最新计算机信息系统安全保护等级

《最新计算机信息系统安全保护等级》由会员分享，可在线阅读，更多相关《最新计算机信息系统安全保护等级（190页珍藏版）》请在装配图网上搜索。

1、计算机信息系统安全评估标准介绍计算机信息系统安全评估标准介绍 北京大学北京大学 闫强闫强2标准介绍标准介绍 信息技术安全评估准则发展过程信息技术安全评估准则发展过程 可信计算机系统评估准则（可信计算机系统评估准则（TCSEC ） 可信网络解释可信网络解释（TNI） 通用准则通用准则CC 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 信息安全保证技术框架信息安全保证技术框架 信息系统安全保护等级应用指南信息系统安全保护等级应用指南 3信息技术安全评估准则发展过程信息技术安全评估准则发展过程 2020世纪世纪6060年代后期，年代后期，19671967年美国国防部（年美国国

2、防部（DODDOD）成立了）成立了一个研究组，针对当时计算机使用环境中的安全策略一个研究组，针对当时计算机使用环境中的安全策略进行研究，其研究结果是进行研究，其研究结果是“Defense Science Board Defense Science Board report”report” 7070年代的后期年代的后期DODDOD对当时流行的操作系统对当时流行的操作系统KSOSKSOS，PSOSPSOS，KVMKVM进行了安全方面的研究进行了安全方面的研究 4信息技术安全评估准则发展过程信息技术安全评估准则发展过程 8080年代后，美国国防部发布的年代后，美国国防部发布的“可信计算机系统评估可信

3、计算机系统评估准则（准则（TCSECTCSEC）”（即桔皮书）（即桔皮书） 后来后来DODDOD又发布了可信数据库解释（又发布了可信数据库解释（TDITDI）、可信网络）、可信网络解释（解释（TNITNI）等一系列相关的说明和指南）等一系列相关的说明和指南 9090年代初，英、法、德、荷等四国针对年代初，英、法、德、荷等四国针对TCSECTCSEC准则的局准则的局限性，提出了包含保密性、完整性、可用性等概念的限性，提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则信息技术安全评估准则”（ITSECITSEC），定义了从），定义了从E0E0级级到到E6E6级的七个安全等级级的七个安全

4、等级 5信息技术安全评估准则发展过程信息技术安全评估准则发展过程 加拿大加拿大19881988年开始制订年开始制订The Canadian Trusted The Canadian Trusted Computer Product Evaluation Criteria Computer Product Evaluation Criteria （CTCPECCTCPEC） 19931993年，美国对年，美国对TCSECTCSEC作了补充和修改，制定了作了补充和修改，制定了“组合组合的联邦标准的联邦标准”（简称（简称FCFC） 国际标准化组织（国际标准化组织（ISOISO）从）从19901990

5、年开始开发通用的国际年开始开发通用的国际标准评估准则标准评估准则 6信息技术安全评估准则发展过程信息技术安全评估准则发展过程 在在19931993年年6 6月，月，CTCPECCTCPEC、FCFC、TCSECTCSEC和和ITSECITSEC的发起组织的发起组织开始联合起来，将各自独立的准则组合成一个单一的、开始联合起来，将各自独立的准则组合成一个单一的、能被广泛使用的能被广泛使用的ITIT安全准则安全准则 发起组织包括六国七方：加拿大、法国、德国、荷兰、发起组织包括六国七方：加拿大、法国、德国、荷兰、英国、美国英国、美国NISTNIST及美国及美国NSANSA，他们的代表建立了，他们的代表

6、建立了CCCC编辑编辑委员会（委员会（CCEBCCEB）来开发）来开发CCCC 7信息技术安全评估准则发展过程信息技术安全评估准则发展过程 19961996年年1 1月完成月完成CC1.0CC1.0版版 ,在在19961996年年4 4月被月被ISOISO采纳采纳 19971997年年1010月完成月完成CC2.0CC2.0的测试版的测试版 19981998年年5 5月发布月发布CC2.0CC2.0版版 19991999年年1212月月ISOISO采纳采纳CCCC，并作为国际标准，并作为国际标准ISO 15408ISO 15408发发布布 8安全评估标准的发展历程安全评估标准的发展历程 桔皮书

7、桔皮书（TCSEC）1985英国安全英国安全标准标准1989德国标准德国标准法国标准法国标准加拿大标准加拿大标准1993联邦标准联邦标准草案草案1993ITSEC1991通用标准通用标准V1.0 1996V2.0 1998V2.1 19999标准介绍标准介绍 信息技术安全评估准则发展过程信息技术安全评估准则发展过程 可信计算机系统评估准则（可信计算机系统评估准则（TCSEC） 可信网络解释可信网络解释 （TNI） 通用准则通用准则CC 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 信息安全保证技术框架信息安全保证技术框架 信息系统安全保护等级应用指南信息系统安全保护等级

8、应用指南 10TCSEC 在在TCSECTCSEC中，美国国防部按处理信息的等级和应采用的中，美国国防部按处理信息的等级和应采用的响应措施，将计算机安全从高到低分为：响应措施，将计算机安全从高到低分为：A A、B B、C C、D D四类八个级别，共四类八个级别，共2727条评估准则条评估准则 随着安全等级的提高，系统的可信度随之增加，风险随着安全等级的提高，系统的可信度随之增加，风险逐渐减少。逐渐减少。 11TCSEC四个安全等级：四个安全等级：无保护级无保护级 自主保护级自主保护级 强制保护级强制保护级验证保护级验证保护级12TCSEC D D类是最低保护等级，即无保护级类是最低保护等级，即

9、无保护级 是为那些经过评估，但不满足较高评估等级要求的系是为那些经过评估，但不满足较高评估等级要求的系统设计的，只具有一个级别统设计的，只具有一个级别 该类是指不符合要求的那些系统，因此，这种系统不该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处理敏感信息能在多用户环境下处理敏感信息 13TCSEC四个安全等级：四个安全等级：无保护级无保护级 自主保护级自主保护级 强制保护级强制保护级验证保护级验证保护级14TCSEC C C类为自主保护级类为自主保护级 具有一定的保护能力，采用的措施是自主访问控制和具有一定的保护能力，采用的措施是自主访问控制和审计跟踪审计跟踪 一般只适用于具

