第14讲第七章信息安全标准下.ppt

LOGO本讲提纲. 我国信息安全测评认证概述. TCSEC. CC. GB178591LOGO测评认证相关概念测评认证相关概念. 信息安全测评. 依据标准依据标准对信息技术产品、系统、服产品、系统、服务提供商和人员务提供商和人员进行测试与评估测试与评估，检验其是否符合测评的标准. 信息安全测评是检验/测试活动. 信息安全认证. 对信息技术领域内产品、系统、服务提供商和人员的资质、能力符合规范及安全标准要求的一种确认活动，即检验评估过程是否正确，并保证评估结果的正确性和权威性 信息安全认证是质量认证活动，更确2LOGO. 产品认证. 访问控制产品（防火墙/路由器/代理服务器/网关）. 鉴别产品. 安全审计产品. 安全管理产品. 数据完整性产品. 数字签名产品. 抗抵赖产品. 商用密码产品（须由国家商用密码管理办公室授权）. 防信息干扰、泄漏产品. 操作系统安全类产品. 数据库安全类产品. ……3LOGO. 系统安全测评. 信息系统的安全测评，是由具有检验技术能力和政府授权资格的权威机构，依据国家标准、行业标准、地方标准或相关技术规范，按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动。

系统安全测评旨在为以前没有安全保障或安全保障体系不完善的系统（网络）提供改进服务，从而降低系统的4LOGO. 组织认证：. 对提供信息安全服务的组织和单位资质进行评估和认证，即服务资质认证. 个人认证：. 对信息安全专业人员的资质进行评估和认证，即人员资质认证5LOGO我国信息安全测评认证体系组织结构我国信息安全测评认证体系组织结构. 于1997年启动，到1998年底，正式建立我国的信息安全测评认证体系，由三部分组成. 国家信息安全测评认证管理委员会. 中国信息安全产品测评认证中心. 授权测评机构6LOGO国家信息安全测评认证管理委员会国家信息安全测评认证管理委员会. 国家信息安全测评认证管理委员会是认证中心的监管机构 组成：由与信息安全相关的管理部门、使用部门、学术界和生产厂商四方面的代表组成. 主要职责：确定测评认证中心的发展策略，推动中心检测认证的标准研究和准则使用，对测评认证工作的公正性、科学性进行监督7LOGO中国信息安全产品测评认证中心中国信息安全产品测评认证中心. 中国信息安全产品测评认证中心中国信息安全产品测评认证中心（CNITSEC）：是经中央批准的、由国家质量监督检验检疫总局授权成立的、代表国家实施信息安全测评认证的职能机构。

对国内外信息安全设备和信息技术产品进行安全性检验与测试；. 对国内信息工程和信息系统进行安全性评估与安全质量体系认证；. 对在中国境内销售、使用的信息技术产品和安全设备进行安全性认证；. 提供与信息安全有关的信息服务、技术服务及人员培训；. 与国际上相应的测评认证机构联系与交流8LOGO国 家 认 可委国家信息安全测评认证管理委员会（CNAB）认可中国信息安全产品测评认证中心测评认证报告授权监督测评报告认证申请实验室认可委（CNAL）认可授权测评机构测评认证申请者测评申请信息安全测评认证过程图示9LOGO相关测评标准相关测评标准. GB17859-1999《计算机信息系统安全保护等级划分准则》. GB/T 18336-2001《信息技术 安全技术 信息技术安全性评估准则》. GB/T 19716-2005《信息技术 信息安全管理实用规则》. GB/T 20271-2006《信息系统通用安全技术要求》. GB/T 20269-2006《信息系统安全管理要求》. GB/T 20282-2006《信息系统安全工程管理要求》. DB31/T 272-2002《计算机信息系统安全测评通用技术规范》10LOGO测评认证相关技术测评认证相关技术. 渗透性测试渗透性测试：对测试目标进行脆弱性分析，探知产品或系统安全脆弱性的存在，其主要目的是确定测试目标能够抵抗具有不同等级攻击潜能的攻击者发起的渗透性攻击。

