《通用技术要求》与CC具体对照
总体来讲,CC是从安全功能和安全保证两方面对IT安全技术的要求进行描述,《通用技术要求》则从构建安全的计算机信息系统出发,对计算机信息系统在应达到的安全技术要求进行描述。以下是对《通用技术要求》与CC内容对照的具体说明。
1) 安全功能技术要求方面
《通用技术要求》物理安全的内容是CC所没有的,物理安全对计算机信息系统的安全十分重要。这在CC中也提到过。只是它明确表示物理安全不在其描述范围。
《通用技术要求》的运行安全,吸收了CC中关于“安全审计”的内容,而其它内容则是CC所没有的。这些内容包括风险分析、安全检测与监控、病毒防杀、备份与故障恢复、应急计划和应急措施等。这些内容对于一个计算机信息系统的安全运行,从而提供有效服务都是不可缺少的。这对于当前强调的信息保障是十分重要的,也是与CC没有矛盾冲突的。
《通用技术要求》的信息安全,较多吸收了CC的相关内容,也舍弃了部分当前我们还未涉及的内容,并在叙述上做了适合我国情况的描述,具体如下:
“标识和鉴别”主要是对以服务器为中心的用户数据进行保护的手段,我们较多地吸收了CC中“标识和鉴别类”的内容,并做了适合计算机信息系统安全要求的本地化描述。
“信息交换用户的身份鉴别”是对网上数据交换的抗抵赖,这里较多地吸收了CC中“通信类”的内容,并做了本地化描述。
“自主访问控制”是对运行中的系统进行信息保护的重要手段之一。这里吸收了CC“用户数据保护类”中有关自主访问控制的内容,并结合应用实际做了本地化描述,舍弃了我国目前很少使用的信息流控制的内容。
“强制访问控制”是较高安全等级对运行中的信息进行安全保护的重要手段,这部分根据实际情况吸收了CC中“用户数据保护类”中的相关的强制访问控制的内容,并结合应用实际做了本地化描述,舍弃了当前我国很少使用的信息流控制的内容。
“用户数据保密性存储保护”、“用户数据保密性传输保护”、“用户数据完整性保护”以及“剩余信息保护”等内容,是在吸收CC中“用户数据保护类”相关内容的基础上,结合建立一个安全的计算机信息系统的实际需要编写而成的。<br>
“隐蔽信道分析”是在参考CC安全保证中相关内容的基础上编写而成的。
“可信路径”是在吸收CC中“可信路径/信道类”的相关内容的基础上,做了本地化描述。
“密码支持”是根据我国当前密码管理和密码应用的实际情况编写的,并明确指出,不同安全等级的密码技术的具体配置有国家密码主管部门制定相应的标准确定。
综上所述,《通用技术要求》基本涵盖了CC的相关内容,并进行了必要的扩充,所舍弃的部分属于目前我们很少用到的内容。
《通用技术要求》在安全功能技术要求方面与CC的另一个重要区别在于,前者按照《准则》五个安全保护等级,对安全功能技术在不同安全保护等级的不同要求进行了描述,而CC虽然在对安全功能技术要求的叙述方面有要求上的差别,但并未进行明确的等级划分。
2) 在安全保证技术要求方面
《通用技术要求》与CC都对安全保证技术要求进行了等级划分,并对每一级提出了不同要求。前者按五级进行划分,后者按七级进行划分。
从具体内容看,《通用技术要求》从TCB自身安全保护、TCB的设计与实现和TCB的安全管理等方面全面描述了安全保证技术要求的内容,并以安全保证技术要求与安全功能技术要求共同作为等级划分的依据,其中,TCB自身安全保护的内容是在吸收CC中“TSF保护类”、“资源利用类”和“TOE访问类”的相关内容的基础上编写而成的;TCB的设计与实现是在吸收CC中安全保证部分各保证类的相关内容的基础上编写而成的;TCB的安全管理是在吸收CC“安全管理类”的基础上编写而成的。CC的安全保证技术要求仅从TCB的设计与实现的角度进行描述和分级。
3) 在安全等级划分方面
