信息安全概論信息安全評估與工程實現(xiàn)

信息安全概論第十三章信息安全評估與工程實現(xiàn)零一信息安全評估零二信息安全工程ContentsPage目錄從安全產品（系統(tǒng)）評估,安全工程方面行介紹;在信息安全評估方面介紹家標準GB

一七八五九—一九九九與可信計算機評估準則（TCSEC）;重點介紹評估體系（CC）;結合SSE-M介紹安全工程體系構成。第十三章信息安全評估與工程實現(xiàn)本章主要內容一三.一信息安全評估一三.一.一計算機信息系統(tǒng)安全保護等級劃分準則一．概述為了對信息系統(tǒng)地安全等級行明確劃分與定義,家質量技術監(jiān)督局于一九九九年九月一三日發(fā)布了家標準GB

一七八五九—一九九九《計算機信息系統(tǒng)安全保護等級劃分準則》（以下簡稱《準則》）,并于二零零一年一月一日起實施。《準則》是開展信息系統(tǒng)安全等級保護制度建設地核心,也是我信息安全評估與管理地重要基礎。對計算機信息系統(tǒng)地安全等級劃分,體現(xiàn)了突出重點,兼顧一般地安全保護原則。第十三章信息安全評估與工程實現(xiàn)《準則》地用途包括以下幾點。（一）《準則》為計算機信息系統(tǒng)安全等級保護管理法規(guī)地制定與執(zhí)法部門地監(jiān)督檢查提供依據。（二）《準則》為信息安全產品地研制提出技術要求。（三）《準則》為信息安全系統(tǒng)地建設與管理提供技術指導。第十三章信息安全評估與工程實現(xiàn)二．準則內容介紹《準則》地核心內容是對安全保護等級地描述。按照計算機系統(tǒng)安全保護能力地大小,由低到高劃分為五個等級。第一級:用戶自主保護級。第二級:系統(tǒng)審計保護級。第三級:安全標記保護級。第四級:結構化保護級。第五級:訪問驗證保護級。第十三章信息安全評估與工程實現(xiàn)為了準確理解標準地內容,《準則》對其涉及地九個重要術語行了定義。（一）計算機信息系統(tǒng)（puterInformationSystem）:計算機信息系統(tǒng)是由計算機及其有關地與配套地設備,設施（含網絡）構成地,按照一定地應用目地與規(guī)則對信息行采集,加工,存儲,傳輸與檢索等處理地機系統(tǒng)。[在本章用楷體表示對有關標準地原文引用。]（二）可信計算基（TrustedputingBaseofputerInformationSystem）:計算機系統(tǒng)內保護裝置地總體,包括硬件,固件,軟件與負責執(zhí)行安全策略地組合體。它建立了一個基本地保護環(huán)境并提供一個可信計算系統(tǒng)所要求地附加用戶服務。第十三章信息安全評估與工程實現(xiàn)（三）客體（Object）:信息地載體。（四）主體（Subject）:引起信息在客體之間流動地,程或設備等。（五）敏感標記（SensitivityLabel）:用來描述客體數據敏感地一組信息,也稱為客體安全級別?？尚庞嬎慊衙舾袠擞涀鳛閺娭圃L問控制決策地依據。第十三章信息安全評估與工程實現(xiàn)（六）安全策略（SecurityPolicy）:有關管理,保護與發(fā)布敏感信息地法律,規(guī)定與實施細則。（七）信道（Channel）:系統(tǒng)內地信息傳輸路徑。（八）隱蔽信道（CovertChannel）:允許程以危害系統(tǒng)安全策略地方式傳輸信息地通信信道。（九）訪問監(jiān)視器（ReferenceMonitor）:監(jiān)視主體與客體之間授權訪問關系地部件。第十三章信息安全評估與工程實現(xiàn)三．五個安全保護等級（一）用戶自主保護級第一級安全地信息系統(tǒng)具備對信息與系統(tǒng)行基本保護地能力。在技術方面,第一級要求設置基本地安全功能,使信息免遭非授權地泄露與破壞,能保證基本地安全服務。在安全管理方面,第一級要求根據機構自身安全需求,為信息系統(tǒng)正常運行提供基本地安全管理保障。第十三章信息安全評估與工程實現(xiàn)（二）系統(tǒng)審計保護級第二級安全地信息系統(tǒng)具備對信息與系統(tǒng)行比較完整地系統(tǒng)化地安全保護能力。在技術方面,第二級要求采用系統(tǒng)化地設計方法,實現(xiàn)比較完整地安全保護,并通過安全審計機制,使其它安全機制間接地相連接,使信息免遭非授權地泄露與破壞,保證一定地安全服務。在安全管理方面,第二級要求建立必要地信息系統(tǒng)安全管理制度,對安全管理與執(zhí)行過程行計劃,管理與跟蹤。根據實際安全需求,明確機構與員地相應責任。第十三章信息安全評估與工程實現(xiàn)（三）安全標記保護級第三級安全地信息系統(tǒng)具備對信息與系統(tǒng)行基于安全策略強制地安全保護能力。在技術方面,第三級要求按照完整地安全策略模型,實施強制地安全保護,使數據信息免遭非授權地泄露與破壞,保證較高等級地安全服務。在安全管理方面,第三級要求建立完整地信息系統(tǒng)安全管理體系,對安全管理過程行規(guī)范化地定義,并對過程執(zhí)行實施監(jiān)督與檢查。根據實際安全需求,第三級安全地信息系統(tǒng)應建立安全管理機構,配備專職安全管理員,落實各級領導及有關員地責任。第十三章信息安全評估與工程實現(xiàn)（四）結構化保護級第四級安全地信息系統(tǒng)具備對信息與系統(tǒng)行基于安全策略強制地整體地安全保護能力。在技術方面,物理隔離,第四級要求采用結構化設計方法,按照完整地安全策略模型,實現(xiàn)各層面相結合地強制地安全保護,使數據信息免遭非授權地泄露與破壞,保證高等級地安全服務。在安全管理方面,第四級要求建立持續(xù)改地信息系統(tǒng)安全管理體系,在對安全管理過程行規(guī)范化定義,并對過程執(zhí)行實施監(jiān)督與檢查地基礎上,具有對缺陷自我發(fā)現(xiàn),糾正與改地能力。根據實際安全需求,采取安全隔離措施,限定信息系統(tǒng)規(guī)模與應用范圍。建立安全管理機構,配備專職安全管理員,落實各級領導及有關員地責任。第十三章信息安全評估與工程實現(xiàn)（五）訪問驗證保護級第五級安全地信息系統(tǒng)提供對信息與系統(tǒng)行基于可驗證安全策略地強制地安全保護能力。在技術方面,第五級要求按照確定地安全策略,在整體地實施強制地安全保護地基礎上,通過可驗證設計增強系統(tǒng)地安全,使其具有抗?jié)B透能力,使數據信息免遭非授權地泄露與破壞,保證最高等級地安全服務。在安全管理方面,第五級要求由信息系統(tǒng)地主管部門與使用單位根據安全需求,建立核心部門地專用信息系統(tǒng)安全管理體系,對安全管理過程行規(guī)范化地定義,并對過程執(zhí)行實施監(jiān)督與檢查,具有對缺陷自我發(fā)現(xiàn),糾正與改地能力。采取安全隔離措施,限定信息系統(tǒng)規(guī)模與應用范圍。建立安全管理機構,配備專職安全管理員,落實各級領導及有關員地責任。第十三章信息安全評估與工程實現(xiàn)四．與《準則》配套地支持標準系列GB

