信息安全测评与认证 - 中国信息安全产品测评认证中心

信息安全测评与认证 

王贵驷高级工程师 

wanggs@itsec.gov.cn 

中国信息安全产品测评认证中心 

副主任 

中国计算机学会理事 

中国信息产业商会信息安全产业分会 

副理事长 

二 ○○ 二年五月

主要内容 

一、国家信息安全测评认证体系 

二、信息安全测评认证标准 

三、认证中心的四种业务 

四、通用信息系统安全性测评过程 

五、CA 系统安全性测评认证

一、国家信息安全测评认证体系介绍 

1、、信息安全测评认证的背景 

2、、我国信息安全测评认证体系的基本情况 

3、、信息安全测评认证工作的进展

1、、信息安全测评认证的背景 

(1)) 对信息安全问题的认识 

(2)) 信息安全事关国家的安全 

(3)) 国外信息安全测评认证体系

(1)) 对信息安全问题的认识 

• 互联网的迅速发展直接牵动了科技创新、信息产业 

的发展和知识经济的勃兴 ; 信息网络已逐渐成为经 

济繁荣、社会稳定和国家发展的基础 

• 信息化深刻影响着全球经济的整合、国家战略的调 

整和安全观念的转变 

• 全球化和信息化的潮流 , 给我国带来了难得的发展 

机遇 , 同时也在国际斗争和国家安全方面提出了严 

峻的挑战。信息安全问题已从单纯的技术性问题变 

成事关国家安全的全球性问题

信息安全问题之一 : 

通信保密问题 

• 40 年代 -70- 

年代 

• 重点是通过密码技术解决通信保密问题 , 保证数据 

的保密性与完整性 

• 主要安全威胁是搭线窃听、密码学分析 

• 主要保护措施是加密 

• 重要标志 

– 1949 年 Shannon 发表的《保密通信的信息理论》 

– 1977 年美国国家标准局公布的数据加密标准 (DES( 

DES) 

– 1976 年由 Diffie 与 Hellman 在 “New Directions in 

Cryptography” 一文中提出了公钥密码体制 

• 参考资料 :Bruce: 

Schneier 的 ‘Applied 

Cryptography’, 中译本为《应用密码学》

信息安全问题之二 : 

计算机系统安全问题 

• 70-80 

年代 

• 重点是确保计算机系统中硬件、软件及正在处理、 

存储、传输信息的机密性、完整性和可控性 

• 主要安全威胁扩展到非法访问、恶意代码、脆弱口 

令等 

• 主要保护措施是安全操作系统设计技术 (TCB( 

TCB) 

• 主要标志是 1985 年美国国防部公布的可信计算机系 

统评估准则 (TCSEC( 

TCSEC) 将操作系统的安全级别分为 

四类七个级别 (D、C1( 

C1、C2、B1、B2、B3、A1) 

, 后补充红皮书 TNI(1987 

1987) 和 TDI(1991 

1991), 

构 

成彩虹 (rainbow( 

rainbow) 系列

信息安全问题之三 : 

网络时代的信息安全问题 

• 90 年代以来 

• 重点需要保护信息 , 确保信息在存储、处理、传输 

过程中及信息系统不被破坏 , 确保合法用户的服务和 

限制非授权用户的服务 , 以及必要的防御攻击的措施 

。强调信息的保密性、完整性、可控性、可用性 

• 主要安全威胁发展到网络入侵、病毒破坏、信息对抗 

的攻击等 

• 主要保护措施包括防火墙、防病毒软件、漏洞扫描、 

入侵检测、PKI、 

PKI、VPN、安全管理等 

• 主要标志是提出了新的安全评估准则 CC(ISO 

15408、GB/T 18336) 和信息保障体系概念

(2)) 信息安全事关国家的安全 

由信息安全问题引起的国家所面临的主要 

安全威胁 : 

• 信息霸权的威胁 

• 经济安全的威胁 

• 舆论安全的威胁 

• 社会稳定的威胁

信息霸权的威胁 

• 网络空间打破了传统的地缘政治格局 , 信 

息霸权日益成为国家安全的新威胁 

• 网络空间的权力制衡包括制信息化权、制 

信息权、制创新权和网络能量的制衡权 

• 以信息为武器 , 在数字化地球这个新的网 

际舞台上 , 各国将围绕信息化利益展开政 

治角逐 

• 信息霸权已成为美国政治扩展的新武器

经济安全的威胁 

信息化对日益全球化的经济带来安全隐患 : 

• 国民经济运行与监管的安全 

• 国家金融资本流动与运作的安全 

• 证券市场的安全 

• 经济金融网络的安全 

• 经济信息的安全

舆论安全的威胁 

信息化网络是传媒的革命 , 对文化和文明提 

出了新挑战 : 

