《[精选]信息安全评估准则讲义.pptx》由会员分享,可在线阅读,更多相关《[精选]信息安全评估准则讲义.pptx(29页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全评估准则评估准则1.可信计算机系统评估准则TCSEC2.信息技术安全评估准则ITSEC3.信息安全技术通用评估准则CC4.我国信息安全评估准则GB17859-1999&GB18336-2001&GB18336-2008TCSEC1983年,由 国家计算机安全中心NCSC初次公布1985年,进行了更新,并重新发布2005年,被国际标准信息安全通用评估准则CC代替TCSEC标准制定的目的1.提供一种标准,使用户可以对其计算机系统内敏感信息安全操作的可信程度做评估。2.给计算机行业的制造商提供一种可循的指导规则;使其产品能够更好地满足敏感应用的安全需求。TCSEC计算机系统安全等级 1、D1
2、 级 这是计算机安全的最低一级。D1级计算机系统标准规定对用户没有验证,也就是任何人都可以使用该计算机系统而不会有任何障碍。D1级的计算机系统包括:MS-Dos、Windows95、Apple的System7.x 2、C1 级 C1级系统要求硬件有一定的安全机制,用户在使用前必须登录到系统。C1级系统还要求具有完全访问控制的能力,经应当允许系统管理员为一些程序或数据设立访问许可权限。常见的C1级兼容计算机系统有:UNIX 系统、XENIX、Novell3.x或更高版本、WindowsNTTCSEC3、C2 级 C2级实际是安全产品的最低档次,提供受控的存取保护。C2级引进了受控访问环境用户权限
3、级别的增强特性。授权分级使系统管理员能够分用户分组,授予他们访问某些程序的权限或访问分级目录。C2级系统还采用了系统审计。审计特性跟踪所有的“安全事件,以及系统管理员的工作。常见的C2级系统有:操作系统中Microsoft的WindowsNT3.5,UNIX系统。数据库产品有oracle公司的oracle7,Sybase公司的SQLServer11.0.6等。TCSEC4、B1 级B1级系统支持多级安全,多级是指这一安全保护安装在不同级别的系统中网络、应用程序、工作站等,它对敏感信息提供更高级的保护。5、B2 级 这一级别称为结构化的保护StructuredProtection。B2级安全要求
4、计算机系统中所有对象加标签,而且给设备如工作站、终端和磁盘驱动器分配安全级别。6、B3 级B3级要求用户工作站或终端通过可信任途径连接网络系统,这一级必须采用硬件来保护安全系统的存储区。7、A 级 这一级有时也称为验证设计verifieddesign。必须采用严格的形式化方法来证明该系统的安全性,所有构成系统的部件的来源必须安全保证。ITSEC1990年5月,英、法、德、荷根据对各国的评估标准进行协调制定ITSEC1991年6月,ITSEC1.2版由欧共体标准化 会发布目前,ITSEC已大局部被CC替代ITSEC安全性要求 1、功能 为满足安全需求而采取的技术安全措施。功能要求从F1F10共分
5、10级。15级对应于TCSEC的C1、C2、B1、B2、B3。F6至F10级分别对应数据和程序的完整性、系统的可用性数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。2、保证 确保功能正确实现和有效执行的安全措施。保证要求从E0没有任何保证E6形式化验证共分7级.ITSEC把完整性、可用性与保密性作为同等重要的因素。CC 1996年6月,CC 第一版发布 1998年5月,CC 第二版发布1999年10月,CCV2.1版发布 1999年12月,ISO采纳CC,并作为国际 标准ISO/IEC15408发布 2004年1月,CCV2.2版发布 2005年8月,CCV2.3版发布 200
6、5年7月,CCV3.0版发布 2006年9月,CCV3.1.release1 发布 2007年9月,CCV3.2.release2 发布 2009年9月,CCV3.1.release3 发布CC重要概念PPProtectionProfile及其评估:PP是一类TOE基于其应用环境定义的一组安全要求,不管这些要求如何实现,实现问题交由具体ST实现,PP确定在安全解决方案中的需求STSecurityTarget及其评估:ST是依赖于具体的TOE的一组安全要求和说明,用来指定TOE的评估基础。ST确定在安全解决方案中的具体要求。TOETargetofEvaluation及其评估:TOE评估对象,作为
7、评估主体的IT产品及系统以及相关的管理员和用户指南文档。CCCC的组成1、简介和一般模型描述了对安全保护轮廓PP和安全目标ST的要求。PP实际上就是安全需求的完整表示,ST则是通常所说的安全方案。2、安全功能要求详细介绍了为实现PP和ST所需要的安全功能要求3、安全保证要求详细介绍了为实现PP和ST所需要的安全保证要求CCCC的中心内容当第一局部在PP安全保护框架和ST安全目标中描述TOE评测对象的安全要求时应尽可能使用其与第二局部描述的安全功能组件和第三局部描述的安全保证组件相一致。CCCC组成的的层次关系CC功能组件的层次结构CCCC将安全功能要求分为以下11类:1、安全审计类2、通信类主
8、要是身份真实性和抗抵赖3、密码支持类4、用户数据保护类5、标识和鉴别类6、安全管理类与TSF有关的管理7、隐秘类保护用户隐私前七类的安全功能是提供给信息系统使用的CC8、TOE保护功能类TOE自身安全保护9、资源利用类从资源管理角度确保TSF安全10、TOE访问类从对TOE的访问控制确保安全性11、可信路径/信道类。后四类安全功能是为确保安全功能模块TSF的自身安全而设置的。CC保证组件的层次结构CC具体的安全保证要求分为以下10类:1、配置管理类2、分发和操作类3、开发类4、指导性文档类5、生命周期支持类6、测试类7、脆弱性评定类8、保证的维护类9、保护轮廓评估类10、安全目标评估类CC按照
