信息技术安全评估准则发展过程.pptx

《信息技术安全评估准则发展过程.pptx》由会员分享，可在线阅读，更多相关《信息技术安全评估准则发展过程.pptx（198页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、Security Risk AssessmentSecurity Risk Assessment-history and development2标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程 可信计算机系统评估准则（可信计算机系统评估准则（TCSEC TCSEC）可信网络解释可信网络解释（TNITNI）通用准则通用准则CC CC 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 信息安全保证技术框架信息安全保证技术框架信息系统安全保护等级应用指南信息系统安全保护等级应用指南 3信息技术安全评估准则发展过程信息技术安全评估准则发展过程 2020世纪

2、世纪6060年代后期，年代后期，19671967年美国国防部（年美国国防部（DODDOD）成）成立了一个研究组，针对当时计算机使用环境中的安立了一个研究组，针对当时计算机使用环境中的安全策略进行研究，其研究结果是全策略进行研究，其研究结果是“Defense Defense Science Board reportScience Board report”7070年代的后期年代的后期DODDOD对对当当时时流行的操作系流行的操作系统统KSOSKSOS，PSOSPSOS，KVMKVM进进行了安全方面的研究行了安全方面的研究 4信息技术安全评估准则发展过程信息技术安全评估准则发展过程8080年代后，

3、美国国防部发布的年代后，美国国防部发布的“可信计算机系统评可信计算机系统评估准则（估准则（TCSECTCSEC）”（即桔皮书）（即桔皮书）后来后来DODDOD又又发发布了可信数据布了可信数据库库解解释释（TDITDI）、可信网）、可信网络络解解释释（TNITNI）等一系列相关的）等一系列相关的说说明和指南明和指南 9090年代初，英、法、德、荷等四国年代初，英、法、德、荷等四国针对针对TCSECTCSEC准准则则的局限性，提出了包含保密性、完整性、可用性等的局限性，提出了包含保密性、完整性、可用性等概念的概念的“信息技信息技术术安全安全评评估准估准则则”（ITSECITSEC），定），定义义了

4、从了从E0E0级级到到E6E6级级的七个安全等的七个安全等级级 5信息技术安全评估准则发展过程信息技术安全评估准则发展过程加拿大加拿大19881988年开始制订年开始制订The Canadian Trusted The Canadian Trusted Computer Product Evaluation Criteria Computer Product Evaluation Criteria（CTCPECCTCPEC）19931993年，美国对年，美国对TCSECTCSEC作了补充和修改，制定了作了补充和修改，制定了“组合的联邦标准组合的联邦标准”（简称（简称FCFC）国际标准化组织（国

5、际标准化组织（ISOISO）从）从19901990年开始开发通用的年开始开发通用的国际标准评估准则国际标准评估准则 6信息技术安全评估准则发展过程信息技术安全评估准则发展过程在在19931993年年6 6月，月，CTCPECCTCPEC、FCFC、TCSECTCSEC和和ITSECITSEC的发起的发起组织开始联合起来，将各自独立的准则组合成一个组织开始联合起来，将各自独立的准则组合成一个单一的、能被广泛使用的单一的、能被广泛使用的ITIT安全准则安全准则 发起组织包括六国七方：加拿大、法国、德国、荷发起组织包括六国七方：加拿大、法国、德国、荷兰、英国、美国兰、英国、美国NISTNIST及美国

6、及美国NSANSA，他们的代表建立，他们的代表建立了了CCCC编辑委员会（编辑委员会（CCEBCCEB）来开发）来开发CCCC 7信息技术安全评估准则发展过程信息技术安全评估准则发展过程19961996年年1 1月完成月完成CC1.0CC1.0版版 ,在在19961996年年4 4月被月被ISOISO采纳采纳 19971997年年1010月完成月完成CC2.0CC2.0的测试版的测试版 19981998年年5 5月发布月发布CC2.0CC2.0版版 19991999年年1212月月ISOISO采纳采纳CCCC，并作为国际标准，并作为国际标准ISO 15408ISO 15408发布发布 8安全评

7、估标准的发展历程安全评估标准的发展历程 桔皮书（TCSEC）1985英国安全标准1989德国标准法国标准加拿大标准1993联邦标准草案1993ITSEC1991通用标准V1.0 1996V2.0 1998V2.1 19999标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程 可信计算机系统评估准则（可信计算机系统评估准则（TCSECTCSEC）可信网络解释可信网络解释 （TNITNI）通用准则通用准则CC CC 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 信息安全保证技术框架信息安全保证技术框架 信息系统安全保护等级应用指南信息系统安全保护等级应

