یتینما یبایزرا :16 سرد -...

امنیت داده و شبکه محمد صادق دوستی

صنعتی شریف دانشگاه آزمایشگاه امنیت داده و شبکه دانشکده مهندسی رایانه

محمد صادق دوستی

http://dnsl.ce.sharif.edu

ارزیابی امنیتی: 16درس

1 / 47


فهرست مطالب

های‏متدولوژیقابل اعتماد و های‏سیستم ‏ارزیابی

بخشی‏اطمینان‏های‏روش

استانداردTCSEC‏ استانداردITSEC‏ استانداردFIPS-140‏ استانداردCC‏

2 / 47


های قابل اعتماد سیستم

کامل استامنیت نهایی، هدف...

ولی در عمل قابل دستیابی نیست.

یک سیستم قابل اعتماد(Trusted System) سیستتمی استت ،

که نیازهتا امنیتتی صاصتی را حتت شترایص مشرآتی بترآورده

.سازد می

مرتلفی برا ارزیابی امنیتی وجود دارند ها متدولوژ و ها روش.

ا روشها صور ساصتیافتهاز روشها غیر (Formal)

3 / 47


ارزیابی های متدولوژیموارد پوشش داده شده توسط

امنیتی سیستم کارکردها عریف : نیازمندیهای امنیتی.

اقتداما یتیت وستعه سیستتم، : نیازمندیهای اطمینان بخشی

.جهت یآول نیازمندیها امنیتی

روشی برا بررسی ارضا نیازمنتدیها امنیتتی :روش ارزیابی

. وسص سیستم با حلیل شواهد اطمینان برشی

ستطح )معیار برا عییت سطح نتایج ارزیتابی :معیار ارزیابی

(اعتماد

4 / 47




وارسی های‏روش


5 / 47


(Pen testیا Penetration Testing)آزمون نفوذ

وجتود یتک مشتکل را مشترد کنتد ولتی وانتد متی آزمون نفوذ .کند نمی ضمینی برا عدم وجود آن فراهم

انواع آزمون نفوذ:

آزمون سیستم بدون اطالع از ساصتار داصلی :آزمون جعبه سیاه (.صروجی هامرتلف و بررسی ورود ها فقص با دادن )آن

و ساصتار داصلتی سیستم با اطالع از آزمون : جعبه سفیدآزمون .آن ساز پیادهنحوه

آزمتون رتر ) رکیت دو روش فتوق : خاکستریآزمون جعبه (.فقص از برشهایی از ساصتار داصلی سیستم اطالع دارد

6 / 47


وارسی صوری

شود می وصیف و یا مدل صور سیستم مورد نظر به صور.

قضتیه صآوصیا امنیتی مورد انتظار به عنوان یک (Theorem )

.شوند( Verify)وارسی واثبا که باید شوند میبیان

بزرگ، استفاده از ایت روش عملی نیست ها سیستمبرا:

نیاز به زمان زیاد

پیچیدری بسیار زیاد در وصیف و وارسی

استفاده نمود؛ ولتی وان میقضیه خودکار اثبات های سیستماز

.انسانی زیاد دارد ها فعالیتبا ایت یال نیاز به 7 / 47


ارزیابی استاندارد

برا افراد غیر مترآد، ارزیابی استاندارد بته وستیله مراجته بهتتریت .روش است

برصی استانداردها موجود برا ارزیابی:

U.S. TCSEC

German IT-Grundschutz (IT Baseline Protection)

Canadian CTCPEC

British Criteria

European ITSEC

Common Criteria (CC)

FIPS 140

8 / 47




وارسی های‏روش


9 / 47

47 / 10 امنیت داده و شبکه محمد صادق دوستی

TCSEC نارنجی کتاب»یا »(Orange Book)


TCSEC: Trusted Computer Security Evaluation Criteria

وصیف کننده معیارها ارزیابی امنیتی رایانه قابل اعتماد کتاب

ارائه شده به وزار دفاع آمریکا(DoD ) وسص NSA در اواصتر دهته (.1985و 1983: انتشار) 70

دسته بند سیستمها مورد ارزیابی به چهار برش(Division:)

برشD (کمتریت امنیت) ،C ،B وA (بیشتریت امنیت)

هر برش می واند شامل یک یا چند رده(Class )باشد.

