計(jì)算機(jī)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)簡(jiǎn)介

1、第11章 計(jì)算機(jī)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)簡(jiǎn)介 重點(diǎn)和難點(diǎn) 美國(guó)的可信任的計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則 國(guó)際的通用準(zhǔn)則 中國(guó)的計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 掌握 國(guó)際通用準(zhǔn)則和我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則的基本內(nèi)涵 了解 計(jì)算機(jī)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的形成過程 美國(guó)的可信任的計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則 信息安全保證技術(shù)框架所涉及的基本內(nèi)容11.1 計(jì)算機(jī)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的形成 在20世紀(jì)60年代，美國(guó)國(guó)防部成立了專門機(jī)構(gòu)，開始研究計(jì)算機(jī)使用環(huán)境中的安全策略問題，70年代又在KSOS、PSOS和KVM操作系統(tǒng)上展開了進(jìn)一步的研究工作，80年代，美國(guó)國(guó)防部發(fā)布了“可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則”（TCSEC，Trusted Compu

2、ter System Evaluation Criteria），簡(jiǎn)稱桔皮書，后經(jīng)修改用作了美國(guó)國(guó)防部的標(biāo)準(zhǔn)，并相繼發(fā)布了可信數(shù)據(jù)庫解釋（TDI）、可信網(wǎng)絡(luò)解釋（TNI）等一系列相關(guān)的說明和指南。 1991年，英、法、德、荷四國(guó)針對(duì)TCSEC準(zhǔn)則的局限性，提出了包含保密性、完整性、可用性等概念的歐洲“信息技術(shù)安全評(píng)估準(zhǔn)則”（ITSEC，Information Technology Security Evaluation Criteria ）。 1988年，加拿大開始制訂“加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則”（CTCPEC，The Canadian Trusted Computer Product Ev

3、aluation Criteria ）。該標(biāo)準(zhǔn)將安全需求分為機(jī)密性、完整性、可靠性和可說明性四個(gè)層次。 1993年，美國(guó)對(duì)TCSEC作了補(bǔ)充和修改，制定了“組合的聯(lián)邦標(biāo)準(zhǔn)”（簡(jiǎn)稱FC）。 1990年，國(guó)際標(biāo)準(zhǔn)化組織（ISO）開始開發(fā)通用的國(guó)際標(biāo)準(zhǔn)評(píng)估準(zhǔn)則。 1993年，由加拿大、法國(guó)、德國(guó)、荷蘭、英國(guó)、美國(guó)NIST和美國(guó)NSA六國(guó)七方聯(lián)合開始開發(fā)通用準(zhǔn)則CC（Information Technology Security Common Criteria）。1996年1月發(fā)布CC1.0版，1996年4月被ISO采納，1997年10月完成CC2.0的測(cè)試版，1998年5月發(fā)布CC2.0版。 199

4、9年12月ISO采納CC通用標(biāo)準(zhǔn)，并正式發(fā)布國(guó)際標(biāo)準(zhǔn)ISO 15408。11.2 國(guó)外計(jì)算機(jī)網(wǎng)絡(luò)安全標(biāo)準(zhǔn) TCSEC按處理信息的等級(jí)和所采用的響應(yīng)措施，將計(jì)算機(jī)系統(tǒng)安全等級(jí)從低到高分成D、C、B、A四大類八個(gè)級(jí)別，共27條評(píng)估準(zhǔn)則（參見表11.1）。 1D類無保護(hù)級(jí) 這是最低保護(hù)等級(jí)。該類是為那些經(jīng)過評(píng)估，但不滿足較高評(píng)估等級(jí)要求的系統(tǒng)設(shè)計(jì)的。11.2.1可信任的計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）簡(jiǎn)介 類 別等 級(jí)安全功能D類無保護(hù)級(jí)無保護(hù)級(jí)很少保護(hù)措施，無安全功能C類自主保護(hù)級(jí)自主安全保護(hù)級(jí)（C1級(jí)）隔離用戶和數(shù)據(jù)，實(shí)施用戶訪問控制，保護(hù)用戶和用戶組數(shù)據(jù)信息?？刂圃L問保護(hù)級(jí)（C2級(jí)）除C1功能

