《信息安全标准》PPT课件(138页PPT)

1、信息安全标准介绍中国信息安全测评中心第1页，共138页。主要内容标准化基础知识信息安全基础标准信息安全评估标准发展史通用评估准则（CC）PP和ST产生指南电子政务信息系统安全标准CNITSEC 刘作康2第2页，共138页。1.标准化基础标准：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为基础，经有关方面协商一致，由主管部门批准，以特定的方式发布，作为共同遵守的准则和依据。强制性标准：保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。我国标准分四级：国家标准、行业标准、地方标准、企业标准。CNITSEC 刘作康3第3页，共138

2、页。标准化基础国家标准：对需要在全国范围内统一的技术要求(含标准样品的制作）。GB/T XXXX.X-200X ：属于推荐性标准 GB XXXX-200X：属于强制性标准行业标准：没有国家标准，需要在全国某个行业范围内统一的技术要求。如GA ,SJ地方标准：没有国家标准 、行业标准而又需要在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求。 DBXX/T XXX-200X DBXX/XXX-200X企业标准：对企业范围内需要统一的技术要求、管理要求和工作要求。QXXX-XXX-200XCNITSEC 刘作康4第4页，共138页。标准化基础标准化：为在一定的范围内获得最佳秩序，对实际的或潜

3、在的问题制定共同的和重复使用的规则的活动实质：通过制定、发布和实施标准，达到统一。目的：获得最佳秩序和社会效益。CNITSEC 刘作康5第5页，共138页。标准化基础标准化三维空间国际级区域级国家级行业级地方级企业级人员服务系统产品过程管理应用技术机制体系、框架术语XYZX轴：代表标准化对象，Y轴：代表标准化的内容，Z轴：代表标准化的级别。CNITSEC 刘作康6第6页，共138页。标准化基础我国通行“标准化八字原理”：“统一”原理“简化”原理“协调”原理“最优”化原理CNITSEC 刘作康7第7页，共138页。我国标准工作归口单位2001年10月11日成立国家标准化委员会信息技术标准委员会数

4、据加密技术标准委员会2002年4月15日成立信息安全技术标准委员会,TC260CNITSEC 刘作康8第8页，共138页。标准化基础采标：等同采用idt（identical）：指技术内容相同，没有或仅有编辑性修改，编写方法完全相对应；修改采用MOD（modified）：与国际标准之间存在技术性差异，有编辑性修改，可能不采用部分条款非等效采用NEQ（not equivalent）：指技术内容有重大差异，只表示与国际标准有关。CNITSEC 刘作康9第9页，共138页。IT标准化IT标准发展趋势(1)标准逐步从技术驱动向市场驱动方向发展。(2)信息技术标准化机构由分散走向联合。(3)信息技术标准化

5、的内容更加广泛，重点更加突出，从IT技术领域向社会各个领域渗透，涉及教育、文化、医疗、交通、商务等广泛领域，需求大量增加。(4)从技术角度看，IT标准化的重点将放在网络接口、软件接口、信息格式、安全等方面，并向着以技术中立为前提，保证互操作为目的方向发展。CNITSEC 刘作康10第10页，共138页。信息安全标准化组织ISO（国际标准化组织）JTC1 SC27，信息技术-安全技术ISO/TC 68 银行和有关的金融服务SC2，安全管理和通用银行运作；SC4，安全及相关金融工具；SC6，零售金融服务。JTC1其他分技术委员会：SC6系统间通信与信息交换，主要开发开放系统互连下四层安全模型和安全

6、协议，如ISO 9160、ISO/IEC 11557。SC17识别卡和有关设备，主要开发与识别卡有关的安全标准ISO 7816SC18文件处理及有关通信，主要开发电子邮件、消息处理系统等。SC21开放系统互连，数据管理和开放式分布处理，主要开发开放系统互连安全体系结构，各种安全框架，高层安全模型等标准，如:ISO/IEC 7498-2、ISO/IEC 9594-1至8。SC22程序语言，其环境及系统软件接口，也开发相应的安全标准。SC30开放式电子数据交换，主要开发电子数据交换的有关安全标准。如ISO 9735-9 、 ISO 9735-10。CNITSEC 刘作康11第11页，共138页。信

7、息安全标准化组织（续） IEC（国际电工委员会）主要负责有关电工、电子领域的国际标准化工作TC56 可靠性；TC74 IT设备安全和功效；TC77 电磁兼容；CISPR 无线电干扰特别委员会 ITU（国际电信联盟）负责协调世界各国之间的电信事务前身是CCITT消息处理系统目录系统(X.400系列、X.500系列)安全框架安全模型等标准CNITSEC 刘作康12第12页，共138页。信息安全标准化组织（续）IETF（因特网工程任务组）主要提INTERNET标准草案和RFC(征求意见稿）170多个RFC、12个工作组PGP开发规范(openpgp)；鉴别防火墙遍历(aft)；通用鉴别技术(cat)

8、 ；域名服务系统安全(dnssec)；IP安全协议(ipsec)；一次性口令鉴别(otp)；X.509公钥基础设施(pkix)；S/MIME邮件安全(smime)；安全Shell (secsh)；简单公钥基础设施(spki)；传输层安全(tls)Web处理安全 (wts)CNITSEC 刘作康13第13页，共138页。信息安全标准化组织（续）美国ANSI（美国国家标准化协会）NCITS-T4 制定IT安全技术标准X9 制定金融业务标准X12 制定商业交易标准NIST（国家标准技术研究所）负责联邦政府非密敏感信息FIPS-197DOD（美国国防部）负责涉密信息NSA国防部指令（DODDI）（如T

