s20090509辛英.doc

系统评估 1 系统评估概述 0 1.1 系统评估的定义 0 1.2 形式化评估的目标 1 1.3 评估前的决策 1 2 TCSEC 2 2.1 TCSEC的需求 2 2.1.1 TCSEC的安全功能需求 2 2.1.2 TCSEC的安全保障需求 3 2.2 TCSEC评估等级 3 2.3 TCSEC评估过程 3 2.4 影响 4 2.4.1 范围的局限性 4 2.4.2 过程局限性 4 3 通用标准：1998-现在 4 3.1 方法概述 5 3.2 通用标准的需求 5 3.2.1 通用标准的安全功能需求 5 3.2.2 通用标准的安全保障需求 6 3.3 评估安全保障级别 6 3.4 评估过程 6 3.5 影响 7 4 总结 7 系统评估 1 系统评估概述 1.1 系统评估的定义 评估是一个收集安全保障证据的过程，也是针对功能性和保障性准则的分析过程。通过评估，可得到可信度的某种度量，指示系统满足标准的程度。评估时所采用的标准依赖于评估的目标以及采用的评估方法。可心计算机系统评估标准（TCSEC）是第一个被广泛采用的形式化评估方法，随后的评估方法都建立在TCSEC的基础之上，或者是对TCSEC的改进。本章介绍几种过去和现在常用的评估方法，重点讲述它们之间的差别，以及从每种方法中所吸取的经验教训。 1.2 形式化评估的目标 计算机系统最终的目标是完美的安全，但这是不可能达到的。随着计算机系统复杂性的增加，越来越难以将系统进行简化、分析，即难以采用“参考验证机制”的概念。可信系统是指在特定条件下，可满足特定安全需求的系统。可信是建立在安全保障证据的基础上的。尽管可信系统不能确保绝对的安全，但是在系统评估的范围内，它确实提供了系统可信度的基础。 形式化系统安全评估技术的发展促进了可信系统的发展。通常系统评估方法具有以下特征： 一组功能需求，定义了系统或者产品的安全功能。 一组安全保障需求，描述系统或者产品为满足功能需求而采取的若干措施。这种需求通常指定所需的安全保障证据。 一种用于确定产品或者系统是否满足功能需求的方法，这种方法简历在分析安全保障证据的基础之上。 一种针对评估结果的度量标准（成为可信度等级），它是为产品或者系统而定义的关于安全功能的需求，表明产品或者系统的可信程度。 定义1.2.1 形式化评估方法是一种基于特定的安全需求和安全保障证据，用于度量可信等级的技术。 有若干评估标准对形式化评估方法具有重大的影响，其中最主要的标准是可信计算机系统评估标准（TCSEC）和信息技术评估标准（ITSEC）。现在通用标准（CC）已经取代了这些标准而成为标准的评估方法。本章将讨论标准的各个组成部分。 即使不对系统进行系统化评估，安全功能需求和安全保障需求也能提供一种良好的总体描述，体现为提高保障性所需考虑的因素。对于任何开发过程来说，这些需要考虑的因素都十分有价值。 1.3 评估前的决策 在决定进行正式的系统评估之前，必须综合考虑安全和成本两方面的因素，例如产品推向市场的时间和产品特色的多少等因素。寻求形式化评估的组织不仅要支付评估者相应的费用，而且要承担经验丰富的专家人员的费用，以及开发安全文档和收集保障证据所需要的费用。 安全和信任不再只是政府和军事组织的专有领域，也不仅仅只是金融机构和在线商务公司关心的问题。计算机已经成为经济、医疗过程和设备、电力基础设施以及通信基础设施等领域的核心领域。现在，在大多数情况下，不安全的系统是不可接受的。为系统提供某些安全机制是一个好的开始，但是能够针对特定的安全问题提供可靠性的可信系统则更能极大地增强使用者的信心。 系统运行环境风险级别的不同，对系统的可信等级要求也不同，通过评估产品所具有的可信等级有助于找到产品可信度与环境可信度的最有组合，以更你好的满足安全需求。 2 TCSEC 可信计算机系统评估标准也称为橘皮书，是由美国政府开发的，并且是第一种重要的计算机安全评估方法。它提出了一组评估商业计算机产品安全性的标准。TCSEC定义了6种不同的评估等级，从低到高分别表示为C1、C2、B1、B2、B3和A1。每一个评估等级都包含的相应的功能需求和安全保障需求。随着评估等级的提高，功能需求和安全保障需求都会不断地增加和提高。所有评估可分为三个类别。第四个类别D用于表示那些不能达到6个的呢更集中的任意等级需求的产品。系统商可以通过选择评估等级来确定他所要达到的可信等级，否则就不能说系统是否满足功能需求或者安全保障需求。 TCSEC强调周密性，偏向于保护政府的机密信息。TCSEC提供可信度的7种级别，称为等级，也就是6个评估等级C1、C2、B1、B2、B3和A1，再加上一个附加等级D。通过评估的产品称为已定级产品。 2.1 TCSEC的需求