信息安全體系結(jié)構(gòu)安全評估課件

1、第第6章章 安全評估安全評估 安全保護(hù)等級劃分準(zhǔn)則安全保護(hù)等級劃分準(zhǔn)則 IT 安全性評估準(zhǔn)則安全性評估準(zhǔn)則6.1 安全保護(hù)等級劃分準(zhǔn)則安全保護(hù)等級劃分準(zhǔn)則 國家標(biāo)準(zhǔn)國家標(biāo)準(zhǔn)GB17859-1999計算機(jī)信息系統(tǒng)安全計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則保護(hù)等級劃分準(zhǔn)則是是中國計算機(jī)信息系統(tǒng)安中國計算機(jī)信息系統(tǒng)安全等級保護(hù)系列標(biāo)準(zhǔn)的核心全等級保護(hù)系列標(biāo)準(zhǔn)的核心，是實行，是實行計算機(jī)信計算機(jī)信息系統(tǒng)安全等級保護(hù)制度建設(shè)的重要基礎(chǔ)息系統(tǒng)安全等級保護(hù)制度建設(shè)的重要基礎(chǔ)，也，也是是信息安全評估和管理的重要基礎(chǔ)信息安全評估和管理的重要基礎(chǔ)。 準(zhǔn)則于準(zhǔn)則于1999年年9月月13日經(jīng)國家質(zhì)量技術(shù)監(jiān)督局發(fā)日經(jīng)國家質(zhì)

2、量技術(shù)監(jiān)督局發(fā)布，并于布，并于2001年年1月月1日起實施。日起實施。 本標(biāo)準(zhǔn)主要有三個目的本標(biāo)準(zhǔn)主要有三個目的: 為計算機(jī)信息系統(tǒng)安全法規(guī)的制定和執(zhí)法部門的監(jiān)為計算機(jī)信息系統(tǒng)安全法規(guī)的制定和執(zhí)法部門的監(jiān)督檢查提供依據(jù)督檢查提供依據(jù); 為安全產(chǎn)品的研制提供技術(shù)支持為安全產(chǎn)品的研制提供技術(shù)支持; 為安全系統(tǒng)的建設(shè)和管理提供技術(shù)指導(dǎo)。為安全系統(tǒng)的建設(shè)和管理提供技術(shù)指導(dǎo)。6.1 安全保護(hù)等級劃分準(zhǔn)則安全保護(hù)等級劃分準(zhǔn)則 標(biāo)準(zhǔn)規(guī)定了計算機(jī)系統(tǒng)安全保護(hù)能力的五個等標(biāo)準(zhǔn)規(guī)定了計算機(jī)系統(tǒng)安全保護(hù)能力的五個等級級第一級：用戶自主保護(hù)級第一級：用戶自主保護(hù)級第二級：系統(tǒng)審計保護(hù)級第二級：系統(tǒng)審計保護(hù)級第三級：安

3、全標(biāo)記保護(hù)級第三級：安全標(biāo)記保護(hù)級第四級：結(jié)構(gòu)化保護(hù)級第四級：結(jié)構(gòu)化保護(hù)級第五級：訪問驗證保護(hù)級第五級：訪問驗證保護(hù)級逐漸增強(qiáng)逐漸增強(qiáng)一些定義一些定義 計算機(jī)信息系統(tǒng)計算機(jī)信息系統(tǒng) 計算機(jī)信息系統(tǒng)是由計算機(jī)及其相關(guān)的和配套的設(shè)計算機(jī)信息系統(tǒng)是由計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。等處理的人機(jī)系統(tǒng)。 計算機(jī)信息系統(tǒng)計算機(jī)信息系統(tǒng)可信計算基可信計算基 trusted computing base of compute

4、r information system 計算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、固件、計算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。它建立了一個軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。它建立了一個基本的保護(hù)環(huán)境并提供一個可信計算系統(tǒng)所要求的基本的保護(hù)環(huán)境并提供一個可信計算系統(tǒng)所要求的附加用戶服務(wù)。附加用戶服務(wù)。一些定義一些定義 客體客體 object：信息的載體。：信息的載體。 主體主體 subject ：引起信息在客體之間流動的人、進(jìn)程：引起信息在客體之間流動的人、進(jìn)程或設(shè)備等。或設(shè)備等。 敏感標(biāo)記敏感標(biāo)記 sensitivity label ：表示客體安全級別并描述：

5、表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，可信計算基中把敏感標(biāo)客體數(shù)據(jù)敏感性的一組信息，可信計算基中把敏感標(biāo)記作為強(qiáng)制訪問控制決策的依據(jù)。記作為強(qiáng)制訪問控制決策的依據(jù)。 安全策略安全策略 security policy ：有關(guān)管理、保護(hù)和發(fā)布敏：有關(guān)管理、保護(hù)和發(fā)布敏感信息的法律、規(guī)定和實施細(xì)則。感信息的法律、規(guī)定和實施細(xì)則。 信道信道 channel ：系統(tǒng)內(nèi)的信息傳輸路徑。：系統(tǒng)內(nèi)的信息傳輸路徑。 隱蔽信道隱蔽信道 covert channel ：允許進(jìn)程以危害系統(tǒng)安全：允許進(jìn)程以危害系統(tǒng)安全策略的方式傳輸信息的通信信道。策略的方式傳輸信息的通信信道。 訪問監(jiān)控器訪問監(jiān)控器 refe

6、rence monitor ：監(jiān)控器主體和客體之：監(jiān)控器主體和客體之間授權(quán)訪問關(guān)系的部件。間授權(quán)訪問關(guān)系的部件。 6.1.1 第一級：用戶自主保護(hù)級第一級：用戶自主保護(hù)級 可信計算基通過隔離用戶與數(shù)據(jù)，使用戶具備可信計算基通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。它具有多種形式的控制自主安全保護(hù)的能力。它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞。用戶對數(shù)據(jù)的非法讀寫與破壞。 自主訪問控制自主訪問控制 可信計算基定義和控制系統(tǒng)

7、中命名用戶對命名客體的訪問?？尚庞嬎慊x和控制系統(tǒng)中命名用戶對命名客體的訪問。 實施機(jī)制（例如：訪問控制表）允許命名用戶以用戶和（或）實施機(jī)制（例如：訪問控制表）允許命名用戶以用戶和（或）用戶組的身份規(guī)定并控制客體的訪問；阻止非授權(quán)用戶讀取用戶組的身份規(guī)定并控制客體的訪問；阻止非授權(quán)用戶讀取敏感信息。敏感信息。 身份鑒別身份鑒別 可信計算基初始執(zhí)行時，首先要求用戶標(biāo)識自己的身份，并可信計算基初始執(zhí)行時，首先要求用戶標(biāo)識自己的身份，并使用保護(hù)機(jī)制（例如：口令）來鑒別用戶的身份，阻止非授使用保護(hù)機(jī)制（例如：口令）來鑒別用戶的身份，阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。

8、數(shù)據(jù)完整性數(shù)據(jù)完整性 可信計算基通過自主完整性策略，阻止非授權(quán)用戶修改或破可信計算基通過自主完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。壞敏感信息。 6.1.2 第二級：系統(tǒng)審計保護(hù)級第二級：系統(tǒng)審計保護(hù)級 與用戶自主保護(hù)級相比，本級的計算機(jī)信息系與用戶自主保護(hù)級相比，本級的計算機(jī)信息系統(tǒng)可信計算基統(tǒng)可信計算基實施了粒度更細(xì)的自主訪問控制，實施了粒度更細(xì)的自主訪問控制，它通過登錄規(guī)程、審計安全性相關(guān)事件和隔離它通過登錄規(guī)程、審計安全性相關(guān)事件和隔離資源，使用戶對自己的行為負(fù)責(zé)。資源，使用戶對自己的行為負(fù)責(zé)。 自主訪問控制自主訪問控制 訪問控制的粒度是單個用戶。沒有存取權(quán)的用戶只訪問控制的粒度

