信息技术安全评估准则发展过程课件

SecurityRiskAssessment--historyanddevelopmentSecurityRiskAssessment--hist2标准介绍信息技术安全评估准则发展过程

可信计算机系统评估准则（TCSEC）可信网络解释（TNI）通用准则CC《计算机信息系统安全保护等级划分准则》

信息安全保证技术框架《信息系统安全保护等级应用指南》

2标准介绍信息技术安全评估准则发展过程3信息技术安全评估准则发展过程

20世纪60年代后期，1967年美国国防部（DOD）成立了一个研究组，针对当时计算机使用环境中的安全策略进行研究，其研究结果是“DefenseScienceBoardreport”70年代的后期DOD对当时流行的操作系统KSOS，PSOS，KVM进行了安全方面的研究

3信息技术安全评估准则发展过程20世纪60年代后期，1964信息技术安全评估准则发展过程80年代后，美国国防部发布的“可信计算机系统评估准则（TCSEC）”（即桔皮书）后来DOD又发布了可信数据库解释（TDI）、可信网络解释（TNI）等一系列相关的说明和指南

90年代初，英、法、德、荷等四国针对TCSEC准则的局限性，提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”（ITSEC），定义了从E0级到E6级的七个安全等级

4信息技术安全评估准则发展过程80年代后，美国国防部发布的“5信息技术安全评估准则发展过程加拿大1988年开始制订《TheCanadianTrustedComputerProductEvaluationCriteria》（CTCPEC）

1993年，美国对TCSEC作了补充和修改，制定了“组合的联邦标准”（简称FC）

国际标准化组织（ISO）从1990年开始开发通用的国际标准评估准则

5信息技术安全评估准则发展过程加拿大1988年开始制订《Th6信息技术安全评估准则发展过程在1993年6月，CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来，将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则

发起组织包括六国七方：加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA，他们的代表建立了CC编辑委员会（CCEB）来开发CC

6信息技术安全评估准则发展过程在1993年6月，CTCPEC7信息技术安全评估准则发展过程1996年1月完成CC1.0版

,在1996年4月被ISO采纳

1997年10月完成CC2.0的测试版

1998年5月发布CC2.0版

1999年12月ISO采纳CC，并作为国际标准ISO15408发布

7信息技术安全评估准则发展过程1996年1月完成CC1.0版8安全评估标准的发展历程

桔皮书（TCSEC）1985英国安全标准1989德国标准法国标准加拿大标准1993联邦标准草案1993ITSEC1991通用标准V1.01996V2.01998V2.119998安全评估标准的发展历程桔皮书英国安全标准1989德国标准9标准介绍信息技术安全评估准则发展过程

可信计算机系统评估准则（TCSEC）

可信网络解释（TNI）通用准则CC《计算机信息系统安全保护等级划分准则》

信息安全保证技术框架

《信息系统安全保护等级应用指南》

9标准介绍信息技术安全评估准则发展过程10TCSEC在TCSEC中，美国国防部按处理信息的等级和应采用的响应措施，将计算机安全从高到低分为：A、B、C、D四类八个级别，共27条评估准则随着安全等级的提高，系统的可信度随之增加，风险逐渐减少。

10TCSEC在TCSEC中，美国国防部按处理信息的等级和应11TCSEC四个安全等级：无保护级

自主保护级

强制保护级验证保护级11TCSEC四个安全等级：12TCSECD类是最低保护等级，即无保护级

是为那些经过评估，但不满足较高评估等级要求的系统设计的，只具有一个级别

该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处理敏感信息

12TCSECD类是最低保护等级，即无保护级13TCSEC四个安全等级：无保护级

自主保护级

强制保护级验证保护级13TCSEC四个安全等级：14TCSECC类为自主保护级具有一定的保护能力，采用的措施是自主访问控制和审计跟踪

一般只适用于具有一定等级的多用户环境具有对主体责任及其动作审计的能力14TCSECC类为自主保护级15TCSECC类分为C1和C2两个级别:

自主安全保护级（C1级)

控制访问保护级（C2级）

15TCSECC类分为C1和C2两个级别:16TCSECC1级TCB通过隔离用户与数据，使用户具备自主安全保护的能力

它具有多种形式的控制能力，对用户实施访问控制为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏C1级的系统适用于处理同一敏感级别数据的多用户环境

16TCSECC1级TCB通过隔离用户与数据，使用户具备自主17TCSECC2级计算机系统比C1级具有更细粒度的自主访问控制C2级通过注册过程控制、审计安全相关事件以及资源隔离，使单个用户为其行为负责

17TCSECC2级计算机系统比C1级具有更细粒度的自主访问18TCSEC四个安全等级：无保护级

自主保护级

强制保护级验证保护级18TCSEC四个安全等级：19TCSECB类为强制保护级

主要要求是TCB应维护完整的安全标记，并在此基础上执行一系列强制访问控制规则B类系统中的主要数据结构必须携带敏感标记系统的开发者还应为TCB提供安全策略模型以及TCB规约应提供证据证明访问监控器得到了正确的实施

19TCSECB类为强制保护级20TCSECB类分为三个类别：标记安全保护级（B1级）

结构化保护级（B2级）

安全区域保护级（B3级）

20TCSECB类分为三个类别：21TCSECB1级系统要求具有C2级系统的所有特性

在此基础上，还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制并消除测试中发现的所有缺陷

21TCSECB1级系统要求具有C2级系统的所有特性22TCSECB类分为三个类别：标记安全保护级（B1级）

结构化保护级（B2级）

安全区域保护级（B3级）22TCSECB类分为三个类别：23TCSEC在B2级系统中，TCB建立于一个明确定义并文档化形式化安全策略模型之上要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体在此基础上，应对隐蔽信道进行分析TCB应结构化为关键保护元素和非关键保护元素23TCSEC在B2级系统中，TCB建立于一个明确定义并文档24TCSECTCB接口必须明确定义其设计与实现应能够经受更充分的测试和更完善的审查鉴别机制应得到加强，提供可信设施管理以支持系统管理员和操作员的职能提供严格的配置管理控制B2级系统应具备相当的抗渗透能力24TCSECTCB接口必须明确定义25TCSECB类分为三个类别：标记安全保护级（B1级）

结构化保护级（B2级）

安全区域保护级（B3级）25TCSECB类分为三个类别：26TCSEC在B3级系统中，TCB必须满足访问监控器需求访问监控器对所有主体对客体的访问进行仲裁访问监控器本身是抗篡改的访问监控器足够小访问监控器能够分析和测试26TCSEC在B3级系统中，TCB必须满足访问监控器需求27TCSEC为了满足访问控制器需求:计算机信息系统可信计算基在构造时，排除那些对实施安全策略来说并非必要的代码计算机信息系统可信计算基在设计和实现时，从系统工程角度将其复杂性降低到最小程度27TCSEC为了满足访问控制器需求:28TCSECB3级系统支持:安全管理员职能扩充审计机制当发生与安全相关的事件时，发出信号提供系统恢复机制系统具有很高的抗渗透能力28TCSECB3级系统支持:29TCSEC四个安全等级：无保护级

