国家信息安全测评认证标准体系

国家信息安全测评认证

标准体系目录1、概述2、基础标准3、应用标准4、运行标准5、标准化工作概述—标准化基础标准：为在一定的范围内获得最佳秩序，对活动或其结果规定共同的和重复使用的规则、导则或特性的文件。强制性标准：保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。我国标准分四级：国家标准、行业标准、地方标准、企业标准。概述—标准化基础标准化：为在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。实质：通过制定、发布和实施标准，达到统一。目的：获得最佳秩序和社会效益。概述—标准化基础概述—标准化基础标准化三维空间国际级区域级国家级行业级地方级企业级人员服务系统产品过程管理应用体系、框架XYZX轴代表标准化对象，Y轴代表标准化的内容，Z轴代表标准化的级别。

概述—标准化基础概述—标准化基础概述—标准化基础概述—标准化基础我国通行“标准化八字原理”：“统一”原理“简化”原理“协调”原理“最优”化原理概述—标准化基础概述—标准化基础标准体系：一定范围内标准按其内在联系形成的科学的有机整体标准体系是具有层次的，我国全国标准体系表可分成五个层次。1、全国通用标准4、门类通用标准3、专业通用标准2、行业通用标准5、产品、过程、服务、管理标准第一层第二层第三层第四层第五层全国标准体系第一层第二层第三层专业标准体系第一层第二层第三层第四层行业标准体系概述—IT标准化国际标准化ISO/IECJTC1ECMAIETFITUIEEEESTI……国内标准化标准化所归口14个分委会“汉字编码字符集”概述—IT标准化概述—信息安全标准化概述—信息安全标准化概述—信息安全标准化概述—信息安全标准化概述—信息安全标准化NIST负责联邦政府非密敏感信息FIPSDOD负责涉密信息NSA国防部指令（DODDI）（如TCSEC）IEEESILSP1363我国38个标准概述—国家信息安全标准体系概述—国家信息安全标准体系概述—国家信息安全标准体系应用类标准应用基础物理环境和保障信息处理信息传输信息存储人机接口计算机病毒防治安全工程和服务安全信息交换语法规则应用产品应用系统特殊行业概述—国家信息安全标准体系基础标准安全体系结构前CC准则GB/T18336-2001（idtISO/IEC15408：1999、CC）CEMPP和ST产生指南SSE-CMMISO9000族ISO/IEC17799基础标准—安全体系结构国家标准GB/T9387.2-1995《信息处理系统

开放系统互连

基本参考模型——第二部分：安全体系结构》（idtISO7498-2）RFC2401因特网安全体系结构基础标准—安全体系结构ISO开放系统互连安全体系结构

OSI参考模型7应用层6表达层5会话层4运输层3网络层2链路层1物理层安全机制公证路由控制业务流填充鉴别交换数据完整性访问控制数字签名加密安全服务

鉴别服务

访问控制数据完整性数据保密性抗抵赖与管理有关机制公证机制与安全服务有关机制数据完整性机制

安全恢复机制安全审核机制事件探测机制安全标签机制可信功能机制路由控制机制防业务流分析机制认证交换机制

访问控制机制

数字签名机制安全机制加密机制安全服务对象认证安全服务访问控制安全服务数据完整性安全服务抗抵赖安全服务

安全服务是由安全机制来实现的。一个安全服务可以由一个或几个安全机制来实现；同样，一个安全机制也可用于实现不同的安全服务中。安全服务与安全机制的关系基础标准—安全体系结构TCP/IP安全体系应用层表示层会话层传输层网络层数据链路层物理层FTP、TELNETNFSSMTP、SNMPXDRRPCTCP、UDPIPEthernet、PDN、IEEE802.3、IEEE802.4、IEEE802.5及其它