9、是單個用戶。沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對客體的訪問權(quán)。允許由授權(quán)用戶指定對客體的訪問權(quán)。 身份鑒別身份鑒別 可信計算基初始執(zhí)行時，首先要求用戶標(biāo)識自己的可信計算基初始執(zhí)行時，首先要求用戶標(biāo)識自己的身份，并使用保護(hù)機(jī)制（例如：口令）來鑒別用戶身份，并使用保護(hù)機(jī)制（例如：口令）來鑒別用戶的身份；阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。的身份；阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。 通過為用戶提供唯一標(biāo)識、可信計算基能夠使用戶通過為用戶提供唯一標(biāo)識、可信計算基能夠使用戶對自己的行為負(fù)責(zé)。對自己的行為負(fù)責(zé)。 可信計算基還具備可信計算基還具備將身份標(biāo)識與該用戶所有可審計將身份標(biāo)識與該用戶所有可審計行

10、為相關(guān)聯(lián)行為相關(guān)聯(lián)的能力。的能力。 客體重用客體重用 在可信計算基的空閑存儲客體空間中，對客體初始指定、分在可信計算基的空閑存儲客體空間中，對客體初始指定、分配或再分配一個主體之前，撤銷該客體所含信息的所有授權(quán)。配或再分配一個主體之前，撤銷該客體所含信息的所有授權(quán)。 當(dāng)主體獲得對一個已被釋放的客體的訪問權(quán)時，當(dāng)前主體不當(dāng)主體獲得對一個已被釋放的客體的訪問權(quán)時，當(dāng)前主體不能獲得原主體活動所產(chǎn)生的任何信息。能獲得原主體活動所產(chǎn)生的任何信息。 審計審計 可信計算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計跟蹤記錄，可信計算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計跟蹤記錄，并能阻止非授權(quán)的用戶對它訪問或破壞。并能阻止

11、非授權(quán)的用戶對它訪問或破壞。 數(shù)據(jù)完整性數(shù)據(jù)完整性 可信計算基通過自主完整性策略，阻止非授權(quán)用戶修改或破可信計算基通過自主完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。壞敏感信息。6.1.3 第三級：安全標(biāo)記保護(hù)級第三級：安全標(biāo)記保護(hù)級 可信計算基具有系統(tǒng)審計保護(hù)級所有功能。此可信計算基具有系統(tǒng)審計保護(hù)級所有功能。此外，還提供外，還提供 有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對客體強(qiáng)制有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對客體強(qiáng)制訪問控制的非形式化描述；訪問控制的非形式化描述； 具有準(zhǔn)確地標(biāo)記輸出信息的能力；具有準(zhǔn)確地標(biāo)記輸出信息的能力； 消除通過測試發(fā)現(xiàn)的任何錯誤。消除通過測試發(fā)現(xiàn)的任何錯誤。 自

12、主訪問控制自主訪問控制 可信計算基定義和控制系統(tǒng)中命名用戶對命名客體的可信計算基定義和控制系統(tǒng)中命名用戶對命名客體的訪問。訪問。 實施機(jī)制（例如：訪問控制表）允許命名用戶以用戶實施機(jī)制（例如：訪問控制表）允許命名用戶以用戶和（或）用戶組的身份規(guī)定并控制客體的共享；阻止和（或）用戶組的身份規(guī)定并控制客體的共享；阻止非授權(quán)用戶讀取敏感信息，并控制訪問權(quán)限擴(kuò)散。非授權(quán)用戶讀取敏感信息，并控制訪問權(quán)限擴(kuò)散。 自主訪問控制機(jī)制根據(jù)用戶指定方式或默認(rèn)方式，阻自主訪問控制機(jī)制根據(jù)用戶指定方式或默認(rèn)方式，阻止非授權(quán)用戶訪問客體。止非授權(quán)用戶訪問客體。 訪問控制的粒度是單個用戶。沒有存取權(quán)的用戶只允訪問控制的粒

13、度是單個用戶。沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對客體的訪問權(quán)。阻止非授權(quán)用戶許由授權(quán)用戶指定對客體的訪問權(quán)。阻止非授權(quán)用戶讀取敏感信息。讀取敏感信息。 強(qiáng)制訪問控制強(qiáng)制訪問控制 可信計算基對所有主體及其所控制的客體（例如：進(jìn)程、文件、可信計算基對所有主體及其所控制的客體（例如：進(jìn)程、文件、段、設(shè)備）實施段、設(shè)備）實施強(qiáng)制訪問控制強(qiáng)制訪問控制。 為這些主體及客體指定敏感標(biāo)記，這些標(biāo)記是等級分類和非等為這些主體及客體指定敏感標(biāo)記，這些標(biāo)記是等級分類和非等級類別的組合，它們是實施強(qiáng)制訪問控制的依據(jù)。級類別的組合，它們是實施強(qiáng)制訪問控制的依據(jù)。 可信計算基支持兩種或兩種以上成分組成的安全級。可信計

14、算基支持兩種或兩種以上成分組成的安全級。 可信計算基控制的所有主體對客體的訪問應(yīng)滿足：可信計算基控制的所有主體對客體的訪問應(yīng)滿足： 僅當(dāng)主體安全級中的等級分類高于或等于客體安全級中的等級分類，且僅當(dāng)主體安全級中的等級分類高于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別，主主體安全級中的非等級類別包含了客體安全級中的全部非等級類別，主體才能讀客體；體才能讀客體； 僅當(dāng)主體安全級中的等級分類低于或等于客體安全級中的等級分類，且僅當(dāng)主體安全級中的等級分類低于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中的非等級類別，主體才主體

15、安全級中的非等級類別包含了客體安全級中的非等級類別，主體才能寫一個客體。能寫一個客體。 可信計算基使用身份和鑒別數(shù)據(jù)，鑒別用戶的身份，并保證用可信計算基使用身份和鑒別數(shù)據(jù)，鑒別用戶的身份，并保證用戶創(chuàng)建的可信計算基外部主體的安全級和授權(quán)受該用戶的安全戶創(chuàng)建的可信計算基外部主體的安全級和授權(quán)受該用戶的安全級和授權(quán)的控制。級和授權(quán)的控制。 標(biāo)記標(biāo)記 可信計算基應(yīng)維護(hù)與主體及其控制的存儲客體可信計算基應(yīng)維護(hù)與主體及其控制的存儲客體（例如：進(jìn)程、文件、段、設(shè)備）相關(guān)的敏感（例如：進(jìn)程、文件、段、設(shè)備）相關(guān)的敏感標(biāo)記。這些標(biāo)記是實施強(qiáng)制訪問的基礎(chǔ)。標(biāo)記。這些標(biāo)記是實施強(qiáng)制訪問的基礎(chǔ)。 為了輸入未加安全標(biāo)

16、記的數(shù)據(jù)，可信計算基向為了輸入未加安全標(biāo)記的數(shù)據(jù)，可信計算基向授權(quán)用戶要求并接受這些數(shù)據(jù)的安全級別，且授權(quán)用戶要求并接受這些數(shù)據(jù)的安全級別，且可由可信計算基審計?？捎煽尚庞嬎慊鶎徲嫛?身份鑒別身份鑒別 可信計算基初始執(zhí)行時，首先要求用戶標(biāo)識自己的身可信計算基初始執(zhí)行時，首先要求用戶標(biāo)識自己的身份，而且，可信計算基維護(hù)用戶身份識別數(shù)據(jù)并確定份，而且，可信計算基維護(hù)用戶身份識別數(shù)據(jù)并確定用戶訪問權(quán)及授權(quán)數(shù)據(jù)。用戶訪問權(quán)及授權(quán)數(shù)據(jù)。 可信計算基使用這些數(shù)據(jù)鑒別用戶身份，并使用保護(hù)可信計算基使用這些數(shù)據(jù)鑒別用戶身份，并使用保護(hù)機(jī)制（例如：口令）來鑒別用戶的身份；阻止非授權(quán)機(jī)制（例如：口令）來鑒別用戶的

