等级保护与CC评价-中国信息安全测评中心.DOC

一种构建通用评估平台的有效方法 李晓峰 中科院软件所信息安全国家重点实验室 摘要：本文在分析GB18336、TSCEC和GB18759的评估内容，按照GB18336对评估内容从保障和功能需求两部分划分的思路，对TCSEC和GB17859评估内容进行重新组织，并且对应到GB18336中的保障需求和功能需求，在评估中可以为TCSEC和GB17859各个等级建立相应的等级模板从保障需求库和功能需求库中提取相应的内容，而GB18336则按ST的要求提取相应内容，从而将三个标准的评估统一在一个评估平台下。 关键词：安全评估、等级保护 引言 目前在国内安全评估中，主要参照标准为《计算机信息系统安全保护等级划分准则》（GB17859－1999）和《信息技术安全性评估准则》（GB18336-2001）， GB17859－1999是参照美国的《可信计算系统评估准则》（简称TCSEC）标准制定，而安全评估标准GB18336-2001与ISO/IEC 15408-1999、加拿大、法国、美国等七个国家制定的《信息技术安全评估通用准则》（简称CC）相对应。在国内评估市场中，目前存在以两个国标为基础的多安全评估标准共存的情况，在这种情况下找到在评估中充分融合这两个标准，使得可以在一个统一的评估平台下可分别依据这两个标准对测评系统进行评估的方法，具有重要的现实意义。首先在一个统一的平台下评估可以节省评估成本。第二是GB17859制定的年限较早，较之以前，人们对于安全评估有了更加深刻的认识，同时安全保障技术也有了进一步的提高，这就要求对GB17859具体执行解释时，应该具有了新的内容和含义。第三是早期的评估标准主要以政府和军队的安全需求为基准制定的，其并未充分考虑到商业信息系统对安全的需求，而在新的标准中充分考虑到了这一点，并将其融入评估标准中。由于TCSEC在安全评估中的重要位置，此文中将TCSEC与GB17859和GB18336一起加以讨论。 文章首先分析了GB18336内容组织上的特点，以及评估的依据，然后分别分析了GB17859和TCSEC与GB18336在评估内容上的对应关系，基于上面这种对应关系，以GB18336评估思想为基础，给出一个通用评估平台的架构。 GB18336的内容组织形式 由于系统不可能达到绝对的安全，所以在系统安全设计时，只是考虑在系统的设计运行环境下使用何种安全保护措施来抵御可能的攻击，所以在安全评估中我们并不是去判定系统是否能够抵抗所有攻击，而是判断系统是否符合其设计安全目标。在GB18336中，对评估目标（简称TOE）的评估是建立在针对评估目标的安全目标文件（简称ST）的基础上，对某类的安全需求通过保护轮廓文件（PP）来描述。通常的ST是根据具体TOE的特点，在参照PP的基础上，而形成的一份设计和评估依据文档，比如数据库EAL3保护轮廓（PP）是对数据库这一类产品EAL3级安全环境、面临的威胁和所应具有的安全的功能等内容的一个概要说明，而ORACLE 8.0的ST是对ORACLE 8.0这一特定TOE的安全环境、威胁和安全功能等内容的说明，其在描述上比PP更加具体。由于PP和ST是设计和评估的基础，所以PP和ST中所描述的安全功能等内容是否能够满足其要求需要做出评估，在GB1836第三部分对PP和ST的评估做出了明确的要求。 在GB18336中对TOE的功能要求体现在ST中“TOE概要规范”部分，在评估中，通过保障类来保障TOE正确地实现了ST中描述的安全功能和安全目标，并且满足其ST中所描述的保障需求。在GB18336中，对保障的要求集中体现在安全级别中，在GB18336中评估等级的划分是以保障类为依据的，而保障类又由多个保障族组成，每一个保障族都有一个保障目标，保障族又由一个或多个保障组件组成，每一个保障组件也有一个保障目标，保障组件保障目标是为了完成保障族中保障目标而分隔出来的子目标，通过实现保障族中的保障组件保障目标而完成此保障族的保障目标。在GB18336中保障组件又是由一个个保障元素组成，保障元素分别从开发者、评估者和证据的角度对保障组件所包含的内容和评估依据进行阐述。标准中的评估保障类共分七类，分别是配置管理（ACM）、交付和运行（ADO）、开发（ADV）、指导性文档（AGD）、生命周期支持（ALC）、测试（ATE）和脆弱性评定（AVA）。评估等级和保障类之间的关系以及各个保障类中的保障组件可参见GB18336第三部分。 GB18336中的功能要求主要体现在ST中的功能规范部分，ST依据其安全目标、环境及其面临的威胁，选取相应的安全功能来抵制威胁，从而达到最终的安全目标。GB18336中安全功能类主要有11类，分别是安全审计类（FAU）、通信类（FCO）、密码支持类（FCS）、用户数据保护类（FDP）、表示和