9、CSEC）CNITSEC 刘作康14第14页，共138页。信息安全标准化组织（续）IEEE（美国电气和电子工程师协会）SILS（LAN/WAN）安全P1363公钥密码标准ECMA(欧洲计算机厂商协会)TC32“通信、网络和系统互连”曾定义了开放系统应用层安全结构；TC36“IT安全”负责信息技术设备的安全标准。CNITSEC 刘作康15第15页，共138页。信息安全标准化组织（续）英国BS 7799医疗卫生信息系统安全加拿大计算机安全管理日本JIS 国家标准JISC 工业协会标准韩国KISA负责防火墙、IDS、PKI方面标准CNITSEC 刘作康16第16页，共138页。信息安全标准化组织（续

10、）我国TC260,信息安全标准化技术委员会共38个标准4个产品标准其他工业标准SSLSETCDSAPGPPCTCNITSEC 刘作康17第17页，共138页。我国信息安全标准体系框架基础标准管理标准应用与工程标准系统与网络标准物理安全标准CNITSEC 刘作康18第18页，共138页。2.信息安全基础标准词汇安全体系结构安全框架安全模型GB/T 5271.8-2000信息技术 词汇 第8部分：安全GB/T 9387.2-1995开放系统互连 基本参考模型 第2部分：安全体系结构 (idt ISO 7498-2)ISO/IEC 10181-17 开放系统的安全框架GB/T 17965高层安全模型

11、GB/T 18231低层安全模型ISO/IEC 15443-1 IT安全保障框架IATF信息保障技术框架ISO/IEC 11586-16通用高层安全网络层安全GJB 2256-1994军用计算机安全术语RFC 2401因特网安全体系结构ISO/IEC7498-4 管理框架传输层安全CNITSEC 刘作康19第19页，共138页。基于OSI七层协议的安全体系结构OSI 参考模型7 应用层6 表示层5 会话层4 传输层3 网络层2 链路层1 物理层安全机制公 证路由选择控制通信业务填充鉴别交换数据完整性访问控制数字签名加 密安全服务鉴别服务 访问控制数据完整性数据机密性抗抵赖CNITSEC 刘作康

12、20第20页，共138页。五种安全服务鉴别：提供对通信中的对等实体和数据来源的鉴别。访问控制：提供保护以对抗开放系统互连可访问资源的非授权使用。可应用于对资源的各种不同类型的访问（例如，使用通信资源，读、写或删除信息资源，处理资源的操作），或应用于对某种资源的所有访问数据机密性：对数据提供保护使之不被非授权地泄露数据完整性：对付主动威胁。在一次连接上，连接开始时使用对某实体鉴别服务，并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证，为这些数据单元的完整性提供确证。抗抵赖：可取有数据原发证明的抗抵赖、有交付证明的抗抵赖两种形式，或两者之一。CNITSEC

13、 刘作康21第21页，共138页。与网络各层相关的OSI安全服务安全服务1234567对等实体鉴别数据源鉴别访问控制服务连接机密性无连接机密性选择字段机密性流量机密性有恢复功能的连接完整性无恢复功能的连接完整性选择字段连接完整性无连接完整性选择字段非连接完整性源发方抗抵赖接收方抗抵赖YYYYYYYYYYYYYYYYYYYYYYY YYYYYYYYYYYYYYCNITSEC 刘作康22第22页，共138页。八种安全机制加密：加密既能为数据提供机密性，也能为通信业务流信息提供机密性。数字签名：确定两个过程：对数据单元签名和验证签过名的数据单元。访问控制：为了决定和实施一个实体的访问权，访问控制机制

14、可以使用该实体已鉴别的身份，或使用有关该实体的信息（例如它与一个已知的实体集的从属关系），或使用该实体的权力。数据完整性：包括单个数据单元或字段的完整性以及数据单元流或字段流的完整性。CNITSEC 刘作康23第23页，共138页。安全机制鉴别交换机制：可以提供对等实体鉴别。如果在鉴别实体时，这一机制得到否定的结果，就会导致连接的拒绝或终止，也可能使在安全审计跟踪中增加一个记录，或给安全管理中心一个报告。通信业务填充机制：能用来提供各种不同级别的保护，对抗通信业务分析。路由选择控制机制：路由能动态地或预定地选取，以便只使用物理上安全的子网络、中继站或链路。在检测到持续的操作攻击时，端系统可希望

15、指示网络服务的提供者经不同的路由建立连接。公证机制：有关在两个或多个实体之间通信的数据的性质，如它的完整性、原发、时间和目的地等能够借助公证机制而得到确保。CNITSEC 刘作康24第24页，共138页。OSI安全服务和安全机制之间的关系安全服务加密数字签名访问控制数据完整鉴别交换业务填塞路由控制公证对等实体鉴别数据源鉴别访问控制服务连接机密性无连接机密性选择字段机密性流量机密性有恢复功能的连接完整性无恢复功能的连接完整性选择字段连接完整性无连接完整性选择字段非连接完整性源发方抗抵赖接收方抗抵赖YYYYYYYYYYYYYYYY Y Y YYYYYY Y Y Y YYY Y Y CNITSEC

