【正文】 SO采納 CC，并作為國際標(biāo)準(zhǔn) ISO 15408發(fā)布 9 安全評(píng)估標(biāo)準(zhǔn)的發(fā)展歷程 桔皮書 （ TCSEC）1985 英國安全標(biāo)準(zhǔn) 1989 德國標(biāo)準(zhǔn) 法國標(biāo)準(zhǔn) 加拿大標(biāo)準(zhǔn) 1993 聯(lián)邦標(biāo)準(zhǔn)草案 1993 ITSEC 1991 通用標(biāo)準(zhǔn) 1996 1998 1999 10 標(biāo)準(zhǔn)介紹 ? 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 ? 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（ TCSEC） ? 可信網(wǎng)絡(luò)解釋 （ TNI） ? 通用準(zhǔn)則 CC ? 《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 ? 信息系統(tǒng)安全評(píng)估方法探討 11 TCSEC ? 在 TCSEC中，美國國防部按處理信息的等級(jí)和應(yīng)采用的響應(yīng)措施，將計(jì)算機(jī)安全從高到低分為： A、 B、 C、 D四類八個(gè)級(jí)別，共 27條評(píng)估準(zhǔn)則 ? 隨著安全等級(jí)的提高，系統(tǒng)的可信度隨之增加，風(fēng)險(xiǎn)逐漸減少。 12 TCSEC 四個(gè)安全等級(jí)： ? 無保護(hù)級(jí) ? 自主保護(hù)級(jí) ? 強(qiáng)制保護(hù)級(jí) ? 驗(yàn)證保護(hù)級(jí) 13 TCSEC ? D類是最低保護(hù)等級(jí)，即無保護(hù)級(jí) ? 是為那些經(jīng)過評(píng)估，但不滿足較高評(píng)估等級(jí)要求的系統(tǒng)設(shè)計(jì)的，只具有一個(gè)級(jí)別 ? 該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息 14 TCSEC 四個(gè)安全等級(jí)： ? 無保護(hù)級(jí) ? 自主保護(hù)級(jí) ? 強(qiáng)制保護(hù)級(jí) ? 驗(yàn)證保護(hù)級(jí) 15 TCSEC ? C類為自主保護(hù)級(jí) ? 具有一定的保護(hù)能力，采用的措施是自主訪問控制和審計(jì)跟蹤 ? 一般只適用于具有一定等級(jí)的多用戶環(huán)境 ? 具有對(duì)主體責(zé)任及其動(dòng)作審計(jì)的能力 16 TCSEC C類分為 C1和 C2兩個(gè)級(jí)別 : ? 自主安全保護(hù)級(jí)（ C1級(jí) ) ? 控制訪問保護(hù)級(jí)（ C2級(jí)） 17 TCSEC ? C1級(jí) TCB通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力 ? 它具有多種形式的控制能力，對(duì)用戶實(shí)施訪問控制 ? 為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對(duì)數(shù)據(jù)的非法讀寫與破壞 ? C1級(jí)的系統(tǒng)適用于處理同一敏感級(jí)別數(shù)據(jù)的多用戶環(huán)境 18 TCSEC ? C2級(jí)計(jì)算機(jī)系統(tǒng)比 C1級(jí)具有更細(xì)粒度的自主訪問控制 ? C2級(jí)通過注冊(cè)過程控制、審計(jì)安全相關(guān)事件以及資源隔離，使單個(gè)用戶為其行為負(fù)責(zé) 19 TCSEC 四個(gè)安全等級(jí)： ? 無保護(hù)級(jí) ? 自主保護(hù)級(jí) ? 強(qiáng)制保護(hù)級(jí) ? 驗(yàn)證保護(hù)級(jí) 20 TCSEC ? B類為強(qiáng)制保護(hù)級(jí) ? 主要要求是 TCB應(yīng)維護(hù)完整的安全標(biāo)記，并在此基礎(chǔ)上執(zhí)行一系列強(qiáng)制訪問控制規(guī)則 ? B類系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標(biāo)記 ? 系統(tǒng)的開發(fā)者還應(yīng)為 TCB提供安全策略模型以及 TCB規(guī)約 ? 應(yīng)提供證據(jù)證明訪問監(jiān)控器得到了正確的實(shí)施 21 TCSEC B類分為三個(gè)類別： ? 標(biāo)記安全保護(hù)級(jí)（ B1級(jí)） ? 結(jié)構(gòu)化保護(hù)級(jí)（ B2級(jí)） ? 安全區(qū)域保護(hù)級(jí)（ B3級(jí)） 22 TCSEC ? B1級(jí)系統(tǒng)要求具有 C2級(jí)系統(tǒng)的所有特性 ? 