自主保护级

强制保护级验证保护级29TCSEC四个安全等级：30TCSECA类为验证保护级A类的特点是使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息为证明TCB满足设计、开发及实现等各个方面的安全要求，系统应提供丰富的文档信息30TCSECA类为验证保护级31TCSECA类分为两个类别：验证设计级（A1级）超A1级31TCSECA类分为两个类别：32TCSECA1级系统在功能上和B3级系统是相同的，没有增加体系结构特性和策略要求最显著的特点是，要求用形式化设计规范和验证方法来对系统进行分析，确保TCB按设计要求实现从本质上说，这种保证是发展的，它从一个安全策略的形式化模型和设计的形式化高层规约（FTLS）开始

32TCSECA1级系统在功能上和B3级系统是相同的，没有增33TCSECA1级系统:要求更严格的配置管理要求建立系统安全分发的程序支持系统安全管理员的职能

33TCSECA1级系统:34TCSECA类分为两个类别：验证设计级（A1级）超A1级34TCSECA类分为两个类别：35TCSEC超A1级在A1级基础上增加的许多安全措施超出了目前的技术发展随着更多、更好的分析技术的出现，本级系统的要求才会变的更加明确今后，形式化的验证方法将应用到源码一级，并且时间隐蔽信道将得到全面的分析

35TCSEC超A1级在A1级基础上增加的许多安全措施超出了36TCSEC在这一级，设计环境将变的更重要形式化高层规约的分析将对测试提供帮助TCB开发中使用的工具的正确性及TCB运行的软硬件功能的正确性将得到更多的关注36TCSEC在这一级，设计环境将变的更重要37TCSEC超A1级系统涉及的范围包括：系统体系结构安全测试形式化规约与验证可信设计环境等37TCSEC超A1级系统涉及的范围包括：38标准介绍信息技术安全评估准则发展过程

可信计算机系统评估准则（TCSEC）

可信网络解释（TNI）通用准则CC《计算机信息系统安全保护等级划分准则》

信息安全保证技术框架《信息系统安全保护等级应用指南》

38标准介绍信息技术安全评估准则发展过程39可信网络解释（TNI）美国国防部计算机安全评估中心在完成TCSEC的基础上，又组织了专门的研究镞对可信网络安全评估进行研究，并于1987年发布了以TCSEC为基础的可信网络解释，即TNI。TNI包括两个部分（PartI和PartII）及三个附录（APPENDIXA、B、C）

39可信网络解释（TNI）美国国防部计算机安全评估中心在完成40可信网络解释（TNI）TNI第一部分提供了在网络系统作为一个单一系统进行评估时TCSEC中各个等级（从D到A类）的解释与单机系统不同的是，网络系统的可信计算基称为网络可信计算基（NTCB）

40可信网络解释（TNI）TNI第一部分提供了在网络系统作为41可信网络解释（TNI）第二部分以附加安全服务的形式提出了在网络互联时出现的一些附加要求这些要求主要是针对完整性、可用性和保密性的

41可信网络解释（TNI）第二部分以附加安全服务的形式提出了42可信网络解释（TNI）

第二部分的评估是定性的，针对一个服务进行评估的结果一般分为为：

noneminimumfairgood

42可信网络解释（TNI）第二部分的评估是定性的，针对一43可信网络解释（TNI）

第二部分中关于每个服务的说明一般包括:一种相对简短的陈述相关的功能性的讨论

相关机制强度的讨论

相关保证的讨论

43可信网络解释（TNI）第二部分中关于每个服务的说明一般44可信网络解释（TNI）功能性是指一个安全服务的目标和实现方法，它包括特性、机制及实现

机制的强度是指一种方法实现其目标的程度有些情况下，参数的选择会对机制的强度带来很大的影响

44可信网络解释（TNI）功能性是指一个安全服务的目标和实现45可信网络解释（TNI）保证是指相信一个功能会实现的基础保证一般依靠对理论、测试、软件工程等相关内容的分析分析可以是形式化或非形式化的，也可以是理论的或应用的

45可信网络解释（TNI）保证是指相信一个功能会实现的基础46可信网络解释（TNI）

第二部分中列出的安全服务有：

通信完整性

拒绝服务

机密性

46可信网络解释（TNI） 第二部分中列出的安全服务有：47可信网络解释（TNI）

通信完整性主要涉及以下3方面：鉴别：网络中应能够抵抗欺骗和重放攻击

通信字段完整性：保护通信中的字段免受非授权的修改

抗抵赖：提供数据发送、接受的证据

47可信网络解释（TNI） 通信完整性主要涉及以下3方面：48可信网络解释（TNI）当网络处理能力下降到一个规定的界限以下或远程实体无法访问时，即发生了拒绝服务所有由网络提供的服务都应考虑拒绝服务的情况网络管理者应决定网络拒绝服务需求

48可信网络解释（TNI）当网络处理能力下降到一个规定的界限49可信网络解释（TNI）

解决拒绝服务的方法有：

操作连续性

基于协议的拒绝服务保护

网络管理

49可信网络解释（TNI） 解决拒绝服务的方法有：50可信网络解释（TNI）机密性是一系列安全服务的总称

这些服务都是关于通过计算机通信网络在实体间传输信息的安全和保密的

具体又分3种情况：

数据保密

通信流保密

选择路由

50可信网络解释（TNI）机密性是一系列安全服务的总称51可信网络解释（TNI）数据保密：数据保密性服务保护数据不被未授权地泄露数据保密性主要受搭线窃听的威胁被动的攻击包括对线路上传输的信息的观测

51可信网络解释（TNI）数据保密：52可信网络解释（TNI）通信流保密：针对通信流分析攻击而言，通信流分析攻击分析消息的长度、频率及协议的内容（如地址）并以此推出消息的内容

52可信网络解释（TNI）通信流保密：53可信网络解释（TNI）选择路由：路由选择控制是在路由选择过程中应用规则，以便具体的选取或回避某些网络、链路或中继路由能动态的或预定地选取，以便只使用物理上安全的子网络、链路或中继在检测到持续的操作攻击时，端系统可希望指示网络服务的提供者经不同的路由建立连接带有某些安全标记的数据可能被策略禁止通过某些子网络、链路或中继

53可信网络解释（TNI）选择路由：54可信网络解释（TNI）TNI第二部分的评估更多地表现出定性和主观的特点，同第一部分相比表现出更多的变化第二部分的评估是关于被评估系统能力和它们对特定应用环境的适合性的非常有价值的信息第二部分中所列举的安全服务是网络环境下有代表性的安全服务在不同的环境下，并非所有的服务都同等重要，同一服务在不同环境下的重要性也不一定一样54可信网络解释（TNI）TNI第二部分的评估更多地表现出定55可信网络解释（TNI）TNI的附录A是第一部分的扩展，主要是关于网络中组件及组件组合的评估附录A把TCSEC为A1级系统定义的安全相关的策略分为四个相对独立的种类，他们分别支持强制访问控制（MAC），自主访问控制（DAC），身份鉴别（IA），审计（AUDIT）

