type
status
date
slug
summary
tags
category
icon
password
欧盟ITSEC标准与CC标准的产生
ITSEC
ITSEC是1990年由欧盟国家发布的一个标准,1991年6月,由欧共体发布了1.2版本。
很重要的一个,跟TCSEC的一个不同就在于它要求每一次评估的时候,必须通过广泛的这个功能性测试和渗透测试方法对这个IT的安全属性进行详细的一个检查。在 ITSEC 这个标准里面,它首次 给出了这个安全性的三个含义,就是所谓的保密性、完整性、可用性的概念。 另外在这里面,它首次给出了 ST,就是所谓的安全目标的概念。 这也是后面 CC 里面非常重要的一个概念。 对于安全性 要求,TCSEC更侧重功能性要求, 那么 ITSEC 呢其实是把安全性要求分成了这个功能和保证两个部分。有一部分是功能性的要求,比如说为了满足安全需求 这个系统必须采取的一些安全技术措施。 关于保证要求 就是为了保证这个功能,就是前面的这些功能的正确实现和有效性, 那么我们必须提供一些措施,比如说前面提到的安全渗透性的测试 或者安全的脆弱性分析。 所以在 ITSEC 里面,它最后评估的 时候呢,其实是分别用了两个评估的这个要求。 一个是安全功能的一个等级划分,它从 F1 划分到 F10, 另外一个是安全保证的一个等级划分,从 E0 到 E6。
从这个评估者和被评估者的角度,ITSEC各级别做了什么?
从这个被评估者来讲,也就是说这里提到的 sponsor 的这个角度, 它在提交评估方之前需要对它自己 生产的这个产品或者系统确定它的安全目标。 在它的这个安全目标里面要明确地给出这个系统实施的安全策略,或者是原则, 以及这个系统里面的安全功能的规范是什么,和这个系统里面实施的安全机制是什么, 以及它的机制的强度如何, 以及它最后希望这个产品评估达到,从功能的角度要评估哪个级别, 从这个安全保证的角度来讲它要达到哪个级别,都要明确地声明。 那么从 评估者的角度来讲,ITSEC 的评估方,它用 ITSEC 去评估一个产品 它跟 TCSEC 不同的是,它的评估者可以是一个商业机构。 前面我们提到的 TCSEC 是美国国防部的一个标准, 所以他们所有的产品要去评估的话,都要通过国家指定的一些权威机构才可以进行评估。 那么 ITSEC 其实是可以通过一些商业机构来进行评估的。 那么评估者在评估一个产品的时候,它要做出的一些判定是什么呢? 首先就是刚才这个发起者所声称的那些安全功能是否恰当地实现了。 第二,就是关于它所声称的这些功能是否能够有效地 实现,或者它有效地去阻止它所声称的那些安全问题。 当然了,它还要去分析这个系统,在实施这些安全性 之后,是否还有脆弱性。 那么主要是通过渗透测试或其他方法 去找这个系统是否仍然还有脆弱点。 当然,它还要评估这个系统的可用性, 还有系统的这个当前这些实施的安全机制的一些强度等等。
CC
美国和欧洲这个六国七方他们在 1996 年的时候 共同商议,那么提出了一个新的这个通用的 安全评估准则,叫 CC,叫 Common Criteria for IT Security Evalution,那么这个标准其实是 在提出之后呢被欧美认可。 在 1999 年的时候又推向了国际标准组织,那么形成了一个国际标准, 国际标准的名字呢就是 ISO/IEC 15408。 那么 CC 标准在整个的安全评估 产品里面,它主要是通过提供一组通用的要求 使得各种这样的安全产品呢,通过评估的产品它的结果具有可比性。 另外呢,它在评估的过程当中为了满足一些产品和系统的这个安全功能需求, 它要帮它确定一个可信的一个级别。 同时评估的结果呢,它还会 告诉这个用户,就是这个产品有一些什么样的 隐含的一些安全风险。 那么用户在选择产品的时候可以 根据自己的容忍度来决定是否选择适当的一个产品。 当然所有的标准都会有它的目标读者,同样,对 TCSEC 也好,对于这个 ITSEC 也好,它们的目标读者都应该是三个。 CC 也如此,CC 的目标读者也有三个,一种 用户是普通的我们的用户,它是来定义它的安全需求的。 第二种呢就是我们这个产品的开发者,它是来描述产品的安全能力的。 还有一个就是我们的这个产品的评估者,它主要是来度量这个产品的可信程度的。
