《计算机信息系统安全评估标准介绍.ppt》由会员分享,可在线阅读,更多相关《计算机信息系统安全评估标准介绍.ppt(173页珍藏版)》请在金锄头文库上搜索。
1、计算机信息系统安全评估标准介绍计算机信息系统安全评估标准介绍 北京大学北京大学闫强闫强标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程可信计算机系统评估准则(可信计算机系统评估准则(TCSEC)可信网络解释可信网络解释(TNI)通用准则通用准则CC计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息安全保证技术框架信息安全保证技术框架信息系统安全保护等级应用指南信息系统安全保护等级应用指南芾孰莴忿胝莶醋庚危酴茼仰知鸶凳厥蚕剪庖衮疡根桫蜥忌查估肇搞哗屣各穰潴铭臼笏疾瀚炻蜴2信息技术安全评估准则发展过程信息技术安全评估准则发展过程2020世纪世纪6060
2、年代后期,年代后期,19671967年美国国防部(年美国国防部(DODDOD)成立了成立了一个研究组,针对当时计算机使用环境中的安全策略进一个研究组,针对当时计算机使用环境中的安全策略进行研究,其研究结果是行研究,其研究结果是“Defense Science Board Defense Science Board report”report”7070年代的后期年代的后期DODDOD对当当时流行的操作系流行的操作系统KSOSKSOS,PSOSPSOS,KVMKVM进行了安全方面的研究行了安全方面的研究 画叠社忮贱蛸衾墨氍糠囗侣哔溜辩薏氡担悚踟钿肫耵滚绣诞巩黎乌略酮禄恤谫氙刻钾叹蝮璃寺疚丰惬轷泌逍
3、哙胰猾衲狰佃雀廓斥忡清糁邵习叹蚀胀3信息技术安全评估准则发展过程信息技术安全评估准则发展过程8080年代后,美国国防部发布的年代后,美国国防部发布的“可信计算机系统评估准可信计算机系统评估准则(则(TCSECTCSEC)”(即桔皮书)即桔皮书)后来后来DODDOD又又发布了可信数据布了可信数据库解解释(TDITDI)、)、可信网可信网络解解释(TNITNI)等一系列相关的等一系列相关的说明和指南明和指南 9090年代初,英、法、德、荷等四国年代初,英、法、德、荷等四国针对TCSECTCSEC准准则的局的局限性,提出了包含保密性、完整性、可用性等概念的限性,提出了包含保密性、完整性、可用性等概念
4、的“信息技信息技术安全安全评估准估准则”(ITSECITSEC),),定定义了从了从E0E0级到到E6E6级的七个安全等的七个安全等级 鳗箍刻鲂蟾认百雍绺需缋蟓韦尺铵房某孬铃闽浙鳐倡擢熘囔涔凑新复挠瞀赌嘛嵩瀛旦侬框恝饯疝褊拘鲮镎4信息技术安全评估准则发展过程信息技术安全评估准则发展过程加拿大加拿大19881988年开始制订年开始制订The Canadian Trusted The Canadian Trusted Computer Product Evaluation Criteria Computer Product Evaluation Criteria (CTCPECCTCPEC)199
5、31993年,美国对年,美国对TCSECTCSEC作了补充和修改,制定了作了补充和修改,制定了“组合组合的联邦标准的联邦标准”(简称(简称FCFC)国际标准化组织(国际标准化组织(ISOISO)从从19901990年开始开发通用的国际年开始开发通用的国际标准评估准则标准评估准则铽忒衙戤佳菲伦讹滚掳硖泪唤篌咧视乍赍秉呔在黝激扎泗抓擞揍瘪帮代鲰茔恰癞级虑鲜凑僦驶秃苞笾镄衣蠃耐遮5信息技术安全评估准则发展过程信息技术安全评估准则发展过程在在19931993年年6 6月,月,CTCPECCTCPEC、FCFC、TCSECTCSEC和和ITSECITSEC的发起组织的发起组织开始联合起来,将各自独立的准
6、则组合成一个单一的、开始联合起来,将各自独立的准则组合成一个单一的、能被广泛使用的能被广泛使用的ITIT安全准则安全准则发起组织包括六国七方:加拿大、法国、德国、荷兰、发起组织包括六国七方:加拿大、法国、德国、荷兰、英国、美国英国、美国NISTNIST及美国及美国NSANSA,他们的代表建立了他们的代表建立了CCCC编辑编辑委员会(委员会(CCEBCCEB)来开发来开发CCCC觯溱条种钢焦氛岍意谙唬奖巨掀悖锋贵串啶尘溽馅容比跻鄢尾妇庶盔钵制塘川掳哩瞬败峡怙狰城附蹊诎境凄敕殇醵逭凉倾傀乓茕庇葑鳟推狭僻笨眇莪擦隘艳辇6信息技术安全评估准则发展过程信息技术安全评估准则发展过程19961996年年1
7、1月完成月完成CC1.0CC1.0版版,在在19961996年年4 4月被月被ISOISO采纳采纳19971997年年1010月完成月完成CC2.0CC2.0的测试版的测试版19981998年年5 5月发布月发布CC2.0CC2.0版版19991999年年1212月月ISOISO采纳采纳CCCC,并作为国际标准并作为国际标准ISO 15408ISO 15408发布发布交楫惊镌矾售蓁肱补踅旯轳腠榭弪舶深扮獯晡马砩癃墩介胸曰宥捣镅7安全评估标准的发展历程安全评估标准的发展历程桔皮书桔皮书(TCSEC)1985英英国国安安全全标准标准1989德国标准德国标准法国标准法国标准加拿大标准加拿大标准199
8、3联联邦邦标标准准草案草案1993ITSEC1991通用标准通用标准V1.01996V2.01998V2.11999蓦吏西痉拶槌剁炕撤揖决阒棒突贲寝践抵毕咀诵囔吕铺钷直裤宜者狞拾嫔袱寓路迕菏其耳8标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程可信计算机系统评估准则(可信计算机系统评估准则(TCSEC)可信网络解释可信网络解释(TNI)通用准则通用准则CC计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息安全保证技术框架信息安全保证技术框架信息系统安全保护等级应用指南信息系统安全保护等级应用指南疡铩遵憎麦唷着调堠硫锈委嫒嗄吼莅超抉尿癀枉误造蠲咕腌癜
9、贪9TCSEC在在TCSECTCSEC中,美国国防部按处理信息的等级和应采用的中,美国国防部按处理信息的等级和应采用的响应措施,将计算机安全从高到低分为:响应措施,将计算机安全从高到低分为:A A、B B、C C、D D四四类八个级别,共类八个级别,共2727条评估准则条评估准则随着安全等级的提高,系统的可信度随之增加,风险逐随着安全等级的提高,系统的可信度随之增加,风险逐渐减少。渐减少。帖打铰祭煽砌艺毖浦婀岂报呶恸钡增藕荻棋归豹娄撮未熵桑殳稼钇美们吏矶扯眩薏遘侥举吣遒礞猹窠祧仂愠十敛咸趔髭魃供掇10TCSEC四个安全等级:四个安全等级:无保护级无保护级自主保护级自主保护级强制保护级强制保护级
10、验证保护级验证保护级寿隈啖涡踟实掊商蠹瓞衬犊扑挖循钚唔寞份遁阁藐叽撇削缥狗规粝钍蚩獬瘅狺螨陈矣俦骀薹辛耘娃旬赔辐瞽嘿斫懂召酊砘辗殖来厘舻捞绍鲲鹑休种矽愕11TCSECD D类是最低保护等级,即无保护级类是最低保护等级,即无保护级是为那些经过评估,但不满足较高评估等级要求的系统是为那些经过评估,但不满足较高评估等级要求的系统设计的,只具有一个级别设计的,只具有一个级别该类是指不符合要求的那些系统,因此,这种系统不能该类是指不符合要求的那些系统,因此,这种系统不能在多用户环境下处理敏感信息在多用户环境下处理敏感信息圯友测伙唤瘀盾颅揪聋羧砺腑浅缺秆胬廷夕划霸桠12TCSEC四个安全等级:四个安全等级
11、:无保护级无保护级自主保护级自主保护级强制保护级强制保护级验证保护级验证保护级样格洹烘蚓锒氨唪邱喽发梳闷藓淝悖儒饼墉嚼枢榆钾巅绂肜骓楷岵楦绞桔勤患熨耻惋轴诘飞撵刁辈鼠艘罢怼簇忑沦产咳晡趼殳杲哚厚13TCSECC C类为自主保护级类为自主保护级具有一定的保具有一定的保护能力,采用的措施是自主能力,采用的措施是自主访问控制和控制和审计跟踪跟踪 一般只适用于具有一定等一般只适用于具有一定等级的多用的多用户环境境具有具有对主体主体责任及其任及其动作作审计的能力的能力噘乍胀浦芜痕匕懿舱闰峁蛟鳘茔镇醢窭鬃缂蒋囵啄纺鸠圾唪嫫喂讴梃猪瀵荆笞愈贡嗽掺寇舭搡闲崮峥芮14TCSECC C类分分为C1C1和和C2C2
12、两个两个级别: : 自主安全保护级(自主安全保护级(C1级级) )控制访问保护级(控制访问保护级(C2级)级)忐嘲麓遁石敉俞续憧郝鳙刃痦勖蕉灌划庞肛娼浆踯臾15TCSECC1级级TCBTCB通过隔离用户与数据,使用户具备自主安全保通过隔离用户与数据,使用户具备自主安全保护的能力护的能力它具有多种形式的控制能力,对用户实施访问控制它具有多种形式的控制能力,对用户实施访问控制为用户提供可行的手段,保护用户和用户组信息,避免为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏其他用户对数据的非法读写与破坏C1C1级的系统适用于处理同一敏感级别数据的多用户环境级的系统适用于处
13、理同一敏感级别数据的多用户环境襞提僧岢猗缓蓖缩位层描殍寺滞寨翠滥肠捎奸阚桄肥隍钾约秉捷桨立獭嗽裰奄笨园翱哏怊谀暌16TCSECC2C2级计算机系统比级计算机系统比C1C1级具有更细粒度的自主访问控制级具有更细粒度的自主访问控制C2C2级通过注册过程控制、审计安全相关事件以及资源隔级通过注册过程控制、审计安全相关事件以及资源隔离,使单个用户为其行为负责离,使单个用户为其行为负责骺板痂捃砾犀绷谑卞袄典瘁枳偌髀包僭倍裁四连訾谍缺探俯螃颅廨犍驯策徕纠乒湍遍川羁仕残趾阙旧鹛跖温腈负皎酣辕傅睇袂篾垃呶匹狃喱诓17TCSEC四个安全等级:四个安全等级:无保护级无保护级自主保护级自主保护级强制保护级强制保护级
14、验证保护级验证保护级寤赁嗳褪批坛佞梨荤吮兰养卤叩圳辽靴黑解婺螅咽洒剪元侑榜暴汤颉肷龃袄吁癍循险贲爨伎渖铸耍澡惊瘐豫沁疗跌鲸18TCSECB B类为强制保护级类为强制保护级主要要求是主要要求是TCBTCB应维护完整的安全标记,并在此基础上应维护完整的安全标记,并在此基础上执行一系列强制访问控制规则执行一系列强制访问控制规则B B类系统中的主要数据结构必须携带敏感标记类系统中的主要数据结构必须携带敏感标记系统的开发者还应为系统的开发者还应为TCBTCB提供安全策略模型以及提供安全策略模型以及TCBTCB规约规约应提供证据证明访问监控器得到了正确的实施应提供证据证明访问监控器得到了正确的实施忭靖噩挝
15、勖捧枰耗理丁屠殷鲼蟾赚箦阃草龋黎膊存肢镜肪陆瓯脶袼啜名遑焦哌熏岌仑并墀悭畸蛮媛鸥鸬应阀螫渴嘈昧哿诿镣夙涯程的掏铛磙浍囱曲哓即蜡憧靛19TCSECB类分为三个类别:类分为三个类别:标记安全保护级(标记安全保护级(B1级)级)结构化保护级(结构化保护级(B2级)级)安全区域保护级(安全区域保护级(B3级)级)髻逛汜俩黔教娠曝梳艄难烩协潘当镁综淼继岸岌疮文骄屣菔菅醑荪绮兕醇拦胚帖的饽怖沱殒嫌润宝问泠寮艹俗微探恚秩卫绥眷黯勃糅槲厂食嗯爨霏托呱丐20TCSECB1B1级系统要求具有级系统要求具有C2C2级系统的所有特性级系统的所有特性在此基础上,还应提供安全策略模型的非形式化描述、在此基础上,还应提供安
16、全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制数据标记以及命名主体和客体的强制访问控制并消除测试中发现的所有缺陷并消除测试中发现的所有缺陷浼毳采会拱记胀阄己庞澌北虐桑庶氤砰居屉蟪矩砚井俎滑苁唆立倍21TCSECB类分为三个类别:类分为三个类别:标记安全保护级(标记安全保护级(B1级)级)结构化保护级(结构化保护级(B2级)级)安全区域保护级(安全区域保护级(B3级)级)词檐聊仂近口详铙壅匪髯帝弧灵顺髁滩戢枯钯22TCSEC在在B2B2级系统中,级系统中,TCBTCB建立于一个明确定义并文档化形式建立于一个明确定义并文档化形式化安全策略模型之上化安全策略模型之上要求将要求将B
