大家读完觉得有帮助记得关注和点赞!!!
安全测评的主要标准包括多个国际和国内的标准,这些标准为信息系统和产品的安全评估提供了基础和指导。
一、安全测评的主要标准
1.1、国际标准
-
可信计算机系统评估准则(TCSEC):这是最早的信息安全测评标准,由美国国家计算机安全中心(NCSC)于1983年公布。TCSEC将产品的安全水平分为不同的评估等级,包括A、B、C、D四级,每个等级都有具体的安全要求。
-
信息技术安全评价通用准则(CC标准):这是由美国、加拿大、英国、法国、德国和荷兰共同制定的单一通用准则,旨在提供一个统一的评估框架。
1.2、国内标准
- GB 17859-1999:这是中国在1999年发布的强制性国家标准,参考了美国的TCSEC标准,用于计算机信息系统安全保护等级划分。
- GB/T 18336系列标准:包括《网络安全技术 信息技术安全评估准则》等6项推荐性国家标准,涵盖了软件、硬件、固件形式的IT产品及其组合的安全测评基础标准。
- GB/T 33563和GB/T 33565:这两项标准分别规定了无线局域网客户端和接入系统的安全技术要求,为无线局域网的安全测试和开发提供指导。
- GB/T 43696和GB/T 43694:分别规定了零信任参考体系架构和证书应用综合服务接口规范,适用于采用零信任体系框架的信息系统规划、设计和检测。
1.3、安全测评的定义和过程
安全测评包括“测”和“评”两个阶段:
测是测试,对照标准进行落实的过程。
评是基于测阶段对信息系统各指标的度量和判断,综合估计整个系统的安全状态和程度。
二、安全测评标准的发展背景介绍
2.1、发展背景
国际上公认的最早的信息安全测评标准是 1983 年美国国家计算机安全中心(NCSC) 公布的 可信计算机系统评估准则(Trusted Computer System Evaluation Criteria, TCSEC).
美国建立 TCSEC 标准后, 欧洲也开始制定自己的信息技术安全评估标准. 1991 年, 欧洲共同体委员会以(英, 法, 德, 荷兰)四个国家为代表, 共同制定了欧洲统一的安全评估标准(Information Technology Security Evaluation Criteria, ITSEC).
加拿大也参考美国的 TCSEC 和 欧洲的 ITSEC 在 1993 年制定了加拿大可信计算机产品测评标准 CTCPEC.
1993 年 6 月, 美国和加拿大和欧洲共同体一起起草单一的通用准则(CC 标准), 并将其推到国际标准. 在 (TCSEC, ITSEC, CTCPEC, FC) 等信息安全准则的基础上, 由 6 个国家(美, 加, 英, 法, 德, 荷)共同提出 信息技术安全评价通用准则(The Common Criteria for Information Technology security Evaluation, CC), 即 CC 标准.
我国在 1999 年发布强制性国家标准 GB 17859-1999 “计算机信息系统安全保护等级划分准则”, 此标准参考了美国的 TCSEC.
2.2、TCSEC 简单介绍
TCSEC 将产品的安全水平列为不同的评估等级, 规定了不同等级的具体安全要求.
安全要求分为:
安全策略(Security Policy)
问责(Accountability)
安全保证(Assurance)
文档(Document)
安全等级: A, B, C, D (安全性由高到低)
安全类别: A1, B3, B2, B1, C2, C1, D1 (安全要求由高到低)
A: 最高安全等级
A1 类: 系统设计者必须按照一个正式的设计规范来分析系统.
B: 具有强制性保护功能.
B1 类: 满足两个要求, 一是系统对网络控制下的每个对象都进行灵敏度标记, 二是系统使用灵敏度标记作为所有强迫访问控制的基础.
B2 类: 基于 B1, 且管理员必须使用一个明确的和文档化的安全策略模式作为系统的可信任运行基础体制.
B3 类: 基于 B2, 还要求具有很强的监视委托管理访问能力和抗干扰能力, 要求必须产生一个可读的安全列表.
C: 提供审计保护, 并为用户的行动和责任提供审计能力.
