信息技术安全评估准则发展过程

SecurityRiskAssessment--historyanddevelopment2规范引见信息技术平安评价准那么开展过程可信计算机系统评价准那么〔TCSEC〕可信网络解释〔TNI〕通用准那么CC<计算机信息系统平安维护等级划分准那么>信息平安保证技术框架<信息系统平安维护等级运用指南>3信息技术平安评价准那么开展过程20世纪60年代后期，1967年美国国防部〔DOD〕成立了一个研讨组，针对当时计算机运用环境中的平安战略进展研讨，其研讨结果是“DefenseScienceBoardreport〞70年代的后期DOD对当时流行的操作系统KSOS，PSOS，KVM进展了平安方面的研讨4信息技术平安评价准那么开展过程80年代后，美国国防部发布的“可信计算机系统评价准那么〔TCSEC〕〞〔即桔皮书〕后来DOD又发布了可信数据库解释〔TDI〕、可信网络解释〔TNI〕等一系列相关的阐明和指南90年代初，英、法、德、荷等四国针对TCSEC准那么的局限性，提出了包含严密性、完好性、可用性等概念的“信息技术平安评价准那么〞〔ITSEC〕，定义了从E0级到E6级的七个平安等级5信息技术平安评价准那么开展过程加拿大1988年开场制定<TheCanadianTrustedComputerProductEvaluationCriteria>〔CTCPEC〕1993年，美国对TCSEC作了补充和修正，制定了“组合的联邦规范〞〔简称FC〕国际规范化组织〔ISO〕从1990年开场开发通用的国际规范评价准那么6信息技术平安评价准那么开展过程在1993年6月，CTCPEC、FC、TCSEC和ITSEC的发起组织开场结合起来，将各自独立的准那么组合成一个单一的、能被广泛运用的IT平安准那么发起组织包括六国七方：加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA，他们的代表建立了CC编辑委员会〔CCEB〕来开发CC7信息技术平安评价准那么开展过程1996年1月完成CC1.0版,在1996年4月被ISO采用1997年10月完成CC2.0的测试版1998年5月发布CC2.0版1999年12月ISO采用CC，并作为国际规范ISO15408发布8平安评价规范的开展历程桔皮书〔TCSEC〕1985英国平安规范1989德国规范法国规范加拿大规范1993联邦规范草案1993ITSEC1991通用规范V1.01996V2.01998V2.119999规范引见信息技术平安评价准那么开展过程可信计算机系统评价准那么〔TCSEC〕可信网络解释〔TNI〕通用准那么CC<计算机信息系统平安维护等级划分准那么>信息平安保证技术框架<信息系统平安维护等级运用指南>10TCSEC在TCSEC中，美国国防部按处置信息的等级和应采用的呼应措施，将计算机平安从高到低分为：A、B、C、D四类八个级别，共27条评价准那么随着平安等级的提高，系统的可信度随之添加，风险逐渐减少。11TCSEC四个平安等级：无维护级自主维护级强迫维护级验证维护级12TCSECD类是最低维护等级，即无维护级是为那些经过评价，但不满足较高评价等级要求的系统设计的，只具有一个级别该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处置敏感信息13TCSEC四个平安等级：无维护级自主维护级强迫维护级验证维护级14TCSECC类为自主维护级具有一定的维护才干，采用的措施是自主访问控制和审计跟踪普通只适用于具有一定等级的多用户环境具有对主体责任及其动作审计的才干15TCSECC类分为C1和C2两个级别:自主平安维护级〔C1级)控制访问维护级〔C2级〕16TCSECC1级TCB经过隔离用户与数据，运用户具备自主平安维护的才干它具有多种方式的控制才干，对用户实施访问控制为用户提供可行的手段，维护用户和用户组信息，防止其他用户对数据的非法读写与破坏C1级的系统适用于处置同一敏感级别数据的多用户环境17TCSECC2级计算机系统比C1级具有更细粒度的自主访问控制C2级经过注册过程控制、审计平安相关事件以及资源隔离，使单个用户为其行为担任18TCSEC四个平安等级：无维护级自主维护级强迫维护级验证维护级19TCSECB类为强迫维护级主要要求是TCB应维护完好的平安标志，并在此根底上执行一系列强迫访问控制规那么B类系统中的主要数据构造必需携带敏感标志系统的开发者还应为TCB提供平安战略模型以及TCB规约应提供证据证明访问监控器得到了正确的实施20TCSECB类分为三个类别：标志平安维护级〔B1级〕构造化维护级〔B2级〕平安区域维护级〔B3级〕21TCSECB1级系统要求具有C2级系统的一切特性在此根底上，还应提供平安战略模型的非方式化描画、数据标志以及命名主体和客体的强迫访问控制并消除测试中发现的一切缺陷22TCSECB类分为三个类别：标志平安维护级〔B1级〕构造化维护级〔B2级〕平安区域维护级〔B3级〕23TCSEC在B2级系统中，TCB建立于一个明确定义并文档化方式化平安战略模型之上要求将B1级系统中建立的自主和强迫访问控制扩展到一切的主体与客体在此根底上，应对隐蔽信道进展分析TCB应构造化为关键维护元素和非关键维护元素24TCSECTCB接口必需明确定义其设计与实现应可以经受更充分的测试和更完善的审查鉴别机制应得到加强，提供可信设备管理以支持系统管理员和操作员的职能提供严厉的配置管理控制B2级系统应具备相当的抗浸透才干25TCSECB类分为三个类别：标志平安维护级〔B1级〕构造化维护级〔B2级〕平安区域维护级〔B3级〕26TCSEC在B3级系统中，TCB必需满足访问监控器需求访问监控器对一切主体对客体的访问进展仲裁访问监控器本身是抗篡改的访问监控器足够小访问监控器可以分析和测试27TCSEC为了满足访问控制器需求:计算机信息系统可信计算基在构造时，排除那些对实施平安战略来说并非必要的代码计算机信息系统可信计算基在设计和实现时，从系统工程角度将其复杂性降低到最小程度28TCSECB3级系统支持:平安管理员职能扩展审计机制当发生与平安相关的事件时，发出信号提供系统恢复机制系统具有很高的抗浸透才干29TCSEC四个平安等级：无维护级自主维护级强迫维护级验证维护级30TCSECA类为验证维护级A类的特点是运用方式化的平安验证方法，保证系统的自主和强迫平安控制措施可以有效地维护系统中存储和处置的信息或其他敏感信息为证明TCB满足设计、开发及实现等各个方面的平安要求，系统应提供丰富的文档信息31TCSECA类分为两个类别：验证设计级〔A1级〕超A1级32TCSECA1级系统在功能上和B3级系统是一样的，没有添加体系构造特性和战略要求最显著的特点是，要求用方式化设计规范和验证方法来对系统进展分析，确保TCB按设计要务虚现从本质上说，这种保证是开展的，它从一个平安战略的方式化模型和设计的方式化高层规约〔FTLS〕开场33TCSECA1级系统:要求更严厉的配置管理要求建立系统平安分发的程序支持系统平安管理员的职能34TCSECA类分为两个类别：验证设计级〔A1级〕超A1级35TCSEC超A1级在A1级根底上添加的许多平安措施超出了目前的技术开展随着更多、更好的分析技术的出现，本级系统的要求才会变的更加明确今后，方式化的验证方法将运用到源码一级，并且时间隐蔽信道将得到全面的分析36TCSEC在这一级，设计环境将变的更重要方式化高层规约的分析将对测试提供协助TCB开发中运用的工具的正确性及TCB运转的软硬件功能的正确性将得到更多的关注37TCSEC超A1级系统涉及的范围包括：系统体系构造平安测试方式化规约与验证可信设计环境等38规范引见信息技术平安评价准那么开展过程可信计算机系统评价准那么〔TCSEC〕可信网络解释〔TNI〕通用准那么CC<计算机信息系统平安维护等级划分准那么>信息平安保证技术框架<信息系统平安维护等级运用指南>39可信网络解释〔TNI〕美国国防部计算机平安评价中心在完成TCSEC的根底上，又组织了专门的研讨镞对可信网络平安评价进展研讨，并于1987年发布了以TCSEC为根底的可信网络解释，即TNI。TNI包括两个部分〔PartI和PartII〕及三个附录〔APPENDIXA、B、C〕40可信网络解释〔TNI〕TNI第一部分提供了在网络系统作为一个单一系统进展评价时TCSEC中各个等级〔从D到A类〕的解释与单机系统不同的是，网络系统的可信计算基称为网络可信计算基〔NTCB〕41可信网络解释〔TNI〕第二部分以附加平安效力的方式提出了在网络互联时出现的一些附加要求这些要求主要是针对完好性、可用性和严密性的42可信网络解释〔TNI〕第二部分的评价是定性的，针对一个效力进展评价的结果普通分为为：noneminimumfairgood43可信网络解释〔TNI〕第二部分中关于每个效力的阐明普通包括:一种相对简短的陈说相关的功能性的讨论相关机制强度的讨论相关保证的讨论44可信网络解释〔TNI〕功能性是指一个平安效力的目的和实现方法，它包括特性、机制及实现机制的强度是指一种方法实现其目的的程度有些情况下，参数的选择会对机制的强度带来很大的影响45可信网络解释〔TNI〕保证是指置信一个功能会实现的根底保证普通依托对实际、测试、软件工程等相关内容的分析分析可以是方式化或非方式化的，也可以是实际的或运用的46可信网络解释〔TNI〕 