網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹

1、2022-4-13網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹網(wǎng)絡與信息安全計算機網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準信息系統(tǒng)安全評估標準介紹介紹網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹標準介紹標準介紹 信息技術安全評估準則發(fā)展過程信息技術安全評估準則發(fā)展過程 可信計算機系統(tǒng)評估準則（可信計算機系統(tǒng)評估準則（TCSEC ） 可信網(wǎng)絡解釋可信網(wǎng)絡解釋（TNI） 通用準則通用準則CC 計算機信息系統(tǒng)安全保護等級劃分準則計算機信息系統(tǒng)安全保護等級劃分準則 信息系統(tǒng)安全評估方法探討信息系統(tǒng)安全評估方法探討 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹信息技術安全評估準則發(fā)展過程信息技術安全評估

2、準則發(fā)展過程 信息技術安全評估是對一個構(gòu)件、產(chǎn)品、子系統(tǒng)或系信息技術安全評估是對一個構(gòu)件、產(chǎn)品、子系統(tǒng)或系統(tǒng)的安全屬性進行的技術評價，通過評估判斷該構(gòu)件、統(tǒng)的安全屬性進行的技術評價，通過評估判斷該構(gòu)件、產(chǎn)品、子系統(tǒng)或系統(tǒng)是否滿足一組特定的要求。信息產(chǎn)品、子系統(tǒng)或系統(tǒng)是否滿足一組特定的要求。信息技術安全評估的另一層含義是在一定的安全策略、安技術安全評估的另一層含義是在一定的安全策略、安全功能需求及目標保證級別下獲得相應保證的過程全功能需求及目標保證級別下獲得相應保證的過程 。 產(chǎn)品安全評估產(chǎn)品安全評估 信息系統(tǒng)安全評估信息系統(tǒng)安全評估 信息系統(tǒng)安全評估，或簡稱為系統(tǒng)評估，是在具體的信息系統(tǒng)安全評

3、估，或簡稱為系統(tǒng)評估，是在具體的操作環(huán)境與任務下對一個系統(tǒng)的安全保護能力進行的操作環(huán)境與任務下對一個系統(tǒng)的安全保護能力進行的評估評估 。網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹信息技術安全評估準則發(fā)展過程信息技術安全評估準則發(fā)展過程 2020世紀世紀6060年代后期，年代后期，19671967年美國國防部（年美國國防部（DODDOD）成立了）成立了一個研究組，針對當時計算機使用環(huán)境中的安全策略一個研究組，針對當時計算機使用環(huán)境中的安全策略進行研究，其研究結(jié)果是進行研究，其研究結(jié)果是“Defense Science Board Defense Science Board report”rep

4、ort” 7070年代的后期年代的后期DODDOD對當時流行的操作系統(tǒng)對當時流行的操作系統(tǒng)KSOSKSOS，PSOSPSOS，KVMKVM進行了安全方面的研究進行了安全方面的研究 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹信息技術安全評估準則發(fā)展過程信息技術安全評估準則發(fā)展過程 8080年代后，美國國防部發(fā)布的年代后，美國國防部發(fā)布的“可信計算機系統(tǒng)評估可信計算機系統(tǒng)評估準則（準則（TCSECTCSEC）”（即桔皮書）（即桔皮書） 后來后來DODDOD又發(fā)布了可信數(shù)據(jù)庫解釋（又發(fā)布了可信數(shù)據(jù)庫解釋（TDITDI）、可信網(wǎng)絡）、可信網(wǎng)絡解釋（解釋（TNITNI）等一系列相關的說明和指南）等一系

5、列相關的說明和指南 9090年代初，英、法、德、荷等四國針對年代初，英、法、德、荷等四國針對TCSECTCSEC準則的局準則的局限性，提出了包含保密性、完整性、可用性等概念的限性，提出了包含保密性、完整性、可用性等概念的“信息技術安全評估準則信息技術安全評估準則”（ITSECITSEC），定義了從），定義了從E0E0級級到到E6E6級的七個安全等級級的七個安全等級 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹信息技術安全評估準則發(fā)展過程信息技術安全評估準則發(fā)展過程 加拿大加拿大19881988年開始制訂年開始制訂The Canadian Trusted The Canadian Trusted

6、 Computer Product Evaluation Criteria Computer Product Evaluation Criteria （CTCPECCTCPEC） 19931993年，美國對年，美國對TCSECTCSEC作了補充和修改，制定了作了補充和修改，制定了“組合組合的聯(lián)邦標準的聯(lián)邦標準”（簡稱（簡稱FCFC） 國際標準化組織（國際標準化組織（ISOISO）從）從19901990年開始開發(fā)通用的國際年開始開發(fā)通用的國際標準評估準則標準評估準則 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹信息技術安全評估準則發(fā)展過程信息技術安全評估準則發(fā)展過程 在在19931993年年6

7、6月，月，CTCPECCTCPEC、FCFC、TCSECTCSEC和和ITSECITSEC的發(fā)起組織的發(fā)起組織開始聯(lián)合起來，將各自獨立的準則組合成一個單一的、開始聯(lián)合起來，將各自獨立的準則組合成一個單一的、能被廣泛使用的能被廣泛使用的ITIT安全準則安全準則 發(fā)起組織包括六國七方：加拿大、法國、德國、荷蘭、發(fā)起組織包括六國七方：加拿大、法國、德國、荷蘭、英國、美國英國、美國NISTNIST及美國及美國NSANSA，他們的代表建立了，他們的代表建立了CCCC編輯編輯委員會（委員會（CCEBCCEB）來開發(fā)）來開發(fā)CCCC 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹信息技術安全評估準則發(fā)展過程信

8、息技術安全評估準則發(fā)展過程 19961996年年1 1月完成月完成CC1.0CC1.0版版 ,在在19961996年年4 4月被月被ISOISO采納采納 19971997年年1010月完成月完成CC2.0CC2.0的測試版的測試版 19981998年年5 5月發(fā)布月發(fā)布CC2.0CC2.0版版 19991999年年1212月月ISOISO采納采納CCCC，并作為國際標準，并作為國際標準ISO 15408ISO 15408發(fā)發(fā)布布 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹安全評估標準的發(fā)展歷程安全評估標準的發(fā)展歷程 桔皮書桔皮書（TCSEC）1985英國安全英國安全標準標準1989德國標準德

