信息技术安全评估准则发展过程

SecurityRiskAssessment--historyanddevelopment整理ppt标准介绍信息技术平安评估准那么开展过程可信计算机系统评估准那么〔TCSEC〕可信网络解释〔TNI〕通用准那么CC?计算机信息系统平安保护等级划分准那么?信息平安保证技术框架?信息系统平安保护等级应用指南?2整理ppt信息技术平安评估准那么开展过程20世纪60年代后期，1967年美国国防部〔DOD〕成立了一个研究组，针对当时计算机使用环境中的平安策略进行研究，其研究结果是“DefenseScienceBoardreport〞70年代的后期DOD对当时流行的操作系统KSOS，PSOS，KVM进行了平安方面的研究3整理ppt信息技术平安评估准那么开展过程80年代后，美国国防部发布的“可信计算机系统评估准那么〔TCSEC〕〞〔即桔皮书〕后来DOD又发布了可信数据库解释〔TDI〕、可信网络解释〔TNI〕等一系列相关的说明和指南90年代初，英、法、德、荷等四国针对TCSEC准那么的局限性，提出了包含保密性、完整性、可用性等概念的“信息技术平安评估准那么〞〔ITSEC〕，定义了从E0级到E6级的七个平安等级4整理ppt信息技术平安评估准那么开展过程加拿大1988年开始制订?TheCanadianTrustedComputerProductEvaluationCriteria?〔CTCPEC〕1993年，美国对TCSEC作了补充和修改，制定了“组合的联邦标准〞〔简称FC〕国际标准化组织〔ISO〕从1990年开始开发通用的国际标准评估准那么5整理ppt信息技术平安评估准那么开展过程在1993年6月，CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来，将各自独立的准那么组合成一个单一的、能被广泛使用的IT平安准那么发起组织包括六国七方：加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA，他们的代表建立了CC编辑委员会〔CCEB〕来开发CC6整理ppt信息技术平安评估准那么开展过程1996年1月完成CC1.0版

,在1996年4月被ISO采纳

1997年10月完成CC2.0的测试版

1998年5月发布CC2.0版

1999年12月ISO采纳CC，并作为国际标准ISO15408发布

7整理ppt平安评估标准的开展历程桔皮书（TCSEC）1985英国安全标准1989德国标准法国标准加拿大标准1993联邦标准草案1993ITSEC1991通用标准V1.01996V2.01998V2.119998整理ppt标准介绍信息技术平安评估准那么开展过程可信计算机系统评估准那么〔TCSEC〕可信网络解释〔TNI〕通用准那么CC?计算机信息系统平安保护等级划分准那么?信息平安保证技术框架?信息系统平安保护等级应用指南?9整理pptTCSEC在TCSEC中，美国国防部按处理信息的等级和应采用的响应措施，将计算机平安从高到低分为：A、B、C、D四类八个级别，共27条评估准那么随着平安等级的提高，系统的可信度随之增加，风险逐渐减少。10整理pptTCSEC四个平安等级：无保护级自主保护级强制保护级验证保护级11整理pptTCSECD类是最低保护等级，即无保护级

