信息安全标准范文课件

《信息安全标准范文课件》由会员分享，可在线阅读，更多相关《信息安全标准范文课件（102页珍藏版）》请在金锄头文库上搜索。

1、信息安全标准信息安全标准中国信息安全产品测评认证中心（CNITSEC）CISP-信息安全标准（培训稿）主要内容主要内容信息安全基础标准信息安全评估标准发展史通用评估准则（CC）PP和ST产生指南标准化基础标准化基础标准：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为基础，经有关方面协商一致，由主管部门批准，以特定的方式发布，作为共同遵守的准则和依据。强制性标准：保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。我国标准分四级：国家标准、行业标准、地方标准、企业标准。国家标准：对需要在全国范围内统一的技术要求(含标准样品的制作）

2、。GB/TXXXX.X-200XGBXXXX-200X行业标准：没有国家标准，需要在全国某个行业范围内统一的技术要求。GA,SJ地方标准：没有国家标准、行业标准而又需要在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求。 DBXX/T XXX-200X DBXX/XXX-200X企业标准：对企业范围内需要统一的技术要求、管理要求和工作要求。QXXX-XXX-200X标准化基础标准化基础标准化基础标准化基础标准化：为在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动实质：通过制定、发布和实施标准，达到统一。目的：获得最佳秩序和社会效益。标准化基础标准化基础标准

3、化三维空间标准化三维空间国际级区域级国家级行业级地方级企业级人员服务系统产品过程管理应用技术机制体系、框架术语XYZX轴代表标准化对象，Y轴代表标准化的内容，Z轴代表标准化的级别。标准化基础标准化基础我国通行我国通行“标准化八字原理标准化八字原理”：“统一”原理“简化”原理“协调”原理“最优”化原理我国标准工作归口单位我国标准工作归口单位2001年10月11日成立国家标准化委员会信息技术标准委员会数据加密技术标准委员会2002年4月15日成立信息安全技术标准委员会标准化基础标准化基础采标：等等同同采采用用idtidt（identicalidentical）：指技术内容相同，没有或仅有编辑性修改

4、，编写方法完全相对应；修修改改采采用用MODMOD（modifiedmodified）：与国际标准之间存在技术性差异，有编辑性修改，可能不采用部分条款非非等等效效采采用用NEQNEQ（not not equivalentequivalent）：指技术内容有重大差异，只表示与国际标准有关。IT标准化标准化IT标准发展趋势(1)标准逐步从技术驱动向市场驱动方向发展。(2)信息技术标准化机构由分散走向联合。(3)信息技术标准化的内容更加广泛，重点更加突出，从IT技术领域向社会各个领域渗透，涉及教育、文化、医疗、交通、商务等广泛领域，需求大量增加。(4)从技术角度看，IT标准化的重点将放在网络接口、软

5、件接口、信息格式、安全等方面，并向着以技术中立为前提，保证互操作为目的方向发展。信息安全标准化组织信息安全标准化组织ISOJTC1 SC27，信息技术-安全技术ISO/TC 68 银行和有关的金融服务SC2，安全管理和通用银行运作；SC4，安全及相关金融工具；SC6，零售金融服务。JTC1其他分技术委员会：SC6系统间通信与信息交换，主要开发开放系统互连下四层安全模型和安全协议，如ISO 9160、ISO/IEC 11557。SC17识别卡和有关设备，主要开发与识别卡有关的安全标准ISO 7816SC18文件处理及有关通信，主要开发电子邮件、消息处理系统等。SC21开放系统互连，数据管理和开放

6、式分布处理，主要开发开放系统互连安全体系结构，各种安全框架，高层安全模型等标准，如:ISO/IEC 7498-2、ISO/IEC 9594-1至8。SC22程序语言，其环境及系统软件接口，也开发相应的安全标准。SC30开放式电子数据交换，主要开发电子数据交换的有关安全标准。如ISO 9735-9 、 ISO 9735-10。信息安全标准化组织（续）IECTC56 可靠性；TC74 IT设备安全和功效；TC77 电磁兼容；CISPR 无线电干扰特别委员会ITU前身是CCITT消息处理系统目录系统(X.400系列、X.500系列)安全框架安全模型等标准信息安全标准化组织（续）IETF（170多个R

