信息安全標(biāo)準(zhǔn)概述

第14講信息安全標(biāo)準(zhǔn)（二）北京郵電大學(xué)計(jì)算機(jī)學(xué)院副教授徐國(guó)愛(ài)信息安全評(píng)估標(biāo)準(zhǔn)第一頁(yè)，共九十六頁(yè)。我國(guó)信息安全測(cè)評(píng)認(rèn)證概述TCSECCCGB17859本講提綱第二頁(yè)，共九十六頁(yè)。測(cè)評(píng)認(rèn)證相關(guān)概念信息安全測(cè)評(píng)依據(jù)標(biāo)準(zhǔn)對(duì)信息技術(shù)產(chǎn)品、系統(tǒng)、服務(wù)提供商和人員進(jìn)行測(cè)試與評(píng)估，檢驗(yàn)其是否符合測(cè)評(píng)的標(biāo)準(zhǔn)信息安全測(cè)評(píng)是檢驗(yàn)/測(cè)試活動(dòng)信息安全認(rèn)證對(duì)信息技術(shù)領(lǐng)域內(nèi)產(chǎn)品、系統(tǒng)、服務(wù)提供商和人員的資質(zhì)、能力符合規(guī)范及安全標(biāo)準(zhǔn)要求的一種確認(rèn)活動(dòng)，即檢驗(yàn)評(píng)估過(guò)程是否正確，并保證評(píng)估結(jié)果的正確性和權(quán)威性。信息安全認(rèn)證是質(zhì)量認(rèn)證活動(dòng)，更確切地說(shuō)是產(chǎn)品認(rèn)證活動(dòng)。兩者關(guān)系信息安全測(cè)評(píng)為信息安全認(rèn)證提供必要的技術(shù)依據(jù)。第三頁(yè)，共九十六頁(yè)。產(chǎn)品認(rèn)證訪(fǎng)問(wèn)控制產(chǎn)品（防火墻/路由器/代理服務(wù)器/網(wǎng)關(guān)）鑒別產(chǎn)品安全審計(jì)產(chǎn)品安全管理產(chǎn)品數(shù)據(jù)完整性產(chǎn)品數(shù)字簽名產(chǎn)品抗抵賴(lài)產(chǎn)品商用密碼產(chǎn)品（須由國(guó)家商用密碼管理辦公室授權(quán)）防信息干擾、泄漏產(chǎn)品操作系統(tǒng)安全類(lèi)產(chǎn)品數(shù)據(jù)庫(kù)安全類(lèi)產(chǎn)品……第四頁(yè)，共九十六頁(yè)。系統(tǒng)安全測(cè)評(píng)信息系統(tǒng)的安全測(cè)評(píng)，是由具有檢驗(yàn)技術(shù)能力和政府授權(quán)資格的權(quán)威機(jī)構(gòu)，依據(jù)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)或相關(guān)技術(shù)規(guī)范，按照嚴(yán)格程序?qū)π畔⑾到y(tǒng)的安全保障能力進(jìn)行的科學(xué)公正的綜合測(cè)試評(píng)估活動(dòng)。系統(tǒng)安全測(cè)評(píng)旨在為以前沒(méi)有安全保障或安全保障體系不完善的系統(tǒng)（網(wǎng)絡(luò)）提供改進(jìn)服務(wù)，從而降低系統(tǒng)的安全風(fēng)險(xiǎn)第五頁(yè)，共九十六頁(yè)。組織認(rèn)證：對(duì)提供信息安全服務(wù)的組織和單位資質(zhì)進(jìn)行評(píng)估和認(rèn)證，即服務(wù)資質(zhì)認(rèn)證

個(gè)人認(rèn)證：對(duì)信息安全專(zhuān)業(yè)人員的資質(zhì)進(jìn)行評(píng)估和認(rèn)證，即人員資質(zhì)認(rèn)證第六頁(yè)，共九十六頁(yè)。我國(guó)信息安全測(cè)評(píng)認(rèn)證體系組織結(jié)構(gòu)于1997年啟動(dòng)，到1998年底，正式建立我國(guó)的信息安全測(cè)評(píng)認(rèn)證體系，由三部分組成國(guó)家信息安全測(cè)評(píng)認(rèn)證管理委員會(huì)中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心授權(quán)測(cè)評(píng)機(jī)構(gòu)第七頁(yè)，共九十六頁(yè)。國(guó)家信息安全測(cè)評(píng)認(rèn)證管理委員會(huì)國(guó)家信息安全測(cè)評(píng)認(rèn)證管理委員會(huì)是認(rèn)證中心的監(jiān)管機(jī)構(gòu)。組成：由與信息安全相關(guān)的管理部門(mén)、使用部門(mén)、學(xué)術(shù)界和生產(chǎn)廠(chǎng)商四方面的代表組成主要職責(zé)：確定測(cè)評(píng)認(rèn)證中心的發(fā)展策略，推動(dòng)中心檢測(cè)認(rèn)證的標(biāo)準(zhǔn)研究和準(zhǔn)則使用，對(duì)測(cè)評(píng)認(rèn)證工作的公正性、科學(xué)性進(jìn)行監(jiān)督。管理委員會(huì)下設(shè)專(zhuān)家委員會(huì)和投訴、申訴委員會(huì)。

第八頁(yè)，共九十六頁(yè)。中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心（CNITSEC）：是經(jīng)中央批準(zhǔn)的、由國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局授權(quán)成立的、代表國(guó)家實(shí)施信息安全測(cè)評(píng)認(rèn)證的職能機(jī)構(gòu)。對(duì)國(guó)內(nèi)外信息安全設(shè)備和信息技術(shù)產(chǎn)品進(jìn)行安全性檢驗(yàn)與測(cè)試；對(duì)國(guó)內(nèi)信息工程和信息系統(tǒng)進(jìn)行安全性評(píng)估與安全質(zhì)量體系認(rèn)證；

