【正文】 – 這種分析也包括對(duì)開發(fā)者的隱蔽信道分析的確認(rèn) – 增加組件： ? 開發(fā)工具配置管理（ CM） 范圍 ? 半形式化功能規(guī)范 * ? 半形式化高層設(shè)計(jì) * ? TSF實(shí)現(xiàn) ? 模塊化 * ? * ? TOE安全策略模型 ? 標(biāo)準(zhǔn)化生命周期模型 * ? 遵從實(shí)現(xiàn)標(biāo)準(zhǔn) ? 測試：低層設(shè)計(jì) * ? 隱蔽信道分析 * ? 中級(jí)抵抗力 111 itsec 安全保證級(jí)別 5(EAL5) 保證類 保證組件A C M _ A U T .1 部分 CM 自動(dòng)化A C M _ CA P .4 生成支持和接受過程配置管理A C M_ SC P .3 C M 范圍開發(fā)工具A D O _ D EL .2 修改檢測分發(fā)和操作A D O _I G 安裝、生成和啟動(dòng)過程A D V _F SP . 3 半形式化功能規(guī)范A D V _ H L D .3 半形式化高層設(shè)計(jì)A D V _I M P .2 TS F 實(shí)現(xiàn)A D V _I N T .1 模塊化A D V _L L D .1 低層設(shè)計(jì)的描述A D V _ R C R . 2 半形式化相關(guān)性闡明開發(fā)A D V _S 形式化 T O E 安全策略模型A G D _ A D M .1 管理員指南指導(dǎo)性文件A G D _ U S 用戶指南A L C _D V 安全措施標(biāo)識(shí)A L C _L C D .2 標(biāo)準(zhǔn)化生命周期模型生命周期支持A L C _T A T .2 遵照實(shí)現(xiàn)的標(biāo)準(zhǔn)A T E_C O V .2 范圍分析A T E_ D P T . 2 測試：低層設(shè)計(jì)A T E_F U N .1 功能測試測試A T E_I N D . 2 獨(dú)立性測試——抽樣 A V A _ C C A .1 隱蔽通道分析 A V A _M S U .2 分析確認(rèn) A V A _ SO F .1 T O E 安全功能強(qiáng)度評(píng)估脆弱性評(píng)定A V A _V L A .3 中等抵抗力112 itsec EAL6—半形式化驗(yàn)證的設(shè)計(jì)和測試 ? 低層設(shè)計(jì) 的半形式化表示 ? 結(jié)構(gòu)化的開發(fā)流程 ? 增加組件： – 完全配置管理（ CM） 自動(dòng)化 – 高級(jí)支持 – 半形式化高層解釋 – TSF的結(jié)構(gòu)化實(shí)現(xiàn) – 復(fù)雜性降低 – – 安全措施的充分性 – 遵從實(shí)現(xiàn)標(biāo)準(zhǔn) ——所有部分 – 范圍的嚴(yán)格分析 – 順序的功能測試 – – 對(duì)非安全狀態(tài)的分析和測試 – 高級(jí)抵抗力 113 itsec 安全保證級(jí)別 6(EAL6) 保證類 保證組件A C M_ A U T .2 完全 CM 自動(dòng)化A C M_ C A P .5 高級(jí)支持配置管理A C M _S C P .3 C M 范圍開發(fā)工具A D O _ D EL .2 修改檢測分發(fā)和操作A D O _I G 安裝、生成和啟動(dòng)過程A D V _F SP . 3 半形式化功能規(guī)范A D V _H L D .4 半形式化高層解釋A D V _I M P .3 TS F 的結(jié)構(gòu)化實(shí)現(xiàn)A D V _I N T .2 復(fù)雜度降低A D V _L L D .2 低層設(shè)計(jì)的半形式化描述A D V _R C 半形式化相關(guān)性闡明開發(fā)A D V _S PM .3 形式化 T O E 安全策略模型A G D _ A D M .1 管理員指南指導(dǎo)性文件A G D _ U S 用戶指南A L C _D V 安全措施的充分性A L C_L CD .2 標(biāo)準(zhǔn)化生命周期模型生命周期支持A L C _T A T .3 遵照實(shí)現(xiàn)的標(biāo)準(zhǔn)——所有部分A T E_ C O V .3 范圍的嚴(yán)格分析A T E_ D PT .2 測試：低層設(shè)計(jì)A T E_F U N .2 順序的功能測試測試A T E_I N D . 2 獨(dú)立性測試——抽樣 A V A _ C C A .2 系統(tǒng)性隱蔽通道分析 A V A _ MS U .3 對(duì)非安全狀態(tài)的分析和測試 A V A _ SO F .1 T O E 安全功能強(qiáng)度評(píng)估脆弱性評(píng)定A V A _V L A .4 強(qiáng)抵抗力114 itsec EAL7—形式化驗(yàn)證的設(shè)計(jì)和測試 ? EAL7的實(shí)際應(yīng)用目前只局限于一些 TOE， 這些TOE非常關(guān)注能經(jīng)受廣泛地形式化分析的安全功能功能規(guī)范和高層設(shè)計(jì)的形式化表示 ? 