信息安全管理第七章信息安全标准

1、第第7 7章信息安全标准章信息安全标准 7.1概述概述 7.2计算机安全等级保护条例计算机安全等级保护条例 7.3信息技术安全评估通用准则信息技术安全评估通用准则CC 7.4ISO/IEC 27000系列标准介绍系列标准介绍 7.17.1概述概述 标准基础知识简介 1. 标准的定义 国际标准化组织于1983年7月发布的ISO第二号指南 （第四版）对标准的定义为：由有关各方根据科学技术 成就与先进经验，共同合作起草，一致或基本上同意的 技术规范或其他公开文件，其目的在于促进最佳的公共 利益，并由标准化团体批准。 我国国家标准标准化基本术语（GB 3935.1-83） 中对标准的定义为：标准是对重

2、复性事物和概念所做的 统一规定。它以科学、技术和实践经验的综合成果为基 础，经有关方面协调一致，由主管机构批准，以特定形 式发布，作为共同遵守的准则和依据。 举例：标准化工作指南 标准化工作指南 第1部分:标准化和相关活动的通用术语 GB/T 20000.1-2014 标准化工作指南 第2部分:采用国际标准 GB/T 20000.2-2009 标准化工作指南 第3部分：引用文件 GB/T 20000.3-2014 标准化工作指南 第4部分:标准中涉及安全的内容 GB/T 20000.4-2003 标准化工作指南 第5部分:产品标准中涉及环境的内容 GB/T 20000.5-2004 标准化工作

3、指南 第6部分:标准化良好行为规范 GB/T 20000.6-2006 标准基础知识简介 2. 标准的分类 关于标准的分类，目前我国比较通用的分类方法有五种。 (1) 按标准发生作用的范围和审批标准级别来分，可分 为国际标准、区域标准、国家标准、行业标准、企业标 准。 (2) 按标准的约束性来分，分为强制性标准和推荐性标 准两类。 (3) 按标准在标准系统中的地位和作用来分，分为基础 标准和一般标准两类。 SACSAC 标准基础知识简介 (4) 按标准化对象在生产过程中的作用来分，则分为产 品标准，原材料标准，零部件标准，工艺和工艺装备标 准，设备维修标准，检验和试验方法标准，检验、测量 和试

4、验设备标准，搬运、贮存、包装、标识标准等。 (5) 按标准的性质来分，则分为技术标准、管理标准和 工作标准。 信息安全标准化组织 国际信息安全标准化组织 外国信息安全标准化组织 我国信息安全标准化组织 国际信息安全标准化组织 1.ISO 2.IEC 3.ITU 4.IETF 5.ECMA 国际信息安全标准化组织 1. ISO 国际标准化组织(International Organization for Standardization)简称ISO，是一个全球化的非政府组 织，是国际标准化领域中一个十分重要的组织。ISO是 由国家标准化机构组成的世界范围的联合会，于1947年 开始正式运行，现有1

5、40个成员国。中国既是发起国又 是首批成员国。ISO 的技术活动是制定并出版国际标准 （International Standards）。ISO的工作涉及包括电 工标准在内的各个技术领域的标准化活动。ISO现包括 190个技术委员会（TCs）、544个子委员会（SCs）、 2188个工作组（WGs）。 国际信息安全标准化组织 2. IEC 国际电工委员会（International Electrotechnical Commission）于1906年成立，它是世界上成立最早的 一个标准化国际机构。根据IEC的章程，IEC的任务覆 盖了包括电子、电磁、电工、电气、电信、能源生产和 分配等所有电工

6、技术的标准化。此外在上述领域中的一 些通用基础工作方面，IEC也制定相应的国际标准，如 术语和图形符号、测量和性能、可靠性、设计开发、安 全和环境等。 国际信息安全标准化组织 3. ITU 国际电信联盟（International Telecommunication Union）是联合国的一个专门机构，也是联合国机构中 历史最长的一个国际组织，简称“国际电联”、“电联” 或“ITU”，总部设在日内瓦。国际电信联盟的实质性 工作由三大部门承担，它们是：国际电信联盟标准化部 门（ITU-T）、国际电信联盟无线电通信部门和国际电 信联盟电信发展部门。ITU制定的典型标准如：消息处 理系统（MHS）、

7、目录系统、X.400系列、X.500系列、 安全框架、安全模型、X.509标准。 国际信息安全标准化组织 4. IETF IETF是Internet工程任务组（Internet Engineering Task Force） 的简写。IETF又叫互联网工程任务组，成立于1985年底，是全球 互联网最具权威的技术标准化组织，主要任务是负责互联网相关技 术规范的研发和制定，当前绝大多数国际互联网技术标准出自 IETF。目前IETF已制定170多个RFC（Request For Comments， 是一系列以编号排定的文件），收集了有关互联网的相关信息，以 及UNIX和互联网社区的软件文件。其中与安

8、全相关的包括像域名 服务系统安全、IP安全协议IPSec、一次性口令鉴别、公钥基础设 施、安全Shell等。 国际信息安全标准化组织 5. ECMA 欧洲计算机制造商协会（European Computer Manufacturers Association）主要任务是研究信息和通讯技术方面的标准并发布 有关技术报告，总部位于日内瓦。ECMA并不是官方机构，而是 由主流厂商组成的，他们经常与其他国际组织进行合作。如 ECMA的章程中所说的那样，这个非盈利组织的目标是发展“标 准和技术报告以便促进和标准化对信息处理和电信系统的使用过 程”。ECMA的“通信、网络和系统互连”技术委员会（TC32）

