信息安全標(biāo)準(zhǔn)

信息平安標(biāo)準(zhǔn)中國(guó)信息平安產(chǎn)品測(cè)評(píng)認(rèn)證中心〔CNITSEC〕CISP-信息平安標(biāo)準(zhǔn)〔培訓(xùn)稿〕主要內(nèi)容信息平安根底標(biāo)準(zhǔn)信息平安評(píng)估標(biāo)準(zhǔn)開(kāi)展史通用評(píng)估準(zhǔn)那么〔CC〕PP和ST產(chǎn)生指南標(biāo)準(zhǔn)化根底標(biāo)準(zhǔn)：標(biāo)準(zhǔn)是對(duì)重復(fù)性事物和概念所做的統(tǒng)一規(guī)定。它以科學(xué)、技術(shù)和實(shí)踐的綜合成果為根底，經(jīng)有關(guān)方面協(xié)商一致，由主管部門(mén)批準(zhǔn)，以特定的方式發(fā)布，作為共同遵守的準(zhǔn)那么和依據(jù)。強(qiáng)制性標(biāo)準(zhǔn)：保障人體健康、人身、財(cái)產(chǎn)平安的標(biāo)準(zhǔn)和法律、行政法規(guī)規(guī)定強(qiáng)制執(zhí)行的標(biāo)準(zhǔn)；其它標(biāo)準(zhǔn)是推薦性標(biāo)準(zhǔn)。我國(guó)標(biāo)準(zhǔn)分四級(jí)：國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)。國(guó)家標(biāo)準(zhǔn)：對(duì)需要在全國(guó)范圍內(nèi)統(tǒng)一的技術(shù)要求(含標(biāo)準(zhǔn)樣品的制作〕。GB/TXXXX.X-200XGBXXXX-200X行業(yè)標(biāo)準(zhǔn)：沒(méi)有國(guó)家標(biāo)準(zhǔn)，需要在全國(guó)某個(gè)行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求。GA,SJ地方標(biāo)準(zhǔn)：沒(méi)有國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)而又需要在省、自治區(qū)、直轄市范圍內(nèi)統(tǒng)一的工業(yè)產(chǎn)品的平安、衛(wèi)生要求。DBXX/TXXX-200XDBXX/XXX-200X企業(yè)標(biāo)準(zhǔn)：對(duì)企業(yè)范圍內(nèi)需要統(tǒng)一的技術(shù)要求、管理要求和工作要求。QXXX-XXX-200X標(biāo)準(zhǔn)化根底標(biāo)準(zhǔn)化根底標(biāo)準(zhǔn)化：為在一定的范圍內(nèi)獲得最正確秩序，對(duì)實(shí)際的或潛在的問(wèn)題制定共同的和重復(fù)使用的規(guī)那么的活動(dòng)實(shí)質(zhì)：通過(guò)制定、發(fā)布和實(shí)施標(biāo)準(zhǔn)，到達(dá)統(tǒng)一。目的：獲得最正確秩序和社會(huì)效益。標(biāo)準(zhǔn)化根底標(biāo)準(zhǔn)化三維空間國(guó)際級(jí)區(qū)域級(jí)國(guó)家級(jí)行業(yè)級(jí)地方級(jí)企業(yè)級(jí)人員效勞系統(tǒng)產(chǎn)品過(guò)程管理應(yīng)用技術(shù)機(jī)制體系、框架術(shù)語(yǔ)XYZX軸代表標(biāo)準(zhǔn)化對(duì)象，Y軸代表標(biāo)準(zhǔn)化的內(nèi)容，Z軸代表標(biāo)準(zhǔn)化的級(jí)別。

