《操作系統(tǒng)安全測(cè)評(píng)》

操作系統(tǒng)平安第九章操作系統(tǒng)平安測(cè)評(píng)引言平安功能作為平安操作系統(tǒng)所應(yīng)提供的一個(gè)重要功能組成局部，業(yè)界對(duì)于它和其他功能的要求是不同的。平安操作系統(tǒng)的一個(gè)平安漏洞，可能致使整個(gè)系統(tǒng)所有的平安控制變得毫無價(jià)值，并且一旦這個(gè)漏洞如果被蓄意入侵者發(fā)現(xiàn)，就會(huì)產(chǎn)生巨大危害，所以要求能及時(shí)發(fā)現(xiàn)這些平安漏洞并且對(duì)這些漏洞作出響應(yīng)。引言9.1操作系統(tǒng)漏洞掃描與平安評(píng)測(cè)操作系統(tǒng)平安漏洞掃描的主要目的是：自動(dòng)評(píng)估由于操作系統(tǒng)的固有缺陷或配置方式不當(dāng)所導(dǎo)致的平安漏洞。掃描軟件在每臺(tái)機(jī)器上運(yùn)行，通過一系列測(cè)試手段來探查每一臺(tái)機(jī)器，發(fā)現(xiàn)潛在的平安缺陷。它從操作系統(tǒng)的角度評(píng)估單機(jī)的平安環(huán)境并生成所發(fā)現(xiàn)的平安漏洞的詳細(xì)報(bào)告。我們可以使用掃描軟件對(duì)平安策略和實(shí)際實(shí)施進(jìn)行比較，并給出建議采取相應(yīng)措施來堵塞平安漏洞。9.1.1操作系統(tǒng)漏洞掃描四個(gè)方面1關(guān)鍵系統(tǒng)文件完整性的威脅掃描軟件可以檢查關(guān)鍵系統(tǒng)文件是否在非授權(quán)的情況下被修改，這種檢查提供了檢測(cè)漏洞的一種手段。2木馬程序黑客入侵電腦后經(jīng)常會(huì)在系統(tǒng)文件中內(nèi)嵌木馬程序，這種程序潛伏在電腦中，受外部用戶控制以竊取本機(jī)信息，占用系統(tǒng)資源，降低電腦效能，給計(jì)算機(jī)的平安構(gòu)成很大威脅。掃描軟件可以檢查操作系統(tǒng)中是否存在這種應(yīng)用程序。9.1.1操作系統(tǒng)漏洞掃描四個(gè)方面3可疑文件黑客入侵電腦后會(huì)留下蹤跡，掃描軟件能夠檢測(cè)到這些蹤跡。4系統(tǒng)設(shè)置錯(cuò)誤文件系統(tǒng)常常被設(shè)置成沒有平安性，由于設(shè)置不正確導(dǎo)致存在潛在的平安漏洞。掃描軟件能夠檢查系統(tǒng)設(shè)置是否正確，檢測(cè)平安漏洞。9.1.2操作系統(tǒng)平安性評(píng)測(cè)〔1〕需求1：平安策略必須有一個(gè)明確的、確定的和良好定義的由系統(tǒng)實(shí)施的平安策略?！?〕需求2：識(shí)別系統(tǒng)必須唯一可靠的識(shí)別每一個(gè)主體〔3〕需求3：標(biāo)記為指明每一個(gè)客體的平安級(jí)別，系統(tǒng)按照強(qiáng)制存取控制規(guī)那么，必須給每一個(gè)客體加一個(gè)標(biāo)簽。9.1.2操作系統(tǒng)平安性評(píng)測(cè)〔4〕需求4：審計(jì)系統(tǒng)對(duì)影響平安的事件必須維持完全和平安的記錄〔5〕需求5：保證系統(tǒng)必須包含某些硬件和軟件的平安機(jī)制，以便保證以上四項(xiàng)根本要求被正確實(shí)施?！?〕需求6：連續(xù)保護(hù)實(shí)現(xiàn)這些根本需求的平安性機(jī)制必須受到連續(xù)保護(hù)以防止篡改和未經(jīng)批準(zhǔn)的改變。9.2評(píng)測(cè)技術(shù)我們說一個(gè)操作系統(tǒng)是平安的，是指它滿足某一給定的平安策略。一個(gè)操作系統(tǒng)的平安性是與設(shè)計(jì)密切相關(guān)的，只有有效保證從設(shè)計(jì)者到用戶都相信設(shè)計(jì)準(zhǔn)確地表達(dá)了模型，而代碼準(zhǔn)確地表達(dá)了設(shè)計(jì)時(shí)，該操作系統(tǒng)才可以說是平安的，這也是平安操作系統(tǒng)評(píng)測(cè)的主要內(nèi)容。評(píng)測(cè)操作系統(tǒng)平安性的技術(shù)有三種：入侵測(cè)試形式化驗(yàn)證非形式化確認(rèn)1.