5、外，增加注冊(cè)過程控制、相關(guān)事件審計(jì)和資源隔離功能。B類強(qiáng)制保護(hù)級(jí)標(biāo)記安全保護(hù)級(jí)（B1級(jí)）除C2功能外，提供安全策略模型、數(shù)據(jù)標(biāo)記和強(qiáng)制訪問控制功能。結(jié)構(gòu)化保護(hù)級(jí)（B2級(jí)）除B1功能外，提供合理的可測(cè)試和審查的系統(tǒng)總體設(shè)計(jì)方案、鑒別機(jī)制，對(duì)所有主體與客體進(jìn)行訪問控制，對(duì)隱蔽信道進(jìn)行分析，提供一定的抗?jié)B透能力。安全區(qū)域保護(hù)級(jí)（B3級(jí)）除B2功能外，優(yōu)化系統(tǒng)總體設(shè)計(jì)方案，擴(kuò)充審計(jì)機(jī)制和系統(tǒng)恢復(fù)機(jī)制，提供安全警報(bào)和高抗?jié)B透能力。A類驗(yàn)證保護(hù)級(jí)驗(yàn)證設(shè)計(jì)級(jí)（A1級(jí)）在安全功能上，A1級(jí)系統(tǒng)與B3級(jí)系統(tǒng)相同，其突出特點(diǎn)是：采用形式化設(shè)計(jì)規(guī)范和驗(yàn)證方法分析系統(tǒng)。超A1級(jí)在A1級(jí)基礎(chǔ)上進(jìn)行擴(kuò)展安全范疇，已超出了

6、目前技術(shù)的發(fā)展。表11.1 可信任的計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC） 2C類自主保護(hù)等級(jí) 該類采用自主訪問控制和審計(jì)跟蹤等措施實(shí)現(xiàn)一定的自主保護(hù)功能，具有對(duì)主體責(zé)任及其動(dòng)作審計(jì)的能力。C類系統(tǒng)一般只適用于具有一定等級(jí)的多用戶環(huán)境。 該類從低到高又分為C1級(jí)和C2級(jí)。 1）C1級(jí)自主安全保護(hù)級(jí) C1級(jí)TCB通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力 ；它具有多種形式的控制能力，對(duì)用戶實(shí)施訪問控制；為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對(duì)數(shù)據(jù)的非法讀寫與破壞；C1級(jí)的系統(tǒng)適用于處理同一敏感級(jí)別數(shù)據(jù)的多用戶環(huán)境。 2）C2級(jí)控制訪問保護(hù)級(jí) C2級(jí)計(jì)算機(jī)系統(tǒng)比C1級(jí)具有更細(xì)粒度

7、的自主訪問控制；C2級(jí)通過注冊(cè)過程控制、審計(jì)安全相關(guān)事件以及資源隔離，使單個(gè)用戶為其行為負(fù)責(zé)。 3B類強(qiáng)制保護(hù)等級(jí) 該類采用安全標(biāo)記和強(qiáng)制訪問控制等措施實(shí)現(xiàn)強(qiáng)制保護(hù)功能，主要要求TCB能維護(hù)完整的安全標(biāo)記，并在此基礎(chǔ)上執(zhí)行一系列強(qiáng)制訪問控制規(guī)則。B類系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標(biāo)記；系統(tǒng)的開發(fā)者還應(yīng)為TCB提供安全策略模型以及TCB規(guī)約；應(yīng)提供證據(jù)證明訪問監(jiān)控器得到了正確的實(shí)施。 該類從低到高又分為B1級(jí)、B2級(jí)和B3級(jí)。 1）B1級(jí)標(biāo)記安全保護(hù)級(jí) B1級(jí)要求具有C2級(jí)系統(tǒng)的所有特性；在此基礎(chǔ)上，還應(yīng)提供安全策略模型的非形式化描述、數(shù)據(jù)標(biāo)記以及命名主體和客體的強(qiáng)制訪問控制；并消除測(cè)試中發(fā)現(xiàn)

