计算机网络安全标准简介.

• 3）组件：族的成员被称为组件。组件描述一 组特定的安全要求集。 • 4）元素：组件由单个元素组成，元素是安全 需求最低层次的表达，并且是能被评估验证的 不可分割的安全要求。
• （5）安全需求的描述方法 • 1）包：组件的中间组合被称为包。包允许对功 能或保证需求集合的描述，这个集合能够满足 一个安全目标的可标识子集；包可重复使用， 可用来定义那些公认有用的、能够有效满足特 定安全目标的要求。 • 2）保护轮廓(PP)：PP是关于一系列满足一个 安全目标集的TOE的、与实现无关的描述。PP 包含一套来自CC（或明确阐述）的安全要求， 它应包括一个评估保证级别（EAL）；PP包括 安全目的和安全要求的基本原理；PP的开发者 可以是用户团体、IT产品开发者或其它对定义 这样一系列通用要求有兴趣的团体。
标记安全保护级（B1 除C2功能外，提供安全策略模型、数据标记和强制访 级） 问控制功能。
除B1功能外，提供合理的可测试和审查的系统总体设 B类 结构化保护级（B2级） 计方案、鉴别机制，对所有主体与客体进行访问控制， 强制保护 对隐蔽信道进行分析，提供一定的抗渗透能力。 级 安全区域保护级（B3 除B2功能外，优化系统总体设计方案，扩充审计机制 级） 和系统恢复机制，提供安全警报和高抗渗透能力。 在安全功能上，A1级系统与B3级系统相同，其突出特 验证设计级（A1级） A类 点是：采用形式化设计规范和验证方法分析系统。 验证保护 在A1级基础上进行扩展安全范畴，已超出了目前技术 级 超A1级 的发展。
表11.1
类 别
可信任的计算机系统评估准则（TCSEC）
等 级 安全功能
很少保护措施，无安全功能 隔离用户和数据，实施用户访问控制，保护用户和用 户组数据信息。
D类 无保护级 无保护级 自主安全保护级（C1 C类 级） 自主保护 控制访问保护级（C2 级 级）
除C1功能外，增加注册过程控制、相关事件审计和资 源隔离功能。
• B3级系统支持安全管理员职能、扩充审计机制和系 统恢复机制，当发生与安全相关的事件时，系统能发 出信号。B3级系统具有很高的抗渗透能力。 • 4．A类——验证保护等级 • 这是最高保护等级。A类系统的特点是使用形式化的 安全验证方法，保证系统的自主和强制安全控制措施 能够有效地保护系统中存储和处理的秘密信息或其他 敏感信息。系统提供丰富的文档信息用以证明TCB满 足设计、开发及实现等各个方面的安全要求。 • 该类从低到高细分为A1级和超A1级。 • 1）A1级——验证设计级 • A1级系统在功能上和B3级系统是相同的，没有增加 体系结构特性和策略要求。其突出特点是，要求用形 式化设计规范和验证方法来对系统进行分析，确保 TCB按设计要求实现。
• 1993年，美国对TCSEC作了补充和修改，制 定了“组合的联邦标准”（简称FC）。 • 1990年，国际标准化组织（ISO）开始开发 通用的国际标准评估准则。 • 1993年，由加拿大、法国、德国、荷兰、英 国、美国NIST和美国NSA六国七方联合开始 开发通用准则CC（Information Technology Security Common Criteria）。1996年1月发布CC1.0版， 1996年4月被ISO采纳，1997年10月完成 CC2.0的测试版，1998年5月发布CC2.0版。 • 1999年12月ISO采纳CC通用标准，并正式发 布国际标准ISO 15408。
• CC主要包括简介和一般模型、安全功能要求 以及安全保证要求三个部分。在安全保证要求 部分提出了七个评估保证级别（Evaluation Assurance Levels：EALs），从低到高依 次为EAL1、EAL2、EAL3、EAL4、EAL5、 EAL6和EAL7。 • 通用准则CC仅适用于硬件、固件和软件实现 的信息技术安全措施。
