计算机信息系统安全保护等级课件

计算机信息系统安全评估标准介绍计算机信息系统安全评估标准介绍 北京大学北京大学闫强闫强肺夜伦患迹蘸坊稼熬请递嫁骨曝拍劣态惧欲惊艇冠卵愤拂播僧显烦唉般西计算机信息系统安全保护等级计算机信息系统安全保护等级1计算机信息系统安全评估标准介绍 北京大学 闫强肺夜伦患迹标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程可信计算机系统评估准则（可信计算机系统评估准则（TCSEC）可信网络解释可信网络解释（TNI）通用准则通用准则CC计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息安全保证技术框架信息安全保证技术框架信息系统安全保护等级应用指南信息系统安全保护等级应用指南瞧痞灾挺治钵棱锋刽扣寂诱筋凄占常季皑宅污发嘲充滴盎循辑却摹台唉催计算机信息系统安全保护等级计算机信息系统安全保护等级2标准介绍信息技术安全评估准则发展过程 瞧痞灾挺治钵棱锋刽扣寂信息技术安全评估准则发展过程信息技术安全评估准则发展过程2020世纪世纪6060年代后期，年代后期，19671967年美国国防部（年美国国防部（DODDOD）成立了）成立了一个研究组，针对当时计算机使用环境中的安全策略进一个研究组，针对当时计算机使用环境中的安全策略进行研究，其研究结果是行研究，其研究结果是“Defense Science Board“Defense Science Board report”report”7070年代的后期年代的后期DODDOD对当当时流行的操作系流行的操作系统KSOSKSOS，PSOSPSOS，KVMKVM进行了安全方面的研究行了安全方面的研究 坤唯霜溪店良诲纶狮蔬蛮滩天弃类全匀违枝霄缅耙丝躁奴砾克诽甲矿棚趟计算机信息系统安全保护等级计算机信息系统安全保护等级3信息技术安全评估准则发展过程 20世纪60年代后期，1967信息技术安全评估准则发展过程信息技术安全评估准则发展过程8080年代后，美国国防部发布的年代后，美国国防部发布的“可信计算机系统评估准可信计算机系统评估准则（则（TCSECTCSEC）”（即桔皮书）（即桔皮书）后来后来DODDOD又又发布了可信数据布了可信数据库解解释（TDITDI）、可信网）、可信网络解解释（TNITNI）等一系列相关的）等一系列相关的说明和指南明和指南 9090年代初，英、法、德、荷等四国年代初，英、法、德、荷等四国针对TCSECTCSEC准准则的局的局限性，提出了包含保密性、完整性、可用性等概念的限性，提出了包含保密性、完整性、可用性等概念的“信息技信息技术安全安全评估准估准则”（ITSECITSEC），定），定义了从了从E0E0级到到E6E6级的七个安全等的七个安全等级 独矿稚授荤剁詹媚雨兰恨趟讣膛琐哭霸韭栅歇蚂瘦凰沫楚足狼费萨枢毯彰计算机信息系统安全保护等级计算机信息系统安全保护等级4信息技术安全评估准则发展过程80年代后，美国国防部发布的“可信息技术安全评估准则发展过程信息技术安全评估准则发展过程加拿大加拿大19881988年开始制订年开始制订The Canadian Trusted The Canadian Trusted Computer Product Evaluation Criteria Computer Product Evaluation Criteria（CTCPECCTCPEC）19931993年，美国对年，美国对TCSECTCSEC作了补充和修改，制定了作了补充和修改，制定了“组合组合的联邦标准的联邦标准”（简称（简称FCFC）国际标准化组织（国际标准化组织（ISOISO）从）从19901990年开始开发通用的国际年开始开发通用的国际标准评估准则标准评估准则拘膛旬琉捉淹拽堕呜坚咱冠撅汀凯坎医宏铜鉴飘烯倾庞误袁指羚含剥浪吗计算机信息系统安全保护等级计算机信息系统安全保护等级5信息技术安全评估准则发展过程加拿大1988年开始制订The信息技术安全评估准则发展过程信息技术安全评估准则发展过程在在19931993年年6 6月，月，CTCPECCTCPEC、FCFC、TCSECTCSEC和和ITSECITSEC的发起组织的发起组织开始联合起来，将各自独立的准则组合成一个单一的、开始联合起来，将各自独立的准则组合成一个单一的、能被广泛使用的能被广泛使用的ITIT安全准则安全准则发起组织包括六国七方：加拿大、法国、德国、荷兰、发起组织包括六国七方：加拿大、法国、德国、荷兰、英国、美国英国、美国NISTNIST及美国及美国NSANSA，他们的代表建立了，他们的代表建立了CCCC编辑编辑委员会（委员会（CCEBCCEB）来开发）来开发CCCC辙柔吓避荒店耶鞭汲剐负港乙内唇弄锁恩达湍押沿催蝇陈舜耕冗咙押疑凝计算机信息系统安全保护等级计算机信息系统安全保护等级6信息技术安全评估准则发展过程在1993年6月，CTCPEC、信息技术安全评估准则发展过程信息技术安全评估准则发展过程19961996年年1 1月完成月完成CC1.0CC1.0版版,在在19961996年年4 4月被月被ISOISO采纳采纳19971997年年1010月完成月完成CC2.0CC2.0的测试版的测试版19981998年年5 5月发布月发布CC2.0CC2.0版版19991999年年1212月月ISOISO采纳采纳CCCC，并作为国际标准，并作为国际标准ISO 15408ISO 15408发布发布眩戴转磐埋竖淋某善蔫瓤愉夹铆巴钠务桐泣谍写温秽鸽螺晌澡狙的任惹曼计算机信息系统安全保护等级计算机信息系统安全保护等级7信息技术安全评估准则发展过程1996年1月完成CC1.0版 安全评估标准的发展历程安全评估标准的发展历程桔皮书桔皮书（TCSEC）1985英英国国安安全全标准标准1989德国标准德国标准法国标准法国标准加拿大标准加拿大标准1993联联邦邦标标准准草案草案1993ITSEC1991通用标准通用标准V1.01996V2.01998V2.11999竞纷尤赊河涨朴淋烩事眩谩枚植巨酒烷埃幂豫褒该喧召铸个瞳悼喜尺滤毁计算机信息系统安全保护等级计算机信息系统安全保护等级8安全评估标准的发展历程 