ICMPARPRARPOSI参考模型Internet协议簇TCP/IP协议模型中提供的安全服务IP层安全体系结构IPsec协议标准RFC2402IPAuthenticationHeaderRFC2403TheUseofHMAC-MD5-96withinESPandAHRFC2404TheUseofHMAC-SHA-1-96withinESPandAHRFC2405TheESPDES-CBCCipherAlgorithmWithExplicitIVRFC2406IPEncapsulatingSecurityPayload(ESP)

基础标准—前CC准则

欧洲ITSEC基础标准—前CC准则

加拿大CTCPEC基础标准—前CC准则CTCPEC的功能性要求及分级

美国联邦准则(FC)

对TCSEC的升级1992年12月公布引入了“保护轮廓（PP）”这一重要概念每个轮廓都包括功能部分、开发保证部分和评测部分。分级方式与TCSEC不同，吸取了ITSEC、CTCPEC中的优点。供美国政府用、民用和商用。基础标准—前CC准则GB17859-1999计算机信息系统安全等级划分准则基础标准—前CC准则安全等级保护制度等级保护制度内容安全等级保护标准体系等级划分标准等级设备标准等级建设标准等级管理标准安全等级保护管理的行政法规安全等级保护所需的系统设备安全等级系统的建设和管理等级划分准则计算机信息系统安全等级保护系列标准的核心实行计算机信息系统安全等级保护制度建设的重要基础等级划分准则的目的等级划分准则内容第五级：访问验证保护级第四级：结构化保护级第三级：安全标记保护级第二级：系统审计保护级第一级：用户自主保护级可信计算基（TCB）TCB——TrustedComputingBase一个实现安全策略的机制包括硬件、固件和软件根据安全策略来处理主体（系统管理员、安全管理员、用户）对客体（进程、文件、记录、设备等）的访问TCB的特性实施主体对客体的安全访问功能抗篡改的性质易于分析与测试的结构安全保护能力主要取决于TCB各级之间的差异主要体现在TCB的构造以及它所具有的安全保护能力第一级用户自主保护级本级的计算机信息系统TCB通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。第一级自主访问控制为用户提供身份鉴别TCB通过自主完整性策略，阻止非授权用户修改或破坏敏感信息第二级系统审计保护级与用户自主保护级相比，本级的计算机信息系统TCB实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。第二级自主访问控制客体的安全重用为用户提供身份鉴别和安全审计TCB提供并发控制等机制，以确保多个主体对同一客体的正确访问第三级安全标记保护级本级的计算机信息系统TCB具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。第三级TCB实施强制访问控制，以敏感标记为主体和客体指定其安全等级。安全等级是一个二维组，第一维是分类等级（如密码、数字签名等），第二维是范畴。主体分类等级的级别高于客体分类等级的级别，主体范畴包含客体范畴时，主体才能读一个客体主体分类等级的级别低于或等于客体分类等级的级别，主体范畴包含于客体范畴时，主体才能写一个客体第三级身份鉴别和审计TCB应提供定义、验证完整性约束条件的功能，以维护客体和敏感标记的完整性第四级结构化保护级本级的计算机信息系统TCB建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统TCB必须结构化为关键保护元素和非关键保护元素。第四级计算机信息系统TCB的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。系统具有相当的抗渗透能力。第四级TCB基于一个明确定义的形式化安全保护策略。将第三级实施的访问控制（自主的和强制的）扩展到所有主体和客体。针对隐蔽信道，将TCB构造成为关键保护元素和非关键保护元素。TCB具有合理定义的接口，使其能够经受严格测试和复查。通过提供可信路径来增强鉴别机制。支持系统管理员和操作员的职能，提供可信实施管理，增强严格的配置管理控制。第四级系统管理员、系统用户、安全管理员身份鉴别、审计TCB的关键保护元素TCB的非关键保护元素形式化的安全策略模型

