网络安全之安全设计原则

本文摘自CISSP官方学习指南第八版
广告
CISSP官方学习手册(第9版)（网络空间安全丛书）
京东
¥161.00
去购买​
广告
CISSP官方学习指南(第8版)正版
京东
¥190.30
去购买​
1.使用安全设计原则实施和管理工程过程
在系统开发的每个阶段都应考虑安全。程序员应该努力为他们开发的每个应用构建安全性，为关键应用以及处理敏感信息的应用提供更高级别的安全性。

1.1 客体和主体

    主体（Subject）是发出访问资源请求的用户或进程。访问意味着可读取一个资源或在其中写入数据。
    客体（Object）是用户或进程想要访问的资源。
1
2

主体和客体由某些特定的访问请求决定，因此在不同的访问请求中，相同的资源即可能是主体也可能是客体。

信任传递是一个严重的安全问题，因为它可以绕过约束或限制。例如，使用代理访问网络。（突破了网络限制）

1.2 封闭系统和开放系统
可以根据两种不同的理念设计和构建系统：
- 封闭系统的设计使其只能与很少的系统协作，通常都是来自同一制造商。封闭系统的标准一般是专有的，通常不会公开。
- 开放系统使用公认的行业标准设计。开放系统很容易与来自支持相同标准的不同厂商的系统进行集成。

封闭系统很难与相异的系统集成，但是他们更安全。封闭系统通常由不符合行业标准的专用硬件和软件组成。这意味着很多针对通用系统组件的攻击，要么不起作用，要么定制才能攻击成功。（攻击成本高）
开放系统通常更容易与其他开放系统集成。开放系统的开放性使它们更容易受到攻击，并且它们的广泛存在是攻击者能找到（甚至实践）大量潜在目标。
1
2

​
添加图片注释，不超过 140 字（可选）

1.3 用于确保保密性、完整性和可用性的技术

限制(Confinement)
1

软件设计者使用“进程限制”来约束程序的行为。进程限制使进程只能对某些内存位置和资源进行读取和写入，这也被称为沙箱。操作系统或某些其他安全组件不允许非法的读写请求。
限制可以在操作系统本身实现（通过进程隔离和内存保护），也可通过限制应用程序和服务实现，或通过虚拟化或虚拟机方案。

界限(Bound)
1

在系统上运行的每个进程都有授权级别。授权级别告知操作系统进程可执行什么操作。在简单系统中，可能只有两种授权级别：用户和内核。授权级别告知操作系统如何设置进程的界限。进程的界限由对其可以访问的内存地址和资源所设置的限制组成。界限规定了限制和包含进程的区域。这些界限划分出每个进程使用的内存逻辑区域。操作系统负责强制执行这些逻辑界限并禁止其他进程访问。更安全的系统可能需要物理上限制进程。物理界限要求每个受限进程的运行内存与其他受限进程的运行内存在物理上（而不是逻辑上）隔离。物理上限定内存可能非常昂贵，但它比逻辑边界更安全。

隔离（Isolation)
1

当通过执行访问界限来限制进程时，该进程将以隔离状态运行。进程隔离可确保隔离状态进程的任何行为仅影响与其关联的内存和资源。隔离用来保护操作环境，操作系统（OS）的内核以及其他独立应用程序。隔离时一个稳定的操作系统的重要组成部分。隔离能阻止一个应用访问另一个应用的内存和资源，不论是善意还是恶意的访问。

限制，界限和隔离这三个概念使得设计安全程序和操作系统变得更困难，但它们也使实现更安全的系统成为可能。
1

1.4 控制

为确保系统的安全性，主体只能访问经过授权的客体。控制使用访问规则（Control）来限制主体对客体的访问。访问规则声明了每个主体可以合法访问客体。

有两种访问控制：

 强制访问控制（Mandatory Access Control，MAC）

        是否许可一个访问由主体和客体的静态属性来决定。每个主体都拥有属性，用来定义其访问资源的许可或授权。每个客体拥有属性，用来定义其分类。

自主访问控制（Discretionary Access Control，DAC）
1
2
3
4
5

主体具有一些定义要访问的客体的能力，允许主体根据需要定义要访问的客体列表。这些访问控制列表是主体可修改的动态访问规则集。对于修改的约束通常与主体的身份相关。可以允许主体添加或修改对客体的访问规则。

