國家信息安全測評認證

標準體系目錄1、概述2、基礎標準3、應用標準4、運行標準5、標準化工作概述—標準化基礎標準：為在一定的范圍內獲得最佳秩序，對活動或其結果規定共同的和重復使用的規則、導則或特性的文件。強制性標準：保障人體健康、人身、財產安全的標準和法律、行政法規規定強制執行的標準；其它標準是推薦性標準。我國標準分四級：國家標準、行業標準、地方標準、企業標準。概述—標準化基礎標準化：為在一定的范圍內獲得最佳秩序，對實際的或潛在的問題制定共同的和重復使用的規則的活動。實質：通過制定、發布和實施標準，達到統一。目的：獲得最佳秩序和社會效益。概述—標準化基礎概述—標準化基礎標準化三維空間國際級區域級國家級行業級地方級企業級人員服務系統產品過程管理應用體系、框架XYZX軸代表標準化對象，Y軸代表標準化的內容，Z軸代表標準化的級別。

概述—標準化基礎概述—標準化基礎概述—標準化基礎概述—標準化基礎我國通行“標準化八字原理”：“統一”原理“簡化”原理“協調”原理“最優”化原理概述—標準化基礎概述—標準化基礎標準體系：一定范圍內標準按其內在聯系形成的科學的有機整體標準體系是具有層次的，我國全國標準體系表可分成五個層次。1、全國通用標準4、門類通用標準3、專業通用標準2、行業通用標準5、產品、過程、服務、管理標準第一層第二層第三層第四層第五層全國標準體系第一層第二層第三層專業標準體系第一層第二層第三層第四層行業標準體系概述—IT標準化國際標準化ISO/IECJTC1ECMAIETFITUIEEEESTI……國內標準化標準化所歸口14個分委會“漢字編碼字符集”概述—IT標準化概述—信息安全標準化概述—信息安全標準化概述—信息安全標準化概述—信息安全標準化概述—信息安全標準化NIST負責聯邦政府非密敏感信息FIPSDOD負責涉密信息NSA國防部指令（DODDI）（如TCSEC）IEEESILSP1363我國38個標準概述—國家信息安全標準體系概述—國家信息安全標準體系概述—國家信息安全標準體系應用類標準應用基礎物理環境和保障信息處理信息傳輸信息存儲人機接口計算機病毒防治安全工程和服務安全信息交換語法規則應用產品應用系統特殊行業概述—國家信息安全標準體系基礎標準安全體系結構前CC準則GB/T18336-2001（idtISO/IEC15408：1999、CC）CEMPP和ST產生指南SSE-CMMISO9000族ISO/IEC17799基礎標準—安全體系結構國家標準GB/T9387.2-1995《信息處理系統

開放系統互連

基本參考模型——第二部分：安全體系結構》（idtISO7498-2）RFC2401因特網安全體系結構基礎標準—安全體系結構ISO開放系統互連安全體系結構

OSI參考模型7應用層6表達層5會話層4運輸層3網絡層2鏈路層1物理層安全機制公證路由控制業務流填充鑒別交換數據完整性訪問控制數字簽名加密安全服務

鑒別服務

訪問控制數據完整性數據保密性抗抵賴與管理有關機制公證機制與安全服務有關機制數據完整性機制

安全恢復機制安全審核機制事件探測機制安全標簽機制可信功能機制路由控制機制防業務流分析機制認證交換機制

訪問控制機制

數字簽名機制安全機制加密機制安全服務對象認證安全服務訪問控制安全服務數據完整性安全服務抗抵賴安全服務

安全服務是由安全機制來實現的。一個安全服務可以由一個或幾個安全機制來實現；同樣，一個安全機制也可用于實現不同的安全服務中。安全服務與安全機制的關系基礎標準—安全體系結構TCP/IP安全體系應用層表示層會話層傳輸層網絡層數據鏈路層物理層FTP、TELNETNFSSMTP、SNMPXDRRPCTCP、UDPIPEthernet、PDN、IEEE802.3、IEEE802.4、IEEE802.5及其它

