《信息技术 安全保障框架 第二部分 保障方法》.doc

该【《信息技术 安全保障框架 第二部分 保障方法》 】是由【书籍1243595614】上传分享，文档一共【44】页，该文档可以免费在线阅读，需要了解更多关于【《信息技术 安全保障框架 第二部分 保障方法》 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。GB/—XXXX/ISO/IECTR15443-2:200542ICS?—XXXX/ISO/IECTR15443-2:2005信息技术安全技术信息技术安全保障框架第2部分保障方法Informationtechnology-Securitytechnology-AframeworkforITsecurityassurance-Part2:Assurancemethods?????(ISO/IECTR15443-2:2005,IDT)(本稿完成日期:2012-02-09)XXXX-XX-XX发布XXXX-XX-XX实施GB/—XXXX/ISO/IECTR15443-2:20051信息技术安全技术信息安全保障框架第二部分保障方法范围意图本指导性技术文件的第2部分收集了一些保障方法,其中还包括一些对整体ICT安全具有作用但不是专对ICT安全的保障方法。第2部分概括了这些方法的目标,描述了它们的特征以及引用文件和标准等。原则上,ICT安全保障的最终结果是对运行中的产品、系统或服务的保障。因此,最终的保障是应用于产品、系统或服务的生存阶段中每一种保障方法所得到的保障增量之和。大量可用的保障方法均提供了应用于一个给定领域的必要指导,以便获得公认的保障。本部分使用本指导性技术文件第一部分中的基本保障概念和术语,以一种概览的方式,对本部分中所收集的每一项保障方法进行分类。通过使用这一分类,本部分指导ICT专业人员选择保障方法以及保障方法的可能组合,以适合于给定的ICT安全产品、系统或服务及其特定的环境。适用领域本部分以一种概括和概览的方式给出有关保障方法的指导。为了从本部分所收集的方法中获得一个量少的可用方法集合,应采用排除其中不适宜的方法这一方式从中选择之。这一概括是描述性的,为支持分析理解原标准提供了基础。本指导性技术文件预期读者包括:获取方(从供应方那里获取或取得系统、软件产品或服务的个人或组织);评价方(执行评价的个人或组织;例如,评价方可以是测试实验室、软件开发组织的一个品质部门、政府组织或用户);开发方(执行开发活动的组织或个人,包括需求分析、设计、以及软件生存周期过程期间的验收测试);维护方(执行维护活动的组织或个人);确认软件质量(授权测试)时的供应方(在获取方的合同中提供合同条款规定的系统、软件产品或软件服务的个人或组织);评估软件质量(验收测试)时的用户(使用软件产品来执行特定功能个人或组织);评估软件质量(授权测试)的安全官员或部门(对软件产品或软件服务执行系统检查的个人或部门)。限制本部分仅以一种综述的方式给出指导。为了更好地形成保障需求,本标准的第3部分提供了精化这一选择的指导,以便能够评审它们的可比较性和协作性。支持保障途径验证并支持执行验证人员的规章制度,没有包含在本部分的范围中。规范性引用文件GB/—XXXX/ISO/IECTR15443-2:200542GB/—XXXX/ISO/IECTR15443-2:200541下面的引用文件对于该文档的运用是不可或缺的。对于注有日期的引用文件,仅注有日期的版本是适用的。对于未注有日期的引用文件,最新版本(包括任何增补)是适用的。下面的引用文件按指定的适用:ISO9000质量管理体系-基础和术语ISO9000-1质量管理体系–需求ISO/IEC12207-软件生存周期过程ISO/IEC13335-1信息技术—安全技术-信息和通讯技术安全管理-第1部分:信息和通讯技术安全管理概念和模型ISO/IEC13335-2信息技术—信息技术安全管理指南-第2部分:信息技术安全管理和规划ISO/IEC13335-3信息技术—信息技术安全管理指南-第3部分:信息技术安全管理技术ISO/IEC13335-4信息技术—信息技术安全管理指南-第4部分:安全措施的选择ISO/IEC13335-5信息技术—信息技术安全管理指南-第5部分