是为那些经过评估，但不满足较高评估等级要求的系统设计的，只具有一个级别

该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处理敏感信息

12整理pptTCSEC四个平安等级：无保护级自主保护级强制保护级验证保护级13整理pptTCSECC类为自主保护级具有一定的保护能力，采用的措施是自主访问控制和审计跟踪一般只适用于具有一定等级的多用户环境具有对主体责任及其动作审计的能力14整理pptTCSECC类分为C1和C2两个级别:自主平安保护级〔C1级)控制访问保护级〔C2级〕15整理pptTCSECC1级TCB通过隔离用户与数据，使用户具备自主平安保护的能力它具有多种形式的控制能力，对用户实施访问控制为用户提供可行的手段，保护用户和用户组信息，防止其他用户对数据的非法读写与破坏C1级的系统适用于处理同一敏感级别数据的多用户环境16整理pptTCSECC2级计算机系统比C1级具有更细粒度的自主访问控制C2级通过注册过程控制、审计平安相关事件以及资源隔离，使单个用户为其行为负责17整理pptTCSEC四个平安等级：无保护级自主保护级强制保护级验证保护级18整理pptTCSECB类为强制保护级主要要求是TCB应维护完整的平安标记，并在此根底上执行一系列强制访问控制规那么B类系统中的主要数据结构必须携带敏感标记系统的开发者还应为TCB提供平安策略模型以及TCB规约应提供证据证明访问监控器得到了正确的实施19整理pptTCSECB类分为三个类别：标记平安保护级〔B1级〕结构化保护级〔B2级〕平安区域保护级〔B3级〕20整理pptTCSECB1级系统要求具有C2级系统的所有特性在此根底上，还应提供平安策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制并消除测试中发现的所有缺陷21整理pptTCSECB类分为三个类别：标记平安保护级〔B1级〕结构化保护级〔B2级〕平安区域保护级〔B3级〕22整理pptTCSEC在B2级系统中，TCB建立于一个明确定义并文档化形式化平安策略模型之上要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体在此根底上，应对隐蔽信道进行分析TCB应结构化为关键保护元素和非关键保护元素23整理pptTCSECTCB接口必须明确定义其设计与实现应能够经受更充分的测试和更完善的审查鉴别机制应得到加强，提供可信设施管理以支持系统管理员和操作员的职能提供严格的配置管理控制B2级系统应具备相当的抗渗透能力24整理pptTCSECB类分为三个类别：标记平安保护级〔B1级〕结构化保护级〔B2级〕平安区域保护级〔B3级〕25整理pptTCSEC在B3级系统中，TCB必须满足访问监控器需求访问监控器对所有主体对客体的访问进行仲裁访问监控器本身是抗篡改的访问监控器足够小访问监控器能够分析和测试26整理pptTCSEC为了满足访问控制器需求:计算机信息系统可信计算基在构造时，排除那些对实施平安策略来说并非必要的代码计算机信息系统可信计算基在设计和实现时，从系统工程角度将其复杂性降低到最小程度27整理pptTCSECB3级系统支持:平安管理员职能扩充审计机制当发生与平安相关的事件时，发出信号提供系统恢复机制系统具有很高的抗渗透能力28整理pptTCSEC四个平安等级：无保护级自主保护级强制保护级验证保护级29整理pptTCSECA类为验证保护级A类的特点是使用形式化的平安验证方法，保证系统的自主和强制平安控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息为证明TCB满足设计、开发及实现等各个方面的平安要求，系统应提供丰富的文档信息30整理pptTCSECA类分为两个类别：验证设计级〔A1级〕超A1级31整理pptTCSECA1级系统在功能上和B3级系统是相同的，没有增加体系结构特性和策略要求最显著的特点是，要求用形式化设计标准和验证方法来对系统进行分析，确保TCB按设计要求实现从本质上说，这种保证是开展的，它从一个平安策略的形式化模型和设计的形式化高层规约〔FTLS〕开始32整理pptTCSECA1级系统:要求更严格的配置管理要求建立系统平安分发的程序支持系统平安管理员的职能33整理pptTCSECA类分为两个类别：验证设计级〔A1级〕超A1级34整理pptTCSEC超A1级在A1级根底上增加的许多平安措施超出了目前的技术开展随着更多、更好的分析技术的出现，本级系统的要求才会变的更加明确今后，形式化的验证方法将应用到源码一级，并且时间隐蔽信道将得到全面的分析35整理pptTCSEC在这一级，设计环境将变的更重要形式化高层规约的分析将对测试提供帮助TCB开发中使用的工具的正确性及TCB运行的软硬件功能的正确性将得到更多的关注36整理pptTCSEC超A1级系统涉及的范围包括：系统体系结构平安测试形式化规约与验证可信设计环境等37整理ppt标准介绍信息技术平安评估准那么开展过程可信计算机系统评估准那么〔TCSEC〕可信网络解释〔TNI〕通用准那么CC?计算机信息系统平安保护等级划分准那么?信息平安保证技术框架?信息系统平安保护等级应用指南?38整理ppt可信网络解释〔TNI〕美国国防部计算机平安评估中心在完成TCSEC的根底上，又组织了专门的研究镞对可信网络平安评估进行研究，并于1987年发布了以TCSEC为根底的可信网络解释，即TNI。TNI包括两个局部〔PartI和PartII〕及三个附录〔APPENDIXA、B、C〕39整理ppt可信网络解释〔TNI〕TNI第一局部提供了在网络系统作为一个单一系统进行评估时TCSEC中各个等级〔从D到A类〕的解释与单机系统不同的是，网络系统的可信计算基称为网络可信计算基〔NTCB〕40整理ppt可信网络解释〔TNI〕第二局部以附加平安效劳的形式提出了在网络互联时出现的一些附加要求这些要求主要是针对完整性、可用性和保密性的41整理ppt可信网络解释〔TNI〕第二局部的评估是定性的，针对一个效劳进行评估的结果一般分为为：noneminimumfairgood42整理ppt可信网络解释〔TNI〕第二局部中关于每个效劳的说明一般包括:一种相对简短的陈述相关的功能性的讨论相关机制强度的讨论相关保证的讨论43整理ppt可信网络解释〔TNI〕功能性是指一个平安效劳的目标和实现方法，它包括特性、机制及实现机制的强度是指一种方法实现其目标的程度有些情况下，参数的选择会对机制的强度带来很大的影响44整理ppt可信网络解释〔TNI〕保证是指相信一个功能会实现的根底保证一般依靠对理论、测试、软件工程等相关内容的分析分析可以是形式化或非形式化的，也可以是理论的或应用的45整理ppt可信网络解释〔TNI〕 第二局部中列出的平安效劳有：通信完整性拒绝效劳机密性46整理ppt可信网络解释〔TNI〕