8、用指南 10TCSECTCSEC在在TCSECTCSEC中，美国国防部按处理信息的等级和应采中，美国国防部按处理信息的等级和应采用的响应措施，将计算机安全从高到低分为：用的响应措施，将计算机安全从高到低分为：A A、B B、C C、D D四类八个级别，共四类八个级别，共2727条评估准则条评估准则随着安全等级的提高，系统的可信度随之增加，风随着安全等级的提高，系统的可信度随之增加，风险逐渐减少。险逐渐减少。11TCSECTCSEC四个安全等级：四个安全等级：无保护级无保护级 自主保护级自主保护级 强制保护级强制保护级验证保护级验证保护级12TCSECTCSECD D类是最低保护等级，即无保护级

9、类是最低保护等级，即无保护级 是为那些经过评估，但不满足较高评估等级要求的是为那些经过评估，但不满足较高评估等级要求的系统设计的，只具有一个级别系统设计的，只具有一个级别 该类是指不符合要求的那些系统，因此，这种系统该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处理敏感信息不能在多用户环境下处理敏感信息 13TCSECTCSEC四个安全等级：四个安全等级：无保护级无保护级 自主保护级自主保护级 强制保护级强制保护级验证保护级验证保护级14TCSECTCSECC C类为自主保护级类为自主保护级具有一定的保具有一定的保护护能力，采用的措施是自主能力，采用的措施是自主访问访问控制控制

10、和和审计审计跟踪跟踪 一般只适用于具有一定等一般只适用于具有一定等级级的多用的多用户环户环境境具有具有对对主体主体责责任及其任及其动动作作审计审计的能力的能力15TCSECTCSECC C类类分分为为C1C1和和C2C2两个两个级别级别:自主安全保护级（自主安全保护级（C1C1级级)控制访问保护级（控制访问保护级（C2C2级）级）16TCSECTCSECC1C1级级TCBTCB通过隔离用户与数据，使用户具备自主安通过隔离用户与数据，使用户具备自主安全保护的能力全保护的能力 它具有多种形式的控制能力，对用户实施访问控制它具有多种形式的控制能力，对用户实施访问控制为用户提供可行的手段，保护用户和用

11、户组信息，为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏避免其他用户对数据的非法读写与破坏C1C1级的系统适用于处理同一敏感级别数据的多用户级的系统适用于处理同一敏感级别数据的多用户环境环境 17TCSECTCSECC2C2级计算机系统比级计算机系统比C1C1级具有更细粒度的自主访问控级具有更细粒度的自主访问控制制C2C2级通过注册过程控制、审计安全相关事件以及资级通过注册过程控制、审计安全相关事件以及资源隔离，使单个用户为其行为负责源隔离，使单个用户为其行为负责 18TCSECTCSEC四个安全等级：四个安全等级：无保护级无保护级 自主保护级自主保护级 强制保

12、护级强制保护级验证保护级验证保护级19TCSECTCSECB B类为强制保护级类为强制保护级 主要要求是主要要求是TCBTCB应维护完整的安全标记，并在此基应维护完整的安全标记，并在此基础上执行一系列强制访问控制规则础上执行一系列强制访问控制规则B B类系统中的主要数据结构必须携带敏感标记类系统中的主要数据结构必须携带敏感标记系统的开发者还应为系统的开发者还应为TCBTCB提供安全策略模型以及提供安全策略模型以及TCBTCB规约规约应提供证据证明访问监控器得到了正确的实施应提供证据证明访问监控器得到了正确的实施 20TCSECTCSECB B类分为三个类别：类分为三个类别：标记安全保护级（标记

13、安全保护级（B1B1级）级）结构化保护级（结构化保护级（B2B2级）级）安全区域保护级（安全区域保护级（B3B3级）级）21TCSECTCSECB1B1级系统要求具有级系统要求具有C2C2级系统的所有特性级系统的所有特性 在此基础上，还应提供安全策略模型的非形式化描在此基础上，还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制述、数据标记以及命名主体和客体的强制访问控制并消除测试中发现的所有缺陷并消除测试中发现的所有缺陷 22TCSECTCSECB B类分为三个类别：类分为三个类别：标记安全保护级（标记安全保护级（B1B1级）级）结构化保护级（结构化保护级（B2B2级

