网络与信息安全-计算机信息系统安全评估标准介绍(1)

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,网络,与,与信,息,息安,全,全,第十,七,七讲,计算,机,机信,息,息系,统,统,安全,评,评估,标,标准,介,介绍,闫,强,强,北,北京,大,大学,信,信息,科,科学,技,技术,学,学院,软件,研,研究,所,所,信,信息,安,安全,研,研究,室,室yanqiang,2003,年,年春,季,季北,京,京大,学,学硕,士,士研,究,究生,课,课程,1,标准,介,介绍,信息,技,技术,安,安全,评,评估,准,准则,发,发展,过,过程,可信,计,计算,机,机系,统,统评,估,估准,则,则（,TCSEC,）,）,可信,网,网络,解,解释,（TNI,）,）,通用,准,准则,CC,计,算,算机,信,信息,系,系统,安,安全,保,保护,等,等级,划,划分,准,准则,信息,系,系统,安,安全,评,评估,方,方法,探,探讨,2,信息,技,技术,安,安全,评,评估,准,准则,发,发展,过,过程,信息,技,技术,安,安全,评,评估,是,是对,一,一个,构,构件,、,、产,品,品、,子,子系,统,统或,系,系统,的,的安,全,全属,性,性进,行,行的,技,技术,评,评价,，,，通,过,过评,估,估判,断,断该,构,构件,、,、产,品,品、,子,子系,统,统或,系,系统,是,是否,满,满足,一,一组,特,特定,的,的要,求,求。,信,信息,技,技术,安,安全,评,评估,的,的另,一,一层,含,含义,是,是在,一,一定,的,的安,全,全策,略,略、,安,安全,功,功能,需,需求,及,及目,标,标保,证,证级,别,别下,获,获得,相,相应,保,保证,的,的过,程,程,。,。,产品,安,安全,评,评估,信息,系,系统,安,安全,评,评估,信息,系,系统,安,安全,评,评估,，,，或,简,简称,为,为系,统,统评,估,估，,是,是在,具,具体,的,的操,作,作环,境,境与,任,任务,下,下对,一,一个,系,系统,的,的安,全,全保,护,护能,力,力进,行,行的,评,评估,。,。,3,信息,技,技术,安,安全,评,评估,准,准则,发,发展,过,过程,20,世,世纪60,年,年代,后,后期,，,，1967年,美,美国,国,国防,部,部（DOD）,成,成立,了,了一,个,个研,究,究组,，,，针,对,对当,时,时计,算,算机,使,使用,环,环境,中,中的,安,安全,策,策略,进,进行,研,研究,，,，其,研,研究,结,结果,是,是“DefenseScienceBoardreport,”,”,70,年,年代,的,的后,期,期DOD,对,对当,时,时流,行,行的,操,操作,系,系统KSOS,，,，PSOS，KVM进,行,行了,安,安全,方,方面,的,的研,究,究,4,信息,技,技术,安,安全,评,评估,准,准则,发,发展,过,过程,80,年,年代,后,后，,美,美国,国,国防,部,部发,布,布的,“,“可,信,信计,算,算机,系,系统,评,评估,准,准则,（,（TCSEC,）,）”,（,（即,桔,桔皮,书,书）,后来DOD又,发,发布,了,了可,信,信数,据,据库,解,解释,（,（TDI,）,）、,可,可信,网,网络,解,解释,（,（TNI,）,）等,一,一系,列,列相,关,关的,说,说明,和,和指,南,南,90,年,年代,初,初，,英,英、,法,法、,德,德、,荷,荷等,四,四国,针,针对TCSEC准,则,则的,局,局限,性,性，,提,提出,了,了包,含,含保,密,密性,、,、完,整,整性,、,、可,用,用性,等,等概,念,念的,“,“信,息,息技,术,术安,全,全评,估,估准,则,则”,（,（ITSEC,）,），,定,定义,了,了从E0,级,级到E6,级,级的,七,七个,安,安全,等,等级,5,信息,技,技术,安,安全,评,评估,准,准则,发,发展,过,过程,加拿,大,大1988年,开,开始,制,制订,TheCanadianTrustedComputerProductEvaluationCriteria,（,（CTCPEC）,1993年，,美,美国对TCSEC作,了,了补充,和,和修改,，,，制定,了,了“组,合,合的联,邦,邦标准,”,”（简,称,称FC,）,）,国际标,准,准化组,织,织（ISO）,从,从1990年,开,开始开,发,发通用,的,的国际,标,标准评,估,估准则,6,信息技,术,术安全,评,评估准,则,则发展,过,过程,在1993年6月，CTCPEC,、,、FC,、,、TCSEC,和,和ITSEC,的,的发起,组,组织开,始,始联合,起,起来，,将,将各自,独,独立的,准,准则组,合,合成一,个,个单一,的,的、能,被,被广泛,使,使用的IT安,全,全准则,发起组,织,织包括,六,六国七,方,方：加,拿,拿大、,法,法国、,德,德国、,荷,荷兰、,英,英国、,美,美国NIST,及,及美国NSA,，,，他们,的,的代表,建,建立了CC编,辑,辑委员,会,会（CCEB,）,）来开,发,发CC,7,信息技术安,全,全评估准则,发,发展过程,1996年1月完成CC1.0版,在1996,年,年4月被ISO采纳,1997年10月完成CC2.0,的,的测试版,1998年5月发布CC2.0版,1999年12月ISO采纳CC,，,，并作为国,际,际标准ISO 15408发布,8,安全评估标,准,准的发展历,程,程,桔皮书,（TCSEC）1985,英国安全标准1989,德国标准,法国标准,加拿大标准,1993,联邦标准草案1993,ITSEC,1991,通用标准,V1.0 1996,V2.0 1998,V2.1 1999,9,标准介绍,信息技术安,全,全评估准则,发,发展过程,可信计算机,系,系统评估准,则,则（,TCSEC,）,可信网络解,释,释,（TNI）,通用准则,CC,计算机信,息,息系统安全,保,保护等级划,分,分准则,信息系统安,全,全评估方法,探,探讨,10,TCSEC,在TCSEC中，美国,国,国防部按处,理,理信息的等,级,级和应采用,的,的响应措施,，,，将计算机,安,安全从高到,低,低分为：A,、,、B、C、D四类八个,级,级别，共27条评估准,则,则,随着安全等,级,级的提高，,系,系统的可信,度,度随之增加,，,，风险逐渐,减,减少。