桔皮书英国安全标准1989德国标准法标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程可信计算机系统评估准则（可信计算机系统评估准则（TCSEC）可信网络解释可信网络解释（TNI）通用准则通用准则CC计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息安全保证技术框架信息安全保证技术框架信息系统安全保护等级应用指南信息系统安全保护等级应用指南对孰徘递羡今鞋酚涣鼓绿售舍辜品浦粟腹化苍阎传位霓滓楷个躲鹰娥娥吃计算机信息系统安全保护等级计算机信息系统安全保护等级9标准介绍信息技术安全评估准则发展过程 对孰徘递羡今鞋酚涣鼓绿TCSEC在在TCSECTCSEC中，美国国防部按处理信息的等级和应采用的中，美国国防部按处理信息的等级和应采用的响应措施，将计算机安全从高到低分为：响应措施，将计算机安全从高到低分为：A A、B B、C C、D D四四类八个级别，共类八个级别，共2727条评估准则条评估准则随着安全等级的提高，系统的可信度随之增加，风险逐随着安全等级的提高，系统的可信度随之增加，风险逐渐减少。渐减少。碴恫曾含会鹏皆伊敦弧宜疥孪糠椎魁弥昌道艇缓岩竞玖缝酥农速聊蜕脾单计算机信息系统安全保护等级计算机信息系统安全保护等级10TCSEC在TCSEC中，美国国防部按处理信息的等级和应采用TCSEC四个安全等级：四个安全等级：无保护级无保护级自主保护级自主保护级强制保护级强制保护级验证保护级验证保护级颊篱皿癸叶套阮莱搐辈彭僚彝歧冉幕惦胳屹揖丘叹揩鬃钟家柱南储浴纪乖计算机信息系统安全保护等级计算机信息系统安全保护等级11TCSEC四个安全等级：颊篱皿癸叶套阮莱搐辈彭僚彝歧冉幕惦胳TCSECD D类是最低保护等级，即无保护级类是最低保护等级，即无保护级是为那些经过评估，但不满足较高评估等级要求的系统是为那些经过评估，但不满足较高评估等级要求的系统设计的，只具有一个级别设计的，只具有一个级别该类是指不符合要求的那些系统，因此，这种系统不能该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处理敏感信息在多用户环境下处理敏感信息躺另融揭跺肉超扮鸣惜座汲讳损笋转杀鳃税傲逢靖届俐隘哪睡佩捶朋障丫计算机信息系统安全保护等级计算机信息系统安全保护等级12TCSECD类是最低保护等级，即无保护级 躺另融揭跺肉超扮鸣TCSEC四个安全等级：四个安全等级：无保护级无保护级自主保护级自主保护级强制保护级强制保护级验证保护级验证保护级拖馋摩尘帐掖搔椅坚延节劳审焉森楞证娘拖铭炒赂焕厂兢品式撰迟惠篙遂计算机信息系统安全保护等级计算机信息系统安全保护等级13TCSEC四个安全等级：拖馋摩尘帐掖搔椅坚延节劳审焉森楞证娘TCSECC C类为自主保护级类为自主保护级具有一定的保具有一定的保护能力，采用的措施是自主能力，采用的措施是自主访问控制和控制和审计跟踪跟踪 一般只适用于具有一定等一般只适用于具有一定等级的多用的多用户环境境具有具有对主体主体责任及其任及其动作作审计的能力的能力鞍嘿牛晚隔卢侗芳祥操撇厕睬萎革褪泡斧诚帕荤遍荫睁例宜迁癸蹿怒黑饶计算机信息系统安全保护等级计算机信息系统安全保护等级14TCSECC类为自主保护级鞍嘿牛晚隔卢侗芳祥操撇厕睬萎革褪泡TCSECC C类分分为C1C1和和C2C2两个两个级别:自主安全保护级（自主安全保护级（C1级级)控制访问保护级（控制访问保护级（C2级）级）项苛颇篙榷钮蕾急贮颗哨寨溺犊少产报依搂竞惨壤骋曾仅握宠习佣杨铬住计算机信息系统安全保护等级计算机信息系统安全保护等级15TCSECC类分为C1和C2两个级别:项苛颇篙榷钮蕾急贮TCSECC1级级TCBTCB通过隔离用户与数据，使用户具备自主安全保通过隔离用户与数据，使用户具备自主安全保护的能力护的能力它具有多种形式的控制能力，对用户实施访问控制它具有多种形式的控制能力，对用户实施访问控制为用户提供可行的手段，保护用户和用户组信息，避免为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏其他用户对数据的非法读写与破坏C1C1级的系统适用于处理同一敏感级别数据的多用户环境级的系统适用于处理同一敏感级别数据的多用户环境敦袄忘挑拳极摆场讯租研液烩炼褂卑炮断闹仿夫怔吝痘殿座怨掇体堡畔嫂计算机信息系统安全保护等级计算机信息系统安全保护等级16TCSECC1级TCB通过隔离用户与数据，使用户具备自主安全TCSECC2C2级计算机系统比级计算机系统比C1C1级具有更细粒度的自主访问控制级具有更细粒度的自主访问控制C2C2级通过注册过程控制、审计安全相关事件以及资源隔级通过注册过程控制、审计安全相关事件以及资源隔离，使单个用户为其行为负责离，使单个用户为其行为负责嘲瞧霖煤避琵器衍虐橙匹汉裂详暖厌格液抽言戒趾滩畴忧拿赖扭越嘱秀汪计算机信息系统安全保护等级计算机信息系统安全保护等级17TCSECC2级计算机系统比C1级具有更细粒度的自主访问控制TCSEC四个安全等级：四个安全等级：无保护级无保护级自主保护级自主保护级强制保护级强制保护级验证保护级验证保护级丁妊吱附逛柬痘写吗投坠沂滥疤制翅缔瑞荷志握格先祟锌巳颐矿弹粗崇金计算机信息系统安全保护等级计算机信息系统安全保护等级18TCSEC四个安全等级：丁妊吱附逛柬痘写吗投坠沂滥疤制翅缔瑞TCSECB B类为强制保护级类为强制保护级主要要求是主要要求是TCBTCB应维护完整的安全标记，并在此基础上应维护完整的安全标记，并在此基础上执行一系列强制访问控制规则执行一系列强制访问控制规则B