14、）级）安全区域保护级（安全区域保护级（B3B3级）级）23TCSECTCSEC在在B2B2级系统中，级系统中，TCBTCB建立于一个明确定义并文档化建立于一个明确定义并文档化形式化安全策略模型之上形式化安全策略模型之上要求将要求将B1B1级系统中建立的自主和强制访问控制扩展级系统中建立的自主和强制访问控制扩展到所有的主体与客体到所有的主体与客体在此基础上，应对隐蔽信道进行分析在此基础上，应对隐蔽信道进行分析TCBTCB应结构化为关键保护元素和非关键保护元素应结构化为关键保护元素和非关键保护元素24TCSECTCSECTCBTCB接口必须明确定义接口必须明确定义其设计与实现应能够经受更充分的测试

15、和更完善的其设计与实现应能够经受更充分的测试和更完善的审查审查鉴别机制应得到加强，提供可信设施管理以支持系鉴别机制应得到加强，提供可信设施管理以支持系统管理员和操作员的职能统管理员和操作员的职能提供严格的配置管理控制提供严格的配置管理控制B2B2级系统应具备相当的抗渗透能力级系统应具备相当的抗渗透能力25TCSECTCSECB B类分为三个类别：类分为三个类别：标记安全保护级（标记安全保护级（B1B1级）级）结构化保护级（结构化保护级（B2B2级）级）安全区域保护级（安全区域保护级（B3B3级）级）26TCSECTCSEC在在B3B3级系统中，级系统中，TCBTCB必须满足访问监控器需求必须满

16、足访问监控器需求访问监控器对所有主体对客体的访问进行仲裁访问监控器对所有主体对客体的访问进行仲裁访问监控器本身是抗篡改的访问监控器本身是抗篡改的访问监控器足够小访问监控器足够小访问监控器能够分析和测试访问监控器能够分析和测试27TCSECTCSEC为了满足访问控制器需求为了满足访问控制器需求:计算机信息系统可信计算基在构造时，排除那些对实施计算机信息系统可信计算基在构造时，排除那些对实施安全策略来说并非必要的代码安全策略来说并非必要的代码计算机信息系统可信计算基在设计和实现时，从系统工计算机信息系统可信计算基在设计和实现时，从系统工程角度将其复杂性降低到最小程度程角度将其复杂性降低到最小程度2

17、8TCSECTCSECB3B3级系统支持级系统支持:安全管理员职能安全管理员职能扩充审计机制扩充审计机制当发生与安全相关的事件时，发出信号当发生与安全相关的事件时，发出信号提供系统恢复机制提供系统恢复机制系统具有很高的抗渗透能力系统具有很高的抗渗透能力29TCSECTCSEC四个安全等级：四个安全等级：无保护级无保护级 自主保护级自主保护级 强制保护级强制保护级验证保护级验证保护级30TCSECTCSECA A类为验证保护级类为验证保护级A A类的特点是使用形式化的安全验证方法，保证系类的特点是使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统统的自主和强制安全控制措

18、施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息中存储和处理的秘密信息或其他敏感信息为证明为证明TCBTCB满足设计、开发及实现等各个方面的安满足设计、开发及实现等各个方面的安全要求，系统应提供丰富的文档信息全要求，系统应提供丰富的文档信息31TCSECTCSECA A类分为两个类别：类分为两个类别：验证设计级（验证设计级（A1A1级）级）超超A1A1级级 32TCSECTCSECA1A1级系统在功能上和级系统在功能上和B3B3级系统是相同的，没有增加级系统是相同的，没有增加体系结构特性和策略要求体系结构特性和策略要求最显著的特点是，要求用形式化设计规范和验证方最显著的特点是，要求用形

19、式化设计规范和验证方法来对系统进行分析，确保法来对系统进行分析，确保TCBTCB按设计要求实现按设计要求实现从本质上说，这种保证是发展的，它从一个安全策从本质上说，这种保证是发展的，它从一个安全策略的形式化模型和设计的形式化高层规约（略的形式化模型和设计的形式化高层规约（FTLSFTLS）开始开始 33TCSECTCSECA1A1级系统级系统:要求更严格的配置管理要求更严格的配置管理要求建立系统安全分发的程序要求建立系统安全分发的程序支持系统安全管理员的职能支持系统安全管理员的职能 34TCSECTCSECA A类分为两个类别：类分为两个类别：验证设计级（验证设计级（A1A1级）级）超超A1A