C1 类: 使用可信任运算基础体制(Trusted Computing Base, TCB), 将用户和数据分开来达到安全的目的.
C2 类: 基于 C1, 加强了可调的审计控制.
D: 普通等级
D1: 只为文件和用户提供安全保护, 比如本地操作系统, 一个完全没有保护的网络.
2.3、 ITSEC 简单介绍
该标准将安全概念分为功能和评估两部分.
ITSEC 并不把保密措施直接与计算机功能相联系, 只是叙述技术安全的要求, 把保密作为安全增强功能.
TCSEC 的重点是保密, 而 ITSEC 除了保密, 还重视 完整性, 可用性.
功能: 功能准则从 F1 到 F10 分十级. F1 到 F5 对应 TCSEC 的 D 到 A.
F6: 数据和程序的完整性
F7: 系统的可用性
F8: 数据通信的完整性
F9: 数据通信的保密性
F10: 机密性和完整性的网络安全
评估安全等级:
E0 级: 表示不充分的安全保证.
E1 级: 该级别必须有一个安全目标, 一个对产品或系统的体系结构设计的非形式化的描述, 还要有功能测试.
E2 级: 基于 E1, 还要有对详细的设计有非形式化描述. 功能测试的证据需进行评估. 需有配置控制系统, 认可的分配过程.
E3 级: 基于 E2, 需要评估(与安全机制相对应的)源代码和硬件设计图. 需要评估和测试了这些安全机制的证据.
E4 级: 基于 E3, 需有支持安全目标的安全策略的基本形式模型. 需用半形式说明(安全加强功能, 体系结构, 详细的设计).
E5 级: 基于 E4, 需在详细的设计和源代码或硬件设计图之间有紧密的对应关系.
E6 级: 基于 E5, 需正式说明安全加强功能和体系结构设计, 使其与安全策略的基本形式模型一致.
2.4 、CC 标准(ISO/IEC 15408) 简单介绍
CC 标准便于理解, 是目前最全面的评价标准, 是一种通用的评估方法.
CC 标准主要分为: 一般模型, 安全功能要求, 安全保证要求.
CC 标准基于保护轮廓和安全目标提出安全需求, 具有灵活性和合理性.
CC 标准基于功能要求和保证要求进行安全评估, 即评估分为 功能 和 保证 两部分.
CC 标准基于风险管理理论, 对(安全模型, 安全概念, 安全功能)进行全面和系统地描绘.
重要概念:
评估对象(Target of Evaluation, TOE):
就是被评估的产品或系统, 包括(信息技术产品, 系统或子系统).
保护轮廓(Protection Profile, PP):
指为了满足安全目标而提出的一整套相对应的功能和保证的需求, 即用户对某一类评估对象所提的一系列安全要求, 相当于产品的技术要求.
安全目标(Security Target, ST):
相当于产品和系统的实现方案, 即对具体评估对象的具体保护轮廓的具体实现, 包含用于满足安全要求的特定安全功能和保证措施.
评估保证级(Evaluation Assurance Level, EAL) :
是 CC 用来划分 TOE 保证等级的预定义的一组评估尺度.
评估包是指评估保证要求的一个基准集合.
一个评估保证级对应一个评估包, 评估包由一系列保证组件构成.
预定义的评估保证级:
评估保证级 1 (EAL1): 功能测试.
评估保证级 2 (EAL2): 结构测试.
评估保证级 3 (EAL3): 系统地测试和检查.
评估保证级 4 (EAL4): 系统地(设计, 测试, 复查).
评估保证级 5 (EAL5): 半形式化设计和测试.
评估保证级 6 (EAL6): 半形式化验证的设计和测试.
评估保证级 7 (EAL7): 形式化验证的设计和测试.
三、国内安全测评
对于非涉密系统, 使用等级保护相关标准.
对于涉密系统, 使用分级保护相关标准, 分级保护把涉密信息系统的安全保护水平分为(秘密级, 机密级, 绝密级)三个等级, 我国唯一的涉密信息系统安全保密测评机构是国家保密测评中心, 测评使用 BMB 系列标准.
