【正文】 級(jí)作出恰當(dāng)?shù)脑u(píng)估 145 ? 在網(wǎng)絡(luò)上，有三種不同的通信流： ?用戶通信流 ?控制通信流 ?管理通信流 ? 信息系統(tǒng)應(yīng)保證局域內(nèi)這些通信流的安全 ? 直接假設(shè) KMI/PKI等支撐基礎(chǔ)設(shè)施的實(shí)施過程是安全的 146 ? 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 ? 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（ TCSEC） ? 可信網(wǎng)絡(luò)解釋 （ TNI） ? 通用準(zhǔn)則 CC ? 《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 ? 信息安全保證技術(shù)框架 ? 《 信息系統(tǒng)安全保護(hù)等級(jí)應(yīng)用指南 》 147 ? 前三部分主要介紹了該準(zhǔn)則的應(yīng)用范圍、規(guī)范性引用文件以及一些術(shù)語的定義。 此后這些計(jì)劃接受的任何新的產(chǎn)品都必須根據(jù) CC的要求進(jìn)行評(píng)估 。組件描述一組特定的安全要求集，它是 CC定義的結(jié)構(gòu)中所包含的最小的可選安全要求集 87 ? 組件由單個(gè)元素組成，元素是安全需求最低層次的表達(dá)，并且是能被評(píng)估驗(yàn)證的不可分割的安全要求 ? 族內(nèi)具有相同目標(biāo)的組件可以以安全要求強(qiáng)度（或能力）逐步增加的順序排列，也可以部分地按相關(guān)非層次集合的方式組織 88 ? 組件間可能存在依賴關(guān)系 ? 依賴關(guān)系可以存在于功能組件之間、保證組件之間以及功能和保證組件之間 ? 組件間依賴關(guān)系描述是 CC組件定義的一部分 89 ? 可以通過使用組件允許的操作，對(duì)組件進(jìn)行裁剪 ? 每一個(gè) CC組件標(biāo)識(shí)并定義組件允許的 “ 賦值 ” 和“ 選擇 ” 操作、在哪些情況下可對(duì)組件使用這些操作，以及使用這些操作的后果 ? 任何一個(gè)組件均允許 “ 反復(fù) ” 和 “ 細(xì)化 ” 操作 90 這四個(gè)操作如下所述： ?反復(fù)：在不同操作時(shí) ， 允許組件多次使用 ?賦值：當(dāng)組件被應(yīng)用時(shí) ， 允許規(guī)定所賦予的參數(shù) ?選擇：允許從組件給出的列表中選定若干項(xiàng) ? 細(xì)化：當(dāng)組件被應(yīng)用時(shí) ， 允許對(duì)組件增加細(xì)節(jié) 91 CC中安全需求的描述方法 : ?包 :組件的中間組合被稱為包 ?保護(hù)輪廓 (PP): PP是關(guān)于一系列滿足一個(gè)安全目標(biāo)集的 TOE的、與實(shí)現(xiàn)無關(guān)的描述 ?安全目標(biāo) (ST)： ST是針對(duì)特定 TOE安全要求的描述，通過評(píng)估可以證明這些安全要求對(duì)滿足指定目的是有用和有效的 92 ? 包允許對(duì)功能或保證需求集合的描述，這個(gè)集合能夠滿足一個(gè)安全目標(biāo)的可標(biāo)識(shí)子集 ? 包可重復(fù)使用，可用來定義那些公認(rèn)有用的、能夠有效滿足特定安全目標(biāo)的要求 ? 包可用在構(gòu)造更大的包、 PP和 ST中 93 ? PP包含一套來自 CC（或明確闡述）的安全要求，它應(yīng)包括一個(gè)評(píng)估保證級(jí)別（ EAL） ? PP可反復(fù)使用，還可用來定義那些公認(rèn)有用的、能夠有效滿足特定安全目標(biāo)的 TOE要求 ? PP包括安全目的和安全要求的基本原理 ? PP的開發(fā)者可以是用戶團(tuán)體、 IT產(chǎn)品開發(fā)者或其它對(duì)定義這樣一系列通用要求有興趣的團(tuán)體 保護(hù)輪廓PP描述結(jié)構(gòu) PP 應(yīng)用注解PP 標(biāo)識(shí)PP 概述假設(shè)威脅組織性安全策略T O E 安全目的環(huán)境安全目的安全目的基本原理安全要求基本原理T O E 安全功能要求T O E 安全保證要求保護(hù)輪廓PP引言TOE描 述TOE安 全環(huán)境安全目的IT安全 要求基本原理TOE安 全要求I T 環(huán)境安全要求95 ? 