信息技术安全评估通用标准 (CCITSE)

新的通用标准安全评估方案与 Windows 2000 评估

C2 是由国家安全局 (NSA) 的国家计算机安全中心 (NCSC) 建立的计算机系统安全评估等级之一。美国政府认为达到 C2 评估标准的计算机系统配置的安全功能已足够严格，可以放心用于非机密但敏感的数据。《美国可信计算机系统评估标准》(U.S. Trusted Computer Systems Evaluation Criteria) 或称《橙皮书》(Orange Book) 对 C2 评估标准做了规定。英国的计算机与电子安全组织 (CESG) 也使用欧洲信息技术安全评估标准 (ITSEC) 评估产品。Microsoft? Windows NT? 3.5 和 Windows NT? 4.0 已成功通过了 TCSEC 和 ITSEC 的 C2 评估。 ( http://www.microsoft.com/technet/security/issues.asp)。

1998 年末，美国和其他一些国家政府又采用了新的安全评估方案，称为“通用标准”。通用标准取代了 TCSEC 和 ITSEC 程序。Microsoft Windows? 2000 及其后续版本都将在“通用标准”下接受评估。本文提供了有关 Microsoft Windows 2000 评估计划的一些背景信息。

通用标准

新的安全评估方案称为“信息技术安全评估通用标准 (CCITSE)”。由于“通用标准”是一项国际性标准，因此一个国家的评估机构在“通用标准”下发布的评估结果受国际承认。在“通用标准”下，各类产品（比如操作系统）根据“保护配置文件”的要求接受评估，保护配置文件规定了对产品的功能要求。可以制定各种“保护配置文件”以应用于期望满足安全需求的操作系统、防火墙、智能卡或其他产品。“通用标准”为评估产品规定了一系列“评估保证等级 (EAL)”。更高的 EAL 表明产品的安全功能正确有效执行的把握更大。有关特定“通用标准”评估活动（包括测试）的更多信息，请访问国家计算机安全中心 (NCSC) Web 站点：http://www.radium.ncsc.mil/tpep/library/ccitse/cem.html。官方的“通用标准”Web 站点为 http://www.commoncriteria.org 。

控制访问保护配置文件

NCSC 制定了“控制访问保护配置文件 (CAPP)”来取代 TCSEC C2 评估要求。CAPP 为信息技术 (IT) 产品规定了一套安全功能和保证要求。符合 CAPP 要求的产品支持能够对特定用户和数据对象强制实行访问限制的访问控制。符合 CAPP 要求的产品还提供了审核功能，用于记录系统内发生的安全相关事件。编写 CAPP 是为了允许分布式操作系统（即在网络化配置中）接受 CAPP 评估。CAPP 可从以下位置得到：( http://www.radium.ncsc.mil/tpep/library/protection_profiles/CAPP-1.d.pdf )。

CAPP 与 C2 的关系

CAPP 由 TCSEC 的 C2 类要求派生而来。CAPP 描述了与 TCSEC C2 类要求等价的安全功能和保证。

符合 CAPP 要求的系统 - Windows 2000

Windows 2000 的设计旨在满足 CAPP 对合乎条件系统的要求，并实际超出了其中的很多要求。Microsoft 已经承诺让 Windows 2000 接受网络操作系统“通用标准”的评估。该项评估程序所评估的配置包括：基于 Windows 2000 Professional 的工作站、运行 Windows 2000 Server 和 Windows 2000 Advanced Server 的服务器、基于 Windows 2000 的域控制器（它包括并采用 Windows 2000 目录服务、IPSEC 服务、加密文件系统 (EFS) 和恢复服务，以及基于域的策略管理）。

Windows 2000 CC 评估依据

在 Windows NT 3.5 和 Windows NT 4.0 的 C2 评估中，评估人员根据 Microsoft 内部设计规范，特别是评估人员与 Microsoft 开发人员间的技术问答来完成评估任务。新的 CC 评估程序要求供应商通过单个满足特定 CC 内容要求的自含式数据包来提供评估依据。例如，每个 Windows 2000 外部安全相关接口的规范必须声明其实现的特定安全校验及其带来的特定安全效果。Microsoft 正投资为 Windows 2000 创建符合 CC 要求的设计规范和相应的测试依据。Microsoft 还计划为 Windows 2000 后续产品维持这一符合 CC 要求的依据。

Windows 2000 目前的评估状态

Microsoft Windows 2000 目前正处于评估阶段。Microsoft 已与 SAIC ( http://www.saic.com/securebiz/cctl.html ) 签约，获得了开发评估依据的支持和 SAIC 的“通用标准”评估实验室服务。Microsoft 从 NIAP ( http://niap.nist.gov/ ) 得到确认，证实 SAIC 评估小组已经基本完成评估的第一阶段。截至评估第一阶段最重要里程碑的完成，Microsoft 提交的以下 Windows 2000 安全目标已得到评估：

评估目标 (TOE) 陈述。
声明的安全环境。
声明的安全目标。
符合“控制访问保护配置文件”的声明。
明确宣称的 IT 安全要求。
声明的 TOE 摘要规范。
Microsoft 为 Windows 2000 满足“通用标准”EAL4 评估要求建立依据的过程也已经完成一半。这些依据包括：

安全相关的 Windows 2000 外部接口设计规范。
Windows 2000 安全相关外部接口有效性测试报告。
以下依据已经就绪，正等待 SAIC 评估小组的检查：

Microsoft 配置管理 (CM) 系统，目的是保护 Windows 系列操作系统开发和维护过程的完整性。
Microsoft Windows 系列操作系统的产品交付程序。
Microsoft Windows 系列操作系统的生命周期支持。
以下组件的安全相关外部接口的符合 CC 要求的设计规范和测试代码：

Windows 执行组件（即内核）。
IO 组件，又分为以下组件：

核心 IO 管理器。
文件系统，包括带 EFS 的 NTFS。
网络，包括带 IPSEC 的 Windows TCP/IP 实现和 Windows CIFS 实现。
本地安全授权机构 (LSA) 组件，包括：

Kerberos 身份验证软件。
NTLM 身份验证软件。
SChannel (SSL)。
安全策略设置。
LDAP.
目录复制。
2001 年下半年主要活动

SAIC 评估小组计划全速评估 Microsoft 依据。他们将使用源代码和实时测试系统检查 Microsoft 测试代码和文档的一致性。同时，他们还将访问 Microsoft Windows 分部，以确认所记录的 Windows 软件开发和维护惯例得到实际遵守。Microsoft 将提交剩余的 Windows 2000 评估依据，包括符合 CC 要求的管理员与用户指南、使用一些基于“组策略”对象的安全模板的评估配置。Microsoft 还将修订未来 Windows 版本中发现的影响特定 CC 安全要求的任何错误。

总结

NIAP 认可的独立 SAIC 评估人员正在根据“通用标准”评估方法检查 Microsoft 依据，核实其准确性和完整性。评估过程受到美国 NIAP（国家信息保证合作组织）的监督。NIAP ( http://niap.nist.gov/howabout.html ) 是美国的 CC 评估机构。CC 评估完成时将产生一份最终的评估技术报告 (ETR)，提交给 NIAP 以便获得证书。