計算機信息系統安全保護等級1第一頁，共一百七十三頁，編輯于2023年，星期五標準介紹信息技術安全評估準則發展過程

可信計算機系統評估準則（TCSEC）可信網絡解釋（TNI）通用準則CC《計算機信息系統安全保護等級劃分準則》

信息安全保證技術框架《信息系統安全保護等級應用指南》

2第二頁，共一百七十三頁，編輯于2023年，星期五信息技術安全評估準則發展過程

20世紀60年代后期，1967年美國國防部（DOD）成立了一個研究組，針對當時計算機使用環境中的安全策略進行研究，其研究結果是“DefenseScienceBoardreport”70年代的后期DOD對當時流行的操作系統KSOS，PSOS，KVM進行了安全方面的研究

3第三頁，共一百七十三頁，編輯于2023年，星期五信息技術安全評估準則發展過程80年代后，美國國防部發布的“可信計算機系統評估準則（TCSEC）”（即桔皮書）后來DOD又發布了可信數據庫解釋（TDI）、可信網絡解釋（TNI）等一系列相關的說明和指南

90年代初，英、法、德、荷等四國針對TCSEC準則的局限性，提出了包含保密性、完整性、可用性等概念的“信息技術安全評估準則”（ITSEC），定義了從E0級到E6級的七個安全等級

4第四頁，共一百七十三頁，編輯于2023年，星期五信息技術安全評估準則發展過程加拿大1988年開始制訂《TheCanadianTrustedComputerProductEvaluationCriteria》（CTCPEC）

1993年，美國對TCSEC作了補充和修改，制定了“組合的聯邦標準”（簡稱FC）

國際標準化組織（ISO）從1990年開始開發通用的國際標準評估準則

5第五頁，共一百七十三頁，編輯于2023年，星期五信息技術安全評估準則發展過程在1993年6月，CTCPEC、FC、TCSEC和ITSEC的發起組織開始聯合起來，將各自獨立的準則組合成一個單一的、能被廣泛使用的IT安全準則

發起組織包括六國七方：加拿大、法國、德國、荷蘭、英國、美國NIST及美國NSA，他們的代表建立了CC編輯委員會（CCEB）來開發CC

6第六頁，共一百七十三頁，編輯于2023年，星期五信息技術安全評估準則發展過程1996年1月完成CC1.0版

,在1996年4月被ISO采納

1997年10月完成CC2.0的測試版

1998年5月發布CC2.0版

1999年12月ISO采納CC，并作為國際標準ISO15408發布

7第七頁，共一百七十三頁，編輯于2023年，星期五安全評估標準的發展歷程

桔皮書（TCSEC）1985英國安全標準1989德國標準法國標準加拿大標準1993聯邦標準草案1993ITSEC1991通用標準V1.01996V2.01998V2.119998第八頁，共一百七十三頁，編輯于2023年，星期五標準介紹信息技術安全評估準則發展過程

可信計算機系統評估準則（TCSEC）

可信網絡解釋（TNI）通用準則CC《計算機信息系統安全保護等級劃分準則》

信息安全保證技術框架

《信息系統安全保護等級應用指南》

9第九頁，共一百七十三頁，編輯于2023年，星期五TCSEC在TCSEC中，美國國防部按處理信息的等級和應采用的響應措施，將計算機安全從高到低分為：A、B、C、D四類八個級別，共27條評估準則隨著安全等級的提高，系統的可信度隨之增加，風險逐漸減少。

10第十頁，共一百七十三頁，編輯于2023年，星期五TCSEC四個安全等級：無保護級

自主保護級

強制保護級驗證保護級11第十一頁，共一百七十三頁，編輯于2023年，星期五TCSECD類是最低保護等級，即無保護級

是為那些經過評估，但不滿足較高評估等級要求的系統設計的，只具有一個級別

該類是指不符合要求的那些系統，因此，這種系統不能在多用戶環境下處理敏感信息

12第十二頁，共一百七十三頁，編輯于2023年，星期五TCSEC四個安全等級：無保護級

自主保護級

強制保護級驗證保護級13第十三頁，共一百七十三頁，編輯于2023年，星期五TCSECC類為自主保護級具有一定的保護能力，采用的措施是自主訪問控制和審計跟蹤

一般只適用于具有一定等級的多用戶環境具有對主體責任及其動作審計的能力14第十四頁，共一百七十三頁，編輯于2023年，星期五TCSECC類分為C1和C2兩個級別:

自主安全保護級（C1級)

控制訪問保護級（C2級）

15第十五頁，共一百七十三頁，編輯于2023年，星期五TCSECC1級TCB通過隔離用戶與數據，使用戶具備自主安全保護的能力

它具有多種形式的控制能力，對用戶實施訪問控制為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數據的非法讀寫與破壞C1級的系統適用于處理同一敏感級別數據的多用戶環境

16第十六頁，共一百七十三頁，編輯于2023年，星期五TCSECC2級計算機系統比C1級具有更細粒度的自主訪問控制C2級通過注冊過程控制、審計安全相關事件以及資源隔離，使單個用戶為其行為負責

17第十七頁，共一百七十三頁，編輯于2023年，星期五TCSEC四個安全等級：無保護級

自主保護級

強制保護級驗證保護級18第十八頁，共一百七十三頁，編輯于2023年，星期五TCSECB類為強制保護級

主要要求是TCB應維護完整的安全標記，并在此基礎上執行一系列強制訪問控制規則B類系統中的主要數據結構必須攜帶敏感標記系統的開發者還應為TCB提供安全策略模型以及TCB規約應提供證據證明訪問監控器得到了正確的實施

