信息安全标准.pptx

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,CNITSEC,刘作康,#,CNITSEC,信息安全标准介绍,中国信息安全测评中心,CNITSEC,刘作康,2,主要内容,标准化基础知识,信息安全基础标准,信息安全评估标准发展史,通用评估准则（,CC）,PP,和,ST,产生指南,电子政务信息系统安全标准,CNITSEC,刘作康,3,1.,标准化基础,标准：,标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为基础，经有关方面协商一致，由主管部门批准，以特定的方式发布，作为共同遵守的准则和依据。,强制性标准：,保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准；其它标准是,推荐性标准,。,我国标准分四级：,国家标准、行业标准、地方标准、企业标准。,CNITSEC,刘作康,4,标准化基础,国家标准：,对需要在全国范围内统一的技术要求(含标准样品的制作）。,GB/T XXXX.X-200X,：属于推荐性标准,GB XXXX-200X,：属于强制性标准,行业标准：,没有国家标准，需要在全国某个行业范围内统一的技术要求。如,GA,SJ,地方标准：,没有国家标准、行业标准而又需要在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求。,DBXX/T XXX-200X DBXX/XXX-200X,企业标准：,对企业范围内需要统一的技术要求、管理要求和工作要求。,QXXX-XXX-200X,CNITSEC,刘作康,5,标准化基础,标准化：,为在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动,实质,：通过制定、发布和实施标准，达到统一。,目的,：获得最佳秩序和社会效益。,CNITSEC,刘作康,6,标准化基础,标准化三维空间,国际级,区域级,国家级,行业级,地方级,企业级,人员,服务,系统,产品,过程,管理,应用,技术机制,体系、框架,术语,X,Y,Z,X,轴：代表标准化对象，,Y,轴：代表标准化的内容，,Z,轴：代表标准化的级别。,CNITSEC,刘作康,7,标准化基础,我国通行,“,标准化八字原理,”,：,“,统一,”,原理,“,简化,”,原理,“,协调,”,原理,“,最优,”,化原理,CNITSEC,刘作康,8,我国标准工作归口单位,2001年10月11日成立国家标准化委员会,信息技术标准委员会,数据加密技术标准委员会,2002年4月15日成立信息安全技术标准委员会,TC260,CNITSEC,刘作康,9,标准化基础,采标：,等同采用,idt（identical）：,指技术内容相同，没有或仅有编辑性修改，编写方法完全相对应；,修改采用,MOD（modified）：,与国际标准之间存在技术性差异，有编辑性修改，可能不采用部分条款,非等效采用,NEQ（not equivalent）：,指技术内容有重大差异，只表示与国际标准有关。,CNITSEC,刘作康,10,IT,标准化,IT,标准发展趋势,(1)标准逐步从技术驱动向市场驱动方向发展。,(2)信息技术标准化机构由分散走向联合。,(3)信息技术标准化的内容更加广泛，重点更加突出，从,IT,技术领域向社会各个领域渗透，涉及教育、文化、医疗、交通、商务等广泛领域，需求大量增加。,(4)从技术角度看，,IT,标准化的重点将放在网络接口、软件接口、信息格式、安全等方面，并向着以技术中立为前提，保证互操作为目的方向发展。,CNITSEC,刘作康,11,信息安全标准化组织,ISO,（国际标准化组织）,JTC1 SC27，,信息技术-安全技术,ISO/TC 68,银行和有关的金融服务,SC2，,安全管理和通用银行运作；,SC4，,安全及相关金融工具；,SC6，,零售金融服务。,JTC1,其他分技术委员会：,SC6,系统间通信与信息交换，主要开发开放系统互连下四层安全模型和安全协议，如,ISO 9160、ISO/IEC 11557。,SC17,识别卡和有关设备，主要开发与识别卡有关的安全标准,ISO 7816,SC18,文件处理及有关通信，主要开发电子邮件、消息处理系统等。,SC21,开放系统互连，数据管理和开放式分布处理，主要开发开放系统互连安全体系结构，各种安全框架，高层安全模型等标准，如:,ISO/IEC 7498-2、ISO/IEC 9594-1,至8。