標(biāo)準(zhǔn)化根底我國(guó)通行“標(biāo)準(zhǔn)化八字原理〞：“統(tǒng)一〞原理“簡(jiǎn)化〞原理“協(xié)調(diào)〞原理“最優(yōu)〞化原理我國(guó)標(biāo)準(zhǔn)工作歸口單位2001年10月11日成立國(guó)家標(biāo)準(zhǔn)化委員會(huì)信息技術(shù)標(biāo)準(zhǔn)委員會(huì)數(shù)據(jù)加密技術(shù)標(biāo)準(zhǔn)委員會(huì)2002年4月15日成立信息平安技術(shù)標(biāo)準(zhǔn)委員會(huì)標(biāo)準(zhǔn)化根底采標(biāo)：等同采用idt〔identical〕：指技術(shù)內(nèi)容相同，沒(méi)有或僅有編輯性修改，編寫(xiě)方法完全相對(duì)應(yīng)；修改采用MOD〔modified〕：與國(guó)際標(biāo)準(zhǔn)之間存在技術(shù)性差異，有編輯性修改，可能不采用局部條款非等效采用NEQ〔notequivalent〕：指技術(shù)內(nèi)容有重大差異，只表示與國(guó)際標(biāo)準(zhǔn)有關(guān)。IT標(biāo)準(zhǔn)化IT標(biāo)準(zhǔn)開(kāi)展趨勢(shì)(1)標(biāo)準(zhǔn)逐步從技術(shù)驅(qū)動(dòng)向市場(chǎng)驅(qū)動(dòng)方向開(kāi)展。(2)信息技術(shù)標(biāo)準(zhǔn)化機(jī)構(gòu)由分散走向聯(lián)合。(3)信息技術(shù)標(biāo)準(zhǔn)化的內(nèi)容更加廣泛，重點(diǎn)更加突出，從IT技術(shù)領(lǐng)域向社會(huì)各個(gè)領(lǐng)域滲透，涉及教育、文化、醫(yī)療、交通、商務(wù)等廣泛領(lǐng)域，需求大量增加。(4)從技術(shù)角度看，IT標(biāo)準(zhǔn)化的重點(diǎn)將放在網(wǎng)絡(luò)接口、軟件接口、信息格式、平安等方面，并向著以技術(shù)中立為前提，保證互操作為目的方向開(kāi)展。信息平安標(biāo)準(zhǔn)化組織ISOJTC1SC27，信息技術(shù)-平安技術(shù)ISO/TC68銀行和有關(guān)的金融效勞SC2，平安管理和通用銀行運(yùn)作；SC4，平安及相關(guān)金融工具；SC6，零售金融效勞。JTC1其他分技術(shù)委員會(huì)：SC6—系統(tǒng)間通信與信息交換，主要開(kāi)發(fā)開(kāi)放系統(tǒng)互連下四層平安模型和平安協(xié)議，如ISO9160、ISO/IEC11557。SC17—識(shí)別卡和有關(guān)設(shè)備，主要開(kāi)發(fā)與識(shí)別卡有關(guān)的平安標(biāo)準(zhǔn)ISO7816SC18—文件處理及有關(guān)通信，主要開(kāi)發(fā)電子郵件、消息處理系統(tǒng)等。SC21—開(kāi)放系統(tǒng)互連，數(shù)據(jù)管理和開(kāi)放式分布處理，主要開(kāi)發(fā)開(kāi)放系統(tǒng)互連平安體系結(jié)構(gòu)，各種平安框架，高層平安模型等標(biāo)準(zhǔn)，如:ISO/IEC7498-2、ISO/IEC9594-1至8。SC22—程序語(yǔ)言，其環(huán)境及系統(tǒng)軟件接口，也開(kāi)發(fā)相應(yīng)的平安標(biāo)準(zhǔn)。SC30—開(kāi)放式電子數(shù)據(jù)交換，主要開(kāi)發(fā)電子數(shù)據(jù)交換的有關(guān)平安標(biāo)準(zhǔn)。如ISO9735-9、ISO9735-10。信息平安標(biāo)準(zhǔn)化組織〔續(xù)〕IECTC56可靠性；TC74IT設(shè)備平安和成效；TC77電磁兼容；CISPR無(wú)線電干擾特別委員會(huì)ITU前身是CCITT消息處理系統(tǒng)目錄系統(tǒng)(X.400系列、X.500系列)平安框架平安模型等標(biāo)準(zhǔn)信息平安標(biāo)準(zhǔn)化組織〔續(xù)〕IETF〔170多個(gè)RFC、12個(gè)工作組〕PGP開(kāi)發(fā)標(biāo)準(zhǔn)(openpgp)；鑒別防火墻遍歷(aft)；通用鑒別技術(shù)(cat)；域名效勞系統(tǒng)平安(dnssec)；IP平安協(xié)議(ipsec)；一次性口令鑒別(otp)；X.509公鑰根底設(shè)施(pkix)；S/MIME郵件平安(smime)；平安Shell(secsh)；簡(jiǎn)單公鑰根底設(shè)施(spki)；傳輸層平安(tls)Web處理平安(wts)信息平安標(biāo)準(zhǔn)化組織〔續(xù)〕美國(guó)ANSINCITS-T4制定IT平安技術(shù)標(biāo)準(zhǔn)X9制定金融業(yè)務(wù)標(biāo)準(zhǔn)X12制定商業(yè)交易標(biāo)準(zhǔn)NIST負(fù)責(zé)聯(lián)邦政府非密敏感信息FIPS-197DOD負(fù)責(zé)涉密信息NSA國(guó)防部指令〔DODDI〕〔如TCSEC〕信息平安標(biāo)準(zhǔn)化組織〔續(xù)〕IEEESILS〔LAN/WAN〕平安P1363公鑰密碼標(biāo)準(zhǔn)ECMA(歐洲計(jì)算機(jī)廠商協(xié)會(huì))TC32——“通信、網(wǎng)絡(luò)和系統(tǒng)互連〞曾定義了開(kāi)放系統(tǒng)應(yīng)用層平安結(jié)構(gòu)；TC36——“IT平安〞負(fù)責(zé)信息技術(shù)設(shè)備的平安標(biāo)準(zhǔn)。信息平安標(biāo)準(zhǔn)化組織〔續(xù)〕英國(guó)BS7799醫(yī)療衛(wèi)生信息系統(tǒng)平安加拿大計(jì)算機(jī)平安管理日本JIS國(guó)家標(biāo)準(zhǔn)JISC工業(yè)協(xié)會(huì)標(biāo)準(zhǔn)韓國(guó)KISA負(fù)責(zé)防火墻、IDS、PKI方面標(biāo)準(zhǔn)信息平安標(biāo)準(zhǔn)化組織〔續(xù)〕我國(guó)共38個(gè)標(biāo)準(zhǔn)4個(gè)產(chǎn)品標(biāo)準(zhǔn)其他工業(yè)標(biāo)準(zhǔn)SSLSETCDSAPGPPCT……例題標(biāo)準(zhǔn)采用中的“idt〞指的是？A.等效采用B.等同采用C.修改采用D.非等效采用著名的TCSEC是由下面哪個(gè)組織制定的？A.ISOB.IECC.CNITSECD.美國(guó)國(guó)防部2.信息平安根底標(biāo)準(zhǔn)詞匯安全體系結(jié)構(gòu)安全框架安全模型GB/T5271.8-2000信息技術(shù)詞匯第8部分：安全GB/T9387.2-1995開(kāi)放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)ISO/IEC10181-1~7開(kāi)放系統(tǒng)的安全框架GB/T17965高層安全模型GB/T18231低層安全模型ISO/IEC15443-1IT安全保障框架IATF信息保障技術(shù)框架ISO/IEC11586-1~6通用高層安全網(wǎng)絡(luò)層安全GJB2256-1994軍用計(jì)算機(jī)安全術(shù)語(yǔ)RFC2401因特網(wǎng)安全體系結(jié)構(gòu)ISO/IEC7498-4管理框架傳輸層安全基于OSI七層協(xié)議的

