[精选]信息安全标准概述.pptx

《[精选]信息安全标准概述.pptx》由会员分享，可在线阅读，更多相关《[精选]信息安全标准概述.pptx（96页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第14讲讲 信息安全标准二信息安全标准二副教授徐国爱信息安全评估标准我国信息安全测评认证概述TCSECCCGB17859本讲提纲测评认证相关概念测评认证相关概念信息安全测评依据标准依据标准对信息技术产品、系统、效劳提供商和人产品、系统、效劳提供商和人员员进行测试与评估测试与评估，检验其是否符合测评的标准信息安全测评是检验/测试活动信息安全认证对信息技术领域内产品、系统、效劳提供商和人员的资质、能力符合标准及安全标准要求的一种确认活动，即检验评估过程是否正确，并保证评估结果的正确性和权威性。信息安全认证是质量认证活动，更确切地说是产品认证活动。两者关系信息安全测评为信息安全认证提供必要的技术依

2、据。产品认证访问控制产品防火墙/路由器/代理效劳器/网关鉴别产品安全审计产品安全管理产品数据完整性产品数字签名产品抗抵赖产品商用密码产品须由国家商用密码管理办公室授权防信息干扰、泄漏产品操作系统安全类产品数据库安全类产品系统安全测评信息系统的安全测评，是由具有检验技术能力和政府授权资格的权威机构，依据国家标准、行业标准、地方标准或相关技术标准，按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动。系统安全测评旨在为以前没有安全保障或安全保障体系不完善的系统网络提供改进效劳，从而降低系统的安全风险组织认证：对提供信息安全效劳的组织和单位资质进行评估和认证，即效劳资质认证个人认证：

3、对信息安全专业人员的资质进行评估和认证，即人员资质认证我国信息安全测评认证体系组织结构我国信息安全测评认证体系组织结构于1997年启动，到1998年底，正式建立我国的信息安全测评认证体系，由三局部组成国家信息安全测评认证管理会中国信息安全产品测评认证中心授权测评机构国家信息安全测评认证管理国家信息安全测评认证管理 会会国家信息安全测评认证管理会是认证中心的监管机构。组成：由与信息安全相关的管理部门、使用部门、学术界和生产厂商四方面的代表组成主要职责：确定测评认证中心的开展策略，推动中心检测认证的标准研究和准则使用，对测评认证工作的公正性、科学性进行监督。管理会下设专家会和投诉、申诉会。中国信息

4、安全产品测评认证中心中国信息安全产品测评认证中心中国信息安全产品测评认证中心中国信息安全产品测评认证中心CNITSEC：是经中央批准的、由国家质量监督检验检疫总局授权成立的、代表国家实施信息安全测评认证的职能机构。对国内外信息安全设备和信息技术产品进行安全性检验与测试；对国内信息工程和信息系统进行安全性评估与安全质量体系认证；对在中国境内销售、使用的信息技术产品和安全设备进行安全性认证；提供与信息安全有关的信息效劳、技术效劳及人员培训；与国际上相应的测评认证机构联系与交流。国家认可委（CNAB）认可国家信息安全测评认证管理委员会中国信息安全产品测评认证中心授权测评机构测评认证申请者实验室认可委

5、（CNAL）认可授权监督测评报告认证申请测评认证报告测评申请信息安全测评认证过程图示相关测评标准相关测评标准GB17859-1999计算机信息系统安全保护等级划分准则GB/T18336-2001信息技术安全技术信息技术安全性评估准则GB/T19716-2005信息技术信息安全管理实用规则GB/T20271-2006信息系统通用安全技术要求GB/T20269-2006信息系统安全管理要求GB/T20282-2006信息系统安全工程管理要求DB31/T272-2002计算机信息系统安全测评通用技术标准测评认证相关技术测评认证相关技术渗透性测试渗透性测试：对测试目标进行脆弱性分析，探知产品或系统安全

6、脆弱性的存在，其主要目的是确定测试目标能够抵抗具有不同等级攻击潜能的攻击者发起的渗透性攻击。因此，渗透性测试就是在测试目标预期使用环境下进行的测试，以确定测试目标中潜在的脆弱性的可利用程度。系统漏洞扫描系统漏洞扫描：主要是利用扫描工具对系统进行自动检查，根据漏洞库的描述对系统进行模拟攻击测试，如果系统被成功入侵，说明存在漏洞。主要分为网络漏洞扫描和主机漏洞扫描等方式。我国信息安全测评认证概述信息安全评估标准的开展本讲提纲信息安全评估标准的开展信息安全评估标准的开展1985年可信计算机系统评估准则TCSEC1993年加拿大可信计算机产品评估准则CTCPEC1993年联邦政府评估准则FC1991年