第二部分中列出的平安效力有：通讯完好性回绝效力性47可信网络解释〔TNI〕 通讯完好性主要涉及以下3方面：鉴别：网络中应可以抵抗欺骗和重放攻击通讯字段完好性：维护通讯中的字段免受非授权的修正抗抵赖：提供数据发送、接受的证据48可信网络解释〔TNI〕当网络处置才干下降到一个规定的界限以下或远程实体无法访问时，即发生了回绝效力一切由网络提供的效力都应思索回绝效力的情况网络管理者应决议网络回绝效力需求49可信网络解释〔TNI〕 处理回绝效力的方法有：操作延续性基于协议的回绝效力维护网络管理50可信网络解释〔TNI〕性是一系列平安效力的总称这些效力都是关于经过计算机通讯网络在实体间传输信息的平安和严密的详细又分3种情况：数据严密通讯流严密选择路由51可信网络解释〔TNI〕数据严密：数据严密性效力维护数据不被未授权地泄露数据严密性主要受搭线窃听的要挟被动的攻击包括对线路上传输的信息的观测52可信网络解释〔TNI〕通讯流严密：针对通讯流分析攻击而言，通讯流分析攻击分析音讯的长度、频率及协议的内容〔如地址〕并以此推出音讯的内容53可信网络解释〔TNI〕选择路由：路由选择控制是在路由选择过程中运用规那么，以便详细的选取或逃避某些网络、链路或中继路由能动态的或预定地选取，以便只运用物理上平安的子网络、链路或中继在检测到继续的操作攻击时，端系统可希望指示网络效力的提供者经不同的路由建立衔接带有某些平安标志的数据能够被战略制止经过某些子网络、链路或中继54可信网络解释〔TNI〕TNI第二部分的评价更多地表现出定性和客观的特点，同第一部分相比表现出更多的变化第二部分的评价是关于被评价系统才干和它们对特定运用环境的适宜性的非常有价值的信息第二部分中所列举的平安效力是网络环境下有代表性的平安效力在不同的环境下，并非一切的效力都同等重要，同一效力在不同环境下的重要性也不一定一样55可信网络解释〔TNI〕TNI的附录A是第一部分的扩展，主要是关于网络中组件及组件组合的评价附录A把TCSEC为A1级系统定义的平安相关的战略分为四个相对独立的种类，他们分别支持强迫访问控制〔MAC〕，自主访问控制〔DAC〕，身份鉴别〔IA〕，审计〔AUDIT〕56可信网络解释〔TNI〕组成部分的类型最小级别最大级别MB1A1DC1C2+IC1C2AC2C2+DIC1C2+DAC2C2+IAC2C2+IADC2C2+MDB1A1MAB1A1MIB1A1MDAB1A1MDIB1A1MIAB1A1MIADB1A157可信网络解释〔TNI〕附录B给出了根据TCSEC对网络组件进展评价的根本原理附录C那么给出了几个AIS互联时的认证指南及互联中能够遇到的问题58可信网络解释〔TNI〕TNI中关于网络有两种概念：一是单一可信系统的概念〔singletrustedsystem〕另一个是互联信息系统的概念〔interconnectedAIS〕这两个概念并不相互排斥59可信网络解释〔TNI〕在单一可信系统中，网络具有包括各个平安相关部分的单一TCB，称为NTCB〔networktrustedcomputingbase〕NTCB作为一个整体满足系统的平安体系设计60可信网络解释〔TNI〕在互联信息系统中各个子系统能够具有不同的平安战略具有不同的信任等级并且可以分别进展评价各个子系统甚至能够是异构的61可信网络解释〔TNI〕平安战略的实施普通控制在各个子系统内，在附录C中给出了各个子系统平安地互联的指南，在互联时要控制部分风险的分散，排除整个系统中的级联问题〔cascadeproblem〕限制部分风险的分散的方法：单向衔接、传输的手工检测、加密、隔离或其他措施。62规范引见信息技术平安评价准那么开展过程可信计算机系统评价准那么〔TCSEC〕可信网络解释〔TNI〕通用准那么CC<计算机信息系统平安维护等级划分准那么>信息平安保证技术框架<信息系统平安维护等级运用指南>63通用准那么CCCC的范围:CC适用于硬件、固件和软件实现的信息技术平安措施而某些内容因涉及特殊专业技术或仅是信息技术平安的外围技术不在CC的范围内64通用准那么CC评价上下文评价准那么(通用准那么〕评价方法学评价方案最终评价结果评价同意/证明证书表/(注册)65通用准那么CC运用通用评价方法学可以提供结果的可反复性和客观性许多评价准那么需求运用专家判别和一定的背景知识为了加强评价结果的一致性，最终的评