.網(wǎng)絡(luò)與信息安全-計算機信息系統(tǒng)安全評估標準介紹

1、網(wǎng)絡(luò)與信息平安網(wǎng)絡(luò)與信息平安- -計計算機信息系統(tǒng)平安算機信息系統(tǒng)平安評估標準介紹評估標準介紹(1)(1)7信息技術(shù)平安評估準那么開展過程信息技術(shù)平安評估準那么開展過程 在在19931993年年6 6月，月，CTCPECCTCPEC、FCFC、TCSECTCSEC和和ITSECITSEC的發(fā)起組織的發(fā)起組織開始聯(lián)合起來，將各自獨立的準那么組合成一個單一開始聯(lián)合起來，將各自獨立的準那么組合成一個單一的、能被廣泛使用的的、能被廣泛使用的ITIT平安準那么平安準那么 發(fā)起組織包括六國七方：加拿大、法國、德國、荷蘭、發(fā)起組織包括六國七方：加拿大、法國、德國、荷蘭、英國、美國英國、美國NISTNIST及

2、美國及美國NSANSA，他們的代表建立了，他們的代表建立了CCCC編輯編輯委員會委員會CCEBCCEB來開發(fā)來開發(fā)CC CC 8信息技術(shù)平安評估準那么開展過程信息技術(shù)平安評估準那么開展過程 19961996年年1 1月完成月完成CC1.0CC1.0版版 ,在在19961996年年4 4月被月被ISOISO采納采納 19971997年年1010月完成月完成CC2.0CC2.0的測試版的測試版 19981998年年5 5月發(fā)布月發(fā)布CC2.0CC2.0版版 19991999年年1212月月ISOISO采納采納CCCC，并作為國際標準，并作為國際標準ISO 15408ISO 15408發(fā)發(fā)布布 9平

3、安評估標準的開展歷程平安評估標準的開展歷程 桔皮書桔皮書（TCSEC）1985英國安全英國安全標準標準1989德國標準德國標準法國標準法國標準加拿大標準加拿大標準1993聯(lián)邦標準聯(lián)邦標準草案草案1993ITSEC1991通用標準通用標準V1.0 1996V2.0 1998V2.1 199910標準介紹標準介紹 信息技術(shù)平安評估準那么開展過程信息技術(shù)平安評估準那么開展過程 可信計算機系統(tǒng)評估準那么可信計算機系統(tǒng)評估準那么TCSECTCSEC 可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋 TNITNI 通用準那么通用準那么CC CC ? ?計算機信息系統(tǒng)平安保護等級劃分準那么計算機信息系統(tǒng)平安保護等級劃分準那么? ?

4、 信息系統(tǒng)平安評估方法探討信息系統(tǒng)平安評估方法探討11TCSEC 在在TCSECTCSEC中，美國國防部按處理信息的等級和應采用的中，美國國防部按處理信息的等級和應采用的響應措施，將計算機平安從高到低分為：響應措施，將計算機平安從高到低分為：A A、B B、C C、D D四類八個級別，共四類八個級別，共2727條評估準那么條評估準那么 隨著平安等級的提高，系統(tǒng)的可信度隨之增加，風險隨著平安等級的提高，系統(tǒng)的可信度隨之增加，風險逐漸減少。逐漸減少。 12TCSEC四個平安等級：四個平安等級：無保護級無保護級 自主保護級自主保護級 強制保護級強制保護級驗證保護級驗證保護級13TCSEC D D類是

5、最低保護等級，即無保護級類是最低保護等級，即無保護級 是為那些經(jīng)過評估，但不滿足較高評估等級要求的系是為那些經(jīng)過評估，但不滿足較高評估等級要求的系統(tǒng)設(shè)計的，只具有一個級別統(tǒng)設(shè)計的，只具有一個級別 該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息能在多用戶環(huán)境下處理敏感信息 14TCSEC四個平安等級：四個平安等級：無保護級無保護級 自主保護級自主保護級 強制保護級強制保護級驗證保護級驗證保護級15TCSEC C C類為自主保護級類為自主保護級 具有一定的保護能力，采用的措施是自主訪問控制和具有一定的保護能力，采用的措施是自

6、主訪問控制和審計跟蹤審計跟蹤 一般只適用于具有一定等級的多用戶環(huán)境一般只適用于具有一定等級的多用戶環(huán)境 具有對主體責任及其動作審計的能力具有對主體責任及其動作審計的能力16TCSECC C類分為類分為C1C1和和C2C2兩個級別兩個級別: : 自主平安保護級自主平安保護級C1C1級級) ) 控制訪問保護級控制訪問保護級C2C2級級 17TCSEC C1級級TCB通過隔離用戶與數(shù)據(jù)，使用戶具備自主平安通過隔離用戶與數(shù)據(jù)，使用戶具備自主平安保護的能力保護的能力 它具有多種形式的控制能力，對用戶實施訪問控制它具有多種形式的控制能力，對用戶實施訪問控制 為用戶提供可行的手段，保護用戶和用戶組信息，防為

7、用戶提供可行的手段，保護用戶和用戶組信息，防止其他用戶對數(shù)據(jù)的非法讀寫與破壞止其他用戶對數(shù)據(jù)的非法讀寫與破壞 C1級的系統(tǒng)適用于處理同一敏感級別數(shù)據(jù)的多用戶環(huán)級的系統(tǒng)適用于處理同一敏感級別數(shù)據(jù)的多用戶環(huán)境境 18TCSEC C2C2級計算機系統(tǒng)比級計算機系統(tǒng)比C1C1級具有更細粒度的自主訪問控制級具有更細粒度的自主訪問控制 C2C2級通過注冊過程控制、審計平安相關(guān)事件以及資源級通過注冊過程控制、審計平安相關(guān)事件以及資源隔離，使單個用戶為其行為負責隔離，使單個用戶為其行為負責 19TCSEC四個平安等級：四個平安等級：無保護級無保護級 自主保護級自主保護級 強制保護級強制保護級驗證保護級驗證保護

8、級20TCSEC B B類為強制保護級類為強制保護級 主要要求是主要要求是TCBTCB應維護完整的平安標記，并在此根底上應維護完整的平安標記，并在此根底上執(zhí)行一系列強制訪問控制規(guī)那么執(zhí)行一系列強制訪問控制規(guī)那么 B B類系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標記類系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標記 系統(tǒng)的開發(fā)者還應為系統(tǒng)的開發(fā)者還應為TCBTCB提供平安策略模型以及提供平安策略模型以及TCBTCB規(guī)規(guī)約約 應提供證據(jù)證明訪問監(jiān)控器得到了正確的實施應提供證據(jù)證明訪問監(jiān)控器得到了正確的實施 21TCSECB類分為三個類別：類分為三個類別：標記平安保護級標記平安保護級B1級級 結(jié)構(gòu)化保護級結(jié)構(gòu)化保護級B