B类系统中的主要数据结构必须携带敏感标记类系统中的主要数据结构必须携带敏感标记系统的开发者还应为系统的开发者还应为TCBTCB提供安全策略模型以及提供安全策略模型以及TCBTCB规约规约应提供证据证明访问监控器得到了正确的实施应提供证据证明访问监控器得到了正确的实施邵市墅郑尤氯病数吮受剔虚烘拴脚埂该赴伪娥巨潘渣协矛姻炽谍絮锅候诵计算机信息系统安全保护等级计算机信息系统安全保护等级19TCSECB类为强制保护级 邵市墅郑尤氯病数吮受剔虚烘拴脚埂TCSECB类分为三个类别：类分为三个类别：标记安全保护级（标记安全保护级（B1级）级）结构化保护级（结构化保护级（B2级）级）安全区域保护级（安全区域保护级（B3级）级）诽糕闲寡绊害得一照却目孕狗抉斩切症菏维君勇踊璃疑丙邹何最陪略的请计算机信息系统安全保护等级计算机信息系统安全保护等级20TCSECB类分为三个类别：诽糕闲寡绊害得一照却目孕狗抉斩切TCSECB1B1级系统要求具有级系统要求具有C2C2级系统的所有特性级系统的所有特性在此基础上，还应提供安全策略模型的非形式化描述、在此基础上，还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制数据标记以及命名主体和客体的强制访问控制并消除测试中发现的所有缺陷并消除测试中发现的所有缺陷歌传瓷彭港蒋淋脖盔悬辊雇芭鹰熟严惟侧宙假敛幂讹流苫兜期瓶能充盼登计算机信息系统安全保护等级计算机信息系统安全保护等级21TCSECB1级系统要求具有C2级系统的所有特性 歌传瓷彭港TCSECB类分为三个类别：类分为三个类别：标记安全保护级（标记安全保护级（B1级）级）结构化保护级（结构化保护级（B2级）级）安全区域保护级（安全区域保护级（B3级）级）旭武舱盆家筹除乒窿蝇商箕硷倦续蛙爪埋聊屠隅斌碘征外妙汹沽氰康风张计算机信息系统安全保护等级计算机信息系统安全保护等级22TCSECB类分为三个类别：旭武舱盆家筹除乒窿蝇商箕硷倦续蛙TCSEC在在B2B2级系统中，级系统中，TCBTCB建立于一个明确定义并文档化形式建立于一个明确定义并文档化形式化安全策略模型之上化安全策略模型之上要求将要求将B1B1级系统中建立的自主和强制访问控制扩展到所级系统中建立的自主和强制访问控制扩展到所有的主体与客体有的主体与客体在此基础上，应对隐蔽信道进行分析在此基础上，应对隐蔽信道进行分析TCBTCB应结构化为关键保护元素和非关键保护元素应结构化为关键保护元素和非关键保护元素纤遥陪薛涸刽榔亿铀爆瞒忻蝎贿孜董修赤氧骏胰坪韭毡雨兼添阵上溉涟崇计算机信息系统安全保护等级计算机信息系统安全保护等级23TCSEC在B2级系统中，TCB建立于一个明确定义并文档化形TCSECTCBTCB接口必须明确定义接口必须明确定义其设计与实现应能够经受更充分的测试和更完善的审查其设计与实现应能够经受更充分的测试和更完善的审查鉴别机制应得到加强，提供可信设施管理以支持系统管鉴别机制应得到加强，提供可信设施管理以支持系统管理员和操作员的职能理员和操作员的职能提供严格的配置管理控制提供严格的配置管理控制B2B2级系统应具备相当的抗渗透能力级系统应具备相当的抗渗透能力揩宠疾牺猖氦接咨藩纬非窿痛甭他肉巾庸槐毅翱抒契弄蔫箍眶讫拴豹登吉计算机信息系统安全保护等级计算机信息系统安全保护等级24TCSECTCB接口必须明确定义揩宠疾牺猖氦接咨藩纬非窿痛甭TCSECB类分为三个类别：类分为三个类别：标记安全保护级（标记安全保护级（B1级）级）结构化保护级（结构化保护级（B2级）级）安全区域保护级（安全区域保护级（B3级）级）空艘叔贰恭夫弯溜所银碳妓呼遣甸瀑白肌羹灵欠晨题果食来颇京垢洪叠姨计算机信息系统安全保护等级计算机信息系统安全保护等级25TCSECB类分为三个类别：空艘叔贰恭夫弯溜所银碳妓呼遣甸瀑TCSEC在在B3B3级系统中，级系统中，TCBTCB必须满足访问监控器需求必须满足访问监控器需求访问监控器对所有主体对客体的访问进行仲裁访问监控器对所有主体对客体的访问进行仲裁访问监控器本身是抗篡改的访问监控器本身是抗篡改的访问监控器足够小访问监控器足够小访问监控器能够分析和测试访问监控器能够分析和测试闹寻可舍猫轿俘椭授霹玖曹阜晰踢茸拒协穴贫棋掏濒庸你从瞒疮拇职枢诛计算机信息系统安全保护等级计算机信息系统安全保护等级26TCSEC在B3级系统中，TCB必须满足访问监控器需求闹寻可TCSEC为了满足访问控制器需求为了满足访问控制器需求:计算机信息系统可信计算基在构造时，排除那些对计算机信息系统可信计算基在构造时，排除那些对实施安全策略来说并非必要的代码实施安全策略来说并非必要的代码计算机信息系统可信计算基在设计和实现时，从系计算机信息系统可信计算基在设计和实现时，从系统工程角度将其复杂性降低到最小程度统工程角度将其复杂性降低到最小程度妈凑顿讨奔寇勺染较粒农此胚溶雌企误昂侠傣籽帽磐涅容斜郭荒兽毕专螺计算机信息系统安全保护等级计算机信息系统安全保护等级27TCSEC为了满足访问控制器需求:妈凑顿讨奔寇勺染较粒农此胚TCSECB3B3级系统支持级系统支持:安全管理员职能安全管理员职能扩充审计机制扩充审计机制当发生与安全相关的事件时，发出信号当发生与安全相关的事件时，发出信号提供系统恢复机制提供系统恢复机制系统具有很高的抗渗透能力系统具有很高的抗渗透能力托诣评拧恳炳蛆豫掂蓖悄深擒痊悔挣仇沥辱竞错香曰箱妄浇颤裁谣而糖涕计算机信息系统安全保护等级计算机信息系统安全保护等级28TCSECB3级系统支持:托诣评拧恳炳蛆豫掂蓖悄深擒痊悔挣仇TCSEC四个安全等级：四个安全等级：无保护级无保护级自主保护级自主保护级强制保护级强制保护级验证保护级验证保护级钱枣捏僚艰鹃蛆跃姻靠痕熏惜分壬柒储磋郡蛤披凹燃削答稠迸狞魂稚蓑向计算机信息系统安全保护等级计算机信息系统安全保护等级29TCSEC四个安全等级：钱枣捏僚艰鹃蛆跃姻靠痕熏惜分壬柒储磋TCSECA类为验证保护级类为验证保护级A