计算机系统安全评价标准

14.2.1 CC的主要用户
❖ CC的主要用户包括消费者、开发者和评估者。 ❖ 1．消费者
消费者可以用评估结果来决定一个已评估的产品 和系统是否满足他们的安全需求。
❖ 2．开发者
CC为开发者在准备和参与评估产品或系统以及 确定每种产品和系统要满足安全需求方面提供支 持。
❖ 3．评估者
当要做出TOE及其安全需求一致性判断时，CC 为评估者提供了评估准则。
又称为可验证设计保护级，即提供B3级保护的同 时给出系统的形式化设计说明和验证以确信各安 全保护真正实现。
14.2 通用评估准则CC
❖ CC(Common Criteria for Information Technology Security Evaluation)标准是国际 标准化组织ISO/IEC JTC1发布的一个标准， 是信息技术安全性通用评估准则，用来评估 信息系统或者信息产品的安全性。
14.2.2 CC的组成
❖ CC分为三个部分
1.简介和一般模型:正文介绍了CC中的有关术语、 基本概念和一般模型以及与评估有关的一些框架， 附录部分主要介绍保护轮廓（PP）和安全目标 （ST）的基本内容。
2.安全功能要求:按“类-族-组件”的方式提出安 全功能要求，提供了表示评估对象TOE安全功能 要求的标准方法。
❖ 6．EAL6：半形式化验证的设计和测试
EAL6允许开发者通过在一个严格的开发环境中 使用安全工程技术来获得高度保证，以便生产一 个优异的TOE来保护高价值的资源避免重大的风 险。
❖ 7．EAL7：形式化验证的设计和测试
EAL7适用于在极端高风险的形势下，并且所保 护的资源价值极高，值得花费更高的开销进行安 全TOE的开发。
只提供了非常初级的自主安全保护,称为自主安全 保护系统,现有的商业系统往往稍作改进即可满足 要求。
❖ 3．C2安全级
称为可控安全保护级，是安全产பைடு நூலகம்的最低档次
很多商业产品已得到该级别的认证。达到C2级的 产品在其名称中往往不突出“安全”(Security)这 一特色
B类安全包含三个级别：B1、B2、B3级， 他们都采用强制保护控制机制。
14.1 可信计算机系统评价标准
❖ 1985年12月美国国防部公布了评价安全计算 机系统的六项标准。这套标准的文献名称即 为“可信计算机系统评价标准”（Trusted Computer System Evaluation Criteria，简记 为TCSEC），又称为橘皮书。
14.1.1 TCSEC的主要概念
❖ TCSEC将可信计算机系统的评价规则划分为 四类，即安全策略、可记账性、安全保证措 施和文档
❖ 根据计算机系统对上述各项指标的支持情况及安全 性相近的特点，TCSEC将系统划分为四类(Division) 七个等级
❖ 1．D安全级
最低级别,一切不符合更高标准的系统，统统归于 D级。
❖ 2．C1安全级
❖ 4．EAL4：系统地设计、测试和评审
基于良好而严格的商业开发规则，在不需额外增 加大量专业知识、技巧和其他资源的情况下，开 发者从正确的安全工程中所获得的保证级别最高 可达到EAL4。
❖ 5．EAL5：半形式化设计和测试
适当应用专业性的一些安全工程技术，并基于严 格的商业开发实践，EAL5可使开发者从安全工 程中获得最大限度的保证。
安全性
可信计算基(TCB) 自主访问控制（Discretionary Access Control，
DAC） 强制访问控制（Mandatory Access Control，
MAC） 隐蔽信道
❖ 3．系统模型
监控器数据基： （用户权限表、 访问控制表）
主体
访问监控器 审计信息
客体
14.1.2 计算机系统的安全等级
❖ 在CC中定义了7个递增的评估保证级
❖ 1．EAL1：功能测试
EAL1适用于对正确运行需要一定信任的场合
❖ 2. EAL2：结构测试
要求开发者递交设计信息和测试结果，但不需 要开发者增加过多的费用或时间的投入。
❖ 3．EAL3：方法测试和校验
在不需要对现有的合理的开发规则进行实质性改 进的情况下，EAL3可使开发者在设计阶段能从 正确的安全工程中获得最大限度的保证。
❖ 1．考核标准
（1）安全策略（Security Policy） （2）标识（Identification） （3）标记（Marking） （4）可记账性（Accountability） （5）保障机制（Assurance） （6）连续性保护（Continuous Protection）
❖ 2．主要概念
❖ 4．B1安全级
又称为带标记的访问控制保护级，其在C2级的 基础上增加了或加强了标记、强制访问控制、审 计、可记账性和保障等功能。
B1级能够较好地满足大型企业或一般政府部门对 数据的安全需求，这一级别的产品才被认为是真 正意义上的安全产品。满足此级别的产品前一般 多冠以“安全”(Security)或“可信的”(Trusted) 字样
❖ B2安全级
称为结构化保护级。该级系统的设计中把系统内 部结构化地划分成明确而大体上独立的模块，并 采用最小特权原则进行管理。
目前，经过认证的B2级以上的安全系统非常稀少。
❖ B3安全级
又称为安全域保护级。该级的TCB必须满足访问 监控器的要求，审计跟踪能力更强，并提供系统 恢复过程。
❖ A1安全级
主要内容
❖ 可信计算机系统评价标准 ❖ 通用评估准则CC ❖ 我国信息系统安全评价标准
❖ 计算机系统的提供者需要对他们的产品的安 全特性进行说明，而用户则需要验证这些安 全特性的可靠性。
❖ 国际上有多种为计算机安全系统构筑独立审 查措施的安全评价体系,其内容和发展深刻地 反映了对信息安全问题的认识程度。
3.安全保证要求:定义了评估保证级别，建立了一 系列安全保证组建作为表示TOE保证要求的标准 方法。
❖ CC的三个部分相互依存，缺一不可。
14.2.3 评估保证级别EAL
❖ 评估保证级别是评估保证要求的一种特定组 合（保证包），是度量保证措施的一个尺度， 这种尺度的确定权衡了所获得的保证级别以 及达到该保证级别所需的代价和可能性。