20、1级级35TCSECTCSEC超超A1A1级在级在A1A1级基础上增加的许多安全措施超出了目级基础上增加的许多安全措施超出了目前的技术发展前的技术发展随着更多、更好的分析技术的出现，本级系统的要随着更多、更好的分析技术的出现，本级系统的要求才会变的更加明确求才会变的更加明确今后，形式化的验证方法将应用到源码一级，并且今后，形式化的验证方法将应用到源码一级，并且时间隐蔽信道将得到全面的分析时间隐蔽信道将得到全面的分析 36TCSECTCSEC在这一级，设计环境将变的更重要在这一级，设计环境将变的更重要形式化高层规约的分析将对测试提供帮助形式化高层规约的分析将对测试提供帮助TCBTCB开发中使用的

21、工具的正确性及开发中使用的工具的正确性及TCBTCB运行的软硬运行的软硬件功能的正确性将得到更多的关注件功能的正确性将得到更多的关注37TCSECTCSEC超超A1A1级系统涉及的范围包括：级系统涉及的范围包括：系统体系结构系统体系结构安全测试安全测试形式化规约与验证形式化规约与验证可信设计环境等可信设计环境等38标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程 可信计算机系统评估准则（可信计算机系统评估准则（TCSECTCSEC）可信网络解释可信网络解释 （TNITNI）通用准则通用准则CC CC 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则

22、信息安全保证技术框架信息安全保证技术框架信息系统安全保护等级应用指南信息系统安全保护等级应用指南 39可信网络解释（可信网络解释（TNITNI）美国国防部计算机安全评估中心在完成美国国防部计算机安全评估中心在完成TCSECTCSEC的基的基础上，又组织了专门的研究镞对可信网络安全评估础上，又组织了专门的研究镞对可信网络安全评估进行研究，并于进行研究，并于19871987年发布了以年发布了以TCSECTCSEC为基础的为基础的可信网络解释，即可信网络解释，即TNITNI。TNITNI包括两个部分（包括两个部分（Part IPart I和和Part IIPart II）及三个附录）及三个附录（AP

23、PENDIX AAPPENDIX A、B B、C C）40可信网络解释（可信网络解释（TNITNI）TNITNI第一部分提供了在网络系统作为一个单一系统第一部分提供了在网络系统作为一个单一系统进行评估时进行评估时TCSECTCSEC中各个等级（从中各个等级（从D D到到A A类）的解类）的解释释与单机系统不同的是，网络系统的可信计算基称为与单机系统不同的是，网络系统的可信计算基称为网络可信计算基（网络可信计算基（NTCBNTCB）41可信网络解释（可信网络解释（TNITNI）第二部分以附加安全服务的形式提出了在网络互第二部分以附加安全服务的形式提出了在网络互联时出现的一些附加要求联时出现的一些

24、附加要求这些要求主要是针对完整性、可用性和保密性的这些要求主要是针对完整性、可用性和保密性的 42可信网络解释（可信网络解释（TNITNI）第二部分的评估是定性的，针对一个服务进行评估第二部分的评估是定性的，针对一个服务进行评估的结果一般分为为：的结果一般分为为：vnone none vminimum minimum vfair fair vgoodgood 43可信网络解释（可信网络解释（TNITNI）第二部分中关于每个服务的说明一般包括第二部分中关于每个服务的说明一般包括:一种相对简短的陈述一种相对简短的陈述相关的功能性的讨论相关的功能性的讨论 相关机制强度的讨论相关机制强度的讨论 相关保

25、证的讨论相关保证的讨论 44可信网络解释（可信网络解释（TNITNI）功能性是指一个安全服务的目标和实现方法，它功能性是指一个安全服务的目标和实现方法，它包括特性、机制及实现包括特性、机制及实现 机制的强度是指一种方法实现其目标的程度机制的强度是指一种方法实现其目标的程度有些情况下，参数的选择会对机制的强度带来很有些情况下，参数的选择会对机制的强度带来很大的影响大的影响 45可信网络解释（可信网络解释（TNITNI）保证是指相信一个功能会实现的基础保证是指相信一个功能会实现的基础保证一般依靠对理论、测试、软件工程等相关内保证一般依靠对理论、测试、软件工程等相关内容的分析容的分析分析可以是形式化

26、或非形式化的，也可以是理论分析可以是形式化或非形式化的，也可以是理论的或应用的的或应用的 46可信网络解释（可信网络解释（TNITNI）第二部分中列出的安全服务有：第二部分中列出的安全服务有：通信完整性通信完整性 拒绝服务拒绝服务 机密性机密性 47可信网络解释（可信网络解释（TNITNI）通信完整性主要涉及以下通信完整性主要涉及以下3 3方面：方面：鉴别：网络中应能够抵抗欺骗和重放攻击鉴别：网络中应能够抵抗欺骗和重放攻击 通信字段完整性：保护通信中的字段免受非授权的修改通信字段完整性：保护通信中的字段免受非授权的修改 抗抵赖：提供数据发送、接受的证据抗抵赖：提供数据发送、接受的证据 48可信