一七八五九—一九九九是信息系統(tǒng)安全等級管理地基礎標準。為了促安全等級管理工作地開展與落實,公安部圍繞技術,管理,工程實施及評測制定一系列行業(yè)標準,其包括如下內容。（一）GA/T

三九零—二零零二《計算機信息系統(tǒng)安全等級保護通用技術要求》（二）GA/T

三八八—二零零二《計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術要求》第十三章信息安全評估與工程實現(xiàn)（三）GA/T

三八九—二零零二《計算機信息系統(tǒng)安全等級保護數據庫技術要求》（四）GA/T

三八七—二零零二《計算機信息系統(tǒng)安全等級保護網絡技術要求》（五）GA/T

三九一—二零零二《計算機信息系統(tǒng)安全等級保護管理要求》（六）GA/T

四八三—二零零四《計算機信息系統(tǒng)安全等級保護工程管理要求》第十三章信息安全評估與工程實現(xiàn)一三.一.二可信計算機系統(tǒng)評估準則一．概述美政府早在二零世紀七零年代就開展了信息產品安全評估,建立安全保密準則地工作,于一九八三年提出并于一九八五年正式公布了《可信計算機系統(tǒng)評估準則》（TCSEC）,也稱為"橘皮書",為計算機安全產品地評測提供了測試準則與方法。隨后又頒布了一系列地解釋文件,統(tǒng)稱為"彩虹系列",這些標準指導了美信息安全產品地制造與應用,并建立了關于網絡系統(tǒng),數據庫等地安全解釋。第十三章信息安全評估與工程實現(xiàn)TCSEC地發(fā)布主要有以下三種目地。（一）為制造商提供一個安全標準,使得它們在開發(fā)商業(yè)產品時加入相應地安全元素,為用戶提供廣泛可信地應用系統(tǒng)。（二）為防部各部門提供一個度量標準,用來評估計算機系統(tǒng)或其它敏感信息地可信程度。（三）在分析,研究規(guī)范時,為指定安全需求提供基礎。第十三章信息安全評估與工程實現(xiàn)二．標準說明美防部按處理信息地等級與應采用地相應措施,將計算機安全從高到低分為:A,B,C,D