,SC22,程序语言，其环境及系统软件接口，也开发相应的安全标准。,SC30,开放式电子数据交换，主要开发电子数据交换的有关安全标准。如,ISO 9735-9、ISO 9735-10。,CNITSEC,刘作康,12,信息安全标准化组织（续）,IEC,（国际电工委员会）,主要负责有关电工、电子领域的国际标准化工作,TC56,可靠性；,TC74 IT,设备安全和功效；,TC77,电磁兼容；,CISPR,无线电干扰特别委员会,ITU,（国际电信联盟）,负责协调世界各国之间的电信事务,前身是,CCITT,消息处理系统,目录系统(,X.400,系列、,X.500,系列),安全框架,安全模型等标准,CNITSEC,刘作康,13,信息安全标准化组织（续）,IETF,（因特网工程任务组）,主要提,INTERNET,标准草案和,RFC(,征求意见稿）,170,多个,RFC、12,个工作组,PGP,开发规范(,openpgp)；,鉴别防火墙遍历(,aft)；,通用鉴别技术(,cat)；,域名服务系统安全(,dnssec)；,IP,安全协议(,ipsec)；,一次性口令鉴别(,otp)；,X.509,公钥基础设施(,pkix)；,S/MIME,邮件安全(,smime)；,安全,Shell(secsh)；,简单公钥基础设施(,spki)；,传输层安全(,tls),Web,处理安全(,wts),CNITSEC,刘作康,14,信息安全标准化组织（续）,美国,ANSI,（美国国家标准化协会）,NCITS-T4,制定,IT,安全技术标准,X9,制定金融业务标准,X12,制定商业交易标准,NIST,（国家标准技术研究所）,负责联邦政府非密敏感信息,FIPS-197,DOD,（美国国防部）,负责涉密信息,NSA,国防部指令（,DODDI）（,如,TCSEC）,CNITSEC,刘作康,15,信息安全标准化组织（续）,IEEE,（美国电气和电子工程师协会）,SILS（LAN/WAN）,安全,P1363,公钥密码标准,ECMA(,欧洲计算机厂商协会),TC32,“,通信、网络和系统互连,”,曾定义了开放系统应用层安全结构；,TC36,“,IT,安全,”,负责信息技术设备的安全标准。,CNITSEC,刘作康,16,信息安全标准化组织（续）,英国,BS 7799,医疗卫生信息系统安全,加拿大,计算机安全管理,日本,JIS,国家标准,JISC,工业协会标准,韩国,KISA,负责,防火墙、,IDS、PKI,方面标准,CNITSEC,刘作康,17,信息安全标准化组织（续）,我国,TC260,信息安全标准化技术委员会,共38个标准,4个产品标准,其他工业标准,SSL,SET,CDSA,PGP,PCT,CNITSEC,刘作康,18,我国信息安全标准体系框架,基,础,标,准,管,理,标,准,应用与工程标准,系统与网络标准,物理安全标准,CNITSEC,刘作康,19,2.信息安全基础标准,词汇,安全体系结构,安全框架,安全模型,GB/T 5271.8-2000,信息技术 词汇 第8部分：安全,GB/T 9387.2-1995,开放系统互连 基本参考模型 第2部分：安全体系结构,(idt ISO 7498-2),ISO/IEC 10181-17,开放系统的安全框架,GB/T 17965,高层安全模型,GB/T 18231,低层安全模型,ISO/IEC 15443-1 IT,安全保障框架,IATF,信息保障技术框架,ISO/IEC 11586-16,通用高层安全,网络层安全,GJB 2256-1994,军用计算机安全术语,RFC 2401,因特网安全体系结构,ISO/IEC7498-4,管理框架,传输层安全,CNITSEC,刘作康,20,基于,OSI,七层协议的安全体系结构,OSI,参考模型,7 应用层,6 表示层,5 会话层,4 传输层,3 网络层,2 链路层,1 物理层,安全机制,公 证,路由选择控制,通信业务填充,鉴别交换,数据完整性,访问控制,数字签名,加 密,安全服务,鉴别服务,访问控制,数据完整性,数据机密性,抗抵赖,CNITSEC,刘作康,21,五种安全服务,鉴别：,提供对通信中的对等实体和数据来源的鉴别。,访问控制：,提供保护以对抗开放系统互连可访问资源的非授权使用。