安全保护等级标准介绍

安全放在第一位，防微杜渐。20.12.720.12.721:43:2721:43: 27Dec ember 7, 2020
加强自身建设，增强个人的休养。2020年12月7日下 午9时43分20.12.720.12.7
精益求精，追求卓越，因为相信而伟 大。2020年12月7日星 期一下 午9时43分27秒21:43:2720.12.7
CC（Common Criteria）简介 《计算机信息系统安全保护等级划
分准则》（简称《准则》）—— GB17859-1999简介
TCSEC
来源与目的 TCB（Trusted Computing Base） 主要内容 TNI（Trusted Network Interpretation) 局限性
对具体的产品或系统，PP与ST是用 于描述待评估对象的重要文档。给 出总体描述，从安全环境、安全目 的、安全要求到概要规范等。
PP与 ST
PP是描述满足特定消费者需求的、 独立于实现的一组安全要求，回答 “在安全方案中需要什么”。
ST是依赖于实现的一组安全要求与 说明，用来指定TOE评估基础。回 答“在安全方案中提供什么”。
计算机信息系统内保护装置的总体，包括硬件、 固件软件和负责执行安全策略的组合体。它建 立了一个基本的保护环境，并提供一个可信计 算机信息系统所要求的附加用户服务。
TCSEC
主要内容
级别：D、C、B、A与超A1级 安全策略（Policy) 责任（accountability） 保证（Assurance） 文档（Documentation）
类示例图
类名
族1
族2
族3
1
2
3
1
2
3
2
1
4
3
安全保证要求
共10类：
APE类：PP评估 ASE类：ST评估 ACM类：配置管理 ADO类：交付和运行 ADV类：开发
安全保证要求
AGD类：指导性文档 ALC类：生命周期支持 ATE类：测试 AVA类：脆弱性评定 AMA类：维护
评估对象开发模型
安安全全要求 功 功能能定定义义 高高层层设设计计
设计和实现细化
相应分析和集成测试
源原代代码码//硬硬件件设 设计计 实实现现
三种评估
PP评估
PP回答“需要什么”，与实现无关。
ST评估
ST回答“提供了什么”，与实现紧密相关。
TOE评估
IT产品或系统的描述
CC是通用准则，是材料库、格式以 及规则。
TCSEC
来源与目的
美国国防部于1983年推出。 评价一台独立使用的计算机信息安全
性的标准。 主要用于评价计算机操作系统，且侧
重于保密性。
TCSEC
TCB描述：
全称：计算机信息系统可信计算基 （Trusted Computing Base of Computer Information System）
CC
来源与目的 术语解释 概述 IT产品或系统的描述 描述语言 TOE安全保证度量 特点
来源与目的
来源
1993年，美国、加拿大等国同意开发CC。 参考了ITSEC、TCSEC等。 1996年，得到1.0版，进入试用阶段。 1999年12月，2.1版，ISO15408。
目的
比较
保证要求
《准则》也有保证要求——对安全设施 的管理、配置管理控制、排除无用代 码将复杂性降到最低、形式化安全策 略模型与参考监视器等，但没有明确 的要求
比较
可操作性
信息系统或产品的开发状况
评估的客观性
生活中的辛苦阻挠不了我对生活的热 爱。20.12.720.12.7Monday, December 07, 2020
标准体系
计算机信息系统安全保护等级总体标准 计算机信息系统安全保护等级通用标准
计算机信息系统安全保护等级评估标准与技 术要求
网络系统安全保护等级评估标准与技术要求 计算机信息系统安全保护等级工程要求 计算机信息系统五层面安全保护等级标准
标准体系
应用系统安全保护等级标准
电子政务系统 电子商务系统 电子金融系统
安全保证度量
EAL5：半形式化设计和测试 EAL6：半形式化验证地设计和测试 EAL7：形式化验证地设计和测试
理解评估