价结果应提交给一个认证过程，该过程是一个针对评价结果的独立的检查过程，并生成最终的证书或正式批文66通用准那么CCCC包括三个部分:第一部分：简介和普通模型第二部分：平安功能要求第三部分：平安保证要求67通用准那么CC平安保证要求部分提出了七个评价保证级别〔EvaluationAssuranceLevels：EALs〕分别是：EAL1：功能测试EAL2：构造测试EAL3：系统测试和检查EAL4：系统设计、测试和复查EAL5：半方式化设计和测试EAL6：半方式化验证的设计和测试EAL7：方式化验证的设计和测试68通用准那么CCCC的普通模型普通平安上下文TOE评价CC平安概念69通用准那么CC平安就是维护资产不受要挟，要挟可根据滥用被维护资产的能够性进展分类一切的要挟类型都应该被思索到在平安领域内，被高度注重的要挟是和人们的恶意攻击及其它人类活动相联络的70通用准那么CC平安概念和关系71通用准那么CC平安性损坏普通包括但又不仅仅包括以下几项资产破坏性地暴露于未授权的接纳者〔失去严密性〕资产由于未授权的更改而损坏〔失去完好性〕或资产访问权被未授权的丧失〔失去可用性〕72通用准那么CC资产一切者必需分析能够的要挟并确定哪些存在于他们的环境，其后果就是风险对策用以〔直接或间接地〕减少脆弱性并满足资产一切者的平安战略在将资产暴露于特定要挟之前，一切者需求确信其对策足以应付面临的要挟73通用准那么CC评价概念和关系74通用准那么CCTOE评价过程75通用准那么CCTOE评价过程的主要输入有：一系列TOE证据，包括评价过的ST作为TOE评价的根底需求评价的TOE评价准那么、方法和方案另外，阐明性资料〔例如CC的运用阐明书〕和评价者及评价组织的IT平安专业知识也常用来作为评价过程的输入76通用准那么CC评价过程经过两种途径产生更好的平安产品评价过程能发现开发者可以纠正的TOE错误或弱点，从而在减少未来操作中平安失效的能够性另一方面，为了经过严厉的评价，开发者在TOE设计和开发时也将更加细心因此，评价过程对最初需求、开发过程、最终产品以及操作环境将产生剧烈的积极影响77通用准那么CC只需在IT环境中思索IT组件维护资产的才干时，CC才是可用的为了阐明资产是平安的，平安思索必需出如今一切层次的表述中，包括从最笼统到最终的IT实现CC要求在某层次上的表述包含在该层次上TOE描画的根本原理78通用准那么CCCC平安概念包括：平安环境平安目的IT平安要求TOE概要规范79通用准那么CC平安环境包括一切相关的法规、组织性平安战略、习惯、专门技术和知识它定义了TOE运用的上下文，平安环境也包括环境里出现的平安要挟80通用准那么CC为建立平安环境，必需思索以下几点：TOE物理环境，指一切的与TOE平安相关的TOE运转环境，包括知的物理和人事的平安安排需求根据平安战略由TOE的元素实施维护的资产。包括可直接相关的资产〔如文件和数据库〕和间接受平安要求支配的资产〔如授权凭证和IT实现本身〕TOE目的，阐明产品类型和能够的TOE用途81通用准那么CC平安环境的分析结果被用来阐明对抗已标识的要挟、阐明组织性平安战略和假设的平安目的平安目的和已阐明的TOE运转目的或产品目的以及有关的物理环境知识一致确定平安目的的意图是为了阐明一切的平安思索并指出哪些平安方面的问题是直接由TOE还是由它的环境来处置环境平安目的将在IT领域内用非技术上的或程序化的手段来实现82通用准那么CCIT平安要求是将平安目的细化为一系列TOE及其环境的平安要求，一旦这些要求得到满足，就可以保证TOE到达它的平安目的IT平安需求只涉及TOE平安目的和它的IT环境83通用准那么CCST中提供的TOE概要规范定义TOE平安要求的实现方法它提供了分别满足功能需求和保证需求的平安功能和保证措施的高层定义84通用准那么CCCC定义了一系列与知有效的平安要求集合相结合的概念，该概念可被用来为预期的产品和系统建立平安需求CC平安要求以类—族—组件这种层次方式组织，以协助用户定位特定的平安要求对功能和保证方面的要求，CC运用一样的风格、组织方式和术语。85通用准那么CC要求的组织和构造86通用准那么CCCC中平安要求的描画方法：类：类用作最通用平安要求的组合，类的一切的成员关注共同的平安焦点，但覆盖不同的平安目的族：类的成员被称为族。族是假设干组平安要求的组合，这些要求有共同的平安目的，但在偏重点和严厉性上有所区别组件：族的成员被称为组件。