網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹

1、2022-4-13網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹網(wǎng)絡(luò)與信息安全計(jì)算機(jī)網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹介紹網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹標(biāo)準(zhǔn)介紹標(biāo)準(zhǔn)介紹 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC ） 可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋（TNI） 通用準(zhǔn)則通用準(zhǔn)則CC 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 信息系統(tǒng)安全評(píng)估方法探討信息系統(tǒng)安全評(píng)估方法探討 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程信息技術(shù)安全評(píng)估

2、準(zhǔn)則發(fā)展過程 信息技術(shù)安全評(píng)估是對(duì)一個(gè)構(gòu)件、產(chǎn)品、子系統(tǒng)或系信息技術(shù)安全評(píng)估是對(duì)一個(gè)構(gòu)件、產(chǎn)品、子系統(tǒng)或系統(tǒng)的安全屬性進(jìn)行的技術(shù)評(píng)價(jià)，通過評(píng)估判斷該構(gòu)件、統(tǒng)的安全屬性進(jìn)行的技術(shù)評(píng)價(jià)，通過評(píng)估判斷該構(gòu)件、產(chǎn)品、子系統(tǒng)或系統(tǒng)是否滿足一組特定的要求。信息產(chǎn)品、子系統(tǒng)或系統(tǒng)是否滿足一組特定的要求。信息技術(shù)安全評(píng)估的另一層含義是在一定的安全策略、安技術(shù)安全評(píng)估的另一層含義是在一定的安全策略、安全功能需求及目標(biāo)保證級(jí)別下獲得相應(yīng)保證的過程全功能需求及目標(biāo)保證級(jí)別下獲得相應(yīng)保證的過程 。 產(chǎn)品安全評(píng)估產(chǎn)品安全評(píng)估 信息系統(tǒng)安全評(píng)估信息系統(tǒng)安全評(píng)估 信息系統(tǒng)安全評(píng)估，或簡(jiǎn)稱為系統(tǒng)評(píng)估，是在具體的信息系統(tǒng)安全評(píng)

3、估，或簡(jiǎn)稱為系統(tǒng)評(píng)估，是在具體的操作環(huán)境與任務(wù)下對(duì)一個(gè)系統(tǒng)的安全保護(hù)能力進(jìn)行的操作環(huán)境與任務(wù)下對(duì)一個(gè)系統(tǒng)的安全保護(hù)能力進(jìn)行的評(píng)估評(píng)估 。網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 2020世紀(jì)世紀(jì)6060年代后期，年代后期，19671967年美國(guó)國(guó)防部（年美國(guó)國(guó)防部（DODDOD）成立了）成立了一個(gè)研究組，針對(duì)當(dāng)時(shí)計(jì)算機(jī)使用環(huán)境中的安全策略一個(gè)研究組，針對(duì)當(dāng)時(shí)計(jì)算機(jī)使用環(huán)境中的安全策略進(jìn)行研究，其研究結(jié)果是進(jìn)行研究，其研究結(jié)果是“Defense Science Board Defense Science Board report”rep

4、ort” 7070年代的后期年代的后期DODDOD對(duì)當(dāng)時(shí)流行的操作系統(tǒng)對(duì)當(dāng)時(shí)流行的操作系統(tǒng)KSOSKSOS，PSOSPSOS，KVMKVM進(jìn)行了安全方面的研究進(jìn)行了安全方面的研究 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 8080年代后，美國(guó)國(guó)防部發(fā)布的年代后，美國(guó)國(guó)防部發(fā)布的“可信計(jì)算機(jī)系統(tǒng)評(píng)估可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（準(zhǔn)則（TCSECTCSEC）”（即桔皮書）（即桔皮書） 后來后來DODDOD又發(fā)布了可信數(shù)據(jù)庫(kù)解釋（又發(fā)布了可信數(shù)據(jù)庫(kù)解釋（TDITDI）、可信網(wǎng)絡(luò)）、可信網(wǎng)絡(luò)解釋（解釋（TNITNI）等一系列相關(guān)的說明和指南）等一系

5、列相關(guān)的說明和指南 9090年代初，英、法、德、荷等四國(guó)針對(duì)年代初，英、法、德、荷等四國(guó)針對(duì)TCSECTCSEC準(zhǔn)則的局準(zhǔn)則的局限性，提出了包含保密性、完整性、可用性等概念的限性，提出了包含保密性、完整性、可用性等概念的“信息技術(shù)安全評(píng)估準(zhǔn)則信息技術(shù)安全評(píng)估準(zhǔn)則”（ITSECITSEC），定義了從），定義了從E0E0級(jí)級(jí)到到E6E6級(jí)的七個(gè)安全等級(jí)級(jí)的七個(gè)安全等級(jí) 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 加拿大加拿大19881988年開始制訂年開始制訂The Canadian Trusted The Canadian Trusted

6、 Computer Product Evaluation Criteria Computer Product Evaluation Criteria （CTCPECCTCPEC） 19931993年，美國(guó)對(duì)年，美國(guó)對(duì)TCSECTCSEC作了補(bǔ)充和修改，制定了作了補(bǔ)充和修改，制定了“組合組合的聯(lián)邦標(biāo)準(zhǔn)的聯(lián)邦標(biāo)準(zhǔn)”（簡(jiǎn)稱（簡(jiǎn)稱FCFC） 國(guó)際標(biāo)準(zhǔn)化組織（國(guó)際標(biāo)準(zhǔn)化組織（ISOISO）從）從19901990年開始開發(fā)通用的國(guó)際年開始開發(fā)通用的國(guó)際標(biāo)準(zhǔn)評(píng)估準(zhǔn)則標(biāo)準(zhǔn)評(píng)估準(zhǔn)則 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 在在19931993年年6

7、6月，月，CTCPECCTCPEC、FCFC、TCSECTCSEC和和ITSECITSEC的發(fā)起組織的發(fā)起組織開始聯(lián)合起來，將各自獨(dú)立的準(zhǔn)則組合成一個(gè)單一的、開始聯(lián)合起來，將各自獨(dú)立的準(zhǔn)則組合成一個(gè)單一的、能被廣泛使用的能被廣泛使用的ITIT安全準(zhǔn)則安全準(zhǔn)則 發(fā)起組織包括六國(guó)七方：加拿大、法國(guó)、德國(guó)、荷蘭、發(fā)起組織包括六國(guó)七方：加拿大、法國(guó)、德國(guó)、荷蘭、英國(guó)、美國(guó)英國(guó)、美國(guó)NISTNIST及美國(guó)及美國(guó)NSANSA，他們的代表建立了，他們的代表建立了CCCC編輯編輯委員會(huì)（委員會(huì)（CCEBCCEB）來開發(fā)）來開發(fā)CCCC 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程信

8、息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 19961996年年1 1月完成月完成CC1.0CC1.0版版 ,在在19961996年年4 4月被月被ISOISO采納采納 19971997年年1010月完成月完成CC2.0CC2.0的測(cè)試版的測(cè)試版 19981998年年5 5月發(fā)布月發(fā)布CC2.0CC2.0版版 19991999年年1212月月ISOISO采納采納CCCC，并作為國(guó)際標(biāo)準(zhǔn)，并作為國(guó)際標(biāo)準(zhǔn)ISO 15408ISO 15408發(fā)發(fā)布布 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹安全評(píng)估標(biāo)準(zhǔn)的發(fā)展歷程安全評(píng)估標(biāo)準(zhǔn)的發(fā)展歷程 桔皮書桔皮書（TCSEC）1985英國(guó)安全英國(guó)安全標(biāo)準(zhǔn)標(biāo)準(zhǔn)1989德國(guó)標(biāo)準(zhǔn)德