入侵測(cè)試在這種方法中，“老虎〞小組成員試圖“摧毀〞正在測(cè)試中的平安操作系統(tǒng)?！袄匣ⅷ曅〗M成員應(yīng)當(dāng)掌握操作系統(tǒng)典型的平安漏洞，并試圖發(fā)現(xiàn)并利用系統(tǒng)中的這些平安缺陷。操作系統(tǒng)在某一次入侵測(cè)試中失效，那么說明它內(nèi)部有錯(cuò)。相反地，操作系統(tǒng)在某一次入侵測(cè)試中不失效，并不能保證系統(tǒng)中沒有任何錯(cuò)誤。入侵測(cè)試在確定錯(cuò)誤存在方面是非常有用的。一般來說，評(píng)價(jià)一個(gè)計(jì)算機(jī)系統(tǒng)平安性能的上下，應(yīng)從如下兩個(gè)方面進(jìn)行。(1)平安功能:系統(tǒng)具有哪些平安功能。(2)可信性:平安功能在系統(tǒng)中得以實(shí)現(xiàn)的可被信任的程度。通常通過文檔標(biāo)準(zhǔn)、系統(tǒng)測(cè)試、形式化驗(yàn)證等平安保證來說明。2.形式化驗(yàn)證分析操作系統(tǒng)平安性最精確的方法是形式化驗(yàn)證。在形式化驗(yàn)證中，平安操作系統(tǒng)被簡(jiǎn)化為一個(gè)要證明的“定理〞。定理斷言該平安操作系統(tǒng)是正確的，即它提供了所應(yīng)提供的平安特性。但是證明整個(gè)平安操作系統(tǒng)正確性的工作量是巨大的。另外，形式化驗(yàn)證也是一個(gè)復(fù)雜的過程，對(duì)于某些大的實(shí)用系統(tǒng)，試圖描述及驗(yàn)證它都是十分困難的，特別是那些在設(shè)計(jì)時(shí)并未考慮形式化驗(yàn)證的系統(tǒng)更是如此。3.非形式化確認(rèn)確認(rèn)是比驗(yàn)證更為普遍的術(shù)語。它包括驗(yàn)證，但它也包括其他一些不太嚴(yán)格的讓人們相信程序正確性的方法。完成一個(gè)平安操作系統(tǒng)確實(shí)認(rèn)有如下幾種不同的方法。(1)平安需求檢查：通過源代碼或系統(tǒng)運(yùn)行時(shí)所表現(xiàn)的平安功能，交叉檢查操作系統(tǒng)的每個(gè)平安需求。其目標(biāo)是認(rèn)證系統(tǒng)所做的每件事是否都在功能需求表中列出，這一過程有助于說明系統(tǒng)僅作了它應(yīng)該做的每件事。但是這一過程并不能保證系統(tǒng)沒有做它不應(yīng)該做的事情。3.非形式化確認(rèn)(2)設(shè)計(jì)及代碼檢查：設(shè)計(jì)者及程序員在系統(tǒng)開發(fā)時(shí)通過仔細(xì)檢查系統(tǒng)設(shè)計(jì)或代碼，試圖發(fā)現(xiàn)設(shè)計(jì)或編程錯(cuò)誤。例如不正確的假設(shè)、不一致的動(dòng)作或錯(cuò)誤的邏輯等。這種檢查的有效性依賴于檢查的嚴(yán)格程度。(3)模塊及系統(tǒng)測(cè)試：在程序開發(fā)期間，程序員或獨(dú)立測(cè)試小組挑選數(shù)據(jù)檢查操作系統(tǒng)的平安性。必須組織測(cè)試數(shù)據(jù)以便檢查每條運(yùn)行路線、每個(gè)條件語句、所產(chǎn)生的每種類型的報(bào)表、每個(gè)變量的更改等。在這個(gè)測(cè)試過程中要求以一種有條不紊的方式檢查所有的實(shí)體。9.3操作系統(tǒng)平安級(jí)別為了對(duì)現(xiàn)有計(jì)算機(jī)系統(tǒng)的平安性進(jìn)行統(tǒng)一的評(píng)價(jià)，為計(jì)算機(jī)系統(tǒng)制造商提供一個(gè)有權(quán)威的系統(tǒng)平安性標(biāo)準(zhǔn)，需要有一個(gè)計(jì)算機(jī)系統(tǒng)平安評(píng)測(cè)準(zhǔn)那么。美國國防部于1983年推出了歷史上第一個(gè)計(jì)算機(jī)平安評(píng)價(jià)標(biāo)準(zhǔn)?可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)準(zhǔn)那么〔TrustedComputerSystemEvaluationCriteria，TCSEC〕?