Đang tải... (xem toàn văn)
Tổng quan về tiêu chuẩn an toàn thông tin của châu âu - itsec
Nhóm 4 Nội Dung Trình Bày : Khái niệm – Lịch sử của ITSEC Tính chất – Tiêu chí – Phạm vi Callenges Forward Conclusion 1 2 Các chế độ hoạt động trạm-chủ trong thư tín điện tử Lớp Chức năng – Lớp Đảm Bảo 3 So sánh ITSEC & TCSEC 4 Những tồn tại của ITSEC 5 Khái niệm ● ITSEC là những tiêu chuẩn đánh giá của bốn quốc gia (Pháp, Đức, Hà Lan, và Vương quốc Anh) ● ITSEC sẽ cung cấp một thước đo để đo lường sự an toàn của CNTT ● ITSEC được sử dụng để đánh giá kết quả chứng nhận sự an toàn có thể được đặt trong một sản phẩm hoặc hệ thống Lịch sử của ITSEC ● Phiên bản đầu tiên của ITSEC (Version 1.0) được xuất bản tháng 5 năm 1990 và đã được xem xét và thảo luận ở một hội nghị quốc tế với khoảng 500 người tham gia tại Brussels trong tháng 9 năm 1990. Sau đó thì Version 1.1 được công bố vào tháng 1 năm 1991 từ thông tin bổ sung của 4 quốc gia (Pháp, Đức, Hà Lan, và Vương quốc Anh) ● Trong tháng tư năm 1991 đã có khoảng 50 chuyên gia đã đóng góp đáng kể vào việc rà soát lại Version 1.0 đã được mời tham dự một cuộc hội thảo thứ hai. Phiên bản hiện tại (Version 1.2) đã được ban hành trong tháng 6 năm 1991 và dự định được đưa vào sử dụng sau hai năm đánh giá và kiểm duyệt.Từ kinh nghiệm thu được này quá trình đánh giá được tiếp tục đẻ phát triển hơn nữa ITSEC. ITSEC ● Ngoài ra, Hà Lan ra thì đóng góp cho ITSEC còn có thể nói đến tiêu chuẩn của Mỹ, "Trusted compu-ter Security " (TCSEC) của Bộ Quốc phòng Mỹ[US_DOD 1983,1985], TCSEC có nhiều ảnh hưởng đến tất cả các tài liệu trên. Mặc dù có nhiều điểm đánh giá khác nhau một vài khác biệt BẢNG SO SÁNH 3 TIÊU CHUẨN Tiêu chí TCSEC ZSISEC ITSEC Ngày xuất bản 1983/85 1989 1990/91 Phương pháp tiếp cận Bảo mật Bảo mật , Toàn vẹn ,Sẵn sàng Bảo mật , Toàn vẹn ,Sẵn sàng Chứcnăng & Chất lượng Liên kết Tách biệt Tách biệt Phân loại 7 lớp chức năng F-Q 8 mức Q 10 lớp F 7 mức E 10 lớp F Cơ quan chứng nhận 1 1 4 Đánh giá của cơ quan 1 (cơ quan cấp giấy chứng nhận) 1 1 Băng thông kênh ngầm 0.1 bit/s 1 bit/s Quy định cụ thể trong phụ lục ITSEC ● Đây cũng là những sự kết hợp đầu tiên của 4 quốc gia . Năm 1990, dự án tiêu chuẩn hóa "Tiêu chuẩn đánh giá cho CNTT secu-rity" đã được khởi xướng trong ISO / IEC JTC1/SC27. Dự án bao gồm 3 "Giới thiệu và mô hình" tiểu dự án, "Chức năng", và "đảm bảo". ITSEC được dự kiến sẽ được là cơ sở cho điều này Tính chất của ITSEC ● ITSEC phân biệt giữa các hệ thống và các sản phẩm ● Một "hệ thống" là một sự kết hợp cứng và phần mềm phù hợp với nhu cầu của một môi trường hoạt động cụ thể. Một "sản phẩm" là một phần của phần mềm cứng và / hoặc tiêu chuẩn có thể được tích hợp vào hệ thống. Sự khác biệt chính về an ninh là: Đối với một hệ thống môi trường hoạt động được biết đến, còn một sản phẩm thường là không. Hệ thống và các sản phẩm thường được gọi là "mục tiêu đánh giá". ● Đánh giá và chứng nhận: Cơ sở của đánh giá là "mục tiêu an toàn" bao gồm các mục tiêu bảo