7、欧洲信息技术安全评估准则ITSEC国际通用准则1996年，CC1.01998年，CC2.01999年，CC2.11999年CC成为国际标准，2005年更新ISO/IEC154082001年中国国家标准GB/T183362008年更新等同采用CC1999年GB17859计算机信息系统安全保护等级划分准则可信计算机系统评估准则可信计算机系统评估准则TCSEC可信计算机系统评估准则TCSEC简介信息安全技术的里程碑1985年作为国防部标准DoD发布DoD5200.28-STD主要为用标准，延用为民用主要针对主机型分时操作系统，主要关注保密性安全级别主要按功能分类安全级别从高到低分别为A、B、C、D四

8、级，级下再分小级，包含D、C1、C2、B1、B2、B3、A1这七个级别。后开展为彩虹系列彩虹系列桔皮书：可信计算机系统评估准则黄皮书：桔皮书的应用指南红皮书：可信网络解释紫皮书：可信数据库解释TCSEC安全级别pA1：验证设计保护：验证设计保护 Verified Design ProtectionpB3：安全区域保护：安全区域保护 Security Domain ProtectionpB2：结构化保护：结构化保护 Structured ProtectionpB1：标记安全保护：标记安全保护 Labeled Security ProtectionpC2：受控访问保护：受控访问保护 Control

9、led Access ProtectionpC1：自主安全保护：自主安全保护 Discretionary Security ProtectionpD：低级保护低级保护 Minimal Protection高保证系统高保证系统低保证系统低保证系统等级分类等级分类保护等级保护等级D类：最低保护等级D级：无保护级C类：自主保护级C1级：自主安全保护级C2级：受控访问保护级B类：强制保护级B1级：标记安全保护级B2级：机构化保护级B3级：安全区域保护级A类：验证保护级A1级：验证设计级 D D类保护等级类保护等级D类是最低保护等级，即无保护级 为那些经过评估，但不满足较高评估等级要求的系统设计的，只具

10、有一个级别 该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处理敏感信息C类保护等级类保护等级C类为自主保护级具有一定的保护能力，采用的措施是自主访问控制和审计跟踪 一般只适用于具有一定等级的多用户环境具有对主体责任及其动作审计的能力C类分为两个级别自主安全保护级自主安全保护级C1C1级级它具有多种形式的控制能力，对用户实施访问控制为用户提供可行的手段，保护用户和用户组信息，防止其他用户对数据的非法读写与破坏C1级的系统适用于处理同一敏感级别数据的多用户环境 C1级TCB通过隔离用户与数据，使用户具备自主安全保护的能力控制访问保护级控制访问保护级C2C2级级C2级计算机系统比C1

11、级具有更细粒度的自主访问控制C2级通过注册过程控制、审计安全相关事件以及资源隔离，使单个用户为其行为负责 B类保护等级类保护等级B类为强制保护级 主要要求是TCB应维护完整的安全标记，并在此基础上执行一系列强制访问控制规则强制访问控制规则B类系统中的主要数据结构必须携带敏感标记系统的开发者还应为TCB提供安全策略模型以及TCB规约应提供证据证明访问监控器得到了正确的实施 B类分为三个类别标记安全保护级标记安全保护级B1B1级级B1级系统要求具有C2级系统的所有特性 在此基础上，还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制并消除测试中发现的所有缺陷 结构化保护级结

12、构化保护级B2B2级级在B2级系统中，TCB建立于一个明确定义并文档化形式化安全策略模型之上要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体在此基础上，应对隐蔽信道进行分析TCB应结构化为关键保护元素和非关键保护元素TCB接口必须明确定义其设计与实现应能够经受更充分的测试和更完善的审查鉴别机制应得到加强，提供可信设施管理以支持系统管理员和操作员的职能提供严格的配置管理控制B2级系统应具备相当的抗渗透能力安全区域保护级安全区域保护级B3B3级级在B3级系统中，TCB必须满足访问监控器需求访问监控器对所有主体对客体的访问进行仲裁访问监控器本身是抗篡改的访问监控器足够小访问监控器能够