9、2級級 平安區(qū)域保護級平安區(qū)域保護級B3級級 22TCSEC B1B1級系統(tǒng)要求具有級系統(tǒng)要求具有C2C2級系統(tǒng)的所有特性級系統(tǒng)的所有特性 在此根底上，還應提供平安策略模型的非形式化描述、在此根底上，還應提供平安策略模型的非形式化描述、數(shù)據(jù)標記以及命名主體和客體的強制訪問控制數(shù)據(jù)標記以及命名主體和客體的強制訪問控制 并消除測試中發(fā)現(xiàn)的所有缺陷并消除測試中發(fā)現(xiàn)的所有缺陷 23TCSECB類分為三個類別：類分為三個類別：標記平安保護級標記平安保護級B1級級 結(jié)構(gòu)化保護級結(jié)構(gòu)化保護級B2級級 平安區(qū)域保護級平安區(qū)域保護級B3級級24TCSEC 在在B2B2級系統(tǒng)中，級系統(tǒng)中，TCBTCB建立于一個明

10、確定義并文檔化形式建立于一個明確定義并文檔化形式化平安策略模型之上化平安策略模型之上 要求將要求將B1B1級系統(tǒng)中建立的自主和強制訪問控制擴展到級系統(tǒng)中建立的自主和強制訪問控制擴展到所有的主體與客體所有的主體與客體 在此根底上，應對隱蔽信道進行分析在此根底上，應對隱蔽信道進行分析 TCBTCB應結(jié)構(gòu)化為關(guān)鍵保護元素和非關(guān)鍵保護元素應結(jié)構(gòu)化為關(guān)鍵保護元素和非關(guān)鍵保護元素25TCSEC TCBTCB接口必須明確定義接口必須明確定義 其設(shè)計與實現(xiàn)應能夠經(jīng)受更充分的測試和更完善的審其設(shè)計與實現(xiàn)應能夠經(jīng)受更充分的測試和更完善的審查查 鑒別機制應得到加強，提供可信設(shè)施管理以支持系統(tǒng)鑒別機制應得到加強，提供

11、可信設(shè)施管理以支持系統(tǒng)管理員和操作員的職能管理員和操作員的職能 提供嚴格的配置管理控制提供嚴格的配置管理控制 B2B2級系統(tǒng)應具備相當?shù)目節(jié)B透能力級系統(tǒng)應具備相當?shù)目節(jié)B透能力26TCSECB類分為三個類別：類分為三個類別：標記平安保護級標記平安保護級B1級級 結(jié)構(gòu)化保護級結(jié)構(gòu)化保護級B2級級 平安區(qū)域保護級平安區(qū)域保護級B3級級27TCSEC 在在B3B3級系統(tǒng)中，級系統(tǒng)中，TCBTCB必須滿足訪問監(jiān)控器需求必須滿足訪問監(jiān)控器需求 訪問監(jiān)控器對所有主體對客體的訪問進行仲裁訪問監(jiān)控器對所有主體對客體的訪問進行仲裁 訪問監(jiān)控器本身是抗篡改的訪問監(jiān)控器本身是抗篡改的 訪問監(jiān)控器足夠小訪問監(jiān)控器足夠小

12、 訪問監(jiān)控器能夠分析和測試訪問監(jiān)控器能夠分析和測試28TCSEC為了滿足訪問控制器需求為了滿足訪問控制器需求: :計算機信息系統(tǒng)可信計算基在構(gòu)造時，排除那些對實施平計算機信息系統(tǒng)可信計算基在構(gòu)造時，排除那些對實施平安策略來說并非必要的代碼安策略來說并非必要的代碼計算機信息系統(tǒng)可信計算基在設(shè)計和實現(xiàn)時，從系統(tǒng)工程計算機信息系統(tǒng)可信計算基在設(shè)計和實現(xiàn)時，從系統(tǒng)工程角度將其復雜性降低到最小程度角度將其復雜性降低到最小程度29TCSECB3B3級系統(tǒng)支持級系統(tǒng)支持: :平安管理員職能平安管理員職能擴充審計機制擴充審計機制當發(fā)生與平安相關(guān)的事件時，發(fā)出信號當發(fā)生與平安相關(guān)的事件時，發(fā)出信號提供系統(tǒng)恢復機

13、制提供系統(tǒng)恢復機制系統(tǒng)具有很高的抗?jié)B透能力系統(tǒng)具有很高的抗?jié)B透能力30TCSEC四個平安等級：四個平安等級：無保護級無保護級 自主保護級自主保護級 強制保護級強制保護級驗證保護級驗證保護級31TCSEC A類為驗證保護級類為驗證保護級 A類的特點是使用形式化的平安驗證方法，保證系統(tǒng)的類的特點是使用形式化的平安驗證方法，保證系統(tǒng)的自主和強制平安控制措施能夠有效地保護系統(tǒng)中存儲自主和強制平安控制措施能夠有效地保護系統(tǒng)中存儲和處理的秘密信息或其他敏感信息和處理的秘密信息或其他敏感信息 為證明為證明TCB滿足設(shè)計、開發(fā)及實現(xiàn)等各個方面的平安滿足設(shè)計、開發(fā)及實現(xiàn)等各個方面的平安要求，系統(tǒng)應提供豐富的文檔

14、信息要求，系統(tǒng)應提供豐富的文檔信息32TCSECA A類分為兩個類別：類分為兩個類別：驗證設(shè)計級驗證設(shè)計級A1A1級級 超超A1A1級級 33TCSEC A1A1級系統(tǒng)在功能上和級系統(tǒng)在功能上和B3B3級系統(tǒng)是相同的，沒有增加體級系統(tǒng)是相同的，沒有增加體系結(jié)構(gòu)特性和策略要求系結(jié)構(gòu)特性和策略要求 最顯著的特點是，要求用形式化設(shè)計標準和驗證方法最顯著的特點是，要求用形式化設(shè)計標準和驗證方法來對系統(tǒng)進行分析，確保來對系統(tǒng)進行分析，確保TCBTCB按設(shè)計要求實現(xiàn)按設(shè)計要求實現(xiàn) 從本質(zhì)上說，這種保證是開展的，它從一個平安策略從本質(zhì)上說，這種保證是開展的，它從一個平安策略的形式化模型和設(shè)計的形式化高層規(guī)約

15、的形式化模型和設(shè)計的形式化高層規(guī)約FTLSFTLS開始開始 34TCSEC 針對針對A1A1級系統(tǒng)設(shè)計驗證，有級系統(tǒng)設(shè)計驗證，有5 5種獨立于特定規(guī)約語言或種獨立于特定規(guī)約語言或驗證方法的重要準那么：驗證方法的重要準那么：平安策略的形式化模型必須得到明確標識并文檔化，提供平安策略的形式化模型必須得到明確標識并文檔化，提供該模型與其公理一致以及能夠?qū)ζ桨膊呗蕴峁┳銐蛑г撃Ｐ团c其公理一致以及能夠?qū)ζ桨膊呗蕴峁┳銐蛑С值臄?shù)學證明持的數(shù)學證明 應提供形式化的高層規(guī)約，包括應提供形式化的高層規(guī)約，包括TCBTCB功能的抽象定義、用功能的抽象定義、用于隔離執(zhí)行域的硬件于隔離執(zhí)行域的硬件/ /固件機制的抽象