• 多样的文化将共存在同一个互联网上 

• 文明的冲突直接表现为信息的冲突 

• 舆论操纵已成为互联网上的政治武器 

• 文化侵略是主权国家必须面临的持久战

社会稳定的威胁 

• 信息化社会的安定依赖信息基础设施 

• 政府管理、航空运输、水、电控管、通 

信传播、指挥调度、财税经贸、日常生 

活都要依靠信息系统和信息化设施 

• 信息基础设施一旦遭到破坏 , 立即就会 

引发社会不安和动荡 

• 美国总统专门发布总统令 , 提出信息系 

统保护国家计划 , 保护信息基础设施

我国国家领导高度重视信息安全 

• 江总书记指出 : 面对经济、科技全 

球化趋势 , … … 在信息化进程中 

要趋利避害 

• 胡锦涛同志在一份报告上批示 : 信 

息安全事关国家安全 , 必须予以高 

度重视 

• 李岚清同志在中办的一份信息通报 

上批示 : 信息安全是危及国家安全 

的大事

信息技术与产品成为信息安全 

的基础和焦点 

• 信息技术已经成为应用面最广、渗透性最强的 

战略性技术。信息安全问题日益突出 , 信息安 

全产业应运而生 

• 信息安全产品和信息系统固有的敏感性和特殊 

性 , 直接影响着国家的安全利益和经济利益 

• 各国政府纷纷采取颁布标准 , 实行测评认证制 

度等方式 , 对信息安全产品的研制、生产、销 

售、使用和进出口实行严格、有效的控制

什么是测评认证 

• 测试、评估、认证是三个不同的概念 

• 测试 / 检验 : 按照规定的程序 , 为确定给定的 

产品、材料、设备、生物组织、物理现象、工 

艺或服务的一种或多种特性的技术操作 

• 评估 : 对测试 / 检验产生的数据进行分析、形 

成结论的技术活动 

• 认证是指第三方依据程序对产品、过程或服务 

符合规定的要求给予书面保证 ( 证书 ), 用于 

评价产品质量和企业质量管理水平 

• 认证的依据是标准和测试 / 检验 / 评估的结果

传统的安全测评方法 

• 用户测试 

• 厂商自测 

• 商业性测试 

• 政府内部的安全测试与检测 

• 攻击性 ( 分析、对抗性 ) 检测 

• 软件工程质量保障方法

传统测评方法的不足 

• 缺乏标准的安全需求规范 

• 缺乏通用的安全测评准则 

• 缺乏客观的安全测评工具 

• 缺乏专业的安全测评人员 

• 缺乏公正的第三方测评机制 

• 缺乏完善的测评认证体系

国家信息安全认证 

• 统一的国家标准和行业补充技术要求 

• 国际通用的安全测评方法 

• 客观的安全测评工具 

• 专业的安全测评人员 

• 独立运作的公正第三方测评机制 

• 国家授权的、权威的测评认证体系

信息安全测评认证 

发展是第一位的 , 是硬道理。 

安全是保驾护航。没有安全 , 就没 

有健康的发展。 

作为国家信息基础设施 , 没有安全 , 

就是 “ 豆腐渣 ” 工程。

认证的分类 

• 按认证对象的不同可分为产品质量认证和质量体 

系认证 

• 产品质量认证是依据产品标准和相应技术要求 , 

经认证机构确认并通过颁发认证证书和认证标志 

来证明某一产品符合相应标准和相应技术要求的 

活动 

• 质量体系认证是以质量体系标准为依据 , 参照审 

核要点进行现场审核 , 以评价受审核单位的质量 

体系是否符合质量保证模式标准的活动

测评认证在信息安全中的作用 

• 对信息技术的依赖越来越强 , 信息技术 

自主性越来越弱是全球性的趋势 

• 测评认证是做到心中有数和市场准入控 

制的重要手段 , 是我国加入 WTO 的需要 

• 测评认证是信息安全保障的重要环节 

• 信息技术的复杂性与质量问题 

• 信息技术的两用性与安全问题 

• 世界各国都将测评认证体系作为国家信 

息化的重要基础设施 , 由信息安全主管 

部门和质量监督部门共同负责管理

(3)) 国外信息安全测评认证体系 

• 美国由 NSA 与国家标准局联合实施国家信息安全认证 , 

英、德、法、澳、加、荷等国家也由国家信息安全主 

管部门联合国家标准主管部门共同管理信息安全认证 

工作。先后建立起国家信息安全测评认证体系 

• 芬兰、瑞典、西班牙、挪威、意大利、比利时等欧洲 

国家和日本、韩国等亚洲国家纷纷仿效 , 积极开展信 

息安全测评认证工作 

• 国外的信息安全测评认证体系由 :1): 

) 一个测评认证管 

理协调组织、2)、 

) 一个测评认证实体、和 3) ) 多个技术 

检测机构组成

美国 (NIAP( 

NIAP) 

负责管理和运行美国的信息安全测评认证体系

德国 (GISA( 

GISA) 

负责管理和运行德国的信息安全测评认证体系

法国 (SCSSI( 

SCSSI) 

French IT 

Evaluation 

and 

Certification 

Scheme 

负责管理和运行法国的信息安全测评认证体系

澳大利亚 (AISEP( 

AISEP) 

Australasian Information Security Evaluation Programme 

负责管理和运行澳大利亚的信息安全测评认证体系

测评认证成为国际性话题 

国际会议 : 从 6 国发起到 14 国互认 

• 各国政府在充分认识到全球化和信息化 

利弊的基础上对信息安全予以高度重视 

• 各国为适应信息化时代国际竞争的新形 

势纷纷成立专门的测评认证机构 

• 有条件的互认是各国参与国际化和维护 

自主权的务实选择

2、、我国信息安全测评认证体 

系的基本情况

建设国家测评认证机构是发展的需要 

• 产业发展的需要 : 信息安全产品的开发、使用和管 

理需要统一的规范 

• 技术监督的需要 : 安全性、可靠性、可用性需要依 

据标准的检测与认证 

• 国际接轨的需要 : 测试、评估与认证的框架必须符 

合国际惯例和通用标准 

• 国际竞争的需要 : 加入 WTO 的客观要求 ( 例外 ) 

• 国家管理的需要 : 安全检查、许可证管理、行业管 

理需要技术支持 

• 国家安全的需要 : 信息化时代的国家主权和安全

我国信息安全管理体系 

• 党和国家长期以来一直十分重视安全保密 

工作 , 并从敏感性、特殊性和战略性的高度 

, 自始至终置于党的绝对领导之下 

• 中央机要管理部门、国家安全机关、公安 

机关和国家保密主管部门等分工协作、各司 

其职 , 形成了维护国家信息安全的管理体系

测评认证中心的建设过程 

• 1997 年初 , 国务院信息化工作领导小组委托筹建 

“ 中国互联网络安全产品测评认证中心 ” 

1998 年 7 月 , 该中心挂牌运行 

• 1998 年 10 月 , 国家质量技术监督局授权成立 “ 中 

国国家信息安全测评认证中心 ” 

