网络安全评估第一讲

1第一讲第一讲网络系统平安风险评估网络系统平安风险评估计算机科学与技术学院计算机科学与技术学院计算机科学与技术学院计算机科学与技术学院2推荐教材3内容提纲内容提纲一、风险评估的目的一、风险评估的目的一、风险评估的目的一、风险评估的目的二、通用准那么二、通用准那么二、通用准那么二、通用准那么CCCCCCCC4一、风险评估的目的了解组织的平安现状了解组织的平安现状分析组织的平安需求分析组织的平安需求建立信息平安管理体系的要求建立信息平安管理体系的要求制订平安策略和实施安防措施的依据制订平安策略和实施安防措施的依据组织实现信息平安的必要的、重要的步骤组织实现信息平安的必要的、重要的步骤52024/7/55二、风险的要素资产及其价值资产及其价值威胁威胁脆弱性脆弱性现有的和方案的控制措施现有的和方案的控制措施62024/7/56资产的分类n电子信息资产电子信息资产n软件资产软件资产n物理资产物理资产n人员人员n公司形象和名誉公司形象和名誉7威胁举例黑客入侵和攻击黑客入侵和攻击病毒和其他恶意程序病毒和其他恶意程序软硬件故障软硬件故障人为误操作人为误操作自然灾害如：地震、火灾、爆自然灾害如：地震、火灾、爆炸等炸等盗窃盗窃网络监听网络监听供电故障供电故障后门后门未授权访问未授权访问8脆弱性o是与信息资产有关的弱点或平安隐患。是与信息资产有关的弱点或平安隐患。o脆弱性本身并不对资产构成危害，但是在脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。以利用来对信息资产造成危害。9脆弱性举例系统漏洞系统漏洞程序程序Bug专业人员缺乏专业人员缺乏不良习惯不良习惯系统没有进行平安系统没有进行平安配置配置物理环境不平安物理环境不平安缺少审计缺少审计缺乏平安意识缺乏平安意识后门后门10风险分析矩阵风险分析矩阵风险程度风险程度 可能性 后果可以忽略1较小2中等3较大4灾难性5A（几乎肯定）HHEEEB（很可能）MHH EEC (可能）LMHEED（不太可能）LLMHEE（罕见）LLMHH E E：极度风险：极度风险 H H：高风险：高风险 M M：中等风险：中等风险 L:L:低风险低风险11国际上常见的风险控制流程确定风险评估方法确定风险评估方法 风险评估风险评估确定安全需求确定安全需求法律、法规法律、法规系统任务和使命系统任务和使命系统建设阶段、规模系统建设阶段、规模资产、威胁、资产、威胁、脆弱性、现有措施脆弱性、现有措施法律、法规，系统法律、法规，系统任务和使命、评估结果任务和使命、评估结果制定安全策略制定安全策略选择风险控制措施选择风险控制措施验证措施实施效果验证措施实施效果安全需求安全需求技术限制、资源限制技术限制、资源限制安全需求、安全需求、实施效果实施效果安全策略文件安全策略文件风险评估报告风险评估报告安全需求报告安全需求报告风险管理方案风险管理方案适用性声明适用性声明验证报告验证报告12提提提提供供供供采采采采取取取取降降降降低低低低影响影响影响影响完成完成完成完成保保保保护护护护平安保证技术提供者平安保证技术提供者平安保证技术提供者平安保证技术提供者系统评估者系统评估者系统评估者系统评估者平安保证平安保证平安保证平安保证信心信心信心信心风险风险风险风险对策对策对策对策资产资产资产资产使命使命使命使命资产拥有者资产拥有者资产拥有者资产拥有者价价价价值值值值给出证据给出证据给出证据给出证据生成保证生成保证生成保证生成保证具有具有具有具有信息平安有效评估的目标信息平安有效评估的目标13风险评估要素关系模型风险评估要素关系模型业务战略资产风险剩余风险资产价值平安需求平安措施脆弱性威胁平安事件依赖拥有增加导出本钱满足降低未控制残留可能诱发演变抗击增加利用增加暴露未满足14信息系统平安风险评估的特征o信息系统是一个巨型复杂系统系统要素、平安要素信息系统是一个巨型复杂系统系统要素、平安要素o信息系统受制于外部因素物理环境、行政管理、人员信息系统受制于外部因素物理环境、行政管理、人员o作业连续性保证作业连续性保证o威胁和风险在同领域内的相似性威胁和风险在同领域内的相似性o自评估、委托评估、检察评估自评估、委托评估、检察评估