平安體系結(jié)構(gòu)

OSI參考模型7應(yīng)用層6表示層5會(huì)話層4傳輸層3網(wǎng)絡(luò)層2鏈路層1物理層安全機(jī)制公證路由選擇控制通信業(yè)務(wù)填充鑒別交換數(shù)據(jù)完整性訪問(wèn)控制數(shù)字簽名加密安全服務(wù)鑒別服務(wù)

訪問(wèn)控制數(shù)據(jù)完整性數(shù)據(jù)機(jī)密性抗抵賴五種平安效勞鑒別：提供對(duì)通信中的對(duì)等實(shí)體和數(shù)據(jù)來(lái)源的鑒別。訪問(wèn)控制：提供保護(hù)以對(duì)抗開(kāi)放系統(tǒng)互連可訪問(wèn)資源的非授權(quán)使用?？蓱?yīng)用于對(duì)資源的各種不同類(lèi)型的訪問(wèn)〔例如，使用通信資源，讀、寫(xiě)或刪除信息資源，處理資源的操作〕，或應(yīng)用于對(duì)某種資源的所有訪問(wèn)數(shù)據(jù)機(jī)密性：對(duì)數(shù)據(jù)提供保護(hù)使之不被非授權(quán)地泄露數(shù)據(jù)完整性：對(duì)付主動(dòng)威脅。在一次連接上，連接開(kāi)始時(shí)使用對(duì)某實(shí)體鑒別效勞，并在連接的存活期使用數(shù)據(jù)完整性效勞就能聯(lián)合起來(lái)為在此連接上傳送的所有數(shù)據(jù)單元的來(lái)源提供確證，為這些數(shù)據(jù)單元的完整性提供確證?？沟仲嚕嚎扇∮袛?shù)據(jù)原發(fā)證明的抗抵賴、有交付證明的抗抵賴兩種形式，或兩者之一。與網(wǎng)絡(luò)各層相關(guān)的OSI

平安效勞安全服務(wù)1234567對(duì)等實(shí)體鑒別數(shù)據(jù)源鑒別訪問(wèn)控制服務(wù)連接機(jī)密性無(wú)連接機(jī)密性選擇字段機(jī)密性流量機(jī)密性有恢復(fù)功能的連接完整性無(wú)恢復(fù)功能的連接完整性選擇字段連接完整性無(wú)連接完整性選擇字段非連接完整性源發(fā)方抗抵賴接收方抗抵賴－－－Y－－Y－－－－－－－－－－YY－－－－－－－－－YYYYY－Y－Y－Y－－－YYYYY－－YY－Y－－－－－－－－－－－－－－－－－－－－YYY－－－－－－－－

YYYYYYYYYYYYYYOSI平安效勞和平安

機(jī)制之間的關(guān)系安全服務(wù)加密數(shù)字簽名訪問(wèn)控制數(shù)據(jù)完整鑒別交換業(yè)務(wù)填塞路由控制公證對(duì)等實(shí)體鑒別數(shù)據(jù)源鑒別訪問(wèn)控制服務(wù)連接機(jī)密性無(wú)連接機(jī)密性選擇字段機(jī)密性流量機(jī)密性有恢復(fù)功能的連接完整性無(wú)恢復(fù)功能的連接完整性選擇字段連接完整性無(wú)連接完整性選擇字段非連接完整性源發(fā)方抗抵賴接收方抗抵賴YY－YYYYYYYYY－－YY－－－－－－－－YYYY－－Y－－－－－－－－－－－－－－－－－－YYYYYYYY－－－－－－－－－－－－－－－－－－－Y－－－－－－－－－－YY－Y－－－－－－－－－－－－－－－－－－－YYOSI參考模型與TCP/IP

