国家信息安全测评认证标准体系课件.ppt

国家信息安全测评认证标准体系,目 录,1、概述2、基础标准3、应用标准4、运行标准5、标准化工作,概述标准化基础,标准：为在一定的范围内获得最佳秩序，对活动或其结果规定共同的和重复使用的规则、导则或特性的文件。强制性标准：保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。我国标准分四级：国家标准、行业标准、地方标准、企业标准。,概述标准化基础,标准化：为在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。实质：通过制定、发布和实施标准，达到统一。目的：获得最佳秩序和社会效益。,概述标准化基础,标准化的基本特性：抽象性 技术性 经济性 连续性，亦称继承性 约束性 政策性,概述标准化基础,标准化三维空间,国际级区域级国家级行业级地方级企业级,人员服务系统产品过程,管理,应用,技术机制,体系、框架,术语,X,Y,Z,X轴代表标准化对象，Y轴代表标准化的内容，Z轴代表标准化的级别。,概述标准化基础,标准化的地位和作用标准化为科学管理奠定了基础；促进经济全面发展，提高经济效益；标准化是科研、生产、使用三者之间的桥梁；标准化为组织现代化生产创造了前提条件；促进对自然资源的合理利用，保持生态平衡，维护人类社会当前和长远的利益；合理发展产品品种，提高企业应变能力，以更好地满足社会需求；保证产品质量，维护消费者利益；在社会生产组成部分之间进行协调，确立共同遵循的准则，建立稳定的秩序；在消除贸易障碍，促进国际技术交流和贸易发展，提高产品在国际市场上的竞争能力方面具有重大作用；保障身体健康和生命安全。大量的环保标准、卫生标准和安全标准制定发布后，用法律形式强制执行，对保障人民的身体健康和生命财产安全具有重大作用。,概述标准化基础,标准化对象标准化研究对象标准化学的基本概念 支撑标准化学的理论基础 标准化原理的研究 标准化形式的研究 标准化系统的研究 标准体系的研究 标准化科学管理的研究标准化工作对象制定和实施标准：技术基础、产品标准、过程、服务标准的实施监督,概述标准化基础,国际通行“标准化七原理”：原理1-简化原理2-协商一致原理3-实践、运用原理4-选择、固定原理5-修订原理6-技术要求+试验方法+抽样原理7-强制性适应于：安全、健康、环保等,概述标准化基础,我国通行“标准化八字原理”：“统一”原理“简化”原理“协调”原理“最优”化原理,概述标准化基础,采标：等同采用：指技术内容相同，没有或仅有编辑性修改，编写方法完全相对应；等效采用：指主要技术内容相同，技术上只有很小差异，编写方法完全相对应；非等效采用：指技术内容有重大差异。,概述标准化基础,标准体系：一定范围内标准按其内在联系形成的科学的有机整体标准体系是具有层次的，我国全国标准体系表可分成五个层次。,概述IT标准化,国际标准化ISO/IEC JTC1ECMAIETFITUIEEEESTI国内标准化标准化所归口14个分委会“汉字编码字符集”,概述IT标准化,IT标准发展趋势(1)标准逐步从技术驱动向市场驱动方向发展。(2)信息技术标准化机构由分散走向联合。(3)信息技术标准化的内容更加广泛，重点更加突出，从IT技术领域向社会各个领域渗透，涉及教育、文化、医疗、交通、商务等广泛领域，需求大量增加。(4)从技术角度看，IT标准化的重点将放在网络接口、软件接口、信息格式、安全等方面，并向着以技术中立为前提，保证互操作为目的方向发展。,概述信息安全标准化,ISOJTC1 SC27，信息技术-安全技术ISO/TC 68 银行和有关的金融服务JTC1其他分技术委员会：SC6系统间通信与信息交换，主要开发开放系统互连下四层安全模型和安全协议，如ISO 9160、ISO/IEC 11557。SC17识别卡和有关设备，主要开发与识别卡有关的安全标准。SC18文件处理及有关通信，主要开发电子邮件、消息处理系统等安全标准。SC21开放系统互连，数据管理和开放式分布处理，主要开发开放系统互连安全体系结构，各种安全框架，高层安全模型等标准，如:ISO/IEC 7498-2、ISO/IEC 9594-1至8。SC22程序语言，其环境及系统软件接口，也开发相应的安全标准。