《安全評估標準》PPT課件.ppt

第十四章 安全評估標準,信管06-2 焦德磊 董昌賓,安全評估標準,信息技術(shù)安全評估準則發(fā)展過程 安全評估標準的發(fā)展歷程 TCSEC 通用準則CC 國內(nèi)的安全評估標準,安全評估標準最早起源于美國 20世紀60年代后期，1967年美國國防部（DOD）成立了一個研究組，針對當時計算機使用環(huán)境中的安全策略進行研究，其研究結(jié)果是“Defense Science Board report” 70年代的后期DOD對當時流行的操作系統(tǒng)KSOS，PSOS，KVM進行了安全方面的研究,信息技術(shù)安全評估準則發(fā)展過程,80年代后，美國國防部發(fā)布的“可信計算機系統(tǒng)評估準則（TCSEC）”（即桔皮書） 后來DOD又發(fā)布了可信數(shù)據(jù)庫解釋（TDI）、可信網(wǎng)絡(luò)解釋（TNI）等一系列相關(guān)的說明和指南 90年代初，英、法、德、荷等四國針對TCSEC準則的局限性，提出了包含保密性、完整性、可用性等概念的“信息技術(shù)安全評估準則”（ITSEC），定義了從E0級到E6級的七個安全等級,信息技術(shù)安全評估準則發(fā)展過程,加拿大1988年開始制訂The Canadian Trusted Computer Product Evaluation Criteria （CTCPEC） 1993年，美國對TCSEC作了補充和修改，制定了“組合的聯(lián)邦標準”（簡稱FC） 國際標準化組織（ISO）從1990年開始開發(fā)通用的國際標準評估準則,信息技術(shù)安全評估準則發(fā)展過程,在1993年6月，CTCPEC、FC、TCSEC和ITSEC的發(fā)起組織開始聯(lián)合起來，將各自獨立的準則組合成一個單一的、能被廣泛使用的IT安全準則 發(fā)起組織包括六國七方：加拿大、法國、德國、荷蘭、英國、美國NIST及美國NSA，他們的代表建立了CC編輯委員會（CCEB）來開發(fā)CC,信息技術(shù)安全評估準則發(fā)展過程,1996年1月完成CC1.0版 ,在1996年4月被ISO采納 1997年10月完成CC2.0的測試版 1998年5月發(fā)布CC2.0版 1999年12月ISO采納CC，并作為國際標準ISO 15408發(fā)布,安全評估標準的發(fā)展歷程,TCSEC,TCSEC的發(fā)布主要有三個目的： （1）為制造商提供一個安全標準，使他們在開發(fā)商業(yè)產(chǎn)品時加入相應的安全因素，為用戶提供廣泛可信的應用系統(tǒng)； （2）為國防部各部門提供一個度量標準，用來評估計算機系統(tǒng)或其他敏感信息的可信程度； （3）在分析、研究規(guī)范時，為制定安全需求提供基礎(chǔ)。,TCSEC,在TCSEC中，美國國防部按處理信息的等級和應采用的響應措施，將計算機安全從高到低分為：A、B、C、D四個等級八個級別，共27條評估準則 TCSEC從安全策略、可審計性、保證和文檔四個方面對不同安全級別的系統(tǒng)提出不同強度的要求，隨著安全等級的提高，系統(tǒng)的可信度隨之增加，風險逐漸減少。,TCSEC,四個安全等級： D類：無保護級 C類：自主保護級 B類：強制保護級 A類：驗證保護級,TCSEC,D類是最低保護等級，即無保護級 是為那些經(jīng)過評估，但不滿足較高評估等級要求的系統(tǒng)設(shè)計的，只具有一個級別。 該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息。