等级保护通用技术要求与CC.doc

等级保护通用技术要求与CC 关于CCCC是当前信息安全的最新国际标准。它是在TESEC、ITSEC、CTCPEC、FC等信息安全标准的基础上综合形成的。CC定义了一套能满足各种需求的IT安全准则，共分为三部分：第一部分简介和一般模型；第二部分安全功能要求；第三部分安全保证要求。其中心内容是：当在PP（安全保护框架）和ST（安全目标）中描述TOE（评测对象）的安全要求时，应尽可能使用其与第二部分描述的安全功能组件和第三部分描述的安全保证组件相一致。CC在第一部分描述了对安全保护框架（PP）和安全目标（ST）的要求。与传统的软件系统设计相比较，PP实际上就是安全需求的完整表示，ST则是通常所说的安全方案。CC在第二部分和第三部分，分别详细介绍了为实现PP和ST所需要的安全功能要求和安全保证要求，并对安全保证要求进行了等级划分（共分为七个等级）。对于安全功能要求，CC虽然没有进行明确的等级划分，但是在对每一类功能进行具体描述时，要求上还是有差别的。CC明确指出不在其范围的内容包括：与信息技术安全措施没有直接关联的属于行政管理的安全措施，虽然这类安全管理措施是技术安全措施的前提；信息技术安全性的物理方面；密码算法的质量评价。CC在对安全保护框架和安全目标的一般模型进行介绍以后，分别从安全功能和安全保证两方面对IT安全技术的要求进行了详细描述，主要内容如下：1）安全功能要求CC将安全功能要求分为以下11类：安全审计类；通信类（主要是身份真实性和抗抵赖）；密码支持类；用户数据保护类；标识和鉴别类；安全管理类（与TSF有关的管理）；隐秘类（保护用户隐私）；TSF保护类（TOE自身安全保护）；资源利用类（从资源管理角度确保TSF安全）；TOE访问类（从对TOE的访问控制确保安全性）；可信路径/信道类。这些安全类又分为族，族中又分为组件。组件是对具体安全要求的描述。从叙述上看，每一个族中的具体安全要求也是有差别的，但CC没有以这些差别作为划分安全等级的依据。如果对CC的十一个安全类的内容稍加分析便可看出，其中的前七类的安全功能是提供给信息系统使用的，而后四类安全功能是为确保安全功能模块（TSF）的自身安全而设置的。因而可以看成是对安全功能模块自身安全性的保证。2）安全保证要求安全保证要求在对安全保护框架和安全目标的评估进行说明以后，将具体的安全保证要求分为以下8类：配置管理类；分发和操作类；开发类；指导性文档类；生命周期支持类；测试类；脆弱性评定类；保证的维护类。按照对上述8类安全保证要求的不断递增，CC将TOE分为7个安全保证级，分别是：第一级：功能测试级；第二级：结构测试极；第三级：系统测试和检查级；第四级：系统设计、测试和复查级；第五级：半形式化设计和测试级；第六级：半形式化验证的设计和测试级；第七级：形式化验证的设计和测试级。关于通用技术要求GA/T390-2002计算机信息系统安全等级保护通用技术要求（简称通用技术要求）以国务院1994年2月18日发布的147号令：中华人民共和国计算机信息系统安全保护条例（以下简称条例）为基本依据，以国家标准：GB17859-1999计算机信息系统安全保护等级划分准则（以下简称准则）为基础，分别从安全功能技术要求和安全保证技术要求另方面，对准则相关的安全要求做了全面、详细的说明。通用技术要求及其相关技术要求所组成的技术要求系列标准（见附录A）与系统管理要求、工程实施要求、等级保护评测系列标准等一起共同构成计算机信息系统安全等级保护体系。通用技术要求以准则的安全要求和五个等级的划分为基础，根据当前计算机信息技术及其安全技术的发展情况，结合我国信息系统建设和使用的实际，全面、系统地描述了建立安全的计算机信息系统所应采用的安全技术和措施。这些技术和措施是在对CC进行吸收、消化的基础上，充分考虑了我国国情确定的。与CC相比，其具体内容可分为两部分。一部分是将CC的主要技术和机制运用于我们的安全体系，并做了符合国情的描述。另一部分是CC所没有的，但对于建立一个安全的计算机信息系统又是不可少的。这部分内容主要体现在物理安全、运行安全、以及与安全相关的管理方面的内容。运行安全的目标是确保计算机信息系统安全运行，提供有效的信息和系统服务，确保信息和系统的可用性，所采取的主要措施包括信息安全保障（含信息保护、运行检测、快速反应、故障恢复等）中除信息保护外的其它措施。这些内容，有的在CC中明确说明为是对信息安全不可少的部分，只是CC不包含这方面的内容，有的是我们在制定自己的标准的时候，从实际需要出发增加的。