强制访问控制和自主访问控制都限制主体对客体的访问。访问控制的主要目标是，通过阻止已授权或未授权的主体的未授权访问，确保数据的保密性和完整性。

1.5 信任与保证

安全问题不应该在事后才加以考虑，这会导致疏忽，成本增加以及可靠性降低。一旦将安全性集成到设计中，就必须对其进行设计、实现、测试、审核、评估、认证并最终获得认可。

“可信系统”（trusted system）指所有保护机制协同工作的系统，为许多类型的用户处理敏感数据，同时维护稳定和安全的计算环境。
“保证”（Assurance）满足安全需求的可信程度。保证需要持续地维护、更新以及重新验证。

无论何时发生变化，都需要重新评估系统，以验证其先前提供的安全级别是否仍然完好无缺。保证因系统而异，必须针对单独的系统建立。

信任可以通过实现特定的安全功能构建到系统中，而保证是在真实情况下对这些安全功能的可靠性和可用性的评估。

2.理解安全模型的基本概念

在信息安全中，模型提供了一种形式化安全策略的方法。所有模型都旨在提供一组明确规则，计算机可遵循这些规则来实现构成安全策略的基本安全概念、过程和程序。

安全模型为设计人员提供一种将抽象陈述映射到安全策略的方法，该策略规定了构建硬件和软件所需的算法和数据结构。因此，安全模型为软件设计人员提供了一些衡量其设计和实现的标准。
这些策略必须支持安全策略的每个部分。通过这种方式，开发人员可确保他们的安全实现能支持安全策略。

2.1 可信计算基

TCSEC（Trusted Computer System Evaluation Criteria，可信计算机系统评估标准），该标准将可信计算机（Trusted Computing Base，TCB）描述为硬件、软件和控件的组合，它们协同工作构成执行安全策略的可信根基。TCB是系统中唯一可信任的部分，其遵守并执行安全策略。系统中的每个组件未必都是可信的，但从安全角度考虑系统时，应该对构成系统TCB的所有可信组件进行评估。

通常系统中的TCB组件负责控制对系统的访问。TCB必须提供访问TCB本身内部和外部资源的方法，TCB组件通常会限制TCB外部组件的活动。TCB组件的职责是确保系统在所有情况下都能正常运行，在所有情况下都遵守安全策略。

  安全边界

      系统的安全边界（Security Perimeter）是一个假想的边界，将TCB与系统的其余部分分开。该边界确保TCB与计算机系统的其余元件之间不会发生不安全的通信或交互。TCB要想与系统的其余部分进行通信，必须创建安全通道，也称为可信路径。可信路径是使用严格标准建立的通道，在不将TCB暴露于安全漏洞的情况下允许进行必须要的通信。可信路径还可以保护系统用户（有时称为主体）免受因TCB交换而导致的影响。
1
2
3

​
添加图片注释，不超过 140 字（可选）

参考监视器和内核
1

TCB中负责在授权访问请求之前验证资源的部分称为参考监视器。参考监视器位于每个主体和客体之间，在允许任何请求继续之前，验证请求主体的凭据是否满足客体的访问要去。参考监视器是TCB的访问控制执行者。
TCB中用于实现参考监视器功能的组件集合称为安全内核。安全内核的目标是启动适当的组件以执行参考监视器功能并抵御所有已知攻击。安全内核使用可信路径与主体进行通信。参考监视器需要有关其保护的每个资源的描述性信息。

2.2 状态机模型

状态机模型描述了一个系统，它无论处于什么状态总是安全的。它基于有限状态机（Finite State Machine,FSM)的计算科学定义。FSM将外部输入与内部机器状态相结合，为各种复杂系统建模，包括解析器、解码器和解释器。给定一个输入和一个状态，FSM会转换到另一个状态并可能产生一个输出。

许多安全模型都基于安全状态概念。如果一个状态的所有方面都符合安全策略的要求，那么该状态就是安全的。如果每个可能的状态转换都转换到另一个安全状态，则该系统可称为安全状态机。
安全状态机模型是其他许多安全模型的基础。

