【正文】 ? 應(yīng)提供形式化的高層規(guī)約，包括 TCB功能的抽象定義、用于隔離執(zhí)行域的硬件 /固件機制的抽象定義 34 TCSEC ? 應(yīng)通過形式化的技術(shù)（如果可能的化）和非形式化的技術(shù)證明 TCB的形式化高層規(guī)約（ FTLS）與模型是一致的 ? 通過非形式化的方法證明 TCB的實現(xiàn)（硬件、固件、軟件）與形式化的高層規(guī)約（ FTLS）是一致的。應(yīng)證明 FTLS的元素與 TCB的元素是一致的， FTLS應(yīng)表達用于滿足安全策略的一致的保護機制，這些保護機制的元素應(yīng)映射到 TCB的要素 35 TCSEC ? 應(yīng)使用形式化的方法標識并分析隱蔽信道，非形式化的方法可以用來標識時間隱蔽信道，必須對系統(tǒng)中存在的隱蔽信道進行解釋 36 TCSEC A1級系統(tǒng) : ? 要求更嚴格的配置管理 ? 要求建立系統(tǒng)安全分發(fā)的程序 ? 支持系統(tǒng)安全管理員的職能 37 TCSEC A類分為兩個類別： ? 驗證設(shè)計級（ A1級） ? 超 A1級 38 TCSEC ? 超 A1級在 A1級基礎(chǔ)上增加的許多安全措施超出了目前的技術(shù)發(fā)展 ? 隨著更多、更好的分析技術(shù)的出現(xiàn)，本級系統(tǒng)的要求才會變的更加明確 ? 今后，形式化的驗證方法將應(yīng)用到源碼一級，并且時間隱蔽信道將得到全面的分析 39 TCSEC ? 在這一級，設(shè)計環(huán)境將變的更重要 ? 形式化高層規(guī)約的分析將對測試提供幫助 ? TCB開發(fā)中使用的工具的正確性及 TCB運行的軟硬件功能的正確性將得到更多的關(guān)注 40 TCSEC 超 A1級系統(tǒng)涉及的范圍包括： ? 系統(tǒng)體系結(jié)構(gòu) ? 安全測試 ? 形式化規(guī)約與驗證 ? 可信設(shè)計環(huán)境等 41 標準介紹 ? 信息技術(shù)安全評估準則發(fā)展過程 ? 可信計算機系統(tǒng)評估準則（ TCSEC） ? 可信網(wǎng)絡(luò)解釋 （ TNI） ? 通用準則 CC ? 《計算機信息系統(tǒng)安全保護等級劃分準則》 ? 信息系統(tǒng)安全評估方法探討 42 可信網(wǎng)絡(luò)解釋（ TNI） ? 美國國防部計算機安全評估中心在完成 TCSEC的基礎(chǔ)上，又組織了專門的研究鏃對可信網(wǎng)絡(luò)安全評估進行研究，并于 1987年發(fā)布了以 TCSEC為基礎(chǔ)的可信網(wǎng)絡(luò)解釋，即 TNI。 ? TNI包括兩個部分（ Part I和 Part II）及三個附錄（ APPENDIX A、 B、 C） 43 可信網(wǎng)絡(luò)解釋（ TNI） ? TNI第一部分提供了在網(wǎng)絡(luò)系統(tǒng)作為一個單一系統(tǒng)進行評估時 TCSEC中各個等級（從 D到 A類）的解釋 ? 與單機系統(tǒng)不同的是，網(wǎng)絡(luò)系統(tǒng)的可信計算基稱為網(wǎng)絡(luò)可信計算基（ NTCB） 44 可信網(wǎng)絡(luò)解釋（ TNI） ? 第二部分以附加安全服務(wù)的形式提出了在網(wǎng)絡(luò)互聯(lián)時出現(xiàn)的一些附加要求 ? 這些要求主要是針對完整性、可用性和保密性的 45 可信網(wǎng)絡(luò)解釋（ TNI） 第二部分的評估是定性的，針對一個服務(wù)進行評估的結(jié)果一般分為為： ?none ?minimum ?fair ?good 46 可信網(wǎng)絡(luò)解釋（ TNI） 第二部分中關(guān)于每個服務(wù)的說明一般包括 : ? 