10、有一定等级的多用户环境一般只适用于具有一定等级的多用户环境 具有对主体责任及其动作审计的能力具有对主体责任及其动作审计的能力15TCSECC C类分为类分为C1C1和和C2C2两个级别两个级别: : 自主安全保护级（自主安全保护级（C1级级) ) 控制访问保护级（控制访问保护级（C2级）级） 16TCSEC C1级级TCBTCB通过隔离用户与数据，使用户具备自主安全保通过隔离用户与数据，使用户具备自主安全保护的能力护的能力 它具有多种形式的控制能力，对用户实施访问控制它具有多种形式的控制能力，对用户实施访问控制 为用户提供可行的手段，保护用户和用户组信息，避为用户提供可行的手段，保护用户和用户

11、组信息，避免其他用户对数据的非法读写与破坏免其他用户对数据的非法读写与破坏 C1C1级的系统适用于处理同一敏感级别数据的多用户环级的系统适用于处理同一敏感级别数据的多用户环境境 17TCSEC C2C2级计算机系统比级计算机系统比C1C1级具有更细粒度的自主访问控制级具有更细粒度的自主访问控制 C2C2级通过注册过程控制、审计安全相关事件以及资源级通过注册过程控制、审计安全相关事件以及资源隔离，使单个用户为其行为负责隔离，使单个用户为其行为负责 18TCSEC四个安全等级：四个安全等级：无保护级无保护级 自主保护级自主保护级 强制保护级强制保护级验证保护级验证保护级19TCSEC B B类为强

12、制保护级类为强制保护级 主要要求是主要要求是TCBTCB应维护完整的安全标记，并在此基础上应维护完整的安全标记，并在此基础上执行一系列强制访问控制规则执行一系列强制访问控制规则 B B类系统中的主要数据结构必须携带敏感标记类系统中的主要数据结构必须携带敏感标记 系统的开发者还应为系统的开发者还应为TCBTCB提供安全策略模型以及提供安全策略模型以及TCBTCB规规约约 应提供证据证明访问监控器得到了正确的实施应提供证据证明访问监控器得到了正确的实施 20TCSECB类分为三个类别：类分为三个类别：标记安全保护级（标记安全保护级（B1级）级） 结构化保护级（结构化保护级（B2级）级） 安全区域保

13、护级（安全区域保护级（B3级）级） 21TCSEC B1B1级系统要求具有级系统要求具有C2C2级系统的所有特性级系统的所有特性 在此基础上，还应提供安全策略模型的非形式化描述、在此基础上，还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制数据标记以及命名主体和客体的强制访问控制 并消除测试中发现的所有缺陷并消除测试中发现的所有缺陷 22TCSECB类分为三个类别：类分为三个类别：标记安全保护级（标记安全保护级（B1级）级） 结构化保护级（结构化保护级（B2级）级） 安全区域保护级（安全区域保护级（B3级）级）23TCSEC 在在B2B2级系统中，级系统中，TCBTC

14、B建立于一个明确定义并文档化形式建立于一个明确定义并文档化形式化安全策略模型之上化安全策略模型之上 要求将要求将B1B1级系统中建立的自主和强制访问控制扩展到级系统中建立的自主和强制访问控制扩展到所有的主体与客体所有的主体与客体 在此基础上，应对隐蔽信道进行分析在此基础上，应对隐蔽信道进行分析 TCBTCB应结构化为关键保护元素和非关键保护元素应结构化为关键保护元素和非关键保护元素24TCSEC TCBTCB接口必须明确定义接口必须明确定义 其设计与实现应能够经受更充分的测试和更完善的审其设计与实现应能够经受更充分的测试和更完善的审查查 鉴别机制应得到加强，提供可信设施管理以支持系统鉴别机制应

15、得到加强，提供可信设施管理以支持系统管理员和操作员的职能管理员和操作员的职能 提供严格的配置管理控制提供严格的配置管理控制 B2B2级系统应具备相当的抗渗透能力级系统应具备相当的抗渗透能力25TCSECB类分为三个类别：类分为三个类别：标记安全保护级（标记安全保护级（B1级）级） 结构化保护级（结构化保护级（B2级）级） 安全区域保护级（安全区域保护级（B3级）级）26TCSEC 在在B3B3级系统中，级系统中，TCBTCB必须满足访问监控器需求必须满足访问监控器需求 访问监控器对所有主体对客体的访问进行仲裁访问监控器对所有主体对客体的访问进行仲裁 访问监控器本身是抗篡改的访问监控器本身是抗篡

16、改的 访问监控器足够小访问监控器足够小 访问监控器能够分析和测试访问监控器能够分析和测试27TCSEC为了满足访问控制器需求为了满足访问控制器需求: :计算机信息系统可信计算基在构造时，排除那些对计算机信息系统可信计算基在构造时，排除那些对实施安全策略来说并非必要的代码实施安全策略来说并非必要的代码计算机信息系统可信计算基在设计和实现时，从系计算机信息系统可信计算基在设计和实现时，从系统工程角度将其复杂性降低到最小程度统工程角度将其复杂性降低到最小程度28TCSECB3B3级系统支持级系统支持: :安全管理员职能安全管理员职能扩充审计机制扩充审计机制当发生与安全相关的事件时，发出信号当发生与安

17、全相关的事件时，发出信号提供系统恢复机制提供系统恢复机制系统具有很高的抗渗透能力系统具有很高的抗渗透能力29TCSEC四个安全等级：四个安全等级：无保护级无保护级 自主保护级自主保护级 强制保护级强制保护级验证保护级验证保护级30TCSEC A类为验证保护级类为验证保护级 A A类的特点是使用形式化的安全验证方法，保证系统的类的特点是使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统中存储自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息和处理的秘密信息或其他敏感信息 为证明为证明TCBTCB满足设计、开发及实现等各个方面的安全要满足设计、开

