您好,欢迎访问三七文档
计算机信息系统安全保护等级标准概况问题信息系统究竟需要那些安全指标?包括安全设计、安全性衡量。应针对那些地方进行投资?如何选择安全产品?如何获得信心?安全设计与开发的规范、安全功能技术与安全保证技术的评估。如何衡量实际结果与预期安全目标间的差异?主要内容安全保护等级安全标准发展史三个典型标准三者之间的关系三者的简介意义安全保护等级从评估的角度看信息安全发展面临的问题需要安全标准信息安全发展安全事件安全产品、安全技术安全策略、安全管理威胁与漏洞安全保护体系风险分析定性分析定量分析脆弱性分析安全保护等级信息安全发展威胁与安全漏洞安全技术与安全产品安全策略与安全管理安全保护体系风险分析——定性的分析面临的问题不仅仅需要防护整体安全评估可信度——定量的结果可比性安全保护等级安全保护等级描述整体安全评估——所有安全措施综合效果的评估可信度可比性依照标准来评估安全标准发展1985美国TCSEC1990欧共体ITSEC1990加拿大CPCTEC1991美国FC1999CC成为国际标准1996国际通用准则CC我国的安全标准状况《计算机信息系统安全保护标准划分准则》(GB-17859-1999)——简称《准则》,强制标准安全体系结构(GB/T9387.2-1995)CC中文版——引用标准安全标准体系——四类标准三个典型标准TCSECCC《准则》三者之间的关系TCSEC是基础——安全功能与保证CC是TCSEC的继承与发展,尤其考虑了网络的发展,但安全功能级别不分明《准则》与TCSEC关系很近,没有区分安全功能与保证,剔除了主观性强的评估内容,力求客观TCSEC来源与目的美国国防部于1983年推出。评价一台独立使用的计算机信息安全性的标准。主要用于评价计算机操作系统,且侧重于保密性。TCSEC主要内容级别:D、C、B、A与超A1级安全策略(Policy)责任(accountability)保证(Assurance)文档(Documentation)CC来源与目的来源1993年,美国、加拿大等国同意开发CC。参考了ITSEC、TCSEC等。1996年,得到1.0版,进入试用阶段。1999年12月,2.1版,ISO15408。目的通用的评价信息产品与系统的标准。概述分为三个部分第1部分:简介和一般模型第2部分:安全功能要求第3部分:安全保证要求《准则》简介五个安全保护等级十个安全要素:身份鉴别、自主访问控制、标记、强制访问控制、客体重用、完整性、审计、隐通道分析、可信恢复以及可信路径。标准的意义当前安全技术要求总汇评估安全保护等级——定量分析标准化—产品与系统开发与设计规范安全保护体系解决方案
本文标题:安全标准概况
链接地址:https://www.777doc.com/doc-1257828 .html