等级保护安全评价标准

第14章

平安评价标准主要内容可信计算机系统评价标准通用评估准那么CC我国信息系统平安评价标准计算机系统的提供者需要对他们的产品的平安特性进行说明，而用户那么需要验证这些平安特性的可靠性。国际上有多种为计算机平安系统构筑独立审查措施的平安评价体系,其内容和开展深刻地反映了对信息平安问题的认识程度。14.1可信计算机系统评价标准1985年12月美国国防部公布了评价平安计算机系统的六项标准。这套标准的文献名称即为“可信计算机系统评价标准〞〔TrustedComputerSystemEvaluationCriteria，简记为TCSEC〕，又称为橘皮书。14.1.1TCSEC的主要概念1．考核标准〔1〕平安策略〔SecurityPolicy〕〔2〕标识〔Identification〕〔3〕标记〔Marking〕〔4〕可记账性〔Accountability〕〔5〕保障机制〔Assurance〕〔6〕连续性保护〔ContinuousProtection〕2．主要概念平安性可信计算基(TCB)自主访问控制〔DiscretionaryAccessControl，DAC〕强制访问控制〔MandatoryAccessControl，MAC〕隐蔽信道3．系统模型主体审计信息访问监控器监控器数据基：（用户权限表、访问控制表）客体14.1.2计算机系统的平安等级TCSEC将可信计算机系统的评价规那么划分为四类，即平安策略、可记账性、平安保证措施和文档根据计算机系统对上述各项指标的支持情况及平安性相近的特点，TCSEC将系统划分为四类(Division)七个等级1．D平安级最低级别,一切不符合更高标准的系统，统统归于D级。2．C1平安级只提供了非常初级的自主平安保护,称为自主平安保护系统,现有的商业系统往往稍作改进即可满足要求。3．C2平安级称为可控平安保护级，是平安产品的最低档次很多商业产品已得到该级别的认证。到达C2级的产品在其名称中往往不突出“平安〞(Security)这一特色4．B1平安级 又称为带标记的访问控制保护级，其在C2级的根底上增加了或加强了标记、强制访问控制、审计、可记账性和保障等功能。B1级能够较好地满足大型企业或一般政府部门对数据的平安需求，这一级别的产品才被认为是真正意义上的平安产品。满足此级别的产品前一般多冠以“平安〞(Security)或“可信的〞(Trusted)字样B类平安包含三个级别：B1、B2、B3级，他们都采用强制保护控制机制。B2平安级称为结构化保护级。该级系统的设计中把系统内部结构化地划分成明确而大体上独立的模块，并采用最小特权原那么进行管理。目前，经过认证的B2级以上的平安系统非常稀少。B3平安级又称为平安域保护级。该级的TCB必须满足访问监控器的要求，审计跟踪能力更强，并提供系统恢复过程。A1平安级又称为可验证设计保护级，即提供B3级保护的同时给出系统的形式化设计说明和验证以确信各平安保护真正实现。14.2通用评估准那么CCCC(CommonCriteriaforInformationTechnologySecurityEvaluation)标准是国际标准化组织ISO/IECJTC1发布的一个标准，是信息技术平安性通用评估准那么，用来评估信息系统或者信息产品的平安性。14.2.1CC的主要用户CC的主要用户包括消费者、开发者和评估者。1．消费者消费者可以用评估结果来决定一个已评估的产品和系统是否满足他们的平安需求。2．开发者CC为开发者在准备和参与评估产品或系统以及确定每种产品和系统要满足平安需求方面提供支持。3．评估者当要做出TOE及其平安需求一致性判断时，CC为评估者提供了评估准那么。14.2.2CC的组成CC分为三个局部1.简介和一般模型: 正文介绍了CC中的有关术语、根本概念和一般模型以及与评估有关的一些框架，附录局部主要介绍保护轮廓〔PP〕和平安目标〔ST〕的根本内容。2.平安功能要求:按“类-族-组件〞的方式提出平安功能要求，提供了表示评估对象TOE平安功能要求的标准方法。3.平安保证要求:定义了评估保证级别，建立了一系列平安保证组建作为表示TOE保证要求的标准方法。CC的三个局部相互依存，缺一不可。14.2.3评估保证级别EAL评估保证级别是评估保证要求的一种特定组合〔保证包〕，是度量保证措施的一个尺度，这种尺度确实定权衡了所获得的保证级别以及到达该保证级别所需的代价和可能性。在CC中定义了7个递增的评估保证级1．EAL1：功能测试EAL1适用于对正确运行需要一定信任的场合2.EAL2：结构测试 要求开发者递交设计信息和测试结果，但不需要开发者增加过多的费用或时间的投入。3．EAL3：方法测试和校验在不需要对现有的合理的开发规那么进行实质性改进的情况下，EAL3可使开发者在设计阶段能从正确的平安工程中获得最大限度的保证。4．EAL4：系统地设计、测试和评审基于良好而严格的商业开发规那么，在不需额外增加大量专业知识、技巧和其他资源的情况下，开发者从正确的平安工程中所获得的保证级别最高可到达EAL4。5．EAL5：半形式化设计和测试适当应用专业性的一些平安工程技术，并基于严格的商业开发实践，EAL5可使开发者从平安工程中获得最大限度的保证。6．EAL6：半形式化验证的设计和测试EAL6允许开发者通过在一个严格的开发环境中使用平安工程技术来获得高度保证，以便生产一个优异的TOE来保护高价值的资源防止重大的风险。7．EAL7：形式化验证的设计和测试EAL7适用于在极端高风险的形势下，并且所保护的资源价值极高，值得花费更高的开销进行平安TOE的开发。14.2.4CC的特点CC比起早期的评估准那么其特点表达在其结构的开放性、表达方式的通用性以及结构和表达方式的内在完备性和实用性等四个方面。14.3我国信息系统平安评价标准公安部提出并组织制定了强制性国家标准GB-17859：1999?计算机信息平安保护等级划分准那么?，该准那么于1999年9月13日经国家质量技术监督局发布，并于2001年1月1日起实施。14.3.1所涉及的术语〔1〕计算机信息系统〔ComputerInformationSystem〕：计算机信息系统是由计算机及其相关的和配套的设备、设施〔含网络〕构成的，按照一定的应用目标和规那么对信息进行采集、加工、存储、传输、检索等处理的人机系统。

