【正文】 5 英國安全標(biāo)準(zhǔn) 1989 德國標(biāo)準(zhǔn) 法國標(biāo)準(zhǔn) 加拿大標(biāo)準(zhǔn) 1993 聯(lián)邦標(biāo)準(zhǔn)草案 1993 ITSEC 1991 通用標(biāo)準(zhǔn) 1996 1998 1999 9 標(biāo)準(zhǔn)介紹 ? 信息技術(shù)安全評估準(zhǔn)則發(fā)展過程 ? 可信計算機系統(tǒng)評估準(zhǔn)則（ TCSEC） ? 可信網(wǎng)絡(luò)解釋 （ TNI） ? 通用準(zhǔn)則 CC ? 《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》 ? 信息系統(tǒng)安全評估方法探討 10 TCSEC ? 在 TCSEC中，美國國防部按處理信息的等級和應(yīng)采用的響應(yīng)措施，將計算機安全從高到低分為： A、 B、 C、 D四類八個級別，共 27條評估準(zhǔn)則 ? 隨著安全等級的提高，系統(tǒng)的可信度隨之增加，風(fēng)險逐漸減少。 11 TCSEC 四個安全等級： ? 無保護級 ? 自主保護級 ? 強制保護級 ? 驗證保護級 12 TCSEC ? D類是最低保護等級，即無保護級 ? 是為那些經(jīng)過評估，但不滿足較高評估等級要求的系統(tǒng)設(shè)計的，只具有一個級別 ? 該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息 13 TCSEC 四個安全等級： ? 無保護級 ? 自主保護級 ? 強制保護級 ? 驗證保護級 14 TCSEC ? C類為自主保護級 ? 具有一定的保護能力，采用的措施是自主訪問控制和審計跟蹤 ? 一般只適用于具有一定等級的多用戶環(huán)境 ? 具有對主體責(zé)任及其動作審計的能力 15 TCSEC C類分為 C1和 C2兩個級別 : ? 自主安全保護級（ C1級 ) ? 控制訪問保護級（ C2級） 16 TCSEC ? C1級 TCB通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護的能力 ? 它具有多種形式的控制能力，對用戶實施訪問控制 ? 為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞 ? C1級的系統(tǒng)適用于處理同一敏感級別數(shù)據(jù)的多用戶環(huán)境 17 TCSEC ? C2級計算機系統(tǒng)比 C1級具有更細粒度的自主訪問控制 ? C2級通過注冊過程控制、審計安全相關(guān)事件以及資源隔離，使單個用戶為其行為負責(zé) 18 TCSEC 四個安全等級： ? 無保護級 ? 自主保護級 ? 強制保護級 ? 驗證保護級 19 TCSEC ? B類為強制保護級 ? 主要要求是 TCB應(yīng)維護完整的安全標(biāo)記，并在此基礎(chǔ)上執(zhí)行一系列強制訪問控制規(guī)則 ? B類系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標(biāo)記 ? 系統(tǒng)的開發(fā)者還應(yīng)為 TCB提供安全策略模型以及 TCB規(guī)約 ? 應(yīng)提供證據(jù)證明訪問監(jiān)控器得到了正確的實施 20 TCSEC B類分為三個類別： ? 標(biāo)記安全保護級（ B1級） ? 結(jié)構(gòu)化保護級（ B2級） ? 安全區(qū)域保護級（ B3級） 21 TCSEC ? B1級系統(tǒng)要求具有 C2級系統(tǒng)的所有特性 ? 在此基礎(chǔ)上，還應(yīng)提供安全策略模型的非形式化描述、數(shù)據(jù)標(biāo)記以及命名主體和客體的強制訪問控制 ? 并消除測試中發(fā)現(xiàn)的所有缺陷 22 TCSEC B類分為三個類別： ? 