信息技術(shù)安全評估準(zhǔn)則發(fā)展過程.ppt

《信息技術(shù)安全評估準(zhǔn)則發(fā)展過程.ppt》由會員分享，可在線閱讀，更多相關(guān)《信息技術(shù)安全評估準(zhǔn)則發(fā)展過程.ppt（170頁珍藏版）》請在裝配圖網(wǎng)上搜索。

SecurityRiskAssessment historyanddevelopment 2 標(biāo)準(zhǔn)介紹 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程可信計算機系統(tǒng)評估準(zhǔn)則 TCSEC 可信網(wǎng)絡(luò)解釋 TNI 通用準(zhǔn)則CC 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 信息安全保證技術(shù)框架 信息系統(tǒng)安全保護等級應(yīng)用指南 3 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 20世紀(jì)60年代后期 1967年美國國防部 DOD 成立了一個研究組 針對當(dāng)時計算機使用環(huán)境中的安全策略進行研究 其研究結(jié)果是 DefenseScienceBoardreport 70年代的后期DOD對當(dāng)時流行的操作系統(tǒng)KSOS PSOS KVM進行了安全方面的研究 4 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 80年代后 美國國防部發(fā)布的 可信計算機系統(tǒng)評估準(zhǔn)則 TCSEC 即桔皮書 后來DOD又發(fā)布了可信數(shù)據(jù)庫解釋 TDI 可信網(wǎng)絡(luò)解釋 TNI 等一系列相關(guān)的說明和指南90年代初 英 法 德 荷等四國針對TCSEC準(zhǔn)則的局限性 提出了包含保密性 完整性 可用性等概念的 信息技術(shù)安全評估準(zhǔn)則 ITSEC 定義了從E0級到E6級的七個安全等級 5 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 加拿大1988年開始制訂 TheCanadianTrustedComputerProductEvaluationCriteria CTCPEC 1993年 美國對TCSEC作了補充和修改 制定了 組合的聯(lián)邦標(biāo)準(zhǔn) 簡稱FC 國際標(biāo)準(zhǔn)化組織 ISO 從1990年開始開發(fā)通用的國際標(biāo)準(zhǔn)評估準(zhǔn)則 6 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 在1993年6月 CTCPEC FC TCSEC和ITSEC的發(fā)起組織開始聯(lián)合起來 將各自獨立的準(zhǔn)則組合成一個單一的 能被廣泛使用的IT安全準(zhǔn)則發(fā)起組織包括六國七方 加拿大 法國 德國 荷蘭 英國 美國NIST及美國NSA 他們的代表建立了CC編輯委員會 CCEB 來開發(fā)CC 7 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 1996年1月完成CC1 0版 在1996年4月被ISO采納1997年10月完成CC2 0的測試版1998年5月發(fā)布CC2 0版1999年12月ISO采納CC 并作為國際標(biāo)準(zhǔn)ISO15408發(fā)布 8 安全評估標(biāo)準(zhǔn)的發(fā)展歷程 9 標(biāo)準(zhǔn)介紹 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程可信計算機系統(tǒng)評估準(zhǔn)則 TCSEC 可信網(wǎng)絡(luò)解釋 TNI 通用準(zhǔn)則CC 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 信息安全保證技術(shù)框架 信息系統(tǒng)安全保護等級應(yīng)用指南 10 TCSEC 在TCSEC中 美國國防部按處理信息的等級和應(yīng)采用的響應(yīng)措施 將計算機安全從高到低分為 A B C D四類八個級別 共27條評估準(zhǔn)則隨著安全等級的提高 系統(tǒng)的可信度隨之增加 風(fēng)險逐漸減少 11 TCSEC 四個安全等級 無保護級自主保護級強制保護級驗證保護級 12 TCSEC D類是最低保護等級 即無保護級是為那些經(jīng)過評估 但不滿足較高評估等級要求的系統(tǒng)設(shè)計的 只具有一個級別該類是指不符合要求的那些系統(tǒng) 因此 這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息 13 TCSEC 四個安全等級 無保護級自主保護級強制保護級驗證保護級 14 TCSEC C類為自主保護級具有一定的保護能力 采用的措施是自主訪問控制和審計跟蹤一般只適用于具有一定等級的多用戶環(huán)境具有對主體責(zé)任及其動作審計的能力 15 TCSEC C類分為C1和C2兩個級別 自主安全保護級 C1級 控制訪問保護級 C2級 16 TCSEC C1級TCB通過隔離用戶與數(shù)據(jù) 使用戶具備自主安全保護的能力它具有多種形式的控制能力 對用戶實施訪問控制為用戶提供可行的手段 保護用戶和用戶組信息 避免其他用戶對數(shù)據(jù)的非法讀寫與破壞C1級的系統(tǒng)適用于處理同一敏感級別數(shù)據(jù)的多用戶環(huán)境 17 TCSEC C2級計算機系統(tǒng)比C1級具有更細粒度的自主訪問控制C2級通過注冊過程控制 審計安全相關(guān)事件以及資源隔離 使單個用戶為其行為負責(zé) 18 TCSEC 四個安全等級 無保護級自主保護級強制保護級驗證保護級 19 TCSEC B類為強制保護級主要要求是TCB應(yīng)維護完整的安全標(biāo)記 并在此基礎(chǔ)上執(zhí)行一系列強制訪問控制規(guī)則B類系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標(biāo)記系統(tǒng)的開發(fā)者還應(yīng)為TCB提供安全策略模型以及TCB規(guī)約應(yīng)提供證據(jù)證明訪問監(jiān)控器得到了正確的實施 20 TCSEC B類分為三個類別 標(biāo)記安全保護級 B1級 結(jié)構(gòu)化保護級 B2級 安全區(qū)域保護級 B3級 21 TCSEC B1級系統(tǒng)要求具有C2級系統(tǒng)的所有特性在此基礎(chǔ)上 還應(yīng)提供安全策略模型的非形式化描述 數(shù)據(jù)標(biāo)記以及命名主體和客體的強制訪問控制并消除測試中發(fā)現(xiàn)的所有缺陷 22 TCSEC B類分為三個類別 標(biāo)記安全保護級 B1級 結(jié)構(gòu)化保護級 B2級 安全區(qū)域保護級 B3級 23 TCSEC 在B2級系統(tǒng)中 TCB建立于一個明確定義并文檔化形式化安全策略模型之上要求將B1級系統(tǒng)中建立的自主和強制訪問控制擴展到所有的主體與客體在此基礎(chǔ)上 