2.3 信息流模型

信息流模型侧重于信息流。信息流模型基于状态机模型，Bell-LaPadula 和Biba模型。
Bell-LaPadula 模型关注的是防止信息从高安全级别流向较低安全级别。
Biba模型关注的是防止信息从较低安全级别流向高安全级别。
信息流模型不一定只处理信息流的方向，还可处理流动的类型。
信息流模型旨在防止未经授权、不安全或受限制的信息流，通常在不同的安全级别之间。信息流模型允许所有已授权信息流，无论是在相同的分类级别内还是在分类级别之间。信息流模型防止所有未经授权的信息流，无论是在同一分类级别还是在分类级别之间。
信息流模型可以用于建立同一对象不同时间点的两个版本或状态之间的关系。因此，信息流指示对象从一个时间点的一个状态到另一个时间点的另一个状态的转换。信息流模型还可以通过明确排除所有非定义流动路径来解决隐蔽通道问题。

2.4 非干扰模型

非干扰模型大致基于信息流模型。然而，非干扰模型并非关注信息流，而是关注较高安全级别的主动的动作如何影响系统状态或较低安全级别的主体的动作。
基本上，主体A（高级别）的行为不影响主体B（低级别）的行为，甚至不应引起主体B的注意。
非干扰模型真正关注的是防止处在高安全分类水平的主体的行为影响处于较低安全分类水平的系统状态。如果发生这种情况，主体B可能处于不安全状态，或者可能会推断出有关更高级别分类信息。这是一种信息泄露，并且暗中创建了隐蔽通道。因此，使用非干扰模型可以提供一种保护形式，防止诸如特洛伊木马的恶意程序造成的损害。

​
添加图片注释，不超过 140 字（可选）

2.5 Take-Grant 模型

Take-Grant模型使用有向图来规定如何将权限从一个主体传递到另一个主体或从主体传递到客体。
Take-Grant模型可采用创建规则和删除规则来生成或删除权限。此模型的关键是使用这些规则可以让你了解系统中的权限何时可能更改以及可能发生泄露（即无意的权限分配）的位置。

​
添加图片注释，不超过 140 字（可选）

2.6 访问控制矩阵

访问控制矩阵是主体和客体的表，其指示每个主体可对每个客体执行的动作或功能。矩阵的每列是访问控制列表（ACL），矩阵的每一行都是一个能力列表。ACL与客体绑定，它列出了每个主体可执行的有效操作。能力列表与主体相关联，它列出可对每个客体执行的有效操作。

实现访问控制矩阵模型通常涉及以下内容：

构建可以创建和管理主体和客体列表的环境。
编写一个函数，它的输入可以是任何类型的对象。函数可以返回与此对象相关的类型（这很重要，因为客体的类型决定了可对它应用那种操作）
1
2

​
添加图片注释，不超过 140 字（可选）

2.7 Bell-LaPadula模型

美国国防部（DoD）在20世纪70年代开发了Bell-LaPadula模型。其模型源自国防部的多级安全策略。多级安全策略规定，具有任何级别许可的主体可以访问其许可级别或以下级别的资源。
但在较高许可级别内，仅在“知其所需” （need to know）的基础上授予访问权限。

Bell-LaPadula模型可防止机密信息泄露或转移到较低的安全许可级别。这是通过阻止较低分类的主体访问较高级别的客体来实现的。Bell-LaPadula模型专注于维护客体的保密性。模型中解决了确保文档保密性所涉及的复杂问题。但没有解决客体的完整性或可用性方便的问题。Bell-LaPadula也是多级安全策略中的第一个数字模型。

Bell-LaPadula模型建立在状态机概念和信息流模型之上，还采用了强制访问控制和格子概念。这个状态机有三个基本属性：

简单安全属性（Simple Security Property）规定主体不能读取较高敏感度级别的信息（不准向上读）.
安全属性（Security Property）规定主体不能将信息写入位于较低敏感度级别的客体（不准向下写），这也称为限制属性（confinement property）
自由安全属性（Discretionary Security Property）规定系统使用访问矩阵执行自主访问控制。
1
2
3