:网络安全管理指南ISO/IEC14598-1信息技术—软件产品评估-第1部分:一般性概述ISO/IEC15939软件工程-软件测量过程ISO/IEC15288系统工程-系统生存周期过程ISO/IEC15408-1信息技术-安全技术-信息技术安全评估准则—第1部分:简介与一般模型ISO/IEC15408-2信息技术-安全技术-信息技术安全评估准则—第2部分:安全功能要求ISO/IEC15408-3信息技术-安全技术-信息技术安全评估准则—第3部分:安全保障要求ISO/IEC15504-1信息技术-过程评估--第1部分:概念与术语ISO/IEC15504-2信息技术-过程评估--第2部分:执行与评估ISO/IEC15504-3信息技术-过程评估--第3部分:评估执行指南ISO/IEC15504-4信息技术-过程评估--第4部分:过程改善和过程能力确定的使用指南ISO/IEC15504-5信息技术-软件过程评估--第5部分:评估模型及指标指南ISO/IEC17799信息技术-安全技术—信息安全管理导则ISO/IEC21827信息技术-系统安全工程-能力成熟度模型(SSE-CMM@)ISO/IEC90003软件工程-ISO9001:2000应用于软件的指南术语定义与缩略语针对本部分的意图,本指导性技术文件第1部分中给出的术语、定义和缩略语适用于本部分。方法概述和表达本部分为现有保障方法的分类提供了一个框架。本章列出并表达了ICT安全领域关注的并直接有关的一些可用保障方法。本章还根据下述框架对这些方法进行了分类:根据描述生存周期各方面的不同保障阶段:设计、实施、集成、验证、部署、传输或运行。根据不同保障途径:产品、过程或环境。正如本指导性技术文件第1部分所指出的,,,并对以下两方面伴有相应的记忆符:ICT安全相关的单个方法,以及单个方法的实用性。保障的生存周期阶段与图示符号GB/—XXXX/ISO/IECTR15443-2:20052GB/—XXXX/ISO/IECTR15443-2:、按生存周期阶段所分类的方法。而每一子节的标题重复了这一分类。在该表中,通过四列来图形化地表达所关注的不同生存周期阶段。为了这一意图并为了接近ISO/IEC15288及ISO9000中的概念,技术方面的生存周期过程被分为四个阶段,并使用以下字符来表示每列所代表的阶段:D 设计,包括利益攸关方需求定义过程,需求分析过程,体系结构设计过程和实现过程。I 集成,包括集成和验证过程。T 转化,包括复制、转移、部署和确认过程。O 运行,包括运行、维护和处置过程。一个给定的方法可能覆盖一个仅在图A2所示的生存周期之外阶段。在这种情况下,这一阶段没有给出相应的图形化表达。生存周期过程D-I-T-O是一些可应用于特定ICT系统及其部件(即硬件,软件)的过程。生存周期过程的开发和改善是另一方面的问题,这一问题也可予以图形化地表达,但在此没有给出。在ICT安全中,这一方面的问题对于应用于ICT系统运行阶段的安全管理方法而言是特别重要的,例如ISO/IEC17799和BS7799-2。这一方面问题的基本特性包括过程评估以及过程建档、过程开发、过程测量、过程改善和认证。这一方面问题与D-I-T-O是正交的。、按其保障途径分类的保障方法。单个列出的每一子节标题重复了这一分类。方法所对应的保障途径类以符号表达之(参见表1):产品保障:以箭头中的黑体字符,表示生存周期阶段,例如:TDTD过程保障:以灰色背景上的白色字符,表示生存周期阶段,例如:环境保障:以左右两黑棒之间的字符,表示生存周期阶段,例如:?D?框架中的保障方法-图示符号章节保障—阶段→--途径↓设计/实现集成/验证部署/转移运行产品[/系统/服务][]过程[]DITO环境[/组织/人员][]DITO由于方法可能体现一个组合途径的特征,因此以上这些符号可以予以堆积,例如:一个覆盖过程保障和环境保障的方法,应是黑体字段的字母加上一个黑框。一个给定的保障方法可能覆盖一个途径并或多或少地覆盖其它途径。这一可视化的概览表达是不适于表示一个给定方法覆盖不同保障途径的程度。一个给定的保障方法可能覆盖一个仅是“边缘”的途径。在这种情况里,这一途径就没有在该符号化表示中给出。