SC30开放式电子数据交换，主要开发电子数据交换的有关安全标准。如ISO 9735-9、ISO 9735-10。,概述信息安全标准化,IECTC56 可靠性；TC74 IT设备安全和功效；TC77 电磁兼容；CISPR 无线电干扰特别委员会ITU前身是CCITT消息处理系统目录系统(X.400系列、X.500系列)安全框架安全模型等标准,概述信息安全标准化,IETF（170多个RFC、12个工作组）PGP开发规范(openpgp)；鉴别防火墙遍历(aft)；通用鉴别技术(cat)；域名服务系统安全(dnssec)；IP安全协议(ipsec)；一次性口令鉴别(otp)；X.509公钥基础设施(pkix)；S/MIME邮件安全(smime)；安全Shell(secsh)；简单公钥基础设施(spki)；传输层安全(tls)Web处理安全(wts),概述信息安全标准化,ECMATC32“通信、网络和系统互连”曾定义了开放系统应用层安全结构；TC36“IT安全”负责信息技术设备的安全标准。美国ANSINCITS-T4 制定IT安全技术标准X9 制定金融业务标准X12 制定商业交易标准,概述信息安全标准化,NIST负责联邦政府非密敏感信息FIPSDOD负责涉密信息NSA国防部指令（DODDI）（如TCSEC）IEEESILSP1363我国38个标准,概述国家信息安全标准体系,基础类标准信息技术安全词汇信息技术安全体系结构信息技术安全框架信息技术安全模型,概述国家信息安全标准体系,技术机制类标准加密机制签名机制完整性机制鉴别机制访问控制机制抗抵赖机制路由选择控制机制通信业务填充机制公证机制可信功能度事件检测和报警安全审计跟踪安全标记安全恢复其他,概述国家信息安全标准体系,应用类标准应用基础物理环境和保障信息处理信息传输信息存储人机接口计算机病毒防治安全工程和服务安全信息交换语法规则应用产品应用系统特殊行业,概述国家信息安全标准体系,安全管理类标准管理基础系统管理 测评认证信息技术安全性评估准则（ISO/IEC 15408:1999）（CC）计算机信息系统安全保护等级划分准则(GB 17859：1999)PP/ST产生指南(ISO/IEC PDTR 15446:2000)通用测评方法(SC27 N2722|CEM)PP注册(ISO/IEC CD 15292:2000)系统安全工程能力成熟模型(SSE-CMM)安全工程质量评估准则信息安全服务评估准则,基础标准,安全体系结构前CC准则GB/T 18336-2001（idt ISO/IEC 15408：1999、CC）CEMPP和ST产生指南SSE-CMMISO9000 族ISO/IEC 17799,基础标准安全体系结构,国家标准GB/T 9387.2-1995信息处理系统 开放系统互连 基本参考模型第二部分：安全体系结构（idt ISO 7498-2）RFC 2401 因特网安全体系结构,基础标准安全体系结构,ISO开放系统互连安全体系结构,OSI 参考模型,7 应用层6 表达层5 会话层4 运输层3 网络层2 链路层1 物理层,安全机制,公 证路由控制业务流填充鉴别交换数据完整性访问控制数字签名加 密,安全服务,鉴别服务,访问控制,数据完整性,数据保密性,抗抵赖,与管理有关机制,公证机制,与安全服务有关机制,数据完整性机制,安全恢复机制,安全审核机制,事件探测机制,安全标签机制,可信功能机制,路由控制机制,防业务流分析机制,认证交换机制,访问控制机制,数字签名机制,安全机制,加密机制,安全服务,对象认证安全服务,访问控制安全服务,数据机密性安全服务,数据完整性安全服务,抗抵赖安全服务,安全服务是由安全机制来实现的。一个安全服务可以由一个或几个安全机制来实现；同样，一个安全机制也可用于实现不同的安全服务中。