CC标准内容包括3部分1 介绍和模型2 安全功能要求3 安全保证要求1 介绍和模型目前，IT安全性评估通用标准（CC）已成为评估信息系统及其安全性的世界通用准则。

CC的开发目的：使各种安全评估结果具有可比性，在安全性评估过程中，为信息系统及其产品的安全功能和保证措施，提供一组通用要求，并确定一个可信级别。

应用CC的结果是：可使用户确定信息系统及安全产品对他们的应用来说，是否足够安全，使用中的安全风险是否可以容忍。

要评估的信息系统和产品被称为评估对象（TOE），如操作系统、分布式系统、网络及其应用等。

CC标准中的缩写及其术语缩写EAL （Evaluation Assurance Level，评估保证级别）由保证组件构成的包，该包代表了CC预定义的保证尺度上的一个位置。

TOE （Target of Evaluation，评估对象）作为评估主体的IT产品和系统相关的管理员、用户指南文档。

PP （Protection Profile，保护轮廓）一组独立实现的，满足特定用户需求的TOE 安全要求。

TSP （TOE Security Policy， TOE 安全策略）规定TOE中资产管理、保护和分配的一组规则。

SF （Security Function，安全功能）为执行TSP中一组紧密相关的规则子集，必须依赖的部分TOE。

SEP （Security Function Policy，安全功能策略）SF执行的安全策略。

SOF （Strength of Function，功能强度）TOE安全功能的一种指标，指通过直接攻击其基础安全机制，攻破安全功能所需的最小代价。

ST （Security Target，安全目标）作为指定的TOE评估基础的一组安全要求和规范。

TSF （TOE Security Function， TOE安全功能）正确执行TSP必须依赖的全部TOE硬件、软件和固件的集合。

TSC （TSF Scope of Control， TSF控制范围）在TOE中发生，并服从TSP规则的集合。

TSFI（TOE Security Function Interface，TSF 安全功能接口）一组交互式编程接口，通过它TSF访问、调配TOE资源或者从TSF获取信息。

术语资产包组件赋值保证攻击潜能增强用户认证数据授权用户类外部IT实体连通性依赖性元素评估评估机构评估方案扩展族形式化个人用户身份非形式化内部通信信道TOE内部传输TSF间传输迭代客体组织安全策略产品访问监督器访问确认机制细化角色秘密安全属性安全目的选择半形式化基本级功能强度中级功能强度高级功能强度主体系统TOE资源TOE安全策略模型TSF控制外传输可信通道可信路径TSF数据用户数据安全性概念：1）安全上下文安全性损坏一般包括：资产暴露于未授权的主体，资产由未授权的更改而损坏，资产的正当访问权被未授权主体的剥夺。

它们分别使资产丧失保密性、完整性和可用性。

2）安全环境包括所有相关的法律法规、组织安全策略、习惯、专门技术和知识。

3）安全目标应和已确定的TOE运行目标、产品目标以及已知物理环境一致。

4）IT 安全要求分为安全功能要求和安全保证要求2类。

5）TOE概要规范定义了TOE安全要求的实例。

它给出了满足功能要求的高层次安全功能定义，以及确保功能要求满足保证要求的措施。

6）TOE实现CC方法1）开发开发过程中逐步对安全要求进行细化，最终成为安全目标（ST）中的TOE概要规范。

CC保证标准包含功能定义、高层次设计、低层次设计和实现抽象层次，要求开发者说明其开发方法是如何满足特定保证级别的CC 保证要求的。

2） TOE评估可以与开发过程同步进行或者随后进行。

TOE的评估过程要求具备：一套TOE证据，包括一套评估过的ST作为TOE评估的基础。

评估所需要的TOE。

评估准则、评估方法和评估认证体系。

评估可以发现开发者问题，修改TOE错误和弱点，减少将来运行时，安全性失效的可能。

3）运行用户可选用评估过的TOE。

在试运行后，运行结果将反馈给开发者，以修改TOE或者重新定义其安全要求及假定的运行环境。

CC描述材料1）安全要求的表达2）安全要求的使用3）安全要求的来源评估类型1）PP评估2）ST评估3）TOE评估2 安全功能要求描述TOE所期望的安全行为，目标是PP或ST中陈述的安全目标。

CC提出了11个功能类，包括：安全审计类通信类密码支持类用户数据保护类标识和鉴别类安全管理类隐秘类TSF保护类资源利用类TOE访问类可信路径/通道类3 安全保证要求定义了安全保证要求，包括衡量保证尺度的评估保证级（EAL），组成保证级别的每个保证组件，以及PP和ST的评估准则。

评估保证级1）EALCC对TOE的保证等级定义了7个增强的EAL。

2）功能测试EAL1目标：适用于对正确运行需要一定信任，但安全威胁不严重的场合。

它为用户提供一个TOE评估，包括依据一个规范的独立测试，以及对所提供的指导性文档的检查，即使没有TOE开发者的帮助，EAL1评估也能成功进行，而且所需费用最少。

2) 结构测试EAL2目标：EAL2在设计和测试时，需要与开发者合作，但不需要增加过多的投入，适用于低到中等级别的安全系统。

EAL2 通过功能和接口规范、指导性文档和TOE高层设计，对安全功能进行分析。

这种分析由以下测试支持：TOE安全功能独立性测试；开发者基于功能规范进行测试得到的证据；对开发者测试结构的选择性独立确认；功能强度分析；开发者搜索的脆弱性分析和基于更详细的TOE规范的独立性测试，实现在EAL1基础上安全保证的增强。

