1、信息安全标准介绍n标准化基础知识n信息安全基础标准n信息安全评估标准发展史n通用评估准则(CC)nPP和ST产生指南n电子政务信息系统安全标准n标准: 标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为基础,经有关方面协商一致,由主管部门批准,以特定的方式发布,作为共同遵守的准则和依据。n强制性标准: 保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准;其它标准是推荐性标准。n我国标准分四级: 国家标准、行业标准、地方标准、企业标准。n国家标准:对需要在全国范围内统一的技术要求(含标准样品的制作)。GB/T XXXX.X-200X :属于推荐性标准 GB
2、 XXXX-200X:属于强制性标准n行业标准:没有国家标准,需要在全国某个行业范围内统一的技术要求。如GA ,SJn地方标准:没有国家标准 、行业标准而又需要在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求。 DBXX/T XXX-200X DBXX/XXX-200Xn企业标准:对企业范围内需要统一的技术要求、管理要求和工作要求。QXXX-XXX-200Xn标准化:为在一定的范围内获得最佳秩序,对实际的或潜在的问题制定共同的和重复使用的规则的活动n实质:通过制定、发布和实施标准,达到统一。n目的:获得最佳秩序和社会效益。国际级区域级国家级行业级地方级企业级人员服务系统产品过程管理应用
3、技术机制体系、框架术语XYZX轴:代表标准化对象,Y轴:代表标准化的内容,Z轴:代表标准化的级别。 n2001年10月11日成立国家标准化委员会 信息技术标准委员会 数据加密技术标准委员会n2002年4月15日成立信息安全技术标准委员会,TC260n采标: 等同采用idt(identical):指技术内容相同,没有或仅有编辑性修改,编写方法完全相对应; 修改采用MOD(modified):与国际标准之间存在技术性差异,有编辑性修改,可能不采用部分条款 非等效采用NEQ(not equivalent):指技术内容有重大差异,只表示与国际标准有关。nIT标准发展趋势(1)标准逐步从技术驱动向市场驱
4、动方向发展。(2)信息技术标准化机构由分散走向联合。(3)信息技术标准化的内容更加广泛,重点更加突出,从IT技术领域向社会各个领域渗透,涉及教育、文化、医疗、交通、商务等广泛领域,需求大量增加。(4)从技术角度看,IT标准化的重点将放在网络接口、软件接口、信息格式、安全等方面,并向着以技术中立为前提,保证互操作为目的方向发展。ISO(国际标准化组织) JTC1 SC27,信息技术-安全技术 ISO/TC 68 银行和有关的金融服务 SC2,安全管理和通用银行运作; SC4,安全及相关金融工具; SC6,零售金融服务。 JTC1其他分技术委员会:SC6系统间通信与信息交换,主要开发开放系统互连下
5、四层安全模型和安全协议,如ISO 9160、ISO/IEC 11557。SC17识别卡和有关设备,主要开发与识别卡有关的安全标准ISO 7816SC18文件处理及有关通信,主要开发电子邮件、消息处理系统等。SC21开放系统互连,数据管理和开放式分布处理,主要开发开放系统互连安全体系结构,各种安全框架,高层安全模型等标准,如:ISO/IEC 7498-2、ISO/IEC 9594-1至8。SC22程序语言,其环境及系统软件接口,也开发相应的安全标准。SC30开放式电子数据交换,主要开发电子数据交换的有关安全标准。如ISO 9735-9 、 ISO 9735-10。信息安全标准化组织(续) IEC
6、(国际电工委员会)主要负责有关电工、电子领域的国际标准化工作TC56 可靠性;TC74 IT设备安全和功效;TC77 电磁兼容;CISPR 无线电干扰特别委员会 ITU(国际电信联盟)负责协调世界各国之间的电信事务前身是CCITT消息处理系统目录系统(X.400系列、X.500系列)安全框架安全模型等标准信息安全标准化组织(续)IETF(因特网工程任务组)主要提INTERNET标准草案和RFC(征求意见稿)170多个RFC、12个工作组1.PGP开发规范(openpgp);2.鉴别防火墙遍历(aft);3.通用鉴别技术(cat) ;4.域名服务系统安全(dnssec);5.IP安全协议(ips
7、ec);6.一次性口令鉴别(otp);7.X.509公钥基础设施(pkix);8.S/MIME邮件安全(smime);9.安全Shell (secsh);10. 简单公钥基础设施(spki);11. 传输层安全(tls)12. Web处理安全 (wts)美国 ANSI(美国国家标准化协会)NCITS-T4 制定IT安全技术标准X9 制定金融业务标准X12 制定商业交易标准 NIST(国家标准技术研究所) 负责联邦政府非密敏感信息 FIPS-197 DOD(美国国防部) 负责涉密信息 NSA 国防部指令(DODDI)(如TCSEC)nIEEE(美国电气和电子工程师协会) SILS(LAN/WAN