9、 曾定义了开放系统应用层安全结构，“IT安全”技术委员会 （TC36）负责信息技术设备的安全标准，主要制定商用和政用信 息技术产品和系统安全评估标准框架，以及在开放系统环境下逻辑 安全设备的框架。 日内瓦国际组织 联合国欧洲总部、联合国环境规划署、世界卫生组织、 国际劳工组织、联合国难民署、联合国人权事务高级专 员办公室、世界知识产权组织、国际电信联盟、世界气 象组织、世界贸易组织、诸国会议同盟、欧洲核子研究 中心、国际标准化组织、世界教会协会、互联网虚拟图 书馆、世界经济论坛、国际红十字委员会和国际艾滋病 协会 外国信息安全标准化组织 1. 美国ANSI 美国国家标准学会（American

10、National Standards Institute）是由公司、政府和其他成员组成的自发组织， 属非赢利性质的民间标准化团体，但实际上已成为国家 标准化中心。它们协商与标准有关的活动，审议美国国 家标准，并努力提高美国在国际标准化组织中的地位。 外国信息安全标准化组织 2. 美国NIST 美国国家标准技术研究院（NIST）（National Institute of Standards and Technology）是属于美国 商业部的技术管理部门。负责联邦政府非密敏感信息的 处理。其工作以NIST出版物（FIPSPUB）和NIST特 别出版物（SPECPUB）等形式发布，如“FIPS-1

11、97 for Advanced Encryption Standard （AES）”和 “NIST Special Publication 800”系列。 外国信息安全标准化组织 3. 美国DOD 美国国防部（DOD）（Department of Defense）负 责联邦政府涉密信息的处理，发布了许多关于信息安全 和自动信息系统安全的指令、指示和标准（DODDI）。 著名的“彩虹系列”标准（一组计算机安全标准）即由 美国国防部制定。 彩虹系列 七十年代后期，美国国防部开始研究计算机系统安全标 准，相继制定了包括20多个文件的一组计算机安全标准。 由于每个文件使用了不同颜色的封皮，于是统称为“

12、彩 虹系列”。1983年，美国国防部所属的国家计算机安全 中心(NCSC)公布了适用于多用户操作系统的“可信计 算机系统评价标准” （ TrustedComputerSystemEvaluationCriteria,TCS EC),按其文件封皮被称为“桔皮书” 外国信息安全标准化组织 4. 英国BSI 英国标准协会（Britain Standard Institute，BSI）成 立于1901年，是世界上最早的全国性标准化机构，在国 际上具有较高声誉的非官方机构，它不受政府控制但得 到了政府的大力支持。 我国信息安全标准化组织 1. 全国信息安全标准化技术委员会 National Inform

13、ation Security Standardization Technical Committee 中国从1984年开始就组建了数据加密技术委员会，并在 1997年8月，将该委员会改组为全国信息技术标准化分技 术委员会，主要负责制定信息技术的国家标准。2001年， 国家标准化管理委员会批准成立全国信息安全标准化技术 委员会，作为全国信息安全标准化工作顶层组织，简称 “全国安标委”。标准委员会的标号是TC260。它的工作 任务向国家标准化管理委员会提出信息安全标准化工作的 方针、政策建议和技术措施的建议。 可查询可查询 信息安全国家标准信息安全国家标准 我国信息安全标准化组织 目前全国安标委包

14、括七个工作组 我国信息安全标准化组织 七个工作组： 信息安全标准体系与协调工作组(WGl)； 涉密信息系统安全保密标准工作组(WG2)； 密码技术工作组(WG3)； 鉴别与授权工作组(WG4)； 信息安全评估工作组(WG5)； 通信安全评估工作组(WG6)； 信息安全管理工作组(WG7)。 TC1 TC339 我国信息安全标准化组织 2. 国内其他信息安全标准管理机构 （1）国家保密局 国家保密局负责管理、发布并强制执行国家保密标准。国 家保密标准和国家保密法规共同构成我国保密管理的重要 基础。 我国信息安全标准化组织 （2）公安部信息系统安全标准化技术委员会 公安部信息系统安全标准化技术委员

15、会成立于1999年3月31 日，负责规划和制定我国公共安全行业信息安全标准和技 术规范，监督技术标准的实施。 （3）中国通信标准化协会网络与信息安全技术工作委员会 网络与信息安全技术工作委员会成立于2003年12月，专门 组织、研究和制定通信行业网络与信息安全相关的技术标 准和技术规范。 7.1.3信息安全标准概述 1. 信息安全基础标准 信息安全标准中有一类可以划归为信息安全基础标准，涉及词汇、 安全体系结构、安全框架、安全模型四个方面. 词汇安全体系结构安全框架安全模型 GB/T 5271.8- 2000 信息技术 词汇 第8部分：安 全 GB/T 9387.2-1995 开放系统互连 基

16、本 参考模型 第2部分 ：安全体系结构 ISO/IEC 10181- 17 开放系统的安全 框架 GB/T 17965 高层安全模型 GB/T 18231 低层安全模型 ISO/IEC 15443-1 IT安全保障框架 IATF信息保障技 术框架 ISO/IEC 11586- 16通用高层安 全 网络层安全 GJB 2256-1994 军用计算机安 全术语 RFC 2401 因特网安全体系结 构 ISO/IEC7498-4 管理框架 传输层安全 7.1.3信息安全标准概述 2. 信息技术安全评估标准 信息安全标准中还有一类十分重要的标准信息技术安 全评估标准。信息技术安全评估标准的发展如图 7