7、FC、12个工作组）1.PGP开发规范(openpgp)；2.鉴别防火墙遍历(aft)；3.通用鉴别技术(cat) ；4.域名服务系统安全(dnssec)；5.IP安全协议(ipsec)；6.一次性口令鉴别(otp)；7.X.509公钥基础设施(pkix)；8.S/MIME邮件安全(smime)；9.安全Shell (secsh)；10.简单公钥基础设施(spki)；11.传输层安全(tls)12.Web处理安全 (wts)信息安全标准化组织（续）信息安全标准化组织（续）美国ANSINCITS-T4 制定IT安全技术标准X9 制定金融业务标准X12 制定商业交易标准NIST负责联邦政府非密敏感

8、信息FIPS-197DOD负责涉密信息NSA国防部指令（DODDI）（如TCSEC）信息安全标准化组织（续）信息安全标准化组织（续）IEEESILS（LAN/WAN）安全P1363公钥密码标准ECMA(欧洲计算机厂商协会)TC32“通信、网络和系统互连”曾定义了开放系统应用层安全结构；TC36“IT安全”负责信息技术设备的安全标准。信息安全标准化组织（续）信息安全标准化组织（续）英国BS7799医疗卫生信息系统安全加拿大计算机安全管理日本JIS 国家标准JISC 工业协会标准韩国KISA负责防火墙、IDS、PKI方面标准信息安全标准化组织（续）信息安全标准化组织（续）我国共38个标准4个产品标

9、准其他工业标准SSLSETCDSAPGPPCT例题例题标准采用中的“idt”指的是？A.等效采用B.等同采用C.修改采用D.非等效采用著名的TCSEC是由下面哪个组织制定的？A.ISOB.IECC.CNITSECD.美国国防部 2.信息安全基础标准信息安全基础标准词汇安全体系结构安全框架安全模型GB/T5271.8-2000信息技术词汇第8部分：安全GB/T9387.2-1995开放系统互连基本参考模型第2部分：安全体系结构ISO/IEC10181-17开放系统的安全框架GB/T17965高层安全模型GB/T18231低层安全模型ISO/IEC15443-1IT安全保障框架IATF信息保障技术

10、框架ISO/IEC11586-16通用高层安全网络层安全GJB2256-1994军用计算机安全术语RFC2401因特网安全体系结构ISO/IEC7498-4管理框架传输层安全基于基于OSI七层协议的七层协议的安全体系结构安全体系结构OSI 参考模型7 应用层6 表示层5 会话层4 传输层3 网络层2 链路层1 物理层安全机制公 证路由选择控制通信业务填充鉴别交换数据完整性访问控制数字签名加 密安全服务鉴别服务访问控制数据完整性数据机密性抗抵赖五种安全服务五种安全服务鉴别：鉴别：提供对通信中的对等实体和数据来源的鉴别。访问控制：访问控制：提供保护以对抗开放系统互连可访问资源的非授权使用。可应用于

11、对资源的各种不同类型的访问（例如，使用通信资源，读、写或删除信息资源，处理资源的操作），或应用于对某种资源的所有访问数据机密性：数据机密性：对数据提供保护使之不被非授权地泄露数据完整性数据完整性：对付主动威胁。在一次连接上，连接开始时使用对某实体鉴别服务，并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证，为这些数据单元的完整性提供确证。抗抵赖抗抵赖：可取有数据原发证明的抗抵赖、有交付证明的抗抵赖两种形式，或两者之一。与网络各层相关的与网络各层相关的OSI安全服务安全服务安全服务1234567对等实体鉴别数据源鉴别访问控制服务连接机密性无连接机密性选择字