對(duì)在中國(guó)境內(nèi)銷(xiāo)售、使用的信息技術(shù)產(chǎn)品和安全設(shè)備進(jìn)行安全性認(rèn)證；提供與信息安全有關(guān)的信息服務(wù)、技術(shù)服務(wù)及人員培訓(xùn)；與國(guó)際上相應(yīng)的測(cè)評(píng)認(rèn)證機(jī)構(gòu)聯(lián)系與交流。第九頁(yè)，共九十六頁(yè)。國(guó)家認(rèn)可委（CNAB）認(rèn)可國(guó)家信息安全測(cè)評(píng)認(rèn)證管理委員會(huì)中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心授權(quán)測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)認(rèn)證申請(qǐng)者實(shí)驗(yàn)室認(rèn)可委（CNAL）認(rèn)可授權(quán)監(jiān)督測(cè)評(píng)報(bào)告認(rèn)證申請(qǐng)測(cè)評(píng)認(rèn)證報(bào)告測(cè)評(píng)申請(qǐng)信息安全測(cè)評(píng)認(rèn)證過(guò)程圖示第十頁(yè)，共九十六頁(yè)。相關(guān)測(cè)評(píng)標(biāo)準(zhǔn)GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》GB/T18336-2001《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》GB/T19716-2005《信息技術(shù)信息安全管理實(shí)用規(guī)則》GB/T20271-2006《信息系統(tǒng)通用安全技術(shù)要求》GB/T20269-2006《信息系統(tǒng)安全管理要求》GB/T20282-2006《信息系統(tǒng)安全工程管理要求》DB31/T272-2002《計(jì)算機(jī)信息系統(tǒng)安全測(cè)評(píng)通用技術(shù)規(guī)范》第十一頁(yè)，共九十六頁(yè)。測(cè)評(píng)認(rèn)證相關(guān)技術(shù)滲透性測(cè)試：對(duì)測(cè)試目標(biāo)進(jìn)行脆弱性分析，探知產(chǎn)品或系統(tǒng)安全脆弱性的存在，其主要目的是確定測(cè)試目標(biāo)能夠抵抗具有不同等級(jí)攻擊潛能的攻擊者發(fā)起的滲透性攻擊。因此，滲透性測(cè)試就是在測(cè)試目標(biāo)預(yù)期使用環(huán)境下進(jìn)行的測(cè)試，以確定測(cè)試目標(biāo)中潛在的脆弱性的可利用程度。系統(tǒng)漏洞掃描：主要是利用掃描工具對(duì)系統(tǒng)進(jìn)行自動(dòng)檢查，根據(jù)漏洞庫(kù)的描述對(duì)系統(tǒng)進(jìn)行模擬攻擊測(cè)試，如果系統(tǒng)被成功入侵，說(shuō)明存在漏洞。主要分為網(wǎng)絡(luò)漏洞掃描和主機(jī)漏洞掃描等方式。第十二頁(yè)，共九十六頁(yè)。我國(guó)信息安全測(cè)評(píng)認(rèn)證概述信息安全評(píng)估標(biāo)準(zhǔn)的發(fā)展本講提綱第十三頁(yè)，共九十六頁(yè)。信息安全評(píng)估標(biāo)準(zhǔn)的發(fā)展1985年美國(guó)可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）1993年加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則（CTCPEC）1993年美國(guó)聯(lián)邦政府評(píng)估準(zhǔn)則（FC）1991年歐洲信息技術(shù)安全評(píng)估準(zhǔn)則（ITSEC）國(guó)際通用準(zhǔn)則1996年，CC

1.01998年，CC2.01999年，CC2.11999年CC成為國(guó)際標(biāo)準(zhǔn)，2005年更新（ISO/IEC15408）2001年中國(guó)國(guó)家標(biāo)準(zhǔn)GB/T183362008年更新（等同采用CC）1999年GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則第十四頁(yè)，共九十六頁(yè)?？尚庞?jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）簡(jiǎn)介信息安全技術(shù)的里程碑1985年作為美國(guó)國(guó)防部標(biāo)準(zhǔn)（DoD）發(fā)布（DoD5200.28-STD）主要為軍用標(biāo)準(zhǔn)，延用為民用主要針對(duì)主機(jī)型分時(shí)操作系統(tǒng)，主要關(guān)注保密性安全級(jí)別主要按功能分類(lèi)安全級(jí)別從高到低分別為A、B、C、D四級(jí)，級(jí)下再分小級(jí)，包含D、C1、C2、B1、B2、B3、A1這七個(gè)級(jí)別。后發(fā)展為彩虹系列彩虹系列桔皮書(shū)：可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則黃皮書(shū)：桔皮書(shū)的應(yīng)用指南紅皮書(shū)：可信網(wǎng)絡(luò)解釋紫皮書(shū)：可信數(shù)據(jù)庫(kù)解釋……第十五頁(yè)，共九十六頁(yè)。TCSEC安全級(jí)別A1：驗(yàn)證設(shè)計(jì)保護(hù)VerifiedDesignProtectionB3：安全區(qū)域保護(hù)SecurityDomainProtectionB2：結(jié)構(gòu)化保護(hù)StructuredProtectionB1：標(biāo)記安全保護(hù)LabeledSecurityProtectionC2：受控訪(fǎng)問(wèn)保護(hù)ControlledAccessProtectionC1：自主安全保護(hù)DiscretionarySecurityProtectionD：低級(jí)保護(hù)MinimalProtection高保證系統(tǒng)低保證系統(tǒng)等級(jí)分類(lèi)保護(hù)等級(jí)D類(lèi)：最低保護(hù)等級(jí)D級(jí)：無(wú)保護(hù)級(jí)C類(lèi)：自主保護(hù)級(jí)C1級(jí)：自主安全保護(hù)級(jí)C2級(jí)：受控訪(fǎng)問(wèn)保護(hù)級(jí)B類(lèi)：強(qiáng)制保護(hù)級(jí)B1級(jí)：標(biāo)記安全保護(hù)級(jí)B2級(jí)：機(jī)構(gòu)化保護(hù)級(jí)B3級(jí)：安全區(qū)域保護(hù)級(jí)A類(lèi)：驗(yàn)證保護(hù)級(jí)A1級(jí)：驗(yàn)證設(shè)計(jì)級(jí)第十六頁(yè)，共九十六頁(yè)。

D類(lèi)保護(hù)等級(jí)D類(lèi)是最低保護(hù)等級(jí)，即無(wú)保護(hù)級(jí)為那些經(jīng)過(guò)評(píng)估，但不滿(mǎn)足較高評(píng)估等級(jí)要求的系統(tǒng)設(shè)計(jì)的，只具有一個(gè)級(jí)別該類(lèi)是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不能在多用戶(hù)環(huán)境下處理敏感信息第十七頁(yè)，共九十六頁(yè)。C類(lèi)保護(hù)等級(jí)C類(lèi)為自主保護(hù)級(jí)具有一定的保護(hù)能力，采用的措施是自主訪(fǎng)問(wèn)控制和審計(jì)跟蹤一般只適用于具有一定等級(jí)的多用戶(hù)環(huán)境具有對(duì)主體責(zé)任及其動(dòng)作審計(jì)的能力第十八頁(yè)，共九十六頁(yè)。C類(lèi)分為兩個(gè)級(jí)別自主安全保護(hù)級(jí)（C1級(jí))它具有多種形式的控制能力，對(duì)用戶(hù)實(shí)施訪(fǎng)問(wèn)控制為用戶(hù)提供可行的手段，保護(hù)用戶(hù)和用戶(hù)組信息，避免其他用戶(hù)對(duì)數(shù)據(jù)的非法讀寫(xiě)與破壞C1級(jí)的系統(tǒng)適用于處理同一敏感級(jí)別數(shù)據(jù)的多用戶(hù)環(huán)境C1級(jí)TCB通過(guò)隔離用戶(hù)與數(shù)據(jù)，使用戶(hù)具備自主安全保護(hù)的能力控制訪(fǎng)問(wèn)保護(hù)級(jí)（C2級(jí))C2級(jí)計(jì)算機(jī)系統(tǒng)比C1級(jí)具有更細(xì)粒度的自主訪(fǎng)問(wèn)控制C2級(jí)通過(guò)注冊(cè)過(guò)程控制、審計(jì)安全相關(guān)事件以及資源隔離，使單個(gè)用戶(hù)為其行為負(fù)責(zé)第十九頁(yè)，共九十六頁(yè)。B類(lèi)保護(hù)等級(jí)B類(lèi)為強(qiáng)制保護(hù)級(jí)主要要求是TCB應(yīng)維護(hù)完整的安全標(biāo)記，并在此基礎(chǔ)上執(zhí)行一系列強(qiáng)制訪(fǎng)問(wèn)控制規(guī)則B類(lèi)系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標(biāo)記系統(tǒng)的開(kāi)發(fā)者還應(yīng)為T(mén)CB提供安全策略模型以及TCB規(guī)約應(yīng)提供證據(jù)證明訪(fǎng)問(wèn)監(jiān)控器得到了正確的實(shí)施