安全目標(biāo) (ST)包括一系列安全要求，這些要求可以引用 PP，也可以直接引用 CC中的功能或保證組件，或明確說明 ? 一個(gè) ST包含 TOE的概要規(guī)范，安全要求和目的，以及它們的基本原理 ? ST是所有團(tuán)體間就 TOE應(yīng)提供什么樣的安全性達(dá)成一致的基礎(chǔ) 安全目標(biāo)描述結(jié)構(gòu) ST 標(biāo)識(shí)ST 概述假設(shè)威脅組織性安全策略T O E 安全目的環(huán)境安全目的T O E 安全功能要求T O E 安全保證要求安全目標(biāo)ST引言TOE描 述TOE安 全環(huán)境安全目的IT安全 要求 TOE安 全要求I T 環(huán)境安全要求C C 一致性性聲明TOE概 要規(guī)范 T O E 安全功能保證措施P P 聲明P P 裁減P P 附加項(xiàng)PP聲明基本原理 安全目的基本原理安全要求基本原理97 CC框架下的評(píng)估類型 ? PP評(píng)估 ? ST評(píng)估 ? TOE評(píng)估 98 ? PP評(píng)估是依照 CC第 3部分的 PP評(píng)估準(zhǔn)則進(jìn)行的。 62 ? 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 ? 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（ TCSEC） ? 可信網(wǎng)絡(luò)解釋 （ TNI） ? 通用準(zhǔn)則 CC ? 《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 ? 信息安全保證技術(shù)框架 ? 《 信息系統(tǒng)安全保護(hù)等級(jí)應(yīng)用指南 》 63 CC的范圍 : ? CC適用于硬件、固件和軟件實(shí)現(xiàn)的信息技術(shù)安全措施 ?而某些內(nèi)容因涉及特殊專業(yè)技術(shù)或僅是信息技術(shù)安全的外圍技術(shù)不在 CC的范圍內(nèi) 64 評(píng)估上下文 評(píng)估準(zhǔn)則 (通用準(zhǔn)則 ） 評(píng)估方法學(xué) 評(píng)估方案 最終評(píng)估 結(jié)果 評(píng)估 批準(zhǔn) /證明 證書表 / (注冊(cè) ) 65 ? 使用通用評(píng)估方法學(xué)可以提供結(jié)果的可重復(fù)性和客觀性 ? 許多評(píng)估準(zhǔn)則需要使用專家判斷和一定的背景知識(shí) ? 為了增強(qiáng)評(píng)估結(jié)果的一致性，最終的評(píng)估結(jié)果應(yīng)提交給一個(gè)認(rèn)證過程，該過程是一個(gè)針對(duì)評(píng)估結(jié)果的獨(dú)立的檢查過程，并生成最終的證書或正式批文 66 CC包括三個(gè)部分 : ?第一部分：簡(jiǎn)介和一般模型 ?第二部分：安全功能要求 ?第三部分：安全保證要求 67 安全保證要求部分提出了七個(gè)評(píng)估保證級(jí)別（ Evaluation Assurance Levels： EALs） 分別是： ? EAL1：功能測(cè)試 ? EAL2：結(jié)構(gòu)測(cè)試 ? EAL3：系統(tǒng)測(cè)試和檢查 ? EAL4：系統(tǒng)設(shè)計(jì) 、 測(cè)試和復(fù)查 ? EAL5：半形式化設(shè)計(jì)和測(cè)試 ? EAL6：半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試 ? EAL7：形式化驗(yàn)證的設(shè)計(jì)和測(cè)試 68 ? CC的一般模型 ?一般安全上下文 ?TOE評(píng)估 ?CC安全概念 69 ? 安全就是保護(hù)資產(chǎn)不受威脅，威脅可依據(jù)濫用被保護(hù)資產(chǎn)的可能性進(jìn)行分類 ? 