《通用技术要求》按照《准则》五个安全等级的划分要求,对计算机信息系统的安全等级的每一级的安全技术要求(包括安全功能要求的描述和安全保证要求)进行了完整的描述,而CC在等级划分方面只是从安全保证的角度进行保证级别的评估。而且,其安全保证也仅仅涉及TOE设计和实现方面的内容。虽然,从CC对安全功能要求的描述中可以明显的看出其安全功能要求上的差异,但CC并未将这些差异作为安全等级划分的依据。这些都是《通用技术要求》在安全等级划分方面的明显区别。
4) TCB、TSF、TSP、SFP及其相互关系
TCB是《准则》中的一个十分重要的概念。按照《准则》的定义,TCB是“计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境,并提供一个可信计算系统所要求的附加用户服务。”在CC中,是围绕TOE(评估对象)进行讨论的。其实,《准则》中的TCB与CC中的TOE没有本质上的区别,只是前者是从构建安全系统的角度来看问题,而后者是从对安全系统进行评估的角度来看问题。
在单一的计算机系统中,根据系统设计方法的不同,TCB可以是一个安全内核,也可以是一个前端过滤器,或者就是整个可信计算机系统。对于一个通用的操作系统,TCB应包括操作系统的关键单元或包括全部操作系统。
在我们所讨论的计算机信息系统中,TCB成为构成一个安全的计算机信息系统的所有安全保护装置的组合体(通常称为安全子系统)。一个TCB可以包含多个安全功能模块(TSF),每一个TSF实现一个安全功能策略(TSP),这些TSP共同构成一个安全域,以防止不可信主体的干扰和篡改。实现TSF有两种方法,一种是设置前端过滤器,另一种是设置访问监督器。两者都是在一定硬件基础上通过软件实现确定的安全策略和提供所要求的附加服务。比如,作为前端过滤器的TSF,能防止非法进入系统,作为访问监督器的TSF,能防止越权访问等等。在网络环境下,一个TSF可能跨网络实现,这种情况要比在单一计算机系统中更为复杂。TSF各组成部分协同工作,构成一个物理上分散、逻辑上统一的安全实体,实现确定的安全策略,提供相应的附加服务。CA认证系统是一个典型的在网络环境运行的TSF。
5) 主体、客体和访问授权
主体、客体及其授权控制是信息安全的中心环节。这在CC与《通用技术要求》中是一致的。在一个计算机信息系统中,每个实体成分都必须或者是主体,或者是客体,或者既是主体又是客体。
主体是一个主动的实体,它包括用户、用户组、终端、主机或一个应用。系统中最原始的主体应该是用户(包括一般用户、系统管理员、系统安全员、系统审计员等)。每个进入系统的用户必须是唯一标识的,并经过认证确定为真实的。系统中的所有事件要求,几乎全是由用户激发的。
客体是一个被动的实体,它可以是一个字段、记录、文件、程序,或是一个处理器、存储器、网络节点等。系统中最终的客体应该是记录介质及其信息。介质只有与信息相结合才有实际意义。系统中的另一类实体,如进程(包括用户进程和系统进程)、中介服务器等,有着双重身份。当一个进程运行时,它必定为某一用户服务——直接或间接的处理该用户的事件要求。于是,该进程成为该用户的客体,或为另一进程的客体,而这另一进程则是该用户的客体。依此类推,系统中运行的任一进程,总是直接或间接为某一用户服务。这种服务关系可以构成一个服务链。服务者是要求者的客体,要求者是服务者的主体,而最原始的主体是用户,最终的客体是一定记录介质上的信息(数据)。在客户/服务器结构的运行环境中,客户端是主体,服务器端是客体,而如果是三层结构的话,中间层的服务器则既是客户端的客体,又是服务器端的主体。
用户进程是固定为某一用户服务的,它在运行中代表该用户对客体资源进行访问,其权限应与所代表的用户相同。系统进程是动态的为所有用户提供服务的,因而它的权限是随着服务对象的变化而变化的,这就需要将用户的权限与为其服务的进程的权限动态的相关联。授权管理机制所提供的授权操作,只需要通过授权,确定用户对最终客体(如文件、数据库表等)的访问权限即可。