实用性与符号表示GB/—XXXX/ISO/IECTR15443-2:200542GB/—XXXX/ISO/IECTR15443-2:200541由于方法是大量的,因此按其状态为本部分的用户给出一些指导。,如下:当前相对广泛使用并且还在不断进行维护的方法,在该概览表中以粗字符表示。已失时效的、已被替代的、已被合并的或失掉实用性的方法,在该概览表中均以均匀细线字符表示。有关实用性的符号表示,在单个列出的子节标题中没有予以重复。概览表如上所述,表2给出了已考虑的那些保障方法,并依据第1部分的框架给出它们的分类。表中涉及大量信息技术安全相关标准及非安全相关类信息技术标准,其中安全相关标准适用符号“”标记。框架中保障方法-概览章节保障—阶段→--途径↓设计/实现集成/验证部署/-–------–?TDT??TIT??TTT?-–-模型TDTTITTTTTOTGB/—XXXX/ISO/IECTR15443-2:20054GB/—XXXX/ISO/IECTR15443-2:-.17ISO/IEC21827–系统安全工程-能力成熟度模型(SSE-CMM?)–?-集成化能力成熟度模型?–-能力成熟度模型?(针对软件)-CMM?-系统工程能力成熟度模型?–--CMM?–软件获取能力成熟度模型?-质量管理?D??I??T??O?–以人为中心的设计(HCD)?D?(一般情况)?D?–认可保障?D??I?(GMITS)–信息安全管理体系-–信息安全管理实践指南OGB/—XXXX/ISO/IECTR15443-2:200542GB/—XXXX/ISO/IECTR15443-2:-缺陷修补(一般性)(与安全无关)D?O?(与安全有关)?D??I??T??O?表达方法学第6章的意图是,对已识别的保障方法提供一个复审。因为许多保障方法有助于不同保障途径和保障,因此在这里表达的每一种保障方法均应具有自己的描述方式和角度。在这个阶段上没有提供比较。在第6章的个子节中,将为这一技术框架所标识的每一个保障方法,给出结构化的提纲。每一个方法的标题都是一个自说明性的名字,为了正确引用,每一种保障方法的名字尽可能完整和正式,并当合适引用时其名字尽可能是容易记忆的。每一提纲分为以下几个部分:目的:有关方法的简要表征性意图;描述:方法的简短描述源描述:指出/引用所涉及的委员会和/或组织,指出/引用该方法的文档和/或标准保障方法ISO/IEC15408–信息技术安全评估准则目标为ICT安全评估,提供一个协调的评估框架和详细的评估准则,适用于政府使用和一般性使用。描述monCriteria)的制订,代表了许多政府信息安全机构,该准则可作为独立评估ICT产品和系统的安全表现特性的方式。通用准则分别考虑了安全保障中的安全功能,并详细描述了有助于增强开发信心—一个产品或系统满足其安全目的—的技术和功能。(破折号符号表示或文字解释)这些基本的、非排他的、特定保障技术和功能在ISO/IEC15408-3中予以定义,是针对独立评估或验证所获得的保障,其意图是支持国家认证模式验证该评估准则的一致应用。在ISO/IEC15408-3中,保障技术被分为称为类的一些不同的应用域。在每一个类中,标识了一些称为族的不同技术。每个族又依据应用该技术的严格程度,标识了一个或多个组件。每一个组件规约了所要求的准确动作和证据元素。在ISO15408-3中,定义了多个以互补方式一起工作的保障组件包。这些包称为评估保障等级(EvaluationAssuranceLevels,Eals)。GB/—XXXX/ISO/IECTR15443-2:20056GB/—XXXX/ISO/IECTR15443-2:20057为了支持这些准则的应用,通用准则方法学工作组开发了相应的方法,称为通用评估方法学(CEM),是通用准则项目的一部分。源参见第2章:ISO/IEC15408-1;ISO/IEC15408-2;ISO/IEC15408-3;ISO/IEC15408是该委员会的产品:ISO/IECJTC1/SC27/WG3信息技术-安全技术-安全评估准则TCSEC-可信计算机系统评估准则目的对计算机系统产品所提供的安全进行评分或划分等级。描述可信计算机系统评估准则(puterSystemEvaluationCriteria,TCSEC)是以前用于对计算机系统产品所提供的安全进行评分和划分等级的一组准则。