16、刘作康25第25页，共138页。TCP/IP协议四层概念模型：应用层、传输层、网络层和网络接口层IP层是TCP/IP模型的网络层（不考虑网络接口），提供数据在源和目的主机之间通过子网的路由功能应用层传输层网络层CNITSEC 刘作康26第26页，共138页。OSI参考模型与TCP/IP的对应关系OSI参考模型TCP/IP协议集模型应用层表示层应用层会话层传输层传输层网络层互联网层数据链路层物理层网络接口层CNITSEC 刘作康27第27页，共138页。3.信息安全评测标准发展1999年 GB 17859 计算机信息系统安全保护等级划分准则1991年欧洲信息技术安全性评估准则（ITSEC）国际通

17、用准则1996年（CC1.0）1998年（CC2.0）1985年美国可信计算机系统评估准则（TCSEC）1993年 加拿大可信计算机产品评估准则（CTCPEC）1993年美国联邦准则（FC 1.0）1999年 国际标准ISO/IEC 154081989年 英国可信级别标准（MEMO 3 DTI）德国评估标准（ZSEIC）法国评估标准（B-W-R BOOK）2001年 国家标准GB/T 18336 信息技术安全性评估准则1993年美国NIST的MSFRCNITSEC 刘作康28第28页，共138页。美国TCSEC1970年由美国国防科学委员会提出。1985年公布。主要为军用标准。延用至民用。安全

18、级别从高到低分为A、B、C、D四级，级下再分小级。彩虹系列桔皮书：可信计算机系统评估准则黄皮书：桔皮书的应用指南红皮书：可信网络解释紫皮书：可信数据库解释CNITSEC 刘作康29第29页，共138页。美国TCSECD: 最小保护Minimal ProtectionC1: 自主安全保护Discretionary Security ProtectionC2: 访问控制保护Controlled Access ProtectionB1: 安全标签保护Labeled Security ProtectionB2: 结构化保护Structured ProtectionB3: 安全域保护Security D

19、omainA1: 验证设计保护Verified Design低保证系统高保证系统CNITSEC 刘作康30第30页，共138页。主要依据之间的关系可信设备指南安全特性用户手册测试文档.设计文档.11个安全策略：自主访问控制强制访问控制安全标签（8个）客体重用安全策略3个特性：标识和鉴别审计可信路径可控性9个安全保证特性：系统体系 隐蔽信道分析系统完整性 可信设备管理系统测试 可信恢复设计说明验证 配置管理保证确保支持文档操作者/管理员用户开发者/维护者安全策略：确定选择哪些控制措施，可控性：提出安全机制以确定系统人员并跟踪其行动。保证能力：给安全政策及可控性的实现提供保证。文档：存在哪些文档。

20、CNITSEC 刘作康31第31页，共138页。级别特征强度D相当于无安全功能的个人微机几乎没有保护C1非形式化定义安全策略模型，使用了基本的DAC控制；为用户提供身份鉴别；支持同组合作的敏感资源共享；可以包括穿透性测试。避免偶尔发生的操作错误与数据破坏；可以简单理解为操作系统逻辑级安全措施C2非形式化定义安全策略模型，使用了更加完善的DAC和客体的安全重用策略；比C1级增强的身份鉴别：唯一标识、身份标识与审计行为关联性；安全审计方面，可信计算基能够创建、维护对其所保护客体的访问审计记录，实施资源隔离。对一般性攻击具有一定抵抗能力；可以简单理解为操作系统逻辑级安全措施。B1保留了C2级的所有安

21、全策略；非形式化定义安全策略模型；使用了基于Bell LaPadula模型的强制访问控制MAC；采用了6个安全标识， 具有准确地标记输出信息的能力；分析和测试设计文档、源代码、客体代码。消除通过测试发现的任何错误；对一般性攻击具有较高的抵抗能力，但对渗透攻击的抵抗能力较低。CNITSEC 刘作康32第32页，共138页。级别特征强度B2形式化定义安全策略模型，TCB结构化；访问控制（DAC和MAC）扩展到所有主体和客体；引入了隐蔽信道分析；通过提供可信路径来增强鉴别机制；增强了配置管理控制；分开系统管理员和操作员的职能，提供可信设备管理有一定的抵抗高威胁的渗透入侵能力B3完好的形式化安全策略定

22、义，具有“访问监控器”（reference monitor）；TCB结构化，继承了B2级的安全特性；支持更强化的安全管理；扩展审计范围和功能机制，当发生与安全相关的事件时发出信号；提供系统应急恢复机制。有较高的抵抗高威胁的渗透入侵能力A1功能上与B3级相同；要求形式化分析、设计、验证；CNITSEC 刘作康33第33页，共138页。TCSEC的缺陷集中考虑数据机密性，而忽略了数据完整性、系统可用性等；将安全功能和安全保证混在一起安全功能规定得过为严格，不便于实际开发和测评按照TCSEC建设的系统失败的例子：英国1987年建CHOTS网络系统，B2级，1997年报废、关闭美国国防部花费25年、几

23、十亿的安全系统，多数已经过时报废CNITSEC 刘作康34第34页，共138页。欧洲多国安全评价方法的综合产物，军用，政府用和商用。以超越TCSEC为目的，将安全概念分为功能与功能评估两部分。功能准则在测定上分10级。15级对应于TCSEC的C1到B3。610级加上了以下概念：F-IN：数据和程序的完整性 F-AV：系统可用性F-DI：数据通信完整性 F-DC：数据通信保密性F-DX 包括机密性和完整性的网络安全评估准则分为6级： E1：测试 E2：配置控制和可控的分配 E3：能访问详细设计和源码 E4：详细的脆弱性分析 E5：设计与源码明显对应 E6：设计与源码在形式上一致。欧洲ITSECC