55可信网络解释（TNI）TNI的附录A是第一部分的扩展，主56可信网络解释（TNI）组成部分的类型最小级别最大级别MB1A1DC1C2+IC1C2AC2C2+DIC1C2+DAC2C2+IAC2C2+IADC2C2+MDB1A1MAB1A1MIB1A1MDAB1A1MDIB1A1MIAB1A1MIADB1A156可信网络解释（TNI）组成部分的类型最小级别最大级别MB57可信网络解释（TNI）附录B给出了根据TCSEC对网络组件进行评估的基本原理

附录C则给出了几个AIS互联时的认证指南及互联中可能遇到的问题57可信网络解释（TNI）附录B给出了根据TCSEC对网络组58可信网络解释（TNI）TNI中关于网络有两种概念：

一是单一可信系统的概念（singletrustedsystem）另一个是互联信息系统的概念（interconnectedAIS）这两个概念并不互相排斥

58可信网络解释（TNI）TNI中关于网络有两种概念：59可信网络解释（TNI）在单一可信系统中，网络具有包括各个安全相关部分的单一TCB，称为NTCB（networktrustedcomputingbase）NTCB作为一个整体满足系统的安全体系设计59可信网络解释（TNI）在单一可信系统中，网络具有包括各个60可信网络解释（TNI）在互联信息系统中各个子系统可能具有不同的安全策略具有不同的信任等级并且可以分别进行评估各个子系统甚至可能是异构的60可信网络解释（TNI）在互联信息系统中61可信网络解释（TNI）安全策略的实施一般控制在各个子系统内，在附录C中给出了各个子系统安全地互联的指南，在互联时要控制局部风险的扩散，排除整个系统中的级联问题（cascadeproblem）限制局部风险的扩散的方法：单向连接、传输的手工检测、加密、隔离或其他措施。

61可信网络解释（TNI）安全策略的实施一般控制在各个子系统62标准介绍信息技术安全评估准则发展过程

可信计算机系统评估准则（TCSEC）

可信网络解释（TNI）通用准则CC《计算机信息系统安全保护等级划分准则》

信息安全保证技术框架《信息系统安全保护等级应用指南》

62标准介绍信息技术安全评估准则发展过程63通用准则CCCC的范围

:CC适用于硬件、固件和软件实现的信息技术安全措施而某些内容因涉及特殊专业技术或仅是信息技术安全的外围技术不在CC的范围内

63通用准则CCCC的范围:64通用准则CC评估上下文

评估准则(通用准则）评估方法学评估方案最终评估结果评估批准/证明证书表/(注册)64通用准则CC评估上下文评估准则评估方法学评估方案最终评65通用准则CC使用通用评估方法学可以提供结果的可重复性和客观性许多评估准则需要使用专家判断和一定的背景知识为了增强评估结果的一致性，最终的评估结果应提交给一个认证过程，该过程是一个针对评估结果的独立的检查过程，并生成最终的证书或正式批文65通用准则CC使用通用评估方法学可以提供结果的可重复性和客66通用准则CCCC包括三个部分:

第一部分：简介和一般模型

第二部分：安全功能要求

第三部分：安全保证要求

66通用准则CCCC包括三个部分:67通用准则CC安全保证要求部分提出了七个评估保证级别（EvaluationAssuranceLevels：EALs）分别是：EAL1：功能测试EAL2：结构测试EAL3：系统测试和检查EAL4：系统设计、测试和复查EAL5：半形式化设计和测试EAL6：半形式化验证的设计和测试EAL7：形式化验证的设计和测试

67通用准则CC安全保证要求部分提出了七个评估保证级别（Ev68通用准则CCCC的一般模型一般安全上下文TOE评估CC安全概念

68通用准则CCCC的一般模型69通用准则CC安全就是保护资产不受威胁，威胁可依据滥用被保护资产的可能性进行分类

所有的威胁类型都应该被考虑到在安全领域内，被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的

69通用准则CC安全就是保护资产不受威胁，威胁可依据滥用被保70通用准则CC

安全概念和关系70通用准则CC安全概念和关系71通用准则CC安全性损坏一般包括但又不仅仅包括以下几项资产破坏性地暴露于未授权的接收者（失去保密性）资产由于未授权的更改而损坏（失去完整性）或资产访问权被未授权的丧失（失去可用性）71通用准则CC安全性损坏一般包括但又不仅仅包括以下几项72通用准则CC资产所有者必须分析可能的威胁并确定哪些存在于他们的环境，其后果就是风险

对策用以（直接或间接地）减少脆弱性并满足资产所有者的安全策略

在将资产暴露于特定威胁之前，所有者需要确信其对策足以应付面临的威胁

72通用准则CC资产所有者必须分析可能的威胁并确定哪些存在于73通用准则CC

评估概念和关系73通用准则CC评估概念和关系74通用准则CCTOE评估过程74通用准则CCTOE评估过程75通用准则CCTOE评估过程的主要输入有：一系列TOE证据，包括评估过的ST作为TOE评估的基础需要评估的TOE评估准则、方法和方案

另外，说明性材料（例如CC的使用说明书）和评估者及评估组织的IT安全专业知识也常用来作为评估过程的输入75通用准则CCTOE评估过程的主要输入有：76通用准则CC评估过程通过两种途径产生更好的安全产品评估过程能发现开发者可以纠正的TOE错误或弱点，从而在减少将来操作中安全失效的可能性另一方面，为了通过严格的评估，开发者在TOE设计和开发时也将更加细心因此，评估过程对最初需求、开发过程、最终产品以及操作环境将产生强烈的积极影响

76通用准则CC评估过程通过两种途径产生更好的安全产品77通用准则CC只有在IT环境中考虑IT组件保护资产的能力时，CC才是可用的为了表明资产是安全的，安全考虑必须出现在所有层次的表述中，包括从最抽象到最终的IT实现

CC要求在某层次上的表述包含在该层次上TOE描述的基本原理

77通用准则CC只有在IT环境中考虑IT组件保护资产的能力时78通用准则CCCC安全概念包括：安全环境

安全目的

IT安全要求

TOE概要规范

78通用准则CCCC安全概念包括：79通用准则CC安全环境包括所有相关的法规、组织性安全策略、习惯、专门技术和知识

它定义了TOE使用的上下文，安全环境也包括环境里出现的安全威胁

79通用准则CC安全环境包括所有相关的法规、组织性安全策略、80通用准则CC为建立安全环境，必须考虑以下几点：TOE物理环境，指所有的与TOE安全相关的TOE运行环境，包括已知的物理和人事的安全安排需要根据安全策略由TOE的元素实施保护的资产。包括可直接相关的资产（如文件和数据库）和间接受安全要求支配的资产（如授权凭证和IT实现本身）TOE目的，说明产品类型和可能的TOE用途