第二十頁(yè)，共九十六頁(yè)。B類(lèi)分為三個(gè)類(lèi)別標(biāo)記安全保護(hù)級(jí)（B1級(jí)）B1級(jí)系統(tǒng)要求具有C2級(jí)系統(tǒng)的所有特性在此基礎(chǔ)上，還應(yīng)提供安全策略模型的非形式化描述、數(shù)據(jù)標(biāo)記以及命名主體和客體的強(qiáng)制訪(fǎng)問(wèn)控制并消除測(cè)試中發(fā)現(xiàn)的所有缺陷第二十一頁(yè)，共九十六頁(yè)。結(jié)構(gòu)化保護(hù)級(jí)（B2級(jí)）在B2級(jí)系統(tǒng)中，TCB建立于一個(gè)明確定義并文檔化形式化安全策略模型之上要求將B1級(jí)系統(tǒng)中建立的自主和強(qiáng)制訪(fǎng)問(wèn)控制擴(kuò)展到所有的主體與客體在此基礎(chǔ)上，應(yīng)對(duì)隱蔽信道進(jìn)行分析TCB應(yīng)結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素TCB接口必須明確定義其設(shè)計(jì)與實(shí)現(xiàn)應(yīng)能夠經(jīng)受更充分的測(cè)試和更完善的審查鑒別機(jī)制應(yīng)得到加強(qiáng)，提供可信設(shè)施管理以支持系統(tǒng)管理員和操作員的職能提供嚴(yán)格的配置管理控制B2級(jí)系統(tǒng)應(yīng)具備相當(dāng)?shù)目節(jié)B透能力第二十二頁(yè)，共九十六頁(yè)。安全區(qū)域保護(hù)級(jí)（B3級(jí)）在B3級(jí)系統(tǒng)中，TCB必須滿(mǎn)足訪(fǎng)問(wèn)監(jiān)控器需求訪(fǎng)問(wèn)監(jiān)控器對(duì)所有主體對(duì)客體的訪(fǎng)問(wèn)進(jìn)行仲裁訪(fǎng)問(wèn)監(jiān)控器本身是抗篡改的訪(fǎng)問(wèn)監(jiān)控器足夠小訪(fǎng)問(wèn)監(jiān)控器能夠分析和測(cè)試B3級(jí)系統(tǒng)支持:安全管理員職能擴(kuò)充審計(jì)機(jī)制當(dāng)發(fā)生與安全相關(guān)的事件時(shí)，發(fā)出信號(hào)提供系統(tǒng)恢復(fù)機(jī)制系統(tǒng)具有很高的抗?jié)B透能力第二十三頁(yè)，共九十六頁(yè)。A類(lèi)保護(hù)等級(jí)A類(lèi)為驗(yàn)證保護(hù)級(jí)A類(lèi)的特點(diǎn)是使用形式化的安全驗(yàn)證方法，保證系統(tǒng)的自主和強(qiáng)制安全控制措施能夠有效地保護(hù)系統(tǒng)中存儲(chǔ)和處理的秘密信息或其他敏感信息為證明TCB滿(mǎn)足設(shè)計(jì)、開(kāi)發(fā)及實(shí)現(xiàn)等各個(gè)方面的安全要求，系統(tǒng)應(yīng)提供豐富的文檔信息第二十四頁(yè)，共九十六頁(yè)。驗(yàn)證設(shè)計(jì)級(jí)（A1級(jí)）A1級(jí)系統(tǒng)在功能上和B3級(jí)系統(tǒng)是相同的，沒(méi)有增加體系結(jié)構(gòu)特性和策略要求最顯著的特點(diǎn)是，要求用形式化設(shè)計(jì)規(guī)范和驗(yàn)證方法來(lái)對(duì)系統(tǒng)進(jìn)行分析，確保TCB按設(shè)計(jì)要求實(shí)現(xiàn)從本質(zhì)上說(shuō)，這種保證是發(fā)展的，它從一個(gè)安全策略的形式化模型和設(shè)計(jì)的形式化高層規(guī)約（FTLS）開(kāi)始第二十五頁(yè)，共九十六頁(yè)。針對(duì)A1級(jí)系統(tǒng)設(shè)計(jì)驗(yàn)證，有5種獨(dú)立于特定規(guī)約語(yǔ)言或驗(yàn)證方法的重要準(zhǔn)則：安全策略的形式化模型必須得到明確標(biāo)識(shí)并文檔化，提供該模型與其公理一致以及能夠?qū)Π踩呗蕴峁┳銐蛑С值臄?shù)學(xué)證明應(yīng)提供形式化的高層規(guī)約，包括TCB功能的抽象定義、用于隔離執(zhí)行域的硬件/固件機(jī)制的抽象定義應(yīng)通過(guò)形式化的技術(shù)和非形式化的技術(shù)證明TCB的形式化高層規(guī)約（FTLS）與模型是一致的通過(guò)非形式化的方法證明TCB的實(shí)現(xiàn)與FTLS是一致的。應(yīng)證明FTLS的元素與TCB的元素是一致的，F(xiàn)TLS應(yīng)表達(dá)用于滿(mǎn)足安全策略的一致的保護(hù)機(jī)制，這些保護(hù)機(jī)制的元素應(yīng)映射到TCB的要素應(yīng)使用形式化的方法標(biāo)識(shí)并分析隱蔽信道，非形式化的方法可以用來(lái)標(biāo)識(shí)時(shí)間隱蔽信道，必須對(duì)系統(tǒng)中存在的隱蔽信道進(jìn)行解釋第二十六頁(yè)，共九十六頁(yè)。A1級(jí)系統(tǒng)要求A1級(jí)系統(tǒng)要求System更嚴(yán)格的配置管理建立系統(tǒng)安全分發(fā)的程序支持系統(tǒng)安全管理員的職能第二十七頁(yè)，共九十六頁(yè)。TCSEC缺陷集中考慮數(shù)據(jù)保密性，而忽略了數(shù)據(jù)完整性、系統(tǒng)可用性等；將安全功能和安全保證混在一起；安全功能規(guī)定得過(guò)為嚴(yán)格，不便于實(shí)際開(kāi)發(fā)和測(cè)評(píng)。第二十八頁(yè)，共九十六頁(yè)。信息技術(shù)安全評(píng)估準(zhǔn)則（ITSEC）1991年由歐盟四國(guó)（法國(guó)、德國(guó)、芬蘭、英國(guó)）聯(lián)合發(fā)布將安全概念分為功能和功能評(píng)估兩個(gè)部分功能準(zhǔn)則在測(cè)定上分10級(jí)：評(píng)估準(zhǔn)則分為7級(jí)：1-5級(jí)對(duì)應(yīng)于TCSEC的C1到B36-10級(jí)添加了以下概念：F-IN：數(shù)據(jù)和程序的完整性F-AV：系統(tǒng)可用性F-DI：數(shù)據(jù)通信完整性F-DC：數(shù)據(jù)通信保密性F-DX：包括保密性和完整性的網(wǎng)絡(luò)安全E0：不能充分滿(mǎn)足保證E1：功能測(cè)試E2：數(shù)字化測(cè)試E3：數(shù)字化測(cè)試分析E4：半形式化分析E5：形式化分析E6：形式化驗(yàn)證第二十九頁(yè)，共九十六頁(yè)。