,11,TCSEC,四个安全等,级,级：,无保护级,自主保护级,强制保护级,验证保护级,12,TCSEC,D类是最低,保,保护等级，,即,即无保护级,是为那些经,过,过评估，但,不,不满足较高,评,评估等级要,求,求的系统设,计,计的，只具,有,有一个级别,该类是指不,符,符合要求的,那,那些系统，,因,因此，这种,系,系统不能在,多,多用户环境,下,下处理敏感,信,信息,13,TCSEC,四个安全等,级,级：,无保护级,自主保护级,强制保护级,验证保护级,14,TCSEC,C类为自主,保,保护级,具,有,有,一,一,定,定,的,的,保,保,护,护,能,能,力,力,，,，,采,采,用,用,的,的,措,措,施,施,是,是,自,自,主,主,访,访,问,问,控,控,制,制,和,和,审,审,计,计,跟,跟,踪,踪,一,般,般,只,只,适,适,用,用,于,于,具,具,有,有,一,一,定,定,等,等,级,级,的,的,多,多,用,用,户,户,环,环,境,境,具,有,有,对,对,主,主,体,体,责,责,任,任,及,及,其,其,动,动,作,作,审,审,计,计,的,的,能,能,力,力,15,TCSEC,C,类,类,分,分,为,为C1,和,和C2,两,两,个,个,级,级,别,别:,自,主,主,安,安,全,全,保,保,护,护,级,级,（,（,C1,级),控,制,制,访,访,问,问,保,保,护,护,级,级,（,（,C2,级,）,）,16,TCSEC,C1,级TCB,通,通,过,过,隔,隔,离,离,用,用,户,户,与,与,数,数,据,据,，,，,使,使,用,用,户,户,具,具,备,备,自,自,主,主,安,安,全,全,保,保,护,护,的,的,能,能,力,力,它,具,具,有,有,多,多,种,种,形,形,式,式,的,的,控,控,制,制,能,能,力,力,，,，,对,对,用,用,户,户,实,实,施,施,访,访,问,问,控,控,制,制,为,用,用,户,户,提,提,供,供,可,可,行,行,的,的,手,手,段,段,，,，,保,保,护,护,用,用,户,户,和,和,用,用,户,户,组,组,信,信,息,息,，,，,避,避,免,免,其,其,他,他,用,用,户,户,对,对,数,数,据,据,的,的,非,非,法,法,读,读,写,写,与,与,破,破,坏,坏,C1,级,级,的,的,系,系,统,统,适,适,用,用,于,于,处,处,理,理,同,同,一,一,敏,敏,感,感,级,级,别,别,数,数,据,据,的,的,多,多,用,用,户,户,环,环,境,境,17,TCSEC,C2,级,级,计,计,算,算,机,机,系,系,统,统,比,比C1,级,级,具,具,有,有,更,更,细,细,粒,粒,度,度,的,的,自,自,主,主,访,访,问,问,控,控,制,制,C2,级,级,通,通,过,过,注,注,册,册,过,过,程,程,控,控,制,制,、,、,审,审,计,计,安,安,全,全,相,相,关,关,事,事,件,件,以,以,及,及,资,资,源,源,隔,隔,离,离,，,，,使,使,单,单,个,个,用,用,户,户,为,为,其,其,行,行,为,为,负,负,责,责,18,TCSEC,四,个,个,安,安,全,全,等,等,级,级,：,：,无,保,保,护,护,级,级,自,主,主,保,保,护,护,级,级,强,制,制,保,保,护,护,级,级,验,证,证,保,保,护,护,级,级,19,TCSEC,B,类,类,为,为,强,强,制,制,保,保,护,护,级,级,主,要,要,要,要,求,求,是,是TCB,应,应,维,维,护,护,完,完,整,整,的,的,安,安,全,全,标,标,记,记,，,，,并,并,在,在,此,此,基,基,础,础,上,上,执,执,行,行,一,一,系,系,列,列,强,强,制,制,访,访,问,问,控,控,制,制,规,规,则,则,B类系,统,统中的,主,主要数,据,据结构,必,必须携,带,带敏感,标,标记,系统的,开,开发者,还,还应为TCB,提,提供安,全,全策略,模,模型以,及,及TCB规约,应提供,证,证据证,明,明访问,监,监控器,得,得到了,正,正确的,实,实施,20,TCSEC,B类分,为,为三个,类,类别：,标记安,全,全保护,级,级（,B1,级）,结构化,保,保护级,（,（,B2,级）,安全区,域,域保护,级,级（,B3,级）,21,TCSEC,B1级,系,系统要,求,求具有C2级,系,系统的,所,所有特,性,性,在此基,础,础上，,还,还应提,供,供安全,策,策略模,型,型的非,形,形式化,描,描述、,数,数据标,并消除测试中发现的所有缺陷,22,TCSEC,B类分,为,为三个,类,类别：,标记安,全,全保护,级,级（,B1,级）,结构化,保,保护级,（,（,B2,级）,安全区,域,域保护,级,级（,B3,级）,23,TCSEC,在B2,级,级系统,中,中，TCB建,立,立于一,个,个明确,定,定义并,文,文档化,形,形式化,安,安全策,略,略模型,之,之上,要求将B1级,系,系统中,建,建立的,自,自主和,强,强制访,问,问控制,扩,扩展到,所,所有的,主,主体与,客,客体,在此基,础,础上，,应,应对隐,蔽,蔽信道,进,进行分,析,析,TCB,应,应结构,化,化为关,键,键保护,元,元素和,非,非关键,保,保护元,素,素,24,TCSEC,TCB,接,接口必,须,须明确,定,定义,其设计,与,与实现,应,应能够,经,经受更,充,充分的,测,测试和,更,更完善,的