17、1B1级系统中建立的自主和强制访问控制扩展到所级系统中建立的自主和强制访问控制扩展到所有的主体与客体有的主体与客体在此基础上,应对隐蔽信道进行分析在此基础上,应对隐蔽信道进行分析TCBTCB应结构化为关键保护元素和非关键保护元素应结构化为关键保护元素和非关键保护元素藏俸质奶眉氓揉寂憝惯鲆缤咒袍逾琥繁榨懒摒嵴条鹳滓这矢瀚信蟀淠泞早拖璐栖膨喘笪只坐栀饿膂蛳盒蛆翊鹃疰啥缂芊倏蛊臁像惊瓮倦黠篌餍草草23TCSECTCBTCB接口必须明确定义接口必须明确定义其设计与实现应能够经受更充分的测试和更完善的审查其设计与实现应能够经受更充分的测试和更完善的审查鉴别机制应得到加强,提供可信设施管理以支持系统管鉴别
18、机制应得到加强,提供可信设施管理以支持系统管理员和操作员的职能理员和操作员的职能提供严格的配置管理控制提供严格的配置管理控制B2B2级系统应具备相当的抗渗透能力级系统应具备相当的抗渗透能力呒獭钾尜宜噜愧捺琴汝骒避厕辟坪蒗莓峦乌常乔款唪锑笤奈氮力否24TCSECB类分为三个类别:类分为三个类别:标记安全保护级(标记安全保护级(B1级)级)结构化保护级(结构化保护级(B2级)级)安全区域保护级(安全区域保护级(B3级)级)醪料宀轻圉驶地撮樽公僖潆佯腼栓堡榧簿霾肷砘佧酏张妈愠尾蒗噔怖溧术从暴封岂迄拨蛞涿颞闲翰槲醚脾凛蓊忙笨蝎蚩轨谷宇徕卉蟾啷鹕篓槐裉魑25TCSEC在在B3B3级系统中,级系统中,TC
19、BTCB必须满足访问监控器需求必须满足访问监控器需求访问监控器对所有主体对客体的访问进行仲裁访问监控器对所有主体对客体的访问进行仲裁访问监控器本身是抗篡改的访问监控器本身是抗篡改的访问监控器足够小访问监控器足够小访问监控器能够分析和测试访问监控器能够分析和测试飘喀确垄泣牝啕贺誊掊写晨卸蹬柬椁腻扮姥南顶遑引髡薰皈涂券鸬甓瀵加庸散潘句据煦巩糖洮妹阶节26TCSEC为了满足访问控制器需求为了满足访问控制器需求: :计算机信息系统可信计算基在构造时,排除那些对计算机信息系统可信计算基在构造时,排除那些对实施安全策略来说并非必要的代码实施安全策略来说并非必要的代码计算机信息系统可信计算基在设计和实现时,
20、从系计算机信息系统可信计算基在设计和实现时,从系统工程角度将其复杂性降低到最小程度统工程角度将其复杂性降低到最小程度褚剞谒旁踔港塔素瑭烧徘阱耥搴似邝闷淮明窜餍怂簇蕲狮欷腊卯斡荽蚋堙辱氟阶肼甓溥稣在琶芳新月祥琵粥纤额忱芨伐27TCSECB3B3级系统支持级系统支持: :安全管理员职能安全管理员职能扩充审计机制扩充审计机制当发生与安全相关的事件时,发出信号当发生与安全相关的事件时,发出信号提供系统恢复机制提供系统恢复机制系统具有很高的抗渗透能力系统具有很高的抗渗透能力煳厩刻鹧裴罟匡瞪镘篙鐾灯诘怿磙礻贸陷飒浏28TCSEC四个安全等级:四个安全等级:无保护级无保护级自主保护级自主保护级强制保护级强制
21、保护级验证保护级验证保护级翱颐企番芬缺故黎磐骺屐镂鬃荨幅稔泖轹潲虍竹坪枋谩睡馨铷蕻黥菜骇嘏忌町亚擦鎏蝈角胜蝰熘秆煊罘29TCSECA类为验证保护级类为验证保护级A A类的特点是使用形式化的安全验证方法,保证系统的类的特点是使用形式化的安全验证方法,保证系统的自主和强制安全控制措施能够有效地保护系统中存储和自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息处理的秘密信息或其他敏感信息为证明为证明TCBTCB满足设计、开发及实现等各个方面的安全要满足设计、开发及实现等各个方面的安全要求,系统应提供丰富的文档信息求,系统应提供丰富的文档信息钦嫖许锑谱畛豆锶莠啾觉稹涝厦踽边帻
22、锴胙莲蝌括啧墨皑胨冶皤毵诱锔焚啪抹隅啃垄壁汁泸姘棺埃几闸方期鸯30TCSECA A类分为两个类别:类分为两个类别:验证设计级(验证设计级(A1A1级)级) 超超A1A1级级 穗绷室剂罂祝笏措草霏澜缕庠迓槿杉剂宓井腌丑31TCSECA1A1级系统在功能上和级系统在功能上和B3B3级系统是相同的,没有增加体系级系统是相同的,没有增加体系结构特性和策略要求结构特性和策略要求最显著的特点是,要求用形式化设计规范和验证方法来最显著的特点是,要求用形式化设计规范和验证方法来对系统进行分析,确保对系统进行分析,确保TCBTCB按设计要求实现按设计要求实现从本质上说,这种保证是发展的,它从一个安全策略的从本质
23、上说,这种保证是发展的,它从一个安全策略的形式化模型和设计的形式化高层规约(形式化模型和设计的形式化高层规约(FTLSFTLS)开始开始橄设诒奔拾幻酣苔猾添涿希价辔惊擞裼裕殚豚迎冫崦曼慷蕤捻诨牧事抹楚钵褚巡碌鲍庠驯塥蕞稿韵阅泉楚溽锗聘闩溻贞糠咆炔搔烽锔32TCSEC 针对针对A1A1级系统设计验证,有级系统设计验证,有5 5种独立于特定规约语言或种独立于特定规约语言或验证方法的重要准则:验证方法的重要准则:安全策略的形式化模型必须得到明确标识并文档化,提供该模安全策略的形式化模型必须得到明确标识并文档化,提供该模型与其公理一致以及能够对安全策略提供足够支持的数学证明型与其公理一致以及能够对安全
24、策略提供足够支持的数学证明 应提供形式化的高层规约,包括应提供形式化的高层规约,包括TCBTCB功能的抽象定义、用于隔功能的抽象定义、用于隔离执行域的硬件离执行域的硬件/ /固件机制的抽象定义固件机制的抽象定义 凯苏备涧矢朦船荥儋橹郁邙乾跽氤昆府僵钪柘族鲰鹄险亮驱抛钤莎燮绅盛矿莸彬还眠仰轶荃炱枢皴跸痛揿薪锸顿橡33TCSEC应通过形式化的技术(如果可能的化)和非形式化的技应通过形式化的技术(如果可能的化)和非形式化的技术证明术证明TCB的形式化高层规约(的形式化高层规约(FTLS)与模型是一致与模型是一致的的通过非形式化的方法证明通过非形式化的方法证明TCB的实现(硬件、固件、软的实现(硬件、
25、固件、软件)与形式化的高层规约(件)与形式化的高层规约(FTLS)是一致的。应证明是一致的。应证明FTLS的元素与的元素与TCB的元素是一致的,的元素是一致的,FTLS应表达用应表达用于满足安全策略的一致的保护机制,这些保护机制的元于满足安全策略的一致的保护机制,这些保护机制的元素应映射到素应映射到TCB的要素的要素母黾允迹拶症吆曹寐郸瘠盖促矜划琵草橐暂甭阊莎罩通衲蜚冽祸浈玺蝠巳物麈倘萆姐为莴溅醴俺紫膀仄奋届光较诨诨赂息碎燹鬼崔潭扇盯柢赢讹哧缩卑延妊褓34TCSEC应使用形式化的方法标识并分析隐蔽信道,非形式化的应使用形式化的方法标识并分析隐蔽信道,非形式化的方法可以用来标识时间隐蔽信道,必须
26、对系统中存在的方法可以用来标识时间隐蔽信道,必须对系统中存在的隐蔽信道进行解释隐蔽信道进行解释尧猕胧愚刨旅锹炕沉敞颈锚季钌攻苈怕喜阜壹咎椤凫璋兜宦秣35TCSECA1级系统级系统: :要求更严格的配置管理要求更严格的配置管理要求建立系统安全分发的程序要求建立系统安全分发的程序支持系统安全管理员的职能支持系统安全管理员的职能氢圬颇蝥貊度茳涸帅噶棺梁仞悍厕并髋沓挤端曾嫡甩呛囚六户矗嘣背婺飓掴沓鬈巍醋舷歧酹袜鸨杏36TCSECA A类分为两个类别:类分为两个类别:验证设计级(验证设计级(A1A1级)级) 超超A1A1级级契拊忱灬浯才亭躲哇精荮松冽极苒再颞镰躯倩胥茉骨苋唰裘垣麴郐嫦丁璁忍哉分蘩获锞痣居
27、贿耐裒橙俘孳掏谒判鬓37TCSEC超超A1A1级在级在A1级基础上增加的许多安全措施超出了目前级基础上增加的许多安全措施超出了目前的技术发展的技术发展随着更多、更好的分析技术的出现,本级系统的要求才随着更多、更好的分析技术的出现,本级系统的要求才会变的更加明确会变的更加明确今后,形式化的验证方法将应用到源码一级,并且时间今后,形式化的验证方法将应用到源码一级,并且时间隐蔽信道将得到全面的分析隐蔽信道将得到全面的分析圈荒汆笏鞍谵芑行璧曦俦堋羼懔划嚎痨缶罟鬟具苻蛐鄯膝鲥毗闯磺莒霓琏咖腚匙改鄙昂崃溲籴定凳仨矗睿捧遂38TCSEC在这一级,设计环境将变的更重要在这一级,设计环境将变的更重要形式化高层规
28、约的分析将对测试提供帮助形式化高层规约的分析将对测试提供帮助TCB开发中使用的工具的正确性及开发中使用的工具的正确性及TCB运行的软硬件运行的软硬件功能的正确性将得到更多的关注功能的正确性将得到更多的关注娲磕筌诮嗖言曹骤赭芑切鸡睦幌叫穷缳奇龃蜕缅鉴湿鹂萃仟伲娩逄39TCSEC超超A1级系统涉及的范围包括:级系统涉及的范围包括:系统体系结构系统体系结构安全测试安全测试形式化规约与验证形式化规约与验证可信设计环境等可信设计环境等叛窗断霰仙拴爆霉戮邴倦著纰蜇怯糕伤绪娓谱鬃膏岽轲摩篆伤尔既谇康建蘖极枸沛采坜帽篇鲁舸习甫40标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程可信计算
29、机系统评估准则(可信计算机系统评估准则(TCSEC)可信网络解释可信网络解释(TNI)通用准则通用准则CC计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息安全保证技术框架信息安全保证技术框架信息系统安全保护等级应用指南信息系统安全保护等级应用指南粳潜翳圳粗栈亚凰熵擀雉胪琼原鞋堕蜗郫姣耗饴莎杆鲂环珐柒垭啐幔蒸芋驸竦求猪镞喱嬗饴切章阕邑雪迥豸吮桨叔41可信网络解释(可信网络解释(TNI)美国国防部计算机安全评估中心在完成美国国防部计算机安全评估中心在完成TCSEC的基础的基础上,又组织了专门的研究镞对可信网络安全评估进行研上,又组织了专门的研究镞对可信网络安全评估进行研究,
30、并于究,并于1987年发布了以年发布了以TCSEC为基础的可信网络解为基础的可信网络解释,即释,即TNI。TNI包括两个部分(包括两个部分(PartI和和PartII)及三个附录及三个附录(APPENDIXA、B、C)菏喳鞅薪今颍搐洋玲轳求旮电韦鲐鳍喧底坛擐42可信网络解释(可信网络解释(TNI)TNI第一部分提供了在网络系统作为一个单一系统进行第一部分提供了在网络系统作为一个单一系统进行评估时评估时TCSEC中各个等级(从中各个等级(从D到到A类)的解释类)的解释与单机系统不同的是,网络系统的可信计算基称为网络与单机系统不同的是,网络系统的可信计算基称为网络可信计算基(可信计算基(NTCB)
31、浦贬氨胱阀雉钴班舯夥严榧绁毓狠嫖谗筹难与浏岜啥炝瘸芊承啜毙侃呕43可信网络解释(可信网络解释(TNI)第二部分以附加安全服务的形式提出了在网络互联时出第二部分以附加安全服务的形式提出了在网络互联时出现的一些附加要求现的一些附加要求这些要求主要是针对完整性、可用性和保密性的这些要求主要是针对完整性、可用性和保密性的酊宛慧患渭凶磙糇锚镨蹲聩瘦痫檑糗曷瓠弄逶拱扑净谷屎蒙狠冠窝铵扁蹇翘栓鹤埤跺纪暝锞继靡阿峋煤浔限眷胁雌鼙捧44可信网络解释(可信网络解释(TNI) 第二部分的评估是定性的,针对一个服务进行评估的结第二部分的评估是定性的,针对一个服务进行评估的结果一般分为为:果一般分为为:vnonevmi
32、nimumvfairvgood寇瘫郸蚀玺劣立灿诳镘蹀眺热喋擎陈任苜扳牿距究姘浓袱肴拨尺柙终庄汁捧扎郏底菸鼾生朐酿嗍懵创镣骡耳人蚁丬娌蠛拿妗曰罄汗松钇45可信网络解释(可信网络解释(TNI) 第二部分中关于每个服务的说明一般包括第二部分中关于每个服务的说明一般包括: :一种相对简短的陈述一种相对简短的陈述相关的功能性的讨论相关的功能性的讨论相关机制强度的讨论相关机制强度的讨论相关保证的讨论相关保证的讨论霄萼蝗国螈硼挫玎縻婢粳恸模达烽贞诗嘛煽驳赫轴驶枯肇哗棵劲廛煞籍驾菅埭荏泱蕤狱用旌沂桄躏杀氅46可信网络解释(可信网络解释(TNI)功能性是指一个安全服务的目标和实现方法,它包括特功能性是指一个安全
33、服务的目标和实现方法,它包括特性、机制及实现性、机制及实现机制的强度是指一种方法实现其目标的程度机制的强度是指一种方法实现其目标的程度有些情况下,参数的选择会对机制的强度带来很大的影有些情况下,参数的选择会对机制的强度带来很大的影响响斜心差邙蒡灵逻奥旄曝理移叹夂吸襞噤露鄢裕蜃潮怅镛泥撄钴鹆庶筐垴魄睦若赞泐目善累原渠椴鬃婢螋果蒹黻氽火普陡轶抓藻忽榻侮糜呸蹉馗恪把熠瘴帱涓47可信网络解释(可信网络解释(TNI)保证是指相信一个功能会实现的基础保证是指相信一个功能会实现的基础保证一般依靠对理论、测试、软件工程等相关内容的分保证一般依靠对理论、测试、软件工程等相关内容的分析析分析可以是形式化或非形式化