ITSEC與TCSEC的不同安全被定義為保密性、完整性、可用性功能和保證分開(kāi)對(duì)產(chǎn)品和系統(tǒng)的評(píng)估都適用，提出評(píng)估對(duì)象（TOE）的概念產(chǎn)品：能夠被集成在不同系統(tǒng)中的軟件或硬件包；系統(tǒng)：具有一定用途、處于給定操作環(huán)境的特殊安全裝置。第三十頁(yè)，共九十六頁(yè)。可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則（CTCPEC）1993年加拿大發(fā)布，轉(zhuǎn)為政府需求而設(shè)計(jì)與ITSEC類(lèi)似，將安全分為功能性需求和保證性需要兩部分。功能性要求分為四個(gè)大類(lèi)：每種安全需求又可以分成很多小類(lèi)，來(lái)表示安全性上的差別，分級(jí)條數(shù)為0～5級(jí)。機(jī)密性完整性可用性可控性第三十一頁(yè)，共九十六頁(yè)。美國(guó)聯(lián)邦準(zhǔn)則（FC）1993年公布，對(duì)TCSEC的升級(jí)FC引入了“保護(hù)輪廓”（PP）的重要概念每個(gè)輪廓都包括功能、開(kāi)發(fā)保證和評(píng)價(jià)三部分分級(jí)方式與TCSEC不同，吸取了ITSEC和CTCPEC中的優(yōu)點(diǎn)供美國(guó)政府用、商用和民用第三十二頁(yè)，共九十六頁(yè)。通用準(zhǔn)則（CC）CC是國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的結(jié)果，是目前最全面的評(píng)價(jià)準(zhǔn)則；1996年6月，CC1.0版發(fā)布；1998年5月，CC2.0版發(fā)布；1999年10月CCv2.1版發(fā)布，并且成為ISO標(biāo)準(zhǔn)ISO/IEC15408；主要思想和框架都取自ITSEC和FC；充分突出了“保護(hù)輪廓”概念，將評(píng)估過(guò)程分為“功能”和“保證”兩部分。第三十三頁(yè)，共九十六頁(yè)。CC包含三個(gè)部分：第一部分：簡(jiǎn)介和一般模型。介紹CC中的有關(guān)術(shù)語(yǔ)、基本概念和一般模型以及評(píng)估有關(guān)的一些框架。第二部分：安全功能要求。按“類(lèi)-族-組件”方式提出了安全功能要求。第三部分：安全保證要求。定義了評(píng)估保證級(jí)別，介紹了PP和ST的評(píng)估，并按“類(lèi)-族-組件”方式提出了安全保證要求。第三十四頁(yè)，共九十六頁(yè)。CC的價(jià)值通過(guò)評(píng)估有助于增強(qiáng)用戶(hù)對(duì)于IT產(chǎn)品的安全信心促進(jìn)IT產(chǎn)品和系統(tǒng)的安全性消除重復(fù)的評(píng)估第三十五頁(yè)，共九十六頁(yè)。CC關(guān)鍵概念評(píng)估對(duì)象保護(hù)輪廓安全目標(biāo)組件包評(píng)估對(duì)象TOE：用于安全性評(píng)估的信息技術(shù)產(chǎn)品，系統(tǒng)或子系統(tǒng)，如防火墻產(chǎn)品、計(jì)算機(jī)網(wǎng)絡(luò)、密碼模塊等，以及相關(guān)的管理員指南、用戶(hù)指南、設(shè)計(jì)方案等文檔。保護(hù)輪廓PP：PP是滿(mǎn)足特定用戶(hù)需求、與一類(lèi)TOE實(shí)現(xiàn)無(wú)關(guān)的一組安全要求。其包括的主要內(nèi)容有：需要保護(hù)的對(duì)象、確定安全環(huán)境、TOE的安全目的、信息技術(shù)安全要求、基本原理、附加的補(bǔ)充說(shuō)明信息等。安全目標(biāo)ST：ST是作為指定的TOE評(píng)估基礎(chǔ)的一組安全要求和規(guī)范。ST是開(kāi)發(fā)者、評(píng)估者、用戶(hù)在TOE安全性和評(píng)估范圍之間達(dá)成一致的基礎(chǔ)。組件component描述一組特定的安全要求，可供PP,ST或包選取的最小安全要求集合，即將傳統(tǒng)的安全要求分成不能再分的構(gòu)件塊.組件依據(jù)某一特定關(guān)系組合在一起就構(gòu)成包.構(gòu)建包的目的是定義那些公認(rèn)有用的,對(duì)滿(mǎn)足某一特定安全目的有效的安全要求.包第三十六頁(yè)，共九十六頁(yè)。CC功能要求和保證要求的類(lèi)-族-組件結(jié)構(gòu)類(lèi)：用于安全要求的最高層次歸檔。一個(gè)類(lèi)中所有成員關(guān)注同一個(gè)安全焦點(diǎn)，但覆蓋的安全目的范圍不同。族：類(lèi)的成員稱(chēng)為族，是若干組安全要求的組合，這些要求共享同樣的安全目的，但在側(cè)重點(diǎn)和嚴(yán)格性上有所區(qū)別。組件：族的成員稱(chēng)為組件。一個(gè)組件描述一組特定的安全要求，是CC結(jié)構(gòu)中安全要求的最小可選集合。第三十七頁(yè)，共九十六頁(yè)。GB/T18336按“類(lèi)-族-組件”層次結(jié)構(gòu)定義的安全功能要求和安全保證要求安全功能要求：11個(gè)功能類(lèi)-66個(gè)族-135個(gè)組件安全保證要求：PP和ST評(píng)估2個(gè)保證類(lèi)，7個(gè)評(píng)估保證類(lèi)和1個(gè)保證維護(hù)類(lèi)安全審計(jì)通信密碼支持用戶(hù)數(shù)據(jù)保護(hù)資源利用TOE訪(fǎng)問(wèn)可信路徑/信道標(biāo)識(shí)和鑒別安全管理私密性TSF保護(hù)配置管理交付和運(yùn)行開(kāi)發(fā)指導(dǎo)性文檔生命周期支持測(cè)試脆弱性評(píng)定保護(hù)輪廓評(píng)估安全目標(biāo)評(píng)估保證維護(hù)第三十八頁(yè)，共九十六頁(yè)。安全功能要求類(lèi)FAU類(lèi)：安全審計(jì)安全審計(jì)包括識(shí)別,記錄,存儲(chǔ)和分析與安全行為有關(guān)的信息審計(jì)記錄的檢查結(jié)果用來(lái)判斷發(fā)生了哪些安全行為及哪個(gè)用戶(hù)要對(duì)該行為負(fù)責(zé)該類(lèi)由定義如何選擇審計(jì)事件、產(chǎn)生審計(jì)數(shù)據(jù)、查閱和分析審計(jì)結(jié)果、對(duì)審計(jì)到的安全事件自動(dòng)響應(yīng)及存儲(chǔ)和保護(hù)審計(jì)結(jié)果等方面要求的子類(lèi)組成。