，又稱橘皮書。TCSEC將計(jì)算機(jī)操作系統(tǒng)平安分為四大類〔A、B、C、D〕，D、C1、C2、B1、B2、B3和A1七個(gè)級(jí)別。1操作系統(tǒng)平安級(jí)別D類：無保護(hù)最低平安性，無任何平安保護(hù)，不再分級(jí)。不滿足任何較高平安可信性的系統(tǒng)全部劃入D級(jí)。該級(jí)別說明整個(gè)系統(tǒng)都是不可信任的，對(duì)硬件來說，沒有任何保護(hù)作用，操作系統(tǒng)容易受到損害，不提供身份驗(yàn)證和訪問控制。例如，MS-DOS、MacintoshSystem7.x等操作系統(tǒng)屬于這個(gè)級(jí)別。1操作系統(tǒng)平安級(jí)別C類：自定式保護(hù)該等級(jí)具有一定的保護(hù)能力，采用自主訪問控制和審計(jì)跟蹤的措施。該類的平安特點(diǎn)在于系統(tǒng)的對(duì)象〔如文件、目錄〕可由其主體〔如系統(tǒng)管理員、用戶、應(yīng)用程序〕自定義訪問權(quán)。自主保護(hù)類依據(jù)平安從低到高又分為C1、C2兩個(gè)平安等級(jí)?！?〕C1：自主平安保護(hù)，主存取控制。〔2〕C2：自主訪問保護(hù)，較完善的自主存取控制〔DAC〕、審計(jì)。C1平安等級(jí)又稱自主平安保護(hù)〔discretionarysecurityprotection〕系統(tǒng)，實(shí)際上描述了一個(gè)典型的UNIX系統(tǒng)上可用的平安評(píng)測(cè)級(jí)別。對(duì)硬件來說，存在某種程度的保護(hù)。用戶必須通過用戶注冊(cè)名和口令系統(tǒng)識(shí)別，這種組合用來確定每個(gè)用戶對(duì)程序和信息擁有什么樣的訪問權(quán)限。具體地說，這些訪問權(quán)限是文件和目錄的許可權(quán)限〔permission〕。存在一定的自主存取控制機(jī)制〔DAC〕，這些自主存取控制使得文件和目錄的擁有者或者系統(tǒng)管理員，能夠阻止某個(gè)人或幾組人訪問哪些程序或信息。UNIX的“owner/group/other〞存取控制機(jī)制，即是一種典型的事例。C1平安等級(jí)但是這一級(jí)別沒有提供阻止系統(tǒng)管理賬戶行為的方法，結(jié)果是不審慎的系統(tǒng)管理員可能在無意中損害了系統(tǒng)的平安。另外，在這一級(jí)別中，許多日常系統(tǒng)管理任務(wù)只能通過超級(jí)用戶執(zhí)行。由于系統(tǒng)無法區(qū)分哪個(gè)用戶以root身份注冊(cè)系統(tǒng)執(zhí)行了超級(jí)用戶命令，因而容易引發(fā)信息平安問題，且出了問題以后難以追究責(zé)任。C2平安等級(jí)又稱受控制的存取控制系統(tǒng)。它具有以用戶為單位的DAC機(jī)制，且引入了審計(jì)機(jī)制。除C1包含的平安特征外，C2級(jí)還包含其他受控訪問環(huán)境〔controlled-accessenvironment〕的平安特征。該環(huán)境具有進(jìn)一步限制用戶執(zhí)行某些命令或訪問某些文件的能力，這不僅基于許可權(quán)限，而且基于身份驗(yàn)證級(jí)別。另外，這種平安級(jí)別要求對(duì)系統(tǒng)加以審計(jì)，包括為系統(tǒng)中發(fā)生的每個(gè)事件編寫一個(gè)審計(jì)記錄。審計(jì)用來跟蹤記錄所有與平安有關(guān)的事件，比方那些由系統(tǒng)管理員執(zhí)行的活動(dòng)。1操作系統(tǒng)平安級(jí)別B類：強(qiáng)制式保護(hù)B類為強(qiáng)制保護(hù)類〔mandatoryprotection)。該類的平安特點(diǎn)在于由系統(tǒng)強(qiáng)制的平安保護(hù)，在強(qiáng)制保護(hù)模式中，每個(gè)系統(tǒng)對(duì)象〔如文件、目錄等資源〕及主體〔如系統(tǒng)管理員、用戶、應(yīng)用程序〕都有自己的平安標(biāo)簽〔securitylabel〕，系統(tǒng)那么依據(jù)主體和對(duì)象的平安標(biāo)簽賦予訪問者對(duì)訪問對(duì)象的存取權(quán)限。