應(yīng)對隱蔽信道進行分析TCB應(yīng)結(jié)構(gòu)化為關(guān)鍵保護元素和非關(guān)鍵保護元素 24 TCSEC TCB接口必須明確定義其設(shè)計與實現(xiàn)應(yīng)能夠經(jīng)受更充分的測試和更完善的審查鑒別機制應(yīng)得到加強 提供可信設(shè)施管理以支持系統(tǒng)管理員和操作員的職能提供嚴(yán)格的配置管理控制B2級系統(tǒng)應(yīng)具備相當(dāng)?shù)目節(jié)B透能力 25 TCSEC B類分為三個類別 標(biāo)記安全保護級 B1級 結(jié)構(gòu)化保護級 B2級 安全區(qū)域保護級 B3級 26 TCSEC 在B3級系統(tǒng)中 TCB必須滿足訪問監(jiān)控器需求訪問監(jiān)控器對所有主體對客體的訪問進行仲裁訪問監(jiān)控器本身是抗篡改的訪問監(jiān)控器足夠小訪問監(jiān)控器能夠分析和測試 27 TCSEC 為了滿足訪問控制器需求 計算機信息系統(tǒng)可信計算基在構(gòu)造時 排除那些對實施安全策略來說并非必要的代碼計算機信息系統(tǒng)可信計算基在設(shè)計和實現(xiàn)時 從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度 28 TCSEC B3級系統(tǒng)支持 安全管理員職能擴充審計機制當(dāng)發(fā)生與安全相關(guān)的事件時 發(fā)出信號提供系統(tǒng)恢復(fù)機制系統(tǒng)具有很高的抗?jié)B透能力 29 TCSEC 四個安全等級 無保護級自主保護級強制保護級驗證保護級 30 TCSEC A類為驗證保護級A類的特點是使用形式化的安全驗證方法 保證系統(tǒng)的自主和強制安全控制措施能夠有效地保護系統(tǒng)中存儲和處理的秘密信息或其他敏感信息為證明TCB滿足設(shè)計 開發(fā)及實現(xiàn)等各個方面的安全要求 系統(tǒng)應(yīng)提供豐富的文檔信息 31 TCSEC A類分為兩個類別 驗證設(shè)計級 A1級 超A1級 32 TCSEC A1級系統(tǒng)在功能上和B3級系統(tǒng)是相同的 沒有增加體系結(jié)構(gòu)特性和策略要求最顯著的特點是 要求用形式化設(shè)計規(guī)范和驗證方法來對系統(tǒng)進行分析 確保TCB按設(shè)計要求實現(xiàn)從本質(zhì)上說 這種保證是發(fā)展的 它從一個安全策略的形式化模型和設(shè)計的形式化高層規(guī)約 FTLS 開始 33 TCSEC A1級系統(tǒng) 要求更嚴(yán)格的配置管理要求建立系統(tǒng)安全分發(fā)的程序支持系統(tǒng)安全管理員的職能 34 TCSEC A類分為兩個類別 驗證設(shè)計級 A1級 超A1級 35 TCSEC 超A1級在A1級基礎(chǔ)上增加的許多安全措施超出了目前的技術(shù)發(fā)展隨著更多 更好的分析技術(shù)的出現(xiàn) 本級系統(tǒng)的要求才會變的更加明確今后 形式化的驗證方法將應(yīng)用到源碼一級 并且時間隱蔽信道將得到全面的分析 36 TCSEC 在這一級 設(shè)計環(huán)境將變的更重要形式化高層規(guī)約的分析將對測試提供幫助TCB開發(fā)中使用的工具的正確性及TCB運行的軟硬件功能的正確性將得到更多的關(guān)注 37 TCSEC 超A1級系統(tǒng)涉及的范圍包括 系統(tǒng)體系結(jié)構(gòu)安全測試形式化規(guī)約與驗證可信設(shè)計環(huán)境等 38 標(biāo)準(zhǔn)介紹 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程可信計算機系統(tǒng)評估準(zhǔn)則 TCSEC 可信網(wǎng)絡(luò)解釋 TNI 通用準(zhǔn)則CC 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 信息安全保證技術(shù)框架 信息系統(tǒng)安全保護等級應(yīng)用指南 39 可信網(wǎng)絡(luò)解釋 TNI 美國國防部計算機安全評估中心在完成TCSEC的基礎(chǔ)上 又組織了專門的研究鏃對可信網(wǎng)絡(luò)安全評估進行研究 并于1987年發(fā)布了以TCSEC為基礎(chǔ)的可信網(wǎng)絡(luò)解釋 即TNI TNI包括兩個部分 PartI和PartII 及三個附錄 APPENDIXA B C 40 可信網(wǎng)絡(luò)解釋 TNI TNI第一部分提供了在網(wǎng)絡(luò)系統(tǒng)作為一個單一系統(tǒng)進行評估時TCSEC中各個等級 從D到A類 的解釋與單機系統(tǒng)不同的是 網(wǎng)絡(luò)系統(tǒng)的可信計算基稱為網(wǎng)絡(luò)可信計算基 NTCB 41 可信網(wǎng)絡(luò)解釋 TNI 第二部分以附加安全服務(wù)的形式提出了在網(wǎng)絡(luò)互聯(lián)時出現(xiàn)的一些附加要求這些要求主要是針對完整性 可用性和保密性的 42 可信網(wǎng)絡(luò)解釋 TNI 第二部分的評估是定性的 針對一個服務(wù)進行評估的結(jié)果一般分為為 noneminimumfairgood 43 可信網(wǎng)絡(luò)解釋 TNI 第二部分中關(guān)于每個服務(wù)的說明一般包括 一種相對簡短的陳述相關(guān)的功能性的討論相關(guān)機制強度的討論相關(guān)保證的討論 44 可信網(wǎng)絡(luò)解釋 TNI 功能性是指一個安全服務(wù)的目標(biāo)和實現(xiàn)方法 它包括特性 機制及實現(xiàn)機制的強度是指一種方法實現(xiàn)其目標(biāo)的程度有些情況下 參數(shù)的選擇會對機制的強度帶來很大的影響 45 可信網(wǎng)絡(luò)解釋 TNI 保證是指相信一個功能會實現(xiàn)的基礎(chǔ)保證一般依靠對理論 測試 軟件工程等相關(guān)內(nèi)容的分析分析可以是形式化或非形式化的 也可以是理論的或應(yīng)用的 46 可信網(wǎng)絡(luò)解釋 TNI 第二部分中列出的安全服務(wù)有 通信完整性拒絕服務(wù)機密性 47 可信網(wǎng)絡(luò)解釋 TNI 通信完整性主要涉及以下3方面 鑒別 網(wǎng)絡(luò)中應(yīng)能夠抵抗欺騙和重放攻擊通信字段完整性 保護通信中的字段免受非授權(quán)的修改抗抵賴 提供數(shù)據(jù)發(fā)送 接受的證據(jù) 48 可信網(wǎng)絡(luò)解釋 TNI 當(dāng)網(wǎng)絡(luò)處理能力下降到一個規(guī)定的界限以下或遠程實體無法訪問時 即發(fā)生了拒絕服務(wù)所有由網(wǎng)絡(luò)提供的服務(wù)都應(yīng)考慮拒絕服務(wù)的情況網(wǎng)絡(luò)管理者應(yīng)決定網(wǎng)絡(luò)拒絕服務(wù)需求 49 可信網(wǎng)絡(luò)解釋 TNI 解決拒絕服務(wù)的方法有 操作連續(xù)性基于協(xié)議的拒絕服務(wù)保護網(wǎng)絡(luò)管理 50 可信網(wǎng)絡(luò)解釋 