16、定義固件機制的抽象定義 35TCSEC應通過形式化的技術(shù)如果可能的化和非形式化的應通過形式化的技術(shù)如果可能的化和非形式化的技術(shù)證明技術(shù)證明TCBTCB的形式化高層規(guī)約的形式化高層規(guī)約FTLSFTLS與模型是一致與模型是一致的的 通過非形式化的方法證明通過非形式化的方法證明TCBTCB的實現(xiàn)硬件、固件、軟的實現(xiàn)硬件、固件、軟件與形式化的高層規(guī)約件與形式化的高層規(guī)約FTLSFTLS是一致的。應證明是一致的。應證明FTLSFTLS的元素與的元素與TCBTCB的元素是一致的，的元素是一致的，F(xiàn)TLSFTLS應表達用于滿應表達用于滿足平安策略的一致的保護機制，這些保護機制的元素足平安策略的一致的保護機制

17、，這些保護機制的元素應映射到應映射到TCBTCB的要素的要素 36TCSEC應使用形式化的方法標識并分析隱蔽信道，非形式化應使用形式化的方法標識并分析隱蔽信道，非形式化的方法可以用來標識時間隱蔽信道，必須對系統(tǒng)中存的方法可以用來標識時間隱蔽信道，必須對系統(tǒng)中存在的隱蔽信道進行解釋在的隱蔽信道進行解釋 37TCSECA1級系統(tǒng)級系統(tǒng):要求更嚴格的配置管理要求更嚴格的配置管理要求建立系統(tǒng)平安分發(fā)的程序要求建立系統(tǒng)平安分發(fā)的程序支持系統(tǒng)平安管理員的職能支持系統(tǒng)平安管理員的職能 38TCSECA A類分為兩個類別：類分為兩個類別：驗證設(shè)計級驗證設(shè)計級A1A1級級 超超A1A1級級39TCSEC 超超A

18、1A1級在級在A1A1級根底上增加的許多平安措施超出了目前級根底上增加的許多平安措施超出了目前的技術(shù)開展的技術(shù)開展 隨著更多、更好的分析技術(shù)的出現(xiàn)，本級系統(tǒng)的要求隨著更多、更好的分析技術(shù)的出現(xiàn)，本級系統(tǒng)的要求才會變的更加明確才會變的更加明確 今后，形式化的驗證方法將應用到源碼一級，并且時今后，形式化的驗證方法將應用到源碼一級，并且時間隱蔽信道將得到全面的分析間隱蔽信道將得到全面的分析 40TCSEC 在這一級，設(shè)計環(huán)境將變的更重要在這一級，設(shè)計環(huán)境將變的更重要 形式化高層規(guī)約的分析將對測試提供幫助形式化高層規(guī)約的分析將對測試提供幫助 TCB開發(fā)中使用的工具的正確性及開發(fā)中使用的工具的正確性及T

19、CB運行的軟硬件運行的軟硬件功能的正確性將得到更多的關(guān)注功能的正確性將得到更多的關(guān)注41TCSEC超超A1A1級系統(tǒng)涉及的范圍包括：級系統(tǒng)涉及的范圍包括：系統(tǒng)體系結(jié)構(gòu)系統(tǒng)體系結(jié)構(gòu)平安測試平安測試形式化規(guī)約與驗證形式化規(guī)約與驗證可信設(shè)計環(huán)境等可信設(shè)計環(huán)境等42標準介紹標準介紹 信息技術(shù)平安評估準那么開展過程信息技術(shù)平安評估準那么開展過程 可信計算機系統(tǒng)評估準那么可信計算機系統(tǒng)評估準那么TCSECTCSEC 可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋 TNITNI 通用準那么通用準那么CC CC ? ?計算機信息系統(tǒng)平安保護等級劃分準那么計算機信息系統(tǒng)平安保護等級劃分準那么? ? 信息系統(tǒng)平安評估方法探討信息系統(tǒng)平

20、安評估方法探討43可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI 美國國防部計算機平安評估中心在完成美國國防部計算機平安評估中心在完成TCSECTCSEC的根底上，的根底上，又組織了專門的研究鏃對可信網(wǎng)絡(luò)平安評估進行研究，又組織了專門的研究鏃對可信網(wǎng)絡(luò)平安評估進行研究，并于并于19871987年發(fā)布了以年發(fā)布了以TCSECTCSEC為根底的可信網(wǎng)絡(luò)解釋，即為根底的可信網(wǎng)絡(luò)解釋，即TNITNI。 TNITNI包括兩個局部包括兩個局部Part IPart I和和Part IIPart II及三個附錄及三個附錄APPENDIX AAPPENDIX A、B B、C C 44可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI

21、TNI第一局部提供了在網(wǎng)絡(luò)系統(tǒng)作為一個單一系統(tǒng)進行第一局部提供了在網(wǎng)絡(luò)系統(tǒng)作為一個單一系統(tǒng)進行評估時評估時TCSEC中各個等級從中各個等級從D到到A類的解釋類的解釋 與單機系統(tǒng)不同的是，網(wǎng)絡(luò)系統(tǒng)的可信計算基稱為網(wǎng)與單機系統(tǒng)不同的是，網(wǎng)絡(luò)系統(tǒng)的可信計算基稱為網(wǎng)絡(luò)可信計算基絡(luò)可信計算基NTCB 45可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI 第二局部以附加平安效勞的形式提出了在網(wǎng)絡(luò)互聯(lián)時出第二局部以附加平安效勞的形式提出了在網(wǎng)絡(luò)互聯(lián)時出現(xiàn)的一些附加要求現(xiàn)的一些附加要求 這些要求主要是針對完整性、可用性和保密性的這些要求主要是針對完整性、可用性和保密性的 46可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI 第二局部

22、的評估是定性的，針對一個效勞進行評估的結(jié)第二局部的評估是定性的，針對一個效勞進行評估的結(jié)果一般分為為：果一般分為為： none none minimum minimum fair fair good good 47可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI 第二局部中關(guān)于每個效勞的說明一般包括第二局部中關(guān)于每個效勞的說明一般包括: :一種相對簡短的陳述一種相對簡短的陳述相關(guān)的功能性的討論相關(guān)的功能性的討論 相關(guān)機制強度的討論相關(guān)機制強度的討論 相關(guān)保證的討論相關(guān)保證的討論 48可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI 功能性是指一個平安效勞的目標和實現(xiàn)方法，它包括特功能性是指一個平安效勞的目標和實現(xiàn)方法

