1、中华人民共和国国家标准信息技术安全技术信息技术安全性评估准则第 部分简介和一般模型发布 实施国家质量技术监督局 发布前言本标准等同采用国际标准 信息技术安全技术信息技术安全性评估准则第部分 简介和一般模型本标准介绍了信息技术安全性评估的基本概念并给出了信息技术安全性评估的一般模型 并在附录 和附录 分别介绍了 保护轮廓 和 安全目标在总标题 信息技术安全技术信息技术安全性评估准则下由以下几个部分组成第 部分简介和一般模型第 部分安全功能要求第 部分安全保证要求本标准的附录 和附录 是提示的附录本标准的附录 和附录 是标准的附录本标准由国家质量技术监督局提出本标准由全国信息技术标准化技术委员会归
2、口本标准由中国国家信息安全测评认证中心信息产业部电子第 研究所国家信息中心复旦大学负责起草本标准主要起草人吴世忠龚奇敏陈晓桦李守鹏罗建中方关宝李鹤田吴亚飞雷利民叶红吴承荣 黄元飞任卫红 崔玉华本标准委托中国国家信息安全测评认证中心负责解释前言国际标准化组织 和 国际电工委员会 形成了全世界标准化的专门体系 作为 或成员的国家机构通过相应组织所建立的涉及技术活动特定领域的委员会参加国际标准的制定 和技术委员会在共同关心的领域里合作其他与 和 有联系的政府和非政府的国际组织也参加了该项工作国际标准的起草符合 导则第 部分的原则在信息技术领域 和 已经建立了一个联合技术委员会 联合技术委员会采纳的国
3、际标准草案分发给国家机构投票表决 作为国际标准公开发表需要至少 的国家机构投赞成票国际标准 是由联合技术委员会 信息技术与通用准则项目发起组织合作产生的 与 同样的文本由通用准则项目发起组织作为信息技术安全性评估通用准则 发表 有关通用准则项目的更多信息和发起组织的联系信息由 的附录提供在信息技术 安全技术 信息技术安全性评估准则的总标题下由以下几部分组成第 部分 简介和一般模型第 部分 安全功能要求第 部分 安全保证要求附录 和附录 构成 本部分的规范部分 附录 和附录 仅供参考以下具有法律效力的提示已按要求放置在 的所有部分在 附录 中标明的七个政府组织总称为通用准则发起组织 作为信息技术
4、安全性评估通用准则第 至第 部分 称为 版权的共同所有者在此特许 在开发国际标准中非排他性地使用 但是通用准则发起组织在他们认为适当时保留对 的使用拷贝分发以及修改的权利中华人民共和国国家标准信息技术安全技术信息技术安全性评估准则第 部分 简介和一般模型国家质量技术监督局 批准 实施范围定义了作为评估信息技术产品和系统安全特性的基础准则 由于历史和连续性的原因仍叫通用准则 通过建立这样的通用准则库使信息技术安全评估的结果能被更多的人理解针对在安全性评估过程中信息技术产品和系统的安全功能及相应的保证措施 提供了一组通用要求使各种独立的安全评估结果具有可比性 评估过程为满足这些要求的产品和系统的安
5、全功能以及相应的保证措施确定一个可信级别 评估结果可以帮助用户确定信息技术产品和系统对他们的应用而言是否足够安全 以及在使用中隐藏的安全风险是否可以容忍可用于具有信息技术安全功能的产品和系统的开发与采购指南 在评估过程中这样的产品和系统被称为评估对象 如操作系统计算机网络 分布式系统以及应用等涉及信息保护以避免未经授权的信息泄露修改和无法使用与此对应的保护类型通常分别称之为保密性 完整性和可用性 除上述三个方面外 还适用于信息安全的其他方面 重点考虑人为的信息威胁无论其是否是恶意的 但 也可用于非人为因素导致的威胁 此外 还可适用于其他信息技术领域但对严格意义上信息技术安全之外的领域 不做承诺
6、适用于硬件 固件和软件实现的信息技术安全措施 当一些特定的评估仅适用于某些实现方法时这一点将在相关的准则说明中注明某些内容因涉及特殊的专业技术或仅是信息技术安全的外围技术不在 的范围内 例如不包括那些与信息技术安全措施没有直接关联的属于行政性管理安全措施的安全评估准则 但是应该认识到 安全的重要部分是通过诸如组织的 个人的物理的 程序的监控等行政性管理安全措施来实现的 当行政性管理安全措施影响到信息技术安全措施对抗确定威胁的能力时 这类管理安全措施在 的运行环境中被认为是 安全使用的前提条件对于信息技术安全性的物理方面 诸如电磁辐射控制 的评估 虽然 的许多概念是适用的但并不专门针对该领域然而