19第十九頁，共一百七十三頁，編輯于2023年，星期五TCSECB類分為三個類別：標記安全保護級（B1級）

結構化保護級（B2級）

安全區域保護級（B3級）

20第二十頁，共一百七十三頁，編輯于2023年，星期五TCSECB1級系統要求具有C2級系統的所有特性

在此基礎上，還應提供安全策略模型的非形式化描述、數據標記以及命名主體和客體的強制訪問控制并消除測試中發現的所有缺陷

21第二十一頁，共一百七十三頁，編輯于2023年，星期五TCSECB類分為三個類別：標記安全保護級（B1級）

結構化保護級（B2級）

安全區域保護級（B3級）22第二十二頁，共一百七十三頁，編輯于2023年，星期五TCSEC在B2級系統中，TCB建立于一個明確定義并文檔化形式化安全策略模型之上要求將B1級系統中建立的自主和強制訪問控制擴展到所有的主體與客體在此基礎上，應對隱蔽信道進行分析TCB應結構化為關鍵保護元素和非關鍵保護元素23第二十三頁，共一百七十三頁，編輯于2023年，星期五TCSECTCB接口必須明確定義其設計與實現應能夠經受更充分的測試和更完善的審查鑒別機制應得到加強，提供可信設施管理以支持系統管理員和操作員的職能提供嚴格的配置管理控制B2級系統應具備相當的抗滲透能力24第二十四頁，共一百七十三頁，編輯于2023年，星期五TCSECB類分為三個類別：標記安全保護級（B1級）

結構化保護級（B2級）

安全區域保護級（B3級）25第二十五頁，共一百七十三頁，編輯于2023年，星期五TCSEC在B3級系統中，TCB必須滿足訪問監控器需求訪問監控器對所有主體對客體的訪問進行仲裁訪問監控器本身是抗篡改的訪問監控器足夠小訪問監控器能夠分析和測試26第二十六頁，共一百七十三頁，編輯于2023年，星期五TCSEC為了滿足訪問控制器需求:計算機信息系統可信計算基在構造時，排除那些對實施安全策略來說并非必要的代碼計算機信息系統可信計算基在設計和實現時，從系統工程角度將其復雜性降低到最小程度27第二十七頁，共一百七十三頁，編輯于2023年，星期五TCSECB3級系統支持:安全管理員職能擴充審計機制當發生與安全相關的事件時，發出信號提供系統恢復機制系統具有很高的抗滲透能力28第二十八頁，共一百七十三頁，編輯于2023年，星期五TCSEC四個安全等級：無保護級

自主保護級

強制保護級驗證保護級29第二十九頁，共一百七十三頁，編輯于2023年，星期五TCSECA類為驗證保護級A類的特點是使用形式化的安全驗證方法，保證系統的自主和強制安全控制措施能夠有效地保護系統中存儲和處理的秘密信息或其他敏感信息為證明TCB滿足設計、開發及實現等各個方面的安全要求，系統應提供豐富的文檔信息30第三十頁，共一百七十三頁，編輯于2023年，星期五TCSECA類分為兩個類別：驗證設計級（A1級）超A1級31第三十一頁，共一百七十三頁，編輯于2023年，星期五TCSECA1級系統在功能上和B3級系統是相同的，沒有增加體系結構特性和策略要求最顯著的特點是，要求用形式化設計規范和驗證方法來對系統進行分析，確保TCB按設計要求實現從本質上說，這種保證是發展的，它從一個安全策略的形式化模型和設計的形式化高層規約（FTLS）開始

32第三十二頁，共一百七十三頁，編輯于2023年，星期五TCSEC針對A1級系統設計驗證，有5種獨立于特定規約語言或驗證方法的重要準則：安全策略的形式化模型必須得到明確標識并文檔化，提供該模型與其公理一致以及能夠對安全策略提供足夠支持的數學證明應提供形式化的高層規約，包括TCB功能的抽象定義、用于隔離執行域的硬件/固件機制的抽象定義

33第三十三頁，共一百七十三頁，編輯于2023年，星期五TCSEC應通過形式化的技術（如果可能的化）和非形式化的技術證明TCB的形式化高層規約（FTLS）與模型是一致的

通過非形式化的方法證明TCB的實現（硬件、固件、軟件）與形式化的高層規約（FTLS）是一致的。應證明FTLS的元素與TCB的元素是一致的，FTLS應表達用于滿足安全策略的一致的保護機制，這些保護機制的元素應映射到TCB的要素

34第三十四頁，共一百七十三頁，編輯于2023年，星期五TCSEC應使用形式化的方法標識并分析隱蔽信道，非形式化的方法可以用來標識時間隱蔽信道，必須對系統中存在的隱蔽信道進行解釋

35第三十五頁，共一百七十三頁，編輯于2023年，星期五TCSECA1級系統:要求更嚴格的配置管理要求建立系統安全分發的程序支持系統安全管理員的職能

36第三十六頁，共一百七十三頁，編輯于2023年，星期五TCSECA類分為兩個類別：驗證設計級（A1級）超A1級37第三十七頁，共一百七十三頁，編輯于2023年，星期五TCSEC超A1級在A1級基礎上增加的許多安全措施超出了目前的技術發展隨著更多、更好的分析技術的出現，本級系統的要求才會變的更加明確今后，形式化的驗證方法將應用到源碼一級，并且時間隱蔽信道將得到全面的分析

38第三十八頁，共一百七十三頁，編輯于2023年，星期五TCSEC在這一級，設計環境將變的更重要形式化高層規約的分析將對測試提供幫助TCB開發中使用的工具的正確性及TCB運行的軟硬件功能的正確性將得到更多的關注39第三十九頁，共一百七十三頁，編輯于2023年，星期五TCSEC超A1級系統涉及的范圍包括：系統體系結構安全測試形式化規約與驗證可信設計環境等40第四十頁，共一百七十三頁，編輯于2023年，星期五標準介紹信息技術安全評估準則發展過程

可信計算機系統評估準則（TCSEC）

可信網絡解釋（TNI）通用準則CC《計算機信息系統安全保護等級劃分準則》

信息安全保證技術框架《信息系統安全保護等級應用指南》

41第四十一頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI）美國國防部計算機安全評估中心在完成TCSEC的基礎上，又組織了專門的研究鏃對可信網絡安全評估進行研究，并于1987年發布了以TCSEC為基礎的可信網絡解釋，即TNI。TNI包括兩個部分（PartI和PartII）及三個附錄（APPENDIXA、B、C）