17、.1.3信息安全标准概述 TCSEC首先提出了分等级保护的思想，是信息安全评估标 准的先驱。加拿大CTCPEC、美国联邦准则FC、欧洲标准 ITSEC进一步继承并发展了TCSEC。1999年，我国制定了 等级保护划分准则GB 17859，等同采用了TCSEC中C1 B3级的要求，是我国信息安全等级保护制度的基础。 7.1.3信息安全标准概述 1985年，美国国防部公布可信计算机系统评估准则(TCSEC) 即桔皮书; 1989年，加拿大公布可信计算机产品评估准则(CTCPEC); 1991年，欧洲公布信息技术安全评估准则(ITSEC); 1993年，美国公布美国信息技术安全联邦准则(FC); 1

18、996年，六国七方(英国、加拿大、法国、德国、荷兰、美国国 家安全局和美国标准技术研究所)公布信息技术安全性通用评 估准则(CC 1.0版); 1998年，六国七方公布信息技术安全性通用评估准则(CC 2.0版); 1999年12月，ISO接受CC 2.1版为ISO/IEC15408标准，并正式 颁布发行。 2001年我国将其作为国家标准GB/T 18336正式颁布。 7.1.3信息安全标准概述 3. 信息安全管理标准 目前信息安全管理标准在国外、国际、国内的构成情况如 图 信息安全管理标准 (1)BS 7799标准 早在1995年2月，英国标准协会(BSI)就提出制定信息安 全管理标准，并迅

19、速于1995年5月制定完成。BS 7799是英 国的工业、政府和商业共同需求而发展的一个标准，它分 两部分：第一部分为“信息安全管理实施准则”；第二部 分为“信息安全管理体系规范”。其中BS77991：1999 于2000年12月通过ISOIEC JTCl认可，正式成为国际标 准ISOIECl7799：2000。ISOIEC JTCl在2005年对 ISOIEC 17799再次修订形成ISOIEC 17799：2005。 同时，BS77992也于2005年被采用为ISOIEC 27001： 2005。2007年，为将ISOIEC 17799：2005引入ISO IEC 27000标准组而将其重

20、新编号为ISOIEC27002： 2005。 信息安全管理标准 (2)ISOIEC 27000系列 ISOIEC 27000系列标准是信息安全管理体系(ISMS) 中最重要的标准体系。其中的ISO 27001和ISO 27002分别 由英国标准BS 7799-2和BS 7799-1逐渐发展而来，这两个 标准是ISO 27000系列，也是ISMS标准中最重要、最基本 的两个标准。 信息安全管理标准 (3)NIST SP 800系列 美国NIST SP 800系列是NIST根据美国联邦信息安全管 理法案(FISMA 2002)所赋予的法定职责所开发的系列文件。 NIST SP 800系列中包括的与

21、信息安全管理相关的文件有 NIST SP 80053：联邦信息系统推荐安全控制；NIST SP 80018：开发IT系统安全计划指南；NIST SP 800 30：IT系统风险管理指南等。 信息安全管理标准 (4)COBIT COBIT(Control Objectives for Information and Related Technology)是由信息系统审计与控制协会 (Information Systems Audit and Control Association， ISACA)在1996年公布的控制框架，目前已经更新到41版 本，是目前国际上通用的信息系统审计的标准。COBIT

22、 4 提供了关于IT治理管理的一个最佳惯例集合，共分4个域、 34个高级控制目标和214个详细控制目标。4个领域分别是： 计划与组织(Plan and Organize)；获得与安装(Acquire and Implement)；交付与支持(Deliver and Support)；监 测与评估(Monitor and Evaluate) 信息安全管理标准 (5)ITIL ITIL(IT Infrastructure Library)由英国政府的中央计算机 和通信机构(CCTA)制定，由英国商务部(OGC)负责维护， 是用来管理信息技术(IT)的架构设计、研发和操作的一整套 概念和思想。ITI

23、L是一套主要研究有关IT服务管理的方法， 借由为不同的IT组织量身定制一些复杂的清单、仟务、流 程。 ITIL许多重要的IT事件准则给出了详尽的解释。 信息安全管理标准 (6)ISO 13335 信息安全管理标准(ISOIEC TR ISO 13335)IT安全 管理指南，是ISOIEC JTCl制定的技术报告，是一个 信息安全管理方面的指导性标准，其目的是为有效实施IT 安全管理提供建议和支持。IS0 13335标准首次给出了关于 IT安全的保密性、完整性、可用性、审计性、认证性、可 靠性6个方面含义，并提出了以风险为核心的安全模型。该 模型阐述了信息安全评估的思路，对企业的信息安全评估 工

24、作具有指导意义。 CNITSEC 7.27.2计算机安全等级保护标准计算机安全等级保护标准 信息安全等级保护 对国家秘密信息、法人和其他组织及公民的专有信息以 及公开信息和存储、传输、处理这些信息的信息系统实 行分等级实行安全保护；对信息系统中使用的信息安全 产品实行按等级管理；对信息系统中发生的信息安全事 件实行分等级响应、处置。 等级保护的核心是对信息系统特别是对业务应用系统安 全分等级、按标准进行建设、管理和监督。国家对信息 安全等级保护工作运用法律和技术规范逐级加强监管力 度。突出重点，保障重要信息资源和重要信息系统的安 全。 美国可信计算机系统安全评价标准TCSEC TCSEC将计算