,TCSEC,四個安全等級： 無保護級 自主保護級 強制保護級 驗證保護級,TCSEC,C類為自主保護級 具有一定的保護能力，主要通過身份認證、自主訪問控制和審計等安全措施來保護系統(tǒng)。 一般只適用于具有一定等級的多用戶環(huán)境 具有對主體責任及其動作審計的能力,TCSEC,C類分為C1和C2兩個級別: 自主安全保護級（C1級) 控制訪問保護級（C2級）,TCSEC,C1級通過隔離用戶與數(shù)據(jù)，滿足TCB自主安全要求，使用戶具備自主安全保護的能力 它具有多種形式的控制能力，對用戶實施訪問控制 為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞 C1級的系統(tǒng)適用于處理同一敏感級別數(shù)據(jù)的多用戶環(huán)境,TCSEC,C2級計算機系統(tǒng)比C1級具有更細粒度的自主訪問控制，細化到單個用戶而不是組 C2級通過注冊過程控制、審計安全相關(guān)事件以及資源隔離，使單個用戶為其行為負責,TCSEC,四個安全等級： 無保護級 自主保護級 強制保護級 驗證保護級,TCSEC,B類為強制保護級 主要要求是TCB應維護完整的安全標記，并在此基礎(chǔ)上執(zhí)行一系列強制訪問控制規(guī)則 B類系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)（客體）必須攜帶敏感標記 系統(tǒng)的開發(fā)者還應為TCB提供安全策略模型以及TCB規(guī)約 應提供證據(jù)證明訪問監(jiān)控器得到了正確的實施,TCSEC,B類分為三個類別： 標記安全保護級（B1級） 結(jié)構(gòu)化保護級（B2級） 安全區(qū)域保護級（B3級）,TCSEC,B1級系統(tǒng)要求具有C2級系統(tǒng)的所有特性并增加了標記、強制訪問控制、責任、審計和保證功能。 在此基礎(chǔ)上，還應提供安全策略模型的非形式化描述、數(shù)據(jù)標記以及命名主體和客體的強制訪問控制 并消除測試中發(fā)現(xiàn)的所有缺陷,TCSEC,B類分為三個類別： 標記安全保護級（B1級） 結(jié)構(gòu)化保護級（B2級） 安全區(qū)域保護級（B3級）,TCSEC,在B2級系統(tǒng)中，TCB建立于一個明確定義并文檔化形式化安全策略模型之上 要求將B1級系統(tǒng)中建立的自主和強制訪問控制擴展到所有的主體與客體 在此基礎(chǔ)上，應對隱蔽信道進行分析 TCB應結(jié)構(gòu)化為關(guān)鍵保護元素和非關(guān)鍵保護元素,TCSEC,TCB接口必須明確定義 其設(shè)計與實現(xiàn)應能夠經(jīng)受更充分的測試和更完善的審查 鑒別機制應得到加強，提供可信設(shè)施管理以支持系統(tǒng)管理員和操作員的職能 提供嚴格的配置管理控制 B2級系統(tǒng)應具備相當?shù)目節(jié)B透能力,TCSEC,B類分為三個類別： 標記安全保護級（B1級） 結(jié)構(gòu)化保護級（B2級） 安全區(qū)域保護級（B3級）,TCSEC,在B3級系統(tǒng)中，TCB必須滿足訪問監(jiān)控器需求 訪問監(jiān)控器對所有主體對客體的訪問進行仲裁 訪問監(jiān)控器本身是抗篡改的 訪問監(jiān)控器足夠小 訪問監(jiān)控器能夠分析和測試,TCSEC,為了滿足訪問控制器需求: 計算機信息系統(tǒng)可信計算基在構(gòu)造時，排除那些對實施安全策略來說并非必要的代碼 計算機信息系統(tǒng)可信計算基在設(shè)計和實現(xiàn)時，從系統(tǒng)工程角度將其復雜性降低到最小程度,TCSEC,B3級系統(tǒng)支持: 安全管理員職能 擴充審計機制 