42第四十二頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI）TNI第一部分提供了在網絡系統作為一個單一系統進行評估時TCSEC中各個等級（從D到A類）的解釋與單機系統不同的是，網絡系統的可信計算基稱為網絡可信計算基（NTCB）

43第四十三頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI）第二部分以附加安全服務的形式提出了在網絡互聯時出現的一些附加要求這些要求主要是針對完整性、可用性和保密性的

44第四十四頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI）第二部分的評估是定性的，針對一個服務進行評估的結果一般分為為：

noneminimumfairgood

45第四十五頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI）第二部分中關于每個服務的說明一般包括:一種相對簡短的陳述相關的功能性的討論

相關機制強度的討論

相關保證的討論

46第四十六頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI）功能性是指一個安全服務的目標和實現方法，它包括特性、機制及實現

機制的強度是指一種方法實現其目標的程度有些情況下，參數的選擇會對機制的強度帶來很大的影響

47第四十七頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI）保證是指相信一個功能會實現的基礎保證一般依靠對理論、測試、軟件工程等相關內容的分析分析可以是形式化或非形式化的，也可以是理論的或應用的

48第四十八頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI） 第二部分中列出的安全服務有：

通信完整性

拒絕服務

機密性

49第四十九頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI） 通信完整性主要涉及以下3方面：鑒別：網絡中應能夠抵抗欺騙和重放攻擊

通信字段完整性：保護通信中的字段免受非授權的修改

抗抵賴：提供數據發送、接受的證據

50第五十頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI）當網絡處理能力下降到一個規定的界限以下或遠程實體無法訪問時，即發生了拒絕服務所有由網絡提供的服務都應考慮拒絕服務的情況網絡管理者應決定網絡拒絕服務需求

51第五十一頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI） 解決拒絕服務的方法有：

操作連續性

基于協議的拒絕服務保護

網絡管理

52第五十二頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI）機密性是一系列安全服務的總稱

這些服務都是關于通過計算機通信網絡在實體間傳輸信息的安全和保密的

具體又分3種情況：

數據保密

通信流保密

選擇路由

53第五十三頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI）數據保密：數據保密性服務保護數據不被未授權地泄露數據保密性主要受搭線竊聽的威脅被動的攻擊包括對線路上傳輸的信息的觀測

54第五十四頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI）通信流保密：針對通信流分析攻擊而言，通信流分析攻擊分析消息的長度、頻率及協議的內容（如地址）并以此推出消息的內容

55第五十五頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI）選擇路由：路由選擇控制是在路由選擇過程中應用規則，以便具體的選取或回避某些網絡、鏈路或中繼路由能動態的或預定地選取，以便只使用物理上安全的子網絡、鏈路或中繼在檢測到持續的操作攻擊時，端系統可希望指示網絡服務的提供者經不同的路由建立連接帶有某些安全標記的數據可能被策略禁止通過某些子網絡、鏈路或中繼

56第五十六頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI）TNI第二部分的評估更多地表現出定性和主觀的特點，同第一部分相比表現出更多的變化第二部分的評估是關于被評估系統能力和它們對特定應用環境的適合性的非常有價值的信息第二部分中所列舉的安全服務是網絡環境下有代表性的安全服務在不同的環境下，并非所有的服務都同等重要，同一服務在不同環境下的重要性也不一定一樣57第五十七頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI）TNI的附錄A是第一部分的擴展，主要是關于網絡中組件及組件組合的評估附錄A把TCSEC為A1級系統定義的安全相關的策略分為四個相對獨立的種類，他們分別支持強制訪問控制（MAC），自主訪問控制（DAC），身份鑒別（IA），審計（AUDIT）

58第五十八頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI）組成部分的類型最小級別最大級別MB1A1DC1C2+IC1C2AC2C2+DIC1C2+DAC2C2+IAC2C2+IADC2C2+MDB1A1MAB1A1MIB1A1MDAB1A1MDIB1A1MIAB1A1MIADB1A159第五十九頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI）附錄B給出了根據TCSEC對網絡組件進行評估的基本原理

附錄C則給出了幾個AIS互聯時的認證指南及互聯中可能遇到的問題60第六十頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI）TNI中關于網絡有兩種概念：

一是單一可信系統的概念（singletrustedsystem）另一個是互聯信息系統的概念（interconnectedAIS）這兩個概念并不互相排斥

61第六十一頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI）在單一可信系統中，網絡具有包括各個安全相關部分的單一TCB，稱為NTCB（networktrustedcomputingbase）NTCB作為一個整體滿足系統的安全體系設計62第六十二頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI）在互聯信息系統中各個子系統可能具有不同的安全策略具有不同的信任等級并且可以分別進行評估各個子系統甚至可能是異構的63第六十三頁，共一百七十三頁，編輯于2023年，星期五可信網絡解釋（TNI）安全策略的實施一般控制在各個子系統內，在附錄C中給出了各個子系統安全地互聯的指南，在互聯時要控制局部風險的擴散，排除整個系統中的級聯問題（cascadeproblem）限制局部風險的擴散的方法：單向連接、傳輸的手工檢測、加密、隔離或其他措施。

64第六十四頁，共一百七十三頁，編輯于2023年，星期五標準介紹信息技術安全評估準則發展過程

可信計算機系統評估準則（TCSEC）

可信網絡解釋（TNI）通用準則CC《計算機信息系統安全保護等級劃分準則》

信息安全保證技術框架《信息系統安全保護等級應用指南》

65第六十五頁，共一百七十三頁，編輯于2023年，星期五通用準則CCCC的范圍

:CC適用于硬件、固件和軟件實現的信息技術安全措施而某些內容因涉及特殊專業技術或僅是信息技術安全的外圍技術不在CC的范圍內

66第六十六頁，共一百七十三頁，編輯于2023年，星期五通用準則CC評估上下文

評估準則(通用準則）評估方法學評估方案最終評估結果評估批準/證明證書表/(注冊)67第六十七頁，共一百七十三頁，編輯于2023年，星期五通用準則CC使用通用評估方法學可以提供結果的可重復性和客觀性許多評估準則需要使用專家判斷和一定的背景知識為了增強評估結果的一致性，最終的評估結果應提交給一個認證過程，該過程是一個針對評估結果的獨立的檢查過程，并生成最終的證書或正式批文68第六十八頁，共一百七十三頁，編輯于2023年，星期五通用準則CCCC包括三個部分:

第一部分：簡介和一般模型

第二部分：安全功能要求

第三部分：安全保證要求

69第六十九頁，共一百七十三頁，編輯于2023年，星期五通用準則CC安全保證要求部分提出了七個評估保證級別（EvaluationAssuranceLevels：EALs）分別是：EAL1：功能測試EAL2：結構測試EAL3：系統測試和檢查EAL4：系統設計、測試和復查EAL5：半形式化設計和測試EAL6：半形式化驗證的設計和測試EAL7：形式化驗證的設計和測試

70第七十頁，共一百七十三頁，編輯于2023年，星期五通用準則CCCC的一般模型一般安全上下文TOE評估CC安全概念

71第七十一頁，共一百七十三頁，編輯于2023年，星期五通用準則CC安全就是保護資產不受威脅，威脅可依據濫用被保護資產的可能性進行分類

所有的威脅類型都應該被考慮到在安全領域內，被高度重視的威脅是和人們的惡意攻擊及其它人類活動相聯系的

72第七十二頁，共一百七十三頁，編輯于2023年，星期五通用準則CC

安全概念和關系73第七十三頁，共一百七十三頁，編輯于2023年，星期五通用準則CC安全性損壞一般包括但又不僅僅包括以下幾項資產破壞性地暴露于未授權的接收者（失去保密性）資產由于未授權的更改而損壞（失去完整性）或資產訪問權被未授權的喪失（失去可用性）74第七十四頁，共一百七十三頁，編輯于2023年，星期五通用準則CC資產所有者必須分析可能的威脅并確定哪些存在于他們的環境，其后果就是風險

對策用以（直接或間接地）減少脆弱性并滿足資產所有者的安全策略

在將資產暴露于特定威脅之前，所有者需要確信其對策足以應付面臨的威脅

75第七十五頁，共一百七十三頁，編輯于2023年，星期五通用準則CC評估概念和關系76第七十六頁，共一百七十三頁，編輯于2023年，星期五通用準則CCTOE評估過程77第七十七頁，共一百七十三頁，編輯于2023年，星期五通用準則CCTOE評估過程的主要輸入有：一系列TOE證據，包括評估過的ST作為TOE評估的基礎需要評估的TOE評估準則、方法和方案

另外，說明性材料（例如CC的使用說明書）和評估者及評估組織的IT安全專業知識也常用來作為評估過程的輸入78第七十八頁，共一百七十三頁，編輯于2023年，星期五通用準則CC評估過程通過兩種途徑產生更好的安全產品評估過程能發現開發者可以糾正的TOE錯誤或弱點，從而在減少將來操作中安全失效的可能性另一方面，為了通過嚴格的評估，開發者在TOE設計和開發時也將更加細心因此，評估過程對最初需求、開發過程、最終產品以及操作環境將產生強烈的積極影響

79第七十九頁，共一百七十三頁，編輯于2023年，星期五通用準則CC只有在IT環境中考慮IT組件保護資產的能力時，CC才是可用的為了表明資產是安全的，安全考慮必須出現在所有層次的表述中，包括從最抽象到最終的IT實現

CC要求在某層次上的表述包含在該層次上TOE描述的基本原理

80第八十頁，共一百七十三頁，編輯于2023年，星期五通用準則CCCC安全概念包括：安全環境

安全目的

IT安全要求

TOE概要規范

81第八十一頁，共一百七十三頁，編輯于2023年，星期五通用準則CC安全環境包括所有相關的法規、組織性安全策略、習慣、專門技術和知識

它定義了TOE使用的上下文，安全環境也包括環境里出現的安全威脅

82第八十二頁，共一百七十三頁，編輯于2023年，星期五通用準則CC為建立安全環境，必須考慮以下幾點：TOE物理環境，指所有的與TOE安全相關的TOE運行環境，包括已知的物理和人事的安全安排需要根據安全策略由TOE的元素實施保護的資產。包括可直接相關的資產（如文件和數據庫）和間接受安全要求支配的資產（如授權憑證和IT實現本身）TOE目的，說明產品類型和可能的TOE用途

83第八十三頁，共一百七十三頁，編輯于2023年，星期五通用準則CC安全環境的分析結果被用來闡明對抗已標識的威脅、說明組織性安全策略和假設的安全目的安全目的和已說明的TOE運行目標或產品目標以及有關的物理環境知識一致

確定安全目的的意圖是為了闡明所有的安全考慮并指出哪些安全方面的問題是直接由TOE還是由它的環境來處理環境安全目的將在IT領域內用非技術上的或程序化的手段來實現

84第八十四頁，共一百七十三頁，編輯于2023年，星期五通用準則CCIT安全要求是將安全目的細化為一系列TOE及其環境的安全要求，一旦這些要求得到滿足，就可以保證TOE達到它的安全目的

IT安全需求只涉及TOE安全目的和它的IT環境

85第八十五頁，共一百七十三頁，編輯于2023年，星期五通用準則CCST中提供的TOE概要規范定義TOE安全要求的實現方法它提供了分別滿足功能需求和保證需求的安全功能和保證措施的高層定義

86第八十六頁，共一百七十三頁，編輯于2023年，星期五通用準則CCCC定義了一系列與已知有效的安全要求集合相結合的概念，該概念可被用來為預期的產品和系統建立安全需求CC安全要求以類—族—組件這種層次方式組織，以幫助用戶定位特定的安全要求對功能和保證方面的要求，CC使用相同的風格、組織方式和術語。

87第八十七頁，共一百七十三頁，編輯于2023年，星期五通用準則CC要求的組織和結構88第八十八頁，共一百七十三頁，編輯于2023年，星期五通用準則CCCC中安全要求的描述方法：類：類用作最通用安全要求的組合，類的所有的成員關注共同的安全焦點，但覆蓋不同的安全目的