12、段机密性流量机密性有恢复功能的连接完整性无恢复功能的连接完整性选择字段连接完整性无连接完整性选择字段非连接完整性源发方抗抵赖接收方抗抵赖YYYYYYYYYYYYYYYYYYYYYYY YYYYYYYYYYYYYYOSI安全服务和安全安全服务和安全机制之间的关系机制之间的关系安全服务安全服务加加密密数字数字签名签名访问访问控制控制数据数据完整完整鉴别鉴别交换交换业务业务填塞填塞路由路由控制控制公公证证对等实体鉴别数据源鉴别访问控制服务连接机密性无连接机密性选择字段机密性流量机密性有恢复功能的连接完整性无恢复功能的连接完整性选择字段连接完整性无连接完整性选择字段非连接完整性源发方抗抵赖接收方抗抵赖

13、Y YY YY YY YY YY YY YY YY YY YY YY YY YY YY YY Y Y Y Y Y Y YY YY YY YY YY Y Y Y Y Y Y Y Y YY YY Y Y Y Y Y OSI参考模型与参考模型与TCP/IP的对应关系的对应关系OSI参考模型TCP/IP协议集模型应用层表示层应用层会话层传输层传输层网络层互联网层数据链路层物理层网络接口层3.信息安全评测标准发展信息安全评测标准发展1999年 GB 17859 计算机信息系统安全保护等级划分准则1991年欧洲信息技术安全性评估准则（ITSEC）国际通用准则1996年（CC1.0）1998年（CC2.0）

14、1985年美国可信计算机系统评估准则（TCSEC）1993年 加拿大可信计算机产品评估准则（CTCPEC）1993年美国联邦准则（FC 1.0）1999年 国际标准ISO/IEC 154081989年英国可信级别标准（MEMO3DTI）德国评估标准（ZSEIC）法国评估标准（B-W-R BOOK）2001年 国家标准GB/T 18336 信息技术安全性评估准则1993年美国NIST的MSFR美国TCSECh1970年由美国国防科学委员会提出。年由美国国防科学委员会提出。1985年公布。年公布。h主要为军用标准。延用至民用。主要为军用标准。延用至民用。h安全级别从高到低分为安全级别从高到低分为A

15、、B、C、D四级，级下再分小级。四级，级下再分小级。h彩虹系列彩虹系列桔皮书：可信计算机系统评估准则桔皮书：可信计算机系统评估准则黄皮书：桔皮书的应用指南黄皮书：桔皮书的应用指南红皮书：可信网络解释红皮书：可信网络解释紫皮书：可信数据库解释紫皮书：可信数据库解释美国TCSECqD:最小保护MinimalProtectionqC1:自主安全保护DiscretionarySecurityProtectionqC2:访问控制保护ControlledAccessProtectionqB1:安全标签保护LabeledSecurityProtectionqB2:结构化保护StructuredProtect

16、ionqB3:安全域保护SecurityDomainqA1:验证设计保护VerifiedDesign低保证系统高保证系统主要依据之间的关系主要依据之间的关系可信设备指南安全特性用户手册测试文档.设计文档.自主访问控制强制访问控制标签客体重用安全政策标识和鉴别审计可信路径可控性系统体系可信设备系统完整性管理系统测试可信恢复设计说明验证配置隐蔽信道分析管理保证确保支持文档操作者/管理员用户开发者/维护者 安全政策：确定选择哪些控制措施，安全政策：确定选择哪些控制措施， 可控性：提出安全机制以确定系统人员并跟踪其行动。可控性：提出安全机制以确定系统人员并跟踪其行动。 保证能力：给安全政策及可控性的实

17、现提供保证。保证能力：给安全政策及可控性的实现提供保证。 文档：存在哪些文档。文档：存在哪些文档。各级别的特征各级别的特征安全政策C1 C2 B1 B2 B3 A1自主访问控制自主访问控制 + + nc nc + nc客体重用客体重用 0 + nc nc nc nc标签标签 0 0 + + nc nc标签完整性标签完整性 0 0 + nc nc nc标签信息的输出标签信息的输出 0 0 + nc nc nc标签输出标签输出 0 0 + nc nc nc强制访问控制强制访问控制 0 0 + + nc nc主体敏感性标签主体敏感性标签 0 0 0 + nc nc设计标签设计标签 0 0 0 + n