1999 年 2 月 9 日 , 该中心挂牌运行 

• 2001 年 5 月 , 中编办根据党中央、国务院有关领 

导的指示精神 , 正式定名为 “ 中国信息安全产品 

测评认证中心 ” , 英文简称为 CNITSEC

国家信息安全测评认证体系组织结构 

监管机构 

国家信息安全测评认证管理委员会 

国家认证实体 

国家实验室 

认可程序 

ISO65、25 

中国信息安全产品测评 

认证中心及其分支机构 

授权 

测试 

质管 

报告 

测试报告 

评估报告 

认证证书 

授权测评机构 

授权测试实验室 

申报 

认证申请者

认证中心的性质 

• 中国信息安全产品测评认证中心是经中 

央批准成立的、代表国家实施信息安全 

测评认证的职能机构 , 依据国家有关产 

品质量认证和信息安全管理的法律法规 

, 管理和运行国家信息安全测评认证体 

系

认证中心的主要职能任务 

1、对国内外信息安全设备和信息技术实施 

安全性检验、测试与认证 

2、、对国内信息系统和工程进行安全性评估与 

认证 

3、、对提供信息安全服务的单位、人员的资质 

进行评估与认证 

4、、承担国家信息安全技术标准的研究、制订 

和信息安全培训 

5、、与各国相应的测评认证机构进行国际交流 

与合作

中心标志

认证标志 

中华人民共和国 

国家信息安全认证

测评认证体系的发展 

• 多个授权测评机构 

1、、上海测评中心 : 上海市 

2、、东北测评中心 : 吉林省长春市 

3、、北京测评中心 : 北京市 

4、、华中测评中心 : 湖南省长沙市 

5、、西南测评中心 : 四川省成都市 

6、、计算机测评中心 : 信息产业部电子十五所 

7、、广电测评中心 : 由广电部 2000 年列编设立 

银行、证券、电信等行业 ,2001, 

年起开始测评认证

信息安全要害部门的委托 

• 2000 年 1 月 , 中国人民银行发布信息技 

术总体纲要 , 规定金融系统的计算机设 

备和信息安全产品将逐步要求通过认证 

中心的测评认证 

• 2000 年 3 月 30 日 , 国家证监会发布 “ 网 

上证券委托管理办法 ”,, 要求网络证券 

系统和服务必须通过认证中心的认证

3、、测评认证工作的进展

产品认证的基本情况 

• 产品认证情况 :1999: 

年 ,28, 

项 

2000 年 ,33, 

项 

2001 年 ,34, 

项 

• 系统认证情况 :1999: 

年 ,1, 

项 

2000 年 ,5, 

项 

2001 年 ,16, 

项

资质认证的基本情况 

• 安全服务认证 : 

2000 年 , 调查研究 ; 制定标准 

2001 年 , 完成评估准则 ; 并试行 

2002 年初 , 完成 10 家单位的认证 

• 安全专业人员认证 : 

2000 年 , 调查研究 ; 制定标准 

2001 年 , 开发题库和考试大纲 ; 并试行 

2002 年初 , 完成首批认证人员的注册

国家标准的制定情况 

1、、包过滤防火墙安全技术要求 

2、、应用级防火墙安全技术要求 

3、信息技术安全性评估准则 

4、、信息系统安全工程能力成熟模型 

5、信息安全服务评价准则 

6、、信息安全工程质量管理要求 

7、、电信智能卡安全技术要求 

8、、商用密码产品安全技术要求 

9、、网上证券委托系统安全技术要求 

10、、信息技术安全性评估方法等共 20 多项

参与国际合作的情况 

• 代表我国参加第一届 ( 美国 )、第二届 

( 英国 ) 信息安全测评认证标准与互认 

国际会议 

• 与美国、俄罗斯、英国、法国、新加坡 

、日本等国家开展信息安全测试、评估 

技术的交流 

• 2002 年起 , 按 WTO 的原则 , 积极参与和 

推动信息安全领域的国际互认

二、信息安全测评认证标准 

• 通用准则 CC(Common Common Criteria) 

• 国际标准为 ISO/IEC 15408 

• GB/T 18336 

• 采用统一、通用的结构和语言表示信息技术 

产品或系统的安全要求 

• 对信息技术安全要求的组件和要素进行标准 

化的分类

CC 的发展 

国家时间标准名称功能级别保证级别 

美国 1980 TCSEC D,C1,C2,B1,B2,B3,A1 

德国 1985 绿皮书 F1~F10 Q1~Q8 

英国 1989 L1~L66 

欧共体 1991 ITSEC F1~F10 E0~E7 

加拿大 1993 CTCPEC 

美国 1993 FC 

ISO 1999 CC EAL1~EAL7

国际上安全测评标准的发展 

1990 年 

欧洲信息技术 

安全性评价准则 

(ITSEC) 

1985 年 

美国国防部可信 

计算机评价准则 

(TCSEC) 

1990 年 

加拿大可信计算机产品 

评价准则 

(CTCPEC)) 

1995 年 

国际通用准则 

(CC) 

1999 年 

CC 成为国际标准 

(ISO15408) 

1991 年 

美国联邦政府 

评价准则 

(FC)

国际上与信息安全有关的组织及标准 : 

♦ 国际 :ISO: 

ISO( 国际标准化组织 )SC27) 

WG1: 信 

息安全有关的需求、服务和指南 ;WG2; 

WG2: 信息 

安全技术和机制 ;WG3; 

WG3: 信息安全评估标准 ; 

TC68: 信息安全分技术委员会 

♦ 美国 : ANSI:X9 

X9,NIST(FIPS), 

),DoD( 

DoDI) 

♦ 欧洲 :ECMA: 

ECMA( 欧洲计算机制造商协会 )TC36) 

:IT 

安全 ;ECBS; 

ECBS( 银行 ) 和 CEN( 欧洲银行标 

准化组织 ) 

♦ 其他国际组织 :IETF: 

IETF(RFC、Internet Draft) 

;ETSI( 电信 ) 

( A5-A8 

A8、UMTS) UMTS);ITU-T ( 

X400) 

行业 :IEEE: 

IEEE-1363,PGP,PKCS,GOST 

( 俄罗斯 )

美国早期的安全测评标准 (TCSEC) 

• 1970 年由美国国防科学委员会提出 ,1985, 

年公 

布为国防部标准 , 后扩展至民用 

• 安全级别从高到低分为 A、B、C、D 四级 , 级下 

再分小类 

• 分级分类主要依据四个准则 : 

a 安全政策 

b 可控性 

c 保证能力 

d 文档

欧洲的安全测评标准 (ITSEC) 