前两个属性定义了系统可以转换到的状态，不允许其他状态转换。所有可通过这两个规则访问到的状态都是安全状态。因此，基于Bell-LaPadula模型的系统可提供状态机模型的安全性。

​
添加图片注释，不超过 140 字（可选）

Bell-LaPadula属性适用于保护数据保密性。主体不能读取分类级别高于其级别的客体。
由于一个级别客体的数据比低级别客体中的数据更敏感或保密，因此主体（非受信任主体）不能将数据从一个级别写入较低级别的客体中。
第三个属性实现了主体具有“知其所需”权限才能访问客体的规则。
1
2
3

Bell-LaPadula模型确实很好地处理了保密性问题，因此它经常与提供处理完整性和可用性机制的其他模型结合使用。

2.8 Biba模型

对于一些非军事组织而言，完整性比保密性更重要。出于这种需求，开发了以完整性为重点的安全模型。
Biba模型是在Bell-LaPadula模型之后设计的。Biba模型解决的是完整性问题。Biba模型也建立在状态机概念上，基于信息流，是一个多级别模型。

Biba模型状态机的基本属性或公理：

简单完整性属性（Simple Integrity Property）规定主体不能读取较低完整性级别的客体（不准向下读）
完整性属性（Integrity Property）规定主体不能修改更高完整性级别的对象（不准向上写）
1
2

​
添加图片注释，不超过 140 字（可选）

Biba模型旨在解决三个完整性问题：

防止未授权的主体修改客体
防止授权主体对客体进行未经授权的修改
保护内部和外部客体的一致性
1
2
3

Biba模型要求所有主体和客体都有分类标签，因此，数据完整性保护依赖于数据分类。

缺点：

它仅解决了完整性问题，没解决保密性或可用性问题。
重点是保护客体免受外部威胁，它假定内部威胁以程序化方式处理。
它没有涉及访问控制管理，也没有提供方法来分配或更改客体或主体的分类级别
它不能阻止隐蔽通道
1
2
3
4

由于Biba模型侧重于数据完整性，更多应用于商业安全模型。

2.9 Clark-Wilson模型

Clark-Wilson模型采用多方面的措施来实施数据完整性。Clark-Wilson模型没有定义正式的状态机，而是定义每个数据项且仅允许通过某一小组程序进行修改。

它使用被称为三元组或访问控制三元组的主体、程序、客体（或主体、事务、客体）的三部分关系。主体无法直接访问客体，客体只能通过程序访问。通过使用两个原则：标准格式的事务和职责分离，Clark-Wilson模型提供了保护完整性的有效手段。

标准格式的事务采用程序的形式，主体只能通过使用程序、接口或访问门户来访问客体。每个程序对客体可以做什么和不能做什么都有特定限制。这有效地限制了主体的能力，称为约束接口。如果程序设计合理，则这中三元关系就能提供保护客体完整性的方法。

​
添加图片注释，不超过 140 字（可选）

Clark-Wilson 模型定义了以下数据项和程序：

受约束数据项（Constrained Data Item，CDI）是完整性受到安全模型保护的任何数据项。
无约束数据项（Unconstrained Data Item，UDI）是不受安全模型控制的任何数据项。任何输入但未验证的数据或任何输出，将被视为无约束数据项。
完整性验证过程（Integrity Verification Procedure，IVP）是扫描数据项并确认其完整性的过程。
转换过程（Transformation Procedure，TP）是唯一允许修改CDI的过程，通过TP限制对CDI的访问构成了Clark-Wilson完整性模型的支柱。
1
2
3
4

Clark-Wilson模型使用安全标签来授权客体的访问权限，但仅限于通过转换过程和受限制的接口模型。

Clark-Wilson模型可确保数据不会被任何用户未经授权而更改。实际上，Clark-Wilson模型实现了职责分离。它是商业应用的通用模型。

2.10 Brewer and Nash 模型

Brewer and Nash模型是为了允许访问控制可以基于用户先前的活动而动态改变。该模型适用于单个集成的数据库，它试图创建对利益冲突概念敏感的安全域。该模型创建了一类数据，这个数据类定义了哪些安全域存在潜在的冲突，对于能够访问某个属于特定冲突类的安全域的任何主体，阻止他们访问属于相同冲突的其他任何安全域。