15风险评估的一般工作流程风险评估的一般工作流程风险评估活动风险评估活动16风险评估的一般工作流程风险评估的一般工作流程风险评估活动风险评估活动17风险评估的一般工作流程风险评估的一般工作流程风险评估活动风险评估活动18评估工具评估工具评估工具目前存在以下几类：评估工具目前存在以下几类：扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞；常见漏洞；入侵检测系统入侵检测系统IDS：用于收集与统计威胁数据；：用于收集与统计威胁数据；渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞；渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞；主机平安性审计工具：用于分析主机系统配置的平安性；主机平安性审计工具：用于分析主机系统配置的平安性；平安管理评价系统：用于平安访谈，评价平安管理措施；平安管理评价系统：用于平安访谈，评价平安管理措施；风险综合分析系统：在根底数据根底上，定量、综合分析系统的风险，风险综合分析系统：在根底数据根底上，定量、综合分析系统的风险，并且提供分类统计、查询、并且提供分类统计、查询、TOP N查询以及报表输出功能；查询以及报表输出功能；评估支撑环境工具评估支撑环境工具:评估指标库、知识库、漏洞库、算法库、模型库。评估指标库、知识库、漏洞库、算法库、模型库。19GB 18336 idt ISO/IEC 15408信息技术平安性评估准那么信息技术平安性评估准那么IATF 信息保障技术框架信息保障技术框架ISSE 信息系统平安工程信息系统平安工程SSE-CMM系统平安工程能力成熟度模型系统平安工程能力成熟度模型BS 7799,ISO/IEC 17799信息平安管理实践准那么信息平安管理实践准那么其他相关标准、准那么其他相关标准、准那么例如：例如：ISO/IEC 15443,COBIT。系统认证和认可标准和实践系统认证和认可标准和实践例如：美国例如：美国DITSCAP,中国信息平安产品测评认证中心中国信息平安产品测评认证中心相关文档和系统测评认证实践相关文档和系统测评认证实践技术准那么技术准那么信息技术系统评估准那么信息技术系统评估准那么管理准那么管理准那么信息系统管理评估准那么信息系统管理评估准那么过程准那么过程准那么信息系统平安工程评估准那么信息系统平安工程评估准那么信信息息系系统统平平安安保保障障评评估估准准那那么么与与现现有有标标准准关关系系信息系统平安保障评估准那么信息系统平安保障评估准那么20o信息技术平安评估准那么开展过程信息技术平安评估准那么开展过程 o?可信计算机系统评估准那么可信计算机系统评估准那么?TCSECo?信息技术平安评估准那么信息技术平安评估准那么?ITSECo通用准那么通用准那么CCISO 15408、GB/T18336)o?计算机信息系统平安保护等级划分准那么计算机信息系统平安保护等级划分准那么?oBS7799、ISO17799o?信息技术信息技术 平安技术平安技术 信息技术平安性评估准那么信息技术平安性评估准那么?oISO13335?IT平安管理指南平安管理指南?oSSE-CMM 系统平安工程能力成熟度模型系统平安工程能力成熟度模型o我国的信息平安标准制定情况我国的信息平安标准制定情况标准介绍标准介绍保障信息平安有三保障信息平安有三个支柱，一个是技个支柱，一个是技术、一个是管理、术、一个是管理、一个是法律法规。一个是法律法规。国家的法律法规，国家的法律法规，有专门的部门在研有专门的部门在研究和制定和推广。究和制定和推广。根据国务院根据国务院27号文号文件，对信息平安实件，对信息平安实施分级平安保护的施分级平安保护的规定出台后，各有规定出台后，各有关部门都在积极制关部门都在积极制定相关的制度和法定相关的制度和法规，当前被普遍采规，当前被普遍采用的技术标准的是用的技术标准的是CC/ISO 15408，管，管理体系标准是理体系标准是ISO 17799/BS 7799。