8、)安全 P1363公钥密码标准nECMA(欧洲计算机厂商协会) TC32“通信、网络和系统互连”曾定义了开放系统应用层安全结构; TC36“IT安全”负责信息技术设备的安全标准。nTC260,信息安全标准化技术委员会基础标准管理标准应用与工程标准系统与网络标准物理安全标准词汇词汇安全体系结构安全体系结构安全框架安全框架安全模型安全模型GB/T 5271.8-2000信息技术 词汇 第8部分:安全GB/T 9387.2-1995开放系统互连 基本参考模型 第2部分:安全体系结构 (idt ISO 7498-2)ISO/IEC 10181-17 开放系统的安全框架GB/T 17965高层安全模型G
9、B/T 18231低层安全模型ISO/IEC 15443-1 IT安全保障框架IATF信息保障技术框架ISO/IEC 11586-16通用高层安全网络层安全GJB 2256-1994军用计算机安全术语RFC 2401因特网安全体系结构ISO/IEC7498-4 管理框架传输层安全OSI OSI 参考模型参考模型7 应用层6 表示层5 会话层4 传输层3 网络层2 链路层1 物理层安全机制安全机制公 证路由选择控制通信业务填充鉴别交换数据完整性访问控制数字签名加 密安全服务安全服务鉴别服务 访问控制数据完整性数据机密性抗抵赖安全服务安全服务1 12 23 34 45 56 67 7n加密:加密既
10、能为数据提供机密性,也能为通信业务流信息提供机密性。n数字签名:确定两个过程:对数据单元签名和验证签过名的数据单元。n访问控制:为了决定和实施一个实体的访问权,访问控制机制可以使用该实体已鉴别的身份,或使用有关该实体的信息(例如它与一个已知的实体集的从属关系),或使用该实体的权力。n数据完整性:包括单个数据单元或字段的完整性以及数据单元流或字段流的完整性。n鉴别交换机制:可以提供对等实体鉴别。如果在鉴别实体时,这一机制得到否定的结果,就会导致连接的拒绝或终止,也可能使在安全审计跟踪中增加一个记录,或给安全管理中心一个报告。n通信业务填充机制:能用来提供各种不同级别的保护,对抗通信业务分析。n路
11、由选择控制机制:路由能动态地或预定地选取,以便只使用物理上安全的子网络、中继站或链路。在检测到持续的操作攻击时,端系统可希望指示网络服务的提供者经不同的路由建立连接。n公证机制:有关在两个或多个实体之间通信的数据的性质,如它的完整性、原发、时间和目的地等能够借助公证机制而得到确保。安全服务加密数字签名访问控制数据完整鉴别交换业务填塞路由控制公证对等实体鉴别数据源鉴别访问控制服务连接机密性无连接机密性选择字段机密性流量机密性有恢复功能的连接完整性无恢复功能的连接完整性选择字段连接完整性无连接完整性选择字段非连接完整性源发方抗抵赖接收方抗抵赖n四层概念模型:应用层、传输层、网络层和网络接口层nIP
12、层是TCP/IP模型的网络层(不考虑网络接口),提供数据在源和目的主机之间通过子网的路由功能其他协议S N M P其他协议应用层传输层网络层OSI参考模型TCP/IP协议集模型应用层 表示层应用层会话层 传输层传输层网络层互联网层数据链路层物理层网络接口层1999年 GB 17859 计算机信息系统安全保护等级划分准则1991年欧洲信息技术安全性评估准则(ITSEC)国际通用准则1996年(CC1.0)1998年(CC2.0)1985年美国可信计算机系统评估准则(TCSEC)1993年 加拿大可信计算机产品评估准则(CTCPEC)1993年美国联邦准则(FC 1.0)1999年 国际标准ISO
13、/IEC 154081989年 英国可信级别标准(MEMO 3 DTI)德国评估标准(ZSEIC)法国评估标准(B-W-R BOOK)2001年 国家标准GB/T 18336 信息技术安全性评估准则1993年美国NIST的MSFRqD: 最小保护Minimal ProtectionqC1: 自主安全保护Discretionary Security ProtectionqC2: 访问控制保护Controlled Access ProtectionqB1: 安全标签保护Labeled Security ProtectionqB2: 结构化保护Structured ProtectionqB3: 安全