24、NITSEC 刘作康35第35页，共138页。欧洲ITSEC与TCSEC的不同安全被定义为机密性、完整性、可用性功能和质量/保证分开对产品和系统的评估都适用，提出评估对象（TOE）的概念产品：能够被集成在不同系统中的软件或硬件包；系统：具有一定用途、处于给定操作环境的特殊安全装置CNITSEC 刘作康36第36页，共138页。功能评估1预先定义的功能级I T S E C 保 证T C S E C分 级E 0DF -C1E 1C 1F C2E 2C 2F B1E 3B 1F B2E 4B 2F B3E 5B 3F B3E 6A 1CNITSEC 刘作康37第37页，共138页。功能评估2按功能分

25、类评估其声称的安全功能八个安全功能类标识和鉴别访问控制可控性客体重用审计准确性服务的有效性数据交换CNITSEC 刘作康38第38页，共138页。保证评估实现的正确性安全功能和机制的有效性：1.考虑所有使用的安全功能的适用性，2.考虑安全机制的强度，评估其抵挡直接攻击的能力3.如果有可利用的安全脆弱性，则保证为E0E0 E1 E2 E3 E4 E5 E6不可信 高度可信CNITSEC 刘作康39第39页，共138页。1989年公布，专为政府需求而设计与ITSEC类似，将安全分为功能性需求和保证性需要两部分。功能性要求分为四个大类：a 机密性 b 完整性 c 可用性 d 可控性在每种安全需求下又

26、分成很多小类，表示安全性上的差别，分级条数为05级。加拿大CTCPECCNITSEC 刘作康40第40页，共138页。 美国联邦准则(FC) 对TCSEC的升级，1992年12月公布引入了“保护轮廓（PP）”这一重要概念每个轮廓都包括功能部分、开发保证部分和评测部分。分级方式与TCSEC不同，吸取了ITSEC、CTCPEC中的优点。供美国政府用、民用和商用。CNITSEC 刘作康41第41页，共138页。GB 17859-1999 计算机信息系统安全等级划分准则第一级 用户自主保护级 第二级 系统审计保护级 第三级 安全标记保护级 第四级 结构化保护级 第五级 访问验证保护级 CNITSEC

27、刘作康42第42页，共138页。4.评估通用准则（CC ）国际标准化组织统一现有多种准则的努力结果；1993年开始，1996年出V 1.0, 1998年出V 2.0，1999年6月正式成为国际标准，1999年12月ISO出版发行ISO/IEC 15408；主要思想和框架取自ITSEC和FC；充分突出“保护轮廓”，将评估过程分“功能”和“保证”两部分；是目前最全面的评价准则CNITSEC 刘作康43第43页，共138页。 通用准则（CC）（续）国际上认同的表达IT安全的体系结构一组规则集一种评估方法，其评估结果国际互认通用测试方法（CEM）已有安全准则的总结和兼容通用的表达方式，便于理解灵活的架

28、构可以定义自己的要求扩展CC要求准则今后发展的框架CNITSEC 刘作康44第44页，共138页。评估上下文CNITSEC 刘作康45第45页，共138页。CC的结构以及目标读者 内容 用户 开发者 评估者 第1部分 简介和一般模型，定义了IT安全评估的一般概念和原理，提出评估的一般模型。 用于了解背景信息和参考。PP的指导性结构。 用于了解背景信息，开发安全要求和形成TOE的安全规范的参考。 用于了解背景信息和参考。PP和ST的指导性结构。 第2部分 安全功能要求，建立一系列功能组件作为表达TOE功能要求的标准方法。 在阐明安全功能要求的描述时作指导和参考。 用于解释功能要求和生成TOE功能

29、规范的参考。 确定TOE符合声明的安全功能时，作评估准则的强制描述。 第3部分 安全保证要求，建立一系列保证组件作为表达TOE保证要求的标准方法。 用于指导保证需求级别的确定。 当解释保证要求描述和确定TOE的保证措施时，用作参考。 确定TOE的保证和评估PP和ST时，作为强制描述。 CNITSEC 刘作康46第46页，共138页。本标准定义作为评估信息技术产品和系统安全特性的基础准则不包括属于行政性管理安全措施的评估准则不包括物理安全方面（诸如电磁辐射控制）的评估准则不包括密码算法固有质量评价准则应用范围CNITSEC 刘作康47第47页，共138页。关键概念评估对象 TOE(Target

30、of Evaluation)保护轮廓PP (Protection Profile）安全目标ST( Security Target）功能(Function)保证(Assurance)组件(Component)包(Package)评估保证级EAL( Evaluation Assurance Level）CNITSEC 刘作康48第48页，共138页。评估对象（TOE）产品系统子系统CNITSEC 刘作康49第49页，共138页。保护轮 廓（PP）表达一类产品或系统的用户需求组合安全功能要求和安全保证要求技术与需求之间的内在完备性提高安全保护的针对性、有效性安全标准有助于以后的兼容性同TCSEC级类

