国家信息安全测评认证标准体系课件.ppt_163文库

资源描述

1、国家信息安全测评认证标准体系目录1、概述2、基础标准3、应用标准4、运行标准5、标准化工作概述标准化基础标准：为在一定的范围内获得最佳秩序，对活动或其结果规定共同的和重复使用的规则、导则或特性的文件。强制性标准：保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。我国标准分四级：国家标准、行业标准、地方标准、企业标准。概述标准化基础标准化：为在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。实质：通过制定、发布和实施标准，达到统一。目的：获得最佳秩序和社会效益。概述标准化基础标准化的基本特性：标准化的基本特性：抽象

2、性技术性经济性连续性，亦称继承性约束性政策性概述标准化基础标准化三维空间标准化三维空间国际级区域级国家级行业级地方级企业级人员服务系统产品过程管理应用技术机制体系、框架术语XYZX轴代表标准化对象，Y轴代表标准化的内容，Z轴代表标准化的级别。概述标准化基础标准化的地位和作用标准化为科学管理奠定了基础；促进经济全面发展，提高经济效益；标准化是科研、生产、使用三者之间的桥梁；标准化为组织现代化生产创造了前提条件；促进对自然资源的合理利用，保持生态平衡，维护人类社会当前和长远的利益；合理发展产品品种，提高企业应变能力，以更好地满足社会需求；保证产品质量，维护消费者利益；在社会生产组成

3、部分之间进行协调，确立共同遵循的准则，建立稳定的秩序；在消除贸易障碍，促进国际技术交流和贸易发展，提高产品在国际市场上的竞争能力方面具有重大作用；保障身体健康和生命安全。大量的环保标准、卫生标准和安全标准制定发布后，用法律形式强制执行，对保障人民的身体健康和生命财产安全具有重大作用。概述标准化基础标准化对象标准化研究对象标准化学的基本概念支撑标准化学的理论基础标准化原理的研究标准化形式的研究标准化系统的研究标准体系的研究标准化科学管理的研究标准化工作对象制定和实施标准：技术基础、产品标准、过程、服务标准的实施监督概述标准化基础国际通行国际通行“标准化七原理标准化七原理”：原理1

4、-简化原理2-协商一致原理3-实践、运用原理4-选择、固定原理5-修订原理6-技术要求+试验方法+抽样原理7-强制性适应于：安全、健康、环保等概述标准化基础我国通行我国通行“标准化八字原理标准化八字原理”：“统一”原理“简化”原理“协调”原理“最优”化原理概述标准化基础采标：等同采用：等同采用：指技术内容相同，没有或仅有编辑性修改，编写方法完全相对应；等效采用：等效采用：指主要技术内容相同，技术上只有很小差异，编写方法完全相对应；非等效采用：非等效采用：指技术内容有重大差异。概述标准化基础标准体系：一定范围内标准按其内在联系形成的科学的有机整体标准体系是具有层次的，我国全国标准体系表可

5、分成五个层次。1、全国通用标准4、门类通用标准3、专业通用标准2、行业通用标准5、产品、过程、服务、管理标准第一层第二层第三层第四层第五层全国标准体系第一层第二层第三层专业标准体系第一层第二层第三层第四层行业标准体系概述IT标准化国际标准化 ISO/IEC JTC1 ECMA IETF ITU IEEE ESTI 国内标准化标准化所归口 14个分委会“汉字编码字符集”概述IT标准化 IT标准发展趋势(1)标准逐步从技术驱动向市场驱动方向发展。(2)信息技术标准化机构由分散走向联合。(3)信息技术标准化的内容更加广泛，重点更加突出，从IT技术领域向社会各个领域渗透，涉及教育、文化、医疗、交通

6、、商务等广泛领域，需求大量增加。(4)从技术角度看，IT标准化的重点将放在网络接口、软件接口、信息格式、安全等方面，并向着以技术中立为前提，保证互操作为目的方向发展。概述信息安全标准化 ISOJTC1 SC27，信息技术-安全技术ISO/TC 68 银行和有关的金融服务JTC1其他分技术委员会：SC6系统间通信与信息交换，主要开发开放系统互连下四层安全模型和安全协议，如ISO 9160、ISO/IEC 11557。SC17识别卡和有关设备，主要开发与识别卡有关的安全标准。SC18文件处理及有关通信，主要开发电子邮件、消息处理系统等安全标准。SC21开放系统互连，数据管理和开放式分布处理，主要开