族：類的成員被稱為族。族是若干組安全要求的組合，這些要求有共同的安全目的，但在側重點和嚴格性上有所區別

組件：族的成員被稱為組件。組件描述一組特定的安全要求集，它是CC定義的結構中所包含的最小的可選安全要求集

89第八十九頁，共一百七十三頁，編輯于2023年，星期五通用準則CC組件由單個元素組成，元素是安全需求最低層次的表達，并且是能被評估驗證的不可分割的安全要求

族內具有相同目標的組件可以以安全要求強度（或能力）逐步增加的順序排列，也可以部分地按相關非層次集合的方式組織90第九十頁，共一百七十三頁，編輯于2023年，星期五通用準則CC組件間可能存在依賴關系

依賴關系可以存在于功能組件之間、保證組件之間以及功能和保證組件之間

組件間依賴關系描述是CC組件定義的一部分

91第九十一頁，共一百七十三頁，編輯于2023年，星期五通用準則CC可以通過使用組件允許的操作，對組件進行裁剪每一個CC組件標識并定義組件允許的“賦值”和“選擇”操作、在哪些情況下可對組件使用這些操作，以及使用這些操作的后果任何一個組件均允許“反復”和“細化”操作

92第九十二頁，共一百七十三頁，編輯于2023年，星期五通用準則CC這四個操作如下所述：反復：在不同操作時，允許組件多次使用賦值：當組件被應用時，允許規定所賦予的參數選擇：允許從組件給出的列表中選定若干項細化：當組件被應用時，允許對組件增加細節

93第九十三頁，共一百七十三頁，編輯于2023年，星期五通用準則CCCC中安全需求的描述方法:包:組件的中間組合被稱為包保護輪廓(PP):PP是關于一系列滿足一個安全目標集的TOE的、與實現無關的描述安全目標(ST)：ST是針對特定TOE安全要求的描述，通過評估可以證明這些安全要求對滿足指定目的是有用和有效的94第九十四頁，共一百七十三頁，編輯于2023年，星期五通用準則CC包允許對功能或保證需求集合的描述，這個集合能夠滿足一個安全目標的可標識子集包可重復使用，可用來定義那些公認有用的、能夠有效滿足特定安全目標的要求包可用在構造更大的包、PP和ST中

95第九十五頁，共一百七十三頁，編輯于2023年，星期五通用準則CCPP包含一套來自CC（或明確闡述）的安全要求，它應包括一個評估保證級別（EAL）PP可反復使用，還可用來定義那些公認有用的、能夠有效滿足特定安全目標的TOE要求PP包括安全目的和安全要求的基本原理

PP的開發者可以是用戶團體、IT產品開發者或其它對定義這樣一系列通用要求有興趣的團體

96第九十六頁，共一百七十三頁，編輯于2023年，星期五通用準則CC保護輪廓PP描述結構97第九十七頁，共一百七十三頁，編輯于2023年，星期五通用準則CC安全目標(ST)包括一系列安全要求，這些要求可以引用PP，也可以直接引用CC中的功能或保證組件，或明確說明一個ST包含TOE的概要規范，安全要求和目的，以及它們的基本原理ST是所有團體間就TOE應提供什么樣的安全性達成一致的基礎

98第九十八頁，共一百七十三頁，編輯于2023年，星期五通用準則CC

安全目標描述結構99第九十九頁，共一百七十三頁，編輯于2023年，星期五通用準則CCCC框架下的評估類型

PP評估ST評估

TOE評估

100第一百頁，共一百七十三頁，編輯于2023年，星期五通用準則CCPP評估是依照CC第3部分的PP評估準則進行的。評估的目標是為了證明PP是完備的、一致的、技術合理的，而且適合于作為一個可評估TOE的安全要求的聲明101第一百零一頁，共一百七十三頁，編輯于2023年，星期五通用準則CC針對TOE的ST評估是依照CC第3部分的ST評估準則進行的ST評估具有雙重目標：首先是為了證明ST是完備的、一致的、技術合理的，而且適合于用作相應TOE評估的基礎其次，當某一ST宣稱與某一PP一致時，證明ST滿足該PP的要求

102第一百零二頁，共一百七十三頁，編輯于2023年，星期五通用準則CCTOE評估是使用一個已經評估過的ST作為基礎，依照CC第3部分的評估準則進行的評估的目標是為了證明TOE滿足ST中的安全要求

103第一百零三頁，共一百七十三頁，編輯于2023年，星期五通用準則CC三種評估的關系104第一百零四頁，共一百七十三頁，編輯于2023年，星期五通用準則CCCC的第二部分是安全功能要求，對滿足安全需求的諸安全功能提出了詳細的要求另外，如果有超出第二部分的安全功能要求，開發者可以根據“類-族-組件-元素”的描述結構表達其安全要求，并附加在其ST中105第一百零五頁，共一百七十三頁，編輯于2023年，星期五通用準則CCCC共包含的11個安全功能類，如下：FAU類：安全審計FCO類：通信FCS類：密碼支持FDP類：用戶數據保護FIA類：標識與鑒別FMT類：安全管理FPR類：隱秘FPT類：TFS保護FAU類：資源利用FTA類：TOE訪問FTP類：可信信道/路徑106第一百零六頁，共一百七十三頁，編輯于2023年，星期五通用準則CCCC的第三部分是評估方法部分，提出了PP、ST、TOE三種評估，共包括10個類，但其中的APE類與ASE類分別介紹了PP與ST的描述結構及評估準則維護類提出了保證評估過的受測系統或產品運行于所獲得的安全級別上的要求只有七個安全保證類是TOE的評估類別

107第一百零七頁，共一百七十三頁，編輯于2023年，星期五通用準則CC七個安全保證類ACM類：配置管理ADO類：分發與操作ADV類：開發AGD類：指導性文檔ALC類：生命周期支持ATE類：測試AVA類：脆弱性評定108第一百零八頁，共一百七十三頁，編輯于2023年，星期五通用準則CC1998年1月，經過兩年的密切協商，來自美國、加拿大、法國、德國以及英國的政府組織簽訂了歷史性的安全評估互認協議：IT安全領域內CC認可協議根據該協議，在協議簽署國范圍內，在某個國家進行的基于CC的安全評估將在其他國家內得到承認截止2003年3月，加入該協議的國家共有十五個：澳大利亞、新西蘭、加拿大、芬蘭、法國、德國、希臘、以色列、意大利、荷蘭、挪威、西班牙、瑞典、英國及美國