18、发及实现等各个方面的安全要求，系统应提供丰富的文档信息求，系统应提供丰富的文档信息31TCSECA A类分为两个类别：类分为两个类别：验证设计级（验证设计级（A1A1级）级） 超超A1A1级级 32TCSEC A1A1级系统在功能上和级系统在功能上和B3B3级系统是相同的，没有增加体级系统是相同的，没有增加体系结构特性和策略要求系结构特性和策略要求 最显著的特点是，要求用形式化设计规范和验证方法最显著的特点是，要求用形式化设计规范和验证方法来对系统进行分析，确保来对系统进行分析，确保TCBTCB按设计要求实现按设计要求实现 从本质上说，这种保证是发展的，它从一个安全策略从本质上说，这种保证是发

19、展的，它从一个安全策略的形式化模型和设计的形式化高层规约（的形式化模型和设计的形式化高层规约（FTLSFTLS）开始）开始 33TCSEC 针对针对A1A1级系统设计验证，有级系统设计验证，有5 5种独立于特定规约语言或种独立于特定规约语言或验证方法的重要准则：验证方法的重要准则：安全策略的形式化模型必须得到明确标识并文档化，提供该模安全策略的形式化模型必须得到明确标识并文档化，提供该模型与其公理一致以及能够对安全策略提供足够支持的数学证明型与其公理一致以及能够对安全策略提供足够支持的数学证明 应提供形式化的高层规约，包括应提供形式化的高层规约，包括TCBTCB功能的抽象定义、用于隔功能的抽象

20、定义、用于隔离执行域的硬件离执行域的硬件/ /固件机制的抽象定义固件机制的抽象定义 34TCSEC应通过形式化的技术（如果可能的化）和非形式化的应通过形式化的技术（如果可能的化）和非形式化的技术证明技术证明TCB的形式化高层规约（的形式化高层规约（FTLS）与模型是一）与模型是一致的致的 通过非形式化的方法证明通过非形式化的方法证明TCB的实现（硬件、固件、的实现（硬件、固件、软件）与形式化的高层规约（软件）与形式化的高层规约（FTLS）是一致的。应证）是一致的。应证明明FTLS的元素与的元素与TCB的元素是一致的，的元素是一致的，FTLS应表达应表达用于满足安全策略的一致的保护机制，这些保护

21、机制用于满足安全策略的一致的保护机制，这些保护机制的元素应映射到的元素应映射到TCB的要素的要素 35TCSEC应使用形式化的方法标识并分析隐蔽信道，非形式化应使用形式化的方法标识并分析隐蔽信道，非形式化的方法可以用来标识时间隐蔽信道，必须对系统中存的方法可以用来标识时间隐蔽信道，必须对系统中存在的隐蔽信道进行解释在的隐蔽信道进行解释 36TCSECA1级系统级系统: : 要求更严格的配置管理要求更严格的配置管理 要求建立系统安全分发的程序要求建立系统安全分发的程序 支持系统安全管理员的职能支持系统安全管理员的职能 37TCSECA A类分为两个类别：类分为两个类别：验证设计级（验证设计级（A

22、1A1级）级） 超超A1A1级级38TCSEC 超超A1A1级在级在A1级基础上增加的许多安全措施超出了目前级基础上增加的许多安全措施超出了目前的技术发展的技术发展 随着更多、更好的分析技术的出现，本级系统的要求随着更多、更好的分析技术的出现，本级系统的要求才会变的更加明确才会变的更加明确 今后，形式化的验证方法将应用到源码一级，并且时今后，形式化的验证方法将应用到源码一级，并且时间隐蔽信道将得到全面的分析间隐蔽信道将得到全面的分析 39TCSEC 在这一级，设计环境将变的更重要在这一级，设计环境将变的更重要 形式化高层规约的分析将对测试提供帮助形式化高层规约的分析将对测试提供帮助 TCB开发

23、中使用的工具的正确性及开发中使用的工具的正确性及TCB运行的软硬件运行的软硬件功能的正确性将得到更多的关注功能的正确性将得到更多的关注40TCSEC超超A1级系统涉及的范围包括：级系统涉及的范围包括：系统体系结构系统体系结构安全测试安全测试形式化规约与验证形式化规约与验证可信设计环境等可信设计环境等41标准介绍标准介绍 信息技术安全评估准则发展过程信息技术安全评估准则发展过程 可信计算机系统评估准则（可信计算机系统评估准则（TCSEC） 可信网络解释可信网络解释 （TNI） 通用准则通用准则CC 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 信息安全保证技术框架信息安全

24、保证技术框架 信息系统安全保护等级应用指南信息系统安全保护等级应用指南 42可信网络解释（可信网络解释（TNI） 美国国防部计算机安全评估中心在完成美国国防部计算机安全评估中心在完成TCSEC的基础的基础上，又组织了专门的研究镞对可信网络安全评估进行上，又组织了专门的研究镞对可信网络安全评估进行研究，并于研究，并于1987年发布了以年发布了以TCSEC为基础的可信网络为基础的可信网络解释，即解释，即TNI。 TNI包括两个部分（包括两个部分（Part I和和Part II）及三个附录）及三个附录（APPENDIX A、B、C） 43可信网络解释（可信网络解释（TNI） TNI第一部分提供了在网

25、络系统作为一个单一系统进行第一部分提供了在网络系统作为一个单一系统进行评估时评估时TCSEC中各个等级（从中各个等级（从D到到A类）的解释类）的解释 与单机系统不同的是，网络系统的可信计算基称为网与单机系统不同的是，网络系统的可信计算基称为网络可信计算基（络可信计算基（NTCB） 44可信网络解释（可信网络解释（TNI） 第二部分以附加安全服务的形式提出了在网络互联时出第二部分以附加安全服务的形式提出了在网络互联时出现的一些附加要求现的一些附加要求 这些要求主要是针对完整性、可用性和保密性的这些要求主要是针对完整性、可用性和保密性的 45可信网络解释（可信网络解释（TNI） 第二部分的评估是定

26、性的，针对一个服务进行评估的结第二部分的评估是定性的，针对一个服务进行评估的结果一般分为为：果一般分为为： vnone vminimum vfair vgood 46可信网络解释（可信网络解释（TNI） 第二部分中关于每个服务的说明一般包括第二部分中关于每个服务的说明一般包括: :一种相对简短的陈述一种相对简短的陈述相关的功能性的讨论相关的功能性的讨论 相关机制强度的讨论相关机制强度的讨论 相关保证的讨论相关保证的讨论 47可信网络解释（可信网络解释（TNI） 功能性是指一个安全服务的目标和实现方法，它包括特功能性是指一个安全服务的目标和实现方法，它包括特性、机制及实现性、机制及实现 机制的强

