知识模块 13 国内外相关标准 沈晴霓 软件与微电子学院 北京大学 1

Evaluation Criteria TCSEC ITSEC FC CC Many others Trusted Computer System Evaluation Criteria ITSEC Information Technology Security Evaluation Criteria FC Federal Criteria for Information Technology Security CC Common Criteria Many others

Rainbow Series －“彩虹系列”丛书 内容： － 以1985美国DoD发布的《可信计算机系统评测标准（TCSEC）》为核心（我国GB17859-1999）。 － 对评测标准进行扩充、提供了关键的背景知识、对关键的概念进行深入解释和分析，并且提出了具体的实现方法和措施。 －丛书共三十几册, 下载地址如下：www.chinacissp.com/knowledge/Rainbow/rainbow_series.htm www.governmentsecurity.org/articles/RainbowSeriesLibraryTheOneTheOnly.php

Rainbow Series （续） 意义： 是信息系统安全事业的里程碑 建立了一个标准和一套体系 提出的基本概念、原则和方法被普遍接受和使用 是信息安全领域的研究、信息安全产品的开发和使用的重要参考

TCSEC评估等级

TCSEC Completed Evaluations by Class（1984 – 2000） Data from Historical EPL archive, www.radium.ncsc.mil

TCSEC Evaluated products Operating Systems Network Components Trusted Applications A1 No products Boeing, MLS LAN Gemini Computers, Gemini Trusted Network Processor No products B3 Wang Government Services, XTS-200 STOP 3.1.E~5.2.E No products No products B2 Trusted Information Systems, Inc. Trusted XENIX 3.0& 4.0 Cryptek Secure Communications, LLC VSLAN 5.0, 5.1, 6.0 No products B1 Unisys Corporation OS 1100 HP-UX BLS DEC SEVMS VAX Version 6.0 Harris Computer Systems Corporation CX/SX with LAN/SX 6.1.1 Informix Software, INFORMIXOnLine/secure4.1&5.0 Trusted Oracle 7 Secure SQL Server 11.0.6 C2 DG/AOS, IBM/AS, DEC/VAX, Micro/Windows NT Novell, NetWare4 -4.11 Informix Software, INFORMIXOnLine/secure4.1&5.0 Micro/SQL Server 2000 8.0 Oracle 7, SQL Server 11.0.6 Adaptive Server Anywhere 7.0.0

ITSEC 1990年5月，法国，德国，荷兰和英联邦发布标准ITSEC( Information Technology Security Evaluation Criteria). 1991年6月，由欧共体发布1.2版本，使评估和认证机制具有可操作性。 ITSEC 是一套评估产品和系统安全的标准.每次评估通过全面而广泛的功能性测试和渗透测试的方式对IT安全属性进行详细的检查。

ITSEC（续） 首次提出了保密性、完整性和可用性的概念 首次提出ST（Security Target)的概念 将安全性要求分为“功能”和“保证”两个部分： 功能要求：为满足安全需求而采取的一系列技术安全措施，如访问控制、审计、鉴别等 保证要求：确保功能正确实现及有效性的安全措施，如渗透测试，安全脆弱性分析等。 分别衡量安全功能与安全保证要求 安全功能等级 F1-F10 安全保证等级 E0-E6

ITSEC sponsor activities 定义一个产品或系统的评估目标（TOE,target of evaluation),并声明： 系统安全策略或原则 安全功能的规范 安全机制的定义 实施机制的强度 功能和有效性的目标评估等级

ITSEC evaluator activities 不同于TCSEC的地方是, ITSEC评估者可以是商业机构 评估者需要做出判定： 功能的适当性 功能的有效性（或兼容有效） 脆弱性 易用性 机制的强度

CC - Common Criteria CC通用评估标准的发展 1991年，在欧共体的赞助下，英、德、法、荷制定的共同标准《信息技术安全评定标准》ITSEC 1996年，发布了通用安全测评标准CC (Common Criteria for IT Security Evaluation)1.0版，以美国TCSEC, FC、加拿大CTCPEC及欧共体ITSEC为基础,六国七方(美国NSA和国家技术标准研究所NIST、加、英、法、德、荷)共同提出. 1997年，颁布CC标准的2.0版 1999年，由ISO确立为国际标准，即ISO/IEC 15408。

CC - Common Criteria 针对在安全性评估过程中信息技术产品和系统的安全功能及相应的保证措施，CC 提供了一组通用要求，使各种独立的安全评估结果具有可比性。 评估过程为满足这些要求的产品和系统的安全功能以及相应的保证措施确定一个可信级别。 评估结果可以帮助用户确定信息技术产品和系统对他们的应用而言是否足够安全，以及在使用中隐藏的安全风险是否可以容忍。

CC的目标读者 用户（定义安全需求） 开发者（描述产品的安全能力) 评估者（度量产品的置信程度)

CC - Common Criteria（续） Part 1:Introduction and general model Part 2:Security functional requirements Part 3:Security assurance requirements