80通用准则CC为建立安全环境，必须考虑以下几点：81通用准则CC安全环境的分析结果被用来阐明对抗已标识的威胁、说明组织性安全策略和假设的安全目的安全目的和已说明的TOE运行目标或产品目标以及有关的物理环境知识一致

确定安全目的的意图是为了阐明所有的安全考虑并指出哪些安全方面的问题是直接由TOE还是由它的环境来处理环境安全目的将在IT领域内用非技术上的或程序化的手段来实现

81通用准则CC安全环境的分析结果被用来阐明对抗已标识的威胁82通用准则CCIT安全要求是将安全目的细化为一系列TOE及其环境的安全要求，一旦这些要求得到满足，就可以保证TOE达到它的安全目的

IT安全需求只涉及TOE安全目的和它的IT环境

82通用准则CCIT安全要求是将安全目的细化为一系列TOE及83通用准则CCST中提供的TOE概要规范定义TOE安全要求的实现方法它提供了分别满足功能需求和保证需求的安全功能和保证措施的高层定义

83通用准则CCST中提供的TOE概要规范定义TOE安全要求84通用准则CCCC定义了一系列与已知有效的安全要求集合相结合的概念，该概念可被用来为预期的产品和系统建立安全需求CC安全要求以类—族—组件这种层次方式组织，以帮助用户定位特定的安全要求对功能和保证方面的要求，CC使用相同的风格、组织方式和术语。

84通用准则CCCC定义了一系列与已知有效的安全要求集合相结85通用准则CC

要求的组织和结构85通用准则CC要求的组织和结构86通用准则CCCC中安全要求的描述方法：类：类用作最通用安全要求的组合，类的所有的成员关注共同的安全焦点，但覆盖不同的安全目的

族：类的成员被称为族。族是若干组安全要求的组合，这些要求有共同的安全目的，但在侧重点和严格性上有所区别

组件：族的成员被称为组件。组件描述一组特定的安全要求集，它是CC定义的结构中所包含的最小的可选安全要求集

86通用准则CCCC中安全要求的描述方法：87通用准则CC组件由单个元素组成，元素是安全需求最低层次的表达，并且是能被评估验证的不可分割的安全要求

族内具有相同目标的组件可以以安全要求强度（或能力）逐步增加的顺序排列，也可以部分地按相关非层次集合的方式组织87通用准则CC组件由单个元素组成，元素是安全需求最低层次的88通用准则CC组件间可能存在依赖关系

依赖关系可以存在于功能组件之间、保证组件之间以及功能和保证组件之间

组件间依赖关系描述是CC组件定义的一部分

88通用准则CC组件间可能存在依赖关系89通用准则CC可以通过使用组件允许的操作，对组件进行裁剪每一个CC组件标识并定义组件允许的“赋值”和“选择”操作、在哪些情况下可对组件使用这些操作，以及使用这些操作的后果任何一个组件均允许“反复”和“细化”操作

89通用准则CC可以通过使用组件允许的操作，对组件进行裁剪90通用准则CC这四个操作如下所述：反复：在不同操作时，允许组件多次使用赋值：当组件被应用时，允许规定所赋予的参数选择：允许从组件给出的列表中选定若干项细化：当组件被应用时，允许对组件增加细节

90通用准则CC这四个操作如下所述：91通用准则CCCC中安全需求的描述方法:包:组件的中间组合被称为包保护轮廓(PP):PP是关于一系列满足一个安全目标集的TOE的、与实现无关的描述安全目标(ST)：ST是针对特定TOE安全要求的描述，通过评估可以证明这些安全要求对满足指定目的是有用和有效的91通用准则CCCC中安全需求的描述方法:92通用准则CC包允许对功能或保证需求集合的描述，这个集合能够满足一个安全目标的可标识子集包可重复使用，可用来定义那些公认有用的、能够有效满足特定安全目标的要求包可用在构造更大的包、PP和ST中

92通用准则CC包允许对功能或保证需求集合的描述，这个集合能93通用准则CCPP包含一套来自CC（或明确阐述）的安全要求，它应包括一个评估保证级别（EAL）PP可反复使用，还可用来定义那些公认有用的、能够有效满足特定安全目标的TOE要求PP包括安全目的和安全要求的基本原理

PP的开发者可以是用户团体、IT产品开发者或其它对定义这样一系列通用要求有兴趣的团体

93通用准则CCPP包含一套来自CC（或明确阐述）的安全要求94通用准则CC

保护轮廓PP描述结构94通用准则CC保护轮廓PP描述结构95通用准则CC安全目标(ST)包括一系列安全要求，这些要求可以引用PP，也可以直接引用CC中的功能或保证组件，或明确说明一个ST包含TOE的概要规范，安全要求和目的，以及它们的基本原理ST是所有团体间就TOE应提供什么样的安全性达成一致的基础

95通用准则CC安全目标(ST)包括一系列安全要求，这些要求96通用准则CC

安全目标描述结构96通用准则CC安全目标描述结构97通用准则CCCC框架下的评估类型

PP评估ST评估

TOE评估

97通用准则CCCC框架下的评估类型98通用准则CCPP评估是依照CC第3部分的PP评估准则进行的。评估的目标是为了证明PP是完备的、一致的、技术合理的，而且适合于作为一个可评估TOE的安全要求的声明98通用准则CCPP评估是依照CC第3部分的PP评估准则进行99通用准则CC针对TOE的ST评估是依照CC第3部分的ST评估准则进行的ST评估具有双重目标：首先是为了证明ST是完备的、一致的、技术合理的，而且适合于用作相应TOE评估的基础其次，当某一ST宣称与某一PP一致时，证明ST满足该PP的要求

99通用准则CC针对TOE的ST评估是依照CC第3部分的ST100通用准则CCTOE评估是使用一个已经评估过的ST作为基础，依照CC第3部分的评估准则进行的评估的目标是为了证明TOE满足ST中的安全要求

100通用准则CCTOE评估是使用一个已经评估过的ST作为基101通用准则CC三种评估的关系101通用准则CC三种评估的关系102通用准则CCCC的第二部分是安全功能要求，对满足安全需求的诸安全功能提出了详细的要求另外，如果有超出第二部分的安全功能要求，开发者可以根据“类-族-组件-元素”的描述结构表达其安全要求，并附加在其ST中102通用准则CCCC的第二部分是安全功能要求，对满足安全需103通用准则CCCC共包含的11个安全功能类，如下：FAU类：安全审计FCO类：通信FCS类：密码支持FDP类：用户数据保护FIA类：标识与鉴别FMT类：安全管理FPR类：隐秘FPT类：TFS保护FAU类：资源利用FTA类：TOE访问FTP类：可信信道/路径103通用准则CCCC共包含的11个安全功能类，如下：104通用准则CCCC的第三部分是评估方法部分，提出了PP、ST、TOE三种评估，共包括10个类，但其中的APE类与ASE类分别介绍了PP与ST的描述结构及评估准则维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求只有七个安全保证类是TOE的评估类别