8、的所有缺陷。 2）B2級(jí)結(jié)構(gòu)化保護(hù)級(jí) B2級(jí)中的TCB建立于一個(gè)明確定義并文檔化和形式化安全策略模型之上，要求將B1級(jí)系統(tǒng)中建立的自主和強(qiáng)制訪問控制擴(kuò)展到所有的主體與客體，并對(duì)隱蔽信道進(jìn)行分析。 TCB應(yīng)結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素，明確定義TCB接口。TCB的設(shè)計(jì)與實(shí)現(xiàn)應(yīng)能夠經(jīng)受更充分的測(cè)試和更完善的審查，增強(qiáng)鑒別機(jī)制功能，提供可信設(shè)施管理以支持系統(tǒng)管理員和操作員的職能，提供嚴(yán)格的配置管理控制。 3）B3級(jí)安全區(qū)域保護(hù)級(jí) B3級(jí)中的TCB必須滿足訪問監(jiān)控器的需求，在構(gòu)造TCB時(shí)，排除那些對(duì)實(shí)施安全策略來說并非必要的代碼，在設(shè)計(jì)和實(shí)現(xiàn)TCB時(shí)，從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度。訪

9、問監(jiān)控器本身是抗篡改的、足夠小、可分析和測(cè)試，應(yīng)用它對(duì)所有主體對(duì)客體的訪問進(jìn)行仲裁。 B3級(jí)系統(tǒng)支持安全管理員職能、擴(kuò)充審計(jì)機(jī)制和系統(tǒng)恢復(fù)機(jī)制，當(dāng)發(fā)生與安全相關(guān)的事件時(shí)，系統(tǒng)能發(fā)出信號(hào)。B3級(jí)系統(tǒng)具有很高的抗?jié)B透能力。 4A類驗(yàn)證保護(hù)等級(jí) 這是最高保護(hù)等級(jí)。A類系統(tǒng)的特點(diǎn)是使用形式化的安全驗(yàn)證方法，保證系統(tǒng)的自主和強(qiáng)制安全控制措施能夠有效地保護(hù)系統(tǒng)中存儲(chǔ)和處理的秘密信息或其他敏感信息。系統(tǒng)提供豐富的文檔信息用以證明TCB滿足設(shè)計(jì)、開發(fā)及實(shí)現(xiàn)等各個(gè)方面的安全要求。 該類從低到高細(xì)分為A1級(jí)和超A1級(jí)。 1）A1級(jí)驗(yàn)證設(shè)計(jì)級(jí) A1級(jí)系統(tǒng)在功能上和B3級(jí)系統(tǒng)是相同的，沒有增加體系結(jié)構(gòu)特性和策略要求。

10、其突出特點(diǎn)是，要求用形式化設(shè)計(jì)規(guī)范和驗(yàn)證方法來對(duì)系統(tǒng)進(jìn)行分析，確保TCB按設(shè)計(jì)要求實(shí)現(xiàn)。 A1級(jí)系統(tǒng)要求更嚴(yán)格的配置管理；要求建立系統(tǒng)安全分發(fā)的程序；支持系統(tǒng)安全管理員的職能。 2）超A1級(jí) 超A1級(jí)是在A1級(jí)基礎(chǔ)上增加了許多超出目前技術(shù)發(fā)展的安全措施。 超A1級(jí)系統(tǒng)涉及的主要范圍包括：系統(tǒng)體系結(jié)構(gòu)、安全測(cè)試、形式化規(guī)約與驗(yàn)證和可信設(shè)計(jì)環(huán)境等。11.2.2 通用準(zhǔn)則CC簡(jiǎn)介 CC主要包括簡(jiǎn)介和一般模型、安全功能要求以及安全保證要求三個(gè)部分。在安全保證要求部分提出了七個(gè)評(píng)估保證級(jí)別（Evaluation Assurance Levels：EALs），從低到高依次為EAL1、EAL2、EAL3、E