,安全服务与安全机制的关系,基础标准安全体系结构,TCP/IP安全体系,应用层表示层会话层传输层网络层数据链路层物理层,FTP、TELNET NFSSMTP、SNMP XDR RPC TCP、UDP IPEthernet、PDN、IEEE802.3、IEEE802.4、IEEE802.5及其它,ICMP,ARP RARP,OSI参考模型,Internet协议簇,TCP/IP协议模型中提供的安全服务,IP层安全体系结构IPsec协议标准RFC 2402 IP Authentication Header RFC 2403 The Use of HMAC-MD5-96 within ESP and AH RFC 2404 The Use of HMAC-SHA-1-96 within ESP and AHRFC 2405 The ESP DES-CBC Cipher Algorithm With Explicit IV RFC 2406 IP Encapsulating Security Payload(ESP),基础标准前CC准则,美国TCSEC1970年由美国国防科学委员会提出。1985年公布。主要为军用标准。延用至民用。安全级别从高到低分为A、B、C、D四级，级下再分小级。分级主要依据四个准则：a 安全政策 b 可控性 c 保证能力 d 文档,欧洲多国安全评价方法的综合产物，军用，政府用和商用。以超越TCSEC为目的，将安全概念分为功能与功能评估两部分。功能准则在测定上分F1-F10共10级。15级对应于TCSEC的D到A。610级加上了以下概念：F6：数据和程序的完整性 F7：系统可用性F8：数据通信完整性 F9：数据通信保密性F10 包括机密性和完整性的网络安全评估准则分为6级：E1：测试 E2：配置控制和可控的分配 E3：能访问详细设计和源码 E4：详细的脆弱性分析 E5：设计与源码明显对应 E6：设计与源码在形式上一致。,欧洲ITSEC,基础标准前CC准则,加拿大CTCPEC,1989年公布，专为政府需求而设计与ITSEC类似，将安全分为功能性需求和保证性需要两部分。功能性要求分为四个大类：a 机密性 b 完整性 c 可用性 d 可控性在每种安全需求下又分成很多小类，表示安全性上的差别，分级条数为05级。,基础标准前CC准则,CTCPEC的功能性要求及分级,美国联邦准则(FC),对TCSEC的升级1992年12月公布引入了“保护轮廓（PP）”这一重要概念每个轮廓都包括功能部分、开发保证部分和评测部分。分级方式与TCSEC不同，吸取了ITSEC、CTCPEC中的优点。供美国政府用、民用和商用。,基础标准前CC准则,GB 17859-1999 计算机信息系统安全等级划分准则,基础标准前CC准则,安全等级保护制度,国务院令147号中华人民共和国计算机信息系统安全保护条例第九条：计算机信息系统实行安全等级保护。,等级保护制度内容,安全等级保护标准体系等级划分标准等级设备标准等级建设标准等级管理标准安全等级保护管理的行政法规安全等级保护所需的系统设备安全等级系统的建设和管理,等级划分准则,计算机信息系统安全等级保护系列标准的核心实行计算机信息系统安全等级保护制度建设的重要基础,等级划分准则的目的,支持计算机信息系统安全法规的制定为计算机信息系统安全产品的研发提供功能框架为安全系统的建设和管理提供技术指导,等级划分准则内容,可信计算基（TCB）,TCBTrusted Computing Base一个实现安全策略的机制包括硬件、固件和软件根据安全策略来处理主体（系统管理员、安全管理员、用户）对客体（进程、文件、记录、设备等）的访问,TCB的特性,实施主体对客体的安全访问功能抗篡改的性质易于分析与测试的结构安全保护能力主要取决于TCB,各级之间的差异主要体现在TCB的构造以及它所具有的安全保护能力,第一级 用户自主保护级,本级的计算机信息系统TCB通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。,第一级,自主访问控制为用户提供身份鉴别TCB通过自主完整性策略，阻止非授权用户修改或破坏敏感信息,第二级 系统审计保护级,与用户自主保护级相比，本级的计算机信息系统TCB实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。,第二级,自主访问控制客体的安全重用为用户提供身份鉴别和安全审计TCB提供并发控制等机制，以确保多个主体对同一客体的正确访问,第三级 安全标记保护级,本级的计算机信息系统TCB具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。,第三级,TCB实施强制访问控制，以敏感标记为主体和客体指定其安全等级。安全等级是一个二维组，第一维是分类等级（如密码、数字签名等），第二维是范畴。