31、似CNITSEC 刘作康50第50页，共138页。PP的内容1 保护轮廓引言 11 PP标识 12 PP概述 标识PP，叙述性总结PP 2 TOE描述 TOE的背景信息 3 安全环境 31 假设 32 威胁 33 组织性安全策略 指明安全问题（要保护的资产、已知的攻击方式、TOE必须使用的组织性安全策略） 4 安全目的 41 TOE安全目的 42 环境安全目的 对安全问题的相应反应（包括非技术性措施） 5 IT安全要求 51 TOE安全功能要求 52 TOE安全保证要求 53 IT环境安全要求 CC第二部分的功能组件 CC第三部分的保证组件 IT环境中软件、硬件、固件要求 6 基本原理 61

32、安全目的基本原理 62 安全要求基本原理 目的和要求可以解决已指出的安全问题 7 应用注解 附加信息 CNITSEC 刘作康51第51页，共138页。安全目标（ST）IT安全目的和要求要求的具体实现实用方案适用于产品和系统与ITSEC ST 类似CNITSEC 刘作康52第52页，共138页。ST的内容CNITSEC 刘作康53第53页，共138页。功能/保证结构类（如用户数据保护FDP）关注共同的安全焦点的一组族，覆盖不同的安全目的范围子类（如访问控制FDP_ACC）共享安全目的的一组组件，侧重点和严格性不同组件（如子集访问控制FDP_ACC.1)包含在PP/ST/包中的最小可选安全要求集C

33、NITSEC 刘作康54第54页，共138页。组件CC将传统的安全要求分成不能再分的构件块用户/开发者可以组织这些要求到PP中到ST中组件可以进一步细化CNITSEC 刘作康55第55页，共138页。举例：类子类组件FIA 标识和鉴别 FIA_AFL 鉴别失败 FIA_ATD 用户属性定义 FIA_SOS 秘密的规范 类子类组件FIA_AFL.1鉴别失败处理FIA_ATD.1用户属性定义FIA_SOS.1 秘密的验证FIA_SOS.2 秘密的TSF生成CNITSEC 刘作康56第56页，共138页。安全要求的结构类（Class）子类（Family）子类（Family）组件组件组件组件功能和保证

34、PP/ST/包CNITSEC 刘作康57第57页，共138页。功能规范IT产品和系统的安全行为，应做的事CNITSEC 刘作康58第58页，共138页。安全功能要求类11类66个子类 135个组件CNITSEC 刘作康59第59页，共138页。保证对功能产生信心的方法CNITSEC 刘作康60第60页，共138页。安全保证要求APE类 - 保护轮廓PP的评估类ASE类 - 安全目标ST的评估类用于TOE的七个安全保证要求类CNITSEC 刘作康61第61页，共138页。TOE安全保证类保证类 保证子类 缩写名称 CM自动化 ACM_AUT CM 能力 ACM_CAP ACM 类：配置管理 CM

35、 范围 ACM_SCP 分发 ADO_DEL ADO类：交付和运行 安装、生成和启动 ADO_IGS 功能规范 ADV_FSP 高层设计 ADV_HLD 实现表示 ADV_IMP TSF内部 ADV_INT 低层设计 ADV_LLD 表示对应性 ADV_RCR ADV类：开发 安全策略模型 ADV_SPM 管理员指南 AGD_ADM AGD类：指导性文件 用户指南 AGD_USR 开发安全 ALC_DVS 缺陷纠正 ALC_FLR 生命周期定义 ALC_LCD ALC类： 生命周期支持 工具和技术 ALC_TAT 覆盖面 ATE_COV 深度 ATE_DPT 功能测试 ATE_FUN ATE类

36、：测试 独立性测试 ATE_IND 隐蔽信道分析 AVA_CCA 误用 AVA_MSU TOE安全功能强度 AVA_SOF AVA类：脆弱性评定 脆弱性分析 AVA_VLA CNITSEC 刘作康62第62页，共138页。包IT安全目的和要求功能或保证要求（如EAL）适用于产品和系统与ITSEC E-级类似CNITSEC 刘作康63第63页，共138页。评估保证级（EAL）预定义的保证包公认的广泛适用的一组保证要求CNITSEC 刘作康64第64页，共138页。CC 第一部分概念和模型第65页，共138页。安全概念和关系所有者威胁主体资产措施弱点风险威胁拥有引起到希望滥用最小化增加到利用导致减

37、少可能具有可能被减少利用可能意识到CNITSEC 刘作康66第66页，共138页。评估环境评估准则评估方法最终评估结果评估方案评估批准/ 证明证书/ 注册CNITSEC 刘作康67第67页，共138页。TOE开发模型CNITSEC 刘作康68第68页，共138页。TOE评估过程 安全需求（PP、ST)开发TOETOE和评估评估结果 评估准则评估方案评估方法操作TOE反馈评估TOECNITSEC 刘作康69第69页，共138页。TOE物理环境建立安全环境假设建立安全目的建立安全要求资产保护需求TOE目的威胁组织安全政策安全目的功能要求保证要求环境要求建立TOE概要规范TOE概要规范通用准则要求目

38、录安全规范材料(PP/ST)安全需求材料（PP/ST）安全目的材料(PP/ST)安全环境材料(PP/ST)安全要求或规范的产生方式CNITSEC 刘作康70第70页，共138页。CC 第二部分安全功能要求第71页，共138页。安全功能要求的表达形式类（Class）族（Family）族（Family）组件组件组件组件CNITSEC 刘作康72第72页，共138页。安全功能要求功能类名所含子类（族）数安全审计6通 信2密码支持3识别和鉴别6用户数据保护13隐 私4安全功能保护16资源利用3访问控制3可信通道2安全管理6CNITSEC 刘作康73第73页，共138页。安全功能要求组件标识FDP_IF