14、域保护Security DomainqA1: 验证设计保护Verified Design低保证系统高保证系统可信设备指南安全特性用户手册测试文档.设计文档.11个安全策略:自主访问控制强制访问控制安全标签(8个)客体重用安全策略3个特性:标识和鉴别审计可信路径可控性9个安全保证特性:系统体系 隐蔽信道分析系统完整性 可信设备管理系统测试 可信恢复设计说明验证 配置管理保证确保支持文档操作者/管理员用户开发者/维护者安全策略:确定选择哪些控制措施,可控性:提出安全机制以确定系统人员并跟踪其行动。保证能力:给安全政策及可控性的实现提供保证。文档:存在哪些文档。相当于无安全功能的个人微机几乎没有保护
15、非形式化定义安全策略模型,使用了基本的DAC控制;为用户提供身份鉴别;支持同组合作的敏感资源共享;可以包括穿透性测试。避免偶尔发生的操作错误与数据破坏;可以简单理解为操作系统逻辑级安全措施非形式化定义安全策略模型,使用了更加完善的DAC和客体的安全重用策略;比C1级增强的身份鉴别:唯一标识、身份标识与审计行为关联性;安全审计方面,可信计算基能够创建、维护对其所保护客体的访问审计记录,实施资源隔离。对一般性攻击具有一定抵抗能力;可以简单理解为操作系统逻辑级安全措施。保留了C2级的所有安全策略;非形式化定义安全策略模型;使用了基于Bell LaPadula模型的强制访问控制MAC;采用了6个安全标
16、识, 具有准确地标记输出信息的能力;分析和测试设计文档、源代码、客体代码。消除通过测试发现的任何错误;对一般性攻击具有较高的抵抗能力,但对渗透攻击的抵抗能力较低。形式化定义安全策略模型,TCB结构化;访问控制(DAC和MAC)扩展到所有主体和客体;引入了隐蔽信道分析;通过提供可信路径来增强鉴别机制;增强了配置管理控制;分开系统管理员和操作员的职能,提供可信设备管理有一定的抵抗高威胁的渗透入侵能力完好的形式化安全策略定义,具有“访问监控器”(reference monitor);TCB结构化,继承了B2级的安全特性;支持更强化的安全管理;扩展审计范围和功能机制,当发生与安全相关的事件时发出信号;
17、提供系统应急恢复机制。有较高的抵抗高威胁的渗透入侵能力功能上与B3级相同;要求形式化分析、设计、验证;n集中考虑数据机密性,而忽略了数据完整性、系统可用性等;n将安全功能和安全保证混在一起n安全功能规定得过为严格,不便于实际开发和测评n按照TCSEC建设的系统失败的例子: 英国1987年建CHOTS网络系统,B2级,1997年报废、关闭 美国国防部花费25年、几十亿的安全系统,多数已经过时报废a欧洲多国安全评价方法的综合产物,军用,政府用和商用。a以超越TCSEC为目的,将安全概念分为功能与功能评估两部分。a功能准则在测定上分10级。15级对应于TCSEC的C1到B3。610级加上了以下概念:
18、F-IN:数据和程序的完整性 F-AV:系统可用性F-DI:数据通信完整性 F-DC:数据通信保密性F-DX 包括机密性和完整性的网络安全a评估准则分为6级: E1:测试 E2:配置控制和可控的分配 E3:能访问详细设计和源码 E4:详细的脆弱性分析 E5:设计与源码明显对应 E6:设计与源码在形式上一致。欧洲ITSEC欧洲ITSECn与TCSEC的不同 安全被定义为机密性、完整性、可用性 功能和质量/保证分开 对产品和系统的评估都适用,提出评估对象(TOE)的概念 产品:能够被集成在不同系统中的软件或硬件包; 系统:具有一定用途、处于给定操作环境的特殊安全装置I T S E C 保保 证证T
19、 C S E C分分 级级 E 0DF -C1E 1C 1F C2E 2C 2F B1E 3B 1F B2E 4B 2F B3E 5B 3F B3E 6A 1n八个安全功能类 标识和鉴别 访问控制 可控性 客体重用 审计 准确性 服务的有效性 数据交换n实现的正确性n安全功能和机制的有效性:1.考虑所有使用的安全功能的适用性,2.考虑安全机制的强度,评估其抵挡直接攻击的能力3.如果有可利用的安全脆弱性,则保证为E0E0 E1 E2 E3 E4 E5 E6不可信 高度可信n1989年公布,专为政府需求而设计n与ITSEC类似,将安全分为功能性需求和保证性需要两部分。n功能性要求分为四个大类:na
20、 机密性 nb 完整性 nc 可用性 nd 可控性n在每种安全需求下又分成很多小类,表示安全性上的差别,分级条数为05级。加拿大CTCPEC 美国联邦准则(FC) n对TCSEC的升级,1992年12月公布n引入了“保护轮廓(PP)”这一重要概念n每个轮廓都包括功能部分、开发保证部分和评测部分。n分级方式与TCSEC不同,吸取了ITSEC、CTCPEC中的优点。n供美国政府用、民用和商用。GB 17859-1999 计算机信息系统安全计算机信息系统安全等级划分准则等级划分准则第一级 用户自主保护级 第二级 系统审计保护级 第三级 安全标记保护级 第四级 结构化保护级 第五级 访问验证保护级4.