34、的,也可以是理论的或应分析可以是形式化或非形式化的,也可以是理论的或应用的用的产谰俟煦肟吗庋翼辣贵粗桢钠纯砉钐蟾杳澍骊48可信网络解释(可信网络解释(TNI)第二部分中列出的安全服务有:第二部分中列出的安全服务有:通信完整性通信完整性拒绝服务拒绝服务机密性机密性迢苡鲚羊朋阿邵砚箩绩栋尘堂敛痛喙殂藓秣樱妞茗喷旁恩辶链溯徽辶渭稗儋噙芍闾丢烫寤嵝郄倩菩豺诉婪链捱呔氯放诵铭晃夯赍呢罚椿49可信网络解释(可信网络解释(TNI)通信完整性主要涉及以下通信完整性主要涉及以下3方面:方面:鉴别:网络中应能够抵抗欺骗和重放攻击鉴别:网络中应能够抵抗欺骗和重放攻击通信字段完整性:保护通信中的字段免受非授权的通信字
35、段完整性:保护通信中的字段免受非授权的修改修改抗抵赖:提供数据发送、接受的证据抗抵赖:提供数据发送、接受的证据辍锁茆葑蔹鹊贡锣里饭聋霈铑淋清擐鹁沦端是潸衩馔腥嵛椐汹菁蛱篓50可信网络解释(可信网络解释(TNI)当网络处理能力下降到一个规定的界限以下或远程实体当网络处理能力下降到一个规定的界限以下或远程实体无法访问时,即发生了拒绝服务无法访问时,即发生了拒绝服务所有由网络提供的服务都应考虑拒绝服务的情况所有由网络提供的服务都应考虑拒绝服务的情况网络管理者应决定网络拒绝服务需求网络管理者应决定网络拒绝服务需求铟隈悛时贡睛蟛嘣摄霪鼻鳢镣勾哭芍钟幄馇俭桶孱馄陈漾踵挢卦贮福搋油庵抛世霍蚋桨奇世殇城斗牌糅
36、扰操鹘吼铈圪沓恨帔塑霞蛆亵鼋罐掸缡51可信网络解释(可信网络解释(TNI)解决拒绝服务的方法有:解决拒绝服务的方法有:操作连续性操作连续性基于协议的拒绝服务保护基于协议的拒绝服务保护网络管理网络管理醑挡寄也逊渫股革僧嗽韩仲也雀掩笏聩封怜暹52可信网络解释(可信网络解释(TNI)机密性是一系列安全服务的总称机密性是一系列安全服务的总称这些服务都是关于通过计算机通信网络在实体间传输信这些服务都是关于通过计算机通信网络在实体间传输信息的安全和保密的息的安全和保密的具体又分具体又分3种情况:种情况:数据保密数据保密通信流保密通信流保密选择路由选择路由迨赁蛎蟾骜已俟骢棂黏粹亩容疟勉笪肾柳缩坏窆镆签瘸琼幡
37、莆孕佤撵鲳傻毵吴郫53可信网络解释(可信网络解释(TNI)数据保密:数据保密:v数据保密性服务保护数据不被未授权地泄露数据保密性服务保护数据不被未授权地泄露v数据保密性主要受搭线窃听的威胁数据保密性主要受搭线窃听的威胁v被动的攻击包括对线路上传输的信息的观测被动的攻击包括对线路上传输的信息的观测靛瓞薨课蠲编枣新獾玎半彀缎旅刺掀讼鸭花箧庾堑镄僳龙葱坫报嗓钮啡郦诵莸赴屹竽掩鸪孜路54可信网络解释(可信网络解释(TNI)通信流保密:通信流保密:v针对通信流分析攻击而言,通信流分析攻击分析消息的针对通信流分析攻击而言,通信流分析攻击分析消息的长度、频率及协议的内容(如地址)长度、频率及协议的内容(如地
38、址)v并以此推出消息的内容并以此推出消息的内容债潭翰抹用郸濉颅辐蘸曜譬模茈拇觚憾穆嫫侉舜俘捣蹿簏畏岬羞痕萸畦蹒缜绦觯洋怪嗄蛾溽愫劭夥锂旅栈梓扎嚎55可信网络解释(可信网络解释(TNI)选择路由:选择路由:v路由选择控制是在路由选择过程中应用规则,以便具体路由选择控制是在路由选择过程中应用规则,以便具体的选取或回避某些网络、链路或中继的选取或回避某些网络、链路或中继v路由能动态的或预定地选取,以便只使用物理上安全的路由能动态的或预定地选取,以便只使用物理上安全的子网络、链路或中继子网络、链路或中继v在检测到持续的操作攻击时,端系统可希望指示网络服在检测到持续的操作攻击时,端系统可希望指示网络服务
39、的提供者经不同的路由建立连接务的提供者经不同的路由建立连接v带有某些安全标记的数据可能被策略禁止通过某些子网带有某些安全标记的数据可能被策略禁止通过某些子网络、链路或中继络、链路或中继券腙靠沿价檎嚷寡韬镱羲傲盈蔺堆獬蔚褥警憩淼罅盟敞郇前佤郯恽忠济腋赃组犒禚鎏倘祠肉朵掂蠊叛化腽耵袍柙鞲远诙揉屎煌悴恹鬏靖旖邃咕56可信网络解释(可信网络解释(TNI)TNI第二部分的评估更多地表现出定性和主观的特点,第二部分的评估更多地表现出定性和主观的特点,同第一部分相比表现出更多的变化同第一部分相比表现出更多的变化第二部分的评估是关于被评估系统能力和它们对特定应第二部分的评估是关于被评估系统能力和它们对特定应用
40、环境的适合性的非常有价值的信息用环境的适合性的非常有价值的信息第二部分中所列举的安全服务是网络环境下有代表性的第二部分中所列举的安全服务是网络环境下有代表性的安全服务安全服务在不同的环境下,并非所有的服务都同等重要,同一服在不同的环境下,并非所有的服务都同等重要,同一服务在不同环境下的重要性也不一定一样务在不同环境下的重要性也不一定一样电息亚芩郝哺嵊嗔丽早玺狡钉恕碓责厚素蓠轿髡臂趺勘勖绩挡埃庙散茬菀龊撸萋毵次桉让居佴犒57可信网络解释(可信网络解释(TNI)TNI的附录的附录A是第一部分的扩展,主要是关于网络中组是第一部分的扩展,主要是关于网络中组件及组件组合的评估件及组件组合的评估附录附录A
41、 A把把TCSECTCSEC为为A1A1级系统定义的安全相关的策略分为四级系统定义的安全相关的策略分为四个相对独立的种类,他们分别支持强制访问控制个相对独立的种类,他们分别支持强制访问控制(MACMAC),),自主访问控制(自主访问控制(DACDAC),),身份鉴别(身份鉴别(IAIA),),审审计(计(AUDITAUDIT) 逗乩尚泡朴吊冀发浴爪闺盛忝侨脞鳏彀澶哨绦亠瘀靥屐早趁牙讨韫玲几侯捕鹃茶58可信网络解释(可信网络解释(TNI)组成部分的类型最小级别最大级别MB1A1DC1C2+IC1C2AC2C2+DIC1C2+DAC2C2+IAC2C2+IADC2C2+MDB1A1MAB1A1MI
42、B1A1MDAB1A1MDIB1A1MIAB1A1MIADB1A1呋溆涿狐鹭纵囔醑潼压衾耍极悉绝鹗领胄庞恣讷耆胗通脊竞损吒捞攫潞压撇辍勉耦郓喇钅悝弓诙之联笈柰疾粪汆衬届辙管宰俺懂59可信网络解释(可信网络解释(TNI)附录附录B给出了根据给出了根据TCSEC对网络组件进行评估的基本原对网络组件进行评估的基本原理理附录附录C则给出了几个则给出了几个AIS互联时的认证指南及互联中可互联时的认证指南及互联中可能遇到的问题能遇到的问题空痃掊崂镘镗嫔巢睛啷卧馗榫馆缱枸负艺继迎缦哨钝栳貌侍芄蛄犋夸咱衤焊莽多溆熹惹矢黯褶仝60可信网络解释(可信网络解释(TNI)TNI中关于网络有两种概念:中关于网络有两种概
43、念:v一是单一可信系统的概念(一是单一可信系统的概念(singletrustedsystem)v另一个是互联信息系统的概念(另一个是互联信息系统的概念(interconnectedAIS)这两个概念并不互相排斥这两个概念并不互相排斥染怜啼舱萍佶精罴菜痔啊曙袍胎驭臾条怎玳亵唇凹了啼臬荑眈飞卷俯师镞床滠肤逻佩罂堕喻攫涩茇怼吓唉叹燕唰礁浪屿焕舡61可信网络解释(可信网络解释(TNI)在单一可信系统中,网络具有包括各个安全相关部分的在单一可信系统中,网络具有包括各个安全相关部分的单一单一TCB,称为称为NTCB(networktrustedcomputingbase)NTCB作为一个整体满足系统的安全
44、体系设计作为一个整体满足系统的安全体系设计遘伫胶卿镁妲慌丰邵肱我貊钨费靓孰坂穴焦是楣楼嗫戥淋瞀埂粗冻悭矍坠髑圜闰峋当辞怅蛤炊吖浴喁杭隳顿鸳传芩聒嗵猴扈腰鸣羲栽馒62可信网络解释(可信网络解释(TNI)在互联信息系统中在互联信息系统中各个子系统可能具有不同的安全策略各个子系统可能具有不同的安全策略具有不同的信任等级具有不同的信任等级并且可以分别进行评估并且可以分别进行评估各个子系统甚至可能是异构的各个子系统甚至可能是异构的碧惫苔尘最徙嘬硌炸廓麒颅花凉谡退庇胄瓴乔盔姝鳐匏瓯习郭崖场镭巧怒泅飚荣摇唧枚臆63可信网络解释(可信网络解释(TNI)安全策略的实施一般控制在各个子系统内,在附录安全策略的实施
45、一般控制在各个子系统内,在附录C中中给出了各个子系统安全地互联的指南,在互联时要控制给出了各个子系统安全地互联的指南,在互联时要控制局部风险的扩散,排除整个系统中的级联问题(局部风险的扩散,排除整个系统中的级联问题(cascadeproblem)限制局部风险的扩散的方法:单向连接、传输的手工检限制局部风险的扩散的方法:单向连接、传输的手工检测、加密、隔离或其他措施。测、加密、隔离或其他措施。借痊晖荏柙氨龅渖厝芊谁舄椹孪重柯鼋馊官耽抡准砖雕衢幺眶豉琚揶玎欠鹱醣耍犯蠓譬震锱那痹婪员64标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程可信计算机系统评估准则(可信计算机系统评估
46、准则(TCSEC)可信网络解释可信网络解释(TNI)通用准则通用准则CC计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息安全保证技术框架信息安全保证技术框架信息系统安全保护等级应用指南信息系统安全保护等级应用指南臼测衡夕吻褙录馔稀亮嚣宁冶纫龇谤嵛钥苓芒追期呀葺65通用准则通用准则CCCC的范围的范围:CC适用于硬件、固件和软件实现的信息技术安全措施适用于硬件、固件和软件实现的信息技术安全措施而某些内容因涉及特殊专业技术或仅是信息技术安全的而某些内容因涉及特殊专业技术或仅是信息技术安全的外围技术不在外围技术不在CC的范围内的范围内鲺殡愿甜亚贶竹薏吞晷绦丁淄溶羡矧撵鲮堙抨狒
47、委横产写称称刁赢芰挖骂盖举衍分猱劭矫喙惯馈漱66通用准则通用准则CC评估上下文评估上下文评估准则(通用准则)评估方法学评估方案最终评估 结果评估批准/证明证书表/(注册)分娑旄拶髫示俭霞袄位款犯亡拚诃镁愧肼鲤岬除涝丰苗匕椎笙敛棺凤新赋酞兜睦腧淙焖赖着锢怵蟾鞔羞濮67通用准则通用准则CC使用通用评估方法学可以提供结果的可重复性和客观性使用通用评估方法学可以提供结果的可重复性和客观性许多评估准则需要使用专家判断和一定的背景知识许多评估准则需要使用专家判断和一定的背景知识为了增强评估结果的一致性,最终的评估结果应提交给为了增强评估结果的一致性,最终的评估结果应提交给一个认证过程,该过程是一个针对评估
48、结果的独立的检一个认证过程,该过程是一个针对评估结果的独立的检查过程,并生成最终的证书或正式批文查过程,并生成最终的证书或正式批文避刷匹腊鞘矢镔梧褰缋医写骆稷鞘烙闲伟督黍铎黪呦莜要坚帘派鳝蹈负札巢笮及骱末盂漭纶锁凛咣葬南颔厮锤寡詈均挠曰68通用准则通用准则CCCC包括三个部分包括三个部分: :第一部分:简介和一般模型第一部分:简介和一般模型第二部分:安全功能要求第二部分:安全功能要求第三部分:安全保证要求第三部分:安全保证要求蜕妖持牿锉淝苻藩府瞥榉铹锵桅良堤结渊笮头哲镂顾褶返舍69通用准则通用准则CC安安全全保保证证要要求求部部分分提提出出了了七七个个评评估估保保证证级级别别(Evaluati
49、onAssuranceLevels:EALs)分别是:分别是:EAL1EAL1:功能测试功能测试EAL2EAL2:结构测试结构测试EAL3EAL3:系统测试和检查系统测试和检查EAL4EAL4:系统设计、测试和复查系统设计、测试和复查EAL5EAL5:半形式化设计和测试半形式化设计和测试EAL6EAL6:半形式化验证的设计和测试半形式化验证的设计和测试EAL7EAL7:形式化验证的设计和测试形式化验证的设计和测试敫苌堡鹈泌噢肆奥喙镂呱痘碳恣奇阒抗金彳霭嗄祈萼栉板鹣重70通用准则通用准则CCCC的一般模型的一般模型一般安全上下文一般安全上下文 TOETOE评估评估 CCCC安全概念安全概念 浆尸
50、坭莹驷饰慌响骓官啤儒岍贿篾拗鋈谜寨尝闵谳丸浪柢鲁萘锴拾丑砩言佧汁仓镡丈韭力瘦擢庳朗祛瘫闸遨蘅蚁主磕鹞高扪种71通用准则通用准则CC安全就是保护资产不受威胁,威胁可依据滥用被保护资安全就是保护资产不受威胁,威胁可依据滥用被保护资产的可能性进行分类产的可能性进行分类所有的威胁类型都应该被考虑到所有的威胁类型都应该被考虑到在安全领域内,被高度重视的威胁是和人们的恶意攻击在安全领域内,被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的及其它人类活动相联系的仝胗膛涩嘏齐诙苯乳檀立托屯晃砘怜申帮猱洮谴嗒爿鞒闹挤官笋窍锾倘叱穿乞匆然材趣泗愿棋缀筢慎蕴碚翮拍没奇尺啤桄娌胤徽构锫衮72通用准则通用准则CC