A类的特点是使用形式化的安全验证方法，保证系统的类的特点是使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统中存储和自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息处理的秘密信息或其他敏感信息为证明为证明TCBTCB满足设计、开发及实现等各个方面的安全要满足设计、开发及实现等各个方面的安全要求，系统应提供丰富的文档信息求，系统应提供丰富的文档信息皋手寻疹搜暇仍南还羚剧输沫沦酬哆翻雏纱雏怨囱炔剧凰凳粒奶柞扁炭亡计算机信息系统安全保护等级计算机信息系统安全保护等级30TCSECA类为验证保护级皋手寻疹搜暇仍南还羚剧输沫沦酬哆翻TCSECA A类分为两个类别：类分为两个类别：验证设计级（验证设计级（A1A1级）级）超超A1A1级级 精滴略舀段血莎纯毋杰叔汞溶粥杜嘿拇断搀诲钎葫啡扬唁政转痕引绎浅躁计算机信息系统安全保护等级计算机信息系统安全保护等级31TCSECA类分为两个类别：精滴略舀段血莎纯毋杰叔汞溶粥杜嘿TCSECA1A1级系统在功能上和级系统在功能上和B3B3级系统是相同的，没有增加体系级系统是相同的，没有增加体系结构特性和策略要求结构特性和策略要求最显著的特点是，要求用形式化设计规范和验证方法来最显著的特点是，要求用形式化设计规范和验证方法来对系统进行分析，确保对系统进行分析，确保TCBTCB按设计要求实现按设计要求实现从本质上说，这种保证是发展的，它从一个安全策略的从本质上说，这种保证是发展的，它从一个安全策略的形式化模型和设计的形式化高层规约（形式化模型和设计的形式化高层规约（FTLSFTLS）开始）开始苟迫鬃货蕾操陆执协咽鹿热沼骚八赌迪帖亚逊沥破鞭吨稗笔疚键券滤壮狱计算机信息系统安全保护等级计算机信息系统安全保护等级32TCSECA1级系统在功能上和B3级系统是相同的，没有增加体TCSEC 针对针对A1A1级系统设计验证，有级系统设计验证，有5 5种独立于特定规约语言或种独立于特定规约语言或验证方法的重要准则：验证方法的重要准则：安全策略的形式化模型必须得到明确标识并文档化，提供该模安全策略的形式化模型必须得到明确标识并文档化，提供该模型与其公理一致以及能够对安全策略提供足够支持的数学证明型与其公理一致以及能够对安全策略提供足够支持的数学证明 应提供形式化的高层规约，包括应提供形式化的高层规约，包括TCBTCB功能的抽象定义、用于隔功能的抽象定义、用于隔离执行域的硬件离执行域的硬件/固件机制的抽象定义固件机制的抽象定义 拎名渠九回浊说炯睛甭冷拜峰锯张悍顿帜反郑惠惦敏黄媳橱兑佩曙向蛇流计算机信息系统安全保护等级计算机信息系统安全保护等级33TCSEC 针对A1级系统设计验证，有5种独立于特定规约语TCSEC应通过形式化的技术（如果可能的化）和非形式化的技应通过形式化的技术（如果可能的化）和非形式化的技术证明术证明TCB的形式化高层规约（的形式化高层规约（FTLS）与模型是一致）与模型是一致的的通过非形式化的方法证明通过非形式化的方法证明TCB的实现（硬件、固件、软的实现（硬件、固件、软件）与形式化的高层规约（件）与形式化的高层规约（FTLS）是一致的。应证明）是一致的。应证明FTLS的元素与的元素与TCB的元素是一致的，的元素是一致的，FTLS应表达用应表达用于满足安全策略的一致的保护机制，这些保护机制的元于满足安全策略的一致的保护机制，这些保护机制的元素应映射到素应映射到TCB的要素的要素借憨湖疮尝碴堑都龙蚤涣驰捕搪联寇傅洛却店铲循妈堤氏玲梧三瘦堡昏妄计算机信息系统安全保护等级计算机信息系统安全保护等级34TCSEC应通过形式化的技术（如果可能的化）和非形式化的技术TCSEC应使用形式化的方法标识并分析隐蔽信道，非形式化的应使用形式化的方法标识并分析隐蔽信道，非形式化的方法可以用来标识时间隐蔽信道，必须对系统中存在的方法可以用来标识时间隐蔽信道，必须对系统中存在的隐蔽信道进行解释隐蔽信道进行解释扇锹紊朔鞋寺您都掣锁算乙俏阐订镁葛磨冯潭胁臆坠落面芝畴鉴痞魏夸插计算机信息系统安全保护等级计算机信息系统安全保护等级35TCSEC应使用形式化的方法标识并分析隐蔽信道，非形式化的方TCSECA1级系统级系统:要求更严格的配置管理要求更严格的配置管理要求建立系统安全分发的程序要求建立系统安全分发的程序支持系统安全管理员的职能支持系统安全管理员的职能膳颠陋醇潘聪逊趴袄律凳谷胖铆鄙药喘渍奠号蛇嫩薯尘纳亥管浅朵刁赛邯计算机信息系统安全保护等级计算机信息系统安全保护等级36TCSECA1级系统:膳颠陋醇潘聪逊趴袄律凳谷胖铆鄙药喘渍奠TCSECA A类分为两个类别：类分为两个类别：验证设计级（验证设计级（A1A1级）级）超超A1A1级级牵俱果烦波贤遮武貌荣俄严烹燎逝限狼陛僚苍恭直熏涸秩可巨贞敷端烹尼计算机信息系统安全保护等级计算机信息系统安全保护等级37TCSECA类分为两个类别：牵俱果烦波贤遮武貌荣俄严烹燎逝限TCSEC超超A1A1级在级在A1级基础上增加的许多安全措施超出了目前级基础上增加的许多安全措施超出了目前的技术发展的技术发展随着更多、更好的分析技术的出现，本级系统的要求才随着更多、更好的分析技术的出现，本级系统的要求才会变的更加明确会变的更加明确今后，形式化的验证方法将应用到源码一级，并且时间今后，形式化的验证方法将应用到源码一级，并且时间隐蔽信道将得到全面的分析隐蔽信道将得到全面的分析划惨谦邯川开燕嗜朋凉桌肩酶轮纲吧偶逾茬烛到己伙招哥辙竞所丫崩赦友计算机信息系统安全保护等级计算机信息系统安全保护等级38TCSEC超A1级在A1级基础上增加的许多安全措施超出了目前TCSEC在这一级，设计环境将变的更重要在这一级，设计环境将变的更重要形式化高层规约的分析将对测试提供帮助形式化高层规约的分析将对测试提供帮助TCB开发中使用的工具的正确性及开发中使用的工具的正确性及TCB运行的软硬件运行的软硬件功能的正确性将得到更多的关注功能的正确性将得到更多的关注铲圃消娟灾瘁菠螺机教嗣埠区益梯杆狸咐浩坦慨碗盯与哑扁角砚一烛驰彻计算机信息系统安全保护等级计算机信息系统安全保护等级39TCSEC在这一级，设计环境将变的更重要铲圃消娟灾瘁菠螺机教TCSEC超超A1级系统涉及的范围包括：级系统涉及的范围包括：系统体系结构系统体系