104通用准则CCCC的第三部分是评估方法部分，提出了PP、105通用准则CC七个安全保证类ACM类：配置管理ADO类：分发与操作ADV类：开发AGD类：指导性文档ALC类：生命周期支持ATE类：测试AVA类：脆弱性评定105通用准则CC七个安全保证类106通用准则CC1998年1月，经过两年的密切协商，来自美国、加拿大、法国、德国以及英国的政府组织签订了历史性的安全评估互认协议：IT安全领域内CC认可协议根据该协议，在协议签署国范围内，在某个国家进行的基于CC的安全评估将在其他国家内得到承认截止2003年3月，加入该协议的国家共有十五个：澳大利亚、新西兰、加拿大、芬兰、法国、德国、希腊、以色列、意大利、荷兰、挪威、西班牙、瑞典、英国及美国

106通用准则CC1998年1月，经过两年的密切协商，来自美107通用准则CC该协议的参与者在这个领域内有共同的目的即：确保IT产品及保护轮廓的评估遵循一致的标准，为这些产品及保护轮廓的安全提供足够的信心。在国际范围内提高那些经过评估的、安全增强的IT产品及保护轮廓的可用性。消除IT产品及保护轮廓的重复评估，改进安全评估的效率及成本效果，改进IT产品及保护轮廓的证明/确认过程

107通用准则CC该协议的参与者在这个领域内有共同的目的即：108通用准则CC美国NSA内部的可信产品评估计划（TPEP）以及可信技术评价计划（TTAP）最初根据TCSEC进行产品的评估，但从1999年2月1日起，这些计划将不再接收基于TCSEC的新的评估。此后这些计划接受的任何新的产品都必须根据CC的要求进行评估。到2001年底，所有已经经过TCSEC评估的产品，其评估结果或者过时，或者转换为CC评估等级。NSA已经将TCSEC对操作系统的C2和B1级要求转换为基于CC的要求（或PP），

NSA正在将TCSEC的B2和B3级要求转换成基于CC的保护轮廓，但对TCSEC中的A1级要求不作转换。TCSEC的可信网络解释（TNI）在使用范围上受到了限制，已经不能广泛适用于目前的网络技术，因此，NSA目前不计划提交与TNI相应的PP108通用准则CC美国NSA内部的可信产品评估计划（TPEP109通用准则CCCCTCSECITSEC-DE0EAL1--EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E6109通用准则CCCCTCSECITSEC-DE0EAL1-110标准介绍信息技术安全评估准则发展过程

可信计算机系统评估准则（TCSEC）

可信网络解释（TNI）通用准则CC《计算机信息系统安全保护等级划分准则》

信息安全保证技术框架《信息系统安全保护等级应用指南》

110标准介绍信息技术安全评估准则发展过程111系统安全保护等级划分准则我国政府及各行各业在进行大量的信息系统的建设，并且已经成为国家的重要基础设施计算机犯罪、黑客攻击、有害病毒等问题的出现对社会稳定、国家安全造成了极大的危害，信息安全的重要性日益突出信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度111系统安全保护等级划分准则我国政府及各行各业在进行大量的112系统安全保护等级划分准则大多数信息系统缺少有效的安全技术防范措施，安全性非常脆弱我国的信息系统安全专用产品市场一直被外国产品占据，增加了新的安全隐患因此，尽快建立能适应和保障我国信息产业健康发展的国家信息系统安全等级保护制度已迫在眉睫112系统安全保护等级划分准则大多数信息系统缺少有效的安全技113系统安全保护等级划分准则为了从整体上形成多级信息系统安全保护体系为了提高国家信息系统安全保护能力为从根本上解决信息社会国家易受攻击的脆弱性和有效预防计算机犯罪等问题《中华人民共和国计算机信息系统安全保护条例》第九条明确规定，计算机信息系统实行安全等级保护113系统安全保护等级划分准则为了从整体上形成多级信息系统安114系统安全保护等级划分准则为切实加强重要领域信息系统安全的规范化建设和管理全面提高国家信息系统安全保护的整体水平使公安机关公共信息网络安全监察工作更加科学、规范，指导工作更具体、明确

114系统安全保护等级划分准则为切实加强重要领域信息系统安全115系统安全保护等级划分准则公安部组织制订了《计算机信息系统安全保护等级划分准则》国家标准于1999年9月13日由国家质量技术监督局审查通过并正式批准发布于2001年1月1日执行

115系统安全保护等级划分准则公安部组织制订了《计算机信息系116系统安全保护等级划分准则该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据为安全产品的研制提供了技术支持为安全系统的建设和管理提供了技术指导是我国计算机信息系统安全保护等级工作的基础

116系统安全保护等级划分准则该准则的发布为计算机信息系统安117系统安全保护等级划分准则

GA388-2002《计算机信息系统安全等级保护操作系统技术要求》

GA391-2002《计算机信息系统安全等级保护管理要求》

GA/T387-2002《计算机信息系统安全等级保护网络技术要求》

GA/T389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》

GA/T390-2002《计算机信息系统安全等级保护通用技术要求》117系统安全保护等级划分准则GA388-2002《118系统安全保护等级划分准则《准则》规定了计算机系统安全保护能力的五个等级，即：第一级：用户自主保护级第二级：系统审计保护级第三级：安全标记保护级第四级：结构化保护级第五级：访问验证保护级

118系统安全保护等级划分准则《准则》规定了计算机系统安全保119系统安全保护等级划分准则用户自主保护级：计算机信息系统可信计算基通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏

119系统安全保护等级划分准则用户自主保护级：120系统安全保护等级划分准则系统审计保护级：与用户自主保护级相比，计算机信息系统可信计算基实施了粒度更细的自主访问控制它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责

120系统安全保护等级划分准则系统审计保护级：121系统安全保护等级划分准则安全标记保护级：计算机信息系统可信计算基具有系统审计保护级所有功能此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述具有准确地标记输出信息的能力消除通过测试发现的任何错误

121系统安全保护等级划分准则安全标记保护级：122系统安全保护等级划分准则结构化保护级：计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体此外，还要考虑隐蔽通道计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素122系统安全保护等级划分准则结构化保护级：123系统安全保护等级划分准则计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审加强了鉴别机制支持系统管理员和操作员的职能提供可信设施管理增强了配置管理控制系统具有相当的抗渗透能力

123系统安全保护等级划分准则计算机信息系统可信计算基的接口124系统安全保护等级划分准则访问验证保护级计算机信息系统可信计算基满足访问监控器需求访问监控器仲裁主体对客体的全部访问访问监控器本身是抗篡改的；必须足够小，能够分析和测试124系统安全保护等级划分准则访问验证保护级125系统安全保护等级划分准则访问验证保护级支持安全管理员职能扩充审计机制，当发生与安全相关的事件时发出信号提供系统恢复机制系统具有很高的抗渗透能力