TNI 機密性是一系列安全服務(wù)的總稱這些服務(wù)都是關(guān)于通過計算機通信網(wǎng)絡(luò)在實體間傳輸信息的安全和保密的具體又分3種情況 數(shù)據(jù)保密通信流保密選擇路由 51 可信網(wǎng)絡(luò)解釋 TNI 數(shù)據(jù)保密 數(shù)據(jù)保密性服務(wù)保護數(shù)據(jù)不被未授權(quán)地泄露數(shù)據(jù)保密性主要受搭線竊聽的威脅被動的攻擊包括對線路上傳輸?shù)男畔⒌挠^測 52 可信網(wǎng)絡(luò)解釋 TNI 通信流保密 針對通信流分析攻擊而言 通信流分析攻擊分析消息的長度 頻率及協(xié)議的內(nèi)容 如地址 并以此推出消息的內(nèi)容 53 可信網(wǎng)絡(luò)解釋 TNI 選擇路由 路由選擇控制是在路由選擇過程中應(yīng)用規(guī)則 以便具體的選取或回避某些網(wǎng)絡(luò) 鏈路或中繼路由能動態(tài)的或預(yù)定地選取 以便只使用物理上安全的子網(wǎng)絡(luò) 鏈路或中繼在檢測到持續(xù)的操作攻擊時 端系統(tǒng)可希望指示網(wǎng)絡(luò)服務(wù)的提供者經(jīng)不同的路由建立連接帶有某些安全標(biāo)記的數(shù)據(jù)可能被策略禁止通過某些子網(wǎng)絡(luò) 鏈路或中繼 54 可信網(wǎng)絡(luò)解釋 TNI TNI第二部分的評估更多地表現(xiàn)出定性和主觀的特點 同第一部分相比表現(xiàn)出更多的變化第二部分的評估是關(guān)于被評估系統(tǒng)能力和它們對特定應(yīng)用環(huán)境的適合性的非常有價值的信息第二部分中所列舉的安全服務(wù)是網(wǎng)絡(luò)環(huán)境下有代表性的安全服務(wù)在不同的環(huán)境下 并非所有的服務(wù)都同等重要 同一服務(wù)在不同環(huán)境下的重要性也不一定一樣 55 可信網(wǎng)絡(luò)解釋 TNI TNI的附錄A是第一部分的擴展 主要是關(guān)于網(wǎng)絡(luò)中組件及組件組合的評估附錄A把TCSEC為A1級系統(tǒng)定義的安全相關(guān)的策略分為四個相對獨立的種類 他們分別支持強制訪問控制 MAC 自主訪問控制 DAC 身份鑒別 IA 審計 AUDIT 56 可信網(wǎng)絡(luò)解釋 TNI 57 可信網(wǎng)絡(luò)解釋 TNI 附錄B給出了根據(jù)TCSEC對網(wǎng)絡(luò)組件進行評估的基本原理附錄C則給出了幾個AIS互聯(lián)時的認(rèn)證指南及互聯(lián)中可能遇到的問題 58 可信網(wǎng)絡(luò)解釋 TNI TNI中關(guān)于網(wǎng)絡(luò)有兩種概念 一是單一可信系統(tǒng)的概念 singletrustedsystem 另一個是互聯(lián)信息系統(tǒng)的概念 interconnectedAIS 這兩個概念并不互相排斥 59 可信網(wǎng)絡(luò)解釋 TNI 在單一可信系統(tǒng)中 網(wǎng)絡(luò)具有包括各個安全相關(guān)部分的單一TCB 稱為NTCB networktrustedcomputingbase NTCB作為一個整體滿足系統(tǒng)的安全體系設(shè)計 60 可信網(wǎng)絡(luò)解釋 TNI 在互聯(lián)信息系統(tǒng)中各個子系統(tǒng)可能具有不同的安全策略具有不同的信任等級并且可以分別進行評估各個子系統(tǒng)甚至可能是異構(gòu)的 61 可信網(wǎng)絡(luò)解釋 TNI 安全策略的實施一般控制在各個子系統(tǒng)內(nèi) 在附錄C中給出了各個子系統(tǒng)安全地互聯(lián)的指南 在互聯(lián)時要控制局部風(fēng)險的擴散 排除整個系統(tǒng)中的級聯(lián)問題 cascadeproblem 限制局部風(fēng)險的擴散的方法 單向連接 傳輸?shù)氖止z測 加密 隔離或其他措施 62 標(biāo)準(zhǔn)介紹 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程可信計算機系統(tǒng)評估準(zhǔn)則 TCSEC 可信網(wǎng)絡(luò)解釋 TNI 通用準(zhǔn)則CC 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 信息安全保證技術(shù)框架 信息系統(tǒng)安全保護等級應(yīng)用指南 63 通用準(zhǔn)則CC CC的范圍 CC適用于硬件 固件和軟件實現(xiàn)的信息技術(shù)安全措施而某些內(nèi)容因涉及特殊專業(yè)技術(shù)或僅是信息技術(shù)安全的外圍技術(shù)不在CC的范圍內(nèi) 64 通用準(zhǔn)則CC 評估上下文 65 通用準(zhǔn)則CC 使用通用評估方法學(xué)可以提供結(jié)果的可重復(fù)性和客觀性許多評估準(zhǔn)則需要使用專家判斷和一定的背景知識為了增強評估結(jié)果的一致性 最終的評估結(jié)果應(yīng)提交給一個認(rèn)證過程 該過程是一個針對評估結(jié)果的獨立的檢查過程 并生成最終的證書或正式批文 66 通用準(zhǔn)則CC CC包括三個部分 第一部分 簡介和一般模型第二部分 安全功能要求第三部分 安全保證要求 67 通用準(zhǔn)則CC 安全保證要求部分提出了七個評估保證級別 EvaluationAssuranceLevels EALs 分別是 EAL1 功能測試EAL2 結(jié)構(gòu)測試EAL3 系統(tǒng)測試和檢查EAL4 系統(tǒng)設(shè)計 測試和復(fù)查EAL5 半形式化設(shè)計和測試EAL6 半形式化驗證的設(shè)計和測試EAL7 形式化驗證的設(shè)計和測試 68 通用準(zhǔn)則CC CC的一般模型一般安全上下文TOE評估CC安全概念 69 通用準(zhǔn)則CC 安全就是保護資產(chǎn)不受威脅 威脅可依據(jù)濫用被保護資產(chǎn)的可能性進行分類所有的威脅類型都應(yīng)該被考慮到在安全領(lǐng)域內(nèi) 被高度重視的威脅是和人們的惡意攻擊及其它人類活動相聯(lián)系的 70 通用準(zhǔn)則CC 安全概念和關(guān)系 71 通用準(zhǔn)則CC 安全性損壞一般包括但又不僅僅包括以下幾項資產(chǎn)破壞性地暴露于未授權(quán)的接收者 失去保密性 資產(chǎn)由于未授權(quán)的更改而損壞 失去完整性 或資產(chǎn)訪問權(quán)被未授權(quán)的喪失 失去可用性 72 通用準(zhǔn)則CC 資產(chǎn)所有者必須分析可能的威脅并確定哪些存在于他們的環(huán)境 其后果就是風(fēng)險對策用以 直接或間接地 減少脆弱性并滿足資產(chǎn)所有者的安全策略在將資產(chǎn)暴露于特定威脅之前 所有者需要確信其對策足以應(yīng)付面臨的威脅 73 通用準(zhǔn)則CC 評估概念和關(guān)系 74 通用準(zhǔn)則CC TOE評估過程 75 通用準(zhǔn)則CC TOE評估過程的主要輸入有 一系列TOE證據(jù) 包括評估過的ST作為TOE評估的基礎(chǔ)需要評估的TOE評估準(zhǔn)則 