1、網絡與信息安全網絡與信息安全2標準介紹標準介紹 信息技術安全評估準則發展過程信息技術安全評估準則發展過程 可信計算機系統評估準則（可信計算機系統評估準則（TCSEC ） 可信網絡解釋可信網絡解釋（TNI） 通用準則通用準則CC 計算機信息系統安全保護等級劃分準則計算機信息系統安全保護等級劃分準則 信息系統安全評估方法探討信息系統安全評估方法探討 網絡與信息安全3信息技術安全評估準則發展過程信息技術安全評估準則發展過程 信息技術安全評估是對一個構件、產品、子系統或系信息技術安全評估是對一個構件、產品、子系統或系統的安全屬性進行的技術評價，通過評估判斷該構件、統的安全屬性進行的技術評價，通過評估判

2、斷該構件、產品、子系統或系統是否滿足一組特定的要求。信息產品、子系統或系統是否滿足一組特定的要求。信息技術安全評估的另一層含義是在一定的安全策略、安技術安全評估的另一層含義是在一定的安全策略、安全功能需求及目標保證級別下獲得相應保證的過程全功能需求及目標保證級別下獲得相應保證的過程 。 產品安全評估產品安全評估 信息系統安全評估信息系統安全評估 信息系統安全評估，或簡稱為系統評估，是在具體的信息系統安全評估，或簡稱為系統評估，是在具體的操作環境與任務下對一個系統的安全保護能力進行的操作環境與任務下對一個系統的安全保護能力進行的評估評估 。網絡與信息安全4信息技術安全評估準則發展過程信息技術安全

3、評估準則發展過程 2020世紀世紀6060年代后期，年代后期，19671967年美國國防部（年美國國防部（DODDOD）成立了）成立了一個研究組，針對當時計算機使用環境中的安全策略一個研究組，針對當時計算機使用環境中的安全策略進行研究，其研究結果是進行研究，其研究結果是“Defense Science Board Defense Science Board report”report” 7070年代的后期年代的后期DODDOD對當時流行的操作系統對當時流行的操作系統KSOSKSOS，PSOSPSOS，KVMKVM進行了安全方面的研究進行了安全方面的研究 網絡與信息安全5信息技術安全評估準則發展

4、過程信息技術安全評估準則發展過程 8080年代后，美國國防部發布的年代后，美國國防部發布的“可信計算機系統評估可信計算機系統評估準則（準則（TCSECTCSEC）”（即桔皮書）（即桔皮書） 后來后來DODDOD又發布了可信數據庫解釋（又發布了可信數據庫解釋（TDITDI）、可信網絡）、可信網絡解釋（解釋（TNITNI）等一系列相關的說明和指南）等一系列相關的說明和指南 9090年代初，英、法、德、荷等四國針對年代初，英、法、德、荷等四國針對TCSECTCSEC準則的局準則的局限性，提出了包含保密性、完整性、可用性等概念的限性，提出了包含保密性、完整性、可用性等概念的“信息技術安全評估準則信息技

5、術安全評估準則”（ITSECITSEC），定義了從），定義了從E0E0級級到到E6E6級的七個安全等級級的七個安全等級 網絡與信息安全6信息技術安全評估準則發展過程信息技術安全評估準則發展過程 加拿大加拿大19881988年開始制訂年開始制訂The Canadian Trusted The Canadian Trusted Computer Product Evaluation Criteria Computer Product Evaluation Criteria （CTCPECCTCPEC） 19931993年，美國對年，美國對TCSECTCSEC作了補充和修改，制定了作了補充和修改，制

6、定了“組合組合的聯邦標準的聯邦標準”（簡稱（簡稱FCFC） 國際標準化組織（國際標準化組織（ISOISO）從）從19901990年開始開發通用的國際年開始開發通用的國際標準評估準則標準評估準則 網絡與信息安全7信息技術安全評估準則發展過程信息技術安全評估準則發展過程 在在19931993年年6 6月，月，CTCPECCTCPEC、FCFC、TCSECTCSEC和和ITSECITSEC的發起組織的發起組織開始聯合起來，將各自獨立的準則組合成一個單一的、開始聯合起來，將各自獨立的準則組合成一個單一的、能被廣泛使用的能被廣泛使用的ITIT安全準則安全準則 發起組織包括六國七方：加拿大、法國、德國、荷

7、蘭、發起組織包括六國七方：加拿大、法國、德國、荷蘭、英國、美國英國、美國NISTNIST及美國及美國NSANSA，他們的代表建立了，他們的代表建立了CCCC編輯編輯委員會（委員會（CCEBCCEB）來開發）來開發CCCC 網絡與信息安全8信息技術安全評估準則發展過程信息技術安全評估準則發展過程 19961996年年1 1月完成月完成CC1.0CC1.0版版 ,在在19961996年年4 4月被月被ISOISO采納采納 19971997年年1010月完成月完成CC2.0CC2.0的測試版的測試版 19981998年年5 5月發布月發布CC2.0CC2.0版版 19991999年年1212月月IS

8、OISO采納采納CCCC，并作為國際標準，并作為國際標準ISO 15408ISO 15408發發布布 網絡與信息安全9安全評估標準的發展歷程安全評估標準的發展歷程 桔皮書桔皮書（TCSEC）1985英國安全英國安全標準標準1989德國標準德國標準法國標準法國標準加拿大標準加拿大標準1993聯邦標準聯邦標準草案草案1993ITSEC1991通用標準通用標準V1.0 1996V2.0 1998V2.1 1999網絡與信息安全10標準介紹標準介紹 信息技術安全評估準則發展過程信息技術安全評估準則發展過程 可信計算機系統評估準則（可信計算機系統評估準則（TCSEC） 可信網絡解釋可信網絡解釋 （TNI