21通用准那么通用准那么CCISO/IEC 15408oGB/T1833622信息技术平安评估准那么开展过程19991999年年 GB 17859 GB 17859 计算机信息计算机信息系统平安保护等级划分准那么系统平安保护等级划分准那么19911991年欧洲信息技年欧洲信息技术平安性评估准那术平安性评估准那么么ITSECITSEC国际通用准那么国际通用准那么19961996年年CC1.0CC1.019981998年年CC2.0CC2.019851985年美国可信计年美国可信计算机系统评估准那算机系统评估准那么么TCSECTCSEC19931993年年 加拿大可加拿大可信计算机产品评估信计算机产品评估准那么准那么CTCPECCTCPEC19931993年美国联邦年美国联邦准那么准那么FC 1.0FC 1.019991999年年 国际标准国际标准ISO/IEC 15408ISO/IEC 1540819891989年年 英国英国可信级别标准可信级别标准MEMO 3 DTIMEMO 3 DTI德国评估标准德国评估标准ZSEICZSEIC法国评估标准法国评估标准B-W-R BOOKB-W-R BOOK20012001年年 国家标准国家标准GB/T 18336 GB/T 18336 信息技术平安信息技术平安性评估准那么性评估准那么idt iso/iec15408idt iso/iec1540819931993年美年美国国NISTNIST的的MSFRMSFR23CC的适用范围oCC定义了评估信息技术产品和系统平安型所需的根底准那么，是度量信息技术平安性的基准o针对在平安评估过程中信息技术产品和系统的平安功能及相应的保证措施提出的一组通用要求，使各种相对独立的平安评估结果具有可比性。o该标准适用于对信息技术产品或系统的平安性进行评估，不管其实现方式是硬件、固件还是软件，还可用于指导产品和系统开发。o该标准的主要目标读者是用户、开发者、评估者。24CC内容oCC吸收了个先进国家对现代信息系统平安的经验和知识，对信息系统平安的研究和应用定来了深刻的影响。它分为三局部：o第一局部介绍CC的根本概念和根本原理；o第二局部提出了平安功能要求；o第三局部提出了非技术性的平安保证要求。25CC内容o后两局部构成了CC平安要求的全部：平安功能要求和平安保证要求，其中平安保证的目的是为了确保平安功能的正确性和有效性，这是从ITSEC和CTCPEC中吸收的。同时CC还从FC中吸收了保护轮廓的(PP)的概念，从而为CC的应用和开展提供了最大可能的空间和自由度。oCC定义了作为评估信息技术产品和系统平安性的根底准那么，提出了目前国际上公认的表述信息技术平安性的结构，即：o平安要求=标准产品和系统平安行为的功能要求+解决如何正确有效的实施这些功能的保证要求。26CC的关键概念o评估对象评估对象Target of Evaluation,TOE)o用于平安评估的信息技术产品、系统或子系统如防火墙、计用于平安评估的信息技术产品、系统或子系统如防火墙、计算机网络、密码模块等，包括相关的管理员指南、用户指南、算机网络、密码模块等，包括相关的管理员指南、用户指南、设计方案等文档。设计方案等文档。o保护轮廓保护轮廓Protection Profile,PP)o为既定的一系列平安对象提出功能和保证要求的完备集合，表为既定的一系列平安对象提出功能和保证要求的完备集合，表达了一类产品或系统的用户需求。达了一类产品或系统的用户需求。oPP与某个具体的与某个具体的TOE无关，它定义的是用户对这类无关，它定义的是用户对这类TOE的平安需求。的平安需求。o主要内容：需保护的对象；确定平安环境；主要内容：需保护的对象；确定平安环境；TOE的平安目的；的平安目的；IT平安要求；根本原理平安要求；根本原理o在标准体系中在标准体系中PP相当于产品标准，也有助于过程标准性标准相当于产品标准，也有助于过程标准性标准的开发。的开发。o国内外已对应用级防火墙、包过滤防火墙、智能卡等开发了相国内外已对应用级防火墙、包过滤防火墙、智能卡等开发了相应的应的PP。27CC的关键概念o平安目标Security Target)oST针对具体TOE而言，它包括该TOE的平安要求和用于满足平安要求的特定平安功能和保证措施。oST包括的技术要求和保证措施可以直接引用该TOE所属产品或系统类的PP。