13、分析和测试B3级系统支持:安全管理员职能扩充审计机制当发生与安全相关的事件时，发出信号提供系统恢复机制系统具有很高的抗渗透能力 A类保护等级类保护等级A类为验证保护级A类的特点是使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息为证明TCB满足设计、开发及实现等各个方面的安全要求，系统应提供丰富的文档信息验证设计级A1级A1级系统在功能上和B3级系统是相同的，没有增加体系结构特性和策略要求最显著的特点是，要求用形式化设计标准和验证方法来对系统进行分析，确保TCB按设计要求实现从本质上说，这种保证是开展的，它从一个安全策略的形式化模型

14、和设计的形式化高层规约FTLS开始针对A1级系统设计验证，有5种独立于特定规约语言或验证方法的重要准则：安全策略的形式化模型必须得到明确标识并文档化，提供该模型与其公理一致以及能够对安全策略提供足够支持的数学证明 应提供形式化的高层规约，包括TCB功能的抽象定义、用于隔离执行域的硬件/固件机制的抽象定义应通过形式化的技术和非形式化的技术证明TCB的形式化高层规约FTLS与模型是一致的通过非形式化的方法证明TCB的实现与FTLS是一致的。应证明FTLS的元素与TCB的元素是一致的，FTLS应表达用于满足安全策略的一致的保护机制，这些保护机制的元素应映射到TCB的要素应使用形式化的方法标识并分析隐

15、蔽信道，非形式化的方法可以用来标识时间隐蔽信道，必须对系统中存在的隐蔽信道进行解释A1级系统要求A1级系统要求System更更严严格的配格的配置管理置管理建立系建立系统统安全安全分分发发的程序的程序支持系支持系统统安全管安全管理理员员的的职职能能 TCSEC缺陷集中考虑数据保密性，而忽略了数据完整性、系统可用性等；将安全功能和安全保证混在一起；安全功能规定得过为严格，不便于实际开发和测评。信息技术安全评估准则信息技术安全评估准则ITSEC1991年由欧盟四国法国、德国、芬兰、英国联合发布将安全概念分为功能功能和功能评估功能评估两个局部功能准则在测定上分10级：评估准则分为7级：1-5级对应于T

16、CSEC的C1到B36-10级添加了以下概念：F-IN：数据和程序的完整性F-AV：系统可用性F-DI：数据通信完整性F-DC：数据通信保密性F-DX：包括保密性和完整性的网络安全E0：不能充分满足保证E1：功能测试E2：数字化测试E3：数字化测试分析E4：半形式化分析E5：形式化分析E6：形式化验证ITSEC与TCSEC的不同安全被定义为保密性、完整性、可用性功能和保证分开对产品和系统的评估都适用，提出评估对象TOE的概念产品：能够被集成在不同系统中的软件或硬件包；系统：具有一定用途、处于给定操作环境的特殊安全装置。可信计算机产品评估准则可信计算机产品评估准则CTCPEC1993年加拿大发布

17、，转为政府需求而设计与ITSEC类似，将安全分为功能性需求和保证性需要两局部。功能性要求分为四个大类：每种安全需求又可以分成很多小类，来表示安全性上的差异，分级条数为05级。机密性完整性可用性可控性 联邦准则联邦准则FC1993年公布，对TCSEC的升级FC引入了“保护轮廓PP的重要概念每个轮廓都包括功能、开发保证和评价三局部分级方式与TCSEC不同，吸取了ITSEC和CTCPEC中的优点供政府用、商用和民用通用准则通用准则CCCC是国际标准化组织统一现有多种准则的结果，是目前最全面的评价准则；1996年6月，CC1.0版发布；1998年5月，CC2.0版发布；1999年10月CCv2.1版发

18、布，并且成为ISO标准ISO/IEC15408；主要思想和框架都取自ITSEC和FC；充分突出了“保护轮廓概念，将评估过程分为“功能和“保证两局部。CC包含三个局部：u第一局部：简介和一般模型。介绍CC中的有关术语、基本概念和一般模型以及评估有关的一些框架。u第二局部：安全功能要求。按“类-族-组件方式提出了安全功能要求。u第三局部：安全保证要求。定义了评估保证级别，介绍了PP和ST的评估，并按“类-族-组件方式提出了安全保证要求。CC的价值通过评估有助于增强用户对于IT产品的安全信心促进IT产品和系统的安全性消除重复的评估CC关键概念关键概念评评估估估估对对象象象象保保保保护护轮轮廓廓廓廓安