當發(fā)生與安全相關(guān)的事件時，發(fā)出信號 提供系統(tǒng)恢復機制 系統(tǒng)具有很高的抗?jié)B透能力,TCSEC,四個安全等級： 無保護級 自主保護級 強制保護級 驗證保護級,TCSEC,A類為驗證保護級 A類的特點是使用形式化的安全驗證方法保證系統(tǒng)的自主，而且強制安全控制措施能夠有效地保護系統(tǒng)中存儲和處理的秘密信息或其他敏感信息 為證明TCB滿足設(shè)計、開發(fā)及實現(xiàn)等各個方面的安全要求以及采用形式化驗證方法，系統(tǒng)應提供豐富的文檔信息,TCSEC,A類分為兩個類別： 驗證設(shè)計級（A1級） 超A1級,TCSEC,A1級系統(tǒng)在功能上和B3級系統(tǒng)是相同的，沒有增加體系結(jié)構(gòu)特性和策略要求 最顯著的特點是，要求用形式化設(shè)計規(guī)范和驗證方法來對系統(tǒng)進行分析，確保TCB按設(shè)計要求實現(xiàn) 從本質(zhì)上說，這種保證是發(fā)展的，它從一個安全策略的形式化模型和設(shè)計的形式化高層規(guī)約（FTLS）開始,TCSEC,針對A1級系統(tǒng)設(shè)計驗證，有5種獨立于特定規(guī)約語言驗證方法的重要準則： 安全策略的形式化模型必須得到明確標識并文檔化，以提供該模型與其公理一致的、能夠?qū)Π踩呗蕴峁┳銐蛑С值臄?shù)學證明 應提供形式化的高層規(guī)約，包括TCB功能的抽象定義、用于隔離執(zhí)行域的硬件/固件機制的抽象定義,TCSEC,應通過形式化的技術(shù)（如果可能的話）和非形式化的技術(shù)證明TCB的形式化高層規(guī)約（FTLS）與模型一致 通過非形式化的方法證明TCB的實現(xiàn)（硬件、固件、軟件）與形式化的高層規(guī)約（FTLS）是一致的。應證明FTLS的元素與TCB的元素是一致的，F(xiàn)TLS應表達用于滿足安全策略的一致的保護機制，這些保護機制的元素應映射到TCB的要素,TCSEC,應使用形式化的方法標識并分析隱蔽信道，非形式化的方法可以用來標識時間隱蔽信道，必須對系統(tǒng)中存在的隱蔽信道進行解釋,TCSEC,A1級系統(tǒng): 要求更嚴格的配置管理 要求建立系統(tǒng)安全分發(fā)的程序 支持系統(tǒng)安全管理員的職能,TCSEC,A類分為兩個類別： 驗證設(shè)計級（A1級） 超A1級,TCSEC,超A1級在A1級基礎(chǔ)上增加的許多安全措施，超出了目前的技術(shù)發(fā)展 隨著更多、更好的分析技術(shù)的出現(xiàn)，本級系統(tǒng)的要求才會變的更加明確 今后，形式化的驗證方法將應用到源碼一級，并且時間隱蔽信道將得到全面的分析 超A1級系統(tǒng)設(shè)計的范圍包括系統(tǒng)體系結(jié)構(gòu)、安全測試、形式化規(guī)約與驗證、可信設(shè)計環(huán)境等,TCSEC,在這一級，設(shè)計環(huán)境將變的更重要 形式化高層規(guī)約的分析將對測試提供幫助 TCB開發(fā)中使用的工具的正確性及TCB運行的軟硬件功能的正確性將得到更多的關(guān)注,通用準則CC,CC作為國際標準，對信息系統(tǒng)的安全功能、安全保障給出了分類描述，并綜合考慮信息系統(tǒng)的資產(chǎn)價值、威脅等因素后，對被評估對象提出了安全需求（保護輪廓PP）及安全實現(xiàn)（安全目標ST）等方面的評估。,通用準則CC,CC的范圍 : CC重點考慮認為的信息威脅，無論是有意的還是無意的。