CC关键概念

CC关键概念 评估对象 (TOE) 保护轮廓（PP) 作为评估主体的IT产品或系统以及相关的指导性文档 国内外已对应用级防火墙、包过滤防火墙、智能卡、IDS、PKI等开发了相应的PP。 用于安全评估的信息技术产品、系统或子系统（如防火墙、计算机网络、密码模块等），包括相关的管理员指南、用户指南、设计方案等文档； 比方说Security Guide之类的

CC关键概念 安全目标（Security Target, ST) 作为一个既定TOE的评估基础使用的一组安全要求和规范 ST针对具体TOE而言，它包括该TOE的安全要求和用于满足安全要求的特定安全功能和保证措施 ST相当于产品和系统的实现方案，与ITSEC的“安全目标” 类似

CC关键概念 TSP (TOE Security Policy) TSF(TOE Security Functions ) 组件，包，子类 正确执行TOE所必需的所有TOE硬件、软件和固件的集合。 组件，包，子类

CC关键概念

CC核心内容－Part1 简介及一般模型 范围 术语与定义 缩略语 概述 一般模型 附录：PP规范和ST规范 范围 术语与定义 缩略语 概述 目标受众，评估相关要素，本标准组织 要求和评估结果

CC核心内容－Part1 要求和规范的导出

CC核心内容－Part1

CC核心内容-Part1

CC核心内容-Part2 安全功能要求 安全审计类 通信类（主要是身份真实性和抗抵赖） 密码支持类 用户数据保护类 标识和鉴别类 安全管理类（与TSF有关的管理） 隐秘类（保护用户隐私） TSF保护类（TOE自身安全保护） 资源利用类（从资源管理角度确保TSF安全） TOE访问类（从对TOE的访问控制确保安全性） 可信路径/信道类。

安全功能要求 通过合理选择的安全功能可以确保达到一定的安全目的，这种保证来源于以下两个因素： 安全要求通常包括出现期望行为和避免不期望行为。 a) 对安全功能正确实现的信任。 b) 对安全功能的有效性的信任。 安全要求通常包括出现期望行为和避免不期望行为。 通过使用或检验，一般可以证明存在的期望行为，但并不总是能明确证明不存在不期望行为。 检验、设计评审、实现评审非常有助于减少存在不期望行为的风险，基本原理陈述有助于证明不存在不期望的行为。

CC核心内容-Part3 安全保证要求 配置管理类 分发和操作类 开发类 指导性文档类 生命周期支持类 测试类 脆弱性评定类 保证的维护类

安全保证要求 CC标准对安全保证要求定义了七个评估保证级： （Evaluation Assurance Levels，EAL）

CC核心内容-Part3 评估保证级

配置管理类 交付和运行类 开发类 指导性文档类 生命周期支持类 测试类 脆弱性评定类 部分自动化 完全自动化 配置管理自动化 配置管理能力 配置管理范围 交付 开发类 安装、生成和启动 描述性 高层设计 安全加强的 高层设计 半形式化 高层设计 半形式化 高层解释 形式化 高层设计 功能规范 高层设计 实现表示 TSF内部 半形式化 对应性论证 形式化 对应性论证 指导性文档类 非形式化 对应性论证 低层设计 非形式化 安全策略模型 表示对应性 形式化 安全策略模型 安全策略模型 生命周期支持类 管理员指南 用户指南 开发安全 缺陷纠正 生命周期定义 测试类 工具和技术 覆盖范围 深度 功能测试 脆弱性评定类 独立性测试 隐蔽通道分析 误用 TOE安全功能强度 脆弱性分析

CC/TCSEC/ITSEC对比

相关标准的发布与 安全操作系统的研究

我国相关标准的发布 中国国家质量技术监督局，中华人民共和国国家标准：计算机信息系统安全保护系统等级划分准则，GB17859-1999,1999. 中国国家质量技术监督局，中华人民共和国国家标准：信息技术 信息安全技术 信息技术安全性评估准则，GB/T 18336.1~3-2001，2001. 中国国家质量技术监督局，中华人民共和国国家标准：信息安全技术 操作系统安全技术要求。GB/T 20272—2006，2006。 中华人民共和国公安部，计算机信息系统安全等级保护操作系统技术要求， GA/T 388-2002, 2002 中华人民共和国公安部，计算机信息系统安全等级保护通用技术要求， GA/T 390-2002, 2002

小结 1985年，美国TCSEC标准和彩虹系列是信息系统安全事业的里程碑。其评估等级分为D,C,B,A四类七个等级（D, C1, C2, B1, B2，B3，A1），主要按安全功能划分。 欧洲四国的ITSEC标准最早引入了安全保证要求。 1996年，六国七方建立了CC标准，1999年形成国际标准ISO/IEC 15408。其评估保证级分为EAL1~EAL7。 1999年至今，CC取代TCSEC,成为可信计算机信息系统的通用评估准则，可评估目标产品/系统包括：操作系统、数据库、网络系统、应用系统等。

讨论题1 请阅读GB17859，分组完成以下任务之一（下次课之前分组讲解）： （1）可信计算基、引用监控器概念是如何定义的？ （2）五个可信等级是什么，划分的原则是什么？ （3）涉及的安全功能主要要求包括哪些？ （4）区分第二级与第三级安全功能要求的异同之处？ （5）区分第三级与第四级安全功能要求的异同之处？

Q & A