強(qiáng)制保護(hù)類依據(jù)平安從低到高又分為B1、B2、B3這3個(gè)平安等級(jí)。B1平安等級(jí)B1級(jí)或標(biāo)記平安保護(hù)〔labeledsecurityprotection〕級(jí)：B1級(jí)要求具有C2級(jí)的全部功能，并引入強(qiáng)制型存取控制〔MAC〕機(jī)制，以及相應(yīng)的主體、客體平安級(jí)標(biāo)記和標(biāo)記管理。B1級(jí)是支持多級(jí)平安〔比方秘密和絕密〕的第一個(gè)級(jí)別，這一級(jí)別說明一個(gè)處于強(qiáng)制性訪問控制之下的對(duì)象，不允許文件的擁有者改變其存取許可權(quán)限。B2平安等級(jí)B2級(jí)或結(jié)構(gòu)保護(hù)〔structuredprotection〕級(jí)：B2級(jí)要求具有形式化的平安模型、描述式頂層設(shè)計(jì)說明〔DTDS〕、更完善的MAC機(jī)制、可信通路機(jī)制、系統(tǒng)結(jié)構(gòu)化設(shè)計(jì)、最小特權(quán)管理、隱蔽通道分析和處理等平安特征。B2級(jí)要求計(jì)算機(jī)系統(tǒng)中所有的對(duì)象都加標(biāo)記，而且給設(shè)備〔如磁盤、磁帶或終端〕分配單個(gè)或多個(gè)平安級(jí)別。B3平安等級(jí)B3級(jí)或平安域〔securitydomain〕級(jí)：B3級(jí)要求具有全面的存取控制〔訪問監(jiān)控〕機(jī)制、嚴(yán)格的系統(tǒng)結(jié)構(gòu)化設(shè)計(jì)及TCB最小復(fù)雜性設(shè)計(jì)、審計(jì)實(shí)時(shí)報(bào)告機(jī)制、更好地分析和解決隱蔽通道問題等平安特征。B3使用安裝硬件的方法增強(qiáng)域的平安性，例如，內(nèi)存管理硬件用于保護(hù)平安域以防止無授權(quán)訪問或?qū)ζ渌桨灿驅(qū)ο蟮男薷?。該?jí)別也要求用戶的終端通過一條可信任途徑連接到系統(tǒng)上。A1平安等級(jí)A類為驗(yàn)證保護(hù)類〔verifydesign〕：A類是當(dāng)前橘皮書中最高的平安級(jí)別，它包含了一個(gè)嚴(yán)格的設(shè)計(jì)、控制和驗(yàn)證過程。與前面提到的各級(jí)別一樣。這一級(jí)包含了較低級(jí)別的所有特性。設(shè)計(jì)必須是從數(shù)學(xué)上經(jīng)過驗(yàn)證的，而且必須進(jìn)行隱蔽通道和可信任分布的分析。可信任分布〔trusteddistribution〕的含義是，硬件和軟件在傳輸過程中已經(jīng)受到保護(hù)，不可能破壞平安系統(tǒng)。驗(yàn)證保護(hù)類只有一個(gè)平安等級(jí)，即A1級(jí)。A1級(jí)要求具有系統(tǒng)形式化頂層設(shè)計(jì)說明〔FTDS〕，并形式化驗(yàn)證FTDS與形式化模型的一致性，以及用形式化技術(shù)解決隱蔽通道問題等。中國國標(biāo)GB17859—1999我國于1999年10月19日發(fā)布了?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么?GB17859-1999〔ClassifiedcriteriaforsecurityprotectionofComputerinformationsystem〕，規(guī)定了計(jì)算機(jī)信息系統(tǒng)平安保護(hù)能力的五個(gè)等級(jí)：第一級(jí)：用戶自主保護(hù)級(jí)第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)第三級(jí)：平安標(biāo)記保護(hù)級(jí)第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)中國國標(biāo)GB17859—1999美國國防部采購的系統(tǒng)要求其平安級(jí)別至少到達(dá)B類，商業(yè)用途的系統(tǒng)也追求到達(dá)C類平安級(jí)別。