自主访问控制标记、客体重强制访问控制用、运行支持第五级访问验证保护级本级的计算机信息系统TCB满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。第五级支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。第五级在TCB的构造方面，具有访问监控器访问控制能够为每个客体指定用户和用户组，并规定他们对客体的访问模式TCB扩展了审计能力TCB提供可信恢复机制，保证系统失效或中断后，可以进行不损害任何安全保护性能的恢复访问监控器访问控制数据库客体主体访问监控器审计文件基础标准—CC准则要点概述标准内容和关键概念评估模型国际互认概述ISO/IEC15408=CommonCriteria(CC)

安全准则&产品评估促进因素国际IT市场趋势各国的基本安全要求早期准则的演变和改进信息系统安全问题需要国际标准发展史1993年通用评估准则（CC）1985年美国可信计算机系统评估准则（TCSEC）1990年加拿大可信计算机产品评估准则（CTCPEC）1991年美国联邦准则（FC）1999年国际标准（ISO15408）第三代

通用准则（CC）国际标准化组织统一现有多种准则的努力结果；1993年开始，1996年出V1.0,1998年出V2.0，1999年6月正式成为国际标准，1999年12月ISO出版发行ISO/IEC15408；主要思想和框架取自ITSEC和FC；充分突出“保护轮廓”，将评估过程分“功能”和“保证”两部分；是目前最全面的评价准则

通用准则（CC）（续）国际上认同的表达IT安全的体系结构一组规则集一种评估方法，其评估结果国际互认通用测试方法（CEM）已有安全准则的总结和兼容通用的表达方式，便于理解灵活的架构可以定义自己的要求扩展CC要求准则今后发展的框架标准内容和关键概念GB/T18336-1：简介和一般模型保护轮廓规范安全目标规范GB/T18336-2：安全功能要求GB/T18336-3：安全保证要求标准的文档结构第1部分第2部分范围引用标准安全功能组件FAU类：安全审计FCO类：通信FCS类：密码支持 FDP类：用户数据保护 FIA类：标识和鉴别FMT类：安全管理FPR类：隐私 FPT类：TSF保护FRU类：资源利用FTA类：TOE访问FTP类：可信路径/信道

附录A安全功能要求应用注释附录B功能类、族和组件附录C安全审计（FAU）附录D通信（FCO）附录E密码支持（FCS）附录F用户数据保护(FDP)

附录G标识和鉴别（FIA）附录H安全管理(FMT)

附录I隐私(FPR)

附录JTSF保护（FPT）附录K资源利用(FRU)

附录LTOE访问(FTA)附录M可信路径/通道(FTP)第3部分范围引用标准安全保证要求保护轮廓与安全目标评估准则APE类：保护轮廓评估ASE类：安全目标评估评估保证级保证类、族和组件ACM类：配置管理ADO类：交付和运行ADV类：开发AGD类:指导性文件ALC类:生命周期支持ATE类:测试AVA类:脆弱性评定保证维护范例AMA类:保证的维护附录A保证组件依赖关系的交叉引用附录BEAL和保证组件的交叉引用