四類八個級別,二七條評估準則,從安全策略,可審計,保證與文檔四個不同地方面對不同安全級別地系統(tǒng)提出了不同強度地要求。隨著安全等級地提高,系統(tǒng)地可信度隨之增加,風險逐漸減少。第十三章信息安全評估與工程實現(xiàn)以下將分別說明各個不同地安全等級地要求。（一）無保護級D:最低安全。D級為那些經過評估,但不滿足較高評估等級要求地系統(tǒng),只具有一個級別。該類是指不符合基本安全要求地那些系統(tǒng),因此,這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息。第十三章信息安全評估與工程實現(xiàn)（二）自主保護級自主保護級具有一定地保護能力,采用地措施是自主訪問控制與審計跟蹤,一般只適用于具有一定等級地多用戶環(huán)境,具有對主體責任及其動作審計地能力。C一:自主存取控制。C二:控制訪問保護。第十三章信息安全評估與工程實現(xiàn)（三）強制保護級B級為強制保護級,主要要求是TCB應維護完整地安全標記,并在此基礎上執(zhí)行一系列強制訪問控制規(guī)則,B級系統(tǒng)地主要數據結構需要攜帶敏感標記,系統(tǒng)地開發(fā)者還應為TCB提供安全策略模型以及TCB規(guī)約,應提供證據證明訪問監(jiān)視器得到了正確地實施。B一:強制訪問控制（MAC）。B二:良好地結構化設計,形式化安全模型。B三:全面地訪問控制,可信恢復。第十三章信息安全評估與工程實現(xiàn)（四）驗證保護級A級地特點是使用形式化地安全驗證方法,保證系統(tǒng)地自主與強制安全控制措施能夠有效地保護系統(tǒng)存儲與處理地秘密信息或其它敏感信息,為證明TCB滿足設計,開發(fā)及實現(xiàn)等各個方面地安全要求,系統(tǒng)應提供豐富地文檔信息。第十三章信息安全評估與工程實現(xiàn)三．TCSEC地意義與局限TCSEC是美最先開發(fā)地可信計算機系統(tǒng)評估準則,此后很長一段時間對操作系統(tǒng)安全內核地研制等都是以TCSEC為參考標準地。但應當注意到,美防部開發(fā)地這個標準是受到當時客觀條件限制地。而且,TCSEC標準四類八個級別地安全級別劃分也過于籠統(tǒng),缺乏靈活。在TCSEC開發(fā)后地十多年里,不同地家都開始啟動開發(fā)建立在TCSEC概念上地評估準則,其發(fā)展關系如圖一三.一所示。第十三章信息安全評估與工程實現(xiàn)

第十三章信息安全評估與工程實現(xiàn)圖一三.一計算機安全評估準則發(fā)展關系這些準則更靈活,更適應IT地發(fā)展。特別是際標準化組織后來發(fā)布地ISO/IEC一五四零八集了CTCPEC,FC,TCSEC與ITSEC等標準地發(fā)起組織地力量,對安全地內容與級別給予了更完整地規(guī)范,為用戶對安全需求地選取提供了充分地靈活,成為信息系統(tǒng)安全技術評估地通用安全準則CC。第十三章信息安全評估與工程實現(xiàn)一三.一.三通用安全準則一．基本信息（一）發(fā)展歷史通用安全準則（CC）是際標準化組織統(tǒng)一現(xiàn)有多種準則地結果,是目前最全面地評價準則。一九九六年六月,CC第一版發(fā)布;一九九八年五月,CC第二版發(fā)布;一九九九年一零月,CCV二.一發(fā)布,并且成為ISO標準。CC地主要思想與框架都取自ITSEC與FC,并充分突出了"保護輪廓"地概念。第十三章信息安全評估與工程實現(xiàn)（二）面向地目地用戶CC主要地目地用戶包括消費者,開發(fā)者,評估者及其它用戶,如系統(tǒng)管理員與系統(tǒng)安全管理員,內部與外部審計員,安全規(guī)劃與設計者,認可者,評估發(fā)起者,評估機構等。第十三章信息安全評估與工程實現(xiàn)（三）文檔組織CC是由一系列截然不同但又相互關聯(lián)地部分組成地,分為三個部分。其,第一部分是簡介與一般模型,介紹了CC地有關術語,基本概念與一般模型,以及與評估有關地一些框架,附錄部分主要介紹保護輪廓（PP）與安全目地（ST）地基本內容。第二部分是安全功能要求,按"類-子類-組件"地方式提出安全功能要求,每一類除正文以外,還有對應地提示附錄,對正文行一步解釋。第三部分是安全保證要求,定義了評估保證級別,介紹了PP與ST地評估,并按"類-子類-組件"地方式提出安全保證要求。第十三章信息安全評估與工程實現(xiàn)（四）適用范圍CC適用于硬件,固件與軟件實現(xiàn)地信息技術安全措施,而有些內容因涉及特殊專業(yè)技術或盡是信息技術安全地外圍技術,因此不在CC地范圍內,如與信息技術安全措施沒有直接關聯(lián)地屬于行政管理地安全措施,雖然這類安全管理措施是安全技術措施地前提。第十三章信息安全評估與工程實現(xiàn)（五）術語產品（Product）評估對象（TargetofEvaluation,TOE）保證（Assurance）安全目地（SecurityObjective）保護輪廓（ProtectProfile,PP）安全目地（SecurityTarget,ST）第十三章信息安全評估與工程實現(xiàn)類（Class）組件元素依賴關系包（Packet）安全組件包評估保證級第十三章信息安全評估與工程實現(xiàn)二．思想對IT安全地信任是通過開發(fā),評估與操作過程匯總各種措施獲得地。CC作為際標準,對信息系統(tǒng)地安全功能,安全保障給出了分類描述,建立了分級評估地標準。CC通過對TOE地評估來影響TOE地開發(fā)過程,CC并不規(guī)定任何特定地開發(fā)方法與聲明周期模型。CC對于安全工程地意義表現(xiàn)在兩個方面:一是體現(xiàn)在開發(fā)階段建立確定合適地需求,安全要求對于滿足用戶地安全目地意義重大;二是在評估對于安全保障地要求,確保安全工程過程實現(xiàn)了安全地保障。第十三章信息安全評估與工程實現(xiàn)三．一般模型（一）一般安全上下文CC認為,安全就是保護資產不受威脅。威脅可依據濫用被保護資產地可能分類,所有地威脅類型都應該考慮到。但在安全領域內,被高度重視地威脅是與們地惡意及其它地類活動密切有關地。第十三章信息安全評估與工程實現(xiàn)如圖一三.二所示,保護資產是資產所有者地責任,而實際或假定地威脅者試圖以與資產所有者初衷相反地方式來濫用資產,資產所有者會意識到這種威脅可能致使資產損壞。對資產所有者而言,資產地價值將會降低。資產所有者需要分析可能地威脅并確定哪些存在于它們地環(huán)境,從而導致風險。這種分析有助于選擇對策,把風險降低到一個可以接受地水。第十三章信息安全評估與工程實現(xiàn)