9、國(guó)標(biāo)準(zhǔn)法國(guó)標(biāo)準(zhǔn)法國(guó)標(biāo)準(zhǔn)加拿大標(biāo)準(zhǔn)加拿大標(biāo)準(zhǔn)1993聯(lián)邦標(biāo)準(zhǔn)聯(lián)邦標(biāo)準(zhǔn)草案草案1993ITSEC1991通用標(biāo)準(zhǔn)通用標(biāo)準(zhǔn)V1.0 1996V2.0 1998V2.1 1999網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹標(biāo)準(zhǔn)介紹標(biāo)準(zhǔn)介紹 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC） 可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋 （TNI） 通用準(zhǔn)則通用準(zhǔn)則CC 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 信息系統(tǒng)安全評(píng)估方法探討信息系統(tǒng)安全評(píng)估方法探討網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC 在在TCSEC

10、TCSEC中，美國(guó)國(guó)防部按處理信息的等級(jí)和應(yīng)采用的中，美國(guó)國(guó)防部按處理信息的等級(jí)和應(yīng)采用的響應(yīng)措施，將計(jì)算機(jī)安全從高到低分為：響應(yīng)措施，將計(jì)算機(jī)安全從高到低分為：A A、B B、C C、D D四類八個(gè)級(jí)別，共四類八個(gè)級(jí)別，共2727條評(píng)估準(zhǔn)則條評(píng)估準(zhǔn)則 隨著安全等級(jí)的提高，系統(tǒng)的可信度隨之增加，風(fēng)險(xiǎn)隨著安全等級(jí)的提高，系統(tǒng)的可信度隨之增加，風(fēng)險(xiǎn)逐漸減少。逐漸減少。 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC四個(gè)安全等級(jí)：四個(gè)安全等級(jí)：無保護(hù)級(jí)無保護(hù)級(jí) 自主保護(hù)級(jí)自主保護(hù)級(jí) 強(qiáng)制保護(hù)級(jí)強(qiáng)制保護(hù)級(jí)驗(yàn)證保護(hù)級(jí)驗(yàn)證保護(hù)級(jí)網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC D D類是最低

11、保護(hù)等級(jí)，即無保護(hù)級(jí)類是最低保護(hù)等級(jí)，即無保護(hù)級(jí) 是為那些經(jīng)過評(píng)估，但不滿足較高評(píng)估等級(jí)要求的系是為那些經(jīng)過評(píng)估，但不滿足較高評(píng)估等級(jí)要求的系統(tǒng)設(shè)計(jì)的，只具有一個(gè)級(jí)別統(tǒng)設(shè)計(jì)的，只具有一個(gè)級(jí)別 該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息能在多用戶環(huán)境下處理敏感信息 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC四個(gè)安全等級(jí)：四個(gè)安全等級(jí)：無保護(hù)級(jí)無保護(hù)級(jí) 自主保護(hù)級(jí)自主保護(hù)級(jí) 強(qiáng)制保護(hù)級(jí)強(qiáng)制保護(hù)級(jí)驗(yàn)證保護(hù)級(jí)驗(yàn)證保護(hù)級(jí)網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC C C類為自主保護(hù)級(jí)類為自主保護(hù)級(jí) 具有

12、一定的保護(hù)能力，采用的措施是自主訪問控制和具有一定的保護(hù)能力，采用的措施是自主訪問控制和審計(jì)跟蹤審計(jì)跟蹤 一般只適用于具有一定等級(jí)的多用戶環(huán)境一般只適用于具有一定等級(jí)的多用戶環(huán)境 具有對(duì)主體責(zé)任及其動(dòng)作審計(jì)的能力具有對(duì)主體責(zé)任及其動(dòng)作審計(jì)的能力網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSECC C類分為類分為C1C1和和C2C2兩個(gè)級(jí)別兩個(gè)級(jí)別: : 自主安全保護(hù)級(jí)（自主安全保護(hù)級(jí)（C1級(jí)級(jí)) ) 控制訪問保護(hù)級(jí)（控制訪問保護(hù)級(jí)（C2級(jí)）級(jí)） 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC C1級(jí)級(jí)TCBTCB通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保通過隔離用戶與數(shù)據(jù)，使用戶具備

13、自主安全保護(hù)的能力護(hù)的能力 它具有多種形式的控制能力，對(duì)用戶實(shí)施訪問控制它具有多種形式的控制能力，對(duì)用戶實(shí)施訪問控制 為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對(duì)數(shù)據(jù)的非法讀寫與破壞免其他用戶對(duì)數(shù)據(jù)的非法讀寫與破壞 C1C1級(jí)的系統(tǒng)適用于處理同一敏感級(jí)別數(shù)據(jù)的多用戶環(huán)級(jí)的系統(tǒng)適用于處理同一敏感級(jí)別數(shù)據(jù)的多用戶環(huán)境境 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC C2C2級(jí)計(jì)算機(jī)系統(tǒng)比級(jí)計(jì)算機(jī)系統(tǒng)比C1C1級(jí)具有更細(xì)粒度的自主訪問控制級(jí)具有更細(xì)粒度的自主訪問控制 C2C2級(jí)通過注冊(cè)過程控制、審計(jì)安全相關(guān)事件以及資源級(jí)通過注冊(cè)過

14、程控制、審計(jì)安全相關(guān)事件以及資源隔離，使單個(gè)用戶為其行為負(fù)責(zé)隔離，使單個(gè)用戶為其行為負(fù)責(zé) 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC四個(gè)安全等級(jí)：四個(gè)安全等級(jí)：無保護(hù)級(jí)無保護(hù)級(jí) 自主保護(hù)級(jí)自主保護(hù)級(jí) 強(qiáng)制保護(hù)級(jí)強(qiáng)制保護(hù)級(jí)驗(yàn)證保護(hù)級(jí)驗(yàn)證保護(hù)級(jí)網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC B B類為強(qiáng)制保護(hù)級(jí)類為強(qiáng)制保護(hù)級(jí) 主要要求是主要要求是TCBTCB應(yīng)維護(hù)完整的安全標(biāo)記，并在此基礎(chǔ)上應(yīng)維護(hù)完整的安全標(biāo)記，并在此基礎(chǔ)上執(zhí)行一系列強(qiáng)制訪問控制規(guī)則執(zhí)行一系列強(qiáng)制訪問控制規(guī)則 B B類系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標(biāo)記類系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標(biāo)記 系統(tǒng)的開發(fā)者還應(yīng)為

15、系統(tǒng)的開發(fā)者還應(yīng)為TCBTCB提供安全策略模型以及提供安全策略模型以及TCBTCB規(guī)規(guī)約約 應(yīng)提供證據(jù)證明訪問監(jiān)控器得到了正確的實(shí)施應(yīng)提供證據(jù)證明訪問監(jiān)控器得到了正確的實(shí)施 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSECB類分為三個(gè)類別：類分為三個(gè)類別：標(biāo)記安全保護(hù)級(jí)（標(biāo)記安全保護(hù)級(jí)（B1級(jí)）級(jí)） 結(jié)構(gòu)化保護(hù)級(jí)（結(jié)構(gòu)化保護(hù)級(jí)（B2級(jí)）級(jí)） 安全區(qū)域保護(hù)級(jí)（安全區(qū)域保護(hù)級(jí)（B3級(jí)）級(jí)） 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC B1B1級(jí)系統(tǒng)要求具有級(jí)系統(tǒng)要求具有C2C2級(jí)系統(tǒng)的所有特性級(jí)系統(tǒng)的所有特性 在此基礎(chǔ)上，還應(yīng)提供安全策略模型的非形式化描述、在此基礎(chǔ)上，還應(yīng)提供安