方法和方案另外 說明性材料 例如CC的使用說明書 和評估者及評估組織的IT安全專業(yè)知識也常用來作為評估過程的輸入 76 通用準(zhǔn)則CC 評估過程通過兩種途徑產(chǎn)生更好的安全產(chǎn)品評估過程能發(fā)現(xiàn)開發(fā)者可以糾正的TOE錯誤或弱點 從而在減少將來操作中安全失效的可能性另一方面 為了通過嚴(yán)格的評估 開發(fā)者在TOE設(shè)計和開發(fā)時也將更加細心因此 評估過程對最初需求 開發(fā)過程 最終產(chǎn)品以及操作環(huán)境將產(chǎn)生強烈的積極影響 77 通用準(zhǔn)則CC 只有在IT環(huán)境中考慮IT組件保護資產(chǎn)的能力時 CC才是可用的為了表明資產(chǎn)是安全的 安全考慮必須出現(xiàn)在所有層次的表述中 包括從最抽象到最終的IT實現(xiàn)CC要求在某層次上的表述包含在該層次上TOE描述的基本原理 78 通用準(zhǔn)則CC CC安全概念包括 安全環(huán)境安全目的IT安全要求TOE概要規(guī)范 79 通用準(zhǔn)則CC 安全環(huán)境包括所有相關(guān)的法規(guī) 組織性安全策略 習(xí)慣 專門技術(shù)和知識它定義了TOE使用的上下文 安全環(huán)境也包括環(huán)境里出現(xiàn)的安全威脅 80 通用準(zhǔn)則CC 為建立安全環(huán)境 必須考慮以下幾點 TOE物理環(huán)境 指所有的與TOE安全相關(guān)的TOE運行環(huán)境 包括已知的物理和人事的安全安排需要根據(jù)安全策略由TOE的元素實施保護的資產(chǎn) 包括可直接相關(guān)的資產(chǎn) 如文件和數(shù)據(jù)庫 和間接受安全要求支配的資產(chǎn) 如授權(quán)憑證和IT實現(xiàn)本身 TOE目的 說明產(chǎn)品類型和可能的TOE用途 81 通用準(zhǔn)則CC 安全環(huán)境的分析結(jié)果被用來闡明對抗已標(biāo)識的威脅 說明組織性安全策略和假設(shè)的安全目的安全目的和已說明的TOE運行目標(biāo)或產(chǎn)品目標(biāo)以及有關(guān)的物理環(huán)境知識一致確定安全目的的意圖是為了闡明所有的安全考慮并指出哪些安全方面的問題是直接由TOE還是由它的環(huán)境來處理環(huán)境安全目的將在IT領(lǐng)域內(nèi)用非技術(shù)上的或程序化的手段來實現(xiàn) 82 通用準(zhǔn)則CC IT安全要求是將安全目的細化為一系列TOE及其環(huán)境的安全要求 一旦這些要求得到滿足 就可以保證TOE達到它的安全目的IT安全需求只涉及TOE安全目的和它的IT環(huán)境 83 通用準(zhǔn)則CC ST中提供的TOE概要規(guī)范定義TOE安全要求的實現(xiàn)方法它提供了分別滿足功能需求和保證需求的安全功能和保證措施的高層定義 84 通用準(zhǔn)則CC CC定義了一系列與已知有效的安全要求集合相結(jié)合的概念 該概念可被用來為預(yù)期的產(chǎn)品和系統(tǒng)建立安全需求CC安全要求以類 族 組件這種層次方式組織 以幫助用戶定位特定的安全要求對功能和保證方面的要求 CC使用相同的風(fēng)格 組織方式和術(shù)語 85 通用準(zhǔn)則CC 要求的組織和結(jié)構(gòu) 86 通用準(zhǔn)則CC CC中安全要求的描述方法 類 類用作最通用安全要求的組合 類的所有的成員關(guān)注共同的安全焦點 但覆蓋不同的安全目的族 類的成員被稱為族 族是若干組安全要求的組合 這些要求有共同的安全目的 但在側(cè)重點和嚴(yán)格性上有所區(qū)別組件 族的成員被稱為組件 組件描述一組特定的安全要求集 它是CC定義的結(jié)構(gòu)中所包含的最小的可選安全要求集 87 通用準(zhǔn)則CC 組件由單個元素組成 元素是安全需求最低層次的表達 并且是能被評估驗證的不可分割的安全要求族內(nèi)具有相同目標(biāo)的組件可以以安全要求強度 或能力 逐步增加的順序排列 也可以部分地按相關(guān)非層次集合的方式組織 88 通用準(zhǔn)則CC 組件間可能存在依賴關(guān)系依賴關(guān)系可以存在于功能組件之間 保證組件之間以及功能和保證組件之間組件間依賴關(guān)系描述是CC組件定義的一部分 89 通用準(zhǔn)則CC 可以通過使用組件允許的操作 對組件進行裁剪每一個CC組件標(biāo)識并定義組件允許的 賦值 和 選擇 操作 在哪些情況下可對組件使用這些操作 以及使用這些操作的后果任何一個組件均允許 反復(fù) 和 細化 操作 90 通用準(zhǔn)則CC 這四個操作如下所述 反復(fù) 在不同操作時 允許組件多次使用賦值 當(dāng)組件被應(yīng)用時 允許規(guī)定所賦予的參數(shù)選擇 允許從組件給出的列表中選定若干項細化 當(dāng)組件被應(yīng)用時 允許對組件增加細節(jié) 91 通用準(zhǔn)則CC CC中安全需求的描述方法 包 組件的中間組合被稱為包保護輪廓 PP PP是關(guān)于一系列滿足一個安全目標(biāo)集的TOE的 與實現(xiàn)無關(guān)的描述安全目標(biāo) ST ST是針對特定TOE安全要求的描述 通過評估可以證明這些安全要求對滿足指定目的是有用和有效的 92 通用準(zhǔn)則CC 包允許對功能或保證需求集合的描述 這個集合能夠滿足一個安全目標(biāo)的可標(biāo)識子集包可重復(fù)使用 可用來定義那些公認(rèn)有用的 能夠有效滿足特定安全目標(biāo)的要求包可用在構(gòu)造更大的包 PP和ST中 93 通用準(zhǔn)則CC PP包含一套來自CC 或明確闡述 的安全要求 它應(yīng)包括一個評估保證級別 EAL PP可反復(fù)使用 還可用來定義那些公認(rèn)有用的 能夠有效滿足特定安全目標(biāo)的TOE要求PP包括安全目的和安全要求的基本原理PP的開發(fā)者可以是用戶團體 IT產(chǎn)品開發(fā)者或其它對定義這樣一系列通用要求有興趣的團體 94 通用準(zhǔn)則CC 保護輪廓PP描述結(jié)構(gòu) 95 通用準(zhǔn)則CC 安全目標(biāo) ST 包括一系列安全要求 這些要求可以引用PP 也可以直接引用CC中的功能或保證組件 或明確說明一個ST包含TOE的概要規(guī)范 安全要求和目的 以及它們的基本原理ST是所有團體間就TOE應(yīng)提供什么樣的安全性達成一致的基礎(chǔ) 96 通用準(zhǔn)則CC 安全目標(biāo)描述結(jié)構(gòu) 97 通用準(zhǔn)則CC CC框架下的評估類型PP評估ST評估TOE評估 98 通用準(zhǔn)則CC PP評估是依照CC第3部分的PP評估準(zhǔn)則進行的 評估的目標(biāo)是為了證明PP是完備的 一致的 技術(shù)合理的 而且適合于作為一個可評估TOE的安全要求的聲明 99 通用準(zhǔn)則CC 針對TOE的ST評估是依照CC第3部分的ST評估準(zhǔn)則進行的ST評估具有雙重目標(biāo) 首先是為了證明ST是完備的 一致的 技術(shù)合理的 而且適合于用作相應(yīng)TOE評估的基礎(chǔ)其次 當(dāng)某一ST宣稱與某一PP一致時 