27、度是指一种方法实现其目标的程度机制的强度是指一种方法实现其目标的程度 有些情况下，参数的选择会对机制的强度带来很大的影有些情况下，参数的选择会对机制的强度带来很大的影响响 48可信网络解释（可信网络解释（TNI） 保证是指相信一个功能会实现的基础保证是指相信一个功能会实现的基础 保证一般依靠对理论、测试、软件工程等相关内容的分保证一般依靠对理论、测试、软件工程等相关内容的分析析 分析可以是形式化或非形式化的，也可以是理论的或应分析可以是形式化或非形式化的，也可以是理论的或应用的用的 49可信网络解释（可信网络解释（TNI）第二部分中列出的安全服务有：第二部分中列出的安全服务有： 通信完整性通信

28、完整性 拒绝服务拒绝服务 机密性机密性 50可信网络解释（可信网络解释（TNI）通信完整性主要涉及以下通信完整性主要涉及以下3方面：方面：鉴别：网络中应能够抵抗欺骗和重放攻击鉴别：网络中应能够抵抗欺骗和重放攻击 通信字段完整性：保护通信中的字段免受非授权的通信字段完整性：保护通信中的字段免受非授权的修改修改 抗抵赖：提供数据发送、接受的证据抗抵赖：提供数据发送、接受的证据 51可信网络解释（可信网络解释（TNI） 当网络处理能力下降到一个规定的界限以下或远程实当网络处理能力下降到一个规定的界限以下或远程实体无法访问时，即发生了拒绝服务体无法访问时，即发生了拒绝服务 所有由网络提供的服务都应考虑

29、拒绝服务的情况所有由网络提供的服务都应考虑拒绝服务的情况 网络管理者应决定网络拒绝服务需求网络管理者应决定网络拒绝服务需求 52可信网络解释（可信网络解释（TNI）解决拒绝服务的方法有：解决拒绝服务的方法有： 操作连续性操作连续性 基于协议的拒绝服务保护基于协议的拒绝服务保护 网络管理网络管理 53可信网络解释（可信网络解释（TNI） 机密性是一系列安全服务的总称机密性是一系列安全服务的总称 这些服务都是关于通过计算机通信网络在实体间传输这些服务都是关于通过计算机通信网络在实体间传输信息的安全和保密的信息的安全和保密的 具体又分具体又分3种情况：种情况： 数据保密数据保密 通信流保密通信流保密

30、 选择路由选择路由 54可信网络解释（可信网络解释（TNI）数据保密：数据保密：v数据保密性服务保护数据不被未授权地泄露数据保密性服务保护数据不被未授权地泄露v数据保密性主要受搭线窃听的威胁数据保密性主要受搭线窃听的威胁v被动的攻击包括对线路上传输的信息的观测被动的攻击包括对线路上传输的信息的观测 55可信网络解释（可信网络解释（TNI）通信流保密：通信流保密：v针对通信流分析攻击而言，通信流分析攻击分析消息针对通信流分析攻击而言，通信流分析攻击分析消息的长度、频率及协议的内容（如地址）的长度、频率及协议的内容（如地址）v并以此推出消息的内容并以此推出消息的内容 56可信网络解释（可信网络解释

31、（TNI）选择路由：选择路由：v路由选择控制是在路由选择过程中应用规则，以便具体路由选择控制是在路由选择过程中应用规则，以便具体的选取或回避某些网络、链路或中继的选取或回避某些网络、链路或中继v路由能动态的或预定地选取，以便只使用物理上安全的路由能动态的或预定地选取，以便只使用物理上安全的子网络、链路或中继子网络、链路或中继v在检测到持续的操作攻击时，端系统可希望指示网络服在检测到持续的操作攻击时，端系统可希望指示网络服务的提供者经不同的路由建立连接务的提供者经不同的路由建立连接v带有某些安全标记的数据可能被策略禁止通过某些子网带有某些安全标记的数据可能被策略禁止通过某些子网络、链路或中继络、

32、链路或中继 57可信网络解释（可信网络解释（TNI） TNI第二部分的评估更多地表现出定性和主观的特点，第二部分的评估更多地表现出定性和主观的特点，同第一部分相比表现出更多的变化同第一部分相比表现出更多的变化 第二部分的评估是关于被评估系统能力和它们对特定应第二部分的评估是关于被评估系统能力和它们对特定应用环境的适合性的非常有价值的信息用环境的适合性的非常有价值的信息 第二部分中所列举的安全服务是网络环境下有代表性的第二部分中所列举的安全服务是网络环境下有代表性的安全服务安全服务 在不同的环境下，并非所有的服务都同等重要，同一服在不同的环境下，并非所有的服务都同等重要，同一服务在不同环境下的重

33、要性也不一定一样务在不同环境下的重要性也不一定一样58可信网络解释（可信网络解释（TNI） TNI的附录的附录A是第一部分的扩展，主要是关于网络中组是第一部分的扩展，主要是关于网络中组件及组件组合的评估件及组件组合的评估 附录附录A A把把TCSECTCSEC为为A1A1级系统定义的安全相关的策略分为级系统定义的安全相关的策略分为四个相对独立的种类，他们分别支持强制访问控制四个相对独立的种类，他们分别支持强制访问控制（MACMAC），自主访问控制（），自主访问控制（DACDAC），身份鉴别（），身份鉴别（IAIA），），审计（审计（AUDITAUDIT） 59可信网络解释（可信网络解释（TNI

34、）组成部分的类型最小级别最大级别MB1A1DC1C2+IC1C2AC2C2+DIC1C2+DAC2C2+IAC2C2+IADC2C2+MDB1A1MAB1A1MIB1A1MDAB1A1MDIB1A1MIAB1A1MIADB1A160可信网络解释（可信网络解释（TNI） 附录附录B给出了根据给出了根据TCSEC对网络组件进行评估的基本对网络组件进行评估的基本原理原理 附录附录C则给出了几个则给出了几个AIS互联时的认证指南及互联中可互联时的认证指南及互联中可能遇到的问题能遇到的问题61可信网络解释（可信网络解释（TNI）TNI中关于网络有两种概念：中关于网络有两种概念： v一是单一可信系统的概念