7、发开放系统互连安全体系结构，各种安全框架，高层安全模型等标准，如:ISO/IEC 7498-2、ISO/IEC 9594-1至8。SC22程序语言，其环境及系统软件接口，也开发相应的安全标准。SC30开放式电子数据交换，主要开发电子数据交换的有关安全标准。如ISO 9735-9、ISO 9735-10。概述信息安全标准化IECTC56 可靠性；TC74 IT设备安全和功效；TC77 电磁兼容；CISPR 无线电干扰特别委员会ITU前身是CCITT消息处理系统目录系统(X.400系列、X.500系列)安全框架安全模型等标准概述信息安全标准化IETF（170多个RFC、12个工作组）PGP开发规范

8、(openpgp)；鉴别防火墙遍历(aft)；通用鉴别技术(cat)；域名服务系统安全(dnssec)；IP安全协议(ipsec)；一次性口令鉴别(otp)；X.509公钥基础设施(pkix)；S/MIME邮件安全(smime)；安全Shell(secsh)；简单公钥基础设施(spki)；传输层安全(tls)Web处理安全(wts)概述信息安全标准化 ECMATC32“通信、网络和系统互连”曾定义了开放系统应用层安全结构；TC36“IT安全”负责信息技术设备的安全标准。美国 ANSI NCITS-T4 制定IT安全技术标准 X9 制定金融业务标准 X12 制定商业交易标准概述信息安全标准化 N

9、IST 负责联邦政府非密敏感信息 FIPS DOD 负责涉密信息 NSA 国防部指令（DODDI）（如TCSEC）IEEE SILS P1363 我国 38个标准概述国家信息安全标准体系基础类标准基础类标准信息技术安全词汇信息技术安全词汇信息技术安全体系结构信息技术安全体系结构信息技术安全框架信息技术安全框架信息技术安全模型信息技术安全模型概述国家信息安全标准体系技术机制类标准技术机制类标准加密机制加密机制签名机制签名机制完整性机制完整性机制鉴别机制鉴别机制访问控制机制访问控制机制抗抵赖机制抗抵赖机制路由选择控制机制路由选择控制机制通信业务填充机制通信业务填充机制公证机制公证机制可信功能度可

10、信功能度事件检测和报警事件检测和报警安全审计跟踪安全审计跟踪安全标记安全标记安全恢复安全恢复其他其他概述国家信息安全标准体系应用类标准应用类标准应用基础应用基础物理环境和保障信息处理信息传输信息存储人机接口计算机病毒防治安全工程和服务安全信息交换语法规则应用产品应用产品应用系统应用系统特殊行业特殊行业概述国家信息安全标准体系安全管理类标准安全管理类标准管理基础管理基础系统管理系统管理测评认证测评认证信息技术安全性评估准则（ISO/IEC 15408:1999）（CC）计算机信息系统安全保护等级划分准则(GB 17859：1999)PP/ST产生指南(ISO/IEC PDTR 15446:

11、2000)通用测评方法(SC27 N2722|CEM)PP注册(ISO/IEC CD 15292:2000)系统安全工程能力成熟模型(SSE-CMM)安全工程质量评估准则信息安全服务评估准则基础标准安全体系结构前CC准则 GB/T 18336-2001（idt ISO/IEC 15408：1999、CC）CEM PP和ST产生指南 SSE-CMM ISO9000 族 ISO/IEC 17799基础标准安全体系结构国家标准GB/T 9387.2-1995信息处理系统开放系统互连基本参考模型第二部分：安全体系结构（idt idt ISO 7498-2）RFC 2401 因特网安全体系结

12、构基础标准安全体系结构 ISO开放系统互连安全体系结构 OSI 参考模型7 应用层6 表达层5 会话层4 运输层3 网络层2 链路层1 物理层安全机制公证路由控制业务流填充鉴别交换数据完整性访问控制数字签名加密安全服务鉴别服务访问控制数据完整性数据保密性抗抵赖与管理有关机制公证机制与安全服务有关机制数据完整性机制安全恢复机制安全审核机制事件探测机制安全标签机制可信功能机制路由控制机制防业务流分析机制认证交换机制访问控制机制数字签名机制安全机制安全机制加密机制安全服务安全服务对象认证安全服务访问控制安全服务数据机密性安全服务数据完整性安全服务抗抵赖安全服务安全服务是由安全机制来实