7、也会专门涉及 物理保护的一些方面并不涉及评估方法学 也不涉及评估机构使用本规则的管理模式或法律框架但希望 能在具有这样的框架和方法论的环境中用于评估评估结果用于产品和系统认可的过程不属于 的范围 产品和系统的认可是行政性的管理过程 据此授权信息技术产品和系统在其整个运行环境中投入使用评估集中于产品和系统的信息技术安全部分以及直接影响到安全使用信息技术要素的那些运行环境 因而评估结果是认可过程的有效依据但是当其他技术更适合于评价非信息技术相关的系统或产品的安全特性及其与信息技术安全部分的关系 认可者应分别作出这些方面的认可不包括密码算法固有质量评价准则 如果需要对嵌入 的密码数学特性进行单独的评
8、价 则在使用 的评估体制中必须提供这样的评价引用标准下列标准所包括的条文通过在本标准中引用而构成为本标准的条文 本标准出版时所示版本均为有效 所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性信息处理系统 开放系统互连 基本参考模型第部分安全体系结构定义通用缩略语以下缩略语在 各部分中通用通用准则评估保证级信息技术保护轮廓安全功能安全功能策略功能强度安全目标评估对象控制范围安全功能接口安全策略术语表的范围本条只收录在 中有特殊用法的术语 在 中使用的大多数术语 或根据普遍接受的词典定义或根据普遍接受的 或 安全术语定义或根据熟知的安全性术语定义 在 中一些不便于定义的 由通用
9、术语组合成的复合词 将在使用他们的地方进行解释 在 第 部分和第 部分的范例章条中可以见到术语和概念的解释术语表资产由 安全策略保护的信息或资源赋值规定组件中的一个特定参数保证实体达到其安全性目的的信任基础攻击潜力可察觉的成功实施攻击的可能性 如果发起攻击其程度用攻击者的专业水平 资源和动机来表示增强将 第 部分若干个保证组件加入到 或保证包中鉴别数据用于验证用户所声称身份的信息授权用户依据 可以执行某项操作的用户类具有共同目的的子类的集合组件可包含在 或一个包中的最小可选元素集连通性允许与 之外的 实体进行交互的 特性包括在任何环境和配置下通过任意距离的有线或无线方式的数据交换依赖关系各种要
10、求之间的关系 一种要求要达到其目的必须依赖另一种要求的满足元素不可再分的安全要求评估依据确定的准则对 或 的评价评估保证级由 第 部分中保证组件构成的包该包代表了 预先定义的保证尺度上的某个位置评估管理机构依据评估体制在特定团体中贯彻 确定标准和监督团体内各种评估质量的管理机构评估体制指导评估管理机构在特定团体中使用 的管理与法定框架扩展把不包括在 第 部分中的功能要求或第 部分中的保证要求增加到 或 中外部 实体在 之外与其交互的任何可信或不可信的 产品或系统子类一组具有共同安全目的但侧重点或严格性可能不同的组件的集合形式化在完备数学概念基础上采用具有确定语义并有严格语法的语言表达的个人用户
11、与 交互的任何个人身份能唯一标识一个授权用户的表示 比如字符串 它可以是全名缩写名或假名非形式化采用自然语言表达的内部通信信道中各分离部分间的通信信道内部传送中各分离部分之间的数据通信间传送与其它可信 产品安全功能之间的数据通信反复一个组件在不同操作中多次使用客体在 中由主体操作的 包含或接收信息的实体组织安全策略组织为保障其运转而规定的若干安全规则 过程规范和指南包为了满足一组确定的安全目的而组合在一起的一组可重用的功能或保证组件 如产品软件固件或硬件的包 其功能用于或组合到多种系统中保护轮廓满足特定用户需求 与一类 实现无关的一组安全要求参照监视器执行 访问控制策略的抽象机概念参照确认机制
12、具有以下特性的参照监视器概念的一种实现防篡改一直运行 简单到能对其进行彻底的分析和测试细化为组件添加细节角色一组预先确定的规则 规定在用户和 之间许可的交互秘密为了执行特定 必须只能有授权用户或 才知晓的信息安全属性用于执行 的与主体 用户或客体相关的信息安全功能为执行 中一组紧密相关的规则子集而必须依赖的部分安全功能策略执行的安全策略安全目的意在对抗特定的威胁 满足特定的组织安全策略和假设的陈述安全目标作为指定的 评估基础的一组安全要求和规范选择从组件的项目表中指定一项或几项半形式化采用具有确定语义并有严格语法的语言表达的功能强度安全功能的一种指标 表示通过直接攻击其基础安全机制 攻破所设计