PP安全需求的评估，其目标：证明PP的完备性、 一致性技术的合理性以及适于表达可评估的 TOE的要求。
ST安全方案的评估，其目标：证明ST的完备性、 一致性技术的合理性以及适于作为相应的TOE 评估的基础；当ST声明与某PP一致时，证明 ST正确满足该PP要求。
通用的评价信息产品与系统的标准。
术语解释
TOE-评估对象 ST-安全目标 PP-保护轮廓 TSP-TOE安全策略 TSF-TOE安全功能 TSC-TSF控制范围
概述
分为三个部分
第1部分：简介和一般模型 第2部分：安全功能要求 第3部分：安全保证要求
概述
不在 CC考虑之列：
总体思路
信息安全涉及国家安危 不是TCSEC的简单沿袭
标准体系——适应现代计算机技术与信 息技术的发展
没有严格分类安全功能与安全保证
安全保护等级要求逐次递增的关 系明显
《准则》
五个安全保护等级 十个安全要素：身份鉴别、自主访
问控制、标记、强制访问控制、客 体重用、完整性、审计、隐通道分 析、可信恢复以及可信路径。
本标准不包括那些与信息技术安全措施没有直接关 联的属于行政性管理安全措施的安全评估准则。
本标准并不专门针对信息技术安全性的物理方面 （诸如电磁辐射控制）的评估。
本标准并不涉及评估方法学，也不涉及评估机构使 用本规则的管理模式或法律框架。
评估结果用于产品和系统认可的过程不在本标准的 范围之内。产品和系统的认可是行政性的管理过程， 据此认可信息技术产品和系统在其整个运行环境中 的运行权。
信任度
《准则》——对实现安全功能的安全保护措 施抵抗威胁与攻击的能力的一种度量；CC是 对实现安全功能的整个过程的一种信任度。
比较
安全功能强度 抗渗透能力 评估
CC有三个评估，针对的是安全功能实现的整 个过程的保证程度——时间段；《准则》测 试安全功能的实现状况——时间点。
参与的人员。
保护轮廓
PP内容
PP引言
TOE描述
PP标识 PP 概述
TOE安全环境 安全目的
IT安全要求
假设 威胁 组织性安全策略
TOE 安全目的 环境安全目的
TOE安全要求
TOE安全功能要求
PP 应用注解
基本原理
IT环境安全要求
安全目的基本原理 安全要求基本原理
TOE 安全保证要求
安全目标
ST引言
TOE描述 TOE安全环境
功能类结构
功能类
类名 类介绍 功能族
功能族结构
功能族
族名 族行为 组件层次
管理 审计
组件
功能组件结构
组件
组件标识 功能元素
依赖性
安全功能要求的说明
管理 审计
三个层次：最小级、基本级和详细级。
功能元素：独立的，可标识的最小安全 功能要求。
依赖性
说明
允许的功能组件操作
反复：覆盖一个要求的多个方面。 赋值：满足特定的安全目标。 选择：缩小一个组件元素的范围。 细化
通用准则要求 目录
功能要 求
资产保护 需求
建立 安全 环境
威 建立 胁
建立 安全 目的
安全目的
建立 安全 要求
保证要 求 建立
TOE概要 规范
TOE概要规范
TOE目的
组织化安全策 略
安全环 境材料 (PP/ST)
环境要 求
安全目 的材料 (PP/ST)
安全需 求材料 （PP/ST）
安全规范材料 (PP/ST)
安全目的 IT安全要求 TOE概要规范
PP声明
基本原理
ST标识
ST内容
ST概述
CC一致性性声明
假设 威胁 组织性安全策略
TOE 安全目的 环境安全目的
TOE安全要求
IT环境安全要求 TOE安全功能 保证措施 PP声明 PP裁减 PP附加项
安全目的基本原理 安全要求基本原理
TOE安全功能要求 TOE 安全保证要求
描述语言
CC的安全要求：
安全功能要求 安全保证要求
安全要求层次
类 族 组件和元素
安全功能要求
共11类：
FAU类：安全审计 FCO类：通信 FCS类：密码支持 FDP类：用户数据保护 FIA类：标识与鉴别 FMT类：安全管理
安全功能要求
FPR类：隐秘 FPT类：安全功能保护 FRU类：资源利用 FTA类：TOE访问 FTP类：可信路径/信道
