【正文】 要素 準(zhǔn)則 度量 證據(jù)模型 (FCME) A ttri b u te① F a c to r② 1 F a c to r 2 F a c to r m M e tric④ 1 M e tric 2 M e tric k … … … Crite rio n③ 1 Crite rio n 2 Crite rio n n ①屬性 , ②要素 , ③準(zhǔn)則 , ④度量 , ⑤證據(jù) . Ev id e n c e⑤ 1 Ev id e n c e 2 Ev id e n c e l … 140 FCME模型內(nèi)容設(shè)計 要素、準(zhǔn)則及度量層次的內(nèi)容設(shè)計參照相關(guān)標(biāo)準(zhǔn)。 對數(shù)據(jù)完整性，系統(tǒng)邊界、計算環(huán)境及網(wǎng)絡(luò)三個部分中的構(gòu)件不能相互依賴，因為數(shù)據(jù)完整性不僅僅是指所處理的信息的完整性，同時還包括構(gòu)件本身的完整性。 126 信息系統(tǒng)安全評估方法 目標(biāo)： ? 結(jié)合實際應(yīng)用需求，從技術(shù)的角度提出一種信息系統(tǒng)安全評估方法，解決構(gòu)件組裝安全性評估問題，建立一種具有適應(yīng)性及可擴充性的信息系統(tǒng)安全要素評估模型，研制信息系統(tǒng)安全評估的輔助工具，為在實際工作中開展信息系統(tǒng)安全保護等級評估提供理論及技術(shù)的支持。 ? 消除 IT產(chǎn)品及保護輪廓的重復(fù)評估 ， 改進安全評估的效率及成本效果 ， 改進 IT產(chǎn)品及保護輪廓的證明 /確認過程 106 通用準(zhǔn)則 CC ? 美國 NSA內(nèi)部的可信產(chǎn)品評估計劃 （ TPEP） 以及可信技術(shù)評價計劃 （ TTAP） 最初根據(jù) TCSEC進行產(chǎn)品的評估 ， 但從 1999年 2月 1日起 ， 這些計劃將不再接收基于 TCSEC的新的評估 。應(yīng)證明 FTLS的元素與 TCB的元素是一致的， FTLS應(yīng)表達用于滿足安全策略的一致的保護機制，這些保護機制的元素應(yīng)映射到 TCB的要素 35 TCSEC ? 應(yīng)使用形式化的方法標(biāo)識并分析隱蔽信道，非形式化的方法可以用來標(biāo)識時間隱蔽信道，必須對系統(tǒng)中存在的隱蔽信道進行解釋 36 TCSEC A1級系統(tǒng) : ? 要求更嚴(yán)格的配置管理 ? 要求建立系統(tǒng)安全分發(fā)的程序 ? 支持系統(tǒng)安全管理員的職能 37 TCSEC A類分為兩個類別： ? 驗證設(shè)計級（ A1級） ? 超 A1級 38 TCSEC ? 超 A1級在 A1級基礎(chǔ)上增加的許多安全措施超出了目前的技術(shù)發(fā)展 ? 隨著更多、更好的分析技術(shù)的出現(xiàn)，本級系統(tǒng)的要求才會變的更加明確 ? 今后，形式化的驗證方法將應(yīng)用到源碼一級，并且時間隱蔽信道將得到全面的分析 39 TCSEC ? 在這一級，設(shè)計環(huán)境將變的更重要 ? 形式化高層規(guī)約的分析將對測試提供幫助 ? TCB開發(fā)中使用的工具的正確性及 TCB運行的軟硬件功能的正確性將得到更多的關(guān)注 40 TCSEC 超 A1級系統(tǒng)涉及的范圍包括： ? 系統(tǒng)體系結(jié)構(gòu) ? 安全測試 ? 形式化規(guī)約與驗證 ? 可信設(shè)計環(huán)境等 41 標(biāo)準(zhǔn)介紹 ? 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 ? 可信計算機系統(tǒng)評估準(zhǔn)則（ TCSEC） ? 可信網(wǎng)絡(luò)解釋 （ TNI） ? 通用準(zhǔn)則 CC ? 《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》 ? 信息系統(tǒng)安全評估方法探討 42 可信網(wǎng)絡(luò)解釋（ TNI） ? 美國國防部計算機安全評估中心在完成 TCSEC的基礎(chǔ)上，又組織了專門的研究鏃對可信網(wǎng)絡(luò)安全評估進行研究，并于 1987年發(fā)布了以 TCSEC為基礎(chǔ)的可信網(wǎng)絡(luò)解釋，即 TNI。 ? 產(chǎn)品安全評估 ? 信息系統(tǒng)安全評估 ? 信息系統(tǒng)安全評估，或簡稱為系統(tǒng)評估，是在具體的操作環(huán)境與任務(wù)下對一個系統(tǒng)的安全保護能力進行的評估 。組件描述一組特定的安全要求集，它是 CC定義的結(jié)構(gòu)中所包含的最小的可選安全要求集 84 通用準(zhǔn)則 CC ? 組件由單個元素組成，元素是安全需求最低層次的表達，并且是能被評估驗證的不可分割的安全要求 ? 族內(nèi)具有相同目標(biāo)的組件可以以安全要求強度（或能力）逐步增加的順序排列，也可以部分地按相關(guān)非層次集合的方式組織 85 通用準(zhǔn)則 CC ? 組件間可能存在依賴關(guān)系 ? 依賴關(guān)系可以存在于功能組件之間、保證組件之間以及功能和保證組件之間 ? 組件間依賴關(guān)系描述是 CC組件定義的一部分 86 通用準(zhǔn)則 CC ? 可以通過使用組件允許的操作，對組件進行裁剪 ? 