用户

开发者

评估者标准的目标读者系统管理员和系统安全管理员内部和外部审计员安全规划和设计者认可者评估发起者评估机构标准的应用范围关键概念评估对象——TOE(TargetofEvaluation)保护轮廓——PP(ProtectionProfile）安全目标——ST(SecurityTarget）功能(Function)保证(Assurance)组件(Component)包(Package)评估保证级——EAL(EvaluationAssuranceLevel）评估对象（TOE）产品、系统、子系统保护轮廓（PP）PP的内容安全目标（ST）IT安全目的和要求要求的具体实现实用方案适用于产品和系统与ITSECST类似ST的内容功能/保证结构类（如用户数据保护——FDP）关注共同的安全焦点的一组族，覆盖不同的安全目的范围子类（如访问控制——FDP_ACC）共享安全目的的一组组件，侧重点和严格性不同组件（如子集访问控制——FDP_ACC.1)包含在PP/ST/包中的最小可选安全要求集组件CC将传统的安全要求分成不能再分的构件块用户/开发者可以组织这些要求到PP中到ST中组件可以进一步细化安全要求的结构类（Class）子类（Family）子类（Family）组件组件组件组件功能和保证PP/ST/包………功能规范IT产品和系统的安全行为，应做的事安全功能要求类135个组件保证对功能产生信心的方法安全保证要求APE类-保护轮廓的评估准则ASE类-安全目标的评估准则用于TOE的七个安全保证要求类TOE安全保证类包IT安全目的和要求功能或保证要求（如EAL）适用于产品和系统与ITSECE-级类似评估保证级（EAL）预定义的保证包公认的广泛适用的一组保证要求评估保证级（EAL）EAL1—功能测试EAL2—结构测试EAL3—系统地测试和检查EAL4—系统地设计、测试和复查EAL5—半形式化设计和测试EAL6—半形式化验证的设计和测试EAL7—形式化验证的设计和测试评估保证级（EAL）评测级别对应各部分关系子类C1C2C3Cn功能(CCPART2)保证(CCPART3)FamilyC1C2C3CnFamilyC1C2C3Cn子类C1C2C3Cn子类C1C2C3Cn子类C1C2C3Cn功能类保证类功能包为构建PP或ST而选取的一组可重复使用的功能要求评估保证级1评估保证级2评估保证级3评估保证级n保护轮廓包括一个CC评估保证级的一组可重复使用且完备的安全要求。安全目标包括一个CC评估保证级的描述TOE的一组完备要求。可包括保护轮廓、要求和/或其他非CC要求。选择性扩充（非CC）安全要求评估模型评估环境评估准则评估方法学最终评估结果评估体制评估批准/认证证书列表/注册评估的目的产生保证评估给出证据所有者提供需要置信度那么对策最小化风险到资产评估流程图评估PPPP评估结果编目PP已评估

的PP评估STST评估结果评估TOETOE评估结果编目证书已评估的TOETOE评估过程

安全需求开发TOETOE和评估评估结果

评估准则评估方案评估方法操作TOE反馈评估TOETOE物理环境确定安全环境假设确定安全目的确定安全要求需保护的资产TOE用途威胁组织安全策略安全目的功能要求保证要求环境要求确定TOE概要规范TOE概要规范CC要求目录安全规范材料(PP/ST)安全要求材料（PP/ST）安全目的材料(PP/ST)安全环境材料(PP/ST)要求和规范的导出评估产品目录PP目录安全需求评估对象分类产品系统授权系统授权准则二选一可选可选评估后产品开发和评估TOE授权后系统TOE评估结果的应用国际互认互认的意义认同其他机构的评估结果开发商获得更大的市场空间信息化的必然趋势CC国际互认（1）1995年，CC项目组成立CC国际互认工作组1997年制订过度性CC互认协定1997年10月美国的NSA和NIST、加拿大的CSE和英国的CESG签署了该协定1998年5月德国的GISA、法国的SCSSI也签署了此互认协定。依照CC1.0版，互认范围限于评估保证级1—3CC国际互认（2）1999年10月澳大利亚和新西兰的DSD加入了CC互认协定互认范围发展为评估保证级1—4，但证书发放机构限于政府机构CC国际互认（3）今年，又有荷兰、西班牙、意大利、挪威、芬兰、瑞典、希腊、瑞士、以色列等国加入了此互认协定日本、韩国等也正在积极准备加入此协定目前的证书发放机构也不再限于政府机构，非政府的认证机构也可以加入此协定，但必须有政府机构参与或授权