ICMPARPRARPOSI參考模型Internet協議簇TCP/IP協議模型中提供的安全服務IP層安全體系結構IPsec協議標準RFC2402IPAuthenticationHeaderRFC2403TheUseofHMAC-MD5-96withinESPandAHRFC2404TheUseofHMAC-SHA-1-96withinESPandAHRFC2405TheESPDES-CBCCipherAlgorithmWithExplicitIVRFC2406IPEncapsulatingSecurityPayload(ESP)

基礎標準—前CC準則

歐洲ITSEC基礎標準—前CC準則

加拿大CTCPEC基礎標準—前CC準則CTCPEC的功能性要求及分級

美國聯邦準則(FC)

對TCSEC的升級1992年12月公布引入了“保護輪廓（PP）”這一重要概念每個輪廓都包括功能部分、開發保證部分和評測部分。分級方式與TCSEC不同，吸取了ITSEC、CTCPEC中的優點。供美國政府用、民用和商用。基礎標準—前CC準則GB17859-1999計算機信息系統安全等級劃分準則基礎標準—前CC準則安全等級保護制度等級保護制度內容安全等級保護標準體系等級劃分標準等級設備標準等級建設標準等級管理標準安全等級保護管理的行政法規安全等級保護所需的系統設備安全等級系統的建設和管理等級劃分準則計算機信息系統安全等級保護系列標準的核心實行計算機信息系統安全等級保護制度建設的重要基礎等級劃分準則的目的等級劃分準則內容第五級：訪問驗證保護級第四級：結構化保護級第三級：安全標記保護級第二級：系統審計保護級第一級：用戶自主保護級可信計算基（TCB）TCB——TrustedComputingBase一個實現安全策略的機制包括硬件、固件和軟件根據安全策略來處理主體（系統管理員、安全管理員、用戶）對客體（進程、文件、記錄、設備等）的訪問TCB的特性實施主體對客體的安全訪問功能抗篡改的性質易于分析與測試的結構安全保護能力主要取決于TCB各級之間的差異主要體現在TCB的構造以及它所具有的安全保護能力第一級用戶自主保護級本級的計算機信息系統TCB通過隔離用戶與數據，使用戶具備自主安全保護的能力。它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數據的非法讀寫與破壞。第一級自主訪問控制為用戶提供身份鑒別TCB通過自主完整性策略，阻止非授權用戶修改或破壞敏感信息第二級系統審計保護級與用戶自主保護級相比，本級的計算機信息系統TCB實施了粒度更細的自主訪問控制，它通過登錄規程、審計安全性相關事件和隔離資源，使用戶對自己的行為負責。第二級自主訪問控制客體的安全重用為用戶提供身份鑒別和安全審計TCB提供并發控制等機制，以確保多個主體對同一客體的正確訪問第三級安全標記保護級本級的計算機信息系統TCB具有系統審計保護級所有功能。此外，還提供有關安全策略模型、數據標記以及主體對客體強制訪問控制的非形式化描述；具有準確地標記輸出信息的能力；消除通過測試發現的任何錯誤。第三級TCB實施強制訪問控制，以敏感標記為主體和客體指定其安全等級。安全等級是一個二維組，第一維是分類等級（如密碼、數字簽名等），第二維是范疇。主體分類等級的級別高于客體分類等級的級別，主體范疇包含客體范疇時，主體才能讀一個客體主體分類等級的級別低于或等于客體分類等級的級別，主體范疇包含于客體范疇時，主體才能寫一個客體第三級身份鑒別和審計TCB應提供定義、驗證完整性約束條件的功能，以維護客體和敏感標記的完整性第四級結構化保護級本級的計算機信息系統TCB建立于一個明確定義的形式化安全策略模型之上，它要求將第三級系統中的自主和強制訪問控制擴展到所有主體與客體。此外，還要考慮隱蔽通道。本級的計算機信息系統TCB必須結構化為關鍵保護元素和非關鍵保護元素。第四級計算機信息系統TCB的接口也必須明確定義，使其設計與實現能經受更充分的測試和更完整的復審。加強了鑒別機制；支持系統管理員和操作員的職能；提供可信設施管理；增強了配置管理控制。系統具有相當的抗滲透能力。第四級TCB基于一個明確定義的形式化安全保護策略。將第三級實施的訪問控制（自主的和強制的）擴展到所有主體和客體。針對隱蔽信道，將TCB構造成為關鍵保護元素和非關鍵保護元素。TCB具有合理定義的接口，使其能夠經受嚴格測試和復查。通過提供可信路徑來增強鑒別機制。支持系統管理員和操作員的職能，提供可信實施管理，增強嚴格的配置管理控制。第四級系統管理員、系統用戶、安全管理員身份鑒別、審計TCB的關鍵保護元素TCB的非關鍵保護元素形式化的安全策略模型