23、，它包括特性、機制及實現(xiàn)性、機制及實現(xiàn) 機制的強度是指一種方法實現(xiàn)其目標的程度機制的強度是指一種方法實現(xiàn)其目標的程度 有些情況下，參數(shù)的選擇會對機制的強度帶來很大的影有些情況下，參數(shù)的選擇會對機制的強度帶來很大的影響響 49可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI 保證是指相信一個功能會實現(xiàn)的根底保證是指相信一個功能會實現(xiàn)的根底 保證一般依靠對理論、測試、軟件工程等相關(guān)內(nèi)容的分保證一般依靠對理論、測試、軟件工程等相關(guān)內(nèi)容的分析析 分析可以是形式化或非形式化的，也可以是理論的或應分析可以是形式化或非形式化的，也可以是理論的或應用的用的 50可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI第二局部中列出的平安效勞

24、有：第二局部中列出的平安效勞有： 通信完整性通信完整性 拒絕效勞拒絕效勞 機密性機密性 51可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI通信完整性主要涉及以下通信完整性主要涉及以下3方面：方面：鑒別：網(wǎng)絡(luò)中應能夠抵抗欺騙和重放攻擊鑒別：網(wǎng)絡(luò)中應能夠抵抗欺騙和重放攻擊 通信字段完整性：保護通信中的字段免受非授權(quán)的通信字段完整性：保護通信中的字段免受非授權(quán)的修改修改 抗抵賴：提供數(shù)據(jù)發(fā)送、接受的證據(jù)抗抵賴：提供數(shù)據(jù)發(fā)送、接受的證據(jù) 52可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI 當網(wǎng)絡(luò)處理能力下降到一個規(guī)定的界限以下或遠程實當網(wǎng)絡(luò)處理能力下降到一個規(guī)定的界限以下或遠程實體無法訪問時，即發(fā)生了拒絕效勞體無法訪問時

25、，即發(fā)生了拒絕效勞 所有由網(wǎng)絡(luò)提供的效勞都應考慮拒絕效勞的情況所有由網(wǎng)絡(luò)提供的效勞都應考慮拒絕效勞的情況 網(wǎng)絡(luò)管理者應決定網(wǎng)絡(luò)拒絕效勞需求網(wǎng)絡(luò)管理者應決定網(wǎng)絡(luò)拒絕效勞需求 53可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI解決拒絕效勞的方法有：解決拒絕效勞的方法有： 操作連續(xù)性操作連續(xù)性 基于協(xié)議的拒絕效勞保護基于協(xié)議的拒絕效勞保護 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理 54可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI 機密性是一系列平安效勞的總稱機密性是一系列平安效勞的總稱 這些效勞都是關(guān)于通過計算機通信網(wǎng)絡(luò)在實體間傳輸這些效勞都是關(guān)于通過計算機通信網(wǎng)絡(luò)在實體間傳輸信息的平安和保密的信息的平安和保密的 具體又分具體又分3 3種情

26、況：種情況： 數(shù)據(jù)保密數(shù)據(jù)保密 通信流保密通信流保密 選擇路由選擇路由 55可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI數(shù)據(jù)保密：數(shù)據(jù)保密：數(shù)據(jù)保密性效勞保護數(shù)據(jù)不被未授權(quán)地泄露數(shù)據(jù)保密性效勞保護數(shù)據(jù)不被未授權(quán)地泄露數(shù)據(jù)保密性主要受搭線竊聽的威脅數(shù)據(jù)保密性主要受搭線竊聽的威脅被動的攻擊包括對線路上傳輸?shù)男畔⒌挠^測被動的攻擊包括對線路上傳輸?shù)男畔⒌挠^測 56可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI通信流保密：通信流保密：針對通信流分析攻擊而言，通信流分析攻擊分析消息的長針對通信流分析攻擊而言，通信流分析攻擊分析消息的長度、頻率及協(xié)議的內(nèi)容如地址度、頻率及協(xié)議的內(nèi)容如地址并以此推出消息的內(nèi)容并以此推出消息的內(nèi)

27、容 57可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI選擇路由：選擇路由：路由選擇控制是在路由選擇過程中應用規(guī)那么，以便具體路由選擇控制是在路由選擇過程中應用規(guī)那么，以便具體的選取或回避某些網(wǎng)絡(luò)、鏈路或中繼的選取或回避某些網(wǎng)絡(luò)、鏈路或中繼路由能動態(tài)的或預定地選取，以便只使用物理上平安的子路由能動態(tài)的或預定地選取，以便只使用物理上平安的子網(wǎng)絡(luò)、鏈路或中繼網(wǎng)絡(luò)、鏈路或中繼在檢測到持續(xù)的操作攻擊時，端系統(tǒng)可希望指示網(wǎng)絡(luò)效勞在檢測到持續(xù)的操作攻擊時，端系統(tǒng)可希望指示網(wǎng)絡(luò)效勞的提供者經(jīng)不同的路由建立連接的提供者經(jīng)不同的路由建立連接帶有某些平安標記的數(shù)據(jù)可能被策略禁止通過某些子網(wǎng)絡(luò)、帶有某些平安標記的數(shù)據(jù)可能被策略

28、禁止通過某些子網(wǎng)絡(luò)、鏈路或中繼鏈路或中繼 58可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI TNI第二局部的評估更多地表現(xiàn)出定性和主觀的特點，第二局部的評估更多地表現(xiàn)出定性和主觀的特點，同第一局部相比表現(xiàn)出更多的變化同第一局部相比表現(xiàn)出更多的變化 第二局部的評估是關(guān)于被評估系統(tǒng)能力和它們對特定應第二局部的評估是關(guān)于被評估系統(tǒng)能力和它們對特定應用環(huán)境的適合性的非常有價值的信息用環(huán)境的適合性的非常有價值的信息 第二局部中所列舉的平安效勞是網(wǎng)絡(luò)環(huán)境下有代表性的第二局部中所列舉的平安效勞是網(wǎng)絡(luò)環(huán)境下有代表性的平安效勞平安效勞 在不同的環(huán)境下，并非所有的效勞都同等重要，同一效在不同的環(huán)境下，并非所有的效勞都同等

29、重要，同一效勞在不同環(huán)境下的重要性也不一定一樣勞在不同環(huán)境下的重要性也不一定一樣59可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI TNI的附錄的附錄A是第一局部的擴展，主要是關(guān)于網(wǎng)絡(luò)中組是第一局部的擴展，主要是關(guān)于網(wǎng)絡(luò)中組件及組件組合的評估件及組件組合的評估 附錄附錄A把把TCSEC為為A1級系統(tǒng)定義的平安相關(guān)的策略分級系統(tǒng)定義的平安相關(guān)的策略分為四個相對獨立的種類，他們分別支持強制訪問控制為四個相對獨立的種類，他們分別支持強制訪問控制MAC，自主訪問控制，自主訪問控制DAC，身份鑒別，身份鑒別IA，審計審計AUDIT 60可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI組成部分的類型最小級別最大級別MB1A1D