• 欧洲多国安全评价方法的综合产物 , 军用、政府用和商用 

• 以超越 TCSEC 为目的 , 将安全概念分为功能与功能评估两部分 

• 功能准则在测定上分 F1-F10 共 10 级。1-5 级对应于 TCSEC 的 D 

到 A。6-10 级加上了以下概念 : 

F6: 数据和程序的完整性 F7: 系统可用性 

F8: 数据通信完整性 F9: 数据通信保密性 

F10 包括机密性和完整性的网络安全 

• 评估准则分为 6 级 : 

E1: 测试 E2: 配置控制和可控的分配 

E3: 能访问详细设计和源码 

E4: 详细的脆弱性分析 E5: 设计与源码明显对应 

E6: 设计与源码在形式上一致

ITSEC 与 TCSEC 的对应关系 

I T S E C 保证 T CS E C 分级 

E 0 D 

F 1 E 1 C 1 

F 2 E 2 C 2 

F 3 E 3 B1 

F 4 E 4 B2 

F 5 E 5 B3 

F 5 E 6 A1

加拿大的评测标准 (CTCPEC) 

• 1989 年公布 , 专为政府需求而设计 

• 与 ITSEC 类似 , 将安全分为功能性需求和保证 

性需要两部分 

• 功能性要求分为四个大类 : 

a 机密性 

b 完整性 

c 可用性 

d 可控性 

• 在每种安全需求下又分成很多小类 , 表示安全 

性上的差别 , 分级条数为 0-5 级

CTCPEC 的功能性要求及分级 

可控性范围可用性范围 

审计 WA-0 到 WA-5 抗攻击性 AC-0 到 AC-3 

识别与鉴别 WI-0 到 WI-5 容错 AF-0 到 AF-2 

可信路径 WT-0 到 WT-3 可靠 AR-0 到 AR-3 

可恢复 AY-0 到 AY-3 

机密性范围完整性范围 

隐蔽信息 CC-0 到 CC-3 域完整性 IB-0 到 IB-2 

无条件 

无条件 ID-0 到 ID-4 

CD-0 到 CD-4 

机密性 

完整性 

强制性 

IM-0 到 IM-4 

CM-0 到 CM-4 强制完整性 

机密性 

目标重用 CR-0 到 CR-4 物理完整性 IP-0 到 IP-4 

反馈 IR-0 到 IR-2 

权限分隔 IS-0 到 IS-3 

自测 IT-0 到 IT-3

CTCPEC 与 TCSEC 分级的对比 

C T C P E C 

T C S E C 

WA-1, WI-1, C D-2, C R-1, ID-1, IS-1, IT-1 C 2 

WA-1, WI-1, C D-2, C M-2, C R-1, ID-1 or 

IM-1, IS-1, IT-1 

B 1 

WA-1, WI-1, WT-1, C C-1, C D-2, C M-3, 

C R-1, ID-1 or IM-1, IS-2, IT-1 

B 2 

WA-2, WI-1, WT-2, AY-1, C C-1, C D-3, B 3 

CM-3, C R-1, ID-1 or IM-1, IS-2, IT-1

美国联邦准则 (FC) 

• 对 TCSEC 的升级 1992 年 12 月公布 

• 引入了 “ 保护轮廓 (PP( 

PP)” 这一重要概念 

• 每个轮廓都包括功能部分、开发保证部分和评 

测部分 

• 分级方式与 TCSEC 不同 , 吸取了 ITSEC、 

CTCPEC 中的优点 

• 供美国政府用、民用和商用

四种评测准则的比较 

T C S E C F C C T C P E C I T S E C 

D E 0 

C 1 E 1 

C 2 T- 1 T- 1 E 2 

B 1 T- 2 T- 2 E 3 

T- 3 T- 3 

T- 4 

B 2 T- 5 T- 4 E 4 

B 3 T- 6 T- 5 E 5 

A 1 T- 7 T- 6 E 6 

T- 7

国际通用准则 (CC) 

• 国际标准化组织统一现有多种准则的努 

力 

• 1993 年开始 ,1996, 

年出 V 1.0, 1998 年出 

V 2.0;1999 

年 5 月 , 成为 ISO-15408 

• 主要思想和框架取自 ITSEC 和 FC 

• 充分突出 “ 保护轮廓 ”,, 将评估过程分 

为 “ 功能 ” 和 “ 保证 ” 两部分 

• 是目前最全面的评价准则

CC 的目标用户 

• 消费者 : 利用评估结果比较不同产品和系统。 

以保护轮廓的形式表明特定安全要求 

• 开发者 : 为开发者准备产品或系统评估提供技 

术支持 , 通过评估特定安全功能和安全保证来 

证明产品或系统满足了特定的安全要求 

• 评估者 : 为评估者提供可重复性和客观性的评 

估依据 , 保证独立的安全评估具有可比性

CC 的应用范围 

• CC 的评估对象 (TOE( 

TOE) 为具有信息安全功能的 

产品和系统 

• 不包括属于行政性管理安全措施的评估准则 

• 不包括安全技术物理方面 ( 诸如电磁辐射控制 

) 的评估准则 

• 不包括密码算法固有质量评价准则

CC 的文档结构 

• 第一部分 : 简介和一般介绍以及保护轮 

廓规范 (PP( 

PP) 和安全目标 (ST( 

ST) 规范 

• 第二部分 : 安全功能要求 

• 第三部分 : 安全保证要求

CC 第一部分 

保护轮廓规范 

PP 

简 

介 

评 

估 

对 

象 

描 

述 

评 

估 

对 

象 

安 

全 

环 

境 

安 

全 

目 

的 

IT 

安 

全 

要 

求 

PP 

应 

用 

注 

释 

基本原理


TOE 安全环境描述 

假定 : 如果环境满足该假定 ,TOE 被认为是安全 

的 

威胁 : 包括 TOE 及其环境需要保护的特定资产所 

面临的与 TOE 安全操作相关的威胁 

组织安全策略 :TOE 必须遵守的任何组织安全策 

略和规则


安全目的 

定义 : 意在对抗确定的攻击 , 满足确定的 

组织安全策略和假定的陈述 

TOE 安全目的 

环境安全目的


IT 安全要求 

TOE 安全要求 

TOE 安全功能要求 

TOE 安全保证要求 

IT 环境安全要求


安全目标规范 

ST 

简 

介 

评 

估 

对 

象 

描 

述 

评 

估 

对 

象 

安 

全 

环 

境 

安 

全 

目 

的 

IT 

安 

全 

要 

求 

评 

估 

对 

象 

概 

要 

规 

范 

PP 

声 

明 

基本原理


评估对象开发模型 

安全要求 

功能定义 

设计和实现细化 

高层设计 

相应分析和集成测试 

源代码硬件设计 

实现

CC 第二部分 

安全功能要求的表达形式 

类 (Class) 