• 安全性损坏是指失去保密性、失去完整性和失 去可用性。失去保密性是指资产破坏性地暴露 于未授权的接收者；失去完整性是指资产由于 未授权的更改而损坏；失去可用性是指资产访 问权被未授权的获得等。 • （3）安全环境
• 安全环境包括所有相关的法规、组织性安全策 略、习惯、专门技术和知识，它定义了TOE使 用的上下文。安全环境也包括环境里出现的安 全威胁。
• 3）IT安全要求：IT安全要求是将安全目的细 化为一系列TOE及其环境的安全要求。 • 4）TOE概要规范：ST中提供的TOE概要规 范定义TOE安全要求的实现方法。 • （4）安全要求的描述方法 • 安全要求是按“类—族—组件—元素”的描述 结构表达的，并附加在其ST中。 • 1）类：类被用作最通用安全要求的组合，类 的所有的成员关注共同的安全焦点，但所覆盖 安全目的是不同的。 • 2）族：类的成员被称为族。
• 2．C类——自主保护等级 • 该类采用自主访问控制和审计跟踪等措施实现一定的 自主保护功能，具有对主体责任及其动作审计的能力。 C类系统一般只适用于具有一定等级的多用户环境。 • 该类从低到高又分为C1级和C2级。 • 1）C1级——自主安全保护级 • C1级TCB通过隔离用户与数据，使用户具备自主安全 保护的能力 ；它具有多种形式的控制能力，对用户实 施访问控制；为用户提供可行的手段，保护用户和用 户组信息，避免其他用户对数据的非法读写与破坏； C1级的系统适用于处理同一敏感级别数据的多用户环 境。 • 2）C2级——控制访问保护级 • C2级计算机系统比C1级具有更细粒度的自主访问控 制；C2级通过注册过程控制、审计安全相关事件以及 资源隔离，使单个用户为其行为负责。
• 为建立安全环境，必须考虑以下几点： • 1）TOE物理环境：指所有的与TOE安全相 关的TOE运行环境，包括已知的物理和人事 的安全安排。 • 2）安全目的：安全环境的分析结果被用来 阐明对抗已标识的威胁、说明组织性安全策 略和假设的安全目的；安全目的和已说明的 TOE运行目标或产品目标以及有关的物理环 境知识一致。
11.2
国外计算机网络安全标准
11.2.1《可信任的计算机系统评估准则 （TCSEC）》简介
• TCSEC按处理信息的等级和所采用的响应措 施，将计算机系统安全等级从低到高分成D、 C、B、A四大类八个级别，共27条评估准则 （参见表11.1）。 • 1．D类——无保护级 • 这是最低保护等级。该类是为那些经过评估， 但不满足较高评估等级要求的系统设计的。
（PP与ST）
安全需求
开发TOE 评估准则 操作TOE TOE和评估 评估方法
• 2）B2级——结构化保护级 • B2级中的TCB建立于一个明确定义并文档化和形式化 安全策略模型之上，要求将B1级系统中建立的自主和 强制访问控制扩展到所有的主体与客体，并对隐蔽信 道进行分析。 • TCB应结构化为关键保护元素和非关键保护元素，明 确定义TCB接口。TCB的设计与实现应能够经受更充 分的测试和更完善的审查，增强鉴别机制功能，提供 可信设施管理以支持系统管理员和操作员的职能，提 供严格的配置管理控制。 • 3）B3级——安全区域保护级 • B3级中的TCB必须满足访问监控器的需求，在构造 TCB时，排除那些对实施安全策略来说并非必要的代 码，在设计和实现TCB时，从系统工程角度将其复杂 性降低到最小程度。访问监控器本身是抗篡改的、足 够小、可分析和测试，应用它对所有主体对客体的访 问进行仲裁。
• 3．B类——强制保护等级
• 该类采用安全标记和强制访问控制等措施实现强制保 护功能，主要要求TCB能维护完整的安全标记，并在 此基础上执行一系列强制访问控制规则。B类系统中 的主要数据结构必须携带敏感标记；系统的开发者还 应为TCB提供安全策略模型以及TCB规约；应提供 证据证明访问监控器得到了正确的实施。 • 该类从低到高又分为B1级、B2级和B3级。 • 1）B1级——标记安全保护级 • B1级要求具有C2级系统的所有特性；在此基础上， 还应提供安全策略模型的非形式化描述、数据标记以 及命名主体和客体的强制访问控制；并消除测试中发 现的所有缺陷。