可应用于对资源的各种不同类型的访问（例如，使用通信资源，读、写或删除信息资源，处理资源的操作），或应用于对某种资源的所有访问,数据机密性：,对数据提供保护使之不被非授权地泄露,数据完整性,：,对付主动威胁。在一次连接上，连接开始时使用对某实体鉴别服务，并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证，为这些数据单元的完整性提供确证。,抗抵赖,：,可取有数据原发证明的抗抵赖、有交付证明的抗抵赖两种形式，或两者之一。,CNITSEC,刘作康,22,与网络各层相关的,OSI,安全服务,安全服务,1,2,3,4,5,6,7,对等实体鉴别,数据源鉴别,访问控制服务,连接机密性,无连接机密性,选择字段机密性,流量机密性,有恢复功能的连接完整性,无恢复功能的连接完整性,选择字段连接完整性,无连接完整性,选择字段非连接完整性,源发方抗抵赖,接收方抗抵赖,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,CNITSEC,刘作康,23,八种安全机制,加密,：,加密既能为数据提供机密性，也能为通信业务流信息提供机密性。,数字签名,：,确定两个过程：对数据单元签名和验证签过名的数据单元。,访问控制,：为了决定和实施一个实体的访问权，访问控制机制可以使用该实体已鉴别的身份，或使用有关该实体的信息（例如它与一个已知的实体集的从属关系），或使用该实体的权力。,数据完整性,：包括单个数据单元或字段的完整性以及数据单元流或字段流的完整性。,CNITSEC,刘作康,24,安全机制,鉴别交换机制,：,可以提供对等实体鉴别。如果在鉴别实体时，这一机制得到否定的结果，就会导致连接的拒绝或终止，也可能使在安全审计跟踪中增加一个记录，或给安全管理中心一个报告。,通信业务填充机制,：能用来提供各种不同级别的保护，对抗通信业务分析。,路由选择控制机制,：,路由能动态地或预定地选取，以便只使用物理上安全的子网络、中继站或链路。在检测到持续的操作攻击时，端系统可希望指示网络服务的提供者经不同的路由建立连接。,公证机制,：,有关在两个或多个实体之间通信的数据的性质，如它的完整性、原发、时间和目的地等能够借助公证机制而得到确保。,CNITSEC,刘作康,25,OSI,安全服务和安全机制之间的关系,安全服务,加密,数字签名,访问控制,数据完整,鉴别交换,业务填塞,路由控制,公证,对等实体鉴别,数据源鉴别,访问控制服务,连接机密性,无连接机密性,选择字段机密性,流量机密性,有恢复功能的连接完整性,无恢复功能的连接完整性,选择字段连接完整性,无连接完整性,选择字段非连接完整性,源发方抗抵赖,接收方抗抵赖,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,CNITSEC,刘作康,26,TCP/IP,协议,四层概念模型：应用层、传输层、网络层和网络接口层,IP,层是,TCP/IP,模型的网络层（不考虑网络接口），提供数据在源和目的主机之间通过子网的路由功能,应用层,传输层,网络层,CNITSEC,刘作康,27,OSI,参考模型与,TCP/IP,的对应关系,OSI,参考模型,TCP/IP,协议集模型,应用层,表示层,应用层,会话层,传输层,传输层,网络层,互联网层,数据链路层,物理层,网络接口层,CNITSEC,刘作康,28,3.信息安全评测标准发展,1999年,GB 17859,计算机信息系统安全保护等级划分准则,1991年欧洲信息技术安全性评估准则,（,ITSEC）,国际通用准则,1996年（,CC1.0）,1998,年（,CC2.0）,1985年美国可信计算机系统评估准则（,TCSEC）,1993年 加拿大可信计算机产品评估准则,（,CTCPEC）,1993年美国联邦准则（,FC 1.0）,1999年 国际标准,ISO/IEC 15408,1989年 英国,可信级别标准,（,MEMO 3 DTI）,德国评估标准,（,ZSEIC）,法国评估标准,（,B-W-R BOOK）,2001年 国家标准,GB/T 18336,信息技术安全性评估准则,1993年美国,NIST,的,MSFR,CNITSEC,刘作康,29,美国,TCSEC,1970,年由美国国防科学委员会提出。1985年公布。,主要为军用标准。延用至民用。,安全级别从高到低分为,A、B、C、D,四级，级下再分小级。