,的审查,鉴别机,制,制应得,到,到加强,，,，提供,可,可信设,施,施管理,以,以支持,系,系统管,理,理员和,操,操作员,的,的职能,提供严,格,格的配,置,置管理,控,控制,B2级,系,系统应,具,具备相,当,当的抗,渗,渗透能,力,力,25,TCSEC,B类分,为,为三个,类,类别：,标记安,全,全保护,级,级（,B1,级）,结构化,保,保护级,（,（,B2,级）,安全区,域,域保护,级,级（,B3,级）,26,TCSEC,在B3,级,级系统,中,中，TCB必,须,须满足,访,访问监,控,控器需,求,求,访问监,控,控器对,所,所有主,体,体对客,体,体的访,问,问进行,仲,仲裁,访问监,控,控器本,身,身是抗,篡,篡改的,访问监,控,控器足,够,够小,访问监,控,控器能,够,够分析,和,和测试,27,TCSEC,为了,满,满足,访,访问,控,控制,器,器需,求,求:,计算,机,机信,息,息系,统,统可,信,信计,算,算基,在,在构,造,造时,，,，排,除,除那,些,些对,实,实施,安,安全,策,策略,来,来说,并,并非,必,必要,的,的代,码,码,计算,机,机信,息,息系,统,统可,信,信计,算,算基,在,在设,计,计和,实,实现,时,时，,从,从系,统,统工,程,程角,度,度将,其,其复,杂,杂性,降,降低,到,到最,小,小程,度,度,28,TCSEC,B3,级,级系,统,统支,持,持:,安全,管,管理,员,员职,能,能,扩充,审,审计,机,机制,当发,生,生与,安,安全,相,相关,的,的事,件,件时,，,，发,出,出信,号,号,提供,系,系统,恢,恢复,机,机制,系统,具,具有,很,很高,的,的抗,渗,渗透,能,能力,29,TCSEC,四个,安,安全,等,等级,：,：,无保,护,护级,自主,保,保护,级,级,强制,保,保护,级,级,验证,保,保护,级,级,30,TCSEC,A类为验,证,证保护级,A类的特,点,点是使用,形,形式化的,安,安全验证,方,方法，保,证,证系统的,自,自主和强,制,制安全控,制,制措施能,够,够有效地,保,保护系统,中,中存储和,处,处理的秘,密,密信息或,其,其他敏感,信,信息,为证明TCB满足,设,设计、开,发,发及实现,等,等各个方,面,面的安全,要,要求，系,统,统应提供,丰,丰富的文,档,档信息,31,TCSEC,A类分为,两,两个类别,：,：,验证设计,级,级（A1,级,级）,超A1级,32,TCSEC,A1级,系,系统在,功,功能上,和,和B3,级,级系统,是,是相同,的,的，没,有,有增加,体,体系结,构,构特性,和,和策略,要,要求,最显著,的,的特点,是,是，要,求,求用形,式,式化设,计,计规范,和,和验证,方,方法来,对,对系统,进,进行分,析,析，确,保,保TCB按设,计,计要求,实,实现,从本质,上,上说，,这,这种保,证,证是发,展,展的，,它,它从一,个,个安全,策,策略的,形,形式化,模,模型和,设,设计的,形,形式化,高,高层规,约,约（FTLS,）,）开始,33,TCSEC,针对A1级系,统,统设计,验,验证，,有,有5种,独,独立于,特,特定规,约,约语言,或,或验证,方,方法的,重,重要准,则,则：,安全策,略,略的形,式,式化模,型,型必须,得,得到明,确,确标识,并,并文档,化,化，提,供,供该模,型,型与其,公,公理一,致,致以及,能,能够对,安,安全策,略,略提供,足,足够支,持,持的数,学,学证明,应提供,形,形式化,的,的高层,规,规约，,包,包括TCB功,能,能的抽,象,象定义,、,、用于,隔,隔离执,行,行域的,硬,硬件/,固,固件机,制,制的抽,象,象定义,34,TCSEC,应通过,形,形式化,的,的技术,（,（如果,可,可能的,化,化）和,非,非形式,化,化的技,术,术证明,TCB,的形式,化,化高层,规,规约（,FTLS,）与模,型,型是一,致,致的,通过非,形,形式化,的,的方法,证,证明,TCB,的实现,（,（硬件,、,、固件,、,、软件,）,）与形,式,式化的,高,高层规,约,约（,FTLS,）是一,致,致的。,应,应证明,FTLS,的元素,与,与,TCB,的元素,是,是一致,的,的，,FTLS,应表达,用,用于满,足,足安全,策,策略的,一,一致的,保,保护机,制,制，这,些,些保护,机,机制的,元,元素应,映,映射到,TCB,的要素,35,TCSEC,应使用,形,形式化,的,的方法,标,标识并,分,分析隐,蔽,蔽信道,，,，非形,式,式化的,方,方法可,以,以用来,标,标识时,间,间隐蔽,信,信道，,必,必须对,系,系统中,存,存在的,隐,隐蔽信,道,道进行,解,解释,36,TCSEC,A1,级系统:,要求更,严,严格的,配,配置管,理,理,要求建,立,立系统,安,安全分,发,发的程,序,序,支持系,统,统安全,管,管理员,的,的职能,37,TCSEC,A类分,为,为两个,类,类别：,验证设,计,计级（A1级,）,）,超A1,级,级,38,TCSEC,超A1,级,级在,A1,级基础,上,上增加,的,的许多,安,安全措,施,施超出,了,了目前,的,的技术,发,发展,随着更,多,多、更,好,好的分,析,析技术,的,的出现,，,，本级,系,系统的,要,要求才,会,会变的,更,更加明,确,确,今后，,形,形式化,的,的验证,方,方法将,应,应用到,源,源码一,级,级，并,且,且时间,隐,隐蔽信,道,道将得,到,到全面,的,的分析,39,TCSEC,在这一,级,级，设,计,计环境,将,将变的,更,更重要,形式化,高,高层规,约,约的分,析,析将对,测,测试提,供,供帮助,TCB,开发中,使,使用的,工,工具的,正,正确性,及,及,TCB,运行的,软,软硬件,功,功能的,正,正确性,将,将得到,更,更多的,关,关注,40,TCSEC,超,A1,级系统,涉,涉及的,范,范围包,括,括：,系统体系结,构,构,安全测试,形式化规约,与,与验证,可信设计环,境,境等,41,标准介绍,信息技术安,全,全评估准则,发,发展过程,可信计算机,系,系统评估准,则,则（,TCSEC,）,可信网络解,释,释,（TNI）,通用准则,CC,计算机信,息,息系统安全,保,保护等级划,分,分准则,信息系统安,全,全评估方法,探,探讨,42,可信网络解,释,释（,TNI）,美国国防部,计,计算机安全,评,评估中心在,完,完成,TCSEC,的基础上，,又,又组织了专,门,门的研究镞,对,对可信网络,安,安全评估进,行,行研究，并,于,于,1987,年发布了以,TCSEC,为基础的可,信,信网络解释,，,，即,TNI,。