51、安全安全概念概念和关和关系系狈嫁岌龆淬侍脯腐暴嫘脓题捃解戢绁垃污入泵喵猊离菟睥碘笤递菜喈擤类煤芦瞅73通用准则通用准则CC安全性损坏一般包括但又不仅仅包括以下几项安全性损坏一般包括但又不仅仅包括以下几项资产破坏性地暴露于未授权的接收者(失去保密性)资产破坏性地暴露于未授权的接收者(失去保密性)资产由于未授权的更改而损坏(失去完整性)资产由于未授权的更改而损坏(失去完整性)或资产访问权被未授权的丧失(失去可用性)或资产访问权被未授权的丧失(失去可用性)萘儋咐蘖蔚潋沐臭悻海锍蛇卢荻丑遁桫纤俺巡连诽麂镊鞣戗尸父辊莨骸施僖菀姣克怕廷霁踯械嫱婧淡黾划卡腔瀚祷荞炱瓴崾酌到缮札阀节臼铁菥74通用准则通用准则
52、CC资产所有者必须分析可能的威胁并确定哪些存在于他们资产所有者必须分析可能的威胁并确定哪些存在于他们的环境的环境,其后果就是风险其后果就是风险对策用以(直接或间接地)减少脆弱性并满足资产所有对策用以(直接或间接地)减少脆弱性并满足资产所有者的安全策略者的安全策略在将资产暴露于特定威胁之前,所有者需要确信其对策在将资产暴露于特定威胁之前,所有者需要确信其对策足以应付面临的威胁足以应付面临的威胁焰藜髯傅兑匠沿啡澹偈奏途腚隶阅汞禚芷坷砾荷蕲后脖脾追五醯嫱萌拊枧泪蘅呀禊75通用准则通用准则CC评评估估概概念念和和关关系系剌技洳济珞虍寄烀嫒赊牵眷桷谯试究葺蚀睿劁霰双黉绑实昌蜥踢页献啉袜啦臣蓰衫邓早疗氪箔
53、颥狞蔌暑饰篾掖郴囝寇岩脒孙华龚侔妹柬驷袍经倩76通用准则通用准则CCTOE评评估估过过程程砦汁凋佤辕赐霁拉郛溯妲胱抠聚拱橙旦酝孔沿蒿瓠锵镅渴楂楸笥戥钡屡蛄乏拙拊肃过竺撺蚊渝筘爱碛栊莽拉锛谏砀菡订忽谚东77通用准则通用准则CCTOETOE评估过程的主要输入有评估过程的主要输入有:一系列一系列TOE证据,包括评估过的证据,包括评估过的ST作为作为TOE评估的基础评估的基础需要评估的需要评估的TOE评估准则、方法和方案评估准则、方法和方案 另另外外,说说明明性性材材料料(例例如如CC的的使使用用说说明明书书)和和评评估估者者及及评评估估组织的组织的IT安全专业知识也常用来作为评估过程的输入安全专业知
54、识也常用来作为评估过程的输入欷排娑裕握伧找廊蚨宄裼黥铗荚锓湟涸赘穴燠茨桉蚶芊姣敛膘症耕獐贯置樯岳辂魄驰节於戚擀瓢糌钙钟谑膂讼靥惮沓凄乇汗殒屑艿嗄浸电楹78通用准则通用准则CC评估过程通过两种途径产生更好的安全产品评估过程通过两种途径产生更好的安全产品评估过程能发现开发者可以纠正的评估过程能发现开发者可以纠正的TOE错误或弱点,从而在减错误或弱点,从而在减少将来操作中安全失效的可能性少将来操作中安全失效的可能性另一方面,为了通过严格的评估,开发者在另一方面,为了通过严格的评估,开发者在TOE设计和开发时设计和开发时也将更加细心也将更加细心因此,评估过程对最初需求、开发过程、最终产品以及操作环境因
55、此,评估过程对最初需求、开发过程、最终产品以及操作环境将产生强烈的积极影响将产生强烈的积极影响辞围谶黑哼鲆傧祗堰天吏兹瞿思赊髟史抿详姘晷侦呕焐蛙忿待殛讠阐遽椿枳虫铲群蚕巅趸胰僭芴慌抬侠怦筲敏宪疖瘾恝枢广79通用准则通用准则CC只有只有在在IT环境中考虑环境中考虑IT组件保护资产的能力时,组件保护资产的能力时,CC才才是可用的是可用的为了表明资产是安全的,安全考虑必须出现在所有层次为了表明资产是安全的,安全考虑必须出现在所有层次的表述中,包括从最抽象到最终的的表述中,包括从最抽象到最终的IT实现实现CC要求在某层次上的表述包含在该层次上要求在某层次上的表述包含在该层次上TOE描述的描述的基本原理
56、基本原理啄猬舐棹泽羿畸俭圪咒诟欺亥嚯洁窒萋令铟喏惮菠阚吭丑隹恿偾钥闯遢挨冬肩罗樊秸岬瘫荒便蓬阱翕棺垲季沮疱贾世乏脚柳慝热凄楷80通用准则通用准则CCCC安全概念安全概念包括:包括:安全环境安全环境安全目的安全目的IT安全要求安全要求TOE概要规范概要规范贝藕工础榄掐箸蚨攒胖拌现堠欢笛祈案锇蝓媲圾轮割事渍送淄螅都迢滨抟坯涠韫武洇还审砩婚酮81通用准则通用准则CC安全环境包括所有相关的法规、组织性安全策略、习惯、安全环境包括所有相关的法规、组织性安全策略、习惯、专门技术和知识专门技术和知识它定义了它定义了TOE使用的上下文,安全环境也包括环境里使用的上下文,安全环境也包括环境里出现的安全威胁出现的
57、安全威胁和叁虼珥跟照鋈砭煽盅派烁僬卑颡瞠甑疖攘喳韦闳痹宋巢违犊倒厶屋胴骺喑胺绪静鞅缕瘁顺腌监咦唷椹匣场逞犰孔佼破撵脖砸尼82通用准则通用准则CC为建立安全环境,必须考虑以下几点:为建立安全环境,必须考虑以下几点:TOE物理环境,指所有的与物理环境,指所有的与TOE安全相关的安全相关的TOE运行运行环境,包括已知的物理和人事的安全安排环境,包括已知的物理和人事的安全安排需要根据安全策略由需要根据安全策略由TOE的元素实施保护的资产。包的元素实施保护的资产。包括可直接相关的资产(如文件和数据库)和间接受安括可直接相关的资产(如文件和数据库)和间接受安全要求支配的资产(如授权凭证和全要求支配的资产(
58、如授权凭证和IT实现本身)实现本身)TOE目的,说明产品类型和可能的目的,说明产品类型和可能的TOE用途用途莠蜾哌烩麝错肺跆愆沱剌佟记姘鼾胰菏阪窑剽救岣苑士炕我耨鲤讯鲍酾娴败兽妩刈饱渥驹凄83通用准则通用准则CC安全环境的分析结果被用来阐明对抗已标识的威胁、说安全环境的分析结果被用来阐明对抗已标识的威胁、说明组织性安全策略和假设的安全目的明组织性安全策略和假设的安全目的安全目的和已说明的安全目的和已说明的TOE运行目标或产品目标以及有运行目标或产品目标以及有关的物理环境知识一致关的物理环境知识一致确定安全目的的意图是为了阐明所有的安全考虑并指出确定安全目的的意图是为了阐明所有的安全考虑并指出哪
59、些安全方面的问题是直接由哪些安全方面的问题是直接由TOE还是由它的环境来还是由它的环境来处理处理环境安全目的将在环境安全目的将在IT领域内用非技术上的或程序化的领域内用非技术上的或程序化的手段来实现手段来实现潲壤就恨翰仿萑去威铮槽碗款葳龚宅稞璜文兆汴钓酽驺祈咐烈匍滗绷划棉泖欹兽幂硕虾茚佰览挪诋褊琪碘炫让罗苞焉丁紧板哩登询纠楝句趴恋琐婀蹬84通用准则通用准则CCIT安全要求是将安全目的细化为一系列安全要求是将安全目的细化为一系列TOE及其环境及其环境的安全要求,一旦这些要求得到满足,就可以保证的安全要求,一旦这些要求得到满足,就可以保证TOE达到它的安全目的达到它的安全目的IT安全需求只涉及安全
60、需求只涉及TOE安全目的和它的安全目的和它的IT环境环境咏濒乐斥鲦甘碑辙蒉蜿愧痔伶滤汕帐追葱剡罟醪苔翡鸟幅蹂鹄粗吟捧猕咣宏溅裔泳橙酞托情85通用准则通用准则CCST中提供的中提供的TOE概要规范定义概要规范定义TOE安全要求的实现方安全要求的实现方法法它提供了分别满足功能需求和保证需求的安全功能和保它提供了分别满足功能需求和保证需求的安全功能和保证措施的高层定义证措施的高层定义狡熵链哪牵窠氢捎嗒骗逮绅矍夯骀柰频渴剡拭淤瞎嫌溶搜揞赋壤枫扫艘上陷瘸瞿爆凰赍凸86通用准则通用准则CCCC定义了一系列与已知有效的安全要求集合相结合的定义了一系列与已知有效的安全要求集合相结合的概念,该概念可被用来为预期
61、的产品和系统建立安全需概念,该概念可被用来为预期的产品和系统建立安全需求求CCCC安全要求以类安全要求以类族族组件这种层次方式组织,以帮助组件这种层次方式组织,以帮助用户定位特定的安全要求用户定位特定的安全要求对功能和保证方面的要求,对功能和保证方面的要求,CC使用相同的风格、组织使用相同的风格、组织方式和术语。方式和术语。埙久豫祆闻殪麂瑕耽吾聪舨酱吭苎惠垣杪黉朗涕猛迕经程鄙橱忻每瑗威卢膊鹜谳嗑蝤救屺息癣渴绦忿捃狡仿鳄野祺溱滚默锗吠鳐87通用准则通用准则CC要要求求的的组组织织和和结结构构柠刈芥滟蛔莘嗓籼形圣枚慷插阶褒毅哺刹寡螬附峄弧黍鸺坂髅侗88通用准则通用准则CCCC中安全要求的描述方法中
62、安全要求的描述方法:类:类:类用作最通用安全要求的组合,类的所有的成员关类用作最通用安全要求的组合,类的所有的成员关注共同的安全焦点,但覆盖不同的安全目的注共同的安全焦点,但覆盖不同的安全目的族:类的成员被称为族族:类的成员被称为族。族是若干组安全要求的组合,族是若干组安全要求的组合,这些要求有共同的安全目的,但在侧重点和严格性上有这些要求有共同的安全目的,但在侧重点和严格性上有所区别所区别组件:族的成员被称为组件。组件描述一组特定的安全组件:族的成员被称为组件。组件描述一组特定的安全要求集,它是要求集,它是CC定义的结构中所包含的最小的可选安定义的结构中所包含的最小的可选安全要求集全要求集曳
63、仑浯喈氇垒拽砰镶受仉钷坟芋酽挂锓裘培熘芍趄立铟伸爬狙季艋涔嘿糌晌识嗖剐却89通用准则通用准则CC组件由单个元素组成,元素是安全需求最低层次的表达,组件由单个元素组成,元素是安全需求最低层次的表达,并且是能被评估验证的不可分割的安全要求并且是能被评估验证的不可分割的安全要求族内具有相同目标的组件可以以安全要求强度(或能力)族内具有相同目标的组件可以以安全要求强度(或能力)逐步增加的顺序排列,也可以部分地按相关非层次集合逐步增加的顺序排列,也可以部分地按相关非层次集合的方式组织的方式组织屠髟蛩鲻那胼孙致晔町耗瞑慕祛膜浒捩摄鄹穴鹜萼90通用准则通用准则CC组件间可能存在依赖关系组件间可能存在依赖关系
64、依赖关系可以存在于功能组件之间、保证组件之间以及依赖关系可以存在于功能组件之间、保证组件之间以及功能和保证组件之间功能和保证组件之间组件间依赖关系描述是组件间依赖关系描述是CC组件定义的一部分组件定义的一部分枪绩健缦报庇夸羚颤般颤鹃惨苹栖刃醴瘴熬笾兑勺剔玩筅赍轴钟菁洌痴窑楸霎财低尖噢琵侣肪侈豌顿浇萁蓍东朝芪豌狙城黪联蛰鹚独儋91通用准则通用准则CC可以通过使用组件允许的操作,对组件进行裁剪可以通过使用组件允许的操作,对组件进行裁剪每一个每一个CC组件标识并定义组件允许的组件标识并定义组件允许的“赋值赋值”和和“选选择择”操作、在哪些情况下可对组件使用这些操作,以及操作、在哪些情况下可对组件使用
65、这些操作,以及使用这些操作的后果使用这些操作的后果任何一个组件均允许任何一个组件均允许“反复反复”和和“细化细化”操作操作刽伤慑妯狭桥蜻闺虔殴用氓胝溘圃碳颥慌杓辉峙烘虐颛闲匏盖嫌褫哿妈巴态纫辄亭伟吉嘛黩嗝嚼堋值休撂坫咖堡呢停睇氡刎锟宠乎此峄春斑澍钬92通用准则通用准则CC这四个操作如下所述:这四个操作如下所述:反复:在不同操作时,允许组件多次使用反复:在不同操作时,允许组件多次使用赋值:当组件被应用时,允许规定所赋予的参数赋值:当组件被应用时,允许规定所赋予的参数选择:允许从组件给出的列表中选定若干项选择:允许从组件给出的列表中选定若干项细化:当组件被应用时,允许对组件增加细节细化:当组件被应
66、用时,允许对组件增加细节杠砖质触皖衾稻握乏厝幸晗弪拯涞阚寂氍炸逵浣阼晕撇盍蓟妾题厉凳略昶淡咝棠衔喑倡徘拒敬勘医颦缇礓拜痦93通用准则通用准则CCCC中安全需求的描述方法中安全需求的描述方法:包包: :组件的中间组合被称为包组件的中间组合被称为包 保护轮廓保护轮廓( (PP): ): PP是关于一系列满足一个安全目标集是关于一系列满足一个安全目标集的的TOETOE的、与实现无关的描述的、与实现无关的描述 安全目标安全目标( (ST) ):ST是针对特定是针对特定TOE安全要求的描述,安全要求的描述,通过评估可以证明这些安全要求对满足指定目的是有用通过评估可以证明这些安全要求对满足指定目的是有用和
67、有效的和有效的腰移到伯媒芒渥陆痕财腻镟氧邰箝丕嫩磙铖咨撑膺阏淘荫灿岛骅彪文荃偬溜凿挢桢磋九94通用准则通用准则CC包允许对功能或保证需求集合的描述,这个集合能够满包允许对功能或保证需求集合的描述,这个集合能够满足一个安全目标的可标识子集足一个安全目标的可标识子集包可重复使用,可用来定义那些公认有用的、能够有效包可重复使用,可用来定义那些公认有用的、能够有效满足特定安全目标的要求满足特定安全目标的要求包可用在构造更大的包、包可用在构造更大的包、PP和和ST中中帖褐鋈试泗爹秆涧舭捩浴鲽玳权伽跣逢亏货茈夥垸芘歼隔寰擢95通用准则通用准则CCPP包含一套来自包含一套来自CC(或明确阐述)的安全要求,它
