ISO国际标准化组织于1999年正式发布了ISO/IEC 15408。ISO/IEC JTC 1和Common Criteria Project Organisations共同制订了此标准,此标准等同于Common Criteria V2.1。
ISO/IEC 15408有一个通用的标题——信息技术—安全技术—IT安全评估准则。此标准包含三个部分:
第一部分 介绍和一般模型
第二部分 安全功能需求
第三部分 安全认证需求
A.1 ISO/IEC 15408第二部分简介
ISO/IEC15408第二部分 安全功能需求,主要归结信息安全的功能需求:
1. 审计——安全审计自动响应、安全审计数据产生、安全审计分析、安全审计评估、安全审计事件选择、安全审计事件存储
2. 通信——源不可否认、接受不可否认
3. 密码支持——密码密钥管理、密码操作
4. 用户数据保护——访问控制策略、访问控制功能、数据鉴别、出口控制、信息流控制策略、信息流控制功能、入口控制、内部安全传输、剩余信息保护、反转、存储数据的完整性、内部用户数据保密传输保护、内部用户数据完整传输保护
5. 鉴别和认证——认证失败安全、用户属性定义、安全说明、用户认证、用户鉴别、用户主体装订
6. 安全管理——安全功能的管理、安全属性管理、安全功能数据管理、撤回、安全属性终止、安全管理角色
7. 隐私——匿名、使用假名、可解脱性、可随意性
8. 安全功能保护——底层抽象及其测试、失败安全、输出数据的可用性、输出数据的保密性、输出数据的完整性、内部数据传输安全、物理保护、可信恢复、重放检测、参考仲裁、领域分割、状态同步协议、时间戳、内部数据的一致性、内部数据复制的一致性、安全自检。
9. 资源利用——容错、服务优先权、资源分配
10. 访问——可选属性范围限制、多并发限制、锁、访问标志、访问历史、session建立
11. 可信通道/信道——内部可信通道、可信通道
A.2 ISO/IEC 15408第三部分简介
ISO/IEC15408第三部分 安全认证需求,主要归结信息安全的认证需求:
1. 配置管理
2. 分发和操作
3. 开发
4. 指导文档
5. 生命周期支持
6. 测试
7. 漏洞评估
附件 B 国际安全标准BS7799简介
安全风险评估程序执行的是英国标准(BS7799)〈信息安全管理实施规范〉。BS7799标准规定了一系列信息安全管理规范。按照BS7799规定,分析的问题很恰当分为以下10个部分:
● 信息安全政策
● 安全组织
● 资产分类及控制
● 人员安全
● 物理及环境安全
● 计算机及系统管理
● 系统访问控制
● 系统开发与维护
● 业务连续性规划
● 符合性
附件 C P2DR动态安全模型简介
P2DR模型是一个超前的安全模型,它是由ISS CHINA在对国际上安全方面可靠的权威著作进行多年研究的基础上独自发展出来的。它的指导思想比传统安全方案(传统安全在本质上是静态的,如防火墙和加固验证等)有突破性提高。
传统的信息安全技术都集中在系统自身的加固和防护上。比如,采用B级操作系统和数据库,在网络出口配置防火墙,在信息传输和存储是采用加密技术,使用集中的身份认证产品等等。单纯的防护技术容易导致系统的盲目建设,这种盲目包括两方面:一方面是不了解安全威胁的严峻,不了解当前的安全现状;另一方面是安全投入过大而又没有真正抓住安全的关键环节,导致不必要的浪费。
P2DR由Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)四个部分组成,它可以描述和解释任何信息安全问题。P2DR安全模型的特点就是动态性和基于时间的特性,可以说对信息安全的“相对性”给予了更好地描述:虽然没有100%的安全,但是模型为进一步解决信息安全技术问题提供了有益的方法和方向。
ISSCHINA利用P2DR模型作为帮助各机构确定他们已有的信息技术风险和发展适当有效的信息安全控制与管理措施的基础。P2DR模型阐述了一个提供7&24不间断安全管理和保障的产品和服务的全部综合套件以及全面安全解决方案。
C.1 传统安全技术模型的不足
传统的计算机安全模型中,最典型也最成功的代表模型就是美国国防部NCSC(国家计算机安全中心)于1985年推出的TCSEC(可信计算机安全评估准则)。之后,美国国防部又相继推出了很多相关的解释和扩展,其中最典型的有TDI(可信数据库解释)和TNI(可信网络解释)。这一系列文档称为“彩虹系列”。 TCSEC可以称为在信息安全的发展史上的一个里程碑,这个准则的发布对操作系统、数据库等方面的安全发展起到了很大的推动作用。
