安全保护等级标准介绍
2020/11/16
安全保护等级标准介绍
安全保护等级
安全保护等级标准介绍
安全保护等级
n 定量分析 n 安全保护措施的可信度 n 可比性
安全保护等级标准介绍
主导问题
n TCSEC（Trusted Computer Security Evaluation Criteria）简介
n PP是描述满足特定消费者需求的、 独立于实现的一组安全要求，回答 “在安全方案中需要什么”。
n ST是依赖于实现的一组安全要求与 说明，用来指定TOE评估基础。回答 “在安全方案中提供什么”。
安全保护等级标准介绍
PP内容
安全保护等级标准介绍
ST内容
安全保护等级标准介绍
描述语言
n CC的安全要求：
安全保护等级标准介绍
总结：《准则》与CC 的比较
n 内容结构
n CC分为安全功能要求与安全保证要求，保证 要求层层递进；《准则》十个安全要素，层 层递进。
n 信任度
n 《准则》——对实现安全功能的安全保护措 施抵抗威胁与攻击的能力的一种度量；CC是 对实现安全功能的整个过程的一种信任度。
安全保护等级标准介绍
n 功能元素：独立的，可标识的最小安全 功能要求。
n 依赖性
安全保护等级标准介绍
说明
n 允许的功能组件操作
n 反复：覆盖一个要求的多个方面。 n 赋值：满足特定的安全目标。 n 选择：缩小一个组件元素的范围。 n 细化
安全保护等级标准介绍
类示例图
安全保护等级标准介绍
安全保证要求
n 共10类：
n APE类：PP评估 n ASE类：ST评估 n ACM类：配置管理 n ADO类：交付和运行 n ADV类：开发
总体思路
n 信息安全涉及国家安危 n 不是TCSEC的简单沿袭
n 标准体系——适应现代计算机技术与信 息技术的发展
n 没有严格分类安全功能与安全保证
n 安全保护等级要求逐次递增的关 系明显
安全保护等级标准介绍
《准则》
n 五个安全保护等级 n 十个安全要素：身份鉴别、自主访
问控制、标记、强制访问控制、客 体重用、完整性、审计、隐通道分 析、可信恢复以及可信路径。
n FPR类：隐秘 n FPT类：安全功能保护 n FRU类：资源利用 n FTA类：TOE访问 n FTP类：可信路径/信道
安全保护等级标准介绍
功能类结构
安全保护等级标准介绍
功能族结构
安全保护等级标准介绍
功能组件结构
安全保护等级标准介绍
安全功能要求的说明
n 管理 n 审计
n 三个层次：最小级、基本级和详细级。
安全保护等级标准介绍
标准体系
n 计算机信息系统安全保护等级总体标准 n 计算机信息系统安全保护等级通用标准
n 计算机信息系统安全保护等级评估标准与技 术要求
n 网络系统安全保护等级评估标准与技术要求 n 计算机信息系统安全保护等级工程要求 n 计算机信息系统五层面安全保护等级标准
安全保护等级标准介绍
TCSEC
n 局限性
n 主要针对单机系统 n TNI是后来补充的，没有从网络体系上
考虑问题 n 主要考虑保密性 n 安全服务与安全要素 n 加密体制 n 网络环境与管理
安全保护等级标准介绍
CC
n 来源与目的 n 术语解释 n 概述 n IT产品或系统的描述 n 描述语言 n TOE安全保证度量 n 特点
计算机信息系统内保护装置的总体，包括硬件、 固件软件和负责执行安全策略的组合体。它建 立了一个基本的保护环境，并提供一个可信计 算机信息系统所要求的附加用户服务。
安全保护等级标准介绍
TCSEC
n 主要内容
n 级别：D、C、B、A与超A1级 n 安全策略（Policy) n 责任（accountability） n 保证（Assurance） n 文档（Documentation）
n ST回答“提供了什么”，与实现紧密相关。
n TOE评估
安全保护等级标准介绍
IT产品或系统的描述
n CC是通用准则，是材料库、格式以 及规则。
n 对具体的产品或系统，PP与ST是用 于描述待评估对象的重要文档。给 出总体描述，从安全环境、安全目 的、安全要求到概要规范等。
安全保护等级标准介绍
PP与 ST
n 保密性 n 完整性 n 可用性
n CC使用对象
n IT产品与系统消费者、开发商或集成商、评 估者、认证人员与授权人员。
安全保护等级标准介绍
安全概念与关系
安全保护等级标准介绍
安全保护等级标准介绍
评估对象开发模型
安全保护等级标准介绍
三种评估
n PP评估
n PP回答“需要什么”，与实现无关。
n ST评估
n 本标准并不涉及评估方法学，也不涉及评估机构使 用本规则的管理模式或法律框架。