,彩虹系列,桔皮书：可信计算机系统评估准则,黄皮书：桔皮书的应用指南,红皮书：可信网络解释,紫皮书：可信数据库解释,CNITSEC,刘作康,30,美国,TCSEC,D:,最小保护,Minimal Protection,C1:,自主安全保护,Discretionary Security Protection,C2:,访问控制保护,Controlled Access Protection,B1:,安全标签保护,Labeled Security Protection,B2:,结构化保护,Structured Protection,B3:,安全域保护,Security Domain,A1:,验证设计保护,Verified Design,低保证系统,高保证系统,CNITSEC,刘作康,31,主要依据之间的关系,可信设备指南,安全特性,用户手册,测试文档,.,设计文档,.,11,个安全策略：,自主访问控制,强制访问控制,安全标签（,8,个）,客体重用,安全策略,3,个特性：,标识和鉴别,审计,可信路径,可控性,9,个安全保证特性：,系统体系,隐蔽信道分析,系统完整性,可信设备管理,系统测试,可信恢复,设计说明,验证,配置,管理,保证,确保,支持,文档,操作者/,管理员,用户,开发者/,维护者,安全策略：确定选择哪些控制措施，,可控性：提出安全机制以确定系统人员并跟踪其行动。,保证能力：给安全政策及可控性的实现提供保证。,文档：存在哪些文档。,CNITSEC,刘作康,32,级别,特征,强度,D,相当于无安全功能的个人微机,几乎没有保护,C1,非形式化定义安全策略模型，,使用了基本的,DAC,控制；,为用户提供身份鉴别；,支持同组合作的敏感资源共享；,可以包括穿透性测试。,避免偶尔发生的操作错误与数据破坏；,可以简单理解为操作系统逻辑级安全措施,C2,非形式化定义安全策略模型，,使用了更加完善的,DAC,和客体的安全重用策略；,比,C1,级增强的身份鉴别：唯一标识、身份标识与审计行为关联性；,安全审计方面，可信计算基能够创建、维护对其所保护客体的访问审计记录，,实施资源隔离。,对一般性攻击具有一定抵抗能力；,可以简单理解为操作系统逻辑级安全措施。,B1,保留了,C2,级的所有安全策略；,非形式化定义安全策略模型；,使用了基于,Bell LaPadula,模型的强制访问控制,MAC,；,采用了,6,个安全标识，具有准确地标记输出信息的能力；,分析和测试设计文档、源代码、客体代码。,消除通过测试发现的任何错误；,对一般性攻击具有较高的抵抗能力，但对渗透攻击的抵抗能力较低。,CNITSEC,刘作康,33,级别,特征,强度,B2,形式化定义安全策略模型，,TCB,结构化；,访问控制（,DAC,和,MAC,）扩展到所有主体和客体；,引入了隐蔽信道分析；,通过提供可信路径来增强鉴别机制；,增强了配置管理控制；,分开系统管理员和操作员的职能，提供可信设备管理,有一定的抵抗高威胁的渗透入侵能力,B3,完好的形式化安全策略定义，具有“访问监控器”（,reference monitor）,；,TCB,结构化，继承了,B2,级的安全特性；,支持更强化的安全管理；,扩展审计范围和功能机制，当发生与安全相关的事件时发出信号；,提供系统应急恢复机制。,有较高的抵抗高威胁的渗透入侵能力,A1,功能上与,B3,级相同；,要求形式化分析、设计、验证；,CNITSEC,刘作康,34,TCSEC,的缺陷,集中考虑数据机密性，而忽略了数据完整性、系统可用性等；,将安全功能和安全保证混在一起,安全功能规定得过为严格，不便于实际开发和测评,按照,TCSEC,建设的系统失败的例子：,英国,1987,年建,CHOTS,网络系统，,B2,级，,1997,年报废、关闭,美国国防部花费,25,年、几十亿的安全系统，多数已经过时报废,CNITSEC,刘作康,35,欧洲多国安全评价方法的综合产物，军用，政府用和商用。,以超越,TCSEC,为目的，将安全概念分为功能与功能评估两部分。,功能准则在测定上分10级。15级对应于,TCSEC,的,C1,到,B3。610,级加上了以下概念：,F-IN：,数据和程序的完整性,F-AV：,系统可用性,F-DI：,数据通信完整性,F-DC：,数据通信保密性,F-DX,包括机密性和完整性的网络安全,评估准则分为6级：,E,1,：,测试,E,2,：,配置控制和可控的分配,E,3,：,能访问详细设计和源码,E,4,：,详细的脆弱性分析,E,5,：,设计与源码明显对应,E,6,：,设计与源码在形式上一致。