• 该类从低到高又分为B1级、B2级和B3级。
• 1）B1级——标记安全保护级
• B1级要求具有C2级系统的所有特性；在此基础上， 还应提供安全策略模型的非形式化描述、数据标记以 及命名主体和客体的强制访问控制；并消除测试中发 现的所有缺陷。
• 2）B2级——结构化保护级 • B2级中的TCB建立于一个明确定义并文档化和形式化
• 1993年，由加拿大、法国、德国、荷兰、英 国、美国NIST和美国NSA六国七方联合开始 开发通用准则CC（Information
Technology Security Common Criteria）。1996年1月发布CC1.0版， 1996年4月被ISO采纳，1997年10月完成 CC2.0的测试版，1998年5月发布CC2.0版 。
结构化保护级（B2级 ）
安全区域保护级（B3 级）
很少保护措施，无安全功能
隔离用户和数据，实施用户访问控制，保护用户和用 户组数据信息。 除C1功能外，增加注册过程控制、相关事件审计和资 源隔离功能。 除C2功能外，提供安全策略模型、数据标记和强制访 问控制功能。
除B1功能外，提供合理的可测试和审查的系统总体设 计方案、鉴别机制，对所有主体与客体进行访问控制 ，对隐蔽信道进行分析，提供一定的抗渗透能力。
• 1991年，英、法、德、荷四国针对TCSEC 准则的局限性，提出了包含保密性、完整性、 可用性等概念的欧洲“信息技术安全评估准则” （ITSEC，Information Technology Security Evaluation Criteria ）。
• 1988年，加拿大开始制订“加拿大可信计算机 产品评估准则”（CTCPEC，The
11.1 计算机网络安全标准的形成
• 在20世纪60年代，美国国防部成立了专门机 构，开始研究计算机使用环境中的安全策略问 题，70年代又在KSOS、PSOS和KVM操作 系统上展开了进一步的研究工作，80年代，美 国国防部发布了“可信计算机系统评估准则”（ TCSEC，Trusted Computer System Evaluation Criteria），简称桔皮书，后经 修改用作了美国国防部的标准，并相继发布了 可信数据库解释（TDI）、可信网络解释（ TNI）等一系列相关的说明和指南。
计算机网络安全标准介 绍
• 重点和难点 美国的《可信任的计算机系统评估准则》 国际的《通用准则》 中国的《计算机信息系统安全保护等级划分 准则》
• 掌握 国际《通用准则》和我国《计算机信息系统 安全保护等级划分准则》的基本内涵
• 了解 计算机网络安全标准的形成过程 美国的《可信任的计算机系统评估准则》 信息安全保证技术框架所涉及的基本内容
• 1999年12月ISO采纳CC通用标准，并正式发 布国际标准ISO 15408。
11.2ቤተ መጻሕፍቲ ባይዱ国外计算机网络安全标准
11.2.1《可信任的计算机系统评估准则（ TCSEC）》简介
• TCSEC按处理信息的等级和所采用的响应措 施，将计算机系统安全等级从低到高分成D、 C、B、A四大类八个级别，共27条评估准则 （参见表11.1）。
• 1．D类——无保护级 • 这是最低保护等级。该类是为那些经过评估，
但不满足较高评估等级要求的系统设计的。
表11.1 可信任的计算机系统评估准则（TCSEC）
类别
等级
安全功能
D类 无保护级
C类 自主保护
级
B类 强制保护
级
无保护级
自主安全保护级（C1 级） 控制访问保护级（C2 级） 标记安全保护级（B1 级）
保护轮廓 PP引言 TOE描述
TOE安全环境 安全目的 IT安全要求
PP应用注解 基本原理
PP标识 PP概述
假设 威胁 组织性安全策略 TOE安全目的 环境安全目的
TOE安全要求 IT环境安全要求
安全目的基本原理 安全要求基本原理
TOE安全功能要求 TOE安全保证要求
图11.2 保护轮廓PP的描述结构
• （4）安全要求的描述方法
• 安全要求是按“类—族—组件—元素”的描述结 构表达的，并附加在其ST中。
• 1）类：类被用作最通用安全要求的组合，类 的所有的成员关注共同的安全焦点，但所覆盖 安全目的是不同的。
• 2）族：类的成员被称为族。
• 3）组件：族的成员被称为组件。组件描述一 组特定的安全要求集。
Canadian Trusted Computer Product Evaluation Criteria ）。该标准将安全需 求分为机密性、完整性、可靠性和可说明性四 个层次。
• 1993年，美国对TCSEC作了补充和修改，制 定了“组合的联邦标准”（简称FC）。
• 1990年，国际标准化组织（ISO）开始开发 通用的国际标准评估准则。
• 该类采用自主访问控制和审计跟踪等措施实现一定的 自主保护功能，具有对主体责任及其动作审计的能力 。C类系统一般只适用于具有一定等级的多用户环境 。
• 该类从低到高又分为C1级和C2级。 • 1）C1级——自主安全保护级 • C1级TCB通过隔离用户与数据，使用户具备自主安全
