計算機信息系統(tǒng)安全評估標準介紹

1、. 1 計算機信息系統(tǒng)安全評估標準介紹計算機信息系統(tǒng)安全評估標準介紹 北京大學北京大學 閆強閆強 . 2 標準介紹標準介紹 信息技術安全評估準則發(fā)展過程信息技術安全評估準則發(fā)展過程 可信計算機系統(tǒng)評估準則（可信計算機系統(tǒng)評估準則（TCSEC ） 可信網(wǎng)絡解釋可信網(wǎng)絡解釋（TNI） 通用準則通用準則CC 計算機信息系統(tǒng)安全保護等級劃分準則計算機信息系統(tǒng)安全保護等級劃分準則 信息安全保證技術框架信息安全保證技術框架 信息系統(tǒng)安全保護等級應用指南信息系統(tǒng)安全保護等級應用指南 . 3 信息技術安全評估準則發(fā)展過程信息技術安全評估準則發(fā)展過程 2020世紀世紀6060年代后期，年代后期，19671967

2、年美國國防部（年美國國防部（DODDOD）成立了）成立了 一個研究組，針對當時計算機使用環(huán)境中的安全策略一個研究組，針對當時計算機使用環(huán)境中的安全策略 進行研究，其研究結果是進行研究，其研究結果是“Defense Science Board Defense Science Board report”report” 7070年代的后期年代的后期DODDOD對當時流行的操作系統(tǒng)對當時流行的操作系統(tǒng)KSOSKSOS，PSOSPSOS， KVMKVM進行了安全方面的研究進行了安全方面的研究 . 4 信息技術安全評估準則發(fā)展過程信息技術安全評估準則發(fā)展過程 8080年代后，美國國防部發(fā)布的年代后，美國國

3、防部發(fā)布的“可信計算機系統(tǒng)評估可信計算機系統(tǒng)評估 準則（準則（TCSECTCSEC）”（即桔皮書）（即桔皮書） 后來后來DODDOD又發(fā)布了可信數(shù)據(jù)庫解釋（又發(fā)布了可信數(shù)據(jù)庫解釋（TDITDI）、可信網(wǎng)絡）、可信網(wǎng)絡 解釋（解釋（TNITNI）等一系列相關的說明和指南）等一系列相關的說明和指南 9090年代初，英、法、德、荷等四國針對年代初，英、法、德、荷等四國針對TCSECTCSEC準則的局準則的局 限性，提出了包含保密性、完整性、可用性等概念的限性，提出了包含保密性、完整性、可用性等概念的 “信息技術安全評估準則信息技術安全評估準則”（ITSECITSEC），定義了從），定義了從E0E0級

4、級 到到E6E6級的七個安全等級級的七個安全等級 . 5 信息技術安全評估準則發(fā)展過程信息技術安全評估準則發(fā)展過程 加拿大加拿大19881988年開始制訂年開始制訂The Canadian Trusted The Canadian Trusted Computer Product Evaluation Criteria Computer Product Evaluation Criteria （CTCPECCTCPEC） 19931993年，美國對年，美國對TCSECTCSEC作了補充和修改，制定了作了補充和修改，制定了“組合組合 的聯(lián)邦標準的聯(lián)邦標準”（簡稱（簡稱FCFC） 國際標準化組織（

5、國際標準化組織（ISOISO）從）從19901990年開始開發(fā)通用的國際年開始開發(fā)通用的國際 標準評估準則標準評估準則 . 6 信息技術安全評估準則發(fā)展過程信息技術安全評估準則發(fā)展過程 在在19931993年年6 6月，月，CTCPECCTCPEC、FCFC、TCSECTCSEC和和ITSECITSEC的發(fā)起組織的發(fā)起組織 開始聯(lián)合起來，將各自獨立的準則組合成一個單一的、開始聯(lián)合起來，將各自獨立的準則組合成一個單一的、 能被廣泛使用的能被廣泛使用的ITIT安全準則安全準則 發(fā)起組織包括六國七方：加拿大、法國、德國、荷蘭、發(fā)起組織包括六國七方：加拿大、法國、德國、荷蘭、 英國、美國英國、美國NI

6、STNIST及美國及美國NSANSA，他們的代表建立了，他們的代表建立了CCCC編輯編輯 委員會（委員會（CCEBCCEB）來開發(fā)）來開發(fā)CCCC . 7 信息技術安全評估準則發(fā)展過程信息技術安全評估準則發(fā)展過程 19961996年年1 1月完成月完成CC1.0CC1.0版版 ,在在19961996年年4 4月被月被ISOISO采納采納 19971997年年1010月完成月完成CC2.0CC2.0的測試版的測試版 19981998年年5 5月發(fā)布月發(fā)布CC2.0CC2.0版版 19991999年年1212月月ISOISO采納采納CCCC，并作為國際標準，并作為國際標準ISO 15408ISO

7、15408發(fā)發(fā) 布布 . 8 安全評估標準的發(fā)展歷程安全評估標準的發(fā)展歷程 桔皮書桔皮書 （TCSEC） 1985 英國安全英國安全 標準標準1989 德國標準德國標準 法國標準法國標準 加拿大標準加拿大標準 1993 聯(lián)邦標準聯(lián)邦標準 草案草案1993 ITSEC 1991 通用標準通用標準 V1.0 1996 V2.0 1998 V2.1 1999 . 9 標準介紹標準介紹 信息技術安全評估準則發(fā)展過程信息技術安全評估準則發(fā)展過程 可信計算機系統(tǒng)評估準則（可信計算機系統(tǒng)評估準則（TCSEC） 可信網(wǎng)絡解釋可信網(wǎng)絡解釋 （TNI） 通用準則通用準則CC 計算機信息系統(tǒng)安全保護等級劃分準則計算

8、機信息系統(tǒng)安全保護等級劃分準則 信息安全保證技術框架信息安全保證技術框架 信息系統(tǒng)安全保護等級應用指南信息系統(tǒng)安全保護等級應用指南 . 10 TCSEC 在在TCSECTCSEC中，美國國防部按處理信息的等級和應采用的中，美國國防部按處理信息的等級和應采用的 響應措施，將計算機安全從高到低分為：響應措施，將計算機安全從高到低分為：A A、B B、C C、D D 四類八個級別，共四類八個級別，共2727條評估準則條評估準則 隨著安全等級的提高，系統(tǒng)的可信度隨之增加，風險隨著安全等級的提高，系統(tǒng)的可信度隨之增加，風險 逐漸減少。逐漸減少。 . 11 TCSEC 四個安全等級：四個安全等級： 無保護

9、級無保護級 自主保護級自主保護級 強制保護級強制保護級 驗證保護級驗證保護級 . 12 TCSEC D D類是最低保護等級，即無保護級類是最低保護等級，即無保護級 是為那些經(jīng)過評估，但不滿足較高評估等級要求的系是為那些經(jīng)過評估，但不滿足較高評估等級要求的系 統(tǒng)設計的，只具有一個級別統(tǒng)設計的，只具有一個級別 該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不 能在多用戶環(huán)境下處理敏感信息能在多用戶環(huán)境下處理敏感信息 . 13 TCSEC 四個安全等級：四個安全等級： 無保護級無保護級 自主保護級自主保護級 強制保護級強制保護級 驗證保護級驗證保護級 .