CC也可用于非人為因素導致的威脅 CC適用于硬件、固件和軟件實現(xiàn)的信息技術(shù)安全措施 某些內(nèi)容因涉及特殊專業(yè)技術(shù)或僅是信息技術(shù)安全的外圍技術(shù)不在CC的范圍內(nèi),通用準則CC,CC包括三個部分: 第一部分：簡介和一般模型 介紹CC的一般概念和格式，描述CC的結(jié)構(gòu)和適用范圍，描述安全功能、保證需求的定義并給出保護輪廓PP和安全目標ST 第二部分：安全功能要求 為用戶和開發(fā)者提供一系列安全功能組件,通用準則CC,第三部分：安全保證要求 為開發(fā)者提供一系列安全保證組件,同時提出七個評估保證級別(Evaluation Assurance Levels:EALs）,通用準則CC,安全保證要求部分提出了七個評估保證級別（Evaluation Assurance Levels：EALs）分別是： EAL1：功能測試 EAL2：結(jié)構(gòu)測試 EAL3：系統(tǒng)測試和檢查 EAL4：系統(tǒng)設(shè)計、測試和復查 EAL5：半形式化設(shè)計和測試 EAL6：半形式化驗證的設(shè)計和測試 EAL7：形式化驗證的設(shè)計和測試,通用準則CC,使用通用評估方法學可以提供結(jié)果的可重復性和客觀性 許多評估準則需要使用專家判斷和一定的背景知識 為了增強評估結(jié)果的一致性，最終的評估結(jié)果應提交給一個認證過程，該過程是一個針對評估結(jié)果的獨立的檢查過程，并生成最終的證書或正式批文,評估上下文,評估準則 （通用準則）,評估方法學,評估方案,最終評估 結(jié)果,評估,批準/證明,證書表/ （注冊）,通用準則CC,通用準則CC,CC的一般模型 一般安全上下文 TOE評估 CC安全概念,通用準則CC,一般安全上下文 CC認為，安全就是保護資產(chǎn)不受威脅，威脅可依據(jù)濫用被保護資產(chǎn)的可能性進行分類 所有的威脅類型都應該考慮到 在安全領(lǐng)域內(nèi)，被高度重視的威脅是和人們的惡意攻擊及其他人類活動密切聯(lián)系的,通用準則CC,安全概念和關(guān)系,通用準則CC,安全性損壞一般包括但又不僅僅包括以下幾項： 資產(chǎn)破壞性地暴露于未授權(quán)的接收者（失去保密性） 資產(chǎn)由于未授權(quán)的更改而損壞（失去完整性） 授權(quán)用戶無法訪問資產(chǎn)（失去可用性）,通用準則CC,資產(chǎn)所有者必須分析可能的威脅并確定哪些存在于他們的環(huán)境中，從而導致風險。這種分析有助于選擇對策，把風險降低到一個可接受的水平。 對策用以（直接或間接地）減少脆弱性，并滿足資產(chǎn)所有者的安全策略。 在將資產(chǎn)暴露于特定威脅之前，所有者需要確信其對策足以應付所面臨的威脅。所有者自身可能沒有能力判斷對策的所有方面，但可以尋求對策的評估。,通用準則CC,評估概念和關(guān)系,通用準則CC,TOE評估 TOE 評 估 過 程,通用準則CC,TOE評估過程的主要輸入內(nèi)容有： 一系列TOE證據(jù)，包括評估過的ST作為TOE評估的基礎(chǔ) 需要評估的TOE 評估準則、方法和方案 另外，說明性材料（例如CC的使用說明書）和評估者及評估組織的IT安全專業(yè)知識也常常是評估過程的輸入內(nèi)容。,通用準則CC,評估過程通過兩種途徑改進安全產(chǎn)品： 首先，評估過程能發(fā)現(xiàn)開發(fā)者可以糾正的TOE錯誤或弱點，從而減少將來操作中安全失效的可能性 其次，為了通過嚴格的評估，開發(fā)者在TOE設(shè)計和開發(fā)時也將更加細心 總之，評估過程對最初需求、開發(fā)過程、最終產(chǎn)品以及操作環(huán)境都將產(chǎn)生積極的影響,通用準則CC,CC安全概念 只有在IT環(huán)境中考慮IT組件保護資產(chǎn)的能力時，CC才是可用的 為了表明資產(chǎn)是安全的，必須在各個層面考慮安全性，包括從最抽象到最終的IT實現(xiàn) CC要求在某層次上的表述包含在該層次上TOE描述的基本原理。