125系统安全保护等级划分准则访问验证保护级126标准介绍信息技术安全评估准则发展过程

可信计算机系统评估准则（TCSEC）

可信网络解释（TNI）通用准则CC《计算机信息系统安全保护等级划分准则》

信息安全保证技术框架《信息系统安全保护等级应用指南》

126标准介绍信息技术安全评估准则发展过程127信息安全保证技术框架(IATF)信息保证技术框架（InformationAssuranceTechnicalFramework：IATF）为保护政府、企业信息及信息基础设施提供了技术指南IATF对信息保证技术四个领域的划分同样适用于信息系统的安全评估，它给出了一种实现系统安全要素和安全服务的层次结构

127信息安全保证技术框架(IATF)信息保证技术框架（In128信息安全保证技术框架(IATF)128信息安全保证技术框架(IATF)129信息安全保证技术框架(IATF)信息安全保证技术框架将计算机信息系统分4个部分：本地计算环境区域边界网络和基础设施支撑基础设施

129信息安全保证技术框架(IATF)信息安全保证技术框架将130信息安全保证技术框架(IATF)本地计算环境一般包括服务器客户端及其上面的应用（如打印服务、目录服务等）操作系统数据库基于主机的监控组件（病毒检测、入侵检测）

130信息安全保证技术框架(IATF)本地计算环境一般包括131信息安全保证技术框架(IATF)信息安全保证技术框架将计算机信息系统分4个部分：本地计算环境区域边界网络和基础设施支撑基础设施131信息安全保证技术框架(IATF)信息安全保证技术框架将132信息安全保证技术框架(IATF)区域是指在单一安全策略管理下、通过网络连接起来的计算设备的集合区域边界是区域与外部网络发生信息交换的部分

区域边界确保进入的信息不会影响区域内资源的安全，而离开的信息是经过合法授权的

132信息安全保证技术框架(IATF)区域是指在单一安全策略133信息安全保证技术框架(IATF)区域边界上有效的控制措施包括防火墙门卫系统VPN标识和鉴别访问控制等有效的监督措施包括基于网络的入侵检测系统（IDS）脆弱性扫描器局域网上的病毒检测器等

133信息安全保证技术框架(IATF)区域边界上有效的控制措134信息安全保证技术框架(IATF)边界的主要作用是防止外来攻击它也可以来对付某些恶意的内部人员这些内部人员有可能利用边界环境来发起攻击通过开放后门/隐蔽通道来为外部攻击提供方便134信息安全保证技术框架(IATF)边界的主要作用是防止外135信息安全保证技术框架(IATF)信息安全保证技术框架将计算机信息系统分4个部分：本地计算环境区域边界网络和基础设施支撑基础设施135信息安全保证技术框架(IATF)信息安全保证技术框架将136信息安全保证技术框架(IATF)网络和基础设施在区域之间提供连接,包括局域网（LAN）校园网（CAN）城域网（MAN）广域网等其中包括在网络节点间（如路由器和交换机）传递信息的传输部件（如：卫星，微波，光纤等），以及其他重要的网络基础设施组件如网络管理组件、域名服务器及目录服务组件等

136信息安全保证技术框架(IATF)网络和基础设施在区域之137信息安全保证技术框架(IATF)对网络和基础设施的安全要求主要是鉴别访问控制机密性完整性抗抵赖性可用性137信息安全保证技术框架(IATF)对网络和基础设施的安全138信息安全保证技术框架(IATF)信息安全保证技术框架将计算机信息系统分4个部分：本地计算环境区域边界网络和基础设施支撑基础设施138信息安全保证技术框架(IATF)信息安全保证技术框架将139信息安全保证技术框架(IATF)支撑基础设施提供了一个IA机制在网络、区域及计算环境内进行安全管理、提供安全服务所使用的基础主要为以下内容提供安全服务：终端用户工作站web服务应用文件DNS服务目录服务等139信息安全保证技术框架(IATF)支撑基础设施提供了一个140信息安全保证技术框架(IATF)IATF中涉及到两个方面的支撑基础设施：KMI/PKI检测响应基础设施KMI/PKI提供了一个公钥证书及传统对称密钥的产生、分发及管理的统一过程检测及响应基础设施提供对入侵的快速检测和响应，包括入侵检测、监控软件、CERT等140信息安全保证技术框架(IATF)IATF中涉及到两个方141信息安全保证技术框架(IATF)深度保卫战略在信息保证技术框架（IATF）下提出保卫网络和基础设施保卫边界保卫计算环境支持基础设施

141信息安全保证技术框架(IATF)深度保卫战略在信息保证142信息安全保证技术框架(IATF)其中使用多层信息保证（IA）技术来保证信息的安全意味着通过对关键部位提供适当层次的保护就可以为组织提供有效的保护这种分层的策略允许在恰当的部位存在低保证级别的应用，而在关键部位如网络边界部分采用高保证级别的应用

142信息安全保证技术框架(IATF)其中使用多层信息保证（143信息安全保证技术框架(IATF)区域边界保护内部的计算环境，控制外部用户的非授权访问，同时控制内部恶意用户从区域内发起攻击根据所要保护信息资源的敏感级别以及潜在的内外威胁，可将边界分为不同的层次

143信息安全保证技术框架(IATF)区域边界保护内部的计算144信息安全保证技术框架(IATF)在对信息系统进行安全评估时：可以依据这种多层的深度保卫战略对系统的构成进行合理分析根据系统所面临的各种威胁及实际安全需求分别对计算环境、区域边界、网络和基础设施、支撑基础设施进行安全评估对系统的安全保护等级作出恰当的评估

144信息安全保证技术框架(IATF)在对信息系统进行安全评145信息安全保证技术框架(IATF)在网络上，有三种不同的通信流：用户通信流控制通信流管理通信流信息系统应保证局域内这些通信流的安全直接假设KMI/PKI等支撑基础设施的实施过程是安全的

145信息安全保证技术框架(IATF)在网络上，有三种不同的146标准介绍信息技术安全评估准则发展过程

可信计算机系统评估准则（TCSEC）

可信网络解释（TNI）通用准则CC《计算机信息系统安全保护等级划分准则》

信息安全保证技术框架《信息系统安全保护等级应用指南》

146标准介绍信息技术安全评估准则发展过程147应用指南（通用部分）

前三部分主要介绍了该准则的应用范围、规范性引用文件以及一些术语的定义。应用指南详细说明了为实现《准则》所提出的安全要求应采取的具体安全策略和安全机制，以及为确保实现这些安全策略和安全机制的安全功能达到其应具有的安全性而采取的保证措施

147应用指南（通用部分）前三部分主要介绍了该准则的应用范148应用指南（通用部分）

第四部分是总体结构与说明，给出了《准则》应用指南（技术要求）的总体结构，并对有关内容作一般性说明。包括安全要求与目标、组成与结构和一般说明。148应用指南（通用部分）第四部分是总体结构与说明，给出149应用指南（通用部分）

