安全標準概況

安全標準概況2024/3/24安全標準概況問題信息系統(tǒng)究竟需要那些安全指標？包括安全設計、安全性衡量。應針對那些地方進行投資？如何選擇安全產(chǎn)品？如何獲得信心？安全設計與開發(fā)的規(guī)范、安全功能技術(shù)與安全保證技術(shù)的評估。如何衡量實際結(jié)果與預期安全目標間的差異？安全標準概況主要內(nèi)容安全保護等級安全標準發(fā)展史三個典型標準三者之間的關(guān)系三者的簡介意義安全標準概況安全保護等級從評估的角度看信息安全發(fā)展面臨的問題需要安全標準安全標準概況信息安全發(fā)展安全標準概況信息安全發(fā)展威脅與安全漏洞安全技術(shù)與安全產(chǎn)品安全策略與安全管理安全保護體系風險分析——定性的分析安全標準概況面臨的問題不僅僅需要防護整體安全評估可信度——定量的結(jié)果可比性安全保護等級安全標準概況安全保護等級描述整體安全評估——所有安全措施綜合效果的評估可信度可比性依照標準來評估安全標準概況安全標準發(fā)展安全標準概況我國的安全標準狀況《計算機信息系統(tǒng)安全保護標準劃分準則》（GB-17859-1999）——簡稱《準則》，強制標準安全體系結(jié)構(gòu)（GB/T9387.2-1995）CC中文版——引用標準安全標準體系——四類標準安全標準概況三個典型標準TCSECCC《準則》安全標準概況三者之間的關(guān)系TCSEC是基礎(chǔ)——安全功能與保證CC是TCSEC的繼承與發(fā)展，尤其考慮了網(wǎng)絡的發(fā)展，但安全功能級別不分明《準則》與TCSEC關(guān)系很近，沒有區(qū)分安全功能與保證，剔除了主觀性強的評估內(nèi)容，力求客觀安全標準概況TCSEC來源與目的美國國防部于1983年推出。評價一臺獨立使用的計算機信息安全性的標準。主要用于評價計算機操作系統(tǒng)，且側(cè)重于保密性。安全標準概況TCSEC主要內(nèi)容級別：D、C、B、A與超A1級安全策略（Policy)責任（accountability）保證（Assurance）文檔（Documentation）安全標準概況CC來源與目的來源1993年，美國、加拿大等國同意開發(fā)CC。參考了ITSEC、TCSEC等。1996年，得到1.0版，進入試用階段。1999年12月，2.1版，ISO15408。目的通用的評價信息產(chǎn)品與系統(tǒng)的標準。安全標準概況概述分為三個部分第1部分：簡介和一般模型第2部分：安全功能要求第3部分：安全保證要求安全標準概況《準則》簡介五個安全保護等級十個安全要素：身份鑒別、自主訪問控制、標記、強制訪問控制、客體重用、完整性、審計、隱通道分析、可信恢復以及可信路徑。