13、现的。一个安全服务可以由一个或几个安全机制来实现；同样，一个安全机制也可用于实现不同的安全服务中。安全服务与安全机制的关系安全服务与安全机制的关系基础标准安全体系结构 TCP/IP安全体系应用层表示层会话层传输层网络层数据链路层物理层FTP、TELNET NFSSMTP、SNMP XDR RPC TCP、UDP IPEthernet、PDN、IEEE802.3、IEEE802.4、IEEE802.5及其它 ICMPARP RARPOSI参考模型Internet协议簇TCP/IP 协议层安全服务网络接口IP 层传输层应用层对等实体鉴别数据源鉴别访问控制服务连接机密性无连接机密性选择字段

14、机密性流量保密性具有恢复功能的连接完整性没有恢复功能的连接完整性选择字段连接完整性无连接完整性选择字段非连接完整性源发方抗抵赖接收方抗抵赖YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY说明：Y=服务应作为选项并入该层的标准之中=不提供TCP/IP协议模型中提供的安全服务协议模型中提供的安全服务 IP层安全体系结构 IPsec协议标准 RFC 2402 IP Authentication Header RFC 2403 The Use of HMAC-MD5-96 within ESP and AH RFC 2404 The Use of HMAC-SHA-1-96 with

15、in ESP and AH RFC 2405 The ESP DES-CBC Cipher Algorithm With Explicit IV RFC 2406 IP Encapsulating Security Payload(ESP)基础标准前CC准则h美国美国TCSECa 1970年由美国国防科学委员会提出。年由美国国防科学委员会提出。1985年公布。年公布。a 主要为军用标准。延用至民用。主要为军用标准。延用至民用。a 安全级别从高到低分为安全级别从高到低分为A、B、C、D四级，级下再分小级。四级，级下再分小级。a 分级主要依据四个准则：分级主要依据四个准则：a 安全政策安全政策 b

16、可控性可控性 c 保证能力保证能力 d 文档文档a欧洲多国安全评价方法的综合产物，军用，政府用和商用。欧洲多国安全评价方法的综合产物，军用，政府用和商用。a以超越以超越TCSEC为目的，将安全概念分为功能与功能评估两部为目的，将安全概念分为功能与功能评估两部分。分。a功能准则在测定上分功能准则在测定上分F1-F10共共10级。级。15级对应于级对应于TCSEC的的D到到A。610级加上了以下概念：级加上了以下概念：F6：数据和程序的完整性 F7：系统可用性F8：数据通信完整性 F9：数据通信保密性F10 包括机密性和完整性的网络安全a评估准则分为评估准则分为6级：级：E1：测试 E2：配置控

17、制和可控的分配 E3：能访问详细设计和源码 E4：详细的脆弱性分析 E5：设计与源码明显对应 E6：设计与源码在形式上一致。欧洲欧洲ITSEC基础标准前CC准则 a 1989年公布，专为政府需求而设计年公布，专为政府需求而设计a 与与ITSEC类似，将安全分为功能性需求和保证性类似，将安全分为功能性需求和保证性需要两部分。需要两部分。a 功能性要求分为四个大类：功能性要求分为四个大类：a 机密性机密性 b 完整性完整性 c 可用性可用性 d 可控性可控性a 在每种安全需求下又分成很多小类，表示安全性在每种安全需求下又分成很多小类，表示安全性上的差别，分级条数为上的差别，分级条数为05级。级。基

18、础标准前CC准则可控性可控性范围范围可用性可用性范围范围审计WA-0 到 WA-5抗攻击性AC-0 到 AC-3识别与鉴别WI-0 到 WI-5容错AF-0 到 AF-2可信路径WT-0 到 WT-3可靠AR-0 到 AR-3可恢复AY-0 到 AY-3机密性机密性范围范围完整性完整性范围范围隐蔽信息CC-0 到 CC-3域完整性IB-0 到 IB-2无条件机密性CD-0 到 CD-4无条件完整性ID-0 到 ID-4强制性机密性CM-0 到 CM-4强制完整性IM-0 到 IM-4目标重用CR-0 到 CR-4物理完整性IP-0 到 IP-4反馈IR-0 到 IR-2权限分隔IS-0 到 I

