計算機(jī)系統(tǒng)安全評價標(biāo)準(zhǔn)

第14章

安全評價標(biāo)準(zhǔn)主要內(nèi)容可信計算機(jī)系統(tǒng)評價標(biāo)準(zhǔn)通用評估準(zhǔn)則CC我國信息系統(tǒng)安全評價標(biāo)準(zhǔn)計算機(jī)系統(tǒng)的提供者需要對他們的產(chǎn)品的安全特性進(jìn)行說明，而用戶則需要驗證這些安全特性的可靠性。國際上有多種為計算機(jī)安全系統(tǒng)構(gòu)筑獨立審查措施的安全評價體系,其內(nèi)容和發(fā)展深刻地反映了對信息安全問題的認(rèn)識程度。14.1可信計算機(jī)系統(tǒng)評價標(biāo)準(zhǔn)1985年12月美國國防部公布了評價安全計算機(jī)系統(tǒng)的六項標(biāo)準(zhǔn)。這套標(biāo)準(zhǔn)的文獻(xiàn)名稱即為“可信計算機(jī)系統(tǒng)評價標(biāo)準(zhǔn)”（TrustedComputerSystemEvaluationCriteria，簡記為TCSEC），又稱為橘皮書。14.1.1TCSEC的主要概念1．考核標(biāo)準(zhǔn)（1）安全策略（SecurityPolicy）（2）標(biāo)識（Identification）（3）標(biāo)記（Marking）（4）可記賬性（Accountability）（5）保障機(jī)制（Assurance）（6）連續(xù)性保護(hù)（ContinuousProtection）2．主要概念安全性可信計算基(TCB)自主訪問控制（DiscretionaryAccessControl，DAC）強(qiáng)制訪問控制（MandatoryAccessControl，MAC）隱蔽信道3．系統(tǒng)模型主體審計信息訪問監(jiān)控器監(jiān)控器數(shù)據(jù)基：（用戶權(quán)限表、訪問控制表）客體14.1.2計算機(jī)系統(tǒng)的安全等級TCSEC將可信計算機(jī)系統(tǒng)的評價規(guī)則劃分為四類，即安全策略、可記賬性、安全保證措施和文檔根據(jù)計算機(jī)系統(tǒng)對上述各項指標(biāo)的支持情況及安全性相近的特點，TCSEC將系統(tǒng)劃分為四類(Division)七個等級1．D安全級最低級別,一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)，統(tǒng)統(tǒng)歸于D級。2．C1安全級只提供了非常初級的自主安全保護(hù),稱為自主安全保護(hù)系統(tǒng),現(xiàn)有的商業(yè)系統(tǒng)往往稍作改進(jìn)即可滿足要求。3．C2安全級稱為可控控安全保保護(hù)級，，是安全全產(chǎn)品的的最低檔檔次很多商業(yè)業(yè)產(chǎn)品已已得到該該級別的的認(rèn)證。。達(dá)到C2級的產(chǎn)品品在其名名稱中往往往不突突出“安安全”(Security)這一特色色4．B1安全級又稱為帶帶標(biāo)記的的訪問控控制保護(hù)護(hù)級，其其在C2級的基礎(chǔ)礎(chǔ)上增加加了或加加強(qiáng)了標(biāo)標(biāo)記、強(qiáng)強(qiáng)制訪問問控制、、審計、、可記賬賬性和保保障等功功能。B1級能夠較較好地滿滿足大型型企業(yè)或或一般政政府部門門對數(shù)據(jù)據(jù)的安全全需求，，這一級級別的產(chǎn)產(chǎn)品才被被認(rèn)為是是真正意意義上的的安全產(chǎn)產(chǎn)品。