27、网络解释（可信网络解释（TNITNI）当网络处理能力下降到一个规定的界限以下或远程当网络处理能力下降到一个规定的界限以下或远程实体无法访问时，即发生了拒绝服务实体无法访问时，即发生了拒绝服务所有由网络提供的服务都应考虑拒绝服务的情况所有由网络提供的服务都应考虑拒绝服务的情况网络管理者应决定网络拒绝服务需求网络管理者应决定网络拒绝服务需求 49可信网络解释（可信网络解释（TNITNI）解决拒绝服务的方法有：解决拒绝服务的方法有：操作连续性操作连续性 基于协议的拒绝服务保护基于协议的拒绝服务保护 网络管理网络管理 50可信网络解释（可信网络解释（TNITNI）机密性是一系列安全服务的总称机密性是一

28、系列安全服务的总称 这些服务都是关于通过计算机通信网络在实体间传这些服务都是关于通过计算机通信网络在实体间传输信息的安全和保密的输信息的安全和保密的 具体又分具体又分3 3种情况：种情况：数据保密数据保密 通信流保密通信流保密 选择路由选择路由 51可信网络解释（可信网络解释（TNITNI）数据保密：数据保密：v数据保密性服务保护数据不被未授权地泄露数据保密性服务保护数据不被未授权地泄露v数据保密性主要受搭线窃听的威胁数据保密性主要受搭线窃听的威胁v被动的攻击包括对线路上传输的信息的观测被动的攻击包括对线路上传输的信息的观测 52可信网络解释（可信网络解释（TNITNI）通信流保密：通信流保密

29、：v针对通信流分析攻击而言，通信流分析攻击分析消针对通信流分析攻击而言，通信流分析攻击分析消息的长度、频率及协议的内容（如地址）息的长度、频率及协议的内容（如地址）v并以此推出消息的内容并以此推出消息的内容 53可信网络解释（可信网络解释（TNITNI）选择路由：选择路由：v路由选择控制是在路由选择过程中应用规则，以路由选择控制是在路由选择过程中应用规则，以便具体的选取或回避某些网络、链路或中继便具体的选取或回避某些网络、链路或中继v路由能动态的或预定地选取，以便只使用物理上路由能动态的或预定地选取，以便只使用物理上安全的子网络、链路或中继安全的子网络、链路或中继v在检测到持续的操作攻击时，端

30、系统可希望指示在检测到持续的操作攻击时，端系统可希望指示网络服务的提供者经不同的路由建立连接网络服务的提供者经不同的路由建立连接v带有某些安全标记的数据可能被策略禁止通过某带有某些安全标记的数据可能被策略禁止通过某些子网络、链路或中继些子网络、链路或中继 54可信网络解释（可信网络解释（TNITNI）TNITNI第二部分的评估更多地表现出定性和主观的特第二部分的评估更多地表现出定性和主观的特点，同第一部分相比表现出更多的变化点，同第一部分相比表现出更多的变化第二部分的评估是关于被评估系统能力和它们对第二部分的评估是关于被评估系统能力和它们对特定应用环境的适合性的非常有价值的信息特定应用环境的适

31、合性的非常有价值的信息第二部分中所列举的安全服务是网络环境下有代第二部分中所列举的安全服务是网络环境下有代表性的安全服务表性的安全服务在不同的环境下，并非所有的服务都同等重要，在不同的环境下，并非所有的服务都同等重要，同一服务在不同环境下的重要性也不一定一样同一服务在不同环境下的重要性也不一定一样55可信网络解释（可信网络解释（TNITNI）TNITNI的附录的附录A A是第一部分的扩展，主要是关于网络中是第一部分的扩展，主要是关于网络中组件及组件组合的评估组件及组件组合的评估附录附录A A把把TCSECTCSEC为为A1A1级系统定义的安全相关的策略分级系统定义的安全相关的策略分为四个相对独

32、立的种类，他们分别支持强制访问控为四个相对独立的种类，他们分别支持强制访问控制（制（MACMAC），自主访问控制（），自主访问控制（DACDAC），身份鉴别），身份鉴别（IAIA），审计（），审计（AUDITAUDIT）56可信网络解释（可信网络解释（TNITNI）组成部分的类型最小级别最大级别MB1A1DC1C2+IC1C2AC2C2+DIC1C2+DAC2C2+IAC2C2+IADC2C2+MDB1A1MAB1A1MIB1A1MDAB1A1MDIB1A1MIAB1A1MIADB1A157可信网络解释（可信网络解释（TNITNI）附录附录B B给出了根据给出了根据TCSECTCSEC对网络组