證明ST滿足該PP的要求 100 通用準(zhǔn)則CC TOE評估是使用一個已經(jīng)評估過的ST作為基礎(chǔ) 依照CC第3部分的評估準(zhǔn)則進行的評估的目標(biāo)是為了證明TOE滿足ST中的安全要求 101 通用準(zhǔn)則CC 三種評估的關(guān)系 102 通用準(zhǔn)則CC CC的第二部分是安全功能要求 對滿足安全需求的諸安全功能提出了詳細的要求另外 如果有超出第二部分的安全功能要求 開發(fā)者可以根據(jù) 類 族 組件 元素 的描述結(jié)構(gòu)表達其安全要求 并附加在其ST中 103 通用準(zhǔn)則CC CC共包含的11個安全功能類 如下 FAU類 安全審計FCO類 通信FCS類 密碼支持FDP類 用戶數(shù)據(jù)保護FIA類 標(biāo)識與鑒別FMT類 安全管理FPR類 隱秘FPT類 TFS保護FAU類 資源利用FTA類 TOE訪問FTP類 可信信道 路徑 104 通用準(zhǔn)則CC CC的第三部分是評估方法部分 提出了PP ST TOE三種評估 共包括10個類 但其中的APE類與ASE類分別介紹了PP與ST的描述結(jié)構(gòu)及評估準(zhǔn)則維護類提出了保證評估過的受測系統(tǒng)或產(chǎn)品運行于所獲得的安全級別上的要求只有七個安全保證類是TOE的評估類別 105 通用準(zhǔn)則CC 七個安全保證類ACM類 配置管理ADO類 分發(fā)與操作ADV類 開發(fā)AGD類 指導(dǎo)性文檔ALC類 生命周期支持ATE類 測試AVA類 脆弱性評定 106 通用準(zhǔn)則CC 1998年1月 經(jīng)過兩年的密切協(xié)商 來自美國 加拿大 法國 德國以及英國的政府組織簽訂了歷史性的安全評估互認(rèn)協(xié)議 IT安全領(lǐng)域內(nèi)CC認(rèn)可協(xié)議根據(jù)該協(xié)議 在協(xié)議簽署國范圍內(nèi) 在某個國家進行的基于CC的安全評估將在其他國家內(nèi)得到承認(rèn)截止2003年3月 加入該協(xié)議的國家共有十五個 澳大利亞 新西蘭 加拿大 芬蘭 法國 德國 希臘 以色列 意大利 荷蘭 挪威 西班牙 瑞典 英國及美國 107 通用準(zhǔn)則CC 該協(xié)議的參與者在這個領(lǐng)域內(nèi)有共同的目的即 確保IT產(chǎn)品及保護輪廓的評估遵循一致的標(biāo)準(zhǔn) 為這些產(chǎn)品及保護輪廓的安全提供足夠的信心 在國際范圍內(nèi)提高那些經(jīng)過評估的 安全增強的IT產(chǎn)品及保護輪廓的可用性 消除IT產(chǎn)品及保護輪廓的重復(fù)評估 改進安全評估的效率及成本效果 改進IT產(chǎn)品及保護輪廓的證明 確認(rèn)過程 108 通用準(zhǔn)則CC 美國NSA內(nèi)部的可信產(chǎn)品評估計劃 TPEP 以及可信技術(shù)評價計劃 TTAP 最初根據(jù)TCSEC進行產(chǎn)品的評估 但從1999年2月1日起 這些計劃將不再接收基于TCSEC的新的評估 此后這些計劃接受的任何新的產(chǎn)品都必須根據(jù)CC的要求進行評估 到2001年底 所有已經(jīng)經(jīng)過TCSEC評估的產(chǎn)品 其評估結(jié)果或者過時 或者轉(zhuǎn)換為CC評估等級 NSA已經(jīng)將TCSEC對操作系統(tǒng)的C2和B1級要求轉(zhuǎn)換為基于CC的要求 或PP NSA正在將TCSEC的B2和B3級要求轉(zhuǎn)換成基于CC的保護輪廓 但對TCSEC中的A1級要求不作轉(zhuǎn)換 TCSEC的可信網(wǎng)絡(luò)解釋 TNI 在使用范圍上受到了限制 已經(jīng)不能廣泛適用于目前的網(wǎng)絡(luò)技術(shù) 因此 NSA目前不計劃提交與TNI相應(yīng)的PP 109 通用準(zhǔn)則CC 110 標(biāo)準(zhǔn)介紹 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程可信計算機系統(tǒng)評估準(zhǔn)則 TCSEC 可信網(wǎng)絡(luò)解釋 TNI 通用準(zhǔn)則CC 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 信息安全保證技術(shù)框架 信息系統(tǒng)安全保護等級應(yīng)用指南 111 系統(tǒng)安全保護等級劃分準(zhǔn)則 我國政府及各行各業(yè)在進行大量的信息系統(tǒng)的建設(shè) 并且已經(jīng)成為國家的重要基礎(chǔ)設(shè)施計算機犯罪 黑客攻擊 有害病毒等問題的出現(xiàn)對社會穩(wěn)定 國家安全造成了極大的危害 信息安全的重要性日益突出信息系統(tǒng)安全問題已經(jīng)被提到關(guān)系國家安全和國家主權(quán)的戰(zhàn)略性高度 112 系統(tǒng)安全保護等級劃分準(zhǔn)則 大多數(shù)信息系統(tǒng)缺少有效的安全技術(shù)防范措施 安全性非常脆弱我國的信息系統(tǒng)安全專用產(chǎn)品市場一直被外國產(chǎn)品占據(jù) 增加了新的安全隱患因此 盡快建立能適應(yīng)和保障我國信息產(chǎn)業(yè)健康發(fā)展的國家信息系統(tǒng)安全等級保護制度已迫在眉睫 113 系統(tǒng)安全保護等級劃分準(zhǔn)則 為了從整體上形成多級信息系統(tǒng)安全保護體系為了提高國家信息系統(tǒng)安全保護能力為從根本上解決信息社會國家易受攻擊的脆弱性和有效預(yù)防計算機犯罪等問題 中華人民共和國計算機信息系統(tǒng)安全保護條例 第九條明確規(guī)定 計算機信息系統(tǒng)實行安全等級保護 114 系統(tǒng)安全保護等級劃分準(zhǔn)則 為切實加強重要領(lǐng)域信息系統(tǒng)安全的規(guī)范化建設(shè)和管理全面提高國家信息系統(tǒng)安全保護的整體水平使公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察工作更加科學(xué) 規(guī)范 指導(dǎo)工作更具體 明確 115 系統(tǒng)安全保護等級劃分準(zhǔn)則 公安部組織制訂了 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 國家標(biāo)準(zhǔn)于1999年9月13日由國家質(zhì)量技術(shù)監(jiān)督局審查通過并正式批準(zhǔn)發(fā)布于2001年1月1日執(zhí)行 116 系統(tǒng)安全保護等級劃分準(zhǔn)則 該準(zhǔn)則的發(fā)布為計算機信息系統(tǒng)安全法規(guī)和配套標(biāo)準(zhǔn)的制定和執(zhí)法部門的監(jiān)督檢查提供了依據(jù)為安全產(chǎn)品的研制提供了技術(shù)支持為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)是我國計算機信息系統(tǒng)安全保護等級工作的基礎(chǔ) 117 系統(tǒng)安全保護等級劃分準(zhǔn)則 GA388 2002 