因此，渗透性测试就是在测试目标预期使用环境下进行的测试，以确定测试目标中潜在的脆弱性的可利用程度 系统漏洞扫描系统漏洞扫描：主要是利用扫描工具对系统进行自动检查，根据漏洞库的描述对系统进行模拟攻击测试，如果系统被成功入侵，说明存在漏洞主要分为网络漏洞扫描和主机漏洞扫描等方式11LOGO本讲提纲. 我国信息安全测评认证概述. 信息安全评估标准的发展12LOGO信息安全评估标准的发展信息安全评估标准的发展1999年GB 17859计算机信息系统安全保护等级划分准则1999年CC成为国际标准，2005年更新（ISO/IEC 15408）1993年加拿大可信计算机产品评估准则（CTCPEC）1985年美国可信计算机系统评估准则国际通用准则1993年美国联邦政府评估准则1996年，CC 1.01998年，CC 2.01999年，CC2.1（TCSEC）（FC）1991年欧洲信息技术安全评估准则（ITSEC）2001年中国国家标准GB/T 183362008年更新（等同采用CC）13LOGO可信计算机系统评估准则（可信计算机系统评估准则（TCSEC））. 可信计算机系统评估准则• 信息安全技术的里程碑（TCSEC）• 1985年作为美国国防部标准（DoD）发布（DoD 5200.28-STD）• 主要为军用标准，延用为民用• 主要针对主机型分时操作系统，主要关注保密性. 简介• 安全级别主要按功能分类• 安全级别从高到低分别为A、B、C、D四级，级下再分小级，包含D、C1、C2、B1、B2、B3、A1这七个级别。

• 后发展为彩虹系列. 彩虹系列• 桔皮书：可信计算机系统评估准则• 黄皮书：桔皮书的应用指南• 红皮书：可信网络解释• 紫皮书：可信数据库解释• ……14LOGO. TCSEC安全级别 A1：：等等验验级级证设证设分分计计类类保护保护Verified Design保保P护护r o等等t e级级ction B3：安全区域保护：安全区域保护Security Domain Protection高保证系统高保证系统低保证系统低保证系统D类：最低保护等级D级：无保护级 B2：结构化保护：结构化保护Structured ProtectionC1级：自主安全保护级C类：自主保护级 B1：标记安全保护：标记安全保护Labeled Security ProtectionC2级：受控访问保护级 C2：受控访问保护Controlled Access ProtectionB1级：标记安全保护级 C1：自主安全保护：自主安全保护Discretionary SecurityB类P r：ot强ec制tio保n护级B2级：机构化保护级 D：： 低级保护低级保护Minimal ProtectionB3级：安全区域保护级A1级：验证设计级A类：验证保护级15LOGOD D类保护等级类保护等级. D类是最低保护等级，即无保护级. 为那些经过评估，但不满足较高评估等级要求的系统设计的，只具有一个级别. 该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处理敏感信息16LOGOC类保护等级类保护等级. C类为自主保护级. 具有一定的保护能力，采用的措施是自主访问控制和审计跟踪. 一般只适用于具有一定等级的多用户环境. 具有对主体责任及其动作审计的能力17LOGO. C类分为两个级别. 自主安全保护级（自主安全保护级（C1C1级级) )• 它具有多种形式的控制能力，对用户实施访问控制• 为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏• C1级的系统适用于处理同一敏感级别数据的多用户环境• C1级TCB通过隔离用户与数据，使用户具备自主安全保护的能力. 控制访问保护级（控制访问保护级（C2C2级级) )18LOGOB类保护等级类保护等级. B类为强制保护级. 主要要求是TCB应维护完整的安全标记，并在此基础上执行一系列强制访强制访问控制规则问控制规则. B类系统中的主要数据结构必须携带敏感标记. 系统的开发者还应为TCB提供安全策略模型以及TCB规约. 应提供证据证明访问监控器得到了正确的实施19LOGO. B类分为三个类别. 标记安全保护级（标记安全保护级（B1B1级）级）• B1级系统要求具有C2级系统的所有特性• 在此基础上，还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制• 并消除测试中发现的所有缺陷20LOGO. 结构化保护级（结构化保护级（B2B2级）级）• 在B2级系统中，TCB建立于一个明确定义并文档化形式化安全策略模型之上• 要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体• 在此基础上，应对隐蔽信道进行分析• TCB应结构化为关键保护元素和非关键保护元素• TCB接口必须明确定义• 其设计与实现应能够经受更充分的测试和更完善的审查• 鉴别机制应得到加强，提供可信设施管理以支持系统管理员和操作员的职能21LOGO. 安全区域保护级（安全区域保护级（B3B3级）级）• 在B3级系统中，TCB必须满足访问监控器需求• 访问监控器对所有主体对客体的访问进行仲裁• 访问监控器本身是抗篡改的• 访问监控器足够小• 访问监控器能够分析和测试• B3级系统支持:–安全管理员职能–扩充审计机制–当发生与安全相关的事件时，发出信号22LOGOA类保护等级类保护等级. A类为验证保护级. A类的特点是使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息. 为证明TCB满足设计、开发及实现等各个方面的安全要求，系统应提供丰富的文档信息23LOGO. 验证设计级（A1级）•A1级系统在功能上和B3级系统是相同的，没有增加体系结构特性和策略要求•最显著的特点是，要求用形式化设计规范和验证方法来对系统进行分析，确保TCB按设计要求实现•从本质上说，这种保证是发展的，它从一个安全策略的形式化模型和设计的形式化高层规约（FTLS）开始24LOGO针对A1级系统设计验证，有5种独立于特定规约语言或验证方法的重要准则： 安全策略的形式化模型必须得到明确标识并文档化，提供该模型与其公理一致以及能够对安全策略提供足够支持的数学证明 应提供形式化的高层规约，包括TCB功能的抽象定义、用于隔离执行域的硬件/固件机制的抽象定义 应通过形式化的技术和非形式化的技术证明TCB的形式化高层规约（FTLS）与模型是一致的 通过非形式化的方法证明TCB的实现与FTLS是一致的。