的對(duì)應(yīng)關(guān)系OSI參考模型TCP/IP協(xié)議集模型應(yīng)用層

表示層應(yīng)用層會(huì)話層

傳輸層傳輸層網(wǎng)絡(luò)層互聯(lián)網(wǎng)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)接口層3.信息平安評(píng)測(cè)標(biāo)準(zhǔn)開(kāi)展1999年GB17859計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么1991年歐洲信息技術(shù)平安性評(píng)估準(zhǔn)那么〔ITSEC〕國(guó)際通用準(zhǔn)那么1996年〔CC1.0〕1998年〔CC2.0〕1985年美國(guó)可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)那么〔TCSEC〕1993年加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)那么〔CTCPEC〕1993年美國(guó)聯(lián)邦準(zhǔn)那么〔FC1.0〕1999年國(guó)際標(biāo)準(zhǔn)ISO/IEC154081989年英國(guó)可信級(jí)別標(biāo)準(zhǔn)〔MEMO3DTI〕德國(guó)評(píng)估標(biāo)準(zhǔn)〔ZSEIC〕法國(guó)評(píng)估標(biāo)準(zhǔn)〔B-W-RBOOK〕2001年國(guó)家標(biāo)準(zhǔn)GB/T18336信息技術(shù)平安性評(píng)估準(zhǔn)那么1993年美國(guó)NIST的MSFR美國(guó)TCSEC1970年由美國(guó)國(guó)防科學(xué)委員會(huì)提出。1985年公布。主要為軍用標(biāo)準(zhǔn)。延用至民用。平安級(jí)別從高到低分為A、B、C、D四級(jí)，級(jí)下再分小級(jí)。彩虹系列 桔皮書(shū)：可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)那么 黃皮書(shū)：桔皮書(shū)的應(yīng)用指南 紅皮書(shū)：可信網(wǎng)絡(luò)解釋 紫皮書(shū)：可信數(shù)據(jù)庫(kù)解釋美國(guó)TCSECD:最小保護(hù)MinimalProtectionC1:自主安全保護(hù)DiscretionarySecurityProtectionC2:訪問(wèn)控制保護(hù)ControlledAccessProtectionB1:安全標(biāo)簽保護(hù)LabeledSecurityProtectionB2:結(jié)構(gòu)化保護(hù)StructuredProtectionB3:安全域保護(hù)SecurityDomainA1:驗(yàn)證設(shè)計(jì)保護(hù)VerifiedDesign低保證系統(tǒng)高保證系統(tǒng)主要依據(jù)之間的關(guān)系可信設(shè)備指南安全特性用戶手冊(cè)測(cè)試文檔.設(shè)計(jì)文檔.自主訪問(wèn)控制強(qiáng)制訪問(wèn)控制標(biāo)簽客體重用安全政策標(biāo)識(shí)和鑒別審計(jì)可信路徑可控性系統(tǒng)體系 可信設(shè)備系統(tǒng)完整性 管理系統(tǒng)測(cè)試