19、全安全安全安全目目目目标标组件组件组件组件包包包包评估对象TOE：用于安全性评估的信息技术产品，系统或子系统，如防火墙产品、计算机网络、密码模块等，以及相关的管理员指南、用户指南、设计方案等文档。保护轮廓PP：PP是满足特定用户需求、与一类TOE实现无关的一组安全要求。其包括的主要内容有：需要保护的对象、确定安全环境、TOE的安全目的、信息技术安全要求、基本原理、附加的补充说明信息等。安全目标ST：ST是作为指定的TOE评估基础的一组安全要求和标准。ST是开发者、评估者、用户在TOE安全性和评估范围之间达成一致的基础。组件ponent描述一组特定的安全要求，可供PP,ST或包选取的最小安全要求

20、集合，即将传统的安全要求分成不能再分的构件块.组件依据某一特定关系组合在一起就构成包.构建包的目的是定义那些公认有用的,对满足某一特定安全目的有效的安全要求.包CC功能要求和保证要求的类-族-组件结构类：类：用于安全要求的最高层次归档。一个类中所有成员关注同一个安全焦点，但覆盖的安全目的范围不同。族：族：类的成员称为族，是假设干组安全要求的组合，这些要求共享同样的安全目的，但在侧重点和严格性上有所区别。组件：组件：族的成员称为组件。一个组件描述一组特定的安全要求，是CC结构中安全要求的最小可选集合。GB/T18336按“类-族-组件层次结构定义的安全功能要求和安全保证要求u安全功能要求：11个

21、功能类-66个族-135个组件u安全保证要求：PP和ST评估2个保证类，7个评估保证类和1个保证维护类安全审计通信密码支持用户数据保护资源利用TOE访问可信路径/信道标识和鉴别安全管理私密性TSF保护配置管理交付和运行开发指导性文档生命周期支持测试脆弱性评定保护轮廓评估安全目标评估保证维护安全功能要求类安全功能要求类FAU类：安全审计安全审计包括识别,记录,存储和分析与安全行为有关的信息审计记录的检查结果用来判断发生了哪些安全行为及哪个用户要对该行为负责该类由定义如何选择审计事件、产生审计数据、查阅和分析审计结果、对审计到的安全事件自动响应及存储和保护审计结果等方面要求的子类组成。FCO类：通

22、信由两个子类组成，分别专门用以确保在数据交换中参与方的身份，包括发起者身份和接收者。既确保发起者不能否认发送过信息，又确保收信者不能否认收到过信息。FCS类:密码支持在产品或系统含有密码功能时适用在标识与鉴别,抗抵赖,可信路径,可信信道和数据别离等方面将涉及密码功能,这些功能可用硬件,固件或软件来实现.组成该类的两个子类包含密钥的使用和管理方面的要求.FDP类:用户数据保护是一个较大的类,规定了与保护用户数据相关的所有安全功能要求和策略所包含的13个子类涉及到产品或系统内用户数据的输入,输出和存储以及与之相关的一些安全属性.FIA类:标识和鉴别授权用户的无歧异标识以及安全属性与用户,主体的正确

23、关联是实施预定安全策略的关键标识和鉴别类提出了用户身份确实定和验证,确定它们与TOE交互的授权以及每个授权用户安全属性的正确关联等三方面的安全要求.对用户的正确标识和鉴别,是其他类如用户数据保护,安全审计等有效实施的基础.FMT类:安全管理规定了安全属性,数据和功能三方面的管理,并定义了不同的管理角色及其相互作用,如权利分割原则,该类覆盖了所有其他功能类的管理活动.FPR类:私密性要求为用户提供其身份不被其他用户发现或滥用的保护。该类有匿名，假名，不可关联性，不可观察性4个子类组成。FRT类:TSF保护TSF指TOE安全功能，侧重于保护TSF数据，而不是用户数据该类包括16个子类，这些子类与T

24、SF机制和数据的完整性和管理有关，对保护TOE安全策略不被篡改和旁路是必需的。FRU类:资源利用规定了三个子类以支持所需资源的可用性。诸如处理能力或存储能力。容错子类为防止由产品或系统故障引起的上述资源不可用而提供保护效劳优先级子类确保资源将被分配到更重要的和时间要求更苛刻的任务中，而且不能被优先级低的任务所独占资源分配子类提供可用资源的使用限制，以防止用户独占资源FTA类:TOE访问规定了用以控制建立用户会话的一些功能要求，是对标识和鉴别类安全要求的进一步补充完善该类负责管理用户会话范围和连接数限定，访问历史显示和访问参数修改等方面。FTP类:可信路径/信道规定了关于用户和TSF之间可信通信