TCSEC对信息系统安全进行评估的安全分级,分为D/C1 C2/B1 B2 B3/A等级别。类似的评估方法已经得到业界的认可。欧洲也推出了类似的评估标准ITSEC,美国、加拿大和欧洲还共同制订了Common Criteria(简称CC)。
但是,以上述安全评估准则为代表的安全模型,是针对单机系统环境而制订的,没有针对目前广泛存在和应用的网络环境安全给予指导。虽然有相关的网络解释,但是目前还没有依照此模型的成功安全网络实例。
在传统的安全模型中,对动态的安全威胁、系统脆弱性没有足够的描述和应对措施。传统安全模型是“静态安全模型”。 但是随着网络的深入发展,这个标准已经不能完全适应当前的技术需要。这个主要基于Host-Terminal环境的静态安全模型和标准无法完全反应分布式、动态变化、发展迅速的互联网安全问题。
针对日益严重的网络安全问题和越来越突出的安全需求,“可适应网络安全模型”“动态安全模型”应运而生。
P2DR模型是一个动态模型,其中引进了时间的概念,而且对如何实现系统的安全,如何评估安全的状态,给出了可操作性的描述。
P2DR模型是对传统安全模型的重大改进,ISS的产品针对的就是模型中检测和响应两个环节。
C.2 P2DR的数学模型
P2DR模型有比较严格的理论体系,有数学模型作为其论述基础。在该模型中有两个典型的数学公式:
公式1: Pt >; Dt + Rt
Pt代表系统为了保护安全目标设置各种保护后的防护时间;或者理解为在这样的保护方式下,黑客(入侵者)攻击安全目标所花费的时间。
Dt 代表从入侵者开始发动入侵开始,到系统检测到入侵行为所花费的时间。
Rt 代表从发现入侵行为开始,系统能够做出适当的响应,将系统调整到正常状态的所需时间。
那么,针对于需要保护的安全目标,如果上述数学公式满足——防护时间大于检测时间加上响应时间,也就是在入侵者危害安全目标之前就能够被检测到并及时处理,目标就是安全的。
公式2: Et = Dt + Rt, 假设 Pt=0
公式的前提是假设防护时间为0。这种假设对Web Server这样的系统可以成立。
Dt 代表从入侵者破坏了安全目标系统开始,系统能够检测到破坏行为所花费的时间。
Rt 代表从发现遭到破坏开始,系统能够做出足够的响应,将系统调整到正常状态的时间。比如,对Web Server被破坏的页面进行恢复。
那么,Dt与Rt的和就是该安全目标系统的暴露时间Et。针对于需要保护的安全目标,如果Et越小系统就越安全。
通过上面两个公式的描述,实际上给出了安全一个全新的定义:“及时的检测和响应就是安全”,“及时的检测和恢复就是安全”。
而且,这样的定义为安全问题的解决给出了明确的方向:提高系统的防护时间Pt,降低检测时间Dt和响应时间Rt。
C.3 新的安全标准
随着网络的深入发展,针对日益严重的动态的安全威胁,一些适用于动态网络安全的新的安全标准应运而生,比较有代表性的是BS7799和ISO15408。
BS7799标准主要针对信息安全管理,按照BS7799规定,分析的问题分为以下10个部分:信息安全政策、安全组织、资产分类与控制、职工安全、物理及环境安全、通讯及操作管理、使用权控制、系统开发与维护、业务连续性管理、符合性。
ISO15408标准主要针对安全产品的开发和评估。标准中共分为三个部分,第一部分主要是简要介绍及通用模型,第二部分主要是安全功能需求,第三部分主要是安全保证需求。
在这些标准中,描述了动态的安全威胁以及检测到安全侵害事件后的相应措施等这样一些动态网络安全的要素,所以适用于动态网络安全,这样动态网络安全无论是理论、模型还是标准都已成型。
C.4 两态论
ISS CHINA根据对P2DR模型的研究和宣传,进一步深入地对其进行发展,提出了信息安全的“两态论”,也就是安全只有两个状态“正常状态”和“异常状态”。说得通俗一些就是,搞安全工作只有两个结果:“出事”和“不出事”,就象我们人的健康状况只有两个生病和没病。ISS CHINA认为,信息安全有一个不同于其他信息技术的突出一点就是信息安全的“潜在性”。在正常状态和不出事的时候,安全问题最容易被忽视。
“两态论”对信息安全抽象为两个状态和5个过程,通过状态机转换理论对安全问题的动态性给出进一步的证明。同时两态论还提出紧急响应在安全系统中占有最重要得地位,是解决安全潜在性最有效的办法。
07-05
2万+
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
