计算机信息系统安全评估标准讲义(编辑修改稿)

计算机信息系统安全评估标准讲义(编辑修改稿)内容摘要：

方法学可以提供结果的可重复性和客观性 • 许多评估准则需要使用专家判断和一定的背景知识 • 为了增强评估结果的一致性，最终的评估结果应提交给一个认证过程，该过程是一个针对评估结果的独立的检查过程，并生成最终的证书或正式批文 70 通用准则 CC CC包括三个部分 :  第一部分：简介和一般模型  第二部分：安全功能要求  第三部分：安全保证要求 71 通用准则 CC 安全保证要求部分提出了七个评估保证级别 （ Evaluation Assurance Levels： EALs） 分别是：  EAL1：功能测试  EAL2：结构测试  EAL3：系统测试和检查  EAL4：系统设计 、 测试和复查  EAL5：半形式化设计和测试  EAL6：半形式化验证的设计和测试  EAL7：形式化验证的设计和测试 72 通用准则 CC • 安全就是保护资产不受威胁，威胁可依据滥用被保护资产的可能性进行分类 • 所有的威胁类型都应该被考虑到 • 在安全领域内，被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的 73 通用准则 CC 安全概念和关系 图 安全概念和关系所有者对策弱点风险资产威胁威胁者价值希望最小化利用 减少可能拥有可能意识到可能被减少利用导致引起 增加到到希望滥用和破坏74 通用准则 CC • 安全性损坏一般包括但又不仅仅包括以下几项  资产破坏性地暴露于未授权的接收者（失去保密性）  资产由于未授权的更改而损坏（失去完整性）  或资产访问权被未授权的丧失（失去可用性） 75 通用准则 CC • 资产所有者必须分析可能的威胁并确定哪些存在于他们的环境 ， 其后果就是风险 • 对策用以（直接或间接地）减少脆弱性并满足资产所有者的安全策略 • 在将资产暴露于特定威胁之前，所有者需要确信其对策足以应付面临的威胁 76 通用准则 CC 评估概念 和关系 保证技术保证评估信心对策风险资产所有者产生给出证据需要提供源于最小化针对77 通用准则 CC TOE评估过程 安全需求（PP与S T）开发TOETOE 和评估 评估TOE评估结果 操作TOE评估方案评估方法评估准则反馈78 通用准则 CC • 评估过程通过两种途径产生更好的安全产品  评估过程能发现开发者可以纠正的 TOE错误或弱点，从而在减少将来操作中安全失效的可能性  另一方面，为了通过严格的评估，开发者在 TOE设计和开发时也将更加细心 • 因此，评估过程对最初需求、开发过程、最终产品以及操作环境将产生强烈的积极影响 79 通用准则 CC • CC安全概念 包括：  安全环境  安全目的  IT安全要求  TOE概要规范 80 通用准则 CC • 安全环境包括所有相关的法规、组织性安全策略、习惯、专门技术和知识 • 它定义了 TOE使用的上下文，安全环境也包括环境里出现的安全威胁 81 通用准则 CC • 安全环境的分析结果被用来阐明对抗已标识的威胁、说明组织性安全策略和假设的安全目的 • 安全目的和已说明的 TOE运行目标或产品目标以及有关的物理环境知识一致 • 确定安全目的的意图是为了阐明所有的安全考虑并指出哪些安全方面的问题是直接由 TOE还是由它的环境来处理 • 环境安全目的将在 IT领域内用非技术上的或程序化的手段来实现 82 通用准则 CC • IT安全要求是将安全目的细化为一系列 TOE及其环境的安全要求，一旦这些要求得到满足，就可以保证TOE达到它的安全目的 • IT安全需求只涉及 TOE安全目的和它的 IT环境 83 通用准则 CC • CC定义了一系列与已知有效的安全要求集合相结合的概念，该概念可被用来为预期的产品和系统建立安全需求 • CC安全要求以类 —族 —组件这种层次方式组织，以帮助用户定位特定的安全要求 • 对功能和保证方面的要求， CC使用相同的风格、组织方式和术语。 84 通用准则 CC CC中安全要求的描述方法 ：  类： 类用作最通用安全要求的组合，类的所有的成员关注共同的安全焦点，但覆盖不同的安全目的  族：类的成员被称为族。 族是若干组安全要求的组合，这些要求有共同的安全目的，但在侧重点和严格性上有所区别  组件：族的成员被称为组件。 