برشC دو رده شاملC1 وC2

برشB شامل سه ردهB1 ،B2 و ،B3

برشA شامل دو ردهA1 فرا ر از »وA1»

11 / 47


محاسبات مطمئنپایگاه : مفاهیم اصلی

TCB: Trusted Computing Base

برا امنیت سیستم ییتا ی که سرت افزار/ نرم افزار مام مجموعه

هستند، یعنی صطا یا آسی پذیر آن می واند امنیت کل سیستم

.را به صطر بیندازد

هرچه کوچکتر، بهتر!

12 / 47


(Reference Monitor)ناظر ارجاع : مفاهیم اصلی

برشی ازTCB که آتمیما کنتترل

.دسترسی را اعمال می کند

سه ویژری:

غیر قابل دستکار(Tamperproof)

میتتتتانجی رتتتتر (Mediation ) در هتتتتر

دسترسی

یداقل اندازه ممکت ا حلیل و آزمتودن آن

.میسر باشد

13 / 47


سیستمها رده بندی/ بخشبندینحوه ارزیابی و

TCSEC سه هتدف کنترلتی(Control Objective ) در نظتر

/ برشتبند می ریرد و بر اساس نحوه ارضتا آنهتا، سیستتمها را

:می کند رده بند

سیاست امنیتی(Security Policy :)بیان نیازمندیها امنیتی.

یستتابرس پتتذیر (Accountability :) قابلیتتت سیستتتم بتترا

مشرد کردن فرد یا افتراد دصیتل در انجتام اعمتالی مشترد در

(ممیز و آدیق هویت ، شناساییشامل . )سیستم

اطمینان برشی(Assurance :) ضمیت اینکته سیاستت امنیتتی

.یاد شده به درستی وسص سیستم پیاده ساز شده است

14 / 47


TCSECبخش های

بخشD – سیستم ارزیابی شد، ولی قادر بته کست :حفاظت کمینه

.رده باال ر نبود

بخشC – حفاظت اختیاری(Discretionary)

عوامل یسابرسی+ کنترل دسترسی اصتیار

بخشB – اجباری حفاظت(Mandatory)

و کنترل دسترسی اجبار برچس رذار یفاظت از صحت به کمک

بخشA – وارسی شده حفاظت(Verified)

بیان صور نیازمندیها و ارزیابی صور آنها

15 / 47


C1رده - TCSEC رده های

یفاظت امنیتی اصتیار(Discretionary Security Protection)

سیاست امنیتی: TCB بایتد دسترستی بتیت کتاربران و اشتیا را

هر کاربر می واند نتوع دسترستی دیگتران بته . عریف و کنترل کند

.صود را معیت نماید ملکاشیا حت

شناسایی و آدیق هویت کاربران: یسابرس پذیر

جداستتتاز : اطمینتتتان برشتتتیTCB کنتتتترل دوره ا صتتتحت ،

نرم افزار، آزمون/سرت افزار

16 / 47


C2رده - TCSEC رده های

شده کنترلیفاظت دسترسی (Controlled Access Protection)

مانند :سیاست امنیتیC1 + مجوزهاانتشار محدودساز امکان +

پیش از انتساب مجدد آن( Wipe)پاکساز امت یافظه

مانند : یسابرس پذیرC1 + مشترد شتده اعمالامکان انتساب

به کاربران

مانند : اطمینان برشیC1

17 / 47


B1رده - TCSEC رده های

برچس با یفاظت امنیتی (Labeled Security Protection)

ماننتد :سیاست امنیتتیC2 + اشتیا و کتاربران برچست رتذار

و امکان کنترل دسترسی ( Sensitivity)بریس میزان یساسیت

TCBاجبار وسص

ماننتد : یسابرس پتذیرC2 + نگهتدار امتت اطالعتا آتدیق

نگهتتدار امتتت رد ممیتتز + TCB وستتص برچستتبهاهویتتت و

(Audit Trail ) وسص TCB

مانند : اطمینان برشیC2 + بیان غیرصور یا صور سیاستتها

آزمون جعبه سفید و یذف مام اشکاال + امنیتی

18 / 47



ساصتیافتهیفاظت (Structured Protection)

مانند :سیاست امنیتیB1 + مسیر مطمئت برا ورود به سیستتم

TCBهویت بیت کاربر و و آدیق

مانند : یسابرس پذیرB1 + حلیل کانالها پنهان (Covert + )

و اپرا ور ( Admin)جداساز نقشها ناظر

مانند : اطمینان برشیB1 + سیاست امنیتی صوری مدل ساز +

مدیریت پیکربند

19 / 47



قلمرو امنیتی(Security Domains)