9、國標準法國標準法國標準加拿大標準加拿大標準1993聯(lián)邦標準聯(lián)邦標準草案草案1993ITSEC1991通用標準通用標準V1.0 1996V2.0 1998V2.1 1999網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹標準介紹標準介紹 信息技術安全評估準則發(fā)展過程信息技術安全評估準則發(fā)展過程 可信計算機系統(tǒng)評估準則（可信計算機系統(tǒng)評估準則（TCSEC） 可信網(wǎng)絡解釋可信網(wǎng)絡解釋 （TNI） 通用準則通用準則CC 計算機信息系統(tǒng)安全保護等級劃分準則計算機信息系統(tǒng)安全保護等級劃分準則 信息系統(tǒng)安全評估方法探討信息系統(tǒng)安全評估方法探討網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC 在在TCSEC

10、TCSEC中，美國國防部按處理信息的等級和應采用的中，美國國防部按處理信息的等級和應采用的響應措施，將計算機安全從高到低分為：響應措施，將計算機安全從高到低分為：A A、B B、C C、D D四類八個級別，共四類八個級別，共2727條評估準則條評估準則 隨著安全等級的提高，系統(tǒng)的可信度隨之增加，風險隨著安全等級的提高，系統(tǒng)的可信度隨之增加，風險逐漸減少。逐漸減少。 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC四個安全等級：四個安全等級：無保護級無保護級 自主保護級自主保護級 強制保護級強制保護級驗證保護級驗證保護級網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC D D類是最低

11、保護等級，即無保護級類是最低保護等級，即無保護級 是為那些經(jīng)過評估，但不滿足較高評估等級要求的系是為那些經(jīng)過評估，但不滿足較高評估等級要求的系統(tǒng)設計的，只具有一個級別統(tǒng)設計的，只具有一個級別 該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息能在多用戶環(huán)境下處理敏感信息 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC四個安全等級：四個安全等級：無保護級無保護級 自主保護級自主保護級 強制保護級強制保護級驗證保護級驗證保護級網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC C C類為自主保護級類為自主保護級 具有

12、一定的保護能力，采用的措施是自主訪問控制和具有一定的保護能力，采用的措施是自主訪問控制和審計跟蹤審計跟蹤 一般只適用于具有一定等級的多用戶環(huán)境一般只適用于具有一定等級的多用戶環(huán)境 具有對主體責任及其動作審計的能力具有對主體責任及其動作審計的能力網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSECC C類分為類分為C1C1和和C2C2兩個級別兩個級別: : 自主安全保護級（自主安全保護級（C1級級) ) 控制訪問保護級（控制訪問保護級（C2級）級） 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC C1級級TCBTCB通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保通過隔離用戶與數(shù)據(jù)，使用戶具備

13、自主安全保護的能力護的能力 它具有多種形式的控制能力，對用戶實施訪問控制它具有多種形式的控制能力，對用戶實施訪問控制 為用戶提供可行的手段，保護用戶和用戶組信息，避為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞免其他用戶對數(shù)據(jù)的非法讀寫與破壞 C1C1級的系統(tǒng)適用于處理同一敏感級別數(shù)據(jù)的多用戶環(huán)級的系統(tǒng)適用于處理同一敏感級別數(shù)據(jù)的多用戶環(huán)境境 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC C2C2級計算機系統(tǒng)比級計算機系統(tǒng)比C1C1級具有更細粒度的自主訪問控制級具有更細粒度的自主訪問控制 C2C2級通過注冊過程控制、審計安全相關事件以及資源級通過注冊過

14、程控制、審計安全相關事件以及資源隔離，使單個用戶為其行為負責隔離，使單個用戶為其行為負責 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC四個安全等級：四個安全等級：無保護級無保護級 自主保護級自主保護級 強制保護級強制保護級驗證保護級驗證保護級網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC B B類為強制保護級類為強制保護級 主要要求是主要要求是TCBTCB應維護完整的安全標記，并在此基礎上應維護完整的安全標記，并在此基礎上執(zhí)行一系列強制訪問控制規(guī)則執(zhí)行一系列強制訪問控制規(guī)則 B B類系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標記類系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標記 系統(tǒng)的開發(fā)者還應為

15、系統(tǒng)的開發(fā)者還應為TCBTCB提供安全策略模型以及提供安全策略模型以及TCBTCB規(guī)規(guī)約約 應提供證據(jù)證明訪問監(jiān)控器得到了正確的實施應提供證據(jù)證明訪問監(jiān)控器得到了正確的實施 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSECB類分為三個類別：類分為三個類別：標記安全保護級（標記安全保護級（B1級）級） 結(jié)構(gòu)化保護級（結(jié)構(gòu)化保護級（B2級）級） 安全區(qū)域保護級（安全區(qū)域保護級（B3級）級） 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC B1B1級系統(tǒng)要求具有級系統(tǒng)要求具有C2C2級系統(tǒng)的所有特性級系統(tǒng)的所有特性 在此基礎上，還應提供安全策略模型的非形式化描述、在此基礎上，還應提供安

16、全策略模型的非形式化描述、數(shù)據(jù)標記以及命名主體和客體的強制訪問控制數(shù)據(jù)標記以及命名主體和客體的強制訪問控制 并消除測試中發(fā)現(xiàn)的所有缺陷并消除測試中發(fā)現(xiàn)的所有缺陷 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSECB類分為三個類別：類分為三個類別：標記安全保護級（標記安全保護級（B1級）級） 結(jié)構(gòu)化保護級（結(jié)構(gòu)化保護級（B2級）級） 安全區(qū)域保護級（安全區(qū)域保護級（B3級）級）網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC 在在B2B2級系統(tǒng)中，級系統(tǒng)中，TCBTCB建立于一個明確定義并文檔化形式建立于一個明確定義并文檔化形式化安全策略模型之上化安全策略模型之上 要求將要求將B1B1