,欧洲,ITSEC,CNITSEC,刘作康,36,欧洲,ITSEC,与,TCSEC,的不同,安全被定义为机密性、完整性、可用性,功能和质量/保证分开,对产品和系统的评估都适用，提出评估对象（,TOE）,的概念,产品：能够被集成在不同系统中的软件或硬件包；,系统：具有一定用途、处于给定操作环境的特殊安全装置,CNITSEC,刘作康,37,功能评估1预先定义的功能级,I T S E C,保,证,T C S E C,分,级,E 0,D,F-C1,E 1,C 1,F C2,E 2,C 2,F B1,E 3,B 1,F B2,E 4,B 2,F B3,E 5,B 3,F B3,E 6,A 1,CNITSEC,刘作康,38,功能评估2按功能分类评估其声称的安全功能,八个安全功能类,标识和鉴别,访问控制,可控性,客体重用,审计,准确性,服务的有效性,数据交换,CNITSEC,刘作康,39,保证评估,实现的正确性,安全功能和机制的有效性：,1.考虑所有使用的安全功能的适用性，,2.考虑安全机制的强度，评估其抵挡直接攻击的能力,3.如果有可利用的安全脆弱性，则保证为,E0,E0 E1 E2 E3 E4 E5 E6,不可信 高度可信,CNITSEC,刘作康,40,1989年公布，专为政府需求而设计,与,ITSEC,类似，将安全分为功能性需求和保证性需要两部分。,功能性要求分为四个大类：,a,机密性,b,完整性,c,可用性,d,可控性,在每种安全需求下又分成很多小类，表示安全性上的差别，分级条数为05级。,加拿大,CTCPEC,CNITSEC,刘作康,41,美国联邦准则(,FC),对,TCSEC,的升级，1992年12月公布,引入了“保护轮廓（,PP）”,这一重要概念,每个轮廓都包括功能部分、开发保证部分和评测部分。,分级方式与,TCSEC,不同，吸取了,ITSEC、CTCPEC,中的优点。,供美国政府用、民用和商用。,CNITSEC,刘作康,42,GB 17859-1999,计算机信息系统安全等级划分准则,第一级,用户自主保护级,第二级,系统审计保护级,第三级,安全标记保护级,第四级,结构化保护级,第五级,访问验证保护级,CNITSEC,刘作康,43,4.,评估通用准则（,CC,）,国际标准化组织统一现有多种准则的努力结果；,1993年开始，1996年出,V 1.0,1998,年出,V 2.0，1999,年6月正式成为国际标准，1999年12月,ISO,出版发行,ISO/IEC 15408；,主要思想和框架取自,ITSEC,和,FC；,充分突出“保护轮廓”，将评估过程分“功能”和“保证”两部分；,是目前最全面的评价准则,CNITSEC,刘作康,44,通用准则（,CC）（,续）,国际上认同的表达,IT,安全的体系,结构,一组规则集,一种评估方法，其评估结果国际互认,通用测试方法（,CEM）,已有安全准则的总结和兼容,通用的,表达方式,，便于理解,灵活的架构,可以定义自己的要求扩展,CC,要求,准则今后发展的框架,CNITSEC,刘作康,45,评估上下文,CNITSEC,刘作康,46,CC,的结构以及目标读者,内容,用户,开发者,评估者,第,1,部,分,简介和一般模型，定,义了,IT,安全评估的,一般概念和原理，提,出评估的一般模型。,用于了解背,景信息和参,考。,PP,的指,导性结构。,用于了解背景信,息，开发安全要求,和形成,TOE,的安,全规范的参考。,用于了解背景,信息和参考。,PP,和,ST,的指导性,结构。,第,2,部,分,安全功能要求，建立,一系列功能组件作为,表达,TOE,功能要求的,标准方法。,在阐明安全,功能要求的,描述时作指,导和参考。,用于解释功能要,求和生成,TOE,功,能规范的参考。,确定,TOE,符合,声明的安全功,能时，作评估准,则的强制描述。,第,3,部,分,安全,保证要求，建立,一系列保证组件作为,表达,TOE,保证要求的,标准方法。,用于指导保,证需求级别,的确定。,当解释保证要求,描述和确定,TOE,的保证措施时，用,作参考。,确定,TOE,的保,证和评估,PP,和,ST,时，作为强,制描述。