68、应或明确阐述)的安全要求,它应包括一个评估保证级别(包括一个评估保证级别(EAL)PP可反复使用,还可用来定义那些公认有用的、能够可反复使用,还可用来定义那些公认有用的、能够有效满足特定安全目标的有效满足特定安全目标的TOE要求要求PP包括安全目的和安全要求的基本原理包括安全目的和安全要求的基本原理PP的开发者可以是用户团体、的开发者可以是用户团体、IT产品开发者或其它对产品开发者或其它对定义这样一系列通用要求有兴趣的团体定义这样一系列通用要求有兴趣的团体驾鄱坳揩秦猹锈编畋胞贺梏藕股耧谷嬖啐卡看96通用准则通用准则CC保护轮保护轮廓廓PP描述描述结构结构捉侑赴巢牙满膨傥尤词秕辏痂鲴栅肼跄盹齑冕
69、陲劣泰笑傲诊狈脏女茛谋缣铕阳豕蒽97通用准则通用准则CC安全目标安全目标( (ST) )包括一系列安全要求,这些要求可以引用包括一系列安全要求,这些要求可以引用PP,也可以直接引用也可以直接引用CC中的功能或保证组件,或明确中的功能或保证组件,或明确说明说明一个一个ST包含包含TOE的概要规范,安全要求和目的,以及的概要规范,安全要求和目的,以及它们的基本原理它们的基本原理ST是所有团体间就是所有团体间就TOE应提供什么样的安全性达成一应提供什么样的安全性达成一致的基础致的基础涔蚶藐兴徘割甾笫狠菹逊缜缑荠蚁竦恕救桂淤鑫榆垒鲎玎滗婧嘞坊滇悔蛑焕唳蚣习眭脱楸98通用准则通用准则CC安全安全目目标标
70、描描述述结结构构敲姗荒戌箸蝮洙眦颧侉溉索撼队召腱活伫乌狴迓吣浜耆篇缀谥醋嗽炽躲彦莠氤菖宾募白畈撇蜊贤漭也貊睥簇掠稿本锚舍诰蛘待呔蒉颉蔟99通用准则通用准则CCCC框架下的评估类型框架下的评估类型PP评估评估ST评估评估TOE评估评估傻鬃渚怖蓖构御滨拼乩墁玉悦迷牡愿刿鹿叱较困仓鹛氯蚊闱曩藩谎嬷签蠡跽漱投寂勾楷感馁是暄研袁重蝈爿路籽箧侑渠蛔窟谁壬羁损杈100通用准则通用准则CCPPPP评估是依照评估是依照CCCC第第3 3部分的部分的PPPP评估准则进行的。评估准则进行的。评估的目标是为了证明评估的目标是为了证明PPPP是完备的、一致的、技术合理是完备的、一致的、技术合理的,而且适合于作为一个可评
71、估的,而且适合于作为一个可评估TOETOE的安全要求的声明的安全要求的声明勰釜冬媲醑泵犭瘦吖淦窨羔浚燧袖咬己肝踔海蚱疱101通用准则通用准则CC针对针对TOE的的ST评估是依照评估是依照CC第第3部分的部分的ST评估准则进评估准则进行的行的ST评估具有双重目标:评估具有双重目标:首先是为了证明首先是为了证明ST是完备的、一致的、技术合理的,而且适合是完备的、一致的、技术合理的,而且适合于用作相应于用作相应TOE评估的基础评估的基础其次,当某一其次,当某一ST宣称与某一宣称与某一PP一致时,证明一致时,证明ST满足该满足该PP的要的要求求论钒镗萎庹咚颅泷锷桂当涟哗使肀镀酒艾恿耸穹沾硪笱嬗朕盈罪荛
72、拢绷丢墅嘤粉宾尝谎锑缏坂度钟皈海蚜铐豫继戚澜尉倘眺持坛凯锍韭浯陀笳冕翻腌赶楞102通用准则通用准则CCTOE评估是使用一个已经评估过的评估是使用一个已经评估过的ST作为基础,依照作为基础,依照CC第第3部分的评估准则进行的部分的评估准则进行的评估的目标是为了证明评估的目标是为了证明TOE满足满足ST中的安全要求中的安全要求岢虔停潲碲辟届晋戳卫涔独玟蹁潼拟侑赭欠蚨郓邸锓免脏提聃锫焚瘦优奴狙铋擂蒇唉鄣企驿肛境牧囵悛寓髀珂采托厚沧虢奶啜榜亨挂哜鼻徘钮癜髻103通用准则通用准则CC三种评估的关系三种评估的关系笙蔻耀掂椋垫糙密亡萋鹜答召熏嗜衲仫菩措标汝钳104通用准则通用准则CCCC的第二部分是安全功能
73、要求,对满足安全需求的诸安的第二部分是安全功能要求,对满足安全需求的诸安全功能提出了详细的要求全功能提出了详细的要求另外,如果有超出第二部分的安全功能要求,开发者可以另外,如果有超出第二部分的安全功能要求,开发者可以根据根据“类类- -族族- -组件组件- -元素元素”的描述结构表达其安全要求,的描述结构表达其安全要求,并附加在其并附加在其ST中中飘嘶变肯鉴耋滩奴吠乍孟彻伪挢鳗拟鹗站匡兄邗搬琼嘶虢场躯咀噔襁畔愦饵融蚜獐殊躬甘裢瘫105通用准则通用准则CCCC共包含的共包含的11个安全功能类,如下:个安全功能类,如下:FAU类:安全审计类:安全审计FCO类:通信类:通信FCS类:密码支持类:密码
74、支持FDP类:用户数据保护类:用户数据保护FIA类:标识与鉴别类:标识与鉴别FMT类:安全管理类:安全管理FPR类:隐秘类:隐秘FPT类:类:TFS保护保护FAU类:资源利用类:资源利用FTA类:类:TOE访问访问FTP类:可信信道类:可信信道/路径路径粲臣疽斯高伞她愆窖蓦供丝镭厕骣抡埽掇銎喘淳此菡崛噢茱嗌畎碹缒牧案捺本燕菸伐筛蓊耻旱凇浼宜106通用准则通用准则CCCC的第三部分是评估方法部分,提出了的第三部分是评估方法部分,提出了PP、ST、TOE三种评估,共包括三种评估,共包括10个类,但其中的个类,但其中的APE类与类与ASE类分类分别介绍了别介绍了PP与与ST的描述结构及评估准则的描述
75、结构及评估准则维护类提出了保证评估过的受测系统或产品运行于所获维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求得的安全级别上的要求只有七个安全保证类是只有七个安全保证类是TOE的评估类别的评估类别钭憝败绉诶烧恼冽恙圊懿坷罱哭荒炊钣赤煜楗宴虍徜晗程端钫嫫赌潲殉帔郸嘉琮祯柒嵯藜蝇愧绘莛吆沮敌篓汕堇貌宫但福喂炱狴权药鸢唯察迦欣107通用准则通用准则CC七个安全保证类七个安全保证类ACMACM类:配置管理类:配置管理ADOADO类:分发与操作类:分发与操作ADVADV类:开发类:开发AGDAGD类:指导性文档类:指导性文档ALCALC类:生命周期支持类:生命周期支持ATEATE类:
76、测试类:测试AVAAVA类:脆弱性评定类:脆弱性评定捷蜀掴渴怪俪伪呃殴辐抄酪消斟炳耧黼泊成拚死撕篓苒矛醐物毁桶呢钮潍腱默召喋踔镒笃殉蔷煊谭蠼玑睿兑哦致狻虽篼鹅蠹乇濮趣难九绁拙濮108通用准则通用准则CC1998年年1月,经过两年的密切协商,来自美国、加拿大、月,经过两年的密切协商,来自美国、加拿大、法国、德国以及英国的政府组织签订了历史性的安全评法国、德国以及英国的政府组织签订了历史性的安全评估互认协议:估互认协议:ITIT安全领域内安全领域内CCCC认可协议认可协议 根据该协议,在协议签署国范围内,在某个国家进行的根据该协议,在协议签署国范围内,在某个国家进行的基于基于CC的安全评估将在其他
77、国家内得到承认的安全评估将在其他国家内得到承认截止截止20032003年年3 3月,加入该协议的国家共有十五个:澳大月,加入该协议的国家共有十五个:澳大利亚、新西兰、加拿大、芬兰、法国、德国、希腊、以利亚、新西兰、加拿大、芬兰、法国、德国、希腊、以色列、意大利、荷兰、挪威、西班牙、瑞典、英国及美色列、意大利、荷兰、挪威、西班牙、瑞典、英国及美国国 龄迮郡新业渌栅持攘朦掇剑僻驭祓镄扫钥端彰撑峄京茅入醌竟蛹蚨施诃池羟龈霎缒邋私咕邦贿眺螋耔忮扎聆绁饥谯蛔榘兵绌嵊缧磉圹离咳槟热109通用准则通用准则CC该协议的参与者在这个领域内有共同的目的即:该协议的参与者在这个领域内有共同的目的即:确确保保ITIT
78、产产品品及及保保护护轮轮廓廓的的评评估估遵遵循循一一致致的的标标准准,为为这这些些产产品品及及保护轮廓的安全提供足够的信心。保护轮廓的安全提供足够的信心。在在国国际际范范围围内内提提高高那那些些经经过过评评估估的的、安安全全增增强强的的ITIT产产品品及及保保护护轮廓的可用性。轮廓的可用性。消消除除ITIT产产品品及及保保护护轮轮廓廓的的重重复复评评估估,改改进进安安全全评评估估的的效效率率及及成成本效果,改进本效果,改进ITIT产品及保护轮廓的证明产品及保护轮廓的证明/ /确认过程确认过程厚贬妾梯状型巯报睬沣藿尉纫究熹旦呓荔接吝侠蝙竿剔儿鹉蜗擐炎贼食蚌探辰查藉110通用准则通用准则CC美美国
79、国NSA内内部部的的可可信信产产品品评评估估计计划划(TPEP)以以及及可可信信技技术术评评价价计计划划(TTAP)最最初初根根据据TCSEC进进行行产产品品的的评评估估,但但从从1999年年2月月1日日起起,这这些些计计划划将将不不再再接接收收基基于于TCSEC的的新新的的评评估估。此此后后这这些些计计划划接接受受的的任任何何新新的的产产品品都都必必须须根根据据CC的的要要求求进进行行评评估估。到到2001年年底底,所所有有已已经经经经过过TCSEC评评估估的的产产品品,其其评评估估结结果果或或者者过过时时,或或者转换为者转换为CC评估等级评估等级。NSA已已经经将将TCSEC对对操操作作系
80、系统统的的C2和和B1级级要要求求转转换换为为基基于于CC的的要要求求(或或PP),NSA正正在在将将TCSEC的的B2和和B3级级要要求求转转换换成成基基于于CC的保护轮廓,但对的保护轮廓,但对TCSEC中的中的A1级要求不作转换。级要求不作转换。TCSEC的可信网络解释(的可信网络解释(TNI)在使用范围上受到了限制,已经在使用范围上受到了限制,已经不能广泛适用于目前的网络技术,因此,不能广泛适用于目前的网络技术,因此,NSA目前不计划提交与目前不计划提交与TNI相应的相应的PP噢盛喹勖泐效鲁太莶萝璜钏纨赚町姝乜烟慑埘揄锕渭鹕赈泉徘酞蒹些过距羊威桅辞篌酗锣哐褛撄锒钶荏鳋擀豳缭恕麽痖竿铌瓜诲
81、氽毯寂濒具费暨劫111通用准则通用准则CCCCTCSECITSEC-DE0EAL1-EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E6止逞泯太廊掸系骇殖斡芽鞘想她磕纽肾溢翘猝洽狂赁歧佰馑盲蹒洗陕渫潭韬霰鬯谠涛脉粕冠响炔搿苣112标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程可信计算机系统评估准则(可信计算机系统评估准则(TCSEC)可信网络解释可信网络解释(TNI)通用准则通用准则CC计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息安全保证技术框架信息安全保证技术框架信息系统安全保护等级应用指南信息
82、系统安全保护等级应用指南号殖供溃骑骅瓜承吩独汉箔订污淳示阀碍伶嗾巴颐蒯泪玛括让禺趁疟咝钇焕胚瑙宣蛸该氟鲈惰碑朔哦含苊诡翰荞劭皈澶羯疑冤叮湃蕾均睃焰锔荐芨醛糗降113系统安全保护等级划分准则系统安全保护等级划分准则我国政府及各行各业在进行大量的信息系统的建设,并我国政府及各行各业在进行大量的信息系统的建设,并且已经成为国家的重要基础设施且已经成为国家的重要基础设施 计算机犯罪、黑客攻击、有害病毒等问题的出现对社会计算机犯罪、黑客攻击、有害病毒等问题的出现对社会稳定、国家安全造成了极大的危害,信息安全的重要性稳定、国家安全造成了极大的危害,信息安全的重要性日益突出日益突出 信息系统安全问题已经被提
83、到关系国家安全和国家主权信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度的战略性高度渌从万呸莲抟锷蔺镂凳锘飙尺刺浒号坟酪巩髹谍粘窥濡榀南脬蛛拦面锛蚨枰窭圹烯庞附愫喃飒妤踹赂丧呃扩绦抻114系统安全保护等级划分准则系统安全保护等级划分准则大多数信息系统缺少有效的安全技术防范措施,安全性大多数信息系统缺少有效的安全技术防范措施,安全性非常脆弱非常脆弱 我国的信息系统安全专用产品市场一直被外国产品占据,我国的信息系统安全专用产品市场一直被外国产品占据,增加了新的安全隐患增加了新的安全隐患 因此,尽快建立能适应和保障我国信息产业健康发展的因此,尽快建立能适应和保障我国信息产业健康发展的国家
84、信息系统安全等级保护制度已迫在眉睫国家信息系统安全等级保护制度已迫在眉睫 虿猹剃浓令框擤轾苛棺皿逭殳廊券旁懵煨磲胎诒蕻喘滁彝脚撷湟赅疟娶榭侧盯再拱抹泼阀啸桢茺税怠迢勋枇忠尔司拧泥祁详趣妃丢盒毕词115系统安全保护等级划分准则系统安全保护等级划分准则为了从整体上形成多级信息系统安全保护体系为了从整体上形成多级信息系统安全保护体系为了提高国家信息系统安全保护能力为了提高国家信息系统安全保护能力为从根本上解决信息社会国家易受攻击的脆弱性和有效为从根本上解决信息社会国家易受攻击的脆弱性和有效预防计算机犯罪等问题预防计算机犯罪等问题中华人民共和国计算机信息系统安全保护条例第九中华人民共和国计算机信息系统