11、AL4、EAL5、EAL6和EAL7。 通用準(zhǔn)則CC僅適用于硬件、固件和軟件實(shí)現(xiàn)的信息技術(shù)安全措施。 1CC中的基本概念和評(píng)估方法 （1）評(píng)估過程 CC的評(píng)估依據(jù)是通用評(píng)估方法學(xué)、評(píng)估方案和CC評(píng)估準(zhǔn)則。使用通用評(píng)估方法學(xué)可以提供結(jié)果的可重復(fù)性和客觀性；使用評(píng)估方案和評(píng)估準(zhǔn)則可以提供結(jié)果的準(zhǔn)確性和一致性。 （2）安全概念 所謂安全就是保護(hù)資產(chǎn)不受威脅，威脅可依據(jù)濫用被保護(hù)資產(chǎn)的可能性進(jìn)行分類，所有的威脅類型都應(yīng)該被考慮到。在安全領(lǐng)域內(nèi)，被高度重視的威脅是和人們的惡意攻擊及其它與人類活動(dòng)相聯(lián)系的行為。 安全性損壞是指失去保密性、失去完整性和失去可用性。失去保密性是指資產(chǎn)破壞性地暴露于未授權(quán)的接收

12、者；失去完整性是指資產(chǎn)由于未授權(quán)的更改而損壞；失去可用性是指資產(chǎn)訪問權(quán)被未授權(quán)的獲得等。 （3）安全環(huán)境 安全環(huán)境包括所有相關(guān)的法規(guī)、組織性安全策略、習(xí)慣、專門技術(shù)和知識(shí)，它定義了TOE使用的上下文。安全環(huán)境也包括環(huán)境里出現(xiàn)的安全威脅。 為建立安全環(huán)境，必須考慮以下幾點(diǎn)： 1）TOE物理環(huán)境：指所有的與TOE安全相關(guān)的TOE運(yùn)行環(huán)境，包括已知的物理和人事的安全安排。 2）安全目的：安全環(huán)境的分析結(jié)果被用來闡明對(duì)抗已標(biāo)識(shí)的威脅、說明組織性安全策略和假設(shè)的安全目的；安全目的和已說明的TOE運(yùn)行目標(biāo)或產(chǎn)品目標(biāo)以及有關(guān)的物理環(huán)境知識(shí)一致。 3）IT安全要求：IT安全要求是將安全目的細(xì)化為一系列TOE及

13、其環(huán)境的安全要求。 4）TOE概要規(guī)范：ST中提供的TOE概要規(guī)范定義TOE安全要求的實(shí)現(xiàn)方法。 （4）安全要求的描述方法 安全要求是按“類族組件元素”的描述結(jié)構(gòu)表達(dá)的，并附加在其ST中。 1）類：類被用作最通用安全要求的組合，類的所有的成員關(guān)注共同的安全焦點(diǎn)，但所覆蓋安全目的是不同的。 2）族：類的成員被稱為族。 3）組件：族的成員被稱為組件。組件描述一組特定的安全要求集。 4）元素：組件由單個(gè)元素組成，元素是安全需求最低層次的表達(dá)，并且是能被評(píng)估驗(yàn)證的不可分割的安全要求。 （5）安全需求的描述方法 1）包：組件的中間組合被稱為包。包允許對(duì)功能或保證需求集合的描述，這個(gè)集合能夠滿足一個(gè)安全目