17、級系統(tǒng)中建立的自主和強制訪問控制擴展到級系統(tǒng)中建立的自主和強制訪問控制擴展到所有的主體與客體所有的主體與客體 在此基礎上，應對隱蔽信道進行分析在此基礎上，應對隱蔽信道進行分析 TCBTCB應結(jié)構(gòu)化為關鍵保護元素和非關鍵保護元素應結(jié)構(gòu)化為關鍵保護元素和非關鍵保護元素網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC TCBTCB接口必須明確定義接口必須明確定義 其設計與實現(xiàn)應能夠經(jīng)受更充分的測試和更完善的審其設計與實現(xiàn)應能夠經(jīng)受更充分的測試和更完善的審查查 鑒別機制應得到加強，提供可信設施管理以支持系統(tǒng)鑒別機制應得到加強，提供可信設施管理以支持系統(tǒng)管理員和操作員的職能管理員和操作員的職能 提

18、供嚴格的配置管理控制提供嚴格的配置管理控制 B2B2級系統(tǒng)應具備相當?shù)目節(jié)B透能力級系統(tǒng)應具備相當?shù)目節(jié)B透能力網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSECB類分為三個類別：類分為三個類別：標記安全保護級（標記安全保護級（B1級）級） 結(jié)構(gòu)化保護級（結(jié)構(gòu)化保護級（B2級）級） 安全區(qū)域保護級（安全區(qū)域保護級（B3級）級）網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC 在在B3B3級系統(tǒng)中，級系統(tǒng)中，TCBTCB必須滿足訪問監(jiān)控器需求必須滿足訪問監(jiān)控器需求 訪問監(jiān)控器對所有主體對客體的訪問進行仲裁訪問監(jiān)控器對所有主體對客體的訪問進行仲裁 訪問監(jiān)控器本身是抗篡改的訪問監(jiān)控器本身是抗篡

19、改的 訪問監(jiān)控器足夠小訪問監(jiān)控器足夠小 訪問監(jiān)控器能夠分析和測試訪問監(jiān)控器能夠分析和測試網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC為了滿足訪問控制器需求為了滿足訪問控制器需求: :計算機信息系統(tǒng)可信計算基在構(gòu)造時，排除那些對計算機信息系統(tǒng)可信計算基在構(gòu)造時，排除那些對實施安全策略來說并非必要的代碼實施安全策略來說并非必要的代碼計算機信息系統(tǒng)可信計算基在設計和實現(xiàn)時，從系計算機信息系統(tǒng)可信計算基在設計和實現(xiàn)時，從系統(tǒng)工程角度將其復雜性降低到最小程度統(tǒng)工程角度將其復雜性降低到最小程度網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSECB3B3級系統(tǒng)支持級系統(tǒng)支持: :安全管理員職能安

20、全管理員職能擴充審計機制擴充審計機制當發(fā)生與安全相關的事件時，發(fā)出信號當發(fā)生與安全相關的事件時，發(fā)出信號提供系統(tǒng)恢復機制提供系統(tǒng)恢復機制系統(tǒng)具有很高的抗?jié)B透能力系統(tǒng)具有很高的抗?jié)B透能力網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC四個安全等級：四個安全等級：無保護級無保護級 自主保護級自主保護級 強制保護級強制保護級驗證保護級驗證保護級網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC A類為驗證保護級類為驗證保護級 A A類的特點是使用形式化的安全驗證方法，保證系統(tǒng)的類的特點是使用形式化的安全驗證方法，保證系統(tǒng)的自主和強制安全控制措施能夠有效地保護系統(tǒng)中存儲自主和強制安全控制措施

21、能夠有效地保護系統(tǒng)中存儲和處理的秘密信息或其他敏感信息和處理的秘密信息或其他敏感信息 為證明為證明TCBTCB滿足設計、開發(fā)及實現(xiàn)等各個方面的安全要滿足設計、開發(fā)及實現(xiàn)等各個方面的安全要求，系統(tǒng)應提供豐富的文檔信息求，系統(tǒng)應提供豐富的文檔信息網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSECA A類分為兩個類別：類分為兩個類別：驗證設計級（驗證設計級（A1A1級）級） 超超A1A1級級 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC A1A1級系統(tǒng)在功能上和級系統(tǒng)在功能上和B3B3級系統(tǒng)是相同的，沒有增加體級系統(tǒng)是相同的，沒有增加體系結(jié)構(gòu)特性和策略要求系結(jié)構(gòu)特性和策略要求 最顯著的

22、特點是，要求用形式化設計規(guī)范和驗證方法最顯著的特點是，要求用形式化設計規(guī)范和驗證方法來對系統(tǒng)進行分析，確保來對系統(tǒng)進行分析，確保TCBTCB按設計要求實現(xiàn)按設計要求實現(xiàn) 從本質(zhì)上說，這種保證是發(fā)展的，它從一個安全策略從本質(zhì)上說，這種保證是發(fā)展的，它從一個安全策略的形式化模型和設計的形式化高層規(guī)約（的形式化模型和設計的形式化高層規(guī)約（FTLSFTLS）開始）開始 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC 針對針對A1A1級系統(tǒng)設計驗證，有級系統(tǒng)設計驗證，有5 5種獨立于特定規(guī)約語言或種獨立于特定規(guī)約語言或驗證方法的重要準則：驗證方法的重要準則：安全策略的形式化模型必須得到明確標識并

23、文檔化，提供該模安全策略的形式化模型必須得到明確標識并文檔化，提供該模型與其公理一致以及能夠?qū)Π踩呗蕴峁┳銐蛑С值臄?shù)學證明型與其公理一致以及能夠?qū)Π踩呗蕴峁┳銐蛑С值臄?shù)學證明 應提供形式化的高層規(guī)約，包括應提供形式化的高層規(guī)約，包括TCBTCB功能的抽象定義、用于隔功能的抽象定義、用于隔離執(zhí)行域的硬件離執(zhí)行域的硬件/ /固件機制的抽象定義固件機制的抽象定義 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC應通過形式化的技術（如果可能的化）和非形式化的應通過形式化的技術（如果可能的化）和非形式化的技術證明技術證明TCB的形式化高層規(guī)約（的形式化高層規(guī)約（FTLS）與模型是一）與模型是一

