安全架構和設計/安全產品評估方法和標準

• 安全評估會檢查系統的安全相關部分，即 TCB、訪問控制機制、參考監控器、核心和保護機制。這些元件之間的關係和互動也會被評估。
• 有不同的方法來評估系統併為其分配保證級別。有兩個原因解釋了為什麼存在不止一種型別的保證評估流程
  • 方法和意識形態隨著時間的推移而演變，並且
  • 世界各地對計算機安全的看法不同，對安全某些方面的評級也不同
• 評估程式在安全產品供應商和客戶之間建立信任關係。

評估標準

• 資訊科技安全評估準則 (ITSEC) - 歐盟
• 可信計算安全評估準則 (TCSEC) - 美國
• 通用準則 - ITSEC 和 TCSEC 的混合體

彩虹系列是一套書籍，涵蓋了所有安全領域，如

• 紅皮書 - 網路安全
• 橙皮書 - 作業系統安全
• 黃皮書 - 安全風險管理
• 紫皮書 - 資料庫安全

最初只有橙皮書存在，但其他書籍已經發展到涵蓋所有安全領域，因此該系列被稱為彩虹系列

概述

• TCSEC 由美國國防部開發，併發布在橙皮書中，因此也稱為橙皮書
• 它主要解決機密性，但不解決完整性，主要解決政府和軍事需求。
• 它用於評估產品是否包含供應商聲稱的安全性，以及產品是否適合特定應用或功能。
• 它用於在評估過程中審查產品的功能、有效性和保證，並使用為解決安全需求的典型模式而設計的類別。
• TCSEC 提供一個分類系統，分為不同的保證級別，其中 A 代表最高級別，D 代表最低級別。
  • A：驗證保護
  • B：強制保護：變體 - B1<B2<B3
  • C：酌情保護：變體 -C1<C2
  • D：最低安全

級別是同心圓的。即如果產品在 B2 級別獲得保證，這意味著它滿足 D、C1、C2 和 B1

標準

• 安全策略 - 策略必須明確、定義良好，並由系統內的機制執行。
• 識別 - 個人主體必須被唯一識別。
• 標籤訪問 - 訪問控制標籤必須與物件正確關聯。
• 文件 - 必須提供文件，包括測試、設計和規範文件、使用者指南和手冊。
• 問責制 - 必須捕獲和保護審計資料以執行問責制。
• 生命週期保證 - 軟體、硬體和韌體必須能夠單獨測試，以確保它們在整個生命週期內以有效的方式執行安全策略。
• 持續保護 - 安全機制和系統整體必須在不同的情況下持續地以可預測和可接受的方式執行。

即使評估是根據上述類別獨立完成的，但最終分配的評級是這些專案的總和。

保證級別

• D 類：最低保護 - 它保留給已評估但未達到更高類別的標準和要求的系統。
• C 類：酌情保護 - C 評級類別包含兩個單獨的保證評級。
  • C1：酌情安全保護
    • 基於個人和/或團體。
    • 它需要使用者和資訊的隔離，並提供對個體實體的識別和身份驗證。
    • 需要此評級的環境型別是使用者以相同敏感性級別處理資訊的型別；因此，不需要嚴格的訪問控制和審計措施。
    • 這將是一個安全問題較小的可信環境
  • C2：受控訪問保護
    • 使用者需要單獨進行身份驗證才能提供更精確的訪問控制和審計功能。
    • 邏輯訪問控制機制用於執行身份驗證和每個個人身份的唯一性
    • 需要 C2 評級系統的環境型別是使用者可信但需要一定程度的問責制的環境。
    • 總的來說，C2 被認為是商業應用程式最合理的類別，但保護級別仍然相對較弱
• B 類：強制保護 - 強制訪問控制透過使用安全標籤執行。體系結構基於 Bell-LaPadula 安全模型，並且必須提供參考監控器執行的證據
  • B1：標記安全
    • 每個資料物件必須包含一個分類標籤，每個主體必須包含一個安全級別標籤。
    • 當主體嘗試訪問物件時，系統必須比較主體和物件的安全性標籤，以確保請求的操作是可以接受的。
    • 離開系統的資料也必須包含準確的安全標籤。
    • 安全策略基於非正式陳述，設計規範經過審查和驗證。
    • 此安全評級適用於需要系統處理機密資料的環境。
  • B2：結構化保護
    • 安全策略已明確定義並記錄在案，系統設計和實現經過更徹底的審查和測試程式。
    • 此類別要求更嚴格的身份驗證機制以及層之間定義明確的介面。
    • 主體和裝置需要標籤，系統不得允許隱蔽通道。
    • 需要 B2 系統的環境型別是處理敏感資料且對滲透和破壞具有較強抵抗力的環境。
  • B3：安全域
    • 在此類別中，每種保護機制都提供了更多粒度，並且不需要支援安全策略的程式設計程式碼被排除在外。
    • 參考監控器元件必須足夠小，以便能夠正確測試並且防篡改
    • 系統必須能夠在不損害安全級別的情況下從故障中恢復。
    • 需要 B3 系統的環境型別是高度安全的環境，處理非常敏感的資訊，並且對滲透具有很強的抵抗力。
• A 類：驗證保護 - 正式方法用於確保所有主體和物件都受到必要的酌情和強制訪問控制。設計、開發、實施和文件以正式和詳細的方式進行審查
  • A1：驗證設計
    • 正式技術用於證明 TCB 規範與安全策略模型之間的等價性。
    • 在 A1 系統開發過程中，更嚴格的變更配置到位，並且可以驗證整體設計
    • 需要 A1 系統的環境型別是最安全的安全環境。這種型別的環境處理絕密資訊，並且在沒有嚴格的身份驗證、限制和審計的情況下，不能充分信任任何使用系統的人。