مانند :سیاست امنیتیB2 +امکان عریف لیست عدم دسترسی

مانند : یسابرس پذیرB2 + امکتان + عریف نقش نتاظر امنیتتی

برا ناظر امنیتی شرید نفوذ و صدور هشدار

ماننتتد : اطمینتتان برشتتیB2 + وصتتیف چگتتونگی طرایتتی و

رمیم صرابی+ TCBدر ناظر ارجاع پیاده ساز

20 / 47


A1رده - TCSEC رده های

وارسی شدهطرایی (Verified Design)

از نظر عملکرد معادلB3 است؛ هیچ ویژری جدید در ستطح

.نیازمندیها امنیتی یا معمار به آن اضافه نشده است

ویژری متمایز آن در نوع حلیل و کنیکها وارستی استت کته از

. وصیف صور طرایی مشتق می شود

سطح اطمینان باال از اینکهTCB بته درستتی پیتاده ستاز شتده

.است

21 / 47


TCSECفرآیند ارزیابی

(Application)درصواست 1.

(PTRیا Preliminary Technical Review)بررسی فنی اولیه 2.

بررسی آماده بودن محآول برا ارزیابی

ارزیابی3.

(از نظر کامل و صحیح بودن) حلیل مستندا طرایی

حلیل آزمون

بازبینی نهایی

(Ratings Maintenance Program)درجه برنامه نگهدار 4.

نیاز به ارزیابی مجدد داردزمانی سیستم چه کند میمشرد.

22 / 47


TCSEC :معایب و مشکالت

همبستگی بیت اهداف امنیتی و سطوح اطمینان برشی

ولتتی « اهتتداف امنیتتتی کتتم »بتتا رده هتتاییعتتدم وجتتود : مثتتال

«اطمینان برشی باال»

بترا رده )فرآیند ارزیابی بسیار رران و طتوالنیA1 1/5، یتدود

(ماه 24 ا 18میلیون دالر و بیت

مرتد نیازمندیها دولت؛ عدم سازرار با نیازها جار

صاصTCB (نظیر شبکه)؛ عدم پوشش سایر موارد

معرفی سر رنگیت کمان

23 / 47


(Rainbow Series)سری رنگین کمان

24 / 47


برخی از کتابهای سری رنگین کمان

1. Orange Book: DoD Trusted Computer System Evaluation Criteria,

1983.

2. Green Book: DoD Password Management Guideline, 1985.

Guidance for Applying TCSEC in Specific

Environments, 1985.

4. Neon Orange Book: Discretionary Access Control in Trusted

Systems, 1987.

5. Red Book: Trusted Network Interpretation, 1987.

6. Aqua Book: Glossary of Computer Security Terms, 1988.

7. Amber Book: Configuration Management in Trusted Systems, 1988. 8. Tan Book: A Guide to Understanding Audit in Trusted Systems, 1988.

9. Bright Blue Book: Trusted Product Security Evaluation Program,

1990.

…

25 / 47




وارسی‏های‏روش


26 / 47


ITSECاستاندارد

الشها فرانسه، آلمتان، جمیه)استاندارد ارزیابی امنیتی در اروپا (انگستانهلند و

نیازمنتتدیها از ( بیتتانگر نیازمنتتدیها امنیتتتی )اهتتداف امنیتتتی .اند شده فکیک ( در سطوح ارزیابی عریف شده) اطمینان برشی

اهداف امنیتی وسصITSEC مشترد نمتی شتوند، بلکته ولیتدمشترد Security Targetکننده اهداف سیستم را در مستتند

.می کند

ستتطوح ارزیتتابی مطتتابق میتتزان اطمینتتان از ارزیتتابی استتت و بتته .نیازمندیها امنیتی لحاظ شده ار باطی ندارد

27 / 47


ITSEC – سطوح ارزیابی

E0 : اطمینان یا اطمینان ناکافیعدم.

E1: سیستم وصیف غیرصور معمار

آزمون عملکرد باید نشان دهنده ارضا وصتیف فتوق ( مستند)نتایج

. وسص سیستم باشد

E2 : نیازمند ها عالوه برE1 ،وصیف غیرصور طرایی فآیلی

(مستند )آزمون عملکرد باید ارزیابی شود.

وجود سیستم کنترل پیکربند

مورد أیید( رساندن سیستم به دست مشتر )وجود فرآیند انتشار

28 / 47



E3 : عالوه بر نیازمنتد هتاE2 ارزیتابی کتد مبتد ،(source )

مر بص با ساز و کارها امنیتی

(مستند ) ارزیابی شودباید سازوکارهاآزمون.

