12安全評(píng)估標(biāo)準(zhǔn)

第十二章安全評(píng)估標(biāo)準(zhǔn)一、概述研究安全標(biāo)準(zhǔn)的意義：

1、是安全理論和技術(shù)用于實(shí)踐的綱領(lǐng)性規(guī)范，是安全理論和技術(shù)的總結(jié)。

2、對(duì)安全產(chǎn)品的功能、結(jié)構(gòu)及互操作提出了要求

3、是一個(gè)國家科研水平、技術(shù)能力的反映?，F(xiàn)有標(biāo)準(zhǔn)：安全體系結(jié)構(gòu)標(biāo)準(zhǔn)、密碼技術(shù)標(biāo)準(zhǔn)、安全認(rèn)證標(biāo)準(zhǔn)、安全產(chǎn)品標(biāo)準(zhǔn)、安全評(píng)估標(biāo)準(zhǔn)等等。研究最多、最廣泛的是安全評(píng)估標(biāo)準(zhǔn)。一、概述（續(xù)）安全評(píng)估標(biāo)準(zhǔn)最早起源于美國。1970年，美國國防部在國家安全局建立了計(jì)算機(jī)安全中心，開始進(jìn)行有關(guān)計(jì)算機(jī)安全評(píng)估標(biāo)準(zhǔn)的研究，并于1984年公布了“可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）”。書中重點(diǎn)介紹了通用的操作系統(tǒng)，后又于1987年增較了網(wǎng)絡(luò)安全評(píng)估的有關(guān)解釋和說明，它從網(wǎng)絡(luò)安全的角度解釋了準(zhǔn)則中的觀點(diǎn)，并從用戶登陸、授權(quán)管理、訪問控制、審計(jì)跟蹤、隱通道分析、可信任通道的建立、安全檢測(cè)、生命周期保障、文本寫作、用戶指南等方面提出了要求。1993年進(jìn)行了補(bǔ)充和修改，“制定了組合的聯(lián)邦保準(zhǔn)（FC）”1988年加拿大制定了“加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則(CTCPEC)”.20世紀(jì)90年代，英、法、荷、德四國在各自安全評(píng)估準(zhǔn)則的基礎(chǔ)上聯(lián)合提出了“信息技術(shù)安全評(píng)估準(zhǔn)則（ITSEC）”1993年6月，將這四個(gè)標(biāo)準(zhǔn)聯(lián)合組成單一的能被廣泛使用的IT安全準(zhǔn)則，稱為CC項(xiàng)目。1995年頒布CC0.9版，1996年1月更新為CC1.0版，1997年8月更新為CC2.0Beta版，1998年5月發(fā)布CC2.0版，1999年發(fā)布CC2.1版，并被ISO定為國際標(biāo)準(zhǔn)ISO15408二、國際安全標(biāo)準(zhǔn)1、TCSEC美國國防部于1984年發(fā)布了“可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則”，目的有三：（1）為制造商提供安全標(biāo)準(zhǔn)（2）為國防部各部門提供度量標(biāo)準(zhǔn)，用于評(píng)估計(jì)算機(jī)系統(tǒng)或其他敏感信息的可信程度。（3）在分析、研究規(guī)范時(shí)，為制定安全需求提供基礎(chǔ)。安全規(guī)范、標(biāo)準(zhǔn)1、TCSECTCSEC提出了可信技術(shù)基（TCB）的概念，即計(jì)算機(jī)系統(tǒng)負(fù)責(zé)執(zhí)行安全策略的保護(hù)機(jī)制的全體，由硬件、軟件和固件組成。TCSEC采用等級(jí)評(píng)估的方法，將計(jì)算機(jī)安全分為A、B、C、D四個(gè)等級(jí)八個(gè)級(jí)別。下面簡單介紹各安全等級(jí)的內(nèi)容和要求。無保護(hù)級(jí)D級(jí)D等是最低的保護(hù)等級(jí)，即無保護(hù)級(jí)。針對(duì)經(jīng)過評(píng)估但不滿足較高評(píng)估等級(jí)要求的系統(tǒng)而設(shè)計(jì)，這種級(jí)別的系統(tǒng)不能在多用戶環(huán)境中處理敏感信息。自主保護(hù)級(jí)C級(jí)它具有一定的保護(hù)能力，通過身份認(rèn)證、自主訪問控制和審計(jì)等安全措施來實(shí)施保護(hù)。一般只適用于具有一定等級(jí)要求的多用戶環(huán)境，分為自主安全保護(hù)級(jí)--C1級(jí)和可控安全保護(hù)級(jí)--C2級(jí)C1級(jí)：通過用戶和數(shù)據(jù)隔離來達(dá)到保護(hù)的目的。TCB在命名用戶和命名客體之間加以定義并進(jìn)行訪問控制。C2級(jí)：通過注冊(cè)過程控制、審計(jì)安全相關(guān)事件以及資源隔離達(dá)到保護(hù)目的。目前主要的商業(yè)操作系統(tǒng)都達(dá)到這一安全等級(jí)。強(qiáng)制安全保護(hù)級(jí)B級(jí)它要求對(duì)客體實(shí)施強(qiáng)制訪問控制和敏感標(biāo)記，可信計(jì)算機(jī)利用敏感標(biāo)記來實(shí)施強(qiáng)制訪問控制。分為標(biāo)記安全保護(hù)級(jí)B1級(jí)、結(jié)構(gòu)保護(hù)級(jí)B2級(jí)和強(qiáng)制安全區(qū)域級(jí)B3級(jí)B級(jí)—標(biāo)記安全保護(hù)級(jí)B1具有C2級(jí)的全部功能，并增較了標(biāo)記、強(qiáng)制訪問控制、責(zé)任、審計(jì)和保護(hù)功能。要求：標(biāo)記、強(qiáng)制訪問控制、可審計(jì)性和審計(jì)具體如下:

（1）標(biāo)記

a）標(biāo)記的完整性：能準(zhǔn)確地體現(xiàn)主體和客體的安全級(jí)別。

b）標(biāo)記信息的輸出：TCB應(yīng)能指明，美國通信的信道和I/O設(shè)備，是作為單級(jí)還是多級(jí)使用。

c）單級(jí)設(shè)備輸出：對(duì)單級(jí)通信信道或I/O設(shè)備處理的信息不作敏感標(biāo)記，能夠讓授權(quán)用戶經(jīng)單級(jí)通信信道或I/O設(shè)備來安全按傳輸標(biāo)有單級(jí)安全級(jí)別的信息。

d）多級(jí)設(shè)備輸出：當(dāng)TCB輸出一個(gè)客體到多級(jí)I/O設(shè)備時(shí)，敏感標(biāo)記應(yīng)與客體一起輸出，并以同樣的形式和輸出信息一起存放在同一物理介質(zhì)上。當(dāng)TCB通過多級(jí)通信信道輸出和輸入一客體時(shí)，使用的協(xié)議應(yīng)在敏感標(biāo)記和發(fā)送（接收）的信息間提高明確的對(duì)應(yīng)關(guān)系。

e）硬拷貝標(biāo)記輸出：系統(tǒng)管理員應(yīng)能夠指定與輸出敏感標(biāo)記相關(guān)的可打印標(biāo)記名。TCB標(biāo)記硬拷貝敏感標(biāo)記輸出的開始和結(jié)束。（2）強(qiáng)制訪問控制

TCB對(duì)自己控制下的所有主體和客體施加強(qiáng)制訪問控制策略。通過主體和客體的敏感標(biāo)記來判斷是否實(shí)施強(qiáng)制訪問控制。（3）可審計(jì)性當(dāng)用戶開始完成由TCB干預(yù)的活動(dòng)是，TCB將要求對(duì)它們進(jìn)行識(shí)別，并保存確認(rèn)數(shù)據(jù)，以防止未經(jīng)授權(quán)的用戶訪問。這些數(shù)據(jù)包括驗(yàn)證用戶身份的信息、檢查用戶的鑒別信息和用戶授權(quán)信息。（4）審計(jì)包括C2級(jí)的全部功能，需要對(duì)任何濫用職權(quán)的用戶輸出標(biāo)記。對(duì)安全級(jí)記錄的事件進(jìn)行審計(jì)，對(duì)基于安全級(jí)的用戶活動(dòng)進(jìn)行有選擇的審計(jì)。B級(jí)—結(jié)構(gòu)保護(hù)級(jí)B2級(jí)強(qiáng)調(diào)實(shí)際操作中的評(píng)價(jià)手段。功能：（1）安全策略（2）可審計(jì)性（3）結(jié)構(gòu)：支持操作人員和管理人員分離，執(zhí)行最小特權(quán)原則。B級(jí)—強(qiáng)制安全區(qū)域級(jí)B3除了包括B2級(jí)功能外，能監(jiān)督所有主體對(duì)客體的訪問，防止篡改，并提高分析和測(cè)試，同時(shí)將審計(jì)機(jī)理擴(kuò)展到報(bào)知與安全有關(guān)的事件增加了安全策略（1）安全策略：采用訪問控制表進(jìn)行控制，允許用戶指定和控制對(duì)客體的共享，可指定命名用戶對(duì)命名客體的訪問方式。（2）可審計(jì)性：監(jiān)視安全審計(jì)事件的發(fā)生和積累，超過一定閥值時(shí)立即報(bào)知安全管理人員。（3）保證驗(yàn)證安全保護(hù)級(jí)A級(jí)特點(diǎn)：使用形式化的安全驗(yàn)證方法來保證系統(tǒng)的自主，并強(qiáng)制安全控制措施有效地保護(hù)系統(tǒng)中存儲(chǔ)和處理的秘密信息或其他敏感信息。等級(jí)分為驗(yàn)證設(shè)計(jì)級(jí)A1級(jí)和超A1級(jí)。2、通用準(zhǔn)則CC對(duì)信息系統(tǒng)的安全功能、安全保障給出了分類描述，并綜合考慮信息系統(tǒng)的資產(chǎn)價(jià)值、威脅等因素后，對(duì)被評(píng)估對(duì)象提出了安全需求級(jí)及安全實(shí)現(xiàn)等方面的評(píng)估。CC的范圍：重點(diǎn)考慮人為的威脅，也適用于硬件、軟件和固件實(shí)現(xiàn)的信息技術(shù)安全措施。CC的結(jié)構(gòu)分三部分：第一部分：簡介和一般模型—介紹了CC的一般概念和格式，描述了其結(jié)構(gòu)和適用范圍、安全功能、保證需求的定義，并給出了保護(hù)輪廓和安全目標(biāo)的結(jié)構(gòu)