那么 CC 呢事实上主要分为三个部分, 第一个部分呢其实介绍的是简介和它的一般通用模型。 第二部分呢事实上是它的安全功能需求,第三部分呢是关于它的安全保证需求。
CC 里面的一些关键概念。
- TOE: 评估对象
- 保护轮廓:用户的安全需求 PP
- 安全目标:Security Target ST
第一个就是关于TOE,就是我们所说的评估的对象。 那么评估对象其实就是我们的所要拿去评估的那个产品。 那么比如说我们的操作系统,比如说我们的数据库,或者是我们的一个网络组件。 这就是我们的评估对象。 那么保护轮廓pp其实可以被理解成用户的安全需求, 当然这个需求其实是与实现无关的一些安全需求。 由用户来定义的,那么在 CC 里面要求给出一个明确的一个 PP 的一个文档。 PP 的文档这里简单说一下,就是说 PP 文档其实是可以 因为它是针对一类产品,比如说所有的,不管是 Windows 的还是苹果的这样的操作系统, 只要是操作系统,其实都可以定义同一类的这样的 PP,就是所谓的 保护轮廓。 目前有很多一些产品其实有已经比较标准化的一些 PP。 比如说你有了,目前有防火墙的 PP, 有这个入侵检测的 IDS 的这个 PP,所以如果一个 公司想去开发这样的产品,其实是可以去直接拿到这种标准的 PP 过来,在这个 PP 基础之上去做自己的 PP,然后开发出相关的一些产品。 第三个概念就是安全目标,我们叫 Security Target。 那么安全目标呢其实是跟前面的 PP 不同的地方是,它是作为一个既定的 TOE 的 评估基础所给出的一组安全要求和规范。 比如说前面说的这个 PP 是针对一组 这样的一个评估对象,那么 ST 呢 主要是针对的是某一个既定的一个 TOE,就是一种特定的 TOE 那么它给出的一种安全要求和规范。 TSP 是什么呢? TSP 是 评估对象的安全策略,事实上就是我们对这个 TOE 这个评估对象 所定义的一组安全保护的规则。 那么 TSF 指的是必需使用的这个 TOE 的硬件、 软件、 固件的一个集合。 另外在 CC 里面它是对所有的功能还有保证要求, 安全功能和安全保证要求都是按照这个类 子类还有组件的这种划分方法来进行定义的。 所以的话, 在写 PP,或者在写 ST 的时候,事实上是从这些定义的 类或者子类里面去挑选它合适的组件来写 PP 或 ST。 下面我们看一下这几个概念之间的一个关系。 PP 其实是一类,是用户想要的一种东西,它是一类产品的一个安全需求。 那么 ST 呢是厂商实际声称他所提供的一个东西,就是一个很具体的一个产品。 那么 TOE 呢事实上就是这个 做出来的这个产品,就是已经是一个评估对象,记住这三个概念的关系。 下面我们说一下这个 CC 里面提到的这个 三个部分,就是 Part 1, Part 2, Part 3 这三部分 分别包含了什么内容。 CC 的第一部分重点是一个简介和一般性模型的介绍。 它主要是给出了这个 CC 标准的一个范围, 以及相关的术语,以及一些缩略语的一些介绍。 另外呢,它还附上了前面所提到的这个 PP 和 ST。 的一个规范,比如说告诉用户或者 三个读者到底应该怎么样去写一个 PP 和怎么样去写一个 ST。 这是一个关于 PP 的一个框架,就是说在 CC 的标准里面,它是给出了 用户如果要去写一个 PP,它应该包含哪几部分内容,每一部分内容是什么含义。 所以我们从这一张表里面可以看出,它包含了 7 大部分内容。 第一部分是对这个 PP 的一个引言,相当于它要简单说明一下这个 PP 主要是针对的,做这个 PP 的一个基本的一个概述。 第二呢,是要描述一下这个 PP 针对的这个评估对象是什么。 