应证明FTLS的元素与TCB的元素是一致的，FTLS应表达用于满足安全策略的一致的保护机制，这些保护机制的元素应映射到TCB的要素 应使用形式化的方法标识并分析隐蔽信道，非形式化的方法可以用来标识时间隐蔽信道，必须对系统中存在的隐蔽信道进行解释25LOGO. A1级系统要求建立系统安全分发的程序支持系统安全管理员的职能SystemA1级系统要求26LOGO. TCSEC缺陷集中考虑数据保密性，而忽略了数据完整性、系统可用性等；将安全功能和安全保证混在一起；安全功能规定得过为严格，不便于实际开发和测评27LOGO信息技术安全评估准则（信息技术安全评估准则（ITSEC））. 1991年由欧盟四国（法国、德国、芬兰、英国）联合发布. 将安全概念分为功能功能和功能评估功能评估两个部分. 功能准则在测定上分10级：▪ 1-5级对应于TCSEC的C1到B3▪ 6-10级添加了以下概念：• F-IN：数据和程序的完整性 • F-DC：数据通信保密性• F-AV：系统可用性• F-DI：数据通信完整性• F-DX：包括保密性和完整性的网络安全• E0：不能充分满足保证• E1：功能测试• E2：数字化测试• E3：数字化测试分析. 评估准则分为7级：• E4：半形式化分析• E5：形式化分析• E6：形式化验证28LOGO. ITSEC与TCSEC的不同◘ 安全被定义为保密性、完整性、可用性◘ 功能和保证分开◘ 对产品和系统的评估都适用，提出评估对象（TOE）的概念• 产品：能够被集成在不同系统中的软件或硬件包；• 系统：具有一定用途、处于给定操作环境的特殊安全装置。

29LOGO可信计算机产品评估准则可信计算机产品评估准则（（CTCPEC））. 1993年加拿大发布，转为政府需求而设计. 与ITSEC类似，将安全分为功能性需求和保证性需要两部分 机密性  完整性  可用性  可控性. 功能性要求分为四个大类：. 每种安全需求又可以分成很多小类，来表示安全性上的差别，分级条数30LOGO美国联邦准则（美国联邦准则（FC））. 1993年公布，对TCSEC的升级. FC引入了“保护轮廓”（PP）的重要概念. 每个轮廓都包括功能、开发保证和评价三部分. 分级方式与TCSEC不同，吸取了ITSEC和CTCPEC中的优点. 供美国政府用、商用和民用31LOGO通用准则（通用准则（CC））. CC是国际标准化组织统一现有多种准则的结果，是目前最全面的评价准则；. 1996年6月，CC1.0版发布；1998年5月，CC2.0版发布；1999年10月CC v2.1版发布，并且成为ISO标准ISO/IEC 15408；. 主要思想和框架都取自ITSEC和FC；32LOGO. CC包含三个部分：第一部分：简介和一般模型介绍CC中的有关术语、基本概念和一般模型以及评估有关的一些框架。