14、標(biāo)的可標(biāo)識(shí)子集；包可重復(fù)使用，可用來定義那些公認(rèn)有用的、能夠有效滿足特定安全目標(biāo)的要求。 2）保護(hù)輪廓(PP)：PP是關(guān)于一系列滿足一個(gè)安全目標(biāo)集的TOE的、與實(shí)現(xiàn)無關(guān)的描述。PP包含一套來自CC（或明確闡述）的安全要求，它應(yīng)包括一個(gè)評(píng)估保證級(jí)別（EAL）；PP包括安全目的和安全要求的基本原理；PP的開發(fā)者可以是用戶團(tuán)體、IT產(chǎn)品開發(fā)者或其它對(duì)定義這樣一系列通用要求有興趣的團(tuán)體。IT環(huán)境安全要求PP應(yīng)用注解PP標(biāo)識(shí)PP概述假設(shè)威脅組織性安全策略TOE安全目的環(huán)境安全目的安全目的基本原理安全要求基本原理TOE安全功能要求TOE安全保證要求保護(hù)輪廓PP引言TOE描述TOE安全環(huán)境安全目的IT安全要

15、求基本原理TOE安全要求圖11.2 保護(hù)輪廓PP的描述結(jié)構(gòu) 3）安全目標(biāo)(ST)：ST是針對(duì)特定TOE安全要求的描述，通過評(píng)估可以證明這些安全要求對(duì)滿足指定目的是有用和有效的。圖11.4 PP、ST和TOE三種評(píng)估的關(guān)系評(píng)估PP評(píng)估TOEPP分類評(píng)估ST證書分類PP評(píng)估結(jié)果TOE評(píng)估結(jié)果ST評(píng)估結(jié)果已評(píng)估過的TOE （6）評(píng)估類型 CC框架下的評(píng)估類型有PP評(píng)估、ST評(píng)估和TOE評(píng)估三種，其關(guān)系如圖11.4所示。 1）PP評(píng)估：PP評(píng)估是依照CC第3部分的PP評(píng)估準(zhǔn)則進(jìn)行的。其目標(biāo)是為了證明PP是完備的、一致的、技術(shù)合理的，而且適合于作為一個(gè)可評(píng)估TOE的安全要求的聲明。 2）ST評(píng)估：針對(duì)T

16、OE的ST評(píng)估是依照CC第3部分的ST評(píng)估準(zhǔn)則進(jìn)行的。 3）TOE評(píng)估：TOE評(píng)估是使用一個(gè)已經(jīng)評(píng)估過的ST作為基礎(chǔ)，依照CC第3部分的評(píng)估準(zhǔn)則進(jìn)行的。其目標(biāo)是為了證明TOE滿足ST中的安全要求。 2TOE的評(píng)估過程（如圖11.5所示） （PP與ST） 安全需求開發(fā)TOETOE和評(píng)估評(píng)估TOE評(píng)估結(jié)果操作TOE評(píng)估方案評(píng)估方法評(píng)估準(zhǔn)則反饋圖11.5 TOE的評(píng)估過程示意圖 3CC的安全功能要求 CC中提出了11類安全功能，并給出了詳細(xì)說明和具體要求。對(duì)于超出CC定義范圍的安全功能，提出了描述規(guī)范，開發(fā)者可以根據(jù)“類-族-組件-元素”的描述結(jié)構(gòu)表達(dá)其安全要求，并附加在其ST中。 CC給出的11類

17、安全功能如下： 1）FAU類（安全審計(jì)）。 2）FCO類（通信）。 3）FCS類（密碼支持）。 4）FDP類（用戶數(shù)據(jù)保護(hù)）。 5）FIA類（標(biāo)識(shí)與鑒別）。 6）FMT類（安全管理）。 7）FPR類（隱秘）。 8）FPT類（TFS保護(hù)）。 9）FAU類（資源利用）。10）FTA類（TOE訪問）。 11）FTP類（可信信道/路徑）。 4CC的安全保證要求 CC中提出了PP、ST、TOE三種評(píng)估方法、七個(gè)評(píng)估保證級(jí)別和10個(gè)安全保證類，其中，APE類與ASE類分別介紹了PP與ST的描述結(jié)構(gòu)及評(píng)估準(zhǔn)則，維護(hù)類提出了保證評(píng)估過的受測(cè)系統(tǒng)或產(chǎn)品運(yùn)行于所獲得的安全級(jí)別上的要求，只有七個(gè)安全保證類是TOE的