21、评估通用准则(CC )n国际标准化组织统一现有多种准则的努力结果;n1993年开始,1996年出V 1.0, 1998年出V 2.0,1999年6月正式成为国际标准,1999年12月ISO出版发行ISO/IEC 15408;n主要思想和框架取自ITSEC和FC;n充分突出“保护轮廓”,将评估过程分“功能”和“保证”两部分;n是目前最全面的评价准则n国际上认同的表达IT安全的体系结构n一组规则集n一种评估方法,其评估结果国际互认 通用测试方法(CEM)n已有安全准则的总结和兼容n通用的表达方式,便于理解n灵活的架构 可以定义自己的要求扩展CC要求n准则今后发展的框架 内容内容 用户用户 开发者开
22、发者 评估者评估者 第第1 1部部分分 简介和一般模型,定义了 IT 安全评估的一般概念和原理,提出评估的一般模型。 用于了解背景信息和参考。PP 的指导性结构。 用于了解背景信息,开发安全要求和形成TOE 的安全规范的参考。 用于了解背景信息和参考。PP和 ST 的指导性结构。 第第2 2部部分分 安全功能要求,建立一系列功能组件作为表达 TOE 功能要求的标准方法。 在阐明安全功能要求的描述时作指导和参考。 用于解释功能要求和生成TOE 功能规范的参考。 确定 TOE 符合声明的安全功能时,作评估准则的强制描述。 第第3 3部部分分 安全 保证要求,建立一系列保证组件作为表达 TOE 保证
23、要求的标准方法。 用于指导保证需求级别的确定。 当解释保证要求描述和确定TOE的保证措施时,用作参考。 确定 TOE 的保证和评估 PP 和ST 时,作为强制描述。 n本标准定义作为评估信息技术产品和系统安全特性的基础准则n不包括属于行政性管理安全措施的评估准则n不包括物理安全方面(诸如电磁辐射控制)的评估准则n不包括密码算法固有质量评价准则应用范围n评估对象 TOE(Target of Evaluation)n保护轮廓PP (Protection Profile)n安全目标ST( Security Target)n功能(Function)n保证(Assurance)n组件(Component
24、)n包(Package)n评估保证级EAL( Evaluation Assurance Level)n表达一类产品或系统的用户需求n组合安全功能要求和安全保证要求n技术与需求之间的内在完备性n提高安全保护的针对性、有效性n安全标准n有助于以后的兼容性n同TCSEC级类似1 保护轮廓引言保护轮廓引言 11 PP 标识 12 PP 概述 标识 PP,叙述性总结PP 2 TOE 描述描述 TOE 的背景信息 3 安全环境安全环境 31 假设 32 威胁 33 组织性安全策略 指明安全问题(要保护的资产、已知的攻击方式、 TOE 必须使用的组织性安全策略) 4 安全目的安全目的 41 TOE 安全目的
25、 42 环境安全目的 对安全问题的相应反应(包括非技术性措施) 5 IT 安全要求安全要求 51 TOE 安全功能要求 52 TOE 安全保证要求 53 IT 环境安全要求 CC 第二部分的功能组件 CC 第三部分的保证组件 IT 环境中软件、硬件、固件要求 6 基本原理基本原理 61 安全目的基本原理 62 安全要 求基本原理 目的和要求可以解决已指出的安全问题 7 应用注解应用注解 附加信息 nIT安全目的和要求n要求的具体实现n实用方案n适用于产品和系统n与ITSEC ST 类似1 安安全全目目标标引引言言 1.1 ST 标识 1.2 ST 概述 1.3 CC 一致性声明 标识 ST 和
26、 TOE(包括版本号) ,叙述性总结 ST 2 TOE 描描述述 TOE 背景信息(评估环境) 3 安安全全环环境境 31 假设 32 威胁 33 组织性安全策略 指明安全问题(要保护的资产、已知的攻击、TOE 必须使用的组织性安全策略、假定的安全问题 4 安安全全目目的的 41 TOE 安全目的 42 环境安全目的 对安全问题的相应反应(包括非技术性措施) 5 IT 安安全全要要求求 51 TOE 安全功能要求 52 TOE 安全保证要求 53 IT 环境安全要求 CC 第二部分的功能组件 CC 第三部分的保证组件 IT 环境中软件、硬件、固件要求 6 TOE 概概要要规规范范 61 TOE