族 (Family) 

族 (Family) 

组件 

组件 

组件 

组件


安全功能要求的 11 个类 

FAU 类 : 安全审计 

FCO 类 : 通信 

FCS 类 : 密码支持 

FDP 类 : 保护用户数据 

FIA 类 : 标识和鉴别 

FMT 类 : 安全管理 

FPR 类 : 秘密 

FPT 类 :TOE 安全功能 

的保护 

FRU 类 : 资源利用 

FTA 类 :TOE 访问 

FTP 类 : 可信路径 / 通道


FAU 类 : 安全审计 

安全审计自动响应 

安全审计数据产生 

安全审计分析 

安全审计查阅 

安全审计事件选择 

安全审计事件存贮 

族


FCO 类 : 通信 

族 

原发抗抵赖 

接收抗抵赖 

FCS 类 : 密码支持 

族 

密钥管理 

密码运算


安全功能要求组件标识 

FDP_IFF.4.2 

4 - 第四个组件 

IFF- 信息流控制功能族 

DP- 保护用户数据 

F- 功能要求


安全功能要求应用 

 

用于构成 PP 中 IT 安全要求的 TOE 安 

全功能要求 

 

用于构成 ST 中 IT 安全要求的 TOE 安 

全功能要求

不同于 CC 的常见安全功能分类 

• ISO 7498-2 分为 

• 鉴别、访问控制、机密性、完整 

性和抗抵赖等五种安全服务 

• IATF 中分为 

• 访问控制、机密性、完整性、抗 

抵赖和可用性等五种安全服务

1. 标识与鉴别 

1.1 登录控制 

※ 对用户标识 

※ 对用户鉴别 

※ 限制重复性登录失败次数 

※ 保证登录的可信路径 ( 本地或远程 ) 

※ 限制在一天当中允许访问的时间

1.2 口令字选取 

※ 控制用户口令字选取 ( 如最小长度 , 组合 , 历史 ) 

※ 某些口令可由系统生成再分配给用户 

※ 强制实施口令字生命期 ( 有效期 )

1.3 鉴别数据保护 

输入口令字时不许回显 

避免未授权的访问与修改 

防止重播攻击 

防止伪造或拷贝 

防止重用 ( 如 , 单次使用的口令 ) 

提供口令字修改的可信路径

1.4 会话连接挂起 

在用户停止操作一段时间后挂起 

根据用户要求挂起 

在用户停止操作一段时间后终止 

1.5 用户帐号与属性文件 

控制对用户帐号的生成、删除、激活或停用 

定义用户属性文件中所包含的安全属性 

控制对用户属性文件的修改

2. 访问控制 

2.1 自决性访问控制 (DAC( 

DAC) 

安全政策范围验证 ( 主体、客体以及操作 ) 

控制主体访问客体的规则验证 

验证可超越 DAC 的特权 

2.2 对 DAC 属性的控制 

改变客体的许可权限 /ACL 

对新建客体的缺省保护 

改变客体的属主 

改变用户组的隶属关系

2.3 强制性访问控制 (MAC) 

安全政策范围验证 ( 主体、客体以及操作 ) 

验证控制访问和信息流的规则 

验证可超越 MAC 特权 

隐蔽通道限制 

2.4 对 MAC 属性的控制 

改变客体标记 

对新建客体的缺省标记 

改变用户安全属性 

在登录时选择会话连接

2.5 导出 / 导入 

导入未标记数据 

通过通信通道 / 设备导出 , 不泄露安全属性 

为打印输出打上标记 

2.6 信息标识 

对信息标识值的限制 

控制 “ 浮动 ” 标识的规则 

2.7 对象重用 

保护在文件、内存等之中的驻留信息

2.8 基于角色的访问控制 (RBAC( 

RBAC) 

政策范围 ( 涉及角色、操作 ) 

完成操作的规则控制 

标识角色 

强制 2 人规则 

2.9 对 RBAC 属性的控制 

改变用户特权 / 授权 

改变角色能力定义 

改变对用户角色的指派 

2.10 防火墙访问控制 

主体 - 客体信息流查阅 

基于会话连接的查阅

3. 审计安全 

3.1 审计事件 

对可审计事件和需记录信息的说明 

对需审计事件选择的控制 

选择需审计事件的基础 

对单个身份审计 

3.2 入侵检测和应对 

生成报警并对即将发生的安全违规采取应对措施 

定义用于指示潜在或即将发生的安全违规的那些规则、 

事件、事件序列或系统使用模式

3.3 审计记录保护 

避免数据丢失 ( 如 , 审计记录饱和、操作中断 ) 

避免未授权的修改 / 访问 

3.4 审计记录分析 / 查阅 

提供审计记录分析 / 查阅工具

4. 完整性 

4.1 数据完整性 

对存储数据错误的检测 

生成并验证校验和、单向 Hash、信息摘要等 

事务回卷 ( 如 , 数据库 ) 

4.2 系统完整性 

篡改检测 

抗篡改 

4.3 数据鉴别 

数字签名与验证 

证书生成与验证 ( 如 , 公钥证书 )

5. 可用性安全功能验证 

5.1 资源消耗 

对用户可消耗全局资源的定量 / 额进行强制限制 

限制用一同户可登录的会话连接数目 

5.2 出错处理 

5.3 调度 

当万一出现故障时 , 维持系统的进行 ( 容错 ) 