10、14 TCSEC C C類為自主保護級類為自主保護級 具有一定的保護能力，采用的措施是自主訪問控制和具有一定的保護能力，采用的措施是自主訪問控制和 審計跟蹤審計跟蹤 一般只適用于具有一定等級的多用戶環(huán)境一般只適用于具有一定等級的多用戶環(huán)境 具有對主體責任及其動作審計的能力具有對主體責任及其動作審計的能力 . 15 TCSEC C C類分為類分為C1C1和和C2C2兩個級別兩個級別: : 自主安全保護級（自主安全保護級（C1級級) ) 控制訪問保護級（控制訪問保護級（C2級）級） . 16 TCSEC C1級級TCBTCB通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保通過隔離用戶與數(shù)據(jù)，使用戶具備自主

11、安全保 護的能力護的能力 它具有多種形式的控制能力，對用戶實施訪問控制它具有多種形式的控制能力，對用戶實施訪問控制 為用戶提供可行的手段，保護用戶和用戶組信息，避為用戶提供可行的手段，保護用戶和用戶組信息，避 免其他用戶對數(shù)據(jù)的非法讀寫與破壞免其他用戶對數(shù)據(jù)的非法讀寫與破壞 C1C1級的系統(tǒng)適用于處理同一敏感級別數(shù)據(jù)的多用戶環(huán)級的系統(tǒng)適用于處理同一敏感級別數(shù)據(jù)的多用戶環(huán) 境境 . 17 TCSEC C2C2級計算機系統(tǒng)比級計算機系統(tǒng)比C1C1級具有更細粒度的自主訪問控制級具有更細粒度的自主訪問控制 C2C2級通過注冊過程控制、審計安全相關事件以及資源級通過注冊過程控制、審計安全相關事件以及資源

12、 隔離，使單個用戶為其行為負責隔離，使單個用戶為其行為負責 . 18 TCSEC 四個安全等級：四個安全等級： 無保護級無保護級 自主保護級自主保護級 強制保護級強制保護級 驗證保護級驗證保護級 . 19 TCSEC B B類為強制保護級類為強制保護級 主要要求是主要要求是TCBTCB應維護完整的安全標記，并在此基礎上應維護完整的安全標記，并在此基礎上 執(zhí)行一系列強制訪問控制規(guī)則執(zhí)行一系列強制訪問控制規(guī)則 B B類系統(tǒng)中的主要數(shù)據(jù)結構必須攜帶敏感標記類系統(tǒng)中的主要數(shù)據(jù)結構必須攜帶敏感標記 系統(tǒng)的開發(fā)者還應為系統(tǒng)的開發(fā)者還應為TCBTCB提供安全策略模型以及提供安全策略模型以及TCBTCB規(guī)規(guī)

13、約約 應提供證據(jù)證明訪問監(jiān)控器得到了正確的實施應提供證據(jù)證明訪問監(jiān)控器得到了正確的實施 . 20 TCSEC B類分為三個類別：類分為三個類別： 標記安全保護級（標記安全保護級（B1級）級） 結構化保護級（結構化保護級（B2級）級） 安全區(qū)域保護級（安全區(qū)域保護級（B3級）級） . 21 TCSEC B1B1級系統(tǒng)要求具有級系統(tǒng)要求具有C2C2級系統(tǒng)的所有特性級系統(tǒng)的所有特性 在此基礎上，還應提供安全策略模型的非形式化描述、在此基礎上，還應提供安全策略模型的非形式化描述、 數(shù)據(jù)標記以及命名主體和客體的強制訪問控制數(shù)據(jù)標記以及命名主體和客體的強制訪問控制 并消除測試中發(fā)現(xiàn)的所有缺陷并消除測試中發(fā)

14、現(xiàn)的所有缺陷 . 22 TCSEC B類分為三個類別：類分為三個類別： 標記安全保護級（標記安全保護級（B1級）級） 結構化保護級（結構化保護級（B2級）級） 安全區(qū)域保護級（安全區(qū)域保護級（B3級）級） . 23 TCSEC 在在B2B2級系統(tǒng)中，級系統(tǒng)中，TCBTCB建立于一個明確定義并文檔化形式建立于一個明確定義并文檔化形式 化安全策略模型之上化安全策略模型之上 要求將要求將B1B1級系統(tǒng)中建立的自主和強制訪問控制擴展到級系統(tǒng)中建立的自主和強制訪問控制擴展到 所有的主體與客體所有的主體與客體 在此基礎上，應對隱蔽信道進行分析在此基礎上，應對隱蔽信道進行分析 TCBTCB應結構化為關鍵保護

15、元素和非關鍵保護元素應結構化為關鍵保護元素和非關鍵保護元素 . 24 TCSEC TCBTCB接口必須明確定義接口必須明確定義 其設計與實現(xiàn)應能夠經(jīng)受更充分的測試和更完善的審其設計與實現(xiàn)應能夠經(jīng)受更充分的測試和更完善的審 查查 鑒別機制應得到加強，提供可信設施管理以支持系統(tǒng)鑒別機制應得到加強，提供可信設施管理以支持系統(tǒng) 管理員和操作員的職能管理員和操作員的職能 提供嚴格的配置管理控制提供嚴格的配置管理控制 B2B2級系統(tǒng)應具備相當?shù)目節(jié)B透能力級系統(tǒng)應具備相當?shù)目節(jié)B透能力 . 25 TCSEC B類分為三個類別：類分為三個類別： 標記安全保護級（標記安全保護級（B1級）級） 結構化保護級（結構化