30、C1C2+IC1C2AC2C2+DIC1C2+DAC2C2+IAC2C2+IADC2C2+MDB1A1MAB1A1MIB1A1MDAB1A1MDIB1A1MIAB1A1MIADB1A161可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI 附錄附錄B B給出了根據(jù)給出了根據(jù)TCSECTCSEC對網(wǎng)絡(luò)組件進行評估的根本原對網(wǎng)絡(luò)組件進行評估的根本原理理 附錄附錄C C那么給出了幾個那么給出了幾個AISAIS互聯(lián)時的認證指南及互聯(lián)中互聯(lián)時的認證指南及互聯(lián)中可能遇到的問題可能遇到的問題62可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNITNI中關(guān)于網(wǎng)絡(luò)有兩種概念：中關(guān)于網(wǎng)絡(luò)有兩種概念： 一是單一可信系統(tǒng)的概念一是單一可信系統(tǒng)的

31、概念single trusted system另一個是互聯(lián)信息系統(tǒng)的概念另一個是互聯(lián)信息系統(tǒng)的概念interconnected AIS這兩個概念并不互相排斥這兩個概念并不互相排斥 63可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI 在單一可信系統(tǒng)中，網(wǎng)絡(luò)具有包括各個平安相關(guān)局部在單一可信系統(tǒng)中，網(wǎng)絡(luò)具有包括各個平安相關(guān)局部的單一的單一TCBTCB，稱為，稱為NTCBNTCBnetwork trusted computing network trusted computing basebase NTCBNTCB作為一個整體滿足系統(tǒng)的平安體系設(shè)計作為一個整體滿足系統(tǒng)的平安體系設(shè)計64可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋

32、TNITNI在互聯(lián)信息系統(tǒng)中在互聯(lián)信息系統(tǒng)中各個子系統(tǒng)可能具有不同的平安策略各個子系統(tǒng)可能具有不同的平安策略具有不同的信任等級具有不同的信任等級并且可以分別進行評估并且可以分別進行評估各個子系統(tǒng)甚至可能是異構(gòu)的各個子系統(tǒng)甚至可能是異構(gòu)的65可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋TNITNI 平安策略的實施一般控制在各個子系統(tǒng)內(nèi)，在附錄平安策略的實施一般控制在各個子系統(tǒng)內(nèi)，在附錄C C中中給出了各個子系統(tǒng)平安地互聯(lián)的指南，在互聯(lián)時要控制給出了各個子系統(tǒng)平安地互聯(lián)的指南，在互聯(lián)時要控制局部風險的擴散，排除整個系統(tǒng)中的級聯(lián)問題局部風險的擴散，排除整個系統(tǒng)中的級聯(lián)問題cascade problemcascade p

33、roblem 限制局部風險的擴散的方法：單向連接、傳輸?shù)氖止z限制局部風險的擴散的方法：單向連接、傳輸?shù)氖止z測、加密、隔離或其他措施。測、加密、隔離或其他措施。 66標準介紹標準介紹 信息技術(shù)平安評估準那么開展過程信息技術(shù)平安評估準那么開展過程 可信計算機系統(tǒng)評估準那么可信計算機系統(tǒng)評估準那么TCSECTCSEC 可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋 TNITNI 通用準那么通用準那么CC CC ? ?計算機信息系統(tǒng)平安保護等級劃分準那么計算機信息系統(tǒng)平安保護等級劃分準那么? ? 信息系統(tǒng)平安評估方法探討信息系統(tǒng)平安評估方法探討67通用準那么通用準那么CCCC的范圍的范圍 :CC適用于硬件、固件和軟件實

34、現(xiàn)的信息技術(shù)平安措施適用于硬件、固件和軟件實現(xiàn)的信息技術(shù)平安措施而某些內(nèi)容因涉及特殊專業(yè)技術(shù)或僅是信息技術(shù)平安的外而某些內(nèi)容因涉及特殊專業(yè)技術(shù)或僅是信息技術(shù)平安的外圍技術(shù)不在圍技術(shù)不在CC的范圍內(nèi)的范圍內(nèi) 68通用準那么通用準那么CC評估上下文評估上下文 評估準則(通用準則）評估方法學評估方案最終評估 結(jié)果評估批準/證明證書表/(注冊)69通用準那么通用準那么CC 使用通用評估方法學可以提供結(jié)果的可重復性和客觀使用通用評估方法學可以提供結(jié)果的可重復性和客觀性性 許多評估準那么需要使用專家判斷和一定的背景知識許多評估準那么需要使用專家判斷和一定的背景知識 為了增強評估結(jié)果的一致性，最終的評估結(jié)果

35、應提交為了增強評估結(jié)果的一致性，最終的評估結(jié)果應提交給一個認證過程，該過程是一個針對評估結(jié)果的獨立給一個認證過程，該過程是一個針對評估結(jié)果的獨立的檢查過程，并生成最終的證書或正式批文的檢查過程，并生成最終的證書或正式批文70通用準那么通用準那么CCCC包括三個局部包括三個局部: 第一局部：簡介和一般模型第一局部：簡介和一般模型 第二局部：平安功能要求第二局部：平安功能要求 第三局部：平安保證要求第三局部：平安保證要求 71通用準那么通用準那么CC平安保證要求局部提出了七個評估保證級別平安保證要求局部提出了七個評估保證級別Evaluation Evaluation Assurance Level

36、sAssurance Levels：EALsEALs分別是：分別是：EAL1EAL1：功能測試：功能測試EAL2EAL2：結(jié)構(gòu)測試：結(jié)構(gòu)測試EAL3EAL3：系統(tǒng)測試和檢查：系統(tǒng)測試和檢查EAL4EAL4：系統(tǒng)設(shè)計、測試和復查：系統(tǒng)設(shè)計、測試和復查EAL5EAL5：半形式化設(shè)計和測試：半形式化設(shè)計和測試EAL6EAL6：半形式化驗證的設(shè)計和測試：半形式化驗證的設(shè)計和測試EAL7EAL7：形式化驗證的設(shè)計和測試：形式化驗證的設(shè)計和測試 72通用準那么通用準那么CC 平安就是保護資產(chǎn)不受威脅，威脅可依據(jù)濫用被保護平安就是保護資產(chǎn)不受威脅，威脅可依據(jù)濫用被保護資產(chǎn)的可能性進行分類資產(chǎn)的可能性進行分類

37、 所有的威脅類型都應該被考慮到所有的威脅類型都應該被考慮到 在平安領(lǐng)域內(nèi)，被高度重視的威脅是和人們的惡意攻在平安領(lǐng)域內(nèi)，被高度重視的威脅是和人們的惡意攻擊及其它人類活動相聯(lián)系的擊及其它人類活動相聯(lián)系的 73通用準那么通用準那么CC 平安概平安概念和念和關(guān)系關(guān)系圖4.1 安全概念和關(guān)系所有者對策弱點風險資產(chǎn)威脅威脅者價值希望最小化利用減少可能擁有可能意識到可能被減少利用導致引起增加到到希望濫用和破壞74通用準那么通用準那么CC 平安性損壞一般包括但又不僅僅包括以下幾項平安性損壞一般包括但又不僅僅包括以下幾項 資產(chǎn)破壞性地暴露于未授權(quán)的接收者失去保密性資產(chǎn)破壞性地暴露于未授權(quán)的接收者失去保密性 資