TCSEC 神話

• 它專門關注作業系統，而不關注網路、資料庫等其他問題。
• 它主要關注安全的一個屬性，即機密性，而不關注完整性和可用性。
• 它使用政府分類，而不是商業行業使用的保護分類。
• 它擁有相對較少的評級，這意味著許多不同的安全方面沒有得到獨立評估和評級。

概述

• 紅皮書，也稱為可信網路解釋 (TNI)，處理網路和網路元件的安全評估主題。
• 與橙皮書類似，紅皮書沒有提供有關如何實現安全機制的具體細節；相反，它提供了一個框架來保護不同型別的網路。
• 它對網路和網路元件內部發生的資料的機密性和操作進行評級。

紅皮書中解決的安全問題

• 通訊完整性
  • 身份驗證防止冒充和重播攻擊。機制包括數字簽名、加密、時間戳和密碼。
  • 訊息完整性保護協議頭、路由資訊和資料包有效載荷不被修改。機制包括訊息認證和加密。
  • 不可否認性確保傳送者無法否認傳送訊息。機制包括加密、數字簽名和公證。
• 拒絕服務攻擊預防
  • 業務連續性確保網路即使在遭受攻擊的情況下也能保持可用性。機制包括容錯和冗餘系統，以及在緊急情況下重新配置網路引數的能力。
  • 網路管理監控網路效能，識別攻擊和故障。機制包括允許網路管理員監控和限制資源訪問的元件。
• 妥協保護
  • 資料機密性保護資料在傳輸過程中不被以未經授權的方式訪問。機制包括訪問控制、加密和對電纜的物理保護。
  • 流量機密性確保未經授權的實體無法透過流量分析瞭解路由資訊或通訊頻率。機制包括填充訊息、傳送噪聲或傳送虛假訊息。
  • 選擇性路由以避免特定威脅的方式路由訊息。機制包括網路配置和路由表。

概述

• 由於 TCSEC 是由美國開發的，ITSEC 是由歐盟開發的，以解決所有安全評估問題。
• ITSEC 具有兩個主要的評估屬性
  • 功能 - 當評估系統的保護機制的功能時，會檢查和衡量為主體提供的服務，例如訪問控制機制、審計、身份驗證等。
  • 保證 - 保證是指對保護機制及其有效性和持續執行能力的信心程度。通常透過檢查開發實踐、文件、配置管理和測試機制來測試保證。

評估標準

ITSEC 具有 10 個等級 F1 到 F10 來評估功能要求，以及 7 個等級 E0 到 E6 來評估保證要求。

• 安全功能要求
  • F00：識別和認證
  • F01：審計
  • F02：資源利用
  • F03：可信路徑/通道
  • F04：使用者資料保護
  • F05：安全管理
  • F06：產品訪問
  • F07：通訊
  • F08：隱私
  • F09：保護產品安全功能
  • F10：密碼支援
• 安全保證要求
  • E00：指南檔案和手冊
  • E01：配置管理
  • E02：漏洞評估
  • E03：交付和操作
  • E04：生命週期支援
  • E05：保證維護
  • E06：開發
  • 測試