19、S-3自测IT-0 到 IT-3CTCPEC的功能性要求及分级的功能性要求及分级美国联邦准则美国联邦准则(FC)a 对TCSEC的升级1992年12月公布a 引入了“保护轮廓（PP）”这一重要概念a 每个轮廓都包括功能部分、开发保证部分和评测部分。a 分级方式与TCSEC不同，吸取了ITSEC、CTCPEC中的优点。a 供美国政府用、民用和商用。基础标准前CC准则GB 17859-1999 计算机信息系统计算机信息系统安全等级划分准则安全等级划分准则基础标准前CC准则安全等级保护制度国务院令147号中华人民共和国计算机信息系统安全保护条例第九条：计算机信息系统实行安全等级保护。等级保护制度

20、内容安全等级保护标准体系等级划分标准等级设备标准等级建设标准等级管理标准安全等级保护管理的行政法规安全等级保护所需的系统设备安全等级系统的建设和管理等级划分准则计算机信息系统安全等级保护系列标准的核心实行计算机信息系统安全等级保护制度建设的重要基础等级划分准则的目的支持计算机信息系统安全法规的制定为计算机信息系统安全产品的研发提供功能框架为安全系统的建设和管理提供技术指导等级划分准则内容第五级：访问验证保护级第四级：结构化保护级第三级：安全标记保护级第二级：系统审计保护级第一级：用户自主保护级可信计算基（TCB）TCBTrusted Computing Base 一个

21、实现安全策略的机制包括硬件、固件和软件根据安全策略来处理主体（系统管理员、安全管理员、用户）对客体（进程、文件、记录、设备等）的访问TCB的特性实施主体对客体的安全访问功能抗篡改的性质易于分析与测试的结构安全保护能力主要取决于TCB各级之间的差异主要体现在TCB的构造以及它所具有的安全保护能力第一级用户自主保护级本级的计算机信息系统TCB通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。第一级自主访问控制为用户提供身份鉴别 TCB通过自主完整性策略

22、，阻止非授权用户修改或破坏敏感信息第二级系统审计保护级与用户自主保护级相比，本级的计算机信息系统TCB实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。第二级自主访问控制客体的安全重用为用户提供身份鉴别和安全审计 TCB提供并发控制等机制，以确保多个主体对同一客体的正确访问第三级安全标记保护级本级的计算机信息系统TCB具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。第三级 TCB实施强制访问控制，以敏感标记为主体和

23、客体指定其安全等级。安全等级是一个二维组，第一维是分类等级（如密码、数字签名等），第二维是范畴。主体分类等级的级别高于客体分类等级的级别，主体范畴包含客体范畴时，主体才能读一个客体主体分类等级的级别低于或等于客体分类等级的级别，主体范畴包含于客体范畴时，主体才能写一个客体第三级身份鉴别和审计 TCB应提供定义、验证完整性约束条件的功能，以维护客体和敏感标记的完整性第四级结构化保护级本级的计算机信息系统TCB建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统TCB必须结构化为关键保护元素和

24、非关键保护元素。第四级计算机信息系统TCB的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。系统具有相当的抗渗透能力。第四级3 TCB基于一个明确定义的形式化安全保护策略。3 将第三级实施的访问控制（自主的和强制的）扩展到所有主体和客体。3 针对隐蔽信道，将TCB构造成为关键保护元素和非关键保护元素。3 TCB具有合理定义的接口，使其能够经受严格测试和复查。3 通过提供可信路径来增强鉴别机制。3 支持系统管理员和操作员的职能，提供可信实施管理，增强严格的配置管理控制。第四级系统管理员、系统

25、用户、安全管理员身份鉴别、审计TCB的关键保护元素 TCB的非关键保护元素形式化的安全策略模型自主访问控制标记、客体重强制访问控制用、运行支持第五级访问验证保护级本级的计算机信息系统TCB满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。第五级支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。第五级在

26、TCB的构造方面，具有访问监控器访问控制能够为每个客体指定用户和用户组，并规定他们对客体的访问模式 TCB扩展了审计能力 TCB提供可信恢复机制，保证系统失效或中断后，可以进行不损害任何安全保护性能的恢复访问监控器访问控制数据库客体主体访问监控器审计文件基础标准CC准则GB/T 18336:2001 信息技术安全性信息技术安全性评估准则（评估准则（idt ISO/IEC 15408-1999）要点概述标准内容和关键概念评估模型国际互认概述ISO/IEC 15408=Common Criteria(CC)国际国际IT市场趋势市场趋势各国的基本各国的基本安全要求安全要求早期准则的早期