24、致的致的 通過非形式化的方法證明通過非形式化的方法證明TCB的實現(xiàn)（硬件、固件、的實現(xiàn)（硬件、固件、軟件）與形式化的高層規(guī)約（軟件）與形式化的高層規(guī)約（FTLS）是一致的。應證）是一致的。應證明明FTLS的元素與的元素與TCB的元素是一致的，的元素是一致的，F(xiàn)TLS應表達應表達用于滿足安全策略的一致的保護機制，這些保護機制用于滿足安全策略的一致的保護機制，這些保護機制的元素應映射到的元素應映射到TCB的要素的要素 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC應使用形式化的方法標識并分析隱蔽信道，非形式化應使用形式化的方法標識并分析隱蔽信道，非形式化的方法可以用來標識時間隱蔽信道，必須

25、對系統(tǒng)中存的方法可以用來標識時間隱蔽信道，必須對系統(tǒng)中存在的隱蔽信道進行解釋在的隱蔽信道進行解釋 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSECA1級系統(tǒng)級系統(tǒng): : 要求更嚴格的配置管理要求更嚴格的配置管理 要求建立系統(tǒng)安全分發(fā)的程序要求建立系統(tǒng)安全分發(fā)的程序 支持系統(tǒng)安全管理員的職能支持系統(tǒng)安全管理員的職能 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSECA A類分為兩個類別：類分為兩個類別：驗證設計級（驗證設計級（A1A1級）級） 超超A1A1級級網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC 超超A1A1級在級在A1級基礎上增加的許多安全措施超出了目前級基礎上增加

26、的許多安全措施超出了目前的技術發(fā)展的技術發(fā)展 隨著更多、更好的分析技術的出現(xiàn)，本級系統(tǒng)的要求隨著更多、更好的分析技術的出現(xiàn)，本級系統(tǒng)的要求才會變的更加明確才會變的更加明確 今后，形式化的驗證方法將應用到源碼一級，并且時今后，形式化的驗證方法將應用到源碼一級，并且時間隱蔽信道將得到全面的分析間隱蔽信道將得到全面的分析 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC 在這一級，設計環(huán)境將變的更重要在這一級，設計環(huán)境將變的更重要 形式化高層規(guī)約的分析將對測試提供幫助形式化高層規(guī)約的分析將對測試提供幫助 TCB開發(fā)中使用的工具的正確性及開發(fā)中使用的工具的正確性及TCB運行的軟硬件運行的軟硬件功

27、能的正確性將得到更多的關注功能的正確性將得到更多的關注網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹TCSEC超超A1級系統(tǒng)涉及的范圍包括：級系統(tǒng)涉及的范圍包括：系統(tǒng)體系結(jié)構(gòu)系統(tǒng)體系結(jié)構(gòu)安全測試安全測試形式化規(guī)約與驗證形式化規(guī)約與驗證可信設計環(huán)境等可信設計環(huán)境等網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹標準介紹標準介紹 信息技術安全評估準則發(fā)展過程信息技術安全評估準則發(fā)展過程 可信計算機系統(tǒng)評估準則（可信計算機系統(tǒng)評估準則（TCSEC） 可信網(wǎng)絡解釋可信網(wǎng)絡解釋 （TNI） 通用準則通用準則CC 計算機信息系統(tǒng)安全保護等級劃分準則計算機信息系統(tǒng)安全保護等級劃分準則 信息系統(tǒng)安全評估方法探討信息

28、系統(tǒng)安全評估方法探討網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 美國國防部計算機安全評估中心在完成美國國防部計算機安全評估中心在完成TCSEC的基礎的基礎上，又組織了專門的研究鏃對可信網(wǎng)絡安全評估進行上，又組織了專門的研究鏃對可信網(wǎng)絡安全評估進行研究，并于研究，并于1987年發(fā)布了以年發(fā)布了以TCSEC為基礎的可信網(wǎng)絡為基礎的可信網(wǎng)絡解釋，即解釋，即TNI。 TNI包括兩個部分（包括兩個部分（Part I和和Part II）及三個附錄）及三個附錄（APPENDIX A、B、C） 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI

29、） TNI第一部分提供了在網(wǎng)絡系統(tǒng)作為一個單一系統(tǒng)進行第一部分提供了在網(wǎng)絡系統(tǒng)作為一個單一系統(tǒng)進行評估時評估時TCSEC中各個等級（從中各個等級（從D到到A類）的解釋類）的解釋 與單機系統(tǒng)不同的是，網(wǎng)絡系統(tǒng)的可信計算基稱為網(wǎng)與單機系統(tǒng)不同的是，網(wǎng)絡系統(tǒng)的可信計算基稱為網(wǎng)絡可信計算基（絡可信計算基（NTCB） 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 第二部分以附加安全服務的形式提出了在網(wǎng)絡互聯(lián)時出第二部分以附加安全服務的形式提出了在網(wǎng)絡互聯(lián)時出現(xiàn)的一些附加要求現(xiàn)的一些附加要求 這些要求主要是針對完整性、可用性和保密性的這些要求主要是針對完整性、可用性和保

30、密性的 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 第二部分的評估是定性的，針對一個服務進行評估的結(jié)第二部分的評估是定性的，針對一個服務進行評估的結(jié)果一般分為為：果一般分為為： vnone vminimum vfair vgood 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 第二部分中關于每個服務的說明一般包括第二部分中關于每個服務的說明一般包括: :一種相對簡短的陳述一種相對簡短的陳述相關的功能性的討論相關的功能性的討論 相關機制強度的討論相關機制強度的討論 相關保證的討論相關保證的討論 網(wǎng)絡與信息安全計算機信息系統(tǒng)