每一個 CC組件標(biāo)識并定義組件允許的“賦值”和“選擇”操作、在哪些情況下可對組件使用這些操作，以及使用這些操作的后果 ? 任何一個組件均允許“反復(fù)”和“細化”操作 87 通用準(zhǔn)則 CC 這四個操作如下所述： ? 反復(fù)：在不同操作時 ， 允許組件多次使用 ? 賦值：當(dāng)組件被應(yīng)用時 ， 允許規(guī)定所賦予的參數(shù) ? 選擇：允許從組件給出的列表中選定若干項 ? 細化：當(dāng)組件被應(yīng)用時 ， 允許對組件增加細節(jié) 88 通用準(zhǔn)則 CC 要求的組織和結(jié)構(gòu) 89 通用準(zhǔn)則 CC CC中安全需求的描述方法 : ? 包 :組件的中間組合被稱為包 ? 保護輪廓 (PP): PP是關(guān)于一系列滿足一個安全目標(biāo)集的 TOE的、與實現(xiàn)無關(guān)的描述 ? 安全目標(biāo) (ST)： ST是針對特定 TOE安全要求的描述，通過評估可以證明這些安全要求對滿足指定目的是有用和有效的 90 通用準(zhǔn)則 CC ? 包允許對功能或保證需求集合的描述，這個集合能夠滿足一個安全目標(biāo)的可標(biāo)識子集 ? 包可重復(fù)使用，可用來定義那些公認有用的、能夠有效滿足特定安全目標(biāo)的要求 ? 包可用在構(gòu)造更大的包、 PP和 ST中 91 通用準(zhǔn)則 CC ? PP包含一套來自 CC（或明確闡述）的安全要求，它應(yīng)包括一個評估保證級別（ EAL） ? PP可反復(fù)使用，還可用來定義那些公認有用的、能夠有效滿足特定安全目標(biāo)的 TOE要求 ? PP包括安全目的和安全要求的基本原理 ? PP的開發(fā)者可以是用戶團體、 IT產(chǎn)品開發(fā)者或其它對定義這樣一系列通用要求有興趣的團體 92 通用準(zhǔn)則 CC 保護輪廓 PP描述結(jié)構(gòu) PP 應(yīng)用注解PP 標(biāo)識PP 概述假設(shè)威脅組織性安全策略T O E 安全目的環(huán)境安全目的安全目的基本原理安全要求基本原理T O E 安全功能要求T O E 安全保證要求保護輪廓PP引言TOE描 述TOE安 全環(huán)境安全目的IT安全 要求基本原理TOE安 全要求I T 環(huán)境安全要求93 通用準(zhǔn)則 CC ? 安全目標(biāo) (ST)包括一系列安全要求，這些要求可以引用 PP，也可以直接引用 CC中的功能或保證組件，或明確說明 ? 一個 ST包含 TOE的概要規(guī)范，安全要求和目的，以及它們的基本原理 ? ST是所有團體間就 TOE應(yīng)提供什么樣的安全性達成一致的基礎(chǔ) 94 通用準(zhǔn)則 CC 安全目標(biāo)描述結(jié)構(gòu) ST 標(biāo)識ST 概述假設(shè)威脅組織性安全策略T O E 安全目的環(huán)境安全目的T O E 安全功能要求T O E 安全保證要求安全目標(biāo)ST引言TOE描述TOE安全 環(huán)境安全目的IT安全 要求 TOE安全 要求I T 環(huán)境安全要求C C 一致性性聲明TOE概要 規(guī)范 T O E 安全功能保證措施P P 聲明P P 裁減P P 附加項PP聲明基本原理 安全目的基本原理安全要求基本原理95 通用準(zhǔn)則 CC CC框架下的評估類型 ? PP評估 ? ST評估 ? TOE評估 96 通用準(zhǔn)則 CC ? PP評估是依照 CC第 3部分的 PP評估準(zhǔn)則進行的。 ? 它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞 118 系統(tǒng)安全保護等級劃分準(zhǔn)則 系統(tǒng)審計保護級： ? 與用戶自主保護級相比 ，計算機信息系統(tǒng)可信計算基實施了粒度更細的自主訪問控制 ? 它通過登錄規(guī)程、審計安全性相關(guān)事件和隔離資源，使用戶對自己的行為負責(zé) 119 系統(tǒng)安全保護等級劃分準(zhǔn)則 安全標(biāo)記保護級： ? 計算機信息系統(tǒng)可信計算基具有系統(tǒng)審計保護級所有功能 ? 此外，還提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對客體強制訪問控制的非形式化描述 ? 具有準(zhǔn)確地標(biāo)記輸出信息的能力 ? 消除通過測試發(fā)現(xiàn)的任何錯誤 120 系統(tǒng)安全保護等級劃分準(zhǔn)則 結(jié)構(gòu)化保護級： ? 計算機信息系統(tǒng)可信計算基建立于一個明確定義的形式化安全策略模型之上 ? 要求將第三級系統(tǒng)中的自主和強制訪問控制擴展到所有主體與客體 ? 此外，還要考慮隱蔽通道 ? 計算機信息系統(tǒng)可信計算基必須結(jié)構(gòu)化為關(guān)鍵保護元素和非關(guān)鍵保護元素 121 系統(tǒng)安全保護等級劃分準(zhǔn)則 ? 計算機信息系統(tǒng)可信計算基的接口也必須明確定義，使其設(shè)計與實現(xiàn)能經(jīng)受更充分的測試和更完整的復(fù)審 ? 加強了鑒別機制 ? 支持系統(tǒng)管理員和操作員的職能 ? 提供可信設(shè)施管理 ? 增強了配置管理控制 ? 系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力 122 系統(tǒng)安全保護等級劃分準(zhǔn)則 訪問驗證保護級 ? 計算機信息系統(tǒng)