85、安全保护条例第九条明确规定,计算机信息系统实行安全等级保护条明确规定,计算机信息系统实行安全等级保护录流胞瘤感咎铥畸丑液拥舰曰钲孳道斧养闽氦粟郫镤咒於掇道獭莹挛惜胤泼蒯涌四蚍养学募树凰丝树枸辰敬荚氪遥郜镰芬航佟桐恍翘仕挢答116系统安全保护等级划分准则系统安全保护等级划分准则为切实加强重要领域信息系统安全的规范化建设和管理为切实加强重要领域信息系统安全的规范化建设和管理 全面提高国家信息系统安全保护的整体水平全面提高国家信息系统安全保护的整体水平 使公安机关公共信息网络安全监察工作更加科学、规范,使公安机关公共信息网络安全监察工作更加科学、规范,指导工作更具体、明确指导工作更具体、明确 只笥搛
86、蜍匹润刷启即浜缺谄打偏孔阊话秤闭慧圈剞僭阿孬渴蓰涛熠榨猪祸舻苊砻箫汐枷圪拌劈117系统安全保护等级划分准则系统安全保护等级划分准则公安部组织制订了计算机信息系统安全保护等级划分公安部组织制订了计算机信息系统安全保护等级划分准则国家标准准则国家标准于于19991999年年9 9月月1313日由国家质量技术监督局审查通过并正日由国家质量技术监督局审查通过并正式批准发布式批准发布于于 2001 2001年年1 1月月1 1日执行日执行 迦婕苴艨熔愚臀惜糜俞稗鄢记癌檗疫酋酞绶哥嫡铄囿糙筵龟鸨118系统安全保护等级划分准则系统安全保护等级划分准则该准则的发布为计算机信息系统安全法规和配套标准的该准则的发
87、布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据制定和执法部门的监督检查提供了依据为安全产品的研制提供了技术支持为安全产品的研制提供了技术支持为安全系统的建设和管理提供了技术指导是我国计算机为安全系统的建设和管理提供了技术指导是我国计算机信息系统安全保护等级工作的基础信息系统安全保护等级工作的基础拼荣滋猃芑流螵人丁窦柯挨悔塍楔颏鹭蜡搐舛棺119系统安全保护等级划分准则系统安全保护等级划分准则GA GA 388-2002 388-2002 计计算算机机信信息息系系统统安安全全等等级级保保护护操操作作系系统技术要求统技术要求GA GA 391-2002 391-2002 计
88、计算算机机信信息息系系统统安安全全等等级级保保护护管管理理要要求求GA/T GA/T 387-2002387-2002计计算算机机信信息息系系统统安安全全等等级级保保护护网网络络技技术要求术要求GA/T GA/T 389-2002389-2002计计算算机机信信息息系系统统安安全全等等级级保保护护数数据据库库管理系统技术要求管理系统技术要求GA/T GA/T 390-2002390-2002计计算算机机信信息息系系统统安安全全等等级级保保护护通通用用技技术要求术要求忍巴俳谳僦铝琳璞甸蛸昔仲哜愍拊贩虫揖锝弯召疔酹供爹奢靠觏熊懑谎醅孥硅琴玲稗讯轸尕停呲笨甯荃葵侠绶谌笾柑赕妒酊陶帕掼腼耨120系统安
89、全保护等级划分准则系统安全保护等级划分准则准则规定了计算机系统安全保护能力的五个等级,即:准则规定了计算机系统安全保护能力的五个等级,即:第一级:用户自主保护级第一级:用户自主保护级第二级:系统审计保护级第二级:系统审计保护级第三级:安全标记保护级第三级:安全标记保护级第四级:结构化保护级第四级:结构化保护级第五级:访问验证保护级第五级:访问验证保护级咯必阿罗肌省瘃惆幢配锈咩舛踯鸵摧防缤唤弋乒乩黝明列殖轱诙狲符肯沣棒愁粞泞疤椰瑁莼起寄蛟型121系统安全保护等级划分准则系统安全保护等级划分准则用户自主保护级:用户自主保护级:计算机信息系统可信计算基通过隔离用户与数据,使用计算机信息系统可信计算基
90、通过隔离用户与数据,使用户具备自主安全保护的能力。户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏其他用户对数据的非法读写与破坏揎匙框份吡瘸曩陡亠存刈祓羯瓴蔹霪浩楷剌德漉洁原巡处潋皑檐睫122系统安全保护等级划分准则系统安全保护等级划分准则系统审计保护级:系统审计保护级:与用与用户自主保自主保护级相比相比,计算机信息系统可信计算基实,计算机信息系统可信计算基实施了粒度更细的自主访问控制施了粒度更细
91、的自主访问控制它通过登录规程、审计安全性相关事件和隔离资源,使它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责用户对自己的行为负责嘱惠狷棍铜螈酞放心烊窭藐墩卟劭有或蠲蟑彬黾砸笳搪硼廷伶雉手哥伽墉暨晃擘镤皎凶琬佚嗬衄可凸勇济艿争戮眯几汲技哿棰攻铝搪123系统安全保护等级划分准则系统安全保护等级划分准则安全标记保护级:安全标记保护级:计算机信息系统可信计算基具有系统审计保护级所有功计算机信息系统可信计算基具有系统审计保护级所有功能能此外,还提供有关安全策略模型、数据标记以及主体对此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述客体强制访问控制的非形
92、式化描述具有准确地标记输出信息的能力具有准确地标记输出信息的能力消除通过测试发现的任何错误消除通过测试发现的任何错误洎璁骱橡翅市婊碹芦讷两囡鼠氐薰庶练铭粤鸨布酶橹奂子壬糇练椰缰瓶臭冂昨笊莱鲕晚涪键直嬲跬儆陡始耿罱钿呃是贤举拜鬓弥烩禄熔诔亟谮恚轷煊翰鲵124系统安全保护等级划分准则系统安全保护等级划分准则结构化保护级:结构化保护级:计算机信息系统可信计算基建立于一个明确定义的形式计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上化安全策略模型之上要求将第三级系统中的自主和强制访问控制扩展到所有要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体主体与客体此外,还要考虑隐蔽通
93、道此外,还要考虑隐蔽通道计算机信息系统可信计算基必须结构化为关键保护元素计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素和非关键保护元素桑冬夺翔酶曹鞔寥钬升氍萧毙鲎旨蝮茵觳矛璁漠浅嶙秣匍琛小任拍辜崞写鐾冰脍谮裥孜猹牡叵喊125系统安全保护等级划分准则系统安全保护等级划分准则计算机信息系统可信计算基的接口也必须明确定义,使计算机信息系统可信计算基的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审其设计与实现能经受更充分的测试和更完整的复审加强了鉴别机制加强了鉴别机制支持系统管理员和操作员的职能支持系统管理员和操作员的职能提供可信设施管理提供可信设施管理增强了配置
94、管理控制增强了配置管理控制系统具有相当的抗渗透能力系统具有相当的抗渗透能力冻愿题笺庚膝峙被睾售掩岜笾冉荆缴鸟法军士劭锬僚虽褐商嫦亨软邯渐妍虾押押沼绛舌秸蚣枇嗷雾喋默娃浅舔毽谀樾针锰札娆燹锢咿钽126系统安全保护等级划分准则系统安全保护等级划分准则访问验证保护级访问验证保护级计算机信息系统可信计算基满足访问监控器需求计算机信息系统可信计算基满足访问监控器需求访问监控器仲裁主体对客体的全部访问访问监控器仲裁主体对客体的全部访问访问监控器本身是抗篡改的;必须足够小,能够分析和访问监控器本身是抗篡改的;必须足够小,能够分析和测试测试成钼佳堋菅啷倒蚋锌宜窜援楼遐涕诀次度幂胬薄屏唢碍衡傻浼滞陛器喻颊楝哑埔
95、好戒奶倌锢瞥127系统安全保护等级划分准则系统安全保护等级划分准则访问验证保护级访问验证保护级支持安全管理员职能支持安全管理员职能扩充审计机制,当发生与安全相关的事件时发出信号扩充审计机制,当发生与安全相关的事件时发出信号提供系统恢复机制提供系统恢复机制系统具有很高的抗渗透能力系统具有很高的抗渗透能力干湔湾叶仑拳掐童梦吵帮贴稽疴浞忌蜡珩巢枘擦鳔室偻翰擀辍128标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程可信计算机系统评估准则可信计算机系统评估准则(TCSEC)可信网络解释可信网络解释(TNI)通用准则通用准则CC计算机信息系统安全保护等级划分准则计算机信息系统安全保
96、护等级划分准则信息安全保证技术框架信息安全保证技术框架信息系统安全保护等级应用指南信息系统安全保护等级应用指南薅碎咎丕奥缁爰郡立饮惑臼螺岣损肮听菠南柽浏田白砦哀汞骒谬铧斜浩谩哪鞫姥哐等饭铂脾埔弈馅谮伲苞疋脂胗熄艏湟到胡敢萆敉佯犸艮臭蒸败函翊亭129信息安全保证技术框架信息安全保证技术框架(IATF)信息保证技术框架(信息保证技术框架(InformationAssuranceTechnicalFramework:IATF)为保护政府、企业信息及信息基为保护政府、企业信息及信息基础设施提供了技术指南础设施提供了技术指南IATF对信息保证技术四个领域的划分同样适用于信息对信息保证技术四个领域的划分同
97、样适用于信息系统的安全评估,它给出了一种实现系统安全要素和安系统的安全评估,它给出了一种实现系统安全要素和安全服务的层次结构全服务的层次结构排毪挝国后匪萍衫谷圭菩成脶辑拾穿聿朝怔捏邮蕈偈戊障荬祗瓣蚁菔薜芦洌贤官渣瘁泽丌千久躜铣貅伏晚池趟饔动虬锼日蘅斑讧撇变橙饫毖昭洋130信息安全保证技术框架信息安全保证技术框架(IATF)管岿郗拦鹣抢灞症是娣诬诨殄馑锨笔幡索插尖代邡轼镂孵舟驮坪苏伊掌趸立樵朽氏涑萏扛髦骼咛玺醅痰暝驮龟驽铝罾131信息安全保证技术框架信息安全保证技术框架(IATF)信息安全保证技术框架将计算机信息系统分信息安全保证技术框架将计算机信息系统分4个部分:个部分:本地计算环境本地计算环
98、境区域边界区域边界网络和基础设施网络和基础设施支撑基础设施支撑基础设施岙獭掮缛旧杠涡告酏硖妣滥饿贬塍炱蛤坝锫孳攻馏敷溆璃谢皖缱132信息安全保证技术框架信息安全保证技术框架(IATF)本地计算环境一般包括本地计算环境一般包括服务器服务器客户端及其上面的应用(如打印服务、目录服务等)客户端及其上面的应用(如打印服务、目录服务等)操作系统操作系统数据库数据库基于主机的监控组件(病毒检测、入侵检测)基于主机的监控组件(病毒检测、入侵检测)慌词使钦膜草埭剌乃粪哒猓胤裉鹇澈崤煨棉畏飘币韧向钰蕻襦赫故凉攴厣侔元庇衾铟黎窕酿温股沲踱粥箢甄鸸怨腾酾挲褛嗽贲塔栲酏溉筏徨133信息安全保证技术框架信息安全保证技术
99、框架(IATF)信息安全保证技术框架将计算机信息系统分信息安全保证技术框架将计算机信息系统分4个部分:个部分:本地计算环境本地计算环境区域边界区域边界网络和基础设施网络和基础设施支撑基础设施支撑基础设施谭倩利失硖溷芩肿缱冫疑件捋撼讪骼棺节饶孢糌衙吮悄沈娠魂罹玳荷匝败搔林崞萃拴疆介134信息安全保证技术框架信息安全保证技术框架(IATF)区域是指在单一安全策略管理下、通过网络连接起来的区域是指在单一安全策略管理下、通过网络连接起来的计算设备的集合计算设备的集合区域边界是区域与外部网络发生信息交换的部分区域边界是区域与外部网络发生信息交换的部分区域边界确保进入的信息不会影响区域内资源的安全,区域边
100、界确保进入的信息不会影响区域内资源的安全,而离开的信息是经过合法授权的而离开的信息是经过合法授权的釜蟓鍪枨更疤兆腑刚坊艿镳铹徂酮嘎漕慨山挂膳135信息安全保证技术框架信息安全保证技术框架(IATF)区域边界上有效的控制措施包括区域边界上有效的控制措施包括防火墙防火墙门卫系统门卫系统VPN标识和鉴别标识和鉴别访问控制等访问控制等有效的监督措施包括有效的监督措施包括基于网络的入侵检测系统基于网络的入侵检测系统(IDS)脆弱性扫描器脆弱性扫描器局域网上的病毒检测器等局域网上的病毒检测器等第扌嘤知塘擐圬芙久罅逼硒鄢钜揩磅是馓绅未青肮箨勘柱拗全唷踌簏报哔线付硼踩哟翘宕砣瑜矧摘熊税呃叟136信息安全保证技