31、安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 功能性是指一個安全服務的目標和實現(xiàn)方法，它包括特功能性是指一個安全服務的目標和實現(xiàn)方法，它包括特性、機制及實現(xiàn)性、機制及實現(xiàn) 機制的強度是指一種方法實現(xiàn)其目標的程度機制的強度是指一種方法實現(xiàn)其目標的程度 有些情況下，參數(shù)的選擇會對機制的強度帶來很大的影有些情況下，參數(shù)的選擇會對機制的強度帶來很大的影響響 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 保證是指相信一個功能會實現(xiàn)的基礎保證是指相信一個功能會實現(xiàn)的基礎 保證一般依靠對理論、測試、軟件工程等相關內(nèi)容的分保證一般依靠對理論、測試、軟件工程等相關內(nèi)容

32、的分析析 分析可以是形式化或非形式化的，也可以是理論的或應分析可以是形式化或非形式化的，也可以是理論的或應用的用的 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI）第二部分中列出的安全服務有：第二部分中列出的安全服務有： 通信完整性通信完整性 拒絕服務拒絕服務 機密性機密性 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI）通信完整性主要涉及以下通信完整性主要涉及以下3方面：方面：鑒別：網(wǎng)絡中應能夠抵抗欺騙和重放攻擊鑒別：網(wǎng)絡中應能夠抵抗欺騙和重放攻擊 通信字段完整性：保護通信中的字段免受非授權(quán)的通信字段完整性：保護通信中的字段免受

33、非授權(quán)的修改修改 抗抵賴：提供數(shù)據(jù)發(fā)送、接受的證據(jù)抗抵賴：提供數(shù)據(jù)發(fā)送、接受的證據(jù) 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 當網(wǎng)絡處理能力下降到一個規(guī)定的界限以下或遠程實當網(wǎng)絡處理能力下降到一個規(guī)定的界限以下或遠程實體無法訪問時，即發(fā)生了拒絕服務體無法訪問時，即發(fā)生了拒絕服務 所有由網(wǎng)絡提供的服務都應考慮拒絕服務的情況所有由網(wǎng)絡提供的服務都應考慮拒絕服務的情況 網(wǎng)絡管理者應決定網(wǎng)絡拒絕服務需求網(wǎng)絡管理者應決定網(wǎng)絡拒絕服務需求 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI）解決拒絕服務的方法有：解決拒絕服務的方法有： 操

34、作連續(xù)性操作連續(xù)性 基于協(xié)議的拒絕服務保護基于協(xié)議的拒絕服務保護 網(wǎng)絡管理網(wǎng)絡管理 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 機密性是一系列安全服務的總稱機密性是一系列安全服務的總稱 這些服務都是關于通過計算機通信網(wǎng)絡在實體間傳輸這些服務都是關于通過計算機通信網(wǎng)絡在實體間傳輸信息的安全和保密的信息的安全和保密的 具體又分具體又分3種情況：種情況： 數(shù)據(jù)保密數(shù)據(jù)保密 通信流保密通信流保密 選擇路由選擇路由 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI）數(shù)據(jù)保密：數(shù)據(jù)保密：數(shù)據(jù)保密性服務保護數(shù)據(jù)不被未授權(quán)地泄露數(shù)據(jù)保密性服務

35、保護數(shù)據(jù)不被未授權(quán)地泄露數(shù)據(jù)保密性主要受搭線竊聽的威脅數(shù)據(jù)保密性主要受搭線竊聽的威脅被動的攻擊包括對線路上傳輸?shù)男畔⒌挠^測被動的攻擊包括對線路上傳輸?shù)男畔⒌挠^測 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI）通信流保密：通信流保密：針對通信流分析攻擊而言，通信流分析攻擊分析消息針對通信流分析攻擊而言，通信流分析攻擊分析消息的長度、頻率及協(xié)議的內(nèi)容（如地址）的長度、頻率及協(xié)議的內(nèi)容（如地址）并以此推出消息的內(nèi)容并以此推出消息的內(nèi)容 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI）選擇路由：選擇路由：路由選擇控制是在路由選擇過程中應

36、用規(guī)則，以便具體路由選擇控制是在路由選擇過程中應用規(guī)則，以便具體的選取或回避某些網(wǎng)絡、鏈路或中繼的選取或回避某些網(wǎng)絡、鏈路或中繼路由能動態(tài)的或預定地選取，以便只使用物理上安全的路由能動態(tài)的或預定地選取，以便只使用物理上安全的子網(wǎng)絡、鏈路或中繼子網(wǎng)絡、鏈路或中繼在檢測到持續(xù)的操作攻擊時，端系統(tǒng)可希望指示網(wǎng)絡服在檢測到持續(xù)的操作攻擊時，端系統(tǒng)可希望指示網(wǎng)絡服務的提供者經(jīng)不同的路由建立連接務的提供者經(jīng)不同的路由建立連接帶有某些安全標記的數(shù)據(jù)可能被策略禁止通過某些子網(wǎng)帶有某些安全標記的數(shù)據(jù)可能被策略禁止通過某些子網(wǎng)絡、鏈路或中繼絡、鏈路或中繼 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（

37、可信網(wǎng)絡解釋（TNI） TNI第二部分的評估更多地表現(xiàn)出定性和主觀的特點，第二部分的評估更多地表現(xiàn)出定性和主觀的特點，同第一部分相比表現(xiàn)出更多的變化同第一部分相比表現(xiàn)出更多的變化 第二部分的評估是關于被評估系統(tǒng)能力和它們對特定應第二部分的評估是關于被評估系統(tǒng)能力和它們對特定應用環(huán)境的適合性的非常有價值的信息用環(huán)境的適合性的非常有價值的信息 第二部分中所列舉的安全服務是網(wǎng)絡環(huán)境下有代表性的第二部分中所列舉的安全服務是網(wǎng)絡環(huán)境下有代表性的安全服務安全服務 在不同的環(huán)境下，并非所有的服務都同等重要，同一服在不同的環(huán)境下，并非所有的服務都同等重要，同一服務在不同環(huán)境下的重要性也不一定一樣務在不同環(huán)境下