17、身份；阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。用戶訪問用戶身份鑒別數(shù)據(jù)。 通過為用戶提供唯一標(biāo)識，可信計算基能夠使用戶對通過為用戶提供唯一標(biāo)識，可信計算基能夠使用戶對自己的行為負(fù)責(zé)。可信計算基還具備將身份標(biāo)識與該自己的行為負(fù)責(zé)。可信計算基還具備將身份標(biāo)識與該用戶所有可審計行為相關(guān)聯(lián)的能力。用戶所有可審計行為相關(guān)聯(lián)的能力。 客體重用客體重用 在可信計算基的空閑存儲客體空間中，對客體在可信計算基的空閑存儲客體空間中，對客體初始指定、分配或再分配一個主體之前，撤銷初始指定、分配或再分配一個主體之前，撤銷客體所含信息的所有授權(quán)?？腕w所含信息的所有授權(quán)。 當(dāng)主體獲得對一個已被釋放的客體的訪問權(quán)時，當(dāng)主體獲得

18、對一個已被釋放的客體的訪問權(quán)時，當(dāng)前主體不能獲得原主體活動所產(chǎn)生的任何信當(dāng)前主體不能獲得原主體活動所產(chǎn)生的任何信息。息。 審計審計 可信計算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計跟蹤記錄，并可信計算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計跟蹤記錄，并能阻止非授權(quán)的用戶對它訪問或破壞。能阻止非授權(quán)的用戶對它訪問或破壞。 可信計算基能記錄下述事件：可信計算基能記錄下述事件： 使用身份鑒別機(jī)制；使用身份鑒別機(jī)制； 將客體引入用戶地址空間（例如：打開文件、程序初始化）；將客體引入用戶地址空間（例如：打開文件、程序初始化）； 刪除客體；刪除客體； 由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實施的動作，以及其他由操

19、作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實施的動作，以及其他與系統(tǒng)安全有關(guān)的事件。與系統(tǒng)安全有關(guān)的事件。 對于每一事件，其審計記錄包括：事件的日期和時間、用戶、事件類型、對于每一事件，其審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功。事件是否成功。 對于身份鑒別事件，審計記錄包含請求的來源（例如：終端標(biāo)識符）；對于身份鑒別事件，審計記錄包含請求的來源（例如：終端標(biāo)識符）； 對于客體引入用戶地址空間的事件及客體刪除事件，審計記錄包含客體對于客體引入用戶地址空間的事件及客體刪除事件，審計記錄包含客體名及客體的安全級別。名及客體的安全級別。 此外，可信計算基具有審計更改可讀輸出記號的能力

20、。此外，可信計算基具有審計更改可讀輸出記號的能力。 對不能由可信計算基獨立分辨的審計事件，審計機(jī)制提供審計對不能由可信計算基獨立分辨的審計事件，審計機(jī)制提供審計記錄接口，可由授權(quán)主體調(diào)用。這些審計記錄區(qū)別于可信計算記錄接口，可由授權(quán)主體調(diào)用。這些審計記錄區(qū)別于可信計算基獨立分辨的審計記錄。基獨立分辨的審計記錄。 數(shù)據(jù)完整性數(shù)據(jù)完整性 可信計算基通過自主和強(qiáng)制完整性策略，阻止可信計算基通過自主和強(qiáng)制完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。在網(wǎng)絡(luò)環(huán)境非授權(quán)用戶修改或破壞敏感信息。在網(wǎng)絡(luò)環(huán)境中，使用完整性敏感標(biāo)記來確信信息在傳送中中，使用完整性敏感標(biāo)記來確信信息在傳送中未受損。未受損。 6.1

21、.4 第四級：結(jié)構(gòu)化保護(hù)級第四級：結(jié)構(gòu)化保護(hù)級 可信計算基建立于一個明確定義的形式化安全策略?？尚庞嬎慊⒂谝粋€明確定義的形式化安全策略模型之上，它要求將第三級系統(tǒng)中的自主和強(qiáng)制訪問控型之上，它要求將第三級系統(tǒng)中的自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體。此外，還要考慮隱蔽通道。制擴(kuò)展到所有主體與客體。此外，還要考慮隱蔽通道。 可信計算基必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)可信計算基必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素?？尚庞嬎慊慕涌谝脖仨毭鞔_定義，使其設(shè)計元素?？尚庞嬎慊慕涌谝脖仨毭鞔_定義，使其設(shè)計與實現(xiàn)能經(jīng)受更充分的測試和更完整的復(fù)審。與實現(xiàn)能經(jīng)受更充分的測試和更完整的復(fù)審。 加強(qiáng)

22、了鑒別機(jī)制；加強(qiáng)了鑒別機(jī)制； 支持系統(tǒng)管理員和操作員的職能；支持系統(tǒng)管理員和操作員的職能； 提供可信設(shè)施管理；提供可信設(shè)施管理； 增強(qiáng)了配置管理控制。增強(qiáng)了配置管理控制。 系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。 自主訪問控制自主訪問控制 可信計算基定義和控制系統(tǒng)中命名用戶對命名客體的可信計算基定義和控制系統(tǒng)中命名用戶對命名客體的訪問。訪問。 實施機(jī)制（例如：訪問控制表）允許命名用戶和（或）實施機(jī)制（例如：訪問控制表）允許命名用戶和（或）以用戶組的身份規(guī)定并控制客體的共享；以用戶組的身份規(guī)定并控制客體的共享； 阻止非授用戶讀取敏感信息，并控制訪問權(quán)限擴(kuò)散。阻止非授用戶讀取敏感信息，

23、并控制訪問權(quán)限擴(kuò)散。 自主訪問控制機(jī)制根據(jù)用戶指定方式或默認(rèn)方式，阻自主訪問控制機(jī)制根據(jù)用戶指定方式或默認(rèn)方式，阻止非授權(quán)用戶訪問客體。訪問控制的粒度是單個用戶。止非授權(quán)用戶訪問客體。訪問控制的粒度是單個用戶。沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對客體的訪沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對客體的訪問權(quán)。問權(quán)。 強(qiáng)制訪問控制強(qiáng)制訪問控制 可信計算基對外部主體能夠直接或間接訪問的所有資可信計算基對外部主體能夠直接或間接訪問的所有資源（例如：主體、存儲客體和輸入輸出資源）實施強(qiáng)源（例如：主體、存儲客體和輸入輸出資源）實施強(qiáng)制訪問控制。為這些主體及客體指定敏感標(biāo)記，這些制訪問控制。為這些主體及客體

24、指定敏感標(biāo)記，這些標(biāo)記是等級分類和非等級類別的組合，它們是實施強(qiáng)標(biāo)記是等級分類和非等級類別的組合，它們是實施強(qiáng)制訪問控制的依據(jù)。制訪問控制的依據(jù)。 可信計算基支持兩種或兩種以上成分組成的安全級。計算機(jī)可信計算基支持兩種或兩種以上成分組成的安全級。計算機(jī)信息系統(tǒng)可信計算基外部的所有主體對客體的直接或間接的信息系統(tǒng)可信計算基外部的所有主體對客體的直接或間接的訪問應(yīng)滿足：訪問應(yīng)滿足： 僅當(dāng)主體安全級中的等級分類高于或等于客體安全級中的等僅當(dāng)主體安全級中的等級分類高于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中級分類，且主體安全級中的非等級類別包含了客體安全級中的全部非等

