安全测评主要标准
“测” 是测试, 是一个对照标准落实的过程, 其 标准 是关键.
“评” 是评估, 是基于 “测” 阶段对信息系统各指标的度量和判断, 然后综合估计出整个系统的安全状态和安全程度的评价.
1 安全测评标准的发展
国际上公认的最早的信息安全测评标准是 1983 年美国国家计算机安全中心(NCSC) 公布的 可信计算机系统评估准则(Trusted Computer
System Evaluation Criteria, TCSEC).
美国建立 TCSEC 标准后, 欧洲也开始制定自己的信息技术安全评估标准. 1991 年, 欧洲共同体委员会以(英, 法, 德, 荷兰)四个国家为代表,
共同制定了欧洲统一的安全评估标准(Information Technology Security Evaluation Criteria, ITSEC).
加拿大也参考美国的 TCSEC 和 欧洲的 ITSEC 在 1993 年制定了加拿大可信计算机产品测评标准 CTCPEC.
1993 年 6 月, 美国和加拿大和欧洲共同体一起起草单一的通用准则(CC 标准), 并将其推到国际标准. 在 (TCSEC, ITSEC,
CTCPEC, FC) 等信息安全准则的基础上, 由 6 个国家(美, 加, 英, 法, 德, 荷)共同提出 信息技术安全评价通用准则(The
Common Criteria for Information Technology security Evaluation, CC) , 即 CC
标准.
我国在 1999 年发布强制性国家标准 GB 17859-1999 “计算机信息系统安全保护等级划分准则”, 此标准参考了美国的 TCSEC.
2 TCSEC 简单介绍
TCSEC 将产品的安全水平列为不同的评估等级, 规定了不同等级的具体 安全要求.
安全要求分为:
- 安全策略(Security Policy)
- 问责(Accountability)
- 安全保证(Assurance)
- 文档(Document)
安全等级: A, B, C, D (安全性由高到低)
安全类别: A1, B3, B2, B1, C2, C1, D1 (安全要求由高到低)
- A: 最高安全等级
- A1 类: 系统设计者必须按照一个正式的设计规范来分析系统.
- B: 具有强制性保护功能.
- B1 类: 满足两个要求, 一是系统对网络控制下的每个对象都进行灵敏度标记, 二是系统使用灵敏度标记作为所有强迫访问控制的基础.
- B2 类: 基于 B1, 且管理员必须使用一个明确的和文档化的安全策略模式作为系统的可信任运行基础体制.
- B3 类: 基于 B2, 还要求具有很强的监视委托管理访问能力和抗干扰能力, 要求必须产生一个可读的安全列表.
- C: 提供审计保护, 并为用户的行动和责任提供审计能力.
- C1 类: 使用 可信任运算基础体制(Trusted Computing Base, TCB) , 将用户和数据分开来达到安全的目的.
- C2 类: 基于 C1, 加强了可调的审计控制.
- D: 普通等级
- D1: 只为文件和用户提供安全保护, 比如本地操作系统, 一个完全没有保护的网络.
3 ITSEC 简单介绍
该标准将安全概念分为功能和评估两部分.
ITSEC 并不把保密措施直接与计算机功能相联系, 只是叙述技术安全的要求, 把保密作为安全增强功能.
TCSEC 的重点是 保密 , 而 ITSEC 除了保密, 还重视 完整性, 可用性.
功能: 功能准则从 F1 到 F10 分十级. F1 到 F5 对应 TCSEC 的 D 到 A.
- F6: 数据和程序的完整性
- F7: 系统的可用性
- F8: 数据通信的完整性
- F9: 数据通信的保密性
- F10: 机密性和完整性的网络安全
评估安全等级:
- E0 级: 表示不充分的安全保证.
- E1 级: 该级别必须有一个安全目标, 一个对产品或系统的体系结构设计的非形式化的描述, 还要有功能测试.