第二部分：安全功能要求按“类-族-组件”方式提出了安全功能要求第三部分：安全保证要求定义了评估保证级别，介绍了PP和ST的评估，并按“类-族-组件”方式提出了安全保证要求33LOGO. CC的价值▪ 通过评估有助于增强用户对于IT产品的安全信心▪ 促进IT产品和系统的安全性▪ 消除重复的评估34LOGOCC关键概念关键概念安全目标评估对象包包保护轮廓组件组件安全目标ST：保 评 组 护 估 件 轮 对 c o廓 象 m P T p O P o ：n E e： nt包―P 用 P 于 是 安 满 全 足 性 特 评 定 估 用 的 户 信 需 息 求 技 、 术 与 产 一 品 类 ，T O系 E 统 实 或 现 子 无 系 关 统 的 ， 一 如 组 防 安 火 全 要―描ST述 是 一 作 组 为 特 指 定 定 的 的 安T O全 E 要 评 求 估 ， 基 可 础 供 的 P 一 P ,组S T安 或 全 包 要 选 求 取 和 的 规 最 范 小 安 S 全 T―组件依据某一特定关系组合在一起就构成包.构建包的目的求 墙 。

产 其 品 包 、 括 计 的 算 主 机 要 网 内 络 容 、 有 密 ： 码 需 模 要 块 保 等 护 ， 的 以 对 及 象 相 、 关 确 的 定 管 安 理 全 员 环 指 境 、要 是 求 开 集 发 合 者 ， 、 即 评 将 估 传 者 统 、 的 用 安 户 全 在 要TO求 E分 安 成 全 不 性 能 和 再 评 分 估 的 范 构 围 件 之 块 间 .达成是定义那些公认有用的,对满足某一特定安全目的有效的安T 南 O 、 E用 的 户 安 指 全 南 目 、 的 设 、 计 信 方 息 案 技 等 术 文 安 档 全 要 求 、 基 本 原 理 、 附 加 的 补一致的基础充说明信息等全要求.35LOGO. CC功能要求和保证要求的类-族-组件结构―类：类：用于安全要求的最高层次归档一个类中所有成员关注同一个安全焦点，但覆盖的安全目的范围不同―族：族：类的成员称为族，是若干组安全要求的组合，这些要求共享同样的安全目的，但在侧重点和严格性上有所区别―组件：组件：族的成员称为组件一个组件描述一组特定的安全要求，是CC结构中安全要求的最小可选集合。

36LOGO. GB/T 18336按“类-族-组件”层次结构定义的安全功能要求和安全保安全功能要求：11个功能类-66个族-135个组件证要求• 安全审计• 通信• 标识和鉴别• 安全管理• 私密性• 资源利用• TOE访问• 可信路径/信道• 密码支持• 用户数据保护 • TSF保护安全保证要求：PP和ST评估2个保证类，7个评估保证类和1个保证维护类• 配置管理• 保护轮廓评估 • 交付和运行 • 测试• 安全目标评估 • 开发 • 脆弱性评定• 指导性文档• 生命周期支持• 保证维护37LOGO安全功能要求类安全功能要求类. FAU类：安全审计. 安全审计包括识别,记录,存储和分析与安全行为有关的信息. 审计记录的检查结果用来判断发生了哪些安全行为及哪个用户要对该行为负责. 该类由定义如何选择审计事件、产生审计数据、查阅和分析审计结果、对审计到的安全事件自动响应及存储和保护审计结果等方面要求的子类组成38LOGO. FCO类：通信. 由两个子类组成，分别专门用以确保在数据交换中参与方的身份，包括发起者身份和接收者 既确保发起者不能否认发送过信息，又确保收信者不能否认收到过信息。

39LOGO. FCS类:密码支持. 在产品或系统含有密码功能时适用. 在标识与鉴别,抗抵赖,可信路径,可信信道和数据分离等方面将涉及密码功能,这些功能可用硬件,固件或软件来实现.. 组成该类的两个子类包含密钥的使用和管理方面的要求.40LOGO. FDP类:用户数据保护. 是一个较大的类,规定了与保护用户数据相关的所有安全功能要求和策略. 所包含的13个子类涉及到产品或系统内用户数据的输入,输出和存储以及与之相关的一些安全属性.41LOGO. FIA类:标识和鉴别. 授权用户的无歧异标识以及安全属性与用户,主体的正确关联是实施预定安全策略的关键. 标识和鉴别类提出了用户身份的确定和验证,确定它们与TOE交互的授权以及每个授权用户安全属性的正确关联等三方面的安全要求.对用户的正确标识和鉴别,是其他类如用户数据保护,安全审计等有效实施的基础.42LOGO. FMT类: 安全管理. 规定了安全属性,数据和功能三方面的管理,并定义了不同的管理角色及其相互作用,如权利分割原则,该类覆盖了所有其他功能类的管理活动.43LOGO. FPR类:私密性. 要求为用户提供其身份不被其他用户发现或滥用的保护。