109第一百零九頁，共一百七十三頁，編輯于2023年，星期五通用準則CC該協議的參與者在這個領域內有共同的目的即：確保IT產品及保護輪廓的評估遵循一致的標準，為這些產品及保護輪廓的安全提供足夠的信心。在國際范圍內提高那些經過評估的、安全增強的IT產品及保護輪廓的可用性。消除IT產品及保護輪廓的重復評估，改進安全評估的效率及成本效果，改進IT產品及保護輪廓的證明/確認過程

110第一百一十頁，共一百七十三頁，編輯于2023年，星期五通用準則CC美國NSA內部的可信產品評估計劃（TPEP）以及可信技術評價計劃（TTAP）最初根據TCSEC進行產品的評估，但從1999年2月1日起，這些計劃將不再接收基于TCSEC的新的評估。此后這些計劃接受的任何新的產品都必須根據CC的要求進行評估。到2001年底，所有已經經過TCSEC評估的產品，其評估結果或者過時，或者轉換為CC評估等級。NSA已經將TCSEC對操作系統的C2和B1級要求轉換為基于CC的要求（或PP），

NSA正在將TCSEC的B2和B3級要求轉換成基于CC的保護輪廓，但對TCSEC中的A1級要求不作轉換。TCSEC的可信網絡解釋（TNI）在使用范圍上受到了限制，已經不能廣泛適用于目前的網絡技術，因此，NSA目前不計劃提交與TNI相應的PP111第一百一十一頁，共一百七十三頁，編輯于2023年，星期五通用準則CCCCTCSECITSEC-DE0EAL1--EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E6112第一百一十二頁，共一百七十三頁，編輯于2023年，星期五標準介紹信息技術安全評估準則發展過程

可信計算機系統評估準則（TCSEC）

可信網絡解釋（TNI）通用準則CC《計算機信息系統安全保護等級劃分準則》

信息安全保證技術框架《信息系統安全保護等級應用指南》

113第一百一十三頁，共一百七十三頁，編輯于2023年，星期五系統安全保護等級劃分準則我國政府及各行各業在進行大量的信息系統的建設，并且已經成為國家的重要基礎設施計算機犯罪、黑客攻擊、有害病毒等問題的出現對社會穩定、國家安全造成了極大的危害，信息安全的重要性日益突出信息系統安全問題已經被提到關系國家安全和國家主權的戰略性高度114第一百一十四頁，共一百七十三頁，編輯于2023年，星期五系統安全保護等級劃分準則大多數信息系統缺少有效的安全技術防范措施，安全性非常脆弱我國的信息系統安全專用產品市場一直被外國產品占據，增加了新的安全隱患因此，盡快建立能適應和保障我國信息產業健康發展的國家信息系統安全等級保護制度已迫在眉睫115第一百一十五頁，共一百七十三頁，編輯于2023年，星期五系統安全保護等級劃分準則為了從整體上形成多級信息系統安全保護體系為了提高國家信息系統安全保護能力為從根本上解決信息社會國家易受攻擊的脆弱性和有效預防計算機犯罪等問題《中華人民共和國計算機信息系統安全保護條例》第九條明確規定，計算機信息系統實行安全等級保護116第一百一十六頁，共一百七十三頁，編輯于2023年，星期五系統安全保護等級劃分準則為切實加強重要領域信息系統安全的規范化建設和管理全面提高國家信息系統安全保護的整體水平使公安機關公共信息網絡安全監察工作更加科學、規范，指導工作更具體、明確

117第一百一十七頁，共一百七十三頁，編輯于2023年，星期五系統安全保護等級劃分準則公安部組織制訂了《計算機信息系統安全保護等級劃分準則》國家標準于1999年9月13日由國家質量技術監督局審查通過并正式批準發布于2001年1月1日執行

118第一百一十八頁，共一百七十三頁，編輯于2023年，星期五系統安全保護等級劃分準則該準則的發布為計算機信息系統安全法規和配套標準的制定和執法部門的監督檢查提供了依據為安全產品的研制提供了技術支持為安全系統的建設和管理提供了技術指導是我國計算機信息系統安全保護等級工作的基礎

119第一百一十九頁，共一百七十三頁，編輯于2023年，星期五系統安全保護等級劃分準則

GA388-2002《計算機信息系統安全等級保護操作系統技術要求》

GA391-2002《計算機信息系統安全等級保護管理要求》

GA/T387-2002《計算機信息系統安全等級保護網絡技術要求》

GA/T389-2002《計算機信息系統安全等級保護數據庫管理系統技術要求》

GA/T390-2002《計算機信息系統安全等級保護通用技術要求》120第一百二十頁，共一百七十三頁，編輯于2023年，星期五系統安全保護等級劃分準則《準則》規定了計算機系統安全保護能力的五個等級，即：第一級：用戶自主保護級第二級：系統審計保護級第三級：安全標記保護級第四級：結構化保護級第五級：訪問驗證保護級

121第一百二十一頁，共一百七十三頁，編輯于2023年，星期五系統安全保護等級劃分準則用戶自主保護級：計算機信息系統可信計算基通過隔離用戶與數據，使用戶具備自主安全保護的能力。它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數據的非法讀寫與破壞

122第一百二十二頁，共一百七十三頁，編輯于2023年，星期五系統安全保護等級劃分準則系統審計保護級：與用戶自主保護級相比，計算機信息系統可信計算基實施了粒度更細的自主訪問控制它通過登錄規程、審計安全性相關事件和隔離資源，使用戶對自己的行為負責

123第一百二十三頁，共一百七十三頁，編輯于2023年，星期五系統安全保護等級劃分準則安全標記保護級：計算機信息系統可信計算基具有系統審計保護級所有功能此外，還提供有關安全策略模型、數據標記以及主體對客體強制訪問控制的非形式化描述具有準確地標記輸出信息的能力消除通過測試發現的任何錯誤