第三呢,要说明这个评估对象所处的这个安全环境,重点是要描述一下 它所做的一些基本假设,还有在这个环境下的一些面临的安全威胁是什么, 以及它希望制定的安全策略是什么。 第四个呢是关于安全目的,安全目的事实上就是要说明 在技术上,非技术上的角度上来考虑,我这个评估对象它的安全目标是什么, 还有环境的安全目标是什么。 第五部分其实是要 描述这个评估对象的,其实就是要从 CC 的这个 第二本书里面去找我这个产品希望有满足,需要用到哪些安全组件。 包括安全功能组件和安全保证组件。 那么第六部分 就是要解释一下第五部分所选择的这些功能组件和保证组件, 或者说安全功能需求和安全保证需求跟它的那个目标的 一致性。 这是 CC 的里面关于 PP 的一个规范。 当然了,还有一个关于 ST 的规范,那么 ST 我们前面 说过了,它其实是一个既定的目标产品。 所以它相当于是 PP 的一个特例。 所以既然是一个 特例的话,它应该是 PP 的一个具体化的描述的一个文档。 那么对于这个文档,它跟 ST 的区别就在于增加了 第7部分,这第7部分主要是它要对既定的 ST 对 PP 要做哪些扩展,要做哪些删减,它要做一些说明。 第二部分是关于这个安全功能要求。 那么安全功能安全在 CC 的书里面也是按前面说的这个类,子类和 组件的方法来做划分的。 那么重点列出了这样一些类, 这些类里面包括了跟整个计算机系统安全相关的各个部分。 比如说包含了这个审计部分,还有通信安全的部分, 密码支持的部分,以及这个用户数据的保护,还有用户的鉴别, 安全的管理等等。 这个我们会在后面的课程里面陆续会帮大家去诠释。 那么安全功能的要求其实主要目的就是要去保证 我们的这个 ST 能够去 正确地实现安全功能,另一方面呢要让这个功能有效 第三部分,就是 CC 的部分,Part 3,它主要是给出了安全保证的要求。 那么安全保证的要求呢主要是从这样一些角度,从整个的,除了开发, 和这个指导性的文档,还有这个生命周期支持之外, 还包括了测试、 脆弱性评定以及配置管理,还有分发和 操作,各个环节都要去考虑如何保证它的安全功能的有效性。 那么安全保证要求在这个 CC 的标准里面被分为 7 个等级。 这 7 个等级呢就是 EAL1 到 EAL7,每一个等级 它们的这个要求是不一样的,我们来看一下这张表。 这张表里面其实是列出来了在 CC 的这个第三本,第三部分里面所 列出的保证类有哪些,前面我们提到过。 保证子类有哪些,这是一个英文的缩写,从这个 名字上大家,我们举个例子,比如说 ACM 的类,其实是关于配置管理这一部分的。 那么对于配置管理这一部分,它又细分为,就是 自动化的一个子类,还有这个能力子类和范围子类。 那么通过这张图,在 CC 的这个第三部分里面, 它明确地给出了一个安全产品想要评估 EAL1 到 EAL7 这7个等级,它必须在刚才所列出来的 这几个,几大类里面必须满足的这样的一个安全要求。 这张图其实列出了 CC 标注的这个 EAL1 到 EAL7 的一些安全保证的一些要求。 大家可以看到图上呢有一些这样的数字,比如说对于这个 配置管理的自动化这一部分,它的数字呢有一个 1 和 2, 那么 1 其实 代表的是对于配置管理要求实现两个要求,第一种要求是部分自动化, 第二种要求是完全自动化,显然,如果这个保证级别要求达到越高, 这个完全自动化的能力它要求越高,对吧?所以我们从这里可以看到,从 EAL1 到 EAL7, 它对于每一个子类的这个要求会是一个递增的,会是一个递增的。 按照 CC 的标准来评估一个产品,其实我们就是要 按这样整个评估过程应该是在这张图上显示的非常清楚 就说首先我们要有一个安全要求,就说你要建立一个 PP 和一个 ST 那么基于 PP 和 ST 呢,我们要去开发一个 TOE,就评估对象的产品 那么这个 TOE,以及跟这个 TOE 开发厂商提供的这个证据 一起交给这个第三方,那么第三方呢去评估,这个 TOE 的产品,是否达到了它的这个期望的那个结果 那么当然在评估的过程当中,要采用一些评估的准则,评估的方法学还有一些评估的体制 这就是 TOE 的评估过程。 