CC标准与CC认证简介(ISO15408)

1、CC标准与cc认证简介、标准简介1. 背景1CC标准的发展1.2 CC标准的意义1.3 CC标准的局限性2. CC标准内容简介2.1 CC第1部分2.2 CC第2部分2.3 CC第3部分二、CC认证简介1. CC认证简介1.1第三方权威机构：1.2认证的主要活动：编制和修订认证文档：TOE样胡测试：现场审査。13认证的过程2. CC认证文档2PP理解2.2 ST理解2.3文档编写的仃关注意事项标准简介1.背景1.1 CC标准的发展1.1.1背景随着信息技术的快速发展，信息技术的应用I益渗透到政府、企业、团体、军队、家庭、 个人等补会和经济的各个角落，并日益深刻的改变着人们传统的匸作模式、商业模

2、式、管理 模式和生活模式。伴随希信息技术的快速发展和全而应用，信息安全的币：要性也ri益凸现出來。it产品和 系统拥有的信息资产是能使组织完成比任务的关键资源。因此，人们耍求IT产品和系统具 备充分的安全性來保护IT产品和系统内信息资产的保密性、完整性和可用性。随着技术的E速发展、社会分工的进一步细化，加剧了组织与顾客Z间的信息不对称。 许茹IT用户缺乏判断其IT产品和系统的安全性是否恰当的知讲、经验和资源，他们并不希 望仅仅依赖开发打的声明。用户可借助对IT产品和系统的安全分析（即安全评估）來增加 他们对贰安全措施的信心。由此产生了对JTT产胡和系统的安全性评估准则的需求。11.2发展在藥个

3、安全性评估准则的发展历程中，有三个非常逍耍的里程偉式的标准：TCSEC、 ITSEC和CC标准。 TCSECTCSEC是“町信计算机系统评估准则”的英文缩写。> 是由美国国防部J* 1985年开发的，是彩虹系列丛书0，即桔皮书：> 主耍用军申领域，后延用至民用，主要针对保密性而言：> 重点是通用的操作系统，为了使其评估方法适用网络，1987年出版了一系列 关丁可信计算机数据库和可信计算机网络等的指南（俗称彩虹系列）。我国J- 1999年将直转化为GBAT17859计算机信息系统安全防护等级划分准则，甚 本等同TCSEC o氏主耍缺点在J-：1. 主要关注于保密性

4、，不关注可用性和完整性。2. 强调的是控制用户，没右关注程序上的、物理上的和人员的安全措施。3. 并没勺关注网络（后续出版的书籍弥补了这一不足）。 ITSECITSEC是信息技术安全件评估准则的英文缩写。> 1991年，由西欧四国（英、法、荷、德）联合提出了 ITSEC；> 比TCSEC更宽松，目的是适应各种产品、应用和环境的缶耍，试图超越TCSEC：> 首次提出了 C.I.A概念：> 将安全要求分为“功能”和“保证”两部分： 功能：为满足安全要求而采取的一系列技术安全措施： 保证：确保功能正确实现及令效性的安全措施. CCCC是通用准则的英

5、文缩写。1996年六国七方签署了信息技术安全评佔通用准则即CCl.Oo 1998年矣国、英国、 加拿大、法国和德国共同签署了持面认可协议后来这标准称为CC标准，即CC2.0.CC2.0 版J- 1999年成为国际标准ISO/IEC 15408,我国F 2001年等同采用为GB/T 18336。目前已经有17个国家签署了互认协议，即一个IT产品在英国通过CC评佔以后，那么 在美国就不需要再进行评估了，反Z亦然。目前我国还未加入互认协议。1.2 CC标准的意义CC的意义在J：>通过评估冇助r增强用户対jtt产品的安全信心；> 促进IT产品和系统的安全性：> 消除璽复的评估。1.3

6、 CC标准的局限性A 8标准采用半形式化语言，比较难以理解；> 8不包括那些打IT安全描施没仃直接关联的、M J彳亍政性管理安全描施的评佔准 贝IJ,即该标准并不关注J：组织、人员、环境、设备、网络等方而的見体的安全措施；> 8甫点关注人为的威胁，对于其他威胁源并没有考虑；> 并不针对IT安全性的物理方面的评估（如电幽干扰）；> 8并不涉及评估方法学；> 8不包括密码算法固冇质吊的评估。2. CC标准内容简介21 CC标准的第1部分介绍了 CC标准中的一般性概念、相关的背景知识并引入了儿个安全模型。CC标准的 第1部分的掌握程度对J标准的后续部分的理解至关重要。2

