【正文】 的，它從一個(gè)安全策略的形式化模型和設(shè)計(jì)的形式化高層規(guī)約（ FTLS）開(kāi)始 34 TCSEC 針對(duì) A1級(jí)系統(tǒng)設(shè)計(jì)驗(yàn)證，有 5種獨(dú)立于特定規(guī)約語(yǔ)言或驗(yàn)證方法的重要準(zhǔn)則： ? 安全策略的形式化模型必須得到明確標(biāo)識(shí)并文檔化，提供該模型與其公理一致以及能夠?qū)Π踩呗蕴峁┳銐蛑С值臄?shù)學(xué)證明 ? 應(yīng)提供形式化的高層規(guī)約，包括 TCB功能的抽象定義、用于隔離執(zhí)行域的硬件 /固件機(jī)制的抽象定義 35 TCSEC ? 應(yīng)通過(guò)形式化的技術(shù)（如果可能的化）和非形式化的技術(shù)證明 TCB的形式化高層規(guī)約（ FTLS）與模型是一致的 ? 通過(guò)非形式化的方法證明 TCB的實(shí)現(xiàn)（硬件、固件、軟件）與形式化的高層規(guī)約（ FTLS）是一致的。 ? 評(píng)估的目標(biāo)是為了證明 PP是完備的、一致的、技術(shù)合理的，而且適合于作為一個(gè)可評(píng)估 TOE的安全要求的聲明 98 通用準(zhǔn)則 CC ? 針對(duì) TOE的 ST評(píng)估是依照 CC第 3部分的 ST評(píng)估準(zhǔn)則進(jìn)行的 ? ST評(píng)估具有雙重目標(biāo)： ? 首先是為了證明 ST是完備的、一致的、技術(shù)合理的，而且適合于用作相應(yīng) TOE評(píng)估的基礎(chǔ) ? 其次，當(dāng)某一 ST宣稱與某一 PP一致時(shí)，證明 ST滿足該 PP的要求 99 通用準(zhǔn)則 CC ? TOE評(píng)估是使用一個(gè)已經(jīng)評(píng)估過(guò)的 ST作為基礎(chǔ)，依照CC第 3部分的評(píng)估準(zhǔn)則進(jìn)行的 ? 評(píng)估的目標(biāo)是為了證明 TOE滿足 ST中的安全要求 100 通用準(zhǔn)則 CC 三種評(píng)估的關(guān)系 評(píng)估P P評(píng)估T O EP P 分類評(píng)估S T證書(shū)分類P P 評(píng)估結(jié)果T O E 評(píng)估結(jié)果S T 評(píng)估結(jié)果已評(píng)估過(guò)的T O E101 通用準(zhǔn)則 CC ? CC的第二部分是安全功能要求，對(duì)滿足安全需求的諸安全功能提出了詳細(xì)的要求 ? 另外，如果有超出第二部分的安全功能要求，開(kāi)發(fā)者可以根據(jù) “ 類 族 組件 元素 ” 的描述結(jié)構(gòu)表達(dá)其安全要求，并附加在其 ST中 102 通用準(zhǔn)則 CC CC共包含的 11個(gè)安全功能類 ， 如下： ? FAU類：安全審計(jì) ? FCO類：通信 ? FCS類：密碼支持 ? FDP類：用戶數(shù)據(jù)保護(hù) ? FIA類：標(biāo)識(shí)與鑒別 ? FMT類：安全管理 ? FPR類：隱秘 ? FPT類： TFS保護(hù) ? FAU類：資源利用 ? FTA類： TOE訪問(wèn) ? FTP類：可信信道 /路徑 103 通用準(zhǔn)則 CC ? CC的第三部分是評(píng)估方法部分，提出了 PP、 ST、TOE三種評(píng)估，共包括 10個(gè)類，但其中的 APE類與ASE類分別介紹了 PP與 ST的描述結(jié)構(gòu)及評(píng)估準(zhǔn)則 ? 維護(hù)類提出了保證評(píng)估過(guò)的受測(cè)系統(tǒng)或產(chǎn)品運(yùn)行于所獲得的安全級(jí)別上的要求 ? 只有七個(gè)安全保證類是 TOE的評(píng)估類別 104 通用準(zhǔn)則 CC 七個(gè)安全保證類 ? ACM類：配置管理 ? ADO類：分發(fā)與操作 ? ADV類：開(kāi)發(fā) ? AGD類：指導(dǎo)性文檔 ? ALC類：生命周期支持 ? ATE類：測(cè)試 ? AVA類：脆弱性評(píng)定 105 通用準(zhǔn)則 CC ? 1998年 1月，經(jīng)過(guò)兩年的密切協(xié)商，來(lái)自美國(guó)、加拿大、法國(guó)、德國(guó)以及英國(guó)的政府組織簽訂了歷史性的安全評(píng)估互認(rèn)協(xié)議： IT安全領(lǐng)域內(nèi) CC認(rèn)可協(xié)議 ? 