组件描画一组特定的平安要求集，它是CC定义的构造中所包含的最小的可选平安要求集87通用准那么CC组件由单个元素组成，元素是平安需求最低层次的表达，并且是能被评价验证的不可分割的平安要求族内具有一样目的的组件可以以平安要求强度〔或才干〕逐渐添加的顺序陈列，也可以部分地按相关非层次集合的方式组织88通用准那么CC组件间能够存在依赖关系依赖关系可以存在于功能组件之间、保证组件之间以及功能和保证组件之间组件间依赖关系描画是CC组件定义的一部分89通用准那么CC可以经过运用组件允许的操作，对组件进展裁剪每一个CC组件标识并定义组件允许的“赋值〞和“选择〞操作、在哪些情况下可对组件运用这些操作，以及运用这些操作的后果任何一个组件均允许“反复〞和“细化〞操作90通用准那么CC这四个操作如下所述：反复：在不同操作时，允许组件多次运用赋值：当组件被运用时，允许规定所赋予的参数选择：允许从组件给出的列表中选定假设干项细化：当组件被运用时，允许对组件添加细节91通用准那么CCCC中平安需求的描画方法:包:组件的中间组合被称为包维护轮廓(PP):PP是关于一系列满足一个平安目的集的TOE的、与实现无关的描画平安目的(ST)：ST是针对特定TOE平安要求的描画，经过评价可以证明这些平安要求对满足指定目的是有用和有效的92通用准那么CC包允许对功能或保证需求集合的描画，这个集合可以满足一个平安目的的可标识子集包可反复运用，可用来定义那些公认有用的、可以有效满足特定平安目的的要求包可用在构造更大的包、PP和ST中93通用准那么CCPP包含一套来自CC〔或明确论述〕的平安要求，它应包括一个评价保证级别〔EAL〕PP可反复运用，还可用来定义那些公认有用的、可以有效满足特定平安目的的TOE要求PP包括平安目的和平安要求的根本原理PP的开发者可以是用户团体、IT产品开发者或其它对定义这样一系列通用要求有兴趣的团体94通用准那么CC维护轮廓PP描画构造95通用准那么CC平安目的(ST)包括一系列平安要求，这些要求可以援用PP，也可以直接援用CC中的功能或保证组件，或明确阐明一个ST包含TOE的概要规范，平安要求和目的，以及它们的根本原理ST是一切团体间就TOE应提供什么样的平安性达成一致的根底96通用准那么CC平安目的描画构造97通用准那么CCCC框架下的评价类型PP评价ST评价TOE评价98通用准那么CCPP评价是按照CC第3部分的PP评价准那么进展的。评价的目的是为了证明PP是完备的、一致的、技术合理的，而且适宜于作为一个可评价TOE的平安要求的声明99通用准那么CC针对TOE的ST评价是按照CC第3部分的ST评价准那么进展的ST评价具有双重目的：首先是为了证明ST是完备的、一致的、技术合理的，而且适宜于用作相应TOE评价的根底其次，当某一ST声称与某一PP一致时，证明ST满足该PP的要求100通用准那么CCTOE评价是运用一个曾经评价过的ST作为根底，按照CC第3部分的评价准那么进展的评价的目的是为了证明TOE满足ST中的平安要求101通用准那么CC三种评价的关系102通用准那么CCCC的第二部分是平安功能要求，对满足平安需求的诸平安功能提出了详细的要求另外，假设有超出第二部分的平安功能要求，开发者可以根据“类-族-组件-元素〞的描画构造表达其平安要求，并附加在其ST中103通用准那么CCCC共包含的11个平安功能类，如下：FAU类：平安审计FCO类：通讯FCS类：密码支持FDP类：用户数据维护FIA类：标识与鉴别FMT类：平安管理FPR类：隐秘FPT类：TFS维护FAU类：资源利用FTA类：TOE访问FTP类：可信信道/途径104通用准那么CCCC的第三部分是评价方法部分，提出了PP、ST、TOE三种评价，共包括10个类，但其中的APE类与ASE类分别引见了PP与ST的描画构造及评价准那么维护类提出了保证评价过的受测系统或产品运转于所获得的平安级别上的要求只需七个平安保证类是TOE的评价类别105通用准那么CC七个平安保证类ACM类：配置管理ADO类：分发与操作ADV类：开发AGD类：指点性文档ALC类：生命周期支持ATE类：测试AVA类：脆弱性评定106通用准那么CC1998年1月，经过两年的亲密协商，来自美国、加拿大、法国、德国以及英国的政府组织签署了历史性的平安评价互认协议：IT平安领域内CC认可协议根据该协议，在协议签署国范围内，在某个国家进展的基于CC的平安评价将在其他国家内得到成认截止2003年3月，参与该协议的国家共有十五个：澳大利亚、新西兰、加拿大、芬兰、法国、德国、希腊、以色列、意大利、荷兰、挪威、西班牙、瑞典、英国及美国107通用准那么CC该协议的参与者在这个领域内有共同的目的即：确保IT产品及维护轮廓的评价遵照一致的规范，为这些产品及维护轮廓的平安提供足够的自信心。