27、 安全功能 62 保证措施 IT 安全功能满足哪一个特定的安全功能要求 IT 保证措施满足哪一个特定的安全保证要求 7 保保护护轮轮廓廓声声明明 71 PP 参照 72 PP 细化 73 PP 附加项 解释、证明和其他支持材料,以证实一致性声明 8 基基本本原原理理 81 安全目的基本原理 82 安全要求基本原理 83 TOE 概要规范基本原理 84 PP 声明基本原理 安全目的、安全要求、IT 安全功能和保证措施可以解决已指出的安全问题 n类(如用户数据保护FDP)关注共同的安全焦点的一组族,覆盖不同的安全目的范围n子类(如访问控制FDP_ACC)共享安全目的的一组组件,侧重点和严格性不同n
28、组件(如子集访问控制FDP_ACC.1)包含在PP/ST/包中的最小可选安全要求集nCC将传统的安全要求分成不能再分的构件块n用户/开发者可以组织这些要求 到PP中 到ST中n组件可以进一步细化FIA 标识和鉴别 FIA_AFL 鉴别失败 FIA_ATD 用户属性定义 FIA_SOS 秘密的规范FIA_AFL.1鉴别失败处理FIA_ATD.1用户属性定义FIA_SOS.1 秘密的验证FIA_SOS.2 秘密的TSF生成安全要求的结构类(Class)子类(Family)子类(Family)组件组件组件组件功能和保证功能和保证PP/ST/包n规范IT产品和系统的安全行为,应做的事 功功 能能 类类
29、 名名 所所 含含 子子类类 数数 安全审计(FAU) 6 通 信(FCO) 2 密码支持(FCS) 2 用户数据保护(FDP) 13 标识和鉴别(FIA) 6 安全管理(FMT) 6 隐私(FPR) 4 TOE 安全功能保护(FPT) 16 资源利用(FRU) 3 TOE 访问(FTA) 6 可信路径/信道(FTP) 2 11类66个子类 135个组件安全保证要求APE类 - 保护轮廓PP的评估类ASE类 - 安全目标ST的评估类用于TOE的七个安全保证要求类保证类保证类 保证子类保证子类 缩写名称缩写名称 CM 自动化 ACM_AUT CM 能力 ACM_CAP ACM 类:配置管理 CM
30、 范围 ACM_SCP 分发 ADO_DEL ADO 类:交付和运行 安装、生成和启动 ADO_IGS 功能规范 ADV_FSP 高层设计 ADV_HLD 实现表示 ADV_IMP TSF 内部 ADV_INT 低层设计 ADV_LLD 表示对应性 ADV_RCR ADV 类:开发 安全策略模型 ADV_SPM 管理员指南 AGD_ADM AGD 类:指导性文件 用户指南 AGD_USR 开发安全 ALC_DVS 缺陷纠正 ALC_FLR 生命周期定义 ALC_LCD ALC 类: 生命周期支持 工具和技术 ALC_TAT 覆盖面 ATE_COV 深度 ATE_DPT 功能测试 ATE_FUN
31、 ATE 类:测试 独立性测试 ATE_IND 隐蔽信道分析 AVA_CCA 误用 AVA_MSU TOE 安全功能强度 AVA_SOF AVA 类:脆弱性评定 脆弱性分析 AVA_VLA n预定义的保证包n公认的广泛适用的一组保证要求所有者威胁主体资产措施弱点风险威胁拥有引起到希望滥用最小化增加到利用导致减少可能具有可能被减少利用可能意识到评估环境评估准则评估方法最终评估结果评估方案评估批准/ 证明证书/ 注册TOE开发模型相应分析和集成测试实现安全要求设计和实现细化功能定义高层设计源代码硬件设计TOE评估过程 安全需求(PP、ST)开发TOETOE和评估评估结果 评估准则评估方案评估方法操
32、作TOE反馈评估TOETOE物理环境建立安全环境资产保护需求TOE目的安全目的保证要求环境要求建立TOE概要规范安全规范材料(PP/ST)安全需求材料(PP/ST)安全目的材料(PP/ST)安全环境材料(PP/ST)安全要求或规范的产生方式安全功能要求的表达形式类(Class)族(Family)族(Family)组件组件组件组件安全功能要求组件标识FDP_IFF.4.2F-功能要求,A-保证要求DP-保护用户数据类IFF-信息流控制功能族4-第四个组件2-第二个元素安全功能要求应用 用于构成PP中IT安全要求的TOE安 全功能要求 用于构成ST中IT安全要求的TOE安 全功能要求安全功能要求-