124第一百二十四頁，共一百七十三頁，編輯于2023年，星期五系統安全保護等級劃分準則結構化保護級：計算機信息系統可信計算基建立于一個明確定義的形式化安全策略模型之上要求將第三級系統中的自主和強制訪問控制擴展到所有主體與客體此外，還要考慮隱蔽通道計算機信息系統可信計算基必須結構化為關鍵保護元素和非關鍵保護元素125第一百二十五頁，共一百七十三頁，編輯于2023年，星期五系統安全保護等級劃分準則計算機信息系統可信計算基的接口也必須明確定義，使其設計與實現能經受更充分的測試和更完整的復審加強了鑒別機制支持系統管理員和操作員的職能提供可信設施管理增強了配置管理控制系統具有相當的抗滲透能力

126第一百二十六頁，共一百七十三頁，編輯于2023年，星期五系統安全保護等級劃分準則訪問驗證保護級計算機信息系統可信計算基滿足訪問監控器需求訪問監控器仲裁主體對客體的全部訪問訪問監控器本身是抗篡改的；必須足夠小，能夠分析和測試127第一百二十七頁，共一百七十三頁，編輯于2023年，星期五系統安全保護等級劃分準則訪問驗證保護級支持安全管理員職能擴充審計機制，當發生與安全相關的事件時發出信號提供系統恢復機制系統具有很高的抗滲透能力

128第一百二十八頁，共一百七十三頁，編輯于2023年，星期五標準介紹信息技術安全評估準則發展過程

可信計算機系統評估準則（TCSEC）

可信網絡解釋（TNI）通用準則CC《計算機信息系統安全保護等級劃分準則》

信息安全保證技術框架《信息系統安全保護等級應用指南》

129第一百二十九頁，共一百七十三頁，編輯于2023年，星期五信息安全保證技術框架(IATF)信息保證技術框架（InformationAssuranceTechnicalFramework：IATF）為保護政府、企業信息及信息基礎設施提供了技術指南IATF對信息保證技術四個領域的劃分同樣適用于信息系統的安全評估，它給出了一種實現系統安全要素和安全服務的層次結構

130第一百三十頁，共一百七十三頁，編輯于2023年，星期五信息安全保證技術框架(IATF)131第一百三十一頁，共一百七十三頁，編輯于2023年，星期五信息安全保證技術框架(IATF)信息安全保證技術框架將計算機信息系統分4個部分：本地計算環境區域邊界網絡和基礎設施支撐基礎設施

132第一百三十二頁，共一百七十三頁，編輯于2023年，星期五信息安全保證技術框架(IATF)本地計算環境一般包括服務器客戶端及其上面的應用（如打印服務、目錄服務等）操作系統數據庫基于主機的監控組件（病毒檢測、入侵檢測）

133第一百三十三頁，共一百七十三頁，編輯于2023年，星期五信息安全保證技術框架(IATF)信息安全保證技術框架將計算機信息系統分4個部分：本地計算環境區域邊界網絡和基礎設施支撐基礎設施134第一百三十四頁，共一百七十三頁，編輯于2023年，星期五信息安全保證技術框架(IATF)區域是指在單一安全策略管理下、通過網絡連接起來的計算設備的集合區域邊界是區域與外部網絡發生信息交換的部分

區域邊界確保進入的信息不會影響區域內資源的安全，而離開的信息是經過合法授權的

135第一百三十五頁，共一百七十三頁，編輯于2023年，星期五信息安全保證技術框架(IATF)區域邊界上有效的控制措施包括防火墻門衛系統VPN標識和鑒別訪問控制等有效的監督措施包括基于網絡的入侵檢測系統（IDS）脆弱性掃描器局域網上的病毒檢測器等

136第一百三十六頁，共一百七十三頁，編輯于2023年，星期五信息安全保證技術框架(IATF)邊界的主要作用是防止外來攻擊它也可以來對付某些惡意的內部人員這些內部人員有可能利用邊界環境來發起攻擊通過開放后門/隱蔽通道來為外部攻擊提供方便137第一百三十七頁，共一百七十三頁，編輯于2023年，星期五信息安全保證技術框架(IATF)信息安全保證技術框架將計算機信息系統分4個部分：本地計算環境區域邊界網絡和基礎設施支撐基礎設施138第一百三十八頁，共一百七十三頁，編輯于2023年，星期五信息安全保證技術框架(IATF)網絡和基礎設施在區域之間提供連接,包括局域網（LAN）校園網（CAN）城域網（MAN）廣域網等其中包括在網絡節點間（如路由器和交換機）傳遞信息的傳輸部件（如：衛星，微波，光纖等），以及其他重要的網絡基礎設施組件如網絡管理組件、域名服務器及目錄服務組件等

139第一百三十九頁，共一百七十三頁，編輯于2023年，星期五信息安全保證技術框架(IATF)對網絡和基礎設施的安全要求主要是鑒別訪問控制機密性完整性抗抵賴性可用性140第一百四十頁，共一百七十三頁，編輯于2023年，星期五信息安全保證技術框架(IATF)信息安全保證技術框架將計算機信息系統分4個部分：本地計算環境區域邊界網絡和基礎設施支撐基礎設施141第一百四十一頁，共一百七十三頁，編輯于2023年，星期五信息安全保證技術框架(IATF)支撐基礎設施提供了一個IA機制在網絡、區域及計算環境內進行安全管理、提供安全服務所使用的基礎主要為以下內容提供安全服務：終端用戶工作站web服務應用文件DNS服務目錄服務等142第一百四十二頁，共一百七十三頁，編輯于2023年，星期五信息安全保證技術框架(IATF)IATF中涉及到兩個方面的支撐基礎設施：KMI/PKI檢測響應基礎設施KMI/PKI提供了一個公鑰證書及傳統對稱密鑰的產生、分發及管理的統一過程檢測及響應基礎設施提供對入侵的快速檢測和響應，包括入侵檢測、監控軟件、CERT等143第一百四十三頁，共一百七十三頁，編輯于2023年，星期五信息安全保證技術框架(IATF)深度保衛戰略在信息保證技術框架（IATF）下提出保衛網絡和基礎設施保衛邊界保衛計算環境支持基礎設施