增加組件： – 修改預(yù)防 – 形式化功能規(guī)范 – 形式化高層設(shè)計(jì) – 復(fù)雜性最小化 – 形式化對(duì)應(yīng)性論證 – 可測量的生命周期模型 – 測試：實(shí)現(xiàn)表示 – 獨(dú)立性測試 ——全部 115 itsec 安全保證級(jí)別 7(EAL7) 保證類 保證組件ACM_A UT .2 完全 CM 自動(dòng)化ACM_CAP .5 高級(jí)支持配置管理ACM_SC P .3 CM 范圍開發(fā)工具AD 修改防止分發(fā)和操作AD O_ I 安裝、生成和啟動(dòng)過程AD V_ F S P .4 形式化功能規(guī)范AD V_ HL D. 5 形式化高層設(shè)計(jì)AD V_ I MP .3 TSF 的結(jié)構(gòu)化實(shí)現(xiàn)AD V_ INT .3 最小復(fù)雜度AD V_ LL D. 2 低層設(shè)計(jì)的半形式化描述AD V_ RC R. 3 形式化相關(guān)性闡明開發(fā)AD V_ S P 形式化 T OE 安全策略模型AG D_ AD 管理員指南指導(dǎo)性文件AG D_ 用戶指南A L C_DV S .2 安全措施的充分性ALC _LCD .3 可測量的標(biāo)準(zhǔn)化生命周期模型生命周期支持A L C_T A T .3 遵照實(shí)現(xiàn)的標(biāo)準(zhǔn)——所有部分A TE _COV .3 范圍的嚴(yán)格分析A TE _D P T .3 測試：實(shí)現(xiàn)表示A TE _F UN .2 順序的功能測試測試A TE _IN D. 2 獨(dú)立測試——完全 A V A_ CC A. 2 系統(tǒng)性隱蔽通道分析 A V A_ 對(duì)非安全狀態(tài)的分析和測試 A V A_ S OF .1 T OE 安全功能強(qiáng)度評(píng)估脆弱性評(píng)定A V A_ V L A. 4 強(qiáng)抵抗力116 itsec 評(píng)估保證級(jí)（EAL） 評(píng)估保證級(jí)（ E A L ）的保證組件 保證類 保證子類 E A L 1 E A L 2 E 。 ? 增加組件： ? 部分配置管理（ CM） 自動(dòng)化 ? 產(chǎn)生支持和接受程序 ? 跟蹤配置管理（ CM） 范圍問題 ? 修改檢測 ? 完全定義的外部接口 * ? TSF實(shí)現(xiàn)的子集 * ? 描述性低層設(shè)計(jì) * ? 開發(fā)者定義的生命周期模型 ? 明確定義的開發(fā)工具 ? 分析確認(rèn) ? 獨(dú)立脆弱性分析 *(穿透性測試） 109 itsec 安全保證級(jí)別 4(EAL4) 保證類 保證組件A C M_ A U T .1 部分 CM 自動(dòng)化A C M_ C A P .4 產(chǎn)生支持和接受過程配置管理A C M_ SC P .2 跟蹤 CM 范圍問題A D O _ D E 修改檢測分發(fā)和操作A D O _I G 安裝、生成和啟動(dòng)過程A D V _F SP . 2 完全定義的外部接口A D V _ H L D .2 安全加強(qiáng)的高層設(shè)計(jì)A D V _I M P .1 TS F 實(shí)現(xiàn)的子集A D V _L L D .1 低層設(shè)計(jì)的描述A D V _R C 非形式化相關(guān)性闡明開發(fā)A D V _S 非形式化 T O E 安全策略模型A G D _ A D M .1 管理員指南指導(dǎo)性文件A G D _ U S 用戶指南A L C _D V 安全措施說明A L C _L C D .1 開發(fā)者定義的生命周期模型生命周期支持A L C _T A T .1 定義明確的開發(fā)工具A T E_C O V .2 范圍分析A T E_ D PT .1 測試：高層設(shè)計(jì)A T E_F U N .1 功能測試測試A T E_I N D . 2 獨(dú)立性測試——抽樣 A V A _ MS U .2 分析確認(rèn) A V A _ SO F .1 T O E 安全功能強(qiáng)度評(píng)估脆弱性評(píng)定A V A _V L A .2 獨(dú)立脆弱性分析110 itsec EAL5—半形式化設(shè)計(jì)和測試 – TOE安全策略的形式化模型，功能規(guī)范和高層設(shè)計(jì)的半形式化表示，及它們之間對(duì)應(yīng)性的半形式化論證。 ? 