安全加固之系统评估方法—通用标准CC

系统评估方法

保证评估研究系统的安全相关部分，包括TCB、访问控制机制、引用监视器、内核以及保护机制。

此外，对这些组件之间的关系和相互作用也要进行评估。对系统的保证级别进行评估和指定有着不同的方法。

国际标准化组织指定了全球使用的一种国际性标准准则（简称CC），被编制国家标准 ISO/IEC 15408中，通用准则。

1996年6月，CC第一版发布；1998年5月，CC第二版发布；1999年 10月CC V2.1版发布，并且成为ISO标准。CC的主要思想和框架都取自ITSEC和FC，并充分突出了“保护轮廓”概念。

CC将评估过程划分为功能和保证两部分，评估等级分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7共七个等级。每一级均需评估7个功能类，分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。

从EAL1到EAL7一共有7个等级。等级越高，表示通过认证需要满足的安全保证要求越多，系统的安全特性越可靠。EAL不衡量系统本身的安全性，只表示测试的严格程度。实现特定的EAL等级，产品或系统需要满足特定的安全保证要求。大多数要求包括设计文档、设计分析、功能测试、穿透测试。等级越高，需要越详细的文档、分析和测试。一般实现更高的EAL认证，需要耗费更多的时间和金钱。通过特定级别的EAL认证，表示产品或系统满足该级别的所有安全保证要求。

通用准则在评估过程中使用了保护样板。保护样板描述了对环境的假设、目标以及功能性和保障级别期望。

评估过程只是判断产品功能和保证的一个方面。一旦害怕获得了特定的评级，它只适用于特定的版本，只适用于该产品的某种配置。因为会受限产品部署的环境、配置限制，评估环境是一个最理想状态的评价，也只是针对某款产品。

通用准则的不同组成部分：

保护样板：描述所需的安全解决方案
评估目标（TOE）：提供所需安全解决方案的建议产品
安全目标（ST）：供应商的书面说明，解析满足所需安全解决方案的安全功能和保证机制。
安全功能要求（PP）：产品必须提供的每一个安全功能。
安全保证要求：在对产品开发和评估过程中，为保证合乎所声称的安全功能的规定而采取的措施。
数据包（EAL）：把功能和保证需求封装起来，以便今后使用。这部分详细描述要实现特定EAL评级所必须满足的要求。

上图的解释为，根据等级描述所需的安全解决方案，即保护样板；根据保护样板，描述所需安全解决方案的建议产品（参考标准），即评估目标（TOE）;供应商根据TOE，对标提供所提供产品的功能和保证组件机制，即安全目标（ST）;在ST下描述产品所提供的安全功能，即安全功能（PP）;在对产品开发和评估过程中，为保证合乎所声称的安全功能的规定而采取的措施,即安全保证要求；最后根据指定的归案测试和评估产品，给出相应的EAL级别。

CC定义了一系列与已知有效的安全要求集合相关结合的概念，该概念可被用来为预期的产品和IT建立安全需求。

CC安全要求以类-族-组件层次方式组织，帮忙用户定位特定的安全要求。

类：类用作最通用的安全要求的组合，类的所有成员关注共同的安全焦点，但覆盖不同的安全目标。

族：类的成员，是若干组安全要求的组合，这些安全要求具有共同的安全目标，但在侧重点和严格性上有所区别。

组件：族的成员被称为组件。组件描述一组特定的安全要求集，它是CC定义的结构中最小可选安全要求集

包：组件的中间组合，对功能或保证需求集合的描述，这个集合能够满足安全目标可标识子集。包括重复使用，可用来定义那些工人有用的、能够有效满足特定安全目标的要求。

ISO/IEC 15408是国际标准，是评估CC框架下的产品安全属性的基础。它通常包括3部分：