通信完整性主要涉及以下3方面：鉴别：网络中应能够抵抗欺骗和重放攻击

通信字段完整性：保护通信中的字段免受非授权的修改

抗抵赖：提供数据发送、接受的证据

47整理ppt可信网络解释〔TNI〕当网络处理能力下降到一个规定的界限以下或远程实体无法访问时，即发生了拒绝效劳所有由网络提供的效劳都应考虑拒绝效劳的情况网络管理者应决定网络拒绝效劳需求48整理ppt可信网络解释〔TNI〕 解决拒绝效劳的方法有：操作连续性基于协议的拒绝效劳保护网络管理49整理ppt可信网络解释〔TNI〕机密性是一系列平安效劳的总称这些效劳都是关于通过计算机通信网络在实体间传输信息的平安和保密的具体又分3种情况：数据保密通信流保密选择路由50整理ppt可信网络解释〔TNI〕数据保密：数据保密性效劳保护数据不被未授权地泄露数据保密性主要受搭线窃听的威胁被动的攻击包括对线路上传输的信息的观测51整理ppt可信网络解释〔TNI〕通信流保密：针对通信流分析攻击而言，通信流分析攻击分析消息的长度、频率及协议的内容〔如地址〕并以此推出消息的内容52整理ppt可信网络解释〔TNI〕选择路由：路由选择控制是在路由选择过程中应用规那么，以便具体的选取或回避某些网络、链路或中继路由能动态的或预定地选取，以便只使用物理上平安的子网络、链路或中继在检测到持续的操作攻击时，端系统可希望指示网络效劳的提供者经不同的路由建立连接带有某些平安标记的数据可能被策略禁止通过某些子网络、链路或中继53整理ppt可信网络解释〔TNI〕TNI第二局部的评估更多地表现出定性和主观的特点，同第一局部相比表现出更多的变化第二局部的评估是关于被评估系统能力和它们对特定应用环境的适合性的非常有价值的信息第二局部中所列举的平安效劳是网络环境下有代表性的平安效劳在不同的环境下，并非所有的效劳都同等重要，同一效劳在不同环境下的重要性也不一定一样54整理ppt可信网络解释〔TNI〕TNI的附录A是第一局部的扩展，主要是关于网络中组件及组件组合的评估附录A把TCSEC为A1级系统定义的平安相关的策略分为四个相对独立的种类，他们分别支持强制访问控制〔MAC〕，自主访问控制〔DAC〕，身份鉴别〔IA〕，审计〔AUDIT〕55整理ppt可信网络解释〔TNI〕组成部分的类型最小级别最大级别MB1A1DC1C2+IC1C2AC2C2+DIC1C2+DAC2C2+IAC2C2+IADC2C2+MDB1A1MAB1A1MIB1A1MDAB1A1MDIB1A1MIAB1A1MIADB1A156整理ppt可信网络解释〔TNI〕附录B给出了根据TCSEC对网络组件进行评估的根本原理附录C那么给出了几个AIS互联时的认证指南及互联中可能遇到的问题57整理ppt可信网络解释〔TNI〕TNI中关于网络有两种概念：一是单一可信系统的概念〔singletrustedsystem〕另一个是互联信息系统的概念〔interconnectedAIS〕这两个概念并不互相排斥58整理ppt可信网络解释〔TNI〕在单一可信系统中，网络具有包括各个平安相关局部的单一TCB，称为NTCB〔networktrustedcomputingbase〕NTCB作为一个整体满足系统的平安体系设计59整理ppt可信网络解释〔TNI〕在互联信息系统中各个子系统可能具有不同的平安策略具有不同的信任等级并且可以分别进行评估各个子系统甚至可能是异构的60整理ppt可信网络解释〔TNI〕平安策略的实施一般控制在各个子系统内，在附录C中给出了各个子系统平安地互联的指南，在互联时要控制局部风险的扩散，排除整个系统中的级联问题〔cascadeproblem〕限制局部风险的扩散的方法：单向连接、传输的手工检测、加密、隔离或其他措施。61整理ppt标准介绍信息技术平安评估准那么开展过程可信计算机系统评估准那么〔TCSEC〕可信网络解释〔TNI〕通用准那么CC?计算机信息系统平安保护等级划分准那么?信息平安保证技术框架?信息系统平安保护等级应用指南?62整理ppt通用准那么CCCC的范围:CC适用于硬件、固件和软件实现的信息技术平安措施而某些内容因涉及特殊专业技术或仅是信息技术平安的外围技术不在CC的范围内63整理ppt通用准那么CC评估上下文