39、F.4.2F-功能要求,A-保证要求DP-保护用户数据类IFF-信息流控制功能族4-第四个组件2-第二个元素CNITSEC 刘作康74第74页，共138页。FAU类:安全审计1、安全审计自动响应（FAU_ARP）2、安全审计数据产生（FAU_GEN）3、安全审计分析（FAU_SAA）4、安全审计查阅（FAU_SAR）5、安全审计事件选择（FAU_SEL）6、安全审计数据存贮（FAU_STG）CNITSEC 刘作康75第75页，共138页。FCO类：通信1、原发抗抵赖（FCO_NRO）2、接收抗抵赖（FCO_NRR）CNITSEC 刘作康76第76页，共138页。FCS类：密码支持1、密钥管理（

40、FCS_CKM）2、密码运算（FCS_COP）CNITSEC 刘作康77第77页，共138页。FDP类：保护用户数据1、访问控制策略（FDP_ACC）2、访问控制功能（FDP_ACF） 3、数据鉴别（FDP_DAU）4、输出到TSF控制范围之外（FDP_ETC）5、信息流控制策略（FDP_IFC）6、信息流控制功能（FDP_ICF）7、从TSF控制范围之外输入（FDP_ITC）8、TOE内部传输（FDP_ITT）9、剩余信息保护（FDP_RIP） 10、反转（FDP_ROL）11、存储数据的完整性（FDP_SDI）12、TSF间用户数据机密性的传输保护（FDP_UCT）13、TSF间用户数据完

41、整性的传输保护（FDP_UIT）CNITSEC 刘作康78第78页，共138页。FIA类：标识和鉴别1、鉴别失败（FIA_AFL）2、用户属性定义（FIA_ATD）3、秘密的规范（FIA_SOS）4、用户鉴别（FIA_UAU）5、用户标识（FIA_UID）6、用户_主体绑定（FIA_USB）CNITSEC 刘作康79第79页，共138页。FMT类：安全管理1、TSF中功能的管理（FMT_MOF）2、安全属性的管理（FMT_MSA）3、TSF数据的管理（FMT_MTD）4、撤消 （FMT_REV）5、安全属性到期（FMT_SAE）6、安全管理角色（FMT_SMR）CNITSEC 刘作康80第80

42、页，共138页。FPR类：秘密1、匿名（FPR_ANO）2、假名（FPR_PSE） 3、非关联性（FPR_UNL）4、无观察性（FPR_UNO）CNITSEC 刘作康81第81页，共138页。FPT类：TOE安全功能（TSF）的保护1、根本的抽象机测试（FPT_AMT）2、保护失败（FPT_FLS）3、TSF输出数据的有效性（FPT_ITA）4、TSF输出数据的机密性（FPT_ITC）5、输出TSF数据的完整性（FPT_ITI）6、TOE内TSF 数据交换（FPT_ITT）7、TSF物理保护（FPT_PHP）8、信任恢复（FPT_RCV）9、重复检测（FPT_RPL）10、参考调解器（FPT_

43、RVM）11、域分离（FPT_SEP）12、状态同步协议（FPT_SSP）13、时间标志（FPT_STM）14、TSF内部的TSF数据的一致性（FPT_TDC）15、内部TOE TSF数据复制的一致性（FPT_TRC）16、TSF自测试（FPT_TST）CNITSEC 刘作康82第82页，共138页。FRU类：资源利用1、容错（FRU_FLT）2、服务优先级（FRU_PRS）3、资源分配（FRU_RSA）CNITSEC 刘作康83第83页，共138页。FTA类：TOE访问1、可选属性范围限定（FTA_LSA）2、多重并发会话限定（FTA_MCS）3、会话锁定（FTA_SSL）4、TOE访问方法

44、（FTA_TAB）5、TOE访问历史（FTA_TAH）6、TOE会话建立（FTA_TSE）CNITSEC 刘作康84第84页，共138页。FTP类：可信路径/通道1、TSF间可信信道（FTP_ITC）2、可信路径（FTP_TRP）CNITSEC 刘作康85第85页，共138页。安全功能要求应用 用于构成PP中IT安全要求的TOE安 全功能要求 用于构成ST中IT安全要求的TOE安 全功能要求CNITSEC 刘作康86第86页，共138页。安全功能要求-1标识和鉴别安全要求CC第二部分登录控制用户标识FIA_UID.1-2用户鉴别FIA_UNI.1-2重复登陆失败限制FIA_AFL.1可信路径F

45、IP_TRP访问时间限制FIA_TSE.1口令字选择控制用户生成的口令字选择FIA_SOS.1自动生成口令字FIA_SOS.2口令自生命期限制FMT_SAF.1CNITSEC 刘作康87第87页，共138页。安全功能要求-2访问控制CNITSEC 刘作康88第88页，共138页。安全功能要求-3安全审计CNITSEC 刘作康89第89页，共138页。安全功能要求-4完整性CNITSEC 刘作康90第90页，共138页。安全功能要求-5私密CNITSEC 刘作康91第91页，共138页。安全功能要求-6适用性CNITSEC 刘作康92第92页，共138页。安全功能要求-7数据交换CNITSEC