9、） 通用準則通用準則CC 計算機信息系統安全保護等級劃分準則計算機信息系統安全保護等級劃分準則 信息系統安全評估方法探討信息系統安全評估方法探討網絡與信息安全11TCSEC 在在TCSECTCSEC中，美國國防部按處理信息的等級和應采用的中，美國國防部按處理信息的等級和應采用的響應措施，將計算機安全從高到低分為：響應措施，將計算機安全從高到低分為：A A、B B、C C、D D四類八個級別，共四類八個級別，共2727條評估準則條評估準則 隨著安全等級的提高，系統的可信度隨之增加，風險隨著安全等級的提高，系統的可信度隨之增加，風險逐漸減少。逐漸減少。 網絡與信息安全12TCSEC四個安全等級：四

10、個安全等級：無保護級無保護級 自主保護級自主保護級 強制保護級強制保護級驗證保護級驗證保護級網絡與信息安全13TCSEC D D類是最低保護等級，即無保護級類是最低保護等級，即無保護級 是為那些經過評估，但不滿足較高評估等級要求的系是為那些經過評估，但不滿足較高評估等級要求的系統設計的，只具有一個級別統設計的，只具有一個級別 該類是指不符合要求的那些系統，因此，這種系統不該類是指不符合要求的那些系統，因此，這種系統不能在多用戶環境下處理敏感信息能在多用戶環境下處理敏感信息 網絡與信息安全14TCSEC四個安全等級：四個安全等級：無保護級無保護級 自主保護級自主保護級 強制保護級強制保護級驗證保

11、護級驗證保護級網絡與信息安全15TCSEC C C類為自主保護級類為自主保護級 具有一定的保護能力，采用的措施是自主訪問控制和具有一定的保護能力，采用的措施是自主訪問控制和審計跟蹤審計跟蹤 一般只適用于具有一定等級的多用戶環境一般只適用于具有一定等級的多用戶環境 具有對主體責任及其動作審計的能力具有對主體責任及其動作審計的能力網絡與信息安全16TCSECC C類分為類分為C1C1和和C2C2兩個級別兩個級別: : 自主安全保護級（自主安全保護級（C1級級) ) 控制訪問保護級（控制訪問保護級（C2級）級） 網絡與信息安全17TCSEC C1級級TCBTCB通過隔離用戶與數據，使用戶具備自主安全

12、保通過隔離用戶與數據，使用戶具備自主安全保護的能力護的能力 它具有多種形式的控制能力，對用戶實施訪問控制它具有多種形式的控制能力，對用戶實施訪問控制 為用戶提供可行的手段，保護用戶和用戶組信息，避為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數據的非法讀寫與破壞免其他用戶對數據的非法讀寫與破壞 C1C1級的系統適用于處理同一敏感級別數據的多用戶環級的系統適用于處理同一敏感級別數據的多用戶環境境 網絡與信息安全18TCSEC C2C2級計算機系統比級計算機系統比C1C1級具有更細粒度的自主訪問控制級具有更細粒度的自主訪問控制 C2C2級通過注冊過程控制、審計安全相關事件以及資源級通過

13、注冊過程控制、審計安全相關事件以及資源隔離，使單個用戶為其行為負責隔離，使單個用戶為其行為負責 網絡與信息安全19TCSEC四個安全等級：四個安全等級：無保護級無保護級 自主保護級自主保護級 強制保護級強制保護級驗證保護級驗證保護級網絡與信息安全20TCSEC B B類為強制保護級類為強制保護級 主要要求是主要要求是TCBTCB應維護完整的安全標記，并在此基礎上應維護完整的安全標記，并在此基礎上執行一系列強制訪問控制規則執行一系列強制訪問控制規則 B B類系統中的主要數據結構必須攜帶敏感標記類系統中的主要數據結構必須攜帶敏感標記 系統的開發者還應為系統的開發者還應為TCBTCB提供安全策略模型

14、以及提供安全策略模型以及TCBTCB規規約約 應提供證據證明訪問監控器得到了正確的實施應提供證據證明訪問監控器得到了正確的實施 網絡與信息安全21TCSECB類分為三個類別：類分為三個類別：標記安全保護級（標記安全保護級（B1級）級） 結構化保護級（結構化保護級（B2級）級） 安全區域保護級（安全區域保護級（B3級）級） 網絡與信息安全22TCSEC B1B1級系統要求具有級系統要求具有C2C2級系統的所有特性級系統的所有特性 在此基礎上，還應提供安全策略模型的非形式化描述、在此基礎上，還應提供安全策略模型的非形式化描述、數據標記以及命名主體和客體的強制訪問控制數據標記以及命名主體和客體的強制

15、訪問控制 并消除測試中發現的所有缺陷并消除測試中發現的所有缺陷 網絡與信息安全23TCSECB類分為三個類別：類分為三個類別：標記安全保護級（標記安全保護級（B1級）級） 結構化保護級（結構化保護級（B2級）級） 安全區域保護級（安全區域保護級（B3級）級）網絡與信息安全24TCSEC 在在B2B2級系統中，級系統中，TCBTCB建立于一個明確定義并文檔化形式建立于一個明確定義并文檔化形式化安全策略模型之上化安全策略模型之上 要求將要求將B1B1級系統中建立的自主和強制訪問控制擴展到級系統中建立的自主和強制訪問控制擴展到所有的主體與客體所有的主體與客體 在此基礎上，應對隱蔽信道進行分析在此基礎

16、上，應對隱蔽信道進行分析 TCBTCB應結構化為關鍵保護元素和非關鍵保護元素應結構化為關鍵保護元素和非關鍵保護元素網絡與信息安全25TCSEC TCBTCB接口必須明確定義接口必須明確定義 其設計與實現應能夠經受更充分的測試和更完善的審其設計與實現應能夠經受更充分的測試和更完善的審查查 鑒別機制應得到加強，提供可信設施管理以支持系統鑒別機制應得到加強，提供可信設施管理以支持系統管理員和操作員的職能管理員和操作員的職能 提供嚴格的配置管理控制提供嚴格的配置管理控制 B2B2級系統應具備相當的抗滲透能力級系統應具備相當的抗滲透能力網絡與信息安全26TCSECB類分為三個類別：類分為三個類別：標記安