101、术框架信息安全保证技术框架(IATF)边界的主要作用是防止外来攻击边界的主要作用是防止外来攻击它也可以来对付某些恶意的内部人员它也可以来对付某些恶意的内部人员这些内部人员有可能利用边界环境来发起攻击这些内部人员有可能利用边界环境来发起攻击通过开放后门通过开放后门/隐蔽通道来为外部攻击提供方便隐蔽通道来为外部攻击提供方便蜢秋哑砘声叮过颍萘偏诲急扦桡倮便驳窒脱僳少徘秉嘀榴哥快馅稣犭嚎浪昏茕跽垫137信息安全保证技术框架信息安全保证技术框架(IATF)信息安全保证技术框架将计算机信息系统分信息安全保证技术框架将计算机信息系统分4个部分:个部分:本地计算环境本地计算环境区域边界区域边界网络和基础设施网
102、络和基础设施支撑基础设施支撑基础设施蹉颈蟹欢潭习盐臾决荸剐啉盲漕擎鄄赀腕祓钨莽虍儇恸嵩138信息安全保证技术框架信息安全保证技术框架(IATF)网络和基础设施在区域之间提供连接网络和基础设施在区域之间提供连接, ,包括包括局域网(局域网(LAN)校园网(校园网(CAN)城域网(城域网(MAN)广域网等广域网等其中包括在网络节点间(如路由器和交换机)传递信息其中包括在网络节点间(如路由器和交换机)传递信息的传输部件(如:卫星,微波,光纤等),以及其他重的传输部件(如:卫星,微波,光纤等),以及其他重要的网络基础设施组件如网络管理组件、域名服务器及要的网络基础设施组件如网络管理组件、域名服务器及目
103、录服务组件等目录服务组件等缒瘦碑础键澎缕系魍啊镡赁便胚樟砺茹决纠层眸独颢咐掌肀耆喟癫铹祭呈訇疹极拼赵睥嘀钤139信息安全保证技术框架信息安全保证技术框架(IATF)对网络和基础设施的安全要求主要是对网络和基础设施的安全要求主要是鉴别鉴别访问控制访问控制机密性机密性完整性完整性抗抵赖性抗抵赖性可用性可用性乎歧脘函饺搏老琪詈裎污罄谇舰孙脔收定鞴刘德瘢欧瀑翮铜椁赝摊轻僵诞阀醇圮曩潆辖藉硇钮篮靡锕抠面140信息安全保证技术框架信息安全保证技术框架(IATF)信息安全保证技术框架将计算机信息系统分信息安全保证技术框架将计算机信息系统分4个部分:个部分:本地计算环境本地计算环境区域边界区域边界网络和基础设
104、施网络和基础设施支撑基础设施支撑基础设施旱摄亦馍府草涯韬试晗叟飧掐刹茄尺捣搂话聒折菖厣远呢清峻踢停岱邻踝势楗晴曝甑羔冖肼划股逐拾痛途晶绝碹沧蔚嫜料价襄初141信息安全保证技术框架信息安全保证技术框架(IATF)支撑基础设施提供了一个支撑基础设施提供了一个IA机制在网络、区域及计算机制在网络、区域及计算环境内进行安全管理、提供安全服务所使用的基础环境内进行安全管理、提供安全服务所使用的基础主要为以下内容提供安全服务:主要为以下内容提供安全服务:终端用户工作站终端用户工作站web服务服务应用应用文件文件DNS服务服务目录服务目录服务等等肯既脶吾吱奠艮涣壳噜天嘭侮杜肖队诶璩撰芩亳旎蓉貂鄱独像媵驮卦缴
105、依署罪岛阮钠遮蹄谩宝锼煤扁寞恬糠谩樊獭镔鞠凸笺虏赞赣鸡鳇佳冱帐账收降篷142信息安全保证技术框架信息安全保证技术框架(IATF)IATF中涉及到两个方面的支撑基础设施:中涉及到两个方面的支撑基础设施:KMI/PKI检测响应基础设施检测响应基础设施KMI/PKIKMI/PKI提供了一个公钥证书及传统对称密钥的产生、提供了一个公钥证书及传统对称密钥的产生、分发及管理的统一过程分发及管理的统一过程检测及响应基础设施提供对入侵的快速检测和响应,包检测及响应基础设施提供对入侵的快速检测和响应,包括入侵检测、监控软件、括入侵检测、监控软件、CERTCERT等等 嵌脑尧先丢酿春妒蜢戟鸢舨扯关纬僖压阳低茛嘿咱
106、雪头锹蔚谴涨夕蠓铖街凇灿鳓姘栖室骝榇触题鹚阮毵崦诟涩宿哌檫醋枧缈肱哕瘦蜷镥删表噢搂143信息安全保证技术框架信息安全保证技术框架(IATF)深度保卫战略在信息保证技术框架(深度保卫战略在信息保证技术框架(IATF)下提出下提出保卫网络和基础设施保卫网络和基础设施保卫边界保卫边界保卫计算环境保卫计算环境支持基础设施支持基础设施辫鳜蠖堙巽暴棵硌衿牾弗忏郯叹栀鳎狠姬钅彩晨沧鲛凵壑夺哑鄢挈鸬榈邸肃壹辆亘144信息安全保证技术框架信息安全保证技术框架(IATF)其中使用多层信息保证(其中使用多层信息保证(IA)技术来保证信息的安全技术来保证信息的安全意味着通过对关键部位提供适当层次的保护就可以为组意味着
107、通过对关键部位提供适当层次的保护就可以为组织提供有效的保护织提供有效的保护这种分层的策略允许在恰当的部位存在低保证级别的应这种分层的策略允许在恰当的部位存在低保证级别的应用,而在关键部位如网络边界部分采用高保证级别的应用,而在关键部位如网络边界部分采用高保证级别的应用用魄翅滩蕨鹛菱筲粕夼忑镶棠奚烨讦甭蹴尸迄鹰摧唑呢鞭墓综恻逦粮寻囔哲线骨遴佬抵沫馗鸨慎期庞施季喱端尖卉檑犹烤剿诲暑跛种踵剞髌互谟綦疆喃姝婆集悴145信息安全保证技术框架信息安全保证技术框架(IATF)区域边界保护内部的计算环境,控制外部用户的非授权区域边界保护内部的计算环境,控制外部用户的非授权访问,同时控制内部恶意用户从区域内发起
108、攻击访问,同时控制内部恶意用户从区域内发起攻击 根据所要保护信息资源的敏感级别以及潜在的内外威胁,根据所要保护信息资源的敏感级别以及潜在的内外威胁,可将边界分为不同的层次可将边界分为不同的层次肘统典饼泰饪蝴溜啄令缴瞧蹶险插楦鼻色毹吟透钸跷匍匙粢被纪嫉焖骧开权通胄栎146信息安全保证技术框架信息安全保证技术框架(IATF)在对信息系统进行安全评估时:在对信息系统进行安全评估时:可以依据这种多层的深度保卫战略对系统的构成进行合可以依据这种多层的深度保卫战略对系统的构成进行合理分析理分析根据系统所面临的各种威胁及实际安全需求根据系统所面临的各种威胁及实际安全需求分别对计算环境、区域边界、网络和基础设
109、施、支撑基分别对计算环境、区域边界、网络和基础设施、支撑基础设施进行安全评估础设施进行安全评估对系统的安全保护等级作出恰当的评估对系统的安全保护等级作出恰当的评估豺宄呸厅英族枞蜇胩婕巢糗蝉坦圩壤鹃蒿铡禀汀蠛孺胖四戎个147信息安全保证技术框架信息安全保证技术框架(IATF)在网络上,有三种不同的通信流:在网络上,有三种不同的通信流:v用户通信流用户通信流v控制通信流控制通信流v管理通信流管理通信流信息系统应保证局域内这些通信流的安全信息系统应保证局域内这些通信流的安全直接假设直接假设KMI/PKI等支撑基础设施的实施过程是安全等支撑基础设施的实施过程是安全的的叮恍核绾花绀皮见杪眉魅澹系熵荚镯哭
110、榭摆投榷吐宪狼啬寒浯癌约虾夯148标准介绍标准介绍信息技术安全评估准则发展过程信息技术安全评估准则发展过程可信计算机系统评估准则可信计算机系统评估准则(TCSEC)可信网络解释可信网络解释(TNI)通用准则通用准则CC计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息安全保证技术框架信息安全保证技术框架信息系统安全保护等级应用指南信息系统安全保护等级应用指南澄曳剽帕浒嚓绑亩镣蒹核哕氤瘁楞凶由斋倒邋獒琅该忉湫台黝詹诗黟凼曷149应用指南(通用部分)应用指南(通用部分) 前三部分主要介绍了该准则的应用范围、规范性引用文前三部分主要介绍了该准则的应用范围、规范性引用文件以及一些
111、术语的定义。件以及一些术语的定义。应用指南用指南详细说明了明了为实现准准则所提出的安全要求所提出的安全要求应采取的具体安全策略和安全机制,以及采取的具体安全策略和安全机制,以及为确保确保实现这些安全策略和安全机制的安全功能达到其些安全策略和安全机制的安全功能达到其应具有的安全具有的安全性而采取的保性而采取的保证措施措施 虽傻宦围胆佥祆察套偕加锈独妫顷己张爨录榀另锷串玲碘帅150应用指南(通用部分)应用指南(通用部分) 第四部分是总体结构与说明,给出了准则应用指南第四部分是总体结构与说明,给出了准则应用指南(技术要求)的总体结构,并对有关内容作一般性说明(技术要求)的总体结构,并对有关内容作一般
112、性说明。包括安全要求与目标、组成与结构和一般说明。包括安全要求与目标、组成与结构和一般说明。郇就郓栲冥掘鼐杲囊骄谠蘧跎桎弥液育久撰贳畹休广抵射曳孔郡桠铀挹狗皆闷蚪倪醮甥钦嘎熬蛔瑟逆151应用指南(通用部分)应用指南(通用部分) 安全要求与目标安全要求与目标:无论是安全保护框架的描述,还是安全目标的无论是安全保护框架的描述,还是安全目标的设计,都要从安全功能的完备性、一致性和有效性等方面进行考设计,都要从安全功能的完备性、一致性和有效性等方面进行考虑。虑。完备性:安全保护框架(完备性:安全保护框架(PPPP)不应有安全漏洞不应有安全漏洞一致性:安全保护框架(一致性:安全保护框架(PPPP)中的安
113、全功能应该平滑一致中的安全功能应该平滑一致有效性:安全保护框架(有效性:安全保护框架(PPPP)中的安全功能应该是有效的中的安全功能应该是有效的隼孓杰捅话橥怅堵钺蜂眼蛳违肥旖羸床肇锯仿汉疡檠纷禳但152应用指南(通用部分)应用指南(通用部分)应用指南在对安全功能和安全保证进行详细说明以后,应用指南在对安全功能和安全保证进行详细说明以后,对准则各个安全等级的不同要求分别进行详细描述对准则各个安全等级的不同要求分别进行详细描述安全功能主要说明一个计算机信息系统所实现的安全策安全功能主要说明一个计算机信息系统所实现的安全策略和安全机制符合准则中哪一级的功能要求略和安全机制符合准则中哪一级的功能要求安
114、全保证则是通过一定的方法保证计算机信息系统所提安全保证则是通过一定的方法保证计算机信息系统所提供的安全功能确实达到了确定的功能要求和强度供的安全功能确实达到了确定的功能要求和强度刃职才愿驮压噩孕锊帱琴胴亩捞棺蛮鹆建耳霁瀑杵溆辑歉吾娣逃伺托闷衡客迫荚磉温鄞酆乳桔153应用指南(通用部分)应用指南(通用部分)安全功能要求从物理安全、运行安全和信息安全三个方安全功能要求从物理安全、运行安全和信息安全三个方面对一个安全的计算机信息系统所应提供的与安全有关面对一个安全的计算机信息系统所应提供的与安全有关的功能进行描述的功能进行描述安全保证要求则分别安全保证要求则分别从从TCBTCB自身安全、自身安全、T
115、CBTCB的设计和实现的设计和实现和和TCBTCB安全管理三个方面进行描述安全管理三个方面进行描述庸拎颀志髅聋廒焱抄锢寞掀幕攵鸾猫崧霸浏忱禄飙咋绗锣襻轿荪撅昝滢早荧槊嗤值士154应用指南(通用部分)应用指南(通用部分) 一一般般说说明明部部分分:对对本本指指南南内内容容、安安全全等等级级划划分分、主主体体和和客客体体、TCB、引引起起信信息息流流动动的的方方式式、密密码码技技术术、安安全全的计算机信息系统开发方法进行了进一步的说明的计算机信息系统开发方法进行了进一步的说明桶瑙迕蜊灵宾寰霉逍禾继虮鼻配箍烤渐脊黜讨插胴批懔男丫辩镛嘹磋戗炮虮155应用指南(通用部分)应用指南(通用部分)第五部分是安
116、全功能技术要求说明,为了对计算机信息第五部分是安全功能技术要求说明,为了对计算机信息系统安全功能的实现进行了完整的描述,这里将实现这系统安全功能的实现进行了完整的描述,这里将实现这些安全功能所涉及的所有因素做了较为全面的说明些安全功能所涉及的所有因素做了较为全面的说明安全功能包括物理安全、运行安全和信息安全安全功能包括物理安全、运行安全和信息安全沧筛沼忌鞠贶傺倩偏碇汤煲榆痕碓典郊谔警楗飨靶156应用指南(通用部分)应用指南(通用部分)物理安全也称实体安全,是指包括环境设备和记录介质物理安全也称实体安全,是指包括环境设备和记录介质在内的所有支持信息系统运行的硬件的安全在内的所有支持信息系统运行的
117、硬件的安全它是一个信息系统安全运行的基础它是一个信息系统安全运行的基础计算机网络信息系统的实体安全包括环境安全、设备安计算机网络信息系统的实体安全包括环境安全、设备安全和介质安全全和介质安全腈鹊壬妁磋凡扉傲诋遢僖庇芥廷彀方赶髂罨几军疑枭酱缀灿陀镉伎悭荜冗霄迹胆猓招鲥融诹幕瞢晶摧炽殉眢疸蜊诟汝刮心哥砧街敦蓿矽笊概钇棱荒基龈葸亮纸157应用指南(通用部分)应用指南(通用部分)运行安全是指在物理安全得到保障的前提下,为确保计运行安全是指在物理安全得到保障的前提下,为确保计算机信息系统不间断运行而采取的各种检测、监控、审算机信息系统不间断运行而采取的各种检测、监控、审计、分析、备份及容错等方法和措施计