在此基礎(chǔ)上，還應(yīng)提供安全策略模型的非形式化描述、數(shù)據(jù)標(biāo)記以及命名主體和客體的強(qiáng)制訪問控制 ? 并消除測試中發(fā)現(xiàn)的所有缺陷 23 TCSEC B類分為三個(gè)類別： ? 標(biāo)記安全保護(hù)級(jí)（ B1級(jí)） ? 結(jié)構(gòu)化保護(hù)級(jí)（ B2級(jí)） ? 安全區(qū)域保護(hù)級(jí)（ B3級(jí)） 24 TCSEC ? 在 B2級(jí)系統(tǒng)中， TCB建立于一個(gè)明確定義并文檔化形式化安全策略模型之上 ? 要求將 B1級(jí)系統(tǒng)中建立的自主和強(qiáng)制訪問控制擴(kuò)展到所有的主體與客體 ? 在此基礎(chǔ)上，應(yīng)對(duì)隱蔽信道進(jìn)行分析 ? TCB應(yīng)結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素 25 TCSEC ? TCB接口必須明確定義 ? 其設(shè)計(jì)與實(shí)現(xiàn)應(yīng)能夠經(jīng)受更充分的測試和更完善的審查 ? 鑒別機(jī)制應(yīng)得到加強(qiáng)，提供可信設(shè)施管理以支持系統(tǒng)管理員和操作員的職能 ? 提供嚴(yán)格的配置管理控制 ? B2級(jí)系統(tǒng)應(yīng)具備相當(dāng)?shù)目節(jié)B透能力 26 TCSEC B類分為三個(gè)類別： ? 標(biāo)記安全保護(hù)級(jí)（ B1級(jí)） ? 結(jié)構(gòu)化保護(hù)級(jí)（ B2級(jí)） ? 安全區(qū)域保護(hù)級(jí)（ B3級(jí)） 27 TCSEC ? 在 B3級(jí)系統(tǒng)中， TCB必須滿足訪問監(jiān)控器需求 ? 訪問監(jiān)控器對(duì)所有主體對(duì)客體的訪問進(jìn)行仲裁 ? 訪問監(jiān)控器本身是抗篡改的 ? 訪問監(jiān)控器足夠小 ? 訪問監(jiān)控器能夠分析和測試 28 TCSEC 為了滿足訪問控制器需求 : ? 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基在構(gòu)造時(shí)，排除那些對(duì)實(shí)施安全策略來說并非必要的代碼 ? 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基在設(shè)計(jì)和實(shí)現(xiàn)時(shí)，從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度 29 TCSEC B3級(jí)系統(tǒng)支持 : ? 安全管理員職能 ? 擴(kuò)充審計(jì)機(jī)制 ? 當(dāng)發(fā)生與安全相關(guān)的事件時(shí)，發(fā)出信號(hào) ? 提供系統(tǒng)恢復(fù)機(jī)制 ? 系統(tǒng)具有很高的抗?jié)B透能力 30 TCSEC 四個(gè)安全等級(jí)： ? 無保護(hù)級(jí) ? 自主保護(hù)級(jí) ? 強(qiáng)制保護(hù)級(jí) ? 驗(yàn)證保護(hù)級(jí) 31 TCSEC ? A類為驗(yàn)證保護(hù)級(jí) ? A類的特點(diǎn)是使用形式化的安全驗(yàn)證方法，保證系統(tǒng)的自主和強(qiáng)制安全控制措施能夠有效地保護(hù)系統(tǒng)中存儲(chǔ)和處理的秘密信息或其他敏感信息 ? 為證明 TCB滿足設(shè)計(jì)、開發(fā)及實(shí)現(xiàn)等各個(gè)方面的安全要求，系統(tǒng)應(yīng)提供豐富的文檔信息 32 TCSEC A類分為兩個(gè)類別： ? 驗(yàn)證設(shè)計(jì)級(jí)（ A1級(jí)） ? 超 A1級(jí) 33 TCSEC ? A1級(jí)系統(tǒng)在功能上和 B3級(jí)系統(tǒng)是相同的，沒有增加體系結(jié)構(gòu)特性和策略要求 ? 最顯著的特點(diǎn)是，要求用形式化設(shè)計(jì)規(guī)范和驗(yàn)證方法來對(duì)系統(tǒng)進(jìn)行分析，確保 TCB按設(shè)計(jì)要求實(shí)現(xiàn) ? 從本質(zhì)上說，這種保證是發(fā)展的，它從一個(gè)安全策略的形式化模型和設(shè)計(jì)的形式化高層規(guī)約（ FTLS）開始 34 TCSEC 針對(duì) A1級(jí)系統(tǒng)設(shè)計(jì)驗(yàn)證，有 5種獨(dú)立于特定規(guī)約語言或驗(yàn)證方法的重要準(zhǔn)則： ? 