可信恢復(fù)設(shè)計(jì)說(shuō)明驗(yàn)證

配置

隱蔽信道分析 管理保證確保支持文檔操作者/管理員用戶開(kāi)發(fā)者/維護(hù)者平安政策：確定選擇哪些控制措施，可控性：提出平安機(jī)制以確定系統(tǒng)人員并跟蹤其行動(dòng)。保證能力：給平安政策及可控性的實(shí)現(xiàn)提供保證。文檔：存在哪些文檔。各級(jí)別的特征平安政策 C1C2B1B2B3A1自主訪問(wèn)控制 ++ncnc+nc客體重用 0+ncncncnc標(biāo)簽 00++ncnc標(biāo)簽完整性 00+ncncnc標(biāo)簽信息的輸出 00+ncncnc標(biāo)簽輸出 00+ncncnc強(qiáng)制訪問(wèn)控制 00++ncnc主體敏感性標(biāo)簽 000+ncnc設(shè)計(jì)標(biāo)簽 000+ncnc可控性鑒別 +++ncncnc審計(jì) 0++++nc可信路徑 000++nc保證措施C1C2B1B2B3A1系統(tǒng)體系 +++++nc系統(tǒng)完整性 +ncncncncnc系統(tǒng)測(cè)試 ++++++設(shè)計(jì)說(shuō)明和驗(yàn)證 00++++隱蔽信道分析 000+++可信設(shè)備管理 000++nc配置管理 000+nc+可信恢復(fù) 0000+nc可信分發(fā) 00000+文檔C1C2B1B2B3A1平安特性用戶指南 +ncncncncnc可信設(shè)備手冊(cè) +++++nc測(cè)試文檔 +ncnc+nc+設(shè)計(jì)文檔 +nc++++C1:自主平安保護(hù)本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基通過(guò)隔離用戶與數(shù)據(jù)，使用戶具備自主平安保護(hù)的能力。本級(jí)實(shí)施的是自主訪問(wèn)控制。即通過(guò)可信計(jì)算基定義系統(tǒng)中的用戶和命名用戶多命名客體的訪問(wèn)，并允許用戶以自己的身份或用戶組的身份指定并控制對(duì)客體的訪問(wèn)。這意味著系統(tǒng)用戶或用戶組可以通過(guò)可信計(jì)算基自主地定義對(duì)客體的訪問(wèn)權(quán)限。從用戶的角度來(lái)看，用戶自主保護(hù)級(jí)的責(zé)任只有一個(gè)，即為用戶提供身份鑒別?？梢园ù┩感詼y(cè)試C2:訪問(wèn)控制保護(hù)與用戶自主保護(hù)級(jí)相比，本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基實(shí)施了粒度更細(xì)的自主訪問(wèn)控制，它通過(guò)登錄規(guī)程、審計(jì)平安性相關(guān)事件和隔離資源，使用戶對(duì)自己的行為負(fù)責(zé)。本級(jí)實(shí)施的是自主訪問(wèn)控制和客體的平安重用身份鑒別方面，比用戶自主保護(hù)級(jí)增加兩點(diǎn)：為用戶提供唯一標(biāo)識(shí)，使用戶對(duì)自己的行為負(fù)責(zé)。為支持平安審計(jì)功能，具有將身份標(biāo)識(shí)與用戶所有可審計(jì)的行為相關(guān)聯(lián)的能力。平安審計(jì)方面，可信計(jì)算基能夠創(chuàng)立、維護(hù)對(duì)其所保護(hù)客體的訪問(wèn)審計(jì)記錄，B1:平安標(biāo)簽保護(hù)提供有關(guān)平安策略模型、數(shù)據(jù)標(biāo)記以及主體對(duì)客體強(qiáng)制訪問(wèn)控制的非形式化描述；平安標(biāo)簽，具有準(zhǔn)確地標(biāo)記輸出信息的能力；本級(jí)的主要特征是可信計(jì)算基實(shí)施基于BellLaPadula模型的強(qiáng)制訪問(wèn)控制。分析和測(cè)試設(shè)計(jì)文檔、源代碼、客體代碼消除通過(guò)測(cè)試發(fā)現(xiàn)的任何錯(cuò)誤。B2:結(jié)構(gòu)化保護(hù)形式化平安策略模型訪問(wèn)控制〔自主的和強(qiáng)制的〕擴(kuò)展到所有主體和客體隱蔽信道分析可信計(jì)算基構(gòu)造成為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素通過(guò)提供可信路徑來(lái)增強(qiáng)鑒別機(jī)制。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基的接口也必須明確定義，使其設(shè)計(jì)與實(shí)現(xiàn)能經(jīng)受更充分的測(cè)試和更完整的復(fù)審增強(qiáng)了配置管理控制。系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。分開(kāi)系統(tǒng)管理員和操作員的職能，提供可信實(shí)施管理B3:平安域保護(hù)在可信計(jì)算基的構(gòu)造方面，具有訪問(wèn)監(jiān)控器〔referencemonitor〕計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基在其構(gòu)造時(shí)，排除那些對(duì)實(shí)施平安策略來(lái)說(shuō)并非必要的代碼；擴(kuò)充審計(jì)機(jī)制，當(dāng)發(fā)生與平安相關(guān)的事件時(shí)發(fā)出信號(hào)提供系統(tǒng)恢復(fù)機(jī)制。系統(tǒng)具有很高的抗?jié)B透能力。A1:驗(yàn)證設(shè)計(jì)保護(hù)功能上與B3級(jí)相同要求形式化驗(yàn)證設(shè)計(jì)：形式化模型形式化高層設(shè)計(jì)實(shí)現(xiàn)TCSEC的缺陷集中考慮數(shù)據(jù)機(jī)密性，而忽略了數(shù)據(jù)完整性、系統(tǒng)可用性等；將平安功能和平安保證混在一起平安功能規(guī)定得過(guò)為嚴(yán)格，不便于實(shí)際開(kāi)發(fā)和測(cè)評(píng)歐洲多國(guó)平安評(píng)價(jià)方法的綜合產(chǎn)物，軍用，政府用和商用。以超越TCSEC為目的，將平安概念分為功能與功能評(píng)估兩局部。功能準(zhǔn)那么在測(cè)定上分10級(jí)。1－5級(jí)對(duì)應(yīng)于TCSEC的C1到B3。6－10級(jí)加上了以下概念：F-IN：數(shù)據(jù)和程序的完整性F-AV：系統(tǒng)可用性F-DI：數(shù)據(jù)通信完整性F-DC：數(shù)據(jù)通信保密性F-DX包括機(jī)密性和完整性的網(wǎng)絡(luò)平安評(píng)估準(zhǔn)那么分為6級(jí)：E1：測(cè)試E2：配置控制和可控的分配E3：能訪問(wèn)詳細(xì)設(shè)計(jì)和源碼E4：詳細(xì)的脆弱性分析E5：設(shè)計(jì)與源碼明顯對(duì)應(yīng)E6：設(shè)計(jì)與源碼在形式上一致。

歐洲ITSEC與TCSEC的不同平安被定義為機(jī)密性、完整性、可用性功能和質(zhì)量/保證分開(kāi)對(duì)產(chǎn)品和系統(tǒng)的評(píng)估都適用，提出評(píng)估對(duì)象〔TOE〕的概念產(chǎn)品：能夠被集成在不同系統(tǒng)中的軟件或硬件包；系統(tǒng)：具有一定用途、處于給定操作環(huán)境的特殊平安裝置功能評(píng)估1

——預(yù)先定義的功能級(jí)ITSEC保

證TCSEC分

級(jí)