最后我们介绍一下就是 CC 标准和前面我们介绍过的 TCSEC 和 ITSEC 一张比对的图 这张图呢其实是想描述一下这个 CC 标准和 TCSEC 和 ITSEC 之间这些划分等级之间的一个对应关系,我们举个例子大家可以看到 TCSEC 的 B1 级,就是我们说强制防护,实施强制策略的这一级 它实际上可以对应到 CC 的 EAL4,其实也对应了这个 ITSEC 的 E3 其实同学可以从这张表里面发现,CC 和 ITSEC 的这个等级划分对应性是很强的 这张图呢,其实说明了是通过了 CC 标准 评估的操作系统的,那么大家在这张表里可以看到 像这个 SuSE 的 Linux 操作系统它是达到了 EAL2 然后红帽子的这个 Linux3 也是 EAL2 还有一些产品已经达到了 EAL 的 4 和 EAL的 3 虚拟化的软件也获得过这个 CC 的这个认证 比如说这个微软的 Hyper-V 已经获得了 CC 的 EAL4+ 的认证 VMWare 的这个 vSphere 5.0 也获得了这个 EAL4+ 的认证 那么 Citrix 的这个 XenServer 也获得了这个 CC 的 EAL2+ 的认证 最后我们再介绍,概括一下我们 这一节,就是关于这个国内外相关标准这一部分的 发布和现状,从这张图其实我们主要看三部分啊 一部分是关于这个,有三个阶段,第一个阶段是关于这个渗透和 打补丁的阶段,第二个阶段应该是 TCSEC 产品开发的阶段 第三个阶段,应该是我们说 CC 的标准的一个阶段 比如说最早其实有点类似于 Windows,大家知道 Windows 每周甚至每天都在打补丁,对吧? 这个其实就是说我们要去找系统的漏洞,然后去打补丁 这是第一个阶段。 第二个阶段呢,是我在系统开发的时候就要去开发一个安全的系统,所以遵照 TCSEC 那么现在呢大家都统一用 CC,所以以后的产品都是用 CC 来做评估 我们国家的这个安全标准的发布情况 其实主要也是参照国际上的 TCSEC 和 CC 所推出的 比如说我们国家推出的这个国标 17859-1999 其实对应的就是 TCSEC 另外呢,我们国家推出的一个国标 T 18336 对应的呢其实就是 CC。 此外呢,我们公安部也推出了一些 专门针对操作系统的一些标准,安全操作系统标准,那么其实也是从 TCSEC 和 CC 参照推出的。
2.1 主体、客体和访问控制矩阵与通用安全需求
访问控制设计思想
橘皮书的这个 词汇介绍里面,给出的这个访问控制的定义是这样的, 就访问控制呢是这样的一种机制,那么这种机制呢是系统用来授予 你去访问一些数据或者说去执行某一些操作的这样的一个 权限、 授予、 或者是吊销,这样的一个权限的这样一个 机制。
定义主体 定义客体 定义权限
安全需求:
- 机密性:防止泄露(泄露:资源的内容、资源的存在性)。
- 机密性的保护:加密(传统方法)、访问控制
- 完整性:数据防篡改,包括数据本身内容完整性和数据来源完整性
- 完整性的保护:访问控制
- 可用性:也是希望这个系统不因为有恶意用户导致这个系统不能够向外继续提供服务。可用性通常是指的我们所期望的这些信息或者资源 总是能够对外提供服务的。
- (可追究性):在计算机系统里面通常要提供相应的办法来 这个使得我们的将来日后可以对这个系统的一些恶意的行为 或一些故障的行为可以进行追究。
- 可追究性实现:标识与鉴别、审计
2.2 安全三要素与安全策略
安全三要素:
- 安全策略:规范系统的安全性的定义:一个安全策略就是一种陈述 可以把系统的状态划分成两类,一种就是这个授权状态或者说安全状态,一种就是非授权状态 那么这个就是我们所说的这个安全策略
- 安全机制:系统怎样做才能实现安全性的功能
- prevention:怎样加强系统的安全性
- 监测:检测内外部威胁
- 恢复 再出现安全事件后怎样恢复到安全状态