13、的安全功能所需要的最小代价基本级功能强度一种 功能强度级别 分析表明本级别安全功能足够对抗低潜力攻击者对 安全的偶发攻击中级功能强度一种 功能强度级别 分析表明本级别安全功能足够对抗中等潜力攻击者对 安全直接或故意的攻击高级功能强度一种 功能强度级别分析表明本级别安全功能足够对抗高等潜力攻击者对 安全有计划有组织的攻击主体在 中实施操作的实体系统具有特定目的和运行环境的专用 装置评估对象作为评估主体的 产品及系统以及相关的管理员和用户指南文档资源中可用或可消耗的所有东西安全功能正确执行 所必须依赖的 全部硬件软件和固件的集合安全功能接口一组交互式人机接口或编程 应用编程接口 接口 通过它 访问
14、调配 资源或者从中获取信息安全策略规定 中资产管理 保护和分配的一组规则安全策略模型执行的安全策略的结构化表示控制外传送与不受 控制的实体交换数据可信信道和远程可信 产品间的一种通信方式 该方式对 的支持具有必要的置信度可信路径用户和 间的一种通信方式该方式对 的支持具有必要的置信度数据产生的或为 产生的数据 这些数据可能会影响 的操作控制范围可与 或在 中发生的并服从 规则的交互集合用户在 之外与 交互的任何实体 个人用户或外部 实体用户数据由用户产生或为用户产生的数据 这些数据不影响 的操作概述本章介绍 的主要概念 确定目标读者评估环境和组织材料的方法引言产品和系统拥有的信息是能使组织成功
15、完成其任务的关键资源 此外人们也要求保护 产品和系统内的私人信息的私密性可用性 并防止未授权的更改 当对信息进行正确控制以确保它能防止冒险 诸如不必要的或无保证的传播 更改或遗失 产品和系统应执行它们的功能 安全 用于概括预防和缓解这些及类似的冒险许多 用户缺乏判断其 产品和系统的安全性是否恰当的知识 经验和资源 他们并不希望仅仅依赖开发者的声明 用户可借助对 产品和系统的安全分析 即安全评估来增加他们对其安全措施的信心可用来选择恰当的 安全措施它包括了评估安全需求的准则的目标读者有三组都关心 产品和系统的安全性评估的读者 用户 开发者和 评估者 中提出的准则从文档结构上支持所有三个组的需求他
16、们都被认为是 的主要使用者 正如下文所述这三个组都能从该准则中受益用户当用户选择 安全要求来表达他们的组织需求时 起到重要的技术支持作用 从写作安排上确保评估满足用户的需求因为这是评估过程的根本目的和理由用户可以用评估结果来决定一个已评估的产品和系统是否满足他们的安全需求 这些需求通常是风险分析和政策导向的结果 分等级的保证要求 使用户可以用评估结果来比较不同的产品和系统为用户 尤其是用户群和利益共同体提供一个独立于实现的框架 称为保护轮廓 用户在保护轮廓里表明他们对评估对象中的 安全措施的特殊需求开发者也为开发者在准备和协助评估产品或系统以及确定每种产品和系统要满足的安全需求方面提供支持 只
17、要有一个相关的评估方法和双方对评估结果的认可协定 还可以在准备和协助开发者的评估方面支持除 开发者之外的其他人结构还可以通过评估特定的安全功能和保证来声称 符合特定的安全需求 每一个的需求都包含在一个名为安全目标 的与实现相关的概念中 广大用户的需求由一个或多个 提供描述的安全功能可被开发者包括在 内 可用来确定责任和行为以支持 评估所必要的证据它也定义证据的内容和表现形式评估者包含评估者判定 与其安全需求一致时所使用的准则 用于描述评估者通常执行的一系列行为和执行这些行为所基于的安全功能 值得注意的是 没有规定执行这些行动的过程其他读者由于 面向 的 安全特性的规范和评估 它也可以作为对 安
18、全有兴趣或有责任的所有团体的参考资料 其他能够从 所包含的信息中获益的群体有系统管理员和系统安全管理员 负责确定和达到组织的 安全策略和需求内部和外部审计员 负责评定系统安全性能是否充分安全规划和设计者 负责规范 系统和产品的安全内容认可者负责认可一个 系统在特定环境中的使用评估发起者 负责请求和支持一个评估评估机构负责管理和监督 安全评估程序评估上下文为了使评估结果达到更好的可比性 评估应在权威的评估体制框架内执行该框架规定了标准监控评估质量并管理评估的工具以及评估者必须遵守的规则并不规定对管理框架的要求 但是不同评估机构的管理框架必须是一致性的以使这样的评估结果可以互认 图 描述了构成评估
19、上下文的主要部分图 评估上下文通用评估方法学有助于提供结果的可重复性和客观性 但仅靠方法学本身不够充分许多评估准则需要使用专家判断和一定的背景知识 而这些更难达到一致 为了增强评估结果的一致性最终的评估结果应提交给一个认证过程 该过程是一个针对评估结果的独立的检查过程 并生成最终的证书或正式批文 该证书通常是公开的 要说明的是 认证过程是使得 安全准则应用得到更好一致性的一种手段评估体制 方法学和认证过程是管理评估体制的评估机构的责任不属 的范围的文档组织由一系列不同但又相互关联的部分组成 这些部分描述中所用的术语在第 章解释第 部分简介和一般模型是 的简介 它定义了 安全评估的一般概念和原理