25、路径，以及TSF和其他可信IT产品之间可信通信信道的要求。可信路径由TSF间通信的可信信道构成，为用户提供了一种通过有保证地与TSF直接交互来执行安全功能的手段。用户或TSF都可发起可信路径的交换，且所有经过可信路径的数据都受到适当保护，以确保它们不会被不可信应用修改或泄漏。安全保证类安全保证类1、PP和ST评估类PP和ST是评估TOE及其功能和保证要求的基础，因此在评估TOE之前要证明PP和ST对TOE评估而言是否适用APE类:保护轮廓评估PP评估的目的是论证PP的完备，一致及技术上的合理,只有通过评估的PP才能作为ST开发的基础该类相当于标准了对产品或系统标准的评审评估过的PP可进一步到权

26、威机构注册并对外公布，目前ISO正在开发有关PP的注册标准该类提出了TOE描述，安全环境，安全目的和安全要求等方面的评估要求ASE类:安全目标评估ST评估的目的是论证ST是完备的，一致的和在技术上合理的,因而可以作为相应TOE评估的基础该类提出了TOE描述，安全环境，安全目的，任何PP声明，安全要求和TOE概要标准等方面的评估要求2、评估保证类主要内容是7个评估保证类，分别就开发、配置管理、测试、脆弱性评定、交付和运行、生命周期支持、指导性文档等方面提出保证要求，确保安全功能在TOE的整个生命周期中正确有效地实施。这些保证类是定义评估保证级的基础，是具体的TOE评估依据和准则CC保证族细目分类

27、和对应表保证族细目分类和对应表保证类保证类保证族保证族ALC类：生命周期支持开发安全缺陷纠正生命周期定义工具和技术ATE类：测试覆盖深度功能测试独立测试AVA类：脆弱性评定隐蔽信道分析误用TOE安全功能强度脆弱性分析保证类保证类保证族保证族ACM类：配置管理CM自动化CM能力CM范围ADO类：交付和运行交付安装、生成和启动ADV类：开发功能标准高层设计实现表示TSF内部底层设计表示对应性安全策略模型AGD类：指导性文档管理员指南用户指南ACM类:配置管理通过跟踪TOE的任何变化,确保所有修改都已授权,以保证OTE的完整性.特别是通过配置管理确保用于评估的TOE和相关文档正是预先所准备的那一份.

28、该类包括配置管理能力,范围及其自动化三方面的要求.ADO类:交付和运行规定了TOE交付,安装,生成和启动方面的措施,程序和标准,以确保TOE所提供的安全保护在这些关键过程中不被泄漏.ADV类:开发主要涉及将ST中定义的TOE概要标准细化为具体的TSF实现,以及安全要求到最低级别表示间的映射两方面,包含功能标准,高层设计,实现表示,TSF内部,低层设计,表示对应性,安全策略模型等子类.AGD类:指导性文档规定了用户,管理员指南编写方面的要求.为帮助管理员和用户正确安全地操作和使用TOE,相应的指南中应描述所有TOE安全应用方面的内容.ALC类:生命周期支持即在TOE开发和维护阶段,对相关过程进一

29、步细化并建立相应的控制规则,以确保TOE与其安全要求之间的符合性.该类包括生命周期定义,工具和技术,开发环境的安全和TOE用户所发现缺陷的纠正等4个方面的要求.ATE类:测试关心的是TOE是否满足其安全功能要求,不管TOE是否仅具有规定的功能.该类提出了开发者功能测试及其标准,深度以及第三方独立性测试等要求.AVA类:脆弱性评定定义了与识别可利用的脆弱性有关的安全要求,这些脆弱性可能在开发,集成,运行,使用和配置时进入TOE.因此,可通过分析隐蔽信道,分析TOE配置,检查安全功能实现机制的强度和标识以及TOE开发时信息流的导入等手段,来识别所有可进一步开发利用的脆弱性.3、保证维护类目的是确保

30、TOE或其环境发生变化时,还能够继续满足安全目标.对保证进行维护的一种方法时再次评估TOE,然而这将增加开销,执行起来也不现实.在GB/T18226中通过AMA类定义一整套要求,确保有关保证都得到了维护,而不需要进行全面的再次评估.当然,AMA类也支持对TOE进行再次评估.AMA类:保证维护提出的要求须在TOE通过CC认证后才适用.这些要求旨在确保TOE或其环境变更后,继续满足安全目标该类有四个子类:保证维护方案,TOE组件分类报告,保证维护证据和安全影响分析.这些要求都是建立保证维护体系的关键模块.CC安全等级安全等级CC安全等级简称EAL，共分7级：EAL7：形式化验证的设计和测试。EAL