oST是开发者、评估者、用户在TOE平安性和评估范围之间达成一致的根底。oST相当于产品和系统的实现方案，与ITSEC的平安目标类似。oTOE Security Policy(TSP)TOE平安策略o控制TOE中资产如何管理、保护和分发的规那么。28CC的关键概念oTOE Security Functions(TSF)TOE平安功能o必须依赖于TSP正确执行的TOE的所有部件。o组件Component)o组件描述了一组特定的平安要求，使可供PP、ST或包选取的最小的平安要求集合。o在CC中，以“类_族.组件号的方式来标识组件。o包Package)o组件依据某个特定关系的组合，就构成了包。o构建包的目的是定义那些公认有用的、对满足某个特定平安目的有效的平安要求。o包可以用来构造更大的包，PP和ST。包可以重复使用。oCC中有功能包和保证包两种形式。29CC的关键概念30CC的关键概念31CC的关键概念32CC的先进性 o结构的开放性结构的开放性o 即功能要求和保证要求都可以在具体的即功能要求和保证要求都可以在具体的“保护轮廓和保护轮廓和“平安目标中进一步细化和扩展，如可以增加平安目标中进一步细化和扩展，如可以增加“备份和恢复备份和恢复方面的功能要求或一些环境平安要求。这种开放式的结构方面的功能要求或一些环境平安要求。这种开放式的结构更适应信息技术和信息平安技术的开展。更适应信息技术和信息平安技术的开展。o表达方式的通用性表达方式的通用性o 即给出通用的表达方式。如果用户、开发者、评估者、认即给出通用的表达方式。如果用户、开发者、评估者、认可者等目标读者都使用可者等目标读者都使用CC的语言，互相之间就更容易理解沟的语言，互相之间就更容易理解沟通。用户使用通。用户使用CC的语言表述自己的平安需求，开发者就可以的语言表述自己的平安需求，开发者就可以更具针对性地描述产品和系统的平安功能和性能，评估者也更具针对性地描述产品和系统的平安功能和性能，评估者也更容易有效地进行客观评估，并确保用户更容易理解评估结更容易有效地进行客观评估，并确保用户更容易理解评估结果。这种特点对标准实用方案的编写和平安性测试评估都具果。这种特点对标准实用方案的编写和平安性测试评估都具有重要意义。这种特点也是进行合格评定和使评估结果实现有重要意义。这种特点也是进行合格评定和使评估结果实现国际互认的需要。国际互认的需要。33CC的先进性o结构和表达方式的内在完备性和实用性结构和表达方式的内在完备性和实用性o表达在表达在“保护轮廓和保护轮廓和“平安目标的编制上。平安目标的编制上。o“保护轮廓主要用于表达一类产品或系统的用户需求，在标准化保护轮廓主要用于表达一类产品或系统的用户需求，在标准化体系中可以作为平安技术类标准对待。体系中可以作为平安技术类标准对待。o 内容主要包括：内容主要包括：o对该类产品或系统的界定性描述，即确定需要保护的对象；对该类产品或系统的界定性描述，即确定需要保护的对象；o确定平安环境，即指明平安问题确定平安环境，即指明平安问题需要保护的资产、的威胁、用需要保护的资产、的威胁、用户的组织平安策略；户的组织平安策略；o产品或系统的平安目的，即对平安问题的相应对策产品或系统的平安目的，即对平安问题的相应对策技术性和非技术性和非技术性措施；技术性措施；o信息技术平安要求，包括功能要求、保证要求和环境平安要求，这信息技术平安要求，包括功能要求、保证要求和环境平安要求，这些要求通过满足平安目的，进一步提出具体在技术上如何解决平安些要求通过满足平安目的，进一步提出具体在技术上如何解决平安问题；问题；34根本原理，指明平安要求对平安目的、平安目的对平安根本原理，指明平安要求对平安目的、平安目的对平安环境是充分且必要的；环境是充分且必要的；附加的补充说明信息。附加的补充说明信息。“保护轮廓编制，一方面解决了技术与真实客观需求保护轮廓编制，一方面解决了技术与真实客观需求之间的内在完备性；之间的内在完备性；另一方面用户通过分析所需要的产品和系统面临的平安另一方面用户通过分析所需要的产品和系统面临的平安问题，明确所需的平安策略，进而确定应采取的平安问题，明确所需的平安策略，进而确定应采取的平安措施，包括技术和管理上的措施，这样就有助于提高措施，包括技术和管理上的措施，这样就有助于提高平安保护的针对性、有效性。