25、机操作系统的安全从高到底分为四级（A、 B、C、D），级下再细分为七小级（A1、B3、B2、 B1、C2、C1、D），分别为： 美国可信计算机系统安全评价标准TCSEC （1）D级（最小保护级） D类安全等级只包括D1一个级别。D1的安全等级最低。 D1系统只为文件和用户提供安全保护，整个计算机是 不可信任的。 美国可信计算机系统安全评价标准TCSEC （2）C级 C类安全等级可划分为C1和C2两类。该类安全等级能 够提供审慎的保护，并为用户的行动和责任提供审计能 力。 1）C1级（自主安全保护）。C1系统的可信计算基 （TCB）通过将用户和数据分开来达到安全的目的。 2）C2级（访问控制保护

26、）。C2系统具有C1系统中所 有的安全性特征，引进了访问控制环境（用户权限级别） 的增强特性。 美国可信计算机系统安全评价标准TCSEC （3）B级 B级系统具有强制性保护功能。强制性保护意味着如果 用户没有与安全等级相连，系统就不会让用户存取对象。 B类安全等级可分为B1级、B2级、B3级3类，由低到高。 1）B1级（标号安全保护）。B1级系统支持多级安全。 2）B2级（结构化安全保护）。B2级系统必须满足B1 级系统的所有要求外，系统的管理员必须使用一个明确 的、文档化的安全策略模式作为系统的可信任运算基础 体制。 3）B3级（安全域保护）。B3系统必须符合B2系统的 所有安全需求。 美国

27、可信计算机系统安全评价标准TCSEC （4）A级（验证设计保护） A级系统的安全级别最高。目前，A类安全等级只包含 A1级一个安全类别，与前面提到的各级级别一样，该 级别包含了较低级别的所有特性。A1类包括了一个严 格的设计、控制和验证过程。 A1级系统的主要特征是：形式化的最高级描述和验证， 形式化的隐秘信道分析，非形式化的代码一致性证明。 国外其他类似标准 1. ITSEC ITSEC适用于军队、政府和商业部门。它以超越TCSEC为 目的，将安全性要求分为功能和保证两部分。功能指为满足 安全需求而采取的一系列技术安全措施，如访问控制、审计、 鉴别和数字签名等。保证是指确保功能正确实现及其有

28、效性 的安全措施。在ITSEC中首次提出了“安全目标”的概念， 包括对被评估产品或系统安全功能的具体规定及其使用环境 的描述。 2. CTCPEC 加拿大标准机构于1989年公布CTCPEC 1.0版，专为政府需 求而设计，1993年公布了3.0版。与ITSEC类似，将安全分 为功能性要求和保证性要求两部分。功能要求分为机密性、 完整性、可用性和可控性等4个大类。在每种安全要求下又 分成很多小类以表示安全性上的差别，分级条数为05级。 3. FC 在20世纪90年代初，美国为适应信息技术的发展和推动美国 国内非军用信息技术产品安全性的进步，其NSA和NIST联 合起来对TCSEC进行修订。 我

29、国信息安全等级保护标准体系 背景背景 信息安全等级保护制度是国家信息安全保障工作的基本制 度、基本策略和基本方法，是促进信息化健康发展，维护 国家安全、社会秩序和公共利益的根本保障。 我国信息安全等级保护标准体系 信息安全等级保护相关标准类别 目前已经制定的标准大致可以分为四类：基础类、应用 类、产品类和其他类。 1. 基础类标准 2. 应用类标准 3.产品类标准 4.其他类标准 我国信息安全等级保护标准体系 (1)基础类标准 计算机信息系统安全保护等级划分准则(GB 178591999) 我国信息安全等级保护标准体系 (2)应用类标准 信息系统定级 信息安全技术信息系统安全等级保护定级指南(

30、GB/T 22240-2008) 等级保护实施 信息安全技术信息系统安全等级保护实施指南(信安字2007310号) 信息系统安全建设(部分) 信息安全技术信息系统安全等级保护基本要求(GB/T 22239-2008) 信息安全技术信息系统安全通用技术要求(GB/T 20271-2006) 信息安全技术信息系统等级保护安全设计技术要求(GB/T 24856- 2009) 信息安全技术信息系统安全管理要求(GB/T 20269-2006) 信息安全技术网络基础安全技术要求(GB/T 20270-2006) 等级测评 信息安全技术信息系统安全等级保护测评要求(报批稿) 信息安全技术信息系统安全等级保

31、护测评过程指南(报批稿) 信息安全技术信息系统安全管理测评 (GA/T 713-2007) 我国信息安全等级保护标准体系 （3）产品类标准 （1）操作系统 （2）数据库 （3）网络（部分） （4）其他类标准 （1）风险评估 （2）事件管理 信息系统受到破坏后，会对信息系统受到破坏后，会对公民、法人和其他公民、法人和其他 组织组织的合法权益造成的合法权益造成损害损害，但不损害国家安全、，但不损害国家安全、 社会秩序和公共利益。社会秩序和公共利益。 信息系统受到破坏后，会对信息系统受到破坏后，会对公民、法人和其他公民、法人和其他 组织的合法权益组织的合法权益产生产生严重损害严重损害，或者对，或者对