评估准则(通用准则）评估方法学评估方案最终评估结果评估批准/证明证书表/(注册)64整理ppt通用准那么CC使用通用评估方法学可以提供结果的可重复性和客观性许多评估准那么需要使用专家判断和一定的背景知识为了增强评估结果的一致性，最终的评估结果应提交给一个认证过程，该过程是一个针对评估结果的独立的检查过程，并生成最终的证书或正式批文65整理ppt通用准那么CCCC包括三个局部:第一局部：简介和一般模型第二局部：平安功能要求第三局部：平安保证要求66整理ppt通用准那么CC平安保证要求局部提出了七个评估保证级别〔EvaluationAssuranceLevels：EALs〕分别是：EAL1：功能测试EAL2：结构测试EAL3：系统测试和检查EAL4：系统设计、测试和复查EAL5：半形式化设计和测试EAL6：半形式化验证的设计和测试EAL7：形式化验证的设计和测试67整理ppt通用准那么CCCC的一般模型一般平安上下文TOE评估CC平安概念68整理ppt通用准那么CC平安就是保护资产不受威胁，威胁可依据滥用被保护资产的可能性进行分类所有的威胁类型都应该被考虑到在平安领域内，被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的69整理ppt通用准那么CC平安概念和关系70整理ppt通用准那么CC平安性损坏一般包括但又不仅仅包括以下几项资产破坏性地暴露于未授权的接收者〔失去保密性〕资产由于未授权的更改而损坏〔失去完整性〕或资产访问权被未授权的丧失〔失去可用性〕71整理ppt通用准那么CC资产所有者必须分析可能的威胁并确定哪些存在于他们的环境，其后果就是风险对策用以〔直接或间接地〕减少脆弱性并满足资产所有者的平安策略在将资产暴露于特定威胁之前，所有者需要确信其对策足以应付面临的威胁72整理ppt通用准那么CC

评估概念和关系73整理ppt通用准那么CCTOE评估过程74整理ppt通用准那么CCTOE评估过程的主要输入有：一系列TOE证据，包括评估过的ST作为TOE评估的根底需要评估的TOE评估准那么、方法和方案另外，说明性材料〔例如CC的使用说明书〕和评估者及评估组织的IT平安专业知识也常用来作为评估过程的输入75整理ppt通用准那么CC评估过程通过两种途径产生更好的平安产品评估过程能发现开发者可以纠正的TOE错误或弱点，从而在减少将来操作中平安失效的可能性另一方面，为了通过严格的评估，开发者在TOE设计和开发时也将更加细心因此，评估过程对最初需求、开发过程、最终产品以及操作环境将产生强烈的积极影响76整理ppt通用准那么CC只有在IT环境中考虑IT组件保护资产的能力时，CC才是可用的为了说明资产是平安的，平安考虑必须出现在所有层次的表述中，包括从最抽象到最终的IT实现CC要求在某层次上的表述包含在该层次上TOE描述的根本原理77整理ppt通用准那么CCCC平安概念包括：平安环境平安目的IT平安要求TOE概要标准78整理ppt通用准那么CC平安环境包括所有相关的法规、组织性平安策略、习惯、专门技术和知识它定义了TOE使用的上下文，平安环境也包括环境里出现的平安威胁79整理ppt通用准那么CC为建立平安环境，必须考虑以下几点：TOE物理环境，指所有的与TOE平安相关的TOE运行环境，包括的物理和人事的平安安排需要根据平安策略由TOE的元素实施保护的资产。包括可直接相关的资产〔如文件和数据库〕和间接受平安要求支配的资产〔如授权凭证和IT实现本身〕TOE目的，说明产品类型和可能的TOE用途80整理ppt通用准那么CC平安环境的分析结果被用来说明对抗已标识的威胁、说明组织性平安策略和假设的平安目的平安目的和已说明的TOE运行目标或产品目标以及有关的物理环境知识一致确定平安目的的意图是为了说明所有的平安考虑并指出哪些平安方面的问题是直接由TOE还是由它的环境来处理环境平安目的将在IT领域内用非技术上的或程序化的手段来实现81整理ppt通用准那么CCIT平安要求是将平安目的细化为一系列TOE及其环境的平安要求，一旦这些要求得到满足，就可以保证TOE到达它的平安目的IT平安需求只涉及TOE平安目的和它的IT环境82整理ppt通用准那么CCST中提供的TOE概要标准定义TOE平安要求的实现方法它提供了分别满足功能需求和保证需求的平安功能和保证措施的高层定义83整理ppt通用准那么CCCC定义了一系列与有效的平安要求集合相结合的概念，该概念可被用来为预期的产品和系统建立平安需求CC平安要求以类—族—组件这种层次方式组织，以帮助用户定位特定的平安要求对功能和保证方面的要求，CC使用相同的风格、组织方式和术语。84整理ppt通用准那么CC