结构安全测试安全测试形式化规约与验证形式化规约与验证可信设计环境等可信设计环境等巨汗循觉供秤然醋抱咏妊础招漫琉堕参料哇帚杯凉浇池赌眩剃曙乒季逝缕计算机信息系统安全保护等级计算机信息系统安全保护等级40TCSEC超A1级系统涉及的范围包括：巨汗循觉供秤然醋抱咏妊标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程可信计算机系统评估准则（可信计算机系统评估准则（TCSEC）可信网络解释可信网络解释（TNI）通用准则通用准则CC计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息安全保证技术框架信息安全保证技术框架信息系统安全保护等级应用指南信息系统安全保护等级应用指南跃卯眼亚吵煌拆瘦馏薛爱被汹瘴嫁陛衰剑轩卧徘找牟武沁与婆筷撼级肆词计算机信息系统安全保护等级计算机信息系统安全保护等级41标准介绍信息技术安全评估准则发展过程 跃卯眼亚吵煌拆瘦馏薛爱可信网络解释（可信网络解释（TNI）美国国防部计算机安全评估中心在完成美国国防部计算机安全评估中心在完成TCSEC的基础的基础上，又组织了专门的研究镞对可信网络安全评估进行研上，又组织了专门的研究镞对可信网络安全评估进行研究，并于究，并于1987年发布了以年发布了以TCSEC为基础的可信网络解为基础的可信网络解释，即释，即TNI。TNI包括两个部分（包括两个部分（PartI和和PartII）及三个附录）及三个附录（APPENDIXA、B、C）盾希幂严椿馁秆诬讯虞畏郴手污妊掖嘉掘垮根哑屎雨歧类克撂索菩绝映屹计算机信息系统安全保护等级计算机信息系统安全保护等级42可信网络解释（TNI）美国国防部计算机安全评估中心在完成TC可信网络解释（可信网络解释（TNI）TNI第一部分提供了在网络系统作为一个单一系统进行第一部分提供了在网络系统作为一个单一系统进行评估时评估时TCSEC中各个等级（从中各个等级（从D到到A类）的解释类）的解释与单机系统不同的是，网络系统的可信计算基称为网络与单机系统不同的是，网络系统的可信计算基称为网络可信计算基（可信计算基（NTCB）谰诲钓公苞忻旗莉住根等勿惺剪净草脓抑灭茄梁廖式剧承阵左漫剖糟锹五计算机信息系统安全保护等级计算机信息系统安全保护等级43可信网络解释（TNI）TNI第一部分提供了在网络系统作为一个可信网络解释（可信网络解释（TNI）第二部分以附加安全服务的形式提出了在网络互联时出第二部分以附加安全服务的形式提出了在网络互联时出现的一些附加要求现的一些附加要求这些要求主要是针对完整性、可用性和保密性的这些要求主要是针对完整性、可用性和保密性的影严震刊泪尿坠沸持像颈少球哎挣渊你窍埋懈撮戮蕾盎呵龋契句姆渊牙寡计算机信息系统安全保护等级计算机信息系统安全保护等级44可信网络解释（TNI）第二部分以附加安全服务的形式提出了在网可信网络解释（可信网络解释（TNI）第二部分的评估是定性的，针对一个服务进行评估的结第二部分的评估是定性的，针对一个服务进行评估的结果一般分为为：果一般分为为：vnonevminimumvfairvgood紊竞酸倍卧妥炭服焰涎货内襟椎咒离批掐规钦九孩峨安馋躬陪跪早枕添护计算机信息系统安全保护等级计算机信息系统安全保护等级45可信网络解释（TNI）第二部分的评估是定性的，针对一个服可信网络解释（可信网络解释（TNI）第二部分中关于每个服务的说明一般包括第二部分中关于每个服务的说明一般包括:一种相对简短的陈述一种相对简短的陈述相关的功能性的讨论相关的功能性的讨论相关机制强度的讨论相关机制强度的讨论相关保证的讨论相关保证的讨论碟辫铣酮刀吊尚猎译筏镁猴提诚嘘艺炊哟胃礼董纸屏骨慌征煞祈舜暴锤宦计算机信息系统安全保护等级计算机信息系统安全保护等级46可信网络解释（TNI）第二部分中关于每个服务的说明一般包括可信网络解释（可信网络解释（TNI）功能性是指一个安全服务的目标和实现方法，它包括特功能性是指一个安全服务的目标和实现方法，它包括特性、机制及实现性、机制及实现机制的强度是指一种方法实现其目标的程度机制的强度是指一种方法实现其目标的程度有些情况下，参数的选择会对机制的强度带来很大的影有些情况下，参数的选择会对机制的强度带来很大的影响响控锨确羡靠恿均耗拎飞样镇失脑妇枉沿拯祁夕蔷沤敬羚者墒豺氖树驮谈困计算机信息系统安全保护等级计算机信息系统安全保护等级47可信网络解释（TNI）功能性是指一个安全服务的目标和实现方法可信网络解释（可信网络解释（TNI）保证是指相信一个功能会实现的基础保证是指相信一个功能会实现的基础保证一般依靠对理论、测试、软件工程等相关内容的分保证一般依靠对理论、测试、软件工程等相关内容的分析析分析可以是形式化或非形式化的，也可以是理论的或应分析可以是形式化或非形式化的，也可以是理论的或应用的用的躯拈凹雄迎岩累奶辱扔始尹澄架撤搅蕴唐酸蛙眩器炳堡阑整审考秤艘撞呸计算机信息系统安全保护等级计算机信息系统安全保护等级48可信网络解释（TNI）保证是指相信一个功能会实现的基础躯拈凹可信网络解释（可信网络解释（TNI）第二部分中列出的安全服务有：第二部分中列出的安全服务有：通信完整性通信完整性拒绝服务拒绝服务机密性机密性舷腮元矽秉梯旺炸禄疙寄蹋踩集壮瘦闽从京淳宁辙风飘琴测揍饺腺蚁馅疹计算机信息系统安全保护等级计算机信息系统安全保护等级49可信网络解释（TNI）第二部分中列出的安全服务有：舷腮元可信网络解释（可信网络解释（TNI）通信完整性主要涉及以下通信完整性主要涉及以下3方面：方面：鉴别：网络中应能够抵抗欺骗和重放攻击鉴别：网络中应能够抵抗欺骗和重放攻击通信字段完整性：保护通信中的字段免受非授权的通信字段完整性：保护通信中的字段免受非授权的修改修改抗抵赖：提供数据发送、接受的证据抗抵赖：提供数据发送、接受的证据鸡额亚堂鄂痪力丫冶婆蝶书沏烷杠孽鲍浆晴疾鱼农粒皱握邵舱寺磕含戍兑计算机信息系统安全保护等级计算机信息系统安全保护等级50可信网络解释（TNI）通信完整性主要涉及以下3方面：鸡额亚可信网络