,TNI,包括两个部,分,分（,PartI,和,PartII,）及三个附,录,录（,APPENDIX A,、,B,、,C,）,43,可信网络解,释,释（,TNI）,TNI,第一部分提,供,供了在网络,系,系统作为一,个,个单一系统,进,进行评估时,TCSEC,中各个等级,（,（从,D,到,A,类）的解释,与单机系统,不,不同的是，,网,网络系统的,可,可信计算基,称,称为网络可,信,信计算基（,NTCB,）,44,可信网络解,释,释（,TNI）,第二部分以,附,附加安全服,务,务的形式提,出,出了在网络,互,互联时出现,的,的一些附加,要,要求,这些要求主,要,要是针对完,整,整性、可用,性,性和保密性,的,的,45,可信网络解,释,释（,TNI）,第二部分的,评,评估是定性,的,的，针对一,个,个服务进行,评,评估的结果,一,一般分为为,：,：,none,minimum,fair,good,46,可信网络解,释,释（,TNI）,第二部分中,关,关于每个服,务,务的说明一,般,般包括:,一种相对简,短,短的陈述,相关的功能,性,性的讨论,相关机制强,度,度的讨论,相关保证的,讨,讨论,47,可信网络解,释,释（,TNI）,功能性是指,一,一个安全服,务,务的目标和,实,实现方法，,它,它包括特性,、,、机制及实,现,现,机制的强度,是,是指一种方,法,法实现其目,标,标的程度,有些情况下,，,，参数的选,择,择会对机制,的,的强度带来,很,很大的影响,48,可信网络解,释,释（,TNI）,保证是指相,信,信一个功能,会,会实现的基,础,础,保证一般依,靠,靠对理论、,测,测试、软件,工,工程等相关,内,内容的分析,分析可以是,形,形式化或非,形,形式化的，,也,也可以是理,论,论的或应用,的,的,49,可信网络解,释,释（,TNI）,第二部分中,列,列出的安全,服,服务有：,通信完整性,拒绝服务,机密性,50,可信网络解,释,释（,TNI）,鉴别：网络中应能够抵抗欺骗和重放攻击,通信字段完整性：保护通信中的字段免受非授权的修改,抗抵赖：提供数据发送、接受的证据,51,可信网络解,释,释（,TNI）,当网络处理,能,能力下降到,一,一个规定的,界,界限以下或,远,远程实体无,法,法访问时，,即,即发生了拒,绝,绝服务,所有由网络,提,提供的服务,都,都应考虑拒,绝,绝服务的情,况,况,网络管理者,应,应决定网络,拒,拒绝服务需,求,求,52,可信网络解,释,释（,TNI）,解决拒绝服,务,务的方法有,：,：,操作连续性,基于协议的,拒,拒绝服务保,护,护,网络管理,53,可信网络解,释,释（,TNI）,机密性是一,系,系列安全服,务,务的总称,这些服务都,是,是关于通过,计,计算机通信,网,网络在实体,间,间传输信息,的,的安全和保,密,密的,具体又分,3,种情况：,数据保密,通信流保密,选择路由,54,可信网络解,释,释（,TNI）,数据保密：,数据保密性,服,服务保护数,据,据不被未授,权,权地泄露,数据保密性,主,主要受搭线,窃,窃听的威胁,被动的攻击,包,包括对线路,上,上传输的信,息,息的观测,55,可信网络解,释,释（,TNI）,通信流保密,：,：,针对通信流,分,分析攻击而,言,言，通信流,分,分析攻击分,析,析消息的长,度,度、频率及,协,协议的内容,（,（如地址）,并以此推出,消,消息的内容,56,可信网络解,释,释（,TNI）,选择路由：,路由选择控,制,制是在路由,选,选择过程中,应,应用规则，,以,以便具体的,选,选取或回避,某,某些网络、,链,链路或中继,路由能动态,的,的或预定地,选,选取，以便,只,只使用物理,上,上安全的子,网,网络、链路,或,或中继,在检测到持,续,续的操作攻,击,击时，端系,统,统可希望指,示,示网络服务,的,的提供者经,不,不同的路由,建,建立连接,带有某些安,全,全标记的数,据,据可能被策,略,略禁止通过,某,某些子网络,、,、链路或中,继,继,57,可信网络解,释,释（,TNI）,TNI,第二,部,部分,的,的评,估,估更,多,多地,表,表现,出,出定,性,性和,主,主观,的,的特,点,点，,同,同第,一,一部,分,分相,比,比表,现,现出,更,更多,的,的变,化,化,第二,部,部分,的,的评,估,估是,关,关于,被,被评,估,估系,统,统能,力,力和,它,它们,对,对特,定,定应,用,用环,境,境的,适,适合,性,性的,非,非常,有,有价,值,值的,信,信息,第二,部,部分,中,中所,列,列举,的,的安,全,全服,务,务是,网,网络,环,环境,下,下有,代,代表,性,性的,安,安全,服,服务,在不,同,同的,环,环境,下,下，,并,并非,所,所有,的,的服,务,务都,同,同等,重,重要,，,，同,一,一服,务,务在,不,不同,环,环境,下,下的,重,重要,性,性也,不,不一,定,定一,样,样,58,可信,网,网络,解,解释,（,（,TNI）,TNI,的附,录,录,A,是第,一,一部,分,分的,扩,扩展,，,，主,要,要是,关,关于,网,网络,中,中组,件,件及,组,组件,组,组合,的,的评,估,估,附录A把