要求的组织和结构85整理ppt通用准那么CCCC中平安要求的描述方法：类：类用作最通用平安要求的组合，类的所有的成员关注共同的平安焦点，但覆盖不同的平安目的族：类的成员被称为族。族是假设干组平安要求的组合，这些要求有共同的平安目的，但在侧重点和严格性上有所区别组件：族的成员被称为组件。组件描述一组特定的平安要求集，它是CC定义的结构中所包含的最小的可选平安要求集86整理ppt通用准那么CC组件由单个元素组成，元素是平安需求最低层次的表达，并且是能被评估验证的不可分割的平安要求族内具有相同目标的组件可以以平安要求强度〔或能力〕逐步增加的顺序排列，也可以局部地按相关非层次集合的方式组织87整理ppt通用准那么CC组件间可能存在依赖关系依赖关系可以存在于功能组件之间、保证组件之间以及功能和保证组件之间组件间依赖关系描述是CC组件定义的一局部88整理ppt通用准那么CC可以通过使用组件允许的操作，对组件进行裁剪每一个CC组件标识并定义组件允许的“赋值〞和“选择〞操作、在哪些情况下可对组件使用这些操作，以及使用这些操作的后果任何一个组件均允许“反复〞和“细化〞操作89整理ppt通用准那么CC这四个操作如下所述：反复：在不同操作时，允许组件屡次使用赋值：当组件被应用时，允许规定所赋予的参数选择：允许从组件给出的列表中选定假设干项细化：当组件被应用时，允许对组件增加细节90整理ppt通用准那么CCCC中平安需求的描述方法:包:组件的中间组合被称为包保护轮廓(PP):PP是关于一系列满足一个平安目标集的TOE的、与实现无关的描述平安目标(ST)：ST是针对特定TOE平安要求的描述，通过评估可以证明这些平安要求对满足指定目的是有用和有效的91整理ppt通用准那么CC包允许对功能或保证需求集合的描述，这个集合能够满足一个平安目标的可标识子集包可重复使用，可用来定义那些公认有用的、能够有效满足特定平安目标的要求包可用在构造更大的包、PP和ST中92整理ppt通用准那么CCPP包含一套来自CC〔或明确阐述〕的平安要求，它应包括一个评估保证级别〔EAL〕PP可反复使用，还可用来定义那些公认有用的、能够有效满足特定平安目标的TOE要求PP包括平安目的和平安要求的根本原理PP的开发者可以是用户团体、IT产品开发者或其它对定义这样一系列通用要求有兴趣的团体93整理ppt通用准那么CC

保护轮廓PP描述结构94整理ppt通用准那么CC平安目标(ST)包括一系列平安要求，这些要求可以引用PP，也可以直接引用CC中的功能或保证组件，或明确说明一个ST包含TOE的概要标准，平安要求和目的，以及它们的根本原理ST是所有团体间就TOE应提供什么样的平安性达成一致的根底95整理ppt通用准那么CC平安目标描述结构96整理ppt通用准那么CCCC框架下的评估类型