27、准则的演变和改进演变和改进信息系统信息系统安全问题安全问题发展史1990年欧洲信息技术安全性评估准则（ITSEC）1993年通用评估准则（CC）1985年美国可信计算机系统评估准则（TCSEC）1990年加拿大可信计算机产品评估准则（CTCPEC）1991年美国联邦准则（FC）1999年国际标准（ISO 15408）第三代第三代通用准则（通用准则（CC）国际标准化组织统一现有多种准则的努力结果；1993年开始，1996年出V 1.0,1998年出V 2.0，1999年6月正式成为国际标准，1999年12月ISO出版发行ISO/IEC 15408；主要思想和框架取自ITSEC和FC；充分突出“

28、保护轮廓”，将评估过程分“功能”和“保证”两部分；是目前最全面的评价准则通用准则（通用准则（CC）（续）（续）国际上认同的表达IT安全的体系结构结构一组规则集一组规则集一种评估方法，其评估结果国际互认通用测试方法（CEM）已有安全准则的总结和兼容通用的表达方式表达方式，便于理解灵活的架构可以定义自己的要求扩展CC要求准则今后发展的框架标准内容和关键概念GB/T 18336-1：简介和一般模型保护轮廓规范安全目标规范GB/T 18336-2：安全功能要求GB/T 18336-3：安全保证要求标准的文档结构标准的文档结构第1部分范围引用标准定义：缩略语和术语概述：介绍主要概

29、念、目标用户、评估环境和文档结构一般模型：介绍CC的一般模型 CC要求和评估结果：提出评估要求和评估结果的应用附录A通用准则项目：介绍CC项目来源附录B保护轮廓规范：介绍PP的主要内容附录C安全目标规范：介绍ST的主要内容附录D参考书目：列出标准的参考书目第2部分范围引用标准安全功能组件 FAU类：安全审计 FCO类：通信 FCS类：密码支持 FDP类：用户数据保护 FIA类：标识和鉴别 FMT类：安全管理 FPR类：隐私 FPT 类：TSF保护 FRU类：资源利用 FTA 类：TOE访问 FTP类：可信路径/信道附录A安全功能要求应用注释附录B功能类、族和组件附录C安全

30、审计（FAU）附录D通信（FCO）附录E密码支持（FCS）附录F用户数据保护(FDP)附录G标识和鉴别（FIA）附录H安全管理(FMT)附录I隐私(FPR)附录J TSF保护（FPT）附录K资源利用(FRU)附录L TOE访问(FTA)附录M可信路径/通道(FTP)第3部分范围引用标准安全保证要求保护轮廓与安全目标评估准则 APE类：保护轮廓评估 ASE类：安全目标评估评估保证级保证类、族和组件 ACM类：配置管理ADO类：交付和运行ADV类：开发AGD类:指导性文件ALC类:生命周期支持ATE类:测试AVA类:脆弱性评定保证维护范例AMA类:保证的维护附录A保证组件依赖关系的交叉

31、引用附录B EAL和保证组件的交叉引用用户开发者评估者标准的目标读者3系统管理员和系统安全管理员3内部和外部审计员3安全规划和设计者3认可者3评估发起者3评估机构本标准定义作为评估信息技术产品和系统安全特性的基础准则不包括属于行政性管理安全措施的评估准则；不包括物理安全方面（诸如电磁辐射控制）的评估准则；不包括密码算法固有质量评价准则标准的应用范围关键概念评估对象 TOE(Target of Evaluation)保护轮廓PP(Protection Profile）安全目标ST(Security Target）功能(Function)保证(Assurance)组件(Component)

32、包(Package)评估保证级EAL(Evaluation Assurance Level）评估对象（TOE）产品、系统、子系统保护轮廓（PP）表达一类产品或系统的用户需求组合安全功能要求和安全保证要求技术与需求之间的内在完备性提高安全保护的针对性、有效性安全标准有助于以后的兼容性同TCSEC级类似PP的内容的内容1保护轮廓引言保护轮廓引言11 PP 标识12 PP 概述标识 PP，叙述性总结 PP2TOE 描述描述TOE 的背景信息3安全环境安全环境31 假设32 威胁33 组织性安全策略指明安全问题（要保护的资产、已知的攻击方式、TOE 必须使用的组织性安全策略）4安全目的安全