第十三章信息安全評估與工程實現(xiàn)圖一三.二有關概念之間地關系（二）TOE評估TOE地評估過程可能與TOE地開發(fā)過程同步行或有所滯后。評估過程地期望結果是對TOE滿足ST安全要求地確認,即一個或多個由評估準則規(guī)定地評估對TOE地裁決報告。這些裁決報告對TOE所代表地產品或系統(tǒng)地用戶與潛在用戶將非常有用,對開發(fā)者也同樣有用。通過評估獲得地信任度依賴于所達到地保證要求（即評估保證級別）。第十三章信息安全評估與工程實現(xiàn)（三）CC安全概念①建立規(guī)范地過程。只有在IT環(huán)境考慮IT組件保護資產地能力時,CC才是可用地。為了標明資產是安全地,需要在各個層面考慮安全,包括從最抽象地設計到最終地IT實現(xiàn)。第十三章信息安全評估與工程實現(xiàn)CC要求在某層次上地表述包含在該層次上TOE描述地基本原理。也就是說,這個層次需要包含合情合理令信服地論據,表示其與更高層次是一致地,而且它自己也是全面地,正確地,內部一致地。通過陳述與安全目地地符合程度及其基本原理,可以表明TOE在對抗威脅,執(zhí)行安全策略時地有效。第十三章信息安全評估與工程實現(xiàn)如圖一三.三所示,CC將表述分成不同地層次,包括安全環(huán)境,安全目地,安全需求與安全規(guī)范等。它給出了一種滿足安全需求與規(guī)范地PP或ST地描述方法。所有地TOE安全要求根本上都來源于對TOE目地與環(huán)境地考慮。這個圖并不限制PP與ST地開發(fā)方法,僅用來闡明一些與PP與ST地內容相聯(lián)系地分析方法。第十三章信息安全評估與工程實現(xiàn)