20、并提出了评估的一般模型 第 部分也提出了若干结构这些结构可用于表达 安全目的用于选择和定义安全要求 以及用于书写产品和系统的高层次规范 另外 每一部分都针对该部分目标读者来陈述第 部分 安全功能要求建立一系列功能组件作为表达 功能要求的标准方法 第 部分列出了一系列功能组件子类和类第 部分 安全保证要求建立一系列保证组件作为表达 保证要求的标准方法 第 部分列出一系列保证组件子类和类 第 部分也定义了 和 的评估准则并提出了评估保证级 即定义了评定 保证的 预定义尺度 这被称为评估保证级为支持上面所列的 的三个部分将出版其他类型的文档 包括技术上的基本原理和指导文档表 列出了主要的三组读者及其
21、可能感兴趣的 内容表 使用指南用户 开发者 评估者第 部分 用于了解背景信息和参考 的指导性结构 用于了解背景信息开发安全要求和形成 的安全规范的参考 用于了解背景信息和参考 和 的指导性结构第 部分 在阐明安全功能要求的描述时用作指导和参考 用于解释功能要求和生成 功能规范的参考 当确定 是否有效地符合已声明的安全功能时 用作评估准则的强制性描述第 部分 用于指导保证需求级别的确定 当解释保证要求描述和确定的保证措施时用作参考 当确定 的保证和评估 和 时用作评估准则的强制描述一般模型本章提出了贯穿 使用的一般概念其中也包括使用这些概念的上下文 以及 使用这些概念的方法 第 部分或第 部分在
22、使用这些概念的基础上进一步展开并假设使用了本章描述的方法 本章假定读者已具备 安全的一些知识并非作为该领域的教材用一系列安全性概念和术语来讨论安全性 对这些概念和术语的理解是有效运用 的前提条件 但是这些概念本身又是相当通用的无意将这类 安全的问题限于 应用安全上下文一般安全上下文安全涉及保护资产不受威胁 威胁可依据滥用被保护资产的可能性进行分类应该考虑所有的威胁类型 但在安全领域内与恶意的或其他人类活动相关的威胁应给予更多的重视 图 说明了高层次概念和关系图 安全概念和关系保护关注的资产是那些对资产赋予价值的所有者的责任 实际或假定的威胁主体对资产也赋予了一定的价值 并希望以违背所有者初衷的
23、方式滥用资产 所有者将会意识到这种威胁可能致使资产损坏 对所有者而言资产中的价值将会降低 安全性损坏一般包括但又不仅包括以下几项 资产破坏性地暴露于未授权的接收者丧失保密性 资产由未授权地更改而损坏 丧失完整性 或资产的访问权被未授权地剥夺丧失可用性资产所有者应分析可能的威胁并确定哪些存在于他们的环境 其结果就是风险 这种分析会有助于对策的选择 以应对风险并将其降低到一个可接受的水平对策用以减少脆弱性并满足资产所有者的安全策略直接或间接的为其他部分提供引导 在对策使用后仍会有残留的脆弱性这些残留的脆弱性仍可以被威胁者利用 从而造成了资产的残余风险 资产所有者会通过给出其他的约束来寻求最小的残余
24、风险在资产所有者将其资产暴露于特定威胁之前 所有者需要确信其对策足以应付面临的威胁 所有者自己可能没有能力对对策的所有方面加以判断但可以寻求对对策的评估 评估结果是对保证性可达到程度的描述即信任对策能用于降低所保护资产的风险 该描述还将对策的保证性进行分级 保证性是对策的特性 这种特性是信任正确操作的基础资产所有者可以根据此描述决定是否接受将资产暴露给威胁所冒的风险 图 说明了这种关系图 评估概念和关系通常资产所有者应当对资产负责 并应能对作出接受暴露资产于威胁前的决定进行论证 这就需要上述评估结果是可以论证的 那么 评估应产生客观的 可重复的可被引用作证据的结论信息技术安全环境许多资产是以信
25、息的形式被 产品或系统所储存 处理和传送 以满足信息所有者的需求 信息所有者可能会要求严格控制任何对此类信息数据的传播和修改 他们可能会要求 产品或系统实现某些专门的 安全控制 作为所采用的对付数据威胁的部分对策为了满足特定的需要而获取和建造 系统 出于经济上的原因 往往充分利用现有常用的 产品 如操作系统 通用组件和硬件平台 一个系统实现的 安全对策可能利用低层 产品的功能 并依赖于对 产品安全功能的正确操作 所以 产品评估也可以作为 系统安全评估的一部分当一个 产品可以集成到 或被考虑集成到多个 系统时 该产品安全方面的评估可独立进行并建立一个被评估的产品目录 这样做更经济 这种评估的结果