31、6：半形式化验证的设计和测试。EAL5：半形式化设计和测试。EAL4：系统的设计、测试和复查。EAL3：系统的测试和检查。EAL2：结构测试。EAL1：功能测试。评估保证级1EAL1功能测试EAL1适用于对正确运行需要一定信任的场合,但在该场合中对安全的威胁应视为并不严重;还适用于需要独立的保证来支持“认为在人员或信息的保护方面已经给予足够的重视这一情形.该级依据一个标准的独立性测试和对所提供指导性稳当的检查来为用户评估TOE在这个级上,没有TOE开发者的帮助也能成功的进行评估,并且所需费用也最少.通过该级的一个评估,可以确信TOE的功能与其文档在形式上是一致的,并且对已标志的威胁提供了有效的

32、保护评估保证级2EAL2结构测试EAL2要求开发者递交设计信息和测试结果,但不需要开发者增加过多的费用或时间的投入EAL2适用于以下这种情况：在缺乏现成可用的完整的开发记录时，开发者或用户需要一种低到中等级别的独立保证的安全性,例如：对传统的保密系统进行评估或者不便于对开发者进行现场核查时.评估保证级3EAL3系统地测试和检查在不需要对现有的合理的开发规则进行实质性改进的情况下,EAL3可使开发者在设计阶段能从正确的安全工程中获得最大限度的保证EAL3适用于以下这些情况:开发者或用户需要一个中等级别的独立保证的安全性,并在不带来大量的再构建费用的情况下,对TOE及其开发过程进行彻底审查评估保证

33、级4EAL4系统地设计,测试和复查:基于良好而严格的商业开发规则,在不额外增加大量专业知识,技巧和其它资源的情况下,开发者从正确的安全工程中所获得的保证级别最高可到达EAL4EAL4适用于以下这种情况开发者或用户对传统的商品化的TOE需要一个中等到高等级别的独立保证的安全性,并准备负担额外的安全专用工程费用开展该级的评估,需要分析TOE模块的底层设计和实现的子集.在测试方面将侧重于对的脆弱性进行独立地搜索.开发控制方面涉及到生命周期模型,开发工具标识和自动化配置管理方面.评估保证级5EAL5半形式化设计和测试适当应用专业性的一些安全工程技术,并基于严格的商业开发实践,EAL5可使开发者从安全工

34、程获得最大限度的保证假设某个TOE要想到达EAL5要求,开发者需要在设计和开发方面下一定工夫,但如果具备相关的一些专业技术,也许额外的开销不会很大.适用于以下这种情况:开发者和使用者在有方案的开发中,采用严格的开发手段,以获得一个高级别的独立保证的安全性需要,但不会因采用专业性安全工程技术而增加一些不合理的开销开展该级别的评估,需要分析所有的实现.还需要额外分析功能标准和高层设计的形式化模型和半形式化表示,及它们间对应性的半形式化论证.在对脆弱性的搜索方面,必须确保TOE可抵御中等攻击潜力的穿透性攻击者.还要求采取隐蔽信道分析和模块化的TOE设计.评估保证级6EAL6半形式化验证的设计和测试E

35、AL6可使开发者通过把专业性安全工程技术应用到严格的开发环境中,而获得高级别的保证,以便生产一个昂贵的TOE来保护高价值的资产以对抗重大的风险.EAL6适用于在高风险环境下的特定安全产品或系统的开发,且要保护的资源值得花费一些额外的人力,物力和财力.开展该级的评估,需分析设计的模块和层次化方法以及实现的机构化表示.在对脆弱性的独立搜索方面,必须确保TOE可抵御高等攻击潜力的穿透性攻击者.对隐藏信道的搜索必须是系统性的,且开发环境和配置管理的控制也应进一步增强.评估保证级7EAL7形式化验证的设计和测试EAL7适用于一些安全性要求很高的TOE开发,这些TOE将应用在风险非常高的地方或者所保护的资