18、c nc可控性可控性鉴别鉴别 + + + nc nc nc审计审计 0 + + + + nc可信路径可信路径 0 0 0 + + nc保证措施保证措施 C1 C2 B1 B2 B3 A1系统体系+nc系统完整性+ncncncncnc系统测试+设计说明和验证 00+隐蔽信道分析000+可信设备管理000+nc配置管理000+nc+可信恢复0000+nc可信分发00000+文档文档 C1 C2 B1 B2 B3 A1安全特性用户指南+ncncncncnc可信设备手册+nc测试文档+ncnc+nc+设计文档+nc+C1: 自主安全保护自主安全保护本级的计算机信息系统可信计算基通过隔离用户与数据，使用

19、户具备自主安全保护的能力。本级实施的是自主访问控制。即通过可信计算基定义系统中的用户和命名用户多命名客体的访问，并允许用户以自己的身份或用户组的身份指定并控制对客体的访问。这意味着系统用户或用户组可以通过可信计算基自主地定义对客体的访问权限。从用户的角度来看，用户自主保护级的责任只有一个，即为用户提供身份鉴别。可以包括穿透性测试C2: 访问控制保护访问控制保护与用户自主保护级相比，本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。本级实施的是自主访问控制和客体的安全重用身份鉴别方面，比用户自主保护级增加两点：为用户

20、提供唯一标识，使用户对自己的行为负责。为支持安全审计功能，具有将身份标识与用户所有可审计的行为相关联的能力。安全审计方面，可信计算基能够创建、维护对其所保护客体的访问审计记录，B1: 安全标签保护安全标签保护提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；安全标签，具有准确地标记输出信息的能力；本级的主要特征是可信计算基实施基于BellLaPadula模型的强制访问控制。分析和测试设计文档、源代码、客体代码消除通过测试发现的任何错误。B2: 结构化保护结构化保护形式化安全策略模型访问控制（自主的和强制的）扩展到所有主体和客体隐蔽信道分析可信计算基构造成为关键保护元素和非

21、关键保护元素通过提供可信路径来增强鉴别机制。计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审增强了配置管理控制。系统具有相当的抗渗透能力。分开系统管理员和操作员的职能，提供可信实施管理B3: 安全域保护安全域保护在可信计算基的构造方面，具有访问监控器（referencemonitor）计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码；扩充审计机制，当发生与安全相关的事件时发出信号提供系统恢复机制。系统具有很高的抗渗透能力。A1: 验证设计保护验证设计保护功能上与B3级相同要求形式化验证设计：1.形式化模型2.形式化高层设计

22、3.实现TCSEC的缺陷的缺陷集中考虑数据机密性，而忽略了数据完整性、系统可用性等；将安全功能和安全保证混在一起安全功能规定得过为严格，不便于实际开发和测评a欧洲多国安全评价方法的综合产物，军用，政府用和商用。欧洲多国安全评价方法的综合产物，军用，政府用和商用。a以超越以超越TCSEC为目的，将安全概念分为功能与功能评估两部分。为目的，将安全概念分为功能与功能评估两部分。a功能准则在测定上分功能准则在测定上分10级。级。15级对应于级对应于TCSEC的的C1到到B3。610级加上了以下概念：级加上了以下概念：F-IN：数据和程序的完整性F-AV：系统可用性F-DI：数据通信完整性F-DC：数据