17、全保護級（標記安全保護級（B1級）級） 結構化保護級（結構化保護級（B2級）級） 安全區域保護級（安全區域保護級（B3級）級）網絡與信息安全27TCSEC 在在B3B3級系統中，級系統中，TCBTCB必須滿足訪問監控器需求必須滿足訪問監控器需求 訪問監控器對所有主體對客體的訪問進行仲裁訪問監控器對所有主體對客體的訪問進行仲裁 訪問監控器本身是抗篡改的訪問監控器本身是抗篡改的 訪問監控器足夠小訪問監控器足夠小 訪問監控器能夠分析和測試訪問監控器能夠分析和測試網絡與信息安全28TCSEC為了滿足訪問控制器需求為了滿足訪問控制器需求: :計算機信息系統可信計算基在構造時，排除那些對計算機信息系統可信

18、計算基在構造時，排除那些對實施安全策略來說并非必要的代碼實施安全策略來說并非必要的代碼計算機信息系統可信計算基在設計和實現時，從系計算機信息系統可信計算基在設計和實現時，從系統工程角度將其復雜性降低到最小程度統工程角度將其復雜性降低到最小程度網絡與信息安全29TCSECB3B3級系統支持級系統支持: :安全管理員職能安全管理員職能擴充審計機制擴充審計機制當發生與安全相關的事件時，發出信號當發生與安全相關的事件時，發出信號提供系統恢復機制提供系統恢復機制系統具有很高的抗滲透能力系統具有很高的抗滲透能力網絡與信息安全30TCSEC四個安全等級：四個安全等級：無保護級無保護級 自主保護級自主保護級

19、強制保護級強制保護級驗證保護級驗證保護級網絡與信息安全31TCSEC A類為驗證保護級類為驗證保護級 A A類的特點是使用形式化的安全驗證方法，保證系統的類的特點是使用形式化的安全驗證方法，保證系統的自主和強制安全控制措施能夠有效地保護系統中存儲自主和強制安全控制措施能夠有效地保護系統中存儲和處理的秘密信息或其他敏感信息和處理的秘密信息或其他敏感信息 為證明為證明TCBTCB滿足設計、開發及實現等各個方面的安全要滿足設計、開發及實現等各個方面的安全要求，系統應提供豐富的文檔信息求，系統應提供豐富的文檔信息網絡與信息安全32TCSECA A類分為兩個類別：類分為兩個類別：驗證設計級（驗證設計級（

20、A1A1級）級） 超超A1A1級級 網絡與信息安全33TCSEC A1A1級系統在功能上和級系統在功能上和B3B3級系統是相同的，沒有增加體級系統是相同的，沒有增加體系結構特性和策略要求系結構特性和策略要求 最顯著的特點是，要求用形式化設計規范和驗證方法最顯著的特點是，要求用形式化設計規范和驗證方法來對系統進行分析，確保來對系統進行分析，確保TCBTCB按設計要求實現按設計要求實現 從本質上說，這種保證是發展的，它從一個安全策略從本質上說，這種保證是發展的，它從一個安全策略的形式化模型和設計的形式化高層規約（的形式化模型和設計的形式化高層規約（FTLSFTLS）開始）開始 網絡與信息安全34T

21、CSEC 針對針對A1A1級系統設計驗證，有級系統設計驗證，有5 5種獨立于特定規約語言或種獨立于特定規約語言或驗證方法的重要準則：驗證方法的重要準則：安全策略的形式化模型必須得到明確標識并文檔化，提供該模安全策略的形式化模型必須得到明確標識并文檔化，提供該模型與其公理一致以及能夠對安全策略提供足夠支持的數學證明型與其公理一致以及能夠對安全策略提供足夠支持的數學證明 應提供形式化的高層規約，包括應提供形式化的高層規約，包括TCBTCB功能的抽象定義、用于隔功能的抽象定義、用于隔離執行域的硬件離執行域的硬件/ /固件機制的抽象定義固件機制的抽象定義 網絡與信息安全35TCSEC應通過形式化的技術

22、（如果可能的化）和非形式化的應通過形式化的技術（如果可能的化）和非形式化的技術證明技術證明TCB的形式化高層規約（的形式化高層規約（FTLS）與模型是一）與模型是一致的致的 通過非形式化的方法證明通過非形式化的方法證明TCB的實現（硬件、固件、的實現（硬件、固件、軟件）與形式化的高層規約（軟件）與形式化的高層規約（FTLS）是一致的。應證）是一致的。應證明明FTLS的元素與的元素與TCB的元素是一致的，的元素是一致的，FTLS應表達應表達用于滿足安全策略的一致的保護機制，這些保護機制用于滿足安全策略的一致的保護機制，這些保護機制的元素應映射到的元素應映射到TCB的要素的要素 網絡與信息安全36

23、TCSEC應使用形式化的方法標識并分析隱蔽信道，非形式化應使用形式化的方法標識并分析隱蔽信道，非形式化的方法可以用來標識時間隱蔽信道，必須對系統中存的方法可以用來標識時間隱蔽信道，必須對系統中存在的隱蔽信道進行解釋在的隱蔽信道進行解釋 網絡與信息安全37TCSECA1級系統級系統: : 要求更嚴格的配置管理要求更嚴格的配置管理 要求建立系統安全分發的程序要求建立系統安全分發的程序 支持系統安全管理員的職能支持系統安全管理員的職能 網絡與信息安全38TCSECA A類分為兩個類別：類分為兩個類別：驗證設計級（驗證設計級（A1A1級）級） 超超A1A1級級網絡與信息安全39TCSEC 超超A1A1