主体分类等级的级别高于客体分类等级的级别，主体范畴包含客体范畴时，主体才能读一个客体主体分类等级的级别低于或等于客体分类等级的级别，主体范畴包含于客体范畴时，主体才能写一个客体,第三级,身份鉴别和审计TCB应提供定义、验证完整性约束条件的功能，以维护客体和敏感标记的完整性,第四级 结构化保护级,本级的计算机信息系统TCB建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统TCB必须结构化为关键保护元素和非关键保护元素。,第四级,计算机信息系统TCB的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。系统具有相当的抗渗透能力。,第四级,TCB基于一个明确定义的形式化安全保护策略。将第三级实施的访问控制（自主的和强制的）扩展到所有主体和客体。针对隐蔽信道，将TCB构造成为关键保护元素和非关键保护元素。TCB具有合理定义的接口，使其能够经受严格测试和复查。通过提供可信路径来增强鉴别机制。支持系统管理员和操作员的职能，提供可信实施管理，增强严格的配置管理控制。,第四级,第五级 访问验证保护级,本级的计算机信息系统TCB满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。,第五级,支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。,第五级,在TCB的构造方面，具有访问监控器访问控制能够为每个客体指定用户和用户组，并规定他们对客体的访问模式TCB扩展了审计能力TCB提供可信恢复机制，保证系统失效或中断后，可以进行不损害任何安全保护性能的恢复,访问监控器,访问控制数据库,客体,主体,访问监控器,审计文件,基础标准CC准则,GB/T 18336:2001 信息技术安全性评估准则（idt ISO/IEC 15408-1999）,要 点,概述标准内容和关键概念评估模型国际互认,概 述,ISO/IEC 15408=Common Criteria(CC),安全准则&产品评估,促进因素,国际IT市场趋势,各国的基本安全要求,早期准则的演变和改进,信息系统安全问题,需要国际标准,发展史,1990年欧洲信息技术安全性评估准则（ITSEC）,1993年通用评估准则（CC）,1985年美国可信计算机系统评估准则（TCSEC）,1990年加拿大可信计算机产品评估准则（CTCPEC）,1991年美国联邦准则（FC）,1999年国际标准（ISO 15408）,第三代,通用准则（CC）,国际标准化组织统一现有多种准则的努力结果；1993年开始，1996年出V 1.0,1998年出V 2.0，1999年6月正式成为国际标准，1999年12月ISO出版发行ISO/IEC 15408；主要思想和框架取自ITSEC和FC；充分突出“保护轮廓”，将评估过程分“功能”和“保证”两部分；是目前最全面的评价准则,通用准则（CC）（续）,国际上认同的表达IT安全的体系结构一组规则集一种评估方法，其评估结果国际互认通用测试方法（CEM）已有安全准则的总结和兼容通用的表达方式，便于理解灵活的架构可以定义自己的要求扩展CC要求准则今后发展的框架,标准内容和关键概念,GB/T 18336-1：简介和一般模型保护轮廓规范安全目标规范,GB/T 18336-2：安全功能要求,GB/T 18336-3：安全保证要求,标准的文档结构,第1部分,范围引用标准定义：缩略语和术语概述：介绍主要概念、目标用户、评估环境和文档结构一般模型：介绍CC的一般模型CC要求和评估结果：提出评估要求和评估结果的应用附录A通用准则项目：介绍CC项目来源附录B保护轮廓规范：介绍PP的主要内容附录C安全目标规范：介绍ST的主要内容附录D参考书目：列出标准的参考书目,第2部分,范围引用标准安全功能组件FAU类：安全审计FCO类：通信FCS类：密码支持FDP类：用户数据保护FIA类：标识和鉴别FMT类：安全管理FPR类：隐私FPT 类：TSF保护FRU类：资源利用FTA 类：TOE访问FTP类：可信路径/信道,附录A安全功能要求应用注释 附录B功能类、族和组件 