35、（一是单一可信系统的概念（single trusted system）v另一个是互联信息系统的概念（另一个是互联信息系统的概念（interconnected AIS）这两个概念并不互相排斥这两个概念并不互相排斥 62可信网络解释（可信网络解释（TNI） 在单一可信系统中，网络具有包括各个安全相关部分在单一可信系统中，网络具有包括各个安全相关部分的单一的单一TCB，称为，称为NTCB（network trusted computing base） NTCB作为一个整体满足系统的安全体系设计作为一个整体满足系统的安全体系设计63可信网络解释（可信网络解释（TNI）在互联信息系统中在互联信息系统中各

36、个子系统可能具有不同的安全策略各个子系统可能具有不同的安全策略具有不同的信任等级具有不同的信任等级并且可以分别进行评估并且可以分别进行评估各个子系统甚至可能是异构的各个子系统甚至可能是异构的64可信网络解释（可信网络解释（TNI） 安全策略的实施一般控制在各个子系统内，在附录安全策略的实施一般控制在各个子系统内，在附录C中中给出了各个子系统安全地互联的指南，在互联时要控制给出了各个子系统安全地互联的指南，在互联时要控制局部风险的扩散，排除整个系统中的级联问题（局部风险的扩散，排除整个系统中的级联问题（cascade problem） 限制局部风险的扩散的方法：单向连接、传输的手工检限制局部风险

37、的扩散的方法：单向连接、传输的手工检测、加密、隔离或其他措施。测、加密、隔离或其他措施。 65标准介绍标准介绍 信息技术安全评估准则发展过程信息技术安全评估准则发展过程 可信计算机系统评估准则（可信计算机系统评估准则（TCSEC） 可信网络解释可信网络解释 （TNI） 通用准则通用准则CC 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 信息安全保证技术框架信息安全保证技术框架 信息系统安全保护等级应用指南信息系统安全保护等级应用指南 66通用准则通用准则CCCC的范围的范围 :CC适用于硬件、固件和软件实现的信息技术安全措施适用于硬件、固件和软件实现的信息技术安全措施而

38、某些内容因涉及特殊专业技术或仅是信息技术安全而某些内容因涉及特殊专业技术或仅是信息技术安全的外围技术不在的外围技术不在CC的范围内的范围内 67通用准则通用准则CC评估上下文评估上下文 评估准则(通用准则）评估方法学评估方案最终评估 结果评估批准/证明证书表/(注册)68通用准则通用准则CC 使用通用评估方法学可以提供结果的可重复性和客观使用通用评估方法学可以提供结果的可重复性和客观性性 许多评估准则需要使用专家判断和一定的背景知识许多评估准则需要使用专家判断和一定的背景知识 为了增强评估结果的一致性，最终的评估结果应提交为了增强评估结果的一致性，最终的评估结果应提交给一个认证过程，该过程是一

39、个针对评估结果的独立给一个认证过程，该过程是一个针对评估结果的独立的检查过程，并生成最终的证书或正式批文的检查过程，并生成最终的证书或正式批文69通用准则通用准则CCCC包括三个部分包括三个部分: : 第一部分：简介和一般模型第一部分：简介和一般模型 第二部分：安全功能要求第二部分：安全功能要求 第三部分：安全保证要求第三部分：安全保证要求 70通用准则通用准则CC安全保证要求部分提出了七个评估保证级别安全保证要求部分提出了七个评估保证级别（Evaluation Assurance Levels：EALs）分别是：分别是：EAL1EAL1：功能测试：功能测试EAL2EAL2：结构测试：结构测试

40、EAL3EAL3：系统测试和检查：系统测试和检查EAL4EAL4：系统设计、测试和复查：系统设计、测试和复查EAL5EAL5：半形式化设计和测试：半形式化设计和测试EAL6EAL6：半形式化验证的设计和测试：半形式化验证的设计和测试EAL7EAL7：形式化验证的设计和测试：形式化验证的设计和测试 71通用准则通用准则CC CC的一般模型的一般模型一般安全上下文一般安全上下文 TOETOE评估评估 CCCC安全概念安全概念 72通用准则通用准则CC 安全就是保护资产不受威胁，威胁可依据滥用被保护安全就是保护资产不受威胁，威胁可依据滥用被保护资产的可能性进行分类资产的可能性进行分类 所有的威胁类型

41、都应该被考虑到所有的威胁类型都应该被考虑到 在安全领域内，被高度重视的威胁是和人们的恶意攻在安全领域内，被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的击及其它人类活动相联系的 73通用准则通用准则CC 安全安全概念概念和关和关系系图4.1 安全概念和关系所有者对策弱点风险资产威胁威胁者价值希望最小化利用减少可能拥有可能意识到可能被减少利用导致引起增加到到希望滥用和破坏74通用准则通用准则CC 安全性损坏一般包括但又不仅仅包括以下几项安全性损坏一般包括但又不仅仅包括以下几项资产破坏性地暴露于未授权的接收者（失去保密性）资产破坏性地暴露于未授权的接收者（失去保密性）资产由于未授权的更改而

42、损坏（失去完整性）资产由于未授权的更改而损坏（失去完整性）或资产访问权被未授权的丧失（失去可用性）或资产访问权被未授权的丧失（失去可用性）75通用准则通用准则CC 资产所有者必须分析可能的威胁并确定哪些存在于他资产所有者必须分析可能的威胁并确定哪些存在于他们的环境们的环境，其后果就是风险其后果就是风险 对策用以（直接或间接地）减少脆弱性并满足资产所对策用以（直接或间接地）减少脆弱性并满足资产所有者的安全策略有者的安全策略 在将资产暴露于特定威胁之前，所有者需要确信其对在将资产暴露于特定威胁之前，所有者需要确信其对策足以应付面临的威胁策足以应付面临的威胁 76通用准则通用准则CC 评评估估概概念