下面的标准都是基于等级保护的相关标准、相关标准(按发展顺序):
基础标准:
GB 17859-1999 “计算机信息系统安全保护等级划分准则”
GB/T 18336-2001 “信息技术安全性评估准则”
此标准等同于 CC 标准.
GB/T 20274 “信息系统安全保障评估框架”
此标准是 GB/T 18336 在信息系统评估领域的扩展和补充.
提出了一个描述和评估信息系统安全保障内容和安全保障能力的通用框架.
定级:
GB/T 22240-2008 “信息系统安全等级保护定级指南”
建设:
GB/T 20269-2006 “信息系统安全管理要求”
GB/T 20282-2006 “信息系统安全工程管理要求”
GB/T 25071-2008 “信息系统通用安全技术要求”
GB/T 22239-2008 “信息系统安全等级保护基本要求”
GB/T 25070-2010 “信息系统等级保护安全设计技术要求”
测评:
GB/T 28448 “信息系统安全等级保护测评要求”
GB/T 28449 “信息系统安全等级保护测评过程指南”
3.1、什么是 “等级保护”
信息安全等级保护是指:
对(国家的秘密信息, 法人和其他组织和公民的专有信息, 公开信息)进行(存储, 传输, 处理)的信息系统进行分等级安全保护.
对信息系统中使用的信息安全产品按等级实现管理
对信息系统中发生的信息安全事件分等级进行响应和处置.
等级保护标准具有强制性.
3.2、保护等级的划分
第一级(自主保护级): 信息系统受到破坏后, 会对(公民, 法人, 其他组织)的合法权益造成损害, 但不损害(国家安全, 社会秩序, 公共权益).
第二级(指导保护级): 信息系统受到破坏后, 会对(公民, 法人, 其他组织)的合法权益造成严重损害, 或对(社会秩序, 公共利益)造成损害, 但不损害国家安全.
第三级(监督保护级): 信息系统受到破坏后, 会对(公民, 法人, 其他组织)的合法权益造成特别严重损害, 或对(社会秩序, 公共利益)造成严重损害, 或对国家安全造成损害.
第四级(强制保护级): 信息系统受到破坏后, 会对(社会秩序, 公共利益)造成特别严重损害, 或对国家安全造成严重损害.
第五级(专控保护级): 信息系统受到破坏后, 会对(国家安全, 社会秩序, 公共利益, 经济建设)造成特别严重损害.
划分出处: 信息安全等级保护管理办法.
3.3、 不同等级的监管强度
国家对不同安全保护等级的信息和信息系统实行不同的监管政策:
第一级: 自主保护.
第二级: 自主保护, 并受信息安全监管职能部门指导.
第三级: 自主保护, 并受信息安全监管职能部门监督和检查.
第四级: 自主保护, 并受信息安全监管职能部门强制监督和检查.
第五级: 自主保护, 并受国家指定的专门部门和专门机构监督.
3.4 等级保护制度特点
紧迫性: 信息安全滞后于信息化发展, 重要信息系统的安全保障的需求迫切.
全面性: 内容涉及广泛, 需各单位各部门落实.
基础性: 等级保护是国家的一项基本制度和基本国策.
强制性: 要求公安机关等监管部门进行(监督, 检测, 指导)等级保护工作.
规范性: 国家出台了一系列政策和标准.
3.5 等级保护的工作环节
定级
备案
建设整改
等级测评
监督检查
出处: 信息安全等级保护管理办法.
3.6 等级保护 2.0
为了适应(移动互联, 云计算, 大数据, 物联网, 工业控制)等新技术和新应用的情况下的安全等级保护工作的开展, 国家从 2013 年开始对 GB/T 22239-2008 标准进行修订工作, 并后续出台一系列基于 GB/T 22239-2008 的分册标准.