E0DF-C1E1C1F–C2E2C2F–B1E3B1F–B2E4B2F–B3E5B3F–B3E6A1

加拿大CTCPEC1989年公布，專(zhuān)為政府需求而設(shè)計(jì)與ITSEC類(lèi)似，將平安分為功能性需求和保證性需要兩局部。功能性要求分為四個(gè)大類(lèi)：a機(jī)密性b完整性c可用性d可控性在每種平安需求下又分成很多小類(lèi)，表示平安性上的差異，分級(jí)條數(shù)為0－5級(jí)。早期評(píng)估準(zhǔn)那么〔續(xù)〕美國(guó)聯(lián)邦準(zhǔn)那么(FC)對(duì)TCSEC的升級(jí)1992年12月公布引入了“保護(hù)輪廓〔PP〕〞這一重要概念每個(gè)輪廓都包括功能局部、開(kāi)發(fā)保證局部和評(píng)測(cè)局部。分級(jí)方式與TCSEC不同，吸取了ITSEC、CTCPEC中的優(yōu)點(diǎn)。供美國(guó)政府用、民用和商用。早期評(píng)估準(zhǔn)那么〔續(xù)〕GB17859-1999計(jì)算機(jī)信息系統(tǒng)平安等級(jí)劃分準(zhǔn)那么第一級(jí)用戶自主保護(hù)級(jí)第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)第三級(jí)平安標(biāo)記保護(hù)級(jí)第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)第五級(jí)訪問(wèn)驗(yàn)證保護(hù)級(jí)4.通用準(zhǔn)那么〔CC〕國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)那么的努力結(jié)果；1993年開(kāi)始，1996年出V1.0,1998年出V2.0，1999年6月正式成為國(guó)際標(biāo)準(zhǔn)，1999年12月ISO出版發(fā)行ISO/IEC15408；主要思想和框架取自ITSEC和FC；充分突出“保護(hù)輪廓〞，將評(píng)估過(guò)程分“功能〞和“保證〞兩局部；是目前最全面的評(píng)價(jià)準(zhǔn)那么通用準(zhǔn)那么〔CC〕〔續(xù)〕國(guó)際上認(rèn)同的表達(dá)IT平安的體系結(jié)構(gòu)一組規(guī)那么集一種評(píng)估方法，其評(píng)估結(jié)果國(guó)際互認(rèn)通用測(cè)試方法〔CEM〕已有平安準(zhǔn)那么的總結(jié)和兼容通用的表達(dá)方式，便于理解靈活的架構(gòu)可以定義自己的要求擴(kuò)展CC要求準(zhǔn)那么今后開(kāi)展的框架評(píng)估上下文CC的結(jié)構(gòu)以及目標(biāo)讀者本標(biāo)準(zhǔn)定義作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)平安特性的根底準(zhǔn)那么不包括屬于行政性管理平安措施的評(píng)估準(zhǔn)那么；不包括物理平安方面〔諸如電磁輻射控制〕的評(píng)估準(zhǔn)那么；不包括密碼算法固有質(zhì)量評(píng)價(jià)準(zhǔn)那么應(yīng)用范圍關(guān)鍵概念評(píng)估對(duì)象——TOE(TargetofEvaluation)保護(hù)輪廓——PP(ProtectionProfile〕平安目標(biāo)——ST(SecurityTarget〕功能(Function)保證(Assurance)組件(Component)包(Package)評(píng)估保證級(jí)——EAL(EvaluationAssuranceLevel〕評(píng)估對(duì)象〔TOE〕產(chǎn)品、系統(tǒng)、子系統(tǒng)保護(hù)輪廓〔PP〕表達(dá)一類(lèi)產(chǎn)品或系統(tǒng)的用戶需求組合平安功能要求和平安保證要求技術(shù)與需求之間的內(nèi)在完備性提高平安保護(hù)的針對(duì)性、有效性平安標(biāo)準(zhǔn)有助于以后的兼容性同TCSEC級(jí)類(lèi)似PP的內(nèi)容平安目標(biāo)〔ST〕IT平安目的和要求要求的具體實(shí)現(xiàn)實(shí)用方案適用于產(chǎn)品和系統(tǒng)與ITSECST類(lèi)似ST的內(nèi)容功能/保證結(jié)構(gòu)類(lèi)〔如用戶數(shù)據(jù)保護(hù)——FDP〕關(guān)注共同的平安焦點(diǎn)的一組族，覆蓋不同的平安目的范圍子類(lèi)〔如訪問(wèn)控制——FDP_ACC〕共享平安目的的一組組件，側(cè)重點(diǎn)和嚴(yán)格性不同組件〔如子集訪問(wèn)控制——FDP_ACC.1)包含在PP/ST/包中的最小可選平安要求集組件CC將傳統(tǒng)的平安要求分成不能再分的構(gòu)件塊用戶/開(kāi)發(fā)者可以組織這些要求到PP中到ST中組件可以進(jìn)一步細(xì)化舉例：類(lèi)－子類(lèi)－組件FIA標(biāo)識(shí)和鑒別