保护的能力 ；它具有多种形式的控制能力，对用户实 施访问控制；为用户提供可行的手段，保护用户和用 户组信息，避免其他用户对数据的非法读写与破坏； C1级的系统适用于处理同一敏感级别数据的多用户环 境。
• 所谓安全就是保护资产不受威胁，威胁可依据 滥用被保护资产的可能性进行分类，所有的威 胁类型都应该被考虑到。在安全领域内，被高 度重视的威胁是和人们的恶意攻击及其它与人 类活动相联系的行为。
• 安全性损坏是指失去保密性、失去完整性和失 去可用性。失去保密性是指资产破坏性地暴露 于未授权的接收者；失去完整性是指资产由于 未授权的更改而损坏；失去可用性是指资产访 问权被未授权的获得等。
除B2功能外，优化系统总体设计方案，扩充审计机制 和系统恢复机制，提供安全警报和高抗渗透能力。
A类 验证保护
级
验证设计级（A1级） 超A1级
在安全功能上，A1级系统与B3级系统相同，其突出特 点是：采用形式化设计规范和验证方法分析系统。
在A1级基础上进行扩展安全范畴，已超出了目前技术 的发展。
• 2．C类——自主保护等级
• 2．TOE的评估过程（如图11.5所示）
（PP与ST）
安全需求
操作TOE 反馈
开发TOE TOE和评估
评估TOE
评估准则 评估方法 评估方案
评估结果
图11.5 TOE的评估过程示意图
• 3．CC的安全功能要求 • CC中提出了11类安全功能，并给出了详细说明和具
• 2）C2级——控制访问保护级 • C2级计算机系统比C1级具有更细粒度的自主访问控
制；C2级通过注册过程控制、审计安全相关事件以及 资源隔离，使单个用户为其行为负责。
• 3．B类——强制保护等级
• 该类采用安全标记和强制访问控制等措施实现强制保 护功能，主要要求TCB能维护完整的安全标记，并在 此基础上执行一系列强制访问控制规则。B类系统中 的主要数据结构必须携带敏感标记；系统的开发者还 应为TCB提供安全策略模型以及TCB规约；应提供 证据证明访问监控器得到了正确的实施。
• 1）PP评估：PP评估是依照CC第3部分的PP评估准 则进行的。其目标是为了证明PP是完备的、一致的 、技术合理的，而且适合于作为一个可评估TOE的 安全要求的声明。
• 2）ST评估：针对TOE的ST评估是依照CC第3部分 的ST评估准则进行的。
• 3）TOE评估：TOE评估是使用一个已经评估过的 ST作为基础，依照CC第3部分的评估准则进行的。 其目标是为了证明TOE满足ST中的安全要求。
• 该类从低到高细分为A1级和超A1级。
• 1）A1级——验证设计级
• A1级系统在功能上和B3级系统是相同的，没有增加 体系结构特性和策略要求。其突出特点是，要求用形 式化设计规范和验证方法来对系统进行分析，确保 TCB按设计要求实现。
• A1级系统要求更严格的配置管理；要求建立 系统安全分发的程序；支持系统安全管理员 的职能。
• 2）超A1级
• 超A1级是在A1级基础上增加了许多超出目 前技术发展的安全措施。
• 超A1级系统涉及的主要范围包括：系统体系 结构、安全测试、形式化规约与验证和可信 设计环境等。
11.2.2 《通用准则CC》简介
• CC主要包括简介和一般模型、安全功能要求 以及安全保证要求三个部分。在安全保证要求 部分提出了七个评估保证级别（Evaluation Assurance Levels：EALs），从低到高依 次为EAL1、EAL2、EAL3、EAL4、EAL5 、EAL6和EAL7。
• 通用准则CC仅适用于硬件、固件和软件实现 的信息技术安全措施。
• 1．CC中的基本概念和评估方法
• （1）评估过程
• CC的评估依据是通用评估方法学、评估方案 和CC评估准则。使用通用评估方法学可以提 供结果的可重复性和客观性；使用评估方案和 评估准则可以提供结果的准确性和一致性。
• （2）安全概念
• B3级系统支持安全管理员职能、扩充审计机制和系 统恢复机制，当发生与安全相关的事件时，系统能发 出信号。B3级系统具有很高的抗渗透能力。
• 4．A类——验证保护等级
• 这是最高保护等级。A类系统的特点是使用形式化的 安全验证方法，保证系统的自主和强制安全控制措施 能够有效地保护系统中存储和处理的秘密信息或其他 敏感信息。系统提供丰富的文档信息用以证明TCB满 足设计、开发及实现等各个方面的安全要求。
安全策略模型之上，要求将B1级系统中建立的自主和 强制访问控制扩展到所有的主体与客体，并对隐蔽信 道进行分析。 • TCB应结构化为关键保护元素和非关键保护元素，明 确定义TCB接口。TCB的设计与实现应能够经受更充 分的测试和更完善的审查，增强鉴别机制功能，提供 可信设施管理以支持系统管理员和操作员的职能，提 供严格的配置管理控制。 • 3）B3级——安全区域保护级 • B3级中的TCB必须满足访问监控器的需求，在构造 TCB时，排除那些对实施安全策略来说并非必要的代 码，在设计和实现TCB时，从系统工程角度将其复杂 性降低到最小程度。访问监控器本身是抗篡改的、足 够小、可分析和测试，应用它对所有主体对客体的访 问进行仲裁。