16、全策略模型的非形式化描述、數(shù)據(jù)標(biāo)記以及命名主體和客體的強(qiáng)制訪問控制數(shù)據(jù)標(biāo)記以及命名主體和客體的強(qiáng)制訪問控制 并消除測(cè)試中發(fā)現(xiàn)的所有缺陷并消除測(cè)試中發(fā)現(xiàn)的所有缺陷 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSECB類分為三個(gè)類別：類分為三個(gè)類別：標(biāo)記安全保護(hù)級(jí)（標(biāo)記安全保護(hù)級(jí)（B1級(jí)）級(jí)） 結(jié)構(gòu)化保護(hù)級(jí)（結(jié)構(gòu)化保護(hù)級(jí)（B2級(jí)）級(jí)） 安全區(qū)域保護(hù)級(jí)（安全區(qū)域保護(hù)級(jí)（B3級(jí)）級(jí)）網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC 在在B2B2級(jí)系統(tǒng)中，級(jí)系統(tǒng)中，TCBTCB建立于一個(gè)明確定義并文檔化形式建立于一個(gè)明確定義并文檔化形式化安全策略模型之上化安全策略模型之上 要求將要求將B1B1

17、級(jí)系統(tǒng)中建立的自主和強(qiáng)制訪問控制擴(kuò)展到級(jí)系統(tǒng)中建立的自主和強(qiáng)制訪問控制擴(kuò)展到所有的主體與客體所有的主體與客體 在此基礎(chǔ)上，應(yīng)對(duì)隱蔽信道進(jìn)行分析在此基礎(chǔ)上，應(yīng)對(duì)隱蔽信道進(jìn)行分析 TCBTCB應(yīng)結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素應(yīng)結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC TCBTCB接口必須明確定義接口必須明確定義 其設(shè)計(jì)與實(shí)現(xiàn)應(yīng)能夠經(jīng)受更充分的測(cè)試和更完善的審其設(shè)計(jì)與實(shí)現(xiàn)應(yīng)能夠經(jīng)受更充分的測(cè)試和更完善的審查查 鑒別機(jī)制應(yīng)得到加強(qiáng)，提供可信設(shè)施管理以支持系統(tǒng)鑒別機(jī)制應(yīng)得到加強(qiáng)，提供可信設(shè)施管理以支持系統(tǒng)管理員和操作員的職能管理員和操作員的職能 提

18、供嚴(yán)格的配置管理控制提供嚴(yán)格的配置管理控制 B2B2級(jí)系統(tǒng)應(yīng)具備相當(dāng)?shù)目節(jié)B透能力級(jí)系統(tǒng)應(yīng)具備相當(dāng)?shù)目節(jié)B透能力網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSECB類分為三個(gè)類別：類分為三個(gè)類別：標(biāo)記安全保護(hù)級(jí)（標(biāo)記安全保護(hù)級(jí)（B1級(jí)）級(jí)） 結(jié)構(gòu)化保護(hù)級(jí)（結(jié)構(gòu)化保護(hù)級(jí)（B2級(jí)）級(jí)） 安全區(qū)域保護(hù)級(jí)（安全區(qū)域保護(hù)級(jí)（B3級(jí)）級(jí)）網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC 在在B3B3級(jí)系統(tǒng)中，級(jí)系統(tǒng)中，TCBTCB必須滿足訪問監(jiān)控器需求必須滿足訪問監(jiān)控器需求 訪問監(jiān)控器對(duì)所有主體對(duì)客體的訪問進(jìn)行仲裁訪問監(jiān)控器對(duì)所有主體對(duì)客體的訪問進(jìn)行仲裁 訪問監(jiān)控器本身是抗篡改的訪問監(jiān)控器本身是抗篡

19、改的 訪問監(jiān)控器足夠小訪問監(jiān)控器足夠小 訪問監(jiān)控器能夠分析和測(cè)試訪問監(jiān)控器能夠分析和測(cè)試網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC為了滿足訪問控制器需求為了滿足訪問控制器需求: :計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基在構(gòu)造時(shí)，排除那些對(duì)計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基在構(gòu)造時(shí)，排除那些對(duì)實(shí)施安全策略來說并非必要的代碼實(shí)施安全策略來說并非必要的代碼計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基在設(shè)計(jì)和實(shí)現(xiàn)時(shí)，從系計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基在設(shè)計(jì)和實(shí)現(xiàn)時(shí)，從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度統(tǒng)工程角度將其復(fù)雜性降低到最小程度網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSECB3B3級(jí)系統(tǒng)支持級(jí)系統(tǒng)支持: :安全管理員職能安

20、全管理員職能擴(kuò)充審計(jì)機(jī)制擴(kuò)充審計(jì)機(jī)制當(dāng)發(fā)生與安全相關(guān)的事件時(shí)，發(fā)出信號(hào)當(dāng)發(fā)生與安全相關(guān)的事件時(shí)，發(fā)出信號(hào)提供系統(tǒng)恢復(fù)機(jī)制提供系統(tǒng)恢復(fù)機(jī)制系統(tǒng)具有很高的抗?jié)B透能力系統(tǒng)具有很高的抗?jié)B透能力網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC四個(gè)安全等級(jí)：四個(gè)安全等級(jí)：無保護(hù)級(jí)無保護(hù)級(jí) 自主保護(hù)級(jí)自主保護(hù)級(jí) 強(qiáng)制保護(hù)級(jí)強(qiáng)制保護(hù)級(jí)驗(yàn)證保護(hù)級(jí)驗(yàn)證保護(hù)級(jí)網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC A類為驗(yàn)證保護(hù)級(jí)類為驗(yàn)證保護(hù)級(jí) A A類的特點(diǎn)是使用形式化的安全驗(yàn)證方法，保證系統(tǒng)的類的特點(diǎn)是使用形式化的安全驗(yàn)證方法，保證系統(tǒng)的自主和強(qiáng)制安全控制措施能夠有效地保護(hù)系統(tǒng)中存儲(chǔ)自主和強(qiáng)制安全控制措施

21、能夠有效地保護(hù)系統(tǒng)中存儲(chǔ)和處理的秘密信息或其他敏感信息和處理的秘密信息或其他敏感信息 為證明為證明TCBTCB滿足設(shè)計(jì)、開發(fā)及實(shí)現(xiàn)等各個(gè)方面的安全要滿足設(shè)計(jì)、開發(fā)及實(shí)現(xiàn)等各個(gè)方面的安全要求，系統(tǒng)應(yīng)提供豐富的文檔信息求，系統(tǒng)應(yīng)提供豐富的文檔信息網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSECA A類分為兩個(gè)類別：類分為兩個(gè)類別：驗(yàn)證設(shè)計(jì)級(jí)（驗(yàn)證設(shè)計(jì)級(jí)（A1A1級(jí)）級(jí)） 超超A1A1級(jí)級(jí) 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC A1A1級(jí)系統(tǒng)在功能上和級(jí)系統(tǒng)在功能上和B3B3級(jí)系統(tǒng)是相同的，沒有增加體級(jí)系統(tǒng)是相同的，沒有增加體系結(jié)構(gòu)特性和策略要求系結(jié)構(gòu)特性和策略要求 最顯著的

22、特點(diǎn)是，要求用形式化設(shè)計(jì)規(guī)范和驗(yàn)證方法最顯著的特點(diǎn)是，要求用形式化設(shè)計(jì)規(guī)范和驗(yàn)證方法來對(duì)系統(tǒng)進(jìn)行分析，確保來對(duì)系統(tǒng)進(jìn)行分析，確保TCBTCB按設(shè)計(jì)要求實(shí)現(xiàn)按設(shè)計(jì)要求實(shí)現(xiàn) 從本質(zhì)上說，這種保證是發(fā)展的，它從一個(gè)安全策略從本質(zhì)上說，這種保證是發(fā)展的，它從一個(gè)安全策略的形式化模型和設(shè)計(jì)的形式化高層規(guī)約（的形式化模型和設(shè)計(jì)的形式化高層規(guī)約（FTLSFTLS）開始）開始 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC 針對(duì)針對(duì)A1A1級(jí)系統(tǒng)設(shè)計(jì)驗(yàn)證，有級(jí)系統(tǒng)設(shè)計(jì)驗(yàn)證，有5 5種獨(dú)立于特定規(guī)約語言或種獨(dú)立于特定規(guī)約語言或驗(yàn)證方法的重要準(zhǔn)則：驗(yàn)證方法的重要準(zhǔn)則：安全策略的形式化模型必須得到明確標(biāo)識(shí)并