也就是說，這個層次必須包含合情合理、令人信服的論據(jù)，表示它與更高層次是一致的，而且它自己也是全面的、正確的、內(nèi)部一致的。,通用準則CC,CC將表述分成不同的層次： 安全環(huán)境 安全目的 IT安全要求 TOE概要規(guī)范,通用準則CC,安全環(huán)境 安全環(huán)境包括所有相關(guān)的法規(guī)、組織性安全策略、習慣、專門技術(shù)和知識 它定義了TOE使用的上下文，安全環(huán)境也包括環(huán)境里出現(xiàn)的安全威脅,通用準則CC,為建立安全環(huán)境，必須考慮以下幾點： TOE物理環(huán)境，指所有的與TOE安全相關(guān)的TOE運行環(huán)境，包括已知的物理和人事的安全安排 需要根據(jù)安全策略由TOE的元素實施保護的資產(chǎn)。包括可直接相關(guān)的資產(chǎn)（如文件和數(shù)據(jù)庫）和間接受安全要求支配的資產(chǎn)（如授權(quán)憑證和IT實現(xiàn)本身） TOE目的，說明產(chǎn)品類型和可能的TOE用途,通用準則CC,安全目的 安全環(huán)境的分析結(jié)果被用來闡明對抗已標識的威脅、說明組織性安全策略和假設(shè)的安全目的 安全目的和已說明的TOE運行目標或產(chǎn)品目標以及有關(guān)的物理環(huán)境知識一致 確定安全目的的意圖是為了闡明所有的安全考慮并指出哪些安全方面的問題是直接由TOE還是由它的環(huán)境來處理 環(huán)境安全目的將在IT領(lǐng)域內(nèi)用非技術(shù)上的或程序化的手段來實現(xiàn),通用準則CC,IT安全需求 IT安全需求只涉及TOE安全目的和它的IT環(huán)境 IT安全要求是將安全目的細化為一系列TOE及其環(huán)境的安全要求，一旦這些要求得到滿足，就可以保證TOE達到它的安全目的 通過選擇合理的安全功能，可以確保達到一定的安全目的，這種保證來源于以下兩個因素： 1）對安全功能正確實現(xiàn)的信任，也就是評估他們是否被正確實現(xiàn) 2）對安全功能有效性的信任，也就是評估他們是否確實滿足所陳述的安全目的,通用準則CC,TOE概要規(guī)范 ST中提供的TOE概要規(guī)范定義TOE安全要求的實現(xiàn)方法，它提供了分別滿足功能需求和保證需求的安全功能和保證措施的高層定義,通用準則CC,CC定義了一系列與已知有效的安全要求集合相結(jié)合的概念，該概念可被用來為預期的產(chǎn)品和系統(tǒng)建立安全需求 CC安全要求以類族組件這種層次方式組織，以幫助用戶定位特定的安全要求 對功能和保證方面的要求，CC使用相同的風格、組織方式和術(shù)語。,通用準則CC,CC中安全要求的描述方法： 類：類是最通用安全要求的組合，類的所有的成員關(guān)注共同的安全焦點，但覆蓋不同的安全目的 族：類的成員被稱為族。族是若干組安全要求的組合，這些要求有共同的安全目的，但在側(cè)重點和嚴格性上有所區(qū)別 組件：族的成員被稱為組件。