23、通信保密性F-DX包括机密性和完整性的网络安全a评估准则分为评估准则分为6级：级： E1：测试E2：配置控制和可控的分配E3：能访问详细设计和源码E4：详细的脆弱性分析E5：设计与源码明显对应E6：设计与源码在形式上一致。 欧洲欧洲ITSEC与与TCSEC的不同的不同安全被定义为机密性、完整性、可用性功能和质量/保证分开对产品和系统的评估都适用，提出评估对象（TOE）的概念产品：能够被集成在不同系统中的软件或硬件包；系统：具有一定用途、处于给定操作环境的特殊安全装置功能评估功能评估1预先定义的功能级预先定义的功能级I T S E C 保保 证证T C S E C分分 级级E0DF-C1E1C1

24、FC2E2C2FB1E3B1FB2E4B2FB3E5B3FB3E6A1 加拿大加拿大CTCPECa1989年公布，专为政府需求而设计年公布，专为政府需求而设计a与与ITSEC类似，将安全分为功能性需求和保证性类似，将安全分为功能性需求和保证性需要两部分。需要两部分。a功能性要求分为四个大类：功能性要求分为四个大类： a 机密性机密性 b 完整性完整性 c 可用性可用性 d 可控性可控性a在每种安全需求下又分成很多小类，表示安全性在每种安全需求下又分成很多小类，表示安全性上的差别，分级条数为上的差别，分级条数为05级。级。早期评估准则（续） 美国联邦准则美国联邦准则(FC) a对TCSEC的升级

25、1992年12月公布a引入了“保护轮廓（PP）”这一重要概念a每个轮廓都包括功能部分、开发保证部分和评测部分。a分级方式与TCSEC不同，吸取了ITSEC、CTCPEC中的优点。a供美国政府用、民用和商用。早期评估准则（续）GB 17859-1999 计算机信息计算机信息 系统安全等级划分准则系统安全等级划分准则第一级第一级第一级第一级 用户自主保护级用户自主保护级用户自主保护级用户自主保护级 第二级第二级第二级第二级 系统审计保护级系统审计保护级系统审计保护级系统审计保护级 第三级第三级第三级第三级 安全标记保护级安全标记保护级安全标记保护级安全标记保护级 第四级第四级第四级第四级 结构化保

26、护级结构化保护级结构化保护级结构化保护级 第五级第五级第五级第五级 访问验证保护级访问验证保护级访问验证保护级访问验证保护级 4.通用准则（CC ）国际标准化组织统一现有多种准则的努力结果；1993年开始，1996年出V1.0,1998年出V2.0，1999年6月正式成为国际标准，1999年12月ISO出版发行ISO/IEC15408；主要思想和框架取自ITSEC和FC；充分突出“保护轮廓”，将评估过程分“功能”和“保证”两部分；是目前最全面的评价准则 通用准则（通用准则（CC）（）（续）续）国际上认同的表达IT安全的体系结构结构一组规则集一组规则集一种评估方法，其评估结果国际互认通用测试方法

27、（CEM）已有安全准则的总结和兼容通用的表达方式表达方式，便于理解灵活的架构可以定义自己的要求扩展CC要求准则今后发展的框架评估上下文评估上下文CC的结构以及目标读者的结构以及目标读者本标准定义作为评估信息技术产品和系统安全特性的基础准则不包括属于行政性管理安全措施的评估准则；不包括物理安全方面（诸如电磁辐射控制）的评估准则；不包括密码算法固有质量评价准则应用范围关键概念关键概念评估对象TOE(TargetofEvaluation)保护轮廓PP(ProtectionProfile）安全目标ST(SecurityTarget）功能(Function)保证(Assurance)组件(Compone

28、nt)包(Package)评估保证级EAL(EvaluationAssuranceLevel）评估对象（评估对象（TOE）产品、系统、子系统保护轮保护轮 廓（廓（PP）表达一类产品或系统的用户需求组合安全功能要求和安全保证要求技术与需求之间的内在完备性提高安全保护的针对性、有效性安全标准有助于以后的兼容性同TCSEC级类似PP的内容的内容安全目标（安全目标（ST）IT安全目的和要求要求的具体实现实用方案适用于产品和系统与ITSECST类似ST的的内内容容功能功能/保证结构保证结构类（如用户数据保护FDP）关注共同的安全焦点的一组族，覆盖不同的安全目的范围子类（如访问控制FDP_ACC）共享安全