平安保护的针对性、有效性。CC的先进性35根本原理，指明平安要求对平安目的、平安目的对平安环根本原理，指明平安要求对平安目的、平安目的对平安环境是充分且必要的；境是充分且必要的；“平安目标在平安目标在“保护轮廓的根底上，通过将平安要求保护轮廓的根底上，通过将平安要求进一步针对性具体化，解决了要求的具体实现。常见的进一步针对性具体化，解决了要求的具体实现。常见的实用方案就可以当成实用方案就可以当成“平安目标对待。平安目标对待。通过通过“保护轮廓和保护轮廓和“平安目标这两种结构，就便于将平安目标这两种结构，就便于将CC的平安性要求具体应用到的平安性要求具体应用到IT产品的开发、生产、测产品的开发、生产、测35试、评估和信息系统的集成、运行、评估、管理中。试、评估和信息系统的集成、运行、评估、管理中。CC的先进性36CC内容之间的关系oCC的三个局部相互依存，缺一不可。的三个局部相互依存，缺一不可。o第第1局部是介局部是介绍绍CC的根本概念和根本原理；的根本概念和根本原理；o第第2局部提出了技局部提出了技术术要求；要求；o第第3局部提出了非技局部提出了非技术术性要求和性要求和对对开开发过发过程、工程程、工程过过程程的要求。的要求。o三个局部有机地三个局部有机地结结合成一个整体。合成一个整体。o具体表达在具体表达在“保保护轮护轮廓和廓和“平安目平安目标标 中，中，“保保护轮护轮廓廓和和“平安目平安目标标的概念和原理由第的概念和原理由第1局部介局部介绍绍，“保保护护轮轮廓和廓和“平安目平安目标标中的平安功能要求和平安保中的平安功能要求和平安保证证要要求在第求在第2、3局部局部选选取，取，这这些平安要求的完些平安要求的完备备性和一致性和一致性，由第性，由第2、3两局部来保两局部来保证证。37保护轮廓与平安目标的关系38通用准那么CCCC包括三个局部包括三个局部:第一局部：简介和一般模型第一局部：简介和一般模型 第二局部：平安功能要求第二局部：平安功能要求 第三局部：平安保证要求第三局部：平安保证要求 39通用准那么CC：第一局部 介绍和通用模型o平安就是保护资产不受威胁，威胁可依据滥用平安就是保护资产不受威胁，威胁可依据滥用被保护资产的可能性进行分类被保护资产的可能性进行分类 o所有的威胁类型都应该被考虑到所有的威胁类型都应该被考虑到o在平安领域内，被高度重视的威胁是和人们的在平安领域内，被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的恶意攻击及其它人类活动相联系的 40CC 第一局部内容141CC 第一局部内容242通用准那么CCCC中平安需求的描述方法中平安需求的描述方法:包包:组件的中间组合被称为包组件的中间组合被称为包 保护轮廓保护轮廓(PP):PP是关于一系列满足一个平安目是关于一系列满足一个平安目标集的标集的TOE的、与实现无关的描述的、与实现无关的描述 平安目标平安目标(ST)：ST是针对特定是针对特定TOE平安要求的平安要求的描述，通过评估可以证明这些平安要求对满足描述，通过评估可以证明这些平安要求对满足指定目的是有用和有效的指定目的是有用和有效的43通用准那么CCo包允许对功能或保证需求集合的描述，这个集包允许对功能或保证需求集合的描述，这个集合能够满足一个平安目标的可标识子集合能够满足一个平安目标的可标识子集o包可重复使用，可用来定义那些公认有用的、包可重复使用，可用来定义那些公认有用的、能够有效满足特定平安目标的要求能够有效满足特定平安目标的要求o包可用在构造更大的包、包可用在构造更大的包、PP和和ST中中 44通用准那么CCoPP包含一套来自包含一套来自CC或明确阐述的平安要或明确阐述的平安要求，它应包括一个评估保证级别求，它应包括一个评估保证级别EALoPP可反复使用，还可用来定义那些公认有用的、可反复使用，还可用来定义那些公认有用的、能够有效满足特定平安目标的能够有效满足特定平安目标的TOE要求要求oPP包括平安目的和平安要求的根本原理包括平安目的和平安要求的根本原理 