23、文檔化，提供該模安全策略的形式化模型必須得到明確標(biāo)識(shí)并文檔化，提供該模型與其公理一致以及能夠?qū)Π踩呗蕴峁┳銐蛑С值臄?shù)學(xué)證明型與其公理一致以及能夠?qū)Π踩呗蕴峁┳銐蛑С值臄?shù)學(xué)證明 應(yīng)提供形式化的高層規(guī)約，包括應(yīng)提供形式化的高層規(guī)約，包括TCBTCB功能的抽象定義、用于隔功能的抽象定義、用于隔離執(zhí)行域的硬件離執(zhí)行域的硬件/ /固件機(jī)制的抽象定義固件機(jī)制的抽象定義 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC應(yīng)通過形式化的技術(shù)（如果可能的化）和非形式化的應(yīng)通過形式化的技術(shù)（如果可能的化）和非形式化的技術(shù)證明技術(shù)證明TCB的形式化高層規(guī)約（的形式化高層規(guī)約（FTLS）與模型是一）與模型是一

24、致的致的 通過非形式化的方法證明通過非形式化的方法證明TCB的實(shí)現(xiàn)（硬件、固件、的實(shí)現(xiàn)（硬件、固件、軟件）與形式化的高層規(guī)約（軟件）與形式化的高層規(guī)約（FTLS）是一致的。應(yīng)證）是一致的。應(yīng)證明明FTLS的元素與的元素與TCB的元素是一致的，的元素是一致的，F(xiàn)TLS應(yīng)表達(dá)應(yīng)表達(dá)用于滿足安全策略的一致的保護(hù)機(jī)制，這些保護(hù)機(jī)制用于滿足安全策略的一致的保護(hù)機(jī)制，這些保護(hù)機(jī)制的元素應(yīng)映射到的元素應(yīng)映射到TCB的要素的要素 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC應(yīng)使用形式化的方法標(biāo)識(shí)并分析隱蔽信道，非形式化應(yīng)使用形式化的方法標(biāo)識(shí)并分析隱蔽信道，非形式化的方法可以用來標(biāo)識(shí)時(shí)間隱蔽信道，必須

25、對(duì)系統(tǒng)中存的方法可以用來標(biāo)識(shí)時(shí)間隱蔽信道，必須對(duì)系統(tǒng)中存在的隱蔽信道進(jìn)行解釋在的隱蔽信道進(jìn)行解釋 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSECA1級(jí)系統(tǒng)級(jí)系統(tǒng): : 要求更嚴(yán)格的配置管理要求更嚴(yán)格的配置管理 要求建立系統(tǒng)安全分發(fā)的程序要求建立系統(tǒng)安全分發(fā)的程序 支持系統(tǒng)安全管理員的職能支持系統(tǒng)安全管理員的職能 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSECA A類分為兩個(gè)類別：類分為兩個(gè)類別：驗(yàn)證設(shè)計(jì)級(jí)（驗(yàn)證設(shè)計(jì)級(jí)（A1A1級(jí)）級(jí)） 超超A1A1級(jí)級(jí)網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC 超超A1A1級(jí)在級(jí)在A1級(jí)基礎(chǔ)上增加的許多安全措施超出了目前級(jí)基礎(chǔ)上增加

26、的許多安全措施超出了目前的技術(shù)發(fā)展的技術(shù)發(fā)展 隨著更多、更好的分析技術(shù)的出現(xiàn)，本級(jí)系統(tǒng)的要求隨著更多、更好的分析技術(shù)的出現(xiàn)，本級(jí)系統(tǒng)的要求才會(huì)變的更加明確才會(huì)變的更加明確 今后，形式化的驗(yàn)證方法將應(yīng)用到源碼一級(jí)，并且時(shí)今后，形式化的驗(yàn)證方法將應(yīng)用到源碼一級(jí)，并且時(shí)間隱蔽信道將得到全面的分析間隱蔽信道將得到全面的分析 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC 在這一級(jí)，設(shè)計(jì)環(huán)境將變的更重要在這一級(jí)，設(shè)計(jì)環(huán)境將變的更重要 形式化高層規(guī)約的分析將對(duì)測(cè)試提供幫助形式化高層規(guī)約的分析將對(duì)測(cè)試提供幫助 TCB開發(fā)中使用的工具的正確性及開發(fā)中使用的工具的正確性及TCB運(yùn)行的軟硬件運(yùn)行的軟硬件功

27、能的正確性將得到更多的關(guān)注功能的正確性將得到更多的關(guān)注網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹TCSEC超超A1級(jí)系統(tǒng)涉及的范圍包括：級(jí)系統(tǒng)涉及的范圍包括：系統(tǒng)體系結(jié)構(gòu)系統(tǒng)體系結(jié)構(gòu)安全測(cè)試安全測(cè)試形式化規(guī)約與驗(yàn)證形式化規(guī)約與驗(yàn)證可信設(shè)計(jì)環(huán)境等可信設(shè)計(jì)環(huán)境等網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹標(biāo)準(zhǔn)介紹標(biāo)準(zhǔn)介紹 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC） 可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋 （TNI） 通用準(zhǔn)則通用準(zhǔn)則CC 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 信息系統(tǒng)安全評(píng)估方法探討信息

28、系統(tǒng)安全評(píng)估方法探討網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI） 美國(guó)國(guó)防部計(jì)算機(jī)安全評(píng)估中心在完成美國(guó)國(guó)防部計(jì)算機(jī)安全評(píng)估中心在完成TCSEC的基礎(chǔ)的基礎(chǔ)上，又組織了專門的研究鏃對(duì)可信網(wǎng)絡(luò)安全評(píng)估進(jìn)行上，又組織了專門的研究鏃對(duì)可信網(wǎng)絡(luò)安全評(píng)估進(jìn)行研究，并于研究，并于1987年發(fā)布了以年發(fā)布了以TCSEC為基礎(chǔ)的可信網(wǎng)絡(luò)為基礎(chǔ)的可信網(wǎng)絡(luò)解釋，即解釋，即TNI。 TNI包括兩個(gè)部分（包括兩個(gè)部分（Part I和和Part II）及三個(gè)附錄）及三個(gè)附錄（APPENDIX A、B、C） 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI

29、） TNI第一部分提供了在網(wǎng)絡(luò)系統(tǒng)作為一個(gè)單一系統(tǒng)進(jìn)行第一部分提供了在網(wǎng)絡(luò)系統(tǒng)作為一個(gè)單一系統(tǒng)進(jìn)行評(píng)估時(shí)評(píng)估時(shí)TCSEC中各個(gè)等級(jí)（從中各個(gè)等級(jí)（從D到到A類）的解釋類）的解釋 與單機(jī)系統(tǒng)不同的是，網(wǎng)絡(luò)系統(tǒng)的可信計(jì)算基稱為網(wǎng)與單機(jī)系統(tǒng)不同的是，網(wǎng)絡(luò)系統(tǒng)的可信計(jì)算基稱為網(wǎng)絡(luò)可信計(jì)算基（絡(luò)可信計(jì)算基（NTCB） 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI） 第二部分以附加安全服務(wù)的形式提出了在網(wǎng)絡(luò)互聯(lián)時(shí)出第二部分以附加安全服務(wù)的形式提出了在網(wǎng)絡(luò)互聯(lián)時(shí)出現(xiàn)的一些附加要求現(xiàn)的一些附加要求 這些要求主要是針對(duì)完整性、可用性和保密性的這些要求主要是針對(duì)完整性、可用性和保