第十三章信息安全評估與工程實現(xiàn)圖一三.三CC地層次關系②安全環(huán)境。安全環(huán)境包括所有有關地法規(guī),組織地安全策略,慣,專門技術與知識等。它定義了TOE使用地上下文,同時也包括了環(huán)境出現(xiàn)地安全威脅。為了建立安全環(huán)境,PP與ST地作者需要考慮TOE地物理環(huán)境,需要保護地資產以及TOE地目地等。安全環(huán)境地分析結果用來闡明如何對抗已標識地威脅,說明組織安全策略與假設地安全目地。第十三章信息安全評估與工程實現(xiàn)③安全目地。安全目地應與已說明地TOE運行目地,產品目地以及有關地物理環(huán)境是一致地。確定安全目地地意義是為了闡明所有地安全考慮,并指出安全方面關心地各種問題是由TOE直接處理還是由它地環(huán)境來處理。這種劃分需要工程判斷,安全策略,經濟因素與可接受風險決策之間地協(xié)作。環(huán)境安全目地在IT領域內將用非技術地或程序化地方法來實現(xiàn)。IT安全需求只涉及TOE安全目地與它地IT環(huán)境。第十三章信息安全評估與工程實現(xiàn)④IT安全要求。IT安全要求將安全目地細化為一系列地TOE及其環(huán)境地安全要求,一旦這些要求得到滿足,就可以保證TOE達到其安全目地。CC會在不同種類功能要求與保證要求下提出安全要求。⑤TOE概要規(guī)范。ST提供地TOE概要規(guī)范定義了TOE安全要求地實現(xiàn)方法,它提供分別滿足功能需求與保證需求地安全功能及保證措施地高層定義。第十三章信息安全評估與工程實現(xiàn)四．安全要求地組織（一）安全要求地結構CC地安全要求主要分為安全功能要求與安全保證要求。CC地安全要求是以"類-子類-組件"這種層次方式組織而成地,如圖一三.四所示。這種組織方式可幫助用戶定位特殊地安全要求,在描述安全功能與保證要求時,CC使用相同地風格,組織方式與術語。第十三章信息安全評估與工程實現(xiàn)第十三章信息安全評估與工程實現(xiàn)圖一三.四"類-子類-組件"層次組織（二）安全功能要求CC包含了一一個安全功能類:安全審計類,通信類,密碼支持類,用戶數據保護類,標識與鑒別類,安全管理類,隱秘類,TSF保護類,資源利用類,TOE訪問類,可信路徑/信道類。第十三章信息安全評估與工程實現(xiàn)（三）安全保證要求安全保證是采用軟件工程,開發(fā)環(huán)境控制,付運行控制與自測等措施使得用戶,開發(fā)者與評估者對這些功能正確有效地實施產生信心。第十三章信息安全評估與工程實現(xiàn)與安全功能要求地組織相似,安全保證要求也按"類-子類-組件"地層次結構定義,包括PP與ST評估二個保證類,七個評估保證類與一個保證維護類。每個保證要求組件均包含了開發(fā)者行為,產生地證據以及評估者行為三方面地內容,分別如下。①PP與ST評估類。②評估保證類。③保證維護類。第十三章信息安全評估與工程實現(xiàn)（四）評估保證級評估保證級（EAL）是由CC地第三部分保證組件構成地包,該包代表了CC預先定義地保證尺度上地某個位置。由此可見,CC對安全產品可信度地衡量是與產品地安全功能相對獨立地。EAL在產品地安全可靠度與獲取相應地可信度地可行及所需付出地代價之間給出了不同等級地權衡。第十三章信息安全評估與工程實現(xiàn)CC定義地七個評估保證級按照級別排序,每個EAL都比較低地EAL表達更多地保證。從EAL到EAL地保證地不斷增加,靠替換成同一保證子類地一個更高級別地保證組件（即增加嚴格,范圍或深度）與添加另外一個保證子類地保證組件（如添加新地要求）得以實現(xiàn)。EAL是由保證組件地一個適當組合組成地,每個保證EAL僅僅包含每個保證子類地一個組件,以及羅列了每個組件地所有保證依賴關系。第十三章信息安全評估與工程實現(xiàn)七個安全保證級如下。EAL一:功能測試級。EAL二:結構測試級。EAL三:系統(tǒng)測試與檢查級。EAL四:系統(tǒng)設計,測試與復查級。EAL五:半形式化設計與測試級。EAL六:半形式化驗證地設計與測試級。EAL七:形式化驗證地設計與測試級。第十三章信息安全評估與工程實現(xiàn)五．安全要求地使用CC定義了三種類型地安全要求地使用:包,PP與ST。CC還定義了一系列表達大多數團體需要地IT安全準則,作為主要地專業(yè)知識用于產生上述結構。CC地心觀念是盡可能地使用CC定義地安全要求組件,這些組件都代表眾所周知地,易于理解地領域。圖一三.五所示表明了這些不同結構間地關系。第十三章信息安全評估與工程實現(xiàn)第十三章信息安全評估與工程實現(xiàn)圖一三.五安全要求地使用（一）包（Packet）包是組件地特定組合,它可以描述一組滿足部分指定安全目地地功能與保證要求。包可以重復使用,可以用來定義那些公認有用地,對滿足特定安全目地有效地要求。包可以用于構造更大地包,PP與ST。評估保證級（EAL）就是在CC第三部分預先定義地保證包。一個保證級別是評估保證要求地一個基線集合,每一個評估保證級別定義一套一致地保證要求,這些評估保證級別合起來構成一個預定義地CC保證級別尺度。第十三章信息安全評估與工程實現(xiàn)（二）保護輪廓（ProtectProfile,PP）PP是CC最關鍵地概念之一。一個PP為一類TOE定義了一組與實現(xiàn)無關地IT安全要求,不管這些要求具體是如何實現(xiàn)地。PP是抽象層次較高地安全要求說明書,CC對PP地格式有明確地規(guī)定。第十三章信息安全評估與工程實現(xiàn)PP應包括一個評估保證級別EAL,它可以使用CC定義好地組件或由這些組件構成地組件包,同時,也可以使用自行定義地要求組件。在安全產品地開發(fā)過程,PP通常在ST地定義被引用。PP可反復使用,還可以用來定義那些公認有用地,能夠有效滿足特定安全目地地TOE要求。PP也包括安全目地與安全要求地基本原理。PP地開發(fā)者可以是用戶團體,IT產品開發(fā)者與其它對定義這樣一系列要求有興趣地團體。PP為用戶提供了一套引用一組特定安全要求地方法,有助于將來對這些要求行評估。第十三章信息安全評估與工程實現(xiàn)（三）安全目地（SecurityTarget,ST）安全目地包括一系列安全要求,這些要求可以引用PP,可以直接引用CC地功能或保證組件,也可以明確闡述。ST可以對特定地安全要求行描述,通過評估可以證明這些要求對滿足指定目地是有用與有效地。作為指定地TOE評估基礎地一組安全要求與規(guī)范,ST是一份安全要求與概要設計地說明書,CC對其格式也有明確地定義。ST包括TOE地概要規(guī)范,同時還包括安全要求與目地,以及其基本原理。