考虑Brewer and Nash模型的另一种方式是：管理员根据其所分配的工作职责和工作任务，对系统中的大量数据拥有完全的访问控制。但在对任何数据项执行操作时，管理员对任何冲突数据项的访问将暂时被阻止。在操作期间，只能访问与初始数据项相关的数据项。任务完成后，管理员的权限将恢复为完全控制。

2.11 Goguen-Meseguer模型

Gogune-Meseguer模型是一个完整性模型。这个模型被认为是非干涉概念理论的基础。通常当有人提到非干涉模型时，他们实际上是指Goguen-Meseguer模型。
该模型基于预先确定集合或域（主体可访问的客体列表）该模型基于自动化理论和域隔离。这意味着仅允许主体对预定客体执行预定动作。当相似的用户被分组到他们自己的域（即集合）时，一个主体域的成员不能干扰另一个主体域的成员。因此，主体不能干扰彼此的活动。

2.12 Sutherland 模型

该模型是一个完整性模型，侧重于防止干扰以支持完整性。它正式地基于状态机模型和信息流模型。但它并没有直接表明保护完整性的具体机制。该模型基于定义一组系统状态、初始状态以及状态转换的思想。通过仅使用这些预定的安全状态来保持完整性并且阻止干扰。

2.13 Graham-Denning模型

该模型专注于主体和客体的安全创建与删除。Graham-Denning 是八个主要保护规则或操作的集合。用于定义某些安全操作的边界：

安全地创建客体
安全地创建主体
安全地删除客体
安全地删除主体
安全地提供读取访问权限
安全地提供授权访问权限
安全地提供删除访问权限
安全地提供传输访问权限
1
2
3
4
5
6
7
8

通常，主体的针对一组客体的特定能力或权限定义在访问矩阵（也称为访问控制矩阵）中。

3.基于系统安全需求悬着控制措施

在进行系统安全评估时，系统通常需要经过两个步骤：

对系统进行测试和技术评估，以确保系统的安全功能符合其预期使用的标准。
系统应对其设计和安全标准及其实际能力和性能进行正式比较，负责此类系统安全性和准确性的人员必须决定时接受它们还是拒绝它们，还是对标准进行一些修改，然后再试一次。
通常会聘请可信的第三方来执行此类评估，这种测试最重要的结果时它们的“批准印章”（即系统符合所有基本标准）。
1
2
3

无论评估是在组织内部进行的还是在组织外部进行的，采购系统的组织都必须决定接受还是拒绝所建议的系统。是否接受系统和何时接受系统，是组织的管理层必须承担的正式责任，并要承担与采购系统的部署和使用相关的任何风险。

这里将探讨的三个主要评估模型或分类标准模型是：TCSEC 、 ITSEC 和通用准则（CC）

3.1 彩虹系列

可信计算机系统评估标准（TCSEC），由于这些出版物通常通过其封面的颜色来识别，因此它们统称为彩虹系列。
欧洲模型称为信息技术安全评估标准（ITSEC）。
最终，TCSEC和ITSEC被所谓的通用准则（Common Criteria，CC）所取代。

3.2 TCSEC 分类和所需功能

TCSEC融合了功能性和保证，将系统提供的保密性保护等级分为四大类。TCSEC定义了下列主要类别：

类别A，已验证保护，最高级别的安全性。
类别B，强制保护。
类别C，自主保护。
类别D，最小保护，用于已被评估但达不到其他类别的要求的系统。

​
添加图片注释，不超过 140 字（可选）

自主保护（类别C1，C2）自主保护系统提供了基本的访问控制。此类别中的系统确实提供了一些安全控制，但缺乏更复杂和严格的控制，不能满足安全系统的特定需求。C1和C2类别的系统提供了基本的控制，并为系统安装和配置提供了完整的文档。

自主保护（C1），自主性安全保护系统通过用户ID和、或组实现控制访问。尽管存在一些限制对客体访问的控制，但此类别中的系统只能提供较弱的保护。
受控访问保护（C2），受控访问保护系统比C1系统更安全。用户只有经过单独识别后才能访问客体。C2系统还必须强制执行介质清理。通过执行介质清理，任何介质必须在其他用户重复使用前彻底清理，防止残余数据查看或使用。此外，必须强制执行严格的登录过程，以限制无效或未授权用户的访问。
1
2

