J0ker的CISSP之路：系統架構和設計之安全标準

    在《J0ker的CISSP之路》系列的上一篇文章《保護機制》裡，J0ker給大家介紹了CISSP CBK中提到的，同時也是現實産品中最常使用的幾個保護機制。在實踐中采購一個資訊技術産品之前，我們一般都會先了解目标産品的安全程度。但如果由不同需求的人員來對産品進行評估，如果沒有統一的标準，結果也是千差萬别——這樣就産生對統一标準的需求，是以世界上的許多國家群組織推出了自己的産品安全評估标準，其中使用最廣泛的就是CISSP CBK中介紹到的TCSEC（橘皮書）、TNI（紅皮書）、ITSEC和CC這幾種。

     在了解這些安全評估标準之前，我們先要了解一下基本的概念：産品和系統。我們知道，所有的安全評估标準，所針對的對象都是産品或系統，那這裡所提到的産品和系統到底指的是什麼？在CISSP Official Guide裡面提到，“産品”，指的是某個特定的可以使用在其設計目标場合的應用程式，或在某些預定義的規則下操作的應用程式，作業系統作為一個整體來看，就是一個産品；而“系統”則是指完成某個特定目标或者在某個特定場合下操作的許多産品的集合。明白這兩個概念之間的差異，對了解安全評估标準很有幫助。

說完了最基本的概念，J0ker開始給大家介紹CISSP CBK上所提到的安全評估标準：

    TCSEC，也就是俗稱的橘皮書（Orange Book），它是第一個被廣泛接受的安全評估标準，由美國國防部于1985年提出，目的在于評估所部署系統的安全程度。TCSEC評估産品的出發點基于三個：

   ◆功能，目标系統所具有的安全功能，比如使用者驗證和審計；

   ◆有效性，安全功能的使用是否滿足所需要提供的安全級别；

   ◆認可度：授權機構對系統所提供的安全級别的認可程度。

   TCSEC把評估對象的安全程度分成了4個等級：A、B、C和D，安全程度從A到D逐級下降，确定為A的産品具有最高的安全性，而D等級的産品則完全沒有安全性的考慮。這四個等級的分級标準包括：

   ◆安全政策：目标系統的安全政策設定是強制或自主式通路控制政策

   ◆物件标記：是否對系統内的物件根據敏感程度的不同進行标記

   ◆使用者識别：使用者必須經過識别和驗證

   ◆審計：安全相關的事件必須進行日志記錄

   ◆保證性：指：1.操作保證性，比如系統架構、對執行域的保護、系統完整性；2.生命周期保證性，如設計方法、安全測試和設定管理等

   ◆文檔：使用者和管理者應該了解如何安裝和使用系統的安全功能，測試人員也需要文檔去進行測試

  ◆持續保護：保護機制本身不容易被幹擾或破壞

  根據這些分級标準，TCSEC的4個安全等級再細分為7個等級，這些等級的名字和詳細内容如下：

分級

安全功能

A1 

（ Verified Security ）

A1 級等于 B3 級，它提供最高的安全性，并設有系統安全管理者這一角色，不過A1級别系統的部署和維護成本也是非常高的，現實中隻有極少數的系統要求達到這一安全級别。

B1 、 B2 、B3（ Mandatory Protection ）

B1 級（ Labeled protection ）是安全等級 B 中最低一級，要求提供滿足強制通路控制政策的模型，資料标簽、已命名的通路者及通路目标控制、更詳細的文檔和測試、文檔 / 源代碼 / 目标代碼需要經過分析，這個安全等級常用于 Compartment 環境

B2 級（ Structured Protection ）在 B1 的基礎上，增加了更多系統設計要求。其中，要求實作規範的安全模型，隐蔽信道分析、更強的驗證方式和可信機房管理。

B3 級（ Security Domains ）是安全等級 B 中最強的一級，它在 B2 的基礎上增加的新元素是安全管理，包括安全事件的自動通知、安全管理者的支援等

C1 、 C2 （ Discretionary Protection ）

C1 級（ Discretionary Security Protection ）主要用于多使用者環境，隻提供防止使用者的資料被其他使用者修改或破壞的基本保護功能

C2 級（ Controlled Access Protection ）在 C1 的基礎上增加了使用者登入和審計功能，并使用 DAC 通路控制，盡管 C2 的安全功能較弱，但 C2 級是較适合用于商用系統和程式的安全級别，常見的 MS Windows 和 Linux 都是屬于 C2 級别

D

（ Minimal Protection ）

隻送出給 TCSEC 評估，自身沒有部署安全措施的系統都屬于 D 級。

     因為TCSEC是1960年代開始設計，并于1985年成型的标準，由于當時安全觀點的局限性，TCSEC的評估目标隻涉及了保密性，而沒有涉及完整性和可用性的評估。因為逐漸不适合現代資訊環境和新标準的紛紛推出，美國于2000年廢除了TCSEC。

    TNI：TNI也稱為紅皮書（Red Book），由于TCSEC存在評估對象隻對單一系統，并且沒有完整性評估的缺點，1987年提出了TNI安全标準。TNI用于評估電信和網絡系統，它基于TCSEC，同樣使用了TCSEC中的ABCD分級方法。

    TNI中的關鍵功能如下：

     ◆完整性：TNI使用了Biba安全模型來保證資料的完整性，并使用了資訊源/目标認證、加密等方法來保證資訊傳輸的完整性

     ◆标簽：在使用和TCSEC類似的保密性标簽之外，TNI還加入了完整性标簽，以進行強制通路控制

     ◆其他安全服務，主要可分成以下幾個類型：通訊完整性，包括驗證、通訊域完整性、抗抵賴性；拒絕服務防禦：操作持續性、基于協定的保護和網絡管理；威脅保護：資料保密性和通訊保密性。