18、評(píng)估類別，這七個(gè)安全保證類分別是： 1）ACM類（配置管理）。 2）ADO類（分發(fā)與操作）。 3）ADV類（開發(fā)）。 4）AGD類（指導(dǎo)性文檔）。 5）ALC類（生命周期支持）。 6）ATE類（測(cè)試）。 7）AVA類（脆弱性評(píng)定）。11.3 國(guó)內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)安全標(biāo)準(zhǔn) 我國(guó)政府提出計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，并于1999年頒布了國(guó)家標(biāo)準(zhǔn)GB17859-1999，即計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（以下簡(jiǎn)稱準(zhǔn)則）。它是我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)工作的基礎(chǔ)。其相關(guān)技術(shù)標(biāo)準(zhǔn)還包括： 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求（GA 388-2002） 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求（GA

19、391-2002） 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求（GA/T 387-2002） 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求（GA/T 389-2002） 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求（GA/T 390-2002）。11.3.1 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 準(zhǔn)則中規(guī)定的計(jì)算機(jī)系統(tǒng)安全保護(hù)等級(jí)從低到高依次為：用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)和訪問驗(yàn)證保護(hù)級(jí)五個(gè)保護(hù)級(jí)別。 （1）用戶自主保護(hù)級(jí) 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基（TCB）通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。它具有多種形式的控制能力，對(duì)用戶實(shí)施訪問控制，即為用戶提供可行

20、的手段，保護(hù)用戶和用戶組信息，避免其他用戶對(duì)數(shù)據(jù)的非法讀寫與破壞。 （2）系統(tǒng)審計(jì)保護(hù)級(jí) 與用戶自主保護(hù)級(jí)相比，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基實(shí)施了粒度更細(xì)的自主訪問控制。 （3）安全標(biāo)記保護(hù)級(jí) 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基具有系統(tǒng)審計(jì)保護(hù)級(jí)所有功能。提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對(duì)客體強(qiáng)制訪問控制的非形式化描述，具有準(zhǔn)確地標(biāo)記輸出信息的能力和消除通過測(cè)試發(fā)現(xiàn)的任何錯(cuò)誤。 （4）結(jié)構(gòu)化保護(hù)級(jí) 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基建立于一個(gè)明確定義的形式化安全策略模型之上。 （5）訪問驗(yàn)證保護(hù)級(jí) 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基滿足訪問監(jiān)控器需求，訪問監(jiān)控器仲裁主體對(duì)客體的全部訪問，訪問監(jiān)控器本身是抗篡改的、必須足夠

21、小、能夠分析和測(cè)試，支持安全管理員職能，擴(kuò)充審計(jì)機(jī)制，當(dāng)發(fā)生與安全相關(guān)的事件時(shí)發(fā)出信號(hào)，提供系統(tǒng)恢復(fù)機(jī)制，系統(tǒng)具有很高的抗?jié)B透能力。 ISOCC標(biāo)準(zhǔn)美國(guó)TCSEC歐洲ITSEC加拿大CTCPEC中國(guó)GB17859-1999D：最小保護(hù)E0T0EAL1：功能測(cè)試T1EAL2：結(jié)構(gòu)測(cè)試C1：任意安全保護(hù)E1T21：用戶自主保護(hù)級(jí)EAL3：系統(tǒng)測(cè)試和檢查C2：控制存取保護(hù)E2T32：系統(tǒng)審計(jì)保護(hù)級(jí)EAL4：系統(tǒng)設(shè)計(jì)、測(cè)試和復(fù)查B1：標(biāo)識(shí)安全保護(hù)E3T43：安全標(biāo)記保護(hù)級(jí)EAL5：半形式化設(shè)計(jì)和測(cè)試B2：結(jié)構(gòu)保護(hù)E4T54：結(jié)構(gòu)化保護(hù)級(jí)EAL6：半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試B3：安全域E6T65：訪問驗(yàn)證