30、密性的 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI） 第二部分的評(píng)估是定性的，針對(duì)一個(gè)服務(wù)進(jìn)行評(píng)估的結(jié)第二部分的評(píng)估是定性的，針對(duì)一個(gè)服務(wù)進(jìn)行評(píng)估的結(jié)果一般分為為：果一般分為為： vnone vminimum vfair vgood 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI） 第二部分中關(guān)于每個(gè)服務(wù)的說明一般包括第二部分中關(guān)于每個(gè)服務(wù)的說明一般包括: :一種相對(duì)簡(jiǎn)短的陳述一種相對(duì)簡(jiǎn)短的陳述相關(guān)的功能性的討論相關(guān)的功能性的討論 相關(guān)機(jī)制強(qiáng)度的討論相關(guān)機(jī)制強(qiáng)度的討論 相關(guān)保證的討論相關(guān)保證的討論 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)

31、安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI） 功能性是指一個(gè)安全服務(wù)的目標(biāo)和實(shí)現(xiàn)方法，它包括特功能性是指一個(gè)安全服務(wù)的目標(biāo)和實(shí)現(xiàn)方法，它包括特性、機(jī)制及實(shí)現(xiàn)性、機(jī)制及實(shí)現(xiàn) 機(jī)制的強(qiáng)度是指一種方法實(shí)現(xiàn)其目標(biāo)的程度機(jī)制的強(qiáng)度是指一種方法實(shí)現(xiàn)其目標(biāo)的程度 有些情況下，參數(shù)的選擇會(huì)對(duì)機(jī)制的強(qiáng)度帶來很大的影有些情況下，參數(shù)的選擇會(huì)對(duì)機(jī)制的強(qiáng)度帶來很大的影響響 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI） 保證是指相信一個(gè)功能會(huì)實(shí)現(xiàn)的基礎(chǔ)保證是指相信一個(gè)功能會(huì)實(shí)現(xiàn)的基礎(chǔ) 保證一般依靠對(duì)理論、測(cè)試、軟件工程等相關(guān)內(nèi)容的分保證一般依靠對(duì)理論、測(cè)試、軟件工程等相關(guān)內(nèi)容

32、的分析析 分析可以是形式化或非形式化的，也可以是理論的或應(yīng)分析可以是形式化或非形式化的，也可以是理論的或應(yīng)用的用的 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI）第二部分中列出的安全服務(wù)有：第二部分中列出的安全服務(wù)有： 通信完整性通信完整性 拒絕服務(wù)拒絕服務(wù) 機(jī)密性機(jī)密性 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI）通信完整性主要涉及以下通信完整性主要涉及以下3方面：方面：鑒別：網(wǎng)絡(luò)中應(yīng)能夠抵抗欺騙和重放攻擊鑒別：網(wǎng)絡(luò)中應(yīng)能夠抵抗欺騙和重放攻擊 通信字段完整性：保護(hù)通信中的字段免受非授權(quán)的通信字段完整性：保護(hù)通信中的字段免受

33、非授權(quán)的修改修改 抗抵賴：提供數(shù)據(jù)發(fā)送、接受的證據(jù)抗抵賴：提供數(shù)據(jù)發(fā)送、接受的證據(jù) 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI） 當(dāng)網(wǎng)絡(luò)處理能力下降到一個(gè)規(guī)定的界限以下或遠(yuǎn)程實(shí)當(dāng)網(wǎng)絡(luò)處理能力下降到一個(gè)規(guī)定的界限以下或遠(yuǎn)程實(shí)體無法訪問時(shí)，即發(fā)生了拒絕服務(wù)體無法訪問時(shí)，即發(fā)生了拒絕服務(wù) 所有由網(wǎng)絡(luò)提供的服務(wù)都應(yīng)考慮拒絕服務(wù)的情況所有由網(wǎng)絡(luò)提供的服務(wù)都應(yīng)考慮拒絕服務(wù)的情況 網(wǎng)絡(luò)管理者應(yīng)決定網(wǎng)絡(luò)拒絕服務(wù)需求網(wǎng)絡(luò)管理者應(yīng)決定網(wǎng)絡(luò)拒絕服務(wù)需求 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI）解決拒絕服務(wù)的方法有：解決拒絕服務(wù)的方法有： 操

34、作連續(xù)性操作連續(xù)性 基于協(xié)議的拒絕服務(wù)保護(hù)基于協(xié)議的拒絕服務(wù)保護(hù) 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI） 機(jī)密性是一系列安全服務(wù)的總稱機(jī)密性是一系列安全服務(wù)的總稱 這些服務(wù)都是關(guān)于通過計(jì)算機(jī)通信網(wǎng)絡(luò)在實(shí)體間傳輸這些服務(wù)都是關(guān)于通過計(jì)算機(jī)通信網(wǎng)絡(luò)在實(shí)體間傳輸信息的安全和保密的信息的安全和保密的 具體又分具體又分3種情況：種情況： 數(shù)據(jù)保密數(shù)據(jù)保密 通信流保密通信流保密 選擇路由選擇路由 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI）數(shù)據(jù)保密：數(shù)據(jù)保密：數(shù)據(jù)保密性服務(wù)保護(hù)數(shù)據(jù)不被未授權(quán)地泄露數(shù)據(jù)保密性服務(wù)

35、保護(hù)數(shù)據(jù)不被未授權(quán)地泄露數(shù)據(jù)保密性主要受搭線竊聽的威脅數(shù)據(jù)保密性主要受搭線竊聽的威脅被動(dòng)的攻擊包括對(duì)線路上傳輸?shù)男畔⒌挠^測(cè)被動(dòng)的攻擊包括對(duì)線路上傳輸?shù)男畔⒌挠^測(cè) 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI）通信流保密：通信流保密：針對(duì)通信流分析攻擊而言，通信流分析攻擊分析消息針對(duì)通信流分析攻擊而言，通信流分析攻擊分析消息的長(zhǎng)度、頻率及協(xié)議的內(nèi)容（如地址）的長(zhǎng)度、頻率及協(xié)議的內(nèi)容（如地址）并以此推出消息的內(nèi)容并以此推出消息的內(nèi)容 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI）選擇路由：選擇路由：路由選擇控制是在路由選擇過程中應(yīng)

36、用規(guī)則，以便具體路由選擇控制是在路由選擇過程中應(yīng)用規(guī)則，以便具體的選取或回避某些網(wǎng)絡(luò)、鏈路或中繼的選取或回避某些網(wǎng)絡(luò)、鏈路或中繼路由能動(dòng)態(tài)的或預(yù)定地選取，以便只使用物理上安全的路由能動(dòng)態(tài)的或預(yù)定地選取，以便只使用物理上安全的子網(wǎng)絡(luò)、鏈路或中繼子網(wǎng)絡(luò)、鏈路或中繼在檢測(cè)到持續(xù)的操作攻擊時(shí)，端系統(tǒng)可希望指示網(wǎng)絡(luò)服在檢測(cè)到持續(xù)的操作攻擊時(shí)，端系統(tǒng)可希望指示網(wǎng)絡(luò)服務(wù)的提供者經(jīng)不同的路由建立連接務(wù)的提供者經(jīng)不同的路由建立連接帶有某些安全標(biāo)記的數(shù)據(jù)可能被策略禁止通過某些子網(wǎng)帶有某些安全標(biāo)記的數(shù)據(jù)可能被策略禁止通過某些子網(wǎng)絡(luò)、鏈路或中繼絡(luò)、鏈路或中繼 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（