但是，國外廠商向我國推銷平安功能符合TCSECB類和以上級(jí)別的計(jì)算機(jī)系統(tǒng)是限制的。因此，自主開發(fā)符合TCSEC中B類平安功能的平安操作系統(tǒng)一直是我國近幾年來研究的熱點(diǎn)。TCSEC從B1到B2的升級(jí)，在美國被認(rèn)為是平安操作系統(tǒng)設(shè)計(jì)開發(fā)中，單級(jí)增強(qiáng)最為困難的一個(gè)階段。我國國標(biāo)根本上是參照美國TCSEC制定的，但將計(jì)算機(jī)信息系統(tǒng)平安保護(hù)能力劃分為5個(gè)等級(jí)，第五級(jí)是最高平安等級(jí)。一般認(rèn)為我國GB17859—1999的第四級(jí)對(duì)應(yīng)于TCSECB2級(jí)，第五級(jí)對(duì)應(yīng)于TCSECB3級(jí)。1.第一級(jí)：用戶自主保護(hù)級(jí)每個(gè)用戶對(duì)屬于自己的客體具有控制權(quán)，如不允許其他用戶寫他的文件而允許其他用戶讀他的文件。存取控制的權(quán)限可基于3個(gè)層次：客體的屬主、同組用戶、其他任何用戶。系統(tǒng)中的用戶必須用一個(gè)注冊(cè)名和一個(gè)口令驗(yàn)證其身份，目的在于標(biāo)明主體是以某個(gè)用戶的身份進(jìn)行工作的，防止非授權(quán)用戶登錄系統(tǒng)。確保非授權(quán)用戶不能訪問和修改“用來控制客體存取的敏感信息〞和“用來進(jìn)行用戶身份鑒別的數(shù)據(jù)〞。2.第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)(1)自主存取控制的粒度更細(xì)。(2)審計(jì)機(jī)制。審計(jì)系統(tǒng)中受保護(hù)客體被訪問的情況〔包括增加、刪除等〕，用戶身份鑒別機(jī)制的使用，系統(tǒng)管理員、系統(tǒng)平安管理員、操作員的對(duì)系統(tǒng)的操作，以及其他與系統(tǒng)平安有關(guān)的事件。要確保審計(jì)日志不被非授權(quán)用戶訪問和破壞。(3)TCB對(duì)系統(tǒng)中的所有用戶進(jìn)行惟一標(biāo)識(shí)〔如id號(hào)〕，系統(tǒng)能通過用戶標(biāo)識(shí)號(hào)確認(rèn)相應(yīng)的用戶。(4)客體重用。釋放一個(gè)客體時(shí)，將釋放其目前所保存的信息；當(dāng)它再次分配時(shí)，新主體將不能據(jù)此獲得其原主體的任何信息。3.第三級(jí)：平安標(biāo)記保護(hù)級(jí)(1)強(qiáng)制存取控制機(jī)制。(2)在網(wǎng)絡(luò)環(huán)境中，要使用完整性敏感標(biāo)記確保信息在傳送過程中沒有受損。(3)系統(tǒng)要提供有關(guān)平安策略模型的非形式化描述。(4)在系統(tǒng)中，主體對(duì)客體的訪問要同時(shí)滿足強(qiáng)制訪問控制檢查和自主訪問控制檢查。(5)在審計(jì)記錄的內(nèi)容中，對(duì)客體增加和刪除事件要包括客體的平安級(jí)別。另外，TCB對(duì)可讀輸出記號(hào)〔如輸出文件的平安級(jí)標(biāo)記等〕的更改要能審計(jì)。4.第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)(1)可信計(jì)算基建立于一個(gè)明確定義的形式化平安策略模型之上。(2)對(duì)系統(tǒng)中的所有主體和客體實(shí)行自主訪問控制和強(qiáng)制訪問控制。(3)進(jìn)行隱蔽存儲(chǔ)信道分析。(4)為用戶注冊(cè)建立可信通路機(jī)制。(5)TCB必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素。TCB的接口定義必須明確，其設(shè)計(jì)和實(shí)現(xiàn)要能經(jīng)受更充分的測(cè)試和更完整的復(fù)審。(6)支持系統(tǒng)管理員和操作員的職能劃分，提供了可信功能管理。4.第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)具體內(nèi)容如下所示?！