25、級類別，主體才能讀客體；的全部非等級類別，主體才能讀客體； 僅當(dāng)主體安全級中的等級分類低于或等于客體安全級中的等僅當(dāng)主體安全級中的等級分類低于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含于客體安全級中級分類，且主體安全級中的非等級類別包含于客體安全級中的非等級類別，主體才能寫一個客體。的非等級類別，主體才能寫一個客體。 可信計算基使用身份和鑒別數(shù)據(jù)，鑒別用戶的身份，可信計算基使用身份和鑒別數(shù)據(jù)，鑒別用戶的身份，保護(hù)用戶創(chuàng)建的可信計算基外部主體的安全級和授權(quán)保護(hù)用戶創(chuàng)建的可信計算基外部主體的安全級和授權(quán)受該用戶的安全級和授權(quán)的控制。受該用戶的安全級和授權(quán)的控制。 標(biāo)記標(biāo)記 可信計

26、算基維護(hù)與可被外部主體直接或間接訪可信計算基維護(hù)與可被外部主體直接或間接訪問到的計算機(jī)信息系統(tǒng)資源（例如：主體、存問到的計算機(jī)信息系統(tǒng)資源（例如：主體、存儲客體、只讀存儲器）相關(guān)的敏感標(biāo)記。這些儲客體、只讀存儲器）相關(guān)的敏感標(biāo)記。這些標(biāo)記是實施強(qiáng)制訪問的基礎(chǔ)。標(biāo)記是實施強(qiáng)制訪問的基礎(chǔ)。 為了輸入未加安全標(biāo)記的數(shù)據(jù)，可信計算基向為了輸入未加安全標(biāo)記的數(shù)據(jù)，可信計算基向授權(quán)用戶要求并接受這些數(shù)據(jù)的安全級別，且授權(quán)用戶要求并接受這些數(shù)據(jù)的安全級別，且可由可信計算基審計。可由可信計算基審計。 身份鑒別身份鑒別 可信計算基初始執(zhí)行時，首先要求用戶標(biāo)識自己的身可信計算基初始執(zhí)行時，首先要求用戶標(biāo)識自己的身

27、份，而且，可信計算基維護(hù)用戶身份識別數(shù)據(jù)并確定份，而且，可信計算基維護(hù)用戶身份識別數(shù)據(jù)并確定用戶訪問權(quán)及授權(quán)數(shù)據(jù)。用戶訪問權(quán)及授權(quán)數(shù)據(jù)。 可信計算基使用這些數(shù)據(jù)，鑒別用戶身份，并使用?？尚庞嬎慊褂眠@些數(shù)據(jù)，鑒別用戶身份，并使用保護(hù)機(jī)制（例如：口令）來鑒別用戶的身份；護(hù)機(jī)制（例如：口令）來鑒別用戶的身份； 阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。 通過為用戶提供唯一標(biāo)識，可信計算基能夠使用戶對通過為用戶提供唯一標(biāo)識，可信計算基能夠使用戶對自己的行為負(fù)責(zé)。自己的行為負(fù)責(zé)。 可信計算基還具備將身份標(biāo)識與該用戶所有可審計行可信計算基還具備將身份標(biāo)識與該用戶所有可審計行

28、為相關(guān)聯(lián)的能力。為相關(guān)聯(lián)的能力。 客體重用客體重用 在可信計算基的空閑存儲客體空間中，對客體在可信計算基的空閑存儲客體空間中，對客體初始指定、分配或再分配一個主體之前，撤銷初始指定、分配或再分配一個主體之前，撤銷客體所含信息的所有授權(quán)?？腕w所含信息的所有授權(quán)。 當(dāng)主體獲得對一個已被釋放的客體的訪問權(quán)時，當(dāng)主體獲得對一個已被釋放的客體的訪問權(quán)時，當(dāng)前主體不能獲得原主體活動所產(chǎn)生的任何信當(dāng)前主體不能獲得原主體活動所產(chǎn)生的任何信息。息。 審計審計可信計算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計跟蹤記錄，并能阻止非授可信計算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計跟蹤記錄，并能阻止非授權(quán)的用戶對它訪問或破壞。權(quán)的

29、用戶對它訪問或破壞?？尚庞嬎慊苡涗浵率鍪录嚎尚庞嬎慊苡涗浵率鍪录?使用身份鑒別機(jī)制；使用身份鑒別機(jī)制； 將客體引入用戶地址空間（例如：打開文件、程序初始化）；將客體引入用戶地址空間（例如：打開文件、程序初始化）； 刪除客體；刪除客體； 由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實施的動作，以及其他由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實施的動作，以及其他與系統(tǒng)安全有關(guān)的事件。與系統(tǒng)安全有關(guān)的事件。 對于每一事件，其審計記錄包括：事件的日期和時間、用戶、事件類型、對于每一事件，其審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功。事件是否成功。 對于身份鑒別事件，審計記錄包

30、含請求的來源（例如：終端標(biāo)識符）；對于身份鑒別事件，審計記錄包含請求的來源（例如：終端標(biāo)識符）； 對于客體引入用戶地址空間的事件及客體刪除事件，審計記錄包含客體對于客體引入用戶地址空間的事件及客體刪除事件，審計記錄包含客體及客體的安全級別。及客體的安全級別。 此外，可信計算基具有審計更改可讀輸出記號的能力。此外，可信計算基具有審計更改可讀輸出記號的能力。 對不能由可信計算基獨立分辨的審計事件，審計機(jī)制提供審計對不能由可信計算基獨立分辨的審計事件，審計機(jī)制提供審計記錄接口，可由授權(quán)主體調(diào)用。這些審計記錄區(qū)別于計算機(jī)信記錄接口，可由授權(quán)主體調(diào)用。這些審計記錄區(qū)別于計算機(jī)信息系統(tǒng)可信計算基獨立分辨的

31、審計記錄。息系統(tǒng)可信計算基獨立分辨的審計記錄。 可信計算基能夠?qū)徲嬂秒[蔽存儲信道時可能被使用的事件?？尚庞嬎慊軌?qū)徲嬂秒[蔽存儲信道時可能被使用的事件。數(shù)據(jù)完整性數(shù)據(jù)完整性 可信計算基通過自主和強(qiáng)制完整性策略。阻止可信計算基通過自主和強(qiáng)制完整性策略。阻止非授權(quán)用戶修改或破壞敏感信息。在網(wǎng)絡(luò)環(huán)境非授權(quán)用戶修改或破壞敏感信息。在網(wǎng)絡(luò)環(huán)境中，使用完整性敏感標(biāo)記來確信信息在傳送中中，使用完整性敏感標(biāo)記來確信信息在傳送中未受損。未受損。 隱蔽信道分析隱蔽信道分析 系統(tǒng)開發(fā)者應(yīng)徹底搜索隱蔽存儲信道，并根據(jù)系統(tǒng)開發(fā)者應(yīng)徹底搜索隱蔽存儲信道，并根據(jù)實際測量或工程估算確定每一個被標(biāo)識信道的實際測量或工程估算