16、保護級（B2級）級） 安全區(qū)域保護級（安全區(qū)域保護級（B3級）級） . 26 TCSEC 在在B3B3級系統(tǒng)中，級系統(tǒng)中，TCBTCB必須滿足訪問監(jiān)控器需求必須滿足訪問監(jiān)控器需求 訪問監(jiān)控器對所有主體對客體的訪問進行仲裁訪問監(jiān)控器對所有主體對客體的訪問進行仲裁 訪問監(jiān)控器本身是抗篡改的訪問監(jiān)控器本身是抗篡改的 訪問監(jiān)控器足夠小訪問監(jiān)控器足夠小 訪問監(jiān)控器能夠分析和測試訪問監(jiān)控器能夠分析和測試 . 27 TCSEC 為了滿足訪問控制器需求為了滿足訪問控制器需求: : 計算機信息系統(tǒng)可信計算基在構造時，排除那些對計算機信息系統(tǒng)可信計算基在構造時，排除那些對 實施安全策略來說并非必要的代碼實施安全策

17、略來說并非必要的代碼 計算機信息系統(tǒng)可信計算基在設計和實現(xiàn)時，從系計算機信息系統(tǒng)可信計算基在設計和實現(xiàn)時，從系 統(tǒng)工程角度將其復雜性降低到最小程度統(tǒng)工程角度將其復雜性降低到最小程度 . 28 TCSEC B3B3級系統(tǒng)支持級系統(tǒng)支持: : 安全管理員職能安全管理員職能 擴充審計機制擴充審計機制 當發(fā)生與安全相關的事件時，發(fā)出信號當發(fā)生與安全相關的事件時，發(fā)出信號 提供系統(tǒng)恢復機制提供系統(tǒng)恢復機制 系統(tǒng)具有很高的抗?jié)B透能力系統(tǒng)具有很高的抗?jié)B透能力 . 29 TCSEC 四個安全等級：四個安全等級： 無保護級無保護級 自主保護級自主保護級 強制保護級強制保護級 驗證保護級驗證保護級 . 30 TC

18、SEC A類為驗證保護級類為驗證保護級 A A類的特點是使用形式化的安全驗證方法，保證系統(tǒng)的類的特點是使用形式化的安全驗證方法，保證系統(tǒng)的 自主和強制安全控制措施能夠有效地保護系統(tǒng)中存儲自主和強制安全控制措施能夠有效地保護系統(tǒng)中存儲 和處理的秘密信息或其他敏感信息和處理的秘密信息或其他敏感信息 為證明為證明TCBTCB滿足設計、開發(fā)及實現(xiàn)等各個方面的安全要滿足設計、開發(fā)及實現(xiàn)等各個方面的安全要 求，系統(tǒng)應提供豐富的文檔信息求，系統(tǒng)應提供豐富的文檔信息 . 31 TCSEC A A類分為兩個類別：類分為兩個類別： 驗證設計級（驗證設計級（A1A1級）級） 超超A1A1級級 . 32 TCSEC

19、A1A1級系統(tǒng)在功能上和級系統(tǒng)在功能上和B3B3級系統(tǒng)是相同的，沒有增加體級系統(tǒng)是相同的，沒有增加體 系結構特性和策略要求系結構特性和策略要求 最顯著的特點是，要求用形式化設計規(guī)范和驗證方法最顯著的特點是，要求用形式化設計規(guī)范和驗證方法 來對系統(tǒng)進行分析，確保來對系統(tǒng)進行分析，確保TCBTCB按設計要求實現(xiàn)按設計要求實現(xiàn) 從本質(zhì)上說，這種保證是發(fā)展的，它從一個安全策略從本質(zhì)上說，這種保證是發(fā)展的，它從一個安全策略 的形式化模型和設計的形式化高層規(guī)約（的形式化模型和設計的形式化高層規(guī)約（FTLSFTLS）開始）開始 . 33 TCSEC 針對針對A1A1級系統(tǒng)設計驗證，有級系統(tǒng)設計驗證，有5 5

20、種獨立于特定規(guī)約語言或種獨立于特定規(guī)約語言或 驗證方法的重要準則：驗證方法的重要準則： 安全策略的形式化模型必須得到明確標識并文檔化，提供該模安全策略的形式化模型必須得到明確標識并文檔化，提供該模 型與其公理一致以及能夠?qū)Π踩呗蕴峁┳銐蛑С值臄?shù)學證明型與其公理一致以及能夠?qū)Π踩呗蕴峁┳銐蛑С值臄?shù)學證明 應提供形式化的高層規(guī)約，包括應提供形式化的高層規(guī)約，包括TCBTCB功能的抽象定義、用于隔功能的抽象定義、用于隔 離執(zhí)行域的硬件離執(zhí)行域的硬件/ /固件機制的抽象定義固件機制的抽象定義 . 34 TCSEC 應通過形式化的技術（如果可能的化）和非形式化的應通過形式化的技術（如果可能的化）和非

21、形式化的 技術證明技術證明TCB的形式化高層規(guī)約（的形式化高層規(guī)約（FTLS）與模型是一）與模型是一 致的致的 通過非形式化的方法證明通過非形式化的方法證明TCB的實現(xiàn)（硬件、固件、的實現(xiàn)（硬件、固件、 軟件）與形式化的高層規(guī)約（軟件）與形式化的高層規(guī)約（FTLS）是一致的。應證）是一致的。應證 明明FTLS的元素與的元素與TCB的元素是一致的，的元素是一致的，F(xiàn)TLS應表達應表達 用于滿足安全策略的一致的保護機制，這些保護機制用于滿足安全策略的一致的保護機制，這些保護機制 的元素應映射到的元素應映射到TCB的要素的要素 . 35 TCSEC 應使用形式化的方法標識并分析隱蔽信道，非形式化應使

22、用形式化的方法標識并分析隱蔽信道，非形式化 的方法可以用來標識時間隱蔽信道，必須對系統(tǒng)中存的方法可以用來標識時間隱蔽信道，必須對系統(tǒng)中存 在的隱蔽信道進行解釋在的隱蔽信道進行解釋 . 36 TCSEC A1級系統(tǒng)級系統(tǒng): : 要求更嚴格的配置管理要求更嚴格的配置管理 要求建立系統(tǒng)安全分發(fā)的程序要求建立系統(tǒng)安全分發(fā)的程序 支持系統(tǒng)安全管理員的職能支持系統(tǒng)安全管理員的職能 . 37 TCSEC A A類分為兩個類別：類分為兩個類別： 驗證設計級（驗證設計級（A1A1級）級） 超超A1A1級級 . 38 TCSEC 超超A1A1級在級在A1級基礎上增加的許多安全措施超出了目前級基礎上增加的許多安全措