33、件进行评估的基对网络组件进行评估的基本原理本原理 附录附录C C则给出了几个则给出了几个AISAIS互联时的认证指南及互联中互联时的认证指南及互联中可能遇到的问题可能遇到的问题58可信网络解释（可信网络解释（TNITNI）TNITNI中关于网络有两种概念：中关于网络有两种概念：v一是单一可信系统的概念（一是单一可信系统的概念（single trusted systemsingle trusted system）v另一个是互联信息系统的概念（另一个是互联信息系统的概念（interconnected AISinterconnected AIS）这两个概念并不互相排斥这两个概念并不互相排斥 59可信

34、网络解释（可信网络解释（TNITNI）在单一可信系统中，网络具有包括各个安全相关部在单一可信系统中，网络具有包括各个安全相关部分的单一分的单一TCBTCB，称为，称为NTCBNTCB（network trusted network trusted computing basecomputing base）NTCBNTCB作为一个整体满足系统的安全体系设计作为一个整体满足系统的安全体系设计60可信网络解释（可信网络解释（TNITNI）在互联信息系统中在互联信息系统中各个子系统可能具有不同的安全策略各个子系统可能具有不同的安全策略具有不同的信任等级具有不同的信任等级并且可以分别进行评估并且可以分别

35、进行评估各个子系统甚至可能是异构的各个子系统甚至可能是异构的61可信网络解释（可信网络解释（TNITNI）安全策略的实施一般控制在各个子系统内，在附安全策略的实施一般控制在各个子系统内，在附录录C C中给出了各个子系统安全地互联的指南，在互中给出了各个子系统安全地互联的指南，在互联时要控制局部风险的扩散，排除整个系统中的联时要控制局部风险的扩散，排除整个系统中的级联问题（级联问题（cascade problemcascade problem）限制局部风险的扩散的方法：单向连接、传输的限制局部风险的扩散的方法：单向连接、传输的手工检测、加密、隔离或其他措施。手工检测、加密、隔离或其他措施。62标

36、准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程 可信计算机系统评估准则（可信计算机系统评估准则（TCSECTCSEC）可信网络解释可信网络解释 （TNITNI）通用准则通用准则CC CC 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 信息安全保证技术框架信息安全保证技术框架信息系统安全保护等级应用指南信息系统安全保护等级应用指南 63通用准则通用准则CCCCCCCC的范围的范围 :CCCC适用于硬件、固件和软件实现的信息技术安全措适用于硬件、固件和软件实现的信息技术安全措施施而某些内容因涉及特殊专业技术或仅是信息技术安而某些内容因涉及特殊专业技术

37、或仅是信息技术安全的外围技术不在全的外围技术不在CCCC的范围内的范围内 64通用准则通用准则CCCC评估上下文评估上下文 评估准则(通用准则）评估方法学评估方案最终评估 结果评估批准/证明证书表/(注册)65通用准则通用准则CCCC使用通用评估方法学可以提供结果的可重复性和客使用通用评估方法学可以提供结果的可重复性和客观性观性许多评估准则需要使用专家判断和一定的背景知识许多评估准则需要使用专家判断和一定的背景知识为了增强评估结果的一致性，最终的评估结果应提为了增强评估结果的一致性，最终的评估结果应提交给一个认证过程，该过程是一个针对评估结果的交给一个认证过程，该过程是一个针对评估结果的独立的

38、检查过程，并生成最终的证书或正式批文独立的检查过程，并生成最终的证书或正式批文66通用准则通用准则CCCCCCCC包括三个部分包括三个部分:第一部分：简介和一般模型第一部分：简介和一般模型 第二部分：安全功能要求第二部分：安全功能要求 第三部分：安全保证要求第三部分：安全保证要求 67通用准则通用准则CCCC安安 全全 保保 证证 要要 求求 部部 分分 提提 出出 了了 七七 个个 评评 估估 保保 证证 级级 别别（Evaluation Assurance LevelsEvaluation Assurance Levels：EALsEALs）分别是：分别是：EAL1EAL1：功能测试：功能