組件描述一組特定的安全要求集，它是CC定義的結(jié)構(gòu)中所包含的最小的可選安全要求集,通用準則CC,組件由單個元素組成，元素是安全需求最低層次的表達，并且是能被評估驗證的不可分割的安全要求 族內(nèi)具有相同目標的組件可以以安全要求強度（或能力）逐步增加的順序排列，也可以部分地按相關(guān)非層次集合的方式組織,通用準則CC,組件間的依賴 組件間可能存在依賴關(guān)系 依賴關(guān)系可以存在于功能組件之間、保證組件之間以及功能和保證組件之間 組件間依賴關(guān)系描述是CC組件定義的一部分,通用準則CC,組建允許的操作 可以通過使用組件允許的操作，對組件進行裁剪 每一個CC組件標識并定義組件允許的“賦值”和“選擇”操作、在哪些情況下可對組件使用這些操作，以及使用這些操作的后果 任何一個組件均允許“反復”和“細化”操作,通用準則CC,這四個操作如下所述： 反復：在不同操作時，允許組件多次使用 賦值：當組件被應用時，允許規(guī)定所賦予的參數(shù) 選擇：允許從組件給出的列表中選定若干項 細化：當組件被應用時，允許對組件增加細節(jié),通用準則CC,CC中安全需求的描述方法: 包:組件的中間組合被稱為包。 包允許對功能或保證需求集合的描述，這個集合能夠滿足一個安全目標的可標識子集 包可重復使用，可用來定義那些公認有用的、能夠有效滿足特定安全目標的要求 包可用在構(gòu)造更大的包、PP和ST中,通用準則CC,保護輪廓(PP): PP是關(guān)于一系列滿足一個安全目標集的TOE的、與實現(xiàn)無關(guān)的描述 PP包含一套來自CC（或明確闡述）的安全要求，它應包括一個評估保證級別（EAL） PP可反復使用，還可用來定義那些公認有用的、能夠有效滿足特定安全目標的TOE要求 PP包括安全目的和安全要求的基本原理 PP的開發(fā)者可以是用戶團體、IT產(chǎn)品開發(fā)者或其它對定義這樣一系列通用要求有興趣的團體,通用準則CC,保 護 輪 廓 PP 描 述 結(jié) 構(gòu),通用準則CC,安全目標(ST)：ST是針對特定TOE安全要求的描述，通過評估可以證明這些安全要求對滿足指定目的是有用和有效的 安全目標(ST)包括一系列安全要求，這些要求可以引用PP，也可以直接引用CC中的功能或保證組件，或明確說明 一個ST包含TOE的概要規(guī)范，安全要求和目的，以及它們的基本原理 ST是所有團體間就TOE應提供什么樣的安全性達成一致的基礎(chǔ),通用準則CC,安全目標描述結(jié)構(gòu),通用準則CC,CC框架下的評估類型 PP評估 ST評估 TOE評估,通用準則CC, PP評估 PP評估是依照CC第3部分的PP評估準則進行的。 評估的目標是為了證明PP是完備的、一致的、技術(shù)合理的，而且適合于作為一個可評估TOE的安全要求的聲明,通用準則CC, ST評估 針對TOE的ST評估是依照CC第3部分的ST評估準則進行的 ST評估具有雙重目標： 首先是為了證明ST是完備的、一致的、技術(shù)合理的，而且適合于用作相應TOE評估的基礎(chǔ) 其次，當某一ST宣稱與某一PP一致時，證明ST滿足該PP的要求,通用準則CC, TOE評估 TOE評估是使用一個已經(jīng)評估過的ST作為基礎(chǔ)，依照CC第3部分的評估準則進行的 評估的目標是為了證明TOE滿足ST中的安全要求,通用準則CC,三種評估的關(guān)系,通用準則CC,CC安全要求 CC的第二部分是安全功能要求，對滿足安全需求的諸安全功能提出了詳細的要求 另外，如果有超出第二部分的安全功能要求，開發(fā)者可以根據(jù)“類-族-組件-元素”的描述結(jié)構(gòu)表達其安全要求，并附加在其ST中,通用準則CC,CC共包含的11個安全功能類，如下： FAU類：安全審計 FCO類：通信 FCS類：密碼支持 FDP類：用戶數(shù)據(jù)保護 FIA類：標識與鑒別 FMT類：安全管理 FPR類：隱秘 FPT類：TFS保護 FAU類：資源利用 FTA類：TOE訪問 