33、1登录控制用户标识FIA_UID.1-2用户鉴别FIA_UNI.1-2重复登陆失败限制FIA_AFL.1可信路径FIP_TRP访问时间限制FIA_TSE.1口令字选择控制用户生成的口令字选择FIA_SOS.1自动生成口令字FIA_SOS.2口令自生命期限制FMT_SAF.1安全功能要求-2访问控制访问控制安安 全全 要要 求求C C C C 第第 二二 部部 分分未 标 号 的 数 据 输 出F D P _ I T C . 1通 过 通 信 通 道 / 设 备 输 出F D P _ E T C . 1 - 2输 入 / 输 出给 已 打 印 的 输 出 标 号F D P _ E T C . 2
34、限 制 信 息 标 号 的 值F D P _ I F F . 2 - 3信 息 标 号管 理 “ 非 固 定 ” 标 号 的 规 则F D P _ I F F . 2 - 3客 体 再 使 用保 护 文 件 、 存 储 器 等 中 的 剩 余 信 息F D P _ R I P . 1 - 2策 略 范 围 ( 角 色 、 操 作 )F D P _ A C C控 制 操 作 执 行 的 规 则F D P _ A C F . 1角 色 标 识F M T _ S M R . 1 - 2基 于 角 色 的访 问 控 制( R B A C )双 人 规 则 增 强F D P _ A C F . 1F M
35、 T _ S M R . 2 - 3改 变 用 户 特 权 / 授 权F M T _ M S A . 1改 变 角 色 能 力 定 义F M T _ M S A . 1R B A C属 性 控 制改 变 角 色 分 配 给 用 户 的 任 务F M T _ M S A . 1察 看 主 体 访 问 客 体 ( 如 , 基 于 资 源 、目 标 地 址 和 端 口F D P _ A C CF D P _ A C F . 1防 火 墙访 问 控 制察 看 会 话 基 础 ( 如 , 应 用 代 理 )F T A _ T S E安全功能要求-3安安 全全 要要 求求C CC C 第第 二二 部部 分
36、分规 范 要 记 录 的 可 审 计 事 件 和 信 息FAU_GEN.1控 制 要 审 计 的 事 件 选 择FAU_SEL.1审 计 事 件用 户 的 个 体 责 任FAU_GEN.2对 即 将 发 生 的 安 全 违 约 产 生 警 告和 作 出 反 应FAU_ARP.1入 侵 检 测 和 反 应定 义 用 来 指 出 潜 在 的 或 即 将 到 来的 安 全 违 约 的 一 些 规 则 、 事 件 、事 件 序 列 或 系 统 用 法 模 式FAU_SAA.1-4保 护 数 据 丢 失 , 如 审 计 迹 饱 和 、操 作 中 断 等FAU_STG.2-4审 计 迹 保 护保 护 非
37、授 权 的 修 改 /访 问FMT_MTD.1审 计 迹 分 析 /审 阅提 供 审 计 迹 分 析 /审 阅 的 工 具FAU_SAR安全功能要求-4安安全全要要求求C CC C第第二二部部分分检测数据存储错误FDP_SDI生成和验证校验和、单向散列、数字签名等FDP_DAU.1数据完整性交易反转(如,数据库)FDP_ROL篡改检测FPT_PHP.1-2TOE 完整性篡改阻止FPT_PHP.3数据签名生成和验证FDP_DAU.2数据鉴别证书生成和验证(如,公钥证书) FDP_DAU.2安全功能要求-5安安全全要要 求求C CC C第第二二 部部分分在使用服务或资源时保护用户身份的泄露FPR_
38、ANO基于秘密的用户身份通过一个受保护的用户假名匿名使用服务或资源但应负责FPR_PSE保护同一用户连接资源或服务的多种使用的泄露FPR_UNL基于秘密的资源/服务不能观察特殊资源或服务的使用FPR_UNO安全功能要求-6安安全全要要求求C CC C 第第二二部部分分增强用户消费全部资源的限度/限额FRU_RSA资源消费量限制同一个用户登录会话的次数FTA_MCS在错误事件中维持TOE 操作FRU_FLT错误检测FPT_TST错误处理错误恢复FPT_RCV工作安排依照所建立的优先级安排行为/步骤FRU_PRS安全功能要求-7安安全全要要求求C CC C第第二二部部分分用户数据FDP_UCT.1