46、刘作康93第93页，共138页。CC 第三部分安全保证要求第94页，共138页。保证要求细分类CNITSEC 刘作康95第95页，共138页。评估保证级（EAL）EAL1功能测试EAL2结构测试EAL3系统地测试和检查EAL4系统地设计、测试和复查EAL5半形式化设计和测试EAL6半形式化验证的设计和测试EAL7形式化验证的设计和测试CNITSEC 刘作康96第96页，共138页。EAL1功能测试EAL1适用于安全的威胁并不严重的场合TOE的功能与其文档在形式上是一致的，并且对已标识的威胁提供了有效的保护。利用功能和接口的规范以及指导性文档，对安全功能进行分析，进行独立性测试保证组件： ACM

47、_CAP.1 版本号ADO_IGS.1 安装、生成和启动程序ADV_FSP.1 非形式化功能规范ADV_RCR.1非形式化对应性论证AGD_ADM.1 管理员指南AGD_USR.1用户指南ATE_IND.1 一致性CNITSEC 刘作康97第97页，共138页。安全保证级别1(EAL1)CNITSEC 刘作康98第98页，共138页。EAL2结构测试EAL2适用于在缺乏现成可用的完整的开发记录时，开发者或使用者需要一种低到中等级别的独立保证的安全性。 增加：ACM_CAP.2 配置项ADO_DEL.1 交付程序ADV_HLD.1 描述性高层设计 *ATE_COV.1 范围证据ATE_FUN.1

48、 功能测试ATE_IND.2 独立性测试抽样AVA_SOF.1 TOE安全功能强度评估*AVA_VLA.1开发者脆弱性分析*CNITSEC 刘作康99第99页，共138页。安全保证级别2(EAL2)CNITSEC 刘作康100第100页，共138页。EAL3系统地测试和检查EAL3适用于开发者或使用者需要一个中等级别的安全性，和不需要再次进行真正的工程实践的情况下，对TOE及其开发过程进行彻底检查。增加组件：ACM_CAP.3 授权控制ACM_SCP.1 TOE 配置管理（CM）范围ADV_HLD.2 安全加强的高层设计*ALC_DVS.1 安全措施标识*ATE_COV.2 范围分析ATE_D

49、PT.1 测试：高层设计AVA_MSU.1 指南审查CNITSEC 刘作康101第101页，共138页。安全保证级别3(EAL3)CNITSEC 刘作康102第102页，共138页。EAL4系统地设计、测试和复查EAL4适用于：开发者或使用者对传统的商品化的TOE需要一个中等到高等级别的安全性，并准备负担额外的安全专用工程费用。增加组件：ACM_AUT.1 部分配置管理（CM）自动化ACM_CAP.4 产生支持和接受程序ACM_SCP.2 跟踪配置管理（CM）范围问题ADO_DEL.2 修改检测ADV_FSP.2 完全定义的外部接口*ADV_IMP.1 TSF实现的子集*ADV_LLD.1 描

50、述性低层设计*ALC_LCD.1 开发者定义的生命周期模型ALC_TAT.1 明确定义的开发工具AVA_MSU.2 分析确认AVA_VLA.2 独立脆弱性分析*(穿透性测试）CNITSEC 刘作康103第103页，共138页。安全保证级别4(EAL4)CNITSEC 刘作康104第104页，共138页。EAL5半形式化设计和测试TOE安全策略的形式化模型，功能规范和高层设计的半形式化表示，及它们之间对应性的半形式化论证。还需模块化的TOE设计。这种分析也包括对开发者的隐蔽信道分析的确认 增加组件：ACM_SCP.3 开发工具配置管理（CM）范围ADV_FSP.3 半形式化功能规范*ADV_HL

51、D.3 半形式化高层设计*ADV_IMP.2 TSF实现ADV_INT.1 模块化*ADV_RCR.2半形式化对应性论证*ADV_SPM.3形式化TOE安全策略模型ALC_LCD.2 标准化生命周期模型*ALC_TAT.2 遵从实现标准ATE_DPT.2 测试：低层设计*AVA_CCA.1 隐蔽信道分析*AVA_VLA.3 中级抵抗力CNITSEC 刘作康105第105页，共138页。安全保证级别5(EAL5)CNITSEC 刘作康106第106页，共138页。EAL6半形式化验证的设计和测试低层设计的半形式化表示 结构化的开发流程 增加组件：ACM_AUT.2 完全配置管理（CM）自动化AC

52、M_CAP.5 高级支持ADV_HLD.4 半形式化高层解释ADV_IMP.3 TSF的结构化实现ADV_INT.2 复杂性降低ADV_LLD.2半形式化低层设计ALC_DVS.2 安全措施的充分性ALC_TAT.3 遵从实现标准所有部分ATE_COV.3 范围的严格分析ATE_FUN.2 顺序的功能测试AVA_CCA.2系统化隐蔽信道分析AVA_MSU.3 对非安全状态的分析和测试AVA_VLA.4 高级抵抗力CNITSEC 刘作康107第107页，共138页。安全保证级别6(EAL6)CNITSEC 刘作康108第108页，共138页。EAL7形式化验证的设计和测试EAL7的实际应用目前只