計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術(shù)要求 GA391 2002 計算機信息系統(tǒng)安全等級保護管理要求 GA T387 2002 計算機信息系統(tǒng)安全等級保護網(wǎng)絡(luò)技術(shù)要求 GA T389 2002 計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求 GA T390 2002 計算機信息系統(tǒng)安全等級保護通用技術(shù)要求 118 系統(tǒng)安全保護等級劃分準(zhǔn)則 準(zhǔn)則 規(guī)定了計算機系統(tǒng)安全保護能力的五個等級 即 第一級 用戶自主保護級第二級 系統(tǒng)審計保護級第三級 安全標(biāo)記保護級第四級 結(jié)構(gòu)化保護級第五級 訪問驗證保護級 119 系統(tǒng)安全保護等級劃分準(zhǔn)則 用戶自主保護級 計算機信息系統(tǒng)可信計算基通過隔離用戶與數(shù)據(jù) 使用戶具備自主安全保護的能力 它具有多種形式的控制能力 對用戶實施訪問控制 即為用戶提供可行的手段 保護用戶和用戶組信息 避免其他用戶對數(shù)據(jù)的非法讀寫與破壞 120 系統(tǒng)安全保護等級劃分準(zhǔn)則 系統(tǒng)審計保護級 與用戶自主保護級相比 計算機信息系統(tǒng)可信計算基實施了粒度更細的自主訪問控制它通過登錄規(guī)程 審計安全性相關(guān)事件和隔離資源 使用戶對自己的行為負責(zé) 121 系統(tǒng)安全保護等級劃分準(zhǔn)則 安全標(biāo)記保護級 計算機信息系統(tǒng)可信計算基具有系統(tǒng)審計保護級所有功能此外 還提供有關(guān)安全策略模型 數(shù)據(jù)標(biāo)記以及主體對客體強制訪問控制的非形式化描述具有準(zhǔn)確地標(biāo)記輸出信息的能力消除通過測試發(fā)現(xiàn)的任何錯誤 122 系統(tǒng)安全保護等級劃分準(zhǔn)則 結(jié)構(gòu)化保護級 計算機信息系統(tǒng)可信計算基建立于一個明確定義的形式化安全策略模型之上要求將第三級系統(tǒng)中的自主和強制訪問控制擴展到所有主體與客體此外 還要考慮隱蔽通道計算機信息系統(tǒng)可信計算基必須結(jié)構(gòu)化為關(guān)鍵保護元素和非關(guān)鍵保護元素 123 系統(tǒng)安全保護等級劃分準(zhǔn)則 計算機信息系統(tǒng)可信計算基的接口也必須明確定義 使其設(shè)計與實現(xiàn)能經(jīng)受更充分的測試和更完整的復(fù)審加強了鑒別機制支持系統(tǒng)管理員和操作員的職能提供可信設(shè)施管理增強了配置管理控制系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力 124 系統(tǒng)安全保護等級劃分準(zhǔn)則 訪問驗證保護級計算機信息系統(tǒng)可信計算基滿足訪問監(jiān)控器需求訪問監(jiān)控器仲裁主體對客體的全部訪問訪問監(jiān)控器本身是抗篡改的 必須足夠小 能夠分析和測試 125 系統(tǒng)安全保護等級劃分準(zhǔn)則 訪問驗證保護級支持安全管理員職能擴充審計機制 當(dāng)發(fā)生與安全相關(guān)的事件時發(fā)出信號提供系統(tǒng)恢復(fù)機制系統(tǒng)具有很高的抗?jié)B透能力 126 標(biāo)準(zhǔn)介紹 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程可信計算機系統(tǒng)評估準(zhǔn)則 TCSEC 可信網(wǎng)絡(luò)解釋 TNI 通用準(zhǔn)則CC 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 信息安全保證技術(shù)框架 信息系統(tǒng)安全保護等級應(yīng)用指南 127 信息安全保證技術(shù)框架 IATF 信息保證技術(shù)框架 InformationAssuranceTechnicalFramework IATF 為保護政府 企業(yè)信息及信息基礎(chǔ)設(shè)施提供了技術(shù)指南IATF對信息保證技術(shù)四個領(lǐng)域的劃分同樣適用于信息系統(tǒng)的安全評估 它給出了一種實現(xiàn)系統(tǒng)安全要素和安全服務(wù)的層次結(jié)構(gòu) 128 信息安全保證技術(shù)框架 IATF 129 信息安全保證技術(shù)框架 IATF 信息安全保證技術(shù)框架將計算機信息系統(tǒng)分4個部分 本地計算環(huán)境區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施 130 信息安全保證技術(shù)框架 IATF 本地計算環(huán)境一般包括服務(wù)器客戶端及其上面的應(yīng)用 如打印服務(wù) 目錄服務(wù)等 操作系統(tǒng)數(shù)據(jù)庫基于主機的監(jiān)控組件 病毒檢測 入侵檢測 131 信息安全保證技術(shù)框架 IATF 信息安全保證技術(shù)框架將計算機信息系統(tǒng)分4個部分 本地計算環(huán)境區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施 132 信息安全保證技術(shù)框架 IATF 區(qū)域是指在單一安全策略管理下 通過網(wǎng)絡(luò)連接起來的計算設(shè)備的集合區(qū)域邊界是區(qū)域與外部網(wǎng)絡(luò)發(fā)生信息交換的部分區(qū)域邊界確保進入的信息不會影響區(qū)域內(nèi)資源的安全 而離開的信息是經(jīng)過合法授權(quán)的 133 信息安全保證技術(shù)框架 IATF 區(qū)域邊界上有效的控制措施包括防火墻門衛(wèi)系統(tǒng)VPN標(biāo)識和鑒別訪問控制等有效的監(jiān)督措施包括基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) IDS 脆弱性掃描器局域網(wǎng)上的病毒檢測器等 134 信息安全保證技術(shù)框架 IATF 邊界的主要作用是防止外來攻擊它也可以來對付某些惡意的內(nèi)部人員這些內(nèi)部人員有可能利用邊界環(huán)境來發(fā)起攻擊通過開放后門 隱蔽通道來為外部攻擊提供方便 135 信息安全保證技術(shù)框架 IATF 信息安全保證技術(shù)框架將計算機信息系統(tǒng)分4個部分 本地計算環(huán)境區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施 136 信息安全保證技術(shù)框架 IATF 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施在區(qū)域之間提供連接 包括局域網(wǎng) LAN 校園網(wǎng) CAN 城域網(wǎng) MAN 廣域網(wǎng)等其中包括在網(wǎng)絡(luò)節(jié)點間 如路由器和交換機 傳遞信息的傳輸部件 如 衛(wèi)星 微波 光纖等 