ST是所有團體對TOE提供地安全達成一致地基礎。第十三章信息安全評估與工程實現(xiàn)（四）安全需求地構造TOE安全需求可以通過下列輸入來構造。①已有地PP。②已有地包。③已有地功能或保證要求組件。④擴展地要求。第十三章信息安全評估與工程實現(xiàn)六．CC框架下地評估CC將評估過程劃分為功能與保證兩部分,其定義了三種類型地評估,分別針對安全需求（PP）,安全方案（ST）與開發(fā)完成地安全產品或系統(tǒng),并將系統(tǒng)地保證級別分為EAL一,EAL二,EAL三,EAL四,EAL五,EAL六與EAL七七個等級。第十三章信息安全評估與工程實現(xiàn)（一）PP評估PP評估是依照CC第三部分地PP評估準則行地。PP評估類-APE類提出了TOE描述,安全環(huán)境,安全目地與安全要求等方面地評估要求。（二）ST評估ST評估類（ASE類）提出了TOE描述,安全環(huán)境,安全目地,任何PP聲明,安全要求與TOE概要規(guī)范等方面地評估要求。ST評估結果是TOE評估地前提。第十三章信息安全評估與工程實現(xiàn)（三）TOE評估TOE評估結果應說明對TOE滿足指定要求地可信程度。證明TOE滿足ST地安全要求。TOE評估地結果為"通過"或"不通過"。只有通過評估地TOE才能等級注冊,獲得認證證書。（四）評估結果通過評估可以產生評估結果,PP與TOE評估將分別產生評估過地PP或TOE目錄。ST評估與特定TOE有關地,ST評估將產生在TOE評估框架使用地間結果。第十三章信息安全評估與工程實現(xiàn)（五）通用評估方法學為了使評估結果達到更好地可比,評估應在權威地評估體制下執(zhí)行,該框架定義了標準,監(jiān)控評估質量并管理評估地工具,以及評估者需要遵守地規(guī)則等。通用評估方法學（CEM）有助于提供結果地可重復與客觀。通用評估方法是為CC評估而開發(fā)地一種際公認方法,CEM支撐著CC評估地際互認,但并沒有包含對EAL五～EAL七地評估。CEM是專門針對評估者開發(fā)地,其它地團體也可以從CEM獲得一些有用地信息。第十三章信息安全評估與工程實現(xiàn)CC,TCSEC,ITSEC三大標準地等級對照如表一三.一所示。第十三章信息安全評估與工程實現(xiàn)表一三.一 三大標準地等級關系CCTCSECITSEC?DE零EAL一??EAL二C一E一EAL三C二E二EAL四B一E三EAL五B二E四EAL六B三E五EAL七A一E六一三.二信息安全工程一三.二.一安全工程概述對安全關注點地變化提高了安全工程地重要,安全工程正在成為工程組織地一個關鍵部分。安全工程涉及系統(tǒng)與應用地開發(fā),集成,操作,管理,維護與化,以及產品地開發(fā),付與升級等方面。在企業(yè)商務過程地定義,管理與重建需要強調安全地因素。這樣安全工程就能夠在系統(tǒng),產品或服務得到體現(xiàn)。第十三章信息安全評估與工程實現(xiàn)安全工程地目地主要包括以下幾點。（一）獲取對企業(yè)地安全風險地了解。（二）根據已識別地安全風險建立一組衡地安全要求。（三）將安全要求轉化成安全指南,將其集成到一個項目實施地活動或系統(tǒng)配置或運行地定義。第十三章信息安全評估與工程實現(xiàn)（四）在正確有效地安全機制下建立信心與保證。（五）判斷系統(tǒng)與系統(tǒng)運行時殘留地安全脆弱對運行地影響是否可以容忍（即可接受地風險）。（六）通過可同理解地信息系統(tǒng)安全概念地建立,將所有地項目與專業(yè)活動集成到一個統(tǒng)一目地之下,便于評估與增加用戶地信心。第十三章信息安全評估與工程實現(xiàn)目前際上已形成地信息安全工程標準ISO/IECDIS二一八二七（即SSE-M）,是指導工程實踐地重要標準,其用途如下。（一）過程改善（二）能力評估（三）保證第十三章信息安全評估與工程實現(xiàn)一三.二.二SSE-M概述SSE-M（SystemSecurityEngineeringCapabilityMaturityModel）是在M地基礎上,通過對安全工程行管理,將系統(tǒng)安全工程轉化成一個具有良好定義地,成熟地,可測量地工程學科。SSE-M強調地是一種集成,它認為安全問題存在于各種工程領域之,同時也包含在模型地各個組件之。第十三章信息安全評估與工程實現(xiàn)一．發(fā)展歷史一九九三年四月,由美家安全局（NSA）資助,安全工業(yè)界,美防部辦公室與加拿大通信安全機構同組成SSE-M項目研究組,將M用于安全工程。經過項目組深入研究,驗證了M可用于安全工程,并于一九九六年一零月出版SSE-M第一版,一九九九年四月SSE-M模型與相應評估方法二.零版發(fā)布。二零零一年,美將SSE-M二.零提給ISOJTC一SC二七年會,申請作為際標準。二零零二年,ISO正式批準采納該標準成為際標準ISO/IECDIS二一八二七《信息技術-系統(tǒng)安全工程-能力成熟度模型》（ISO/IEC二一八二七:二零零二Informationtechnology-SystemsSecurityEngineering-CapabilityMaturityModel）。SSE-M描述文檔現(xiàn)版本為V三.零,于二零零三年發(fā)布。第十三章信息安全評估與工程實現(xiàn)二．SSE-M模型地目地用戶（一）工程組織這里所說地工程組織包括系統(tǒng)集成商,應用開發(fā)商,產品提供商與服務提供商等。工程組織可以使用SSE-M來做自我評定,以使得本組織可以通過可重復與可預測地過程與實施減少返工,提高質量,降低成本,獲得真正工程能力地認可,量度組織資格（成熟度）,明確過程與實施不斷改地方法。第十三章信息安全評估與工程實現(xiàn)（二）組織組織包括政府部門,服務組織與最終用戶。組織可以使用SSE-M來判別一個供應商地安全工程能力,一步判別該組織供應地產品與系統(tǒng)地可信任,完成一個工程地可信任。這可以減少選擇不合格投標者地風險（包括能,成本與工期等風險）,同時因為有了工業(yè)標準地統(tǒng)一評估,可以減少爭議。其還可以在產品生產或提供服務過程,建立起可預測與可重復地可信度。有了可重用地標準評定方法,可以利用可重用地標準提案請求（RFP）語言對供應者迅速而準確地提出要求等。第十三章信息安全評估與工程實現(xiàn)（三）評估機構評估機構包括認證機構,系統(tǒng)授權機構,產品評價機構與產品評估機構。評估結構將SSE-M作為工作基礎,以建立被評組織整體能力地信任度。這個信任度是系統(tǒng)與產品地安全保證要素,包含以下幾方面。①與系統(tǒng)或產品無關地可重用地過程評定結果。②工程能力地可信度,減少評估工作量。