CC標(biāo)準(zhǔn)與CC認(rèn)證簡介

1、CC標(biāo)準(zhǔn)與cc認(rèn)證簡介、標(biāo)準(zhǔn)簡介1. 背景1CC標(biāo)準(zhǔn)的發(fā)展1.2 CC標(biāo)準(zhǔn)的意義1.3 CC標(biāo)準(zhǔn)的局限性2. CC標(biāo)準(zhǔn)內(nèi)容簡介2.1 CC第1部分2.2 CC第2部分2.3 CC第3部分二、CC認(rèn)證簡介1. CC認(rèn)證簡介1.1第三方權(quán)威機構(gòu)：1.2認(rèn)證的主要活動：編制和修訂認(rèn)證文檔：TOE樣胡測試：現(xiàn)場審査。13認(rèn)證的過程2. CC認(rèn)證文檔2PP理解2.2 ST理解2.3文檔編寫的仃關(guān)注意事項標(biāo)準(zhǔn)簡介1.背景1.1 CC標(biāo)準(zhǔn)的發(fā)展1.1.1背景隨著信息技術(shù)的快速發(fā)展，信息技術(shù)的應(yīng)用I益滲透到政府、企業(yè)、團體、軍隊、家庭、 個人等補會和經(jīng)濟的各個角落，并日益深刻的改變著人們傳統(tǒng)的匸作模式、商業(yè)模

2、式、管理 模式和生活模式。伴隨希信息技術(shù)的快速發(fā)展和全而應(yīng)用，信息安全的幣：要性也ri益凸現(xiàn)出來。it產(chǎn)品和 系統(tǒng)擁有的信息資產(chǎn)是能使組織完成比任務(wù)的關(guān)鍵資源。因此，人們耍求IT產(chǎn)品和系統(tǒng)具 備充分的安全性來保護IT產(chǎn)品和系統(tǒng)內(nèi)信息資產(chǎn)的保密性、完整性和可用性。隨著技術(shù)的E速發(fā)展、社會分工的進一步細(xì)化，加劇了組織與顧客Z間的信息不對稱。 許茹IT用戶缺乏判斷其IT產(chǎn)品和系統(tǒng)的安全性是否恰當(dāng)?shù)闹v、經(jīng)驗和資源，他們并不希 望僅僅依賴開發(fā)打的聲明。用戶可借助對IT產(chǎn)品和系統(tǒng)的安全分析（即安全評估）來增加 他們對貳安全措施的信心。由此產(chǎn)生了對JTT產(chǎn)胡和系統(tǒng)的安全性評估準(zhǔn)則的需求。11.2發(fā)展在藥個

3、安全性評估準(zhǔn)則的發(fā)展歷程中，有三個非常逍耍的里程偉式的標(biāo)準(zhǔn)：TCSEC、 ITSEC和CC標(biāo)準(zhǔn)。 TCSECTCSEC是“町信計算機系統(tǒng)評估準(zhǔn)則”的英文縮寫。> 是由美國國防部J* 1985年開發(fā)的，是彩虹系列叢書0，即桔皮書：> 主耍用軍申領(lǐng)域，后延用至民用，主要針對保密性而言：> 重點是通用的操作系統(tǒng)，為了使其評估方法適用網(wǎng)絡(luò)，1987年出版了一系列 關(guān)丁可信計算機數(shù)據(jù)庫和可信計算機網(wǎng)絡(luò)等的指南（俗稱彩虹系列）。我國J- 1999年將直轉(zhuǎn)化為GBAT17859計算機信息系統(tǒng)安全防護等級劃分準(zhǔn)則，甚 本等同TCSEC o氏主耍缺點在J-：1. 主要關(guān)注于保密性

4、，不關(guān)注可用性和完整性。2. 強調(diào)的是控制用戶，沒右關(guān)注程序上的、物理上的和人員的安全措施。3. 并沒勺關(guān)注網(wǎng)絡(luò)（后續(xù)出版的書籍彌補了這一不足）。 ITSECITSEC是信息技術(shù)安全件評估準(zhǔn)則的英文縮寫。> 1991年，由西歐四國（英、法、荷、德）聯(lián)合提出了 ITSEC；> 比TCSEC更寬松，目的是適應(yīng)各種產(chǎn)品、應(yīng)用和環(huán)境的缶耍，試圖超越TCSEC：> 首次提出了 C.I.A概念：> 將安全要求分為“功能”和“保證”兩部分： 功能：為滿足安全要求而采取的一系列技術(shù)安全措施： 保證：確保功能正確實現(xiàn)及令效性的安全措施. CCCC是通用準(zhǔn)則的英