该类有匿名，假名，不可关联性，不可观察性4个子类组成44LOGO. FRT类:TSF保护. TSF指TOE安全功能，侧重于保护TSF数据，而不是用户数据. 该类包括16个子类，这些子类与TSF机制和数据的完整性和管理有关，对保护TOE安全策略不被篡改和旁路是必需的45LOGO. FRU类:资源利用. 规定了三个子类以支持所需资源的可用性诸如处理能力或存储能力 容错子类为防止由产品或系统故障引起的上述资源不可用而提供保护. 服务优先级子类确保资源将被分配到更重要的和时间要求更苛刻的任务中，而且不能被优先级低的任务所独占. 资源分配子类提供可用资源的使用限制，以防止用户 独占资源46LOGO. FTA类:TOE访问. 规定了用以控制建立用户会话的一些功能要求，是对标识和鉴别类安全要求的进一步补充完善. 该类负责管理用户会话范围和连接数限定，访问历史显示和访问参数修改等方面47LOGO. FTP类:可信路径/信道. 规定了关于用户和TSF之间可信通信路径，以及TSF和其他可信IT产品之间可信通信信道的要求 可信路径由TSF间通信的可信信道构成，为用户提供了一种通过有保证地与TSF直接交互来执行安全功能的手段。

用户或TSF都可发起可信路径的交换，且所有经过可信路径的数据都受到适48LOGO安全保证类安全保证类. 1、 PP和ST评估类. PP和ST是评估TOE及其功能和保证要求的基础，因此在评估TOE之前要证明PP和ST对TOE评估而言是否适用49LOGO. APE类:保护轮廓评估. PP评估的目的是论证PP的完备，一致及技术上的合理,只有通过评估的PP才能作为ST开发的基础. 该类相当于规范了对产品或系统标准的评审. 评估过的PP可进一步到权威机构注册并对外公布，目前ISO正在开发有关PP的注册标准. 该类提出了TOE描述，安全环境，安全目的和安全要求等方面的评估要求50LOGO. ASE类:安全目标评估. ST评估的目的是论证ST是完备的，一致的和在技术上合理的,因而可以作为相应TOE评估的基础. 该类提出了TOE描述，安全环境，安全目的，任何PP声明，安全要求和TOE概要规范等方面的评估要求51LOGO. 2、 评估保证类. 主要内容是7个评估保证类，分别就开发、配置管理、测试、脆弱性评定、交付和运行、生命周期支持、指导性文档等方面提出保证要求，确保安全功能在TOE的整个生命周期中正确有效地实施。