FIA_AFL鑒別失敗

FIA_ATD用戶屬性定義FIA_SOS秘密的標(biāo)準(zhǔn)類(lèi) 子類(lèi) 組件FIA_AFL.1鑒別失敗處理FIA_ATD.1用戶屬性定義FIA_SOS.1秘密的驗(yàn)證FIA_SOS.2秘密的TSF生成功能標(biāo)準(zhǔn)IT產(chǎn)品和系統(tǒng)的平安行為，應(yīng)做的事平安功能要求類(lèi)11類(lèi)135個(gè)組件保證對(duì)功能產(chǎn)生信心的方法平安保證要求APE類(lèi)-保護(hù)輪廓的評(píng)估準(zhǔn)則ASE類(lèi)-安全目標(biāo)的評(píng)估準(zhǔn)則用于TOE的七個(gè)安全保證要求類(lèi)TOE平安保證類(lèi)包IT平安目的和要求功能或保證要求〔如EAL〕適用于產(chǎn)品和系統(tǒng)與ITSECE-級(jí)類(lèi)似評(píng)估保證級(jí)〔EAL〕預(yù)定義的保證包公認(rèn)的廣泛適用的一組保證要求CC第一局部概念和模型平安概念和關(guān)系所有者威脅主體資產(chǎn)措施弱點(diǎn)風(fēng)險(xiǎn)威脅擁有引起到希望濫用最小化增加到利用導(dǎo)致減少可能具有可能被減少利用可能意識(shí)到評(píng)估環(huán)境評(píng)估準(zhǔn)那么評(píng)估方法最終評(píng)估結(jié)果評(píng)估方案評(píng)估批準(zhǔn)/證明證書(shū)/注冊(cè)評(píng)估保證級(jí)〔EAL〕EAL1—功能測(cè)試EAL2—結(jié)構(gòu)測(cè)試EAL3—系統(tǒng)地測(cè)試和檢查EAL4—系統(tǒng)地設(shè)計(jì)、測(cè)試和復(fù)查EAL5—半形式化設(shè)計(jì)和測(cè)試EAL6—半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試EAL7—形式化驗(yàn)證的設(shè)計(jì)和測(cè)試評(píng)估保證級(jí)別〔EAL〕EAL1—功能測(cè)試EAL1適用于平安的威脅并不嚴(yán)重的場(chǎng)合TOE的功能與其文檔在形式上是一致的，并且對(duì)已標(biāo)識(shí)的威脅提供了有效的保護(hù)。利用功能和接口的標(biāo)準(zhǔn)以及指導(dǎo)性文檔，對(duì)平安功能進(jìn)行分析，進(jìn)行獨(dú)立性測(cè)試保證組件：ACM_CAP.1版本號(hào)ADO_IGS.1安裝、生成和啟動(dòng)程序ADV_FSP.1非形式化功能標(biāo)準(zhǔn)ADV_RCR.1非形式化對(duì)應(yīng)性論證AGD_ADM.1管理員指南AGD_USR.1用戶指南ATE_IND.1——一致性EAL2—結(jié)構(gòu)測(cè)試EAL2適用于在缺乏現(xiàn)成可用的完整的開(kāi)發(fā)記錄時(shí)，開(kāi)發(fā)者或使用者需要一種低到中等級(jí)別的獨(dú)立保證的平安性。增加：ACM_CAP.2配置項(xiàng)ADO_DEL.1交付程序ADV_HLD.1描述性高層設(shè)計(jì)*ATE_COV.1范圍證據(jù)ATE_FUN.1功能測(cè)試ATE_IND.2獨(dú)立性測(cè)試——抽樣AVA_SOF.1TOE平安功能強(qiáng)度評(píng)估*AVA_VLA.1開(kāi)發(fā)者脆弱性分析*平安保證級(jí)別2(EAL2)EAL3—系統(tǒng)地測(cè)試和檢查EAL3適用于開(kāi)發(fā)者或使用者需要一個(gè)中等級(jí)別的平安性，和不需要再次進(jìn)行真正的工程實(shí)踐的情況下，對(duì)TOE及其開(kāi)發(fā)過(guò)程進(jìn)行徹底檢查。增加組件：ACM_CAP.3授權(quán)控制ACM_SCP.1TOE配置管理〔CM〕范圍ADV_HLD.2平安加強(qiáng)的高層設(shè)計(jì)*ALC_DVS.1平安措施標(biāo)識(shí)*ATE_COV.2范圍分析ATE_DPT.1測(cè)試：高層設(shè)計(jì)AVA_MSU.1指南審查平安保證級(jí)別3(EAL3)EAL4—系統(tǒng)地設(shè)計(jì)、測(cè)試和復(fù)查EAL4適用于：開(kāi)發(fā)者或使用者對(duì)傳統(tǒng)的商品化的TOE需要一個(gè)中等到高等級(jí)別的平安性，并準(zhǔn)備負(fù)擔(dān)額外的平安專(zhuān)用工程費(fèi)用。增加組件：ACM_AUT.1局部配置管理〔CM〕自動(dòng)化ACM_CAP.4產(chǎn)生支持和接受程序ACM_SCP.2跟蹤配置管理〔CM〕范圍問(wèn)題ADO_DEL.2修改檢測(cè)ADV_FSP.2完全定義的外部接口*ADV_IMP.1TSF實(shí)現(xiàn)的子集*ADV_LLD.1描述性低層設(shè)計(jì)*ALC_LCD.1開(kāi)發(fā)者定義的生命周期模型ALC_TAT.1明確定義的開(kāi)發(fā)工具AVA_MSU.2分析確認(rèn)AVA_VLA.2獨(dú)立脆弱性分析*(穿透性測(cè)試〕平安保證級(jí)別4(EAL4)EAL5—半形式化設(shè)計(jì)和測(cè)試TOE平安策略的形式化模型，功能標(biāo)準(zhǔn)和高層設(shè)計(jì)的半形式化表示，及它們之間對(duì)應(yīng)性的半形式化論證。