38、產(chǎn)由于未授權(quán)的更改而損壞失去完整性資產(chǎn)由于未授權(quán)的更改而損壞失去完整性 或資產(chǎn)訪問權(quán)被未授權(quán)的喪失失去可用性或資產(chǎn)訪問權(quán)被未授權(quán)的喪失失去可用性75通用準那么通用準那么CC 資產(chǎn)所有者必須分析可能的威脅并確定哪些存在于他資產(chǎn)所有者必須分析可能的威脅并確定哪些存在于他們的環(huán)境，其后果就是風險們的環(huán)境，其后果就是風險 對策用以直接或間接地減少脆弱性并滿足資產(chǎn)所對策用以直接或間接地減少脆弱性并滿足資產(chǎn)所有者的平安策略有者的平安策略 在將資產(chǎn)暴露于特定威脅之前，所有者需要確信其對在將資產(chǎn)暴露于特定威脅之前，所有者需要確信其對策足以應付面臨的威脅策足以應付面臨的威脅 76通用準那么通用準那么CC 評評估

39、估概概念念 和和關(guān)關(guān)系系保證技術(shù)保證評估信心對策風險資產(chǎn)所有者產(chǎn)生給出證據(jù)需要提供源于最小化針對77通用準那么通用準那么CCTOE評評估估過過程程安全需求（PP與ST）開發(fā)TOETOE和評估評估TOE評估結(jié)果操作TOE評估方案評估方法評估準則反饋78通用準那么通用準那么CC評估過程通過兩種途徑產(chǎn)生更好的平安產(chǎn)品評估過程通過兩種途徑產(chǎn)生更好的平安產(chǎn)品評估過程能發(fā)現(xiàn)開發(fā)者可以糾正的評估過程能發(fā)現(xiàn)開發(fā)者可以糾正的TOETOE錯誤或弱點，從而在減少將錯誤或弱點，從而在減少將來操作中平安失效的可能性來操作中平安失效的可能性另一方面，為了通過嚴格的評估，開發(fā)者在另一方面，為了通過嚴格的評估，開發(fā)者在TOE

40、TOE設(shè)計和開發(fā)時也將設(shè)計和開發(fā)時也將更加細心更加細心因此，評估過程對最初需求、開發(fā)過程、最終產(chǎn)品以及操作環(huán)境因此，評估過程對最初需求、開發(fā)過程、最終產(chǎn)品以及操作環(huán)境將產(chǎn)生強烈的積極影響將產(chǎn)生強烈的積極影響 79通用準那么通用準那么CC CC平安概念包括：平安概念包括： 平安環(huán)境平安環(huán)境 平安目的平安目的 IT平安要求平安要求 TOE概要標準概要標準 80通用準那么通用準那么CC 平安環(huán)境包括所有相關(guān)的法規(guī)、組織性平安策略、習平安環(huán)境包括所有相關(guān)的法規(guī)、組織性平安策略、習慣、專門技術(shù)和知識慣、專門技術(shù)和知識 它定義了它定義了TOETOE使用的上下文，平安環(huán)境也包括環(huán)境里出使用的上下文，平安環(huán)境

41、也包括環(huán)境里出現(xiàn)的平安威脅現(xiàn)的平安威脅 81通用準那么通用準那么CC 平安環(huán)境的分析結(jié)果被用來說明對抗已標識的威脅、平安環(huán)境的分析結(jié)果被用來說明對抗已標識的威脅、說明組織性平安策略和假設(shè)的平安目的說明組織性平安策略和假設(shè)的平安目的 平安目的和已說明的平安目的和已說明的TOETOE運行目標或產(chǎn)品目標以及有關(guān)運行目標或產(chǎn)品目標以及有關(guān)的物理環(huán)境知識一致的物理環(huán)境知識一致 確定平安目的的意圖是為了說明所有的平安考慮并指確定平安目的的意圖是為了說明所有的平安考慮并指出哪些平安方面的問題是直接由出哪些平安方面的問題是直接由TOETOE還是由它的環(huán)境來還是由它的環(huán)境來處理處理 環(huán)境平安目的將在環(huán)境平安目的

42、將在ITIT領(lǐng)域內(nèi)用非技術(shù)上的或程序化的領(lǐng)域內(nèi)用非技術(shù)上的或程序化的手段來實現(xiàn)手段來實現(xiàn) 82通用準那么通用準那么CC IT平安要求是將平安目的細化為一系列平安要求是將平安目的細化為一系列TOE及其環(huán)境及其環(huán)境的平安要求，一旦這些要求得到滿足，就可以保證的平安要求，一旦這些要求得到滿足，就可以保證TOE到達它的平安目的到達它的平安目的 IT平安需求只涉及平安需求只涉及TOE平安目的和它的平安目的和它的IT環(huán)境環(huán)境 83通用準那么通用準那么CC CC定義了一系列與有效的平安要求集合相結(jié)合的概念，定義了一系列與有效的平安要求集合相結(jié)合的概念，該概念可被用來為預期的產(chǎn)品和系統(tǒng)建立平安需求該概念可被用

43、來為預期的產(chǎn)品和系統(tǒng)建立平安需求 CC平安要求以類平安要求以類族族組件這種層次方式組織，以幫組件這種層次方式組織，以幫助用戶定位特定的平安要求助用戶定位特定的平安要求 對功能和保證方面的要求，對功能和保證方面的要求，CC使用相同的風格、組織使用相同的風格、組織方式和術(shù)語。方式和術(shù)語。 84通用準那么通用準那么CCCC中平安要求的描述方法：中平安要求的描述方法：類：類用作最通用平安要求的組合，類的所有的成員關(guān)注類：類用作最通用平安要求的組合，類的所有的成員關(guān)注共同的平安焦點，但覆蓋不同的平安目的共同的平安焦點，但覆蓋不同的平安目的 族：類的成員被稱為族。族是假設(shè)干組平安要求的組合，族：類的成員被

44、稱為族。族是假設(shè)干組平安要求的組合，這些要求有共同的平安目的，但在側(cè)重點和嚴格性上這些要求有共同的平安目的，但在側(cè)重點和嚴格性上有所區(qū)別有所區(qū)別 組件：族的成員被稱為組件。組件描述一組特定的平安要組件：族的成員被稱為組件。組件描述一組特定的平安要求集，它是求集，它是CC定義的結(jié)構(gòu)中所包含的最小的可選平安定義的結(jié)構(gòu)中所包含的最小的可選平安要求集要求集 85通用準那么通用準那么CC 組件由單個元素組成，元素是平安需求最低層次的表組件由單個元素組成，元素是平安需求最低層次的表達，并且是能被評估驗證的不可分割的平安要求達，并且是能被評估驗證的不可分割的平安要求 族內(nèi)具有相同目標的組件可以以平安要求強度