这些保证类是定义评估保证级的基础，是具体的TOE评估依据和准则52LOGOCC保证族细目分类和对应表保证族细目分类和对应表保证类保证类保证族保证族保证类保证类保证族保证族CM自动化CM能力开发安全ACM类：配置管理缺陷纠正生命周期定义工具和技术覆盖ALC类：生命周期支持CM范围交付ADO类：交付和运行ADV类：开发安装、生成和启动功能规范高层设计实现表示TSF内部深度ATE类：测试功能测试独立测试隐蔽信道分析误用底层设计表示对应性安全策略模型管理员指南用户指南AVA类：脆弱性评定TOE安全功能强度脆弱性分析AGD类：指导性文档53LOGO. ACM类:配置管理. 通过跟踪TOE的任何变化,确保所有修改都已授权,以保证OTE的完整性.特别是通过配置管理确保用于评估的TOE和相关文档正是预先所准备的那一份.该类包括配置管理能力,范围及其自动化三方面的要求.54LOGO. ADO类:交付和运行. 规定了TOE交付,安装,生成和启动方面的措施,程序和标准,以确保TOE所提供的安全保护在这些关键过程中不被泄漏.55LOGO. ADV类:开发. 主要涉及将ST中定义的TOE概要规范细化为具体的TSF实现,以及安全要求到最低级别表示间的映射两方面,包含功能规范,高层设计,实现表示,TSF内部,低层设计,表示对应性,安全策略模型等子类.56LOGO. AGD类:指导性文档. 规定了用户,管理员指南编写方面的要求.为帮助管理员和用户正确安全地操作和使用TOE,相应的指南中应描述所有TOE安全应用方面的内容.57LOGO. ALC类:生命周期支持. 即在TOE开发和维护阶段,对相关过程进一步细化并建立相应的控制规则,以确保TOE与其安全要求之间的符合性.该类包括生命周期定义,工具和技术,开发环境的安全和TOE用户所发现缺陷的纠正等4个方面的要求.58LOGO. ATE类:测试. 关心的是TOE是否满足其安全功能要求,不管TOE是否仅具有规定的功能.该类提出了开发者功能测试及其规范,深度以及第三方独立性测试等要求.59LOGO. AVA类:脆弱性评定. 定义了与识别可利用的脆弱性有关的安全要求,这些脆弱性可能在开发,集成,运行,使用和配置时进入TOE.因此,可通过分析隐蔽信道,分析TOE配置,检查安全功能实现机制的强度和标识以及TOE开发时信息流的导入等手段,来识别所有可进一步开发利用的脆弱性.60LOGO. 3 、保证维护类. 目的是确保TOE或其环境发生变化时,还能够继续满足安全目标.对保证进行维护的一种方法时再次评估TOE,然而这将增加开销,执行起来也不现实.. 在GB/T 18226中通过AMA类定义一整套要求,确保有关保证都得到了维护,而不需要进行全面的再次评估.当然,AMA类也支持对TOE进行再次评估.61LOGO. AMA类:保证维护. 提出的要求须在TOE通过CC认证后才适用.这些要求旨在确保TOE或其环境变更后,继续满足安全目标. 该类有四个子类:保证维护计划,TOE组件分类报告,保证维护证据和安全影响分析.这些要求都是建立保证维护体系的关键模块.62LOGOCC安全等级安全等级. CC安全等级简称EAL，共分7级：• EAL7：形式化验证的设计和测试。