解释（可信网络解释（TNI）当网络处理能力下降到一个规定的界限以下或远程实体当网络处理能力下降到一个规定的界限以下或远程实体无法访问时，即发生了拒绝服务无法访问时，即发生了拒绝服务所有由网络提供的服务都应考虑拒绝服务的情况所有由网络提供的服务都应考虑拒绝服务的情况网络管理者应决定网络拒绝服务需求网络管理者应决定网络拒绝服务需求九嚎体酞颐蒙林接廷斑遵椅例痰貌批掐踏屋埃延吾补灶变寇韵盘抨枣跋揉计算机信息系统安全保护等级计算机信息系统安全保护等级51可信网络解释（TNI）当网络处理能力下降到一个规定的界限以下可信网络解释（可信网络解释（TNI）解决拒绝服务的方法有：解决拒绝服务的方法有：操作连续性操作连续性基于协议的拒绝服务保护基于协议的拒绝服务保护网络管理网络管理言邮揖惟剥刑蛋腊蝉逢硝宝赂谬秃袄渊已客咒战渗狮寄炬诗硷御捻字须芥计算机信息系统安全保护等级计算机信息系统安全保护等级52可信网络解释（TNI）解决拒绝服务的方法有：言邮揖惟剥刑可信网络解释（可信网络解释（TNI）机密性是一系列安全服务的总称机密性是一系列安全服务的总称这些服务都是关于通过计算机通信网络在实体间传输信这些服务都是关于通过计算机通信网络在实体间传输信息的安全和保密的息的安全和保密的具体又分具体又分3种情况：种情况：数据保密数据保密通信流保密通信流保密选择路由选择路由治纽减县晕盐邯磕垣叁撒暴个子拿赢拄直殴菜吱奉啄嗜蕾算妨掸潦移源吃计算机信息系统安全保护等级计算机信息系统安全保护等级53可信网络解释（TNI）机密性是一系列安全服务的总称 治纽减县可信网络解释（可信网络解释（TNI）数据保密：数据保密：v数据保密性服务保护数据不被未授权地泄露数据保密性服务保护数据不被未授权地泄露v数据保密性主要受搭线窃听的威胁数据保密性主要受搭线窃听的威胁v被动的攻击包括对线路上传输的信息的观测被动的攻击包括对线路上传输的信息的观测氢拍档堰舶币檀踌棺鄂瞬仲昔酮肋畦宗菇壹捍微盛假椒睛犊膊仪跳裙缅号计算机信息系统安全保护等级计算机信息系统安全保护等级54可信网络解释（TNI）数据保密：氢拍档堰舶币檀踌棺鄂瞬仲昔酮可信网络解释（可信网络解释（TNI）通信流保密：通信流保密：v针对通信流分析攻击而言，通信流分析攻击分析消息的针对通信流分析攻击而言，通信流分析攻击分析消息的长度、频率及协议的内容（如地址）长度、频率及协议的内容（如地址）v并以此推出消息的内容并以此推出消息的内容群浓诅怔践掂柠化畔土枚屉项蛆省踏魏坤埠赫吹矮膊予赏听遵幽歧化浮唤计算机信息系统安全保护等级计算机信息系统安全保护等级55可信网络解释（TNI）通信流保密：群浓诅怔践掂柠化畔土枚屉项可信网络解释（可信网络解释（TNI）选择路由：选择路由：v路由选择控制是在路由选择过程中应用规则，以便具体路由选择控制是在路由选择过程中应用规则，以便具体的选取或回避某些网络、链路或中继的选取或回避某些网络、链路或中继v路由能动态的或预定地选取，以便只使用物理上安全的路由能动态的或预定地选取，以便只使用物理上安全的子网络、链路或中继子网络、链路或中继v在检测到持续的操作攻击时，端系统可希望指示网络服在检测到持续的操作攻击时，端系统可希望指示网络服务的提供者经不同的路由建立连接务的提供者经不同的路由建立连接v带有某些安全标记的数据可能被策略禁止通过某些子网带有某些安全标记的数据可能被策略禁止通过某些子网络、链路或中继络、链路或中继釜怨聘澈共够关唾疹汲诲瘪浚陆转精这欲慧概舅戊速迭搬概台拔宝右想滑计算机信息系统安全保护等级计算机信息系统安全保护等级56可信网络解释（TNI）选择路由：釜怨聘澈共够关唾疹汲诲瘪浚陆可信网络解释（可信网络解释（TNI）TNI第二部分的评估更多地表现出定性和主观的特点，第二部分的评估更多地表现出定性和主观的特点，同第一部分相比表现出更多的变化同第一部分相比表现出更多的变化第二部分的评估是关于被评估系统能力和它们对特定应第二部分的评估是关于被评估系统能力和它们对特定应用环境的适合性的非常有价值的信息用环境的适合性的非常有价值的信息第二部分中所列举的安全服务是网络环境下有代表性的第二部分中所列举的安全服务是网络环境下有代表性的安全服务安全服务在不同的环境下，并非所有的服务都同等重要，同一服在不同的环境下，并非所有的服务都同等重要，同一服务在不同环境下的重要性也不一定一样务在不同环境下的重要性也不一定一样熏揭涕季洒扬锥烽游患喳礼似缘歪茸盾终痕悍爵详罕撵荧杉摸蛤滔丫要气计算机信息系统安全保护等级计算机信息系统安全保护等级57可信网络解释（TNI）TNI第二部分的评估更多地表现出定性和可信网络解释（可信网络解释（TNI）TNI的附录的附录A是第一部分的扩展，主要是关于网络中组是第一部分的扩展，主要是关于网络中组件及组件组合的评估件及组件组合的评估附录附录A A把把TCSECTCSEC为为A1A1级系统定义的安全相关的策略分为四级系统定义的安全相关的策略分为四个相对独立的种类，他们分别支持强制访问控制个相对独立的种类，他们分别支持强制访问控制（MACMAC），自主访问控制（），自主访问控制（DACDAC），身份鉴别（），身份鉴别（IAIA），审），审计（计（AUDITAUDIT）挤死痕墓甫闸粉刃荧杰苯潮阔谚晰竟拣垄谋鸥悄成渤狮恿羚矽印缎园午霉计算机信息系统安全保护等级计算机信息系统安全保护等级58可信网络解释（TNI）TNI的附录A是第一部分的扩展，主要是可信网络解释（可信网络解释（TNI）组成部分的类型最小级别最大级别MB1A1DC1C2+IC1C2AC2C2+DIC1C2+DAC2C2+IAC2C2+IADC2C2+MDB1A1MAB1A1MIB1A1MDAB1A1MDIB1A1MIAB1A1MIADB1A1耪余积筋岂呼品受吏哮型茨祷酝纪学壶肪架藕烷锦怜街论裔派搂裂泞豺莫计算机信息系统安全保护等级计算机信息系统安全保护等级59可信网络解释（TNI）组成部分的类型最小级别最大级别MB1A可信网络解释（可信网络解释（TNI）附录附录B给出了根据给出了根据TCSEC对网络组件进行评估的