24、級在級在A1級基礎上增加的許多安全措施超出了目前級基礎上增加的許多安全措施超出了目前的技術發展的技術發展 隨著更多、更好的分析技術的出現，本級系統的要求隨著更多、更好的分析技術的出現，本級系統的要求才會變的更加明確才會變的更加明確 今后，形式化的驗證方法將應用到源碼一級，并且時今后，形式化的驗證方法將應用到源碼一級，并且時間隱蔽信道將得到全面的分析間隱蔽信道將得到全面的分析 網絡與信息安全40TCSEC 在這一級，設計環境將變的更重要在這一級，設計環境將變的更重要 形式化高層規約的分析將對測試提供幫助形式化高層規約的分析將對測試提供幫助 TCB開發中使用的工具的正確性及開發中使用的工具的正確性

25、及TCB運行的軟硬件運行的軟硬件功能的正確性將得到更多的關注功能的正確性將得到更多的關注網絡與信息安全41TCSEC超超A1級系統涉及的范圍包括：級系統涉及的范圍包括：系統體系結構系統體系結構安全測試安全測試形式化規約與驗證形式化規約與驗證可信設計環境等可信設計環境等網絡與信息安全42標準介紹標準介紹 信息技術安全評估準則發展過程信息技術安全評估準則發展過程 可信計算機系統評估準則（可信計算機系統評估準則（TCSEC） 可信網絡解釋可信網絡解釋 （TNI） 通用準則通用準則CC 計算機信息系統安全保護等級劃分準則計算機信息系統安全保護等級劃分準則 信息系統安全評估方法探討信息系統安全評估方法探

26、討網絡與信息安全43可信網絡解釋（可信網絡解釋（TNI） 美國國防部計算機安全評估中心在完成美國國防部計算機安全評估中心在完成TCSEC的基礎的基礎上，又組織了專門的研究鏃對可信網絡安全評估進行上，又組織了專門的研究鏃對可信網絡安全評估進行研究，并于研究，并于1987年發布了以年發布了以TCSEC為基礎的可信網絡為基礎的可信網絡解釋，即解釋，即TNI。 TNI包括兩個部分（包括兩個部分（Part I和和Part II）及三個附錄）及三個附錄（APPENDIX A、B、C） 網絡與信息安全44可信網絡解釋（可信網絡解釋（TNI） TNI第一部分提供了在網絡系統作為一個單一系統進行第一部分提供了在

27、網絡系統作為一個單一系統進行評估時評估時TCSEC中各個等級（從中各個等級（從D到到A類）的解釋類）的解釋 與單機系統不同的是，網絡系統的可信計算基稱為網與單機系統不同的是，網絡系統的可信計算基稱為網絡可信計算基（絡可信計算基（NTCB） 網絡與信息安全45可信網絡解釋（可信網絡解釋（TNI） 第二部分以附加安全服務的形式提出了在網絡互聯時出第二部分以附加安全服務的形式提出了在網絡互聯時出現的一些附加要求現的一些附加要求 這些要求主要是針對完整性、可用性和保密性的這些要求主要是針對完整性、可用性和保密性的 網絡與信息安全46可信網絡解釋（可信網絡解釋（TNI） 第二部分的評估是定性的，針對一個

28、服務進行評估的結第二部分的評估是定性的，針對一個服務進行評估的結果一般分為為：果一般分為為： vnone vminimum vfair vgood 網絡與信息安全47可信網絡解釋（可信網絡解釋（TNI） 第二部分中關于每個服務的說明一般包括第二部分中關于每個服務的說明一般包括: :一種相對簡短的陳述一種相對簡短的陳述相關的功能性的討論相關的功能性的討論 相關機制強度的討論相關機制強度的討論 相關保證的討論相關保證的討論 網絡與信息安全48可信網絡解釋（可信網絡解釋（TNI） 功能性是指一個安全服務的目標和實現方法，它包括特功能性是指一個安全服務的目標和實現方法，它包括特性、機制及實現性、機制及

29、實現 機制的強度是指一種方法實現其目標的程度機制的強度是指一種方法實現其目標的程度 有些情況下，參數的選擇會對機制的強度帶來很大的影有些情況下，參數的選擇會對機制的強度帶來很大的影響響 網絡與信息安全49可信網絡解釋（可信網絡解釋（TNI） 保證是指相信一個功能會實現的基礎保證是指相信一個功能會實現的基礎 保證一般依靠對理論、測試、軟件工程等相關內容的分保證一般依靠對理論、測試、軟件工程等相關內容的分析析 分析可以是形式化或非形式化的，也可以是理論的或應分析可以是形式化或非形式化的，也可以是理論的或應用的用的 網絡與信息安全50可信網絡解釋（可信網絡解釋（TNI）第二部分中列出的安全服務有：第

30、二部分中列出的安全服務有： 通信完整性通信完整性 拒絕服務拒絕服務 機密性機密性 網絡與信息安全51可信網絡解釋（可信網絡解釋（TNI）通信完整性主要涉及以下通信完整性主要涉及以下3方面：方面：鑒別：網絡中應能夠抵抗欺騙和重放攻擊鑒別：網絡中應能夠抵抗欺騙和重放攻擊 通信字段完整性：保護通信中的字段免受非授權的通信字段完整性：保護通信中的字段免受非授權的修改修改 抗抵賴：提供數據發送、接受的證據抗抵賴：提供數據發送、接受的證據 網絡與信息安全52可信網絡解釋（可信網絡解釋（TNI） 當網絡處理能力下降到一個規定的界限以下或遠程實當網絡處理能力下降到一個規定的界限以下或遠程實體無法訪問時，即發生