人生得意须尽欢，莫使金樽空对月。21:43:2721:43: 2721:4312/7/ 2020 9:43:27 PM
做一枚螺丝钉，那里需要那里上。20.12.721: 43:2721:43Dec-207- Dec-20
日复一日的努力只为成就美好的明天 。21:43:2721: 43:2721:43Monday, December 07, 2020
身份认证系统安全保护等级标准
五个层面标准
系统层安全保护标准 网络层面主要构件安全保护标准 应用层面安全保护标准
Web服务与PKI
安全管理层面安全保护标准 物理层面安全保护标准
总结：《准则》与CC 的比较
内容结构
CC分为安全功能要求与安全保证要求，保证 要求层层递进；《准则》十个安全要素，层 层递进。
TCSEC
安全策略
自主访问控制 标记 强制访问控制 客体重用
TCSEC
责任
鉴别 可信路径 审计
TCSEC
保证 生命周期保证 运行保证
TCSEC
运行保证
系统体系结构 系统完整性 隐通道分析 安全管理（Trusted Facility Management） 可信恢复
保证组件结构
保证组件
组件标识 应用解释
目的 依赖性
保证元素
wk.baidu.com
说明
目的：特定保证组件的特定目的。 保证元素
开发者行为元素-D 证据的内容与表示元素-C 评估者行为元素-E
安全保证度量
七个评估保证级别：EAL1-EAL7
保证不断增加。严格性、范围和深度。
可扩充增强 EAL1：功能测试 EAL2：结构测试 EAL3；系统地测试和检查 EAL4：系统地设计、测试和复查
计算机信息系统安全 保护等级标准介绍
安全保护等级
定性分析
定量分析
安 全 风险分析 事 件
安全保护体系
安全产品、安全技术
安全策略、安全管理
安全保护等级 脆弱性分析
威胁与漏洞
安全保护等级
定量分析 安全保护措施的可信度 可比性
主导问题
TCSEC（Trusted Computer Security Evaluation Criteria）简介
TOE评估使用已经评估过的ST为基础，其目标： 证明TOE满足ST评估中的安全要求。
评估结果
评估PP
PP评估结果
PP分类
评估ST
ST评估结果
评估TOE TOE评估结果 证书分类
已评估过的TOE
特点
通用性 完备性 扩充性 主观性 对安全功能要求
《准则》
总体思路 标准体系 主要内容
保密性 完整性 可用性
CC使用对象
IT产品与系统消费者、开发商或集成商、评 估者、认证人员与授权人员。
安全概念与关系
所有者 利用
价值 希望最小化 对策
减少 可能拥有
可能被减少 可能意识到
威胁者
弱点 导致
利用
风险
引起
增加
到
图 4.1 安全威概胁念和关系
希望滥用和破坏
到
资产
TOE物理环境
假设
让自己更加强大，更加专业，这才能 让自己 更好。2020年12月下 午9时43分20.12.721:43December 7, 2020
本标准不包括密码算法固有质量评价准则。
概述
一个库，两种描述方式，三类人。
知识库：安全功能要求与安全保证要求。信 息安全技术要求库——语言元素。
描述方式：PP与ST。组织语言元素的格式与 内容要求。
三类人：消费者、开发者与评估者。
三种评估：PP、ST与TOE的评估。
概述
CC涉及三个信息安全基本要求
网络系统的标准
TNI-2
安全服务
三个附录
三个附录
TNI第一部分的扩展，关于组件及组 件组合的评估
组件评估基本原理 互联系统的方法及可能遇到的问题
TCSEC
局限性
主要针对单机系统 TNI是后来补充的，没有从网络体系上
考虑问题 主要考虑保密性 安全服务与安全要素 加密体制 网络环境与管理
TCSEC
生命周期保证
测试 设计规范与验证 配置管理 可信分发
TCSEC
文档
用户指南 管理员指南 测试文档 设计文档
TNI
TNI
四个公理 网络环境下的解释 将网络系统划分为网络组件 补充安全服务的解释
访问控制、鉴别、完整性、保密性与抗抵 赖性
TNI
TNI-1