强制保护类别（类别B1，B2，B3）强制保护系统比C类或D类系统提供了更多的安全控制。由于具备更细颗粒度的控制，只允许非常有限的主体、客体访问集合。此类型基于Bell-LaPadula模型。强制访问基于安全标签。

标签化安全（B1）每个主体和客体都有一个安全标签。B1系统通过匹配主体和客体的标签并比较其权限兼容性来授予访问权限。B1系统为保存已分类数据提供了足够的安全性。
结构化保护（B2）除了对安全标签的要求，B2系统必须确保不存在隐蔽通道。操作员和管理员职责分离，并且进程也要保持隔离。与B1系统相比，B2系统为已分类数据提供更多安全功能。
安全域（B3）安全域系统通过进一步增加不相关进程的分离和隔离来提供更安全的功能。它明确定义管理功能，并与其他用户使用的功能分开。B3系统的重点转向简单性，以减少未使用或额外代码中的漏洞暴露风险。它为非常敏感或秘密的数据提供了充分的安全控制。
1
2
3

已验证保护（类A1）与B3系统中采用的结构和控制类似。不同之处在于开发周期。开发周期的每个阶段都使用正式方法进行控制，每个阶段的设计都需要记录，评估和验证。在开发和部署的所有步骤中都非常关注安全，并且是正式地保证系统强安全性的唯一方法。从设计文档开始，该文档说明了最终系统如何满足安全策略。每个开发步骤都要在安全策略的上下文中进行评估。功能性至关重要，但保证比在低安全性类别中更重要。A1系统代表最高级别的安全性，旨在处理绝密数据。从设计到交付和安装，每个步骤都经过记录和验证。

红皮书：TCSEC的可信网络解读，可以认为是对橘皮书应用于网络环境中的一种解释。红皮书的功能：

保密性和完整性等级
解决通信完整性问题
解决拒绝服务保护问题
解决危害（即入侵）预防和保护
仅限于标记为“使用单一鉴别的集中式网络”的有限类别的网络
仅使用四个评级：无（none），C1（最小，Minimum），C2（一般，Fair）和B2（好，good）
1
2
3
4
5
6

绿皮书：美国国防部密码管理指南，提供密码创建和管理的指南，对于配置和管理可信系统的人来说，绿皮书很重要。

​
添加图片注释，不超过 140 字（可选）

ITSEC类别与所需保证和功能

ITSEC 代表了欧洲在制定安全评估标准的初步尝试。它是作为TCSEC指南的替代方案而开发的。ITSEC指南评估系统的功能和保证，每个类别使用不同的评级。
系统的功能是对用户的系统效用值的度量，系统的功能评级表明系统执行所有必要的功能与其设计和预期目标的符合程度。保证等级表示系统以一致的方式正常工作的可信程度。

ITSEC将评估中的系统称为评估目标（Target Of Evaluation，TOE）。所有评级均以两类TOE评级表示，ITSEC使用两个尺度来评估功能和保证。

系统的功能等级从F-D到F-B3进行评级（没有F-A1）。系统的保证等级从E0到E6进行评级。大多数ITSEC等级通常与TCSEC等级相对应。

TCSEC和ITSEC两个标准之间最重要的一些差异：

TCSEC几乎只专注于保密性，而ITSEC除了保密性外，还解决缺少完整性和可用性的问题，从而涵盖了维护完整的信息安全性的三个重要因素。
ITSEC不依赖于TCB的概念，也不要求在TCB中隔离系统的安全组件。
TCSEC要求任何已更改的系统都要重新评估 -- 无论操作系统升级，打补丁还是修复，以及应用程序升级或变更等。与TCSEC不同，ITSEC在发生此类变更后不需要进行新的正式评估，而将其包含在评估目标维护的范畴里。
1
2
3