7、.1.1 CC标准的内容梗概1. 范围2. 引用标准3. 定义> 通用缩略语、术语表的范围、术语表4. 概述> 引言、CC的口标读者、评估上下文、CC的文档组织5. 一般模型> 安全上下文、CC方法、安全概念、CC描述材料、评估类型、保证的维护6. 通用准则耍求和评估结來> 引言、PP和ST耍求、TOE内的耍求、评估结果的声明、TOE评估结果的用 用附录A：通用准则项目附录B： PP规范附录C： ST规范2.1.2安全模型（注意与13335中的相应图表的区别）希望滥用或破坏图3安全概念和关系安全 环境 材料(PP/ST)安全 n的 材料(PP/ST)安全 要求 材料(P

8、P/ ST)安全 规范 材料(PP/ST)图4要求和规范的导出图5耍求的组织和结构2.2 CC标准的第2部分第二部分定义了 CC的安全功能耍求。安全功能耍求分为11类包括：审计（FAU）.密 码支持（FCS）、通信（FCO）、用户数据保护（FDP）、识别和鉴权（FIA）、安全管理（FMT）、 隐私（FPR）. TSF保护（FPT）、资源利用（FRU）、TOE访问（FTA）和可信路径/通道（FTP）。2.3 CC的第3部分定义了 CC的安全保证要求。安全保证耍求分为10类，保护轮廓评估（APE）、安全口 标评估（ASE）、配置管理（ACM）、交付和运行（ADO）、开发（ADV）、指导性文档（AG

9、D）、 牛命周期支持（ALC）、测试（ATE）、脆弱性评估（AVA）和保障维护（AMA）«1. CC认证简介11第三方权威机构；为了确保认证过程的公正、公开，冃前国家的认证认可机构为中国国家信息安全产品测 评认证中心。预计J; 2005年，国际认证认可监督委员会将认证权上收，中国国家信息安全 产品测评认证中心将仅仅履行评估和测评任务。1.2认证的主要活动> 编制和修订认证文档：认证活动中最主耍的一项丁作就是提交并修订并类认证文档。认证文档所需的文档 会根据所申请的EAL级别的不同而略有不同。但是一些常见的文档，如，功能规范、 高层设计、低层设计等文档还是需耍的。> TOE

10、样&测试TOE的样胡测试也需耍较长的时间。测试的依据就是提交的各类文档。> 现场审查。通过査阅文件和记录、现场观察和询问等方式进行现场审核。13认证的过程卜图阐述了认证的主要过程。认证2. CC认证文档2.1 PP理解PP : An i 叩I errentat i on-i ndependent set of securi ty requi renents for a category of TCEs t hat rreet speci f i c consurrer need.一满足特定用户需求、与一类TCE实现无关的一组安全耍求。其含义可以理解为：&为既泄的一类产品和

11、系统提出安全功能和保证要求的完备的组介，农达了-类产品和系统的用户要求：< PP与某个其体的TCE无关，它定义的是用户対这类TCE的安全要求；。主要内容包括：盂耍保护的对彖：确定安全环境；TCE的安全LI的；IT安全要求：基本原理；。 在标准体系中PP相当于产胡标准，也占助F过程规范性标准的开发：< 国内外已经对应用级防火墙、包过滤防火墙、智能卡、106、PM等开发了相应的 PP。其内容见下图:TOE安全功能塑求TOE安全保证要求图保护轮廓内容PP内容简述注：该PP内容简述只是针对一般性PP而言,具体的PP可能会对内容略有变更。为了便于 理解.増加了目前国内某一类TOE的PP作为索