〔2〕计算机信息系统可信计算基〔TrustedComputingBaseofComputerInformationSystem〕：计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行平安策略的组合体。它建立了一个根本的保护环境并提供一个可信计算系统所要求的附加用户效劳。

〔3〕客体〔Object〕：

信息的载体。 〔4〕主体〔Subject〕：引起信息在客体之间流动的人、进程或设备等。

所涉及的术语〔5〕敏感标记〔SensitivityLabel〕：表示客体平安级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访问控制决策的依据。〔6〕平安策略〔SecurityPolicy〕：有关管理、保护和发布敏感信息的法律、规定和实施细那么。

〔7〕信道〔Channel〕：系统内的信息传输路径。

〔8〕隐蔽信道〔CovertChannel〕：允许进程以危害系统平安策略的方式传输信息的通信信道。

所涉及的术语〔9〕访问监控器〔ReferenceMonitor〕：

监控主体和客体之间授权访问关系的部件。〔10〕可信信道〔TrustedChannel〕：为了执行关键的平安操作，在主体、客体及可信IT产品之间建立和维护的保护通信数据免遭修改和泄露的通信路径。〔11〕客体重用：在计算机信息系统可信计算基的空闲存储客体空间中，对客体初始制定、分配或再分配一个主体之前，撤销该客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时，当前主体不能获得原主体活动所产生的任何信息。14.3.2等级的划分及各等级的要求1．第一级用户自主保护级

〔1〕自主访问控制

〔2〕身份鉴别

〔3〕数据完整性

2．第二级系统审计保护级

〔1〕自主访问控制

〔2〕身份鉴别

〔3〕客体重用

〔4〕审计

〔5〕数据完整性

3．第三级平安标记保护级

〔1〕自主访问控制

〔2〕强制访问控制

〔3〕标记

〔4〕身份鉴别

〔5〕客体重用

〔6〕审计

〔7〕数据完整性

4．第四级结构化保护级

〔1〕自主访问控制

〔2〕强制访问控制

〔3〕标记

〔4〕身份鉴别

〔5〕客体重用

〔6〕审计

〔7〕数据完整性

〔8〕隐蔽信道分析

〔9〕可信路径5．第五级访问验证保护级〔1〕自主访问控制

〔2〕强制访问控制〔3〕标记

〔4〕身份鉴别

〔5〕客体重用

〔6〕审计

〔7〕数据完整性

〔8〕隐蔽信道分析

〔9〕可信路径〔10〕可信恢复

14.3.3对标准的分析从第三平安级开始增加了强制访问控制的要求，同时保存了自主访问控制平安要求对于要求到达第三级以上平安等级的系统，需要以强制访问控制为主和TCSEC比较来看，第五等级更接近TCSEC中的A1级。