而所增加的内容，对于整个信息安全体系来说是完全必要的，也是与CC的总目标完全一致的。通用技术要求与CC具体对照总体来讲，CC是从安全功能和安全保证两方面对IT安全技术的要求进行描述，通用技术要求则从构建安全的计算机信息系统出发，对计算机信息系统在应达到的安全技术要求进行描述。以下是对通用技术要求与CC内容对照的具体说明。1） 安全功能技术要求方面通用技术要求物理安全的内容是CC所没有的，物理安全对计算机信息系统的安全十分重要。这在CC中也提到过。只是它明确表示物理安全不在其描述范围。通用技术要求的运行安全，吸收了CC中关于“安全审计”的内容，而其它内容则是CC所没有的。这些内容包括风险分析、安全检测与监控、病毒防杀、备份与故障恢复、应急计划和应急措施等。这些内容对于一个计算机信息系统的安全运行，从而提供有效服务都是不可缺少的。这对于当前强调的信息保障是十分重要的，也是与CC没有矛盾冲突的。通用技术要求的信息安全，较多吸收了CC的相关内容，也舍弃了部分当前我们还未涉及的内容，并在叙述上做了适合我国情况的描述，具体如下：“标识和鉴别”主要是对以服务器为中心的用户数据进行保护的手段，我们较多地吸收了CC中“标识和鉴别类”的内容，并做了适合计算机信息系统安全要求的本地化描述。“信息交换用户的身份鉴别”是对网上数据交换的抗抵赖，这里较多地吸收了CC中“通信类”的内容，并做了本地化描述。“自主访问控制”是对运行中的系统进行信息保护的重要手段之一。这里吸收了CC“用户数据保护类”中有关自主访问控制的内容，并结合应用实际做了本地化描述，舍弃了我国目前很少使用的信息流控制的内容。“强制访问控制”是较高安全等级对运行中的信息进行安全保护的重要手段，这部分根据实际情况吸收了CC中“用户数据保护类”中的相关的强制访问控制的内容，并结合应用实际做了本地化描述，舍弃了当前我国很少使用的信息流控制的内容。“用户数据保密性存储保护”、“用户数据保密性传输保护”、“用户数据完整性保护”以及“剩余信息保护”等内容，是在吸收CC中“用户数据保护类”相关内容的基础上，结合建立一个安全的计算机信息系统的实际需要编写而成的。“隐蔽信道分析”是在参考CC安全保证中相关内容的基础上编写而成的。“可信路径”是在吸收CC中“可信路径/信道类”的相关内容的基础上，做了本地化描述。“密码支持”是根据我国当前密码管理和密码应用的实际情况编写的，并明确指出，不同安全等级的密码技术的具体配置有国家密码主管部门制定相应的标准确定。综上所述，通用技术要求基本涵盖了CC的相关内容，并进行了必要的扩充，所舍弃的部分属于目前我们很少用到的内容。通用技术要求在安全功能技术要求方面与CC的另一个重要区别在于，前者按照准则五个安全保护等级，对安全功能技术在不同安全保护等级的不同要求进行了描述，而CC虽然在对安全功能技术要求的叙述方面有要求上的差别，但并未进行明确的等级划分。2） 在安全保证技术要求方面通用技术要求与CC都对安全保证技术要求进行了等级划分，并对每一级提出了不同要求。前者按五级进行划分，后者按七级进行划分。从具体内容看，通用技术要求从TCB自身安全保护、TCB的设计与实现和TCB的安全管理等方面全面描述了安全保证技术要求的内容，并以安全保证技术要求与安全功能技术要求共同作为等级划分的依据，其中，TCB自身安全保护的内容是在吸收CC中“TSF保护类”、“资源利用类”和“TOE访问类”的相关内容的基础上编写而成的；TCB的设计与实现是在吸收CC中安全保证部分各保证类的相关内容的基础上编写而成的；TCB的安全管理是在吸收CC“安全管理类”的基础上编写而成的。CC的安全保证技术要求仅从TCB的设计与实现的角度进行描述和分级。3） 在安全等级划分方面通用技术要求按照准则五个安全等级的划分要求，对计算机信息系统的安全等级的每一级的安全技术要求（包括安全功能要求的描述和安全保证要求）进行了完整的描述，而CC在等级划分方面只是从安全保证的角度进行保证级别的评估。而且，其安全保证也仅仅涉及TOE设计和实现方面的内容。虽然，从CC对安全功能要求的描述中可以明显的看出其安全功能要求上的差异，但CC并未将这些差异作为安全等级划分的依据。这些都是通用技术要求在安全等级划分方面的明显区别。4） TCB、TSF、TSP、SFP及其相互关系TCB是准则中的一个十分重要的概念。