23、施超出了目前 的技術發(fā)展的技術發(fā)展 隨著更多、更好的分析技術的出現(xiàn)，本級系統(tǒng)的要求隨著更多、更好的分析技術的出現(xiàn)，本級系統(tǒng)的要求 才會變的更加明確才會變的更加明確 今后，形式化的驗證方法將應用到源碼一級，并且時今后，形式化的驗證方法將應用到源碼一級，并且時 間隱蔽信道將得到全面的分析間隱蔽信道將得到全面的分析 . 39 TCSEC 在這一級，設計環(huán)境將變的更重要在這一級，設計環(huán)境將變的更重要 形式化高層規(guī)約的分析將對測試提供幫助形式化高層規(guī)約的分析將對測試提供幫助 TCB開發(fā)中使用的工具的正確性及開發(fā)中使用的工具的正確性及TCB運行的軟硬件運行的軟硬件 功能的正確性將得到更多的關注功能的正確性

24、將得到更多的關注 . 40 TCSEC 超超A1級系統(tǒng)涉及的范圍包括：級系統(tǒng)涉及的范圍包括： 系統(tǒng)體系結構系統(tǒng)體系結構 安全測試安全測試 形式化規(guī)約與驗證形式化規(guī)約與驗證 可信設計環(huán)境等可信設計環(huán)境等 . 41 標準介紹標準介紹 信息技術安全評估準則發(fā)展過程信息技術安全評估準則發(fā)展過程 可信計算機系統(tǒng)評估準則（可信計算機系統(tǒng)評估準則（TCSEC） 可信網(wǎng)絡解釋可信網(wǎng)絡解釋 （TNI） 通用準則通用準則CC 計算機信息系統(tǒng)安全保護等級劃分準則計算機信息系統(tǒng)安全保護等級劃分準則 信息安全保證技術框架信息安全保證技術框架 信息系統(tǒng)安全保護等級應用指南信息系統(tǒng)安全保護等級應用指南 . 42 可信網(wǎng)絡解

25、釋（可信網(wǎng)絡解釋（TNI） 美國國防部計算機安全評估中心在完成美國國防部計算機安全評估中心在完成TCSEC的基礎的基礎 上，又組織了專門的研究鏃對可信網(wǎng)絡安全評估進行上，又組織了專門的研究鏃對可信網(wǎng)絡安全評估進行 研究，并于研究，并于1987年發(fā)布了以年發(fā)布了以TCSEC為基礎的可信網(wǎng)絡為基礎的可信網(wǎng)絡 解釋，即解釋，即TNI。 TNI包括兩個部分（包括兩個部分（Part I和和Part II）及三個附錄）及三個附錄 （APPENDIX A、B、C） . 43 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） TNI第一部分提供了在網(wǎng)絡系統(tǒng)作為一個單一系統(tǒng)進行第一部分提供了在網(wǎng)絡系統(tǒng)作為一個單一系統(tǒng)進行

26、評估時評估時TCSEC中各個等級（從中各個等級（從D到到A類）的解釋類）的解釋 與單機系統(tǒng)不同的是，網(wǎng)絡系統(tǒng)的可信計算基稱為網(wǎng)與單機系統(tǒng)不同的是，網(wǎng)絡系統(tǒng)的可信計算基稱為網(wǎng) 絡可信計算基（絡可信計算基（NTCB） . 44 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 第二部分以附加安全服務的形式提出了在網(wǎng)絡互聯(lián)時出第二部分以附加安全服務的形式提出了在網(wǎng)絡互聯(lián)時出 現(xiàn)的一些附加要求現(xiàn)的一些附加要求 這些要求主要是針對完整性、可用性和保密性的這些要求主要是針對完整性、可用性和保密性的 . 45 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 第二部分的評估是定性的，針對一個服務進行評估的結第二部分的評估是定性的，

27、針對一個服務進行評估的結 果一般分為為：果一般分為為： vnone vminimum vfair vgood . 46 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 第二部分中關于每個服務的說明一般包括第二部分中關于每個服務的說明一般包括: : 一種相對簡短的陳述一種相對簡短的陳述 相關的功能性的討論相關的功能性的討論 相關機制強度的討論相關機制強度的討論 相關保證的討論相關保證的討論 . 47 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 功能性是指一個安全服務的目標和實現(xiàn)方法，它包括特功能性是指一個安全服務的目標和實現(xiàn)方法，它包括特 性、機制及實現(xiàn)性、機制及實現(xiàn) 機制的強度是指一種方法實現(xiàn)其目標的程度機制

28、的強度是指一種方法實現(xiàn)其目標的程度 有些情況下，參數(shù)的選擇會對機制的強度帶來很大的影有些情況下，參數(shù)的選擇會對機制的強度帶來很大的影 響響 . 48 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 保證是指相信一個功能會實現(xiàn)的基礎保證是指相信一個功能會實現(xiàn)的基礎 保證一般依靠對理論、測試、軟件工程等相關內(nèi)容的分保證一般依靠對理論、測試、軟件工程等相關內(nèi)容的分 析析 分析可以是形式化或非形式化的，也可以是理論的或應分析可以是形式化或非形式化的，也可以是理論的或應 用的用的 . 49 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 第二部分中列出的安全服務有：第二部分中列出的安全服務有： 通信完整性通信完整性 拒絕服

29、務拒絕服務 機密性機密性 . 50 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 通信完整性主要涉及以下通信完整性主要涉及以下3方面：方面： 鑒別：網(wǎng)絡中應能夠抵抗欺騙和重放攻擊鑒別：網(wǎng)絡中應能夠抵抗欺騙和重放攻擊 通信字段完整性：保護通信中的字段免受非授權的通信字段完整性：保護通信中的字段免受非授權的 修改修改 抗抵賴：提供數(shù)據(jù)發(fā)送、接受的證據(jù)抗抵賴：提供數(shù)據(jù)發(fā)送、接受的證據(jù) . 51 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 當網(wǎng)絡處理能力下降到一個規(guī)定的界限以下或遠程實當網(wǎng)絡處理能力下降到一個規(guī)定的界限以下或遠程實 體無法訪問時，即發(fā)生了拒絕服務體無法訪問時，即發(fā)生了拒絕服務 所有由網(wǎng)絡提供的服務都

30、應考慮拒絕服務的情況所有由網(wǎng)絡提供的服務都應考慮拒絕服務的情況 網(wǎng)絡管理者應決定網(wǎng)絡拒絕服務需求網(wǎng)絡管理者應決定網(wǎng)絡拒絕服務需求 . 52 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 解決拒絕服務的方法有：解決拒絕服務的方法有： 操作連續(xù)性操作連續(xù)性 基于協(xié)議的拒絕服務保護基于協(xié)議的拒絕服務保護 網(wǎng)絡管理網(wǎng)絡管理 . 53 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 機密性是一系列安全服務的總稱機密性是一系列安全服務的總稱 這些服務都是關于通過計算機通信網(wǎng)絡在實體間傳輸這些服務都是關于通過計算機通信網(wǎng)絡在實體間傳輸 信息的安全和保密的信息的安全和保密的 具體又分具體又分3種情況：種情況： 數(shù)據(jù)保密數(shù)據(jù)保密