出错检测 

出错恢复 

根据所建立的优先关系 , 对活动 / 进程调度

6. 机密性安全功能 

6.1 基于用户身份的机密性 

在使用服务或资源时 , 避免用户身份泄露 

通过受保护的用户别名 , 以匿名但可审计的方式 

使用服务或资源 

6.2 基于资源 / 服务的机密性 

避免泄露同一用户多次使用了资源和服务的关联 

系统 

保证对指定的资源或服务的使用是不可观察的

7. 数据交换安全功能 

7.1 数据交换保密性 

用户数据 

关键性安全数据 ( 如 , 密钥 , 口令字 ) 

7.2 数据交换完整性 

用户数据 

关键性安全数据 ( 如 , 密钥 , 口令字 ) 

7.3 抗抵赖 

证明交换信息的发起者 

证明交换信息的接收者


威胁举例 

T.REPLAY 

当截获了有效用户的识别和鉴别数据后 , 未 

授权用户可能在将来使用这些鉴别数据 , 以访 

问 TOE 提供的功能


安全目的举例 

O.SINUSE 

TOE 必须防止用户重复使用鉴别数据 , 尝试通过互 

联网络在 TOE 上进行鉴别 

O.SECFUN 

TOE 必须提供一种功能使授权管理员能够使用 TOE 

的安全功能 , 并且确保只有授权管理员才能访问该功能


TOE 安全功能要求举例 

O.SINUSE 

FIA_ATD.1 用户属性定义 , 允许为每个用户单独保存 

其用户安全属性。 

FIA_UAU.1 鉴别时 , 允许用户在身份被鉴别前 , 实施 

一定的动作。 

FIA_UAU.4 单用户鉴别机制 , 需要操作单用户鉴别数 

据的鉴别机制。 

FMT_MSA.3 静态属性初始化 , 确保安全属性的默认值 

是允许的或限制某行为的。


TOE 安全功能要求举例 

O.SECFUN 

FMT_MOF.1 安全功能行为的管理 , 允许授权用户管理 

TSF 中使用规则或有可管理的指定条件的 

功能行为。 

FAU_STG.1 受保护的审计踪迹存贮 , 放在审计踪迹中 

的数据将受到保护 , 以避免未授权的删除 

和 / 或修改。 

FAU_STG.4 防止审计数据丢失 , 规定当审计踪迹溢满 

时的行动。

CC 第三部分 

安全保证要求结构 

APE 类 - 保护轮廓的评估准则 

ASE 类 - 安全目标的评估准则 

用于 TOE 的七个安全保证要求类


ACM 类 : 配置管理 

用于 TOE 

的七个安 

全保证要 

求类 

ADO 类 : 分发和操作 

ADV 类 : 开发 

AGD 类 : 指导性文件 

ALC 类 : 生命周期支持 

ATE 类 : 

测试 

AVA 类 : 脆弱性评定


ACM 类 : 配置管理 

CM 自动化 (ACM_AUT) 

CM 能力 (ACM_CAP) 

CM 范围 (ACM_SCP) 

族


ADO 类 : 分发和操作 

族 

分发 (ADO_DEL) 

安装、生成和启动 

(ADO_IGS) 

AGD 类 : 指导性文件 

族 

管理员指南 (AGD_ADM ) 

用户指南 (AGD_USR )


ADV 类 : 开发 

族 

功能规范 (ADV_FSP) 

高层设计 (ADV_HLD) 

实现表示 (ADV_IMP) 

TSF 内部 (ADV_INT) 

低层设计 (ADV_LLD ) 

表示对应性 (ADV_RCR) 

安全策略模型化 (ADV_SPM)


ALC 类 : 生命周期支持 

族 

开发安全 (ALC_DVS) 

缺陷纠正 (ALC_FLR) 

生命周期定义 (ALC_LCD ) 

工具和技术 (ALC_TAT)


ATE 类 : 测试 

范围 ( ATE_COV) 

族 

深度 (ATE_DPT) 

功能测试 (ATE_FUN) 

独立性测试 (ATE_IND)


AVA 类 : 脆弱性评定 

隐蔽通道分析 (AVA_CCA) 

族 

误用 (AVA_MSU ) 

TOE 安全功能强度 (AVA_ SOF ) 

脆弱性分析 (AVA_VLA )


评估保证级别 

EAL7 

EAL6 

EAL5 

EAL4 

EAL3 

EAL2 

EAL1 

形式化验证的设计和测试级 

半形式化验证的设计和测试级 

半形式设计和测试级 

系统设计、测试和复查级 

系统测试和检查级 

结构测试级 

功能测试级

EAL1 级 : 功能测试级 

• 适用于在对正确运行需要一定信任的场合 , 但 

在该场合中对安全的威胁应视为并不严重 

• 保证组件 

– 配置管理 

ACM_CAP.1 版本号 

– 交付和运行 ADO_IGS.1 安装、生成和启动程序 

– 开发 ADV_FSP.1 非形式化功能规范 

– ADV_RCR.1 非形式化对应性论证 

– 指导性文档 AGD_ADM.1 管理员指南 

– AGD_USR.1 用户指南 

– 测试 ATE_IND.1 独立性测试 —— 一致性

EAL2 级 : 结构测试级 

• 适用于 : 在缺乏现成可用的完整的开发记录时 , 开 

发者或使用者需要一种低到中等级别的独立保证的 

安全性 

• 保证组件 

– 配置管理 (ACM_CAP.2( 

配置项 ) 

– 交付和运行 (ADO_DEL.1( 

交付程序、ADO_IGS.1 

安装、生成和 

启动程序 ) 

– 开发 (ADV_FSP.1( 

非形式化功能规范、ADV_HLD.1、 

描述性高层 

设计、ADV_RCR.1 

非形式化对应性论证 ) 

– 指导性文档 (AGD_ADM.1( 

管理员指南、AGD_USR.1、 

用户指南 ) 

– 测试 (ATE_COV.1( 

范围证据、ATE_FUN.1 

功能测试、ATE_IND.2 

独立性测试 —— 抽样 ) 

– 脆弱性评定 (AVA_SOF.1( 

TOE 安全功能强度评估、AVA_VLA.1 

开 

发者脆弱性分析 )

EAL3 级 : 系统测试和检查级 

• 适应于 : 开发者或使用者需要一个中等级别 

的独立保证的安全性 , 和在没有再次进行真 

正的工程实践的情况下 , 要求对 TOE 及其开 

发过程进行彻底调查 

• 保证组件 :( 相对 EAL2 增强的 ) 