PP评估ST评估

TOE评估

97整理ppt通用准那么CCPP评估是依照CC第3局部的PP评估准那么进行的。评估的目标是为了证明PP是完备的、一致的、技术合理的，而且适合于作为一个可评估TOE的平安要求的声明98整理ppt通用准那么CC针对TOE的ST评估是依照CC第3局部的ST评估准那么进行的ST评估具有双重目标：首先是为了证明ST是完备的、一致的、技术合理的，而且适合于用作相应TOE评估的根底其次，当某一ST宣称与某一PP一致时，证明ST满足该PP的要求99整理ppt通用准那么CCTOE评估是使用一个已经评估过的ST作为根底，依照CC第3局部的评估准那么进行的评估的目标是为了证明TOE满足ST中的平安要求100整理ppt通用准那么CC三种评估的关系101整理ppt通用准那么CCCC的第二局部是平安功能要求，对满足平安需求的诸平安功能提出了详细的要求另外，如果有超出第二局部的平安功能要求，开发者可以根据“类-族-组件-元素〞的描述结构表达其平安要求，并附加在其ST中102整理ppt通用准那么CCCC共包含的11个平安功能类，如下：FAU类：平安审计FCO类：通信FCS类：密码支持FDP类：用户数据保护FIA类：标识与鉴别FMT类：平安管理FPR类：隐秘FPT类：TFS保护FAU类：资源利用FTA类：TOE访问FTP类：可信信道/路径103整理ppt通用准那么CCCC的第三局部是评估方法局部，提出了PP、ST、TOE三种评估，共包括10个类，但其中的APE类与ASE类分别介绍了PP与ST的描述结构及评估准那么维护类提出了保证评估过的受测系统或产品运行于所获得的平安级别上的要求只有七个平安保证类是TOE的评估类别104整理ppt通用准那么CC七个平安保证类ACM类：配置管理ADO类：分发与操作ADV类：开发AGD类：指导性文档ALC类：生命周期支持ATE类：测试AVA类：脆弱性评定105整理ppt通用准那么CC1998年1月，经过两年的密切协商，来自美国、加拿大、法国、德国以及英国的政府组织签订了历史性的平安评估互认协议：IT平安领域内CC认可协议根据该协议，在协议签署国范围内，在某个国家进行的基于CC的平安评估将在其他国家内得到成认截止2003年3月，参加该协议的国家共有十五个：澳大利亚、新西兰、加拿大、芬兰、法国、德国、希腊、以色列、意大利、荷兰、挪威、西班牙、瑞典、英国及美国106整理ppt通用准那么CC该协议的参与者在这个领域内有共同的目的即：确保IT产品及保护轮廓的评估遵循一致的标准，为这些产品及保护轮廓的平安提供足够的信心。在国际范围内提高那些经过评估的、平安增强的IT产品及保护轮廓的可用性。消除IT产品及保护轮廓的重复评估，改进平安评估的效率及本钱效果，改进IT产品及保护轮廓的证明/确认过程107整理ppt通用准那么CC美国NSA内部的可信产品评估方案〔TPEP〕以及可信技术评价方案〔TTAP〕最初根据TCSEC进行产品的评估，但从1999年2月1日起，这些方案将不再接收基于TCSEC的新的评估。此后这些方案接受的任何新的产品都必须根据CC的要求进行评估。到2001年底，所有已经经过TCSEC评估的产品，其评估结果或者过时，或者转换为CC评估等级。NSA已经将TCSEC对操作系统的C2和B1级要求转换为基于CC的要求〔或PP〕，NSA正在将TCSEC的B2和B3级要求转换成基于CC的保护轮廓，但对TCSEC中的A1级要求不作转换。TCSEC的可信网络解释〔TNI〕在使用范围上受到了限制，已经不能广泛适用于目前的网络技术，因此，NSA目前不方案提交与TNI相应的PP108整理ppt通用准那么CCCCTCSECITSEC-DE0EAL1--EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E6109整理ppt标准介绍信息技术平安评估准那么开展过程可信计算机系统评估准那么〔TCSEC〕可信网络解释〔TNI〕通用准那么CC?计算机信息系统平安保护等级划分准那么?信息平安保证技术框架?信息系统平安保护等级应用指南?110整理ppt系统平安保护等级划分准那么我国政府及各行各业在进行大量的信息系统的建设，并且已经成为国家的重要根底设施计算机犯罪、黑客攻击、有害病毒等问题的出现对社会稳定、国家平安造成了极大的危害，信息平安的重要性日益突出信息系统平安问题已经被提到关系国家平安和国家主权的战略性高度111整理ppt系统平安保护等级划分准那么大多数信息系统缺少有效的平安技术防范措施，平安性非常脆弱我国的信息系统平安专用产品市场一直被外国产品占据，增加了新的平安隐患因此，尽快建立能适应和保障我国信息产业健康开展的国家信息系统平安等级保护制度已迫在眉睫112整理ppt系统平安保护等级划分准那么为了从整体上形成多级信息系统平安保护体系为了提高国家信息系统平安保护能力为从根本上解决信息社会国家易受攻击的脆弱性和有效预防计算机犯罪等问题?中华人民共和国计算机信息系统平安保护条例?第九条明确规定，计算机信息系统实行平安等级保护113整理ppt系统平安保护等级划分准那么为切实加强重要领域信息系统平安的标准化建设和管理全面提高国家信息系统平安保护的整体水平使公安机关公共信息网络平安监察工作更加科学、标准，指导工作更具体、明确114整理ppt系统平安保护等级划分准那么公安部组织制订了?计算机信息系统平安保护等级划分准那么?国家标准于1999年9月13日由国家质量技术监督局审查通过并正式批准发布于2001年1月1日执行115整理ppt系统平安保护等级划分准那么该准那么的发布为计算机信息系统平安法规和配套标准的制定和执法部门的监督检查提供了依据为平安产品的研制提供了技术支持为平安系统的建设和管理提供了技术指导是我国计算机信息系统平安保护等级工作的根底116整理ppt系统平安保护等级划分准那么GA388-2002?计算机信息系统平安等级保护操作系统技术要求?

GA391-2002?计算机信息系统平安等级保护管理要求?

GA/T387-2002?计算机信息系统平安等级保护网络技术要求?

GA/T389-2002?计算机信息系统平安等级保护数据库管理系统技术要求?

GA/T390-2002?计算机信息系统平安等级保护通用技术要求?117整理ppt系统平安保护等级划分准那么?准那么?规定了计算机系统平安保护能力的五个等级，即：第一级：用户自主保护级第二级：系统审计保护级第三级：平安标记保护级第四级：结构化保护级第五级：访问验证保护级118整理ppt系统平安保护等级划分准那么用户自主保护级：计算机信息系统可信计算基通过隔离用户与数据，使用户具备自主平安保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，防止其他用户对数据的非法读写与破坏119整理ppt系统平安保护等级划分准那么系统审计保护级：与用户自主保护级相比，计算机信息系统可信计算基实施了粒度更细的自主访问控制它通过登录规程、审计平安性相关事件和隔离资源，使用户对自己的行为负责120整理ppt系统平安保护等级划分准那么平安标记保护级：计算机信息系统可信计算基具有系统审计保护级所有功能此外，还提供有关平安策略模型、数据标记以及主体对客体强制访问控制的非形式化描述具有准确地标记输出信息的能力消除通过测试发现的任何错误121整理ppt系统平安保护等级划分准那么结构化保护级：计算机信息系统可信计算基建立于一个明确定义的形式化平安策略模型之上要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体此外，还要考虑隐蔽通道计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素122整理ppt系统平安保护等级划分准那么计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审加强了鉴别机制支持系统管理员和操作员的职能提供可信设施管理增强了配置管理控制系统具有相当的抗渗透能力