26、应支持产品在多个 系统中的应用 避免不同系统中为检查产品的安全性进行不必要的重复工作一个 系统的认可者在确定 和非 对策是否为数据提供了适当保护方面 与信息所有者的权力相当 并可决定是否允许系统运行 该认可者可以要求对 对策进行评估以确定 对策是否提供充分的保护以及指定的对策是否被 系统正确实现 这类评估可以采取不同的形式和严格程度这取决于所使用的规则或认可者方法对 安全性的信任是通过开发 评估和操作过程中的各种措施获得的开发不规定任何特定的开发方法和生命周期模型图 描述了安全要求和评估对象之间关系的基本假设 该图用于提供讨论的基础 不应理解为某一种方法如瀑布法比另一种方法 如原型法 更优越重
27、要的是 在开发阶段建立的安全要求对满足用户的安全目的意义重大 除非在开发过程的开始阶段确定合适的需求 否则即便用再好的工程方法 其最终产品也不能达到预期用户的目的该过程的基础是将安全要求细化为安全目标中的 概要规范 每个低层次的细化代表具有更为详细设计的设计分解 最低的抽象表示是 实现本身并不规定一套专有的设计表示方法 的要求应有充分的设计表达方法 该方法应在需要时以足够详细的程度表明每个层次的细化是更高层次的完全实例化 这就是说 所有 的高层次抽象定义的安全功能 特性和行为都必须在低层次上明确体现每个层次的细化是更高层次的精确实例化 这就是说 不存在低层次抽象定义的功能 特性和行为不为高层次
28、定义所需要的保证准则区分诸如功能规范 高层设计 低层设计和实现等抽象层次 依据规定的保证级 可能要求开发者表明开发方法是如何满足 保证要求的图 评估对象开发模型评估图 描述的 评估过程可能与开发过程同步进行或随后进行 评估过程的主要输入有一系列 证据包括作为 评估基础的评估过的需要评估的评估准则 方法学和体制另外说明性材料例如 的应用注释和评估者及评估组织的 安全专业知识也常用来作为评估过程的输入图 评估过程评估过程的预期结果是对 满足 中安全要求的确认其形式是评估者依据评估准则对得出的一个或多个记载调查结果的报告 这些报告对 产品或系统的实际用户和潜在用户非常有用 对开发者也同样有用通过评估
29、获得的信任度依赖于所达到的保证要求 即评估保证级评估通过两种途径促成产生更好的安全产品 评估意在发现 错误或脆弱性以便开发者纠正从而减少在以后操作中安全失效发生的可能性或为了迎接严格的评估开发者在 设计和开发时会更加细心 因此评估过程对最初需求开发过程最终产品以及操作环境产生强烈的 虽然是间接的但又是积极的影响运行用户可选择评估后的 用在他们的环境中 一旦运行 可能出现以前未知的错误或脆弱性 或者需要修改对环境的假设 作为运行的结果可以通过反馈要求开发者修改 或重新定义它的安全要求和环境假设 这些变化可能要求重新评估 或加强其运行环境的安全性 在一些情况中只需评估需要修改部分以便重获对 的信赖
30、 尽管 中包括了保证性维护准则 但并不包括重新评估的详细过程以及评估结果的重复使用安全概念在支持安全 开发和评估的工程过程和管理框架的方面 评估准则是最有用的 本条仅提供例证和指导并不限制可能使用 的分析过程开发方法评估体制当使用 并且考虑到 元素保护资产的能力时 才适用 为了表明资产是安全的 安全考虑必须体现在所有层次的表述中包括从最抽象到在其运行环境中的最终 实现 这些表述层次 如下面章条所描述可以用来表征和讨论安全问题但这些层次本身并不表明最终的 实现真实地具有所要求的安全行为或是可信的要求在某层次上的表述包含在该层次上 描述的原理 即该层次必须包含一个合理的 令人信服的论据 以表明它和
31、更高层次一致 而且它是自我完备的 正确的并且内在一致的 陈述与邻近更高级别描述相一致的基本原理将有助于 的正确性 直接表明与安全目的相一致的基本原理 在对抗威胁和执行组织安全策略的有效性方面提供支持如图 所述 将表述分成不同的层次 阐明了一种方法 通过它在开发一种 或 时就能导出安全要求和规范 所有 安全要求从根本上均来源于对 的用途和环境的考虑 该图并不限制 和 的开发方法 而在于阐明一些分析方法的结果是怎么与 和 的内容相联系的安全环境安全环境包括所有明确相关的法规组织安全政策习惯专门技术和知识因此它定义了 使用的背景和规则 安全环境也包括环境里固有的或外来的安全威胁为建立安全环境 或 的