31、了拒絕服務體無法訪問時，即發生了拒絕服務 所有由網絡提供的服務都應考慮拒絕服務的情況所有由網絡提供的服務都應考慮拒絕服務的情況 網絡管理者應決定網絡拒絕服務需求網絡管理者應決定網絡拒絕服務需求 網絡與信息安全53可信網絡解釋（可信網絡解釋（TNI）解決拒絕服務的方法有：解決拒絕服務的方法有： 操作連續性操作連續性 基于協議的拒絕服務保護基于協議的拒絕服務保護 網絡管理網絡管理 網絡與信息安全54可信網絡解釋（可信網絡解釋（TNI） 機密性是一系列安全服務的總稱機密性是一系列安全服務的總稱 這些服務都是關于通過計算機通信網絡在實體間傳輸這些服務都是關于通過計算機通信網絡在實體間傳輸信息的安全和保

32、密的信息的安全和保密的 具體又分具體又分3種情況：種情況： 數據保密數據保密 通信流保密通信流保密 選擇路由選擇路由 網絡與信息安全55可信網絡解釋（可信網絡解釋（TNI）數據保密：數據保密：v數據保密性服務保護數據不被未授權地泄露數據保密性服務保護數據不被未授權地泄露v數據保密性主要受搭線竊聽的威脅數據保密性主要受搭線竊聽的威脅v被動的攻擊包括對線路上傳輸的信息的觀測被動的攻擊包括對線路上傳輸的信息的觀測 網絡與信息安全56可信網絡解釋（可信網絡解釋（TNI）通信流保密：通信流保密：v針對通信流分析攻擊而言，通信流分析攻擊分析消息針對通信流分析攻擊而言，通信流分析攻擊分析消息的長度、頻率及協

33、議的內容（如地址）的長度、頻率及協議的內容（如地址）v并以此推出消息的內容并以此推出消息的內容 網絡與信息安全57可信網絡解釋（可信網絡解釋（TNI）選擇路由：選擇路由：v路由選擇控制是在路由選擇過程中應用規則，以便具體路由選擇控制是在路由選擇過程中應用規則，以便具體的選取或回避某些網絡、鏈路或中繼的選取或回避某些網絡、鏈路或中繼v路由能動態的或預定地選取，以便只使用物理上安全的路由能動態的或預定地選取，以便只使用物理上安全的子網絡、鏈路或中繼子網絡、鏈路或中繼v在檢測到持續的操作攻擊時，端系統可希望指示網絡服在檢測到持續的操作攻擊時，端系統可希望指示網絡服務的提供者經不同的路由建立連接務的提

34、供者經不同的路由建立連接v帶有某些安全標記的數據可能被策略禁止通過某些子網帶有某些安全標記的數據可能被策略禁止通過某些子網絡、鏈路或中繼絡、鏈路或中繼 網絡與信息安全58可信網絡解釋（可信網絡解釋（TNI） TNI第二部分的評估更多地表現出定性和主觀的特點，第二部分的評估更多地表現出定性和主觀的特點，同第一部分相比表現出更多的變化同第一部分相比表現出更多的變化 第二部分的評估是關于被評估系統能力和它們對特定應第二部分的評估是關于被評估系統能力和它們對特定應用環境的適合性的非常有價值的信息用環境的適合性的非常有價值的信息 第二部分中所列舉的安全服務是網絡環境下有代表性的第二部分中所列舉的安全服務

35、是網絡環境下有代表性的安全服務安全服務 在不同的環境下，并非所有的服務都同等重要，同一服在不同的環境下，并非所有的服務都同等重要，同一服務在不同環境下的重要性也不一定一樣務在不同環境下的重要性也不一定一樣網絡與信息安全59可信網絡解釋（可信網絡解釋（TNI） TNI的附錄的附錄A是第一部分的擴展，主要是關于網絡中組是第一部分的擴展，主要是關于網絡中組件及組件組合的評估件及組件組合的評估 附錄附錄A A把把TCSECTCSEC為為A1A1級系統定義的安全相關的策略分為級系統定義的安全相關的策略分為四個相對獨立的種類，他們分別支持強制訪問控制四個相對獨立的種類，他們分別支持強制訪問控制（MACMA

36、C），自主訪問控制（），自主訪問控制（DACDAC），身份鑒別（），身份鑒別（IAIA），），審計（審計（AUDITAUDIT） 網絡與信息安全60可信網絡解釋（可信網絡解釋（TNI）組成部分的類型最小級別最大級別MB1A1DC1C2+IC1C2AC2C2+DIC1C2+DAC2C2+IAC2C2+IADC2C2+MDB1A1MAB1A1MIB1A1MDAB1A1MDIB1A1MIAB1A1MIADB1A1網絡與信息安全61可信網絡解釋（可信網絡解釋（TNI） 附錄附錄B給出了根據給出了根據TCSEC對網絡組件進行評估的基本對網絡組件進行評估的基本原理原理 附錄附錄C則給出了幾個則給出了幾個A

37、IS互聯時的認證指南及互聯中可互聯時的認證指南及互聯中可能遇到的問題能遇到的問題網絡與信息安全62可信網絡解釋（可信網絡解釋（TNI）TNI中關于網絡有兩種概念：中關于網絡有兩種概念： v一是單一可信系統的概念（一是單一可信系統的概念（single trusted system）v另一個是互聯信息系統的概念（另一個是互聯信息系統的概念（interconnected AIS）這兩個概念并不互相排斥這兩個概念并不互相排斥 網絡與信息安全63可信網絡解釋（可信網絡解釋（TNI） 在單一可信系統中，網絡具有包括各個安全相關部分在單一可信系統中，網絡具有包括各個安全相關部分的單一的單一TCB，稱為，稱為