- E2 级: 基于 E1, 还要有对详细的设计有非形式化描述. 功能测试的证据需进行评估. 需有配置控制系统, 认可的分配过程.
- E3 级: 基于 E2, 需要评估(与安全机制相对应的)源代码和硬件设计图. 需要评估和测试了这些安全机制的证据.
- E4 级: 基于 E3, 需有支持安全目标的安全策略的基本形式模型. 需用 半 形式说明(安全加强功能, 体系结构, 详细的设计).
- E5 级: 基于 E4, 需在详细的设计和源代码或硬件设计图之间有紧密的对应关系.
- E6 级: 基于 E5, 需正式说明安全加强功能和体系结构设计, 使其与安全策略的基本形式模型一致.
4 CC 标准(ISO/IEC 15408) 简单介绍
CC 标准便于理解, 是目前最全面的评价标准, 是一种通用的评估方法.
CC 标准主要分为: 一般模型 , 安全功能要求 , 安全保证要求.
CC 标准基于 保护轮廓 和 安全目标 提出 安全需求 , 具有灵活性和合理性.
CC 标准基于 功能要求 和 保证要求 进行安全评估, 即评估分为 功能 和 保证 两部分.
CC 标准基于 风险管理 理论, 对( 安全模型 , 安全概念 , 安全功能 )进行全面和系统地描绘.
重要概念:
- 评估对象(Target of Evaluation, TOE) : 就是被评估的产品或系统, 包括(信息技术产品, 系统或子系统).
- 保护轮廓(Protection Profile, PP) : 指为了满足 安全目标 而提出的一整套相对应的功能和保证的需求, 即用户对某一类 评估对象 所提的一系列安全要求, 相当于产品的技术要求.
- 安全目标(Security Target, ST) : 相当于产品和系统的实现方案, 即对具体 评估对象 的具体 保护轮廓 的具体实现, 包含用于满足 安全要求 的特定 安全功能 和 保证措施.
评估保证级(Evaluation Assurance Level, EAL) 是 CC 用来划分 TOE 保证等级的预定义的一组评估尺度.
评估包 是指评估 保证要求 的一个基准集合.
一个 评估保证级 对应一个 评估包 , 评估包 由一系列 保证组件 构成.
预定义的 评估保证级 :
- 评估保证级 1 (EAL1) : 功能测试.
- 评估保证级 2 (EAL2) : 结构测试.
- 评估保证级 3 (EAL3) : 系统地测试和检查.
- 评估保证级 4 (EAL4) : 系统地(设计, 测试, 复查).
- 评估保证级 5 (EAL5) : 半形式化设计和测试.
- 评估保证级 6 (EAL6) : 半形式化验证的设计和测试.
- 评估保证级 7 (EAL7) : 形式化验证的设计和测试.
5 国内安全测评
对于非涉密系统, 使用 等级保护 相关标准.
对于涉密系统, 使用 分级保护 相关标准, 分级保护 把涉密信息系统的安全保护水平分为( 秘密级 , 机密级 ,
绝密级 )三个等级, 我国唯一的涉密信息系统安全保密测评机构是 国家保密测评中心 , 测评使用 BMB 系列标准.
下面的标准都是基于 等级保护 的相关标准.
相关标准(按发展顺序):
- 基础标准:
-
GB 17859-1999 “计算机信息系统安全保护等级划分准则”
-
GB/T 18336-2001 “信息技术安全性评估准则”
-
此标准等同于 CC 标准.
* GB/T 20274 “信息系统安全保障评估框架”
此标准是 GB/T 18336 在 信息系统 评估领域的扩展和补充.
提出了一个描述和评估 信息系统 安全保障内容和安全保障能力的通用框架.