增加： – 配置項(xiàng) – 交付程序 – 描述性高層設(shè)計(jì) * – 范圍證據(jù) – 功能測試 – 獨(dú)立性測試 —— 抽樣 – TOE安全功能強(qiáng)度評(píng)估 * – * 105 itsec 安全保證級(jí)別 2(EAL2) 保證類 保證組件配置管理 A C M_ C A P .2 配置項(xiàng)A D O _ D E 分發(fā)過程分發(fā)和操作A D O _I G 安裝、生成和啟動(dòng)過程A D V _F SP .1 非形式化功能規(guī)范A D V _H L D .1 描述性高層設(shè)計(jì)開發(fā)A D V _R C 非形式化相關(guān)性闡明A G D _ A D M .1 管理員指南指導(dǎo)性文件A G D _ U S 用戶指南A T E_ C O V .1 范圍證據(jù)A T E_F U N .1 功能測試測試A T E_I N D .2 獨(dú)立性測試——抽樣 A V A _ SO F .1 T O E 安全功能強(qiáng)度評(píng)估脆弱性評(píng)定A V A _V L A .1 開發(fā)者脆弱性分析106 itsec EAL3—系統(tǒng)地測試和檢查 ? EAL3適用于開發(fā)者或使用者需要一個(gè)中等級(jí)別的安全性，和不需要再次進(jìn)行真正的工程實(shí)踐的情況下，對(duì) TOE及其開發(fā)過程進(jìn)行徹底檢查。 51 itsec 本標(biāo)準(zhǔn)定義作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)準(zhǔn)則 不包括屬于行政性管理安全措施的評(píng)估準(zhǔn)則；不包括物理安全方面（諸如電磁輻射控制）的評(píng)估準(zhǔn)則；不包括密碼算法固有質(zhì)量評(píng)價(jià)準(zhǔn)則 應(yīng)用范圍 52 itsec 關(guān)鍵概念 ? 評(píng)估對(duì)象 —— TOE(Target of Evaluation) ? 保護(hù)輪廓 ——PP (Protection Profile） ? 安全目標(biāo) ——ST( Security Target） ? 功能 (Function) ? 保證 (Assurance) ? 組件 (Component) ? 包 (Package) ? 評(píng)估保證級(jí) ——EAL( Evaluation Assurance Level） 53 itsec 評(píng)估對(duì)象（ TOE） ? 產(chǎn)品、系統(tǒng)、子系統(tǒng) 54 itsec 保護(hù)輪 廓（ PP） ? 表達(dá)一類產(chǎn)品或系統(tǒng)的用戶需求 ? 組合安全功能要求和安全保證要求 ? 技術(shù)與需求之間的內(nèi)在完備性 ? 提高安全保護(hù)的針對(duì)性、有效性 ? 安全標(biāo)準(zhǔn) ? 有助于以后的兼容性 ? 同 TCSEC級(jí)類似 55 itsec PP的內(nèi)容 1 保護(hù)輪廓引言 1 ． 1 PP 標(biāo)識(shí) 1 ． 2 PP 概述 標(biāo)識(shí) PP ，敘述性總結(jié) PP 2 T OE 描述 T O E 的背景信息 3 安全環(huán)境 3 ． 1 假設(shè) 3 ． 2 威脅 3 ． 3 組織性安全策略 指明安全問題（要保護(hù)的資產(chǎn)、已知的攻擊方式、 T O E 必須使用的組織性安全策略） 4 安全目的 4 ． 1 T O E 安全目的 4 ． 2 環(huán)境安全目的 對(duì)安全問題的相應(yīng)反應(yīng)（包括非技術(shù)性措施） 5 IT 安全要求 5 ． 1 T O E 安全功能要求 5 ． 2 T O E 安全保證要求 5 ． 3 IT 環(huán)境安全要求 CC 第二部分的功能組件 CC 第三部分的保證組件 IT 環(huán)境中軟件、硬件、固件要求 6 基本原理 6 ． 1 安全目的基本原理 6 ． 2 安全要 求基本原理 目的和要求可以解決已指出的安全問題 7 應(yīng)用注解 附加信息 56 itsec 安全目標(biāo)（ ST） ? IT安全目的和要求 ? 要求的具體實(shí)現(xiàn) ? 實(shí)用方案 ? 適用于產(chǎn)品和系統(tǒng) ? 與 ITSEC ST 類似 57 itsec 1 安全目標(biāo)引言 1 .1 ST 標(biāo)識(shí) 1 .2 ST 概述 1 .3 CC 一致性聲明 標(biāo)識(shí) ST 和 T O E （包括版本號(hào)），敘述性總結(jié) ST 2 T OE 描述 T O E 背景信息（評(píng)估環(huán)境） 3 安全環(huán)境 3 ． 1 假設(shè) 3 ． 2 威脅 3 ． 3 組織性安全策略 指明安全問題（要保護(hù)的資產(chǎn)、已知的攻擊、 T O E 必須使用的組織性安全策略、假定的安全問題 4 安全目的 4 ． 1 T O E 安全目的 4 ． 2 環(huán)境安全目的 對(duì)安全問題的相