以及其他重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件如網(wǎng)絡(luò)管理組件 域名服務(wù)器及目錄服務(wù)組件等 137 信息安全保證技術(shù)框架 IATF 對網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的安全要求主要是鑒別訪問控制機密性完整性抗抵賴性可用性 138 信息安全保證技術(shù)框架 IATF 信息安全保證技術(shù)框架將計算機信息系統(tǒng)分4個部分 本地計算環(huán)境區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施 139 信息安全保證技術(shù)框架 IATF 支撐基礎(chǔ)設(shè)施提供了一個IA機制在網(wǎng)絡(luò) 區(qū)域及計算環(huán)境內(nèi)進行安全管理 提供安全服務(wù)所使用的基礎(chǔ)主要為以下內(nèi)容提供安全服務(wù) 終端用戶工作站web服務(wù)應(yīng)用文件DNS服務(wù)目錄服務(wù)等 140 信息安全保證技術(shù)框架 IATF IATF中涉及到兩個方面的支撐基礎(chǔ)設(shè)施 KMI PKI檢測響應(yīng)基礎(chǔ)設(shè)施KMI PKI提供了一個公鑰證書及傳統(tǒng)對稱密鑰的產(chǎn)生 分發(fā)及管理的統(tǒng)一過程檢測及響應(yīng)基礎(chǔ)設(shè)施提供對入侵的快速檢測和響應(yīng) 包括入侵檢測 監(jiān)控軟件 CERT等 141 信息安全保證技術(shù)框架 IATF 深度保衛(wèi)戰(zhàn)略在信息保證技術(shù)框架 IATF 下提出保衛(wèi)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施保衛(wèi)邊界保衛(wèi)計算環(huán)境支持基礎(chǔ)設(shè)施 142 信息安全保證技術(shù)框架 IATF 其中使用多層信息保證 IA 技術(shù)來保證信息的安全意味著通過對關(guān)鍵部位提供適當(dāng)層次的保護就可以為組織提供有效的保護這種分層的策略允許在恰當(dāng)?shù)牟课淮嬖诘捅ＷC級別的應(yīng)用 而在關(guān)鍵部位如網(wǎng)絡(luò)邊界部分采用高保證級別的應(yīng)用 143 信息安全保證技術(shù)框架 IATF 區(qū)域邊界保護內(nèi)部的計算環(huán)境 控制外部用戶的非授權(quán)訪問 同時控制內(nèi)部惡意用戶從區(qū)域內(nèi)發(fā)起攻擊根據(jù)所要保護信息資源的敏感級別以及潛在的內(nèi)外威脅 可將邊界分為不同的層次 144 信息安全保證技術(shù)框架 IATF 在對信息系統(tǒng)進行安全評估時 可以依據(jù)這種多層的深度保衛(wèi)戰(zhàn)略對系統(tǒng)的構(gòu)成進行合理分析根據(jù)系統(tǒng)所面臨的各種威脅及實際安全需求分別對計算環(huán)境 區(qū)域邊界 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施 支撐基礎(chǔ)設(shè)施進行安全評估對系統(tǒng)的安全保護等級作出恰當(dāng)?shù)脑u估 145 信息安全保證技術(shù)框架 IATF 在網(wǎng)絡(luò)上 有三種不同的通信流 用戶通信流控制通信流管理通信流信息系統(tǒng)應(yīng)保證局域內(nèi)這些通信流的安全直接假設(shè)KMI PKI等支撐基礎(chǔ)設(shè)施的實施過程是安全的 146 標(biāo)準(zhǔn)介紹 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程可信計算機系統(tǒng)評估準(zhǔn)則 TCSEC 可信網(wǎng)絡(luò)解釋 TNI 通用準(zhǔn)則CC 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 信息安全保證技術(shù)框架 信息系統(tǒng)安全保護等級應(yīng)用指南 147 應(yīng)用指南 通用部分 前三部分主要介紹了該準(zhǔn)則的應(yīng)用范圍 規(guī)范性引用文件以及一些術(shù)語的定義 應(yīng)用指南詳細說明了為實現(xiàn) 準(zhǔn)則 所提出的安全要求應(yīng)采取的具體安全策略和安全機制 以及為確保實現(xiàn)這些安全策略和安全機制的安全功能達到其應(yīng)具有的安全性而采取的保證措施 148 應(yīng)用指南 通用部分 第四部分是總體結(jié)構(gòu)與說明 給出了 準(zhǔn)則 應(yīng)用指南 技術(shù)要求 的總體結(jié)構(gòu) 并對有關(guān)內(nèi)容作一般性說明 包括安全要求與目標(biāo) 組成與結(jié)構(gòu)和一般說明 149 應(yīng)用指南 通用部分 安全要求與目標(biāo) 無論是安全保護框架的描述 還是安全目標(biāo)的設(shè)計 都要從安全功能的完備性 一致性和有效性等方面進行考慮 完備性 安全保護框架 PP 不應(yīng)有安全漏洞一致性 安全保護框架 PP 中的安全功能應(yīng)該平滑一致有效性 安全保護框架 PP 中的安全功能應(yīng)該是有效的 150 應(yīng)用指南 通用部分 應(yīng)用指南在對安全功能和安全保證進行詳細說明以后 對 準(zhǔn)則 各個安全等級的不同要求分別進行詳細描述安全功能主要說明一個計算機信息系統(tǒng)所實現(xiàn)的安全策略和安全機制符合 準(zhǔn)則 中哪一級的功能要求安全保證則是通過一定的方法保證計算機信息系統(tǒng)所提供的安全功能確實達到了確定的功能要求和強度 151 應(yīng)用指南 通用部分 安全功能要求從物理安全 運行安全和信息安全三個方面對一個安全的計算機信息系統(tǒng)所應(yīng)提供的與安全有關(guān)的功能進行描述安全保證要求則分別從TCB自身安全 TCB的設(shè)計和實現(xiàn)和TCB安全管理三個方面進行描述 152 應(yīng)用指南 通用部分 一般說明部分 對本指南內(nèi)容 安全等級劃分 主體和客體 TCB 引起信息流動的方式 密碼技術(shù) 安全的計算機信息系統(tǒng)開發(fā)方法進行了進一步的說明 153 應(yīng)用指南 通用部分 第五部分是安全功能技術(shù)要求說明 為了對計算機信息系統(tǒng)安全功能的實現(xiàn)進行了完整的描述 這里將實現(xiàn)這些安全功能所涉及的所有因素做了較為全面的說明安全功能包括物理安全 運行安全和信息安全 154 應(yīng)用指南 通用部分 物理安全也稱實體安全 是指包括環(huán)境設(shè)備和記錄介質(zhì)在內(nèi)的所有支持信息系統(tǒng)運行的硬件的安全它是一個信息系統(tǒng)安全運行的基礎(chǔ)計算機網(wǎng)絡(luò)信息系統(tǒng)的實體安全包括環(huán)境安全 設(shè)備安全和介質(zhì)安全 155 應(yīng)用指南 通用部分 運行安全是指在物理安全得到保障的前提下 為確保計算機信息系統(tǒng)不間斷運行而采取的各種檢測 監(jiān)控 