第三十九頁(yè)，共九十六頁(yè)。FCO類(lèi)：通信由兩個(gè)子類(lèi)組成，分別專(zhuān)門(mén)用以確保在數(shù)據(jù)交換中參與方的身份，包括發(fā)起者身份和接收者。既確保發(fā)起者不能否認(rèn)發(fā)送過(guò)信息，又確保收信者不能否認(rèn)收到過(guò)信息。第四十頁(yè)，共九十六頁(yè)。FCS類(lèi):密碼支持在產(chǎn)品或系統(tǒng)含有密碼功能時(shí)適用在標(biāo)識(shí)與鑒別,抗抵賴(lài),可信路徑,可信信道和數(shù)據(jù)分離等方面將涉及密碼功能,這些功能可用硬件,固件或軟件來(lái)實(shí)現(xiàn).組成該類(lèi)的兩個(gè)子類(lèi)包含密鑰的使用和管理方面的要求.第四十一頁(yè)，共九十六頁(yè)。FDP類(lèi):用戶(hù)數(shù)據(jù)保護(hù)是一個(gè)較大的類(lèi),規(guī)定了與保護(hù)用戶(hù)數(shù)據(jù)相關(guān)的所有安全功能要求和策略所包含的13個(gè)子類(lèi)涉及到產(chǎn)品或系統(tǒng)內(nèi)用戶(hù)數(shù)據(jù)的輸入,輸出和存儲(chǔ)以及與之相關(guān)的一些安全屬性.第四十二頁(yè)，共九十六頁(yè)。FIA類(lèi):標(biāo)識(shí)和鑒別授權(quán)用戶(hù)的無(wú)歧異標(biāo)識(shí)以及安全屬性與用戶(hù),主體的正確關(guān)聯(lián)是實(shí)施預(yù)定安全策略的關(guān)鍵標(biāo)識(shí)和鑒別類(lèi)提出了用戶(hù)身份的確定和驗(yàn)證,確定它們與TOE交互的授權(quán)以及每個(gè)授權(quán)用戶(hù)安全屬性的正確關(guān)聯(lián)等三方面的安全要求.對(duì)用戶(hù)的正確標(biāo)識(shí)和鑒別,是其他類(lèi)如用戶(hù)數(shù)據(jù)保護(hù),安全審計(jì)等有效實(shí)施的基礎(chǔ).第四十三頁(yè)，共九十六頁(yè)。FMT類(lèi):安全管理規(guī)定了安全屬性,數(shù)據(jù)和功能三方面的管理,并定義了不同的管理角色及其相互作用,如權(quán)利分割原則,該類(lèi)覆蓋了所有其他功能類(lèi)的管理活動(dòng).第四十四頁(yè)，共九十六頁(yè)。FPR類(lèi):私密性要求為用戶(hù)提供其身份不被其他用戶(hù)發(fā)現(xiàn)或?yàn)E用的保護(hù)。該類(lèi)有匿名，假名，不可關(guān)聯(lián)性，不可觀察性4個(gè)子類(lèi)組成。第四十五頁(yè)，共九十六頁(yè)。FRT類(lèi):TSF保護(hù)TSF指TOE安全功能，側(cè)重于保護(hù)TSF數(shù)據(jù)，而不是用戶(hù)數(shù)據(jù)該類(lèi)包括16個(gè)子類(lèi)，這些子類(lèi)與TSF機(jī)制和數(shù)據(jù)的完整性和管理有關(guān)，對(duì)保護(hù)TOE安全策略不被篡改和旁路是必需的。第四十六頁(yè)，共九十六頁(yè)。FRU類(lèi):資源利用規(guī)定了三個(gè)子類(lèi)以支持所需資源的可用性。諸如處理能力或存儲(chǔ)能力。容錯(cuò)子類(lèi)為防止由產(chǎn)品或系統(tǒng)故障引起的上述資源不可用而提供保護(hù)服務(wù)優(yōu)先級(jí)子類(lèi)確保資源將被分配到更重要的和時(shí)間要求更苛刻的任務(wù)中，而且不能被優(yōu)先級(jí)低的任務(wù)所獨(dú)占資源分配子類(lèi)提供可用資源的使用限制，以防止用戶(hù)獨(dú)占資源第四十七頁(yè)，共九十六頁(yè)。FTA類(lèi):TOE訪(fǎng)問(wèn)規(guī)定了用以控制建立用戶(hù)會(huì)話(huà)的一些功能要求，是對(duì)標(biāo)識(shí)和鑒別類(lèi)安全要求的進(jìn)一步補(bǔ)充完善該類(lèi)負(fù)責(zé)管理用戶(hù)會(huì)話(huà)范圍和連接數(shù)限定，訪(fǎng)問(wèn)歷史顯示和訪(fǎng)問(wèn)參數(shù)修改等方面。第四十八頁(yè)，共九十六頁(yè)。FTP類(lèi):可信路徑/信道規(guī)定了關(guān)于用戶(hù)和TSF之間可信通信路徑，以及TSF和其他可信IT產(chǎn)品之間可信通信信道的要求?？尚怕窂接蒚SF間通信的可信信道構(gòu)成，為用戶(hù)提供了一種通過(guò)有保證地與TSF直接交互來(lái)執(zhí)行安全功能的手段。用戶(hù)或TSF都可發(fā)起可信路徑的交換，且所有經(jīng)過(guò)可信路徑的數(shù)據(jù)都受到適當(dāng)保護(hù)，以確保它們不會(huì)被不可信應(yīng)用修改或泄漏。第四十九頁(yè)，共九十六頁(yè)。安全保證類(lèi)1、PP和ST評(píng)估類(lèi)PP和ST是評(píng)估TOE及其功能和保證要求的基礎(chǔ)，因此在評(píng)估TOE之前要證明PP和ST對(duì)TOE評(píng)估而言是否適用第五十頁(yè)，共九十六頁(yè)。APE類(lèi):保護(hù)輪廓評(píng)估PP評(píng)估的目的是論證PP的完備，一致及技術(shù)上的合理,只有通過(guò)評(píng)估的PP才能作為ST開(kāi)發(fā)的基礎(chǔ)該類(lèi)相當(dāng)于規(guī)范了對(duì)產(chǎn)品或系統(tǒng)標(biāo)準(zhǔn)的評(píng)審評(píng)估過(guò)的PP可進(jìn)一步到權(quán)威機(jī)構(gòu)注冊(cè)并對(duì)外公布，目前ISO正在開(kāi)發(fā)有關(guān)PP的注冊(cè)標(biāo)準(zhǔn)該類(lèi)提出了TOE描述，安全環(huán)境，安全目的和安全要求等方面的評(píng)估要求第五十一頁(yè)，共九十六頁(yè)。ASE類(lèi):安全目標(biāo)評(píng)估ST評(píng)估的目的是論證ST是完備的，一致的和在技術(shù)上合理的,因而可以作為相應(yīng)TOE評(píng)估的基礎(chǔ)該類(lèi)提出了TOE描述，安全環(huán)境，安全目的，任何PP聲明，安全要求和TOE概要規(guī)范等方面的評(píng)估要求第五十二頁(yè)，共九十六頁(yè)。2、