自主訪問控制標記、客體重強制訪問控制用、運行支持第五級訪問驗證保護級本級的計算機信息系統TCB滿足訪問監控器需求。訪問監控器仲裁主體對客體的全部訪問。訪問監控器本身是抗篡改的；必須足夠小，能夠分析和測試。為了滿足訪問監控器需求，計算機信息系統可信計算基在其構造時，排除那些對實施安全策略來說并非必要的代碼；在設計和實現時，從系統工程角度將其復雜性降低到最小程度。第五級支持安全管理員職能；擴充審計機制，當發生與安全相關的事件時發出信號；提供系統恢復機制。系統具有很高的抗滲透能力。第五級在TCB的構造方面，具有訪問監控器訪問控制能夠為每個客體指定用戶和用戶組，并規定他們對客體的訪問模式TCB擴展了審計能力TCB提供可信恢復機制，保證系統失效或中斷后，可以進行不損害任何安全保護性能的恢復訪問監控器訪問控制數據庫客體主體訪問監控器審計文件基礎標準—CC準則要點概述標準內容和關鍵概念評估模型國際互認概述ISO/IEC15408=CommonCriteria(CC)

安全準則&產品評估促進因素國際IT市場趨勢各國的基本安全要求早期準則的演變和改進信息系統安全問題需要國際標準發展史1993年通用評估準則（CC）1985年美國可信計算機系統評估準則（TCSEC）1990年加拿大可信計算機產品評估準則（CTCPEC）1991年美國聯邦準則（FC）1999年國際標準（ISO15408）第三代

通用準則（CC）國際標準化組織統一現有多種準則的努力結果；1993年開始，1996年出V1.0,1998年出V2.0，1999年6月正式成為國際標準，1999年12月ISO出版發行ISO/IEC15408；主要思想和框架取自ITSEC和FC；充分突出“保護輪廓”，將評估過程分“功能”和“保證”兩部分；是目前最全面的評價準則

通用準則（CC）（續）國際上認同的表達IT安全的體系結構一組規則集一種評估方法，其評估結果國際互認通用測試方法（CEM）已有安全準則的總結和兼容通用的表達方式，便于理解靈活的架構可以定義自己的要求擴展CC要求準則今后發展的框架標準內容和關鍵概念GB/T18336-1：簡介和一般模型保護輪廓規范安全目標規范GB/T18336-2：安全功能要求GB/T18336-3：安全保證要求標準的文檔結構第1部分第2部分范圍引用標準安全功能組件FAU類：安全審計FCO類：通信FCS類：密碼支持 FDP類：用戶數據保護 FIA類：標識和鑒別FMT類：安全管理FPR類：隱私 FPT類：TSF保護FRU類：資源利用FTA類：TOE訪問FTP類：可信路徑/信道

附錄A安全功能要求應用注釋附錄B功能類、族和組件附錄C安全審計（FAU）附錄D通信（FCO）附錄E密碼支持（FCS）附錄F用戶數據保護(FDP)

附錄G標識和鑒別（FIA）附錄H安全管理(FMT)

附錄I隱私(FPR)

附錄JTSF保護（FPT）附錄K資源利用(FRU)

附錄LTOE訪問(FTA)附錄M可信路徑/通道(FTP)第3部分范圍引用標準安全保證要求保護輪廓與安全目標評估準則APE類：保護輪廓評估ASE類：安全目標評估評估保證級保證類、族和組件ACM類：配置管理ADO類：交付和運行ADV類：開發AGD類:指導性文件ALC類:生命周期支持ATE類:測試AVA類:脆弱性評定保證維護范例AMA類:保證的維護附錄A保證組件依賴關系的交叉引用附錄BEAL和保證組件的交叉引用