43、念 和和关关系系保证技术保证评估信心对策风险资产所有者产生给出证据需要提供源于最小化针对77通用准则通用准则CCTOE评评估估过过程程安全需求（PP与ST）开发TOETOE和评估评估TOE评估结果操作TOE评估方案评估方法评估准则反馈78通用准则通用准则CCTOETOE评估过程的主要输入有评估过程的主要输入有：一系列一系列TOE证据，包括评估过的证据，包括评估过的ST作为作为TOE评估的基础评估的基础需要评估的需要评估的TOE评估准则、方法和方案评估准则、方法和方案 另外，说明性材料（例如另外，说明性材料（例如CC的使用说明书）和评估者及评估的使用说明书）和评估者及评估组织的组织的IT安全专业

44、知识也常用来作为评估过程的输入安全专业知识也常用来作为评估过程的输入79通用准则通用准则CC评估过程通过两种途径产生更好的安全产品评估过程通过两种途径产生更好的安全产品评估过程能发现开发者可以纠正的评估过程能发现开发者可以纠正的TOE错误或弱点，从而在减错误或弱点，从而在减少将来操作中安全失效的可能性少将来操作中安全失效的可能性另一方面，为了通过严格的评估，开发者在另一方面，为了通过严格的评估，开发者在TOE设计和开发时设计和开发时也将更加细心也将更加细心因此，评估过程对最初需求、开发过程、最终产品以及操作环境因此，评估过程对最初需求、开发过程、最终产品以及操作环境将产生强烈的积极影响将产生强

45、烈的积极影响 80通用准则通用准则CC 只有在只有在IT环境中考虑环境中考虑IT组件保护资产的能力时，组件保护资产的能力时，CC才才是可用的是可用的 为了表明资产是安全的，安全考虑必须出现在所有层为了表明资产是安全的，安全考虑必须出现在所有层次的表述中，包括从最抽象到最终的次的表述中，包括从最抽象到最终的IT实现实现 CC要求在某层次上的表述包含在该层次上要求在某层次上的表述包含在该层次上TOE描述的描述的基本原理基本原理 81通用准则通用准则CC CC安全概念安全概念包括：包括：安全环境安全环境 安全目的安全目的 IT安全要求安全要求 TOE概要规范概要规范 82通用准则通用准则CC 安全环

46、境包括所有相关的法规、组织性安全策略、习安全环境包括所有相关的法规、组织性安全策略、习惯、专门技术和知识惯、专门技术和知识 它定义了它定义了TOE使用的上下文，安全环境也包括环境里使用的上下文，安全环境也包括环境里出现的安全威胁出现的安全威胁 83通用准则通用准则CC为建立安全环境，必须考虑以下几点：为建立安全环境，必须考虑以下几点：TOE物理环境，指所有的与物理环境，指所有的与TOE安全相关的安全相关的TOE运行运行环境，包括已知的物理和人事的安全安排环境，包括已知的物理和人事的安全安排需要根据安全策略由需要根据安全策略由TOE的元素实施保护的资产。包的元素实施保护的资产。包括可直接相关的资

47、产（如文件和数据库）和间接受安括可直接相关的资产（如文件和数据库）和间接受安全要求支配的资产（如授权凭证和全要求支配的资产（如授权凭证和IT实现本身）实现本身）TOE目的，说明产品类型和可能的目的，说明产品类型和可能的TOE用途用途 84通用准则通用准则CC 安全环境的分析结果被用来阐明对抗已标识的威胁、安全环境的分析结果被用来阐明对抗已标识的威胁、说明组织性安全策略和假设的安全目的说明组织性安全策略和假设的安全目的 安全目的和已说明的安全目的和已说明的TOE运行目标或产品目标以及有运行目标或产品目标以及有关的物理环境知识一致关的物理环境知识一致 确定安全目的的意图是为了阐明所有的安全考虑并指

48、确定安全目的的意图是为了阐明所有的安全考虑并指出哪些安全方面的问题是直接由出哪些安全方面的问题是直接由TOE还是由它的环境还是由它的环境来处理来处理 环境安全目的将在环境安全目的将在IT领域内用非技术上的或程序化的领域内用非技术上的或程序化的手段来实现手段来实现 85通用准则通用准则CC IT安全要求是将安全目的细化为一系列安全要求是将安全目的细化为一系列TOE及其环境及其环境的安全要求，一旦这些要求得到满足，就可以保证的安全要求，一旦这些要求得到满足，就可以保证TOE达到它的安全目的达到它的安全目的 IT安全需求只涉及安全需求只涉及TOE安全目的和它的安全目的和它的IT环境环境 86通用准则

49、通用准则CC ST中提供的中提供的TOE概要规范定义概要规范定义TOE安全要求的实现方安全要求的实现方法法 它提供了分别满足功能需求和保证需求的安全功能和它提供了分别满足功能需求和保证需求的安全功能和保证措施的高层定义保证措施的高层定义 87通用准则通用准则CC CC定义了一系列与已知有效的安全要求集合相结合的定义了一系列与已知有效的安全要求集合相结合的概念，该概念可被用来为预期的产品和系统建立安全概念，该概念可被用来为预期的产品和系统建立安全需求需求 CCCC安全要求以类安全要求以类族族组件这种层次方式组织，以帮助组件这种层次方式组织，以帮助用户定位特定的安全要求用户定位特定的安全要求 对功

50、能和保证方面的要求，对功能和保证方面的要求，CC使用相同的风格、组织使用相同的风格、组织方式和术语。方式和术语。 88通用准则通用准则CC 要要求求的的组组织织和和结结构构89通用准则通用准则CCCC中安全要求的描述方法中安全要求的描述方法：类：类：类用作最通用安全要求的组合，类的所有的成员类用作最通用安全要求的组合，类的所有的成员关注共同的安全焦点，但覆盖不同的安全目的关注共同的安全焦点，但覆盖不同的安全目的 族：类的成员被称为族族：类的成员被称为族。族是若干组安全要求的组合，族是若干组安全要求的组合，这些要求有共同的安全目的，但在侧重点和严格性上这些要求有共同的安全目的，但在侧重点和严格性