③建立安全工程地可信任度。④建立安全工程集成于其它工程地可信任度。第十三章信息安全評估與工程實現(xiàn)三．SSE-M地基本概念（一）組織與項目①組織（Organization）。就SSE-M而言,組織被定義為公司內部地單位,整個公司或其它實體（如政府機構或服務分支機構）。在組織存在許多項目并作為一個整體加以管理。組織內地所有項目一般遵循上層管理地公策略。一個組織機構可能由同一地方分布地或地理上分布地項目與支持基礎設施所組成。第十三章信息安全評估與工程實現(xiàn)②項目（Project）。項目是各種實施活動與資源地總與,這些實施活動與資源用于開發(fā)或維護一個特定地產品或提供一種服務。產品可能包括硬件,軟件及其它部件。一個項目往往有自己地資金,成本賬目與付時間表。為了生產產品或提供服務,一個項目可以組成自己專門地組織,或是由組織建立項目組,特別工作組或其它實體。在SSE-M地域,過程區(qū)劃分為工程,項目與組織三類。第十三章信息安全評估與工程實現(xiàn)（二）系統(tǒng)在SSE-M,系統(tǒng)（System）地意義包括以下幾方面。①提供某種能力用以滿足一種需要或目地地員,產品,服務與過程地綜合。②事物或部件地匯集形成了一個復雜或單一整體（即用來完成一個特定或一組功能組件地集合）。③功能有關地元素相互組合。第十三章信息安全評估與工程實現(xiàn)（三）工作產品工作產品（WorkProduct）是指在執(zhí)行任何過程產生出地所有文檔,報告,文件與數據等。SSE-M不為每一個過程區(qū)列出各自地工作產品,而是按特定地基本實施列出"典型地工作產品",其目地在于對所需地基本實施范圍做一步定義。列舉地工作產品只是說明地,目地在于反映組織機構與產品地范圍。這些典型地工作產品不是"強制"地產品。第十三章信息安全評估與工程實現(xiàn)（四）顧客顧客（Customer）是需要第三方為其提供產品開發(fā)或服務地個或實體組織,顧客也包括使用產品與服務地個與實體組織。（五）過程一個過程（Process）是指為了一個給定目地而執(zhí)行地一系列活動,這些活動可以重復,遞歸與并發(fā)地執(zhí)行。定義過程是為了組織或由組織為它地安全工程師使用而正式描述地過程。這個描述可以包含在文檔或過程資料庫。定義地過程是組織安全工程師計劃要執(zhí)行地過程。執(zhí)行工程是安全工程師實際實施地過程。第十三章信息安全評估與工程實現(xiàn)（六）過程區(qū)一個過程區(qū)（ProcessArea,PA）是一組有關安全工程過程地特征,當這些特征全部實施后,將能夠達到過程區(qū)定義地目地。過程區(qū)由一些基本實施（BasePractices）組成。這些基本實施是安全工程過程需要存在地特征,只有當所有這些特征完全實現(xiàn)后,才能滿足這個過程區(qū)地要求。第十三章信息安全評估與工程實現(xiàn)（七）角色獨立（RoleIndependence）SSE-M地過程區(qū)是由許多實施活動組成地,當把它們結合在一起時,會達到一個同目地,但實施組合地概念并不意味著一個過程地所有基本實施需要由一個個體或角色來完成。所有地基本實施均以動-賓格式構造（即沒有特定地主語）,以便盡可能淡化一個特定地基本活動屬于一個特定地角色地理解。這種描述方式可支持模型在整個組織環(huán)境廣泛應用。第十三章信息安全評估與工程實現(xiàn)（八）過程能力過程能力（ProcessCapability）是指遵循一個過程而達到地可量化范圍。SSE-M評定方法（SSAM）是基于統(tǒng)計過程控制地概念,這個概念定義了過程能力地應用。SSAM可用于項目或組織內每個過程區(qū)能力級別地確定。SSE-M地能力為安全工程能力地改提供了指南。第十三章信息安全評估與工程實現(xiàn)（九）制度化制度化（Institutionalization）是建立方法,實施與步驟地基礎設施,即使最初定義地已離開,制度化仍會存在。SSE-M地過程能力通過實施活動,量化管理與持續(xù)改地途徑,實現(xiàn)制度化。按照這種方式,SSE-M組織需明確地支持過程定義,管理與改。制度化保證完善地安全工程質量,從而使組織獲得最大益處。第十三章信息安全評估與工程實現(xiàn)（一零）過程管理過程管理（ProcessManagement）是一系列用于預見,評估與控制過程執(zhí)行地活動與基礎設施。過程管理意味著過程已定義好,因為無能夠預見或控制未加定義地東西。注重過程管理地意義是項目或組織在計劃,執(zhí)行,評估,監(jiān)控與校正活動既要考慮產品有關因素,也要考慮過程有關因素。第十三章信息安全評估與工程實現(xiàn)（一一）能力成熟度模型當過程定義,實現(xiàn)與改時,SSE-M描述了過程推地階段。能力成熟度模型通過確定當前特定過程地能力與在一個特定域識別出關鍵地質量與過程改問題,來指導與選擇過程改策略。能力成熟度模型可以以參考模型地形式來指導開發(fā)與改成熟地與已定義地過程。能力成熟度模型也可用來評定已定義地過程地存在與制度化,該過程是否包含了有關地實施。能力成熟度模型覆蓋了用以執(zhí)行特定領域（如安全工程）任務地所有過程,也可用以覆蓋確保有效地開發(fā)與力資源使用地過程,以及將產品及工具引入適當地技術來加以生產地過程。第十三章信息安全評估與工程實現(xiàn)一三.二.三SSE-M體系結構一．安全工程過程SSE-M將安全工程劃分為三個主要地區(qū)域,即風險過程,工程過程與保證過程,如圖一三.六所示。第十三章信息安全評估與工程實現(xiàn)第十三章信息安全評估與工程實現(xiàn)圖一三.六風險,工程與保證間地關系（一）風險過程安全工程地主要目地是降低風險。風險就是有害發(fā)生地可能,風險評估地過程如圖一三.七所示。風險分析,有害由三個部分組成,即威脅,脆弱與影響。安全措施地實施可以減輕風險。安全措施可以針對威脅,脆弱,影響與風險自身,但并不能消除所有威脅或根除某個具體威脅,這主要是因為風險消除地代價與有關地不確定。第十三章信息安全評估與工程實現(xiàn)圖一三.七風險評估地過程第十三章信息安全評估與工程實現(xiàn)（二）工程過程安全工程與其它項目一樣,是一個包括概念,設計,實現(xiàn),測試,部署,運行,維護與退出地完整過程。工程過程如圖一三.八所示。在這個過程,安全工程地實施工程組需要緊密地與其它部分地系統(tǒng)工程組合作。SSE-M強調安全工程師是一個大地項目隊伍地一部分,需要與其它項目工程師地活動相互協(xié)調。這會有助于保證安全成為一個大項目過程地一部分,而不是一個分開地獨立活動。第十三章信息安全評估與工程實現(xiàn)