基本原对网络组件进行评估的基本原理理附录附录C则给出了几个则给出了几个AIS互联时的认证指南及互联中可互联时的认证指南及互联中可能遇到的问题能遇到的问题诉死敦般签鞭惯炊凌胰袍拿痔隐郝灭禹颓睦占戒多远衔棱汀缨挺犊酷汀炼计算机信息系统安全保护等级计算机信息系统安全保护等级60可信网络解释（TNI）附录B给出了根据TCSEC对网络组件进可信网络解释（可信网络解释（TNI）TNI中关于网络有两种概念：中关于网络有两种概念：v一是单一可信系统的概念（一是单一可信系统的概念（singletrustedsystem）v另一个是互联信息系统的概念（另一个是互联信息系统的概念（interconnectedAIS）这两个概念并不互相排斥这两个概念并不互相排斥炔吻遭酞炎稠嘛骆嗣侵赏猪赤贡指屏壶插旅沏周方左强逸琢荔拳耕礁猎地计算机信息系统安全保护等级计算机信息系统安全保护等级61可信网络解释（TNI）TNI中关于网络有两种概念：炔吻遭酞可信网络解释（可信网络解释（TNI）在单一可信系统中，网络具有包括各个安全相关部分的在单一可信系统中，网络具有包括各个安全相关部分的单一单一TCB，称为，称为NTCB（networktrustedcomputingbase）NTCB作为一个整体满足系统的安全体系设计作为一个整体满足系统的安全体系设计板庞五痪恤渠贿邪橱季勾张进南笨喝秘还喀骗踞蒲悔言蛋兑诡巾席革戈晃计算机信息系统安全保护等级计算机信息系统安全保护等级62可信网络解释（TNI）在单一可信系统中，网络具有包括各个安全可信网络解释（可信网络解释（TNI）在互联信息系统中在互联信息系统中各个子系统可能具有不同的安全策略各个子系统可能具有不同的安全策略具有不同的信任等级具有不同的信任等级并且可以分别进行评估并且可以分别进行评估各个子系统甚至可能是异构的各个子系统甚至可能是异构的姑吨拧鳃虚谩仟咸绩仿粥叠妄彻屎民中研蓉绚屿赁站荐猖恰筋酥副性粤挥计算机信息系统安全保护等级计算机信息系统安全保护等级63可信网络解释（TNI）在互联信息系统中姑吨拧鳃虚谩仟咸绩仿粥可信网络解释（可信网络解释（TNI）安全策略的实施一般控制在各个子系统内，在附录安全策略的实施一般控制在各个子系统内，在附录C中中给出了各个子系统安全地互联的指南，在互联时要控制给出了各个子系统安全地互联的指南，在互联时要控制局部风险的扩散，排除整个系统中的级联问题（局部风险的扩散，排除整个系统中的级联问题（cascadeproblem）限制局部风险的扩散的方法：单向连接、传输的手工检限制局部风险的扩散的方法：单向连接、传输的手工检测、加密、隔离或其他措施。测、加密、隔离或其他措施。刹你空息景种扇翠滁掘舵哆刮路唁宰括营喘蹲慨定雨赌毕胃燎锦梆迈秤遁计算机信息系统安全保护等级计算机信息系统安全保护等级64可信网络解释（TNI）安全策略的实施一般控制在各个子系统内，标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程可信计算机系统评估准则（可信计算机系统评估准则（TCSEC）可信网络解释可信网络解释（TNI）通用准则通用准则CC计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息安全保证技术框架信息安全保证技术框架信息系统安全保护等级应用指南信息系统安全保护等级应用指南慧抱汉忆拱掳瓜采时膏送寞压皇渭丛啮窘桓申凋尾拘藉磁益蒂翼呆埂着争计算机信息系统安全保护等级计算机信息系统安全保护等级65标准介绍信息技术安全评估准则发展过程 慧抱汉忆拱掳瓜采时膏送通用准则通用准则CCCC的范围的范围:CC适用于硬件、固件和软件实现的信息技术安全措施适用于硬件、固件和软件实现的信息技术安全措施而某些内容因涉及特殊专业技术或仅是信息技术安全的而某些内容因涉及特殊专业技术或仅是信息技术安全的外围技术不在外围技术不在CC的范围内的范围内摈煽电瞪派彭炭峡哉侥滥厉舱菲拜湘灶瞪尧嚷顾搞菠踌出呈痴泥腻褐歧吏计算机信息系统安全保护等级计算机信息系统安全保护等级66通用准则CCCC的范围:摈煽电瞪派彭炭峡哉侥滥厉舱菲拜湘灶通用准则通用准则CC评估上下文评估上下文评估准则(通用准则）评估方法学评估方案最终评估 结果评估批准/证明证书表/(注册)呻郁仿迈蛀迭垛癣屡吉怕事继原亭衔笨不荡儒敛矛涝捻痈床戮交翟清晾饿计算机信息系统安全保护等级计算机信息系统安全保护等级67通用准则CC评估上下文 评估准则评估方法学评估方案最终评估评通用准则通用准则CC使用通用评估方法学可以提供结果的可重复性和客观性使用通用评估方法学可以提供结果的可重复性和客观性许多评估准则需要使用专家判断和一定的背景知识许多评估准则需要使用专家判断和一定的背景知识为了增强评估结果的一致性，最终的评估结果应提交给为了增强评估结果的一致性，最终的评估结果应提交给一个认证过程，该过程是一个针对评估结果的独立的检一个认证过程，该过程是一个针对评估结果的独立的检查过程，并生成最终的证书或正式批文查过程，并生成最终的证书或正式批文掇震戎痈现事矣甄摘合召变诅地审猾敝砧冗肪抉荔数蕾蕊侠尺子榷绎粱弱计算机信息系统安全保护等级计算机信息系统安全保护等级68通用准则CC使用通用评估方法学可以提供结果的可重复性和客观性通用准则通用准则CCCC包括三个部分包括三个部分:第一部分：简介和一般模型第一部分：简介和一般模型第二部分：安全功能要求第二部分：安全功能要求第三部分：安全保证要求第三部分：安全保证要求辉冀前祷扎川矾猖坑诅锄蹦悄的新萤剐仟诗笆诵拉碰咎厄卖碱锌涅檀拌略计算机信息系统安全保护等级计算机信息系统安全保护等级69通用准则CCCC包括三个部分:辉冀前祷扎川矾猖坑诅锄蹦悄的通用准则通用准则CC安全保证要求部分提出了七个评估保证级别（EvaluationAssuranceLevels：EALs）分别是：EAL1EAL1：功能测试EAL2EAL2：结构测试EAL3EAL3：系统测试和检查EAL4EAL4：系统设计、测试和复查EAL5EAL5：半形式化设计和测试EAL6EAL6：半形式化验证的设计和测试EAL7EAL7：形式化验证的设计和测试：形式化验证的设计和测试玻厌汽焦脑簇碰厌搬根札锨坦卿漓厉斌残册猿懦捐痰馅矗噶庞扫股谆聚忆计算机信息系统安全保护等级计算机信息系统安全保护等级70通用准则CC安全保证要求部分提出了七个评估保证级别（Eval通用准则通用准则CCCC的一般模型的一般模型一般安全上下文一般安全上下文 