,CNITSEC,刘作康,47,本标准定义作为评估信息技术产品和系统安全特性的基础准则,不包括属于行政性管理安全措施的评估准则,不包括物理安全方面（诸如电磁辐射控制）的评估准则,不包括密码算法固有质量评价准则,应用范围,CNITSEC,刘作康,48,关键概念,评估对象,TOE(Target of Evaluation),保护轮廓,PP(Protection Profile）,安全目标,ST(Security Target）,功能(,Function),保证(,Assurance),组件(,Component),包(,Package),评估保证级,EAL(Evaluation Assurance Level）,CNITSEC,刘作康,49,评估对象（,TOE）,产品,系统,子系统,CNITSEC,刘作康,50,保护轮 廓（,PP）,表达一类产品或系统的用户需求,组合安全功能要求和安全保证要求,技术与需求之间的内在完备性,提高安全保护的针对性、有效性,安全标准,有助于以后的兼容性,同,TCSEC,级类似,CNITSEC,刘作康,51,PP,的内容,1,保护轮廓引言,1,1,PP,标识,1,2,PP,概述,标识,PP,，叙述性总结,PP,2,TOE,描述,TOE,的背景信息,3,安全环境,3,1,假设,3,2,威胁,3,3,组织性安全策略,指明安全问题（要保护的资产、已,知的攻击方式、,TOE,必须使用的,组织性安全策略）,4,安全目的,4,1,TOE,安全目的,4,2,环境安全目的,对安全问题的相应反应（包括非技,术性措施）,5,IT,安全要求,5,1,TOE,安全功能要求,5,2,TOE,安全保证要求,5,3,IT,环境安全要求,CC,第二部分的功能组件,CC,第三部分的保证组件,IT,环境中软件、硬件、固件要求,6,基本原理,6,1,安全目的基本原理,6,2,安全要,求基本原理,目的和要求可以解决已指出的安,全问题,7,应用注解,附加信息,CNITSEC,刘作康,52,安全目标（,ST）,IT,安全目的和要求,要求的具体实现,实用方案,适用于产品和系统,与,ITSEC ST,类似,CNITSEC,刘作康,53,ST,的内容,CNITSEC,刘作康,54,功能/保证结构,类（如用户数据保护,FDP）,关注共同的安全焦点的一组族，覆盖不同的安全目的范围,子类（如访问控制,FDP_ACC）,共享安全目的的一组组件，侧重点和严格性不同,组件（如子集访问控制,FDP_ACC.1),包含在,PP/ST/,包中的最小可选安全要求集,CNITSEC,刘作康,55,组件,CC,将传统的安全要求分成不能再分的构件块,用户/开发者可以组织这些要求,到,PP,中,到,ST,中,组件可以进一步细化,CNITSEC,刘作康,56,举例：类子类组件,FIA,标识和鉴别,FIA_AFL,鉴别失败,FIA_ATD,用户属性定义,FIA_SOS,秘密的规范,类子类组件,FIA_AFL.1,鉴别失败处理,FIA_ATD.1,用户属性定义,FIA_SOS.1,秘密的验证,FIA_SOS.2,秘密的,TSF,生成,CNITSEC,刘作康,57,安全要求的结构,类（,Class）,子类（,Family）,子类（,Family）,组件,组件,组件,组件,功能和保证,PP/ST/,包,CNITSEC,刘作康,58,功能,规范,IT,产品和系统的安全行为，应做的事,CNITSEC,刘作康,59,安全功能要求类,11类,66,个子类,135,个组件,CNITSEC,刘作康,60,保证,对功能产生信心的方法,CNITSEC,刘作康,61,安全保证要求,APE,类-保护轮廓,PP,的评估类,ASE,类-安全目标,ST,的评估类,用于,TOE,的七个安全保证要求类,CNITSEC,刘作康,62,TOE,安全保证类,保证类,保证子类,缩写名称,CM,自动化,ACM_AUT,CM,能力,ACM_CAP,ACM,类：配置管理,CM,范围,ACM_SCP,分发,ADO_DEL,ADO,类,：,交付和运行,安装、生成和启动,ADO_IGS,功能规范,ADV_FSP,高层设计,ADV_HLD,实现表示,ADV_IMP,TSF,内部,ADV_INT,低层设计,ADV_LLD,表示对应性,ADV_RCR,ADV,类,：,开发,安全策略模型,ADV_SPM,管理员指南,AGD_ADM,AGD,类,：,指导性文件,用户指南,AGD_USR,开发安全,ALC_DVS,缺陷纠正,ALC_FLR,生命周期定义,ALC_LCD,ALC,类,：,生命周期支持,工具和技术,ALC_TAT,覆盖面,ATE_COV,深度,ATE_DPT,功能测试,ATE_FUN,ATE,类,：,测试,独立性测试,ATE_IND,隐蔽信道分析,AVA_CCA,误用,AVA_MSU,TOE,安全功能强度,AVA_SOF,AVA,类,：,脆弱性评定,脆弱性分析,AVA_VLA,CNITSEC,刘作康,63,包,IT,安全目的和要求,功能或保证要求（如,EAL）,适用于产品和系统,与,ITSEC