按照准则的定义，TCB是“计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境，并提供一个可信计算系统所要求的附加用户服务。”在CC中，是围绕TOE（评估对象）进行讨论的。其实，准则中的TCB与CC中的TOE没有本质上的区别，只是前者是从构建安全系统的角度来看问题，而后者是从对安全系统进行评估的角度来看问题。在单一的计算机系统中，根据系统设计方法的不同，TCB可以是一个安全内核，也可以是一个前端过滤器，或者就是整个可信计算机系统。对于一个通用的操作系统，TCB应包括操作系统的关键单元或包括全部操作系统。在我们所讨论的计算机信息系统中，TCB成为构成一个安全的计算机信息系统的所有安全保护装置的组合体（通常称为安全子系统）。一个TCB可以包含多个安全功能模块（TSF）,每一个TSF实现一个安全功能策略（TSP），这些TSP共同构成一个安全域，以防止不可信主体的干扰和篡改。实现TSF有两种方法，一种是设置前端过滤器，另一种是设置访问监督器。两者都是在一定硬件基础上通过软件实现确定的安全策略和提供所要求的附加服务。比如，作为前端过滤器的TSF，能防止非法进入系统，作为访问监督器的TSF，能防止越权访问等等。在网络环境下，一个TSF可能跨网络实现，这种情况要比在单一计算机系统中更为复杂。TSF各组成部分协同工作，构成一个物理上分散、逻辑上统一的安全实体，实现确定的安全策略，提供相应的附加服务。CA认证系统是一个典型的在网络环境运行的TSF。5） 主体、客体和访问授权主体、客体及其授权控制是信息安全的中心环节。这在CC与通用技术要求中是一致的。在一个计算机信息系统中，每个实体成分都必须或者是主体，或者是客体，或者既是主体又是客体。主体是一个主动的实体，它包括用户、用户组、终端、主机或一个应用。系统中最原始的主体应该是用户（包括一般用户、系统管理员、系统安全员、系统审计员等）。每个进入系统的用户必须是唯一标识的，并经过认证确定为真实的。系统中的所有事件要求，几乎全是由用户激发的。客体是一个被动的实体，它可以是一个字段、记录、文件、程序，或是一个处理器、存储器、网络节点等。系统中最终的客体应该是记录介质及其信息。介质只有与信息相结合才有实际意义。系统中的另一类实体，如进程（包括用户进程和系统进程）、中介服务器等，有着双重身份。当一个进程运行时，它必定为某一用户服务直接或间接的处理该用户的事件要求。于是，该进程成为该用户的客体，或为另一进程的客体，而这另一进程则是该用户的客体。依此类推，系统中运行的任一进程，总是直接或间接为某一用户服务。这种服务关系可以构成一个服务链。服务者是要求者的客体，要求者是服务者的主体，而最原始的主体是用户，最终的客体是一定记录介质上的信息（数据）。在客户/服务器结构的运行环境中，客户端是主体，服务器端是客体，而如果是三层结构的话，中间层的服务器则既是客户端的客体，又是服务器端的主体。用户进程是固定为某一用户服务的，它在运行中代表该用户对客体资源进行访问，其权限应与所代表的用户相同。系统进程是动态的为所有用户提供服务的，因而它的权限是随着服务对象的变化而变化的，这就需要将用户的权限与为其服务的进程的权限动态的相关联。授权管理机制所提供的授权操作，只需要通过授权，确定用户对最终客体（如文件、数据库表等）的访问权限即可。技术要求系列标准简介术要求系列标准的组成技术要求系列标准由以下标准组成：计算机信息系统安全等级保护通用技术要求（GA/T390-2002）；计算机信息系统安全等级保护网络技术要求（GA/T387-2002）；计算机信息系统安全等级保护操作系统技术要求（GA/T388-2002）；计算机信息系统安全等级保护数据库管理系统技术要求（GA/T389-2002）；计算机信息系统安全等级保护应用系统技术要求；计算机信息系统安全等级保护物理安全技术要求；计算机信息系统安全等级保护各类产品的技术要求。技术要求系列标准是对如何设计和实现各类安全系统的不同安全保护等级的要求。其中，通用技术要求是技术要求的基础性标准。它规定了对与各种类型的计算机信息系统普遍适用的安全保护等级划分的要求。其它各标准所描述的技术要求则是根据各自的功能和特点，对各自范围的安全保护等级进行划分的要求。技术要求系列标准的主要特点1） 以条例和准则为基本依据全面理解计算机信息系统安全的完整含义，对准则中的十个安全要素进行必要的扩展，分别从安全功能和安全保证两方面说明；按准则中规定的五个安全保护等级分别确定安全功能要求和安全保证