用戶

開發者

評估者標準的目標讀者系統管理員和系統安全管理員內部和外部審計員安全規劃和設計者認可者評估發起者評估機構標準的應用范圍關鍵概念評估對象——TOE(TargetofEvaluation)保護輪廓——PP(ProtectionProfile）安全目標——ST(SecurityTarget）功能(Function)保證(Assurance)組件(Component)包(Package)評估保證級——EAL(EvaluationAssuranceLevel）評估對象（TOE）產品、系統、子系統保護輪廓（PP）PP的內容安全目標（ST）IT安全目的和要求要求的具體實現實用方案適用于產品和系統與ITSECST類似ST的內容功能/保證結構類（如用戶數據保護——FDP）關注共同的安全焦點的一組族，覆蓋不同的安全目的范圍子類（如訪問控制——FDP_ACC）共享安全目的的一組組件，側重點和嚴格性不同組件（如子集訪問控制——FDP_ACC.1)包含在PP/ST/包中的最小可選安全要求集組件CC將傳統的安全要求分成不能再分的構件塊用戶/開發者可以組織這些要求到PP中到ST中組件可以進一步細化安全要求的結構類（Class）子類（Family）子類（Family）組件組件組件組件功能和保證PP/ST/包………功能規范IT產品和系統的安全行為，應做的事安全功能要求類135個組件保證對功能產生信心的方法安全保證要求APE類-保護輪廓的評估準則ASE類-安全目標的評估準則用于TOE的七個安全保證要求類TOE安全保證類包IT安全目的和要求功能或保證要求（如EAL）適用于產品和系統與ITSECE-級類似評估保證級（EAL）預定義的保證包公認的廣泛適用的一組保證要求評估保證級（EAL）EAL1—功能測試EAL2—結構測試EAL3—系統地測試和檢查EAL4—系統地設計、測試和復查EAL5—半形式化設計和測試EAL6—半形式化驗證的設計和測試EAL7—形式化驗證的設計和測試評估保證級（EAL）評測級別對應各部分關系子類C1C2C3Cn功能(CCPART2)保證(CCPART3)FamilyC1C2C3CnFamilyC1C2C3Cn子類C1C2C3Cn子類C1C2C3Cn子類C1C2C3Cn功能類保證類功能包為構建PP或ST而選取的一組可重復使用的功能要求評估保證級1評估保證級2評估保證級3評估保證級n保護輪廓包括一個CC評估保證級的一組可重復使用且完備的安全要求。安全目標包括一個CC評估保證級的描述TOE的一組完備要求。可包括保護輪廓、要求和/或其他非CC要求。選擇性擴充（非CC）安全要求評估模型評估環境評估準則評估方法學最終評估結果評估體制評估批準/認證證書列表/注冊評估的目的產生保證評估給出證據所有者提供需要置信度那么對策最小化風險到資產評估流程圖評估PPPP評估結果編目PP已評估

的PP評估STST評估結果評估TOETOE評估結果編目證書已評估的TOETOE評估過程

安全需求開發TOETOE和評估評估結果

評估準則評估方案評估方法操作TOE反饋評估TOETOE物理環境確定安全環境假設確定安全目的確定安全要求需保護的資產TOE用途威脅組織安全策略安全目的功能要求保證要求環境要求確定TOE概要規范TOE概要規范CC要求目錄安全規范材料(PP/ST)安全要求材料（PP/ST）安全目的材料(PP/ST)安全環境材料(PP/ST)要求和規范的導出評估產品目錄PP目錄安全需求評估對象分類產品系統授權系統授權準則二選一可選可選評估后產品開發和評估TOE授權后系統TOE評估結果的應用國際互認互認的意義認同其他機構的評估結果開發商獲得更大的市場空間信息化的必然趨勢CC國際互認（1）1995年，CC項目組成立CC國際互認工作組1997年制訂過度性CC互認協定1997年10月美國的NSA和NIST、加拿大的CSE和英國的CESG簽署了該協定1998年5月德國的GISA、法國的SCSSI也簽署了此互認協定。依照CC1.0版，互認范圍限于評估保證級1—3CC國際互認（2）1999年10月澳大利亞和新西蘭的DSD加入了CC互認協定互認范圍發展為評估保證級1—4，但證書發放機構限于政府機構CC國際互認（3）今年，又有荷蘭、西班牙、意大利、挪威、芬蘭、瑞典、希臘、瑞士、以色列等國加入了此互認協定日本、韓國等也正在積極準備加入此協定目前的證書發放機構也不再限于政府機構，非政府的認證機構也可以加入此協定，但必須有政府機構參與或授權

