【正文】 history and development 2 ? 信息技術安全評估準則發(fā)展過程 ? 可信計算機系統(tǒng)評估準則（ TCSEC ） ? 可信網(wǎng)絡解釋 （ TNI） ? 通用準則 CC ? 《 計算機信息系統(tǒng)安全保護等級劃分準則 》 ? 信息安全保證技術框架 ? 《 信息系統(tǒng)安全保護等級應用指南 》 3 ? 20世紀 60年代后期， 1967年美國國防部（ DOD）成立了一個研究組，針對當時計算機使用環(huán)境中的安全策略進行研究，其研究結果是 “ Defense Science Board report” ? 70年代的后期 DOD對當時流行的操作系統(tǒng) KSOS，PSOS， KVM進行了安全方面的研究 4 ? 80年代后，美國國防部發(fā)布的 “ 可信計算機系統(tǒng)評估準則（ TCSEC） ” （即桔皮書） ? 后來 DOD又發(fā)布了可信數(shù)據(jù)庫解釋（ TDI）、可信網(wǎng)絡解釋（ TNI）等一系列相關的說明和指南 ? 90年代初，英、法、德、荷等四國針對 TCSEC準則的局限性，提出了包含保密性、完整性、可用性等概念的 “信息技術安全評估準則 ”（ ITSEC），定義了從 E0級到 E6級的七個安全等級 5 ? 加拿大 1988年開始制訂 《 The Canadian Trusted Computer Product Evaluation Criteria 》（ CTCPEC） ? 1993年，美國對 TCSEC作了補充和修改，制定了“ 組合的聯(lián)邦標準 ” （簡稱 FC） ? 國際標準化組織（ ISO）從 1990年開始開發(fā)通用的國際標準評估準則 6 ? 在 1993年 6月， CTCPEC、 FC、 TCSEC和 ITSEC的發(fā)起組織開始聯(lián)合起來，將各自獨立的準則組合成一個單一的、能被廣泛使用的 IT安全準則 ? 發(fā)起組織包括六國七方：加拿大、法國、德國、荷蘭、英國、美國 NIST及美國 NSA，他們的代表建立了 CC編輯委員會（ CCEB）來開發(fā) CC 7 ? 1996年 1月完成 ,在 1996年 4月被 ISO采納 ? 1997年 10月完成 ? 1998年 5月發(fā)布 ? 1999年 12月 ISO采納 CC，并作為國際標準 ISO 15408發(fā)布 8 桔皮書 （ TCSEC）1985 英國安全標準1989 德國標準 法國標準 加拿大標準 1993 聯(lián)邦標準草案1993 ITSEC 1991 通用標準 1996 1998 1999 9 ? 信息技術安全評估準則發(fā)展過程 ? 可信計算機系統(tǒng)評估準則（ TCSEC） ? 可信網(wǎng)絡解釋 （ TNI） ? 通用準則 CC ? 《 計算機信息系統(tǒng)安全保護等級劃分準則 》 ? 信息安全保證技術框架 ? 《 信息系統(tǒng)安全保護等級應用指南 》 10 ? 在 TCSEC中，美國國防部按處理信息的等級和應采用的響應措施，將計算機安全從高到低分為： A、 B、C、 D四類八個級別，共 27條評估準則 ? 隨著安全等級的提高，系統(tǒng)的可信度隨之增加，風險逐漸減少。 11 四個安全等級： ?無保護級 ?自主保護級 ?強制保護級 ?驗證保護級 12 ? D類是最低保護等級，即無保護級 ? 是為那些經(jīng)過評估，但不滿足較高評估等級要求的系統(tǒng)設計的，只具有一個級別 ? 該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息 13 四個安全等級： ?無保護級 ?自主保護級 ?強制保護級 ?驗證保護級 14 ? C類為自主保護級 ? 具有一定的保護能力，采用的措施是自主訪問控制和審計跟蹤 ? 一般只適用于具有一定等級的多用戶環(huán)境 ? 具有對主體責任及其動作審計的能力 15 C類分為 C1和 C2兩個級別 : ?自主安全保護級（ C1級 ) ?控制訪問保護級（ C2級） 16 ? C1級 TCB通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護的能力 ? 它具有多種形式的控制能力，對用戶實施訪問控制 ? 為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞 ? C1級的系統(tǒng)適用于處理同一敏感級別數(shù)據(jù)的多用戶環(huán)境 17 ? C2級計算機系統(tǒng)比 C1級具有更細粒度的自主訪問控制 ? C2級通過注冊過程控制、審計安全相關事件以及資源隔離，使單個用戶為其行為負責 18 四個安全等級： ?無保護級 ?自主保護級 ?強制保護級 ?驗證保護級 19 ? B類為強制保護級 ? 主要要求是 TCB應維護完整的安全標記，并在此基礎上執(zhí)行一系列強制訪問控制規(guī)則 ? B類系統(tǒng)中的主要數(shù)據(jù)結構必須攜帶敏感標記 ? 