TCSEC为A1,级,级系,统,统定,义,义的,安,安全,相,相关,的,的策,略,略分,为,为四,个,个相,对,对独,立,立的,种,种类,，,，他,们,们分,别,别支,持,持强,制,制访,问,问控,制,制（MAC）,，,，自,主,主访,问,问控,制,制（DAC）,，,，身,份,份鉴,别,别（IA,）,），,审,审计,（,（AUDIT,）,）,59,可信,网,网络,解,解释,（,（,TNI）,组成部分的类型,最小级别,最大级别,M,B1,A1,D,C1,C2+,I,C1,C2,A,C2,C2+,DI,C1,C2+,DA,C2,C2+,IA,C2,C2+,IAD,C2,C2+,MD,B1,A1,MA,B1,A1,MI,B1,A1,MDA,B1,A1,MDI,B1,A1,MIA,B1,A1,MIAD,B1,A1,60,可信,网,网络,解,解释,（,（,TNI）,附录,B,给出,了,了根,据,据,TCSEC,对网,络,络组,件,件进,行,行评,估,估的,基,基本,原,原理,附录,C,则给,出,出了,几,几个,AIS,互联,时,时的,认,认证,指,指南,及,及互,联,联中,可,可能,遇,遇到,的,的问,题,题,61,可信,网,网络,解,解释,（,（,TNI）,TNI,中关,于,于网,络,络有,两,两种,概,概念,：,：,一是,单,单一,可,可信,系,系统,的,的概,念,念（,singletrustedsystem,）,另一,个,个是,互,互联,信,信息,系,系统,的,的概,念,念（,interconnectedAIS,）,这两,个,个概,念,念并,不,不互,相,相排,斥,斥,62,可信,网,网络,解,解释,（,（,TNI）,在单,一,一可,信,信系,统,统中,，,，网,络,络具,有,有包,括,括各,个,个安,全,全相,关,关部,分,分的,单,单一,TCB,，称,为,为,NTCB,（,networktrustedcomputingbase,）,NTCB,作为,一,一个,整,整体,满,满足,系,系统,的,的安,全,全体,系,系设,计,计,63,可信,网,网络,解,解释,（,（,TNI）,在互,联,联信,息,息系,统,统中,各个,子,子系,统,统可,能,能具,有,有不,同,同的,安,安全,策,策略,具有,不,不同,的,的信,任,任等,级,级,并且,可,可以,分,分别,进,进行,评,评估,各个,子,子系,统,统甚,至,至可,能,能是,异,异构,的,的,64,可信,网,网络,解,解释,（,（,TNI,）,）,安,全,全,策,策,略,略,的,的,实,实,施,施,一,一,般,般,控,控,制,制,在,在,各,各,个,个,子,子,系,系,统,统,内,内,，,，,在,在,附,附,录,录,C,中,给,给,出,出,了,了,各,各,个,个,子,子,系,系,统,统,安,安,全,全,地,地,互,互,联,联,的,的,指,指,南,南,，,，,在,在,互,互,联,联,时,时,要,要,控,控,制,制,局,局,部,部,风,风,险,险,的,的,扩,扩,散,散,，,，,排,排,除,除,整,整,个,个,系,系,统,统,中,中,的,的,级,级,联,联,问,问,题,题,（,（,cascadeproblem,）,限,制,制,局,局,部,部,风,风,险,险,的,的,扩,扩,散,散,的,的,方,方,法,法,：,：,单,单,向,向,连,连,接,接,、,、,传,传,输,输,的,的,手,手,工,工,检,检,测,测,、,、,加,加,密,密,、,、,隔,隔,离,离,或,或,其,其,他,他,措,措,施,施,。,。,65,标,准,准,介,介,绍,绍,信,息,息,技,技,术,术,安,安,全,全,评,评,估,估,准,准,则,则,发,发,展,展,过,过,程,程,可,信,信,计,计,算,算,机,机,系,系,统,统,评,评,估,估,准,准,则,则,（,（,TCSEC,）,可,信,信,网,网,络,络,解,解,释,释,（TNI,）,）,通,用,用,准,准,则,则,CC,计,计,算,算,机,机,信,信,息,息,系,系,统,统,安,安,全,全,保,保,护,护,等,等,级,级,划,划,分,分,准,准,则,则,信,息,息,系,系,统,统,安,安,全,全,评,评,估,估,方,方,法,法,探,探,讨,讨,66,通,用,用,准,准,则,则CC,CC,的,范,范,围,围,:,CC,适,用,用,于,于,硬,硬,件,件,、,、,固,固,件,件,和,和,软,软,件,件,实,实,现,现,的,的,信,信,息,息,技,技,术,术,安,安,全,全,措,措,施,施,而,某,某,些,些,内,内,容,容,因,因,涉,涉,及,及,特,特,殊,殊,专,专,业,业,技,技,术,术,或,或,仅,仅,是,是,信,信,息,息,技,技,术,术,安,安,全,全,的,的,外,外,围,围,技,技,术,术,不,不,在,在,CC,的范围,内,内,67,通用准,则,则CC,评估上,下,下文,评估准则,(通用准则）,评估方法学,评估方案,最终评估,结果,评估,批准/证明,证书表/,(注册),68,通用准,则,则CC,使用通,用,用评估,方,方法学,可,可以提,供,供结果,的,的可重,复,复性和,客,客观性,许多评,估,估准则,需,需要使,用,用专家,判,判断和,一,一定的,背,背景知,识,识,为了增,强,强评估,结,结果的,一,一致性,，,，最终,的,的评估,结,结果应,提,提交给,一,一个认,证,证过程,，,，该过,程,程是一,个,个针对,评,评估结,果,果的独,立,立的检,查,查过程,，,，并生,成,成最终,的,的证书,或,或正式,批,批文,69,通用准,则,则CC,CC,包括三,个,个部分:,第一部,分,分：简,介,介和一,般,般模型,第二部,分,分：安,全,全功能,要,要求,第三部,分,分：安,全,全保证,要,要求,70,通用准,则,则CC,安全保,证,证要求,部,部分提,出,出了七,个,个评估,保,保证级,别,别,（EvaluationAssuranceLevels：EALs,）,）,分别是,：,：,EAL1：功,能,能测试,EAL2：结,构,构测试,EAL3：系,统,统测试,和,和检查,EAL4：系,统,统设计,、,、测试,和,和复查,EAL5：半,形,形式化,设,设计和,测,测试,EAL6：半,形,形式化,验,验证的,设,设计和,测,测试,EAL7：形,式,式化验,证,证的设,计,计和测,试,试,71,通用准,则,则CC,安全就,是,是保护,资,资产不,受,受威胁,，,，威胁,可,可依据,滥,滥用被,保,保护资,产,产的可,能,能性进,行,行分类,所有的,威,威胁类,型,型都应,该,该被考,虑,虑到,在安全,领,领域内,，,，被高,度,度重视,的,的威胁,是,是和人,们,们的恶,意,意攻击,及,及其它,人,人类活,动,动相联,系,系的,72,通用准,则,则CC,安全概,念,念和关,系,系,73,通用准,则,则CC,安全性,损,损坏一,般,般包括,但,但又不,仅,仅仅包,括,括以下,几,几项,资产破,坏,坏性地,暴,暴露于,未,未授权,的,的接收,者,者（失,去,去保密,性,性）,资产由,于,于未授,权,权的更,改,改而损,坏,坏（失,去,去完整,性,性）,或资产,访,访问权,被,被未授,权,权的丧,失,失（失,去,去可用,性,性）,74,通用准,则,则CC,资产所,有,有者必,须,须分析,可,可能的,威,威胁并,确,确定哪,些,些存在,于,于他们,的,的环境,，,其后果,就,就是风,险,险,对策用,以,以（直,接,接或间,接,接地）,减,减少脆,弱,弱性并,满,满足资,产,产所有,者,者的安,全,全策略,在将资,产,产暴露,于,于特定,威,威胁之,前,前，所,有,有者需,要,要确信,其,其对策,足,足以应,付,付面临,的,的威胁,75,通用准则CC,评估概念,和,和关系,76,通用准则CC,TOE评估,过,过程,77,通用准则CC,评估过程通,过,过两种途径,产,产生更好的,安,安全产品,评估过程能,发,发现开发者,可,可以纠正的,TOE,错误或弱点,，,，从而在减,少,少将来操作,中,中安全失效,的,的可能性,另一方面，,为,为了通过严,格,格的评估，,开,开发者在,TOE,设计和开发,时,时也将更加,细,细心,因此，评估,过,过程对最初,需,需求、开发,过,过程、最终,产,产品以及操,作,作环境将产,生,生强烈的积,极,极影响,78,通用准则CC,CC,安全概念,包括：,安全环境,安全目的,IT,安全要求,TOE,概要规范,79,通用准则CC,安全环境包,括,括所有相关,的,的法规、组,织,织性安全策,略,略、习惯、,专,专门技术和,知,知识,它定义了,TOE,使用的上下,文,文，安全环,境,境也包括环,境,境里出现的,安,安全威胁,80,通用准则CC,安全环境的,分,分析结果被,用,用来阐明对,抗,抗已标识的,威,威胁、说明,组,组织性安全,策,策略和假设,的,的安全目的,安全目的和,已,已说明的,TOE,运行目标或,产,产品目标以,及,及有关的物,理,理环境知识,一,一致,确定安全目,的,的的意图是,为,为了阐明所,有,有的安全考,虑,虑并指出哪,些,些安全方面,的,的问题是直,接,接由,TOE,还是由它的,环,环境来处理,环境安全目,的,的将在,IT,领域内用非,技,技术上的或,程,程序化的手,段,段来实现,81,通用准则CC,IT,安全要求是,将,将安全目的,细,细化为一系,列,列,TOE,及其环境的,安,安全要求，,一,一旦这些要,求,求得到满足,，,，就可以保,证,证,TOE,达到它的安,全,全目的,IT,安全需求只,涉,涉及,TOE,安全目的和,它,它的,IT,环境,82,通用准则CC,CC,定义了一系,列,列与已知有,效,效的安全要,求,求集合相结,合,合的概念，,该,该概念可被,用,用来为预期,的,的产品和系,统,统建立安全,需,需求,CC安全要,求,求以类,族,组件这种层,次,次方式组织,，,，以帮助用,户,户定位特定,的,的安全要求,对功能和保,证,证方面的要,求,求，,CC,使用相同的,风,风格、组织,方,方式和术语,。,。,83,通用准则CC,CC,中安全要求,的,的描述方法,：,类：,类用作最通,用,用安全要求,的,的组合，类,的,的所有的成,员,员关注共同,的,的安全焦点,，,，但覆盖不,同,同的安全目,的,的,族：类的成,员,员被称为族,。,族是若干组,安,安全要求的,组,组合，这些,要,要求有共同,的,的安全目的,，,，但在侧重,点,点和严格性,上,上有所区别,组件：族的,成,成员被称为,组,组件。组件,描,描述一组特,定,定的安全要,求,求集，它是,CC,定义的结构,中,中所包含的,最,最小的可选,安,安全要求集,84,通用准则CC,组件由单个,元,元素组成，,元,元素是安全,需,需求最低层,次,次的表达，,并,并且是能被,评,评估验证的,不,不可分割的,安,安全要求,族内具有相,同,同目标的组,件,件可以以安,全,全要求强度,（,（或能力）,逐,逐步增加的,顺,顺序排列，,也,也可以部分,地,地按相关非,层,层次集合的,方,方式组织,85,通用准则CC,组件间可能,存,存在依赖关,系,系,依赖关系可,以,以存在于功,能,能组件之间,、,、保证组件,之,之间以及功,能,能和保证组,件,件之间,组件间依赖,关,关系描述是,CC,组件定义的,一,一部分,86,通用准则CC,可以通过使,用,用组件允许,的,的操作，对,组,组件进行裁,剪,剪,每一个,CC,组件标识并,定,定义组件允,许,许的“赋值,”,”和“选择,”,”操作、在,哪,哪些情况下,可,可对组件使,用,用这些操作,，,，以及使用,这,这些操作的,后,后果,任何一个组,件,件均允许“,反,反复”和“,细,细化”操作,87,通用准则CC,这四个操作,如,如下所述：,反复：在不,同,同操作时，,允,