標(biāo)記安全保護級（ B1級） ? 結(jié)構(gòu)化保護級（ B2級） ? 安全區(qū)域保護級（ B3級） 23 TCSEC ? 在 B2級系統(tǒng)中， TCB建立于一個明確定義并文檔化形式化安全策略模型之上 ? 要求將 B1級系統(tǒng)中建立的自主和強制訪問控制擴展到所有的主體與客體 ? 在此基礎(chǔ)上，應(yīng)對隱蔽信道進行分析 ? TCB應(yīng)結(jié)構(gòu)化為關(guān)鍵保護元素和非關(guān)鍵保護元素 24 TCSEC ? TCB接口必須明確定義 ? 其設(shè)計與實現(xiàn)應(yīng)能夠經(jīng)受更充分的測試和更完善的審查 ? 鑒別機制應(yīng)得到加強，提供可信設(shè)施管理以支持系統(tǒng)管理員和操作員的職能 ? 提供嚴(yán)格的配置管理控制 ? B2級系統(tǒng)應(yīng)具備相當(dāng)?shù)目節(jié)B透能力 25 TCSEC B類分為三個類別： ? 標(biāo)記安全保護級（ B1級） ? 結(jié)構(gòu)化保護級（ B2級） ? 安全區(qū)域保護級（ B3級） 26 TCSEC ? 在 B3級系統(tǒng)中， TCB必須滿足訪問監(jiān)控器需求 ? 訪問監(jiān)控器對所有主體對客體的訪問進行仲裁 ? 訪問監(jiān)控器本身是抗篡改的 ? 訪問監(jiān)控器足夠小 ? 訪問監(jiān)控器能夠分析和測試 27 TCSEC 為了滿足訪問控制器需求 : ? 計算機信息系統(tǒng)可信計算基在構(gòu)造時，排除那些對實施安全策略來說并非必要的代碼 ? 計算機信息系統(tǒng)可信計算基在設(shè)計和實現(xiàn)時，從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度 28 TCSEC B3級系統(tǒng)支持 : ? 安全管理員職能 ? 擴充審計機制 ? 當(dāng)發(fā)生與安全相關(guān)的事件時，發(fā)出信號 ? 提供系統(tǒng)恢復(fù)機制 ? 系統(tǒng)具有很高的抗?jié)B透能力 29 TCSEC 四個安全等級： ? 無保護級 ? 自主保護級 ? 強制保護級 ? 驗證保護級 30 TCSEC ? A類為驗證保護級 ? A類的特點是使用形式化的安全驗證方法，保證系統(tǒng)的自主和強制安全控制措施能夠有效地保護系統(tǒng)中存儲和處理的秘密信息或其他敏感信息 ? 為證明 TCB滿足設(shè)計、開發(fā)及實現(xiàn)等各個方面的安全要求，系統(tǒng)應(yīng)提供豐富的文檔信息 31 TCSEC A類分為兩個類別： ? 驗證設(shè)計級（ A1級） ? 超 A1級 32 TCSEC ? A1級系統(tǒng)在功能上和 B3級系統(tǒng)是相同的，沒有增加體系結(jié)構(gòu)特性和策略要求 ? 最顯著的特點是，要求用形式化設(shè)計規(guī)范和驗證方法來對系統(tǒng)進行分析，確保 TCB按設(shè)計要求實現(xiàn) ? 從本質(zhì)上說，這種保證是發(fā)展的，它從一個安全策略的形式化模型和設(shè)計的形式化高層規(guī)約（ FTLS）開始 33 TCSEC 針對 A1級系統(tǒng)設(shè)計驗證，有 5種獨立于特定規(guī)約語言或驗證方法的重要準(zhǔn)則： ? 安全策略的形式化模型必須得到明確標(biāo)識并文檔化，提供該模型與其公理一致以及能夠?qū)Π踩呗蕴峁┳銐蛑С值臄?shù)學(xué)證明 ? 應(yīng)提供形式化的高層規(guī)約，包括 TCB功能的抽象定義、用于隔離執(zhí)行域的硬件 /固件機制的抽象定義 34 TCSEC ? 應(yīng)通過形式化的技術(shù)（如果可能的化）和非形式化的技術(shù)證明 TCB的形式化高層規(guī)約（ FTLS）與模型是一致的 ? 