ITSEC 評級

• 評級基於有效性和正確性。
  • 有效性是指 TOE 滿足供應商指定的安全性要求。此分析著眼於構造和操作漏洞以及易用性，以確保適當的安全設定不會妨礙生產力。- 評級功能
  • 正確性涉及 TOE 的構建方式以及實施問題。這種型別的分析著眼於架構設計、安全機制如何實施策略以及操作文件和環境。- 評級保證。

TCSEC 與 ITSEC

• TCSEC 將功能和保證捆綁在一個評級中，而 ITSEC 分別評估這兩個屬性。
• ITSEC 比 TCSEC 提供更大的靈活性。
• ITSEC 處理完整性、可用性和機密性，而 TCSEC 僅處理機密性。
• ITSEC 還處理網路化系統，而 TCSEC 處理獨立系統。

概述

• 通用準則是 ISO 試圖將多個組織聚集在一起以合併和調整現有和新興評估標準（如 TCSEC、ITSEC、加拿大可信計算機產品評估準則 [CTCPEC] 和聯邦標準）的結果。
• 它是透過美國、加拿大、法國、德國、英國和荷蘭國家安全標準組織之間的合作開發的。
• 在通用準則模型下，對產品進行評估並分配評估保證級別 (EAL)

CC 的好處

• 透過減少評級的複雜性並消除理解不同評估方案中不同評級的定義和含義的必要性來幫助消費者。
• 幫助製造商，因為現在他們可以構建一套特定的要求來滿足他們的產品在國際上的銷售，而不是必須滿足具有不同規則和要求的多個不同評級。

CC 保證級別

• 通用準則有七個保證級別，範圍從 EAL1（最低），其中進行功能測試，到 EAL7（最高），其中進行徹底的測試並驗證系統設計。
  • EAL 1 功能測試
  • EAL 2 結構測試
  • EAL 3 系統測試和檢查
  • EAL 4 系統設計、測試和審查
  • EAL 5 半正式設計和測試
  • EAL 6 半正式驗證設計和測試
  • EAL 7 正式驗證設計和測試

保護配置檔案

• 保護配置檔案是一種機制，CC 在其評估過程中使用它來描述目前市場上沒有的產品的實際需求。
• 保護配置檔案特徵
  • 包含安全要求集、其含義和理由，以及預期產品所需的相應 EAL 評級。
  • 描述環境假設、目標以及功能和保證級別期望。每個相關威脅都列出來，以及如何透過特定目標來控制它。
  • 證明每個保護機制強度的保證級別和要求。
  • 為消費者或其他人提供一種識別特定安全需求的方法；這是要克服的安全問題。
  • 提供實現必要安全級別的必要目標和保護機制，以及系統開發過程中可能出現的問題清單。
• 保護配置檔案部分
  • 描述性元素 提供配置檔案的名稱以及要解決的安全問題的描述。
  • 理由 證明配置檔案並提供更詳細的描述，說明要解決的實際問題。說明環境、使用假設和威脅，以及關於符合此配置檔案的產品和系統可以支援的安全策略的指南。
  • 功能要求 建立一個保護邊界，這意味著要消除的邊界內的威脅或妥協。產品或系統必須強制執行本節中建立的邊界。
  • 開發保證要求 識別產品或系統在開發階段（從設計到實施）必須滿足的特定要求。
  • 評估保證要求 建立評估的型別和強度。

CC 元件

• 保護配置檔案 - 對所需安全解決方案的描述。
• 評估目標 - 提議提供所需安全解決方案的產品。
• 安全目標 - 供應商對滿足所需安全解決方案的安全功能和保證機制的書面解釋；換句話說，“這就是我們的產品的功能及其工作方式。”
• 軟體包 - EAL - 功能和保證要求捆綁在一起以供重複使用。此元件描述了要實現特定 EAL 評級必須滿足的要求。

認證

• 認證是對安全元件及其合規性進行的全面技術評估，以進行授權。
• 認證過程可以使用安全評估、風險分析、驗證、測試和審計技術來評估特定系統的適當性。
• 認證過程的目標是確保系統、產品或網路適合客戶的用途。

授權

• 授權是管理層正式接受系統整體安全性和功能的充分性。
• 認證是對安全機制進行的技術審查，評估其有效性。授權是管理層正式接受認證過程結果中的資訊。