E4 : عالوه بر نیازمند هاE3 سیاستت صتور از ، وجتود متدل

امنیتی

سازوکارها امنیتی، طرایی معمار و طرایی فآتیلی بایتد بته

.بیان شوند( semiformal) نیمه صور صور

29 / 47



E5 : عالوه بر نیازمند هاE4 نزدیکتی بتیت کتد نتاظر ، وجود

مبد و طرایی فآیلی

E6 : عالوه بر نیازمند هاE5 و طرایی سازوکارها، بیان صور

معمار

بیان صور فوق باید با مدل صتور از معمتار امنیتتی سیستتم

.سازرار باشد

از زبان :مثالZ بترا اثبتا صتواص امنیتتی کار هتا هوشتمند

Mondex استفاده شد، که باال ریت سطح(E6 )را دریافت نمود.

30 / 47


ITSECمشکالت

اهتتداف امنیتتتی بتته انتتدازه نیازمنتتدیها امنیتتتی درTCSEC

.را القا نماید اعتبارسنجییس واند نمی

کنند میمحآوال اهداف را ارضا.

؟شود میولیکت آیا انتظارا کاربران برآورده

مرتلف ها ارزیابیناسازرار در

به اندازهTCSEC صور و دقیق نیست.

31 / 47




‏وارسی ‏های‏روش استانداردTCSEC‏ استانداردITSEC‏ استانداردFIPS-140‏ استانداردCC‏

32 / 47


FIPS 140استاندارد

FIPS: Federal Information Processing Standards

FIPS 140 را بیان می کند رمزنگار ماژول ها نیازمندیها.

کته عملکترد سترت افتزار مجموعته نترم افتزار و : رمزنگاری ماژول .رمزنگار را پیاده ساز می کند و در مرز مشرآی محآور است

آن 2در یتتال یاضتتر نستتره(FIPS 140-2 ) متتورد استتتفاده قتترار (.2001استاندارد شده در سال ) ریرد می

آصتریت پتیش نتویس ) رردد میجایگزیت 3نزدیک با نسره ا آیندهدر (.است 2013مربوط به سال 3نسره

است دارا چهار سطح امنیتی(Level 1 الیLevel 4.)

33 / 47


FIPS 140استاندارد

زمینه مشرد 11نیازمندیها در:

رمزنگار ماژولمشرآا 1.

ها واسصو ها پور وصیف، 2.

ماژول

و ها سرویس، ها نقش3.

آدیق هویت

(FSM)مدل یاال محدود 4.

امنیت فیزیکی5.

34 / 47

محیص عملیا ی6.

کلیدمدیریت 7.

ها مداصله8. الکترومغناطیسی

صودآزمونی9.

طراییاز اطمینان 10.

جلوریر از سایر یمال 11.




‏وارسی ‏های‏روش استانداردTCSEC‏ استانداردITSEC‏ استانداردFIPS-140‏ استانداردCC‏

35 / 47


CCمنابع استاندارد

36 / 47

V2.3 2005

V3.1 2006


Common Criteria

که در آن چارچوبی:

عملکرردی نیازمنتد هتا یک سیستم کامپیو ر می وانند کاربران

را بتا (SAR)امنیتی اطمینان بخشینیازمند ها و ( SFR)امنیتی

.بیان کنند (PP)حفاظتی پروفایل هایاستفاده از

محآتتول صتتود را ستتاصته و در متتورد امنیتتت آن کننتتدران ولیتتد ،

(.مشرد PPمثال طابق با یک یا چند )مطرح می کنند ادعاهایی

تدویت شتده، ادعتا ولیتد رویته هتایی بر اساس ،مجاز آزمایشگاه ها

.می کنند ارزیابیرا کنندران

CC: وصیف، پیاده ساز و ارزیابی در قالبی مشرد و دقیق .

37 / 47


مفاهیم اصلی

هدف ارزیابی(Target Of Evaluation یاTOE)

سیستمی که قرار است مورد ارزیابی قرار ریرد.

CC نیازمنتتدیها عملکتترد امنیتتتی انتتواع(SFR) را عریتتف

.می کند

کاربران یا انجمنها کاربرSFR ها مورد نیاز صود را در قالت

.دسته بند می کنند( PP)پروفایل یفاظتی مستندا

نیازمندیها برآورده شده وسص محآول صتود را کنندران ولید ،

.ارائه می کنند (ST)هدف امنیتی در قال مستند

38 / 47


(SFR)امنیتی عملکردی نیازمندیهای

SFR: Security Functional Requirements

هرSFR کارکرد امنیتی مشرد است یککننده ، وصیف.