安全策略的形式化模型必須得到明確標(biāo)識(shí)并文檔化，提供該模型與其公理一致以及能夠?qū)Π踩呗蕴峁┳銐蛑С值臄?shù)學(xué)證明 ? 應(yīng)提供形式化的高層規(guī)約，包括 TCB功能的抽象定義、用于隔離執(zhí)行域的硬件 /固件機(jī)制的抽象定義 35 TCSEC ? 應(yīng)通過形式化的技術(shù)（如果可能的化）和非形式化的技術(shù)證明 TCB的形式化高層規(guī)約（ FTLS）與模型是一致的 ? 通過非形式化的方法證明 TCB的實(shí)現(xiàn)（硬件、固件、軟件）與形式化的高層規(guī)約（ FTLS）是一致的。 ? 在國際范圍內(nèi)提高那些經(jīng)過評(píng)估的 、 安全增強(qiáng)的 IT產(chǎn)品及保護(hù)輪廓的可用性 。 ? 穿透測試（ peration testing）不能全面反映信息系統(tǒng)的安全保護(hù)能力。 136 構(gòu)件組裝安全性評(píng)估模型 規(guī)則 1. 安全要素集 E上訪問路徑安全保護(hù)等級(jí)評(píng)估規(guī)則 安全要素集 E上信息系統(tǒng)安全保護(hù)等級(jí)評(píng)估規(guī)則 137 訪問路徑的標(biāo)識(shí) 評(píng)估對(duì)象拓?fù)浣Y(jié)構(gòu)分析 標(biāo)識(shí)用戶發(fā)起訪問的邏輯位置 根據(jù)系統(tǒng)提供的應(yīng)用服務(wù)，確定系統(tǒng)中所包含的訪問路徑 138 依賴關(guān)系和關(guān)聯(lián)關(guān)系的分析與檢測 對(duì)任意組裝互補(bǔ)性安全要素，系統(tǒng)邊界、計(jì)算環(huán)境及網(wǎng)絡(luò)各自內(nèi)部的構(gòu)件之間可以（但不是一定）存在依賴關(guān)系。 要素層次代表了 GB 17859定義的安全要素。 證據(jù)層次定義系統(tǒng)邊界、計(jì)算環(huán)境、網(wǎng)絡(luò)及基礎(chǔ)設(shè)施等各個(gè)部分中常見構(gòu)件類型應(yīng)提供的證據(jù)。 對(duì)自主訪問控制、強(qiáng)制訪問控制和身份鑒別，系統(tǒng)邊界和網(wǎng)絡(luò)中的構(gòu)件不能依賴于計(jì)算環(huán)境中的構(gòu)件；但計(jì)算環(huán)境中的構(gòu)件可以依賴于系統(tǒng)邊界和網(wǎng)絡(luò)中的構(gòu)件。 128 假 設(shè) 威脅可能來自系統(tǒng)外部，也可能來自系統(tǒng)內(nèi)部。 此后這些計(jì)劃接受的任何新的產(chǎn)品都必須根據(jù) CC的要求進(jìn)行評(píng)估 。 ? TNI包括兩個(gè)部分（ Part I和 Part II）及三個(gè)附錄（ APPENDIX A、 B、 C） 44 可信網(wǎng)絡(luò)解釋（ TNI） ? TNI第一部分提供了在網(wǎng)絡(luò)系統(tǒng)作為一個(gè)單一系統(tǒng)進(jìn)行評(píng)估時(shí) TCSEC中各個(gè)等級(jí)（從 D到 A類）的解釋 ? 與單機(jī)系統(tǒng)不同的是，網(wǎng)絡(luò)系統(tǒng)的可信計(jì)算基稱為網(wǎng)絡(luò)可信計(jì)算基（ NTCB） 45 可信網(wǎng)絡(luò)解釋（ TNI） ? 第二部分以附加安全服務(wù)的形式提出了在網(wǎng)絡(luò)互聯(lián)時(shí)出現(xiàn)的一些附加要求 ? 這些要求主要是針對(duì)完整性、可用性和保密性的 46 可信網(wǎng)絡(luò)解釋（ TNI） 第二部分的評(píng)估是定性的，針對(duì)一個(gè)服務(wù)進(jìn)行評(píng)估的結(jié)果一般分為為： ?none ?minimum ?fair ?good 47 可信網(wǎng)絡(luò)解釋（ TNI） 第二部分中關(guān)于每個(gè)服務(wù)的說明一般包括 : ? 一種相對(duì)簡短的陳述 ? 相關(guān)的功能性的討論 ? 相關(guān)機(jī)制強(qiáng)度的討論 ? 相關(guān)保證的討論 48 可信網(wǎng)絡(luò)解釋（ TNI） ? 功能性是指一個(gè)安全服務(wù)的目標(biāo)和實(shí)現(xiàn)方法，它包括特性、機(jī)制及實(shí)現(xiàn) ? 機(jī)制的強(qiáng)度是指一種方法實(shí)現(xiàn)其目標(biāo)的程度 ? 有些情況下，參數(shù)的選擇會(huì)對(duì)機(jī)制的強(qiáng)度帶來很大的影響 49 可信網(wǎng)絡(luò)解釋（ TNI） ? 保證是指相信一個(gè)功能會(huì)實(shí)現(xiàn)的基礎(chǔ) ? 保證一般依靠對(duì)理論、測試、軟件工程等相關(guān)內(nèi)容的分析 ? 分析可以是形式化或非形式化的，也可以是理論的或應(yīng)