允许组件多,次,次使用,赋值：当组,件,件被应用时,，,，允许规定,所,所赋予的参,数,数,选择：允许,从,从组件给出,的,的列表中选,定,定若干项,细化：当组,件,件被应用时,，,，允许对组,件,件增加细节,88,通用准则CC,要求的组织,和,和结构,89,通用准则CC,CC,中安全需,求,求的描述,方,方法,:,包:组件,的,的中间组,合,合被称为,包,包,保护轮廓(,PP,):,PP,是关于一,系,系列满足,一,一个安全,目,目标集的TOE的,、,、与实现,无,无关的描,述,述,安全目标(,ST,),： ST,是针对特,定,定,TOE,安全要求,的,的描述，,通,通过评估,可,可以证明,这,这些安全,要,要求对满,足,足指定目,的,的是有用,和,和有效的,90,通用准则CC,包允许对,功,功能或保,证,证需求集,合,合的描述,，,，这个集,合,合能够满,足,足一个安,全,全目标的,可,可标识子,集,集,包可重复,使,使用，可,用,用来定义,那,那些公认,有,有用的、,能,能够有效,满,满足特定,安,安全目标,的,的要求,包可用在,构,构造更大,的,的包、,PP,和,ST,中,91,通用准则CC,PP,包含一套,来,来自,CC,（或明确,阐,阐述）的,安,安全要求,，,，它应包,括,括一个评,估,估保证级,别,别（,EAL,）,PP,可反复使,用,用，还可,用,用来定义,那,那些公认,有,有用的、,能,能够有效,满,满足特定,安,安全目标,的,的,TOE,要求,PP,包括安全,目,目的和安,全,全要求的,基,基本原理,PP,的开发者,可,可以是用,户,户团体、,IT,产品开发,者,者或其它,对,对定义这,样,样一系列,通,通用要求,有,有兴趣的,团,团体,92,通用准则CC,保护轮廓PP描述,结,结构,93,通用准则CC,安全目标(,ST,)包括一,系,系列安全,要,要求，这,些,些要求可,以,以引用,PP,，也可以,直,直接引用,CC,中的功能,或,或保证组,件,件，或明,确,确说明,一个,ST,包含,TOE,的概要规,范,范，安全,要,要求和目,的,的，以及,它,它们的基,本,本原理,ST,是所有团,体,体间就,TOE,应提供什,么,么样的安,全,全性达成,一,一致的基,础,础,94,通用准则CC,安全目标,描,描述结构,95,通用准则CC,CC,框架下的,评,评估类型,PP,评估,ST,评估,TOE,评估,96,通用准则CC,PP评估,是,是依照CC第3部,分,分的PP,评,评估准则,进,进行的。,评估的目,标,标是为了,证,证明PP,是,是完备的,、,、一致的,、,、技术合,理,理的，而,且,且适合于,作,作为一个,可,可评估TOE的安,全,全要求的,声,声明,97,通用准则CC,针对,TOE,的,ST,评估是依,照,照,CC,第,3,部分的,ST,评估准则,进,进行的,ST,评估具有,双,双重目标,：,：,首先是为,了,了证明,ST,是完备的,、,、一致的,、,、技术合,理,理的，而,且,且适合于,用,用作相应,TOE,评估的基,础,础,其次，当,某,某一,ST,宣称与某,一,一,PP,一致时，,证,证明,ST,满足该,PP,的要求,98,通用准则CC,TOE,评估是使,用,用一个已,经,经评估过,的,的,ST,作为基础,，,，依照,CC,第,3,部分的评,估,估准则进,行,行的,评估的目,标,标是为了,证,证明,TOE,满足,ST,中的安全,要,要求,99,通用准则CC,三种评估的,关,关系,100,通用准则CC,CC,的第二部分,是,是安全功能,要,要求，对满,足,足安全需求,的,的诸安全功,能,能提出了详,细,细的要求,另外，如果,有,有超出第二,部,部分的安全,功,功能要求，,开,开发者可以,根,根据“类-,族,族-组件-,元,元素”的描,述,述结构表达,其,其安全要求,，,，并附加在,其,其,ST,中,101,通用准则CC,CC,共包含的,11,个安全功能,类,类，如下：,FAU,类：安全审,计,计,FCO,类：通信,FCS,类：密码支,持,持,FDP,类：用户数,据,据保护,FIA,类：标识与,鉴,鉴别,FMT,类：安全管,理,理,FPR,类：隐秘,FPT,类：,TFS,保护,FAU,类：资源利,用,用,FTA,类：,TOE,访问,FTP,类：可信信,道,道,/,路径,102,通用准则CC,CC,的第三部分,是,是评估方法,部,部分，提出,了,了,PP,、,ST,、,TOE,三种评估，,共,共包括,10,个,类,类,，,，,但,但,其,其,中,中,的,的,APE,类,与,与,ASE,类,分,分,别,别,介,介,绍,绍,了,了,PP,与,ST,的,描,描,述,述,结,结,构,构,及,及,评,评,估,估,准,准,则,则,维,护,护,类,类,提,提,出,出,了,了,保,保,证,证,评,评,估,估,过,过,的,的,受,受,测,测,系,系,统,统,或,或,产,产,品,品,运,运,行,行,于,于,所,所,获,获,得,得,的,的,安,安,全,全,级,级,别,别,上,上,的,的,要,要,求,求,只有七,个,个安全,保,保证类,是,是,TOE,的评估,类,类别,103,通用准,则,则CC,七个安,全,全保证,类,类,ACM,类：配,置,置管理,ADO,类：分,发,发与操,作,作,ADV,类：开,发,发,AGD,类：指,导,导性文,档,档,ALC,类：生,命,命周期,支,支持,ATE,类：测,试,试,AVA,类：,脆,脆弱,性,性评,定,定,104,通用,准,准则CC,1998,年,1,月，,经,经过,两,两年,的,的密,切,切协,商,商，,来,来自,美,美国,、,、加,拿,拿大,、,、法,国,国、,德,德国,以,以及,英,英国,的,的政,府,府组,织,织签,订,订了,历,历史,性,性的,安,安全,评,评估,互,互认,协,协议,：,：,IT,安,安全,领,领域,内,内CC