根據(jù)該協(xié)議，在協(xié)議簽署國(guó)范圍內(nèi)，在某個(gè)國(guó)家進(jìn)行的基于 CC的安全評(píng)估將在其他國(guó)家內(nèi)得到承認(rèn) ? 截止 20xx年 3月，加入該協(xié)議的國(guó)家共有十五個(gè)：澳大利亞、新西蘭、加拿大、芬蘭、法國(guó)、德國(guó)、希臘、以色列、意大利、荷蘭、挪威、西班牙、瑞典、英國(guó)及美國(guó) 106 通用準(zhǔn)則 CC 該協(xié)議的參與者在這個(gè)領(lǐng)域內(nèi)有共同的目的即： ? 確保 IT產(chǎn)品及保護(hù)輪廓的評(píng)估遵循一致的標(biāo)準(zhǔn) ， 為這些產(chǎn)品及保護(hù)輪廓的安全提供足夠的信心 。 標(biāo)記： 在一條訪問(wèn)路徑中，若各構(gòu)件對(duì)其主、客體的敏感標(biāo)記定義之間無(wú)沖突存在，則稱這條訪問(wèn)路徑中的構(gòu)件就標(biāo)記而言滿足關(guān)聯(lián)關(guān)系。 G B 1 7 8 5 9 用戶自主保護(hù)級(jí) 系統(tǒng)審計(jì)保護(hù)級(jí) 安全標(biāo)記保護(hù)級(jí) … 數(shù)據(jù)庫(kù)服務(wù)環(huán)境 F CM E 模型 W EB 服務(wù)環(huán)境 F CM E 模型 電子郵件服務(wù)環(huán)境 F CM E 模型 … 142 FCME模型內(nèi)容設(shè)計(jì) 本文針對(duì)各種應(yīng)用環(huán)境建立相應(yīng)的 FCME模型，而非針對(duì)各類構(gòu)件分別建立評(píng)估模型，目的是為了充分考慮在實(shí)際應(yīng)用環(huán)境中各類構(gòu)件之間的交互作用。 系統(tǒng)的安全性取決于系統(tǒng)中最薄弱的環(huán)節(jié)。 66 標(biāo)準(zhǔn)介紹 ? 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過(guò)程 ? 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（ TCSEC） ? 可信網(wǎng)絡(luò)解釋 （ TNI） ? 通用準(zhǔn)則 CC ? 《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 ? 信息系統(tǒng)安全評(píng)估方法探討 67 通用準(zhǔn)則 CC CC的范圍 : ? CC適用于硬件、固件和軟件實(shí)現(xiàn)的信息技術(shù)安全措施 ? 而某些內(nèi)容因涉及特殊專業(yè)技術(shù)或僅是信息技術(shù)安全的外圍技術(shù)不在 CC的范圍內(nèi) 68 通用準(zhǔn)則 CC 評(píng)估上下文 評(píng)估準(zhǔn)則 (通用準(zhǔn)則 ） 評(píng)估方法學(xué) 評(píng)估方案 最終評(píng)估 結(jié)果 評(píng)估 批準(zhǔn) /證明 證書(shū)表 / (注冊(cè) ) 69 通用準(zhǔn)則 CC ? 使用通用評(píng)估方法學(xué)可以提供結(jié)果的可重復(fù)性和客觀性 ? 許多評(píng)估準(zhǔn)則需要使用專家判斷和一定的背景知識(shí) ? 為了增強(qiáng)評(píng)估結(jié)果的一致性，最終的評(píng)估結(jié)果應(yīng)提交給一個(gè)認(rèn)證過(guò)程，該過(guò)程是一個(gè)針對(duì)評(píng)估結(jié)果的獨(dú)立的檢查過(guò)程，并生成最終的證書(shū)或正式批文 70 通用準(zhǔn)則 CC CC包括三個(gè)部分 : ? 第一部分：簡(jiǎn)介和一般模型 ? 第二部分：安全功能要求 ? 第三部分：安全保證要求 71 通用準(zhǔn)則 CC 安全保證要求部分提出了七個(gè)評(píng)估保證級(jí)別 （ Evaluation Assurance Levels： EALs） 分別是： ? EAL1：功能測(cè)試 ? EAL2：結(jié)構(gòu)測(cè)試 ? EAL3：系統(tǒng)測(cè)試和檢查 ? EAL4：系統(tǒng)設(shè)計(jì) 、 測(cè)試和復(fù)查 ? EAL5：半形式化設(shè)計(jì)和測(cè)試 ? EAL6：半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試 ? EAL7：形式化驗(yàn)證的設(shè)計(jì)和測(cè)試 72 通用準(zhǔn)則 CC ? 