32、社会秩社会秩 序和公共利益序和公共利益造成造成损害损害，但不损害国家安全。，但不损害国家安全。 信息系统受到破坏后，会对信息系统受到破坏后，会对社会秩序和公共利社会秩序和公共利 益造益造成成严重损害严重损害，或者对，或者对国家安全国家安全造成造成损害损害。 信息系统受到破坏后，会对信息系统受到破坏后，会对社会秩序和公共利社会秩序和公共利 益益造成造成特别严重损害特别严重损害，或者对，或者对国家安全国家安全造成造成严严 重损害重损害。 信息系统受到破坏后，会对信息系统受到破坏后，会对国家安全国家安全造成造成特别特别 严重损害严重损害。 1.4等级保护基本概念-安全保护等级 全国的信息系统（包括网

33、络）按照重要性和 受破坏后的危害性分成五个安全保护等级 信息安全等级保护主要标准介绍 1 GB 17859-1999 信息安全等级保护主要标准介绍 从2001年1月1日起，我国开始实施中华人民共和国强 制性国家标准GB 17859-1999计算机信息系统安全保 护等级划分准则。该标准由公安部主持制定、国家技 术标准局发布，是实施安全等级管理的重要基础性标准。 2006年后，依据这个标准国家又分别出台了一系列的配 套标准，分别对操作系统、数据库、网络、应用等提出 了具体的要求。 （1）第一级 用户自主保护级 （2）第二级 系统审计保护级 （3）第三级 安全标记保护级 （4）第四级 结构化保护级

34、（5）第五级 访问验证保护级 GB 17859-1999 第一级用户自主保护级 本级的计算机信息系统可信计算基（TCB）通过隔离 用户与数据，使用户具备自主安全保护的能力。它具有 多种形式的控制能力，对用户实施访问控制，即为用户 提供可行的手段，保护用户和用户组信息，避免其他用 户对数据的非法读写与破坏。 本级考核指标要求：自主访问控制、身份鉴别、数据 完整性。 用户自主保护级相当于美国国防部DOD橘皮书 (TCSEC)中的C1级，以自主访问控制作为主要的技术 标志。 GB 17859-1999 第二级系统审计保护级 与用户自主保护级相比，本级的计算机信息系统可信 计算基实施了粒度更细的自主访

35、问控制，它通过登录规 程、审计安全性相关事件和隔离资源，使用户对自己的 行为负责。 本级考核指标要求：自主访问控制、身份鉴别、审计、 数据完整性。 系统审计保护级相当于美国国防部DOD橘皮书 (TCSEC)中的C2级，仍采用自主访问控制，但增加了 审计功能。 GB 17859-1999 第三级安全标记保护级 本级的计算机信息系统可信计算基具有系统审计保护 级所有功能。此外，还提供有关安全策略模型、数据标 记以及主体对客体强制访问控制的非形式化描述；具有 准确地标记输出信息的能力；消除通过测试发现的任何 错误。 本级考核指标要求：自主访问控制、强制访问控制、 敏感标记、身份鉴别、客体重用、审计、

36、数据完整性。 安全标记保护级相当于美国国防部DOD橘皮书 (TCSEC)中的B1级，引入了强制访问控制机制，增加 了对主、客体进行安全标记的要求。 GB 17859-1999 第四级结构化保护级 本级的计算机信息系统可信计算基建立于一个明确定义的 形式化安全策略模型之上，它要求将第三级系统中的自主和 强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽 通道。本级的计算机信息系统可信计算基必须结构化为关键 保护元素和非关键保护元素。计算机信息系统可信计算基的 接口也必须明确定义，使其设计与实现能经受更充分的测试 和更完整的复审。加强了鉴别机制；支持系统管理员和操作 员的职能；提供可信设施管理；

37、增强了配置管理控制。系统 具有相当的抗渗透能力。 本级考核指标要求：自主访问控制、强制访问控制、标记、 身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、 可信路径。 结构化保护级相当于美国国防部DOD橘皮书(TCSEC)中 的B2级，提出了对可信计算基按其重要性实现结构化设计， 增加了隐蔽信道分析的要求。 GB 17859-1999 第五级访问验证保护级 本级的计算机信息系统可信计算基满足访问监控器需求。 访问监控器仲裁主体对客体的全部访问。访问监控器本身是 抗篡改的；必须足够小，能够分析和测试。为了满足访问监 控器需求，计算机信息系统可信计算基在其构造时，排除那 些对实施安全策略来说并非

38、必要的代码；在设计和实现时， 从系统工程角度将其复杂性降低到最小程度。支持安全管理 员职能；扩充审计机制，当发生与安全相关的事件时发出信 号；提供系统恢复机制。系统具有很高的抗渗透能力。 本级考核指标要求：自主访问控制、强制访问控制、标记、 身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、 可信路径、可信恢复。 访问验证保护级相当于美国国防部DOD橘皮书(TCSEC) 中的B3级。 GB 17859-1999 （1）第一级 用户自主保护级 （2）第二级 系统审计保护级 （3）第三级 安全标记保护级 （4）第四级 结构化保护级 （5）第五级 访问验证保护级 C1自主安全保护级 C2访问控制保