oPP的开发者可以是用户团体、的开发者可以是用户团体、IT产品开发者或产品开发者或其它对定义这样一系列通用要求有兴趣的团体其它对定义这样一系列通用要求有兴趣的团体 45通用准那么CC：保护轮廓内容结构46通用准那么CCo平安目标平安目标(ST)包括一系列平安要求，这些要求可以引用包括一系列平安要求，这些要求可以引用PP，也可，也可以直接引用以直接引用CC中的功能或保证组件，或明确说明中的功能或保证组件，或明确说明o一个一个ST包含包含TOE的概要标准，平安要求和目的，以及它们的根本的概要标准，平安要求和目的，以及它们的根本原理原理oST是所有团体间就是所有团体间就TOE应提供什么样的平安性达成一致的根底应提供什么样的平安性达成一致的根底 47通用准那么CC：平安目标ST内容结构48通用准那么CCCC框架下的评估类型框架下的评估类型 PP评估评估PP评估的目标是为了证明评估的目标是为了证明PP是完备的、一致的、技术合理的，而且适合于作是完备的、一致的、技术合理的，而且适合于作为一个可评估为一个可评估TOE的平安要求的声明的平安要求的声明ST评估评估ST评估具有双重目标：评估具有双重目标：首先是为了证明首先是为了证明ST是完备的、一致的、技术合理的，而且适合于用作相应是完备的、一致的、技术合理的，而且适合于用作相应TOE评估的根底评估的根底其次，当某一其次，当某一ST宣称与某一宣称与某一PP一致时，证明一致时，证明ST满足该满足该PP的要求的要求TOE评估评估 TOE评估的目标是为了证明评估的目标是为了证明TOE满足满足ST中的平安要求中的平安要求49通用准那么CC三种评估的关系三种评估的关系50通用准那么CC 第二局部：平安功能要求oCC的第二局部是平安功能要求，对满足平安需求的诸平安功能的第二局部是平安功能要求，对满足平安需求的诸平安功能提出了详细的要求提出了详细的要求o另外，如果有超出第二局部的平安功能要求，开发者可以根据另外，如果有超出第二局部的平安功能要求，开发者可以根据“类类-族族-组件组件-元素的描述结构表达其平安要求，并附加在其元素的描述结构表达其平安要求，并附加在其ST中中51通用准那么CC 第二局部：平安功能要求52通用准那么CC 第二局部：平安功能要求53通用准那么CC 第二局部：平安功能要求54通用准那么CC 第二局部：平安功能要求55平安功能需求层次关系功能和保证要求以“类族组件的结构表述，组件作为平安要求的最小构件块，可以用于“保护轮廓、“平安目标和“包的构建，例如由保证组件构成典型的包“评估保证级包。56通用准那么CCCC共包含的共包含的11个平安功能类，如下：个平安功能类，如下：FAU类：平安审计类：平安审计FCO类：通信类：通信FCS类：密码支持类：密码支持FDP类：用户数据保护类：用户数据保护FIA类：标识与鉴别类：标识与鉴别FMT类：平安管理类：平安管理FPR类：隐秘类：隐秘FPT类：类：TSF保护保护FAU类：资源利用类：资源利用FTA类：类：TOE访问访问FTP类：可信路径类：可信路径/信道信道57通用准那么CC：第三局部 评估方法oCC的第三局部是评估方法局部，提出了的第三局部是评估方法局部，提出了PP、ST、TOE三种评估，三种评估，共包括共包括10个类，但其中的个类，但其中的APE类与类与ASE类分别介绍了类分别介绍了PP与与ST的的描述结构及评估准那么描述结构及评估准那么o维护类提出了保证评估过的受测系统或产品运行于所获得的平安维护类提出了保证评估过的受测系统或产品运行于所获得的平安级别上的要求级别上的要求o只有七个平安保证类是只有七个平安保证类是TOE的评估类别的评估类别 58通用准那么CC：第三局部 评估方法59通用准那么CC：第三局部 评估方法60通用准那么CC：第三局部 评估方法61通用准那么CC：第三局部 评估方法62通用准那么CC：第三局部 评估方法63通用准那么CC七个平安保证类七个平安保证类ACM类：配置管理类：配置管理CM 自动化自动化 CM 能力能力CM 范围范围ADO类：交付和运行类：交付和运行交付交付 安装、生成和启动安装、生成和启动ADV类：开发类：开发功能标准功能标准 高层设计高层设计实现表示实现表示 TSF内部内部低层设计低层设计 表示对应性表示对应性平安策略模型平安策略模型644.AGD类：指南文档类：指南文档5.