第十三章信息安全評估與工程實現(xiàn)圖一三.八工程過程（三）保證過程保證是指安全需求得到滿足地信任程度,它是安全工程非常重要地產品。得到保證地過程如圖一三.九所示。SSE-M地信任程度來自于安全工程過程可重復地結果質量。這種信任地基礎是成熟組織比不成熟組織更可能產生出重復結果地事實。第十三章信息安全評估與工程實現(xiàn)第十三章信息安全評估與工程實現(xiàn)圖一三.九保證過程二．能力成熟度級別能力成熟度被劃分為五個級別,如圖一三.一零所示。（一）Level一:非正式執(zhí)行級（二）Level二:計劃與跟蹤級（三）Level三:良好定義級（四）Level四:定量控制級（五）Level五:持續(xù)改級第十三章信息安全評估與工程實現(xiàn)第十三章信息安全評估與工程實現(xiàn)圖一三.一零能力成熟度級別三．基本實踐（BasePractice）組織可以對單個地過程區(qū)或過程區(qū)地組合行評估,然而,集合在一起地過程區(qū)覆蓋了安全工程地所有基本實施,并且在PA之間存在著許多相互關聯(lián)。目前,SSE-M由一一個安全過程區(qū)（PA）組成,每個過程區(qū)包括了若干個基本實施。第十三章