mật cụ thể, các mối đe dọa, định nghĩa của chức năng bảo mật thực thi, và tất cả các cơ chế bảo mật được sử dụng bởi một TOE Tính chất của ITSEC ● Ngoài ra, mức độ đánh giá mong muốn được quy định cụ thể. Chức năng bảo mật thực thi có thể là quy định riêng lẻ hoặc bằng cách tham khảo một trong những "lớp chức năng". Nếu chức năng bảo mật thực thi là cá nhân xác định, nó được khuyến khích để trình bày chúng theo "tiêu đề chung chung" sau đây: ● Nhận dạng và xác thực ● Kiểm soát truy cập ● Trách nhiệm giải trình ● Kiểm toán ● Đối tượng tái sử dụng ● Độ chính xác ● Độ tin cậy của dịch vụ ● Trao đổi dữ liệu Tiêu chí và Phạm vi của ITSEC ● Các tiêu chí về chức năng được ước lượng dựa trên các mức đánh giá từ F1 đến F10 với F1 là mức đánh giá thấp nhất. Mức đánh giá F1 tương đương thô với mức đánh giá C1 của TCSEC. Tương ứng mức đánh giá F5 sẽ tương đương thô với mức đánh giá A1 của TCSEC. Các mức đánh giá chức năng từ F6 đến F10 được gắn thêm vào các khái niệm : F6 - Nguyên vẹn chương trình và dữ liệu, F7 - Sẵn sàng làm việc của hệ thống, F8 - Nguyên vẹn liên lạc dữ liệu, F9 - Bí mật liên lạc dữ liệu và F10 - An toàn mạng kể cả bí mật và nguyên vẹn. Mỗi sản phẩm có thể được đánh giá chức năng với nhiều mức chức năng đồng thời, ví dụ (F1, F4 và F5). [...]... năng không an toàn không được thêm vào ●V1.2 khía cạnh của tính năng an toàn bổ sung biến mất khỏi § 4,24 § E6.5 và § E6.11 trong V1.1 bị chỉ trích về ITSEC & TCSEC ITSEC hơn TCSEC, nhưng hạn chế trong thực tiễn phát triển cho phép của nó ●Xuyên suốt TCSEC là sự kết hợp của cả an ninh thực thi và các phần bảo mật có liên quan của một TOE ITSEC có nhiệm vụ kiểm soát truy cập được thực hiện thông qua... các lớp chức năng F-B2 và F-B3 ITSEC cung cấp chức năng kết hợp các lớp có chức năng tương đương TCSEC ITSEC & TCSEC ●TCSEC mục đích để phù hợp với chính sách bảo mật của Bộ Quốc phòng Mỹ ITSEC được phát triển hài hoà với an ninh châu Âu và khác nhau ở tiêu chuẩn chương trình có chứa một số yêu cầu mà không xuất hiện trong TCSEC một cách rõ ràng Vấn đề còn tồn tại của ITSEC ITSEC có thể làm tăng... E2 Tiêu chí và Phạm vi của ITSEC ● Hai loại mức đánh giá chức năng và đảm bảo của ITSEC có thể kết hợp lại để chuyển đổi thô sang các mức phân loại của TCSEC ● Tuy vậy cũng cần biết rằng những chuyển đổi này không phải là chuyển đổi hai chiều Do sự phân chia an toàn mịn hơn tạo ra từ sự phân tách giữa chức năng và đảm bảo mà chia mức an toàn TCSEC không thể chuyển đổi duy nhất sang mức phân chia ITSEC. . .Tiêu chí và Phạm vi của ITSEC ● Các tiêu chí về tính đúng đắn được sử dụng để ước lượng mức đảm bảo mà sản phẩm được kiểm định có thể đạt tới ● Các mức đánh giá là : E1-Kiểm định, E2-Phân bố được kiểm soát và kiểm soát cấu hình, E3-Truy cập đến thiết kế chi tiết và mã nguồn, E4-Phân tích tổn thương tăng cường, E5-Tương ứng diễn giải được giữa thiết kế và mã nguồn, E6-Các mô hình hình... giá và xác nhận của TOEs mà làm việc mà không cần thu thập thông tin người