32、作者必须考虑以下几点物理环境指所有与 安全相关的 运行环境包括已知的物理和人员的安全配置保护需要资产 指由执行安全要求 安全策略的 元素来保护的资产这可包括可直接相关的资产如文件和数据库 也包括间接受安全要求保护的资产 如授权凭证和 实现本身用途说明产品类型和可能的 用途安全策略 威胁和风险的调查将作出下列有关 安全的专门陈述假设的陈述 如果环境满足该假设 可以被认为是安全的 对 评估而言该陈述可以作为公理而接受资产安全威胁的陈述该陈述应指明 相关的安全分析中发现的所有威胁 使用下述词汇表征一个威胁即威胁主体 假定的攻击方法作为攻击基础的任何脆弱性和被攻击的资产名称 安全风险的评价包括每一种威
33、胁实际发生的可能性该威胁成功实施的可能性以及可能造成的破坏后果组织安全策略的陈述 该陈述将明确相关的策略和规则 对一个 系统 可明确提及这样的策略 然而对通用的 产品或产品类 则需要做出关于组织安全策略的相应工作假设图 要求和规范的导出安全目的安全环境的分析结果可用来陈述对抗确定的威胁并说明确定的组织安全策略和假设的安全目的安全目的应与已说明的 运行目标或产品用途以及有关的所有物理环境知识相一致确定安全目的的意图是为了阐明所有的安全考虑并指出哪些方面是直接由 处理还是由它的环境来处理 这种归类的基础是以工程判断 安全策略经济因素和可接受的风险决策相整合的过程环境安全目的应在 领域内用非技术的或
34、程序的方式来实现安全要求只针对 及其 环境的安全目的安全要求安全要求是将安全目的细化为一系列 及其环境的安全要求一旦这些要求得到满足就可以保证 达到它的安全目的在不同种类功能要求和保证要求下提出安全要求功能要求从用于支持 安全的那些 功能中征集并定义期望的安全行为 第部分定义了 的功能要求例如标识 鉴别安全审计以及原发抗抵赖功能当 包括由概率或排列机制 例如口令和散列函数 实现的安全功能时保证要求应规定与宣称的安全目的一致的最小强度等级 此时等级可为基本级功能强度中级功能强度 高级功能强度中的任一个 要求这样的功能满足最小的级别或至少是可选择定义的专门等级对给定的一组功能要求的保证程度可以改变
35、所以通常它以保证组件构建的严格程度递增的方式来表示 第 部分使用这些组件定义了 的保证要求和一个评估保证级的尺度 保证要求包含了开发者行为产生的证据以及评估者行为 例如对开发过程的严格性约束 以及要求查找并分析潜在安全脆弱性的影响通过合理选择的安全功能可以确保达到一定的安全目的 这种保证来源于以下两个因素对安全功能正确实现的信任也就是评估它们是否被正确实现对安全功能的有效性的信任也就是评估它们是否确实满足所陈述的安全目的安全要求通常包括出现期望行为和避免不期望行为 通过使用或检验 一般可以证明存在的期望行为 但并不总是能明确证明不存在不期望行为检验 设计评审 实现评审非常有助于减少存在不期望行
36、为的风险 基本原理陈述有助于证明不存在不期望的行为概要规范在安全目标 中提供的 概要规范定义了 安全要求的实例化 它提供满足功能要求的高层次安全功能定义以及确保满足保证要求的措施实现实现是基于 的安全功能要求和 中 概要规范的实现 实现是通过一个应用安全和 工程的技巧和知识的过程来达到的 如果正确有效地实现了 中包含的所有安全要求将达到其安全目的描述材料提出了进行评估的框架 通过对证明和分析提出要求 可以得到更为客观 有用的评估结果包括了一系列通用结构和一种能表达与 安全相关方面交流的语言并使得那些负责 安全的人能从以前的经验和他人的专门技术中获益安全要求的表达定义了一系列结构这些结构将已知有
37、效的安全要求构成有意义的组合体 这些组合体可用来为预期的产品和系统建立安全要求 表达安全要求的不同结构之间的关系将在下面描述 见图图 要求的组织和结构安全要求以类 子类 组件这种层次结构组织 以帮助用户定位特定的安全要求对功能和保证方面的要求 使用相同的风格 组织方式和术语类类是安全要求的最高层次组合一个类中所有成员关注同一个安全焦点 但覆盖的安全目的范围不同类的成员被称为子类子类子类是若干组安全要求的组合 这些要求共享同样的安全目的 但在侧重点和严格性上有所区别子类的成员被称为组件组件组件描述一个特定的安全要求集它是 结构中最小的可选安全要求集 子类内具有相同目的的组件 部分以安全要求强度或