38、NTCB（network trusted computing base） NTCB作為一個整體滿足系統的安全體系設計作為一個整體滿足系統的安全體系設計網絡與信息安全64可信網絡解釋（可信網絡解釋（TNI）在互聯信息系統中在互聯信息系統中各個子系統可能具有不同的安全策略各個子系統可能具有不同的安全策略具有不同的信任等級具有不同的信任等級并且可以分別進行評估并且可以分別進行評估各個子系統甚至可能是異構的各個子系統甚至可能是異構的網絡與信息安全65可信網絡解釋（可信網絡解釋（TNI） 安全策略的實施一般控制在各個子系統內，在附錄安全策略的實施一般控制在各個子系統內，在附錄C中中給出了各個子系統安全地

39、互聯的指南，在互聯時要控制給出了各個子系統安全地互聯的指南，在互聯時要控制局部風險的擴散，排除整個系統中的級聯問題（局部風險的擴散，排除整個系統中的級聯問題（cascade problem） 限制局部風險的擴散的方法：單向連接、傳輸的手工檢限制局部風險的擴散的方法：單向連接、傳輸的手工檢測、加密、隔離或其他措施。測、加密、隔離或其他措施。 網絡與信息安全66標準介紹標準介紹 信息技術安全評估準則發展過程信息技術安全評估準則發展過程 可信計算機系統評估準則（可信計算機系統評估準則（TCSEC） 可信網絡解釋可信網絡解釋 （TNI） 通用準則通用準則CC 計算機信息系統安全保護等級劃分準則計算機信

40、息系統安全保護等級劃分準則 信息系統安全評估方法探討信息系統安全評估方法探討網絡與信息安全67通用準則通用準則CCCC的范圍的范圍 :CC適用于硬件、固件和軟件實現的信息技術安全措施適用于硬件、固件和軟件實現的信息技術安全措施而某些內容因涉及特殊專業技術或僅是信息技術安全而某些內容因涉及特殊專業技術或僅是信息技術安全的外圍技術不在的外圍技術不在CC的范圍內的范圍內 網絡與信息安全68通用準則通用準則CC評估上下文評估上下文 評估準則(通用準則）評估方法學評估方案最終評估 結果評估批準/證明證書表/(注冊)網絡與信息安全69通用準則通用準則CC 使用通用評估方法學可以提供結果的可重復性和客觀使用

41、通用評估方法學可以提供結果的可重復性和客觀性性 許多評估準則需要使用專家判斷和一定的背景知識許多評估準則需要使用專家判斷和一定的背景知識 為了增強評估結果的一致性，最終的評估結果應提交為了增強評估結果的一致性，最終的評估結果應提交給一個認證過程，該過程是一個針對評估結果的獨立給一個認證過程，該過程是一個針對評估結果的獨立的檢查過程，并生成最終的證書或正式批文的檢查過程，并生成最終的證書或正式批文網絡與信息安全70通用準則通用準則CCCC包括三個部分包括三個部分: : 第一部分：簡介和一般模型第一部分：簡介和一般模型 第二部分：安全功能要求第二部分：安全功能要求 第三部分：安全保證要求第三部分：

42、安全保證要求 網絡與信息安全71通用準則通用準則CC安全保證要求部分提出了七個評估保證級別安全保證要求部分提出了七個評估保證級別（Evaluation Assurance Levels：EALs）分別是：分別是：EAL1EAL1：功能測試：功能測試EAL2EAL2：結構測試：結構測試EAL3EAL3：系統測試和檢查：系統測試和檢查EAL4EAL4：系統設計、測試和復查：系統設計、測試和復查EAL5EAL5：半形式化設計和測試：半形式化設計和測試EAL6EAL6：半形式化驗證的設計和測試：半形式化驗證的設計和測試EAL7EAL7：形式化驗證的設計和測試：形式化驗證的設計和測試 網絡與信息安全72

43、通用準則通用準則CC 安全就是保護資產不受威脅，威脅可依據濫用被保護安全就是保護資產不受威脅，威脅可依據濫用被保護資產的可能性進行分類資產的可能性進行分類 所有的威脅類型都應該被考慮到所有的威脅類型都應該被考慮到 在安全領域內，被高度重視的威脅是和人們的惡意攻在安全領域內，被高度重視的威脅是和人們的惡意攻擊及其它人類活動相聯系的擊及其它人類活動相聯系的 網絡與信息安全73通用準則通用準則CC 安全安全概念概念和關和關系系圖4.1 安全概念和關系所有者對策弱點風險資產威脅威脅者價值希望最小化利用減少可能擁有可能意識到可能被減少利用導致引起增加到到希望濫用和破壞網絡與信息安全74通用準則通用準則C

44、C 安全性損壞一般包括但又不僅僅包括以下幾項安全性損壞一般包括但又不僅僅包括以下幾項資產破壞性地暴露于未授權的接收者（失去保密性）資產破壞性地暴露于未授權的接收者（失去保密性）資產由于未授權的更改而損壞（失去完整性）資產由于未授權的更改而損壞（失去完整性）或資產訪問權被未授權的喪失（失去可用性）或資產訪問權被未授權的喪失（失去可用性）網絡與信息安全75通用準則通用準則CC 資產所有者必須分析可能的威脅并確定哪些存在于他資產所有者必須分析可能的威脅并確定哪些存在于他們的環境們的環境，其后果就是風險其后果就是風險 對策用以（直接或間接地）減少脆弱性并滿足資產所對策用以（直接或間接地）減少脆弱性并滿

45、足資產所有者的安全策略有者的安全策略 在將資產暴露于特定威脅之前，所有者需要確信其對在將資產暴露于特定威脅之前，所有者需要確信其對策足以應付面臨的威脅策足以應付面臨的威脅 網絡與信息安全76通用準則通用準則CC 評評估估概概念念 和和關關系系保證技術保證評估信心對策風險資產所有者產生給出證據需要提供源于最小化針對網絡與信息安全77通用準則通用準則CCTOE評評估估過過程程安全需求（PP與ST）開發TOETOE和評估評估TOE評估結果操作TOE評估方案評估方法評估準則反饋網絡與信息安全78通用準則通用準則CC評估過程通過兩種途徑產生更好的安全產品評估過程通過兩種途徑產生更好的安全產品評估過程能發