- 引用监控器 :用来仲裁系统里面主体对客体的所有访问过程;在计算机系统里面,实施系统安全策略的所有的硬件和软件的组合
- 安全保证:安全机制所做的功能能否达到预期保护效果,能否抵抗一些威胁
2.5 安全周界与可信计算基等概念
什么是系统边界和安全周界呢? q
大家知道,软件开发员,开发工程师在开发一个系统的时候 那么他可能要知道我要开发的是一个什么样的系统 哪些东西是在我的考虑范围之内的,所以的话在开发一个系统的时候 在这个开发员所管理或所控制的这个范围之内的这些资源 那么我们都认为是属于这样的一个系统边界 比如说你希望保护的这个系统,凡是在你希望保护的这个系统 这个范围之内的这些组件,还有一些这个 通讯的环境都属于我们的这个 系统之内,所以的话,把纳入这个你所考虑范围内的这些实体 统称为这个,之外的这个边界,我们统称为系统边界 那么在计算机系统里面同样也又包括两种类型的组件 一种类型的组件呢,它就是来负责系统的这个安全性的,那么其它的呢就是跟安全无关的组件 所以的话,我们把在这个跟安全有关的这些相关的组件 我们如果列在这个我们的内部控制之内,那么这个 边界我们就叫做安全周界 也就是说安全周界里面是我们跟安全有关的组件 安全之外是这个系统里面跟安全不相关的这些组件 这就是我们所说的系统边界和安全周界
自主访问控制机制讨论题目
一、关于 Linux 内核“主体”的数据结构
- uid、euid、suid、fsuid 的含义和用途:
- uid(真实用户 ID):代表进程的实际所有者的用户ID。它确定了进程的真正归属用户。
- euid(有效用户 ID):用于确定进程在执行特定操作时的有效权限。很多情况下,进程以有效用户ID的权限来检查对资源的访问权限。
- suid(设置用户 ID):当一个程序设置了SUID 位时,该程序在执行时将以文件所有者的有效用户 ID 运行,而不是以启动该程序的用户的有效用户 ID 运行。这在需要特定权限来执行某些操作的程序中很常见,例如 passwd 命令,它需要修改 /etc/passwd 文件,所以以 root 用户的权限运行。
- fsuid(文件系统用户 ID):用于文件系统操作的用户 ID。在进行文件系统访问时,内核会根据具体情况使用 fsuid 来确定访问权限。
- 与标识和鉴别机制的关系:
- 这些 ID 是 Linux 系统中标识和鉴别用户的重要组成部分。通过不同的用户 ID,系统可以确定进程的所有者和执行者,以及他们对各种资源的访问权限。标识机制通过这些 ID 来唯一标识不同的用户和进程,而鉴别机制则在用户登录等过程中验证用户的身份,并为进程分配相应的 ID。
二、关于 Linux 内核“客体”的数据结构及添加安全标签
- Linux 内核客体的数据结构:
- 文件:包含文件的元数据,如文件名、文件大小、权限、所有者等信息。
- 目录:存储目录的元数据,包括目录下的文件和子目录列表等。
- 特殊文件:如设备文件,有特定的设备相关的元数据。
- 设备:设备的数据结构包含设备的类型、状态、驱动程序相关信息等。
- IPC 客体(消息队列、共享内存、信号量、信号):各自有不同的数据结构,用于管理进程间通信的相关信息。
- 为客体添加安全标签(如安全级)的方法:
- 可以通过扩展文件系统的属性来添加安全标签。例如,一些安全增强的 Linux 版本使用扩展属性来为文件和目录添加安全标签。这通常需要特定的工具和内核支持。
三、Linux 的块设备与字符设备的区别及相关数据结构
- 区别:
- 访问方式:
- 块设备以固定大小的块为单位进行数据传输,通常支持随机访问,可以在块设备上任意位置读取或写入数据块。例如硬盘、U盘 等存储设备。
- 字符设备以字符流的方式进行数据传输,通常只能顺序访问。例如串口、键盘等设备。
- 数据结构:
- 块设备的数据结构通常包括请求队列、I/O 调度器、设备驱动程序等部分,用于管理块设备的 I/O 请求和数据传输。
- 字符设备的数据结构相对简单,通常包括设备文件节点、设备驱动程序等部分,用于处理字符设备的输入输出操作。