安全就是保護(hù)資產(chǎn)不受威脅，威脅可依據(jù)濫用被保護(hù)資產(chǎn)的可能性進(jìn)行分類 ? 所有的威脅類型都應(yīng)該被考慮到 ? 在安全領(lǐng)域內(nèi)，被高度重視的威脅是和人們的惡意攻擊及其它人類活動(dòng)相聯(lián)系的 73 通用準(zhǔn)則 CC 安全概念和關(guān)系 圖 安全概念和關(guān)系所有者對(duì)策弱點(diǎn)風(fēng)險(xiǎn)資產(chǎn)威脅威脅者價(jià)值希望最小化利用 減少可能擁有可能意識(shí)到可能被減少利用導(dǎo)致引起 增加到到希望濫用和破壞74 通用準(zhǔn)則 CC ? 安全性損壞一般包括但又不僅僅包括以下幾項(xiàng) ? 資產(chǎn)破壞性地暴露于未授權(quán)的接收者（失去保密性） ? 資產(chǎn)由于未授權(quán)的更改而損壞（失去完整性） ? 或資產(chǎn)訪問(wèn)權(quán)被未授權(quán)的喪失（失去可用性） 75 通用準(zhǔn)則 CC ? 資產(chǎn)所有者必須分析可能的威脅并確定哪些存在于他們的環(huán)境 ， 其后果就是風(fēng)險(xiǎn) ? 對(duì)策用以（直接或間接地）減少脆弱性并滿足資產(chǎn)所有者的安全策略 ? 在將資產(chǎn)暴露于特定威脅之前，所有者需要確信其對(duì)策足以應(yīng)付面臨的威脅 76 通用準(zhǔn)則 CC 評(píng)估概念 和關(guān)系 保證技術(shù)保證評(píng)估信心對(duì)策風(fēng)險(xiǎn)資產(chǎn)所有者產(chǎn)生給出證據(jù)需要提供源于最小化針對(duì)77 通用準(zhǔn)則 CC TOE評(píng)估過(guò)程 安全需求（PP與S T）開(kāi)發(fā)TOETOE 和評(píng)估 評(píng)估TOE評(píng)估結(jié)果 操作TOE評(píng)估方案評(píng)估方法評(píng)估準(zhǔn)則反饋78 通用準(zhǔn)則 CC ? 評(píng)估過(guò)程通過(guò)兩種途徑產(chǎn)生更好的安全產(chǎn)品 ? 評(píng)估過(guò)程能發(fā)現(xiàn)開(kāi)發(fā)者可以糾正的 TOE錯(cuò)誤或弱點(diǎn)，從而在減少將來(lái)操作中安全失效的可能性 ? 另一方面，為了通過(guò)嚴(yán)格的評(píng)估，開(kāi)發(fā)者在 TOE設(shè)計(jì)和開(kāi)發(fā)時(shí)也將更加細(xì)心 ? 因此，評(píng)估過(guò)程對(duì)最初需求、開(kāi)發(fā)過(guò)程、最終產(chǎn)品以及操作環(huán)境將產(chǎn)生強(qiáng)烈的積極影響 79 通用準(zhǔn)則 CC ? CC安全概念 包括： ? 安全環(huán)境 ? 安全目的 ? IT安全要求 ? TOE概要規(guī)范 80 通用準(zhǔn)則 CC ? 安全環(huán)境包括所有相關(guān)的法規(guī)、組織性安全策略、習(xí)慣、專門(mén)技術(shù)和知識(shí) ? 它定義了 TOE使用的上下文，安全環(huán)境也包括環(huán)境里出現(xiàn)的安全威脅 81 通用準(zhǔn)則 CC ? 安全環(huán)境的分析結(jié)果被用來(lái)闡明對(duì)抗已標(biāo)識(shí)的威脅、說(shuō)明組織性安全策略和假設(shè)的安全目的 ? 安全目的和已說(shuō)明的 TOE運(yùn)行目標(biāo)或產(chǎn)品目標(biāo)以及有關(guān)的物理環(huán)境知識(shí)一致 ? 確定安全目的的意圖是為了闡明所有的安全考慮并指出哪些安全方面的問(wèn)題是直接由 TOE還是由它的環(huán)境來(lái)處理 ? 環(huán)境安全目的將在 IT領(lǐng)域內(nèi)用非技術(shù)上的或程序化的手段來(lái)實(shí)現(xiàn) 82 通用準(zhǔn)則 CC ? IT安全要求是將安全目的細(xì)化為一系列 TOE及其環(huán)境的安全要求，一旦這些要求得到滿足，就可以保證TOE達(dá)到它的安全目的 ? IT安全需求只涉及 TOE安全目的和它的 IT環(huán)境 83 通用準(zhǔn)則 CC ? CC定義了一系列與已知有效的安全要求集合相結(jié)合的概念，該概念可被用來(lái)為預(yù)期的產(chǎn)品和系統(tǒng)建立安全需求 ? CC安全要求以類 —族 —組件這種層次方式組織，以幫助