29、目的的一组组件，侧重点和严格性不同组件（如子集访问控制FDP_ACC.1)包含在PP/ST/包中的最小可选安全要求集组件组件CC将传统的安全要求分成不能再分的构件块用户/开发者可以组织这些要求到PP中到ST中组件可以进一步细化举例：类子类组件举例：类子类组件FIA标识和鉴别FIA_AFL鉴别失败FIA_ATD用户属性定义FIA_SOS秘密的规范 类类类类子类子类子类子类组件组件组件组件FIA_AFL.1鉴别失败处理FIA_ATD.1用户属性定义FIA_SOS.1秘密的验证FIA_SOS.2秘密的TSF生成功能功能规范IT产品和系统的安全行为，应做的事安全功能要求类安全功能要求类11类 135个

30、组件保保 证证对功能产生信心的方法安全保证要求APE类 - 保护轮廓的评估准则ASE类 - 安全目标的评估准则用于TOE的七个安全保证要求类TOE安全保证类安全保证类包包IT安全目的和要求功能或保证要求（如EAL）适用于产品和系统与ITSECE-级类似评估保证级（评估保证级（EAL）预定义的保证包公认的广泛适用的一组保证要求CC 第一部分第一部分概念和模型安全概念和关系安全概念和关系所有者威胁主体资产措施弱点风险威胁拥有引起到希望滥用最小化增加到利用导致减少可能具有可能被减少利用可能意识到评估环境评估环境评估准则评估方法最终评估结果评估方案评估批准/证明证书/注册评估评估 保保 证级（证级（E

31、AL）EAL1功能测试EAL2结构测试EAL3系统地测试和检查EAL4系统地设计、测试和复查EAL5半形式化设计和测试EAL6半形式化验证的设计和测试EAL7形式化验证的设计和测试评估保证级别（评估保证级别（EAL）EAL1功能测试功能测试EAL1适用于安全的威胁并不严重的场合TOE的功能与其文档在形式上是一致的，并且对已标识的威胁提供了有效的保护。利用功能和接口的规范以及指导性文档，对安全功能进行分析，进行独立性测试保证组件：ACM_CAP.1版本号ADO_IGS.1安装、生成和启动程序ADV_FSP.1非形式化功能规范ADV_RCR.1非形式化对应性论证AGD_ADM.1管理员指南AGD_

32、USR.1用户指南ATE_IND.1一致性EAL2结构测试结构测试EAL2适用于在缺乏现成可用的完整的开发记录时，开发者或使用者需要一种低到中等级别的独立保证的安全性。增加：ACM_CAP.2配置项ADO_DEL.1交付程序ADV_HLD.1描述性高层设计*ATE_COV.1范围证据ATE_FUN.1功能测试ATE_IND.2独立性测试抽样AVA_SOF.1TOE安全功能强度评估*AVA_VLA.1开发者脆弱性分析*安全保证级别安全保证级别2(EAL2)EAL3系统地测试和检查系统地测试和检查EAL3适用于开发者或使用者需要一个中等级别的安全性，和不需要再次进行真正的工程实践的情况下，对TOE

33、及其开发过程进行彻底检查。增加组件：ACM_CAP.3授权控制ACM_SCP.1TOE配置管理（CM）范围ADV_HLD.2安全加强的高层设计*ALC_DVS.1安全措施标识*ATE_COV.2范围分析ATE_DPT.1测试：高层设计AVA_MSU.1指南审查安全保证级别3(EAL3)EAL4系统地设计、测试和复查系统地设计、测试和复查EAL4适用于：开发者或使用者对传统的商品化的TOE需要一个中等到高等级别的安全性，并准备负担额外的安全专用工程费用。增加组件：ACM_AUT.1部分配置管理（CM）自动化ACM_CAP.4产生支持和接受程序ACM_SCP.2跟踪配置管理（CM）范围问题ADO_

