1、ISO/IEC 15408-1999 简介中国国家信息安全测评认证中心黄元飞 陈晓桦15408 的概述和历史ISO/IEC 15408-1999“信息技术 安全技术 信息技术安全性评估准则” (简称 CC) ,是国际标准化组织统一现有多种评估准则的努力结果,是在美国和欧洲等国分别自行推出并实践测评准则及标准的基础上,通过相互间的总结和互补发展起来的。主要阶段为: 1985 年,美国国防部公布可信计算机系统评估准则 (TCSEC)即桔皮书; 1989 年,加拿大公布可信计算机产品评估准则 (CTCPEC) ; 1991 年,欧洲公布信息技术安全评估准则 (ITSEC) ; 1993 年,美国公布
2、美国信息技术安全联邦准则 (FC) ; 1996 年,六国七方(英国、加拿大、法国、德国、荷兰、美国国家安全局和美国标准技术研究所)公布信息技术安全性通用评估准则 (CC 1.0 版) ; 1998 年,六国七方公布信息技术安全性通用评估准则 (CC 2.0 版) ; 1999 年 12 月,ISO 接受 CC 2.0 版为 ISO 15408 标准,并正式颁布发行。从上面发展可以看出,CC 源于 TCSEC,但已经完全改进了 TCSEC。TCSEC 主要是针对操作系统的评估,提出的是安全功能要求,目前仍然可以用于对操作系统的评估。随着信息技术的发展,CC 全面地考虑了与信息技术安全性有关的所
3、有因素,以 “安全功能要求”和“安全保证要求”的形式提出了这些因素,这些要求也可以用来构建 TCSEC 的各级要求。CC 定义了作为评估信息技术产品和系统安全性的基础准则,提出了目前国际上公认的表述信息技术安全性的结构,即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效的实施这些功能的保证要求。功能和保证要求又以“类子类组件”的结构表述,组件作为安全要求的最小构件块,可以用于“保护轮廓” 、 “安全目标”和“包”的构建,例如由保证组件构成典型的包“评估保证级” 。另外,功能组件还是连接 CC 与传统安全机制和服务的桥梁,以及解决 CC 同已有准则如 TCSEC、ITSEC 的
4、协调关系,如功能组件构成 TCSEC 的各级要求。15408(CC)的先进性CC 的先进性体现在其结构的开放性、表达方式的通用性以及结构和表达方式的内在完备性和实用性四个方面。CC 在结构上具有开放性的特点,即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展,如可以增加“备份和恢复”方面的功能要求或一些环境安全要求。这种开放式的结构更适应信息技术和信息安全技术的发展。CC 除了提出科学的结构以外,还具有通用性的特点,即给出通用的表达方式。如果用户、开发者、评估者、认可者等目标读者都使用 CC 的语言,互相之间就更容易理解沟通。例如,用户使用 CC 的语言表述自己的安全需
5、求,开发者就可以更具针对性地描述产品和系统的安全性,评估者也更容易有效地进行客观评估,并确保评估结果对用户而言更容易理解。这种特点对规范实用方案的编写和安全性测试评估都具有重要意义。这种特点也是在经济全球化发展、全球信息化发展的趋势下,进行合格评定和评估结果国际互认的需要。CC 的这种结构和表达方式具有内在完备性和实用性的特点,具体体现在“保护轮廓”和“安全目标”的编制上。 “保护轮廓”主要用于表达一类产品或系统的用户需求,在标准化体系中可以作为安全技术类标准对待。其内容主要包括:对该类产品或系统的界定性描述,即确定需要保护的对象;确定安全环境,即指明安全问题需要保护的资产、已知的威胁、用户的
6、组织安全策略;产品或系统的安全目的,即对安全问题的相应对策技术性和非技术性措施;信息技术安全要求,包括功能要求、保证要求和环境安全要求,这些要求通过满足安全目的,进一步提出具体在技术上如何解决安全问题;基本原理,指明安全要求对安全目的、安全目的对安全环境是充分且必要的;以及附加的补充说明信息。“保护轮廓”编制,一方面解决了技术与真实客观需求之间的内在完备性;另一方面用户通过分析所需要的产品和系统面临的安全问题,明确所需的安全策略,进而确定应采取的安全措施,包括技术和管理上的措施,这样就有助于提高安全保护的针对性、有效性。 “安全目标”在“保护轮廓”的基础上,通过将安全要求进一步针对性具体化,解
7、决了要求的具体实现。常见的实用方案就可以当成“安全目标”对待。通过“保护轮廓”和“安全目标”这两种结构,就便于将 CC 的安全性要求具体应用到 IT 产品的开发、生产、测试、评估和信息系统的集成、运行、评估、管理中。15408(CC)的三个部分CC 分为三个部分:第 1 部分“简介和一般模型” ,正文介绍了 CC 中的有关术语、基本概念和一般模型以及与评估有关的一些框架,附录部分主要介绍“保护轮廓”和“安全目标”的基本内容;第 2 部分“安全功能要求” ,按“类子类组件”的方式提出安全功能要求,每一个类除正文以外,还有对应的提示性附录作进一步解释;第 3 部分“安全保证要求” ,定义了评估保证
8、级别,介绍了“保护轮廓”和“安全目标”的评估,并按“类子类组件”的方式提出安全保证要求。CC 的三个部分相互依存,缺一不可。其中第 1 部分是介绍 CC 的基本概念和基本原理,第 2 部分提出了技术要求,第 3 部分提出了非技术要求和对开发过程、工程过程的要求。这三部分的有机结合具体体现在“保护轮廓”和“安全目标” 中, “保护轮廓”和“安全目标”的概念和原理由第 1 部分介绍, “保护轮廓”和“安全目标”中的安全功能要求和安全保证要求在第 2、3 部分选取,这些安全要求的完备性和一致性,由第 2、3 两部分来保证。15408(CC)的发展CC 作为评估信息技术产品和系统安全性的世界性通用准则,是信息技术安全性评估结果国际互认的基础。早在 1995 年,CC 项目组成立了 CC 国际互认工作组,此工作组于1997 年制订了过渡性 CC 互认协定,并在同年 10 月美国的 NSA 和 NIST、加拿大的 CSE和英国的 CESG 签署了该协定。1998 年 5 月德国的 GISA、法国的 SCSSI 也签署了此互认协定。1999 年 10 月澳大利亚和新西兰的 DSD 加入了 CC 互认协定。在 2000 年,又有荷兰、西班牙、意大利、挪威、芬兰、瑞典、希腊、瑞士等国加入了此互认协定,日本、韩国、以色列等也正在积极准备加入此协定。