– 配置管理 (ACM_CAP.3( 

授权控制、ACM_SCP.1、 

TOE 配置管 

理 (CM( 

CM) 范围 ) 

– 开发 (ADV_HLD.2( 

安全加强的高层设计 ) 生命周期支持 ( 

ALD_DVS.1 安全措施标识 ) 

– 测试 (ATE_COV.2( 

范围分析、ATE_DPT.1、 

测试 : 高层设计 ) 

– 脆弱性评定 (AVA_MSU.1( 

指南审查 )


评估保证级别 (EAL( 

EAL) 关系 

EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7

CC 评估 

保护轮廓 

APE 

安全目标 

ASE 

安全产品或系统 

EAL

基于 CC 的认证 

评估准则 

评估方法学 

评估方案 

评估 

最终评估 

结果 

批准 / 证明 

证书表 / 

( 注册 )

目前产品认证用的 PP 

• GB/T 18018-1999 

1999 路由器安全技术要求 

• GB/T 18019-1999 

1999 信息技术包过滤防火墙 

安全技术要求 

• GB/T 18020-1999 

1999 信息技术应用级防火墙 

安全技术要求 

• GB/T 17900-1999 

1999 网络代理服务器的安全技 

术要求 

• 等等

目前正在试行中的其它标准 

• 电信智能卡安全技术要求 

• 电子商务 CA 中心安全技术要求 

• 网络入侵检测系统的安全技术要求 

• 电信交换设备的安全技术要求 

• 信息安全服务评价准则 

• 信息安全工程质量管理要求 

• 密码模块的安全技术要求

三、中心的四种测评认证业务 

1、、信息安全产品测评认证 

2、、信息系统安全性测评认证 

3、、信息安全服务单位资质测评认证 

4、、信息安全服务人员资质测评认证

国家信息安全测评认证目录 

• 1) ) 网络安全产品 : 如防火墙、路由器、代 

理服务器、网关、IDS、 

IDS、扫描器等 

• 2) ) 应用安全产品 : 如安全电子邮件、安全 

办公系统、网上交易系统、电子商务系统 

等 

• 3) ) 安全支持类产品 : 如 PKI/CA 

CA、密钥 

管理系统等 

• 4) ) 操作系统安全产品 : 如操作系统强制访 

问控制软件、操作系统安全审计系统等

国家信息安全测评认证目录 ( 续 1) 

• 5) ) 数据库安全产品 : 如数据库多级访问 

控制产品等 

• 6) ) 内容安全产品 : 如内容分级系统、内 

容监控系统等 

• 7) ) 安全管理产品 : 如系统管理软件、数 

据备份系统等 

• 8) ) 通信安全产品 : 如链路加密机、保密 

电话 / 传真、电信智能卡等 

• 9) ) 物理安全产品 : 如 TEMPEST 计算机等

国家信息安全测评认证目录 ( 续 2) 

• 10) ) 信息系统安全性 : 如网上证券委托 

交易系统、网上银行系统等 

• 11) ) 信息安全服务资质 : 包括单位和人 

员资质

1、、信息安全产品测评认证 

• 分为产品型号认证和产品认证 

• 目前进行的认证保证级别相当于 EAL1 与 

EAL2 之间 

• 已开发了防火墙、IDS、 

等多种补充技术要 

求 (PP( 

或译为保护轮廓 ) 

• 针对 CA 有专门的 PP

认证业务 : 产品型号认证 

• 对送检样品进行型式试验 ( 测试评估 ), 若符 

合标准要求 , 即予认证 

• 不需要进行质量体系审核 

• 监督检验 : 

– 市场和 / 或工厂 ( 车间 ) 抽样 

– 进行核查 

– 合格则维持认证 , 不合格则取消认证

认证业务 : 产品认证 

• 获准认证条件 : 

– 送达的样品进行型式试验 

– 质量体系 ( 即质量保证能力 ) 进行检查、评审 

– 这两项都符合有关标准要求 , 则予以认证注册 

• 监督检验、监督检查 : 

– 市场和 / 或工厂 ( 车间 ) 抽样核查 

– 质量体系进行监督性复查 

– 若两方面都合格则维持认证 , 不合格则取消认证

2、、信息系统安全性测评认证 

• 信息系统通过认证的四个条件 : 

1) ) 方案评审 ( 风险评估 ) 

信息系统设计方案和安全设计方案进行静态评估 

2) ) 产品认证 

信息系统中的关键安全设备必须通过认证 

3) ) 系统测评 

对信息系统的运行和服务进行实际测试评估 

4) ) 体系审核 

对信息系统的管理和保障体系进行评估验证 

上述四方面若均符合有关标准和规范要求 , 

则予以认证

用户申请 

2.1 系统认证流程文档审查 

受理申请 

方案评审 

现场核查 

系统测试 

产品认证 

体系审核 

综合评估 

抽样检查 

认证决定 

发证注册 / 维持认证 

不予认证 / 撤消 

公告 

证后监督

2.2 主要技术环节 

系统安全认证 

方案评审 

产品认证 

系统测评 

体系审核 

系 

统 

方 

案 

物 

理 

网 

络 

产 

品 

现 

场 

核 

查 

系 

统 

测 

试 

管 

理 

体 

系

各环节的作用 ( 一 ) 

静态评估 — 方案评审 

方案评审是通过对申请者提交的系统 

设计方案和安全方案进行静态分析 , 对该 

系统达到安全要求的可能性给出结论

方案评审内容 : 

• 系统安全方针评审 

• 系统风险分析评审 

• 安全体系结构评审 

• 安全设计实现评审 

• 产品选型评审 

• 工程实施计划评审

方案评审的三个层面 

• 对安全方案在网络结构方面的合理性和 

实现的可行性进行评审 

• 对安全方案的整体安全设计的完整性和 

合理性进行评审 

• 确定安全方案与国家安全政策的符合性

各环节的作用 ( 二 ) 

系统安全测评 

系统测评建立在方案评审通过的基础上 , 通 

过对系统的安全实现状况进行现场的调查取证 ; 

对系统性能、功能和安全功能进行验证性测试 ; 