新标准:
GB/T 22239.1 “信息安全技术网络安全等级保护基本要求第 1 部分: 安全通用要求”
GB/T 22239.2 “信息安全技术网络安全等级保护基本要求第 2 部分: 云计算安全扩展要求”
GB/T 22239.3 “信息安全技术网络安全等级保护基本要求第 3 部分: 移动互联安全扩展要求”
GB/T 22239.4 “信息安全技术网络安全等级保护基本要求第 4 部分: 物联网安全扩展要求”
GB/T 22239.5 “信息安全技术网络安全等级保护基本要求第 5 部分: 工业控制安全扩展要求”
GB/T 22239.6 “信息安全技术网络安全等级保护基本要求第 6 部分: 大数据安全扩展要求”
注意事项事项
附录1
2024年11月1日起,13项网络安全国家标准开始实施
《网络安全技术 信息技术安全评估准则》等13项网络安全国家标准开始实施,将为引领网络安全产业高质量发展,增强广大人民群众的获得感、幸福感和安全感提供标准支撑。
《网络安全技术 信息技术安全评估准则 第1部分:简介和一般模型》(GB/T 18336.1—2024)、《网络安全技术 信息技术安全评估准则 第2部分:安全功能组件》(GB/T 18336.2—2024)、《网络安全技术 信息技术安全评估准则 第3部分:安全保障组件》(GB/T 18336.3—2024)、《网络安全技术 信息技术安全评估准则 第4部分:评估方法和活动的规范框架》(GB/T 18336.4—2024)、
《网络安全技术 信息技术安全评估准则 第5部分:预定义的安全要求包》(GB/T 18336.5—2024)、
《网络安全技术 信息技术安全评估方法》(GB/T 30270—2024)等6项推荐性国家标准,是对软件、硬件、固件形式的IT产品及其组合进行安全测评的基础标准,为产品消费者、开发者、评估者提供了基本的安全功能和保障组件,内容吸纳了国际网络安全评估领域模块化评估、多重保障评估、供应链分析等最新理念,将为我国具有安全功能IT产品的开发、评估以及采购过程提供指导。
《网络安全技术 无线局域网客户端安全技术要求》(GB/T 33563—2024)、
《网络安全技术 无线局域网接入系统安全技术要求》(GB/T 33565—2024)两项推荐性国家标准,规定了无线局域网客户端与接入系统的安全功能要求和安全保障要求,给出了无线局域网客户端与接入系统面临安全问题的说明,能够为无线局域网客户端产品与接入系统的测试、研制和开发提供指导。
《网络安全技术 零信任参考体系架构》(GB/T 43696—2024)、
《网络安全技术 证书应用综合服务接口规范》(GB/T 43694—2024)两项推荐性国家标准,分别规定了零信任参考体系架构以及面向证书应用的综合服务接口要求和相应验证方法,对于采用零信任体系框架的信息系统的规划、设计,公钥密码基础设施应用技术体系下证书应用中间件和证书应用系统的开发,以及密码应用支撑平台的研制和检测具有重要意义。
《网络安全技术 软件供应链安全要求》(GB/T 43698—2024)、
《网络安全技术 网络安全众测服务要求》(GB/T 43741—2024)、
《网络安全技术 软件产品开源代码安全评价方法》(GB/T 43848—2024)3项推荐性国家标准,分别确立了软件供应链安全目标,规定了软件供应链安全风险管理要求和供需双方的组织管理和供应活动管理安全要求,描述了网络安全众测服务的角色以及职责、服务流程、安全风险、服务要求,规定了软件产品中的开源代码成分安全评价要素和评价流程,对软件供应链中的供需双方开展风险管理、组织管理和供应活动管理具有引领和促进作用,将为网络安全众测服务活动提供帮助指导,助力各方对软件产品包含的开源代码成分进行静态安全评价。
附录2
1、美国TCSEC,美国国防部制定,将安全分为4个方面:安全策略、可说明性、安全保障、文档。在标准中又把这几方面分为7个安全级别,D、C1、C2、B1、B2、B3、A(从低到高)。
2、欧洲ITSEC,它主要是描述了技术安全的要求,与TCSEC不同的是ITSEC把完整性、可用性、保密性作为与保密同等重要的因素。ITSEC定义了从E0到E6的7个等级。
3、联合公共准则(CC),它的目标是把已有的安全准则合成一个统一的标准。96年出第一版,98年第二版,现在已经是ISO标准。
4、ISO的安全体系架构标准,是ISO7498-1999。
5、中国的标准则是GB17895-1999,将系统安全分为5个等级。