123整理ppt系统平安保护等级划分准那么访问验证保护级计算机信息系统可信计算基满足访问监控器需求访问监控器仲裁主体对客体的全部访问访问监控器本身是抗篡改的；必须足够小，能够分析和测试124整理ppt系统平安保护等级划分准那么访问验证保护级支持平安管理员职能扩充审计机制，当发生与平安相关的事件时发出信号提供系统恢复机制系统具有很高的抗渗透能力125整理ppt标准介绍信息技术平安评估准那么开展过程可信计算机系统评估准那么〔TCSEC〕可信网络解释〔TNI〕通用准那么CC?计算机信息系统平安保护等级划分准那么?信息平安保证技术框架?信息系统平安保护等级应用指南?126整理ppt信息平安保证技术框架(IATF)信息保证技术框架〔InformationAssuranceTechnicalFramework：IATF〕为保护政府、企业信息及信息根底设施提供了技术指南IATF对信息保证技术四个领域的划分同样适用于信息系统的平安评估，它给出了一种实现系统平安要素和平安效劳的层次结构127整理ppt信息平安保证技术框架(IATF)128整理ppt信息平安保证技术框架(IATF)信息平安保证技术框架将计算机信息系统分4个局部：本地计算环境区域边界网络和根底设施支撑根底设施129整理ppt信息平安保证技术框架(IATF)本地计算环境一般包括效劳器客户端及其上面的应用〔如打印效劳、目录效劳等〕操作系统数据库基于主机的监控组件〔病毒检测、入侵检测〕130整理ppt信息平安保证技术框架(IATF)信息平安保证技术框架将计算机信息系统分4个局部：本地计算环境区域边界网络和根底设施支撑根底设施131整理ppt信息平安保证技术框架(IATF)区域是指在单一平安策略管理下、通过网络连接起来的计算设备的集合区域边界是区域与外部网络发生信息交换的局部区域边界确保进入的信息不会影响区域内资源的平安，而离开的信息是经过合法授权的132整理ppt信息平安保证技术框架(IATF)区域边界上有效的控制措施包括防火墙门卫系统VPN标识和鉴别访问控制等有效的监督措施包括基于网络的入侵检测系统〔IDS〕脆弱性扫描器局域网上的病毒检测器等133整理ppt信息平安保证技术框架(IATF)边界的主要作用是防止外来攻击它也可以来对付某些恶意的内部人员这些内部人员有可能利用边界环境来发起攻击通过开放后门/隐蔽通道来为外部攻击提供方便134整理ppt信息平安保证技术框架(IATF)信息平安保证技术框架将计算机信息系统分4个局部：本地计算环境区域边界网络和根底设施支撑根底设施135整理ppt信息平安保证技术框架(IATF)网络和根底设施在区域之间提供连接,包括局域网〔LAN〕校园网〔CAN〕城域网〔MAN〕广域网等其中包括在网络节点间〔如路由器和交换机〕传递信息的传输部件〔如：卫星，微波，光纤等〕，以及其他重要的网络根底设施组件如网络管理组件、域名效劳器及目录效劳组件等136整理ppt信息平安保证技术框架(IATF)对网络和根底设施的平安要求主要是鉴别访问控制机密性完整性抗抵赖性可用性137整理ppt信息平安保证技术框架(IATF)信息平安保证技术框架将计算机信息系统分4个局部：本地计算环境区域边界网络和根底设施支撑根底设施138整理ppt信息平安保证技术框架(IATF)支撑根底设施提供了一个IA机制在网络、区域及计算环境内进行平安管理、提供平安效劳所使用的根底主要为以下内容提供平安效劳：终端用户工作站web效劳应用文件DNS效劳目录效劳等139整理ppt信息平安保证技术框架(IATF)IATF中涉及到两个方面的支撑根底设施：KMI/PKI检测响应根底设施KMI/PKI提供了一个公钥证书及传统对称密钥的产生、分发及管理的统一过程检测及响应根底设施提供对入侵的快速检测和响应，包括入侵检测、监控软件、CERT等140整理ppt信息平安保证技术框架(IATF)深度保卫战略在信息保证技术框架〔IATF〕下提出保卫网络和根底设施保卫边界保卫计算环境支持根底设施141整理ppt信息平安保证技术框架(IATF)其中使用多层信息保证〔IA〕技术来保证信息的平安意味着通过对关键部位提供适当层次的保护就可以为组织提供有效的保护这种分层的策略允许在恰当的部位存在低保证级别的应用，而在关键部位如网络边界局部采用高保证级别的应用142整理ppt信息平安保证技术框架(IATF)区域边界保护内部的计算环境，控制外部用户的非授权访问，同时控制内部恶意用户从区域内发起攻击根据所要保护信息资源的敏感级别以及潜在的内外威胁，可将边界分为不同的层次