通用评估方法（CEM）基础标准—CEM介绍通用评估方法（CEM）是为了进行CC评估而开发的一种国际公认方法。CEM支撑信息安全评估的国际互认用户用户评估发起者是起动一个评估的组织实体。发起者可以是一个开发者（如制造商、集成商）或顾客（如用户、认可者、系统管理员、系统安全管理员）。评估者使用CC时要与CEM一致。评估者将把CEM用在CC的一致性使用方面提供详细的指导。监督者是确保所进行的评估过程与CC、CEM一致性的实体。监督者把CEM用于定义评估者所提供的一组一致性信息。相互认可通用评估方法评估者&监督者开发者顾客发起者评估框架开发过程检测过程评估方法（原则、程序、过程）评估过程（行为）普遍原则假设角色间关系准备阶段开发者监督者评估者发起者可行性分析输出协定可行性分析输出协定PP或ST评估交付资源子集评估所需资源子集索要可行性研究信息建议修改ST或PP可行性分析输出协定可行性分析输出协定可行性分析输出协定协定实施阶段开发者监督者评估者发起者观察报告观察报告评估和检测所需资源观察报告观察报告评估和检测所需资源评估和检测所需资源解释结束阶段开发者监督者评估者发起者评估总结报告评估总结报告评估总结报告评估总结报告评估权威机构ISO/IECPDTR15446：2000PP和ST产生指南基础标准—PP和ST产生指南为既定的一系列安全对象提出功能和保证要求的完备集合

可复用集合-对各种应用的抽象

希望和要求的陈述PP定义什么是PP？用户要求陈述用户希望达到什么程度主要针对:业务/商业拥有者对用户、开发者、评估者和审计者都有用系统设计文档将几级要求细化成特定的需求一致性需求符合用户的要求谁用PP？PP要点PP要点（续）TOE安全环境：定义TOE“安全需求”的特征和范围假设：如果环境满足该假定，TOE被认为是安全的威胁：包括TOE及其环境需要保护的特定资产所面临的与TOE安全操作相关的威胁组织安全策略：TOE必须遵守的任何组织安全策略和规则PP要点（续）有关环境的假设对资产的威胁组织安全策略安全需求定义TOE安全环境环境安全目的TOE安全目的安全目的：意在对抗确定的威胁，满足确定的组织安全策略和假定的陈述PP要点（续）在确定安全目的时，需要确保每个已知的威胁，至少有一个安全目的对抗；每个已知的组织安全策略，至少有一个安全目的来满足。在对抗威胁方面主要有预防、检测和纠正三种目的。威胁组织安全策略假设安全需求TOEIT环境非IT安全要求TOE目的环境目的安全目的IT安全要求安全目的桥梁作用IT安全要求TOE安全要求IT环境安全要求TOE安全功能要求TOE安全保证要求PP要点（续）安全功能要求安全保证要求IT环境安全要求TOE安全目的IT环境安全目的ISO/IEC15408第二部分ISO/IEC15408第三部分IT安全要求赋值、反复、选择和细化PP要点（续）PP应用注解：对开发、评估或使用TOE是相关的或有用的一些附加信息基本原理：对PP进行评估的依据，证明PP是一个完整的、紧密结合的要求集合，满足该PP的TOE将在安全环境内提供一组有效的IT安全对策安全目的基本原理安全要求基本原理威胁组织安全策略假设安全需求IT安全要求TOE目的环境的目的安全目的相互支持支持恰好满足恰好满足功能强度声明一致基本原理威胁举例T.REPLAY重放当截获了有效用户的识别和鉴别数据后，未授权用户可能在将来使用这些鉴别数据，以访问TOE提供的功能。安全目的举例O.SINUSE单用途TOE必须防止用户重复使用鉴别数据，尝试通过互连网络在TOE上进行鉴别。O.SECFUN安全功能TOE必须提供一种功能使授权管理员能够使用TOE的安全功能，并且确保只有授权管理员才能访问该功能。O.SINUSEFIA_ATD.1用户属性定义：允许为每个用户单独保存其用户安全属性。FIA_UAU.1鉴别定时：允许用户在身份被鉴别前，实施一定的动作。FIA_UAU.4单用户鉴别机制：需要操作单用户鉴别数据的鉴别机制。FMT_MSA.3静态属性初始化：确保安全属性的默认值是允许的或限制某行为的。TOE安全功能要求举例TOE安全功能要求举例FMT_MOF.1安全功能行为的管理：允许授权用户管理TSF中使用规则或有可管理的指定条件的功能行为。FAU_STG.1受保护的审计踪迹存储：放在审计踪迹中的数据将受到保护，以避免未授权的删除或修改。FAU_STG.4防止审计数据丢失：规定当审计踪迹溢满时的行动。O.SECFUNPP示例SSE-CMM系统安全工程能力成熟模型基础标准—SSE-CMMSSE-CMM背景知识SSE-CMM项目发展1993年4月开始酝量，1996年10月出版了SSE-CMM模型的第一个版本，1997年4月出版了评定方法的第一个版本。1999年4月出版了第二版。正在申报国际标准。测评中心于1999年4月将第二版翻译成中文。SSE-CMM项目组织制定组织应用组织关键评审人行业评审人项目主任能力方面GenericPractices能力方面CommonFeaturesGenericPracticesGenericPracticesGenericPracticesGenericPractices通用实施能力级别CommonFeatures公共特征增强执行任何过程能力的实现和制度化实施一组实施列出管理和制度化过程的相同方面共同工作的一组公共特征主要增强执行一个过程的能力能力级别能力级别１――非正式执行公共特征执行基本实施能力级别２――计划与跟踪公共特征计划执行规范化执行验证执行跟踪执行能力级别３――充分定义公共特征定义标准过程执行已定义的过程协调安全实施能力级别４――定量控制公共特征建立可测的质量目标客观地管理过程的执行能力级别５――连续改进公共特征改进组织能力改进过程的有效性计划执行规范化执行跟踪执行定义标准过程协调安全实施