附录C安全审计（FAU）附录D通信（FCO）附录E密码支持（FCS）附录F用户数据保护(FDP)附录G标识和鉴别（FIA）附录H安全管理(FMT)附录I隐私(FPR)附录J TSF保护（FPT）附录K资源利用(FRU)附录L TOE访问(FTA)附录M可信路径/通道(FTP),第3部分,范围引用标准安全保证要求保护轮廓与安全目标评估准则APE类：保护轮廓评估ASE类：安全目标评估评估保证级保证类、族和组件ACM类：配置管理,ADO类：交付和运行ADV类：开发AGD类:指导性文件ALC类:生命周期支持ATE类:测试AVA类:脆弱性评定保证维护范例AMA类:保证的维护附录A保证组件依赖关系的交叉引用附录B EAL和保证组件的交叉引用,标准的目标读者,系统管理员和系统安全管理员内部和外部审计员安全规划和设计者认可者评估发起者评估机构,本标准定义作为评估信息技术产品和系统安全特性的基础准则不包括属于行政性管理安全措施的评估准则；不包括物理安全方面（诸如电磁辐射控制）的评估准则；不包括密码算法固有质量评价准则,标准的应用范围,关键概念,评估对象 TOE(Target of Evaluation)保护轮廓PP(Protection Profile）安全目标ST(Security Target）功能(Function)保证(Assurance)组件(Component)包(Package)评估保证级EAL(Evaluation Assurance Level）,评估对象（TOE）,产品、系统、子系统,保护轮廓（PP）,表达一类产品或系统的用户需求组合安全功能要求和安全保证要求技术与需求之间的内在完备性提高安全保护的针对性、有效性安全标准有助于以后的兼容性同TCSEC级类似,PP的内容,安全目标（ST）,IT安全目的和要求要求的具体实现实用方案适用于产品和系统与ITSEC ST 类似,ST的内容,功能/保证结构,类（如用户数据保护FDP）关注共同的安全焦点的一组族，覆盖不同的安全目的范围子类（如访问控制FDP_ACC）共享安全目的的一组组件，侧重点和严格性不同组件（如子集访问控制FDP_ACC.1)包含在PP/ST/包中的最小可选安全要求集,组件,CC将传统的安全要求分成不能再分的构件块用户/开发者可以组织这些要求到PP中到ST中组件可以进一步细化,安全要求的结构,类（Class）,子类（Family）,子类（Family）,组件,组件,组件,组件,功能和保证,PP/ST/包,功能,规范IT产品和系统的安全行为，应做的事,安全功能要求类,135个组件,保证,对功能产生信心的方法,安全保证要求,TOE安全保证类,包,IT安全目的和要求功能或保证要求（如EAL）适用于产品和系统与ITSEC E-级类似,评估保证级（EAL）,预定义的保证包公认的广泛适用的一组保证要求,评估保证级（EAL）,EAL1功能测试EAL2结构测试EAL3系统地测试和检查EAL4系统地设计、测试和复查EAL5半形式化设计和测试EAL6半形式化验证的设计和测试EAL7形式化验证的设计和测试,评估保证级（EAL）,评测级别对应,各部分关系,评估模型,评估环境,评估准则,评估方法学,最终评估结果,评估体制,评估,批准/认证,证书列表/注册,评估的目的,保证技术,产生,保证,评估,给出证据,所有者,提供,需要,置信度,那么,对策,最小化,风险,到,资产,评估流程图,评估PP,PP评估 结果,编目PP,已评估 的PP,评估ST,ST评估 结果,评估TOE,TOE评估结果,编目证书,已评估 的TOE,TOE评估过程,安全需求,开发,TOE,TOE,和评估,评估结果,评估准则,评估方案,评估方法,操作,TOE,反馈,评估,TOE,要求和规范的导出,评估产品目录,PP目录,安全需求,评估对象,分类产品,系统授权,系统授权准则,二选一,可选,可选,评估后产品,开发和评估TOE,授权后系统,TOE评估结果的应用,国际互认,互认的意义,认同其他机构的评估结果开发商获得更大的市场空间信息化的必然趋势,CC国际互认（1）,1995年，CC项目组成立CC国际互认工作组1997年制订过度性CC互认协定1997年10月美国的NSA和NIST、加拿大的CSE和英国的CESG签署了该协定1998年5月德国的GISA、法国的SCSSI也签署了此互认协定。