31、 通信流保密通信流保密 選擇路由選擇路由 . 54 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 數(shù)據(jù)保密：數(shù)據(jù)保密： v數(shù)據(jù)保密性服務保護數(shù)據(jù)不被未授權地泄露數(shù)據(jù)保密性服務保護數(shù)據(jù)不被未授權地泄露 v數(shù)據(jù)保密性主要受搭線竊聽的威脅數(shù)據(jù)保密性主要受搭線竊聽的威脅 v被動的攻擊包括對線路上傳輸?shù)男畔⒌挠^測被動的攻擊包括對線路上傳輸?shù)男畔⒌挠^測 . 55 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 通信流保密：通信流保密： v針對通信流分析攻擊而言，通信流分析攻擊分析消息針對通信流分析攻擊而言，通信流分析攻擊分析消息 的長度、頻率及協(xié)議的內(nèi)容（如地址）的長度、頻率及協(xié)議的內(nèi)容（如地址） v并以此推出消息的內(nèi)容并

32、以此推出消息的內(nèi)容 . 56 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 選擇路由：選擇路由： v路由選擇控制是在路由選擇過程中應用規(guī)則，以便具體路由選擇控制是在路由選擇過程中應用規(guī)則，以便具體 的選取或回避某些網(wǎng)絡、鏈路或中繼的選取或回避某些網(wǎng)絡、鏈路或中繼 v路由能動態(tài)的或預定地選取，以便只使用物理上安全的路由能動態(tài)的或預定地選取，以便只使用物理上安全的 子網(wǎng)絡、鏈路或中繼子網(wǎng)絡、鏈路或中繼 v在檢測到持續(xù)的操作攻擊時，端系統(tǒng)可希望指示網(wǎng)絡服在檢測到持續(xù)的操作攻擊時，端系統(tǒng)可希望指示網(wǎng)絡服 務的提供者經(jīng)不同的路由建立連接務的提供者經(jīng)不同的路由建立連接 v帶有某些安全標記的數(shù)據(jù)可能被策略禁止通過某

33、些子網(wǎng)帶有某些安全標記的數(shù)據(jù)可能被策略禁止通過某些子網(wǎng) 絡、鏈路或中繼絡、鏈路或中繼 . 57 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） TNI第二部分的評估更多地表現(xiàn)出定性和主觀的特點，第二部分的評估更多地表現(xiàn)出定性和主觀的特點， 同第一部分相比表現(xiàn)出更多的變化同第一部分相比表現(xiàn)出更多的變化 第二部分的評估是關于被評估系統(tǒng)能力和它們對特定應第二部分的評估是關于被評估系統(tǒng)能力和它們對特定應 用環(huán)境的適合性的非常有價值的信息用環(huán)境的適合性的非常有價值的信息 第二部分中所列舉的安全服務是網(wǎng)絡環(huán)境下有代表性的第二部分中所列舉的安全服務是網(wǎng)絡環(huán)境下有代表性的 安全服務安全服務 在不同的環(huán)境下，并非所有的服

34、務都同等重要，同一服在不同的環(huán)境下，并非所有的服務都同等重要，同一服 務在不同環(huán)境下的重要性也不一定一樣務在不同環(huán)境下的重要性也不一定一樣 . 58 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） TNI的附錄的附錄A是第一部分的擴展，主要是關于網(wǎng)絡中組是第一部分的擴展，主要是關于網(wǎng)絡中組 件及組件組合的評估件及組件組合的評估 附錄附錄A A把把TCSECTCSEC為為A1A1級系統(tǒng)定義的安全相關的策略分為級系統(tǒng)定義的安全相關的策略分為 四個相對獨立的種類，他們分別支持強制訪問控制四個相對獨立的種類，他們分別支持強制訪問控制 （MACMAC），自主訪問控制（），自主訪問控制（DACDAC），身份鑒別（）

35、，身份鑒別（IAIA），）， 審計（審計（AUDITAUDIT） . 59 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 組成部分的類型最小級別最大級別 MB1A1 DC1C2+ IC1C2 AC2C2+ DIC1C2+ DAC2C2+ IAC2C2+ IADC2C2+ MDB1A1 MAB1A1 MIB1A1 MDAB1A1 MDIB1A1 MIAB1A1 MIADB1A1 . 60 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 附錄附錄B給出了根據(jù)給出了根據(jù)TCSEC對網(wǎng)絡組件進行評估的基本對網(wǎng)絡組件進行評估的基本 原理原理 附錄附錄C則給出了幾個則給出了幾個AIS互聯(lián)時的認證指南及互聯(lián)中可互聯(lián)時的認證指

36、南及互聯(lián)中可 能遇到的問題能遇到的問題 . 61 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） TNI中關于網(wǎng)絡有兩種概念：中關于網(wǎng)絡有兩種概念： v一是單一可信系統(tǒng)的概念（一是單一可信系統(tǒng)的概念（single trusted system） v另一個是互聯(lián)信息系統(tǒng)的概念（另一個是互聯(lián)信息系統(tǒng)的概念（interconnected AIS） 這兩個概念并不互相排斥這兩個概念并不互相排斥 . 62 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 在單一可信系統(tǒng)中，網(wǎng)絡具有包括各個安全相關部分在單一可信系統(tǒng)中，網(wǎng)絡具有包括各個安全相關部分 的單一的單一TCB，稱為，稱為NTCB（network trusted com

37、puting base） NTCB作為一個整體滿足系統(tǒng)的安全體系設計作為一個整體滿足系統(tǒng)的安全體系設計 . 63 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 在互聯(lián)信息系統(tǒng)中在互聯(lián)信息系統(tǒng)中 各個子系統(tǒng)可能具有不同的安全策略各個子系統(tǒng)可能具有不同的安全策略 具有不同的信任等級具有不同的信任等級 并且可以分別進行評估并且可以分別進行評估 各個子系統(tǒng)甚至可能是異構的各個子系統(tǒng)甚至可能是異構的 . 64 可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 安全策略的實施一般控制在各個子系統(tǒng)內(nèi)，在附錄安全策略的實施一般控制在各個子系統(tǒng)內(nèi)，在附錄C中中 給出了各個子系統(tǒng)安全地互聯(lián)的指南，在互聯(lián)時要控制給出了各個子系統(tǒng)安全地