4）系统测试和检查EAL3目标：EAL3不对现有的合理开发实践作大规模的改变，适用于中等级别的安全系统。

通过更完备的安全功能测试范围，以及要求提供TOE在开发过程中不被篡改的可信任机制或程序，实现在EAL2基础上安全保证的增强。

5）系统设计、测试和复查EAL4目标：在通常情况下，对一个已存在的系统进行改造时，EAL4是所能达到的最高安全级别。

通过要求更多的设计描述，提供TOE在开发或交付过程中，不会被篡改的可信性的改进机制或程序，实现在EAL3基础上安全保证的增强。

6）半形式化设计和测试EAL5目标：适用于较高风险环境下的安全TOE的开发，这里受保护的资源值得花费教大的额外开销。

通过要求半形式化的设计描述，整个实现；更结构化的体系；隐蔽信道分析；以及提供TOE在开发过程中不会被篡改的可信性的改进机制或程序，实现在EAL4基础上安全保证的增强。

7）半形式化验证的设计和测试EAL6目标：适用于高风险环境下的安全TOE的开发，这里受保护的资源值得花费很大的额外开销。

通过要求更全面的分析，实现的结构化表示，更体系化的结构，更全面的脆弱性分析，系统化隐蔽信道识别，以及改进的配置管理和开发环境控制等，实现在EAL5基础上安全保证的增强。

8）形式化验证的设计和测试EAL7适用于安全TOE的开发，该TOE应用在风险非常高的场合或有高价值资产值得保护的地方。

通过要求形式化表示、形式化分析、以及更全面的测试，实现在EAL6上安全保证的增强。

第六节UNIX 操作系统的安全性系统具有两个执行态核心态：运行内核中程序的进程处于核心态。

用户态：运行核外程序的进程处于用户态。

一旦用户程序通过系统调用进入内核，便完全与用户隔离，从而是内核中的程序可对用户的存取请求进行不受用户干扰的访问控制。

标识在安全结构上，Linux与UNIX基本上是相似的。

如无特别说明，对UNIX的叙述对Linux也是通用的。

标识UNIX的各种管理功能都被限制在一个超级用户（root）中，其功能和Windows NT的管理员（Administrator）功能类似。

作为超级用户，可以控制一切，包括：用户帐号、文件和目录、网络资源。

超级用户允许你管理所有资源的各类变化情况，或者只管理很小范围的重大变化。

作为超级用户，可以控制那些用户能够进行访问，以及他们可以把文件存放在那里，控制用户能够访问那些资源，用户如何进行访问等。

鉴别用户登录系统时，需要输入口令来鉴别用户身份。

当用户输入口令时，UNIX使用改进的DES 算法（通过调用crypt（）函数实现）对其加密，并将结果与存储在/etc/passwd或NIS（网络信息系统）数据库中加密用户口令进行比较；存取控制UNIX文件系统控制文件和目录中的信息存在磁盘及其他辅助存储介质上，它控制每个用户可以访问何种信息及如何访问。

它表现为一组存取控制规则，用来确定一个主体是否可以存取一个指定客体。

UNIX的存取控制机制通过文件系统实现。

权限有3种；r 允许读w 允许写x 允许执行用户有3中类型owner：该文件的属主，文件的拥有者group：该文件所属用户组中的用户，即同组用户。

Other：其他用户。

UNIX系统中，每个进程都有真实UID、真实GID、有效UID、有效GID。

当进程试图访问文件时，核心进程的有效UID、GID和文件的存取权限位中相应的用户和组进行比较，决定是否赋予其相应权限。

审计UNIX系统的审计机制监控系统中发生的事件，以保证安全机制正确工作，并及时对系统异常报警提示。

审计结果常写在系统的日志文件中。

最常用的大多数版本的UNIX都具有的审计服务程序是syslogd。

当前的UNIX/Linux系统很多都支持“C2级审计”，即达到了由TCSEC所规定的C2级的审计标准。

密码当前UNIX系统中常使用的加密程序有：crypt 最初的UNIX加密程序；des 数据加密标准一般在使用passwd程序修改密码时，如果输入的密码安全性不够，系统会给出警告，说明密码选择很糟糕，这时最好再换一个。

绝对避免使用用户名或者其变化形式，因为有的破解程序就使用用户名来回变换测试。

UNIX/Linux可以提供一些点对点的加密方法，以保护传输过程中的数据，一般情况下，当数据在Internet网中传输时，可能要经过许多网关。

在这个过程中，数据很容易被窃取。

UNIX也可以对本地文件进行加密，保证文件的一致性，防止文件被非法访问和篡改。

可以一定程度地防止病毒、特洛伊木马等恶意程序。

网络可以控制那些IP地址禁止登录，那些地址可以登录。

标准的UNIX/Linux发布版本最近配备了入侵检测工具，利用UNIX配备的工具和从Internet上下载的工具，可以使系统具备较强的入侵检测能力。

备份/恢复备份的常用类型有3种：零时间备份、整体备份、增量备份。

系统的备份应根据具体情况制定合理的策略，备份文档应经过处理（压缩、加密等）合理保存。

第七节安全操作系统应用目前，安全操作系统的主要应用范围仍然是在国防和军事领域，在商用和民用领域尚未有成熟的安全操作系统出现。

在商用和民用领域占主导地位的仍是非安全操作系统。