第9章操作系统安全测评.ppt

4. 第四级：结构化保护级 具体内容如下所示。 ● 自主访问控制。同第三级“安全标记保护级”。 ● 强制访问控制。TCB对外部主体能够直接或间接访问的所有资源实施强制访问控制。 ● 身份鉴别。同第三级“安全标记保护级”。 ● 客体重用。同第三级“安全标记保护级”。 ● 审计。同第三级“安全标记保护级”，但增加了审计隐蔽存储信道事件。 ● 隐蔽通道分析。系统开发者应彻底搜索隐蔽存储信道，并确定每一个被标识信道的最大带宽。 ● 可信路径。对用户的初始登录（如login），TCB在它与用户之间提供可信通信路径，使用户确信与TCB进行通信。 5. 第五级：访问验证保护级 1 TCB满足参照监视器需求，它仲裁主体对客体的全部访问，其本身足够小，能够分析和测试。在构建TCB时，要清除那些对实施安全策略不必要的代码，在设计和实现时，从系统工程角度将其复杂性降低到最小程度。 2 扩充审计机制，当发生与安全相关的事件时能发出信号。 3 系统具有很强的抗渗透能力。 测发展过程 美国橘皮书TCSEC 美国橘皮书TCSEC 美国橘皮书TCSEC 美国橘皮书TCSEC 加拿大标准 加拿大政府设计开发了自己的可信任计算机标准——加拿大可信计算机产品评估标准（Canadian Trusted Computer Product Evaluation Criteria, CTCPEC）。 CTCPEC提出了在开发或评估过程中产品的功能（functionality）和保证（assurance）。功能包括机密（confidentiality）、完整性（integrity）、可用性（availability）和可追究性（accountability）。保证说明安全产品实现安全策略的可信程度。 通用安全评价准则CC 美国联合荷、法、德、英、加等国，于1991年1月宣布了制定通用安全评价准则（Common Criteria for IT Security Evaluation，CC）的计划。1996年1月发布了CC的1.0版。它的基础是欧洲的ITSEC、美国的TCSEC、加拿大的CTCPEC，以及国际标准化组织ISO SC27 WG3的安全评价标准。1999年7月，国际标准化组织ISO将CC 2.0作为国际标准——ISO/IEC 15408公布。 CC标准提出了“保护轮廓”，将评估过程分为“功能”和“保证”两部分，是目前最全面的信息技术安全评估标准。 1. CC的目标读者 CC的目标读者主要包括TOE用户、TOE开发者和TOE评估者。其他读者包括系统管理员和安全管理员、内部和外部审计员、安全规划和设计者、评估发起人和评估机构。 用户可以利用评估结果，判断一个系统和产品是否满足他们的安全需求，可以通过评估结果比较不同的系统和产品。CC用保护轮廓为用户提供了一个独立于实现的框架，用户在保护轮廓中可提出对评估对象的特殊IT安全要求。 开发者遵照CC对系统和产品进行设计和开发，可以通过安全功能和保证证明TOE实现了特定的安全要求，每个安全要求都包含在安全目标（ST）中。 评估者遵照CC对TOE进行评估，判断TOE与安全要求的一致性，可以得到可重复的、客观的评估结果。 2. CC准则结构 第一部分: 简介和一般模型。它定义了IT安全评估的通用概念和原理，提出了评估的通用模型。它还提出了一些概念，这些概念可用来表达IT安全目的，用于选择和定义IT安全要求、书写系统与产品的高层规范。 第二部分: 安全功能要求。它建立了一系列功能组件，作为表示TOE功能要求的标准方法。 第三部分: 安全保证要求。它建立了一系列保证组件，作为表示TOE保证要求的标准方法。它也定义了保护轮廓（PP）和安全目标（ST）的评估准则，提出了评估保证级别，即评估TOE保证的CC预定义等级。 缩略语 EAL: 评估保证级（evaluation assurance level）。 IT: 信息技术（information technology）。 TOE: 评估对象（target of evaluation）。 PP: 保护轮廓（protection profile）。 TSP: TOE安全策略（TOE security policy）。 SF: 安全功能（security function）。 SFP: 安全功能策略（security function policy）。 SOF: 功能强度（strength of function）。 ST: 安全目标（security target）。 TSC: TSF控制范围（TSF scope of control）。 * * * * * * * * * * * * * * * * * * * * * * * * * * * * 计算