和TCSEC的簡單對比表格:

ITSEC

TCSEC

E0

D

F1 + E1

C1

F2 + E2

C2

F3 + E3

B1

F4 + E4

B2

F5 + E5

B3

F5 + E6

A1

F6

系统提供高完整性

F7

系统提供高可用性

F8

系统提供通信时的数据完整性

F9

系统提供高保密性 ( 如加密设备 )

F10

网络要求高的保密性和完整性

 

   

  在1990年代的早期,TCSEC漸漸不能適應信息技術的發展,美國開始對其進行升級,但不久美國就終止了升級行動,轉而和加拿大及歐洲聯合制定一個國際統一的安全評估標準,這個聯合行動的最終結果便是CC的制定。CC,也即常說的通用準則(Common Criteria),在1999年通過了ISO的認可,稱為ISO15408。中國加入WTO之後,按照WTO的規則接受CC為信息系統產品安全評估標準,並制定了相應的國家標準GB18336。
     CC保留了ITSEC的靈活性,並結合了美國聯邦準則(fc)的保護輪廓(Protection Profile)及預定義安全級別。

     CC的關鍵概念有:
     ◆評估對象—— TOE(Target of Evaluation)
     ◆保護輪廓——PP (Protection Profile)
     ◆安全目標——ST( Security Target)
     ◆功能(Function)
     ◆保證(Assurance)
     ◆組件(Component)
     ◆包(Package)
     ◆評估保證級——EAL( Evaluation Assurance Level)

     其中保護輪廓是CC最重要的概念,它滿足了以下的要求:
     ◆表達一類產品或系統的用戶需求
     ◆組合安全功能要求和安全保證要求
     ◆技術與需求之間的內在完備性
     ◆提高安全保護的針對性、有效性
     ◆安全標準
     ◆有助於以後的兼容性
     ◆同TCSEC級類似

     CC是平時大家在工作和實踐中最有可能接觸到的標準,因此大家可以結合工作中的經驗來記憶和理解CC的內容。CISSP考試中對安全標準的考核主要是考概念,TCSEC安全等級的內容、ITSEC和CC裏面名詞的識記等。最後J0ker把TCSEC、ITSEC和CC做一個比較作為本文的結束:

CC 标准

美国 TCSEC

欧洲 ITSEC

--

D: 最小保护

E0

EAL1- 功能测试

--

--

EAL2- 结构测试

C1: 任意安全保护

F1+E1

EAL3- 方法测试和检验

C2: 控制存取保护

F2+E2

EAL4- 方法设计,测试和评审

B1: 标识安全保护

F3+E3

EAL5- 半正式设计和测试

B2: 结构保护

F4+E4

EAL6- 半正式验证的设计和测试

B3: 安全域

F5+E5

EAL7- 正式验证的设计和测试

A1: 验证设计

F6+E6

延伸阅读

    评论