【正文】 估的 、 安全增強的 IT產品及保護輪廓的可用性 。 ? NSA已經(jīng)將 TCSEC對操作系統(tǒng)的 C2和 B1級要求轉換為基于 CC的要求 （ 或 PP） ， NSA正在將 TCSEC的 B2和 B3級要求轉換成基于CC的保護輪廓 ， 但對 TCSEC中的 A1級要求不作轉換 。 ? 穿透測試（ peration testing）不能全面反映信息系統(tǒng)的安全保護能力。 構件安全性評估數(shù)據(jù)已知。 136 構件組裝安全性評估模型 規(guī)則 1. 安全要素集 E上訪問路徑安全保護等級評估規(guī)則 安全要素集 E上信息系統(tǒng)安全保護等級評估規(guī)則 137 訪問路徑的標識 評估對象拓撲結構分析 標識用戶發(fā)起訪問的邏輯位置 根據(jù)系統(tǒng)提供的應用服務，確定系統(tǒng)中所包含的訪問路徑 138 依賴關系和關聯(lián)關系的分析與檢測 對任意組裝互補性安全要素，系統(tǒng)邊界、計算環(huán)境及網(wǎng)絡各自內部的構件之間可以（但不是一定）存在依賴關系。 139 安全要素評估 構件的評估數(shù)據(jù)未知 構件在集成到系統(tǒng)過程中發(fā)生安全功能變動，需要對調整后的安全性重新進行評估 安全要素評估將為構件組裝安全性評估提供以下信息： ()pee f c構件在訪問路徑中就安全要素 而言達到的安全保護等級關聯(lián)關系與依賴關系檢測中的證據(jù)信息等140 每個要素可以分解為多個準則。 要素層次代表了 GB 17859定義的安全要素。 關聯(lián)關系 要素、準則、度量及證據(jù)層次 依賴關系 證據(jù)層次 143 FCME模型的合成規(guī)則 證據(jù)的合成 通過問卷調查，導航測試及穿透測試獲取 “ 與 ” 規(guī)則 “ 或 ” 規(guī)則 度量、準則的合成 “ 與 ” 規(guī)則 144 安全評估系統(tǒng)的實現(xiàn)與應用 實現(xiàn)環(huán)境 RedHat MySQL+Apache+PHP C和 perl 客戶端軟件為任意一款瀏覽器 適用范圍 Windows, FreeBSD, Linux以及 Solaris等系列 145 安全評估系統(tǒng)的實現(xiàn)與應用 安全評估內容 主要功能：安全要素評估、構件組裝安全性評估及安全保證評估 覆蓋范圍：安全需求分析、威脅分析、安全策略及組織管理評估等環(huán)節(jié) 安全評估的方式 問卷調查 導航測試 穿透測試 146 安全評估系統(tǒng)的實現(xiàn)與應用 安全評估系統(tǒng)構成 評估知識庫 檢測工具箱 問卷調查表及處理工具 評估信息庫 漏洞信息庫 系統(tǒng)管理 147 問卷調查反饋信息 評估資料收集 構件 組裝 評估 操作 平臺 網(wǎng)絡 環(huán)境 評估對象預分析 評估準則 知識庫 信息庫 評估申請 相關文檔 產品評估數(shù)據(jù) 工具箱 評估推理 評估報告 準備階段 評估實施階段 匯總報告階段 安全 要素 評估 應用 環(huán)境 導航測試 + 穿 透測試 評估資料審查 確定評估環(huán)境與假設 標識 構件、 路徑 區(qū)域 劃分 安全 保證 評估 安全評估過程 導航測試和穿透測試 安全要素評估 構件組裝安全性評估 安全保證評估 形成原始評估證據(jù) 安全策略是否能夠滿足其安全需求，是否適應評估對象的威脅環(huán)境 技術安全措施是否符合有關標準的要求 安全保證是否符合有關標準的要求 物理安全環(huán)境是否符合有關的物理安全標準 組織管理是否符合有關的安全管理要求 安全建議 確定評估對象能夠到達的安全保護等級 評估資料收集 通過問卷調查獲取評估所需的基本信息 評估對象預分析 審查評估資料的有效性、完備性； 根據(jù)對評估對象安全環(huán)境、安全需求及安全策略的分析，確定評估環(huán)境與假設； 確定系統(tǒng)拓撲，標識系統(tǒng)中包含的構件，標識系統(tǒng)中存在的訪問路徑 區(qū)域劃分 148 參考網(wǎng)址 ? ? ? ? ? html（ library of TCSEC final evaluation report） ? public/ (public index to IWG queue) ? ? (open vulnerability assessment language) 。 證據(jù)層次定義系統(tǒng)邊界、計算環(huán)境、網(wǎng)絡及基礎設施等各個部分中常見構件類型應提供的證據(jù)。 證據(jù)是安全評估過程中所獲得的原始數(shù)據(jù)，是關于信息系統(tǒng)的狀態(tài)、響應及策略等的客觀信息，證據(jù)與信息系統(tǒng)的具體實現(xiàn)直接相關，是對度量作出判斷的依據(jù)。 