liên quan không cần thiết Lớp Chức năng của ITSEC ● Các TOEs bảo vệ người dùng bằng cách giữ dữ liệu của họ bí mật chỉ có thể được phân loại bằng các tiêu đề chung ● Điều này cũng đúng cho các TOEs bảo vệ người dùng bằng cách làm cho họ người dùng hoạt động ("Người dùng" là những người có dữ liệu "người sử dụng đang làm việc với... chia mức ITSEC Chức năng Phân chia mức TCSEC Đảm bảo E0 D F1 E2 C1 F2 E2 C2 F3 E3 B1 F4 E4 B2 F5 E5 B3 F5 E6 A1 Lớp Chức năng của ITSEC ● ITSEC phân chia các khía cạnh chức năng của hệ thống bảo mật ở hai cấp độ Các tiêu đề chung chung không đưa ra một cấu trúc phù hợp cho vấn đề của máy tính Ví dụ các lớp chức năng bao gồm một phạm vi nhỏ hơn với ITSEC dường như ngay từ cái nhìn đầu tiên ● ITSEC V1.2... năng đặt họ vào nguy cơ) Vì vậy, các ITSEC dường như không được tập trung vào các vấn đề của người sử dụng cũng như của các người dùng Lớp Đảm bảo của ITSEC ● Hiệu quả của các chức năng bảo mật phụ thuộc rất nhiều vào sức mạnh của cơ chế sử dụng Vì vậy, một quy mô phân loại các cơ chế đã tồn tại Ngoài ra, đối với một đánh giá quốc tế của cơ chế bảo mật được mục tiêu, các thuật toán phải được công bố... không phù hợp cho các hệ thống chứng nhận an toàn Điều này đã được ghi trong các đánh giá của cơ chế mã hóa để tránh thái độ quốc gia để sử dụng cơ chế mã hóa bí mật ● Việc sử dụng các kênh bí mật có thể phá vỡ tất cả các chính sách an ninh đối phó với bí mật và do đó có được coi là một khía cạnh của hiệu quả Qúa trình đánh giá của ITSEC ● Đánh giá và chứng nhận của TOEs có giá trị mãi mãi và TOEs được... [Bürk, Pfitzmann 1990] Holger Bürk, Andreas Pfitzmann: Value Exchange Systems Enabling Security Unobservability; Computers & Security 9/8 (1990) 71 5-7 21 ● [CEC 1991_1] (Informal) EC advisory group SOG-IS: Information Technology Security Evaluation Criteria (ITSEC) – Provisional Harmonised Criteria; Version 1.2, 28 June 1991, 163 pages (obtainable free of charge from CEC; Directorate XIII/F; SOG-IS Secretariat;... ITSEC có thể làm tăng và giảm tính dễ bị tổn thương của xã hội ITSEC được sử dụng bởi người chưa tưng ̀ trải như các mối đe dọa nhất định sẽ được bỏ qua mà không có bất kỳ tài liệu hướng dẫn của thực tế này ●Các tiêu đề và phần phạm vi cần được thu hẹp ●Phê bình ,phản ứng phải được công bố ●Quá trình phát triển của các tiêu chí phải ●Cần bổ sung vào ITSEC ●Các TOEs phải được tái đánh giá liên tục ●Trường . tại của ITSEC 5 Khái niệm ● ITSEC là những tiêu chuẩn đánh giá của bốn quốc gia (Pháp, Đức, Hà Lan, và Vương quốc Anh) ● ITSEC sẽ cung cấp một thước đo để đo lường sự an toàn của CNTT ● ITSEC. biệt Phân loại 7 lớp chức năng F-Q 8 mức Q 10 lớp F 7 mức E 10 lớp F Cơ quan chứng nhận 1 1 4 Đánh giá của cơ quan 1 (cơ quan cấp giấy chứng nhận) 1 1 Băng thông kênh ngầm 0.1 bit/s 1 bit/s. phát triển hơn nữa ITSEC. ITSEC ● Ngoài ra, Hà Lan ra thì đóng góp cho ITSEC còn có thể nói đến tiêu chuẩn của Mỹ, "Trusted compu-ter Security " (TCSEC) của Bộ Quốc phòng Mỹ[US_DOD