39、数据交换机密性重要的安全数据,如密钥、口令字等FPT_ITC用户数据FDP_UIT数据交换完整性重要的安全数据,如密钥、口令字等FPT_ITI证实交换信息的源发端FCO_NRO抗抵赖证实交换信息的接受端FCO_NRR保证要求细分类保保 证证 类类保保 证证 族族缩缩 写写 名名 称称C M 自 动 化A C M _A U TC M 能 力A C M _C A PA C M 类 : 配 置 管 理C M 范 围A C M _SC P分 发A D O _D E LA D O 类 : 分 发 与 操 作安 装 、 生 成 和 启 动A D O _IG S功 能 规 范A D V _FSP高 层 设
40、计A D V _H LD实 现 表 示A D V _IM PT SF 内 部A D V _IN T低 层 设 计A D V _LLD表 示 对 应 性A D V _R C RA D V 类 : 开 发安 全 策 略 模 型A D V _SPM管 理 员 指 南A G D _A D MA G D 类 : 指 导 性 文 件用 户 指 南A G D _U SR开 发 安 全A LC _D V S缺 陷 纠 正A LC _FLR生 命 周 期 定 义A LC _LC DA LC 类 : 生 命 周 期 支 持工 具 和 技 术A LC _TAT覆 盖 面AT E _C O V深 度AT E _D P
41、T功 能 测 试AT E _FU NATE 类 : 测 试独 立 性 测 试AT E _IN D隐 蔽 通 道 分 析AVA _C C A误 用AVA _M SUTO E 安 全 功 能 强 度AVA _SO FAVA 类 : 脆 弱 性 评 定脆 弱 性 分 析AVA _V LA安全保证级别1(EAL1)保保 证证 类类保保 证证 组组 件件配配 置置 管管 理理ACM _CAP .1 版版 本本 号号分分 发发 和和 操操 作作ADO_IGS.1 安安 装装 、 生生 成成 和和 启启 动动 过过 程程ADV_FSP .1 非非 形形 式式 化化 功功 能能 规规 范范开开 发发ADV_R
42、CR.1非非 形形 式式 化化 相相 关关 性性 阐阐 明明AGD_ADM .1 管管 理理 员员 指指 南南指指 导导 性性 文文 件件AGD_USR.1用用 户户 指指 南南测测 试试A TE_IND.1 独独 立立 性性 测测 试试 一一 致致 性性安全保证级别2(EAL2)保保证证类类保保证证组组件件配置管理ACM_CAP.2 配配置置项项ADO_DEL.1 分分发发过过程程分分发发和和操操作作ADO_IGS.1 安安装装、生生成成和和启启动动过过程程ADV_FSP.1 非形式化功能规范ADV_HLD.1 描描述述性性高高层层设设计计开开发发ADV_RCR.1非形式化相关性阐明AGD_
43、ADM.1 管理员指南指导性文件AGD_USR.1用户指南ATE_COV.1 范范围围证证据据ATE_FUN.1 功功能能测测试试测试ATE_IND.2 独独立立性性测测试试抽抽样样 AVA_SOF.1 TOE安安全全功功能能强强度度评评估估脆脆弱弱性性评评定定AVA_VLA.1开开发发者者脆脆弱弱性性分分析析保保证证类类保保证证组组件件ACM_CAP.3 授授权权控控制制配置管理ACM_SCP.1 TOE CM 范范围围ADO_DEL.1 分发过程分发和操作ADO_IGS.1 安装、生成和启动过程ADV_FSP.1 非形式化功能规范ADV_HLD.2 安安全全加加强强的的高高层层设设计计开发
44、ADV_RCR.1 非形式化相关性阐明AGD_ADM.1 管理员指南指导性文件AGD_USR.1 用户指南生生命命周周期期支支持持ALD_DVS.1 安安全全措措施施说说明明ATE_COV.21 范范围围分分析析ATE_DPT.1 测测试试:高高层层设设计计ATE_FUN.1 功能测试测试ATE_IND.2 独立性测试抽样AVA_MSU.1 指指南南检检查查AVA_SOF.1 TOE 安全功能强度评估脆弱性评定AVA_VLA.1 开发者脆弱性分析安全保证级别4(EAL4)保保 证证 类类保保 证证 组组 件件A C M _A U T.1 部部 分分 C M 自自 动动 化化A C M _C A