34、DEL.2修改检测ADV_FSP.2完全定义的外部接口*ADV_IMP.1TSF实现的子集*ADV_LLD.1描述性低层设计*ALC_LCD.1开发者定义的生命周期模型ALC_TAT.1明确定义的开发工具AVA_MSU.2分析确认AVA_VLA.2独立脆弱性分析*(穿透性测试）安全保证级别安全保证级别4(EAL4)EAL5半形式化设计和测试半形式化设计和测试TOE安全策略的形式化模型，功能规范和高层设计的半形式化表示，及它们之间对应性的半形式化论证。还需模块化的TOE设计。这种分析也包括对开发者的隐蔽信道分析的确认这种分析也包括对开发者的隐蔽信道分析的确认 增加组件：ACM_SCP.3开发工具

35、配置管理（CM）范围ADV_FSP.3半形式化功能规范*ADV_HLD.3半形式化高层设计*ADV_IMP.2TSF实现ADV_INT.1模块化*ADV_RCR.2半形式化对应性论证*ADV_SPM.3形式化TOE安全策略模型ALC_LCD.2标准化生命周期模型*ALC_TAT.2遵从实现标准ATE_DPT.2测试：低层设计*AVA_CCA.1隐蔽信道分析*AVA_VLA.3中级抵抗力安全保证级别5(EAL5)EAL6半形式化验证的设计和测试半形式化验证的设计和测试低层设计的半形式化表示结构化的开发流程增加组件：ACM_AUT.2完全配置管理（CM）自动化ACM_CAP.5高级支持ADV_HL

36、D.4半形式化高层解释ADV_IMP.3TSF的结构化实现ADV_INT.2复杂性降低ADV_LLD.2半形式化低层设计ALC_DVS.2安全措施的充分性ALC_TAT.3遵从实现标准所有部分ATE_COV.3范围的严格分析ATE_FUN.2顺序的功能测试AVA_CCA.2系统化隐蔽信道分析AVA_MSU.3对非安全状态的分析和测试AVA_VLA.4高级抵抗力安全保证级别6(EAL6)EAL7形式化验证的设计和测试形式化验证的设计和测试EAL7的实际应用目前只局限于一些TOE，这些TOE非常关注能经受广泛地形式化分析的安全功能功能规范和高层设计的形式化表示增加组件：ADO_DEL.3修改预防A

37、DV_FSP.4形式化功能规范ADV_HLD.5形式化高层设计ADV_INT.3复杂性最小化ADV_RCR.3形式化对应性论证ALC_LCD.3可测量的生命周期模型ATE_DPT.3测试：实现表示ATE_IND.3独立性测试全部安全保证级别7(EAL7)形式化形式化有三种类型的规范风格：非形式化、半形式化和形式化。功能规范、高层设计、低层设计和TSP模型都将使用以上一种或多种规范风格来书写。非形式化规范就是象散文一样用自然语言来书写。半形式化规范就是用一种受限制的句法语言来书写，并且通常伴随着支持性的解释(非形式化)语句。这里的受限制句法语言可以是一种带有受限制句子结构和具有特殊意义的关键字的

38、自然语言，也可以是图表式的(如数据流图、状态转换图、实体关系图、数据结构图、流程或程序结构图)。形式化规范就是用一套基于明确定义的数学概念的符号来书写，并且通常伴随着支持性的解释(非形式化)语句。评测级别对应保证保证保证保证功功功功能能能能 EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 E0 E1 E2 E3 E4 E5 E6 E0 E1 E2 E3 E4 E5 E6D D级级级级C1C1级级级级C2C2级级级级B1B1级级级级B2B2级级级级B3B3级级级级A1A1级级级级F-C1F-C1级级级级F