38、互聯(lián)的指南，在互聯(lián)時要控制 局部風險的擴散，排除整個系統(tǒng)中的級聯(lián)問題（局部風險的擴散，排除整個系統(tǒng)中的級聯(lián)問題（cascade problem） 限制局部風險的擴散的方法：單向連接、傳輸?shù)氖止z限制局部風險的擴散的方法：單向連接、傳輸?shù)氖止z 測、加密、隔離或其他措施。測、加密、隔離或其他措施。 . 65 標準介紹標準介紹 信息技術安全評估準則發(fā)展過程信息技術安全評估準則發(fā)展過程 可信計算機系統(tǒng)評估準則（可信計算機系統(tǒng)評估準則（TCSEC） 可信網(wǎng)絡解釋可信網(wǎng)絡解釋 （TNI） 通用準則通用準則CC 計算機信息系統(tǒng)安全保護等級劃分準則計算機信息系統(tǒng)安全保護等級劃分準則 信息安全保證技術框架信息

39、安全保證技術框架 信息系統(tǒng)安全保護等級應用指南信息系統(tǒng)安全保護等級應用指南 . 66 通用準則通用準則CC CC的范圍的范圍 : CC適用于硬件、固件和軟件實現(xiàn)的信息技術安全措施適用于硬件、固件和軟件實現(xiàn)的信息技術安全措施 而某些內(nèi)容因涉及特殊專業(yè)技術或僅是信息技術安全而某些內(nèi)容因涉及特殊專業(yè)技術或僅是信息技術安全 的外圍技術不在的外圍技術不在CC的范圍內(nèi)的范圍內(nèi) . 67 通用準則通用準則CC 評估上下文評估上下文 評估準則 (通用準則） 評估方法學 評估方案 最終評估 結果 評估批準/證明 證書表/ (注冊) . 68 通用準則通用準則CC 使用通用評估方法學可以提供結果的可重復性和客觀使

40、用通用評估方法學可以提供結果的可重復性和客觀 性性 許多評估準則需要使用專家判斷和一定的背景知識許多評估準則需要使用專家判斷和一定的背景知識 為了增強評估結果的一致性，最終的評估結果應提交為了增強評估結果的一致性，最終的評估結果應提交 給一個認證過程，該過程是一個針對評估結果的獨立給一個認證過程，該過程是一個針對評估結果的獨立 的檢查過程，并生成最終的證書或正式批文的檢查過程，并生成最終的證書或正式批文 . 69 通用準則通用準則CC CC包括三個部分包括三個部分: : 第一部分：簡介和一般模型第一部分：簡介和一般模型 第二部分：安全功能要求第二部分：安全功能要求 第三部分：安全保證要求第三部

41、分：安全保證要求 . 70 通用準則通用準則CC 安全保證要求部分提出了七個評估保證級別安全保證要求部分提出了七個評估保證級別（Evaluation Assurance Levels：EALs）分別是：分別是： EAL1EAL1：功能測試：功能測試 EAL2EAL2：結構測試：結構測試 EAL3EAL3：系統(tǒng)測試和檢查：系統(tǒng)測試和檢查 EAL4EAL4：系統(tǒng)設計、測試和復查：系統(tǒng)設計、測試和復查 EAL5EAL5：半形式化設計和測試：半形式化設計和測試 EAL6EAL6：半形式化驗證的設計和測試：半形式化驗證的設計和測試 EAL7EAL7：形式化驗證的設計和測試：形式化驗證的設計和測試 . 7

42、1 通用準則通用準則CC CC的一般模型的一般模型 一般安全上下文一般安全上下文 TOETOE評估評估 CCCC安全概念安全概念 . 72 通用準則通用準則CC 安全就是保護資產(chǎn)不受威脅，威脅可依據(jù)濫用被保護安全就是保護資產(chǎn)不受威脅，威脅可依據(jù)濫用被保護 資產(chǎn)的可能性進行分類資產(chǎn)的可能性進行分類 所有的威脅類型都應該被考慮到所有的威脅類型都應該被考慮到 在安全領域內(nèi)，被高度重視的威脅是和人們的惡意攻在安全領域內(nèi)，被高度重視的威脅是和人們的惡意攻 擊及其它人類活動相聯(lián)系的擊及其它人類活動相聯(lián)系的 . 73 通用準則通用準則CC 安全安全 概念概念 和關和關 系系 圖4.1 安全概念和關系 所有者

43、 對策 弱點 風險 資產(chǎn) 威脅 威脅者 價值 希望最小化 利用減少 可能擁有 可能意識到 可能被減少 利用 導致 引起 增加 到 到 希望濫用和破壞 . 74 通用準則通用準則CC 安全性損壞一般包括但又不僅僅包括以下幾項安全性損壞一般包括但又不僅僅包括以下幾項 資產(chǎn)破壞性地暴露于未授權的接收者（失去保密性）資產(chǎn)破壞性地暴露于未授權的接收者（失去保密性） 資產(chǎn)由于未授權的更改而損壞（失去完整性）資產(chǎn)由于未授權的更改而損壞（失去完整性） 或資產(chǎn)訪問權被未授權的喪失（失去可用性）或資產(chǎn)訪問權被未授權的喪失（失去可用性） . 75 通用準則通用準則CC 資產(chǎn)所有者必須分析可能的威脅并確定哪些存在于他

44、資產(chǎn)所有者必須分析可能的威脅并確定哪些存在于他 們的環(huán)境們的環(huán)境，其后果就是風險其后果就是風險 對策用以（直接或間接地）減少脆弱性并滿足資產(chǎn)所對策用以（直接或間接地）減少脆弱性并滿足資產(chǎn)所 有者的安全策略有者的安全策略 在將資產(chǎn)暴露于特定威脅之前，所有者需要確信其對在將資產(chǎn)暴露于特定威脅之前，所有者需要確信其對 策足以應付面臨的威脅策足以應付面臨的威脅 . 76 通用準則通用準則CC 評評 估估 概概 念念 和和 關關 系系 保證技術 保證 評估 信心 對策 風險 資產(chǎn) 所有者 產(chǎn)生 給出證據(jù) 需要 提供 源于 最小化 針對 . 77 通用準則通用準則CC TOE 評評 估估 過過 程程 安全

45、需求 （PP與ST） 開發(fā)TOE TOE和評估評估TOE 評估結果操作TOE 評估方案 評估方法 評估準則 反饋 . 78 通用準則通用準則CC TOETOE評估過程的主要輸入有：評估過程的主要輸入有： 一系列一系列TOE證據(jù)，包括評估過的證據(jù)，包括評估過的ST作為作為TOE評估的基礎評估的基礎 需要評估的需要評估的TOE 評估準則、方法和方案評估準則、方法和方案 另外，說明性材料（例如另外，說明性材料（例如CC的使用說明書）和評估者及評估的使用說明書）和評估者及評估 組織的組織的IT安全專業(yè)知識也常用來作為評估過程的輸入安全專業(yè)知識也常用來作為評估過程的輸入 . 79 通用準則通用準則CC