依照CC1.0版，互认范围限于评估保证级13,CC国际互认（2）,1999年10月澳大利亚和新西兰的DSD加入了CC互认协定互认范围发展为评估保证级14，但证书发放机构限于政府机构,CC国际互认（3）,今年，又有荷兰、西班牙、意大利、挪威、芬兰、瑞典、希腊、瑞士、以色列等国加入了此互认协定日本、韩国等也正在积极准备加入此协定目前的证书发放机构也不再限于政府机构，非政府的认证机构也可以加入此协定，但必须有政府机构参与或授权,通用评估方法（CEM）,基础标准CEM,介绍,通用评估方法（CEM）是为了进行CC评估而开发的一种国际公认方法。CEM支撑信息安全评估的国际互认,用户,保护轮廓（PP）开发者一组用户代表或信息技术（IT）产品的一个制造商。PP开发者使用CEM有利于在执行PP评估的一致性和独立性方面证实PP方面的应用。评估对象（TOE）开发者可以是IT产品的一个制造商，将IT产品结合到系统中的一个系统集成商，或其他提出IT解决方案的组织实体。,用户,评估发起者是起动一个评估的组织实体。发起者可以是一个开发者（如制造商、集成商）或顾客（如用户、认可者、系统管理员、系统安全管理员）。评估者使用CC时要与CEM一致。评估者将把CEM用在CC的一致性使用方面提供详细的指导。监督者是确保所进行的评估过程与CC、CEM一致性的实体。监督者把CEM用于定义评估者所提供的一组一致性信息。,相互认可,通用评估方法,评估者&监督者,开发者,顾客,发起者,评估框架,开发过程,检测过程,评估方法（原则、程序、过程）,评估过程（行为）,普遍原则,适当性原则：为达到一个预定的保证级所采取的评估活动应该是适当的；公正性原则：所有的评估应当没有偏见；客观性原则：应当在最小主观判断或主张情形下，得到评估结果；可重复性和可再现性原则：依照同样的要求，使用同样的评估证据，对同一TOE或PP的重复评估应该导出同样的结果；结果的完善性原则：评估结果应当是完备的并且采取的技术恰当。,假设,性能/价格比假设：评估的价值将会弥补所有利益团体所花费的时间、资源和金钱。方法发展假设：评估环境和技术因素变化的影响应当予以充分考虑并一致地反映到评估方法中。可复用性假设：评估应当有效地利用以前的评估结果。术语假设：所有参与评估的团体应当使用共同的命名法。,角色间关系,准备阶段,实施阶段,结束阶段,ISO/IEC PDTR 15446：2000 PP和ST产生指南,基础标准PP和ST产生指南,为既定的一系列安全对象提出功能和保证要求的完备集合可复用集合-对各种应用的抽象希望和要求的陈述,PP定义,什么是PP？,用户要求陈述用户希望达到什么程度主要针对:业务/商业拥有者对用户、开发者、评估者和审计者都有用系统设计文档将几级要求细化成特定的需求一致性需求符合用户的要求,谁用PP？,PP是用户要求的根本陈述理想的“使用”团体应当拥有PP并驱动PP的开发从开发者、评估者、审计者和校准者那里得到输入用户理解任务/商业并能陈述希望怎样的评估对象（TOE）不希望怎样的TOE其他卖主难于陈述产品不做什么安全技术专家常常不能完全理解用户要求,PP要点,范围：PP的适用范围引用标准：与TOE实现相关的其他信息技术标准术语定义和记法约定：一些便于理解PP的术语和PP中相关记法的约定TOE描述：TOE的一般信息TOE类型一般TOE功能TOE界限TOE操作环境有关TOE的主要假设,PP要点（续）,TOE安全环境：定义TOE“安全需求”的特征和范围,假设：如果环境满足该假定，TOE被认为是安全的,威胁：包括TOE及其环境需要保护的特定资产所面临的与TOE安全操作相关的威胁,组织安全策略：TOE必须遵守的任何组织安全策略和规则,PP要点（续）,有关环境的假设,对资产的威胁,组织安全策略,安全需求,定义,TOE安全环境,环境安全目的,TOE安全目的,安全目的：意在对抗确定的威胁，满足确定的组织安全策略和假定的陈述,PP要点（续）,在确定安全目的时，需要确保每个已知的威胁，至少有一个安全目的对抗；每个已知的组织安全策略，至少有一个安全目的来满足。在对抗威胁方面主要有预防、检测和纠正三种目的。