现在,尽管有些评估仍继续使用,但新的评估不再使用TCSEC。由于它的封面是橙色,因此TCSEC有时被称作“桔皮书”。如果一个产品通过由可信产品评估程序(TPEP)或可信技术评价程序(TTAP)所进行的评估,且一个独立评估显示该产品具有某一等级的特征和保障,那么该产品就符合TCSEC。一个等级是一个评估系统要符合的可信任计算机系统评估准则(TCSEC)中一组特定需求。在TCSEC中存在七个等级,分别为A1,B3,B2,B1,C2,C1,和D,这七个等级的特征和保障是逐渐增强的。因此,评估为B3等级的系统与B1等级相比,具有更多的安全特征,并且就有关安全特征是否按预期的那样工作而言,具有更大的信心。一个高等级的需求总是一个低等级需求的超集,因此B2等级的系统满足C2等级的每一个功能要求,并且具有更高程度的保障。依据可信计算机系统评估准则(TCSEC)(参见TCSEC准则概念FAQ,问题11),以递减的特征和保障方式,对等级给出一个划分(见问题1),即把七个等级划分为四个级类,即A、B、C、D。这样,在B中一个等级上已评估的系统与C中一个等级上已评估的系统相比,就具有更多的安全特征,和/或有关安全特征是否按预期的那样工作具有更大的信心。puterSecuritySubsystemInterpretation,CSSI)为不同D的评定规约了准则,但这些准则并没有反映在TCSEC本身中,它们对D级系统没有什么需求。一个未经评定的系统默认为是D级系统。不同级类的需求是:D级类:最小保护——该级类留给那些经过评估但不满足更高级类需求的系统。C1级:自主安全保护——C1级系统的可信计算基(putingBase,TCB)通过提供用户和数据的分离,像名字那样满足自主安全要求。它加入了一些形式的可靠控制能力,在一个单个的基础上实施访问控制,即外表上允许用户保护项目信息或私有信息,并且防止其他用户意外地读取或销毁他们的数据。期望C1级的环境是一种用户处理具有相同敏感程度数据的协同环境。C2级:受控的访问保护——与C1系统相比,该级类中的系统执行更细粒度的自主访问控制,通过登入规程、审计与安全相关的事件以及资源隔离,可单独核查用户的动作。B1:打标记的安全保护(LabeledSecurityProtection)——B1类系统要求类C2的所有特征。另外,还必须表达一个非正式陈述的安全策略模型、数据标记(例如,秘密或私密)以及命名主体和客体上的强制访问控制。还必须具有准确标记对外输出信息的能力。GB/—XXXX/ISO/IECTR15443-2:200542GB/—XXXX/ISO/IECTR15443-2:200541B2级:结构化保护——在B2级系统中,TCB基于一个清晰定义并建档的正式安全策略模型,该模型要求将B1级系统中的自主访问控制和强制访问控制扩展到自动数据处理系统中的所有主体和客体。另外,还要强调隐蔽通道。该TCB必须细致地被结构化为关键保护元素和非关键保护元素。该TCB接口还应良好予以定义,并且其设计和实现可更容易进行全面的测试和更容易进行完整的评审。B2级系统的身份鉴别机制被增强,以一种支持系统管理员和操作者功能的形式,提供了可信设施管理,并强加了更严格的配置管理控制。该系统是相对抗渗透的。B3级:安全域——B3级的TCB必须满足参照监视器需求,它仲裁所有主体对客体的访问,可证明是否予以篡改的,且是足够小的以便进行分析和测试。其结果,TCB被结构化,剔除对执行安全策略非基本的代码,并在TCB的设计和实现的期间,为了最小化它的复杂度,实施了充分的系统工程。B3级的TCB支持安全管理员,为了指示安全相关事件,扩充了审核机制,并要求系统恢复规程。系统具有高度的抵渗透能力。A1级:已验证的设计——在A级中的系统,其功能等同于没有增加额外的体系结构特征或策略需求的B3级中的系统。在这一级中,系统特征的主要区别来自于正式的设计规格说明和验证技术所引发的分析,以及由于该TCB的正确实现所产生高等级的保障。这一保障是自然形成的,开始于一个正式的安全策略模型和一个正式的顶层设计规格说明(FTLS)。FTLS是一种以形式化数学语言编写的系统顶层规格说明,允许(表明系统规格说明与其正式需求之对应的)定理予以假定和形式化证明。