安全要求与目标：无论是安全保护框架的描述，还是安全目标的设计，都要从安全功能的完备性、一致性和有效性等方面进行考虑。完备性：安全保护框架（PP）不应有安全漏洞一致性：安全保护框架（PP）中的安全功能应该平滑一致有效性：安全保护框架（PP）中的安全功能应该是有效的149应用指南（通用部分）安全要求与目标：无论是安全保150应用指南（通用部分）应用指南在对安全功能和安全保证进行详细说明以后，对《准则》各个安全等级的不同要求分别进行详细描述安全功能主要说明一个计算机信息系统所实现的安全策略和安全机制符合《准则》中哪一级的功能要求安全保证则是通过一定的方法保证计算机信息系统所提供的安全功能确实达到了确定的功能要求和强度

150应用指南（通用部分）应用指南在对安全功能和安全保证进行151应用指南（通用部分）安全功能要求从物理安全、运行安全和信息安全三个方面对一个安全的计算机信息系统所应提供的与安全有关的功能进行描述安全保证要求则分别从TCB自身安全、TCB的设计和实现和TCB安全管理三个方面进行描述

151应用指南（通用部分）安全功能要求从物理安全、运行安全和152应用指南（通用部分）

一般说明部分：对本指南内容、安全等级划分、主体和客体、TCB、引起信息流动的方式、密码技术、安全的计算机信息系统开发方法进行了进一步的说明

152应用指南（通用部分）一般说明部分：对本指南内容、安153应用指南（通用部分）第五部分是安全功能技术要求说明，为了对计算机信息系统安全功能的实现进行了完整的描述，这里将实现这些安全功能所涉及的所有因素做了较为全面的说明安全功能包括物理安全、运行安全和信息安全153应用指南（通用部分）第五部分是安全功能技术要求说明，为154应用指南（通用部分）物理安全也称实体安全，是指包括环境设备和记录介质在内的所有支持信息系统运行的硬件的安全它是一个信息系统安全运行的基础计算机网络信息系统的实体安全包括环境安全、设备安全和介质安全154应用指南（通用部分）物理安全也称实体安全，是指包括环境155应用指南（通用部分）运行安全是指在物理安全得到保障的前提下，为确保计算机信息系统不间断运行而采取的各种检测、监控、审计、分析、备份及容错等方法和措施

当前，保障运行安全的主要技术和机制有：风险分析，网络安全检测与监控，安全审计，网络防病毒，备份与故障恢复，以及计算机信息系统应急计划与应急措施等

155应用指南（通用部分）运行安全是指在物理安全得到保障的前156应用指南（通用部分）信息安全是指在计算机信息系统运行安全得到保证的前提下，对在计算机信息系统中存储、传输和处理的信息进行有效的保护，使其不因人为的或自然的原因被泄露、篡改和破坏当前常用的信息保护技术有：进入系统用户的标识和鉴别、信息交换的安全鉴别、隐秘、自主访问控制、标记与强制访问控制、数据保密性保护、数据完整性保护、剩余信息保护及密码支持等156应用指南（通用部分）信息安全是指在计算机信息系统运行安157应用指南（通用部分）第六部分是安全保证技术要求说明为了确保所要求的安全功能达到所确定的安全目标，必须从以下方面保证安全功能从设计、实现到运行管理等各个环节严格按照所规定的要求进行：TCB自身安全保护TCB设计和实现TCB安全管理157应用指南（通用部分）第六部分是安全保证技术要求说明158应用指南（通用部分）TCB自身安全保护是指，一方面提供与TSF机制的完整性和管理有关的保护，另一方面提供与TSF数据的完整性有关的保护TCB自身安全保护可能采用与对用户数据安全保护相同的安全策略和机制，但其所要实现的目标是不同的。前者是为了自身更健壮，从而使其所提供的安全功能更有保证；后者则是为了实现其直接所提供的安全功能158应用指南（通用部分）TCB自身安全保护是指，一方面提供159应用指南（通用部分）TCB自身安全保护的内容主要包括:

根本的抽象机测试、失败保护、输出TSF数据的可用性、输出TSF数据的保密性、输出TSF数据的完整性、TCB内TSF数据传输、物理安全保护、可信恢复、重放检测、参照仲裁、域分离、状态同步协议、时间戳、TSF间的TSF数据的一致性、TCB内TSF数据复制的一致性、TSF自检、资源利用、TCB访问控制、可信路径159应用指南（通用部分）TCB自身安全保护的内容主要包括:160应用指南（通用部分）TCB设计和实现是确保TCB自身安全的重要组成部分本部分从配置管理、分发和操作、开发、指导性文档、生命周期支持、测试、脆弱性评定等方面对安全保证的技术要求进行说明160应用指南（通用部分）TCB设计和实现是确保TCB自身安161应用指南（通用部分）TCB安全管理是指与安全技术和策略密切相关的管理，是安全系统设计的延伸在计算机信息系统中，安全管理是指对与TCB安全相关方面的管理安全管理一般设置专门的安全管理人员，通过操作专门的安全界面实现安全管理对不同的管理角色和它们之间的相互作用(如能力的分离)进行规定161应用指南（通用部分）TCB安全管理是指与安全技术和策略162应用指南（通用部分）

安全管理包括：TSF的功能管理安全属性的管理TSF数据的管理安全角色的定义与管理安全属性的到期和撤消等

162应用指南（通用部分）安全管理包括：163应用指南（网络部分）应用指南（网络部分）主要从对网络系统的安全等级进行划分的角度来说明不同安全等级在安全功能方面的特定技术要求本部分中的安全技术要求，适用于以各种形式连接的网络环境，无论是构成分布式系统的网络环境，还是连接计算机系统的局域或广域网环境

163应用指南（网络部分）应用指南（网络部分）主要从对网络系164应用指南（网络部分）根据ISO/OSI的七层体系结构，网络安全机制在各层的分布如下：物理层：数据流加密机制数据链路层：数据加密机制网络层：身份认证机制，访问控制机制，数据加密机制，路由控制机制，一致性检查机制传输层：身份认证机制，访问控制机制，数据加密机制会话层：身份认证机制，访问控制机制，数据加密机制，数字签名机制，交换认证（抗抵赖）机制表示层：身份认证机制，访问控制机制，数据加密机制，数字签名机制，交换认证（抗抵赖）机制应用层：身份认证机制，访问控制机制，数据加密机制，数字签名机制，交换认证（抗抵赖）机制，业务流分析机制

164应用指南（网络部分）根据ISO/OSI的七层体系结构，165应用指南（网络部分）网络系统安全体系结构是由物理层、链路层、网络层、会话层、表示层、以及应用层信息系统所组成