5、文縮寫。1996年六國七方簽署了信息技術(shù)安全評佔通用準(zhǔn)則即CCl.Oo 1998年矣國、英國、 加拿大、法國和德國共同簽署了持面認(rèn)可協(xié)議后來這標(biāo)準(zhǔn)稱為CC標(biāo)準(zhǔn)，即CC2.0.CC2.0 版J- 1999年成為國際標(biāo)準(zhǔn)ISO/IEC 15408,我國F 2001年等同采用為GB/T 18336。目前已經(jīng)有17個國家簽署了互認(rèn)協(xié)議，即一個IT產(chǎn)品在英國通過CC評佔以后，那么 在美國就不需要再進行評估了，反Z亦然。目前我國還未加入互認(rèn)協(xié)議。1.2 CC標(biāo)準(zhǔn)的意義CC的意義在J：>通過評估冇助r增強用戶対jtt產(chǎn)品的安全信心；> 促進IT產(chǎn)品和系統(tǒng)的安全性：> 消除璽復(fù)的評估。1.3

6、 CC標(biāo)準(zhǔn)的局限性A 8標(biāo)準(zhǔn)采用半形式化語言，比較難以理解；> 8不包括那些打IT安全描施沒仃直接關(guān)聯(lián)的、M J彳亍政性管理安全描施的評佔準(zhǔn) 貝IJ,即該標(biāo)準(zhǔn)并不關(guān)注J：組織、人員、環(huán)境、設(shè)備、網(wǎng)絡(luò)等方而的見體的安全措施；> 8甫點關(guān)注人為的威脅，對于其他威脅源并沒有考慮；> 并不針對IT安全性的物理方面的評估（如電幽干擾）；> 8并不涉及評估方法學(xué)；> 8不包括密碼算法固冇質(zhì)吊的評估。2. CC標(biāo)準(zhǔn)內(nèi)容簡介21 CC標(biāo)準(zhǔn)的第1部分介紹了 CC標(biāo)準(zhǔn)中的一般性概念、相關(guān)的背景知識并引入了兒個安全模型。CC標(biāo)準(zhǔn)的 第1部分的掌握程度對J標(biāo)準(zhǔn)的后續(xù)部分的理解至關(guān)重要。2

7、.1.1 CC標(biāo)準(zhǔn)的內(nèi)容梗概1. 范圍2. 引用標(biāo)準(zhǔn)3. 定義> 通用縮略語、術(shù)語表的范圍、術(shù)語表4. 概述> 引言、CC的口標(biāo)讀者、評估上下文、CC的文檔組織5. 一般模型> 安全上下文、CC方法、安全概念、CC描述材料、評估類型、保證的維護6. 通用準(zhǔn)則耍求和評估結(jié)來> 引言、PP和ST耍求、TOE內(nèi)的耍求、評估結(jié)果的聲明、TOE評估結(jié)果的用 用附錄A：通用準(zhǔn)則項目附錄B： PP規(guī)范附錄C： ST規(guī)范2.1.2安全模型（注意與13335中的相應(yīng)圖表的區(qū)別）希望濫用或破壞圖3安全概念和關(guān)系安全 環(huán)境 材料(PP/ST)安全 n的 材料(PP/ST)安全 要求 材料(P

8、P/ ST)安全 規(guī)范 材料(PP/ST)圖4要求和規(guī)范的導(dǎo)出圖5耍求的組織和結(jié)構(gòu)2.2 CC標(biāo)準(zhǔn)的第2部分第二部分定義了 CC的安全功能耍求。安全功能耍求分為11類包括：審計（FAU）.密 碼支持（FCS）、通信（FCO）、用戶數(shù)據(jù)保護（FDP）、識別和鑒權(quán)（FIA）、安全管理（FMT）、 隱私（FPR）. TSF保護（FPT）、資源利用（FRU）、TOE訪問（FTA）和可信路徑/通道（FTP）。2.3 CC的第3部分定義了 CC的安全保證要求。安全保證耍求分為10類，保護輪廓評估（APE）、安全口 標(biāo)評估（ASE）、配置管理（ACM）、交付和運行（ADO）、開發(fā)（ADV）、指導(dǎo)性文檔（AG