系統(tǒng)的開發(fā)者還應為 TCB提供安全策略模型以及 TCB規(guī)約 ? 應提供證據(jù)證明訪問監(jiān)控器得到了正確的實施 20 B類分為三個類別： ?標記安全保護級（ B1級） ?結構化保護級（ B2級） ?安全區(qū)域保護級（ B3級） 21 ? B1級系統(tǒng)要求具有 C2級系統(tǒng)的所有特性 ? 在此基礎上，還應提供安全策略模型的非形式化描述、數(shù)據(jù)標記以及命名主體和客體的強制訪問控制 ? 并消除測試中發(fā)現(xiàn)的所有缺陷 22 B類分為三個類別： ?標記安全保護級（ B1級） ?結構化保護級（ B2級） ?安全區(qū)域保護級（ B3級） 23 ? 在 B2級系統(tǒng)中， TCB建立于一個明確定義并文檔化形式化安全策略模型之上 ? 要求將 B1級系統(tǒng)中建立的自主和強制訪問控制擴展到所有的主體與客體 ? 在此基礎上，應對隱蔽信道進行分析 ? TCB應結構化為關鍵保護元素和非關鍵保護元素 24 ? TCB接口必須明確定義 ? 其設計與實現(xiàn)應能夠經(jīng)受更充分的測試和更完善的審查 ? 鑒別機制應得到加強，提供可信設施管理以支持系統(tǒng)管理員和操作員的職能 ? 提供嚴格的配置管理控制 ? B2級系統(tǒng)應具備相當?shù)目節(jié)B透能力 25 B類分為三個類別： ?標記安全保護級（ B1級） ?結構化保護級（ B2級） ?安全區(qū)域保護級（ B3級） 26 ? 在 B3級系統(tǒng)中， TCB必須滿足訪問監(jiān)控器需求 ? 訪問監(jiān)控器對所有主體對客體的訪問進行仲裁 ? 訪問監(jiān)控器本身是抗篡改的 ? 訪問監(jiān)控器足夠小 ? 訪問監(jiān)控器能夠分析和測試 27 為了滿足訪問控制器需求 : ?計算機信息系統(tǒng)可信計算基在構造時，排除那些對實施安全策略來說并非必要的代碼 ?計算機信息系統(tǒng)可信計算基在設計和實現(xiàn)時，從系統(tǒng)工程角度將其復雜性降低到最小程度 28 B3級系統(tǒng)支持 : ?安全管理員職能 ?擴充審計機制 ?當發(fā)生與安全相關的事件時，發(fā)出信號 ?提供系統(tǒng)恢復機制 ?系統(tǒng)具有很高的抗?jié)B透能力 29 四個安全等級： ?無保護級 ?自主保護級 ?強制保護級 ?驗證保護級 30 ? A類為驗證保護級 ? A類的特點是使用形式化的安全驗證方法，保證系統(tǒng)的自主和強制安全控制措施能夠有效地保護系統(tǒng)中存儲和處理的秘密信息或其他敏感信息 ? 為證明 TCB滿足設計、開發(fā)及實現(xiàn)等各個方面的安全要求，系統(tǒng)應提供豐富的文檔信息 31 A類分為兩個類別： ?驗證設計級（ A1級） ?超 A1級 32 ? A1級系統(tǒng)在功能上和 B3級系統(tǒng)是相同的，沒有增加體系結構特性和策略要求 ? 最顯著的特點是，要求用形式化設計規(guī)范和驗證方法來對系統(tǒng)進行分析，確保 TCB按設計要求實現(xiàn) ? 從本質(zhì)上說，這種保證是發(fā)展的，它從一個安全策略的形式化模型和設計的形式化高層規(guī)約（ FTLS）開始 33 A1級系統(tǒng) : ?要求更嚴格的配置管理 ?要求建立系統(tǒng)安全分發(fā)的程序 ?支持系統(tǒng)安全管理員的職能 34 A類分為兩個類別： ?驗證設計級（ A1級） ?超 A1級 35 ? 超 A1級在 A1級基礎上增加的許多安全措施超出了目前的技術發(fā)展 ? 隨著更多、更好的分析技術的出現(xiàn)，本級系統(tǒng)的要求才會變的更加明確 ? 今后，形式化的驗證方法將應用到源碼一級，并且時間隱蔽信道將得到全面的分析 36 ? 在這一級，設計環(huán)境將變的更重要 ? 形式化高層規(guī)約的分析將對測試提供幫助 ? TCB開發(fā)中使用的工具的正確性及 TCB運行的軟硬件功能的正確性將得到更多的關注 37 超 A1級系統(tǒng)涉及的范圍包括： ?系統(tǒng)體系結構 ?安全測試 ?形式化規(guī)約與驗證 ?可信設計環(huán)境等 38 ? 信息技術安全評估準則發(fā)展過程 ? 可信計算機系統(tǒng)評估準則（ TCSEC） ? 可信網(wǎng)絡解釋 （ TNI） ? 通用準則 CC ? 《 計算機信息系統(tǒng)安全保護等級劃分準則 》 ? 信息安全保證技術框架 ? 《 信息系統(tǒng)安全保護等級應用指南 》 39 ? 美國國防部計算機安全評估中心在完成 TCSEC的基礎上，又組織了專門的研究鏃對可信網(wǎng)絡安全評估進行研究，并于 1987年發(fā)布了以 TCSEC為基礎的可信網(wǎng)絡解釋，即 TNI。 ? TNI包括兩個部分（ Part I和 Part II）及三個附錄（ APPENDIX A、 B、 C） 40 ? TNI第一部分提供了在網(wǎng)絡系統(tǒng)