【正文】 通用安全評(píng)估準(zhǔn)則 (CC)是一個(gè)國(guó)際標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)描述了這么一個(gè)規(guī)則： “ …… 可作為評(píng)估 IT產(chǎn)品與系統(tǒng)的基礎(chǔ) …… ，這個(gè)標(biāo)準(zhǔn)允許在相互獨(dú)立的不同安全評(píng)估結(jié)果之間進(jìn)行比較 …… ，提供一套公共的用于 IT產(chǎn)品與系統(tǒng)的安全功能集，以及適應(yīng)該功能集的安全保障的測(cè)度。評(píng)估過程確定了 IT產(chǎn)品與系統(tǒng)關(guān)于安全功能及保障的可信水平 ” 。 CC由 3個(gè)部分組成：安全功能、安全保障與評(píng)估方法。信息系統(tǒng)安全工程（ ISSE）可以利用 CC作為工具支持其行為，包括為信息保護(hù)系統(tǒng)制定系統(tǒng)級(jí)的描述和支持批準(zhǔn)過程。 通用安全評(píng)估準(zhǔn)則 圖 CC中的安全概念與相互關(guān)系 圖 CC是如何應(yīng)用的，用 CC的語法建立信息安全的過程是符合 ISSE過程的。發(fā)掘信息保護(hù)需求的行為提供了各種信息，如所有者怎樣評(píng)估資產(chǎn)、威脅代理是什么、什么是威脅、什么是對(duì)策（要求與功能）和什么是風(fēng)險(xiǎn)（部分地）。定義信息保護(hù)系統(tǒng)的行為提供了用于描述如下事務(wù)的信息：什么是對(duì)策（命名組件）、什么是脆弱性（基于體系結(jié)構(gòu)）、什么是風(fēng)險(xiǎn)（更全面）。設(shè)計(jì)信息保護(hù)系統(tǒng)的行為提供了如下信息：什么是對(duì)策（驗(yàn)證了的信息保護(hù)產(chǎn)品功能）、什么是脆弱性（基于設(shè)計(jì)的、組合并驗(yàn)證了的測(cè)試結(jié)果）和什么是風(fēng)險(xiǎn)（更加全面）。 實(shí)現(xiàn)信息保護(hù)系統(tǒng)的行為最后提供了如下信息：什么是對(duì)策（安裝了的、有效的信息系統(tǒng)保護(hù)功能）、什么是脆弱性（基于有效性與漏洞測(cè)試實(shí)現(xiàn)結(jié)果）、什么是風(fēng)險(xiǎn)（更加全面）。 CC并不描述個(gè)體和操作的安全，也不描述評(píng)估的有效性或其他使系統(tǒng)更有效的管理經(jīng)驗(yàn)。 CC提供了一種標(biāo)準(zhǔn)的語言與語法，用戶和開發(fā)者可以用它來聲明系統(tǒng)的通用功能（保護(hù)輪廓或 PP）或被評(píng)估的特定性能（安全目標(biāo)或 ST）。 PP都以標(biāo)準(zhǔn)化的格式定義了一套功能要求與保障要求，它們或者來自于 CC，或由用戶定義，用來解決已知的或假設(shè)的安全問題（可能定義成對(duì)被保護(hù)資產(chǎn)的威脅）。對(duì)于一個(gè)完全與安全目標(biāo)一致的評(píng)估對(duì)象（ TOE）集合， PP允許各對(duì)象有獨(dú)立的安全要求表述。 PP設(shè)計(jì)是可重用的，并且定義了可有效滿足確定目標(biāo)的 TOE環(huán)境。 PP也包括了安全性與安全目標(biāo)的基本依據(jù)。即使評(píng)估對(duì)象是特定類型的 IT產(chǎn)品、系統(tǒng)（如操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、智能卡、防火墻等），其安全需求的定義也不會(huì)因系統(tǒng)不同而不同。 PP可以由用戶團(tuán)體、 IT產(chǎn)品開發(fā)者或其他有興趣定義這樣一個(gè)需求集合的集體開發(fā)。 PP給了消費(fèi)者一個(gè)參考特定安全需求集合的手段，并使得用戶對(duì)這些要求的評(píng)估變得容易。因此， PP是一個(gè)合適的用于 ISSE開發(fā)并描述其架構(gòu)的 CC文檔，可以作為查詢與技術(shù)評(píng)估的基礎(chǔ)。 ST包括一個(gè)參考 PP的安全需求的集合，或者直接引用 CC的功能或保障部分，或是更加詳細(xì)地對(duì)其說明。 ST使得對(duì)穩(wěn)定 TOE的安全需求的描述能夠有效地滿足確定目標(biāo)的需要。 