9、D）、 牛命周期支持（ALC）、測試（ATE）、脆弱性評估（AVA）和保障維護（AMA）«1. CC認(rèn)證簡介11第三方權(quán)威機構(gòu)；為了確保認(rèn)證過程的公正、公開，冃前國家的認(rèn)證認(rèn)可機構(gòu)為中國國家信息安全產(chǎn)品測 評認(rèn)證中心。預(yù)計J; 2005年，國際認(rèn)證認(rèn)可監(jiān)督委員會將認(rèn)證權(quán)上收，中國國家信息安全 產(chǎn)品測評認(rèn)證中心將僅僅履行評估和測評任務(wù)。1.2認(rèn)證的主要活動> 編制和修訂認(rèn)證文檔：認(rèn)證活動中最主耍的一項丁作就是提交并修訂并類認(rèn)證文檔。認(rèn)證文檔所需的文檔 會根據(jù)所申請的EAL級別的不同而略有不同。但是一些常見的文檔，如，功能規(guī)范、 高層設(shè)計、低層設(shè)計等文檔還是需耍的。> TOE

10、樣&測試TOE的樣胡測試也需耍較長的時間。測試的依據(jù)就是提交的各類文檔。> 現(xiàn)場審查。通過査閱文件和記錄、現(xiàn)場觀察和詢問等方式進行現(xiàn)場審核。13認(rèn)證的過程卜圖闡述了認(rèn)證的主要過程。認(rèn)證2. CC認(rèn)證文檔2.1 PP理解PP : An i 叩I errentat i on-i ndependent set of securi ty requi renents for a category of TCEs t hat rreet speci f i c consurrer need.一滿足特定用戶需求、與一類TCE實現(xiàn)無關(guān)的一組安全耍求。其含義可以理解為：&為既泄的一類產(chǎn)品和

11、系統(tǒng)提出安全功能和保證要求的完備的組介，農(nóng)達了-類產(chǎn)品和系統(tǒng)的用戶要求：< PP與某個其體的TCE無關(guān)，它定義的是用戶対這類TCE的安全要求；。主要內(nèi)容包括：盂耍保護的對彖：確定安全環(huán)境；TCE的安全LI的；IT安全要求：基本原理；。 在標(biāo)準(zhǔn)體系中PP相當(dāng)于產(chǎn)胡標(biāo)準(zhǔn)，也占助F過程規(guī)范性標(biāo)準(zhǔn)的開發(fā)：< 國內(nèi)外已經(jīng)對應(yīng)用級防火墻、包過濾防火墻、智能卡、106、PM等開發(fā)了相應(yīng)的 PP。其內(nèi)容見下圖:TOE安全功能塑求TOE安全保證要求圖保護輪廓內(nèi)容PP內(nèi)容簡述注：該PP內(nèi)容簡述只是針對一般性PP而言,具體的PP可能會對內(nèi)容略有變更。為了便于 理解.増加了目前國內(nèi)某一類TOE的PP作為索

12、引.項目內(nèi)容對應(yīng)的索引內(nèi)容1.PP引言1.1 PP標(biāo)識標(biāo)識PP1.1范圍1.2.引用標(biāo)準(zhǔn)1.3術(shù)語和定義1.2 PP概述敘述性概新PP2. TOE描述2TOE描述概述TOE2TOE概述2.2其他方而的槪述3TOE安全環(huán)境3.1假設(shè)描述環(huán)境的安全問題3資產(chǎn)：資產(chǎn)包括TOE本勺所涉及的資產(chǎn)，也包括 TOE被預(yù)期用來保護的資產(chǎn)3.2假設(shè):從多個方面閘述存在于TOE的使用環(huán)境中 的特定條件。3.3威脅3.3對TOE的威脅在使用壞境中對TOE的威脅 331.1對TOE的物理攻擊威脅.2對TOE的邏輯攻擊威脅.3與不充分說明相關(guān)的威脅3.3丄1.4與不可預(yù)測的相互

13、作用相關(guān) 的威脅.5有關(guān)密碼功能的威脅 331.1.6監(jiān)視佶息的威脅其他備種威脅33.1.2在使用環(huán)境中對TOE的威脅 3.3.121與信息汛漏相關(guān)的威脅 33122對彖竊取相關(guān)的威脅 33123與信息修改相關(guān)的威脅3.3.2對TOE使用環(huán)境的威脅3.4組織安全笫略3.2威脅描述對資產(chǎn)的威脅3.3組織安全策略TOE必須遵守的組織安全策 略4.安全目的4TOE安全口的說明TOE安全目的4TOE安全目的4.2環(huán)境安全目的4.2環(huán)境安全目的說明環(huán)境安全13的項目內(nèi)容對應(yīng)的索引內(nèi)容5. IT安全要求5TOE安全要求5.1.1 TOE安全功能耍 求5.1.2 TOE安全保證