E-,级类似,CNITSEC,刘作康,64,评估保证级（,EAL）,预定义的保证包,公认的广泛适用的一组保证要求,CC,第一部分,概念和模型,CNITSEC,刘作康,66,安全概念和关系,所有者,威胁主体,资产,措施,弱点,风险,威胁,拥有,引起,到,希望滥用,最小化,增加,到,利用,导致,减少,可能具有,可能被减少,利用,可能意识到,CNITSEC,刘作康,67,评估环境,评估准则,评估方法,最终评估结果,评估方案,评估,批准/证明,证书/,注册,CNITSEC,刘作康,68,TOE,开发模型,CNITSEC,刘作康,69,TOE,评估过程,安全需求,（,PP、ST),开发,TOE,TOE,和评估,评估结果,评估准则,评估方案,评估方法,操作,TOE,反馈,评估,TOE,CNITSEC,刘作康,70,TOE,物理环境,建立安全,环境,假设,建立安,全目的,建立安,全要求,资产保护需求,TOE,目的,威胁,组织安全政策,安全目的,功能要求,保证要求,环境要求,建立,TOE,概要规范,TOE,概要规范,通用准则要求目录,安全规范材料,(,PP/ST),安全需求材料,（,PP/ST）,安全目的材料,(,PP/ST),安全环境材料,(,PP/ST),安全要求或规范的产生方式,CC,第二部分,安全功能要求,CNITSEC,刘作康,72,安全功能要求的表达形式,类（,Class）,族（,Family）,族（,Family）,组件,组件,组件,组件,CNITSEC,刘作康,73,安全功能要求,功能类名,所含子类（族）数,安全审计,6,通 信,2,密码支持,3,识别和鉴别,6,用户数据保护,13,隐 私,4,安全功能保护,16,资源利用,3,访问控制,3,可信通道,2,安全管理,6,CNITSEC,刘作康,74,安全功能要求组件标识,FDP_IFF.4.2,F-,功能,要求,A-,保证,要求,DP-,保护用户数据,类,IFF-,信息流控制功能,族,4-,第四个,组件,2,-,第二个,元素,CNITSEC,刘作康,75,FAU,类:安全审计,1、安全审计自动响应（,FAU_ARP）,2、,安全审计数据产生（,FAU_GEN）,3、,安全审计分析（,FAU_SAA）,4、,安全审计查阅（,FAU_SAR）,5、,安全审计事件选择（,FAU_SEL）,6、,安全审计数据存贮（,FAU_STG）,CNITSEC,刘作康,76,FCO,类：通信,1、原发抗抵赖（,FCO_NRO）,2、,接收抗抵赖（,FCO_NRR）,CNITSEC,刘作康,77,FCS,类：密码支持,1、密钥管理（,FCS_CKM）,2、,密码运算（,FCS_COP）,CNITSEC,刘作康,78,FDP,类：保护用户数据,1、访问控制策略（,FDP_ACC）,2、,访问控制功能（,FDP_ACF）,3、,数据鉴别（,FDP_DAU）,4、,输出到,TSF,控制范围之外（,FDP_ETC）,5、,信息流控制策略（,FDP_IFC）,6、,信息流控制功能（,FDP_ICF）,7、,从,TSF,控制范围之外输入（,FDP_ITC）,8、TOE,内部传输（,FDP_ITT）,9、,剩余信息保护（,FDP_RIP）,10、,反转（,FDP_ROL）,11、,存储数据的完整性（,FDP_SDI）,12、TSF,间用户数据机密性的传输保护（,FDP_UCT）,13、TSF,间用户数据完整性的传输保护（,FDP_UIT）,CNITSEC,刘作康,79,FIA,类：标识和鉴别,1、鉴别失败（,FIA_AFL）,2、,用户属性定义（,FIA_ATD）,3、,秘密的规范（,FIA_SOS）,4、,用户鉴别（,FIA_UAU）,5、,用户标识（,FIA_UID）,6、,用户,_,主体绑定（,FIA_USB）,CNITSEC,刘作康,80,FMT,类：安全管理,1、,TSF,中功能的管理（,FMT_MOF）,2、,安全属性的管理（,FMT_MSA）,3、TSF,数据的管理（,FMT_MTD）,4、,撤消（,FMT_REV）,5、,安全属性到期（,FMT_SAE）,6、,安全管理角色（,FMT_SMR）,CNITSEC,刘作康,81,FPR,类：秘密,1、匿名（,FPR_ANO）,2、,假名（,FPR_PSE）,3、,非关联性（,FPR_UNL）,4、,无观