38、的重要性也不一定一樣網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） TNI的附錄的附錄A是第一部分的擴展，主要是關于網(wǎng)絡中組是第一部分的擴展，主要是關于網(wǎng)絡中組件及組件組合的評估件及組件組合的評估 附錄附錄A A把把TCSECTCSEC為為A1A1級系統(tǒng)定義的安全相關的策略分為級系統(tǒng)定義的安全相關的策略分為四個相對獨立的種類，他們分別支持強制訪問控制四個相對獨立的種類，他們分別支持強制訪問控制（MACMAC），自主訪問控制（），自主訪問控制（DACDAC），身份鑒別（），身份鑒別（IAIA），），審計（審計（AUDITAUDIT） 網(wǎng)絡與信息安全計算機信息系統(tǒng)

39、安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI）組成部分的類型最小級別最大級別MB1A1DC1C2+IC1C2AC2C2+DIC1C2+DAC2C2+IAC2C2+IADC2C2+MDB1A1MAB1A1MIB1A1MDAB1A1MDIB1A1MIAB1A1MIADB1A1網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 附錄附錄B給出了根據(jù)給出了根據(jù)TCSEC對網(wǎng)絡組件進行評估的基本對網(wǎng)絡組件進行評估的基本原理原理 附錄附錄C則給出了幾個則給出了幾個AIS互聯(lián)時的認證指南及互聯(lián)中可互聯(lián)時的認證指南及互聯(lián)中可能遇到的問題能遇到的問題網(wǎng)絡與信息安全計算機信息系

40、統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI）TNI中關于網(wǎng)絡有兩種概念：中關于網(wǎng)絡有兩種概念： 一是單一可信系統(tǒng)的概念（一是單一可信系統(tǒng)的概念（single trusted system）另一個是互聯(lián)信息系統(tǒng)的概念（另一個是互聯(lián)信息系統(tǒng)的概念（interconnected AIS）這兩個概念并不互相排斥這兩個概念并不互相排斥 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 在單一可信系統(tǒng)中，網(wǎng)絡具有包括各個安全相關部分在單一可信系統(tǒng)中，網(wǎng)絡具有包括各個安全相關部分的單一的單一TCB，稱為，稱為NTCB（network trusted computin

41、g base） NTCB作為一個整體滿足系統(tǒng)的安全體系設計作為一個整體滿足系統(tǒng)的安全體系設計網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI）在互聯(lián)信息系統(tǒng)中在互聯(lián)信息系統(tǒng)中各個子系統(tǒng)可能具有不同的安全策略各個子系統(tǒng)可能具有不同的安全策略具有不同的信任等級具有不同的信任等級并且可以分別進行評估并且可以分別進行評估各個子系統(tǒng)甚至可能是異構(gòu)的各個子系統(tǒng)甚至可能是異構(gòu)的網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹可信網(wǎng)絡解釋（可信網(wǎng)絡解釋（TNI） 安全策略的實施一般控制在各個子系統(tǒng)內(nèi)，在附錄安全策略的實施一般控制在各個子系統(tǒng)內(nèi)，在附錄C中中給出了各個子系統(tǒng)安全地互聯(lián)的

42、指南，在互聯(lián)時要控制給出了各個子系統(tǒng)安全地互聯(lián)的指南，在互聯(lián)時要控制局部風險的擴散，排除整個系統(tǒng)中的級聯(lián)問題（局部風險的擴散，排除整個系統(tǒng)中的級聯(lián)問題（cascade problem） 限制局部風險的擴散的方法：單向連接、傳輸?shù)氖止z限制局部風險的擴散的方法：單向連接、傳輸?shù)氖止z測、加密、隔離或其他措施。測、加密、隔離或其他措施。 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹標準介紹標準介紹 信息技術安全評估準則發(fā)展過程信息技術安全評估準則發(fā)展過程 可信計算機系統(tǒng)評估準則（可信計算機系統(tǒng)評估準則（TCSEC） 可信網(wǎng)絡解釋可信網(wǎng)絡解釋 （TNI） 通用準則通用準則CC 計算機信息系統(tǒng)安全保護

43、等級劃分準則計算機信息系統(tǒng)安全保護等級劃分準則 信息系統(tǒng)安全評估方法探討信息系統(tǒng)安全評估方法探討網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CCCC的范圍的范圍 :CC適用于硬件、固件和軟件實現(xiàn)的信息技術安全措施適用于硬件、固件和軟件實現(xiàn)的信息技術安全措施而某些內(nèi)容因涉及特殊專業(yè)技術或僅是信息技術安全而某些內(nèi)容因涉及特殊專業(yè)技術或僅是信息技術安全的外圍技術不在的外圍技術不在CC的范圍內(nèi)的范圍內(nèi) 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC評估上下文評估上下文 評估準則(通用準則）評估方法學評估方案最 終 評估 結(jié)果評估批準/證明證書表/(注冊)網(wǎng)絡與信息安全

44、計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC 使用通用評估方法學可以提供結(jié)果的可重復性和客觀使用通用評估方法學可以提供結(jié)果的可重復性和客觀性性 許多評估準則需要使用專家判斷和一定的背景知識許多評估準則需要使用專家判斷和一定的背景知識 為了增強評估結(jié)果的一致性，最終的評估結(jié)果應提交為了增強評估結(jié)果的一致性，最終的評估結(jié)果應提交給一個認證過程，該過程是一個針對評估結(jié)果的獨立給一個認證過程，該過程是一個針對評估結(jié)果的獨立的檢查過程，并生成最終的證書或正式批文的檢查過程，并生成最終的證書或正式批文網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CCCC包括三個部分包括三個部分: :

45、第一部分：簡介和一般模型第一部分：簡介和一般模型 第二部分：安全功能要求第二部分：安全功能要求 第三部分：安全保證要求第三部分：安全保證要求 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC安全保證要求部分提出了七個評估保證級別安全保證要求部分提出了七個評估保證級別（Evaluation Assurance Levels：EALs）分別是：分別是：EAL1EAL1：功能測試：功能測試EAL2EAL2：結(jié)構(gòu)測試：結(jié)構(gòu)測試EAL3EAL3：系統(tǒng)測試和檢查：系統(tǒng)測試和檢查EAL4EAL4：系統(tǒng)設計、測試和復查：系統(tǒng)設計、測試和復查EAL5EAL5：半形式化設計和測試：半形式化設計和測