滿滿足此級級別的產(chǎn)產(chǎn)品前一一般多冠冠以“安安全”(Security)或“可信信的”(Trusted)字樣他們都采用強(qiáng)制保護(hù)控制機(jī)制。B2安全級稱為結(jié)構(gòu)構(gòu)化保護(hù)護(hù)級。該該級系統(tǒng)統(tǒng)的設(shè)計計中把系系統(tǒng)內(nèi)部部結(jié)構(gòu)化化地劃分分成明確確而大體體上獨立立的模塊塊，并采采用最小小特權(quán)原原則進(jìn)行行管理。。目前，經(jīng)經(jīng)過認(rèn)證證的B2級以上的的安全系系統(tǒng)非常常稀少。。B3安全級又稱為安安全域保保護(hù)級。。該級的的TCB必須滿足足訪問監(jiān)監(jiān)控器的的要求，，審計跟跟蹤能力力更強(qiáng)，，并提供供系統(tǒng)恢恢復(fù)過程程。A1安全級又稱為可可驗證設(shè)設(shè)計保護(hù)護(hù)級，即即提供B3級保護(hù)的的同時給給出系統(tǒng)統(tǒng)的形式式化設(shè)計計說明和和驗證以以確信各各安全保保護(hù)真正正實現(xiàn)。。14.2通用用評估準(zhǔn)準(zhǔn)則CCCC(CommonCriteriaforInformationTechnologySecurityEvaluation)標(biāo)標(biāo)準(zhǔn)是國國際標(biāo)準(zhǔn)準(zhǔn)化組織織ISO/IECJTC1發(fā)布的的一個標(biāo)標(biāo)準(zhǔn)，是是信息技技術(shù)安全全性通用用評估準(zhǔn)準(zhǔn)則，用用來評估估信息系系統(tǒng)或者者信息產(chǎn)產(chǎn)品的安安全性。。14.2.1CC的的主要用用戶CC的主要用用戶包括括消費者者、開發(fā)發(fā)者和評評估者。。1．消費者消費者可以用用評估結(jié)果來來決定一個已已評估的產(chǎn)品品和系統(tǒng)是否否滿足他們的的安全需求。。2．開發(fā)者CC為開發(fā)者在準(zhǔn)準(zhǔn)備和參與評評估產(chǎn)品或系系統(tǒng)以及確定定每種產(chǎn)品和和系統(tǒng)要滿足足安全需求方方面提供支持持。3．評估者當(dāng)要做出TOE及其安全需求求一致性判斷斷時，CC為評估者提供供了評估準(zhǔn)則則。14.2.2CC的組組成CC分為三個個部分1.簡介和一般模模型:正文介紹了CC中的有關(guān)術(shù)語語、基本概念念和一般模型型以及與評估估有關(guān)的一些些框架，附錄錄部分主要介介紹保護(hù)輪廓廓（PP）和安全目標(biāo)標(biāo)（ST）的基本內(nèi)容容。2.安全功能要求求:按“類-族-組件”的方式式提出安全功功能要求，提提供了表示評評估對象TOE安全功能要求求的標(biāo)準(zhǔn)方法法。3.安全保證要求求:定義了評估保保證級別，建建立了一系列列安全保證組組建作為表示示TOE保證要求的標(biāo)標(biāo)準(zhǔn)方法。CC的三個部分相相互依存，缺缺一不可。14.2.3評估保證證級別EAL評估保證級別別是評估保證證要求的一種種特定組合（（保證包），，是度量保證證措施的一個個尺度，這種種尺度的確定定權(quán)衡了所獲獲得的保證級級別以及達(dá)到到該保證級別別所需的代價價和可能性。。在CC中定義義了7個遞增增的評估保證證級1．EAL1：功能測試試EAL1適用用于對正確運運行需要一定定信任的場合合2.EAL2：結(jié)結(jié)構(gòu)測試要求開發(fā)者遞遞交設(shè)計信息息和測試結(jié)果果，但不需要要開發(fā)者增加加過多的費用用或時間的投投入。3．