,威胁,组织安全策略,假设,安全需求,TOE,IT环境,非IT安全要求,TOE 目的,环境目的,安全目的,IT安全要求,安全目的,桥梁作用,IT安全要求,TOE安全要求,IT环境安全要求,TOE安全功能要求,TOE安全保证要求,PP要点（续）,安全功能要求,安全保证要求,IT环境安全要求,TOE 安全目的,IT环境安全目的,ISO/IEC 15408第二部分,ISO/IEC 15408第三部分,IT安全要求,赋值、反复、选择和细化,PP要点（续）,PP应用注解：对开发、评估或使用TOE是相关的或有用的一些附加信息基本原理：对PP进行评估的依据，证明PP是一个完整的、紧密结合的要求集合，满足该PP的TOE将在安全环境内提供一组有效的IT安全对策安全目的基本原理安全要求基本原理,威胁,组织安全策略,假设,安全需求,IT安全要求,TOE 目的,环境的目的,安全目的,相互支持,支持,恰好满足,恰好满足,功能强度声明,一致,基本原理,威胁举例,T.REPLAY 重放,当截获了有效用户的识别和鉴别数据后，未授权用户可能在将来使用这些鉴别数据，以访问TOE提供的功能。,安全目的举例,O.SINUSE 单用途,TOE必须防止用户重复使用鉴别数据，尝试通过互连网络在TOE上进行鉴别。,O.SECFUN 安全功能,TOE必须提供一种功能使授权管理员能够使用TOE的安全功能，并且确保只有授权管理员才能访问该功能。,O.SINUSE,FIA_ATD.1 用户属性定义：允许为每个用户单独保存其用户安全属性。FIA_UAU.1 鉴别定时：允许用户在身份被鉴别前，实施一定的动作。FIA_UAU.4 单用户鉴别机制：需要操作单用户鉴别数据的鉴别机制。FMT_MSA.3 静态属性初始化：确保安全属性的默认值是允许的或限制某行为的。,TOE安全功能要求举例,TOE安全功能要求举例,FMT_MOF.1 安全功能行为的管理：允许授权用户管理TSF中使用规则或有可管理的指定条件的功能行为。FAU_STG.1 受保护的审计踪迹存储：放在审计踪迹中的数据将受到保护，以避免未授权的删除或修改。FAU_STG.4 防止审计数据丢失：规定当审计踪迹溢满时的行动。,O.SECFUN,PP示例,“包过滤防火墙安全技术要求”（GB 18019-99）“应用级防火墙安全技术要求”（GB18020-99）“路由器安全技术要求”（GB18018-99）“电信智能卡安全技术要求”“网上证券委托系统安全技术要求”,SSE-CMM 系统安全工程能力成熟模型,基础标准SSE-CMM,SSE-CMM背景知识,开发SSE-CMM的目的：降低开发和维护系统的花费；提高工程进度和预算的一致性；选择合适的承包者。发起者国防部；国家安全局。,SSE-CMM项目发展,1993年4月开始酝量，1996年10月出版了SSE-CMM模型的第一个版本，1997年4月出版了评定方法的第一个版本。1999年4月出版了第二版。正在申报国际标准。测评中心于1999年4月将第二版翻译成中文。,SSE-CMM项目组织,指导委员会,制定组织,应用组织,关键评审人,行业评审人,项目 主任,能力方面,能力方面,通用实施,能力级别,公共特征,增强执行任何过程能力的实现和制度化实施,一组实施列出管理和制度化过程的相同方面,共同工作的一组公共特征主要增强执行一个过程的能力,能力级别,能力级别非正式执行公共特征执行基本实施能力级别计划与跟踪公共特征计划执行规范化执行验证执行跟踪执行能力级别充分定义公共特征定义标准过程执行已定义的过程协调安全实施,能力级别定量控制公共特征建立可测的质量目标客观地管理过程的执行能力级别连续改进公共特征改进组织能力改进过程的有效性,计划执行,规范化执行,跟踪执行,定义标准过程,协调安全实施,建立可测量的质量目标,客观地管理过程的执行,改进过程的有效性,1,非正式执行,2,计划与跟踪,3,充分定义,4,量化控制,5,连续改进,执行基本实施,验证执行,执行已定义的过程,改进组织能力,公共特性,域方面,过程类,基础实施,过程区,工程和安全实施是安全工程过程中必须存在的性质，指出特殊过程区的目的并属于该过程区,每个过程区（PA）是一组相关安全工程过程的性质，当这些性质全部实施后则能够达到过程区定义的目的。