32、確定每一個被標(biāo)識信道的最大帶寬。最大帶寬。 可信路徑可信路徑 對用戶的初始登錄和鑒別，可信計算基在它與對用戶的初始登錄和鑒別，可信計算基在它與用戶之間提供可信通信路徑。該路徑上的通信用戶之間提供可信通信路徑。該路徑上的通信只能由該用戶初始化。只能由該用戶初始化。 6.1.5 第五級：訪問驗證保護(hù)級第五級：訪問驗證保護(hù)級 可信計算基滿足訪問監(jiān)控器需求。訪問監(jiān)控器仲裁主可信計算基滿足訪問監(jiān)控器需求。訪問監(jiān)控器仲裁主體對客體的全部訪問。體對客體的全部訪問。 訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測試。和測試。 為了滿足訪問監(jiān)控器需求，可信計算基

33、在其構(gòu)造時，為了滿足訪問監(jiān)控器需求，可信計算基在其構(gòu)造時，排除那些對實施安全策略來說并非必要的代碼；在設(shè)排除那些對實施安全策略來說并非必要的代碼；在設(shè)計和實現(xiàn)時，從系統(tǒng)工程角度將其復(fù)雜性降低到最小計和實現(xiàn)時，從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度。支持安全管理員職能；擴(kuò)充審計機(jī)制，當(dāng)發(fā)生程度。支持安全管理員職能；擴(kuò)充審計機(jī)制，當(dāng)發(fā)生與安全相關(guān)的事件時發(fā)出信號；提供系統(tǒng)恢復(fù)機(jī)制。與安全相關(guān)的事件時發(fā)出信號；提供系統(tǒng)恢復(fù)機(jī)制。系統(tǒng)具有很高的抗?jié)B透能力。系統(tǒng)具有很高的抗?jié)B透能力。 自主訪問控制自主訪問控制 可信計算基定義并控制系統(tǒng)中命名用戶對命名客體的可信計算基定義并控制系統(tǒng)中命名用戶對命名客體的訪

34、問。實施機(jī)制（例如：訪問控制表）允許命名用戶訪問。實施機(jī)制（例如：訪問控制表）允許命名用戶和（或）以用戶組的身份規(guī)定并控制客體的共享；阻和（或）以用戶組的身份規(guī)定并控制客體的共享；阻止非授權(quán)用戶讀取敏感信息。并控制訪問權(quán)限擴(kuò)散。止非授權(quán)用戶讀取敏感信息。并控制訪問權(quán)限擴(kuò)散。 自主訪問控制機(jī)制根據(jù)用戶指定方式或默認(rèn)方式，阻自主訪問控制機(jī)制根據(jù)用戶指定方式或默認(rèn)方式，阻止非授權(quán)用戶訪問客體。訪問控制的粒度是單個用戶。止非授權(quán)用戶訪問客體。訪問控制的粒度是單個用戶。訪問控制能夠為每個命名客體指定命名用戶和用戶組，訪問控制能夠為每個命名客體指定命名用戶和用戶組，并規(guī)定他們對客體的訪問模式。沒有存取權(quán)的

35、用戶只并規(guī)定他們對客體的訪問模式。沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對客體的訪問權(quán)。允許由授權(quán)用戶指定對客體的訪問權(quán)。 強(qiáng)制訪問控制強(qiáng)制訪問控制 可信計算基對外部主體能夠直接或間接訪問的所有資源（例如：可信計算基對外部主體能夠直接或間接訪問的所有資源（例如：主體、存儲客體和輸入輸出資源）實施強(qiáng)制訪問控制。為這些主體、存儲客體和輸入輸出資源）實施強(qiáng)制訪問控制。為這些主體及客體指定敏感標(biāo)記，這些標(biāo)記是等級分類和非等級類別主體及客體指定敏感標(biāo)記，這些標(biāo)記是等級分類和非等級類別的組合，它們是實施強(qiáng)制訪問控制的依據(jù)。的組合，它們是實施強(qiáng)制訪問控制的依據(jù)。 可信計算基支持兩種或兩種以上成分組成的安全級。

36、可信計算可信計算基支持兩種或兩種以上成分組成的安全級?？尚庞嬎慊獠康乃兄黧w對客體的直接或間接的訪問應(yīng)滿足：基外部的所有主體對客體的直接或間接的訪問應(yīng)滿足： 僅當(dāng)主體安全級中的等級分類高于或等于客體安全級中的等級分類，且僅當(dāng)主體安全級中的等級分類高于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別，主主體安全級中的非等級類別包含了客體安全級中的全部非等級類別，主體才能讀客體；體才能讀客體； 僅當(dāng)主體安全級中的等級分類低于或等于客體安全級中的等級分類，且僅當(dāng)主體安全級中的等級分類低于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全

37、級中的非等級類別，主體才主體安全級中的非等級類別包含了客體安全級中的非等級類別，主體才能寫一個客體。能寫一個客體。 可信計算基使用身份和鑒別數(shù)據(jù)，鑒別用戶的身份，保證用戶可信計算基使用身份和鑒別數(shù)據(jù)，鑒別用戶的身份，保證用戶創(chuàng)建的可信計算基外部主體的安全級和授權(quán)受該用戶的安全級創(chuàng)建的可信計算基外部主體的安全級和授權(quán)受該用戶的安全級和授權(quán)的控制。和授權(quán)的控制。 標(biāo)記標(biāo)記 可信計算基維護(hù)與可被外部主體直接或間接訪可信計算基維護(hù)與可被外部主體直接或間接訪問到計算機(jī)信息系統(tǒng)資源（例如：主體、存儲問到計算機(jī)信息系統(tǒng)資源（例如：主體、存儲客體、只讀存儲器）相關(guān)的敏感標(biāo)記。這些標(biāo)客體、只讀存儲器）相關(guān)的敏感

38、標(biāo)記。這些標(biāo)記是實施強(qiáng)制訪問的基礎(chǔ)。記是實施強(qiáng)制訪問的基礎(chǔ)。 為了輸入未加安全標(biāo)記的數(shù)據(jù)，可信計算基向為了輸入未加安全標(biāo)記的數(shù)據(jù)，可信計算基向授權(quán)用戶要求并接受這些數(shù)據(jù)的安全級別，且授權(quán)用戶要求并接受這些數(shù)據(jù)的安全級別，且可由計算機(jī)信息系統(tǒng)可信計算基審計?？捎捎嬎銠C(jī)信息系統(tǒng)可信計算基審計。 身份鑒別身份鑒別 可信計算基初始執(zhí)行時，首先要求用戶標(biāo)識自己的身可信計算基初始執(zhí)行時，首先要求用戶標(biāo)識自己的身份，而且，可信計算基維護(hù)用戶身份識別數(shù)據(jù)并確定份，而且，可信計算基維護(hù)用戶身份識別數(shù)據(jù)并確定用戶訪問權(quán)及授權(quán)數(shù)據(jù)。用戶訪問權(quán)及授權(quán)數(shù)據(jù)。 可信計算基使用這些數(shù)據(jù)，鑒別用戶身份，并使用?？尚庞嬎慊褂?/p>

39、這些數(shù)據(jù)，鑒別用戶身份，并使用保護(hù)機(jī)制（例如：口令）來鑒別用戶的身份；護(hù)機(jī)制（例如：口令）來鑒別用戶的身份； 阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。 通過為用戶提供唯一標(biāo)識，可信計算基能夠使用戶對通過為用戶提供唯一標(biāo)識，可信計算基能夠使用戶對自己的行為負(fù)責(zé)?？尚庞嬎慊€具備將身份標(biāo)識與該自己的行為負(fù)責(zé)?？尚庞嬎慊€具備將身份標(biāo)識與該用戶所有可審計行為相關(guān)聯(lián)的能力。用戶所有可審計行為相關(guān)聯(lián)的能力。 客體重用客體重用 在可信計算基的空閑存儲客體空間中，對客體在可信計算基的空閑存儲客體空間中，對客體初始指定、分配或再分配一個主體之前，撤銷初始指定、分配或再分配一個主