一種相對簡短的陳述 ? 相關(guān)的功能性的討論 ? 相關(guān)機制強度的討論 ? 相關(guān)保證的討論 47 可信網(wǎng)絡(luò)解釋（ TNI） ? 功能性是指一個安全服務(wù)的目標和實現(xiàn)方法，它包括特性、機制及實現(xiàn) ? 機制的強度是指一種方法實現(xiàn)其目標的程度 ? 有些情況下，參數(shù)的選擇會對機制的強度帶來很大的影響 48 可信網(wǎng)絡(luò)解釋（ TNI） ? 保證是指相信一個功能會實現(xiàn)的基礎(chǔ) ? 保證一般依靠對理論、測試、軟件工程等相關(guān)內(nèi)容的分析 ? 分析可以是形式化或非形式化的，也可以是理論的或應(yīng)用的 49 可信網(wǎng)絡(luò)解釋（ TNI） 第二部分中列出的安全服務(wù)有： ? 通信完整性 ? 拒絕服務(wù) ? 機密性 50 可信網(wǎng)絡(luò)解釋（ TNI） 通信完整性主要涉及以下 3方面： ?鑒別：網(wǎng)絡(luò)中應(yīng)能夠抵抗欺騙和重放攻擊 ?通信字段完整性：保護通信中的字段免受非授權(quán)的修改 ?抗抵賴：提供數(shù)據(jù)發(fā)送、接受的證據(jù) 51 可信網(wǎng)絡(luò)解釋（ TNI） ? 當(dāng)網(wǎng)絡(luò)處理能力下降到一個規(guī)定的界限以下或遠程實體無法訪問時，即發(fā)生了拒絕服務(wù) ? 所有由網(wǎng)絡(luò)提供的服務(wù)都應(yīng)考慮拒絕服務(wù)的情況 ? 網(wǎng)絡(luò)管理者應(yīng)決定網(wǎng)絡(luò)拒絕服務(wù)需求 52 可信網(wǎng)絡(luò)解釋（ TNI） 解決拒絕服務(wù)的方法有： ? 操作連續(xù)性 ? 基于協(xié)議的拒絕服務(wù)保護 ? 網(wǎng)絡(luò)管理 53 可信網(wǎng)絡(luò)解釋（ TNI） ? 機密性是一系列安全服務(wù)的總稱 ? 這些服務(wù)都是關(guān)于通過計算機通信網(wǎng)絡(luò)在實體間傳輸信息的安全和保密的 ? 具體又分 3種情況： ? 數(shù)據(jù)保密 ? 通信流保密 ? 選擇路由 54 可信網(wǎng)絡(luò)解釋（ TNI） 數(shù)據(jù)保密： ? 數(shù)據(jù)保密性服務(wù)保護數(shù)據(jù)不被未授權(quán)地泄露 ? 數(shù)據(jù)保密性主要受搭線竊聽的威脅 ? 被動的攻擊包括對線路上傳輸?shù)男畔⒌挠^測 55 可信網(wǎng)絡(luò)解釋（ TNI） 通信流保密： ? 針對通信流分析攻擊而言，通信流分析攻擊分析消息的長度、頻率及協(xié)議的內(nèi)容（如地址） ? 并以此推出消息的內(nèi)容 56 可信網(wǎng)絡(luò)解釋（ TNI） 選擇路由： ? 路由選擇控制是在路由選擇過程中應(yīng)用規(guī)則，以便具體的選取或回避某些網(wǎng)絡(luò)、鏈路或中繼 ? 路由能動態(tài)的或預(yù)定地選取，以便只使用物理上安全的子網(wǎng)絡(luò)、鏈路或中繼 ? 在檢測到持續(xù)的操作攻擊時，端系統(tǒng)可希望指示網(wǎng)絡(luò)服務(wù)的提供者經(jīng)不同的路由建立連接 ? 帶有某些安全標記的數(shù)據(jù)可能被策略禁止通過某些子網(wǎng)絡(luò)、鏈路或中繼 57 可信網(wǎng)絡(luò)解釋（ TNI） ? TNI第二部分的評估更多地表現(xiàn)出定性和主觀的特點，同第一部分相比表現(xiàn)出更多的變化 ? 