9、对上述10类安全保证要求的不断递增,CC将TOE分为7个安全保证级,分别是:第一级EAL1:功能测试级第二级EAL2:结构测试极 第三级EAL3:系统测试和检查级 第四级EAL4:系统设计、测试和复查级 第五级EAL5:半形式化设计和测试级 第六级EAL6:半形式化验证的设计和测试级 第七级EAL7:形式化验证的设计和测试级CCCC评估产品统计保护轮廓PP的文档结构CC一般模型中的TOE评估过程评估准则评估方法评估方案开发TOE安全要求PP和STTOE和评估证据评估TOE运行TOE评估结果反响我国信息安全评估准则计算机信息系统安全保护等级划分标准:GB17859-1999信息技术 安全技术 信
10、息技术安全性评估准则:GB18336-2001信息技术 安全技术 信息技术安全性评估准则:GB18336-2008计算机信息系统的安全划分第一级:用户自主保护级第二级:系统审计保护级第三级:安全标记保护级第四级:结构化保护级第五级:访问验证保护级国家授权测评机构到目前为止,国家中心根据开展需要,已批准筹建了14家授权测评机构。其中,上海测评中心、计算机测评中心、东北测评中心、华中测评中心、深圳测评中心已获得正式授权;西南测评中心、身份认证产品与技术测评中心等5个授权测评机构已挂牌试运行;其它4个授权测评机构正处于筹建阶段中国信息安全产品测评认证中心的认证产品目录信息安全产品认证 1 防火墙2
11、安全扫描器3 IDS4 安全审计5 网络隔离6 VPN7 智能卡8 卡终端9 安全管理其他IT产品安全性认证 1 操作系统2 数据库3 交换机4 路由器5 应用软件6 其他 完了_9、静夜四无邻,荒居旧业贫。4月-234月-23Monday,April17,202310、雨中黄叶树,灯下白头人。17:02:5617:02:5617:024/17/20235:02:56PM11、以我独沈久,愧君相见频。4月-2317:02:5617:02Apr-2317-Apr-2312、故人江海别,几度隔山川。17:02:5617:02:5617:02Monday,April17,202313、乍见翻疑梦,相
12、悲各问年。4月-234月-2317:02:5617:02:56April17,202314、他乡生白发,旧国见青山。17四月20235:02:56下午17:02:564月-2315、比不了得就不比,得不到的就不要。四月235:02下午4月-2317:02April17,202316、行动出成果,工作出财富。2023/4/1717:02:5617:02:5617April202317、做前,能够环视四周;做时,你只能或者最好沿着以脚为起点的射线向前。5:02:56下午5:02下午17:02:564月-239、没有失败,只有暂时停止成功!。4月-234月-23Monday,April17,2023
13、10、很多事情努力了未必有结果,但是不努力却什么改变也没有。17:02:5617:02:5617:024/17/20235:02:56PM11、成功就是日复一日那一点点小小努力的积累。4月-2317:02:5617:02Apr-2317-Apr-2312、世间成事,不求其绝对圆满,留一份缺乏,可得无限完美。17:02:5617:02:5617:02Monday,April17,202313、不知香积寺,数里入云峰。4月-234月-2317:02:5617:02:56April17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17四月20235:02:56下午17:02:564
14、月-2315、楚塞三湘接,荆门九派通。四月235:02下午4月-2317:02April17,202316、少年十五二十时,步行夺得胡马骑。2023/4/1717:02:5617:02:5617April202317、空山新雨后,天气晚来秋。5:02:56下午5:02下午17:02:564月-239、杨柳散和风,青山澹吾虑。4月-234月-23Monday,April17,202310、阅读一切好书如同和过去最杰出的人谈话。17:02:5617:02:5617:024/17/20235:02:56PM11、越是没有本领的就越加自命非凡。4月-2317:02:5617:02Apr-2317-Ap
15、r-2312、越是无能的人,越喜欢挑剔别人的错儿。17:02:5617:02:5617:02Monday,April17,202313、知人者智,自知者明。胜人者有力,自胜者强。4月-234月-2317:02:5617:02:56April17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17四月20235:02:56下午17:02:564月-2315、最具挑战性的挑战莫过于提升自我。四月235:02下午4月-2317:02April17,202316、业余生活要有意义,不要越轨。2023/4/1717:02:5617:02:5617April202317、一个人即使已登上顶峰,也仍要自强不息。5:02:56下午5:02下午17:02:564月-23MOMODA POWERPOINTLoremipsumdolorsitamet,consecteturadipiscingelit.Fusceidurnablandit,eleifendnullaac,fringillapurus.Nullaiaculistemporfelisutcursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