,一组过程区指出活动的同一通用区,SSE-CMM过程区（PA）,管理安全控制评估影响监视影响评估威胁评估脆弱性建立保证论据协调安全监视安全态势提供安全输入指定安全要求验证和证实安全,质量保证管理配置管理项目风险监控技术活动规划技术活动定义组织的系统工程过程改进组织的系统工程过程管理产品系列进化管理系统工程支持环境提供不断发展的技术和知识与供应商协调,安全工程,安全工程分三个基本过程：风险、工程和保证风险过程是要确定产品或者系统的危险性，并对这些危险性进行优先级排序工程过程是针对面临的危险性，安全工程过程与相关工程过程一起来确定并实施解决方案保证过程是建立起对解方案的信任，并把这种信任传达给顾客,安全工程（续）,风险,工程,PA：验证和证实安全,证据,PA:建立保证论据,证据,保证论据,保证,评估结果,过程区,评定方法,为评定收集数据广泛、严格，每个数据有充分的证据决定实施安全工程过程的能力为评定定义了安全工程环境在评定巧妙地使用了SSE-CMM体系结构中的两个方面,基础标准ISO 9000族,ISO 9000族23个标准,ISO/IEC 17799 信息安全管理（BS 7799）,基础标准ISO/IEC 17799,基础标准ISO/IEC 17799,第1部分：信息安全管理实施规则（code of practice for information security management）第2部分：信息安全管理体系规范(specification for information security management systems,ISO/IEC FIDS 17799-1 BS7799-1 BS7799-1首次出版于1995年专业性极强的标准一套综合的最佳的实施规则控制范围、控制方法的参考基准欧洲和北美洲得1999年修订ISO/IEC 17799-1加入了符合性方面的要求,基础标准ISO/IEC 17799-1,基础标准ISO/IEC 17799-1,1、范围2、术语和定义3、安全策略4、安全组织5、资产分级与控制6、人员安全7、物理和环境安全8、通信和运行管理9、访问控制10、系统开发和维护11、商业连续性管理12、符合性,基础标准ISO/IEC 17799-2,ISO/IEC DIS 17799-2=BS7799-2BS 7799-2第1版出版于1998年评估一个组织全面或部分信息安全管理体系的基础，也可以作为一个正式认证方案的基础。,基础标准ISO/IEC 17799-2,建立信息管理体系的要求总则建立管理框架实施文档化文档控制记录,基础标准ISO/IEC 17799-2,控制细则安全策略安全组织资产分级和控制人员安全物理和环境安全通信和运行管理访问控制系统开发和维护商业连续性管理符合性等10项要求,应用标准,技术标准产品标准信息系统标准信息安全服务标准,中国国家信息安全测评认证标准目录,运行标准,ISO导则25ISO导则65,标准化工作,标准研究与开发标准研究标准开发标准确认认证受理阶段证书制作阶段管委会确认指导测评工作其他标准化工作,标准研究,研究标准化原理和标准文本，形成标准体系：（1）跟踪国际先进标准；（2）对现有信息安全技术标准以及信息安全技术发展趋势的研究；（3）依据国际标准化组织所颁布的或将要颁布的信息安全标准，参照美国、英国、加拿大等发达国家的信息安全标准化体系，并结合我国的具体国情，研究国家信息安全标准体系；（4）依据ISO/IEC 15408（即CC）和信息系统安全工程能力成熟模型（SSE-CMM）等研究信息安全测评认证标准体系；（5）研究ISO/IEC15408“IT安全性评估准则”和ISO/IEC PDTR15446“PP和ST产生指南”。,用户需求标准化发展需要产业界需要管理部门需要,标准制定规划,标准制定计划和大纲,标准起草，形成征求意见稿,标准制定与审定,形成送审稿,合作/独立？,调研,征求意见,标准专家组审定,管委会确认,国家标准上报,目录,CNISTEC标准室,其他先进标准,认证受理,国家标准项目,指导测评,标准研究,标准确认和指导测评,用户,证书制作阶段,测评阶段,认证受理阶段,是否在目录中,用户标准,是,通过,否,评估制定不受理,导出性测评要求测试模版/测评方案监督工具、环境、技术指标和参数、测试报告、评估报告等与标准的符合性,确认标准名称、编号、发布时间,其他标准化工作,（1）评估机构宣传（2）协助主管部门推广标准（3）授权分支机构或用户标准化知识咨询（4）PP注册，也即是维护中国国家信息安全测评认证标准目录（5）社会培训（6）学术报告，包括参见有关标准化会议,谢 谢！,