45、 P.4 产产 生生 支支 持持 和和 接接 受受 过过 程程配 置 管 理A C M _SC P.2 跟跟 踪踪 C M 范范 围围 问问 题题A D O _D E L .2 修修 改改 检检 测测分 发 和 操 作A D O _IG S.1 安 装 、 生 成 和 启 动 过 程A D V _F SP.2 完完 全全 定定 义义 的的 外外 部部 接接 口口A D V _H LD .2 安 全 加 强 的 高 层 设 计A D V _IM P.1 T SF 实实 现现 的的 子子 集集A D V _L L D .1 低低 层层 设设 计计 的的 描描 述述A D V _R C R .1 非
46、 形 式 化 相 关 性 阐 明开 发A D V _SP M .1 非非 形形 式式 化化 T O E 安安 全全 策策 略略 模模 型型A G D _A D M .1 管 理 员 指 南指 导 性 文 件A G D _U SR .1 用 户 指 南A L C _D V S.1 安安 全全 措措 施施 说说 明明A L C _L C D .1 开开 发发 者者 定定 义义 的的 生生 命命 周周 期期 模模 型型生 命 周 期 支 持A L C _TAT.1 定定 义义 明明 确确 的的 开开 发发 工工 具具AT E _C O V.2 范 围 分 析AT E _D PT.1 测 试 : 高
47、层 设 计AT E _FU N .1 功 能 测 试测 试AT E _IN D .2 独 立 性 测 试 抽 样 AVA _M SU .2 分分 析析 确确 认认 AVA _SO F.1 TO E 安 全 功 能 强 度 评 估脆 弱 性 评 定AVA _V L A .2 独独 立立 脆脆 弱弱 性性 分分 析析 这种分析也包括对开发者的隐蔽信道分析的确认 ACM_SCP.3 开发工具配置管理(CM)范围 ADV_FSP.3 半形式化功能规范* ADV_HLD.3 半形式化高层设计* ADV_IMP.2 TSF实现 ADV_INT.1 模块化* ADV_RCR.2半形式化对应性论证* ADV_
48、SPM.3形式化TOE安全策略模型 ALC_LCD.2 标准化生命周期模型* ALC_TAT.2 遵从实现标准 ATE_DPT.2 测试:低层设计* AVA_CCA.1 隐蔽信道分析* AVA_VLA.3 中级抵抗力保保 证证 类类保保 证证 组组 件件A C M _A U T.1 部 分 C M 自 动 化A C M _C A P.4 生 成 支 持 和 接 受 过 程配 置 管 理A C M _S C P.3 C M 范范 围围 开开 发发 工工 具具A D O _D E L .2 修 改 检 测分 发 和 操 作A D O _IG S .1 安 装 、 生 成 和 启 动 过 程A D
49、V _F S P.3 半半 形形 式式 化化 功功 能能 规规 范范A D V _H L D .3 半 形 式 化 高 层 设 计A D V _IM P.2 T S F 实实 现现A D V _IN T.1 模模 块块 化化A D V _L L D .1 低 层 设 计 的 描 述A D V _R C R .2 半半 形形 式式 化化 相相 关关 性性 阐阐 明明开 发A D V _S P M .3 形形 式式 化化 T O E 安安 全全 策策 略略 模模 型型A G D _A D M .1 管 理 员 指 南指 导 性 文 件A G D _U S R .1 用 户 指 南A L C _D
50、V S .1 安安 全全 措措 施施 标标 识识A L C _L C D .2 标标 准准 化化 生生 命命 周周 期期 模模 型型生 命 周 期 支 持A L C _TAT.2 遵遵 照照 实实 现现 的的 标标 准准AT E _C O V.2 范 围 分 析AT E _D P T.2 测测 试试 : 低低 层层 设设 计计AT E _FU N .1 功 能 测 试测 试AT E _IN D .2 独 立 性 测 试 抽 样 AVA _C C A .1 隐隐 蔽蔽 通通 道道 分分 析析 AVA _M S U .2 分 析 确 认 AVA _S O F.1 T O E 安 全 功 能 强 度