143整理ppt信息平安保证技术框架(IATF)在对信息系统进行平安评估时：可以依据这种多层的深度保卫战略对系统的构成进行合理分析根据系统所面临的各种威胁及实际平安需求分别对计算环境、区域边界、网络和根底设施、支撑根底设施进行平安评估对系统的平安保护等级作出恰当的评估144整理ppt信息平安保证技术框架(IATF)在网络上，有三种不同的通信流：用户通信流控制通信流管理通信流信息系统应保证局域内这些通信流的平安直接假设KMI/PKI等支撑根底设施的实施过程是平安的145整理ppt标准介绍信息技术平安评估准那么开展过程可信计算机系统评估准那么〔TCSEC〕可信网络解释〔TNI〕通用准那么CC?计算机信息系统平安保护等级划分准那么?信息平安保证技术框架?信息系统平安保护等级应用指南?146整理ppt应用指南〔通用局部〕前三局部主要介绍了该准那么的应用范围、标准性引用文件以及一些术语的定义。应用指南详细说明了为实现?准那么?所提出的平安要求应采取的具体平安策略和平安机制，以及为确保实现这些平安策略和平安机制的平安功能到达其应具有的平安性而采取的保证措施147整理ppt应用指南〔通用局部〕第四局部是总体结构与说明，给出了?准那么?应用指南〔技术要求〕的总体结构，并对有关内容作一般性说明。包括平安要求与目标、组成与结构和一般说明。148整理ppt应用指南〔通用局部〕平安要求与目标：无论是平安保护框架的描述，还是平安目标的设计，都要从平安功能的完备性、一致性和有效性等方面进行考虑。完备性：平安保护框架〔PP〕不应有平安漏洞一致性：平安保护框架〔PP〕中的平安功能应该平滑一致有效性：平安保护框架〔PP〕中的平安功能应该是有效的149整理ppt应用指南〔通用局部〕应用指南在对平安功能和平安保证进行详细说明以后，对?准那么?各个平安等级的不同要求分别进行详细描述平安功能主要说明一个计算机信息系统所实现的平安策略和平安机制符合?准那么?中哪一级的功能要求平安保证那么是通过一定的方法保证计算机信息系统所提供的平安功能确实到达了确定的功能要求和强度150整理ppt应用指南〔通用局部〕平安功能要求从物理平安、运行平安和信息平安三个方面对一个平安的计算机信息系统所应提供的与平安有关的功能进行描述平安保证要求那么分别从TCB自身平安、TCB的设计和实现和TCB平安管理三个方面进行描述151整理ppt应用指南〔通用局部〕一般说明局部：对本指南内容、平安等级划分、主体和客体、TCB、引起信息流动的方式、密码技术、平安的计算机信息系统开发方法进行了进一步的说明152整理ppt应用指南〔通用局部〕第五局部是平安功能技术要求说明，为了对计算机信息系统平安功能的实现进行了完整的描述，这里将实现这些平安功能所涉及的所有因素做了较为全面的说明平安功能包括物理平安、运行平安和信息平安153整理ppt应用指南〔通用局部〕物理平安也称实体平安，是指包括环境设备和记录介质在内的所有支持信息系统运行的硬件的平安它是一个信息系统平安运行的根底计算机网络信息系统的实体平安包括环境平安、设备平安和介质平安154整理ppt应用指南〔通用局部〕运行平安是指在物理平安得到保障的前提下，为确保计算机信息系统不间断运行而采取的各种检测、监控、审计、分析、备份及容错等方法和措施当前，保障运行平安的主要技术和机制有：风险分析，网络平安检测与监控，平安审计，网络防病毒，备份与故障恢复，以及计算机信息系统应急方案与应急措施等155整理ppt应用指南〔通用局部〕信息平安是指在计算机信息系统运行平安得到保证的前提下，对在计算机信息系统中存储、传输和处理的信息进行有效的保护，使其不因人为的或自然的原因被泄露、篡改和破坏当前常用的信息保护技术有：进入系统用户的标识和鉴别、信息交换的平安鉴别、隐秘、自主访问控制、标记与强制访问控制、数据保密性保护、数据完整性保护、剩余信息保护及密码支持等156整理ppt应用指南〔通用局部〕第六局部是平安保证技术要求说明为了确保所要求的平安功能到达所确定的平安目标，必须从以下方面保证平安功能从设计、实现到运行管理等各个环节严格按照所规定的要求进行：TCB自身平安保护TCB设计和实现TCB平安管理157整理ppt应用指南〔通用局部〕TCB自身平安保护是指，一方面提供与TSF机制的完整性和管理有关的保护，另一方面提供与TSF数据的完整性有关的保护TCB自身平安保护可能采用与对用户数据平安保护相同的平安策略和机制，但其所要实现的目标是不同的。前者是为了自身更健壮