【正文】 級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí) ? 與用戶(hù)自主保護(hù)級(jí)相比，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基實(shí)施了粒度更細(xì)的自主訪(fǎng)問(wèn)控制 ? 它通過(guò)登錄規(guī)程、審計(jì)安全性相關(guān)事件和隔離資源，使用戶(hù)對(duì)自己的行為負(fù)責(zé) LOGO ? 本級(jí)考核指標(biāo)要求： 1）自主訪(fǎng)問(wèn)控制 2）身份鑒別 3）客體重用 4）審計(jì) 5）數(shù)據(jù)完整性 LOGO 第三級(jí)：安全標(biāo)記保護(hù)級(jí) ? 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基具有系統(tǒng)審計(jì)保護(hù)級(jí)所有功能 ? 此外，還提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對(duì)客體強(qiáng)制訪(fǎng)問(wèn)控制的非形式化描述 ? 具有準(zhǔn)確地標(biāo)記輸出信息的能力 ? 消除通過(guò)測(cè)試發(fā)現(xiàn)的任何錯(cuò)誤 LOGO ? 本級(jí)考核指標(biāo)要求： 1）自主訪(fǎng)問(wèn)控制 2）強(qiáng)制訪(fǎng)問(wèn)控制 3）標(biāo)記 4）身份鑒別 5）客體重用 6）審計(jì) 7）數(shù)據(jù)完整性 LOGO 第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí) ? 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基建立于一個(gè)明確定義的形式化安全策略模型之上 ? 要求將第三級(jí)系統(tǒng)中的自主和強(qiáng)制訪(fǎng)問(wèn)控制擴(kuò)展到所有主體與客體 ? 需要考慮隱蔽通道問(wèn)題的情況 ? 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素 ? 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基的接口也必須明確定義，使其設(shè)計(jì)與實(shí)現(xiàn)能經(jīng)受更充分的測(cè)試和更完整的復(fù)審 ? 加強(qiáng)了鑒別機(jī)制 ? 支持系統(tǒng)管理員和操作員的職能 ? 提供可信設(shè)施管理 ? 增強(qiáng)了配置管理控制 ? 系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力 LOGO ? 本級(jí)考核指標(biāo)要求： 1）自主訪(fǎng)問(wèn)控制 2）強(qiáng)制訪(fǎng)問(wèn)控制 3）標(biāo)記 4）身份鑒別 5）客體重用 6）審計(jì) 7）數(shù)據(jù)完整性 8）隱蔽信道分析 9）可信路徑 LOGO 第五級(jí)：訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí) ? 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基滿(mǎn)足訪(fǎng)問(wèn)監(jiān)控器需求 ? 訪(fǎng)問(wèn)監(jiān)控器仲裁主體對(duì)客體的全部訪(fǎng)問(wèn) ? 訪(fǎng)問(wèn)監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測(cè)試 ? 支持安全管理員職能 ? 擴(kuò)充審計(jì)機(jī)制，當(dāng)發(fā)生與安全相關(guān)的事件時(shí)發(fā)出信號(hào) ? 提供系統(tǒng)恢復(fù)機(jī)制 ? 系統(tǒng)具有很高的抗?jié)B透能力 LOGO ? 