组件描述一组特定的安全要求集，它是 CC定义的结构中所包含的最小的可选安全要求集 85 通用准则 CC • 组件由单个元素组成，元素是安全需求最低层次的表达，并且是能被评估验证的不可分割的安全要求 • 族内具有相同目标的组件可以以安全要求强度（或能力）逐步增加的顺序排列，也可以部分地按相关非层次集合的方式组织 86 通用准则 CC • 组件间可能存在依赖关系 • 依赖关系可以存在于功能组件之间、保证组件之间以及功能和保证组件之间 • 组件间依赖关系描述是 CC组件定义的一部分 87 通用准则 CC • 可以通过使用组件允许的操作，对组件进行裁剪 • 每一个 CC组件标识并定义组件允许的 “ 赋值 ” 和 “ 选择 ” 操作、在哪些情况下可对组件使用这些操作，以及使用这些操作的后果 • 任何一个组件均允许 “ 反复 ” 和 “ 细化 ” 操作 88 通用准则 CC 这四个操作如下所述：  反复：在不同操作时 ， 允许组件多次使用  赋值：当组件被应用时 ， 允许规定所赋予的参数  选择：允许从组件给出的列表中选定若干项  细化：当组件被应用时 ， 允许对组件增加细节 89 通用准则 CC 要求的组织和结构 90 通用准则 CC CC中安全需求的描述方法 :  包 :组件的中间组合被称为包  保护轮廓 (PP): PP是关于一系列满足一个安全目标集的 TOE的、与实现无关的描述  安全目标 (ST)： ST是针对特定 TOE安全要求的描述，通过评估可以证明这些安全要求对满足指定目的是有用和有效的 91 通用准则 CC • 包允许对功能或保证需求集合的描述，这个集合能够满足一个安全目标的可标识子集 • 包可重复使用，可用来定义那些公认有用的、能够有效满足特定安全目标的要求 • 包可用在构造更大的包、 PP和 ST中 92 通用准则 CC • PP包含一套来自 CC（或明确阐述）的安全要求，它应包括一个评估保证级别（ EAL） • PP可反复使用，还可用来定义那些公认有用的、能够有效满足特定安全目标的 TOE要求 • PP包括安全目的和安全要求的基本原理 • PP的开发者可以是用户团体、 IT产品开发者或其它对定义这样一系列通用要求有兴趣的团体 93 通用准则 CC 保护轮廓 PP描述结构 PP 应用注解PP 标识PP 概述假设威胁组织性安全策略T OE 安全目的环境安全目的安全目的基本原理安全要求基本原理T OE 安全功能要求T OE 安全保证要求保护轮廓PP引言TOE 描述TOE 安全环境安全目的IT安全要求基本原理TOE 安全要求I T 环境安全要求94 通用准则 CC • 安全目标 (ST)包括一系列安全要求，这些要求可以引用 PP，也可以直接引用 CC中的功能或保证组件，或明确说明 • 一个 ST包含 TOE的概要规范，安全要求和目的，以及它们的基本原理 • ST是所有团体间就 TOE应提供什么样的安全性达成一致的基础 95 通用准则 CC 安全目标描述结构 ST 标识ST 概述假设威胁组织性安全策略T OE 安全目的环境安全目的T OE 安全功能要求T OE 安全保证要求安全目标ST引言TOE 描述TOE 安全环境安全目的IT安全要求 TOE 安全要求I T 环境安全要求C C 一致性性声明TOE 概要规范 T O E 安全功能保证措施P P 声明P P 裁减P P 附加项PP声明基本原理 安全目的基本原理安全要求基本原理96 通用准则 CC CC框架下的评估类型  PP评估  ST评估  TOE评估 97 通用准则 CC • PP评估是依照 CC第 3部分的 PP评估准则进行的。 • 评估的目标是为了证明 PP是完备的、一致的、技术合理的，而且适合于作为一个可评估 TOE的安全要求的声明 98 通用准则 CC • 针对 TOE的 ST评估是依照 CC第 3部分的 ST评估准则进行的 • ST评估具有双重目标：  首先是为了证明 ST是完备的、一致的、技术合理的，而且适合于用作相应 TOE评估的基础  其次，当某一 ST宣称与某一 PP一致时，证明 ST满足该 PP的要求 99 通用准则 CC • TOE评估是使用一个已经评估过的 ST作为基础，依照CC第 3部分的评估准则进行的 • 评估的目标是为了证明 TOE满足 ST中的安全要求 100 通用准则 CC 三种评估的关系 评估P P评估T O EP P 分类评估S T证书。