• EAL6：半形式化验证的设计和测试• EAL5：半形式化设计和测试• EAL4：系统的设计、测试和复查• EAL3：系统的测试和检查• EAL2：结构测试• EAL1：功能测试63LOGO. 评估保证级1(EAL1)—功能测试. EAL1适用于对正确运行需要一定信任的场合,但在该场合中对安全的威胁应视为并不严重;还适用于需要独立的保证来支持“认为在人员或信息的保护方面已经给予足够的重视”这一情形.. 该级依据一个规范的独立性测试和对所提供指导性稳当的检查来为用户评估TOE. 在这个级上,没有TOE开发者的帮助也64LOGO. 评估保证级2(EAL2)—结构测试. EAL2要求开发者递交设计信息和测试结果,但不需要开发者增加过多的费用或时间的投入. EAL2适用于以下这种情况：在缺乏现成可用的完整 的开发记录时，开发者或用户需要一种低到中等级别的独立保证的安全性,• 例如：对传统的保密系统进行评估或者不便于对开发者进行现场核查时.65LOGO. 评估保证级3(EAL3)—系统地测试和检查. 在不需要对现有的合理的开发规则进行实质性改进的情况下,EAL3可使开发者在设计阶段能从正确的安全工程中获得最大限度的保证. EAL3适用于以下这些情况:• 开发者或用户需要一个中等级别的独立保证的安全性,并在不带来大量的再构建费用的情况下,对TOE及其开发过程进行彻66LOGO. 评估保证级4(EAL4)—系统地设计,测试和复查:. 基于良好而严格的商业开发规则,在不额外增加大量专业知识,技巧和其它资源的情况下,开发者从正确的安全工程中所获得的保证级别最高可达到EAL4. EAL4适用于以下这种情况• 开发者或用户对传统的商品化的TOE需要一个中等到高等级别的独立保证的安全性,并准备负担额外的安全专用工程费用. 开展该级的评估,需要分析TOE模块的底层设计和实现的子集 在测试方面将67LOGO. 评估保证级5(EAL5)—半形式化设计和测试. 适当应用专业性的一些安全工程技术,并基于严格的商业开发实践,EAL5可使开发者从安全工程获得最大限度的保证. 若某个TOE要想达到EAL5要求,开发者需要在设计和开发方面下一定工夫,但如果具备相关的一些专业技术,也许额外的开销不会很大.68LOGO. 适用于以下这种情况:• 开发者和使用者在有计划的开发中,采用严格的开发手段,以获得一个高级别的独立保证的安全性需要,但不会因采用专业性安全工程技术而增加一些不合理的开销. 开展该级别的评估,需要分析所有的实现.还需要额外分析功能规范和高层设计的形式化模型和半形式化表示,及它们间对应性的半形式化论证.在对已知脆弱性的搜索方面,必须确保TOE可抵御中等攻击潜力的穿透性攻击者.还要69LOGO. 评估保证级6(EAL6)—半形式化验证的设计和测试. EAL6可使开发者通过把专业性安全工程技术应用到严格的开发环境中,而获得高级别的保证,以便生产一个昂贵的TOE来保护高价值的资产以对抗重大的风险.. EAL6适用于在高风险环境下的特定安全产品或系统的开发,且要保护的资源值得花费一些额外的人力,物力和财力.. 开展该级的评估,需分析设计的模块和层次化方法以及实现的机构化表示.在对已知脆弱性的独立搜索方面,必须确保TOE可抵御高等攻击潜力的穿透性攻击者.对隐藏信道的搜索必须是系统性的,且开发环境和配置管理的控制也应进一步增强.70LOGO. 评估保证级7(EAL7)—形式化验证的设计和测试. EAL7适用于一些安全性要求很高的TOE开发,这些TOE将应用在风险非常高的地方或者所保护的资产的价值很高的地方. 目前,该级别的TOE比较少,一方面是对安全功能全面的形式化分析难以实现,另一方面在实际应用中也很少有这类需求71LOGOCC评估过程评估过程1、编制反映用户需求的产品类型的保护轮廓(PP)ISO/IEC标准15408保护轮廓GB/T 18336.1- 操作系统 数据库系统18336.3访问控制访问控制鉴别鉴别审计审计 防火墙 智能卡 应用 生物技术 路由器 VPNCommon Criteria密码技术密码技术标准化的IT安全需求的目录（功能和保证）特定信息技术领域客户驱动的安全需求72LOGO2、产品厂商编制保护轮廓对应的具体安全产品的安全目标（ST）安全目标保护轮廓防火墙防火墙 XX防火墙 XX防火墙 XX防火墙 XX防火墙安全功能安全功能安全需求安全需求和保障和保障客户对特定信息技术领域向业界提出的IT安全需求语句厂商对他们产品的安全描述语句73LOGO3、通用准则测试实验室测试评估安全产品，得出测试报告。

IT产品安全功能安全功能和保障和保障通用准则通用准则测试实验室测试实验室测试测试报告报告厂商对IT产品提交进行安全评估测试报告提交给认证机构进行确认74LOGO4、通用准则认证机构确认测试报告，发放认证证书认证报认证报告告通用准则认证通用准则认证机构机构TMCommon Criteria证书证书75LOGO. CC标准的局限性. CC标准采用半形式化语言,比较难以理解. CC不包括那些与IT安全措施没有直接关联的,属于行政行管理安全措施的评估准则,即该标准并不关注于组织,人员,环境,设备,网络等方面的具体的安全措施. CC重点关注人为的威胁,对于其他威胁源没有考虑并不针对IT安全性的物76LOGO计算机信息系统安全计算机信息系统安全GB 17859-1999. GB/T 17859简况. 《中华人民共和国计算机信息系统安全保护条例》第九条明确规定，计算机信息系统实行安全等级保护. 公安部组织制订了《计算机信息系统安全保护等级划分准则》国家标准（GB/T 17859），于1999年9月13日由国家质量技术监督局审查通过并正式批准发布，于 2001年1月1日执行. 该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据，为安全产品的77LOGO涉及的关键术语涉及的关键术语. 计算机信息系统（Computer InformationSystem）― 是由计算机及其相关的和配套的设备、设施（含网络）构成，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