22、保護(hù)級(jí)EAL7：形式化驗(yàn)證的設(shè)計(jì)和測(cè)試A1：驗(yàn)證設(shè)計(jì)E7T7表11.2 國(guó)家標(biāo)準(zhǔn)與國(guó)外標(biāo)準(zhǔn)的對(duì)比11.3.2 信息系統(tǒng)安全等級(jí)保護(hù)應(yīng)用概要 1計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求 通用技術(shù)要求共分6個(gè)部分，前3個(gè)部分主要介紹了通用技術(shù)要求的應(yīng)用范圍、規(guī)范性引用文件、以及術(shù)語和定義。 第4部分是安全功能技術(shù)要求。在這里，對(duì)計(jì)算機(jī)信息系統(tǒng)安全功能的實(shí)現(xiàn)進(jìn)行了完整的描述，并對(duì)實(shí)現(xiàn)這些安全功能所涉及的所有因素做了較為全面的說明。 安全功能包括物理安全、運(yùn)行安全和信息安全三個(gè)方面。 物理安全也稱實(shí)體安全，是指包括環(huán)境設(shè)備和記錄介質(zhì)在內(nèi)的所有支持信息系統(tǒng)運(yùn)行的硬件的安全，它是一個(gè)信息系統(tǒng)安全運(yùn)行的基礎(chǔ)。

23、計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的實(shí)體安全包括環(huán)境安全、設(shè)備安全和介質(zhì)安全。 運(yùn)行安全是指在物理安全得到保障的前提下，為確保計(jì)算機(jī)信息系統(tǒng)不間斷運(yùn)行而采取的各種檢測(cè)、監(jiān)控、審計(jì)、分析、備份及容錯(cuò)等方法和措施。 信息安全是指在計(jì)算機(jī)信息系統(tǒng)運(yùn)行安全得到保證的前提下，對(duì)在計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、傳輸和處理的信息進(jìn)行有效的保護(hù)，使其不因人為的或自然的原因被泄露、篡改和破壞。 第5部分是安全保證技術(shù)要求。為了確保所要求的安全功能達(dá)到所確定的安全目標(biāo)，必須從TCB自身安全保護(hù)、TCB設(shè)計(jì)和TCB安全管理三個(gè)方面保證安全功能從設(shè)計(jì)、實(shí)現(xiàn)到運(yùn)行管理等各個(gè)環(huán)節(jié)嚴(yán)格按照所規(guī)定的要求進(jìn)行。 TCB自身安全保護(hù)是指：一方面提供與T

24、SF機(jī)制的完整性和管理有關(guān)的保護(hù)，另一方面提供與TSF數(shù)據(jù)的完整性有關(guān)的保護(hù) 。它可能采用與對(duì)用戶數(shù)據(jù)安全保護(hù)相同的安全策略和機(jī)制，但其所要實(shí)現(xiàn)的目標(biāo)是不同的。前者是為了自身更健壯，從而使其所提供的安全功能更有保證；后者則是為了實(shí)現(xiàn)其直接所提供的安全功能。 第6部分是安全保護(hù)等級(jí)劃分要求。安全功能主要說明一個(gè)計(jì)算機(jī)信息系統(tǒng)所實(shí)現(xiàn)的安全策略和安全機(jī)制符合哪一等級(jí)的功能要求；安全保證則是通過一定的方法保證計(jì)算機(jī)信息系統(tǒng)所提供的安全功能確實(shí)達(dá)到了確定的功能要求和強(qiáng)度 。安全功能要求從物理安全、運(yùn)行安全和信息安全三個(gè)方面對(duì)一個(gè)安全的計(jì)算機(jī)信息系統(tǒng)所應(yīng)提供的與安全有關(guān)的功能進(jìn)行描述。安全保證要求則分別從