46、現開發者可以糾正的評估過程能發現開發者可以糾正的TOE錯誤或弱點，從而在減錯誤或弱點，從而在減少將來操作中安全失效的可能性少將來操作中安全失效的可能性另一方面，為了通過嚴格的評估，開發者在另一方面，為了通過嚴格的評估，開發者在TOE設計和開發時設計和開發時也將更加細心也將更加細心因此，評估過程對最初需求、開發過程、最終產品以及操作環境因此，評估過程對最初需求、開發過程、最終產品以及操作環境將產生強烈的積極影響將產生強烈的積極影響 網絡與信息安全79通用準則通用準則CC CC安全概念安全概念包括：包括：安全環境安全環境 安全目的安全目的 IT安全要求安全要求 TOE概要規范概要規范 網絡與信息安

47、全80通用準則通用準則CC 安全環境包括所有相關的法規、組織性安全策略、習安全環境包括所有相關的法規、組織性安全策略、習慣、專門技術和知識慣、專門技術和知識 它定義了它定義了TOE使用的上下文，安全環境也包括環境里使用的上下文，安全環境也包括環境里出現的安全威脅出現的安全威脅 網絡與信息安全81通用準則通用準則CC 安全環境的分析結果被用來闡明對抗已標識的威脅、安全環境的分析結果被用來闡明對抗已標識的威脅、說明組織性安全策略和假設的安全目的說明組織性安全策略和假設的安全目的 安全目的和已說明的安全目的和已說明的TOE運行目標或產品目標以及有運行目標或產品目標以及有關的物理環境知識一致關的物理環

48、境知識一致 確定安全目的的意圖是為了闡明所有的安全考慮并指確定安全目的的意圖是為了闡明所有的安全考慮并指出哪些安全方面的問題是直接由出哪些安全方面的問題是直接由TOE還是由它的環境還是由它的環境來處理來處理 環境安全目的將在環境安全目的將在IT領域內用非技術上的或程序化的領域內用非技術上的或程序化的手段來實現手段來實現 網絡與信息安全82通用準則通用準則CC IT安全要求是將安全目的細化為一系列安全要求是將安全目的細化為一系列TOE及其環境及其環境的安全要求，一旦這些要求得到滿足，就可以保證的安全要求，一旦這些要求得到滿足，就可以保證TOE達到它的安全目的達到它的安全目的 IT安全需求只涉及安

49、全需求只涉及TOE安全目的和它的安全目的和它的IT環境環境 網絡與信息安全83通用準則通用準則CC CC定義了一系列與已知有效的安全要求集合相結合的定義了一系列與已知有效的安全要求集合相結合的概念，該概念可被用來為預期的產品和系統建立安全概念，該概念可被用來為預期的產品和系統建立安全需求需求 CCCC安全要求以類安全要求以類族族組件這種層次方式組織，以幫組件這種層次方式組織，以幫助用戶定位特定的安全要求助用戶定位特定的安全要求 對功能和保證方面的要求，對功能和保證方面的要求，CC使用相同的風格、組織使用相同的風格、組織方式和術語。方式和術語。 網絡與信息安全84通用準則通用準則CCCC中安全要

50、求的描述方法中安全要求的描述方法：類：類：類用作最通用安全要求的組合，類的所有的成員類用作最通用安全要求的組合，類的所有的成員關注共同的安全焦點，但覆蓋不同的安全目的關注共同的安全焦點，但覆蓋不同的安全目的 族：類的成員被稱為族族：類的成員被稱為族。族是若干組安全要求的組合，族是若干組安全要求的組合，這些要求有共同的安全目的，但在側重點和嚴格性上這些要求有共同的安全目的，但在側重點和嚴格性上有所區別有所區別 組件：族的成員被稱為組件。組件描述一組特定的安組件：族的成員被稱為組件。組件描述一組特定的安全要求集，它是全要求集，它是CC定義的結構中所包含的最小的可選定義的結構中所包含的最小的可選安全

51、要求集安全要求集 網絡與信息安全85通用準則通用準則CC 組件由單個元素組成，元素是安全需求最低層次的表組件由單個元素組成，元素是安全需求最低層次的表達，并且是能被評估驗證的不可分割的安全要求達，并且是能被評估驗證的不可分割的安全要求 族內具有相同目標的組件可以以安全要求強度（或能族內具有相同目標的組件可以以安全要求強度（或能力）逐步增加的順序排列，也可以部分地按相關非層力）逐步增加的順序排列，也可以部分地按相關非層次集合的方式組織次集合的方式組織網絡與信息安全86通用準則通用準則CC 組件間可能存在依賴關系組件間可能存在依賴關系 依賴關系可以存在于功能組件之間、保證組件之間以依賴關系可以存在

52、于功能組件之間、保證組件之間以及功能和保證組件之間及功能和保證組件之間 組件間依賴關系描述是組件間依賴關系描述是CC組件定義的一部分組件定義的一部分 網絡與信息安全87通用準則通用準則CC 可以通過使用組件允許的操作，對組件進行裁剪可以通過使用組件允許的操作，對組件進行裁剪 每一個每一個CC組件標識并定義組件允許的組件標識并定義組件允許的“賦值賦值”和和“選選擇擇”操作、在哪些情況下可對組件使用這些操作，以及操作、在哪些情況下可對組件使用這些操作，以及使用這些操作的后果使用這些操作的后果 任何一個組件均允許任何一個組件均允許“反復反復”和和“細化細化”操作操作 網絡與信息安全88通用準則通用準