36、产的价值很高的地方目前,该级别的TOE比较少,一方面是对安全功能全面的形式化分析难以实现,另一方面在实际应用中也很少有这类需求开展该级的评估,需要分析TOE的形式化模型,包括功能标准和高层设计的形式化表示.要求开发者提供基于白盒子测试的证据,在评估时必须对这些测试结果全部进行独立确认,并且设计的复杂程度必须是最小的.CC评估过程评估过程1、编制反映用户需求的产品类型的保护轮廓PP mon Criteria访问控制访问控制鉴别鉴别审计审计密码技术密码技术操作系统数据库系统防火墙智能卡应用生物技术路由器VPNISO/IEC标准15408GB/T18336.1-18336.3保护轮廓标准化的IT安全

37、需求的目录功能和保证特定信息技术领域客户驱动的安全需求2、产品厂商编制保护轮廓对应的具体安全产品的安全目标ST防火墙防火墙安全需求安全需求 安全功能安全功能和保障和保障XX防火墙XX防火墙XX防火墙XX防火墙安全目标厂商对他们产品的安全描述语句保护轮廓客户对特定信息技术领域向业界提出的IT安全需求语句3、通用准则测试实验室测试评估安全产品，得出测试报告。IT产品安全功能安全功能和保障和保障厂商对IT产品提交进行安全评估 通用准则通用准则测试实验室测试实验室 测试测试报告报告测试报告提交给认证机构进行确认认证报告认证报告4、通用准则认证机构确认测试报告，发放认证证书通用准则认证通用准则认证机构机

38、构TMmonCriteria证书证书CC标准的局限性CC标准采用半形式化语言,比较难以理解CC不包括那些与IT安全措施没有直接关联的,属于行政行管理安全措施的评估准则,即该标准并不关注于组织,人员,环境,设备,网络等方面的具体的安全措施CC重点关注人为的威胁,对于其他威胁源没有考虑并不针对IT安全性的物理方面的评估如电磁干扰CC并不涉及评估方法学CC不包括密码算法固有质量的评估计算机信息系统安全计算机信息系统安全 GB 17859-1999GB/T 17859简况 计算机信息系统安全保护条例第九条明确规定，计算机信息系统实行安全等级保护 部组织制订了计算机信息系统安全保护等级划分准则国家标准G

39、B/T 17859，于1999年9月13日由国家质量技术监督局审查通过并正式批准发布，于 2001年1月1日执行该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据，为安全产品的研制提供了技术支持，为安全系统的建设和管理提供了技术指导是我国计算机信息系统安全保护等级工作的基础涉及的关键术语涉及的关键术语计算机信息系统puterInformationSystem是由计算机及其相关的和配套的设备、设施含网络构成，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。计算机信息系统可信计算机TrustedputingBaseofputerInf

40、ormationSystem计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算机系统所要求的附加用户效劳。客体Object信息的载体。主体Subject引起信息在客体之间流动的人、进程和设备等。敏感标记SensitivityLabel表示客体安全级别并描述客体数据敏感性的一组信息，可信计算机中把敏感信息作为强制访问控制决策的依据。安全策略SecurityPolicy有关管理、保护和发布敏感信息的法律、规定和实施细则。信道Channel隐蔽信道CovertChannel允许进程以危害系统安全策略的方式传输信息的通信信道。系统内

41、的信息传输路径。访问监控器ReferenceMonitor监控主体和客体之间授权访问关系的部件。可信信道TrustedChannel为了执行关键的安全操作，在主体、客体和可信IT产品之间建立和维护的保护通信数据免遭修改和泄漏的通信路径。客体重用ObjectReuse在计算机信息系统可信计算机的空闲存储客体空间中，对客体初始制定、分配或再分配一个主体之前，撤销该客体所含信息的所有权。当主体获得对一个已被释放的客体的访问权限时，当前主体不能获得原主体活动所产生的任何信息。GB/T 17859GB/T 17859等级划分等级划分访问验证保保护级结构化保构化保护级安全安全标记保保护级系系统审计保保护级

42、用用户自主保自主保护级第五第五级第四第四级第三第三级第二第二级第一第一级计算机信息系算机信息系统安全保安全保护等等级划分准划分准则将信息系将信息系统划分划分为5个等个等级：第一级：用户自主保护级第一级：用户自主保护级计算机信息系统可信计算机通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，防止其他用户对数据的非法读写与破坏本级考核指标要求：1自主访问控制2身份鉴别3数据完整性第二级：系统审计保护级第二级：系统审计保护级与用户自主保护级相比，计算机信息系统可信计算基实施了粒度更细的自主访问控制它通过登录规

