时间:2022-12-02 16:30:01 | 来源:信息时代
时间:2022-12-02 16:30:01 来源:信息时代
信息系统安全评估标准 : 信息系统安全评估标准是为了降低进而逐步消除对信息系统的安全攻击,尤其是弥补原有信息系统在安全保护方面的缺陷而制定的一套可信标准。标准的制定使用户可以对信息系统内敏感信息安全操作的可信程度做出评估,同时也给IT行业的制造商提供一种可循的指导规则,使其产品能够更好地满足敏感应用的安全需求。
目前,国际上比较有影响同时也对我国国内现行的信息系统及数据管理安全标准制订起到参考作用的安全评估标准主要有:1985年美国国防部(DoD)正式推出的 《可信计算机系统评估标准(trusted computer system evaluation criteria,TCSEC)》,以及其后相继推出的相关解释和扩展,其中最典型的有TDI(可信数据库解释)和TNI(可信网络解释)。另一个是1999年6月由ISO(国际标准化组织)和IEC(国际电工委员会)共同制定的,用于评价IT产品和系统的国际标准ISO/IEC 15408。
我国信息系统的安全评估标准主要根据我国的国情并参考上述的国际标准进行制定,有: 1999年发布的计算机信息系统安全保护等级划分准则GB17859;信息技术——安全技术——信息技术安全性评估准则GB/T18336; 2005年发布的信息安全技术-数据库管理系统安全评估准则GB/T20009; 以及2006年发布的信息安全技术-数据库管理系统安全技术要求(GB/T20273)等。
1.信息系统安全保护等级的划分准则
TCSEC把计算机系统的安全可信性分为四类七个级别:
(1) D最低保护等级: 最小安全保护。
(2) C自主保护等级: C1自主安全保护: 自主存取控制,审计功能; C2可控存取保护: 比C1级更强的自主存取控制,审计功能。
(3) B强制保护等级: B1标记安全保护:强制存取控制,敏感度标记; B2结构化保护: 形式化模型,隐蔽通道约束; B3安全域保护: 安全内核,高抗渗透能力。
(4) A验证保护等级: A1可验证保护: 形式化安全验证,隐蔽通道分析。
我国的计算机信息系统安全保护等级划分准则GB17859,于1999年9月发布,2001年1月开始实施。该标准参考了美国TCSEC标准的等级划分,将计算机信息系统的安全保护能力划分为五个等级:
第一级: 用户自主保护级,其功能是: 自主访问控制、身份鉴别、数据完整性。
第二级: 系统审计保护级,其功能是: 包含第一级功能、客体重用、审计。
第三级: 安全标记保护级,其功能是: 包含第二级功能、强制访问控制、标记。
第四级: 结构化保护级,其功能是: 包含第三级功能、隐蔽信道分析、可信路径。
第五级: 访问验证保护级,其功能是: 包含第四级功能、可信恢复。
GB17859是针对当时我国计算机信息系统安全保护工作的现状和水平,充分借鉴国外评价计算机系统和安全产品的先进经验而制定的,是我国国内正式发布的第一个有关计算机信息系统安全等级保护划分的国家标准,为我国国内信息安全技术行业标准和军用标准的制订提供了一个基础,也为我国国内安全产品的研制、安全系统的建设和管理提供了技术指导。它的不足之处在于: 只是从安全功能需求方面阐述了计算机信息系统安全保护等级划分的准则,没有给出对所实现的安全功能的评估依据,因而只能作为制订其他标准的参考标准,对计算机信息系统及数据库管理系统的安全功能的实现缺乏现实的指导作用。另外,该标准也没有涉及到安全标准中的安全保证需求和评估要求。
2.信息技术安全性评估准则
ISO/IEC 15408 是由 ISO(国际标准化组织)IEC(国际电工委员会)于1999年6月制定的,用于评价IT产品和系统的国际标准。它引用了七国组织制定的“信息技术安全评估公共准则”(common criteria for IT security evaluation,CC)。因此ISO/IEC15408实际上等同于CC。该标准在2001年正式成为中国的国家标准: 《信息技术-安全技术-信息技术安全性评估准则》(GB/T18336)。
ISO/IEC 15408有一个通用的标题——信息技术—安全技术—IT安全评估准则。此标准的内容包含三个部分:
第一部分: 简介和一般模型。主要阐述信息技术安全评估准则的术语和概念。
第二部分: 安全功能需求。它将信息安全的主要功能需求归结为: 审计: 安全审计自动响应、安全审计数据产生、安全审计分析、安全审计评估、安全审计事件选择、安全审计事件存储: 通信: 源不可否认、接受不可否认: 密码支持: 密码密钥管理、密码操作; 用户数据保护: 访问控制策略、访问控制功能、数据鉴别、出口控制、信息流控制策略、信息流控制功能、入口控制、内部安全传输、剩余信息保护、反转、存储数据的完整性、内部用户数据保密传输保护、内部用户数据完整传输保护;鉴别和认证: 认证失败安全、用户属性定义、安全说明、用户认证、用户鉴别、用户主体装订; 安全管理: 安全功能管理、安全属性管理、安全功能数据管理、撤回、安全属性终止、安全管理角色; 隐私: 匿名、使用假名、可解脱性、可随意性。
安全功能保护: 底层抽象及其测试、失败安全、输出数据的可用性、输出数据的保密性、输出数据的完整性、内部数据传输安全、物理保护、可信恢复、重放检测、参考仲裁、领域分割、状态同步协议、时间戳、内部数据的一致性、内部数据复制的一致性、安全自检; 资源利用: 容错、服务优先权、资源分配: 访问: 可选属性范围限制、多并发限制、锁、访问标志、访问历史、session建立; 可信通道/信道: 内部可信通道、可信通道。
第三部分: 安全认证需求。它将信息安全的主要认证需求归结为配置管理; 分发和操作; 开发;指导文档; 生命周期支持; 测试; 漏洞评估。
我国的信息技术——安全技术——信息技术安全性评估准则 GB/T18336,是参照国际标准ISO/IEC15408制订的,GB/T18336的内容类同于ISO/IEC15408。在GB/T18336中将安全保证作为独立的一部分要求和评测。因此,在计算机信息系统安全保护功能的实现上,首先按照安全需求确定总体安全应达到的安全保护等级,再进一步明确该安全保护等级所对应的安全功能和安全保证的要求,即将GB17859与GB/T18336有机地结合起来,共同确定计算机信息系统安全性的设计需求和目标。
由于制订ISO/IEC15408的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则,因此参照ISO/IEC15408制订起来的GB/T18336标准有助于对我国国内安全产品的研制和评估提供指导,并对我国通过评估的安全产品参与国际市场竞争提供便利。