- 举例:
- 块设备:硬盘、固态硬盘等存储设备,以块为单位进行读写操作。
- 字符设备:串口设备,数据以字符流的形式依次传输。
四、Linux 2.6 系统中与 DAC 相关的命令
- chmod 命令:用于改变文件或目录的权限。通过设置不同的权限位,可以控制文件或目录的读、写、执行权限对于所有者、所属组和其他用户的分配。
- chown 命令:用于改变文件或目录的所有者和所属组。可以将文件或目录的所有权转让给其他用户或组。
- setfacl 命令:用于设置文件或目录的访问控制列表(ACL),可以更精细地控制文件或目录的访问权限,允许为不同的用户或组设置不同的权限。
- chfacl 命令:与 setfacl 类似,用于修改文件或目录的 ACL。
五、在 Linux 2.6 以上内核中找出客体的 DAC 数据结构
在 Linux 2.6 以上内核中,可以通过查看文件系统的元数据来找到客体(如文件/目录)的 DAC 数据结构。传统的 9Bit 模式表示文件的所有者、所属组和其他用户的读、写、执行权限。ACL 模式则提供了更精细的权限控制,可以为不同的用户或组设置不同的权限。可以使用命令如
ls -l 查看文件的权限信息,或者使用工具如 getfacl 查看文件的 ACL 信息。六、关于 Linux 的 SETUID 机制及特殊权限位含义
- Linux 的 SETUID 机制:当一个程序设置了 SETUID 位时,该程序在执行时将以文件所有者的有效用户 ID 运行,而不是以启动该程序的用户的有效用户 ID 运行。这使得普通用户可以执行一些需要特定权限的程序。
- 特殊权限位含义:
- S_ISUID:设置用户 ID 位。当文件设置了这个位时,执行该文件的进程将以文件所有者的有效用户 ID 运行。
- S_ISGID:设置组 ID 位。类似 S_ISUID,但作用于组 ID。执行文件的进程将以文件所属组的有效组 ID 运行。
- S_ISVTX(STICKY 位):粘滞位。对于目录,设置了这个位后,只有文件的所有者、目录的所有者或超级用户可以删除该目录下的文件。对于可执行文件,其具体含义可能因系统而异。
系统完整性保护
- 存储数据的完整性
- 传输数据的完整性
- 处理数据的完整性
第二种方案比第一种方案强度更高。第一种方案只要求对数据的完整性进行检测,即希望系统能检测到数据的完整性是否受到损害;第二种方案不仅知道数据完整性是否被破坏,还可以将劈坏的部分恢复。
传输数据的完整性强调数据在一方传递在另一方的过程中,数据不要发生变化。第一个能力要求是数据交换完整性检测,可以检测出传输过程中出现篡改(比如在数据后面加一段哈希值,传送到对方后重新计算哈希值比对)但无法定位篡改部位,无法恢复;第二种对源数据交换恢复,但依赖于源端提供一些帮助;第三种目的数据交换恢复,不需要源端帮助
处理数据的完整性,数据在一端做计算、存储处理、解密等操作时,怎样保证数据不会出现问题。两个级别的要求:
- 基本回退:操作过程中如果出现中断,但不希望回到原始位置重新开始—>从某个断点开始;要求有回退点
- 高级回退:允许对客体当中,列表当中的所有操作 不是指定的某一两个操作才可以回退
可信恢复机制
状态模型
建立状态模型的步骤
怎样证明安全模型满足了系统期望的安全性?
模型元素
RA 请求模式
- get类
- release
- give
请求模式R
删除客体,只需要名称
改变主体安全级别,涉及主体安全级参数
改变客体安全级别,涉及客体安全及参数
DTE
有关Notion安装或者使用上的问题,欢迎您在底部评论区留言,一起交流~
- Author:NotionNext
- URL:https://tangly1024.com/article/13bdf6db-5286-802e-8684-f0a5db524e9f
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!