46、評估過程通過兩種途徑產(chǎn)生更好的安全產(chǎn)品評估過程通過兩種途徑產(chǎn)生更好的安全產(chǎn)品 評估過程能發(fā)現(xiàn)開發(fā)者可以糾正的評估過程能發(fā)現(xiàn)開發(fā)者可以糾正的TOE錯誤或弱點，從而在減錯誤或弱點，從而在減 少將來操作中安全失效的可能性少將來操作中安全失效的可能性 另一方面，為了通過嚴格的評估，開發(fā)者在另一方面，為了通過嚴格的評估，開發(fā)者在TOE設計和開發(fā)時設計和開發(fā)時 也將更加細心也將更加細心 因此，評估過程對最初需求、開發(fā)過程、最終產(chǎn)品以及操作環(huán)境因此，評估過程對最初需求、開發(fā)過程、最終產(chǎn)品以及操作環(huán)境 將產(chǎn)生強烈的積極影響將產(chǎn)生強烈的積極影響 . 80 通用準則通用準則CC 只有在只有在IT環(huán)境中考慮環(huán)境中考

47、慮IT組件保護資產(chǎn)的能力時，組件保護資產(chǎn)的能力時，CC才才 是可用的是可用的 為了表明資產(chǎn)是安全的，安全考慮必須出現(xiàn)在所有層為了表明資產(chǎn)是安全的，安全考慮必須出現(xiàn)在所有層 次的表述中，包括從最抽象到最終的次的表述中，包括從最抽象到最終的IT實現(xiàn)實現(xiàn) CC要求在某層次上的表述包含在該層次上要求在某層次上的表述包含在該層次上TOE描述的描述的 基本原理基本原理 . 81 通用準則通用準則CC CC安全概念安全概念包括：包括： 安全環(huán)境安全環(huán)境 安全目的安全目的 IT安全要求安全要求 TOE概要規(guī)范概要規(guī)范 . 82 通用準則通用準則CC 安全環(huán)境包括所有相關的法規(guī)、組織性安全策略、習安全環(huán)境包括所

48、有相關的法規(guī)、組織性安全策略、習 慣、專門技術和知識慣、專門技術和知識 它定義了它定義了TOE使用的上下文，安全環(huán)境也包括環(huán)境里使用的上下文，安全環(huán)境也包括環(huán)境里 出現(xiàn)的安全威脅出現(xiàn)的安全威脅 . 83 通用準則通用準則CC 為建立安全環(huán)境，必須考慮以下幾點：為建立安全環(huán)境，必須考慮以下幾點： TOE物理環(huán)境，指所有的與物理環(huán)境，指所有的與TOE安全相關的安全相關的TOE運行運行 環(huán)境，包括已知的物理和人事的安全安排環(huán)境，包括已知的物理和人事的安全安排 需要根據(jù)安全策略由需要根據(jù)安全策略由TOE的元素實施保護的資產(chǎn)。包的元素實施保護的資產(chǎn)。包 括可直接相關的資產(chǎn)（如文件和數(shù)據(jù)庫）和間接受安括可

49、直接相關的資產(chǎn)（如文件和數(shù)據(jù)庫）和間接受安 全要求支配的資產(chǎn)（如授權憑證和全要求支配的資產(chǎn)（如授權憑證和IT實現(xiàn)本身）實現(xiàn)本身） TOE目的，說明產(chǎn)品類型和可能的目的，說明產(chǎn)品類型和可能的TOE用途用途 . 84 通用準則通用準則CC 安全環(huán)境的分析結果被用來闡明對抗已標識的威脅、安全環(huán)境的分析結果被用來闡明對抗已標識的威脅、 說明組織性安全策略和假設的安全目的說明組織性安全策略和假設的安全目的 安全目的和已說明的安全目的和已說明的TOE運行目標或產(chǎn)品目標以及有運行目標或產(chǎn)品目標以及有 關的物理環(huán)境知識一致關的物理環(huán)境知識一致 確定安全目的的意圖是為了闡明所有的安全考慮并指確定安全目的的意圖是

50、為了闡明所有的安全考慮并指 出哪些安全方面的問題是直接由出哪些安全方面的問題是直接由TOE還是由它的環(huán)境還是由它的環(huán)境 來處理來處理 環(huán)境安全目的將在環(huán)境安全目的將在IT領域內(nèi)用非技術上的或程序化的領域內(nèi)用非技術上的或程序化的 手段來實現(xiàn)手段來實現(xiàn) . 85 通用準則通用準則CC IT安全要求是將安全目的細化為一系列安全要求是將安全目的細化為一系列TOE及其環(huán)境及其環(huán)境 的安全要求，一旦這些要求得到滿足，就可以保證的安全要求，一旦這些要求得到滿足，就可以保證 TOE達到它的安全目的達到它的安全目的 IT安全需求只涉及安全需求只涉及TOE安全目的和它的安全目的和它的IT環(huán)境環(huán)境 . 86 通用準

51、則通用準則CC ST中提供的中提供的TOE概要規(guī)范定義概要規(guī)范定義TOE安全要求的實現(xiàn)方安全要求的實現(xiàn)方 法法 它提供了分別滿足功能需求和保證需求的安全功能和它提供了分別滿足功能需求和保證需求的安全功能和 保證措施的高層定義保證措施的高層定義 . 87 通用準則通用準則CC CC定義了一系列與已知有效的安全要求集合相結合的定義了一系列與已知有效的安全要求集合相結合的 概念，該概念可被用來為預期的產(chǎn)品和系統(tǒng)建立安全概念，該概念可被用來為預期的產(chǎn)品和系統(tǒng)建立安全 需求需求 CCCC安全要求以類安全要求以類族族組件這種層次方式組織，以幫組件這種層次方式組織，以幫 助用戶定位特定的安全要求助用戶定位特

52、定的安全要求 對功能和保證方面的要求，對功能和保證方面的要求，CC使用相同的風格、組織使用相同的風格、組織 方式和術語。方式和術語。 . 88 通用準則通用準則CC 要要 求求 的的 組組 織織 和和 結結 構構 . 89 通用準則通用準則CC CC中安全要求的描述方法中安全要求的描述方法： 類：類：類用作最通用安全要求的組合，類的所有的成員類用作最通用安全要求的組合，類的所有的成員 關注共同的安全焦點，但覆蓋不同的安全目的關注共同的安全焦點，但覆蓋不同的安全目的 族：類的成員被稱為族族：類的成員被稱為族。族是若干組安全要求的組合，族是若干組安全要求的組合， 這些要求有共同的安全目的，但在側重