評(píng)估保證類(lèi)主要內(nèi)容是7個(gè)評(píng)估保證類(lèi)，分別就開(kāi)發(fā)、配置管理、測(cè)試、脆弱性評(píng)定、交付和運(yùn)行、生命周期支持、指導(dǎo)性文檔等方面提出保證要求，確保安全功能在TOE的整個(gè)生命周期中正確有效地實(shí)施。這些保證類(lèi)是定義評(píng)估保證級(jí)的基礎(chǔ)，是具體的TOE評(píng)估依據(jù)和準(zhǔn)則第五十三頁(yè)，共九十六頁(yè)。CC保證族細(xì)目分類(lèi)和對(duì)應(yīng)表保證類(lèi)保證族ALC類(lèi)：生命周期支持開(kāi)發(fā)安全缺陷糾正生命周期定義工具和技術(shù)ATE類(lèi)：測(cè)試覆蓋深度功能測(cè)試獨(dú)立測(cè)試AVA類(lèi)：脆弱性評(píng)定隱蔽信道分析誤用TOE安全功能強(qiáng)度脆弱性分析保證類(lèi)保證族ACM類(lèi)：配置管理CM自動(dòng)化CM能力CM范圍ADO類(lèi)：交付和運(yùn)行交付安裝、生成和啟動(dòng)ADV類(lèi)：開(kāi)發(fā)功能規(guī)范高層設(shè)計(jì)實(shí)現(xiàn)表示TSF內(nèi)部底層設(shè)計(jì)表示對(duì)應(yīng)性安全策略模型AGD類(lèi)：指導(dǎo)性文檔管理員指南用戶(hù)指南第五十四頁(yè)，共九十六頁(yè)。ACM類(lèi):配置管理通過(guò)跟蹤TOE的任何變化,確保所有修改都已授權(quán),以保證OTE的完整性.特別是通過(guò)配置管理確保用于評(píng)估的TOE和相關(guān)文檔正是預(yù)先所準(zhǔn)備的那一份.該類(lèi)包括配置管理能力,范圍及其自動(dòng)化三方面的要求.第五十五頁(yè)，共九十六頁(yè)。ADO類(lèi):交付和運(yùn)行規(guī)定了TOE交付,安裝,生成和啟動(dòng)方面的措施,程序和標(biāo)準(zhǔn),以確保TOE所提供的安全保護(hù)在這些關(guān)鍵過(guò)程中不被泄漏.第五十六頁(yè)，共九十六頁(yè)。ADV類(lèi):開(kāi)發(fā)主要涉及將ST中定義的TOE概要規(guī)范細(xì)化為具體的TSF實(shí)現(xiàn),以及安全要求到最低級(jí)別表示間的映射兩方面,包含功能規(guī)范,高層設(shè)計(jì),實(shí)現(xiàn)表示,TSF內(nèi)部,低層設(shè)計(jì),表示對(duì)應(yīng)性,安全策略模型等子類(lèi).第五十七頁(yè)，共九十六頁(yè)。AGD類(lèi):指導(dǎo)性文檔規(guī)定了用戶(hù),管理員指南編寫(xiě)方面的要求.為幫助管理員和用戶(hù)正確安全地操作和使用TOE,相應(yīng)的指南中應(yīng)描述所有TOE安全應(yīng)用方面的內(nèi)容.第五十八頁(yè)，共九十六頁(yè)。ALC類(lèi):生命周期支持即在TOE開(kāi)發(fā)和維護(hù)階段,對(duì)相關(guān)過(guò)程進(jìn)一步細(xì)化并建立相應(yīng)的控制規(guī)則,以確保TOE與其安全要求之間的符合性.該類(lèi)包括生命周期定義,工具和技術(shù),開(kāi)發(fā)環(huán)境的安全和TOE用戶(hù)所發(fā)現(xiàn)缺陷的糾正等4個(gè)方面的要求.第五十九頁(yè)，共九十六頁(yè)。ATE類(lèi):測(cè)試關(guān)心的是TOE是否滿(mǎn)足其安全功能要求,不管TOE是否僅具有規(guī)定的功能.該類(lèi)提出了開(kāi)發(fā)者功能測(cè)試及其規(guī)范,深度以及第三方獨(dú)立性測(cè)試等要求.第六十頁(yè)，共九十六頁(yè)。AVA類(lèi):脆弱性評(píng)定定義了與識(shí)別可利用的脆弱性有關(guān)的安全要求,這些脆弱性可能在開(kāi)發(fā),集成,運(yùn)行,使用和配置時(shí)進(jìn)入TOE.因此,可通過(guò)分析隱蔽信道,分析TOE配置,檢查安全功能實(shí)現(xiàn)機(jī)制的強(qiáng)度和標(biāo)識(shí)以及TOE開(kāi)發(fā)時(shí)信息流的導(dǎo)入等手段,來(lái)識(shí)別所有可進(jìn)一步開(kāi)發(fā)利用的脆弱性.第六十一頁(yè)，共九十六頁(yè)。3、保證維護(hù)類(lèi)目的是確保TOE或其環(huán)境發(fā)生變化時(shí),還能夠繼續(xù)滿(mǎn)足安全目標(biāo).對(duì)保證進(jìn)行維護(hù)的一種方法時(shí)再次評(píng)估TOE,然而這將增加開(kāi)銷(xiāo),執(zhí)行起來(lái)也不現(xiàn)實(shí).在GB/T18226中通過(guò)AMA類(lèi)定義一整套要求,確保有關(guān)保證都得到了維護(hù),而不需要進(jìn)行全面的再次評(píng)估.當(dāng)然,AMA類(lèi)也支持對(duì)TOE進(jìn)行再次評(píng)估.第六十二頁(yè)，共九十六頁(yè)。AMA類(lèi):保證維護(hù)提出的要求須在TOE通過(guò)CC認(rèn)證后才適用.這些要求旨在確保TOE或其環(huán)境變更后,繼續(xù)滿(mǎn)足安全目標(biāo)該類(lèi)有四個(gè)子類(lèi):保證維護(hù)計(jì)劃,TOE組件分類(lèi)報(bào)告,保證維護(hù)證據(jù)和安全影響分析.這些要求都是建立保證維護(hù)體系的關(guān)鍵模塊.第六十三頁(yè)，共九十六頁(yè)。CC安全等級(jí)CC安全等級(jí)簡(jiǎn)稱(chēng)EAL，共分7級(jí)：EAL7：形式化驗(yàn)證的設(shè)計(jì)和測(cè)試。EAL6：半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試。EAL5：半形式化設(shè)計(jì)和測(cè)試。EAL4：系統(tǒng)的設(shè)計(jì)、測(cè)試和復(fù)查。EAL3：系統(tǒng)的測(cè)試和檢查。EAL2：結(jié)構(gòu)測(cè)試。EAL1：功能測(cè)試。第六十四頁(yè)，共九十六頁(yè)。評(píng)估保證級(jí)1(EAL1)—功能測(cè)試EAL1適用于對(duì)正確運(yùn)行需要一定信任的場(chǎng)合,但在該場(chǎng)合中對(duì)安全的威脅應(yīng)視為并不嚴(yán)重;還適用于需要獨(dú)立的保證來(lái)支持“認(rèn)為在人員或信息的保護(hù)方面已經(jīng)給予足夠的重視”這一情形.該級(jí)依據(jù)一個(gè)規(guī)范的獨(dú)立性測(cè)試和對(duì)所提供指導(dǎo)性穩(wěn)當(dāng)?shù)臋z查來(lái)為用戶(hù)評(píng)估TOE在這個(gè)級(jí)上,沒(méi)有TOE開(kāi)發(fā)者的幫助也能成功的進(jìn)行評(píng)估,并且所需費(fèi)用也最少.