39、护级 B1标识安全保护级 B2结构化安全保护级 B3安全区域保护级 信息安全等级保护主要标准介绍 2 信息安全等级保护基本要求GB/T 22239-2008 信息安全等级保护主要标准介绍 一级基本要求 在安全技术方面要求：身份鉴别、自主 访问控制、恶意代码防范、数据的完整性保护、通信完 整性保护、软件容错和备份与恢复等控制点。管理方面 提出了安全管理制度、安全管理机构、人员管理、系统 建设管理、系统运行维护管理的相关要求。 信息安全等级保护主要标准介绍 二级基本要求 在一级基本要求的基础上，在技术方面， 二级要求在控制点上增加了安全审计、边界完整性检查、 入侵防范、资源控制以及通信保密性等控制

40、点。身份鉴 别则要求在系统的整个生命周期，每一个用户具有唯一 标识，具有可查性。同时，要求访问控制具有更细的访 问控制粒度等。在管理方面，增加了审核和检查、管理 制度的评审和修订、人员考核、密码管理、变更管理和 应急预案管理等控制点。 信息安全等级保护主要标准介绍 三级基本要求 在二级基本要求的基础上，在技术方面， 在控制点上增加了网络恶意代码防范、剩余信息保护、 抗抵赖等。同时，对身份鉴别、访问控制、安全审计、 数据完整性、数据保密性等均提出更高要求，在管理方 面，在安全管理制度制定和发布、评审和修订等某些管 理要求上要求项增加，强度增强。 信息安全等级保护主要标准介绍 四级基本要求 在三级

41、基本要求的基础上，在技术方面， 在控制点上增加了安全标记、可信路径，同时，对身份 鉴别、访问控制、安全审计、数据完整性、数据保密性 等均有更进一步的要求，在管理方面，增加了系统备案、 等级测评、监控管理和安全管理中心等控制点，同时要 求设置必要的安全管理职能部门，加强了安全管理制度 的评审以及人员安全的管理，对系统建设过程加强了质 量管理。 信息安全等级保护主要标准介绍 3信息安全等级保护安全设计技术要求GB/T 248562009 本标准提出了信息系统等级保护安全设计的技术要求， 包括第一级至第五级信息系统安全保护环境的设计技术 要求，以及定级系统互联的设计技术要求，明确体现了 定级系统按等

42、级提供保护能力的整体控制机制。 GB/T 248562009 安全计算环境 安全计算环境是对定级系统的信息进行存储、处理及实 施安全策略的相关部件。安全计算环境按照保护能力划 分为第一级至第五级安全计算环境。第三级安全计算环 境从以下方面进行安全设计：用户身份鉴别、自主访问 控制、标记和强制访问控制、系统安全审计、用户数据 完整性保护、用户数据保密性保护、客体安全重用、程 序可信执行保护。 GB/T 248562009 安全区域边界 安全区域边界是对定级系统的安全计算环境边界，以及 在安全计算环境与安全通信网络之间实现连接并实施安 全策略的相关部件。安全区域边界按照保护能力划分为 第一级至第五

43、级安全区域边界。第三级安全区域边界从 以下方面进行安全设计：区域边界访问控制、区域边界 包过滤、区域边界安全审计、区域边界完整性保护。 GB/T 248562009 安全通信网络 安全通信网络是对定级系统安全计算环境之间进行信息 传输及实施安全策略的相关部件。安全通信网络按照保 护能力划分为第一级至第五级安全通信网络。第三级安 全通信网络从以下方面进行安全设计：通信网络安全审 计、通信网络数据传输保密性保护、通信网络数据传输 完整性保护、通信网络可信接入保护。 GB/T 248562009 安全管理中心 安全管理中心是对定级系统的安全策略及安全计算环 境、安全区域边界和安全通信网络上的安全机制

44、实施统 一管理的平台。第三级(含)以上的定级系统安全保护环境 需要设置安全管理中心，分别称为第三级至第五级安全 管理中心。第二级信息系统可以选择配置第二级安全管 理中心。安全管理中心设计主要从系统管理、安全管理 和审计管理三方面考虑。 GB/T 248562009 跨定级系统安全管理中心 跨定级系统安全管理中心是对相同或不同等级的定级 系统之间互联的安全策略及安全互联部件上的安全机制 实施统一管理的平台。跨定级系统安全管理中心设计技 术要求：应通过安全通信网络部件与各定级系统安全保 护环境中的安全管理中心相连，主要提供跨定级系统的 系统管理、安全管理和审计管理。 信息安全等级保护主要标准介绍

45、4 计算机信息系统等级保护定级指南GB/T 22240-2008 信息安全等级保护主要标准介绍 信息系统定级是等级保护工作的首要环节，是开展信息系统安全建 设整改、等级测评、监督检查等后续工作的重要基础。信息系统 安全等级保护定级指南（以下简称定级指南）从信息系统所 承载的业务在国家安全、经济建设、社会生活中的重要作用和业务 对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级 的方法。定级指南中给出的信息系统定级方法如图7-5所示。 信息安全等级保护主要标准介绍 5 信息安全等级保护实施指南 信息系统从规划设计到终止运行要经历几个阶段，信息系 统安全等级保护实施指南（以下简称实施指南）

46、的核 心是给出了信息系统安全等级保护实施的基本流程，对信息 系统定级、总体安全规划、安全设计与实施、安全运行与维 护和信息系统终止五个阶段的工作进行了详细描述和说明. 6 信息系统安全通用技术要求 我国的等级保护通用技术要求以GB 17859为基础研究 制定，按安全技术要素，提出了与各个安全保护等级信息系 统相对应的安全技术要素的安全性要求，并从安全功能和安 全保证两个方面，对各安全技术要素应具有的安全性提出了 要求。其主要用途：一是为信息系统选择安全技术产品和设 置安全设备的相应安全机制提供指导；二是为这些产品和设 备的相关安全标准的制定提供参考。 关系 相关标准与等级保护各工作环 节的关系