EAL3：方法測試和和校驗在不需要對現(xiàn)現(xiàn)有的合理的的開發(fā)規(guī)則進(jìn)進(jìn)行實質(zhì)性改改進(jìn)的情況下下，EAL3可使開發(fā)者在在設(shè)計階段能能從正確的安安全工程中獲獲得最大限度度的保證。4．EAL4：系統(tǒng)地設(shè)計計、測試和評評審基于良好而嚴(yán)嚴(yán)格的商業(yè)開開發(fā)規(guī)則，在在不需額外增增加大量專業(yè)業(yè)知識、技巧巧和其他資源源的情況下，，開發(fā)者從正正確的安全工工程中所獲得得的保證級別別最高可達(dá)到到EAL4。5．EAL5：半形式化設(shè)設(shè)計和測試適當(dāng)應(yīng)用專業(yè)業(yè)性的一些安安全工程技術(shù)術(shù)，并基于嚴(yán)嚴(yán)格的商業(yè)開開發(fā)實踐，EAL5可使開發(fā)者從從安全工程中中獲得最大限限度的保證。。6．EAL6：半形式化驗驗證的設(shè)計和和測試EAL6允許開發(fā)者通通過在一個嚴(yán)嚴(yán)格的開發(fā)環(huán)環(huán)境中使用安安全工程技術(shù)術(shù)來獲得高度度保證，以便便生產(chǎn)一個優(yōu)優(yōu)異的TOE來保護(hù)高價值值的資源避免免重大的風(fēng)險險。7．EAL7：形式化驗證證的設(shè)計和測測試EAL7適用于在極端端高風(fēng)險的形形勢下，并且且所保護(hù)的資資源價值極高高，值得花費費更高的開銷銷進(jìn)行安全TOE的開發(fā)。14.2.4CC的特特點CC比起早期期的評估準(zhǔn)則則其特點體現(xiàn)現(xiàn)在其結(jié)構(gòu)的的開放性、表表達(dá)方式的通通用性以及結(jié)結(jié)構(gòu)和表達(dá)方方式的內(nèi)在完完備性和實用用性等四個方方面。14.3我我國信息系統(tǒng)統(tǒng)安全評價標(biāo)標(biāo)準(zhǔn)公安部提出并并組織制定了了強(qiáng)制性國家家標(biāo)準(zhǔn)GB-17859：1999《計算機(jī)信信息安全保護(hù)護(hù)等級劃分準(zhǔn)準(zhǔn)則》，該準(zhǔn)準(zhǔn)則于1999年9月13日經(jīng)國家家質(zhì)量技術(shù)監(jiān)監(jiān)督局發(fā)布，，并于2001年1月1日起實施。。14.3.1所涉及的的術(shù)語（1）計算機(jī)信息息系統(tǒng)（ComputerInformationSystem）：計算機(jī)信信息系統(tǒng)是由由計算機(jī)及其其相關(guān)的和配配套的設(shè)備、、設(shè)施（含網(wǎng)網(wǎng)絡(luò)）構(gòu)成的的，按照一定定的應(yīng)用目標(biāo)標(biāo)和規(guī)則對信信息進(jìn)行采集集、加工、存存儲、傳輸、、檢索等處理理的人機(jī)系統(tǒng)統(tǒng)。（2）計算機(jī)信息息系統(tǒng)可信計計算基（TrustedComputingBaseofComputerInformationSystem）：計算機(jī)系系統(tǒng)內(nèi)保護(hù)裝裝置的總體，，包括硬件、、固件、軟件件和負(fù)責(zé)執(zhí)行行安全策略的的組合體。它它建立了一個個基本的保護(hù)護(hù)環(huán)境并提供供一個可信計計算系統(tǒng)所要要求的附加用用戶服務(wù)。（3）客客體體（（Object）：：信信息息的的載載體體。。（4）主主體體（（Subject）：：引引起起信信息息在在客客體體之之間間流流動動的的人人、、進(jìn)進(jìn)程程或或設(shè)設(shè)備備等等。。