40、體之前，撤銷客體所含信息的所有授權(quán)。當(dāng)主體獲得對一個客體所含信息的所有授權(quán)。當(dāng)主體獲得對一個已被釋放的客體的訪問權(quán)時，當(dāng)前主體不能獲已被釋放的客體的訪問權(quán)時，當(dāng)前主體不能獲得原主體活動所產(chǎn)生的任何信息。得原主體活動所產(chǎn)生的任何信息。 審計審計 可信計算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計跟蹤記錄，并能阻可信計算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計跟蹤記錄，并能阻止非授權(quán)的用戶對它訪問或破壞。止非授權(quán)的用戶對它訪問或破壞?？尚庞嬎慊苡涗浵率鍪录菏褂蒙矸蓁b別機(jī)制；將客體引入用戶可信計算基能記錄下述事件：使用身份鑒別機(jī)制；將客體引入用戶地址空間（例如：打開文件、程序出始化）；刪除客體；由操作員、地址

41、空間（例如：打開文件、程序出始化）；刪除客體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實施的動作，以及其他與系統(tǒng)系統(tǒng)管理員或（和）系統(tǒng)安全管理員實施的動作，以及其他與系統(tǒng)安全有關(guān)的事件。對于每一事件，其審計記錄包括：事件的日期和安全有關(guān)的事件。對于每一事件，其審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別事件，審計時間、用戶、事件類型、事件是否成功。對于身份鑒別事件，審計記錄包含請求的來源（例如：終端標(biāo)識符）；對于客體引入用戶地記錄包含請求的來源（例如：終端標(biāo)識符）；對于客體引入用戶地址空間的事件及客體刪除事件，審計記錄包含客體名及客體的安全址空間的事件及客體刪除

42、事件，審計記錄包含客體名及客體的安全級別。此外，計算機(jī)信息系統(tǒng)可信計算基具有審計更改可讀輸出記級別。此外，計算機(jī)信息系統(tǒng)可信計算基具有審計更改可讀輸出記號的能力。號的能力。對不能由計算機(jī)信息系統(tǒng)可信計算基獨立分辨的審計事件，審計機(jī)對不能由計算機(jī)信息系統(tǒng)可信計算基獨立分辨的審計事件，審計機(jī)制提供審計記錄接口，可由授權(quán)主體調(diào)用。這些審計記錄區(qū)別于計制提供審計記錄接口，可由授權(quán)主體調(diào)用。這些審計記錄區(qū)別于計算機(jī)信息系統(tǒng)可信計算基獨立分辨的審計記錄。計算機(jī)信息系統(tǒng)可算機(jī)信息系統(tǒng)可信計算基獨立分辨的審計記錄。計算機(jī)信息系統(tǒng)可信計算基能夠?qū)徲嬂秒[蔽存儲信道時可能被使用的事件。信計算基能夠?qū)徲嬂秒[蔽存儲

43、信道時可能被使用的事件?？尚庞嬎慊軌虮O(jiān)控可審計安全事件發(fā)生與積累的機(jī)制，當(dāng)超可信計算基包含能夠監(jiān)控可審計安全事件發(fā)生與積累的機(jī)制，當(dāng)超過閾值時，能夠立即向安全管理員發(fā)出報警。并且，如果這些與安過閾值時，能夠立即向安全管理員發(fā)出報警。并且，如果這些與安全相關(guān)的事件繼續(xù)發(fā)生或積累，系統(tǒng)應(yīng)以最小的代價中止它們。全相關(guān)的事件繼續(xù)發(fā)生或積累，系統(tǒng)應(yīng)以最小的代價中止它們。數(shù)據(jù)完整性數(shù)據(jù)完整性 可信計算基通過自主和強(qiáng)制完整性策略，阻止可信計算基通過自主和強(qiáng)制完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。在網(wǎng)絡(luò)環(huán)境非授權(quán)用戶修改或破壞敏感信息。在網(wǎng)絡(luò)環(huán)境中，使用完整性敏感標(biāo)記來確信信息在傳送中中，使用完

44、整性敏感標(biāo)記來確信信息在傳送中未受損。未受損。 隱蔽信道分析隱蔽信道分析 系統(tǒng)開發(fā)者應(yīng)徹底搜索隱蔽信道，并根據(jù)實際系統(tǒng)開發(fā)者應(yīng)徹底搜索隱蔽信道，并根據(jù)實際測量或工程估算確定每一個被標(biāo)識信道的最大測量或工程估算確定每一個被標(biāo)識信道的最大帶寬。帶寬。 可信路徑可信路徑 當(dāng)連接用戶時（如注冊、更改主體安全級），當(dāng)連接用戶時（如注冊、更改主體安全級），可信計算基提供它與用戶之間的可信通信路徑?？尚庞嬎慊峁┧c用戶之間的可信通信路徑?？尚怕窂缴系耐ㄐ胖荒苡稍撚脩艋蛴嬎銠C(jī)信息可信路徑上的通信只能由該用戶或計算機(jī)信息系統(tǒng)可信計算基激活，且在邏輯上與其他路徑系統(tǒng)可信計算基激活，且在邏輯上與其他路徑上的通信相

45、隔離，且能正確地加以區(qū)分。上的通信相隔離，且能正確地加以區(qū)分。 可信恢復(fù)可信恢復(fù) 可信計算基提供過程和機(jī)制，保證失效或中斷可信計算基提供過程和機(jī)制，保證失效或中斷后，可以進(jìn)行不損害任何安全保護(hù)性能的恢復(fù)。后，可以進(jìn)行不損害任何安全保護(hù)性能的恢復(fù)。 6.2 IT 安全性評估準(zhǔn)則安全性評估準(zhǔn)則 1999年年6月，月，ISO接納接納CC2.0版作為版作為ISO/IEC 15408草案，且定名為草案，且定名為“信息技術(shù)信息技術(shù)安全技安全技術(shù)術(shù)IT安全性評估準(zhǔn)則安全性評估準(zhǔn)則”，但仍用，但仍用CC作為其作為其簡稱。簡稱。 1999年年12月，月，ISO 在廣泛征求意見并且進(jìn)行一在廣泛征求意見并且進(jìn)行一定

46、修改后，正式頒布國際標(biāo)準(zhǔn)定修改后，正式頒布國際標(biāo)準(zhǔn)ISO/IEC 15408，對應(yīng)對應(yīng)CC 2.1版。版。 2001年年3月月8日，國家質(zhì)量技術(shù)監(jiān)督局正式頒布日，國家質(zhì)量技術(shù)監(jiān)督局正式頒布國家標(biāo)準(zhǔn)國家標(biāo)準(zhǔn)GB/T 18336，并定于，并定于2001年年12月月1日日正式實施。正式實施。CC發(fā)展歷史發(fā)展歷史美國可信計算機(jī)美國可信計算機(jī)系統(tǒng)評估準(zhǔn)則系統(tǒng)評估準(zhǔn)則（TCSEC，桔皮書）桔皮書） 1985年年加拿大可信計算機(jī)加拿大可信計算機(jī)產(chǎn)品評估準(zhǔn)則產(chǎn)品評估準(zhǔn)則（CTCPEC 3.0版）版）1993年年美國信息技術(shù)美國信息技術(shù)安全聯(lián)邦準(zhǔn)則安全聯(lián)邦準(zhǔn)則（FC ）1993年年通用評估準(zhǔn)則通用評估準(zhǔn)則（CC