47、 相关标准与等级保护各工作环 节的关系如图7-7所示。 其中信息安全等级保护基本 要求以及行业标准规范和细 则构成了信息系统安全建设整 改的安全需求；信息系统安 全等级保护定级指南和信息 系统安全等级保护行业定级准 则为确定信息系统安全保护等 级提供支持；信息系统安全 等级保护实施指南和信息 系统等级保护安全设计技术要 求构成了指导信息系统安全 建设整改的方法指导类标准； 信息系统安全等级保护测评 要求和信息系统安全等级 保护测评过程指南构成了指 导开展等级测评的标准规范。 7.3 7.3 信息技术安全性评估通用准则信息技术安全性评估通用准则CCCC 发展历史 国际标准化组织（ISO）从199

48、0年开始着手编写通用的国际标准评 估准则。该任务首先分派给了第1联合技术委员会（JTC1）的第27 分委员会（SC27）的第3工作小组（WG3）。最初，由于大量的工作 和多方协商的强烈需要，WG3的进展缓慢。 在1993年6月，由与TCSEC、ITSEC、CTCPEC和FC有关的6个国家（加 拿大、美国、英国、法国、德国、荷兰）中的7个相关政府组织 （NIST、NSA等）集中了他们的成果，并联合行动将各自独立的准 则集合成一系列单一的、能被广泛接受的IT安全准则。 1999年6月，ISO接纳CC 2.0版作为ISO/IEC 15408草案。在广泛征 求意见并进行了一定的修改后于1999年12月

49、正式作为国际标准颁布， 对应的CC版本为2.1版。 1997年，我国开始组织有关单位跟踪CC发展，并对CC1.0版进行大 量研究。在CC成为国际标准后，我国即着手制定对应的国家标准， 并于2000年底完成全部起草工作行程报批稿，2001年3月8日，国家 质量技术监督局将其作为国家标准GB/T 18336正式颁布，2001年12 月1日正式实施。 关键概念 1. 评估目标TOE（ Target of Evaluation ） 用于安全性评估的信息技术产品、系统或子系统，如防 火墙产品、计算机网络和密码模块等，以及相关的管理 员指南、用户指南和设计方案等文档。TOE是CC的评 估对象。 2. 保护

50、轮廓PP PP（Protection Profiles）作为CC中最关键的概念， 是安全性评估的依据。一个PP为一类TOE定义了一系 列与实现无关的IT安全要求，实现问题由“安全目标 （ST）”来解决。 关键概念 3. 安全目标ST ST（Security Targets）源于ITSEC，是安全性评估的基础。 ST的开发是针对具体的TOE而言的，它包括该TOE的安全 目的和能满足的安全需求，以及为满足安全需求而提供的特 定安全性技术要求和保证措施。 4. 组件Component 组件是CC结构的一个关键概念，描述一组特定的安全要求， 是可供PP、ST或包选取的最小安全要求集合，即将传统的 安全

51、要求分成不能再分的构件块。 5. 包 组件依据某一特定关系组合在一起就构成包。构建包的目的 是定义那些公认有用的、对满足某一特定安全目的有效的安 全要求。包可用于构造更大的包、PP和ST。包可重复使用。 主要内容 1 1 文档组织文档组织 CC定义了一套能够满足各种需求的IT安全准则，整个标准 分为三个部分： （1）第一部分简介和一般模型，正文介绍了CC中的有 关术语、基本概念和一般模型以及与评估有关的一些框架， 附录部分主要介绍保护轮廓（PP）和安全目标（ST）的基 本内容。 （2）第二部分安全功能要求，按“类族组件”的 方式提出安全功能要求，作为表达产品或系统安全功能要求 的标准方法。每一

52、个类除正文以外，还有对应的提示性附录 做进一步解释。在此部分中共列出11个类，66个子类和135 个功能组件。 （3）第三部分安全保证要求，提出了一系列保证组件、 族和类，作为表达产品和系统安全保证要求的标准方法。在 此部分列出7个保证类和1个保证维护类、还定义了PP评估类 和ST评估类。除此之外，还定义了评价产品或系统保证能力 水平的一组尺度评估保证级。 信息技术安全性评估通用准则CC 2 2 安全功能要求安全功能要求 CC在对安全保护框架和安全目标的一般模型进行介绍以后， 分别从安全功能和安全保证两方面对IT安全技术的要求进行 了详细描述。 CC在第二部分按“类子类组件”的层次结构定义了目

53、前 国际上公认的常用安全功能要求，包括11个类，66个子类， 135个组件。 (1) FAU类：安全审计 安全审计包括识别，记录，存储和分析与安全行为有关的信 息。 (2) FCO类：通信 由两个子类组成，分别专门用以确保在数据交换中参与方的 身份，包括发起者身份和接收者身份。 (3) FCS类：密码支持 在产品或系统含有密码功能时适用。 信息技术安全性评估通用准则CC (4) FDP类：用户数据保护 是一个较大的类，规定了与保护用户数据相关的所有安 全功能要求和策略，所包含的13个子类涉及到产品或系 统内用户数据的输入，输出和存储以及与之相关的一些 安全属性。 (5) FIA类：标识和鉴别