所涉涉及及的的術(shù)術(shù)語語（5）敏敏感感標(biāo)標(biāo)記記（（SensitivityLabel）：：表表示示客客體體安安全全級級別別并并描描述述客客體體數(shù)數(shù)據(jù)據(jù)敏敏感感性性的的一一組組信信息息，，可可信信計計算算基基中中把把敏敏感感標(biāo)標(biāo)記記作作為為強(qiáng)強(qiáng)制制訪訪問問控控制制決決策策的的依依據(jù)據(jù)。。（6）安安全全策策略略（（SecurityPolicy）：：有有關(guān)關(guān)管管理理、、保保護(hù)護(hù)和和發(fā)發(fā)布布敏敏感感信信息息的的法法律律、、規(guī)規(guī)定定和和實實施施細(xì)細(xì)則則。。（7）信信道道（（Channel）：：系系統(tǒng)統(tǒng)內(nèi)內(nèi)的的信信息息傳傳輸輸路路徑徑。。（8）隱隱蔽蔽信信道道（（CovertChannel）：：允允許許進(jìn)進(jìn)程程以以危危害害系系統(tǒng)統(tǒng)安安全全策策略略的的方方式式傳傳輸輸信信息息的的通通信信信信道道。。所涉涉及及的的術(shù)術(shù)語語（9）訪訪問問監(jiān)監(jiān)控控器器（（ReferenceMonitor）：：監(jiān)監(jiān)控控主主體體和和客客體體之之間間授授權(quán)權(quán)訪訪問問關(guān)關(guān)系系的的部部件件。。（10）可可信信信信道道（（TrustedChannel）：：為為了了執(zhí)執(zhí)行行關(guān)關(guān)鍵鍵的的安安全全操操作作，，在在主主體體、、客客體體及及可可信信IT產(chǎn)品品之之間間建建立立和和維維護(hù)護(hù)的的保保護(hù)護(hù)通通信信數(shù)數(shù)據(jù)據(jù)免免遭遭修修改改和和泄泄露露的的通通信信路路徑徑。。（11）客客體體重重用用：：在在計計算算機(jī)機(jī)信信息息系系統(tǒng)統(tǒng)可可信信計計算算基基的的空空閑閑存存儲儲客客體體空空間間中中，，對對客客體體初初始始制制定定、、分分配配或或再再分分配配一一個個主主體體之之前前，，撤撤銷銷該該客客體體所所含含信信息息的的所所有有授授權(quán)權(quán)。。當(dāng)當(dāng)主主體體獲獲得得對對一一個個已已被被釋釋放放的的客客體體的的訪訪問問權(quán)權(quán)時時，，當(dāng)當(dāng)前前主主體體不不能能獲獲得得原原主主體體活活動動所所產(chǎn)產(chǎn)生生的的任任何何信信息息。。14.3.2等級級的的劃劃分分及及各各等等級級的的要要求求1．第一一級用用戶戶自主主保護(hù)護(hù)級（1）自主主訪問問控制制（2）身份份鑒別別（3）數(shù)據(jù)據(jù)完整整性2．第二二級系系統(tǒng)統(tǒng)審計計保護(hù)護(hù)級（1）自主主訪問問控制制（2）身份份鑒別別（3）客體體重用用（4）審計計（5）數(shù)據(jù)據(jù)完整整性3．第三三級安安全全標(biāo)記記保護(hù)護(hù)級（1）自主主訪問問控制制（2）強(qiáng)制制訪問問控制制（3）標(biāo)記記（4）身份份鑒別別（5）客體體重用用（6）審計計（7）數(shù)據(jù)據(jù)完整整性4．第四四級結(jié)結(jié)構(gòu)構(gòu)化保保護(hù)級級（1）自主主訪問問控制制（2）強(qiáng)制制訪問問控制制（3）標(biāo)記記（4）身份份鑒別別（5）客客體重重用（6）審計計（7）數(shù)據(jù)據(jù)完整整性（8）隱蔽蔽信道道分析析（9）可信信路徑徑5．