通用評估方法（CEM）基礎標準—CEM介紹通用評估方法（CEM）是為了進行CC評估而開發的一種國際公認方法。CEM支撐信息安全評估的國際互認用戶用戶評估發起者是起動一個評估的組織實體。發起者可以是一個開發者（如制造商、集成商）或顧客（如用戶、認可者、系統管理員、系統安全管理員）。評估者使用CC時要與CEM一致。評估者將把CEM用在CC的一致性使用方面提供詳細的指導。監督者是確保所進行的評估過程與CC、CEM一致性的實體。監督者把CEM用于定義評估者所提供的一組一致性信息。相互認可通用評估方法評估者&監督者開發者顧客發起者評估框架開發過程檢測過程評估方法（原則、程序、過程）評估過程（行為）普遍原則假設角色間關系準備階段開發者監督者評估者發起者可行性分析輸出協定可行性分析輸出協定PP或ST評估交付資源子集評估所需資源子集索要可行性研究信息建議修改ST或PP可行性分析輸出協定可行性分析輸出協定可行性分析輸出協定協定實施階段開發者監督者評估者發起者觀察報告觀察報告評估和檢測所需資源觀察報告觀察報告評估和檢測所需資源評估和檢測所需資源解釋結束階段開發者監督者評估者發起者評估總結報告評估總結報告評估總結報告評估總結報告評估權威機構ISO/IECPDTR15446：2000PP和ST產生指南基礎標準—PP和ST產生指南為既定的一系列安全對象提出功能和保證要求的完備集合

可復用集合-對各種應用的抽象

希望和要求的陳述PP定義什么是PP？用戶要求陳述用戶希望達到什么程度主要針對:業務/商業擁有者對用戶、開發者、評估者和審計者都有用系統設計文檔將幾級要求細化成特定的需求一致性需求符合用戶的要求誰用PP？PP要點PP要點（續）TOE安全環境：定義TOE“安全需求”的特征和范圍假設：如果環境滿足該假定，TOE被認為是安全的威脅：包括TOE及其環境需要保護的特定資產所面臨的與TOE安全操作相關的威脅組織安全策略：TOE必須遵守的任何組織安全策略和規則PP要點（續）有關環境的假設對資產的威脅組織安全策略安全需求定義TOE安全環境環境安全目的TOE安全目的安全目的：意在對抗確定的威脅，滿足確定的組織安全策略和假定的陳述PP要點（續）在確定安全目的時，需要確保每個已知的威脅，至少有一個安全目的對抗；每個已知的組織安全策略，至少有一個安全目的來滿足。在對抗威脅方面主要有預防、檢測和糾正三種目的。威脅組織安全策略假設安全需求TOEIT環境非IT安全要求TOE目的環境目的安全目的IT安全要求安全目的橋梁作用IT安全要求TOE安全要求IT環境安全要求TOE安全功能要求TOE安全保證要求PP要點（續）安全功能要求安全保證要求IT環境安全要求TOE安全目的IT環境安全目的ISO/IEC15408第二部分ISO/IEC15408第三部分IT安全要求賦值、反復、選擇和細化PP要點（續）PP應用注解：對開發、評估或使用TOE是相關的或有用的一些附加信息基本原理：對PP進行評估的依據，證明PP是一個完整的、緊密結合的要求集合，滿足該PP的TOE將在安全環境內提供一組有效的IT安全對策安全目的基本原理安全要求基本原理威脅組織安全策略假設安全需求IT安全要求TOE目的環境的目的安全目的相互支持支持恰好滿足恰好滿足功能強度聲明一致基本原理威脅舉例T.REPLAY重放當截獲了有效用戶的識別和鑒別數據后，未授權用戶可能在將來使用這些鑒別數據，以訪問TOE提供的功能。安全目的舉例O.SINUSE單用途TOE必須防止用戶重復使用鑒別數據，嘗試通過互連網絡在TOE上進行鑒別。O.SECFUN安全功能TOE必須提供一種功能使授權管理員能夠使用TOE的安全功能，并且確保只有授權管理員才能訪問該功能。O.SINUSEFIA_ATD.1用戶屬性定義：允許為每個用戶單獨保存其用戶安全屬性。FIA_UAU.1鑒別定時：允許用戶在身份被鑒別前，實施一定的動作。FIA_UAU.4單用戶鑒別機制：需要操作單用戶鑒別數據的鑒別機制。FMT_MSA.3靜態屬性初始化：確保安全屬性的默認值是允許的或限制某行為的。TOE安全功能要求舉例TOE安全功能要求舉例FMT_MOF.1安全功能行為的管理：允許授權用戶管理TSF中使用規則或有可管理的指定條件的功能行為。FAU_STG.1受保護的審計蹤跡存儲：放在審計蹤跡中的數據將受到保護，以避免未授權的刪除或修改。FAU_STG.4防止審計數據丟失：規定當審計蹤跡溢滿時的行動。O.SECFUNPP示例SSE-CMM系統安全工程能力成熟模型基礎標準—SSE-CMMSSE-CMM背景知識SSE-CMM項目發展1993年4月開始醞量，1996年10月出版了SSE-CMM模型的第一個版本，1997年4月出版了評定方法的第一個版本。1999年4月出版了第二版。正在申報國際標準。測評中心于1999年4月將第二版翻譯成中文。SSE-CMM項目組織制定組織應用組織關鍵評審人行業評審人項目主任能力方面GenericPractices能力方面CommonFeaturesGenericPracticesGenericPracticesGenericPracticesGenericPractices通用實施能力級別CommonFeatures公共特征增強執行任何過程能力的實現和制度化實施一組實施列出管理和制度化過程的相同方面共同工作的一組公共特征主要增強執行一個過程的能力能力級別能力級別１――非正式執行公共特征執行基本實施能力級別２――計劃與跟蹤公共特征計劃執行規范化執行驗證執行跟蹤執行能力級別３――充分定義公共特征定義標準過程執行已定義的過程協調安全實施能力級別４――定量控制公共特征建立可測的質量目標客觀地管理過程的執行能力級別５――連續改進公共特征改進組織能力改進過程的有效性計劃執行規范化執行跟蹤執行定義標準過程協調安全實施