ST包括評(píng)估對(duì)象的概要說明、安全要求與目標(biāo)及其根據(jù)。 ST是各團(tuán)體對(duì) TOE所提供的安全性達(dá)成一致的基礎(chǔ)。 PP和 ST也可以是在負(fù)責(zé)管理系統(tǒng)開發(fā)的團(tuán)體、系統(tǒng)的核心成員及負(fù)責(zé)生產(chǎn)該系統(tǒng)的組織之間互相溝通的一種手段。在這種環(huán)境中，應(yīng)該建議 ST對(duì) PP做出響應(yīng)。 PP與 ST的內(nèi)容可以在參與者之間協(xié)商?；?PP與 ST的對(duì)實(shí)際系統(tǒng)的評(píng)估是驗(yàn)收過程的一部分?？偟膩碚f，非 IT的安全需求也將被協(xié)商和評(píng)估。通常安全問題的解決并不是獨(dú)立于系統(tǒng)的其他需求的。 ST與 PP的關(guān)系如圖 。 圖 保護(hù)輪廓與安全目標(biāo)的關(guān)系 CC的觀點(diǎn)是，在對(duì)即將要信任的 IT產(chǎn)品和系統(tǒng)進(jìn)行評(píng)估的基礎(chǔ)之上提供一種保障。評(píng)估是一種傳統(tǒng)的提供保障的方式，同時(shí)也是先期評(píng)估準(zhǔn)則文檔的基礎(chǔ)。為了與現(xiàn)有方式一致， CC也采納了同樣的觀點(diǎn)。 CC建議專業(yè)評(píng)估員加大評(píng)估的廣度、深度與強(qiáng)度，來檢測(cè)文檔的有效性和 IT產(chǎn)品或系統(tǒng)的結(jié)果。 CC并不排除也不評(píng)估其他獲取保障的方法的優(yōu)點(diǎn)。針對(duì)其他可替代的獲取保障的方法正在研究。這些研究行為所產(chǎn)生的可替代的方法可能會(huì)被考慮加入到 CC之中，而 CC的結(jié)構(gòu)允許它今后引入其他方法。 CC的觀點(diǎn)宣稱，用于評(píng)估的努力越多，安全保障效果越好； CC的目標(biāo)是用最小的努力來達(dá)到必須的保障水平。努力程度的增加基于如下因素： 范圍，必須加強(qiáng)努力，因?yàn)榇蟛糠值?IT產(chǎn)品與系統(tǒng)包含在內(nèi)。 深度，努力必須加深，因?yàn)樵u(píng)估證據(jù)的搜集依賴于更好的設(shè)計(jì)水平與實(shí)現(xiàn)細(xì)節(jié)。 強(qiáng)度，努力必須加大，因?yàn)樵u(píng)估證據(jù)的搜集需要結(jié)構(gòu)化和正式的方式。 評(píng)估過程為 PP與 ST所需的保障提供了證據(jù)，如圖。評(píng)估的結(jié)果就是對(duì)信息保護(hù)系統(tǒng)的某種程度上的確信。其他 ISSE過程，如風(fēng)險(xiǎn)管理，提供了將這種確信轉(zhuǎn)化成管理決策準(zhǔn)則的方法。 圖 評(píng)估的概念與相互關(guān)系 圖 （或子系統(tǒng)）可以參照 PP或 ST得到評(píng)估，輔以外部認(rèn)證與批準(zhǔn)準(zhǔn)則，從而創(chuàng)建評(píng)估產(chǎn)品集，以對(duì)系統(tǒng)的批準(zhǔn)過程提供支持。 圖 使用評(píng)估結(jié)果 （ 1） 安全功能要求 安全功能要求分為以下 10類： 安全審計(jì)類； 通信類（主要是身份真實(shí)性和抗否認(rèn)）； 密碼支持類； 用戶數(shù)據(jù)保護(hù)類； 標(biāo)識(shí)和鑒別類； 安全管理類（與 TSF有關(guān)的管理）； 隱秘類（保護(hù)用戶隱私）； TSF保護(hù)類（ TOE自身安全保護(hù)）； 資源利用類（從資源管理角度確保 TSF安全）； TOE訪問類（從對(duì) TOE的訪問控制確保安全性）； 可信路徑 /信道類。 這些安全類又分為族，族中又分為組件。組件是對(duì)具體安全要求的描述。從敘述上看，每一個(gè)族中的具體安全要求也是有差別的，但 CC沒有以這些差別作為劃分安全等級(jí)的依據(jù)。 （ 2） 安全保證要求 在對(duì)安全保護(hù)框架和安全目標(biāo)的評(píng)估進(jìn)行說明以后，將具體的安全保證要求分為以下 8類： 配置管理類； 分發(fā)和操作類； 開發(fā)類； 指導(dǎo)性文檔類； 生命周期支持類； 測(cè)試類； 脆弱性評(píng)定類； 保證的維護(hù)類。 