计算机信息系统可信计算机（Trusted ComputingBase of Computer Information System）― 计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体它建立了一个基本的保护环境并提供一个可信计算机系统所要求的附加用户服务78LOGO. 客体（Object）― 信息的载体 主体（Subject）― 引起信息在客体之间流动的人、进程和设备等 敏感标记（Sensitivity Label）― 表示客体安全级别并描述客体数据敏感性的一组信息，可信计算机中把敏感信息作为强制访问控制决策的依据 安全策略（Security Policy）― 有关管理、保护和发布敏感信息的法律、规定和实施细则79LOGO. 信道（Channel）― 系统内的信息传输路径 隐蔽信道（Covert Channel ）― 允许进程以危害系统安全策略的方式传输信息的通信信道 访问监控器（Reference Monitor）― 监控主体和客体之间授权访问关系的部件 可信信道（Trusted Channel ）― 为了执行关键的安全操作，在主体、客体和可信IT产品之间建立和维护的保护通信数据免遭修改和泄漏的通信路径。

客体重用（Object Reuse）― 在计算机信息系统可信计算机的空闲存储客体空间中，对客体初始制定、分配或再分配一个主体之前，撤销该客体所含信息的所有权当主体获得对一个已被释放的客体的访问权限时，当前主体不能获得原主体活动所产生的任何信息80LOGOGB/T 17859GB/T 17859等级划分等级划分《计算机信息系统安全保护等级划分准则》将信息系统划分为5个等级：访问验证保护级第五级结构化保护级第四级安全标记保护级第三级系统审计保护级第二级用户自主保护级第一级81LOGO第一级：用户自主保护级第一级：用户自主保护级. 计算机信息系统可信计算机通过隔离用户与数据，使用户具备自主安全保护的能力 它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏82LOGO. 本级考核指标要求：1）自主访问控制2）身份鉴别3）数据完整性83LOGO第二级：系统审计保护级第二级：系统审计保护级. 与用户自主保护级相比，计算机信息系统可信计算基实施了粒度更细的自主访问控制. 它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责84LOGO. 本级考核指标要求：1）自主访问控制2）身份鉴别3）客体重用4）审计5）数据完整性85LOGO第三级：安全标记保护级第三级：安全标记保护级. 计算机信息系统可信计算基具有系统审计保护级所有功能. 此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述. 具有准确地标记输出信息的能力. 消除通过测试发现的任何错误86LOGO. 本级考核指标要求：1）自主访问控制2）强制访问控制3）标记4）身份鉴别5）客体重用6）审计7）数据完整性87LOGO第四级：结构化保护级第四级：结构化保护级. 计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上. 要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体. 需要考虑隐蔽通道问题的情况. 计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素. 计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审. 加强了鉴别机制. 支持系统管理员和操作员的职能. 提供可信设施管理. 增强了配置管理控制. 系统具有相当的抗渗透能力88LOGO. 本级考核指标要求：1）自主访问控制2）强制访问控制3）标记4）身份鉴别5）客体重用6）审计7）数据完整性8）隐蔽信道分析9）可信路径89LOGO第五级：访问验证保护级第五级：访问验证保护级. 计算机信息系统可信计算基满足访问监控器需求. 访问监控器仲裁主体对客体的全部访问. 访问监控器本身是抗篡改的；必须足够小，能够分析和测试. 支持安全管理员职能. 扩充审计机制，当发生与安全相关的事件时发出信号. 提供系统恢复机制90LOGO. 本级考核指标要求：1）自主访问控制2）强制访问控制3）标记4）身份鉴别5）客体重用6）审计7）数据完整性8）隐蔽信道分析9）可信路径10）可信恢复91LOGO各信息安全评估级别对照表各信息安全评估级别对照表国际国际CC标准标准美国美国TCSEC欧洲欧洲ITSEC加拿大加拿大CTCPEC中国中国GB 17859—1999--D：低级保护E0：不能充分满 T0足保证--EAL1：功能测试EAL2：结构测试----T1T2--C1：自主安全保护E1：功能测试1：用户自主保护级EAL3：系统的测试和检查C2：受控访问保护E2：数字化测试 T32：系统审计保护级3：安全标记保护级4：结构化保护级5：访问验证保护级EAL4：系统的设计、测试和复查B1：标记安全保护E3：数字化测试 T4分析EAL5：半形式化设计和测试B2：结构化保护E4：半形式化分 T5析EAL6：半形式化验证的设计和测试B3：安全区域A1：验证设计E5：形式化分析 T6E6：形式化验证 T7EAL7：形式化验证的设计和测试--92LOGO小结小结. 信息安全评估标准的发展TCSECITSECCTCPECFCCCGB 1785993。