37、可信網(wǎng)絡(luò)解釋（TNI） TNI第二部分的評(píng)估更多地表現(xiàn)出定性和主觀的特點(diǎn)，第二部分的評(píng)估更多地表現(xiàn)出定性和主觀的特點(diǎn)，同第一部分相比表現(xiàn)出更多的變化同第一部分相比表現(xiàn)出更多的變化 第二部分的評(píng)估是關(guān)于被評(píng)估系統(tǒng)能力和它們對(duì)特定應(yīng)第二部分的評(píng)估是關(guān)于被評(píng)估系統(tǒng)能力和它們對(duì)特定應(yīng)用環(huán)境的適合性的非常有價(jià)值的信息用環(huán)境的適合性的非常有價(jià)值的信息 第二部分中所列舉的安全服務(wù)是網(wǎng)絡(luò)環(huán)境下有代表性的第二部分中所列舉的安全服務(wù)是網(wǎng)絡(luò)環(huán)境下有代表性的安全服務(wù)安全服務(wù) 在不同的環(huán)境下，并非所有的服務(wù)都同等重要，同一服在不同的環(huán)境下，并非所有的服務(wù)都同等重要，同一服務(wù)在不同環(huán)境下的重要性也不一定一樣務(wù)在不同環(huán)境下

38、的重要性也不一定一樣網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI） TNI的附錄的附錄A是第一部分的擴(kuò)展，主要是關(guān)于網(wǎng)絡(luò)中組是第一部分的擴(kuò)展，主要是關(guān)于網(wǎng)絡(luò)中組件及組件組合的評(píng)估件及組件組合的評(píng)估 附錄附錄A A把把TCSECTCSEC為為A1A1級(jí)系統(tǒng)定義的安全相關(guān)的策略分為級(jí)系統(tǒng)定義的安全相關(guān)的策略分為四個(gè)相對(duì)獨(dú)立的種類，他們分別支持強(qiáng)制訪問控制四個(gè)相對(duì)獨(dú)立的種類，他們分別支持強(qiáng)制訪問控制（MACMAC），自主訪問控制（），自主訪問控制（DACDAC），身份鑒別（），身份鑒別（IAIA），），審計(jì)（審計(jì)（AUDITAUDIT） 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)

39、安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI）組成部分的類型最小級(jí)別最大級(jí)別MB1A1DC1C2+IC1C2AC2C2+DIC1C2+DAC2C2+IAC2C2+IADC2C2+MDB1A1MAB1A1MIB1A1MDAB1A1MDIB1A1MIAB1A1MIADB1A1網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI） 附錄附錄B給出了根據(jù)給出了根據(jù)TCSEC對(duì)網(wǎng)絡(luò)組件進(jìn)行評(píng)估的基本對(duì)網(wǎng)絡(luò)組件進(jìn)行評(píng)估的基本原理原理 附錄附錄C則給出了幾個(gè)則給出了幾個(gè)AIS互聯(lián)時(shí)的認(rèn)證指南及互聯(lián)中可互聯(lián)時(shí)的認(rèn)證指南及互聯(lián)中可能遇到的問題能遇到的問題網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系

40、統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI）TNI中關(guān)于網(wǎng)絡(luò)有兩種概念：中關(guān)于網(wǎng)絡(luò)有兩種概念： 一是單一可信系統(tǒng)的概念（一是單一可信系統(tǒng)的概念（single trusted system）另一個(gè)是互聯(lián)信息系統(tǒng)的概念（另一個(gè)是互聯(lián)信息系統(tǒng)的概念（interconnected AIS）這兩個(gè)概念并不互相排斥這兩個(gè)概念并不互相排斥 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI） 在單一可信系統(tǒng)中，網(wǎng)絡(luò)具有包括各個(gè)安全相關(guān)部分在單一可信系統(tǒng)中，網(wǎng)絡(luò)具有包括各個(gè)安全相關(guān)部分的單一的單一TCB，稱為，稱為NTCB（network trusted computin

41、g base） NTCB作為一個(gè)整體滿足系統(tǒng)的安全體系設(shè)計(jì)作為一個(gè)整體滿足系統(tǒng)的安全體系設(shè)計(jì)網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI）在互聯(lián)信息系統(tǒng)中在互聯(lián)信息系統(tǒng)中各個(gè)子系統(tǒng)可能具有不同的安全策略各個(gè)子系統(tǒng)可能具有不同的安全策略具有不同的信任等級(jí)具有不同的信任等級(jí)并且可以分別進(jìn)行評(píng)估并且可以分別進(jìn)行評(píng)估各個(gè)子系統(tǒng)甚至可能是異構(gòu)的各個(gè)子系統(tǒng)甚至可能是異構(gòu)的網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹可信網(wǎng)絡(luò)解釋（可信網(wǎng)絡(luò)解釋（TNI） 安全策略的實(shí)施一般控制在各個(gè)子系統(tǒng)內(nèi)，在附錄安全策略的實(shí)施一般控制在各個(gè)子系統(tǒng)內(nèi)，在附錄C中中給出了各個(gè)子系統(tǒng)安全地互聯(lián)的

42、指南，在互聯(lián)時(shí)要控制給出了各個(gè)子系統(tǒng)安全地互聯(lián)的指南，在互聯(lián)時(shí)要控制局部風(fēng)險(xiǎn)的擴(kuò)散，排除整個(gè)系統(tǒng)中的級(jí)聯(lián)問題（局部風(fēng)險(xiǎn)的擴(kuò)散，排除整個(gè)系統(tǒng)中的級(jí)聯(lián)問題（cascade problem） 限制局部風(fēng)險(xiǎn)的擴(kuò)散的方法：?jiǎn)蜗蜻B接、傳輸?shù)氖止z限制局部風(fēng)險(xiǎn)的擴(kuò)散的方法：?jiǎn)蜗蜻B接、傳輸?shù)氖止z測(cè)、加密、隔離或其他措施。測(cè)、加密、隔離或其他措施。 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹標(biāo)準(zhǔn)介紹標(biāo)準(zhǔn)介紹 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC） 可信網(wǎng)絡(luò)解釋可信網(wǎng)絡(luò)解釋 （TNI） 通用準(zhǔn)則通用準(zhǔn)則CC 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)

43、等級(jí)劃分準(zhǔn)則計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 信息系統(tǒng)安全評(píng)估方法探討信息系統(tǒng)安全評(píng)估方法探討網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CCCC的范圍的范圍 :CC適用于硬件、固件和軟件實(shí)現(xiàn)的信息技術(shù)安全措施適用于硬件、固件和軟件實(shí)現(xiàn)的信息技術(shù)安全措施而某些內(nèi)容因涉及特殊專業(yè)技術(shù)或僅是信息技術(shù)安全而某些內(nèi)容因涉及特殊專業(yè)技術(shù)或僅是信息技術(shù)安全的外圍技術(shù)不在的外圍技術(shù)不在CC的范圍內(nèi)的范圍內(nèi) 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC評(píng)估上下文評(píng)估上下文 評(píng)估準(zhǔn)則(通用準(zhǔn)則）評(píng)估方法學(xué)評(píng)估方案最 終 評(píng)估 結(jié)果評(píng)估批準(zhǔn)/證明證書表/(注冊(cè))網(wǎng)絡(luò)與信息安全

44、計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC 使用通用評(píng)估方法學(xué)可以提供結(jié)果的可重復(fù)性和客觀使用通用評(píng)估方法學(xué)可以提供結(jié)果的可重復(fù)性和客觀性性 許多評(píng)估準(zhǔn)則需要使用專家判斷和一定的背景知識(shí)許多評(píng)估準(zhǔn)則需要使用專家判斷和一定的背景知識(shí) 為了增強(qiáng)評(píng)估結(jié)果的一致性，最終的評(píng)估結(jié)果應(yīng)提交為了增強(qiáng)評(píng)估結(jié)果的一致性，最終的評(píng)估結(jié)果應(yīng)提交給一個(gè)認(rèn)證過程，該過程是一個(gè)針對(duì)評(píng)估結(jié)果的獨(dú)立給一個(gè)認(rèn)證過程，該過程是一個(gè)針對(duì)評(píng)估結(jié)果的獨(dú)立的檢查過程，并生成最終的證書或正式批文的檢查過程，并生成最終的證書或正式批文網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CCCC包括三個(gè)部分包括三個(gè)部分: :