察性（,FPR_UNO）,CNITSEC,刘作康,82,FPT,类：,TOE,安全功能（,TSF,）的保护,1、根本的抽象机测试（,FPT_AMT）,2、,保护失败（,FPT_FLS）,3、TSF,输出数据的有效性（,FPT_ITA）,4、TSF,输出数据的机密性（,FPT_ITC）,5、,输出,TSF,数据的完整性（,FPT_ITI）,6、TOE,内,TSF,数据交换（,FPT_ITT）,7、TSF,物理保护（,FPT_PHP）,8、,信任恢复（,FPT_RCV）,9、,重复检测（,FPT_RPL）,10、,参考调解器（,FPT_RVM）,11、,域分离（,FPT_SEP）,12、,状态同步协议（,FPT_SSP）,13、,时间标志（,FPT_STM）,14、TSF,内部的,TSF,数据的一致性（,FPT_TDC）,15、,内部,TOE TSF,数据复制的一致性（,FPT_TRC）,16、TSF,自测试（,FPT_TST）,CNITSEC,刘作康,83,FRU,类：资源利用,1、容错（,FRU_FLT）,2、,服务优先级（,FRU_PRS）,3、,资源分配（,FRU_RSA）,CNITSEC,刘作康,84,FTA,类：,TOE,访问,1、可选属性范围限定（,FTA_LSA）,2、,多重并发会话限定（,FTA_MCS）,3、,会话锁定（,FTA_SSL）,4、TOE,访问方法（,FTA_TAB）,5、,TOE,访问历史（,FTA_TAH）,6、TOE,会话建立（,FTA_TSE）,CNITSEC,刘作康,85,FTP,类：可信路径/通道,1、,TSF,间可信信道（,FTP_ITC）,2、,可信路径（,FTP_TRP）,CNITSEC,刘作康,86,安全功能要求应用,用于构成,PP,中,IT,安全要求的,TOE,安 全功能要求,用于构成,ST,中,IT,安全要求的,TOE,安 全功能要求,CNITSEC,刘作康,87,安全功能要求-1,标识和鉴别,安全要求,CC,第二部分,登录控制,用户标识,FIA_UID.1-2,用户鉴别,FIA_UNI.1-2,重复登陆失败限制,FIA_AFL.1,可信路径,FIP_TRP,访问时间限制,FIA_TSE.1,口令字选择,控制用户生成的口令字选择,FIA_SOS.1,自动生成口令字,FIA_SOS.2,口令自生命期限制,FMT_SAF.1,CNITSEC,刘作康,88,安全功能要求-2,访问控制,CNITSEC,刘作康,89,安全功能要求-3,安全审计,CNITSEC,刘作康,90,安全功能要求-4,完整性,CNITSEC,刘作康,91,安全功能要求-5,私密,CNITSEC,刘作康,92,安全功能要求-6,适用性,CNITSEC,刘作康,93,安全功能要求-7,数据交换,CC,第三部分,安全保证要求,CNITSEC,刘作康,95,保证要求细分类,CNITSEC,刘作康,96,评估保证级（,EAL）,EAL1,功能测试,EAL2,结构测试,EAL3,系统地测试和检查,EAL4,系统地设计、测试和复查,EAL5,半形式化设计和测试,EAL6,半形式化验证的设计和测试,EAL7,形式化验证的设计和测试,CNITSEC,刘作康,97,EAL1,功能测试,EAL1,适用于安全的威胁并不严重的场合,TOE,的功能与其文档在形式上是一致的，并且对已标识的威胁提供了有效的保护。,利用功能和接口的规范以及指导性文档，对安全功能进行分析，进行独立性测试,保证组件：,ACM_CAP.1,版本号,ADO_IGS.1,安装、生成和启动程序,ADV_FSP.1,非形式化功能规范,ADV_RCR.1,非形式化对应性论证,AGD_ADM.1,管理员指南,AGD_USR.1,用户指南,ATE_IND.1,一致性,CNITSEC,刘作康,98,安全保证级别1(,EAL1),CNITSEC,刘作康,99,EAL2,结构测试,EAL2,适用于在缺乏现成可用的完整的开发记录时，开发者或使用者需要一种低到中等级别的独立保证的安全性。,增加：,ACM_CAP.2,配置项,ADO_DEL.1,交付程序,ADV_HLD.1,描述性高层设计*,ATE_COV.1,范围证据,ATE_FUN.1,功能测试,ATE_IND.2,独立性测试,抽样,AVA_SOF.1 TOE,安全功能强度评估*,AVA_VLA.1,开发者脆弱性分析*,CNITSEC,刘作康,100,安全保证级别2(,EAL2),CNITSEC,刘作康,101,