在国际范围内提高那些经过评价的、平安加强的IT产品及维护轮廓的可用性。消除IT产品及维护轮廓的反复评价，改良平安评价的效率及本钱效果，改良IT产品及维护轮廓的证明/确认过程108通用准那么CC美国NSA内部的可信产品评价方案〔TPEP〕以及可信技术评价方案〔TTAP〕最初根据TCSEC进展产品的评价，但从1999年2月1日起，这些方案将不再接纳基于TCSEC的新的评价。以后这些方案接受的任何新的产品都必需根据CC的要求进展评价。到2001年底，一切曾经经过TCSEC评价的产品，其评价结果或者过时，或者转换为CC评价等级。NSA曾经将TCSEC对操作系统的C2和B1级要求转换为基于CC的要求〔或PP〕，NSA正在将TCSEC的B2和B3级要求转换成基于CC的维护轮廓，但对TCSEC中的A1级要求不作转换。TCSEC的可信网络解释〔TNI〕在运用范围上遭到了限制，曾经不能广泛适用于目前的网络技术，因此，NSA目前不方案提交与TNI相应的PP109通用准那么CCCCTCSECITSEC-DE0EAL1--EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E6110规范引见信息技术平安评价准那么开展过程可信计算机系统评价准那么〔TCSEC〕可信网络解释〔TNI〕通用准那么CC<计算机信息系统平安维护等级划分准那么>信息平安保证技术框架<信息系统平安维护等级运用指南>111系统平安维护等级划分准那么我国政府及各行各业在进展大量的信息系统的建立，并且曾经成为国家的重要根底设备计算机犯罪、黑客攻击、有害病毒等问题的出现对社会稳定、国家平安呵斥了极大的危害，信息平安的重要性日益突出信息系统平安问题曾经被提到关系国家平安和国家主权的战略性高度112系统平安维护等级划分准那么大多数信息系统短少有效的平安技术防备措施，平安性非常脆弱我国的信息系统平安公用产品市场不断被外国产品占据，添加了新的平安隐患因此，尽快建立能顺应和保证我国信息产业安康开展的国家信息系统平安等级维护制度已迫在眉睫113系统平安维护等级划分准那么为了从整体上构成多级信息系统平安维护体系为了提高国家信息系统平安维护才干为从根本上处理信息社会国家易受攻击的脆弱性和有效预防计算机犯罪等问题<中华人民共和国计算机信息系统平安维护条例>第九条明确规定，计算机信息系统实行平安等级维护114系统平安维护等级划分准那么为真实加强重要领域信息系统平安的规范化建立和管理全面提高国家信息系统平安维护的整体程度使公安机关公共信息网络平安监察任务更加科学、规范，指点任务更详细、明确115系统平安维护等级划分准那么公安部组织制定了<计算机信息系统平安维护等级划分准那么>国家规范于1999年9月13日由国家质量技术监视局审查经过并正式同意发布于2001年1月1日执行116系统平安维护等级划分准那么该准那么的发布为计算机信息系统平安法规和配套规范的制定和执法部门的监视检查提供了根据为平安产品的研制提供了技术支持为平安系统的建立和管理提供了技术指点是我国计算机信息系统平安维护等级任务的根底117系统平安维护等级划分准那么GA388-2002<计算机信息系统平安等级维护操作系统技术要求>

GA391-2002<计算机信息系统平安等级维护管理要求>

GA/T387-2002<计算机信息系统平安等级维护网络技术要求>

GA/T389-2002<计算机信息系统平安等级维护数据库管理系统技术要求>

GA/T390-2002<计算机信息系统平安等级维护通用技术要求>118系统平安维护等级划分准那么<准那么>规定了计算机系统平安维护才干的五个等级，即：第一级：用户自主维护级第二级：系统审计维护级第三级：平安标志维护级第四级：构造化维护级第五级：访问验证维护级119系统平安维护等级划分准那么用户自主维护级：计算机信息系统可信计算基经过隔离用户与数据，运用户具备自主平安维护的才干。