39、-C2F-C2级级级级F-B1F-B1级级级级F-B2F-B2级级级级F-B3F-B3级级级级HP-UNIX(VV)HP-UNIX(VV)Win nt 3.5Win nt 3.5Win nt 4.0Win nt 4.0Win 2000Win 2000各部分关系子类C1C2C3Cn功能功能(CC PART 2)保证保证 (CC PART 3)FamilyC1C2C3CnFamilyC1C2C3Cn子类C1C2C3Cn子类C1C2C3Cn子类C1C2C3Cn功能类功能类保证类保证类功能包为构建PP或ST而选取的一组可重复使用的功能要求评估保证级1评估保证级2评估保证级3评估保证级n保护轮廓保护轮廓

40、包括一个CC评估保证级的一组可重复使用且完备的安全要求。安全目标安全目标包括一个CC评估保证级的描述TOE的一组完备要求。可包括保护轮廓、要求和/或其他非CC要求。选择性扩充（非CC）安全要求4. PP/ST产生指南产生指南为既定的一系列安全对象提出功能和保证要求的完备集合可复用集合-对各种应用的抽象希望和要求的陈述PP定义定义什么是什么是PP？用户要求陈述用户希望达到什么程度主要针对:业务/商业拥有者对用户、开发者、评估者和审计者都有用系统设计文档将几级要求细化成特定的需求一致性需求符合用户的要求谁用谁用PP？PP是用户要求的根本陈述理想的“使用”团体应当拥有PP并驱动PP的开发从开发者、评

41、估者、审计者和校准者那里得到输入用户理解任务/商业并能陈述希望怎样的评估对象（TOE）不希望怎样的TOE其他卖主难于陈述产品不做什么安全技术专家常常不能完全理解用户要求PP要点要点范围范围：PP的适用范围引用标准引用标准：与TOE实现相关的其他信息技术标准术语定义和记法约定术语定义和记法约定：一些便于理解PP的术语和PP中相关记法的约定TOE描述描述：TOE的一般信息TOE类型一般TOE功能TOE界限TOE操作环境有关TOE的主要假设PP要点（续）要点（续）TOE安全环境：定义定义TOE “安全需求安全需求”的特征和范围的特征和范围假设：如果环境满足该假定，TOE被认为是安全的威胁：包括TOE

42、及其环境需要保护的特定资产所面临的与TOE安全操作相关的威胁组织安全策略：TOE必须遵守的任何组织安全策略和规则PP要点（续）要点（续）有关环境的假设对资产的威胁组织安全策略安全需求定义TOE安全环境环境安全目的TOE安全目的安全目的安全目的：意在对抗确定的威胁，满足确定的组织安全策略和假定的陈述PP要点（续）要点（续）在确定安全目的时，需要确保每个已知的威胁，至少有一个安全目的对抗；每个已知的组织安全策略，至少有一个安全目的来满足。在对抗威胁方面主要有预防、检测和纠正三种目的。威胁组织安全策略假设安全需求TOEIT环境非IT安全要求TOE目的环境目的安全目的安全目的IT安全要求安全目的桥梁作

43、用IT安全要求TOE安全要求IT环境安全要求TOE安全功能要求TOE安全保证要求PP要点（续）要点（续）安全功能要求安全保证要求IT环境安全要求TOE安全目的IT环境安全目的ISO/IEC15408第二部分ISO/IEC15408第三部分IT安全要求赋值、反复、选择和细化PP要点（续）要点（续）PP应用注解应用注解：对开发、评估或使用TOE是相关的或有用的一些附加信息基本原理基本原理：对PP进行评估的依据，证明PP是一个完整的、紧密结合的要求集合，满足该PP的TOE将在安全环境内提供一组有效的IT安全对策安全目的基本原理安全要求基本原理威胁组织安全策略假设安全需求IT安全要求TOE目的环境的目的安全目的相互支持支持支持恰好满足恰好满足恰好满足恰好满足功能强度声明一致一致基本原理PP示例示例CAPP代替TCSEC的C2级要求LSPP代替TCSEC的B1级要求“包过滤防火墙安全技术要求”（GB18019-99）“应用级防火墙安全技术要求”（GB18020-99）“路由器安全技术要求”（GB18018-99）“电信智能卡安全技术要求”“网上证券委托系统安全技术要求”问题？问题？