通過(guò)該級(jí)的一個(gè)評(píng)估,可以確信TOE的功能與其文檔在形式上是一致的,并且對(duì)已標(biāo)志的威脅提供了有效的保護(hù)第六十五頁(yè)，共九十六頁(yè)。評(píng)估保證級(jí)2(EAL2)—結(jié)構(gòu)測(cè)試EAL2要求開(kāi)發(fā)者遞交設(shè)計(jì)信息和測(cè)試結(jié)果,但不需要開(kāi)發(fā)者增加過(guò)多的費(fèi)用或時(shí)間的投入EAL2適用于以下這種情況：在缺乏現(xiàn)成可用的完整的開(kāi)發(fā)記錄時(shí)，開(kāi)發(fā)者或用戶(hù)需要一種低到中等級(jí)別的獨(dú)立保證的安全性,例如：對(duì)傳統(tǒng)的保密系統(tǒng)進(jìn)行評(píng)估或者不便于對(duì)開(kāi)發(fā)者進(jìn)行現(xiàn)場(chǎng)核查時(shí).第六十六頁(yè)，共九十六頁(yè)。評(píng)估保證級(jí)3(EAL3)—系統(tǒng)地測(cè)試和檢查在不需要對(duì)現(xiàn)有的合理的開(kāi)發(fā)規(guī)則進(jìn)行實(shí)質(zhì)性改進(jìn)的情況下,EAL3可使開(kāi)發(fā)者在設(shè)計(jì)階段能從正確的安全工程中獲得最大限度的保證EAL3適用于以下這些情況:開(kāi)發(fā)者或用戶(hù)需要一個(gè)中等級(jí)別的獨(dú)立保證的安全性,并在不帶來(lái)大量的再構(gòu)建費(fèi)用的情況下,對(duì)TOE及其開(kāi)發(fā)過(guò)程進(jìn)行徹底審查第六十七頁(yè)，共九十六頁(yè)。評(píng)估保證級(jí)4(EAL4)—系統(tǒng)地設(shè)計(jì),測(cè)試和復(fù)查:基于良好而嚴(yán)格的商業(yè)開(kāi)發(fā)規(guī)則,在不額外增加大量專(zhuān)業(yè)知識(shí),技巧和其它資源的情況下,開(kāi)發(fā)者從正確的安全工程中所獲得的保證級(jí)別最高可達(dá)到EAL4EAL4適用于以下這種情況開(kāi)發(fā)者或用戶(hù)對(duì)傳統(tǒng)的商品化的TOE需要一個(gè)中等到高等級(jí)別的獨(dú)立保證的安全性,并準(zhǔn)備負(fù)擔(dān)額外的安全專(zhuān)用工程費(fèi)用開(kāi)展該級(jí)的評(píng)估,需要分析TOE模塊的底層設(shè)計(jì)和實(shí)現(xiàn)的子集.在測(cè)試方面將側(cè)重于對(duì)已知的脆弱性進(jìn)行獨(dú)立地搜索.開(kāi)發(fā)控制方面涉及到生命周期模型,開(kāi)發(fā)工具標(biāo)識(shí)和自動(dòng)化配置管理方面.第六十八頁(yè)，共九十六頁(yè)。評(píng)估保證級(jí)5(EAL5)—半形式化設(shè)計(jì)和測(cè)試適當(dāng)應(yīng)用專(zhuān)業(yè)性的一些安全工程技術(shù),并基于嚴(yán)格的商業(yè)開(kāi)發(fā)實(shí)踐,EAL5可使開(kāi)發(fā)者從安全工程獲得最大限度的保證若某個(gè)TOE要想達(dá)到EAL5要求,開(kāi)發(fā)者需要在設(shè)計(jì)和開(kāi)發(fā)方面下一定工夫,但如果具備相關(guān)的一些專(zhuān)業(yè)技術(shù),也許額外的開(kāi)銷(xiāo)不會(huì)很大.第六十九頁(yè)，共九十六頁(yè)。適用于以下這種情況:開(kāi)發(fā)者和使用者在有計(jì)劃的開(kāi)發(fā)中,采用嚴(yán)格的開(kāi)發(fā)手段,以獲得一個(gè)高級(jí)別的獨(dú)立保證的安全性需要,但不會(huì)因采用專(zhuān)業(yè)性安全工程技術(shù)而增加一些不合理的開(kāi)銷(xiāo)開(kāi)展該級(jí)別的評(píng)估,需要分析所有的實(shí)現(xiàn).還需要額外分析功能規(guī)范和高層設(shè)計(jì)的形式化模型和半形式化表示,及它們間對(duì)應(yīng)性的半形式化論證.在對(duì)已知脆弱性的搜索方面,必須確保TOE可抵御中等攻擊潛力的穿透性攻擊者.還要求采取隱蔽信道分析和模塊化的TOE設(shè)計(jì).第七十頁(yè)，共九十六頁(yè)。評(píng)估保證級(jí)6(EAL6)—半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試EAL6可使開(kāi)發(fā)者通過(guò)把專(zhuān)業(yè)性安全工程技術(shù)應(yīng)用到嚴(yán)格的開(kāi)發(fā)環(huán)境中,而獲得高級(jí)別的保證,以便生產(chǎn)一個(gè)昂貴的TOE來(lái)保護(hù)高價(jià)值的資產(chǎn)以對(duì)抗重大的風(fēng)險(xiǎn).EAL6適用于在高風(fēng)險(xiǎn)環(huán)境下的特定安全產(chǎn)品或系統(tǒng)的開(kāi)發(fā),且要保護(hù)的資源值得花費(fèi)一些額外的人力,物力和財(cái)力.開(kāi)展該級(jí)的評(píng)估,需分析設(shè)計(jì)的模塊和層次化方法以及實(shí)現(xiàn)的機(jī)構(gòu)化表示.在對(duì)已知脆弱性的獨(dú)立搜索方面,必須確保TOE可抵御高等攻擊潛力的穿透性攻擊者.對(duì)隱藏信道的搜索必須是系統(tǒng)性的,且開(kāi)發(fā)環(huán)境和配置管理的控制也應(yīng)進(jìn)一步增強(qiáng).第七十一頁(yè)，共九十六頁(yè)。評(píng)估保證級(jí)7(EAL7)—形式化驗(yàn)證的設(shè)計(jì)和測(cè)試EAL7適用于一些安全性要求很高的TOE開(kāi)發(fā),這些TOE將應(yīng)用在風(fēng)險(xiǎn)非常高的地方或者所保護(hù)的資產(chǎn)的價(jià)值很高的地方目前,該級(jí)別的TOE比較少,一方面是對(duì)安全功能全面的形式化分析難以實(shí)現(xiàn),另一方面在實(shí)際應(yīng)用中也很少有這類(lèi)需求開(kāi)展該級(jí)的評(píng)估,需要分析TOE的形式化模型,包括功能規(guī)范和高層設(shè)計(jì)的形式化表示.要求開(kāi)發(fā)者提供基于白盒子測(cè)試的證據(jù),在評(píng)估時(shí)必須對(duì)這些測(cè)試結(jié)果全部進(jìn)行獨(dú)立確認(rèn),并且設(shè)計(jì)的復(fù)雜程度必須是最小的.第七十二頁(yè)，共九十六頁(yè)。CC評(píng)估過(guò)程1、編制反映用戶(hù)需求的產(chǎn)品類(lèi)型的保護(hù)輪廓(PP)