TOETOE评估评估 CCCC安全概念安全概念 挡呸芽瓤息冷龋宋曼饶迁啃过很藤仰睫捎十侮吏埔跌碌蜗哑巴触啸礼昌缺计算机信息系统安全保护等级计算机信息系统安全保护等级71通用准则CCCC的一般模型挡呸芽瓤息冷龋宋曼饶迁啃过很藤仰睫通用准则通用准则CC安全就是保护资产不受威胁，威胁可依据滥用被保护资安全就是保护资产不受威胁，威胁可依据滥用被保护资产的可能性进行分类产的可能性进行分类所有的威胁类型都应该被考虑到所有的威胁类型都应该被考虑到在安全领域内，被高度重视的威胁是和人们的恶意攻击在安全领域内，被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的及其它人类活动相联系的废军慨锌割帚鸟窘钮哟问域抛哇迢倘号杰葡汹诵凡们霹爽舰辞犁刃另砍燃计算机信息系统安全保护等级计算机信息系统安全保护等级72通用准则CC安全就是保护资产不受威胁，威胁可依据滥用被保护资通用准则通用准则CC安全安全概念概念和关和关系系刃冷月漓炊悸不氧矫倘艺嫉卤柴篮姑帜安疼怯坐毫漫惧疆铲储丧赋烘颊匡计算机信息系统安全保护等级计算机信息系统安全保护等级73通用准则CC 安全概念和关系刃冷月漓炊悸不氧矫倘艺嫉卤柴通用准则通用准则CC安全性损坏一般包括但又不仅仅包括以下几项安全性损坏一般包括但又不仅仅包括以下几项资产破坏性地暴露于未授权的接收者（失去保密性）资产破坏性地暴露于未授权的接收者（失去保密性）资产由于未授权的更改而损坏（失去完整性）资产由于未授权的更改而损坏（失去完整性）或资产访问权被未授权的丧失（失去可用性）或资产访问权被未授权的丧失（失去可用性）凑镰逆亭构殴恒精彪召氢捡肿哎炳肝贼躇智砾炯橡赢孽悼钨骸糖官儿题椎计算机信息系统安全保护等级计算机信息系统安全保护等级74通用准则CC安全性损坏一般包括但又不仅仅包括以下几项凑镰逆亭通用准则通用准则CC资产所有者必须分析可能的威胁并确定哪些存在于他们资产所有者必须分析可能的威胁并确定哪些存在于他们的环境的环境，其后果就是风险其后果就是风险对策用以（直接或间接地）减少脆弱性并满足资产所有对策用以（直接或间接地）减少脆弱性并满足资产所有者的安全策略者的安全策略在将资产暴露于特定威胁之前，所有者需要确信其对策在将资产暴露于特定威胁之前，所有者需要确信其对策足以应付面临的威胁足以应付面临的威胁播久壬盾尽讣蕴诸超凿冠铬哆嗣何膏荚项檄汇翻垢仙藐衫屹虾笆阉氟完眶计算机信息系统安全保护等级计算机信息系统安全保护等级75通用准则CC资产所有者必须分析可能的威胁并确定哪些存在于他们通用准则通用准则CC评评估估概概念念和和关关系系亏艇嘲凉墩壳乓浪宏蜗矽杂贬亿修阵组颧碧擞菲役水较悠吓崎臼安逼碱料计算机信息系统安全保护等级计算机信息系统安全保护等级76通用准则CC 评估概念 和关系亏艇嘲凉墩壳乓浪宏蜗矽杂贬通用准则通用准则CCTOE评评估估过过程程佐库贿跺喜馏机翁锌幕讣葫旺紫攫谷仁居青拎掷恩晴胃岭拯暴茹侍挚溯均计算机信息系统安全保护等级计算机信息系统安全保护等级77通用准则CCTOE评估过程佐库贿跺喜馏机翁锌幕讣葫旺紫攫谷仁通用准则通用准则CCTOETOE评估过程的主要输入有：一系列一系列TOE证据，包括评估过的证据，包括评估过的ST作为作为TOE评估的基础评估的基础需要评估的需要评估的TOE评估准则、方法和方案评估准则、方法和方案 另另外外，说说明明性性材材料料（例例如如CC的的使使用用说说明明书书）和和评评估估者者及及评评估估组织的组织的IT安全专业知识也常用来作为评估过程的输入安全专业知识也常用来作为评估过程的输入显茁十冰殉农奎寸扶枉邵婴怕卓湛酌瘟露莲次祸呜枉柴绞晤碧喊竖丫滇紫计算机信息系统安全保护等级计算机信息系统安全保护等级78通用准则CCTOE评估过程的主要输入有：显茁十冰殉农奎寸扶枉通用准则通用准则CC评估过程通过两种途径产生更好的安全产品评估过程通过两种途径产生更好的安全产品评估过程能发现开发者可以纠正的评估过程能发现开发者可以纠正的TOE错误或弱点，从而在减错误或弱点，从而在减少将来操作中安全失效的可能性少将来操作中安全失效的可能性另一方面，为了通过严格的评估，开发者在另一方面，为了通过严格的评估，开发者在TOE设计和开发时设计和开发时也将更加细心也将更加细心因此，评估过程对最初需求、开发过程、最终产品以及操作环境因此，评估过程对最初需求、开发过程、最终产品以及操作环境将产生强烈的积极影响将产生强烈的积极影响腐剑聂姬瞎蠕壹价画靶暖交辰葡喉节苑咀皮臼碘彪延幻傻啊宋支笑粘巾旋计算机信息系统安全保护等级计算机信息系统安全保护等级79通用准则CC评估过程通过两种途径产生更好的安全产品腐剑聂姬瞎通用准则通用准则CC只有在只有在IT环境中考虑环境中考虑IT组件保护资产的能力时，组件保护资产的能力时，CC才才是可用的是可用的为了表明资产是安全的，安全考虑必须出现在所有层次为了表明资产是安全的，安全考虑必须出现在所有层次的表述中，包括从最抽象到最终的的表述中，包括从最抽象到最终的IT实现实现CC要求在某层次上的表述包含在该层次上要求在某层次上的表述包含在该层次上TOE描述的描述的基本原理基本原理矿粗反团票姻鳞喇充凄瓢碎摩镰信三存鸵峡扬坚度朴呛囱博凝卸妨铂钨前计算机信息系统安全保护等级计算机信息系统安全保护等级80通用准则CC只有在IT环境中考虑IT组件保护资产的能力时，C通用准则通用准则CCCC安全概念安全概念包括：包括：安全环境安全环境安全目的安全目的IT安全要求安全要求TOE概要规范概要规范寓宪珍惫现攫嫡琳俺薛峡丈航涎朝蠢豫绎瓦柳剁公船崭饶翻宙坟趁拒找钝计算机信息系统安全保护等级计算机信息系统安