通過非形式化的方法證明 TCB的實現(xiàn)（硬件、固件、軟件）與形式化的高層規(guī)約（ FTLS）是一致的。 ? 在國際范圍內(nèi)提高那些經(jīng)過評估的 、 安全增強的 IT產(chǎn)品及保護輪廓的可用性 。 ? 穿透測試（ peration testing）不能全面反映信息系統(tǒng)的安全保護能力。 135 構(gòu)件組裝安全性評估模型 規(guī)則 1. 安全要素集 E上訪問路徑安全保護等級評估規(guī)則 安全要素集 E上信息系統(tǒng)安全保護等級評估規(guī)則 136 訪問路徑的標(biāo)識 評估對象拓撲結(jié)構(gòu)分析 標(biāo)識用戶發(fā)起訪問的邏輯位置 根據(jù)系統(tǒng)提供的應(yīng)用服務(wù)，確定系統(tǒng)中所包含的訪問路徑 137 依賴關(guān)系和關(guān)聯(lián)關(guān)系的分析與檢測 對任意組裝互補性安全要素，系統(tǒng)邊界、計算環(huán)境及網(wǎng)絡(luò)各自內(nèi)部的構(gòu)件之間可以（但不是一定）存在依賴關(guān)系。 要素層次代表了 GB 17859定義的安全要素。 證據(jù)層次定義系統(tǒng)邊界、計算環(huán)境、網(wǎng)絡(luò)及基礎(chǔ)設(shè)施等各個部分中常見構(gòu)件類型應(yīng)提供的證據(jù)。 對自主訪問控制、強制訪問控制和身份鑒別，系統(tǒng)邊界和網(wǎng)絡(luò)中的構(gòu)件不能依賴于計算環(huán)境中的構(gòu)件；但計算環(huán)境中的構(gòu)件可以依賴于系統(tǒng)邊界和網(wǎng)絡(luò)中的構(gòu)件。 127 假 設(shè) 威脅可能來自系統(tǒng)外部，也可能來自系統(tǒng)內(nèi)部。 此后這些計劃接受的任何新的產(chǎn)品都必須根據(jù) CC的要求進行評估 。 ? TNI包括兩個部分（ Part I和 Part II）及三個附錄（ APPENDIX A、 B、 C） 43 可信網(wǎng)絡(luò)解釋（ TNI） ? TNI第一部分提供了在網(wǎng)絡(luò)系統(tǒng)作為一個單一系統(tǒng)進行評估時 TCSEC中各個等級（從 D到 A類）的解釋 ? 與單機系統(tǒng)不同的是，網(wǎng)絡(luò)系統(tǒng)的可信計算基稱為網(wǎng)絡(luò)可信計算基（ NTCB） 44 可信網(wǎng)絡(luò)解釋（ TNI） ? 第二部分以附加安全服務(wù)的形式提出了在網(wǎng)絡(luò)互聯(lián)時出現(xiàn)的一些附加要求 ? 這些要求主要是針對完整性、可用性和保密性的 45 可信網(wǎng)絡(luò)解釋（ TNI） 第二部分的評估是定性的，針對一個服務(wù)進行評估的結(jié)果一般分為為： ?none ?minimum ?fair ?good 46 可信網(wǎng)絡(luò)解釋（ TNI） 第二部分中關(guān)于每個服務(wù)的說明一般包括 : ? 一種相對簡短的陳述 ? 相關(guān)的功能性的討論 ? 相關(guān)機制強度的討論 ? 相關(guān)保證的討論 47 可信網(wǎng)絡(luò)解釋（ TNI） ? 功能性是指一個安全服務(wù)的目標(biāo)和實現(xiàn)方法，它包括特性、機制及實現(xiàn) ? 機制的強度是指一種方法實現(xiàn)其目標(biāo)的程度 ? 有些情況下，參數(shù)的選擇會對機制的強度帶來很大的影響 48 可信網(wǎng)絡(luò)解釋（ TNI） ? 保證是指相信一個功能會實現(xiàn)的基礎(chǔ) ? 保證一般依靠對理論、測試、軟件工程等相關(guān)內(nèi)容的分析 ? 分析可以是形式化或非形式化的，也可以是理論的或應(yīng)用的 49 可信網(wǎng)絡(luò)解釋（ TNI） 第