對自主訪問控制、強制訪問控制和身份鑒別，系統(tǒng)邊界和網(wǎng)絡中的構件不能依賴于計算環(huán)境中的構件；但計算環(huán)境中的構件可以依賴于系統(tǒng)邊界和網(wǎng)絡中的構件。130 訪問路徑 訪問路徑 因特網(wǎng) 數(shù)據(jù)庫 主 W e b 服務器 代理服務器 主交換機 本地用戶 數(shù)據(jù)庫應用服務器 防火墻 備份 W e b 服務器 遠程用戶 131 評估結果的類型 ()ee f S信息系統(tǒng)就安全要素 而言達到的安全保護等級()fS信息系統(tǒng)達到的安全保護等級 ()ee f c產品/ 構件就安全要素 而言達到的安全保護等級()ee f p訪問路徑就安全要素 而言達到的安全保護等級()pee f c構件在訪問路徑中就安全要素 而言達到的安全保護等級( ) ( )peef c f c不一定等于132 安全要素分類及構件間的關系 組裝互補性安全要素 組裝關聯(lián)性安全要素 組裝獨立性安全要素 構件間的依賴關系 構件間的關聯(lián)關系 133 構件間依賴關系的性質 構件間依賴關系 的 性質： , , , , , ,1 ( )23 ( ) ( )4 ( , ) ( ) ( )p e p ep e p e p epe ppeepe peee E a b c C p P a b c pa b b aa b b c a ca b f a f bd C d p a d f a f a???? ???????? ???? ????????????? ? ????? ? ? ? ?對 ， ， ， ， 非對稱性：若 ，則， 傳遞性：若 ，則， 若 ，則， 若 ，則134 組裝互補性安全要素 自主訪問控制 數(shù)據(jù)完整性 身份鑒別 審計 強制訪問控制 135 構件間關聯(lián)關系要求 審計： 在一條訪問路徑所包含的構件中，如果所有與某個事件（如涉及多個構件的一次網(wǎng)絡訪問行為）相關的審計信息能夠通過某種標識關聯(lián)起來，且各構件對審計記錄的查閱、存儲、保護等策略相一致，則稱這條訪問路徑中的構件就審計而言滿足關聯(lián)關系。 128 假 設 威脅可能來自系統(tǒng)外部，也可能來自系統(tǒng)內部。 ? 它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞 119 系統(tǒng)安全保護等級劃分準則 系統(tǒng)審計保護級： ? 與用戶自主保護級相比 ，計算機信息系統(tǒng)可信計算基實施了粒度更細的自主訪問控制 ? 它通過登錄規(guī)程、審計安全性相關事件和隔離資源，使用戶對自己的行為負責 120 系統(tǒng)安全保護等級劃分準則 安全標記保護級： ? 計算機信息系統(tǒng)可信計算基具有系統(tǒng)審計保護級所有功能 ? 此外，還提供有關安全策略模型、數(shù)據(jù)標記以及主體對客體強制訪問控制的非形式化描述 ? 具有準確地標記輸出信息的能力 ? 消除通過測試發(fā)現(xiàn)的任何錯誤 121 系統(tǒng)安全保護等級劃分準則 結構化保護級： ? 計算機信息系統(tǒng)可信計算基建立于一個明確定義的形式化安全策略模型之上 ? 要求將第三級系統(tǒng)中的自主和強制訪問控制擴展到所有主體與客體 ? 此外，還要考慮隱蔽通道 ? 計算機信息系統(tǒng)可信計算基必須結構化為關鍵保護元素和非關鍵保護元素 122 系統(tǒng)安全保護等級劃分準則 ? 計算機信息系統(tǒng)可信計算基的接口也必須明確定義，使其設計與實現(xiàn)能經(jīng)受更充分的測試和更完整的復審 ? 加強了鑒別機制 ? 支持系統(tǒng)管理員和操作員的職能 ? 提供可信設施管理 ? 增強了配置管理控制 ? 系統(tǒng)具有相當?shù)目節(jié)B透能力 123 系統(tǒng)安全保護等級劃分準則 訪問驗證保護級 ? 計算機信息系統(tǒng)可信計算基滿足訪問監(jiān)控器需求 ? 訪問監(jiān)控器仲裁主體對客體的全部訪問 ? 訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測試 124 系統(tǒng)安全保護等級劃分準則 訪問驗證保護級 ? 支持安全管理員職能 ? 擴充審計機制，當發(fā)生與安全相關的事件時發(fā)出信號 ? 提供系統(tǒng)恢復機制 ? 系統(tǒng)具有很高的抗?jié)B透能力 125 標準介紹 ? 信息技術安全評估準則發(fā)展過程 ? 可信計算機系統(tǒng)評估準則（ TCSEC） ? 可信網(wǎng)絡解釋 （ TNI） ? 通用準則 CC ? 《 計算機信息系統(tǒng)安全保護等級劃分準則 》 ? 信息系統(tǒng)安全評估方法探討 126 信息系統(tǒng)安全評估方法 信息系統(tǒng)安全評