- 定级:
- GB/T 22240-2008 “信息系统安全等级保护定级指南”
- 建设:
- GB/T 20269-2006 “信息系统安全管理要求”
- GB/T 20282-2006 “信息系统安全工程管理要求”
- GB/T 25071-2008 “信息系统通用安全技术要求”
- GB/T 22239-2008 “信息系统安全等级保护基本要求”
- GB/T 25070-2010 “信息系统等级保护安全设计技术要求”
- 测评:
- GB/T 28448 “信息系统安全等级保护测评要求”
- GB/T 28449 “信息系统安全等级保护测评过程指南”
5.1 什么是 “等级保护”
信息安全等级保护是指:
- 对(国家的秘密信息, 法人和其他组织和公民的专有信息, 公开信息)进行(存储, 传输, 处理)的信息系统进行分等级安全保护.
- 对信息系统中使用的信息安全产品按等级实现管理
- 对信息系统中发生的信息安全事件分等级进行响应和处置.
- 等级保护标准具有 强制性.
5.2 保护等级的划分
- 第一级(自主保护级): 信息系统受到破坏后, 会对(公民, 法人, 其他组织)的合法权益造成损害, 但 不损害(国家安全, 社会秩序, 公共权益).
- 第二级(指导保护级): 信息系统受到破坏后, 会对(公民, 法人, 其他组织)的合法权益造成 严重 损害, 或对(社会秩序, 公共利益)造成损害, 但 不损害国家安全.
- 第三级(监督保护级): 信息系统受到破坏后, 会对(公民, 法人, 其他组织)的合法权益造成 特别严重 损害, 或对(社会秩序, 公共利益)造成 严重 损害, 或对国家安全造成损害.
- 第四级(强制保护级): 信息系统受到破坏后, 会对(社会秩序, 公共利益)造成 特别严重 损害, 或对国家安全造成 严重 损害.
- 第五级(专控保护级): 信息系统受到破坏后, 会对(国家安全, 社会秩序, 公共利益, 经济建设)造成 特别严重 损害.
划分出处 : 信息安全等级保护管理办法.
5.3 不同等级的监管强度
国家对不同安全保护等级的信息和信息系统实行不同的监管政策:
- 第一级: 自主保护.
- 第二级: 自主保护, 并受信息安全监管职能部门指导.
- 第三级: 自主保护, 并受信息安全监管职能部门监督和检查.
- 第四级: 自主保护, 并受信息安全监管职能部门 强制 监督和检查.
- 第五级: 自主保护, 并受国家指定的专门部门和专门机构监督.
5.4 等级保护制度特点
- 紧迫性: 信息安全滞后于信息化发展, 重要信息系统的安全保障的需求迫切.
- 全面性: 内容涉及广泛, 需各单位各部门落实.
- 基础性: 等级保护是国家的一项基本制度和基本国策.
- 强制性: 要求公安机关等监管部门进行(监督, 检测, 指导)等级保护工作.
- 规范性: 国家出台了一系列政策和标准.
5.5 等级保护的工作环节
- 定级
- 备案
- 建设整改
- 等级测评
- 监督检查
出处 : 信息安全等级保护管理办法.
5.6 等级保护 2.0
为了适应(移动互联, 云计算, 大数据, 物联网, 工业控制)等新技术和新应用的情况下的安全等级保护工作的开展, 国家从 2013 年开始对 GB/T
22239-2008 标准进行修订工作, 并后续出台一系列基于 GB/T 22239-2008 的分册标准.
新标准:
- GB/T 22239.1 “信息安全技术网络安全等级保护基本要求第 1 部分: 安全通用要求”
- GB/T 22239.2 “信息安全技术网络安全等级保护基本要求第 2 部分: 云计算安全扩展要求”
- GB/T 22239.3 “信息安全技术网络安全等级保护基本要求第 3 部分: 移动互联安全扩展要求”
- GB/T 22239.4 “信息安全技术网络安全等级保护基本要求第 4 部分: 物联网安全扩展要求”
- GB/T 22239.5 “信息安全技术网络安全等级保护基本要求第 5 部分: 工业控制安全扩展要求”
- GB/T 22239.6 “信息安全技术网络安全等级保护基本要求第 6 部分: 大数据安全扩展要求”
- …
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!