51、上有所区别有所区别 组件：族的成员被称为组件。组件描述一组特定的安组件：族的成员被称为组件。组件描述一组特定的安全要求集，它是全要求集，它是CC定义的结构中所包含的最小的可选定义的结构中所包含的最小的可选安全要求集安全要求集 90通用准则通用准则CC 组件由单个元素组成，元素是安全需求最低层次的表组件由单个元素组成，元素是安全需求最低层次的表达，并且是能被评估验证的不可分割的安全要求达，并且是能被评估验证的不可分割的安全要求 族内具有相同目标的组件可以以安全要求强度（或能族内具有相同目标的组件可以以安全要求强度（或能力）逐步增加的顺序排列，也可以部分地按相关非层力）逐步增加的顺序排列，也可以部

52、分地按相关非层次集合的方式组织次集合的方式组织91通用准则通用准则CC 组件间可能存在依赖关系组件间可能存在依赖关系 依赖关系可以存在于功能组件之间、保证组件之间以依赖关系可以存在于功能组件之间、保证组件之间以及功能和保证组件之间及功能和保证组件之间 组件间依赖关系描述是组件间依赖关系描述是CC组件定义的一部分组件定义的一部分 92通用准则通用准则CC 可以通过使用组件允许的操作，对组件进行裁剪可以通过使用组件允许的操作，对组件进行裁剪 每一个每一个CC组件标识并定义组件允许的组件标识并定义组件允许的“赋值赋值”和和“选选择择”操作、在哪些情况下可对组件使用这些操作，以及操作、在哪些情况下可对

53、组件使用这些操作，以及使用这些操作的后果使用这些操作的后果 任何一个组件均允许任何一个组件均允许“反复反复”和和“细化细化”操作操作 93通用准则通用准则CC这四个操作如下所述：这四个操作如下所述：反复：在不同操作时，允许组件多次使用反复：在不同操作时，允许组件多次使用赋值：当组件被应用时，允许规定所赋予的参数赋值：当组件被应用时，允许规定所赋予的参数选择：允许从组件给出的列表中选定若干项选择：允许从组件给出的列表中选定若干项细化：当组件被应用时，允许对组件增加细节细化：当组件被应用时，允许对组件增加细节 94通用准则通用准则CCCC中安全需求的描述方法中安全需求的描述方法:包包: :组件的中

54、间组合被称为包组件的中间组合被称为包 保护轮廓保护轮廓( (PP): ): PP是关于一系列满足一个安全目标集是关于一系列满足一个安全目标集的的TOETOE的、与实现无关的描述的、与实现无关的描述 安全目标安全目标( (ST) )： ST是针对特定是针对特定TOE安全要求的描述，安全要求的描述，通过评估可以证明这些安全要求对满足指定目的是有通过评估可以证明这些安全要求对满足指定目的是有用和有效的用和有效的95通用准则通用准则CC 包允许对功能或保证需求集合的描述，这个集合能够包允许对功能或保证需求集合的描述，这个集合能够满足一个安全目标的可标识子集满足一个安全目标的可标识子集 包可重复使用，可

55、用来定义那些公认有用的、能够有包可重复使用，可用来定义那些公认有用的、能够有效满足特定安全目标的要求效满足特定安全目标的要求 包可用在构造更大的包、包可用在构造更大的包、PP和和ST中中 96通用准则通用准则CC PP包含一套来自包含一套来自CC（或明确阐述）的安全要求，它应（或明确阐述）的安全要求，它应包括一个评估保证级别（包括一个评估保证级别（EAL） PP可反复使用，还可用来定义那些公认有用的、能够可反复使用，还可用来定义那些公认有用的、能够有效满足特定安全目标的有效满足特定安全目标的TOE要求要求 PP包括安全目的和安全要求的基本原理包括安全目的和安全要求的基本原理 PP的开发者可以是

56、用户团体、的开发者可以是用户团体、IT产品开发者或其它对产品开发者或其它对定义这样一系列通用要求有兴趣的团体定义这样一系列通用要求有兴趣的团体 97通用准则通用准则CC 保护轮保护轮廓廓PP描述描述结构结构PP应用注解PP标识PP 概述假设威胁组织性安全策略TOE安全目的环境安全目的安全目的基本原理安全要求基本原理TOE安全功能要求TOE 安全保证要求保护轮廓PP引言TOE描述TOE安全环境安全目的IT安全要求基本原理TOE安全要求IT环境安全要求98通用准则通用准则CC 安全目标安全目标( (ST) )包括一系列安全要求，这些要求可以引包括一系列安全要求，这些要求可以引用用PP，也可以直接引

57、用，也可以直接引用CC中的功能或保证组件，或明中的功能或保证组件，或明确说明确说明 一个一个ST包含包含TOE的概要规范，安全要求和目的，以及的概要规范，安全要求和目的，以及它们的基本原理它们的基本原理 ST是所有团体间就是所有团体间就TOE应提供什么样的安全性达成一应提供什么样的安全性达成一致的基础致的基础 99通用准则通用准则CC 安全安全目目标标描描述述结结构构S T 标 识S T 概 述假 设威 胁组 织 性 安 全 策 略T O E 安 全 目 的环 境 安 全 目 的T O E 安 全 功 能 要 求T O E 安 全 保 证 要 求安安 全全 目目 标标S T 引 言T O E

58、描 述T O E 安 全 环 境安 全 目 的I T 安 全 要 求T O E 安 全 要 求I T 环 境 安 全 要 求C C 一 致 性 性 声 明T O E 概 要 规 范T O E 安 全 功 能保 证 措 施P P 声 明P P 裁 减P P 附 加 项P P 声 明基 本 原 理安 全 目 的 基 本 原 理安 全 要 求 基 本 原 理100通用准则通用准则CCCC框架下的评估类型框架下的评估类型 PP评估评估ST评估评估 TOE评估评估 101通用准则通用准则CC PPPP评估是依照评估是依照CCCC第第3 3部分的部分的PPPP评估准则进行的。评估准则进行的。 评估的目标是