     ITSEC：在TCSEC标準推出不久，許多歐洲國家也在醞釀推出自己的安全評測标準，結果便是ITSEC的推出。ITSEC于1990年推出第一版草稿，并最終于1995年又歐盟會議準許。盡管ITSEC借用了TCSEC的許多設計思想，但因為TCSEC被認為過分死闆，是以ITSEC的一個主要目标就是為安全評估提供一個更靈活的标準。ITSEC和TCSEC的主要差別在于，ITSEC不單針對了保密性，同時也把完整性和可用性作為評估的标準之一。

    ITSEC的制定認識到IT系統安全的實作通常是要将技術和非技術手段結合起來，技術手段用來抵禦威脅，而組織和管理手段則用來指導實作。是以ITSEC對目标的評估基于兩個因素：有效性和準确性，有效性表明評估目标能夠在多大程度上抵禦威脅，而準确性則表明系統的設計和操作在多大程度上保證安全性。

    為了涵蓋這兩個方面，ITSEC使用了“評估目标（TOE）“這一概念，它表述了目标産品的操作安全需求和面臨的威脅，而另外一個概念，”安全目标（Security Objectives）“，則表述了目标産品所要滿足的安全功能和評估級别。ITSEC的安全等級劃分與ITSEC不同，他分為功能性等級（F）和保證性等級（E），這兩個等級的具體内容如下：

功能性F：

功能性等級（ F ）

内容

F1-F5

和 TCSEC 安全等級所提供的功能相同

F6

有高完整性要求的系統和應用程式（如資料庫系統）

F7

有高可用性要求或特殊要求的系統

F8

有通信完整性要求的系統

F9

有高保密性要求的系統（如加密系統）

F10

網絡要求高的保密性和完整性

确定性等級E：

确定性等級（ E ）

E0

無要求

E1

有安全目标和 TOE 的描述，滿足安全目标的測試

E2

要求具體設計的描述，測試證據需要加以評估，配置管理，分發控制

E3

需要進行源代碼和結構評估，安全機制的測試證據需要加以評估

E4

安全政策模型、需要有安全增強功能、架構設計和詳細設計

E5

具體設計和源代碼必須相符，并需要使用源代碼進行漏洞分析

E6

TOE 的強制标準、安全政策模型的實施

     E3級别被認為是最常用的安全産品評估标準，安全作業系統或資料庫系統通常會使用F2+E3這個結合來進行評估。下面是J0ker做的一個ITSEC和TCSEC的簡單對比表格：

ITSEC

TCSEC

F1 + E1

C1

F2 + E2

C2

F3 + E3

B1

F4 + E4

B2

F5 + E5

B3

F5 + E6

A1

系統提供高完整性

系統提供高可用性

系統提供通信時的資料完整性

系統提供高保密性 ( 如加密裝置 )

     在1990年代的早期，TCSEC漸漸不能适應資訊技術的發展，美國開始對其進行更新，但不久美國就終止了更新行動，轉而和加拿大及歐洲聯合制定一個國際統一的安全評估标準，這個聯合行動的最終結果便是CC的制定。CC，也即常說的通用準則（Common Criteria），在1999年通過了ISO的認可，稱為ISO15408。中國加入WTO之後，按照WTO的規則接受CC為資訊系統産品安全評估标準，并制定了相應的國家标準GB18336。

     CC保留了ITSEC的靈活性，并結合了美國聯邦準則（FC）的保護輪廓（Protection Profile）及預定義安全級别。

     CC的關鍵概念有：

     ◆評估對象—— TOE(Target of Evaluation)

     ◆保護輪廓——PP (Protection Profile)

     ◆安全目标——ST( Security Target)

     ◆功能(Function)

     ◆保證(Assurance)

     ◆元件(Component)

     ◆包(Package)

     ◆評估保證級——EAL( Evaluation Assurance Level)

     其中保護輪廓是CC最重要的概念，它滿足了以下的要求：

     ◆表達一類産品或系統的使用者需求

     ◆組合安全功能要求和安全保證要求

     ◆技術與需求之間的内在完備性

     ◆提高安全保護的針對性、有效性

     ◆安全标準

     ◆有助于以後的相容性

     ◆同TCSEC級類似

     CC是平時大家在工作和實踐中最有可能接觸到的标準，是以大家可以結合工作中的經驗來記憶和了解CC的内容。CISSP考試中對安全标準的考核主要是考概念，TCSEC安全等級的内容、ITSEC和CC裡面名詞的識記等。最後J0ker把TCSEC、ITSEC和CC做一個比較作為本文的結束：

CC 标準

美國 TCSEC

歐洲 ITSEC

--

D: 最小保護

EAL1- 功能測試

EAL2- 結構測試

C1: 任意安全保護

F1+E1

EAL3- 方法測試和檢驗

C2: 控制存取保護

F2+E2

EAL4- 方法設計，測試和評審

B1: 辨別安全保護

F3+E3

EAL5- 半正式設計和測試

B2: 結構保護

F4+E4

EAL6- 半正式驗證的設計和測試

B3: 安全域

F5+E5

EAL7- 正式驗證的設計和測試

A1: 驗證設計

F6+E6

下集預告：《通路控制系統和方法1》，J0ker将帶大家進入下一個CBK，并介紹通路控制系統和方法的概念，敬請期待！

本文轉自J0ker51CTO部落格，原文連結：http://blog.51cto.com/J0ker/53051，如需轉載請自行聯系原作者