33、目的41 TOE 安全目的42 环境安全目的对安全问题的相应反应（包括非技术性措施）5IT 安全要求安全要求51 TOE 安全功能要求52 TOE 安全保证要求53 IT 环境安全要求CC 第二部分的功能组件CC 第三部分的保证组件IT 环境中软件、硬件、固件要求6基本原理基本原理61 安全目的基本原理62 安全要求基本原理目的和要求可以解决已指出的安全问题7应用注解应用注解附加信息安全目标（ST）IT安全目的和要求要求的具体实现实用方案适用于产品和系统与ITSEC ST 类似ST的内容的内容1安安全全目目标标引引言言1.1 ST 标识1.2 ST 概述1.3 CC 一

34、致性声明标识 ST 和 TOE（包括版本号），叙述性总结 ST2TOE 描描述述TOE 背景信息（评估环境）3安安全全环环境境3 1 假设3 2 威胁3 3 组织性安全策略指明安全问题（要保护的资产、已知的攻击、TOE 必须使用的组织性安全策略、假定的安全问题4安安全全目目的的4 1 TOE 安全目的4 2 环境安全目的对安全问题的相应反应（包括非技术性措施）5IT 安安全全要要求求5 1 TOE 安全功能要

35、求5 2 TOE 安全保证要求5 3 IT 环境安全要求CC 第二部分的功能组件CC 第三部分的保证组件IT 环境中软件、硬件、固件要求6TOE 概概要要规规范范6 1 TOE 安全功能6 2 保证措施IT 安全功能满足哪一个特定的安全功能要求IT 保证措施满足哪一个特定的安全保证要求7保保护护轮轮廓廓声声明明7 1 PP 参照7 2 PP 细化7 3 PP 附加项解释、证明和其他支持材料，以证实一致性

36、声明8基基本本原原理理8 1 安全目的基本原理8 2 安全要求基本原理8 3 TOE 概要规范基本原理8 4 PP 声明基本原理安全目的、安全要求、IT 安全功能和保证措施可以解决已指出的安全问题功能/保证结构类（如用户数据保护FDP）关注共同的安全焦点的一组族，覆盖不同的安全目的范围子类（如访问控制FDP_ACC）共享安全目的的一组组件，侧重点和严格性不同组件（如子集访问控制FDP_ACC.1)包含在PP/ST/包中的最小可选安全要求集组件 CC将传统的安全要求分成不能再分的构

37、件块用户/开发者可以组织这些要求到PP中到ST中组件可以进一步细化安全要求的结构安全要求的结构类（Class）子类（Family）子类（Family）组件组件组件组件功能和保证功能和保证PP/ST/包功能规范IT产品和系统的安全行为，应做的事安全功能要求类安全功能要求类功功能能类类名名所所含含子类子类数数安全审计(FAU)6通信(FCO)2密码支持(FCS)2用户数据保护(FDP)13标识和鉴别(FIA)6安全管理(FMT)6隐私(FPR)4TOE 安全功能保护(FPT)16资源利用(FRU)3TOE 访问(FTA)6可信路径/信道(FTP)2135个组件保证对功

38、能产生信心的方法安全保证要求APE类-保护轮廓的评估准则ASE类-安全目标的评估准则用于TOE的七个安全保证要求类TOE安全保证类安全保证类保证类保证类保证子类保证子类缩写名称缩写名称CM 自动化ACM_AUTCM 能力ACM_CAPACM 类：配置管理CM 范围ACM_SCP分发ADO_DELADO 类：交付和运行安装、生成和启动ADO_IGS功能规范ADV_FSP高层设计ADV_HLD实现表示ADV_IMPTSF 内部ADV_INT低层设计ADV_LLD表示对应性ADV_RCRADV 类：开发安全策略模型ADV_SPM管理员指南AGD_ADMAGD 类：指导性文件用户指南AGD_USR开发