记住,对于A1级中系统所要求的TCB的扩展设计和开发分析,需要更严格的配置管理,并为安全地把系统分布在不同地点,需要建立相应的规程。该类系统支持系统安全管理员。源参考文献目录[45]可信计算机系统评估准则。TESEC及其解释和指南都有不同颜色的封面,有时被称为“彩虹系列”。TESEC是美国国防部内部标准和产品。ITSEC/ITSEM–信息技术安全评估准则和方法学目的为欧洲市场的IT安全评估提供一个评估准则框架和一种评估方法学。描述评估准则“信息技术安全评估标准(InformationTechnologySecurityEvaluationCriteria,ITSEC)”和评价手册“信息技术安全评价手册(InformationTechnologySecurityEvaluationManual,ITSEM)”monCriteria)monEvaluationMethodology)的先期文档。ITSEC和ITSEM是在20世纪90年代早期,由四个欧洲国家(法国、德国、荷兰和英国)开发的。ITSEC的保障基于TCSEC中所引入的途径。但把ITSEC中的功能需求和保障需求予以分离,允许更大的灵活性。保障需求本身又分为有效性和正确性两个方面。有效性评价涉及了评价对象(TargetofEvaluation,TOE)如下一些方面的考量:TOE执行的安全功能应对其安全威胁的适宜性;TOE执行的安全功能和机制以相互支持的方式绑定在一起的能力,以及提供一种集成和有效整体的能力;TOE执行的安全机制承受直接攻击的能力;TOE构造中的已知安全脆弱性实际上是否能够危及TOE的安全;GB/—XXXX/ISO/IECTR15443-2:20058GB/—XXXX/ISO/IECTR15443-2:20059TOE不可能以不安全的方式予以配置和使用,但TOE的管理员或终端用户应有理由地相信该TOE是安全的;TOE运行中已知的安全脆弱性实际上是否能够危及TOE的安全。保障有效性需求更多地关注那些方面,即评估人员必须使用所拥有的知识和经验来评价受评IT产品或系统中的安全途径是否合理。ITSEC的保障正确性要求更多地关注于一些方面,即确认与被评估产品或系统的IT安全相关的开发者的信息是正确的。ITSEC针对TOE构造和TOE运行,区分了它们之间的正确性需求。构建方面的准则覆盖了开发过程以及不同规格说明层,以高层的需求描述开始,这些需求可予实例化为体系结构设计,进一步,体系结构设计又可予实例化为详细设计和实现表示。由ITSEC所覆盖的开发环境,其构建方面是配置控制、编程语言和编译器,以及开发者安全(DevelopersSecurity)。运行需求进一步划分为四个方面,即运行文档以及用户文档,管理文档,运行环境以及交付和配置,以及启动和操作。ITSEC的正确性需求以六个层次化的保障等级(E1到E6)予以表达。通过从一个等级到另一个等级增加需求,确保对IT产品和系统更为严格的评价。保障的有效性需求没有包括在这些保障等级中,但定义了由正确性评估所获得的、用于执行脆弱性分析的信息。另外,ITSEC还概括了评估等级与TCSEC类的关系。ITSEM基于ITSEC,描述了根据这些准则如何来评估一个TOE。ITSEM的特定目的是,确保存在一个与ITSEC互补的、协调一致的评价方法集。ITSEM没有基于以前什么文档,是首次为应用ITSEC中的保障方法表达了如此多的基本信息,并且还间接地为用于TCSEC和CTCPEC中的保障方法表达了基本信息。源参阅文献目录:[40]信息技术安全评估准则(ITSEC),,[41]信息技术安全评估准则(ITSEM),,可通过下面的网址联系通用信息协会理事会(DirectorateGeneralInformationSociety):。参考参考文献[21],[22]。CTCPEC-加拿大可信产品评估准则目的为评估软件、硬件产品或系统所提供的安全服务功能和保障,提供一种度量。描述加拿大可信产品评估准则(CanadianTrustedProductEvaluationCriteria,CTCPEC)的制订具有三个目的:为商用产品的评估提供一个可比的尺度;为可信计算机产品规格说明的开发提供基础;以及为可信产品采购的规约提供方法。GB/—XXXX/ISO/IECTR15443-2:200542