它具有多种方式的控制才干，对用户实施访问控制，即为用户提供可行的手段，维护用户和用户组信息，防止其他用户对数据的非法读写与破坏120系统平安维护等级划分准那么系统审计维护级：与用户自主维护级相比，计算机信息系统可信计算基实施了粒度更细的自主访问控制它经过登录规程、审计平安性相关事件和隔离资源，运用户对本人的行为担任121系统平安维护等级划分准那么平安标志维护级：计算机信息系统可信计算基具有系统审计维护级一切功能此外，还提供有关平安战略模型、数据标志以及主体对客体强迫访问控制的非方式化描画具有准确地标志输出信息的才干消除经过测试发现的任何错误122系统平安维护等级划分准那么构造化维护级：计算机信息系统可信计算基建立于一个明确定义的方式化平安战略模型之上要求将第三级系统中的自主和强迫访问控制扩展到一切主体与客体此外，还要思索隐蔽通道计算机信息系统可信计算基必需构造化为关键维护元素和非关键维护元素123系统平安维护等级划分准那么计算机信息系统可信计算基的接口也必需明确定义，使其设计与实现能经受更充分的测试和更完好的复审加强了鉴别机制支持系统管理员和操作员的职能提供可信设备管理加强了配置管理控制系统具有相当的抗浸透才干124系统平安维护等级划分准那么访问验证维护级计算机信息系统可信计算基满足访问监控器需求访问监控器仲裁主体对客体的全部访问访问监控器本身是抗篡改的；必需足够小，可以分析和测试125系统平安维护等级划分准那么访问验证维护级支持平安管理员职能扩展审计机制，当发生与平安相关的事件时发出信号提供系统恢复机制系统具有很高的抗浸透才干126规范引见信息技术平安评价准那么开展过程可信计算机系统评价准那么〔TCSEC〕可信网络解释〔TNI〕通用准那么CC<计算机信息系统平安维护等级划分准那么>信息平安保证技术框架<信息系统平安维护等级运用指南>127信息平安保证技术框架(IATF)信息保证技术框架〔InformationAssuranceTechnicalFramework：IATF〕为维护政府、企业信息及信息根底设备提供了技术指南IATF对信息保证技术四个领域的划分同样适用于信息系统的平安评价，它给出了一种实现系统平安要素和平安效力的层次构造128信息平安保证技术框架(IATF)129信息平安保证技术框架(IATF)信息平安保证技术框架将计算机信息系统分4个部分：本地计算环境区域边境网络和根底设备支撑根底设备130信息平安保证技术框架(IATF)本地计算环境普通包括效力器客户端及其上面的运用〔如打印效力、目录效力等〕操作系统数据库基于主机的监控组件〔病毒检测、入侵检测〕131信息平安保证技术框架(IATF)信息平安保证技术框架将计算机信息系统分4个部分：本地计算环境区域边境网络和根底设备支撑根底设备132信息平安保证技术框架(IATF)区域是指在单一平安战略管理下、经过网络衔接起来的计算设备的集合区域边境是区域与外部网络发生信息交换的部分区域边境确保进入的信息不会影响区域内资源的平安，而分开的信息是经过合法授权的133信息平安保证技术框架(IATF)区域边境上有效的控制措施包括防火墙门卫系统VPN标识和鉴别访问控制等有效的监视措施包括基于网络的入侵检测系统〔IDS〕脆弱性扫描器局域网上的病毒检测器等134信息平安保证技术框架(IATF)边境的主要作用是防止外来攻击它也可以来对付某些恶意的内部人员这些内部人员有能够利用边境环境来发起攻击经过开放后门/隐蔽通道来为外部攻击提供方便135信息平安保证技术框架(IATF)信息平安保证技术框架将计算机信息系统分4个部分：本地计算环境区域边境网络和根底设备支撑根底设备136信息平安保证技术框架(IATF)网络和根底设备在区域之间提供衔接,包括局域网〔LAN〕校园网〔CAN〕城域网〔MAN〕广域网等其中包括在网络节点间〔如路由器和交换机〕传送信息的传输部件〔如：卫星，微波，光纤等〕，以及其他重要的网络根底设备组件如网络管理组件、域名效力器及目录效力组件等137信息平安保证技术框架(IATF)对网络和根底设备的平安要求主要是鉴别访问控制性完好性抗抵赖性可用性138信息平安保证技术框架(IATF)信息平安保证技术框架将计算机信息系统分4个部分：本地计算环境区域边境网络和根底设备支撑根底设备139信息平安保证技术框架(IATF)支撑根底设备提供了一个IA机制在网络、区域及计算环境内进展平安管理、提供平安效力所运用的根底主要为以下内容提供平安效力：终端用户任务站web效力运用文件DNS效力目录效力等140信息平安保证技术框架(IATF)IATF中涉及到两个方面的支撑根底设备：KMI/PKI检测呼应根底设备KMI/PKI提供了一个公钥证书及传统对称密钥的产生、分发及管理的一致过程检测及呼应根底设备提供对入侵的快速检测和呼应，包括入侵检测、监控软件、CERT等141信息平安保证技术框架(IATF)深度捍卫战略在信息保证技术框架〔IATF〕下提出捍卫网络和根底设备捍卫边境捍卫计算环境支持根底设备142信息平安保证技术框架(IATF)其中运用多层信息保证〔IA〕技术来保证信息的平安意味着经过对关键部位提供适当层次的维护就可以为组织提供有效的维护这种分