17 ار باطتتا ، رمزنگتتار ، یفاظتتت ممیتتز : رده نیازمندددی ،

شناسایی و آدیق هویت، مدیریت امنیت، یریم کاربر ، ها داده

امنیتتی، مآترف منتابه، کنتترل کارکردها صآوصی، یفاظت از

.اعتماددسترسی، مسیرها قابل

از نیازمندیها امنیتی خانوادهچندیت رده، در هر

امنیتیهر صانواده شامل عداد نیازمند

39 / 47


CC :نیازمندیهای کارکردی

رده : مثالPrivacy شامل چهار صانواده است.

صتتتانوادهPseudonymity نیازمنتتتد استتتت، کتتته 3شتتتامل

.را پوشش می دهند 1نیازمند 3و 2نیازمندیها Privacy

40 / 47

Anonymity

Pseudonymity

Unlinkability

Unobservability

2

1 2

3

1

1 2

3

4

1


(PP)حفاظتی پروفایل مستند

PP: Protection Profile

مجموعتتهSFRبتترا یتتک نتتوع مشتترد از معمتتوال استتت کتته هتتاییآنها ها انجمت وسص کاربران یا ( آنها ساز پیادهمستقل از )محآوال .رردد می دویت

مثال:

Firewall PP

Network IPS PP

Biometric Verification Mechanisms PP

Database Management System PP

Operating System PP

41 / 47


(ST)امنیتی هدف مستند

ST: Security Target

که وسص یک امنیتی ویژریها بیانگرTOE مشرد پیاده ساز

.شده است

یک یا چند معموال بهPP ارجاع می دهد.

ST را بته صتور ویژریها امنیتتی برآورده ساز سطح اطمینان

.مطرح می کند ادعا

TOE بر مبناSFR ها متذکور درST متی شتود؛ نته ارزیتابی

.بیشتر و نه کمتر

42 / 47


(SAR)امنیتی بخشی اطمیناننیازمندیهای

SAR: Security Assurance Requirements

یتک ارزیتابی و وستعه مورد استفاده در طتی اقدامات وصیف کنندهامنیتتی کارکردها از طابق محآول با یآول اطمینان محآول برا

.مورد ادعا

8 ارزیابی : رده نیازمندیST ، ارزیتابی وستعه، ارزیتابی مستتندا ،، PPارزیابی + ارزیابی آسی پذیر ارزیابی چرصه عمر، ارزیابی آزمونها،

. رکیبیارزیابی

برشی اطمیناناز نیازمندیها خانوادهدر هر رده، چندیت

برشی اطمینانهر صانواده شامل عداد نیازمند

43 / 47


CC :سطوح ارزیابی

سطوح باال ر نشان دهنده نیل بهSAR ها بیشتر در رابطه باST است، نه .لزوما امنیت بیشتر

EAL1 :آزمون عملکرد شد.

EAL2 : شد ساصتیافتهآزمون.

EAL3 : آزمون و کنترل شد متدولوژیکبه شکل.

EAL4 : طرایی، آزمون، و بازبینی شد متدولوژیکبه شکل.

EAL5 :طرایی و آزمون شد صور شبه.

EAL6 : وارسی شد و آزمون شد صور شبهطرایی به شکل.

EAL7 :طرایی به شکل صور وارسی شد و آزمون شد.

44 / 47


CC :هزینه مالی و زمانی

45 / 47


CC :وضعیت فعلی

محآوال بسیار ارزیابی شده و یا در یال ارزیابی هستند.

6 محآول درسطحEAL7

61 محآول در سطحEAL6

ماننتتد هتتا عامتتلبستتیار از سیستتتمWindows در ستتطحEAL4

.هستند

،بته ستایت وانیتد متی برا مشاهده لیستت محآتوال دارا رتواهی

https://www.commoncriteriaportal.org مراجعه کنید.

درراه ارزیابی امنیتی محآوال ایرانی :eram.ito.gov.irhttp://

46 / 47

https://www.commoncriteriaportal.org/

http://eram.ito.gov.ir/

http://eram.ito.gov.ir/


پایان

:صفحه درس

/1-442/ce2/95-94http://ce.sharif.edu/courses/

18الی 17 یکشنبه ها :مراجعه یضور جهت رفه اشکال

(جن آسانسور شیشه ا طبقه پنجم دانشکده، درب )

یا در زمانها دیگر با قرار قبلی

dousti@ce :یا به وسیله رایانامه

47 / 47

http://ce.sharif.edu/courses/94-95/2/ce442-1/











یتینما یبایزرا :16 سرد -...

Documents