46、試EAL6EAL6：半形式化驗證的設計和測試：半形式化驗證的設計和測試EAL7EAL7：形式化驗證的設計和測試：形式化驗證的設計和測試 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC 安全就是保護資產(chǎn)不受威脅，威脅可依據(jù)濫用被保護安全就是保護資產(chǎn)不受威脅，威脅可依據(jù)濫用被保護資產(chǎn)的可能性進行分類資產(chǎn)的可能性進行分類 所有的威脅類型都應該被考慮到所有的威脅類型都應該被考慮到 在安全領域內(nèi)，被高度重視的威脅是和人們的惡意攻在安全領域內(nèi)，被高度重視的威脅是和人們的惡意攻擊及其它人類活動相聯(lián)系的擊及其它人類活動相聯(lián)系的 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC

47、 安全安全概念概念和關和關系系網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC 安全性損壞一般包括但又不僅僅包括以下幾項安全性損壞一般包括但又不僅僅包括以下幾項資產(chǎn)破壞性地暴露于未授權(quán)的接收者（失去保密性）資產(chǎn)破壞性地暴露于未授權(quán)的接收者（失去保密性）資產(chǎn)由于未授權(quán)的更改而損壞（失去完整性）資產(chǎn)由于未授權(quán)的更改而損壞（失去完整性）或資產(chǎn)訪問權(quán)被未授權(quán)的喪失（失去可用性）或資產(chǎn)訪問權(quán)被未授權(quán)的喪失（失去可用性）網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC 資產(chǎn)所有者必須分析可能的威脅并確定哪些存在于他資產(chǎn)所有者必須分析可能的威脅并確定哪些存在于他們的環(huán)境們的環(huán)

48、境，其后果就是風險其后果就是風險 對策用以（直接或間接地）減少脆弱性并滿足資產(chǎn)所對策用以（直接或間接地）減少脆弱性并滿足資產(chǎn)所有者的安全策略有者的安全策略 在將資產(chǎn)暴露于特定威脅之前，所有者需要確信其對在將資產(chǎn)暴露于特定威脅之前，所有者需要確信其對策足以應付面臨的威脅策足以應付面臨的威脅 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC 評評估估概概念念 和和關關系系網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CCTOE評評估估過過程程網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC評估過程通過兩種途徑產(chǎn)生更好的安全產(chǎn)品評估過程通過兩種途徑產(chǎn)生更

49、好的安全產(chǎn)品評估過程能發(fā)現(xiàn)開發(fā)者可以糾正的評估過程能發(fā)現(xiàn)開發(fā)者可以糾正的TOE錯誤或弱點，從而在減錯誤或弱點，從而在減少將來操作中安全失效的可能性少將來操作中安全失效的可能性另一方面，為了通過嚴格的評估，開發(fā)者在另一方面，為了通過嚴格的評估，開發(fā)者在TOE設計和開發(fā)時設計和開發(fā)時也將更加細心也將更加細心因此，評估過程對最初需求、開發(fā)過程、最終產(chǎn)品以及操作環(huán)境因此，評估過程對最初需求、開發(fā)過程、最終產(chǎn)品以及操作環(huán)境將產(chǎn)生強烈的積極影響將產(chǎn)生強烈的積極影響 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC CC安全概念安全概念包括：包括：安全環(huán)境安全環(huán)境 安全目的安全目的 IT安全

50、要求安全要求 TOE概要規(guī)范概要規(guī)范 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC 安全環(huán)境包括所有相關的法規(guī)、組織性安全策略、習安全環(huán)境包括所有相關的法規(guī)、組織性安全策略、習慣、專門技術和知識慣、專門技術和知識 它定義了它定義了TOE使用的上下文，安全環(huán)境也包括環(huán)境里使用的上下文，安全環(huán)境也包括環(huán)境里出現(xiàn)的安全威脅出現(xiàn)的安全威脅 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC 安全環(huán)境的分析結(jié)果被用來闡明對抗已標識的威脅、安全環(huán)境的分析結(jié)果被用來闡明對抗已標識的威脅、說明組織性安全策略和假設的安全目的說明組織性安全策略和假設的安全目的 安全目的和已說明的

51、安全目的和已說明的TOE運行目標或產(chǎn)品目標以及有運行目標或產(chǎn)品目標以及有關的物理環(huán)境知識一致關的物理環(huán)境知識一致 確定安全目的的意圖是為了闡明所有的安全考慮并指確定安全目的的意圖是為了闡明所有的安全考慮并指出哪些安全方面的問題是直接由出哪些安全方面的問題是直接由TOE還是由它的環(huán)境還是由它的環(huán)境來處理來處理 環(huán)境安全目的將在環(huán)境安全目的將在IT領域內(nèi)用非技術上的或程序化的領域內(nèi)用非技術上的或程序化的手段來實現(xiàn)手段來實現(xiàn) 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC IT安全要求是將安全目的細化為一系列安全要求是將安全目的細化為一系列TOE及其環(huán)境及其環(huán)境的安全要求，一旦這些

52、要求得到滿足，就可以保證的安全要求，一旦這些要求得到滿足，就可以保證TOE達到它的安全目的達到它的安全目的 IT安全需求只涉及安全需求只涉及TOE安全目的和它的安全目的和它的IT環(huán)境環(huán)境 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC CC定義了一系列與已知有效的安全要求集合相結(jié)合的定義了一系列與已知有效的安全要求集合相結(jié)合的概念，該概念可被用來為預期的產(chǎn)品和系統(tǒng)建立安全概念，該概念可被用來為預期的產(chǎn)品和系統(tǒng)建立安全需求需求 CCCC安全要求以類安全要求以類族族組件這種層次方式組織，以幫組件這種層次方式組織，以幫助用戶定位特定的安全要求助用戶定位特定的安全要求 對功能和保證方