38、能力递增的顺序排列 部分以相关的非层次关系的方式组织 在某些实例中 一个子类只有一个组件 因而是不可能排序的组件由单个元素组成 元素是安全要求最低层次的表达 并且是能被评估验证的不可分割的安全要求组件间的依赖组件间可能存在依赖关系 当一个组件无法充分表达安全要求并且依赖于另一个组件的存在时就产生依赖关系 依赖关系可以存在于功能组件之间 保证组件之间功能和保证组件之间组件间依赖关系描述是 组件定义的一部分 为了保证达到 要求的完备性 当把组件加入到适当的 和 中时 应满足相应的依赖关系组件允许的操作组件可以像在 中定义的那样使用或者通过使用组件允许的操作 对组件进行裁剪 以满足特定的安全策略或对
39、抗确定的威胁 每一个 组件标识并定义了组件是否允许 赋值和选择 操作在哪些情况下可对组件使用这些操作以及使用这些操作的后果 任何一个组件均允许 反复 和 细化操作 这四个操作如下所述反复在不同操作时多次使用同一组件赋值在使用组件时 规定待填入的参数选择从组件项目表中选定若干项细化 在使用组件时 增加额外的细节一些需要的操作可以在 内完成 整体或部分地 或者留在 内完成不过所有操作必须在内完成安全要求的使用定义了三种类型的要求结构 包 和 还定义了一系列表达大多数团体需求的 安全准则作为主要的专业知识用于产生上述结构 开发 的中心观念是尽可能使用 中所定义的安全要求组件 这些组件都代表众所周知
40、易于理解的领域 图 表明了这些不同结构间的关系包包是组件的特定组合 包可以描述一组满足部分指定安全目的的功能和保证要求 包可重复使用可用来定义那些公认有用的对满足特定安全目的有效的要求 包可用于构造更大的包 和评估保证级 是在 第 部分中预先定义的保证包 一个保证级是评估保证要求的一个基线集合 每一评估保证级定义一套一致的保证要求 合起来评估保证级构成一个预定义保证级尺度图 安全要求的应用保护轮廓保护轮廓 包含一套或来自 或明确阐述的安全要求它应包括一个评估保证级 可能增加附加的保证组件 可以对一组 的安全要求做与实现无关的描述 这些要求是同安全目的完全一致的 可反复使用 还可用来定义那些公认
41、有用的 对满足特定安全目的有效的 功能和保证要求 也包括安全目的和安全要求的基本原理的开发者可以是用户团体 产品开发者或其它对定义这样一系列通用要求有兴趣的团体为用户提供了一套引用一组特定安全要求的方法并有助于将来对这些要求进行评估安全目标安全目标 包括一系列安全要求 这些要求可以引用 可以直接引用 中的功能或保证组件也可以明确阐述 可以对特定 的安全要求进行描述通过评估可以证明这些要求对满足指定目的是有用当然和有效的包括 的概要规范 同时还包括安全要求和目的以及它们的基本原理 是所有团体对提供什么样的安全性达成一致的基础安全要求的来源安全要求可以通过使用下列输入来构造已有的的安全要求可用来充
42、分地表达或完全满足 中的 安全要求已有的 可以作为一个新 的基础已有的包或 中部分 安全要求可能已在一个被使用的包中表述过了第 部分定义的 是一组预定义的包 或 的 保证要求应包括第部分的某个已有的功能或保证要求组件或 中的 功能或保证要求可以用 第 部分或第 部分的组件直接表达扩展的要求第 部分没有的功能要求或第 部分没有的保证要求可以包括在 或 中应尽可能使用 第 部分或第 部分已有的安全要求 使用已存在的 有助于保证满足一组公认的已知用途的要求 进而有利于 被广泛认可评估类型评估评估是依照 第 部分的 评估准则进行的其目标是为了证明 是完备的 一致的技术合理的 并适合于表达一个可评估的
43、要求评估针对 的 评估是依照 第 部分的 评估准则进行的 评估具有双重目标 首先是为了证明 是完备的 一致的技术合理的因而适合于作为相应 评估的基础 其次当某一 宣称与某一 一致时 证明 正确满足 的要求评估评估是使用一个已经评估过的 作为基础 是依照 第 部分的评估准则进行的 这样的评估目标是为了证明 满足 中的安全要求保证的维护依照 第 部分提到的评估准则以一个已评估的 为基础 进行 保证的维护其目的是确保 中已建立的保证得到维持并当 或其环境发生变化时 将继续满足它的安全要求通用准则要求和评估结果引言本章给出 和 评估的预期结果 或者 评估将分别产生评估过的 或 目录评估将产生在 评估框