对系统防御能力进行穿透性测试和脆弱性分析。 

从而对系统状态满足标准的安全性要求给出结论 

。

现场核查的内容 

• 进一步了解系统情况 

• 检验实施方案的内容是否全部实现 

• 检查产品选用与方案中的设计一致 

• 系统的物理环境检查 

• 为系统测试作准备

现场核查的方法 

• 询问 ( 职责、知识等 ) 

• 查验 ( 文件、制度、记录、报告等 ) 

• 查看 ( 设备、设施等 )

系统测试的基本内容 

• 扫描测试 

• 配置核查 

• 渗透性测试

系统测试的方法 

• 利用工具 

• 手动测试

各环节的作用 ( 三 ) 

产品认证 

系统由物理网络及各种产品组成 , 系 

统认证建立在系统中主要产品通过认证的 

基础上 , 而这些产品应 

另行申请认证。

各环节的作用 ( 四 ) 

管理体系审核 

管理体系审核是对系统的运行管理的 

规范性进行检查 , 从而保证系统能够持续 

保持原有的安全质量。

体系审核的内容 

物理安全管理 

设备、软件、介质管理 

运行过程管理 

安全审计管理 

人员管理 

开发及开发环境管理 

备份与恢复管理 

系统应急管理

2.3 证后监督 

• 每年进行一次管理体系监督检查 

• 每年进行一次产品质量的监督检测 

• 每年进行一次对系统运行维护状态的监 

督核查 

• 根据需要安排系统测试

认证结论说明 

• 达到中心认证标准的产品或系统只是达到了 

国家规定的管理安全风险的能力 , 并不表明 

该产品完全消除了安全风险 

• 中心的认证程序能确保产品安全的风险降低 

到国家标准规定和公众可接受的水平 

• 中心认证程序是一个动态的过程。中心将根 

据信息安全产品的技术发展和最终用户的使 

用要求 , 增加认证测试的难度

3/4、、信息安全服务认证 

• 获准认证条件 : 

对认证申请者的技术、资源、法律、管理等方面的资质、能力 

和稳定性、可靠性进行评估 

• 监督检查 

– 对其质量体系进行评审 , 若符合有关标准、规范 , 则予以认 

证 

– 这两项都符合有关标准要求 , 则予以认证注册 

– 获取证书后 , 对上述各方面进行监督性核查、验证 , 核查 

、验证合格 , 即维持认证 , 否则取消认证 

• 主要依据标准 : 参照 SSE-CMM 

和国际 CISSP 相关标 

准制定的国家标准 ( 报批试行 )

四、通用信息系统安全性测评认证 

• CC 有局限性 , 需要扩充与改进以适应 

网络信息系统安全性评估与认证的需要 

• 通用评估过程

五、CA 系统安全性测评认证

测试依据和标准及规范 

• SET、SSL 

SSL 规范 

• 有关信息安全的国际、国家标准、行业标准 

• 国家信息化办公室《中国电子商务框架》 

• 国家密码委员会办公室《中国电子商务安全框 

架》 

• 国家信息安全测评认证中心《电子商务产品 ( 

系统 ) 安全测评认证规范》《CA》 

安全测试认 

证规范》

CA 认证系统安全性测评内容 

• 系统安全性 

• 密钥安全管理 

• 证书安全管理 

• 数据库安全 

• 网络安全 

• 密码模块 

• 风险评估

CA: 系统安全性 

• 访问控制 

• 数据安全 

• 安全审计 

• 物理安全 

• 系统可靠性 

• 安全管理策略

系统安全性 : 访问控制 

• 口令保护 

• 安全登录 

• 双登录 

• 权限控制

系统安全性 : 数据安全 

• 物理介质 

• 分块存储 

• 加密保护 

• 数据备份 / 恢复

系统安全性 : 安全审计 

• 操作日志 

• 证书信息 

• 通讯消息

系统安全性 : 物理安全 

• 建筑物 

• 电力设备 

• 存储介质 

• 计算机设备 

• 网络设备

系统安全性 : 系统可靠性 

• 容错处理 

• 灾难预防 

• 灾难恢复

系统安全性 : 安全管理策略 

• 管理机构 

• 操作管理 

• 业务培训 

• 管理文档化 

• 应急措施

密钥安全管理 

• 根认证机构 

• 认证机构和网关 

• 持卡人和商户

密钥安全管理 : 内容 

• 密钥产生 

• 密钥存放 

• 密钥备份和恢复 

• 密钥服务

证书安全管理 

• 根证书 

• 认证机构证书 

• 网关、商户证书 

• 持卡人证书 

• 证书黑名单

安全证书管理 : 持卡人证书 

• 证书申请 

• 证书更新 

• 证书废除

数据库安全 

• 并发控制 

• 恢复管理

数据库安全 : 并发控制 

• 封锁管理 

• 并发调度

数据库安全 : 恢复管理 

• 事务的失败 

• 软故障 

• 硬故障

网络安全 

• 外部连接 

• 内部连接 

• 通讯消息

网络安全的测评内容 

• 路由器 

• 防火墙 

• 入侵检测系统

密码模块 

• 软件密码模块 

• 智能卡 

• 硬件加密机 ( 卡 )

CA 系统安全性风险评估 

• 基本攻击手段 

• 攻击者分析 

• 受害对象分析 

• 抗风险策略分析

风险评估 : 基本攻击手段 

• 密钥管理 

• 偷窃密钥 

• 破坏密钥 

• 非法使用密钥 

• 证书服务 

• 为非法用户签发证书 

• 非法废除证书 

• 更新证书 

• 证书错签 

• 数据库操作 

• 非法查询 

• 非法添加 

• 非法修改 

• 非法删除

风险评估 : 攻击者 

• 内部管理人员 

• 对数据库的攻击 

• 越权操作 

• 密钥存储媒介 

• 外部攻击者 

• 得到或破解密钥 

• 使用密钥 

• 骗取信任 

• 系统崩溃

风险评估 : 受害对象 

• 认证机关 

• 网关 

• 商户 

• 持卡人 

• 发卡银行 

• 获款银行

谢谢 ! 

问题 ?

信息安全测评与认证 - 中国信息安全产品测评认证中心

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?