53、點和嚴格性上這些要求有共同的安全目的，但在側重點和嚴格性上 有所區(qū)別有所區(qū)別 組件：族的成員被稱為組件。組件描述一組特定的安組件：族的成員被稱為組件。組件描述一組特定的安 全要求集，它是全要求集，它是CC定義的結構中所包含的最小的可選定義的結構中所包含的最小的可選 安全要求集安全要求集 . 90 通用準則通用準則CC 組件由單個元素組成，元素是安全需求最低層次的表組件由單個元素組成，元素是安全需求最低層次的表 達，并且是能被評估驗證的不可分割的安全要求達，并且是能被評估驗證的不可分割的安全要求 族內(nèi)具有相同目標的組件可以以安全要求強度（或能族內(nèi)具有相同目標的組件可以以安全要求強度（或能 力）逐

54、步增加的順序排列，也可以部分地按相關非層力）逐步增加的順序排列，也可以部分地按相關非層 次集合的方式組織次集合的方式組織 . 91 通用準則通用準則CC 組件間可能存在依賴關系組件間可能存在依賴關系 依賴關系可以存在于功能組件之間、保證組件之間以依賴關系可以存在于功能組件之間、保證組件之間以 及功能和保證組件之間及功能和保證組件之間 組件間依賴關系描述是組件間依賴關系描述是CC組件定義的一部分組件定義的一部分 . 92 通用準則通用準則CC 可以通過使用組件允許的操作，對組件進行裁剪可以通過使用組件允許的操作，對組件進行裁剪 每一個每一個CC組件標識并定義組件允許的組件標識并定義組件允許的“賦

55、值賦值”和和“選選 擇擇”操作、在哪些情況下可對組件使用這些操作，以及操作、在哪些情況下可對組件使用這些操作，以及 使用這些操作的后果使用這些操作的后果 任何一個組件均允許任何一個組件均允許“反復反復”和和“細化細化”操作操作 . 93 通用準則通用準則CC 這四個操作如下所述：這四個操作如下所述： 反復：在不同操作時，允許組件多次使用反復：在不同操作時，允許組件多次使用 賦值：當組件被應用時，允許規(guī)定所賦予的參數(shù)賦值：當組件被應用時，允許規(guī)定所賦予的參數(shù) 選擇：允許從組件給出的列表中選定若干項選擇：允許從組件給出的列表中選定若干項 細化：當組件被應用時，允許對組件增加細節(jié)細化：當組件被應用時

56、，允許對組件增加細節(jié) . 94 通用準則通用準則CC CC中安全需求的描述方法中安全需求的描述方法: 包包: :組件的中間組合被稱為包組件的中間組合被稱為包 保護輪廓保護輪廓( (PP): ): PP是關于一系列滿足一個安全目標集是關于一系列滿足一個安全目標集 的的TOETOE的、與實現(xiàn)無關的描述的、與實現(xiàn)無關的描述 安全目標安全目標( (ST) )： ST是針對特定是針對特定TOE安全要求的描述，安全要求的描述， 通過評估可以證明這些安全要求對滿足指定目的是有通過評估可以證明這些安全要求對滿足指定目的是有 用和有效的用和有效的 . 95 通用準則通用準則CC 包允許對功能或保證需求集合的描述

57、，這個集合能夠包允許對功能或保證需求集合的描述，這個集合能夠 滿足一個安全目標的可標識子集滿足一個安全目標的可標識子集 包可重復使用，可用來定義那些公認有用的、能夠有包可重復使用，可用來定義那些公認有用的、能夠有 效滿足特定安全目標的要求效滿足特定安全目標的要求 包可用在構造更大的包、包可用在構造更大的包、PP和和ST中中 . 96 通用準則通用準則CC PP包含一套來自包含一套來自CC（或明確闡述）的安全要求，它應（或明確闡述）的安全要求，它應 包括一個評估保證級別（包括一個評估保證級別（EAL） PP可反復使用，還可用來定義那些公認有用的、能夠可反復使用，還可用來定義那些公認有用的、能夠

58、有效滿足特定安全目標的有效滿足特定安全目標的TOE要求要求 PP包括安全目的和安全要求的基本原理包括安全目的和安全要求的基本原理 PP的開發(fā)者可以是用戶團體、的開發(fā)者可以是用戶團體、IT產(chǎn)品開發(fā)者或其它對產(chǎn)品開發(fā)者或其它對 定義這樣一系列通用要求有興趣的團體定義這樣一系列通用要求有興趣的團體 . 97 通用準則通用準則CC 保護輪保護輪 廓廓PP 描述描述 結構結構 PP應用注解 PP標識 PP 概述 假設 威脅 組織性安全策略 TOE安全目的 環(huán)境安全目的 安全目的基本原理 安全要求基本原理 TOE安全功能要求 TOE 安全保證要求 保護輪廓 PP引言 TOE描述 TOE安全環(huán)境 安全目的

59、IT安全要求 基本原理 TOE安全要求 IT環(huán)境安全要求 . 98 通用準則通用準則CC 安全目標安全目標( (ST) )包括一系列安全要求，這些要求可以引包括一系列安全要求，這些要求可以引 用用PP，也可以直接引用，也可以直接引用CC中的功能或保證組件，或明中的功能或保證組件，或明 確說明確說明 一個一個ST包含包含TOE的概要規(guī)范，安全要求和目的，以及的概要規(guī)范，安全要求和目的，以及 它們的基本原理它們的基本原理 ST是所有團體間就是所有團體間就TOE應提供什么樣的安全性達成一應提供什么樣的安全性達成一 致的基礎致的基礎 . 99 通用準則通用準則CC 安全安全 目目 標標 描描 述述 結

60、結 構構 S T 標 識 S T 概 述 假 設 威 脅 組 織 性 安 全 策 略 T O E 安 全 目 的 環(huán) 境 安 全 目 的 T O E 安 全 功 能 要 求 T O E 安 全 保 證 要 求 安安 全全 目目 標標 S T 引 言 T O E 描 述 T O E 安 全 環(huán) 境 安 全 目 的 I T 安 全 要 求T O E 安 全 要 求 I T 環(huán) 境 安 全 要 求 C C 一 致 性 性 聲 明 T O E 概 要 規(guī) 范 T O E 安 全 功 能 保 證 措 施 P P 聲 明 P P 裁 減 P P 附 加 項 P P 聲 明 基 本 原 理安 全 目 的 基