建立可测量的质量目标客观地管理过程的执行改进过程的有效性1非正式执行2计划与跟踪3充分定义4量化控制5连续改进执行基本实施验证执行执行已定义的过程改进组织能力公共特性域方面BasePracticesProcessAreas

过程类ProcessAreasBasePractices域方面BasePracticesBasePracticesBasePractices基础实施ProcessAreas过程区工程和安全实施是安全工程过程中必须存在的性质，指出特殊过程区的目的并属于该过程区

每个过程区（PA）是一组相关安全工程过程的性质，当这些性质全部实施后则能够达到过程区定义的目的。一组过程区指出活动的同一通用区SSE-CMM过程区（PA）管理安全控制评估影响监视影响评估威胁评估脆弱性建立保证论据协调安全监视安全态势提供安全输入指定安全要求验证和证实安全安全工程安全工程分三个基本过程：风险、工程和保证风险过程是要确定产品或者系统的危险性，并对这些危险性进行优先级排序工程过程是针对面临的危险性，安全工程过程与相关工程过程一起来确定并实施解决方案保证过程是建立起对解方案的信任，并把这种信任传达给顾客安全工程（续）风险工程PA：验证和证实安全证据PA:建立保证论据证据保证论据其他多个PA保证评估结果PA01PA02PA03PA04PA05PA06PA07PA08PA09PA10012345PA01PA02PA03PA04PA05PA06PA07PA08PA09PA10能力方面GenericPracticesCommonFeaturesGenericPracticesGenericPracticesGenericPracticesGenericPractices通用实施能力级CommonFeatures公共特征域方面BasePracticesProcessAreas过程类ProcessAreasBasePracticesBasePracticesBasePracticesBasePractices基础实施ProcessAreas过程区评定方法为评定收集数据广泛、严格，每个数据有充分的证据决定实施安全工程过程的能力为评定定义了安全工程环境在评定巧妙地使用了SSE-CMM体系结构中的两个方面基础标准—ISO9000族ISO9000族23个标准GB/T6583质量管理和质量保证—术语质量管理和质量保证标准选用和实施指南GB/T19000-1第一部分：选择和使用指南GB/T19000-2