54、授权用户的无歧义标识以及安全属性与用户、主体的正 确关联是实施预定安全策略的关键。 (6) FMT类：安全管理 规定了安全属性、数据和功能三方面的管理，并定义了 不同的管理角色及其相互作用 信息技术安全性评估通用准则CC (7) FPR类：私密性 要求为用户提供其身份不被其他用户发现或滥用的保护。 (8) FRT类：TSF保护 TSF指TOE安全功能，侧重于保护TSF数据，而不是用户数 据。 (9) FRU类：资源利用 规定了三个子类以支持所需资源的可用性，诸如处理能力或 存储能力。 (10) FTA类：TOE访问 规定了用以控制建立用户会话的一些功能要求，是对标识和 鉴别类安全要求的进一步补

55、充完善。 (11) FTP类：可信路径/信道 规定了关于用户和TSF之间可信通信路径，以及TSF和其他 可信IT产品之间可信通信信道的要求。 信息技术安全性评估通用准则CC 3 3 安全保证要求安全保证要求 安全产品或系统应该具备安全功能，但这些安全功能能否正 确有效地实施也是我们要考虑的问题。安全保证就是采用软 件工程、开发环境控制、交付运行控制、自测等措施使得用 户、开发者和评估者对这些功能正确有效地实施产生信心。 CC在第三部分按“类子类组件”的层次结构定义了目前 国际上公认的安全保证要求，包括PP和ST评估2个保证类、 7个评估保证类和1个保证维护类（10个类）。每个保证要求 组件包含

56、开发者行为、产生的证据以及评估者行为三个方面。 1）. PP和ST评估类 (1) APE类：保护轮廓评估 (2) ASE类：安全目标评估 信息技术安全性评估通用准则CC 2）. 评估保证类 (1) ACM类：配置管理 (2) ADO类：交付和运行 (3) ADV类：开发 (4) AGD类：指导性文档 (5) ALC类：生命周期支持 (6) ATE类：测试 (7) AVA类：脆弱性评定 信息技术安全性评估通用准则CC 3）. 保证维护类 保证维护类的目的是确保TOE或其环境发生变化时，还 能够继续满足安全目标。对保证进行维护的一种方法时 再次评估TOE，然而这将增加开销，执行起来也不现实。 在C

57、C中通过AMA类定义一整套要求，确保有关保证都 得到了维护，而不需要进行全面的再次评估。当然， AMA类也支持对TOE进行再次评估。 AMA类：保证维护 信息技术安全性评估通用准则CC 4 评估保证级评估保证级 评估保证级是由保证组件构成的典型包，提供了一个递增的尺度，这种尺度的确 定权衡了所获得的保证级与达到该保证级所需的代价和可行性。 按照安全保证要求的不断递增，CC将TOE分为7个安全保证级。保证级的递增靠 替换成同一保证子类中的一个更高级别的保证组件（即增加严格性、范围或深度） 和添加另外一个保证子类的保证组件来实现。七个评估保证级分别是： 第一级：功能测试级； 第二级：结构测试极；

58、第三级：系统测试和检查级； 第四级：系统设计、测试和复查级； 第五级：半形式化设计和测试级； 第六级：半形式化验证的设计和测试级； 第七级：形式化验证的设计和测试级。 信息技术安全性评估通用准则CC 各评估保证级的目的或适用范围如下： (1) 评估保证级1（EAL1）：功能测试 通过该级的一个评估，可以确信TOE的功能与其文档在形 式上是一致的，并且对已标志的威胁提供了有效的保护。 EAL1适用于对正确运行需要一定信任的场合，但在该场 合中对安全的威胁应视为并不严重；还适用于需要独立的 保证来支持“认为在人员或信息的保护方面已经给予足够 的重视”这一情形。 信息技术安全性评估通用准则CC (2

59、) 评估保证级2（EAL2）：结构测试 EAL2要求开发者递交设计信息和测试结果，但不需要开发者增加过多的费用或时间 的投入。 EAL2适用于以下这种情况：在缺乏现成可用的完整的开发记录时，开发者或用户需 要一种低到中等级别的独立保证的安全性。例如：对传统的保密系统进行评估或者不 便于对开发者进行现场核查时。 (3) 评估保证级3（EAL3）：系统的测试和检查 EAL3可使开发者在设计阶段能从正确的安全工程中获得最大限度的保证。 (4) 评估保证级4（EAL4）：系统的设计、测试和复查 基于良好而严格的商业开发规则，在不额外增加大量专业知识、技巧和其它资源的情 况下，开发者从正确的安全工程中所

60、获得的保证级别最高可达到EAL4。 信息技术安全性评估通用准则CC (5) 评估保证级5（EAL5）：半形式化设计和测试 适当应用专业性的一些安全工程技术，并基于严格的商业 开发实践，EAL5可使开发者从安全工程获得最大限度的 保证。 (6) 评估保证级6（EAL6）：半形式化验证的设计和测试 EAL6可使开发者通过把专业性安全工程技术应用到严格 的开发环境中，而获得高级别的保证，以便生产一个昂贵 的TOE来保护高价值的资产以对抗重大的风险。 (7) 评估保证级7（EAL7）：形式化验证的设计和测试 EAL7适用于一些安全性要求很高的TOE开发，这些TOE 将应用在风险非常高的地方或者所保护的