53、局限于一些TOE，这些TOE非常关注能经受广泛地形式化分析的安全功能功能规范和高层设计的形式化表示增加组件：ADO_DEL.3 修改预防ADV_FSP.4 形式化功能规范ADV_HLD.5 形式化高层设计ADV_INT.3 复杂性最小化ADV_RCR.3 形式化对应性论证ALC_LCD.3 可测量的生命周期模型ATE_DPT.3 测试：实现表示ATE_IND.3 独立性测试全部CNITSEC 刘作康109第109页，共138页。安全保证级别7(EAL7)CNITSEC 刘作康110第110页，共138页。评估保证级（EAL）CNITSEC 刘作康111第111页，共138页。形式化有三种类型的

54、规范风格：非形式化、半形式化和形式化。功能规范、高层设计、低层设计和TSP模型都将使用以上一种或多种规范风格来书写。非形式化规范就是象散文一样用自然语言来书写。 半形式化规范就是用一种受限制的句法语言来书写，并且通常伴随着支持性的解释(非形式化)语句。这里的受限制句法语言可以是一种带有受限制句子结构和具有特殊意义的关键字的自然语言，也可以是图表式的(如数据流图、状态转换图、实体关系图、数据结构图、流程或程序结构图)。 形式化规范就是用一套基于明确定义的数学概念的符号来书写，并且通常伴随着支持性的解释(非形式化)语句。 CNITSEC 刘作康112第112页，共138页。各部分关系子类C1C2C

55、3Cn功能(CC PART 2)保证 (CC PART 3)FamilyC1C2C3CnFamilyC1C2C3Cn子类C1C2C3Cn子类C1C2C3Cn子类C1C2C3Cn功能类保证类功能包为构建PP或ST而选取的一组可重复使用的功能要求评估保证级1评估保证级2评估保证级3评估保证级n保护轮廓包括一个CC评估保证级的一组可重复使用且完备的安全要求。安全目标包括一个CC评估保证级的描述TOE的一组完备要求。可包括保护轮廓、要求和/或其他非CC要求。 选择性扩充（非CC）安全要求CNITSEC 刘作康113第113页，共138页。各个标准测评级别的对应CC GB17859安全等级 T C S

56、E C C T C P E C I T S E C D T-0 E0 EAL1 - T- 1 - EAL2 第一级 C 1 T- 2 E 1 EAL3 T- 3 E 2 EAL4 第二级 第三级 C 2 B 1 T- 4 E 3 EAL5 第四级 B 2 T- 5 E 4 EAL6 第五级 B 3 T- 6 E 5 EAL7 A 1 T- 7 E 6 CNITSEC 刘作康114第114页，共138页。5. PP/ST产生指南CNITSEC 刘作康115第115页，共138页。为既定的一系列安全对象提出功能和保证要求的完备集合可复用集合 - 对各种应用的抽象希望和要求的陈述PP定义CNITSE

57、C 刘作康116第116页，共138页。什么是PP？用户要求陈述用户希望达到什么程度主要针对: 业务/商业拥有者对用户、开发者、评估者和审计者都有用系统设计文档将几级要求细化成特定的需求一致性需求符合用户的要求CNITSEC 刘作康117第117页，共138页。谁用PP？PP是用户要求的根本陈述理想的“使用”团体应当拥有PP并驱动PP的开发从开发者、评估者、审计者和校准者那里得到输入用户理解任务/商业并能陈述希望怎样的评估对象（TOE）不希望怎样的TOE其他卖主难于陈述产品不做什么安全技术专家常常不能完全理解用户要求CNITSEC 刘作康118第118页，共138页。PP要点CNITSEC 刘

58、作康119第119页，共138页。范围：PP的适用范围引用标准：与TOE实现相关的其他信息技术标准术语定义和记法约定：一些便于理解PP的术语和PP中相关记法的约定TOE描述：TOE的一般信息TOE类型一般TOE功能TOE界限TOE操作环境有关TOE的主要假设 PP要点（续）CNITSEC 刘作康120第120页，共138页。TOE安全环境：定义TOE “安全需求”的特征和范围假设：如果环境满足该假定，TOE被认为是安全的威胁：包括TOE及其环境需要保护的特定资产所面临的与TOE安全操作相关的威胁组织安全策略：TOE必须遵守的任何组织安全策略和规则PP要点（续）CNITSEC 刘作康121第12

59、1页，共138页。有关环境的假设对资产的威胁组织安全策略安全需求定义TOE安全环境CNITSEC 刘作康122第122页，共138页。环境安全目的TOE安全目的安全目的：意在对抗确定的威胁，满足确定的组织安全策略和假定的陈述PP要点（续）在确定安全目的时，需要确保每个已知的威胁，至少有一个安全目的对抗；每个已知的组织安全策略，至少有一个安全目的来满足。在对抗威胁方面主要有预防、检测和纠正三种目的。CNITSEC 刘作康123第123页，共138页。威胁组织安全策略假设安全需求TOEIT环境非IT安全要求TOE 目的环境目的安全目的IT安全要求安全目的桥梁作用CNITSEC 刘作康124第124页，共138页。IT安全要求TOE安全要求IT环境安全要求TOE安全功能要求TOE安全保证要求PP要点（续）CNITSEC 刘作康125第125页，共138页。安全功能要求安全保证要求IT环境安全要求TOE 安全目的IT环境安全目的ISO/IEC 15408第二部分ISO/IEC 15408第三部分IT安全要求赋值、反复、选择和细化CNITSEC 刘作康126第126页，共138页。PP要点（续）PP应用注解：对开发、评估或使用TOE