2002年2月18日

APEX培训中心像总经理那样思考请按自已最希望开展的能力排序管理能力领导能力经营能力专业能力

宁做一天的狮子，不做一世的绵羊。王侯将相，宁有种乎？

只有一个人能给你自尊，那就是你自己。根据全美MBA评定委员会最喜欢看到年轻的MBA的素质是：善与人交往与人沟通口齿伶俐有说服力能看懂报表

CEO的最适合人选首先应具有超人的管理才能和领导能力，而不是专业知识。

全美一百多家工商财经记者一致认为：我相信你们能胜任！为什么未能达成自已所设定的目标？

“人并不是命运的囚徒，富兰克林D罗斯福而是自己思想的囚徒〞比方看上去很傻、犯错误、寻找赞成、不是你的最正确表现、落伍了…第二个自我设陷——不去花时间考虑该采取不同的做法。

第一个自我设陷——害怕一、 评估领导管理能力的9个原那么9、尊重别人。尊重别人的意见和工作；不要无视别人的形象和地位。1、唤醒他人的忠诚及热情的才能。具有人格魅力，受人爱戴，能明白别人需要什么，有强烈的使命感。2、为人着想。向有需要的人提供培训、提出建议，并给予指导，积极倾听并暗示对方你在倾听；对初来乍到者给予更多的帮助。3、启发智慧。从别人那里得到原因和证明强于不可靠的意见；允许其他人用新方法思考旧问题；用一种能促使别人思考他们以前从未考虑的问题的方式进行交流。4、勇气。即使这种思想不流行也要勇于接受；不要为了防止冲突而屈服于别人的压力或意见，要为公司和客户考虑，即使这会给自己带来困难5、有责任感。信守承诺；勇于承担责任和错误；不要依赖老板。6、灵活性。在变化的环境中高效地发挥作用；当很多事情同时发生时，要同时处理假设干件事，因时而变。7、正直。要做符合伦理和道德的事情；不要把辱骂作为管理者的特权，这是始终不变的。8、判断。通过逻辑分析和比较，对行为作出正确的评价；将相关的事实和因素归纳在一起；利用过去的经验和信息来为今天的决策效劳。比照上述9个原那么，你呢？准备反思自己：〔按先后次序说出你最喜欢的三种动物〕评价自我：

a

我怎么看待自己。

b别人怎么看待我。

全面分析自己的商业经营能力、业绩、分析思考能力、组织能力、影响力、领导能力，以及专业技术能力

全面审视自己：正确的思考应该是控制消极想法，相信自己能做到。学会自我交谈，每天对自己谈自己的目标15遍。

2005年一个优秀的广告领导人的素质：1、 梦想和理念2、 领导能力3、 预见力4、 创造力5、 挑战精神6、 快速经营能力7、 对广告的独特观点8、 英语水平9、 MBA资格10、 说服能力

必备二、如何领导你的部下?

1、评价你的员工能力水平概念基本内容举例第一层知识掌握一定的生活、广告常识和基础知识的入门者、新手三流广告人只有广告知识的人、半专业人员第二层见识知识水平较高，有自己的见解、思想，相当于大学老师的水平。二流广告人评论家、大学教授第三层胆识知识见识水平高，有独立工作能力，有成果和实战经验一流广告人有知识有实战的人、专家

管理就是做一些事情，来阻止那些引起员工工作失败的讨厌时机的出现。

预防性管理，就是在特定的工作环境中为实现预想的结果而必须采取的干预手段。

引入一个重要的概念：

在工作开始之前你要做的事：

1、 让部下知道要让他们干什么。2、 看看部下是否知道该怎样做。3、 让部下清楚他们为什么要做这件事。

4、如果你的部下觉得你的方法行不通，让他们相信你的

方法会奏效。5、如果你的部下认为他们的方法好，要做出令人信服的

解释为什么他们的方法不好。

8、 证实工作并没有超出部下的个人限制。9、 证实没有超出部下控制范围的障碍。10、 证实工作是能够完成的。

6、 让部下知道工作的优先解决性。7、 让部下相信将来的负面结果不会发生。

在工作开始之前你要做的事：

工作开始之后你要做的事：

1、 经常向部下的工作提供特别的反响。2、 经常对于好的工作表现进行口头赞赏3、 搬开障碍或者给部下一条绕开障碍的策略。4、 让部下知道哪些工作需要优先解决。5、 排除影响好的工作行为的负面结果或者通过正面的加强来平衡负面结果。6、 否认对部下的差行为仍能得到正面结果定论。7、 只在一贯的表现差的部下身上使用负面结果〔进步的规那么〕请记住：你的部下是因为工作而得到认可，而你是因为管理他们的工作而被认可。当你看到你的部下的成绩时，请立即向你的部下表示口头赞许，做到尽可能快的在行为发生之后用口头赞赏描述特殊行为以来持续其不断发生。