59、为了证明评估的目标是为了证明PPPP是完备的、一致的、技术合是完备的、一致的、技术合理的，而且适合于作为一个可评估理的，而且适合于作为一个可评估TOETOE的安全要求的声的安全要求的声明明102通用准则通用准则CC 针对针对TOE的的ST评估是依照评估是依照CC第第3部分的部分的ST评估准则进评估准则进行的行的 ST评估具有双重目标：评估具有双重目标：首先是为了证明首先是为了证明ST是完备的、一致的、技术合理的，而且适是完备的、一致的、技术合理的，而且适合于用作相应合于用作相应TOE评估的基础评估的基础其次，当某一其次，当某一ST宣称与某一宣称与某一PP一致时，证明一致时，证明ST满足该满足该

60、PP的要的要求求 103通用准则通用准则CC TOE评估是使用一个已经评估过的评估是使用一个已经评估过的ST作为基础，依照作为基础，依照CC第第3部分的评估准则进行的部分的评估准则进行的 评估的目标是为了证明评估的目标是为了证明TOE满足满足ST中的安全要求中的安全要求 104通用准则通用准则CC三种评估的关系三种评估的关系评估PP评估TOEPP分类评估ST证书分类PP评估结果TOE评估结果ST评估结果已评估过的TOE105通用准则通用准则CC CC的第二部分是安全功能要求，对满足安全需求的诸安的第二部分是安全功能要求，对满足安全需求的诸安全功能提出了详细的要求全功能提出了详细的要求 另外，如

61、果有超出第二部分的安全功能要求，开发者可另外，如果有超出第二部分的安全功能要求，开发者可以根据以根据“类类- -族族- -组件组件- -元素元素”的描述结构表达其安全要求，的描述结构表达其安全要求，并附加在其并附加在其ST中中106通用准则通用准则CCCC共包含的共包含的11个安全功能类，如下：个安全功能类，如下：FAU类：安全审计类：安全审计FCO类：通信类：通信FCS类：密码支持类：密码支持FDP类：用户数据保护类：用户数据保护FIA类：标识与鉴别类：标识与鉴别FMT类：安全管理类：安全管理FPR类：隐秘类：隐秘FPT类：类：TFS保护保护FAU类：资源利用类：资源利用FTA类：类：TOE

62、访问访问FTP类：可信信道类：可信信道/路径路径107通用准则通用准则CC CC的第三部分是评估方法部分，提出了的第三部分是评估方法部分，提出了PP、ST、TOE三种评估，共包括三种评估，共包括10个类，但其中的个类，但其中的APE类与类与ASE类分别介绍了类分别介绍了PP与与ST的描述结构及评估准则的描述结构及评估准则 维护类提出了保证评估过的受测系统或产品运行于所维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求获得的安全级别上的要求 只有七个安全保证类是只有七个安全保证类是TOE的评估类别的评估类别 108通用准则通用准则CC七个安全保证类七个安全保证类 ACMACM类

63、：配置管理类：配置管理 ADOADO类：分发与操作类：分发与操作 ADVADV类：开发类：开发 AGDAGD类：指导性文档类：指导性文档 ALCALC类：生命周期支持类：生命周期支持 ATEATE类：测试类：测试 AVAAVA类：脆弱性评定类：脆弱性评定109通用准则通用准则CC 1998年年1月，经过两年的密切协商，来自美国、加拿大、月，经过两年的密切协商，来自美国、加拿大、法国、德国以及英国的政府组织签订了历史性的安全法国、德国以及英国的政府组织签订了历史性的安全评估互认协议：评估互认协议：ITIT安全领域内安全领域内CCCC认可协议认可协议 根据该协议，在协议签署国范围内，在某个国家进行

64、根据该协议，在协议签署国范围内，在某个国家进行的基于的基于CC的安全评估将在其他国家内得到承认的安全评估将在其他国家内得到承认 截止截止20032003年年3 3月，加入该协议的国家共有十五个：澳大月，加入该协议的国家共有十五个：澳大利亚、新西兰、加拿大、芬兰、法国、德国、希腊、利亚、新西兰、加拿大、芬兰、法国、德国、希腊、以色列、意大利、荷兰、挪威、西班牙、瑞典、英国以色列、意大利、荷兰、挪威、西班牙、瑞典、英国及美国及美国 110通用准则通用准则CC该协议的参与者在这个领域内有共同的目的即：该协议的参与者在这个领域内有共同的目的即：确保确保ITIT产品及保护轮廓的评估遵循一致的标准，为这些

65、产品产品及保护轮廓的评估遵循一致的标准，为这些产品及保护轮廓的安全提供足够的信心。及保护轮廓的安全提供足够的信心。在国际范围内提高那些经过评估的、安全增强的在国际范围内提高那些经过评估的、安全增强的ITIT产品及保产品及保护轮廓的可用性。护轮廓的可用性。消除消除ITIT产品及保护轮廓的重复评估，改进安全评估的效率及产品及保护轮廓的重复评估，改进安全评估的效率及成本效果，改进成本效果，改进ITIT产品及保护轮廓的证明产品及保护轮廓的证明/ /确认过程确认过程 111通用准则通用准则CC美国美国NSA内部的可信产品评估计划（内部的可信产品评估计划（TPEP）以及可信技术评价计）以及可信技术评价计划

66、（划（TTAP）最初根据）最初根据TCSEC进行产品的评估，但从进行产品的评估，但从1999年年2月月1日起，这些计划将不再接收基于日起，这些计划将不再接收基于TCSEC的新的评估。此后这些计的新的评估。此后这些计划接受的任何新的产品都必须根据划接受的任何新的产品都必须根据CC的要求进行评估。到的要求进行评估。到2001年年底，所有已经经过底，所有已经经过TCSEC评估的产品，其评估结果或者过时，或评估的产品，其评估结果或者过时，或者转换为者转换为CC评估等级。评估等级。NSA已经将已经将TCSEC对操作系统的对操作系统的C2和和B1级要求转换为基于级要求转换为基于CC的的要求（或要求（或PP），）， NSA正在将正在将TCSEC的的B2和和B3级要求转换成基于级要求转换成基于CC的保护轮廓，但对的保护轮廓，但对TCSEC中的中的A1级要求不作转换。级要求不作转换。TCSEC的可信网络解释（的可信网络解释（TNI）在使用范围上受到了限制，已经）在使用范围上受到了限制，已经不能广泛适用于目前的网络技术，因此，不能广泛适用于目前的网络技术，因此，NSA目前不计划提交与目前不计划提交与TNI