還需模塊化的TOE設(shè)計(jì)。這種分析也包括對(duì)開(kāi)發(fā)者的隱蔽信道分析確實(shí)認(rèn)增加組件：ACM_SCP.3開(kāi)發(fā)工具配置管理〔CM〕范圍ADV_FSP.3半形式化功能標(biāo)準(zhǔn)*ADV_HLD.3半形式化高層設(shè)計(jì)*ADV_IMP.2TSF實(shí)現(xiàn)ADV_INT.1模塊化*ADV_RCR.2半形式化對(duì)應(yīng)性論證*ADV_SPM.3形式化TOE平安策略模型ALC_LCD.2標(biāo)準(zhǔn)化生命周期模型*ALC_TAT.2遵從實(shí)現(xiàn)標(biāo)準(zhǔn)ATE_DPT.2測(cè)試：低層設(shè)計(jì)*AVA_CCA.1隱蔽信道分析*AVA_VLA.3中級(jí)抵抗力平安保證級(jí)別5(EAL5)EAL6—半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試低層設(shè)計(jì)的半形式化表示結(jié)構(gòu)化的開(kāi)發(fā)流程增加組件：ACM_AUT.2完全配置管理〔CM〕自動(dòng)化ACM_CAP.5高級(jí)支持ADV_HLD.4半形式化高層解釋ADV_IMP.3TSF的結(jié)構(gòu)化實(shí)現(xiàn)ADV_INT.2復(fù)雜性降低ADV_LLD.2半形式化低層設(shè)計(jì)ALC_DVS.2平安措施的充分性ALC_TAT.3遵從實(shí)現(xiàn)標(biāo)準(zhǔn)——所有局部ATE_COV.3范圍的嚴(yán)格分析ATE_FUN.2順序的功能測(cè)試AVA_CCA.2系統(tǒng)化隱蔽信道分析AVA_MSU.3對(duì)非平安狀態(tài)的分析和測(cè)試AVA_VLA.4高級(jí)抵抗力平安保證級(jí)別6(EAL6)EAL7—形式化驗(yàn)證的設(shè)計(jì)和測(cè)試EAL7的實(shí)際應(yīng)用目前只局限于一些TOE，這些TOE非常關(guān)注能經(jīng)受廣泛地形式化分析的平安功能功能標(biāo)準(zhǔn)和高層設(shè)計(jì)的形式化表示增加組件：ADO_DEL.3修改預(yù)防ADV_FSP.4形式化功能標(biāo)準(zhǔn)ADV_HLD.5形式化高層設(shè)計(jì)ADV_INT.3復(fù)雜性最小化ADV_RCR.3形式化對(duì)應(yīng)性論證ALC_LCD.3可測(cè)量的生命周期模型ATE_DPT.3測(cè)試：實(shí)現(xiàn)表示ATE_IND.3獨(dú)立性測(cè)試——全部平安保證級(jí)別7(EAL7)形式化有三種類(lèi)型的標(biāo)準(zhǔn)風(fēng)格：非形式化、半形式化和形式化。功能標(biāo)準(zhǔn)、高層設(shè)計(jì)、低層設(shè)計(jì)和TSP模型都將使用以上一種或多種標(biāo)準(zhǔn)風(fēng)格來(lái)書(shū)寫(xiě)。非形式化標(biāo)準(zhǔn)就是象散文一樣用自然語(yǔ)言來(lái)書(shū)寫(xiě)。半形式化標(biāo)準(zhǔn)就是用一種受限制的句法語(yǔ)言來(lái)書(shū)寫(xiě)，并且通常伴隨著支持性的解釋(非形式化)語(yǔ)句。這里的受限制句法語(yǔ)言可以是一種帶有受限制句子結(jié)構(gòu)和具有特殊意義的關(guān)鍵字的自然語(yǔ)言，也可以是圖表式的(如數(shù)據(jù)流圖、狀態(tài)轉(zhuǎn)換圖、實(shí)體關(guān)系圖、數(shù)據(jù)結(jié)構(gòu)圖、流程或程序結(jié)構(gòu)圖)。形式化標(biāo)準(zhǔn)就是用一套基于明確定義的數(shù)學(xué)概念的符號(hào)來(lái)書(shū)寫(xiě)，并且通常伴隨著支持性的解釋(非形式化)語(yǔ)句。評(píng)測(cè)級(jí)別對(duì)應(yīng)保證功能EAL1EAL2EAL3EAL4EAL5EAL6EAL7E0E1E2E3E4E5E6D級(jí)C1級(jí)C2級(jí)B1級(jí)B2級(jí)B3級(jí)A1級(jí)F-C1級(jí)F-C2級(jí)F-B1級(jí)F-B2級(jí)F-B3級(jí)HP-UNIX(VV)Winnt3.5Winnt4.0Win2000各局部關(guān)系子類(lèi)C1C2C3Cn功能(CCPART2)保證(CCPART3)FamilyC1C2C3CnFamilyC1C2C3Cn子類(lèi)C1C2C3Cn子類(lèi)C1C2C3Cn子類(lèi)C1C2C3Cn功能類(lèi)保證類(lèi)功能包為構(gòu)建PP或ST而選取的一組可重復(fù)使用的功能要求評(píng)估保證級(jí)1評(píng)估保證級(jí)2評(píng)估保證級(jí)3評(píng)估保證級(jí)n保護(hù)輪廓包括一個(gè)CC評(píng)估保證級(jí)的一組可重復(fù)使用且完備的安全要求。安全目標(biāo)包括一個(gè)CC評(píng)估保證級(jí)的描