45、或能族內(nèi)具有相同目標的組件可以以平安要求強度或能力逐步增加的順序排列，也可以局部地按相關(guān)非層力逐步增加的順序排列，也可以局部地按相關(guān)非層次集合的方式組織次集合的方式組織86通用準那么通用準那么CC 組件間可能存在依賴關(guān)系組件間可能存在依賴關(guān)系 依賴關(guān)系可以存在于功能組件之間、保證組件之間以依賴關(guān)系可以存在于功能組件之間、保證組件之間以及功能和保證組件之間及功能和保證組件之間 組件間依賴關(guān)系描述是組件間依賴關(guān)系描述是CCCC組件定義的一局部組件定義的一局部 87通用準那么通用準那么CC 可以通過使用組件允許的操作，對組件進行裁剪可以通過使用組件允許的操作，對組件進行裁剪 每一個每一個CCCC組件

46、標識并定義組件允許的組件標識并定義組件允許的“賦值和賦值和“選擇選擇操作、在哪些情況下可對組件使用這些操作，以及使操作、在哪些情況下可對組件使用這些操作，以及使用這些操作的后果用這些操作的后果 任何一個組件均允許任何一個組件均允許“反復和反復和“細化操作細化操作 88通用準那么通用準那么CC這四個操作如下所述：這四個操作如下所述：反復：在不同操作時，允許組件屢次使用反復：在不同操作時，允許組件屢次使用賦值：當組件被應用時，允許規(guī)定所賦予的參數(shù)賦值：當組件被應用時，允許規(guī)定所賦予的參數(shù)選擇：允許從組件給出的列表中選定假設(shè)干項選擇：允許從組件給出的列表中選定假設(shè)干項細化：當組件被應用時，允許對組件

47、增加細節(jié)細化：當組件被應用時，允許對組件增加細節(jié) 89通用準那么通用準那么CC 要要求求的的組組織織和和結(jié)結(jié)構(gòu)構(gòu)90通用準那么通用準那么CCCC中平安需求的描述方法中平安需求的描述方法:包包:組件的中間組合被稱為包組件的中間組合被稱為包 保護輪廓保護輪廓(PP): PP是關(guān)于一系列滿足一個平安目標集的是關(guān)于一系列滿足一個平安目標集的TOE的、與實現(xiàn)無關(guān)的描述的、與實現(xiàn)無關(guān)的描述 平安目標平安目標(ST)： ST是針對特定是針對特定TOE平安要求的描述，通平安要求的描述，通過評估可以證明這些平安要求對滿足指定目的是有用過評估可以證明這些平安要求對滿足指定目的是有用和有效的和有效的91通用準那么通

48、用準那么CC 包允許對功能或保證需求集合的描述，這個集合能夠包允許對功能或保證需求集合的描述，這個集合能夠滿足一個平安目標的可標識子集滿足一個平安目標的可標識子集 包可重復使用，可用來定義那些公認有用的、能夠有包可重復使用，可用來定義那些公認有用的、能夠有效滿足特定平安目標的要求效滿足特定平安目標的要求 包可用在構(gòu)造更大的包、包可用在構(gòu)造更大的包、PPPP和和STST中中 92通用準那么通用準那么CC PP包含一套來自包含一套來自CC或明確闡述的平安要求，它應或明確闡述的平安要求，它應包括一個評估保證級別包括一個評估保證級別EAL PP可反復使用，還可用來定義那些公認有用的、能夠可反復使用，還

49、可用來定義那些公認有用的、能夠有效滿足特定平安目標的有效滿足特定平安目標的TOE要求要求 PP包括平安目的和平安要求的根本原理包括平安目的和平安要求的根本原理 PP的開發(fā)者可以是用戶團體、的開發(fā)者可以是用戶團體、IT產(chǎn)品開發(fā)者或其它對產(chǎn)品開發(fā)者或其它對定義這樣一系列通用要求有興趣的團體定義這樣一系列通用要求有興趣的團體 93通用準那么通用準那么CC 保護輪保護輪廓廓PP描述描述結(jié)構(gòu)結(jié)構(gòu)PP應用注解PP標識PP 概述假設(shè)威脅組織性安全策略TOE安全目的環(huán)境安全目的安全目的基本原理安全要求基本原理TOE安全功能要求TOE 安全保證要求保護輪廓PP引言TOE描述TOE安全環(huán)境安全目的IT安全要求基本

50、原理TOE安全要求IT環(huán)境安全要求94通用準那么通用準那么CC 平安目標平安目標(ST)(ST)包括一系列平安要求，這些要求可以引包括一系列平安要求，這些要求可以引用用PPPP，也可以直接引用，也可以直接引用CCCC中的功能或保證組件，或明中的功能或保證組件，或明確說明確說明 一個一個STST包含包含TOETOE的概要標準，平安要求和目的，以及它的概要標準，平安要求和目的，以及它們的根本原理們的根本原理 STST是所有團體間就是所有團體間就TOETOE應提供什么樣的平安性達成一致應提供什么樣的平安性達成一致的根底的根底 95通用準那么通用準那么CC 平安平安目目標標描描述述結(jié)結(jié)構(gòu)構(gòu)S T 標

51、識S T 概 述假 設(shè)威 脅組 織 性 安 全 策 略T O E 安 全 目 的環(huán) 境 安 全 目 的T O E 安 全 功 能 要 求T O E 安 全 保 證 要 求安安 全全 目目 標標S T 引 言T O E 描 述T O E 安 全 環(huán) 境安 全 目 的I T 安 全 要 求T O E 安 全 要 求I T 環(huán) 境 安 全 要 求C C 一 致 性 性 聲 明T O E 概 要 規(guī) 范T O E 安 全 功 能保 證 措 施P P 聲 明P P 裁 減P P 附 加 項P P 聲 明基 本 原 理安 全 目 的 基 本 原 理安 全 要 求 基 本 原 理96通用準那么通用準那么CC

52、CC框架下的評估類型框架下的評估類型 PP評估評估ST評估評估 TOE評估評估 97通用準那么通用準那么CC PPPP評估是依照評估是依照CCCC第第3 3局部的局部的PPPP評估準那么進行的。評估準那么進行的。 評估的目標是為了證明評估的目標是為了證明PPPP是完備的、一致的、技術(shù)合是完備的、一致的、技術(shù)合理的，而且適合于作為一個可評估理的，而且適合于作為一個可評估TOETOE的平安要求的聲的平安要求的聲明明98通用準那么通用準那么CC 針對針對TOETOE的的STST評估是依照評估是依照CCCC第第3 3局部的局部的STST評估準那么進評估準那么進行的行的 STST評估具有雙重目標：評估具

53、有雙重目標： 首先是為了證明首先是為了證明STST是完備的、一致的、技術(shù)合理的，是完備的、一致的、技術(shù)合理的，而且適合于用作相應而且適合于用作相應TOETOE評估的根底評估的根底 其次，當某一其次，當某一STST宣稱與某一宣稱與某一PPPP一致時，證明一致時，證明STST滿足該滿足該PPPP的要求的要求 99通用準那么通用準那么CC TOE評估是使用一個已經(jīng)評估過的評估是使用一個已經(jīng)評估過的ST作為根底，依照作為根底，依照CC第第3局部的評估準那么進行的局部的評估準那么進行的 評估的目標是為了證明評估的目標是為了證明TOE滿足滿足ST中的平安要求中的平安要求 100通用準那么通用準那么CC三種