3.3 通用准则

通用准则（CC），定义了测试和确认系统安全功能的各种级别，级别的数字表示了执行了哪种类型的测试和确认。即使最高的CC评级也不等同于这些系统绝对的安全，或者说它们完全没有可利用的漏洞或脆弱点。CC被设计为一个产品评估模型。

通用准则的认可



     CC成为一个国际标准，该文件由ISO 转换为官方标准：ISO 15408 ，信息技术安全评估标准。CC指南目标如下



 增加购买者对已评估和已评级的IT产品安全性信心。
为消除重复评估
使安全评估和认证过程更具有效益和效率
确保IT产品的评估符合高标准和一致的标准
促进评估，并提高已评估和已评级的IT产品的可用性
评估TOE的功能性（也就是系统的功能）和保证（也就是系统被信任的程度）
1
2
3
4
5
6
7
8
9
10
11
12
13
14

通用准则过程居于两个要素：保护范畴和安全目标。
保护范畴（Protection Profile，PP），为要评估的产品（TOE）指定安全要求和保护。这些要求和保护被认为使客户的安全要求或“客户想要的安全”。
安全目标（Security Targets，ST）指定了供应商在TOE内构建的安全声明。ST被认为是已实施的安全措施或是供应商的“我将提供的安全”声明。

通用准则还允许供应商在设计和创建产品时更加灵活。一套明确定义的通用准则支持主观性和多用性，它可以自动适应不断变化的技术和威胁环境。

通用准则的结构
1

CC指南分为如下三个部分：

部分1，“简介”和“通用模型”描述了用于评估IT安全性的一般概念和基础模型，以及指定评估目标涉及的内容。它包含有用的介绍性和解释性材料，适用于那些不熟悉安全评估过程工作或需要帮助以阅读和解释评估结果的人员。
部分2，“安全功能要求”描述安全审计，通信安全，安全性密码学支持，用户数据保护，身份标识，身份验证，安全管理，TOE安全功能（TSF），资源利用，系统访问和可信路径等方面的功能要求。
部分3，“安全保障”涵盖TOE在配置管理、交付和运营、开发、指导文档和生命周期支持以及保证测试和漏洞评估等方面的保证要求。涵盖了CC评估过程中预想的全部安全保证检查和保护范畴，以及描述系统设计、检查和测试方式的评估保证级别的信息。

​
添加图片注释，不超过 140 字（可选）

CC指南并不确保用户对数据的操作方式也是安全的。也没有解决特定安全范围之外的管理问题，同时也不包括现场安全评估，也就是说，它们不涉及与人员、组织实践和过程或物理安全相关的控制。CC指南没有解决对电磁辐射的控制，也没有明确规定对加密算法强度进行评级的标准。尽管如此，CC指南仍然代表了可对系统进行安全评级的一些最佳技术。

​
添加图片注释，不超过 140 字（可选）

3.4 行业和国际安全实施指南

支付卡行业数据安全标准（PCI DSS）和国际标准化组织（ISO）

PCI DSS 是一组提高电子支付交易安全性的要求。这些标准由PCI安全标准委员会成员制定，这些成员主要是信用卡银行和金融机构。 PCI DSS定义了安全管理、策略、程序、网络架构、软件设计和其他关键保护措施的要求。

ISO是由各个国家标准组织的代表组成的全球标准制定组织。ISO定义了工业和商业设备、软件、协议和管理以及其他标准。它发布了六个主要产品：

国际标准
技术报告
技术规范
公开可用规范
技术勘误
指南
1
2
3
4
5
6

3.5 认证和鉴定

需要系统安全的组织需要一种或多种方法来评估系统满足其安全要求的程度，正式评估过程分为两个阶段，称为认证和鉴定。

每个阶段所需的实际步骤取决于组织选择的评估标准。

认证（Certification）

  整个评估过程的第一阶段是认证。认证是对IT系统以及为支持鉴定过程而制定的其他保护措施的技术和非技术安全功能的综合评估，从而确定特定设计和实施满足一组特定安全要求的程度。


系统认证是对计算机系统各个部分的技术评估，以评估其与安全标准的一致性。首先，选择评估标准，分析每个系统组件以确定它是否满足所期望的安全目标。包括测试系统的硬件、软件和配置。此阶段评估所有控件，包括管理性的、技术性的和物理性控制。