认,可,可协,议,议,根据,该,该协,议,议，,在,在协,议,议签,署,署国,范,范围,内,内，,在,在某,个,个国,家,家进,行,行的,基,基于,CC,的安,全,全评,估,估将,在,在其,他,他国,家,家内,得,得到,承,承认,截止2003,年,年3,月,月，,加,加入,该,该协,议,议的,国,国家,共,共有,十,十五,个,个：,澳,澳大,利,利亚,、,、新,西,西兰,、,、加,拿,拿大,、,、芬,兰,兰、,法,法国,、,、德,国,国、,希,希腊,、,、以,色,色列,、,、意,大,大利,、,、荷,兰,兰、,挪,挪威,、,、西,班,班牙,、,、瑞,典,典、,英,英国,及,及美,国,国,105,通用准则CC,该协议的,参,参与者在,这,这个领域,内,内有共同,的,的目的即,：,：,确保IT,产,产品及保,护,护轮廓的,评,评估遵循,一,一致的标,准,准，为这,些,些产品及,保,保护轮廓,的,的安全提,供,供足够的,信,信心。,在国际范,围,围内提高,那,那些经过,评,评估的、,安,安全增强,的,的IT产,品,品及保护,轮,轮廓的可,用,用性。,消除IT,产,产品及保,护,护轮廓的,重,重复评估,，,，改进安,全,全评估的,效,效率及成,本,本效果，,改,改进IT,产,产品及保,护,护轮廓的,证,证明/确,认,认过程,106,通用准则CC,美国,NSA,内部的可,信,信产品评,估,估计划（,TPEP,）以及可,信,信技术评,价,价计划（,TTAP,）最初根,据,据,TCSEC,进行产品,的,的评估，,但,但从,1999,年,2,月,1,日起，这,些,些计划将,不,不再接收,基,基于,TCSEC,的新的评,估,估。此后,这,这些计划,接,接受的任,何,何新的产,品,品都必须,根,根据,CC,的要求进,行,行评估。,到,到,2001,年底，所,有,有已经经,过,过,TCSEC,评估的产,品,品，其评,估,估结果或,者,者过时，,或,或者转换,为,为,CC,评估等级,。,。,NSA,已经将,TCSEC,对操作系,统,统的,C2,和,B1,级要求转,换,换为基于,CC,的要求（,或,或,PP,），,NSA,正在将,TCSEC,的,B2,和,B3,级要求转,换,换成基于,CC,的保护轮,廓,廓，但对,TCSEC,中的,A1,级要求不,作,作转换。,TCSEC,的,可,可,信,信,网,网,络,络,解,解,释,释,（,（,TNI,）在使用范,围,围上受到了,限,限制，已经,不,不能广泛适,用,用于目前的,网,网络技术，,因,因此，,NSA,目前,不,不计,划,划提,交,交与,TNI,相应,的,的,PP,107,通用,准,准则CC,CC,TCSEC,ITSEC,-,D,E0,EAL1,-,-,EAL2,C1,E1,EAL3,C2,E2,EAL4,B1,E3,EAL5,B2,E4,EAL6,B3,E5,EAL7,A1,E6,108,标准,介,介绍,信息,技,技术,安,安全,评,评估,准,准则,发,发展,过,过程,可信,计,计算,机,机系,统,统评,估,估准,则,则（,TCSEC,）,可信,网,网络,解,解释,（TNI,）,）,通用,准,准则,CC,计,算,算机,信,信息,系,系统,安,安全,保,保护,等,等级,划,划分,准,准则,信息,系,系统,安,安全,评,评估,方,方法,探,探讨,109,系统,安,安全,保,保护,等,等级,划,划分,准,准则,我国,政,政府,及,及各,行,行各,业,业在,进,进行,大,大量,的,的信,息,息系,统,统的,建,建设,，,，并,且,且已,经,经成,为,为国,家,家的,重,重要,基,基础,设,设施,计算,机,机犯,罪,罪、,黑,黑客,攻,攻击,、,、有,害,害病,毒,毒等,问,问题,的,的出,现,现对,社,社会,稳,稳定,、,、国,家,家安,全,全造,成,成了,极,极大,的,的危,害,害，,信,信息,安,安全,的,的重,要,要性,日,日益,突,突出,信息,系,系统,安,安全,问,问题,已,已经,被,被提,到,到关,系,系国,家,家安,全,全和,国,国家,主,主权,的,的战,略,略性,高,高度,110,系统,安,安全,保,保护,等,等级,划,划分,准,准则,大多,数,数信,息,息系,统,统缺,少,少有,效,效的,安,安全,技,技术,防,防范,措,措施,，,，安,全,全性,非,非常,脆,脆弱,我国,的,的信,息,息系,统,统安,全,全专,用,用产,品,品市,场,场一,直,直被,外,外国,产,产品,占,占据,，,，增,加,加了,新,新的,安,安全,隐,隐患,因此,，,，尽,快,快建,立,立能,适,适应,和,和保,障,障我,国,国信,息,息产,业,业健,康,康发,展,展的,国,国家,信,信息,系,系统,安,安全,等,等级,保,保护,制,制度,已,已迫,在,在眉,睫,睫,111,系统,安,安全,保,保护,等,等级,划,划分,准,准则,为了,从,从整,体,体上,形,形成,多,多级,信,信息,系,系统,安,安全,保,保护,体,体系,为了,提,提高,国,国家,信,信息,系,系统,安,安全,保,保护,能,能力,为从,根,根本,上,上解,决,决信,息,息社,会,会国,家,家易,受,受攻,击,击的,脆,脆弱,性,性和,有,有效,预,预防,计,计算,机,机犯,罪,罪等,问,问题,中,华,华人,民,民共,和,和国,计,计算,机,机信,息,息系,统,统安,全,全保,护,护条,例,例,第,第九,条,条明,确,确规,定,定，,计,计算,机,机信,息,息系,统,统实,行,行安,全,全等,级,级保,护,护,112,系统,安,安全,保,保护,等,等级,划,划分,准,准则,为切,实,实加,强,强重,要,要领,域,域信,息,息系,统,统安,全,全的,规,规范,化,化建,设,设和,管,管理,全面,提,提高,国,国家,信,信息,系,系统,安,安全,保,保护,的,的整,体,体水,平,平,使公,安,安机,关,关公,