第二部分：安全功能要求—為用戶和開發(fā)者提供安全功能組件，作為表述評(píng)估對(duì)象（TOE）功能要求的標(biāo)準(zhǔn)方法第三部分：安全保證要求—為開發(fā)者提供安全保證組件，作為表述評(píng)估對(duì)象保證要求的標(biāo)準(zhǔn)方法CC中安全要求的描述方法安全要求是以“類—族—組件”的層次方式組織的類：是最通用的安全要求的組合，每個(gè)類包含一個(gè)類名、類介紹、一個(gè)或多個(gè)功能族。類的成員是族族（子類）：是若干組安全要求的組合，這些安全要求有共同的安全目的。族的成員是組件組件：描述一組特定的安全要求集，是CC定義結(jié)構(gòu)中所包含的最小的可選安全要求集。功能類結(jié)構(gòu)圖功能子類結(jié)構(gòu)圖功能組件結(jié)構(gòu)圖CC中安全需求的描述方法定義了三種類型的需求結(jié)構(gòu)：包、保護(hù)輪廓PP和安全目標(biāo)ST包：組件的中間組合稱為包，它是對(duì)功能或保證需求集合的描述。包可以重復(fù)使用，也可用于構(gòu)造更大的包、PP和STPP：包含一套來自CC的安全要求，也包括一個(gè)評(píng)估保證級(jí)別。PP可重復(fù)使用也可定義那些公認(rèn)有用的、能滿足特定安全目標(biāo)的TOEST：包括一系列安全要求，，這些要求可引用PP，也可直接引用或明確說明CC中的功能或保證組件CC框架下的評(píng)估類型及評(píng)估思想PP評(píng)估，目標(biāo)：證明PP是完備的、一致的技術(shù)合理的，同時(shí)適用于作為一個(gè)可評(píng)估TOE的安全要求的聲明ST評(píng)估，目標(biāo)：1、證明ST完備、一致、技術(shù)合理適用于相應(yīng)TOE評(píng)估的基礎(chǔ)；2、當(dāng)某一ST宣稱與PP一致時(shí)，證明ST滿足該P(yáng)P的要求TOE評(píng)估，目標(biāo)：證明TOE滿足ST中的安全要求三種評(píng)估的關(guān)系為：評(píng)估PPPP評(píng)估結(jié)果評(píng)估STPP分類評(píng)估TOE證書分類TOE評(píng)估結(jié)果已評(píng)估過的TOEST評(píng)估結(jié)果CC的安全功能安全功能（11個(gè)）：

FAU類（安全審計(jì)）FCO類（通信）

FCS類（密碼支持）FDP類（保護(hù)用戶數(shù)據(jù)）FIA類（標(biāo)識(shí)與鑒別）FMT類（安全管理）FPR類（隱秘）

FPT類（TOE安全功能的保護(hù)或TFS的保護(hù)）FRU類（資源利用）(更正)FTA類（TOE訪問）FTP類（可信信道/路徑）CC的安全保障安全保證類（7個(gè)）

ACM類：配置管理

ADO類：分發(fā)與操作

ADV類：開發(fā)

AGD類：指導(dǎo)性文檔

ALC類：生命周期支持

ATE類：測(cè)試

AVA類：脆弱性評(píng)定3、國內(nèi)安全標(biāo)準(zhǔn)GB17859—1999GB/T15408GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則，于1999年9月由國家質(zhì)量