12、引.项目内容对应的索引内容1.PP引言1.1 PP标识标识PP1.1范围1.2.引用标准1.3术语和定义1.2 PP概述叙述性概新PP2. TOE描述2TOE描述概述TOE2TOE概述2.2其他方而的槪述3TOE安全环境3.1假设描述环境的安全问题3资产：资产包括TOE本勺所涉及的资产，也包括 TOE被预期用来保护的资产3.2假设:从多个方面闸述存在于TOE的使用环境中 的特定条件。3.3威胁3.3对TOE的威胁在使用坏境中对TOE的威胁 331.1对TOE的物理攻击威胁.2对TOE的逻辑攻击威胁.3与不充分说明相关的威胁3.3丄1.4与不可预测的相互

13、作用相关 的威胁.5有关密码功能的威胁 331.1.6监视佶息的威胁其他备种威胁33.1.2在使用环境中对TOE的威胁 3.3.121与信息汛漏相关的威胁 33122对彖窃取相关的威胁 33123与信息修改相关的威胁3.3.2对TOE使用环境的威胁3.4组织安全笫略3.2威胁描述对资产的威胁3.3组织安全策略TOE必须遵守的组织安全策 略4.安全目的4TOE安全口的说明TOE安全目的4TOE安全目的4.2环境安全目的4.2环境安全目的说明环境安全13的项目内容对应的索引内容5. IT安全要求5TOE安全要求5.1.1 TOE安全功能耍 求5.1.2 TOE安全保证

14、耍求陈述安全耍求，包括功能和保证安全耍求：从GB/T18336的第2部分中 提取适当的功能组件：从GB/r 18336的第3部分中 提取适当的保证组件.5.1信息技术安全耍求5.1.1信息技术的安全功能要求列出从GB/T18336的第2部分中提取的适 当的功能组件，并予以解释5丄2信息技术的安全保证耍求列出从GB/T 18336的第3部分中提取的适 当的保证组件，并予以解禅5.2信息技术环境安全耍求列出了应用到信息技术环境中的安全功能 组件，并予以解禅.5.2 1T环境安全嬰求陈述IT环境安全耍求6. PP应用注释6.1 PP应用注释额外的支持信息6TOE的特点6.2安全功能管理7.基本原理7

15、.1安全目的基本原理阐明安全目的可追溯到在 TOE安全环境里指明的所有 方面,并且能够覆盖所有方 而7.1安全目的基本廉理*TOE的安全目的能够对付所冇可能的威胁、 假设和组织的安全策略，即毎一种威协、假 设和组织的安全策略都至少有一个或一个 以上的安全口的与之对应，因此是完备的： 没冇一个安全目的没冇相应的威胁、假设和 组织安全策略与之对应，这证明每一个安全 U的都是必烫的：没冇多余的安全F1的不对应威胁、假设和组 织的安全策略，因此说明了安全冃的是充分 的"7.2安全嘤求基本僚理说明了安全要求的充分必啞性基木原理，即 每一个安全n的都至少有一个安全耍求（包 括功能耍求或保证婆求）

16、组件与其对应，每 一个安全要求都至少解决了一个安全目的， 因此，安全保证耍求对安全冃的而言足充分 和必要的。7.3满足依赖关系的基本原理在选収安全耍求组件时，必须满足所选组件 之间的相互依赖关系，列出所选安全功能要 求组件和安全保证耍求纽件之间的依赖关 系。7.2安全婆求基木脈理闸明系列安全坏境的功能和 保证要求组件相结合，能满 足所述的安全目的2.2 ST理解一作为指定的TCE评佔基础的-组安全耍求和规范。ST： Aset of securi t y requi rements and speci f i cat i ons to be used as t he basi s f or ev

17、al uat i on of an i dent i f i ed TCE其含义包括： ST是针对fl体TCE而言，它包祗该TCE的安全要求和用满足安全耍求的特定安全功 能和保证措施。 ST包含的技术要求和保证措施可以鬥接引用该TCE所属产品和系统类的PP： ST是开发者、评佔者和用戸在TCE安全性和评估范阳Z间达成一致的堆础； ST相当丁是产品和系统的实现方案。苴具体内容见卜图:TOE安令功能愛求TOE安全保证要求图2安全忖标内容1ST标题: 版本号： 编制口期: 校对口期: 审核H期: 批准H期:1.1.2TOE名称： 其他相关信息本ST是TOE的安全I标，描述了 TOE的系统结构、物理以