褡灾髟L問控制。同第三級(jí)“平安標(biāo)記保護(hù)級(jí)〞?！駨?qiáng)制訪問控制。TCB對(duì)外部主體能夠直接或間接訪問的所有資源實(shí)施強(qiáng)制訪問控制?！裆矸蓁b別。同第三級(jí)“平安標(biāo)記保護(hù)級(jí)〞?！窨腕w重用。同第三級(jí)“平安標(biāo)記保護(hù)級(jí)〞。●審計(jì)。同第三級(jí)“平安標(biāo)記保護(hù)級(jí)〞，但增加了審計(jì)隱蔽存儲(chǔ)信道事件?！耠[蔽通道分析。系統(tǒng)開發(fā)者應(yīng)徹底搜索隱蔽存儲(chǔ)信道，并確定每一個(gè)被標(biāo)識(shí)信道的最大帶寬?！窨尚怕窂?。對(duì)用戶的初始登錄〔如login〕，TCB在它與用戶之間提供可信通信路徑，使用戶確信與TCB進(jìn)行通信。5.第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)(1)TCB滿足參照監(jiān)視器需求，它仲裁主體對(duì)客體的全部訪問，其本身足夠小，能夠分析和測(cè)試。在構(gòu)建TCB時(shí)，要去除那些對(duì)實(shí)施平安策略不必要的代碼，在設(shè)計(jì)和實(shí)現(xiàn)時(shí)，從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度。(2)擴(kuò)充審計(jì)機(jī)制，當(dāng)發(fā)生與平安相關(guān)的事件時(shí)能發(fā)出信號(hào)。(3)系統(tǒng)具有很強(qiáng)的抗?jié)B透能力。9.3.1平安評(píng)測(cè)開展過程9.3.2美國橘皮書TCSEC9.3.2美國橘皮書TCSEC9.3.2美國橘皮書TCSEC9.3.2美國橘皮書TCSEC加拿大標(biāo)準(zhǔn)加拿大政府設(shè)計(jì)開發(fā)了自己的可信任計(jì)算機(jī)標(biāo)準(zhǔn)——加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)估標(biāo)準(zhǔn)〔CanadianTrustedComputerProductEvaluationCriteria,CTCPEC〕。CTCPEC提出了在開發(fā)或評(píng)估過程中產(chǎn)品的功能〔functionality〕和保證〔assurance〕。功能包括機(jī)密〔confidentiality〕、完整性〔integrity〕、可用性〔availability〕和可追究性〔accountability〕。保證說明平安產(chǎn)品實(shí)現(xiàn)平安策略的可信程度。9.3.4通用平安評(píng)價(jià)準(zhǔn)那么CC美國聯(lián)合荷、法、德、英、加等國，于1991年1月宣布了制定通用平安評(píng)價(jià)準(zhǔn)那么〔CommonCriteriaforITSecurityEvaluation，CC〕的方案。1996年1月發(fā)布了CC的1.0版。它的根底是歐洲的ITSEC、美國的TCSEC、加拿大的CTCPEC，以及國際標(biāo)準(zhǔn)化組織ISOSC27WG3的平安評(píng)價(jià)標(biāo)準(zhǔn)。1999年7月，國際標(biāo)準(zhǔn)化組織ISO將CC2.0作為國際標(biāo)準(zhǔn)——ISO/IEC15408公布。CC標(biāo)準(zhǔn)提出了“保護(hù)輪廓〞，將評(píng)估過程分為“功能〞和“保證〞兩局部，是目前最全面的信息技術(shù)平安評(píng)估標(biāo)準(zhǔn)。1.CC的目標(biāo)讀者CC的目標(biāo)讀者主要包括TOE用戶、TOE開發(fā)者和TOE評(píng)估者。其他讀者包括系統(tǒng)管理員和平安管理員、內(nèi)部和外部審計(jì)員、平安規(guī)劃和設(shè)計(jì)者、評(píng)估發(fā)起人和評(píng)估機(jī)構(gòu)。用戶可以利用評(píng)估結(jié)果，判斷一個(gè)系統(tǒng)和產(chǎn)品是否滿足他們的平安需求，可以通過評(píng)估結(jié)