53、則CC這四個操作如下所述：這四個操作如下所述：反復：在不同操作時，允許組件多次使用反復：在不同操作時，允許組件多次使用賦值：當組件被應用時，允許規定所賦予的參數賦值：當組件被應用時，允許規定所賦予的參數選擇：允許從組件給出的列表中選定若干項選擇：允許從組件給出的列表中選定若干項細化：當組件被應用時，允許對組件增加細節細化：當組件被應用時，允許對組件增加細節 網絡與信息安全89通用準則通用準則CC 要要求求的的組組織織和和結結構構網絡與信息安全90通用準則通用準則CCCC中安全需求的描述方法中安全需求的描述方法:包包: :組件的中間組合被稱為包組件的中間組合被稱為包 保護輪廓保護輪廓( (PP)

54、: ): PP是關于一系列滿足一個安全目標集是關于一系列滿足一個安全目標集的的TOETOE的、與實現無關的描述的、與實現無關的描述 安全目標安全目標( (ST) )： ST是針對特定是針對特定TOE安全要求的描述，安全要求的描述，通過評估可以證明這些安全要求對滿足指定目的是有通過評估可以證明這些安全要求對滿足指定目的是有用和有效的用和有效的網絡與信息安全91通用準則通用準則CC 包允許對功能或保證需求集合的描述，這個集合能夠包允許對功能或保證需求集合的描述，這個集合能夠滿足一個安全目標的可標識子集滿足一個安全目標的可標識子集 包可重復使用，可用來定義那些公認有用的、能夠有包可重復使用，可用來定

55、義那些公認有用的、能夠有效滿足特定安全目標的要求效滿足特定安全目標的要求 包可用在構造更大的包、包可用在構造更大的包、PP和和ST中中 網絡與信息安全92通用準則通用準則CC PP包含一套來自包含一套來自CC（或明確闡述）的安全要求，它應（或明確闡述）的安全要求，它應包括一個評估保證級別（包括一個評估保證級別（EAL） PP可反復使用，還可用來定義那些公認有用的、能夠可反復使用，還可用來定義那些公認有用的、能夠有效滿足特定安全目標的有效滿足特定安全目標的TOE要求要求 PP包括安全目的和安全要求的基本原理包括安全目的和安全要求的基本原理 PP的開發者可以是用戶團體、的開發者可以是用戶團體、IT

56、產品開發者或其它對產品開發者或其它對定義這樣一系列通用要求有興趣的團體定義這樣一系列通用要求有興趣的團體 網絡與信息安全93通用準則通用準則CC 保護輪保護輪廓廓PP描述描述結構結構PP應用注解PP標識PP 概述假設威脅組織性安全策略TOE安全目的環境安全目的安全目的基本原理安全要求基本原理TOE安全功能要求TOE 安全保證要求保護輪廓PP引言TOE描述TOE安全環境安全目的IT安全要求基本原理TOE安全要求IT環境安全要求網絡與信息安全94通用準則通用準則CC 安全目標安全目標( (ST) )包括一系列安全要求，這些要求可以引包括一系列安全要求，這些要求可以引用用PP，也可以直接引用，也可以

57、直接引用CC中的功能或保證組件，或明中的功能或保證組件，或明確說明確說明 一個一個ST包含包含TOE的概要規范，安全要求和目的，以及的概要規范，安全要求和目的，以及它們的基本原理它們的基本原理 ST是所有團體間就是所有團體間就TOE應提供什么樣的安全性達成一應提供什么樣的安全性達成一致的基礎致的基礎 網絡與信息安全95通用準則通用準則CC 安全安全目目標標描描述述結結構構S T 標 識S T 概 述假 設威 脅組 織 性 安 全 策 略T O E 安 全 目 的環 境 安 全 目 的T O E 安 全 功 能 要 求T O E 安 全 保 證 要 求安安 全全 目目 標標S T 引 言T O

58、E 描 述T O E 安 全 環 境安 全 目 的I T 安 全 要 求T O E 安 全 要 求I T 環 境 安 全 要 求C C 一 致 性 性 聲 明T O E 概 要 規 范T O E 安 全 功 能保 證 措 施P P 聲 明P P 裁 減P P 附 加 項P P 聲 明基 本 原 理安 全 目 的 基 本 原 理安 全 要 求 基 本 原 理網絡與信息安全96通用準則通用準則CCCC框架下的評估類型框架下的評估類型 PP評估評估ST評估評估 TOE評估評估 網絡與信息安全97通用準則通用準則CC PPPP評估是依照評估是依照CCCC第第3 3部分的部分的PPPP評估準則進行的。評

59、估準則進行的。 評估的目標是為了證明評估的目標是為了證明PPPP是完備的、一致的、技術合是完備的、一致的、技術合理的，而且適合于作為一個可評估理的，而且適合于作為一個可評估TOETOE的安全要求的聲的安全要求的聲明明網絡與信息安全98通用準則通用準則CC 針對針對TOE的的ST評估是依照評估是依照CC第第3部分的部分的ST評估準則進評估準則進行的行的 ST評估具有雙重目標：評估具有雙重目標：首先是為了證明首先是為了證明ST是完備的、一致的、技術合理的，而且適是完備的、一致的、技術合理的，而且適合于用作相應合于用作相應TOE評估的基礎評估的基礎其次，當某一其次，當某一ST宣稱與某一宣稱與某一PP

60、一致時，證明一致時，證明ST滿足該滿足該PP的要的要求求 網絡與信息安全99通用準則通用準則CC TOE評估是使用一個已經評估過的評估是使用一個已經評估過的ST作為基礎，依照作為基礎，依照CC第第3部分的評估準則進行的部分的評估準則進行的 評估的目標是為了證明評估的目標是為了證明TOE滿足滿足ST中的安全要求中的安全要求 網絡與信息安全100通用準則通用準則CC三種評估的關系三種評估的關系評估PP評估TOEPP分類評估ST證書分類PP評估結果TOE評估結果ST評估結果已評估過的TOE網絡與信息安全101通用準則通用準則CC CC的第二部分是安全功能要求，對滿足安全需求的諸安的第二部分是安全功能