FTP類：可信信道/路徑,通用準則CC,CC的第三部分是評估方法部分，提出了PP、ST、TOE三種評估，共包括10個類，但其中的APE類與ASE類分別介紹了PP與ST的描述結(jié)構(gòu)及評估準則 維護類提出了保證評估過的受測系統(tǒng)或產(chǎn)品運行于所獲得的安全級別上的要求 只有七個安全保證類是TOE的評估類別,通用準則CC,七個安全保證類 ACM類：配置管理 ADO類：分發(fā)與操作 ADV類：開發(fā) AGD類：指導性文檔 ALC類：生命周期支持 ATE類：測試 AVA類：脆弱性評定,通用準則CC,CC認可協(xié)議 1998年1月，經(jīng)過兩年的密切協(xié)商，來自美國、加拿大、法國、德國以及英國的政府組織簽訂了歷史性的安全評估互認協(xié)議：IT安全領(lǐng)域內(nèi)CC認可協(xié)議 根據(jù)該協(xié)議，在協(xié)議簽署國范圍內(nèi)，在某個國家進行的基于CC的安全評估將在其他國家內(nèi)得到承認,通用準則CC,截止2003年3月，加入該協(xié)議的國家共有十五個：澳大利亞、新西蘭、加拿大、芬蘭、法國、德國、希臘、以色列、意大利、荷蘭、挪威、西班牙、瑞典、英國及美國,通用準則CC,該協(xié)議的參與者在這個領(lǐng)域內(nèi)有共同的目的即： 確保IT產(chǎn)品及保護輪廓的評估遵循一致的標準，為這些產(chǎn)品及保護輪廓的安全提供足夠的信心。 在國際范圍內(nèi)提高那些經(jīng)過評估的、安全增強的IT產(chǎn)品及保護輪廓的可用性。 消除IT產(chǎn)品及保護輪廓的重復評估，改進安全評估的效率及成本效果，改進IT產(chǎn)品及保護輪廓的證明/確認過程,通用準則CC,美國NSA內(nèi)部的可信產(chǎn)品評估計劃（TPEP）以及可信技術(shù)評價計劃（TTAP）最初根據(jù)TCSEC進行產(chǎn)品的評估，但從1999年2月1日起，這些計劃將不再接收基于TCSEC的新的評估。此后這些計劃接受的任何新的產(chǎn)品都必須根據(jù)CC的要求進行評估。到2001年底，所有已經(jīng)經(jīng)過TCSEC評估的產(chǎn)品，其評估結(jié)果或者過時，或者轉(zhuǎn)換為CC評估等級。,通用準則CC,NSA已經(jīng)將TCSEC對操作系統(tǒng)的C2和B1級要求轉(zhuǎn)換為基于CC的要求（或PP）， NSA正在將TCSEC的B2和B3級要求轉(zhuǎn)換成基于CC的保護輪廓，但對TCSEC中的A1級要求不作轉(zhuǎn)換。 TCSEC的可信網(wǎng)絡(luò)解釋（TNI）在使用范圍上受到了限制，已經(jīng)不能廣泛適用于目前的網(wǎng)絡(luò)技術(shù)，因此，NSA目前不計劃提交與TNI相應的PP,通用準則CC,國內(nèi)的安全評估標準,為提高我國計算機信息系統(tǒng)安全保護水平，1999年9月國家質(zhì)量技術(shù)監(jiān)督局發(fā)布了國家標準 GB17859-1999計算機信息安全保護等級劃分準則，它是建立安全等級保護制度、實施安全等級管理的重要基礎(chǔ)性標準。該標準是我國計算機信息系統(tǒng)保護等級系列標準的第一部分，其他數(shù)十個相關(guān)標準的制訂工作還正在緊張進行。該標準的制定參照了美國的TCSEC。,國內(nèi)的安全評估標準,TCB安全模型,國內(nèi)的安全評估標準,信 息 系 統(tǒng) 安 全 等 級 劃 分 遞 進 關(guān) 系,國內(nèi)的安全評估標準,該標準共分為五級與美國TCSEC標準的對應 關(guān)系如下： 第一級：用戶自主保護級C1級 第二級：系統(tǒng)審計保