第五五級訪訪問問驗證證保護(hù)護(hù)級（1）自主主訪問問控制制（2）強(qiáng)制制訪問問控制制（3）標(biāo)記記（4）身份份鑒別別（5）客客體重重用（6）審計計（7）數(shù)據(jù)據(jù)完整整性（8）隱蔽蔽信道道分析析（9）可信信路徑徑（10）可信信恢復(fù)復(fù)14.3.3對對標(biāo)標(biāo)準(zhǔn)的的分析析從第三三安全全級開開始增增加了了強(qiáng)制制訪問問控制制的要要求，，同時時保留留了自自主訪訪問控控制安安全要要求對于要要求達(dá)達(dá)到第第三級級以上上安全全等級級的系系統(tǒng)，，需要要以強(qiáng)強(qiáng)制訪訪問控控制為為主和TCSEC比較來來看，，第五五等級級更接接近TCSEC中的A1級。9、靜夜四無鄰鄰，荒居舊業(yè)業(yè)貧。。12月-2212月-22Thursday,December29,202210、雨雨中中黃黃葉葉樹樹，，燈燈下下白白頭頭人人。。。。20:49:1820:49:1820:4912/29/20228:49:18PM11、以我獨獨沈久，，愧君相相見頻。。。12月-2220:49:1820:49Dec-2229-Dec-2212、故人人江海海別，，幾度度隔山山川。。。20:49:1820:49:1820:49Thursday,December29,202213、乍見翻翻疑夢，，相悲各各問年。。。12月-2212月-2220:49:1820:49:18December29,202214、他他鄉(xiāng)鄉(xiāng)生生白白發(fā)發(fā)，，舊舊國國見見青青山山。。。。29十十二二月月20228:49:18下下午午20:49:1812月月-2215、比不了得得就不比，，得不到的的就不要。。。。十二月228:49下下午12月-2220:49December29,202216、行動出出成果，，工作出出財富。。。2022/12/2920:49:1820:49:1829December202217、做前，能能夠環(huán)視四四周；做時時，你只能能或者最好好沿著以腳腳為起點的的射線向前前。。8:49:18下下午8:49下下午20:49:1812月-229、沒有有失敗敗，只只有暫暫時停停止成成功?。?。12月月-2212月月-22Thursday,December29,202210、很很多多事事情情努努力力了了未未必必有有結(jié)結(jié)果果，，但但是是不不努努力力卻卻什什么么改改變變也也沒沒有有。。。。20:49:1820:49:1820:4912/29/20228:49:18PM11、成功功就是是日復(fù)復(fù)一日日那一一點點點小小小努力力的積積累。。。12月月-2220:49:1820:49Dec-2229-Dec-2212、世間成事，，不求其絕對對圓滿，留一一份不足，可可得無限完美美。。20:49:1820:49:1820:49Thursday,December29,202213、不知知香積積寺，，數(shù)里里入云云峰。。。12月月-2212月月-2220:49:1820:49:18December29,202214、意志堅強(qiáng)的的人能把世界界放在手中像像泥塊一樣任任意揉捏。29十二月月20228:49:18下午20:49:1812月-2215、楚塞塞三湘湘接，，荊門門九派派通。。。。十二月月228:49下下午午12月月-2220:49December29,202216、少年十五五二十時，，步行奪得得胡馬騎。。。2022/12/2920:49:1820:49:1829December202217、空山新新雨后，，天氣晚晚來秋。。。8:49:18下午午8:49下午午20:49:1812月-229、楊柳柳散和和風(fēng)，，青山山澹吾吾慮。。。12月月-2212月月-22Thursday,December29,202210、閱閱讀讀一一切切好好書書如如同同和和過