45、第一部分：簡(jiǎn)介和一般模型第一部分：簡(jiǎn)介和一般模型 第二部分：安全功能要求第二部分：安全功能要求 第三部分：安全保證要求第三部分：安全保證要求 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC安全保證要求部分提出了七個(gè)評(píng)估保證級(jí)別安全保證要求部分提出了七個(gè)評(píng)估保證級(jí)別（Evaluation Assurance Levels：EALs）分別是：分別是：EAL1EAL1：功能測(cè)試：功能測(cè)試EAL2EAL2：結(jié)構(gòu)測(cè)試：結(jié)構(gòu)測(cè)試EAL3EAL3：系統(tǒng)測(cè)試和檢查：系統(tǒng)測(cè)試和檢查EAL4EAL4：系統(tǒng)設(shè)計(jì)、測(cè)試和復(fù)查：系統(tǒng)設(shè)計(jì)、測(cè)試和復(fù)查EAL5EAL5：半形式化設(shè)計(jì)和測(cè)試：半形式化設(shè)計(jì)和測(cè)

46、試EAL6EAL6：半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試：半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試EAL7EAL7：形式化驗(yàn)證的設(shè)計(jì)和測(cè)試：形式化驗(yàn)證的設(shè)計(jì)和測(cè)試 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC 安全就是保護(hù)資產(chǎn)不受威脅，威脅可依據(jù)濫用被保護(hù)安全就是保護(hù)資產(chǎn)不受威脅，威脅可依據(jù)濫用被保護(hù)資產(chǎn)的可能性進(jìn)行分類資產(chǎn)的可能性進(jìn)行分類 所有的威脅類型都應(yīng)該被考慮到所有的威脅類型都應(yīng)該被考慮到 在安全領(lǐng)域內(nèi)，被高度重視的威脅是和人們的惡意攻在安全領(lǐng)域內(nèi)，被高度重視的威脅是和人們的惡意攻擊及其它人類活動(dòng)相聯(lián)系的擊及其它人類活動(dòng)相聯(lián)系的 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC

47、 安全安全概念概念和關(guān)和關(guān)系系網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC 安全性損壞一般包括但又不僅僅包括以下幾項(xiàng)安全性損壞一般包括但又不僅僅包括以下幾項(xiàng)資產(chǎn)破壞性地暴露于未授權(quán)的接收者（失去保密性）資產(chǎn)破壞性地暴露于未授權(quán)的接收者（失去保密性）資產(chǎn)由于未授權(quán)的更改而損壞（失去完整性）資產(chǎn)由于未授權(quán)的更改而損壞（失去完整性）或資產(chǎn)訪問權(quán)被未授權(quán)的喪失（失去可用性）或資產(chǎn)訪問權(quán)被未授權(quán)的喪失（失去可用性）網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC 資產(chǎn)所有者必須分析可能的威脅并確定哪些存在于他資產(chǎn)所有者必須分析可能的威脅并確定哪些存在于他們的環(huán)境們的環(huán)

48、境，其后果就是風(fēng)險(xiǎn)其后果就是風(fēng)險(xiǎn) 對(duì)策用以（直接或間接地）減少脆弱性并滿足資產(chǎn)所對(duì)策用以（直接或間接地）減少脆弱性并滿足資產(chǎn)所有者的安全策略有者的安全策略 在將資產(chǎn)暴露于特定威脅之前，所有者需要確信其對(duì)在將資產(chǎn)暴露于特定威脅之前，所有者需要確信其對(duì)策足以應(yīng)付面臨的威脅策足以應(yīng)付面臨的威脅 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC 評(píng)評(píng)估估概概念念 和和關(guān)關(guān)系系網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CCTOE評(píng)評(píng)估估過過程程網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC評(píng)估過程通過兩種途徑產(chǎn)生更好的安全產(chǎn)品評(píng)估過程通過兩種途徑產(chǎn)生更

49、好的安全產(chǎn)品評(píng)估過程能發(fā)現(xiàn)開發(fā)者可以糾正的評(píng)估過程能發(fā)現(xiàn)開發(fā)者可以糾正的TOE錯(cuò)誤或弱點(diǎn)，從而在減錯(cuò)誤或弱點(diǎn)，從而在減少將來操作中安全失效的可能性少將來操作中安全失效的可能性另一方面，為了通過嚴(yán)格的評(píng)估，開發(fā)者在另一方面，為了通過嚴(yán)格的評(píng)估，開發(fā)者在TOE設(shè)計(jì)和開發(fā)時(shí)設(shè)計(jì)和開發(fā)時(shí)也將更加細(xì)心也將更加細(xì)心因此，評(píng)估過程對(duì)最初需求、開發(fā)過程、最終產(chǎn)品以及操作環(huán)境因此，評(píng)估過程對(duì)最初需求、開發(fā)過程、最終產(chǎn)品以及操作環(huán)境將產(chǎn)生強(qiáng)烈的積極影響將產(chǎn)生強(qiáng)烈的積極影響 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC CC安全概念安全概念包括：包括：安全環(huán)境安全環(huán)境 安全目的安全目的 IT安全

50、要求安全要求 TOE概要規(guī)范概要規(guī)范 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC 安全環(huán)境包括所有相關(guān)的法規(guī)、組織性安全策略、習(xí)安全環(huán)境包括所有相關(guān)的法規(guī)、組織性安全策略、習(xí)慣、專門技術(shù)和知識(shí)慣、專門技術(shù)和知識(shí) 它定義了它定義了TOE使用的上下文，安全環(huán)境也包括環(huán)境里使用的上下文，安全環(huán)境也包括環(huán)境里出現(xiàn)的安全威脅出現(xiàn)的安全威脅 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC 安全環(huán)境的分析結(jié)果被用來闡明對(duì)抗已標(biāo)識(shí)的威脅、安全環(huán)境的分析結(jié)果被用來闡明對(duì)抗已標(biāo)識(shí)的威脅、說明組織性安全策略和假設(shè)的安全目的說明組織性安全策略和假設(shè)的安全目的 安全目的和已說明的

51、安全目的和已說明的TOE運(yùn)行目標(biāo)或產(chǎn)品目標(biāo)以及有運(yùn)行目標(biāo)或產(chǎn)品目標(biāo)以及有關(guān)的物理環(huán)境知識(shí)一致關(guān)的物理環(huán)境知識(shí)一致 確定安全目的的意圖是為了闡明所有的安全考慮并指確定安全目的的意圖是為了闡明所有的安全考慮并指出哪些安全方面的問題是直接由出哪些安全方面的問題是直接由TOE還是由它的環(huán)境還是由它的環(huán)境來處理來處理 環(huán)境安全目的將在環(huán)境安全目的將在IT領(lǐng)域內(nèi)用非技術(shù)上的或程序化的領(lǐng)域內(nèi)用非技術(shù)上的或程序化的手段來實(shí)現(xiàn)手段來實(shí)現(xiàn) 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC IT安全要求是將安全目的細(xì)化為一系列安全要求是將安全目的細(xì)化為一系列TOE及其環(huán)境及其環(huán)境的安全要求，一旦這些

52、要求得到滿足，就可以保證的安全要求，一旦這些要求得到滿足，就可以保證TOE達(dá)到它的安全目的達(dá)到它的安全目的 IT安全需求只涉及安全需求只涉及TOE安全目的和它的安全目的和它的IT環(huán)境環(huán)境 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC CC定義了一系列與已知有效的安全要求集合相結(jié)合的定義了一系列與已知有效的安全要求集合相結(jié)合的概念，該概念可被用來為預(yù)期的產(chǎn)品和系統(tǒng)建立安全概念，該概念可被用來為預(yù)期的產(chǎn)品和系統(tǒng)建立安全需求需求 CCCC安全要求以類安全要求以類族族組件這種層次方式組織，以幫組件這種層次方式組織，以幫助用戶定位特定的安全要求助用戶定位特定的安全要求 對(duì)功能和保證方