按照對(duì)上述 8類安全保證要求的不斷遞增， CC將TOE分為 7個(gè)安全保證級(jí)，分別是： 第一級(jí)，功能測(cè)試級(jí)； 第二級(jí)，結(jié)構(gòu)測(cè)試級(jí)； 第三級(jí)，系統(tǒng)測(cè)試和檢查級(jí)； 第四級(jí)，系統(tǒng)設(shè)計(jì)、測(cè)試和復(fù)查級(jí)； 第五級(jí)，半形式化設(shè)計(jì)和測(cè)試級(jí)； 第六級(jí)，半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試級(jí)； 第七級(jí)，形式化驗(yàn)證的設(shè)計(jì)和測(cè)試級(jí)。 風(fēng)險(xiǎn)管理 是識(shí)別、評(píng)估和減少風(fēng)險(xiǎn)的過程。風(fēng)險(xiǎn)評(píng)估對(duì)漏洞和威脅的可能性進(jìn)行檢查，并考慮事故造成的可能影響。描述威脅和漏洞最好的方法是根據(jù)對(duì)經(jīng)營(yíng)業(yè)務(wù)的影響來描述。 成熟度模型可用來測(cè)量組織的解決方案（軟件、硬件、系統(tǒng)）的能力和效力，可用于安全評(píng)估方法，以測(cè)量針對(duì)業(yè)界最佳實(shí)際的安全體系結(jié)構(gòu)。可以就以下 3個(gè)方面進(jìn)行分析： 安全計(jì)劃、技術(shù)與配置、運(yùn)行過程 。 本章小結(jié) 弄清楚威脅的來源是減少威脅得逞可能性的關(guān)鍵。威脅源 包括人為差錯(cuò)和設(shè)計(jì)缺陷、內(nèi)部人員、臨時(shí)員工、自然災(zāi)害和環(huán)境危害、黑客和其他入侵者、病毒和其他惡意軟件。 威脅的情況 包括系統(tǒng)管理過程、電子竊聽、軟件利用、信任轉(zhuǎn)移、數(shù)據(jù)驅(qū)動(dòng)攻擊、拒絕服務(wù)、 DNS欺騙、源路由，以及內(nèi)部威脅。應(yīng)采取相應(yīng)對(duì)策和保護(hù)措施。 安全評(píng)估可分 5個(gè)階段 ： ①發(fā)現(xiàn)階段，對(duì)安全體系結(jié)構(gòu)及安全基礎(chǔ)設(shè)施設(shè)計(jì)文本的檢查； ②人工檢查階段，將文本描述的體系結(jié)構(gòu)和設(shè)計(jì)與實(shí)際的結(jié)構(gòu)進(jìn)行比較，找出差別； ③漏洞測(cè)試階段，包括網(wǎng)絡(luò)、平臺(tái)和應(yīng)用的漏洞測(cè)試，平臺(tái)掃描，應(yīng)用掃描； ④監(jiān)控和報(bào)警； ⑤安全體系結(jié)構(gòu)的處理過程。在此基礎(chǔ)上得出風(fēng)險(xiǎn)分析文本以及經(jīng)營(yíng)業(yè)務(wù)影響分析。 網(wǎng)絡(luò)安全評(píng)估的目標(biāo)是保證所有可能影響網(wǎng)絡(luò)安全的利用是關(guān)閉的。評(píng)估的過程包括了解網(wǎng)絡(luò)的拓?fù)洹@取公共訪問機(jī)器的名字及其 IP地址、對(duì)全部可達(dá)主機(jī)做端口掃描的處理。 根據(jù)計(jì)算機(jī)信息系統(tǒng)安全技術(shù)發(fā)展的要求，提出信息系統(tǒng)安全保護(hù)等級(jí)劃分和評(píng)估的基本準(zhǔn)則。 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則 （ TCSEC）是全世界第 1個(gè)計(jì)算機(jī)系統(tǒng)安全等級(jí)劃分的基本準(zhǔn)則，又稱桔皮書。通用安全評(píng)估準(zhǔn)則 （ CC）是由西方 6國(guó) 7方聯(lián)合提出的作為評(píng)估 IT產(chǎn)品與系統(tǒng)的基礎(chǔ)的一個(gè)國(guó)際標(biāo)準(zhǔn)。計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 GB178591999是我國(guó)首次制定的為評(píng)價(jià)、開發(fā)、研究計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的安全提供的指導(dǎo)準(zhǔn)則。習(xí)題