18、及逻辑的范国和边界，分 析了 TOE预期用法和使用环境，标识并解释了已知的或假定的対J： TOE及梵环境保护 的资产的威胁和必须遵循的组织安全策略。为J'达到针对TOE及览环境所定义的安全 目的，提出了一组安全要求，RM TOE安全功能要求和安全保证耍求，以及IT环境安 全耍求。在概耍规范中描述了 TOE提供的安全功能和实现安全功能的保证描施。本文 最厉阐述了 TOE的安全环境、安全忖的、安全要求和安全功能之间相互对应的的皋本 原理，从而证明满足本ST陈述的TOE提供的安全功能和保证措施是PP屮确定的完整 的、紧密结介的安全耍求集介的实现。保证措施与PP中的EALX级的要求相-致。a)

19、 TOE符介GB/T 18336.12001信息技术安全技术信息技术安全性评估准则第1 部分：简介和一般模型的一般模型的要求。b) TOE的安全功能婆求子集遵循GB/T 18336.2-2001信息技术安全技术信息技术 安全性评估准则第2部分：安全功能要求。c) TOE在安全保证耍求上符TGB/T 18336.3-2001信息技术安全技术信息技术安 全性评估准则第3部分：安全保证耍求中的安全评估保证X级的耍求。d) TOE与PP是一致的。2.1.1 TOE 概述TOE应用环境5. IT安全要求5.2 IT环境安全要求（与PP基本一致）6. TOE概要规范6TOE安全功能6.2 TOE安全功能要

20、求的实现（即对TOE安全功能的解释）6.3安全保证措施的实现6.4环境安全功能7. PP声明：TOE符合PP要求的程度8.基本原理（从PP而来）8.3 TOE概要规范基本原理8.3.1安全功能基本原理8.3.2安全保证要求的基本原理8.4满足依赖关系的基本原理8.1安全目的基本原理（从PP而来）下面的表&1、表&2、表&3、表8.4说明了 TOE的安全目的能对付所有可能的威胁、假 设和组织安全策略，即每一种威胁、假设和组织安全策略都至少有一个或一个以上安全目的 与其对应，因此是完备的.没有一个安全目的没有相应的威胁、假设和组织安全策略与之对 应，这证明每一个安全目的都是

21、必要的；没有多余的安全目的不对应威胁、假设和组织安全 策略，说明了安全目的是充分的。表与目的相关的威胁威胁对应的目的表&2与目的相关的组织安全策略策峪对应的目的表&3与目的相关的假设假设对应的目的表&4与环境考虑相关的安全目的环境对应的目的8.2安全要求基本原理（从PP而来）下面的表&5、表&6表&7说明了安全要求的充分必要性基本原理，即每一个安全目的 都至少有一个安全要求（包括功能要求或保证要求）组件与其对应，每一个安全要求都至少 解决了一个安全目的，因此安全要求对安全目的而言是充分和必要的。表&5与安全目的相关的安全要求组件安全目的对

22、应的安全要求组件表8.6与安全功能要求相关的安全目的安全功能要求对应的安全目的表8.7与安全保证要求相关的安全目的安全保证要求对应的安全目的8.3 TOE概要规范基本原理83.1安全功能基本原理下面的表&乩 表&9说明了 TOE M要规范安全功能基本原理。即每一个安全功能至少有一个安全功能要求组件与其对应，每一个安全功能要求至少对应于一个安全功能，因此TOE卡实现的安全功能完全满足安全功能的要求. 表&8与安全功能要求相关的安全功能安全功能要求安全功能要求名称对应的安全功能表&9与安全功能相关的安全功能要求TOE实现的安全功能对应的安全功能组件83.2安全保证要求的基本原理表&10说明了 TOE概要规范安全保证基本原理。即每一个安全保证要求组件都至少有一个安全保证措施与其对应，因此TOE的安全保证描施完全满足安全保证要求. 表&10与安全保证要求相关的保证措施保证要求组件组件名称保证措施（见下列文档）8.4满足依赖关系的基本原理（从PP而来）在选取安全要求组件时，TOE必须满足所选组件之间的相互依赖关系，表8.1L表&12分别列出了所选安全功能要求组件和安全保证要求组件的依赖关系。 表8.11安全功能组件依赖关系表功能组件依赖关系表&12安全保