11.1
计算机网络安全标准的形成
• 在20世纪60年代，美国国防部成立了专门机 构，开始研究计算机使用环境中的安全策略问 题，70年代又在KSOS、PSOS和KVM操作 系统上展开了进一步的研究工作，80年代，美 国国防部发布了“可信计算机系统评估准则” （TCSEC，Trusted Computer System Evaluation Criteria），简称桔皮书，后经 修改用作了美国国防部的标准，并相继发布了 可信数据库解释（TDI）、可信网络解释 （TNI）等一系列相关的说明和指南。
• A1级系统要求更严格的配置管理；要求建立 系统安全分发的程序；支持系统安全管理员 的职能。 • 2）超A1级 • 超A1级是在A1级基础上增加了许多超出目 前技术发展的安全措施。 • 超A1级系统涉及的主要范围包括：系统体系 结构、安全测试、形式化规约与验证和可信 设计环境等。
11.2.2
《通用准则CC》简介
• 1．CC中的基本概念和评估方法 • （1）评估过程 • CC的评估依据是通用评估方法学、评估方案 和CC评估准则。使用通用评估方法学可以提 供结果的可重复性和客观性；使用评估方案和 评估准则可以提供结果的准确性和一致性。 • （2）安全概念 • 所谓安全就是保护资产不受威胁，威胁可依据 滥用被保护资产的可能性进行分类，所有的威 胁类型都应该被考虑到。在安全领域内，被高 度重视的威胁是和人们的恶意攻击及其它与人 类活动相联系的行为。
• 3）安全目标(ST)：ST是针对特定TOE安全要 求的描述，通过评估可以证明这些安全要求对满 足指定目的是有用和有效的。
评估PP PP评估结果 PP分类
评估ST
ST评估结果
评估TOE
TOE评估结果
证书分类
已评估过的TOE
图11.4
PP、ST和TOE三种评估的关系
• （6）评估类型 • CC框架下的评估类型有PP评估、ST评估和TOE评 估三种，其关系如图11.4所示。 • 1）PP评估：PP评估是依照CC第3部分的PP评估准 则进行的。其目标是为了证明PP是完备的、一致的、 技术合理的，而且适合于作为一个可评估TOE的安 全要求的声明。 • 2）ST评估：针对TOE的ST评估是依照CC第3部分 的ST评估准则进行的。 • 3）TOE评估：TOE评估是使用一个已经评估过的 ST作为基础，依照CC第3部分的评估准则进行的。 其目标是为了证明TOE满足ST中的安全要求。 • 2．TOE的评估过程（如图11.5所示）
第11章
计算机网络安全标准简介
• 重点和难点 美国的《可信任的计算机系统评估准则》 国际的《通用准则》 中国的《计算机信息系统安全保护等级划分 准则》 • 掌握 国际《通用准则》和我国《计算机信息系统 安全保护等级划分准则》的基本内涵 • 了解 计算机网络安全标准的形成过程 美国的《可信任的计算机系统评估准则》 信息安全保证技术框架所涉及的基本内容
• 1991年，英、法、德、荷四国针对TCSEC 准则的局限性，提出了包含保密性、完整性、 可用性等概念的欧洲“信息技术安全评估准则” （ITSEC，Information Technology Security Evaluation Criteria ）。 • 1988年，加拿大开始制订“加拿大可信计算 机产品评估准则”（CTCPEC，The Canadian Trusted Computer Product Evaluation Criteria ）。该标准将安全需 求分为机密性、完整性、可靠性和可说明性四 个层次。
保护轮廓 PP引言 TOE描述 TOE安全环境 安全目的 假设 威胁 组织性安全策略 TOE安全目的 环境安全目的 TOE安 PP标识 PP概述
IT安全要求 PP应用注解
基本原理
TOE安全功能要求 TOE安全保证要求
图11.2
保护轮廓PP的描述结构