43、程、审计安全性相关事件和隔离资源，使用户对自己的行为负责本级考核指标要求：1自主访问控制2身份鉴别3客体重用4审计5数据完整性第三级：安全标记保护级第三级：安全标记保护级计算机信息系统可信计算基具有系统审计保护级所有功能此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述具有准确地标记输出信息的能力消除通过测试发现的任何错误本级考核指标要求：1自主访问控制2强制访问控制3标记4身份鉴别5客体重用6审计7数据完整性第四级：结构化保护级第四级：结构化保护级计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上要求将第三级系统中的自主和强制访问控制扩展到所有主体

44、与客体需要考虑隐蔽通道问题的情况计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审加强了鉴别机制支持系统管理员和操作员的职能提供可信设施管理增强了配置管理控制系统具有相当的抗渗透能力 本级考核指标要求：1自主访问控制2强制访问控制3标记4身份鉴别5客体重用6审计7数据完整性8隐蔽信道分析9可信路径第五级：访问验证保护级第五级：访问验证保护级计算机信息系统可信计算基满足访问监控器需求访问监控器仲裁主体对客体的全部访问访问监控器本身是抗篡改的；必须足够小，能够分析和测试支持安全管理员职能扩充审

45、计机制，当发生与安全相关的事件时发出信号提供系统恢复机制系统具有很高的抗渗透能力本级考核指标要求：1自主访问控制2强制访问控制3标记4身份鉴别5客体重用6审计7数据完整性8隐蔽信道分析9可信路径10可信恢复各信息安全评估级别对照表各信息安全评估级别对照表国际国际CC标准标准 TCSEC欧洲欧洲ITSEC加拿大加拿大CTCPEC中国中国GB 178591999-D：低级保护E0：不能充分满足保证T0-EAL1：功能测试-T1-EAL2：结构测试C1：自主安全保护E1：功能测试T21：用户自主保护级EAL3：系统的测试和检查C2：受控访问保护E2：数字化测试T32：系统审计保护级EAL4：系统的设

46、计、测试和复查B1：标记安全保护E3：数字化测试分析T43：安全标记保护级EAL5：半形式化设计和测试B2：结构化保护E4：半形式化分析T54：结构化保护级EAL6：半形式化验证的设计和测试B3：安全区域E5：形式化分析T65：访问验证保护级EAL7：形式化验证的设计和测试A1：验证设计E6：形式化验证T7-小结小结信息安全评估标准的开展uTCSECuITSECuCTCPECuFCuCCuGB178599、静夜四无邻，荒居旧业贫。4月-234月-23Monday,April17,202310、雨中黄叶树，灯下白头人。19:14:5219:14:5219:144/17/20237:14:52PM

47、11、以我独沈久，愧君相见频。4月-2319:14:5219:14Apr-2317-Apr-2312、故人江海别，几度隔山川。19:14:5219:14:5219:14Monday,April17,202313、乍见翻疑梦，相悲各问年。4月-234月-2319:14:5219:14:52April17,202314、他乡生白发，旧国见青山。17四月20237:14:52下午19:14:524月-2315、比不了得就不比，得不到的就不要。四月237:14下午4月-2319:14April17,202316、行动出成果，工作出财富。2023/4/1719:14:5219:14:5217April2

48、02317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。7:14:52下午7:14下午19:14:524月-239、没有失败，只有暂时停止成功！。4月-234月-23Monday,April17,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。19:14:5219:14:5219:144/17/20237:14:52PM11、成功就是日复一日那一点点小小努力的积累。4月-2319:14:5219:14Apr-2317-Apr-2312、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。19:14:5219:14:5219:14Monday,April

49、17,202313、不知香积寺，数里入云峰。4月-234月-2319:14:5219:14:52April17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17四月20237:14:52下午19:14:524月-2315、楚塞三湘接，荆门九派通。四月237:14下午4月-2319:14April17,202316、少年十五二十时，步行夺得胡马骑。2023/4/1719:14:5219:14:5217April202317、空山新雨后，天气晚来秋。7:14:52下午7:14下午19:14:524月-239、杨柳散和风，青山澹吾虑。4月-234月-23Monday,April17

50、,202310、阅读一切好书如同和过去最杰出的人谈话。19:14:5219:14:5219:144/17/20237:14:52PM11、越是没有本领的就越加自命非凡。4月-2319:14:5219:14Apr-2317-Apr-2312、越是无能的人，越喜欢挑剔别人的错儿。19:14:5219:14:5219:14Monday,April17,202313、知人者智，自知者明。胜人者有力，自胜者强。4月-234月-2319:14:5219:14:52April17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17四月20237:14:52下午19:14:524月-2315、