25、TCB自身安全、TCB的設(shè)計(jì)和實(shí)現(xiàn)和TCB安全管理三個(gè)方面進(jìn)行描述。 2計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求 網(wǎng)絡(luò)技術(shù)要求共分7個(gè)部分，前3個(gè)部分主要介紹了網(wǎng)絡(luò)技術(shù)要求的應(yīng)用范圍、規(guī)范性引用文件、以及術(shù)語和定義。 第4部分是概述，主要描述了一般性要求、安全等級(jí)劃分、主體和客體、TCB、引起信息流動(dòng)的方式、密碼技術(shù)和安全網(wǎng)絡(luò)系統(tǒng)的實(shí)現(xiàn)方法。 第5部分是網(wǎng)絡(luò)的基本安全技術(shù)，在這里，對(duì)各種安全要素的策略、機(jī)制、功能、用戶屬性定義、安全管理和技術(shù)要求等做了具體的說明。主要描述了自主訪問控制、強(qiáng)制訪問控制、標(biāo)記、用戶身份鑒別、剩余信息保護(hù)、安全審計(jì)、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑、可信恢復(fù)、抗抵賴

26、和密碼支持等內(nèi)容。 第6部分是網(wǎng)絡(luò)安全技術(shù)要求，主要從對(duì)網(wǎng)絡(luò)系統(tǒng)的安全等級(jí)進(jìn)行劃分的角度來說明不同安全等級(jí)在安全功能方面的特定技術(shù)要求。 第7部分是網(wǎng)絡(luò)安全等級(jí)保護(hù)技術(shù)要求，主要針對(duì)七層網(wǎng)絡(luò)體系結(jié)構(gòu)中的每一層，介紹了各個(gè)網(wǎng)絡(luò)安全等級(jí)的具體要求，以及每個(gè)等級(jí)中對(duì)各個(gè)安全要素的具體要求。同時(shí)針對(duì)每個(gè)安全等級(jí)，介紹了在網(wǎng)絡(luò)體系結(jié)構(gòu)中的每層的具體要求，以及每層中對(duì)各個(gè)安全要素的具體要求。 根據(jù)ISO/OSI的七層體系結(jié)構(gòu)，網(wǎng)絡(luò)安全機(jī)制在各層的分布如下： 1）物理層：數(shù)據(jù)流加密機(jī)制。 2）數(shù)據(jù)鏈路層：數(shù)據(jù)加密機(jī)制。 3）網(wǎng)絡(luò)層：身份認(rèn)證機(jī)制，訪問控制機(jī)制，數(shù)據(jù)加密機(jī)制，路由控制機(jī)制，一致性檢查機(jī)制。 4）傳輸層：身份認(rèn)證機(jī)制，訪問控制機(jī)制，數(shù)據(jù)加密機(jī)制。 5）會(huì)話層：身份認(rèn)證機(jī)制，訪問控制機(jī)制，數(shù)據(jù)加密機(jī)制，數(shù)字簽名機(jī)制，交換認(rèn)證（抗抵賴）機(jī)制。 6）表示層：身份認(rèn)證機(jī)制，訪問控制機(jī)制，數(shù)據(jù)加密機(jī)制，數(shù)字簽名機(jī)制，交換認(rèn)證（抗抵賴）機(jī)制。 7）應(yīng)用層：身份認(rèn)證機(jī)制，訪問控制機(jī)制，數(shù)據(jù)加密機(jī)制，數(shù)字簽名機(jī)制，交換認(rèn)證（抗抵賴）機(jī)制，業(yè)務(wù)流分析機(jī)制。 網(wǎng)絡(luò)系統(tǒng)安全體系結(jié)構(gòu)是由物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層、以及應(yīng)用層信息系統(tǒng)所組成。11.4 信息安全保證技術(shù)框架（IATF）