建立可測量的質量目標客觀地管理過程的執行改進過程的有效性1非正式執行2計劃與跟蹤3充分定義4量化控制5連續改進執行基本實施驗證執行執行已定義的過程改進組織能力公共特性域方面BasePracticesProcessAreas

過程類ProcessAreasBasePractices域方面BasePracticesBasePracticesBasePractices基礎實施ProcessAreas過程區工程和安全實施是安全工程過程中必須存在的性質，指出特殊過程區的目的并屬于該過程區

每個過程區（PA）是一組相關安全工程過程的性質，當這些性質全部實施后則能夠達到過程區定義的目的。一組過程區指出活動的同一通用區SSE-CMM過程區（PA）管理安全控制評估影響監視影響評估威脅評估脆弱性建立保證論據協調安全監視安全態勢提供安全輸入指定安全要求驗證和證實安全安全工程安全工程分三個基本過程：風險、工程和保證風險過程是要確定產品或者系統的危險性，并對這些危險性進行優先級排序工程過程是針對面臨的危險性，安全工程過程與相關工程過程一起來確定并實施解決方案保證過程是建立起對解方案的信任，并把這種信任傳達給顧客安全工程（續）風險工程PA：驗證和證實安全證據PA:建立保證論據證據保證論據其他多個PA保證評估結果PA01PA02PA03PA04PA05PA06PA07PA08PA09PA10012345PA01PA02PA03PA04PA05PA06PA07PA08PA09PA10能力方面GenericPracticesCommonFeaturesGenericPracticesGenericPracticesGenericPracticesGenericPractices通用實施能力級CommonFeatures公共特征域方面BasePracticesProcessAreas過程類ProcessAreasBasePracticesBasePracticesBasePracticesBasePractices基礎實施ProcessAreas過程區評定方法為評定收集數據廣泛、嚴格，每個數據有充分的證據決定實施安全工程過程的能力為評定定義了安全工程環境在評定巧妙地使用了SSE-CMM體系結構中的兩個方面基礎標準—ISO9000族ISO9000族23個標準GB/T6583質量管理和質量保證—術語質量管理和質量保證標準選用和實施指南GB/T19000-1第一部分：選擇和使用指南GB/T19000-2