14、耍求陳述安全耍求，包括功能和保證安全耍求：從GB/T18336的第2部分中 提取適當(dāng)?shù)墓δ芙M件：從GB/r 18336的第3部分中 提取適當(dāng)?shù)谋ＷC組件.5.1信息技術(shù)安全耍求5.1.1信息技術(shù)的安全功能要求列出從GB/T18336的第2部分中提取的適 當(dāng)?shù)墓δ芙M件，并予以解釋5丄2信息技術(shù)的安全保證耍求列出從GB/T 18336的第3部分中提取的適 當(dāng)?shù)谋ＷC組件，并予以解禪5.2信息技術(shù)環(huán)境安全耍求列出了應(yīng)用到信息技術(shù)環(huán)境中的安全功能 組件，并予以解禪.5.2 1T環(huán)境安全嬰求陳述IT環(huán)境安全耍求6. PP應(yīng)用注釋6.1 PP應(yīng)用注釋額外的支持信息6TOE的特點6.2安全功能管理7.基本原理7

15、.1安全目的基本原理闡明安全目的可追溯到在 TOE安全環(huán)境里指明的所有 方面,并且能夠覆蓋所有方 而7.1安全目的基本廉理*TOE的安全目的能夠?qū)Ω端鶅涌赡艿耐{、 假設(shè)和組織的安全策略，即毎一種威協(xié)、假 設(shè)和組織的安全策略都至少有一個或一個 以上的安全口的與之對應(yīng)，因此是完備的： 沒冇一個安全目的沒冇相應(yīng)的威脅、假設(shè)和 組織安全策略與之對應(yīng)，這證明每一個安全 U的都是必燙的：沒冇多余的安全F1的不對應(yīng)威脅、假設(shè)和組 織的安全策略，因此說明了安全冃的是充分 的"7.2安全嚶求基本僚理說明了安全要求的充分必啞性基木原理，即 每一個安全n的都至少有一個安全耍求（包 括功能耍求或保證婆求）

16、組件與其對應(yīng)，每 一個安全要求都至少解決了一個安全目的， 因此，安全保證耍求對安全冃的而言足充分 和必要的。7.3滿足依賴關(guān)系的基本原理在選収安全耍求組件時，必須滿足所選組件 之間的相互依賴關(guān)系，列出所選安全功能要 求組件和安全保證耍求紐件之間的依賴關(guān) 系。7.2安全婆求基木脈理閘明系列安全壞境的功能和 保證要求組件相結(jié)合，能滿 足所述的安全目的2.2 ST理解一作為指定的TCE評佔基礎(chǔ)的-組安全耍求和規(guī)范。ST： Aset of securi t y requi rements and speci f i cat i ons to be used as t he basi s f or ev

17、al uat i on of an i dent i f i ed TCE其含義包括： ST是針對fl體TCE而言，它包祗該TCE的安全要求和用滿足安全耍求的特定安全功 能和保證措施。 ST包含的技術(shù)要求和保證措施可以鬥接引用該TCE所屬產(chǎn)品和系統(tǒng)類的PP： ST是開發(fā)者、評佔者和用戸在TCE安全性和評估范陽Z間達成一致的堆礎(chǔ)； ST相當(dāng)丁是產(chǎn)品和系統(tǒng)的實現(xiàn)方案。苴具體內(nèi)容見卜圖:TOE安令功能愛求TOE安全保證要求圖2安全忖標(biāo)內(nèi)容1ST標(biāo)題: 版本號： 編制口期: 校對口期: 審核H期: 批準(zhǔn)H期:1.1.2TOE名稱： 其他相關(guān)信息本ST是TOE的安全I標(biāo)，描述了 TOE的系統(tǒng)結(jié)構(gòu)、物理以

18、及邏輯的范國和邊界，分 析了 TOE預(yù)期用法和使用環(huán)境，標(biāo)識并解釋了已知的或假定的対J： TOE及梵環(huán)境保護 的資產(chǎn)的威脅和必須遵循的組織安全策略。為J'達到針對TOE及覽環(huán)境所定義的安全 目的，提出了一組安全要求，RM TOE安全功能要求和安全保證耍求，以及IT環(huán)境安 全耍求。在概耍規(guī)范中描述了 TOE提供的安全功能和實現(xiàn)安全功能的保證描施。本文 最厲闡述了 TOE的安全環(huán)境、安全忖的、安全要求和安全功能之間相互對應(yīng)的的皋本 原理，從而證明滿足本ST陳述的TOE提供的安全功能和保證措施是PP屮確定的完整 的、緊密結(jié)介的安全耍求集介的實現(xiàn)。保證措施與PP中的EALX級的要求相-致。a)