54、評估的關(guān)系三種評估的關(guān)系評估PP評估TOEPP分類評估ST證書分類PP評估結(jié)果TOE評估結(jié)果ST評估結(jié)果已評估過的TOE101通用準那么通用準那么CC CC的第二局部是平安功能要求，對滿足平安需求的諸平的第二局部是平安功能要求，對滿足平安需求的諸平安功能提出了詳細的要求安功能提出了詳細的要求 另外，如果有超出第二局部的平安功能要求，開發(fā)者可另外，如果有超出第二局部的平安功能要求，開發(fā)者可以根據(jù)以根據(jù)“類類-族族-組件組件-元素的描述結(jié)構(gòu)表達其平安要求，元素的描述結(jié)構(gòu)表達其平安要求，并附加在其并附加在其ST中中102通用準那么通用準那么CCCC共包含的共包含的11個平安功能類，如下：個平安功能類

55、，如下：FAU類：平安審計類：平安審計FCO類：通信類：通信FCS類：密碼支持類：密碼支持FDP類：用戶數(shù)據(jù)保護類：用戶數(shù)據(jù)保護FIA類：標識與鑒別類：標識與鑒別FMT類：平安管理類：平安管理FPR類：隱秘類：隱秘FPT類：類：TFS保護保護FAU類：資源利用類：資源利用FTA類：類：TOE訪問訪問FTP類：可信信道類：可信信道/路徑路徑103通用準那么通用準那么CC CC的第三局部是評估方法局部，提出了的第三局部是評估方法局部，提出了PP、ST、TOE三種評估，共包括三種評估，共包括10個類，但其中的個類，但其中的APE類與類與ASE類分別介紹了類分別介紹了PP與與ST的描述結(jié)構(gòu)及評估準那么

56、的描述結(jié)構(gòu)及評估準那么 維護類提出了保證評估過的受測系統(tǒng)或產(chǎn)品運行于所維護類提出了保證評估過的受測系統(tǒng)或產(chǎn)品運行于所獲得的平安級別上的要求獲得的平安級別上的要求 只有七個平安保證類是只有七個平安保證類是TOE的評估類別的評估類別 104通用準那么通用準那么CC七個平安保證類七個平安保證類ACMACM類：配置管理類：配置管理ADOADO類：分發(fā)與操作類：分發(fā)與操作ADVADV類：開發(fā)類：開發(fā)AGDAGD類：指導性文檔類：指導性文檔ALCALC類：生命周期支持類：生命周期支持ATEATE類：測試類：測試AVAAVA類：脆弱性評定類：脆弱性評定105通用準那么通用準那么CC 1998年年1月，經(jīng)過兩

57、年的密切協(xié)商，來自美國、加拿大、月，經(jīng)過兩年的密切協(xié)商，來自美國、加拿大、法國、德國以及英國的政府組織簽訂了歷史性的平安法國、德國以及英國的政府組織簽訂了歷史性的平安評估互認協(xié)議：評估互認協(xié)議：IT平安領(lǐng)域內(nèi)平安領(lǐng)域內(nèi)CC認可協(xié)議認可協(xié)議 根據(jù)該協(xié)議，在協(xié)議簽署國范圍內(nèi)，在某個國家進行根據(jù)該協(xié)議，在協(xié)議簽署國范圍內(nèi)，在某個國家進行的基于的基于CC的平安評估將在其他國家內(nèi)得到成認的平安評估將在其他國家內(nèi)得到成認 截止截止2003年年3月，參加該協(xié)議的國家共有十五個：澳大月，參加該協(xié)議的國家共有十五個：澳大利亞、新西蘭、加拿大、芬蘭、法國、德國、希臘、利亞、新西蘭、加拿大、芬蘭、法國、德國、希臘、

58、以色列、意大利、荷蘭、挪威、西班牙、瑞典、英國以色列、意大利、荷蘭、挪威、西班牙、瑞典、英國及美國及美國 106通用準那么通用準那么CC該協(xié)議的參與者在這個領(lǐng)域內(nèi)有共同的目的即：該協(xié)議的參與者在這個領(lǐng)域內(nèi)有共同的目的即：確保確保ITIT產(chǎn)品及保護輪廓的評估遵循一致的標準，為這些產(chǎn)品及保護輪廓的評估遵循一致的標準，為這些產(chǎn)品及保護輪廓的平安提供足夠的信心。產(chǎn)品及保護輪廓的平安提供足夠的信心。在國際范圍內(nèi)提高那些經(jīng)過評估的、平安增強的在國際范圍內(nèi)提高那些經(jīng)過評估的、平安增強的ITIT產(chǎn)品產(chǎn)品及保護輪廓的可用性。及保護輪廓的可用性。消除消除ITIT產(chǎn)品及保護輪廓的重復評估，改進平安評估的效產(chǎn)品及保護

59、輪廓的重復評估，改進平安評估的效率及本錢效果，改進率及本錢效果，改進ITIT產(chǎn)品及保護輪廓的證明產(chǎn)品及保護輪廓的證明/ /確認過確認過程程 107通用準那么通用準那么CC美國美國NSANSA內(nèi)部的可信產(chǎn)品評估方案內(nèi)部的可信產(chǎn)品評估方案TPEPTPEP以及可信技術(shù)評價方案以及可信技術(shù)評價方案TTAPTTAP最初根據(jù)最初根據(jù)TCSECTCSEC進行產(chǎn)品的評估，但從進行產(chǎn)品的評估，但從19991999年年2 2月月1 1日起，日起，這些方案將不再接收基于這些方案將不再接收基于TCSECTCSEC的新的評估。此后這些方案接受的的新的評估。此后這些方案接受的任何新的產(chǎn)品都必須根據(jù)任何新的產(chǎn)品都必須根據(jù)C

60、CCC的要求進行評估。到的要求進行評估。到20012001年底，所有年底，所有已經(jīng)經(jīng)過已經(jīng)經(jīng)過TCSECTCSEC評估的產(chǎn)品，其評估結(jié)果或者過時，或者轉(zhuǎn)換為評估的產(chǎn)品，其評估結(jié)果或者過時，或者轉(zhuǎn)換為CCCC評估等級。評估等級。NSANSA已經(jīng)將已經(jīng)將TCSECTCSEC對操作系統(tǒng)的對操作系統(tǒng)的C2C2和和B1B1級要求轉(zhuǎn)換為基于級要求轉(zhuǎn)換為基于CCCC的要求的要求或或PPPP， NSANSA正在將正在將TCSECTCSEC的的B2B2和和B3B3級要求轉(zhuǎn)換成基于級要求轉(zhuǎn)換成基于CCCC的保護的保護輪廓，但對輪廓，但對TCSECTCSEC中的中的A1A1級要求不作轉(zhuǎn)換。級要求不作轉(zhuǎn)換。TCSEC