39、安全ALC_DVS缺陷纠正ALC_FLR生命周期定义ALC_LCDALC 类：生命周期支持工具和技术ALC_TAT覆盖面ATE_COV深度ATE_DPT功能测试ATE_FUNATE 类：测试独立性测试ATE_IND隐蔽信道分析AVA_CCA误用AVA_MSUTOE 安全功能强度AVA_SOFAVA 类：脆弱性评定脆弱性分析AVA_VLA包 IT安全目的和要求功能或保证要求（如EAL）适用于产品和系统与ITSEC E-级类似评估保证级（EAL）预定义的保证包公认的广泛适用的一组保证要求评估保证级（EAL）EAL1功能测试功能测试 EAL2结构测试结构测试 EAL3系统地测试和检查系统地测试

40、和检查 EAL4系统地设计、测试和复查系统地设计、测试和复查 EAL5半形式化设计和测试半形式化设计和测试 EAL6半形式化验证的设计和测试半形式化验证的设计和测试 EAL7形式化验证的设计和测试形式化验证的设计和测试评估保证级（评估保证级（EAL）评估保证级（EAL）的保证组件保证类保证子类EAL1EAL2EAL3EAL4EAL5EAL6EAL7ACM_AUT1 112 22ACM_CAP1 12 23 34 445 55配置管理ACM_SCP1233ADO_DEL1 112 2223 3交付和运行ADO_IGS1 1111111ADV_FSP1112334ADV_HLD122345ADV_

41、IMP1233ADV_INT123ADV_LLD1123ADV_RCR1111223 开发ADV_SPM1333AGD_ADM1 1111111指导性文件AGD_USR1 1111111ALC_DVS1 1112 22ALC_FLRALC_LCD1 12 223 3生命周期支持ALC_TAT1 12 23 33ATE_COV1 12 2223 33ATE_DPT1 112 223 3ATE_FUN1 11112 22测试ATE_IND1 12 222223 3AVA_CCA1 12 22AVA_MSU1 12 223 33AVA_SOF1 111111脆弱性评定AVA_VLA1 112 23

42、34 44评测级别对应评测级别对应GB/T18336GB17859安安全全等等级级T C S E CF CC T C P E CI T S E CEAL1D-EAL2第一级C 1-E 1EAL3第二级C 2T-1T-1E 2EAL4第三级B 1T-2T-2E 3-T-3T-3-T-4-EAL5第四级B 2T-5T-4E 4EAL6第五级B 3T-6T-5E 5EAL7A 1T-7T-6E 6-T-7-各部分关系各部分关系子类C1C2C3Cn功能功能(CC PART 2)保证保证(CC PART 3)FamilyC1C2C3CnFamilyC1C2C3Cn子类C1C2C3Cn子类C1C2C3Cn

43、子类C1C2C3Cn功能类功能类保证类保证类功能包为构建PP或ST而选取的一组可重复使用的功能要求评估保证级1评估保证级2评估保证级3评估保证级n保护轮廓保护轮廓包括一个CC评估保证级的一组可重复使用且完备的安全要求。安全目标安全目标包括一个CC评估保证级的描述TOE的一组完备要求。可包括保护轮廓、要求和/或其他非CC要求。选择性扩充（非CC）安全要求评估模型评估环境评估环境评估准则评估方法学最终评估结果评估体制评估批准/认证证书列表/注册评估的目的评估的目的保证技术产生保证评估给出证据所有者提供需要置信度那么对策最小化风险到资产评估流程图评估流程图评估PPPP评估结果编目PP已评估的PP

44、评估STST评估结果评估TOETOE评估结果编目证书已评估的TOETOE评估过程评估过程安全需求开发TOETOE和评估评估结果评估准则评估方案评估方法操作TOE反馈评估TOETOE物理环境确定安全环境假设确定安全目的确定安全要求需保护的资产TOE用途威胁组织安全策略安全目的功能要求保证要求环境要求确定TOE概要规范TOE概要规范CC要求目录安全规范材料(PP/ST)安全要求材料（PP/ST）安全目的材料(PP/ST)安全环境材料(PP/ST)要求和规范的导出要求和规范的导出评估产品目录PP目录安全需求评估对象分类产品系统授权系统授权准则二选一可选可选评估后产品开发和评估TOE授权后系统