对于网络信息系统的每个分系统，都可按《计算机信息系统安全保护等级划分准则》的要求，对其安全性等级进行划分评估

在各层中，安全要素的实现方法会有所不同

对于每一个安全要素，将从其所提供的安全功能和安全保证措施来说明各个等级的差别

165应用指南（网络部分）网络系统安全体系结构是由物理层、链166应用指南（网络部分）一般说明部分包括本指南内容、安全等级划分、主体和客体、TCB、引起信息流动的方式、密码技术、安全网络系统实现方法166应用指南（网络部分）一般说明部分包括本指南内容、安全等167应用指南（网络部分）网络系统安全技术说明部分对各种安全要素的策略、机制、功能、用户属性定义、安全管理和技术要求等做了具体的说明主要包括自主访问控制、强制访问控制、标记、标识和鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复、通信安全、密码支持

167应用指南（网络部分）网络系统安全技术说明部分对各种安全168应用指南（网络部分）网络系统安全保护等级划分技术要求部分：针对七层网络体系结构中的每一层，介绍了各个安全等级的具体要求，以及每个等级中对各个安全要素的具体要求同时针对每个安全等级，介绍了在网络体系结构每层的具体要求，以及每层中对各个安全要求的具体要求

168应用指南（网络部分）网络系统安全保护等级划分技术要求部169应用指南（网络部分）第七部分是网络设备可能对应的安全保护等级，主要介绍了各类网络设备可能对应的安全保护等级

169应用指南（网络部分）第七部分是网络设备可能对应的安全保170参考网址170参考网址SecurityRiskAssessment--historyanddevelopmentSecurityRiskAssessment--hist172标准介绍信息技术安全评估准则发展过程

可信计算机系统评估准则（TCSEC）可信网络解释（TNI）通用准则CC《计算机信息系统安全保护等级划分准则》

信息安全保证技术框架《信息系统安全保护等级应用指南》

2标准介绍信息技术安全评估准则发展过程173信息技术安全评估准则发展过程

20世纪60年代后期，1967年美国国防部（DOD）成立了一个研究组，针对当时计算机使用环境中的安全策略进行研究，其研究结果是“DefenseScienceBoardreport”70年代的后期DOD对当时流行的操作系统KSOS，PSOS，KVM进行了安全方面的研究

3信息技术安全评估准则发展过程20世纪60年代后期，196174信息技术安全评估准则发展过程80年代后，美国国防部发布的“可信计算机系统评估准则（TCSEC）”（即桔皮书）后来DOD又发布了可信数据库解释（TDI）、可信网络解释（TNI）等一系列相关的说明和指南

90年代初，英、法、德、荷等四国针对TCSEC准则的局限性，提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”（ITSEC），定义了从E0级到E6级的七个安全等级

4信息技术安全评估准则发展过程80年代后，美国国防部发布的“175信息技术安全评估准则发展过程加拿大1988年开始制订《TheCanadianTrustedComputerProductEvaluationCriteria》（CTCPEC）

1993年，美国对TCSEC作了补充和修改，制定了“组合的联邦标准”（简称FC）

国际标准化组织（ISO）从1990年开始开发通用的国际标准评估准则

5信息技术安全评估准则发展过程加拿大1988年开始制订《Th176信息技术安全评估准则发展过程在1993年6月，CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来，将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则

发起组织包括六国七方：加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA，他们的代表建立了CC编辑委员会（CCEB）来开发CC

6信息技术安全评估准则发展过程在1993年6月，CTCPEC177信息技术安全评估准则发展过程1996年1月完成CC1.0版

,在1996年4月被ISO采纳

1997年10月完成CC2.0的测试版

1998年5月发布CC2.0版

1999年12月ISO采纳CC，并作为国际标准ISO15408发布

7信息技术安全评估准则发展过程1996年1月完成CC1.0版178安全评估标准的发展历程

桔皮书（TCSEC）1985英国安全标准1989德国标准法国标准加拿大标准1993联邦标准草案1993ITSEC1991通用标准V1.01996V2.01998V2.119998安全评估标准的发展历程桔皮书英国安全标准1989德国标准179标准介绍信息技术安全评估准则发展过程

可信计算机系统评估准则（TCSEC）

可信网络解释（TNI）通用准则CC《计算机信息系统安全保护等级划分准则》

信息安全保证技术框架

《信息系统安全保护等级应用指南》

9标准介绍信息技术安全评估准则发展过程180TCSEC在TCSEC中，美国国防部按处理信息的等级和应采用的响应措施，将计算机安全从高到低分为：A、B、C、D四类八个级别，共27条评估准则随着安全等级的提高，系统的可信度随之增加，风险逐渐减少。

10TCSEC在TCSEC中，美国国防部按处理信息的等级和应181TCSEC四个安全等级：无保护级

自主保护级

强制保护级验证保护级11TCSEC四个安全等级：182TCSECD类是最低保护等级，即无保护级

是为那些经过评估，但不满足较高评估等级要求的系统设计的，只具有一个级别

该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处理敏感信息

12TCSECD类是最低保护等级，即无保护级183TCSEC四个安全等级：无保护级

自主保护级

强制保护级验证保护级13TCSEC四个安全等级：184TCSECC类为自主保护级具有一定的保护能力，采用的措施是自主访问控制和审计跟踪

一般只适用于具有一定等级的多用户环境具有对主体责任及其动作审计的能力14TCSECC类为自主保护级185TCSECC类分为C1和C2两个级别:

自主安全保护级（C1级)

控制访问保护级（C2级）

15TCSECC类分为C1和C2两个级别:186TCSECC1级TCB通过隔离用户与数据，使用户具备自主安全保护的能力

它具有多种形式的控制能力，对用户实施访问控制为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏C1级的系统适用于处理同一敏感级别数据的多用户环境

16TCSECC1级TCB通过隔离用户与数据，使用户具备自主187TCSECC2级计算机系统比C1级具有更细粒度的自主访问控制C2级通过注册过程控制、审计安全相关事件以及资源隔离，使单个用户为其行为负责

17TCSECC2级计算机系统比C1级具有更细粒度的自主访问188TCSEC四个安全等级：无保护级

自主保护级

强制保护级验证保护级18TCSEC四个安全等级：189TCSECB类为强制保护级

主要要求是TCB应维护完整的安全标记，并在此基础上执行一系列强制访问控制规则B类系统中的主要数据结构必须携带敏感标记系统的开发者还应为TCB提供安全策略模型以及TCB规约应提供证据证明访问监控器得到了正确的实施

19TCSECB类为强制保护级190TCSECB类分为三个类别：标记安全保护级（B1级）

结构化保护级（B2级）

安全区域保护级（B3级）

20TCSECB类分为三个类别：191TCSECB1级系统要求具有C2级系统的所有特性

在此基础上，还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制并消除测试中发现的所有缺陷

21TCSECB1级系统要求具有C2级系统的所有特性192TCSECB类分为三个类别：标记安全保护级（B1级）

结构化保护级（B2级）

安全区域保护级（B3级）22TCSECB类分为三个类别：193TCS