39、测试EAL2EAL2：结构测试：结构测试EAL3EAL3：系统测试和检查：系统测试和检查EAL4EAL4：系统设计、测试和复查：系统设计、测试和复查EAL5EAL5：半形式化设计和测试：半形式化设计和测试EAL6EAL6：半形式化验证的设计和测试：半形式化验证的设计和测试EAL7EAL7：形式化验证的设计和测试：形式化验证的设计和测试 68通用准则通用准则CCCCCCCC的一般模型的一般模型一般安全上下文一般安全上下文 TOETOE评估评估 CCCC安全概念安全概念 69通用准则通用准则CCCC安全就是保护资产不受威胁，威胁可依据滥用被保安全就是保护资产不受威胁，威胁可依据滥用被保护资产的可能

40、性进行分类护资产的可能性进行分类 所有的威胁类型都应该被考虑到所有的威胁类型都应该被考虑到在安全领域内，被高度重视的威胁是和人们的恶意在安全领域内，被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的攻击及其它人类活动相联系的 7070通用准则通用准则CCCC 安安全全概概念念和和关关系系71通用准则通用准则CCCC安全性损坏一般包括但又不仅仅包括以下几项安全性损坏一般包括但又不仅仅包括以下几项资产破坏性地暴露于未授权的接收者（失去保密性）资产破坏性地暴露于未授权的接收者（失去保密性）资产由于未授权的更改而损坏（失去完整性）资产由于未授权的更改而损坏（失去完整性）或资产访问权被未授权的丧失

41、（失去可用性）或资产访问权被未授权的丧失（失去可用性）72通用准则通用准则CCCC资产所有者必须分析可能的威胁并确定哪些存在于资产所有者必须分析可能的威胁并确定哪些存在于他们的环境他们的环境，其后果就是风险其后果就是风险 对策用以（直接或间接地）减少脆弱性并满足资产对策用以（直接或间接地）减少脆弱性并满足资产所有者的安全策略所有者的安全策略 在将资产暴露于特定威胁之前，所有者需要确信其在将资产暴露于特定威胁之前，所有者需要确信其对策足以应付面临的威胁对策足以应付面临的威胁 7373通用准则通用准则CCCC 评评估估概概念念 和和关关系系7474通用准则通用准则CCCCTOETOE评评估估过过程

42、程75通用准则通用准则CCCCTOETOE评估过程的主要输入有评估过程的主要输入有：一系列一系列TOETOE证据，包括评估过的证据，包括评估过的STST作为作为TOETOE评估的基础评估的基础需要评估的需要评估的TOETOE评估准则、方法和方案评估准则、方法和方案 另另外外，说说明明性性材材料料（例例如如CCCC的的使使用用说说明明书书）和和评评估估者者及及评估组织的评估组织的ITIT安全专业知识也常用来作为评估过程的输入安全专业知识也常用来作为评估过程的输入76通用准则通用准则CCCC评估过程通过两种途径产生更好的安全产品评估过程通过两种途径产生更好的安全产品评估过程能发现开发者可以纠正的评

43、估过程能发现开发者可以纠正的TOETOE错误或弱点，从而错误或弱点，从而在减少将来操作中安全失效的可能性在减少将来操作中安全失效的可能性另一方面，为了通过严格的评估，开发者在另一方面，为了通过严格的评估，开发者在TOETOE设计和开设计和开发时也将更加细心发时也将更加细心因此，评估过程对最初需求、开发过程、最终产品以及操作环境将产因此，评估过程对最初需求、开发过程、最终产品以及操作环境将产生强烈的积极影响生强烈的积极影响 77通用准则通用准则CCCC只有在只有在ITIT环境中考虑环境中考虑ITIT组件保护资产的能力时，组件保护资产的能力时，CCCC才是可用的才是可用的为了表明资产是安全的，安全

44、考虑必须出现在所有为了表明资产是安全的，安全考虑必须出现在所有层次的表述中，包括从最抽象到最终的层次的表述中，包括从最抽象到最终的ITIT实现实现 CCCC要求在某层次上的表述包含在该层次上要求在某层次上的表述包含在该层次上TOETOE描述描述的基本原理的基本原理 78通用准则通用准则CCCCCCCC安全概念安全概念包括：包括：安全环境安全环境 安全目的安全目的 ITIT安全要求安全要求 TOETOE概要规范概要规范 79通用准则通用准则CCCC安全环境包括所有相关的法规、组织性安全策略、安全环境包括所有相关的法规、组织性安全策略、习惯、专门技术和知识习惯、专门技术和知识 它定义了它定义了TO