44、架中使用的中间结果 见图图 评估结果评估过程应能产生出能引为证据的客观的和可重复的结果 甚至当没有绝对客观的尺度描述安全评估结果时也应如此 存在一套评估标准是评估的必须前提 这样的评估才可以得到有意义的结果 并且也提供了评估机构之间的对评估结果互认的基础 但标准的应用中包含了主观的和客观的因素这也是对 安全不可能进行精确的和通用评定的原因与 有关的评定代表了对 的安全特性进行专门考察时的裁决 这种评定并不保证在任何特殊的应用环境下 的适用性 在特定应用环境下使用一个 的决策应基于对多个安全因素的考虑包括评估裁决保护轮廓和 安全目标的要求定义了一套能满足许多团体需求的 安全准则 是围绕这样一个中
45、心观点开发的 即在和 中描述 的安全要求时 尽可能使用 第 部分的安全功能组件和第 部分的及保证组件因为它们是公认的和已被理解的也意识到可能需要未列出的功能和保证要求以完整表达对 安全的要求 以下内容适用于包容这些扩展的功能和保证要求和 中包容的任何扩展的功能或保证要求必须清晰和明确地表达以便评估和证实 可以参照已有的 功能和安全组件描述的详细程度和方式应声明评估结果是通过使用扩展功能或保证要求得到的组合在 或 中的扩展功能或保证要求应满足 第 部分中 或 类的要求评估结果包括有评估准则以便评估者说明一个 是否完备 一致 技术上正确 因而适用于对可评估的 要求进行描述的评估结果为通过不通过 通
46、过评估的 才能登记注册内的要求包含评估准则 以便评估者判定 是否满足了 中描述的安全要求 在 的评估中利用 评估者能够说明的指定安全功能是否满足功能要求进而有效地达到 的安全目的的指定安全功能是否正确地实现的安全要求定义了公认的 安全评估标准适用的工作领域 一个 的安全要求如果只使用 中的功能和保证要求进行描述该 可以按照 进行评估 使用没有包含 的保证包时必须说明其理由不过也存在这样的可能 无法直接使用 描述 安全要求 意识到了评估这样 的必要性但是附加要求属于 的公认的适用领域之外 因此 这种评估的结果应作相应声明 这种声明会使评估结果不为相关评估机构广泛接受的评估结果应包括与 一致性的陈
47、述 运用 的术语描述 的安全将使 间在安全特性上进行一般意义的比较成为可能评估结果评估结果应说明对 满足指定要求的可信程度的评估结果为通过 或不通过 通过评估的 才能登记注册评估结果的声明评估的 通过结果应说明对 或 满足指定要求的可信程度评估结果应分别针对 第 部分功能要求 第 部分保证要求或直接针对 按下列进行说明第 部分一致 当功能要求只建立在第 部分的功能组件上 或 是第 部分一致的第 部分扩展 如果功能要求包含有第 部分中没有的功能组件 或 是第 部分扩展的第 部分一致 如果保证要求是以 或保证包形式存在的 而该 或保证包只基于第部分中的保证组件 或 是第 部分一致的第 部分增强 如
48、果安全要求是以 或保证包形式存在的并加上第 部分中其他保证组件 或 是第 部分增强的第 部分扩展 如果安全要求是以 形式存在的而 又是与第 部分之外的附加的保证要求相联系的或以保证包形式存在的 该包有 或完全是第 部分之外的保证要求 或是第 部分扩展的一致 只有当 与 的所有部分一致时它才是 一致的评估结果的应用对评估结果的使用而言 产品和系统是不同的 图 表明处理评估结果的选择方式 产品可以被评估 并按聚集程度连续递增排列编目直至达到可操作的系统水平 此时它们就可以进行与系统认可相关的评估的开发需要相应考虑到所吸收的已评估产品和所引用 的安全属性随后的 评估会产生一系列的评估结果这些结果记录
49、了评估的裁决对有广泛用途的 产品评估后 应将评估结果的概要列入已评估产品的目录以使它在广阔的安全 产品市场中可用当 已包含或将包含在一个面对评估并且已安装妥当的 系统中它的评估结果对系统认可者是可用的 当认可者使用组织专用的认可准则 而认可准则要求进行 评估时应考虑 的评估结果 评估结果是系统认可过程的输入之一 以作出是否接受系统运行风险的决策图 评估结果的应用附录提示的附录通用准则项目通用准则项目的背景是一系列对评估准则开发的努力的结果这些准则用于评估在国际团体内应用广泛的 安全性 在 年代早期美国开发了可信计算机系统评估准则 在随后的十年里 不同的国家都开始启动开发建立在 概念上的评估准则这些准则更灵活更适应了 技术的发展在欧洲信息技术安全评估准则 版于 年由欧洲委员会在法国德国荷兰和英国的联合开发后公开发表 在加拿大加拿大可信计算机产品评估准则 版作为 和的结合于 年公开发表 在美国信息技术安全联邦标准 草案 版也在 年公开发表它是结合北美和欧洲有关评估准则概念的另一种方法国际标准化组织 从 年开始开发通用的国际标准评估准则 新的标准是对全球 市场上对互认标准化安全评估