53、面的要求，對(duì)功能和保證方面的要求，CC使用相同的風(fēng)格、組織使用相同的風(fēng)格、組織方式和術(shù)語。方式和術(shù)語。 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CCCC中安全要求的描述方法中安全要求的描述方法：類：類：類用作最通用安全要求的組合，類的所有的成員類用作最通用安全要求的組合，類的所有的成員關(guān)注共同的安全焦點(diǎn)，但覆蓋不同的安全目的關(guān)注共同的安全焦點(diǎn)，但覆蓋不同的安全目的 族：類的成員被稱為族族：類的成員被稱為族。族是若干組安全要求的組合，族是若干組安全要求的組合，這些要求有共同的安全目的，但在側(cè)重點(diǎn)和嚴(yán)格性上這些要求有共同的安全目的，但在側(cè)重點(diǎn)和嚴(yán)格性上有所區(qū)別有所區(qū)別 組件：族

54、的成員被稱為組件。組件描述一組特定的安組件：族的成員被稱為組件。組件描述一組特定的安全要求集，它是全要求集，它是CC定義的結(jié)構(gòu)中所包含的最小的可選定義的結(jié)構(gòu)中所包含的最小的可選安全要求集安全要求集 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC 組件由單個(gè)元素組成，元素是安全需求最低層次的表組件由單個(gè)元素組成，元素是安全需求最低層次的表達(dá)，并且是能被評(píng)估驗(yàn)證的不可分割的安全要求達(dá)，并且是能被評(píng)估驗(yàn)證的不可分割的安全要求 族內(nèi)具有相同目標(biāo)的組件可以以安全要求強(qiáng)度（或能族內(nèi)具有相同目標(biāo)的組件可以以安全要求強(qiáng)度（或能力）逐步增加的順序排列，也可以部分地按相關(guān)非層力）逐步增加的順序排

55、列，也可以部分地按相關(guān)非層次集合的方式組織次集合的方式組織網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC 組件間可能存在依賴關(guān)系組件間可能存在依賴關(guān)系 依賴關(guān)系可以存在于功能組件之間、保證組件之間以依賴關(guān)系可以存在于功能組件之間、保證組件之間以及功能和保證組件之間及功能和保證組件之間 組件間依賴關(guān)系描述是組件間依賴關(guān)系描述是CC組件定義的一部分組件定義的一部分 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC 可以通過使用組件允許的操作，對(duì)組件進(jìn)行裁剪可以通過使用組件允許的操作，對(duì)組件進(jìn)行裁剪 每一個(gè)每一個(gè)CC組件標(biāo)識(shí)并定義組件允許的組件標(biāo)識(shí)并定義組件允許的“

56、賦值賦值”和和“選選擇擇”操作、在哪些情況下可對(duì)組件使用這些操作，以及操作、在哪些情況下可對(duì)組件使用這些操作，以及使用這些操作的后果使用這些操作的后果 任何一個(gè)組件均允許任何一個(gè)組件均允許“反復(fù)反復(fù)”和和“細(xì)化細(xì)化”操作操作 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC這四個(gè)操作如下所述：這四個(gè)操作如下所述：反復(fù)：在不同操作時(shí)，允許組件多次使用反復(fù)：在不同操作時(shí)，允許組件多次使用賦值：當(dāng)組件被應(yīng)用時(shí)，允許規(guī)定所賦予的參數(shù)賦值：當(dāng)組件被應(yīng)用時(shí)，允許規(guī)定所賦予的參數(shù)選擇：允許從組件給出的列表中選定若干項(xiàng)選擇：允許從組件給出的列表中選定若干項(xiàng)細(xì)化：當(dāng)組件被應(yīng)用時(shí)，允許對(duì)組件增加細(xì)

57、節(jié)細(xì)化：當(dāng)組件被應(yīng)用時(shí)，允許對(duì)組件增加細(xì)節(jié) 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC 要要求求的的組組織織和和結(jié)結(jié)構(gòu)構(gòu)網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CCCC中安全需求的描述方法中安全需求的描述方法:包包: :組件的中間組合被稱為包組件的中間組合被稱為包 保護(hù)輪廓保護(hù)輪廓( (PP): ): PP是關(guān)于一系列滿足一個(gè)安全目標(biāo)集是關(guān)于一系列滿足一個(gè)安全目標(biāo)集的的TOETOE的、與實(shí)現(xiàn)無關(guān)的描述的、與實(shí)現(xiàn)無關(guān)的描述 安全目標(biāo)安全目標(biāo)( (ST) )： ST是針對(duì)特定是針對(duì)特定TOE安全要求的描述，安全要求的描述，通過評(píng)估可以證明這些安全要求對(duì)滿足

58、指定目的是有通過評(píng)估可以證明這些安全要求對(duì)滿足指定目的是有用和有效的用和有效的網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC 包允許對(duì)功能或保證需求集合的描述，這個(gè)集合能夠包允許對(duì)功能或保證需求集合的描述，這個(gè)集合能夠滿足一個(gè)安全目標(biāo)的可標(biāo)識(shí)子集滿足一個(gè)安全目標(biāo)的可標(biāo)識(shí)子集 包可重復(fù)使用，可用來定義那些公認(rèn)有用的、能夠有包可重復(fù)使用，可用來定義那些公認(rèn)有用的、能夠有效滿足特定安全目標(biāo)的要求效滿足特定安全目標(biāo)的要求 包可用在構(gòu)造更大的包、包可用在構(gòu)造更大的包、PP和和ST中中 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC PP包含一套來自包含一套來自CC（或

59、明確闡述）的安全要求，它應(yīng)（或明確闡述）的安全要求，它應(yīng)包括一個(gè)評(píng)估保證級(jí)別（包括一個(gè)評(píng)估保證級(jí)別（EAL） PP可反復(fù)使用，還可用來定義那些公認(rèn)有用的、能夠可反復(fù)使用，還可用來定義那些公認(rèn)有用的、能夠有效滿足特定安全目標(biāo)的有效滿足特定安全目標(biāo)的TOE要求要求 PP包括安全目的和安全要求的基本原理包括安全目的和安全要求的基本原理 PP的開發(fā)者可以是用戶團(tuán)體、的開發(fā)者可以是用戶團(tuán)體、IT產(chǎn)品開發(fā)者或其它對(duì)產(chǎn)品開發(fā)者或其它對(duì)定義這樣一系列通用要求有興趣的團(tuán)體定義這樣一系列通用要求有興趣的團(tuán)體 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC 保護(hù)輪保護(hù)輪廓廓PP描述描述結(jié)構(gòu)結(jié)構(gòu)網(wǎng)絡(luò)

60、與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC 安全目標(biāo)安全目標(biāo)( (ST) )包括一系列安全要求，這些要求可以引包括一系列安全要求，這些要求可以引用用PP，也可以直接引用，也可以直接引用CC中的功能或保證組件，或明中的功能或保證組件，或明確說明確說明 一個(gè)一個(gè)ST包含包含TOE的概要規(guī)范，安全要求和目的，以及的概要規(guī)范，安全要求和目的，以及它們的基本原理它們的基本原理 ST是所有團(tuán)體間就是所有團(tuán)體間就TOE應(yīng)提供什么樣的安全性達(dá)成一應(yīng)提供什么樣的安全性達(dá)成一致的基礎(chǔ)致的基礎(chǔ) 網(wǎng)絡(luò)與信息安全計(jì)算機(jī)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)介紹通用準(zhǔn)則通用準(zhǔn)則CC 安全安全目目標(biāo)標(biāo)描描述述結(jié)結(jié)構(gòu)構(gòu)網(wǎng)絡(luò)與