45、TOE评估结果的应用国际互认互认的意义认同其他机构的评估结果开发商获得更大的市场空间信息化的必然趋势CC国际互认（1）1995年，CC项目组成立CC国际互认工作组 1997年制订过度性CC互认协定 1997年10月美国的NSA和NIST、加拿大的CSE和英国的CESG签署了该协定 1998年5月德国的GISA、法国的SCSSI也签署了此互认协定。依照CC1.0版，互认范围限于评估保证级13CC国际互认（2）1999年10月澳大利亚和新西兰的DSD加入了CC互认协定互认范围发展为评估保证级14，但证书发放机构限于政府机构CC国际互认（3）今年，又有荷兰、西班牙、意大利、挪威、芬兰、瑞典、

46、希腊、瑞士、以色列等国加入了此互认协定日本、韩国等也正在积极准备加入此协定目前的证书发放机构也不再限于政府机构，非政府的认证机构也可以加入此协定，但必须有政府机构参与或授权通用评估方法（CEM）基础标准CEM介绍通用评估方法（CEM）是为了进行CC评估而开发的一种国际公认方法。CEM支撑信息安全评估的国际互认用户用户保护轮廓（保护轮廓（PP）开发者）开发者一组用户代表或信息技术（IT）产品的一个制造商。PP开发者使用CEM有利于在执行PP评估的一致性和独立性方面证实PP方面的应用。评估对象（评估对象（TOE）开发者）开发者可以是IT产品的一个制造商，将IT产品结合到系统中的一个系统集成

47、商，或其他提出IT解决方案的组织实体。用户评估发起者评估发起者是起动一个评估的组织实体。发起者可以是一个开发者（如制造商、集成商）或顾客（如用户、认可者、系统管理员、系统安全管理员）。评估者评估者使用CC时要与CEM一致。评估者将把CEM用在CC的一致性使用方面提供详细的指导。监督者监督者是确保所进行的评估过程与CC、CEM一致性的实体。监督者把CEM用于定义评估者所提供的一组一致性信息。相互认可相互认可通用评估方法通用评估方法评估者评估者&监督者监督者开发者开发者顾客顾客发起者发起者评估框架开发过程开发过程检测过程检测过程评估方法评估方法（原则、程序、过程）（原则、程序、过程）评估过程（行

48、为）评估过程（行为）普遍原则普遍原则适当性原则适当性原则：为达到一个预定的保证级所采取的评估活动应该是适当的；公正性原则公正性原则：所有的评估应当没有偏见；客观性原则客观性原则：应当在最小主观判断或主张情形下，得到评估结果；可重复性和可再现性原则可重复性和可再现性原则：依照同样的要求，使用同样的评估证据，对同一TOE或PP的重复评估应该导出同样的结果；结果的完善性原则：评估结果应当是完备的并且采取结果的完善性原则：评估结果应当是完备的并且采取的技术恰当。的技术恰当。假设性能性能/价格比假设价格比假设：评估的价值将会弥补所有利益团体所花费的时间、资源和金钱。方法发展假设方法发展假设：评估环境

49、和技术因素变化的影响应当予以充分考虑并一致地反映到评估方法中。可复用性假设可复用性假设：评估应当有效地利用以前的评估结果。术语假设术语假设：所有参与评估的团体应当使用共同的命名法。角色间关系接受评估证据执行 CC 评估行为请求并接受评估支持提供评估和检测所需资源文档化并验证结论遵守普遍原则和方案。支持评估开发和维护评估证据建立一致意见确保评估所需资源的提供监控评估接受并核查评估和检测所需资源创造条件以确保评估遵从普遍规则和 CEM 实现支持评估赞成或不赞成总体结论文档化并验证递交给评估权威机构的评估结论。开开发发者者监监督督者者评评估估者者发发起起者者准备阶段开发

50、者开发者监督者监督者评估者评估者发起者发起者可行性分析输出协定可行性分析输出协定PP或ST评估交付资源子集评估所需资源子集索要可行性研究信息建议修改ST或PP可行性分析输出协定可行性分析输出协定可行性分析输出协定协定实施阶段开发者开发者监督者监督者评估者评估者发起者发起者观察报告观察报告评估和检测所需资源观察报告观察报告评估和检测所需资源评估和检测所需资源解释结束阶段开发者开发者监督者监督者评估者评估者发起者发起者评估总结报告评估总结报告评估总结报告评估总结报告评估权威机构评估权威机构ISO/IEC PDTR 15446：2000 PP和ST产生指南基础标准PP和ST产生指南为既定的一系列安

展开阅读全文