层的战略允许在恰当的部位存在低保证级别的运用，而在关键部位如网络边境部分采用高保证级别的运用143信息平安保证技术框架(IATF)区域边境维护内部的计算环境，控制外部用户的非授权访问，同时控制内部恶意用户从区域内发起攻击根据所要维护信息资源的敏感级别以及潜在的内外要挟，可将边境分为不同的层次144信息平安保证技术框架(IATF)在对信息系统进展平安评价时：可以根据这种多层的深度捍卫战略对系统的构成进展合理分析根据系统所面临的各种要挟及实践平安需求分别对计算环境、区域边境、网络和根底设备、支撑根底设备进展平安评价对系统的平安维护等级作出恰当的评价145信息平安保证技术框架(IATF)在网络上，有三种不同的通讯流：用户通讯流控制通讯流管理通讯流信息系统应保证局域内这些通讯流的平安直接假设KMI/PKI等支撑根底设备的实施过程是平安的146规范引见信息技术平安评价准那么开展过程可信计算机系统评价准那么〔TCSEC〕可信网络解释〔TNI〕通用准那么CC<计算机信息系统平安维护等级划分准那么>信息平安保证技术框架<信息系统平安维护等级运用指南>147运用指南〔通用部分〕前三部分主要引见了该准那么的运用范围、规范性援用文件以及一些术语的定义。运用指南详细阐明了为实现<准那么>所提出的平安要求应采取的详细平安战略和平安机制，以及为确保实现这些平安战略和平安机制的平安功能到达其应具有的平安性而采取的保证措施148运用指南〔通用部分〕第四部分是总体构造与阐明，给出了<准那么>运用指南〔技术要求〕的总体构造，并对有关内容作普通性阐明。包括平安要求与目的、组成与构造和普通阐明。149运用指南〔通用部分〕平安要求与目的：无论是平安维护框架的描画，还是平安目的的设计，都要从平安功能的完备性、一致性和有效性等方面进展思索。完备性：平安维护框架〔PP〕不应有平安破绽一致性：平安维护框架〔PP〕中的平安功能应该平滑一致有效性：平安维护框架〔PP〕中的平安功能应该是有效的150运用指南〔通用部分〕运用指南在对平安功能和平安保证进展详细阐明以后，对<准那么>各个平安等级的不同要求分别进展详细描画平安功能主要阐明一个计算机信息系统所实现的平安战略和平安机制符合<准那么>中哪一级的功能要求平安保证那么是经过一定的方法保证计算机信息系统所提供的平安功能确实到达了确定的功能要求和强度151运用指南〔通用部分〕平安功能要求从物理平安、运转平安和信息平安三个方面对一个平安的计算机信息系统所应提供的与平安有关的功能进展描画平安保证要求那么分别从TCB本身平安、TCB的设计和实现和TCB平安管理三个方面进展描画152运用指南〔通用部分〕普通阐明部分：对本指南内容、平安等级划分、主体和客体、TCB、引起信息流动的方式、密码技术、平安的计算机信息系统开发方法进展了进一步的阐明153运用指南〔通用部分〕第五部分是平安功能技术要求阐明，为了对计算机信息系统平安功能的实现进展了完好的描画，这里将实现这些平安功能所涉及的一切要素做了较为全面的阐明平安功能包括物理平安、运转平安和信息平安154运用指南〔通用部分〕物理平安也称实体平安，是指包括环境设备和记录介质在内的一切支持信息系统运转的硬件的平安它是一个信息系统平安运转的根底计算机网络信息系统的实体平安包括环境平安、设备平安和介质平安155运用指南〔通用部分〕运转平安是指在物理平安得到保证的前提下，为确保计算机信息系统不延续运转而采取的各种检测、监控、审计、分析、备份及容错等方法和措施当前，保证运转平安的主要技术和机制有：风险分析，网络平安检测与监控，平安审计，网络防病毒，备份与缺点恢复，以及计算机信息系统应急方案与应急措施等156运用指南〔通用部分〕信息平安是指在计算机信息系统运转平安得到保证的前提下，对在计算机信息系统中存储、传输和处置的信息进展有效的维护，使其不因人为的或自然的缘由被泄露、篡改和破坏当前常用的信息维护技术有：进入系统用户的标识和鉴别、信息交换的平安鉴别、隐秘、自主访问控制、标志与强迫访问控制、数据严密性维护、数据完好性维护、剩余信息维护及密码支持等157运用指南〔通用部分〕第六部分是平安保证技术要求阐明为了确保所要求的平安功能到达所确定的平安目的，必需从以下方面保证平安功能从设计、实现到运转管理等各个环节严厉按照所规定的要求进展：TCB本身平安维护TCB设计和实现TCB平安管理158运用指南〔通用部分〕TCB本身平安维护是指，一方面提供与TSF机制的完好性和管理有关的维护，另一方面提供与TSF数据的完好性有关的维护TCB本身平安维护能够采用与对用户数据平安维护一样的平安