47、 ）1996年年歐洲信息技術(shù)歐洲信息技術(shù)安全評估準(zhǔn)則安全評估準(zhǔn)則（ITSEC ）1991年年國際標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)（ISO/IEC15408 ）1999年年可信計算機(jī)系統(tǒng)評估準(zhǔn)則可信計算機(jī)系統(tǒng)評估準(zhǔn)則TCSEC 20世紀(jì)世紀(jì)70年代，美國開展信息技術(shù)安全性評估標(biāo)準(zhǔn)研年代，美國開展信息技術(shù)安全性評估標(biāo)準(zhǔn)研究，于究，于1985年由美國國防部正式公布了年由美國國防部正式公布了DOD5200.28-STD可信計算機(jī)系統(tǒng)評估準(zhǔn)則可信計算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC，也稱桔，也稱桔皮書），皮書），是公認(rèn)的第一個計算機(jī)信息系統(tǒng)評估標(biāo)準(zhǔn)。是公認(rèn)的第一個計算機(jī)信息系統(tǒng)評估標(biāo)準(zhǔn)。 TCSEC開始主要是作為軍用標(biāo)準(zhǔn)，提出了

48、美國在軍用開始主要是作為軍用標(biāo)準(zhǔn)，提出了美國在軍用信息技術(shù)安全性方面的要求，后來延伸至民用。其安信息技術(shù)安全性方面的要求，后來延伸至民用。其安全級別從低到高分為全級別從低到高分為D 、C 、B 、A四類，細(xì)分為四類，細(xì)分為D、C1、C2、B1、B2、B3、A1等等7個安全級別。個安全級別?？尚庞嬎銠C(jī)系統(tǒng)評估準(zhǔn)則可信計算機(jī)系統(tǒng)評估準(zhǔn)則TCSECD安全性能達(dá)不到安全性能達(dá)不到C1級的劃分為級的劃分為D級。級。D級并非沒有安全保護(hù)功能，只是太弱。級并非沒有安全保護(hù)功能，只是太弱。C1自主安全保護(hù)級自主安全保護(hù)級TCBTCB通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力；通過隔離用戶與數(shù)據(jù)，使用戶具

49、備自主安全保護(hù)的能力；具有多種形式的控制能力，對用戶實施訪問控制；具有多種形式的控制能力，對用戶實施訪問控制；為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞。戶對數(shù)據(jù)的非法讀寫與破壞。C1C1級的系統(tǒng)適用于處理同一敏感級別數(shù)據(jù)的多用戶環(huán)境。級的系統(tǒng)適用于處理同一敏感級別數(shù)據(jù)的多用戶環(huán)境。C2受控存取保護(hù)級受控存取保護(hù)級比比C1C1級具有更細(xì)粒度的自主訪問控制。級具有更細(xì)粒度的自主訪問控制。C2C2級通過注冊過程控制、審計安全相關(guān)事件以及資源隔離，使級通過注冊過程控制、審計安全相關(guān)事件以及資源隔離，使單個用戶為

50、其行為負(fù)責(zé)。單個用戶為其行為負(fù)責(zé)?？尚庞嬎銠C(jī)系統(tǒng)評估準(zhǔn)則可信計算機(jī)系統(tǒng)評估準(zhǔn)則TCSECB1標(biāo)記安全保護(hù)級標(biāo)記安全保護(hù)級B1B1級系統(tǒng)要求具有級系統(tǒng)要求具有C2C2級系統(tǒng)的所有特性級系統(tǒng)的所有特性 在此基礎(chǔ)上，還應(yīng)提供安全策略模型的非形式化描述、數(shù)在此基礎(chǔ)上，還應(yīng)提供安全策略模型的非形式化描述、數(shù)據(jù)標(biāo)記以及命名主體和客體的強(qiáng)制訪問控制并消除測試中據(jù)標(biāo)記以及命名主體和客體的強(qiáng)制訪問控制并消除測試中發(fā)現(xiàn)的所有缺陷。發(fā)現(xiàn)的所有缺陷。B2結(jié)構(gòu)化保護(hù)級結(jié)構(gòu)化保護(hù)級在在B2B2級系統(tǒng)中，級系統(tǒng)中，TCBTCB建立于一個明確定義并文檔化形式化安建立于一個明確定義并文檔化形式化安全策略模型之上；全策略模型之上

51、；要求將要求將B1B1級系統(tǒng)中建立的自主和強(qiáng)制訪問控制擴(kuò)展到所有級系統(tǒng)中建立的自主和強(qiáng)制訪問控制擴(kuò)展到所有的主體與客體；的主體與客體；在此基礎(chǔ)上，應(yīng)對隱蔽信道進(jìn)行分析；在此基礎(chǔ)上，應(yīng)對隱蔽信道進(jìn)行分析；TCBTCB應(yīng)結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素。應(yīng)結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素。B3安全域級安全域級在在B3B3級系統(tǒng)中，級系統(tǒng)中，TCBTCB必須滿足訪問監(jiān)控器需求必須滿足訪問監(jiān)控器需求訪問監(jiān)控器對所有主體對客體的訪問進(jìn)行仲裁訪問監(jiān)控器對所有主體對客體的訪問進(jìn)行仲裁訪問監(jiān)控器本身是抗篡改的，訪問監(jiān)控器足夠小訪問監(jiān)控器本身是抗篡改的，訪問監(jiān)控器足夠小訪問監(jiān)控器能夠分析和測試訪問監(jiān)控器

52、能夠分析和測試可信計算機(jī)系統(tǒng)評估準(zhǔn)則可信計算機(jī)系統(tǒng)評估準(zhǔn)則TCSECA1驗證設(shè)計級驗證設(shè)計級A1A1級系統(tǒng)在功能上和級系統(tǒng)在功能上和B3B3級系統(tǒng)是相同的，沒有增加體系結(jié)級系統(tǒng)是相同的，沒有增加體系結(jié)構(gòu)特性和策略要求。構(gòu)特性和策略要求。最顯著的特點是，要求用形式化設(shè)計規(guī)范和驗證方法來對最顯著的特點是，要求用形式化設(shè)計規(guī)范和驗證方法來對系統(tǒng)進(jìn)行分析，確保系統(tǒng)進(jìn)行分析，確保TCBTCB按設(shè)計要求實現(xiàn)。按設(shè)計要求實現(xiàn)。從本質(zhì)上說，這種保證是發(fā)展的，它從一個安全策略的形從本質(zhì)上說，這種保證是發(fā)展的，它從一個安全策略的形式化模型和設(shè)計的形式化高層規(guī)約（式化模型和設(shè)計的形式化高層規(guī)約（FTLSFTLS）開

53、始。）開始。信息技術(shù)安全性評估準(zhǔn)則（信息技術(shù)安全性評估準(zhǔn)則（ITSEC） 20世紀(jì)世紀(jì)80年代后期，法國、德國、荷蘭和英國年代后期，法國、德國、荷蘭和英國等歐洲國家開始聯(lián)合行動，于等歐洲國家開始聯(lián)合行動，于1990年提出歐共年提出歐共體的體的ITSEC，其，其1.2版本于版本于1991年由歐洲標(biāo)準(zhǔn)化年由歐洲標(biāo)準(zhǔn)化委員會正式公開發(fā)表。委員會正式公開發(fā)表。 ITSEC作為多國安全評估標(biāo)準(zhǔn)的綜合產(chǎn)物，適作為多國安全評估標(biāo)準(zhǔn)的綜合產(chǎn)物，適用于軍隊、政府和商業(yè)部門。用于軍隊、政府和商業(yè)部門。加拿大可信計算機(jī)產(chǎn)品評估準(zhǔn)則（加拿大可信計算機(jī)產(chǎn)品評估準(zhǔn)則（CTCPEC） CTCPEC1.0版于版于1989年公