管理员指南管理员指南 用户指南用户指南6.ALC类：生命周期支持类：生命周期支持7.开发平安开发平安 缺陷纠正缺陷纠正8.生命周期定义生命周期定义 工具和技术工具和技术9.ATE类：测试类：测试10.覆盖范围覆盖范围 深度深度11.功能测试功能测试 独立性测试独立性测试12.AVA类：脆弱性评定类：脆弱性评定13.隐蔽信道分析隐蔽信道分析 误用误用14.TOE平安功能强度平安功能强度15.脆弱性分析脆弱性分析通用准那么CC65通用准那么CC 平安保证要求局部提出了七个评估保证级别平安保证要求局部提出了七个评估保证级别Evaluation Assurance Levels：EALs分别是：分别是：66通用准那么CC：EAL解释67通用准那么CC：EAL解释68CC的EAL与其他标准等级的比较697071PP根本原理o对PP进行评估的依据，证明PP是一个完整的、紧密结合的要求集合，满足该PP的TOE将在平安环境内提供一组有效的IT平安对策o平安目的根本原理o平安要求根本原理威胁组织平安策略假设平安需求IT平安要求TOE 目的环境的目的平安目的相互支持支持支持恰好满足恰好满足恰好满足恰好满足功能强度声明一致一致72通用准那么CCCC优点：优点：CC代表了先进的信息平安评估标准的开展方向，基于代表了先进的信息平安评估标准的开展方向，基于CC的的IT平安测评认证正在逐渐为更多的国家所采纳，平安测评认证正在逐渐为更多的国家所采纳，CC的互认可的互认可协定签署国也在不断增多。根据协定签署国也在不断增多。根据IT平安领域内平安领域内CC认可协认可协议，在协议签署国范围内，在某个国家进行的基于议，在协议签署国范围内，在某个国家进行的基于CC的平的平安评估将在其他国家内得到成认。截止安评估将在其他国家内得到成认。截止2003年年3月，参加月，参加该协议的国家共有十五个：澳大利亚、新西兰、加拿大、该协议的国家共有十五个：澳大利亚、新西兰、加拿大、芬兰、法国、德国、希腊、以色列、意大利、荷兰、挪威、芬兰、法国、德国、希腊、以色列、意大利、荷兰、挪威、西班牙、瑞典、英国及美国。西班牙、瑞典、英国及美国。到到2001年底，所有已经经过年底，所有已经经过TCSEC评估的产品，其评估结评估的产品，其评估结果或者过时，或者转换为果或者过时，或者转换为CC评估等级。评估等级。73通用准那么CCCC缺点：缺点：CC应用的局限性，比方该标准在开篇便强调其不涉及五个方面的内容：行应用的局限性，比方该标准在开篇便强调其不涉及五个方面的内容：行政性管理平安措施、物理平安、评估方法学、认可过程、对密码算法政性管理平安措施、物理平安、评估方法学、认可过程、对密码算法固有质量的评价，而这些被固有质量的评价，而这些被CC忽略的内容恰恰是信息平安保障工作中忽略的内容恰恰是信息平安保障工作中需要特别予以注意的重要环节。需要特别予以注意的重要环节。CC还有一个明显的缺陷，即它没有数学模型的支持，即理论根底缺乏。还有一个明显的缺陷，即它没有数学模型的支持，即理论根底缺乏。TCSEC还有还有BLP模型的支持。其平安功能可以得到完善的解释，平安模型的支持。其平安功能可以得到完善的解释，平安功能的实现机制便有章可循。对于增加的完整性、可用性、不可否认功能的实现机制便有章可循。对于增加的完整性、可用性、不可否认性等要求，只局限于简单的自然语言描述，不能落实到具体的平安机性等要求，只局限于简单的自然语言描述，不能落实到具体的平安机制上。更无从评价这些平安要求的强度。制上。更无从评价这些平安要求的强度。所以：所以：CC并不是万能的，它仍然需要与据各个国家的具体要求，与其他平安标准并不是万能的，它仍然需要与据各个国家的具体要求，与其他平安标准相结合，才能完成对一个信息系统的完整评估。相结合，才能完成对一个信息系统的完整评估。目前得到国际范围内认可的是目前得到国际范围内认可的是ISO/IEC 15408CC,我国的我国的GB/T 18336等同采用等同采用ISO/IEC 15408。74课后任务课后任务学习通用准那么CC