45、ETOE使用的上下文，安全环境也包括环境使用的上下文，安全环境也包括环境里出现的安全威胁里出现的安全威胁 80通用准则通用准则CCCC为建立安全环境，必须考虑以下几点：为建立安全环境，必须考虑以下几点：TOETOE物理环境，指所有的与物理环境，指所有的与TOETOE安全相关的安全相关的TOETOE运行环境，包括已知的物理和人事的安全安排运行环境，包括已知的物理和人事的安全安排需要根据安全策略由需要根据安全策略由TOETOE的元素实施保护的资产。的元素实施保护的资产。包括可直接相关的资产（如文件和数据库）和间包括可直接相关的资产（如文件和数据库）和间接受安全要求支配的资产（如授权凭证和接受安全要

46、求支配的资产（如授权凭证和ITIT实现实现本身）本身）TOETOE目的，说明产品类型和可能的目的，说明产品类型和可能的TOETOE用途用途 81通用准则通用准则CCCC安全环境的分析结果被用来阐明对抗已标识的威胁、安全环境的分析结果被用来阐明对抗已标识的威胁、说明组织性安全策略和假设的安全目的说明组织性安全策略和假设的安全目的安全目的和已说明的安全目的和已说明的TOETOE运行目标或产品目标以及运行目标或产品目标以及有关的物理环境知识一致有关的物理环境知识一致 确定安全目的的意图是为了阐明所有的安全考虑并确定安全目的的意图是为了阐明所有的安全考虑并指出哪些安全方面的问题是直接由指出哪些安全方面

47、的问题是直接由TOETOE还是由它的还是由它的环境来处理环境来处理环境安全目的将在环境安全目的将在ITIT领域内用非技术上的或程序化领域内用非技术上的或程序化的手段来实现的手段来实现 82通用准则通用准则CCCCITIT安全要求是将安全目的细化为一系列安全要求是将安全目的细化为一系列TOETOE及其环及其环境的安全要求，一旦这些要求得到满足，就可以保境的安全要求，一旦这些要求得到满足，就可以保证证TOETOE达到它的安全目的达到它的安全目的 ITIT安全需求只涉及安全需求只涉及TOETOE安全目的和它的安全目的和它的ITIT环境环境 83通用准则通用准则CCCCSTST中提供的中提供的TOET

48、OE概要规范定义概要规范定义TOETOE安全要求的实现安全要求的实现方法方法它提供了分别满足功能需求和保证需求的安全功能它提供了分别满足功能需求和保证需求的安全功能和保证措施的高层定义和保证措施的高层定义 84通用准则通用准则CCCCCCCC定义了一系列与已知有效的安全要求集合相结合定义了一系列与已知有效的安全要求集合相结合的概念，该概念可被用来为预期的产品和系统建立的概念，该概念可被用来为预期的产品和系统建立安全需求安全需求CCCC安全要求以类安全要求以类族族组件这种层次方式组织，以帮组件这种层次方式组织，以帮助用户定位特定的安全要求助用户定位特定的安全要求对功能和保证方面的要求，对功能和保

49、证方面的要求，CCCC使用相同的风格、组使用相同的风格、组织方式和术语。织方式和术语。8585通用准则通用准则CCCC 要要求求的的组组织织和和结结构构86通用准则通用准则CCCCCCCC中安全要求的描述方法中安全要求的描述方法：类：类：类用作最通用安全要求的组合，类的所有的成类用作最通用安全要求的组合，类的所有的成员关注共同的安全焦点，但覆盖不同的安全目的员关注共同的安全焦点，但覆盖不同的安全目的 族：类的成员被称为族族：类的成员被称为族。族是若干组安全要求的组族是若干组安全要求的组合，这些要求有共同的安全目的，但在侧重点和严合，这些要求有共同的安全目的，但在侧重点和严格性上有所区别格性上有

50、所区别 组件：族的成员被称为组件。组件描述一组特定的组件：族的成员被称为组件。组件描述一组特定的安全要求集，它是安全要求集，它是CCCC定义的结构中所包含的最小的定义的结构中所包含的最小的可选安全要求集可选安全要求集 87通用准则通用准则CCCC组件由单个元素组成，元素是安全需求最低层次的组件由单个元素组成，元素是安全需求最低层次的表达，并且是能被评估验证的不可分割的安全要求表达，并且是能被评估验证的不可分割的安全要求 族内具有相同目标的组件可以以安全要求强度（或族内具有相同目标的组件可以以安全要求强度（或能力）逐步增加的顺序排列，也可以部分地按相关能力）逐步增加的顺序排列，也可以部分地按相关