54、布，專為政府需求而年公布，專為政府需求而設(shè)計；設(shè)計； 1993年公布了年公布了3.0版，作為版，作為ITSEC和和TCSEC的結(jié)的結(jié)合，將安全分為功能性要求和保證性要求兩部合，將安全分為功能性要求和保證性要求兩部分。分。 功能性要求分為機(jī)密性、完整性、可用性、可功能性要求分為機(jī)密性、完整性、可用性、可控性等四大類。在每種安全要求下又分成很多控性等四大類。在每種安全要求下又分成很多級，以表示安全性上的差別，按程度不同分為級，以表示安全性上的差別，按程度不同分為05級。級。美國信息技術(shù)安全聯(lián)邦準(zhǔn)則（美國信息技術(shù)安全聯(lián)邦準(zhǔn)則（FC） 20世紀(jì)世紀(jì)90年代初，美國為適應(yīng)信息技術(shù)的發(fā)展和推動年代初，美國

55、為適應(yīng)信息技術(shù)的發(fā)展和推動美國國內(nèi)非軍用信息技術(shù)產(chǎn)品安全性的進(jìn)步，其美國國內(nèi)非軍用信息技術(shù)產(chǎn)品安全性的進(jìn)步，其NSA和和NIST聯(lián)合起來對聯(lián)合起來對TCSEC做修訂。做修訂。 針對針對TCSEC的的C2級要求提出適用于商業(yè)組織和政府級要求提出適用于商業(yè)組織和政府部門的最小安全功能要求（部門的最小安全功能要求（MSFR）。）。 在在MSFR和加拿大和加拿大CTCPEC的基礎(chǔ)上，美國在的基礎(chǔ)上，美國在1992年年底公布了底公布了FC草案草案1.0版，它是結(jié)合北美和歐洲有關(guān)評版，它是結(jié)合北美和歐洲有關(guān)評估準(zhǔn)則概念的另一標(biāo)準(zhǔn)。主要供美國政府、民用和商估準(zhǔn)則概念的另一標(biāo)準(zhǔn)。主要供美國政府、民用和商用。用

56、。通用評估準(zhǔn)則（通用評估準(zhǔn)則（CC） 1993年，美國和加拿大經(jīng)過協(xié)商，同意將基于年，美國和加拿大經(jīng)過協(xié)商，同意將基于FC草案草案1.0版和版和CTCPEC3.0版開發(fā)北美通用的評估準(zhǔn)則，且版開發(fā)北美通用的評估準(zhǔn)則，且將這一計劃通報歐共體。將這一計劃通報歐共體。 英國、法國、德國、荷蘭、加拿大、美國英國、法國、德國、荷蘭、加拿大、美國NIST和和NSA六國七方組成六國七方組成CC工作組，制定國際通用的評估準(zhǔn)則工作組，制定國際通用的評估準(zhǔn)則CC。 在在CC中充分突出中充分突出“保護(hù)輪廓保護(hù)輪廓”，將信息技術(shù)安全要求，將信息技術(shù)安全要求分為分為“功能功能”和和“保證保證”兩大部分。兩大部分。 該標(biāo)

57、準(zhǔn)是目前最全面的信息技術(shù)安全評估準(zhǔn)則。該標(biāo)準(zhǔn)是目前最全面的信息技術(shù)安全評估準(zhǔn)則。CC的適用范圍和目標(biāo)讀者的適用范圍和目標(biāo)讀者 CC適用范圍適用范圍 適用于對信息技術(shù)產(chǎn)品或系統(tǒng)的安全性進(jìn)行評估，適用于對信息技術(shù)產(chǎn)品或系統(tǒng)的安全性進(jìn)行評估，不論其實現(xiàn)方式是硬件、固件和軟件。不論其實現(xiàn)方式是硬件、固件和軟件。 用于指導(dǎo)產(chǎn)品或系統(tǒng)的開發(fā)、生產(chǎn)、集成、運行、用于指導(dǎo)產(chǎn)品或系統(tǒng)的開發(fā)、生產(chǎn)、集成、運行、維護(hù)等。維護(hù)等。 不適用于不適用于 不包括對行政性管理措施的安全性評估，不包括密不包括對行政性管理措施的安全性評估，不包括密碼算法強(qiáng)度方面的評價，不包括對信息技術(shù)在物理碼算法強(qiáng)度方面的評價，不包括對信息技術(shù)

58、在物理安全方面（如電磁輻射控制）的評估。安全方面（如電磁輻射控制）的評估。 目標(biāo)讀者目標(biāo)讀者 用戶、開發(fā)者和評估者用戶、開發(fā)者和評估者通用評估準(zhǔn)則（通用評估準(zhǔn)則（CC）文檔組織文檔組織 CC包括三個部分包括三個部分: 第一部分：簡介和一般模型第一部分：簡介和一般模型 CC的總體簡介，定義信息技術(shù)安全性評估的一般概念和的總體簡介，定義信息技術(shù)安全性評估的一般概念和原理，提出評估的一般模型，還提出了若干結(jié)構(gòu)，用于原理，提出評估的一般模型，還提出了若干結(jié)構(gòu)，用于表達(dá)信息技術(shù)安全目的，選擇和定義表達(dá)信息技術(shù)安全目的，選擇和定義IT安全要求，以及安全要求，以及書寫產(chǎn)品和系統(tǒng)的高層次規(guī)范。書寫產(chǎn)品和系統(tǒng)的

59、高層次規(guī)范。 第二部分：第二部分：安全功能要求安全功能要求 提出一系列功能組件，作為表達(dá)產(chǎn)品或系統(tǒng)安全保證要提出一系列功能組件，作為表達(dá)產(chǎn)品或系統(tǒng)安全保證要求的標(biāo)準(zhǔn)方法。列出了求的標(biāo)準(zhǔn)方法。列出了11個類、個類、66個子類和個子類和135個功能組個功能組件。件。 第三部分：第三部分：安全保證要求安全保證要求 提出一系列保證組件，作為表達(dá)產(chǎn)品或系統(tǒng)安全保證要提出一系列保證組件，作為表達(dá)產(chǎn)品或系統(tǒng)安全保證要求的標(biāo)準(zhǔn)方法。列出了求的標(biāo)準(zhǔn)方法。列出了7個保證類和個保證類和1個保證維護(hù)類，還個保證維護(hù)類，還定義定義PP評估類和評估類和ST評估類。評估類。關(guān)鍵概念關(guān)鍵概念 評估對象（評估對象（TOE） 用

60、于安全性評估的信息技術(shù)產(chǎn)品、系統(tǒng)或子系統(tǒng)，如防火墻、計算機(jī)網(wǎng)用于安全性評估的信息技術(shù)產(chǎn)品、系統(tǒng)或子系統(tǒng)，如防火墻、計算機(jī)網(wǎng)絡(luò)、密碼模塊等。絡(luò)、密碼模塊等。 保護(hù)輪廓（保護(hù)輪廓（PP） PP作為作為CC中最關(guān)鍵的概念，是安全性評估的依據(jù)。一個中最關(guān)鍵的概念，是安全性評估的依據(jù)。一個PP為一類為一類TOE基于其應(yīng)用環(huán)境定義一組安全要求，不管這些要求具體如何實現(xiàn)基于其應(yīng)用環(huán)境定義一組安全要求，不管這些要求具體如何實現(xiàn)。即：。即：PP與某個具體的與某個具體的TOE無關(guān)，它定義的是用戶對這類無關(guān)，它定義的是用戶對這類TOE的安全需求。的安全需求。 在標(biāo)準(zhǔn)體系中，在標(biāo)準(zhǔn)體系中，PP相當(dāng)于產(chǎn)品標(biāo)準(zhǔn)，有助于過