12安全评估标准

第十二章安全评估标准一、概述研究安全标准的意义：

1、是安全理论和技术用于实践的纲领性规范，是安全理论和技术的总结。

2、对安全产品的功能、结构及互操作提出了要求

3、是一个国家科研水平、技术能力的反映。现有标准：安全体系结构标准、密码技术标准、安全认证标准、安全产品标准、安全评估标准等等。研究最多、最广泛的是安全评估标准。一、概述（续）安全评估标准最早起源于美国。1970年，美国国防部在国家安全局建立了计算机安全中心，开始进行有关计算机安全评估标准的研究，并于1984年公布了“可信计算机系统评估准则（TCSEC）”。书中重点介绍了通用的操作系统，后又于1987年增较了网络安全评估的有关解释和说明，它从网络安全的角度解释了准则中的观点，并从用户登陆、授权管理、访问控制、审计跟踪、隐通道分析、可信任通道的建立、安全检测、生命周期保障、文本写作、用户指南等方面提出了要求。1993年进行了补充和修改，“制定了组合的联邦保准（FC）”1988年加拿大制定了“加拿大可信计算机产品评估准则(CTCPEC)”.20世纪90年代，英、法、荷、德四国在各自安全评估准则的基础上联合提出了“信息技术安全评估准则（ITSEC）”1993年6月，将这四个标准联合组成单一的能被广泛使用的IT安全准则，称为CC项目。1995年颁布CC0.9版，1996年1月更新为CC1.0版，1997年8月更新为CC2.0Beta版，1998年5月发布CC2.0版，1999年发布CC2.1版，并被ISO定为国际标准ISO15408二、国际安全标准1、TCSEC美国国防部于1984年发布了“可信计算机系统评估准则”，目的有三：（1）为制造商提供安全标准（2）为国防部各部门提供度量标准，用于评估计算机系统或其他敏感信息的可信程度。（3）在分析、研究规范时，为制定安全需求提供基础。安全规范、标准1、TCSECTCSEC提出了可信技术基（TCB）的概念，即计算机系统负责执行安全策略的保护机制的全体，由硬件、软件和固件组成。TCSEC采用等级评估的方法，将计算机安全分为A、B、C、D四个等级八个级别。下面简单介绍各安全等级的内容和要求。无保护级D级D等是最低的保护等级，即无保护级。针对经过评估但不满足较高评估等级要求的系统而设计，这种级别的系统不能在多用户环境中处理敏感信息。自主保护级C级它具有一定的保护能力，通过身份认证、自主访问控制和审计等安全措施来实施保护。一般只适用于具有一定等级要求的多用户环境，分为自主安全保护级--C1级和可控安全保护级--C2级C1级：通过用户和数据隔离来达到保护的目的。TCB在命名用户和命名客体之间加以定义并进行访问控制。C2级：通过注册过程控制、审计安全相关事件以及资源隔离达到保护目的。目前主要的商业操作系统都达到这一安全等级。强制安全保护级B级它要求对客体实施强制访问控制和敏感标记，可信计算机利用敏感标记来实施强制访问控制。分为标记安全保护级B1级、结构保护级B2级和强制安全区域级B3级B级—标记安全保护级B1具有C2级的全部功能，并增较了标记、强制访问控制、责任、审计和保护功能。要求：标记、强制访问控制、可审计性和审计具体如下:

（1）标记

a）标记的完整性：能准确地体现主体和客体的安全级别。

b）标记信息的输出：TCB应能指明，美国通信的信道和I/O设备，是作为单级还是多级使用。

c）单级设备输出：对单级通信信道或I/O设备处理的信息不作敏感标记，能够让授权用户经单级通信信道或I/O设备来安全按传输标有单级安全级别的信息。

d）多级设备输出：当TCB输出一个客体到多级I/O设备时，敏感标记应与客体一起输出，并以同样的形式和输出信息一起存放在同一物理介质上。当TCB通过多级通信信道输出和输入一客体时，使用的协议应在敏感标记和发送（接收）的信息间提高明确的对应关系。