评估整个系统后，可对结果进行评估，以确定系统在其当前环境中支持的安全级别。系统环境是认证分析的关键部分，因此其周围环境可能或多或少地影响系统的安全。对一个系统进行认证时，你必须考虑所有因素。
1
2
3
4
5
6
7
8
9

评估完所有因素并确定系统的安全级别后，即可完成认证阶段。记住，认证仅对特定环境和配置中的系统有效。任何更改都可能导致认证失效，一旦你为某个特定的配置认证了安全评级，就可以准备系统验收了，管理层通过鉴定流程接收系统的已认证安全配置。

鉴定（Accreditation）
1

组织的管理层将系统的安全功能与组织需求进行比较。安全策略必须明确说明安全系统的要求，管理层审核认证信息并确定系统是否满足组织的安全需求。如果管理层确定系统的认证满足他们的需求，系统就被鉴定了。

鉴定是指定审批机构（DDA）正式声明：IT系统被批准在特定安全模式下使用规定的一套保障措施在可接受的风险水平下运行。一旦鉴定完毕，管理层就可以正式认可评估系统的整体安全性能。

认证和鉴定的过程通常时迭代的。无论何时更改配置，都必须重新验证新配置。你的安全策略应指出在什么情况下需要重新认证。合理策略会列出认证的有效时间，并列出那些更改需要重新启动认证和鉴定流程。

认证和鉴定系统
1

CNSSP （Committee on National Security Systems Policy)美国国家安全系统委员会策略，CNSSP取代了美国国家信息保障认证和鉴定过程（NIACAP）。

阶段1，定义 涉及指派适当的项目人员、任务需求文档、以及注册、协商和创建系统安全授权协议（SSAA），用于指导整个认证和鉴定过程。
阶段2，验证 包括SSAA的细化，系统开发活动和认证分析。
阶段3，确认 包括进一步细化SSAA，对集成系统进行认证评估，向DAA提出建议以及DAA的鉴定决定。
阶段4，鉴定后 包括SSAA的维护、系统操作、变更管理和合规性验证。

由美国国家安全局信息系统安全组织管理的NIACAP流程概述了可能授予的三种类型的鉴定，这些鉴定类型的定义如下：

对于系统的鉴定，将评估主要的应用程序或一般支撑系统。
对于场所的鉴定，将评估特定的独立位置的应有程序和系统。
对于类型的鉴定，将评估分布到多个不同位置的应用程序或系统。
1
2
3

4.理解信息系统的安全功能

信息系统的安全功能包括内存保护、虚拟化、可信平台模块（TPM），接口和容错。

4.1 内存保护

内存保护是核心安全组件，在操作系统中必须设计和实现。内存保护用于防止活动的进程与不是专门指派或分配给他的内存区域进行交互。

4.2 虚拟化

虚拟化技术用于在单一主机的内存中运行一个或多个操作系统。

4.3 可信平台模块

Trusted Platform Module，TPM 是主板上的加密处理芯片的规范，也是实现此规范的通用名称。TPM芯片用于存储和处理加密密钥，用户满足基于硬件支持、实现的硬盘加密系统。通常认为用硬件实现硬盘加密比用纯软件实现更安全。

硬件安全模块（HSM）也是一种加密处理器，用于管理、存储数字加密密钥，加速加密操作，支持更快的数字签名以及改进身份验证。HSM通常是附加的适配器或外围设备，或是TCP、IP网络设备。

TPM是HSM的一个例子。

HSM为大型（2048位以上）非对称加密计算提供加速解决方案而且提供密钥安全存储库。

4.4 接口

通过在应有程序中实现受约束或受限制的接口，以限制用户根据其权限执行操作或查看内容。拥有完全权限的用户可以访问应用程序的所有功能。权限受限的用户访问则受到限制。

一种常见方法是用户无权使用该功能是隐藏该功能。（不显示或变暗）

受约束接口的目的是限制或约束已授权和未授权用户的操作。这种接口的使用是Clark-Wilson安全模型的一种实际的实现。

4.5 容错

容错是指系统遭受到故障后仍然能继续运行的能力。如 RAID，HA。容错是安全设计的基本要素。