審計 分析 備份及容錯等方法和措施當(dāng)前 保障運行安全的主要技術(shù)和機制有 風(fēng)險分析 網(wǎng)絡(luò)安全檢測與監(jiān)控 安全審計 網(wǎng)絡(luò)防病毒 備份與故障恢復(fù) 以及計算機信息系統(tǒng)應(yīng)急計劃與應(yīng)急措施等 156 應(yīng)用指南 通用部分 信息安全是指在計算機信息系統(tǒng)運行安全得到保證的前提下 對在計算機信息系統(tǒng)中存儲 傳輸和處理的信息進行有效的保護 使其不因人為的或自然的原因被泄露 篡改和破壞當(dāng)前常用的信息保護技術(shù)有 進入系統(tǒng)用戶的標(biāo)識和鑒別 信息交換的安全鑒別 隱秘 自主訪問控制 標(biāo)記與強制訪問控制 數(shù)據(jù)保密性保護 數(shù)據(jù)完整性保護 剩余信息保護及密碼支持等 157 應(yīng)用指南 通用部分 第六部分是安全保證技術(shù)要求說明為了確保所要求的安全功能達到所確定的安全目標(biāo) 必須從以下方面保證安全功能從設(shè)計 實現(xiàn)到運行管理等各個環(huán)節(jié)嚴(yán)格按照所規(guī)定的要求進行 TCB自身安全保護TCB設(shè)計和實現(xiàn)TCB安全管理 158 應(yīng)用指南 通用部分 TCB自身安全保護是指 一方面提供與TSF機制的完整性和管理有關(guān)的保護 另一方面提供與TSF數(shù)據(jù)的完整性有關(guān)的保護TCB自身安全保護可能采用與對用戶數(shù)據(jù)安全保護相同的安全策略和機制 但其所要實現(xiàn)的目標(biāo)是不同的 前者是為了自身更健壯 從而使其所提供的安全功能更有保證 后者則是為了實現(xiàn)其直接所提供的安全功能 159 應(yīng)用指南 通用部分 TCB自身安全保護的內(nèi)容主要包括 根本的抽象機測試 失敗保護 輸出TSF數(shù)據(jù)的可用性 輸出TSF數(shù)據(jù)的保密性 輸出TSF數(shù)據(jù)的完整性 TCB內(nèi)TSF數(shù)據(jù)傳輸 物理安全保護 可信恢復(fù) 重放檢測 參照仲裁 域分離 狀態(tài)同步協(xié)議 時間戳 TSF間的TSF數(shù)據(jù)的一致性 TCB內(nèi)TSF數(shù)據(jù)復(fù)制的一致性 TSF自檢 資源利用 TCB訪問控制 可信路徑 160 應(yīng)用指南 通用部分 TCB設(shè)計和實現(xiàn)是確保TCB自身安全的重要組成部分本部分從配置管理 分發(fā)和操作 開發(fā) 指導(dǎo)性文檔 生命周期支持 測試 脆弱性評定等方面對安全保證的技術(shù)要求進行說明 161 應(yīng)用指南 通用部分 TCB安全管理是指與安全技術(shù)和策略密切相關(guān)的管理 是安全系統(tǒng)設(shè)計的延伸在計算機信息系統(tǒng)中 安全管理是指對與TCB安全相關(guān)方面的管理安全管理一般設(shè)置專門的安全管理人員 通過操作專門的安全界面實現(xiàn)安全管理對不同的管理角色和它們之間的相互作用 如能力的分離 進行規(guī)定 162 應(yīng)用指南 通用部分 安全管理包括 TSF的功能管理安全屬性的管理TSF數(shù)據(jù)的管理安全角色的定義與管理安全屬性的到期和撤消等 163 應(yīng)用指南 網(wǎng)絡(luò)部分 應(yīng)用指南 網(wǎng)絡(luò)部分 主要從對網(wǎng)絡(luò)系統(tǒng)的安全等級進行劃分的角度來說明不同安全等級在安全功能方面的特定技術(shù)要求本部分中的安全技術(shù)要求 適用于以各種形式連接的網(wǎng)絡(luò)環(huán)境 無論是構(gòu)成分布式系統(tǒng)的網(wǎng)絡(luò)環(huán)境 還是連接計算機系統(tǒng)的局域或廣域網(wǎng)環(huán)境 164 應(yīng)用指南 網(wǎng)絡(luò)部分 根據(jù)ISO OSI的七層體系結(jié)構(gòu) 網(wǎng)絡(luò)安全機制在各層的分布如下 物理層 數(shù)據(jù)流加密機制數(shù)據(jù)鏈路層 數(shù)據(jù)加密機制網(wǎng)絡(luò)層 身份認(rèn)證機制 訪問控制機制 數(shù)據(jù)加密機制 路由控制機制 一致性檢查機制傳輸層 身份認(rèn)證機制 訪問控制機制 數(shù)據(jù)加密機制會話層 身份認(rèn)證機制 訪問控制機制 數(shù)據(jù)加密機制 數(shù)字簽名機制 交換認(rèn)證 抗抵賴 機制表示層 身份認(rèn)證機制 訪問控制機制 數(shù)據(jù)加密機制 數(shù)字簽名機制 交換認(rèn)證 抗抵賴 機制應(yīng)用層 身份認(rèn)證機制 訪問控制機制 數(shù)據(jù)加密機制 數(shù)字簽名機制 交換認(rèn)證 抗抵賴 機制 業(yè)務(wù)流分析機制 165 應(yīng)用指南 網(wǎng)絡(luò)部分 網(wǎng)絡(luò)系統(tǒng)安全體系結(jié)構(gòu)是由物理層 鏈路層 網(wǎng)絡(luò)層 會話層 表示層 以及應(yīng)用層信息系統(tǒng)所組成對于網(wǎng)絡(luò)信息系統(tǒng)的每個分系統(tǒng) 都可按 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 的要求 對其安全性等級進行劃分評估在各層中 安全要素的實現(xiàn)方法會有所不同對于每一個安全要素 將從其所提供的安全功能和安全保證措施來說明各個等級的差別 166 應(yīng)用指南 網(wǎng)絡(luò)部分 一般說明部分包括本指南內(nèi)容 安全等級劃分 主體和客體 TCB 引起信息流動的方式 密碼技術(shù) 安全網(wǎng)絡(luò)系統(tǒng)實現(xiàn)方法 167 應(yīng)用指南 網(wǎng)絡(luò)部分 網(wǎng)絡(luò)系統(tǒng)安全技術(shù)說明部分對各種安全要素的策略 機制 功能 用戶屬性定義 安全管理和技術(shù)要求等做了具體的說明主要包括自主訪問控制 強制訪問控制 標(biāo)記 標(biāo)識和鑒別 客體重用 審計 數(shù)據(jù)完整性 隱蔽信道分析 可信路徑 可信恢復(fù) 通信安全 密碼支持 168 應(yīng)用指南 網(wǎng)絡(luò)部分 網(wǎng)絡(luò)系統(tǒng)安全保護等級劃分技術(shù)要求部分 針對七層網(wǎng)絡(luò)體系結(jié)構(gòu)中的每一層 介紹了各個安全等級的具體要求 以及每個等級中對各個安全要素的具體要求同時針對每個安全等級 介紹了在網(wǎng)絡(luò)體系結(jié)構(gòu)每層的具體要求 以及每層中對各個安全要求的具體要求 169 應(yīng)用指南 網(wǎng)絡(luò)部分 第七部分是網(wǎng)絡(luò)設(shè)備可能對應(yīng)的安全保護等級 主要介紹了各類網(wǎng)絡(luò)設(shè)備可能對應(yīng)的安全保護等級 170 參考網(wǎng)址 moncriteria orghttp oval mitre org openvulnerabilityassessmentlanguage