e）硬拷贝标记输出：系统管理员应能够指定与输出敏感标记相关的可打印标记名。TCB标记硬拷贝敏感标记输出的开始和结束。（2）强制访问控制

TCB对自己控制下的所有主体和客体施加强制访问控制策略。通过主体和客体的敏感标记来判断是否实施强制访问控制。（3）可审计性当用户开始完成由TCB干预的活动是，TCB将要求对它们进行识别，并保存确认数据，以防止未经授权的用户访问。这些数据包括验证用户身份的信息、检查用户的鉴别信息和用户授权信息。（4）审计包括C2级的全部功能，需要对任何滥用职权的用户输出标记。对安全级记录的事件进行审计，对基于安全级的用户活动进行有选择的审计。B级—结构保护级B2级强调实际操作中的评价手段。功能：（1）安全策略（2）可审计性（3）结构：支持操作人员和管理人员分离，执行最小特权原则。B级—强制安全区域级B3除了包括B2级功能外，能监督所有主体对客体的访问，防止篡改，并提高分析和测试，同时将审计机理扩展到报知与安全有关的事件增加了安全策略（1）安全策略：采用访问控制表进行控制，允许用户指定和控制对客体的共享，可指定命名用户对命名客体的访问方式。（2）可审计性：监视安全审计事件的发生和积累，超过一定阀值时立即报知安全管理人员。（3）保证验证安全保护级A级特点：使用形式化的安全验证方法来保证系统的自主，并强制安全控制措施有效地保护系统中存储和处理的秘密信息或其他敏感信息。等级分为验证设计级A1级和超A1级。2、通用准则CC对信息系统的安全功能、安全保障给出了分类描述，并综合考虑信息系统的资产价值、威胁等因素后，对被评估对象提出了安全需求级及安全实现等方面的评估。CC的范围：重点考虑人为的威胁，也适用于硬件、软件和固件实现的信息技术安全措施。CC的结构分三部分：第一部分：简介和一般模型—介绍了CC的一般概念和格式，描述了其结构和适用范围、安全功能、保证需求的定义，并给出了保护轮廓和安全目标的结构

第二部分：安全功能要求—为用户和开发者提供安全功能组件，作为表述评估对象（TOE）功能要求的标准方法第三部分：安全保证要求—为开发者提供安全保证组件，作为表述评估对象保证要求的标准方法CC中安全要求的描述方法安全要求是以“类—族—组件”的层次方式组织的类：是最通用的安全要求的组合，每个类包含一个类名、类介绍、一个或多个功能族。类的成员是族族（子类）：是若干组安全要求的组合，这些安全要求有共同的安全目的。族的成员是组件组件：描述一组特定的安全要求集，是CC定义结构中所包含的最小的可选安全要求集。功能类结构图功能子类结构图功能组件结构图CC中安全需求的描述方法定义了三种类型的需求结构：包、保护轮廓PP和安全目标ST包：组件的中间组合称为包，它是对功能或保证需求集合的描述。包可以重复使用，也可用于构造更大的包、PP和STPP：包含一套来自CC的安全要求，也包括一个评估保证级别。PP可重复使用也可定义那些公认有用的、能满足特定安全目标的TOEST：包括一系列安全要求，，这些要求可引用PP，也可直接引用或明确说明CC中的功能或保证组件CC框架下的评估类型及评估思想PP评估，目标：证明PP是完备的、一致的技术合理的，同时适用于作为一个可评估TOE的安全要求的声明ST评估，目标：1、证明ST完备、一致、技术合理适用于相应TOE评估的基础；2、当某一ST宣称与PP一致时，证明ST满足该PP的要求TOE评估，目标：证明TOE满足ST中的安全要求三种评估的关系为：评估PPPP评估结果评估STPP分类评估TOE证书分类TOE评估结果已评估过的TOEST评估结果CC的安全功能安全功能（11个）：

FAU类（安全审计）FCO类（通信）

FCS类（密码支持）FDP类（保护用户数据）FIA类（标识与鉴别）FMT类（安全管理）FPR类（隐秘）

FPT类（TOE安全功能的保护或TFS的保护）FRU类（资源利用）(更正)FTA类（TOE访问）FTP类（可信信道/路径）CC的安全保障安全保证类（7个）

ACM类：配置管理

ADO类：分发与操作

ADV类：开发

AGD类：指导性文档

ALC类：生命周期支持

ATE类：测试

AVA类：脆弱性评定3、国内安全标准GB17859—1999GB/T15408GB17859计算机信息系统安全保护等级划分准则，于1999年9月由国家质量