144第一百四十四頁，共一百七十三頁，編輯于2023年，星期五信息安全保證技術框架(IATF)其中使用多層信息保證（IA）技術來保證信息的安全意味著通過對關鍵部位提供適當層次的保護就可以為組織提供有效的保護這種分層的策略允許在恰當的部位存在低保證級別的應用，而在關鍵部位如網絡邊界部分采用高保證級別的應用

145第一百四十五頁，共一百七十三頁，編輯于2023年，星期五信息安全保證技術框架(IATF)區域邊界保護內部的計算環境，控制外部用戶的非授權訪問，同時控制內部惡意用戶從區域內發起攻擊根據所要保護信息資源的敏感級別以及潛在的內外威脅，可將邊界分為不同的層次

146第一百四十六頁，共一百七十三頁，編輯于2023年，星期五信息安全保證技術框架(IATF)在對信息系統進行安全評估時：可以依據這種多層的深度保衛戰略對系統的構成進行合理分析根據系統所面臨的各種威脅及實際安全需求分別對計算環境、區域邊界、網絡和基礎設施、支撐基礎設施進行安全評估對系統的安全保護等級作出恰當的評估

147第一百四十七頁，共一百七十三頁，編輯于2023年，星期五信息安全保證技術框架(IATF)在網絡上，有三種不同的通信流：用戶通信流控制通信流管理通信流信息系統應保證局域內這些通信流的安全直接假設KMI/PKI等支撐基礎設施的實施過程是安全的

148第一百四十八頁，共一百七十三頁，編輯于2023年，星期五標準介紹信息技術安全評估準則發展過程

可信計算機系統評估準則（TCSEC）

可信網絡解釋（TNI）通用準則CC《計算機信息系統安全保護等級劃分準則》

信息安全保證技術框架《信息系統安全保護等級應用指南》

149第一百四十九頁，共一百七十三頁，編輯于2023年，星期五應用指南（通用部分）

前三部分主要介紹了該準則的應用范圍、規范性引用文件以及一些術語的定義。應用指南詳細說明了為實現《準則》所提出的安全要求應采取的具體安全策略和安全機制，以及為確保實現這些安全策略和安全機制的安全功能達到其應具有的安全性而采取的保證措施

150第一百五十頁，共一百七十三頁，編輯于2023年，星期五應用指南（通用部分）第四部分是總體結構與說明，給出了《準則》應用指南（技術要求）的總體結構，并對有關內容作一般性說明。包括安全要求與目標、組成與結構和一般說明。151第一百五十一頁，共一百七十三頁，編輯于2023年，星期五應用指南（通用部分）安全要求與目標：無論是安全保護框架的描述，還是安全目標的設計，都要從安全功能的完備性、一致性和有效性等方面進行考慮。完備性：安全保護框架（PP）不應有安全漏洞一致性：安全保護框架（PP）中的安全功能應該平滑一致有效性：安全保護框架（PP）中的安全功能應該是有效的152第一百五十二頁，共一百七十三頁，編輯于2023年，星期五應用指南（通用部分）應用指南在對安全功能和安全保證進行詳細說明以后，對《準則》各個安全等級的不同要求分別進行詳細描述安全功能主要說明一個計算機信息系統所實現的安全策略和安全機制符合《準則》中哪一級的功能要求安全保證則是通過一定的方法保證計算機信息系統所提供的安全功能確實達到了確定的功能要求和強度

153第一百五十三頁，共一百七十三頁，編輯于2023年，星期五應用指南（通用部分）安全功能要求從物理安全、運行安全和信息安全三個方面對一個安全的計算機信息系統所應提供的與安全有關的功能進行描述安全保證要求則分別從TCB自身安全、TCB的設計和實現和TCB安全管理三個方面進行描述

154第一百五十四頁，共一百七十三頁，編輯于2023年，星期五應用指南（通用部分）一般說明部分：對本指南內容、安全等級劃分、主體和客體、TCB、引起信息流動的方式、密碼技術、安全的計算機信息系統開發方法進行了進一步的說明

155第一百五十五頁，共一百七十三頁，編輯于2023年，星期五應用指南（通用部分）第五部分是安全功能技術要求說明，為了對計算機信息系統安全功能的實現進行了完整的描述，這里將實現這些安全功能所涉及的所有因素做了較為全面的說明安全功能包括物理安全、運行安全和信息安全156第一百五十六頁，共一百七十三頁，編輯于2023年，星期五應用指南（通用部分）物理安全也稱實體安全，是指包括環境設備和記錄介質在內的所有支持信息系統運行的硬件的安全它是一個信息系統安全運行的基礎計算機網絡信息系統的實體安全包括環境安全、設備安全和介質安全157第一百五十七頁，共一百七十三頁，編輯于2023年，星期五應用指南（通用部分）運行安全是指在物理安全得到保障的前提下，為確保計算機信息系統不間斷運行而采取的各種檢測、監控、審計、分析、備份及容錯等方法和措施

當前，保障運行安全的主要技術和機制有：風險分析，網絡安全檢測與監控，安全審計，網絡防病毒，備份與故障恢復，以及計算機信息系統應急計劃與應急措施等

158第一百五十八頁，共一百七十三頁，編輯于2023年，星期五應用指南（通用部分）信息安全是指在計算機信息系統運行安全得到保證的前提下，對在計算機信息系統中存儲、傳輸和處理的信息進行有效的保護，使其不因人為的或自然的原因被泄露、篡改和破壞當前常用的信息保護技術有：進入系統用戶的標識和鑒別、信息交換的安全鑒別、隱秘、自主訪問控制、標記與強制訪問控制、數據保密性保護、數據完整性保護、剩余信息保護及密碼支持等159第一百五十九頁，共一百七十三頁，編輯于2023年，星期五應用指南（通用部分）第六部分是安全保證技術要求說明為了確保所要求的安全功能達到所確定的安全目標，必須從以下方面保證安全功能從設計、實現到運行管