19、 TOE符介GB/T 18336.12001信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1 部分：簡介和一般模型的一般模型的要求。b) TOE的安全功能婆求子集遵循GB/T 18336.2-2001信息技術(shù)安全技術(shù)信息技術(shù) 安全性評估準(zhǔn)則第2部分：安全功能要求。c) TOE在安全保證耍求上符TGB/T 18336.3-2001信息技術(shù)安全技術(shù)信息技術(shù)安 全性評估準(zhǔn)則第3部分：安全保證耍求中的安全評估保證X級的耍求。d) TOE與PP是一致的。2.1.1 TOE 概述TOE應(yīng)用環(huán)境5. IT安全要求5.2 IT環(huán)境安全要求（與PP基本一致）6. TOE概要規(guī)范6TOE安全功能6.2 TOE安全功能要

20、求的實現(xiàn)（即對TOE安全功能的解釋）6.3安全保證措施的實現(xiàn)6.4環(huán)境安全功能7. PP聲明：TOE符合PP要求的程度8.基本原理（從PP而來）8.3 TOE概要規(guī)范基本原理8.3.1安全功能基本原理8.3.2安全保證要求的基本原理8.4滿足依賴關(guān)系的基本原理8.1安全目的基本原理（從PP而來）下面的表&1、表&2、表&3、表8.4說明了 TOE的安全目的能對付所有可能的威脅、假 設(shè)和組織安全策略，即每一種威脅、假設(shè)和組織安全策略都至少有一個或一個以上安全目的 與其對應(yīng)，因此是完備的.沒有一個安全目的沒有相應(yīng)的威脅、假設(shè)和組織安全策略與之對 應(yīng)，這證明每一個安全目的都是

21、必要的；沒有多余的安全目的不對應(yīng)威脅、假設(shè)和組織安全 策略，說明了安全目的是充分的。表與目的相關(guān)的威脅威脅對應(yīng)的目的表&2與目的相關(guān)的組織安全策略策峪對應(yīng)的目的表&3與目的相關(guān)的假設(shè)假設(shè)對應(yīng)的目的表&4與環(huán)境考慮相關(guān)的安全目的環(huán)境對應(yīng)的目的8.2安全要求基本原理（從PP而來）下面的表&5、表&6表&7說明了安全要求的充分必要性基本原理，即每一個安全目的 都至少有一個安全要求（包括功能要求或保證要求）組件與其對應(yīng)，每一個安全要求都至少 解決了一個安全目的，因此安全要求對安全目的而言是充分和必要的。表&5與安全目的相關(guān)的安全要求組件安全目的對

22、應(yīng)的安全要求組件表8.6與安全功能要求相關(guān)的安全目的安全功能要求對應(yīng)的安全目的表8.7與安全保證要求相關(guān)的安全目的安全保證要求對應(yīng)的安全目的8.3 TOE概要規(guī)范基本原理83.1安全功能基本原理下面的表&乩 表&9說明了 TOE M要規(guī)范安全功能基本原理。即每一個安全功能至少有一個安全功能要求組件與其對應(yīng)，每一個安全功能要求至少對應(yīng)于一個安全功能，因此TOE卡實現(xiàn)的安全功能完全滿足安全功能的要求. 表&8與安全功能要求相關(guān)的安全功能安全功能要求安全功能要求名稱對應(yīng)的安全功能表&9與安全功能相關(guān)的安全功能要求TOE實現(xiàn)的安全功能對應(yīng)的安全功能組件83.2安全保證要求的基本原理表&10說明了 TOE概要規(guī)范安全保證基本原理。即每一個安全保證要求組件都至少有一個安全保證措施與其對應(yīng)，因此TOE的安全保證描施完全滿足安全保證要求. 表&10與安全保證要求相關(guān)的保證措施保證要求組件組件名稱保證措施（見下列文檔）8.4滿足依賴關(guān)系的基本原理（從PP而來）在選取安全要求組件時，TOE必須滿足所選組件之間的相互依賴關(guān)系，表8.1L表&12分別列出了所選安全功能要求組件和安全保證要求組件的依賴關(guān)系。 表8.11安全功能組件依賴關(guān)系表功能組件依賴關(guān)系表&12安全保