第二部分的評估是關(guān)于被評估系統(tǒng)能力和它們對特定應(yīng)用環(huán)境的適合性的非常有價值的信息 ? 第二部分中所列舉的安全服務(wù)是網(wǎng)絡(luò)環(huán)境下有代表性的安全服務(wù) ? 在不同的環(huán)境下，并非所有的服務(wù)都同等重要，同一服務(wù)在不同環(huán)境下的重要性也不一定一樣 58 可信網(wǎng)絡(luò)解釋（ TNI） ? TNI的附錄 A是第一部分的擴展，主要是關(guān)于網(wǎng)絡(luò)中組件及組件組合的評估 ? 附錄 A把 TCSEC為 A1級系統(tǒng)定義的安全相關(guān)的策略分為四個相對獨立的種類，他們分別支持強制訪問控制（ MAC），自主訪問控制（ DAC），身份鑒別（ IA），審計（ AUDIT） 59 可信網(wǎng)絡(luò)解釋（ TNI） 組成部分的類型 最小級別 最大級別 M B1 A1 D C1 C2+ I C1 C2 A C2 C2+ DI C1 C2+ DA C2 C2+ IA C2 C2+ IAD C2 C2+ MD B1 A1 MA B1 A1 MI B1 A1 MDA B1 A1 MDI B1 A1 MIA B1 A1 MIAD B1 A1 60 可信網(wǎng)絡(luò)解釋（ TNI） ? 附錄 B給出了根據(jù) TCSEC對網(wǎng)絡(luò)組件進行評估的基本原理 ? 附錄 C則給出了幾個 AIS互聯(lián)時的認證指南及互聯(lián)中可能遇到的問題 61 可信網(wǎng)絡(luò)解釋（ TNI） TNI中關(guān)于網(wǎng)絡(luò)有兩種概念： ? 一是單一可信系統(tǒng)的概念（ single trusted system） ? 另一個是互聯(lián)信息系統(tǒng)的概念（ interconnected AIS） 這兩個概念并不互相排斥 62 可信網(wǎng)絡(luò)解釋（ TNI） ? 在單一可信系統(tǒng)中，網(wǎng)絡(luò)具有包括各個安全相關(guān)部分的單一 TCB，稱為 NTCB（ work trusted puting base） ? NTCB作為一個整體滿足系統(tǒng)的安全體系設(shè)計 63 可信網(wǎng)絡(luò)解釋（ TNI） 在互聯(lián)信息系統(tǒng)中 ? 各個子系統(tǒng)可能具有不同的安全策略 ? 具有不同的信任等級 ? 并且可以分別進行評估 ? 各個子系統(tǒng)甚至可能是異構(gòu)的 64 可信網(wǎng)絡(luò)解釋（ TNI） ? 安全策略的實施一般控制在各個子系統(tǒng)內(nèi)，在附錄 C中給出了各個子系統(tǒng)安全地互聯(lián)的指南，在互聯(lián)時要控制局部風(fēng)險的擴散，排除整個系統(tǒng)中的級聯(lián)問題（ cascade problem） ? 限制局部風(fēng)險的擴散的方法：單向連接、傳輸?shù)氖止z測、加密、隔離或其他措施。 65 標準介紹 ? 信息技術(shù)安全評估準則發(fā)展過程 ? 可信計算機系統(tǒng)評估準則（ TCSEC） ? 可信網(wǎng)絡(luò)解釋 （ TNI） ? 通用準則 CC ? 《計算機信息系統(tǒng)安全保護等級劃分準則》 ? 信息系統(tǒng)安全評估方法探討 66 通用準則 CC CC的范圍 : ? CC適用于硬件、固件和軟件實現(xiàn)的信息技術(shù)安全措施 ? 而某些內(nèi)容因涉及特殊專業(yè)技術(shù)或僅是信息技術(shù)安全的外圍技術(shù)不在 CC的范圍內(nèi) 67 通用準則 CC 評估上下文 評估準則 (通用準則 ） 評估方法學(xué) 評估方