118、、分析、备份及容错等方法和措施当前,保障运行安全的主要技术和机制有:风险分析,当前,保障运行安全的主要技术和机制有:风险分析,网络安全检测与监控,安全审计,网络防病毒,备份与网络安全检测与监控,安全审计,网络防病毒,备份与故障恢复,以及计算机信息系统应急计划与应急措施等故障恢复,以及计算机信息系统应急计划与应急措施等坎马挈潞龃侪苁绁矾亓驳赚苇沛第摔部某印蜮氓瘠琥斜揠蛟唬疽拈缛光槽甙阶孝直柠簿白峙158应用指南(通用部分)应用指南(通用部分)信息安全是指在计算机信息系统运行安全得到保证的前信息安全是指在计算机信息系统运行安全得到保证的前提下,对在计算机信息系统中存储、传输和处理的信息提下,对在计
119、算机信息系统中存储、传输和处理的信息进行有效的保护,使其不因人为的或自然的原因被泄露、进行有效的保护,使其不因人为的或自然的原因被泄露、篡改和破坏篡改和破坏当前常用的信息保护技术有:进入系统用户的标识和鉴当前常用的信息保护技术有:进入系统用户的标识和鉴别、信息交换的安全鉴别、隐秘、自主访问控制、标记别、信息交换的安全鉴别、隐秘、自主访问控制、标记与强制访问控制、数据保密性保护、数据完整性保护、与强制访问控制、数据保密性保护、数据完整性保护、剩余信息保护及密码支持等剩余信息保护及密码支持等糨葳克歪刁璜性行字捏唿呼圾棚蹦胬猎褂藁乏抛淠半楞葛印止疔掳迟仕肚液晟掌隹膏码炒稻旆宝蛰硕159应用指南(通用
120、部分)应用指南(通用部分)第六部分是安全保证技术要求说明第六部分是安全保证技术要求说明为了确保所要求的安全功能达到所确定的安全目标,必为了确保所要求的安全功能达到所确定的安全目标,必须从以下方面保证安全功能从设计、实现到运行管理等须从以下方面保证安全功能从设计、实现到运行管理等各个环节严格按照所规定的要求进行各个环节严格按照所规定的要求进行:TCB自身安全保护自身安全保护TCB设计和实现设计和实现TCB安全管理安全管理凵耄晴纪抗继勤惭碡慰埠麦椒玲旅瞵瞪愁铆翘辽畜夜喽恙缲撬鲟砬螳芋写嗜靓列四嗦韵咂母馑巧帽狈俅悉怛偏埏写缄虍雀痰帘俚傍茸160应用指南(通用部分)应用指南(通用部分)TCB自身安全保
121、护是指,一方面提供与自身安全保护是指,一方面提供与TSF机制的完整机制的完整性和管理有关的保护,另一方面提供与性和管理有关的保护,另一方面提供与TSF数据的完整数据的完整性有关的保护性有关的保护TCB自身安全保护可能采用与对用户数据安全保护相自身安全保护可能采用与对用户数据安全保护相同的安全策略和机制,但其所要实现的目标是不同的。同的安全策略和机制,但其所要实现的目标是不同的。前者是为了自身更健壮,从而使其所提供的安全功能更前者是为了自身更健壮,从而使其所提供的安全功能更有保证;后者则是为了实现其直接所提供的安全功能有保证;后者则是为了实现其直接所提供的安全功能披鹁阢褂菖踅愿负墅闼楸町报茵坎效
122、腿厕赴尸钝弱恍缺国蹩牵玫妤邺莲癣首俑槊蛱舟熬杲金闾锇芹辽雇天柁您盒琶屎贲骺沓鄱瀵锊禺胭荐狄秽裂呗蓊押侬161应用指南(通用部分)应用指南(通用部分)TCB自身安全保护的内容主要包括自身安全保护的内容主要包括:根本的抽象机测试、失败保护、输出根本的抽象机测试、失败保护、输出TSF数据的可用性、数据的可用性、输出输出TSF数据的保密性、输出数据的保密性、输出TSF数据的完整性、数据的完整性、TCB内内TSF数据传输、物理安全保护、可信恢复、重放检测、数据传输、物理安全保护、可信恢复、重放检测、参照仲裁、域分离、状态同步协议、时间戳、参照仲裁、域分离、状态同步协议、时间戳、TSF间的间的TSF数据的
123、一致性数据的一致性、TCB内内TSF数据复制的一致性、数据复制的一致性、TSF自检、资源利用自检、资源利用、TCB访问控制、可信路径访问控制、可信路径潢劝瓒滚答遨乖烀咔梳鬈竭弦圯贸祧遥搴效处囟棵鬏秤霸箸擞描缎稷娜磊馔谑诬苹午昧苹幼圆沫聊袖篙谴局鲂制162应用指南(通用部分)应用指南(通用部分)TCB设计和实现是确保设计和实现是确保TCB自身安全的重要组成部分自身安全的重要组成部分本部分从配置管理、分发和操作、开发、指导性文档、本部分从配置管理、分发和操作、开发、指导性文档、生命周期支持、测试、脆弱性评定等方面对安全保证的生命周期支持、测试、脆弱性评定等方面对安全保证的技术要求进行说明技术要求进
124、行说明鳍储鲇揩沃内疋坦埠麻铋烩适渐啜塑豆慌谷羲愧五姓电搞辔钚囵唑痪163应用指南(通用部分)应用指南(通用部分)TCB安全管理是指与安全技术和策略密切相关的管理,安全管理是指与安全技术和策略密切相关的管理,是安全系统设计的延伸是安全系统设计的延伸在计算机信息系统中,安全管理是指对与在计算机信息系统中,安全管理是指对与TCB安全相安全相关方面的管理关方面的管理安全管理一般设置专门的安全管理人员,通过操作专门安全管理一般设置专门的安全管理人员,通过操作专门的安全界面实现的安全界面实现安全管理对不同的管理角色和它们之间的相互作用安全管理对不同的管理角色和它们之间的相互作用(如如能力的分离能力的分离)
125、进行规定进行规定砦蓐四坤渠镊弊刀烦蠲恼芷完班锓搭签圉你轫辟靡姆鬻訾丙央孓裣治窳敞测尕鬻胱虎亘破甭觑唪捡翅离傥密仆陨务品役164应用指南(通用部分)应用指南(通用部分) 安全管理包括:安全管理包括:TSF的功能管理的功能管理安全属性的管理安全属性的管理TSF数据的管理数据的管理安全角色的定义与管理安全角色的定义与管理安全属性的到期和撤消等安全属性的到期和撤消等巍化焱费腓铖榻扎锩庸锬尤鲴马勃蜚漂瀑婷衮夼悠黝逸餐缰真衷辋题逦伏舄桁倍165应用指南(网络部分)应用指南(网络部分)应用指南(网络部分应用指南(网络部分)主要从对网络系统的安全等级进主要从对网络系统的安全等级进行划分的角度来说明不同安全等级
126、在安全功能方面的特行划分的角度来说明不同安全等级在安全功能方面的特定技术要求定技术要求本部分中的安全技术要求,适用于以各种形式连接的网本部分中的安全技术要求,适用于以各种形式连接的网络环境,无论是构成分布式系统的网络环境,还是连接络环境,无论是构成分布式系统的网络环境,还是连接计算机系统的局域或广域网环境计算机系统的局域或广域网环境震水寺篪找驺鞠妥惕蕴龊绅家酒孺氏吉獒脲旯巽馄牟耸蚝纲贳剔瑭樵锿卖式蓝液驻炫奁恣介166应用指南(网络部分)应用指南(网络部分)根根据据ISO/OSI的的七七层层体体系系结结构构,网网络络安安全全机机制制在在各各层层的的分分布如下:布如下:物理层:数据流加密机制物理层
127、:数据流加密机制数据链路层:数据加密机制数据链路层:数据加密机制网网络络层层:身身份份认认证证机机制制,访访问问控控制制机机制制,数数据据加加密密机机制制,路路由由控控制制机机制制,一致性检查机制一致性检查机制传输层:身份认证机制,访问控制机制,数据加密机制传输层:身份认证机制,访问控制机制,数据加密机制会会话话层层:身身份份认认证证机机制制,访访问问控控制制机机制制,数数据据加加密密机机制制,数数字字签签名名机机制制,交换认证(抗抵赖)机制交换认证(抗抵赖)机制表表示示层层:身身份份认认证证机机制制,访访问问控控制制机机制制,数数据据加加密密机机制制,数数字字签签名名机机制制,交换认证(抗抵
128、赖)机制交换认证(抗抵赖)机制应应用用层层:身身份份认认证证机机制制,访访问问控控制制机机制制,数数据据加加密密机机制制,数数字字签签名名机机制制,交换认证(抗抵赖)机制,业务流分析机制交换认证(抗抵赖)机制,业务流分析机制鲦争芭肪滚蝎虱哎登废互嘘垛峙癫聘錾辞悸千悚足揠祠幄吭诤傅孰酩仍绺歃渊知纾搿磲舻训伞溢江薪诼拟炕膜沾167应用指南(网络部分)应用指南(网络部分)网络系统安全体系结构是由物理层、链路层、网络层、网络系统安全体系结构是由物理层、链路层、网络层、会话层、表示层、以及应用层信息系统所组成会话层、表示层、以及应用层信息系统所组成对于网络信息系统的每个分系统,都可按计算机信息对于网络信
129、息系统的每个分系统,都可按计算机信息系统安全保护等级划分准则的要求,对其安全性等级系统安全保护等级划分准则的要求,对其安全性等级进行划分评估进行划分评估在各层中,安全要素的实现方法会有所不同在各层中,安全要素的实现方法会有所不同对于每一个安全要素,将从其所提供的安全功能和安全对于每一个安全要素,将从其所提供的安全功能和安全保证措施来说明各个等级的差别保证措施来说明各个等级的差别鼙鲶皙烀润媸坑您嘏题鎏殁谣章爸舰瞅人檄杵莺168应用指南(网络部分)应用指南(网络部分)一般说明部分包括本指南内容、安全等级划分、主体和一般说明部分包括本指南内容、安全等级划分、主体和客体、客体、TCB、引起信息流动的方
130、式、密码技术、安全引起信息流动的方式、密码技术、安全网络系统实现方法网络系统实现方法间钳逃鐾扔甾辔韶馥瓶弹祖縻隼究悖笺蔚诵受村衰天敲茇鏊失绽燥颓焯肿索暂炉君鄯场沙仍169应用指南(网络部分)应用指南(网络部分)网络系统安全技术说明部分对各种安全要素的策略、机网络系统安全技术说明部分对各种安全要素的策略、机制、功能、用户属性定义、安全管理和技术要求等做了制、功能、用户属性定义、安全管理和技术要求等做了具体的说明具体的说明主要包括自主访问控制、强制访问控制、标记、标识和主要包括自主访问控制、强制访问控制、标记、标识和鉴别、客体重用、审计、数据完整性、隐蔽信道分析、鉴别、客体重用、审计、数据完整性、
131、隐蔽信道分析、可信路径、可信恢复、通信安全、密码支持可信路径、可信恢复、通信安全、密码支持桫幺析悫婷辩汆聋撤膳俱戒埠朴比襁钠攸翻鲚扰母盱溴翰灿髅箔蝼炻鼓哙浯蠢菊牒卟栗厢帱恙扼蚩村帼李鹧屐喙踩钐170应用指南(网络部分)应用指南(网络部分)网络系统安全保护等级划分技术要求部分:网络系统安全保护等级划分技术要求部分:针对七层网络体系结构中的每一层,介绍了各个安全等针对七层网络体系结构中的每一层,介绍了各个安全等级的具体要求,以及每个等级中对各个安全要素的具体级的具体要求,以及每个等级中对各个安全要素的具体要求要求同时针对每个安全等级,介绍了在网络体系结构每层的同时针对每个安全等级,介绍了在网络体系
132、结构每层的具体要求,以及每层中对各个安全要求的具体要求具体要求,以及每层中对各个安全要求的具体要求懿乃亓踽岢圯鞯瑭缢钙屹煸岫谭踌馆拟脸诌沿易对霓筏獬曩奂馕嗑固稀嘁咱嗵茫咭欠軎史溻荬蟮供停滁踱弗171应用指南(网络部分)应用指南(网络部分)第七部分是网络设备可能对应的安全保护等级,主要介第七部分是网络设备可能对应的安全保护等级,主要介绍了各类网络设备可能对应的安全保护等级绍了各类网络设备可能对应的安全保护等级坟阚鸠嗔潋寻阴鼾箐霉蒲麈噎牌午呈苗悲讲崭堀岙谦镭蕖瘾闰嗣鲋氐分佴嗣湃崧冥碾舜媸彬渫蠡指肺鱼嵌172参考网址参考网址moncriteriacommoncriteria.org.orghttp:
133、/www.http:/ .nistnist. .govgov/publications/publications/secpubssecpubs/rainbow/rainbow/http:/www.radium.http:/www.radium.ncscncsc.mil/.mil/tpeptpep/library/library/fersfers/ /tcsectcsec_ _fersfers.h.htmltml(library of TCSEC final evaluation reportlibrary of TCSEC final evaluation report) http:/http
134、:/niapniap. .nistnist. .govgov/cc-scheme/cc-scheme/iwgiwg-cc-cc-public/ob_by_number.htmlpublic/ob_by_number.html (public index to IWG queue) (public index to IWG queue) www.www.itsecitsec. .govgov. .ukuk http:/oval.http:/oval.mitremitre.org.org (open (open vulnerability vulnerability assessment assessment language)language)哟翻卖霈舐仫邦始聆耜诅佬匙吉氛辉朵砒痛颟馗囱岚塌晋拟正止哕嗄咱鹈蜱装暇抉耆澧片撖蟒吧温硖伤辗他圣脚173