三、怎样做好广告这门生意？〔一〕超越竞争对手的策略竞争对手：国际4A公司、国内一线的4A公司、国内一线的筹划机构、本区域有特长的中小广告公司。A：本钱领导策略〔Cost

Leadership

Strategy〕B：产品差异化策略〔Product

Differentiation

Strategy〕较竞争对手而言，提供更好的产品与效劳品质。提供给顾客更新、更符合需要的产品或效劳功能。更接近顾客，用个性化、定制化的效劳满足客户。〔二〕形成我们优势竞争力的六大要素：〔5M+1I〕1〕 掌控资讯的能力〔information〕2〕 人力资源(Human

Resource)3〕 管理能力(management)4〕 市场能力(marketing)5〕 技术能力(method)6〕 资金能力(money)〔三〕关于代理费〔佣金〕和效劳费的优劣佣金体系的缺点：

1〕15%的佣金与广告代理工作努力的结果并没有联系，即佣金多少与代理工作努力程度无关。2〕 大客户补助了较小客户。3〕 利润率高的客户补助了获利不那么多的客户。4〕 将佣金控制在15%以内的做法导致了一个后果，那就是工作由那些能力低的雇员来执行5〕 代理商会想方设法附加一些不必要的工作，以显示一直在持续努力。6〕 代理商总试图建议提高广告预算，从而提高其代理收入。7〕 佣金体系导致代理商在推荐媒体时缺乏目标，减少从事线下工程的活动。8〕 处在15%的佣金体系内的广告代理商倾向于扩展他们的效劳以提高收益，而不管他们的客户究竟是否需要这种额外效劳，最后的结果就是，许多客户为他们根本不需要有效劳付款。9〕通货膨胀时期，媒体本钱上升。广告代理的收益因为建立了一种自动防止通胀受损的对策而得到了保障，付出代价的是广告主。10〕 广告主被迫使用一家指定的代理商，从而无法通过内部运作或购置自由职业者的效劳来完成相关工作。佣金体系的缺点：

2002年起APEX将全面导入效劳费体系，从代理商角度收入稳定且效劳能持久深入自然好处多多，但从广告主方面来看：1〕效劳费体系根本上是一种本钱附加的系统，它孕育了效率低下的因素；佣金体系那么是代理降低本钱的一条原那么。2〕效劳费体系会导致在广告代理商之间引发一场价格战，因此很有可能忽略了一些本应提供给客户的效劳；效劳费体系同样可能导致广告状况的恶化。3〕对管理者来说，效劳费体系非常难于管理，需要经常审查。4〕效劳费的设定可能导致在广告代理商及客户之间产生裂缝。5〕使用效劳费体系，媒体费用的减少并非是节约可以做到的，代理商的效劳费仍然必须支付。6〕 与代理商打交道时，使用效劳费体系导致客户陷入了不必要的匆忙，因为实际消耗时间都将更加直接地计入效劳费。7〕 佣金体系刺激代理增加客户的业务量，费用也随之增多。8〕 使用佣金体系，代理商被迫在质量而价格的根底上展开竞争。实际上因为评估广告效果的可能性越来越大，广告造成的影响力应该成为代理商收取费用的准那么，简而言之，有了结果再付钱。应对方法：成功的伙伴关系需要双方经营，仅有一方努力会使之松懈。最好的方法是努力建立一个联合小组，其成员局部来自于客户，局部来自于代理商，他们像团队一样紧密团结在一起工作。四、关于筹划

就是寻找那条最近的路。

条条大路通罗马，筹划

知识的五个层次：

1〕信息

2〕经验

3〕智慧

4〕思想

5〕理论积累+吸收新事物+把握事物本质+专业化行家=筹划能力筹划是全局战略性的，而企划是局部战术性的。创新分为横向创新〔洋为中用，古为今用〕纵向创新〔灵魂和核心方面的