n 评估结果用于产品和系统认可的过程不在本标准的 范围之内。产品和系统的认可是行政性的管理过程， 据此认可信息技术产品和系统在其整个运行环境中 的运行权。
n 本标准不包括密码算法固有质量评价准则。
安全保护等级标准介绍
概述
安全保护等级标准介绍
TCSEC
n 来源与目的
n 美国国防部于1983年推出。 n 评价一台独立使用的计算机信息安全
性的标准。 n 主要用于评价计算机操作系统，且侧
重于保密性。
安全保护等级标准介绍
TCSEC
n TCB描述：
全称：计算机信息系统可信计算基 （Trusted Computing Base of Computer Information System）
安全保护等级标准介绍
安全保证要求
n AGD类：指导性文档 n ALC类：生命周期支持 n ATE类：测试 n AVA类：脆弱性评定 n AMA类：维护
安全保护等级标准介绍
保证组件结构
安全保护等级标准介绍
说明
n 目的：特定保证组件的特定目的。 n 保证元素
n 开发者行为元素-D n 证据的内容与表示元素-C n 评估者行为元素-E
安全保护等级标准介绍
概述
n 分为三个部分
n 第1部分：简介和一般模型 n 第2部分：安全功能要求 n 第3部分：安全保证要求
安全保护等级标准介绍
概述
n 不在 CC考虑之列：
n 本标准不包括那些与信息技术安全措施没有直接关 联的属于行政性管理安全措施的安全评估准则。
n 本标准并不专门针对信息技术安全性的物理方面 （诸如电磁辐射控制）的评估。
安全保护等级标准介绍
TCSEC
n 安全策略
n 自主访问控制 n 标记 n 强制访问控制 n 客体重用
安全保护等级标准介绍
TCSEC
n 责任
n 鉴别 n 可信路径 n 审计
安全保护等级标准介绍
TCSEC
n 保证 n 生命周期保证 n 运行保证
安全保护等级标准介绍
TCSEC
n 运行保证
n 系统体系结构 n 系统完整性 n 隐通道分析 n 安全管理（Trusted Facility Management） n 可信恢复
比较
n 安全功能强度 n 抗渗透能力 n 评估
n CC有三个评估，针对的是安全功能实现的整 个过程的保证程度——时间段；《准则》测 试安全功能的实现状况——时间点。
n 参与的人员。
安全保护等级标准介绍
比较
n 保证要求
n 《准则》也有保证要求——对安全设施 的管理、配置管理控制、排除无用代 码将复杂性降到最低、形式化安全策 略模型与参考监视器等，但没有明确 的要求
n CC（Common Criteria）简介 n 《计算机信息系统安全保护等级划
分准则》（简称《准则》）—— GB17859-1999简介
安全保护等级标准介绍
TCSEC
n 来源与目的 n TCB（Trusted Computing Base） n 主要内容 n TNI（Trusted Network Interpretation) n 局限性
n 一个库，两种描述方式，三类人。
n 知识库：安全功能要求与安全保证要求。信 息安全技术要求库——语言元素。
n 描述方式：PP与ST。组织语言元素的格式与 内容要求。
n 三类人：消费者、开发者与评估者。
n 三种评估：PP、ST与TOE的评估。
安全保护等级标准介绍
概述
n CC涉及三个信息安全基本要求
标准体系
n 应用系统安全保护等级标准
n 电子政务系统 n 电子商务系统 n 电子金融系统
n 身份认证系统安全保护等级标准
安全保护等级标准介绍
五个层面标准
n 系统层安全保护标准 n 网络层面主要构件安全保护标准 n 应用层面安全保护标准
n Web服务与PKI
n 安全管理层面安全保护标准 n 物理层面安全保护标准
安全保护等级标准介绍
安全保证度量
n 七个评估保证级别：EAL1-EAL7
n 保证不断增加。严格性、范围和深度。
n 可扩充增强 n EAL1：功能测试 n EAL2：结构测试 n EAL3；系统地测试和检查 n EAL4：系统地设计、测试和复查
安全保护等级标准介绍
安全保证度量
n EAL5：半形式化设计和测试 n EAL6：半形式化验证地设计和测试 n EAL7：形式化验证地设计和测试
安全保护等级标准介绍
理解评估
n PP安全需求的评估，其目标：证明PP的完备性、 一致性技术的合理性以及适于表达可评估的 TOE的要求。
n ST安全方案的评估，其目标：证明ST的完备性、 一致性技术的合理性以及适于作为相应的TOE 评估的基础；当ST声明与某PP一致时，证明 ST正确满足该PP要求。