本級(jí)考核指標(biāo)要求： 1）自主訪(fǎng)問(wèn)控制 2）強(qiáng)制訪(fǎng)問(wèn)控制 3）標(biāo)記 4）身份鑒別 5）客體重用 6）審計(jì) 7）數(shù)據(jù)完整性 8）隱蔽信道分析 9）可信路徑 10）可信恢復(fù) LOGO 各信息安全評(píng)估級(jí)別對(duì)照表 國(guó)際 CC標(biāo)準(zhǔn) 美國(guó) TCSEC 歐洲 ITSEC 加拿大CTCPEC 中國(guó) GB 17859— 1999 D：低級(jí)保護(hù) E0：不能充分滿(mǎn)足保證 T0 EAL1：功能測(cè)試 T1 EAL2：結(jié)構(gòu)測(cè)試 C1：自主安全保護(hù) E1：功能測(cè)試 T2 1：用戶(hù)自主保護(hù)級(jí) EAL3：系統(tǒng)的測(cè)試和檢查 C2：受控訪(fǎng)問(wèn)保護(hù) E2：數(shù)字化測(cè)試 T3 2：系統(tǒng)審計(jì)保護(hù)級(jí) EAL4：系統(tǒng)的設(shè)計(jì)、測(cè)試和復(fù)查 B1：標(biāo)記安全保護(hù) E3：數(shù)字化測(cè)試分析 T4 3：安全標(biāo)記保護(hù)級(jí) EAL5：半形式化設(shè)計(jì)和測(cè)試 B2：結(jié)構(gòu)化保護(hù) E4：半形式化分析 T5 4：結(jié)構(gòu)化保護(hù)級(jí) EAL6：半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試 B3：安全區(qū)域 E5：形式化分析 T6 5：訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí) EAL7：形式化驗(yàn)證的設(shè)計(jì)和測(cè)試 A1：驗(yàn)證設(shè)計(jì) E6：形式化驗(yàn)證 T7 LOGO 小結(jié) ? 信息安全評(píng)估標(biāo)準(zhǔn)的發(fā)展 ?TCSEC ?ITSEC ?CTCPEC ?FC ?CC ?GB 17859 LOGO LOGO 靜夜四無(wú)鄰，荒居舊業(yè)貧。 ? 可信信道（ Trusted Channel ） ― 為了執(zhí)行關(guān)鍵的安全操作，在主體、客體和可信 IT產(chǎn)品之間建立和維護(hù)的保護(hù)通信數(shù)據(jù)免遭修改和泄漏的通信路徑。 ? 安全策略（ Security Policy） ― 有關(guān)管理、保護(hù)和發(fā)布敏感信息的法律、規(guī)定和實(shí)施細(xì)則。它建立了一個(gè)基本的保護(hù)環(huán)境并提供一個(gè)可信計(jì)算機(jī)系統(tǒng)所要求的附加用戶(hù)服務(wù)。 LOGO ? 評(píng)估保證級(jí) 1(EAL1)— 功能測(cè)試 ? EAL1適用于對(duì)正確運(yùn)行需要一定信任的場(chǎng)合 ,但在該場(chǎng)合中對(duì)安全的威脅應(yīng)視為并不嚴(yán)重 。 ? EAL4：系統(tǒng)的設(shè)計(jì)、測(cè)試和復(fù)查。 LOGO 安全保證類(lèi) ? PP和 ST評(píng)估類(lèi) ? PP和 ST是評(píng)估 TOE及其功能和保證要求的基礎(chǔ)，因此在評(píng)估 TOE之前要證明 PP和 ST對(duì) TOE評(píng)估而言是否適用 LOGO ? APE類(lèi) :保護(hù)輪廓評(píng)估 ? PP評(píng)估的目的是論證 PP的完備，一致及技術(shù)上的合理 ,只有通過(guò)評(píng)估的 PP才能作為 ST開(kāi)發(fā)的基礎(chǔ) ? 該類(lèi)相當(dāng)于規(guī)范了對(duì)產(chǎn)品或系統(tǒng)標(biāo)準(zhǔn)的評(píng)審 ? 評(píng)估過(guò)的 PP可進(jìn)一步到權(quán)威機(jī)構(gòu)注冊(cè)并對(duì)外公布，目前 ISO正在開(kāi)發(fā)有關(guān) PP的注冊(cè)標(biāo)準(zhǔn) ? 該類(lèi)提出了 TOE描述，安全環(huán)境，安全目的和安全要求等方面的評(píng)估要求 LOGO ? ASE類(lèi) :安全目標(biāo)評(píng)估 ? ST評(píng)估的目的是論證 ST是完備的，一致的和在技術(shù)上合理的 ,因而可以作為相應(yīng) TOE評(píng)估的基礎(chǔ) ? 該類(lèi)提出了 TOE描述，安全環(huán)境，安全目的，任何PP聲明，安全要求和 TOE概要規(guī)范等方面的評(píng)估要求 LOGO ? 評(píng)估保證類(lèi) ? 主要內(nèi)容是 7個(gè)評(píng)估保證類(lèi)，分別就開(kāi)發(fā)、配置管理、測(cè)試、脆弱性評(píng)定、交付和運(yùn)行、生命周期支持、指導(dǎo)性文檔等方面提出保證要求，確保安全功能在TOE的整個(gè)生命周期中正確有效地實(shí)施。 ? 容錯(cuò)子類(lèi)為防止由產(chǎn)品或系統(tǒng)故障引起的上述資源不可用而提供保護(hù) ? 服務(wù)優(yōu)先級(jí)子類(lèi)確保資源將被分配到更重要的和時(shí)間要求更苛刻的任務(wù)中，而且不能被優(yōu)先級(jí)低的任務(wù)所獨(dú)占 ? 資源分配子類(lèi)提供可用資源的使用限制，以防止用戶(hù) 獨(dú)占資源 LOGO ? FTA類(lèi) :TOE訪(fǎng)問(wèn) ? 規(guī)定了用以控制建立用戶(hù)會(huì)話(huà)的一些功能要求，是對(duì)標(biāo)識(shí)和鑒別類(lèi)安全要求的進(jìn)一步補(bǔ)充完善 ? 該類(lèi)負(fù)責(zé)管理用戶(hù)會(huì)話(huà)范圍和連接數(shù)限定，訪(fǎng)問(wèn)歷史顯示和訪(fǎng)問(wèn)參數(shù)修改等方面。該類(lèi)有匿名，假名，不可關(guān)聯(lián)性，不可觀察性 4個(gè)子類(lèi)組成。 LOGO ? GB/T 18336按“類(lèi) 族 組件”層次結(jié)構(gòu)定義的安全功能要求和安全保證要求 ?安全功能要求： 11個(gè)功能類(lèi) 66個(gè)族 135個(gè)組件 ?安全保證要求： PP和 ST評(píng)估 2個(gè)保證類(lèi)， 7個(gè)評(píng)估保證類(lèi)和 1個(gè)保證維護(hù)類(lèi) ? 安全審計(jì) ? 通信 ? 密碼支持 ? 用戶(hù)數(shù)據(jù)保護(hù) ? 資源利用 ? TOE訪(fǎng)問(wèn) ? 可信路徑 /信道 ? 標(biāo)識(shí)和鑒別 ? 安全管理 ? 私密性 ? TSF保護(hù) ? 配置管理 ? 交付和運(yùn)行 ? 開(kāi)發(fā) ? 指導(dǎo)性文檔 ? 生命周期支持 ? 測(cè)試 ? 脆弱性評(píng)定 ? 保護(hù)輪廓評(píng)估 ? 安全目標(biāo)評(píng)估 ? 保證維護(hù) LOGO 安全功能要求類(lèi) ? FAU類(lèi)：安全審計(jì) ? 安全審計(jì)包括識(shí)別 ,記錄 ,存儲(chǔ)和分析與安全行為有關(guān)的信息 ? 審計(jì)記錄的檢查結(jié)果用來(lái)判斷發(fā)生了哪些安全行為及哪個(gè)用戶(hù)要對(duì)該行為負(fù)責(zé) ? 該類(lèi)由定義如何選擇審計(jì)事件、產(chǎn)生審計(jì)數(shù)據(jù)、查閱和分析審計(jì)結(jié)果、對(duì)審計(jì)到的安全事件自動(dòng)響應(yīng)及存儲(chǔ)和保護(hù)審計(jì)結(jié)果等方面要求的子類(lèi)組成。一個(gè)類(lèi)中所有成員關(guān)注同一個(gè)安全焦點(diǎn)，但覆蓋的安全目的范圍不同。其包括的主要內(nèi)容有：需要保護(hù)的對(duì)象、確定安全環(huán)境、 TOE的安全目的、信息技術(shù)安全要求、基本原理、附加的補(bǔ)充說(shuō)明信息等。 ?第三部分：安全保證要求。 LOGO ? CC包含三個(gè)部分： ?第一部分：簡(jiǎn)介和一般模型。 LOGO 信息技術(shù)安全評(píng)估準(zhǔn)則（ ITSEC） ? 1991年由歐盟四國(guó)（法國(guó)、德國(guó)、芬蘭、英國(guó)）聯(lián)合發(fā)布 ? 將安全概念分為 功能 和 功能評(píng)估 兩個(gè)部分 ? 功能準(zhǔn)則在測(cè)定上分 10級(jí)： ? 評(píng)估準(zhǔn)則分為 7級(jí)： ? 15級(jí)對(duì)應(yīng)于 TCSEC的 C1到 B3 ? 610級(jí)添加了以下概念： ? FIN：數(shù)據(jù)和程序的完整性 ? FAV：系統(tǒng)可用性 ? FDI：數(shù)據(jù)通信完整性 ? FDC：數(shù)據(jù)通信保密性 ? FDX：包括保密性和完整性的網(wǎng)絡(luò)安全 ? E0：不能充分滿(mǎn)足保證 ? E1：功能測(cè)試 ? E2：數(shù)字化測(cè)試 ? E3：數(shù)字化測(cè)試分析 ? E4：半形式化分析 ? E5：形式化分析 ? E6：形式化驗(yàn)證 LOGO ? ITSEC與 TCSEC的不同 ? 安全被定義為保密性、完整性、可用性 ? 功能和保證分開(kāi) ?