所有的威脅類型都應(yīng)該被考慮到 ? 在安全領(lǐng)域內(nèi)，被高度重視的威脅是和人們的惡意攻擊及其它人類活動(dòng)相聯(lián)系的 安全概念和關(guān)系 圖 安全概念和關(guān)系所有者對(duì)策弱點(diǎn)風(fēng)險(xiǎn)資產(chǎn)威脅威脅者價(jià)值希望最小化利用 減少可能擁有可能意識(shí)到可能被減少利用導(dǎo)致引起 增加到到希望濫用和破壞71 ? 安全性損壞一般包括但又不僅僅包括以下幾項(xiàng) ? 資產(chǎn)破壞性地暴露于未授權(quán)的接收者（失去保密性） ? 資產(chǎn)由于未授權(quán)的更改而損壞（失去完整性） ? 或資產(chǎn)訪問權(quán)被未授權(quán)的喪失（失去可用性） 72 ? 資產(chǎn)所有者必須分析可能的威脅并確定哪些存在于他們的環(huán)境 ， 其后果就是風(fēng)險(xiǎn) ? 對(duì)策用以（直接或間接地）減少脆弱性并滿足資產(chǎn)所有者的安全策略 ? 在將資產(chǎn)暴露于特定威脅之前，所有者需要確信其對(duì)策足以應(yīng)付面臨的威脅 評(píng)估概念 和關(guān)系 保證技術(shù)保證評(píng)估信心對(duì)策風(fēng)險(xiǎn)資產(chǎn)所有者產(chǎn)生給出證據(jù)需要提供源于最小化針對(duì)TOE評(píng)估過程 安全需求（PP與 ST）開發(fā)TO ETOE和評(píng) 估 評(píng)估TO E評(píng)估結(jié)果 操作TO E評(píng)估方案評(píng)估方法評(píng)估準(zhǔn)則反饋75 TOE評(píng)估過程的主要輸入有 ： ? 一系列 TOE證據(jù) ， 包括評(píng)估過的 ST作為 TOE評(píng)估的基礎(chǔ) ? 需要評(píng)估的 TOE ? 評(píng)估準(zhǔn)則 、 方法和方案 另外 ， 說明性材料 （ 例如 CC的使用說明書 ） 和評(píng)估者及評(píng)估組織的 IT安全專業(yè)知識(shí)也常用來作為評(píng)估過程的輸入 76 ? 評(píng)估過程通過兩種途徑產(chǎn)生更好的安全產(chǎn)品 ?評(píng)估過程能發(fā)現(xiàn)開發(fā)者可以糾正的 TOE錯(cuò)誤或弱點(diǎn)，從而在減少將來操作中安全失效的可能性 ?另一方面，為了通過嚴(yán)格的評(píng)估，開發(fā)者在 TOE設(shè)計(jì)和開發(fā)時(shí)也將更加細(xì)心 ? 因此，評(píng)估過程對(duì)最初需求、開發(fā)過程、最終產(chǎn)品以及操作環(huán)境將產(chǎn)生強(qiáng)烈的積極影響 77 ? 只有在 IT環(huán)境中考慮 IT組件保護(hù)資產(chǎn)的能力時(shí)， CC才是可用的 ? 為了表明資產(chǎn)是安全的，安全考慮必須出現(xiàn)在所有層次的表述中，包括從最抽象到最終的 IT實(shí)現(xiàn) ? CC要求在某層次上的表述包含在該層次上 TOE描述的基本原理 78 ? CC安全概念 包括： ?安全環(huán)境 ?安全目的 ? IT安全要求 ? TOE概要規(guī)范 79 ? 安全環(huán)境包括所有相關(guān)的法規(guī)、組織性安全策略、習(xí)慣、專門技術(shù)和知識(shí) ? 它定義了 TOE使用的上下文，安全環(huán)境也包括環(huán)境里出現(xiàn)的安全威脅 80 為建立安全環(huán)境，必須考慮以下幾點(diǎn)： ?TOE物理環(huán)境，指所有的與 TOE安全相關(guān)的 TOE運(yùn)行環(huán)境，包括已知的物理和人事的安全安排 ?需要根據(jù)安全策略由 TOE的元素實(shí)施保護(hù)的資產(chǎn)。history and development 2 ? 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 ? 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（ TCSEC ） ? 可信網(wǎng)絡(luò)解釋 （ TNI） ? 通用準(zhǔn)則 CC