CommonCriteria

訪(fǎng)問(wèn)控制鑒別審計(jì)密碼技術(shù)操作系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)防火墻智能卡應(yīng)用生物技術(shù)路由器VPNISO/IEC標(biāo)準(zhǔn)15408GB/T18336.1-18336.3保護(hù)輪廓標(biāo)準(zhǔn)化的IT安全需求的目錄（功能和保證）特定信息技術(shù)領(lǐng)域客戶(hù)驅(qū)動(dòng)的安全需求第七十三頁(yè)，共九十六頁(yè)。2、產(chǎn)品廠(chǎng)商編制保護(hù)輪廓對(duì)應(yīng)的具體安全產(chǎn)品的安全目標(biāo)（ST）

防火墻安全需求

安全功能和保障XX防火墻XX防火墻XX防火墻XX防火墻安全目標(biāo)廠(chǎng)商對(duì)他們產(chǎn)品的安全描述語(yǔ)句保護(hù)輪廓客戶(hù)對(duì)特定信息技術(shù)領(lǐng)域向業(yè)界提出的IT安全需求語(yǔ)句第七十四頁(yè)，共九十六頁(yè)。3、通用準(zhǔn)則測(cè)試實(shí)驗(yàn)室測(cè)試評(píng)估安全產(chǎn)品，得出測(cè)試報(bào)告。IT產(chǎn)品安全功能和保障廠(chǎng)商對(duì)IT產(chǎn)品提交進(jìn)行安全評(píng)估

通用準(zhǔn)則測(cè)試實(shí)驗(yàn)室

測(cè)試報(bào)告測(cè)試報(bào)告提交給認(rèn)證機(jī)構(gòu)進(jìn)行確認(rèn)第七十五頁(yè)，共九十六頁(yè)。

認(rèn)證報(bào)告4、通用準(zhǔn)則認(rèn)證機(jī)構(gòu)確認(rèn)測(cè)試報(bào)告，發(fā)放認(rèn)證證書(shū)

通用準(zhǔn)則認(rèn)證機(jī)構(gòu)TMCommonCriteria證書(shū)第七十六頁(yè)，共九十六頁(yè)。CC標(biāo)準(zhǔn)的局限性CC標(biāo)準(zhǔn)采用半形式化語(yǔ)言,比較難以理解CC不包括那些與IT安全措施沒(méi)有直接關(guān)聯(lián)的,屬于行政行管理安全措施的評(píng)估準(zhǔn)則,即該標(biāo)準(zhǔn)并不關(guān)注于組織,人員,環(huán)境,設(shè)備,網(wǎng)絡(luò)等方面的具體的安全措施CC重點(diǎn)關(guān)注人為的威脅,對(duì)于其他威脅源沒(méi)有考慮并不針對(duì)IT安全性的物理方面的評(píng)估(如電磁干擾)CC并不涉及評(píng)估方法學(xué)CC不包括密碼算法固有質(zhì)量的評(píng)估第七十七頁(yè)，共九十六頁(yè)。計(jì)算機(jī)信息系統(tǒng)安全GB17859-1999GB/T17859簡(jiǎn)況《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第九條明確規(guī)定，計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)公安部組織制訂了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》國(guó)家標(biāo)準(zhǔn)（GB/T17859），于1999年9月13日由國(guó)家質(zhì)量技術(shù)監(jiān)督局審查通過(guò)并正式批準(zhǔn)發(fā)布，于2001年1月1日?qǐng)?zhí)行該準(zhǔn)則的發(fā)布為計(jì)算機(jī)信息系統(tǒng)安全法規(guī)和配套標(biāo)準(zhǔn)的制定和執(zhí)法部門(mén)的監(jiān)督檢查提供了依據(jù)，為安全產(chǎn)品的研制提供了技術(shù)支持，為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)是我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)工作的基礎(chǔ)第七十八頁(yè)，共九十六頁(yè)。涉及的關(guān)鍵術(shù)語(yǔ)計(jì)算機(jī)信息系統(tǒng)（ComputerInformationSystem）是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算機(jī)（TrustedComputingBaseofComputerInformationSystem）計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。它建立了一個(gè)基本的保護(hù)環(huán)境并提供一個(gè)可信計(jì)算機(jī)系統(tǒng)所要求的附加用戶(hù)服務(wù)。第七十九頁(yè)，共九十六頁(yè)?？腕w（Object）信息的載體。主體（Subject）引起信息在客體之間流動(dòng)的人、進(jìn)程和設(shè)備等。敏感標(biāo)記（SensitivityLabel）表示客體安全級(jí)別并描述客體數(shù)據(jù)敏感性的一組信息，可信計(jì)算機(jī)中把敏感信息作為強(qiáng)制訪(fǎng)問(wèn)控制決策的依據(jù)。安全策略（SecurityPolicy）有關(guān)管理、保護(hù)和發(fā)布敏感信息的法律、規(guī)定和實(shí)施細(xì)則。第八十頁(yè)，共九十六頁(yè)。信道（Channel）隱蔽信道（CovertChannel）允許進(jìn)程以危害系統(tǒng)安全策略的方式傳輸信息的通信信道。系統(tǒng)內(nèi)的信息傳輸路徑。訪(fǎng)問(wèn)監(jiān)控器（ReferenceMonitor）監(jiān)控主體和客體之間授權(quán)訪(fǎng)問(wèn)關(guān)系的部件?？尚判诺溃═rustedChannel）為了執(zhí)行關(guān)鍵的安全操作，在主體、客體和可信IT產(chǎn)品之間建立和維護(hù)的保護(hù)通信數(shù)據(jù)免遭修改和泄漏的通信路徑?？腕w重用（ObjectReuse）在計(jì)算機(jī)信息系統(tǒng)可信計(jì)算機(jī)的空閑存儲(chǔ)客體空間中，對(duì)客體初始制定、分配或再分配一個(gè)主體之前，撤銷(xiāo)該客體所含信息的所有權(quán)。當(dāng)主體獲得對(duì)一個(gè)已被釋放的客體的訪(fǎng)問(wèn)權(quán)限時(shí)，當(dāng)前主體不能獲得原主體活動(dòng)所產(chǎn)生的任何信息。第八十一頁(yè)，共九十六頁(yè)。GB/T17859等級(jí)劃分訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)結(jié)構(gòu)化保護(hù)級(jí)安全標(biāo)記保護(hù)級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)用戶(hù)自主保護(hù)級(jí)第五級(jí)第四級(jí)第三級(jí)第二級(jí)第一級(jí)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》將信息系統(tǒng)劃分為5個(gè)等級(jí)：第八十二頁(yè)，共九十六頁(yè)。第一級(jí)：用戶(hù)自主保護(hù)級(jí)計(jì)算機(jī)信息系統(tǒng)可信計(jì)算機(jī)通過(guò)隔離用戶(hù)與數(shù)據(jù)，使用戶(hù)具備自主安全保護(hù)的能力。它具有多種形式的控制能力，對(duì)用戶(hù)實(shí)施訪(fǎng)問(wèn)控制，即為用戶(hù)提供可行的手段，保護(hù)用戶(hù)和用戶(hù)組信息，避免其他用戶(hù)對(duì)數(shù)據(jù)的非法讀寫(xiě)與破壞

第八十三頁(yè)，共九十六頁(yè)。本級(jí)考核指標(biāo)要求：1）自主訪(fǎng)問(wèn)控制2）身份鑒別3）數(shù)據(jù)完整性第八十四頁(yè)，共九十六頁(yè)。第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)與用戶(hù)自主保護(hù)級(jí)相比，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基實(shí)施了粒度更細(xì)的自主訪(fǎng)問(wèn)控制它通過(guò)登錄規(guī)程、審計(jì)安全性相關(guān)事件和隔離資源，使用戶(hù)對(duì)自己的行為負(fù)責(zé)第八十五頁(yè)，共九十六頁(yè)。本級(jí)考核指標(biāo)要求：1）自主訪(fǎng)問(wèn)控制2）身份鑒別3）