53、面的要求，對功能和保證方面的要求，CC使用相同的風格、組織使用相同的風格、組織方式和術語。方式和術語。 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CCCC中安全要求的描述方法中安全要求的描述方法：類：類：類用作最通用安全要求的組合，類的所有的成員類用作最通用安全要求的組合，類的所有的成員關注共同的安全焦點，但覆蓋不同的安全目的關注共同的安全焦點，但覆蓋不同的安全目的 族：類的成員被稱為族族：類的成員被稱為族。族是若干組安全要求的組合，族是若干組安全要求的組合，這些要求有共同的安全目的，但在側(cè)重點和嚴格性上這些要求有共同的安全目的，但在側(cè)重點和嚴格性上有所區(qū)別有所區(qū)別 組件：族

54、的成員被稱為組件。組件描述一組特定的安組件：族的成員被稱為組件。組件描述一組特定的安全要求集，它是全要求集，它是CC定義的結(jié)構(gòu)中所包含的最小的可選定義的結(jié)構(gòu)中所包含的最小的可選安全要求集安全要求集 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC 組件由單個元素組成，元素是安全需求最低層次的表組件由單個元素組成，元素是安全需求最低層次的表達，并且是能被評估驗證的不可分割的安全要求達，并且是能被評估驗證的不可分割的安全要求 族內(nèi)具有相同目標的組件可以以安全要求強度（或能族內(nèi)具有相同目標的組件可以以安全要求強度（或能力）逐步增加的順序排列，也可以部分地按相關非層力）逐步增加的順序排

55、列，也可以部分地按相關非層次集合的方式組織次集合的方式組織網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC 組件間可能存在依賴關系組件間可能存在依賴關系 依賴關系可以存在于功能組件之間、保證組件之間以依賴關系可以存在于功能組件之間、保證組件之間以及功能和保證組件之間及功能和保證組件之間 組件間依賴關系描述是組件間依賴關系描述是CC組件定義的一部分組件定義的一部分 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC 可以通過使用組件允許的操作，對組件進行裁剪可以通過使用組件允許的操作，對組件進行裁剪 每一個每一個CC組件標識并定義組件允許的組件標識并定義組件允許的“

56、賦值賦值”和和“選選擇擇”操作、在哪些情況下可對組件使用這些操作，以及操作、在哪些情況下可對組件使用這些操作，以及使用這些操作的后果使用這些操作的后果 任何一個組件均允許任何一個組件均允許“反復反復”和和“細化細化”操作操作 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC這四個操作如下所述：這四個操作如下所述：反復：在不同操作時，允許組件多次使用反復：在不同操作時，允許組件多次使用賦值：當組件被應用時，允許規(guī)定所賦予的參數(shù)賦值：當組件被應用時，允許規(guī)定所賦予的參數(shù)選擇：允許從組件給出的列表中選定若干項選擇：允許從組件給出的列表中選定若干項細化：當組件被應用時，允許對組件增加細

57、節(jié)細化：當組件被應用時，允許對組件增加細節(jié) 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC 要要求求的的組組織織和和結(jié)結(jié)構(gòu)構(gòu)網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CCCC中安全需求的描述方法中安全需求的描述方法:包包: :組件的中間組合被稱為包組件的中間組合被稱為包 保護輪廓保護輪廓( (PP): ): PP是關于一系列滿足一個安全目標集是關于一系列滿足一個安全目標集的的TOETOE的、與實現(xiàn)無關的描述的、與實現(xiàn)無關的描述 安全目標安全目標( (ST) )： ST是針對特定是針對特定TOE安全要求的描述，安全要求的描述，通過評估可以證明這些安全要求對滿足

58、指定目的是有通過評估可以證明這些安全要求對滿足指定目的是有用和有效的用和有效的網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC 包允許對功能或保證需求集合的描述，這個集合能夠包允許對功能或保證需求集合的描述，這個集合能夠滿足一個安全目標的可標識子集滿足一個安全目標的可標識子集 包可重復使用，可用來定義那些公認有用的、能夠有包可重復使用，可用來定義那些公認有用的、能夠有效滿足特定安全目標的要求效滿足特定安全目標的要求 包可用在構(gòu)造更大的包、包可用在構(gòu)造更大的包、PP和和ST中中 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC PP包含一套來自包含一套來自CC（或

59、明確闡述）的安全要求，它應（或明確闡述）的安全要求，它應包括一個評估保證級別（包括一個評估保證級別（EAL） PP可反復使用，還可用來定義那些公認有用的、能夠可反復使用，還可用來定義那些公認有用的、能夠有效滿足特定安全目標的有效滿足特定安全目標的TOE要求要求 PP包括安全目的和安全要求的基本原理包括安全目的和安全要求的基本原理 PP的開發(fā)者可以是用戶團體、的開發(fā)者可以是用戶團體、IT產(chǎn)品開發(fā)者或其它對產(chǎn)品開發(fā)者或其它對定義這樣一系列通用要求有興趣的團體定義這樣一系列通用要求有興趣的團體 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC 保護輪保護輪廓廓PP描述描述結(jié)構(gòu)結(jié)構(gòu)網(wǎng)絡

60、與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC 安全目標安全目標( (ST) )包括一系列安全要求，這些要求可以引包括一系列安全要求，這些要求可以引用用PP，也可以直接引用，也可以直接引用CC中的功能或保證組件，或明中的功能或保證組件，或明確說明確說明 一個一個ST包含包含TOE的概要規(guī)范，安全要求和目的，以及的概要規(guī)范，安全要求和目的，以及它們的基本原理它們的基本原理 ST是所有團體間就是所有團體間就TOE應提供什么樣的安全性達成一應提供什么樣的安全性達成一致的基礎致的基礎 網(wǎng)絡與信息安全計算機信息系統(tǒng)安全評估標準介紹通用準則通用準則CC 安全安全目目標標描描述述結(jié)結(jié)構(gòu)構(gòu)網(wǎng)絡與