欧洲信息技术安全标准(ITSEC)
这项审查是根据1991年6月以法国、德国、荷兰和联合王国四个国家的名义发表的这些标准的第1.2版进行的。
欧洲标准考虑信息安全工具的以下任务:
保护信息免受未经授权的访问,以确保机密性;
通过保护信息免受未经授权的修改或破坏来确保信息的完整性;
通过应对拒绝服务威胁来确保系统的健康。
"欧洲标准"区分了系统和产品。
系统是一种特定的硬件和软件配置,具有明确定义的目标,并在已知环境中运行。
产品是一种硬件和软件"软件包",可以自行购买并集成到特定系统中。
因此,从信息安全的角度来看,系统和产品之间的主要区别在于系统具有可以进行任何详细定义和研究的特定环境,并且产品必须设计用于各种条件。
对系统安全的威胁是相当具体和真实的。 关于对产品的威胁,人们只能做出假设。 开发人员可以指定适合产品功能的条件;由买方确保满足这些条件。
出于实际原因,重要的是要确保评估产品和系统的标准的统一-促进和降低评估由以前认证的产品组成的系统的成本。 在这方面,系统和产品引入了一个单一的术语-评估的对象。 在适当的地方进行预订,哪些要求仅适用于系统,哪些要求仅适用于产品。
为了满足机密性、完整性和可操作性的要求,需要实现一组适当的安全功能,例如识别和认证、访问控制、灾难恢复等。 为了使防护设备被认为是有效的,需要对其选择的正确性和功能可靠性有一定程度的信心。 为了解决这个问题,在"欧洲标准"中首次引入了防护设备充分性(保证)的概念。
对系统安全级别的总体评估包括防护设备的功能能力及其实施的充分程度。
大多数安全要求与橙皮书的类似要求相吻合。
"欧洲标准"定义了十个安全等级。 类F-C1,F-C2,F-B1,F-B2,F-B3对应于具有类似名称的橙皮书的安全类。
F-IN类专为具有高完整性要求的系统而设计,这是数据库管理系统的典型特征。
它的描述基于与用户活动类型相对应的"角色"概念,并且仅通过可信过程提供对某些对象的访问。 必须区分以下访问类型:读取、写入、添加、删除、创建、重命名和执行对象。
F-AV类的特点是提高了性能要求. 这对于例如过程控制系统来说是必不可少的。
此类的要求规定,必须在单独的硬件组件发生故障后恢复系统,使所有关键功能始终可用。 应在相同模式下更换系统组件。 无论负载级别如何,都必须保证一定的系统对外部事件的响应时间。
F-DI类专注于分布式信息处理系统。
在开始交换和收到数据之前,各方应该能够识别互动的参与者并验证其真实性。 应使用误差控制和校正工具。 特别是,在发送数据时应检测地址和用户信息的所有意外或故意错误陈述。 失真检测算法的知识不应该允许攻击者非法修改传输的数据。 必须检测重传先前传输的消息的尝试。
F-DC类特别关注传输信息的保密性要求。
通信信道上的信息必须以加密形式传输。 加密密钥可防止未经授权的访问。
F-DX类对信息的完整性和机密性提出了更高的要求.
它可以被认为是具有附加加密和流量分析保护功能的F-DI和F-DC类的组合。 对先前传输的信息的访问应该受到限制,这原则上可以促进密码分析。
充分性的标准。 充分性包括两个方面:有效性,反映安全工具对要解决的任务的遵守情况,以及正确性,表征其发展和运作的过程。
效率是分配给安全工具的任务与实施的保护功能集之间的对应关系-它们的功能完整性和一致性,易用性,以及攻击者利用安全漏洞可能产生的后果。
正确性-安全功能实现的正确性和可靠性。
欧洲标准更多地关注防护设备的充分性,而不是功能要求。 如前所述,充分性由两个部分组成-防护设备操作的有效性和正确性。
欧洲标准定义了七个充分程度-从E0到E6。 在充分性检查期间,分析系统的整个生命周期-从初始设计阶段到操作和维护。 从E1到E6的充分程度是根据彻底控制的日益增长的要求建立的。 因此,在E1级别,只分析系统的一般架构,并通过功能测试确认保护手段的充分性。 在EC层面,程序和硬件原理图的源代码参与分析。
在E6级别,需要对安全功能,整体架构以及安全策略进行正式描述。
欧洲标准定义了三个安全级别-基本,中等和高。 系统安全程度由最弱的关键保护机制决定。
安全被认为是基本的,如果保护手段能够承受个别随机攻击。
如果保护手段能够抵抗资源和能力有限的入侵者,则安全被认为是平均的。
最后,如果有信心保护手段只能由具有高资质的攻击者克服,则可以认为安全性很高,其能力和资源集超出了可能的范围。
因此,在橙皮书之后出现的欧洲信息技术安全标准对安全标准和认证方法产生了重大影响。
本文件的主要成就是引入了防护设备充分性的概念,并为充分性标准定义了单独的量表。 如前所述,欧洲标准更加重视防护设备的充分性,而不是其功能。 这种方法在许多后来的信息安全标准中使用。
