信息安全原理與應(yīng)用信息安全評(píng)估標(biāo)準(zhǔn)課件

1、信息安全原理與應(yīng)用信息安全評(píng)估標(biāo)準(zhǔn)1 信息安全原理與應(yīng)用信息安全評(píng)估標(biāo)準(zhǔn)2 討論議題討論議題 評(píng)估標(biāo)準(zhǔn)發(fā)展歷程評(píng)估標(biāo)準(zhǔn)發(fā)展歷程 TCSECTCSEC CCCC GB17859-1999GB17859-1999 GB/T 22239-2008GB/T 22239-2008 信息安全原理與應(yīng)用信息安全評(píng)估標(biāo)準(zhǔn)3 評(píng)估標(biāo)準(zhǔn)發(fā)展歷程評(píng)估標(biāo)準(zhǔn)發(fā)展歷程 信息安全原理與應(yīng)用信息安全評(píng)估標(biāo)準(zhǔn)4 討論議題討論議題 評(píng)估標(biāo)準(zhǔn)發(fā)展歷程評(píng)估標(biāo)準(zhǔn)發(fā)展歷程 TCSECTCSEC CCCC GB17859-1999GB17859-1999 GB/T 22239-2008GB/T 22239-2008 信息安全原理與應(yīng)用信息

2、安全評(píng)估標(biāo)準(zhǔn)5 TCSECTCSEC TCSECTCSEC將計(jì)算機(jī)安全分為將計(jì)算機(jī)安全分為A A、B B、C C、D D四等八級(jí)四等八級(jí) 無(wú)保護(hù)級(jí)無(wú)保護(hù)級(jí)-D-D等等 自主保護(hù)級(jí)自主保護(hù)級(jí)-C-C等等 （1 1）自主安全保護(hù)級(jí)（）自主安全保護(hù)級(jí)（C1C1級(jí)）級(jí)） （2 2）可控訪問(wèn)保護(hù)級(jí)（）可控訪問(wèn)保護(hù)級(jí)（C2C2級(jí)）級(jí)） 強(qiáng)制保護(hù)級(jí)強(qiáng)制保護(hù)級(jí)-B-B等等 （1 1）標(biāo)記安全保護(hù)級(jí)（）標(biāo)記安全保護(hù)級(jí)（B1B1級(jí)）級(jí)） （2 2）結(jié)構(gòu)化保護(hù)級(jí)（）結(jié)構(gòu)化保護(hù)級(jí)（B2B2級(jí)）級(jí)） （3 3）安全區(qū)域保護(hù)級(jí)（）安全區(qū)域保護(hù)級(jí)（B3B3級(jí)）級(jí)） 驗(yàn)證保護(hù)級(jí)驗(yàn)證保護(hù)級(jí)-A-A等等 （1 1）驗(yàn)證設(shè)計(jì)級(jí)（）

3、驗(yàn)證設(shè)計(jì)級(jí)（A1A1級(jí)）級(jí)） （2 2）超）超A1A1（A2A2）級(jí)）級(jí) 信息安全原理與應(yīng)用信息安全評(píng)估標(biāo)準(zhǔn)6 TCSECTCSEC各等級(jí)安全要求各等級(jí)安全要求 信息安全原理與應(yīng)用信息安全評(píng)估標(biāo)準(zhǔn)7 信息安全原理與應(yīng)用信息安全評(píng)估標(biāo)準(zhǔn)8 討論議題討論議題 評(píng)估標(biāo)準(zhǔn)發(fā)展歷程評(píng)估標(biāo)準(zhǔn)發(fā)展歷程 TCSECTCSEC CCCC GB17859-1999GB17859-1999 GB/T 22239-2008GB/T 22239-2008 信息安全原理與應(yīng)用信息安全評(píng)估標(biāo)準(zhǔn)9 CC CC CCCC由三個(gè)部分組成。由三個(gè)部分組成。 第一部分，介紹和一般模型，定義了安全評(píng)估的通用第一部分，介紹和一般模型，定

4、義了安全評(píng)估的通用 概念和原理，提出了評(píng)估的通用模型。概念和原理，提出了評(píng)估的通用模型。 第二部分，安全功能需求，提出了一系列安全功能組第二部分，安全功能需求，提出了一系列安全功能組 件作為表示評(píng)估對(duì)象（件作為表示評(píng)估對(duì)象（TOETOE）功能要求的標(biāo)準(zhǔn)方法。該）功能要求的標(biāo)準(zhǔn)方法。該 部分共列出了部分共列出了1111個(gè)類、個(gè)類、6666個(gè)子類和個(gè)子類和135135個(gè)功能組件。個(gè)功能組件。 第三部分，安全保證需求（第三部分，安全保證需求（assurance requirementsassurance requirements ），提出了一系列安全保證組件，作為表示評(píng)估對(duì)象），提出了一系列安全保證

5、組件，作為表示評(píng)估對(duì)象 保證要求的標(biāo)準(zhǔn)方法。保證要求的標(biāo)準(zhǔn)方法。 信息安全原理與應(yīng)用信息安全評(píng)估標(biāo)準(zhǔn)10 CCCC的評(píng)估保證等級(jí)的評(píng)估保證等級(jí) CCCC基于不斷增加的保證范圍提供了七個(gè)基于不斷增加的保證范圍提供了七個(gè)7 7個(gè)遞增的評(píng)估個(gè)遞增的評(píng)估 保證等級(jí)，保證等級(jí)，EAL1EAL1到到EAL7EAL7。 EAL1EAL1：功能測(cè)試；：功能測(cè)試； EAL2EAL2：結(jié)構(gòu)測(cè)試；：結(jié)構(gòu)測(cè)試； EAL3EAL3：系統(tǒng)測(cè)試和檢查；：系統(tǒng)測(cè)試和檢查； EAL4EAL4：系統(tǒng)設(shè)計(jì)、測(cè)試和復(fù)查；：系統(tǒng)設(shè)計(jì)、測(cè)試和復(fù)查； EAL5EAL5：半形式化設(shè)計(jì)和測(cè)試；：半形式化設(shè)計(jì)和測(cè)試； EAL6EAL6：半形式化

6、驗(yàn)證的設(shè)計(jì)和測(cè)試；：半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試； EAL7EAL7：形式化驗(yàn)證的設(shè)計(jì)和測(cè)試。：形式化驗(yàn)證的設(shè)計(jì)和測(cè)試。 信息安全原理與應(yīng)用信息安全評(píng)估標(biāo)準(zhǔn)11 不同評(píng)估標(biāo)準(zhǔn)的評(píng)估級(jí)別的不同評(píng)估標(biāo)準(zhǔn)的評(píng)估級(jí)別的 粗略對(duì)應(yīng)關(guān)系粗略對(duì)應(yīng)關(guān)系 信息安全原理與應(yīng)用信息安全評(píng)估標(biāo)準(zhǔn)12 討論議題討論議題 評(píng)估標(biāo)準(zhǔn)發(fā)展歷程評(píng)估標(biāo)準(zhǔn)發(fā)展歷程 TCSECTCSEC CCCC GB17859-1999GB17859-1999 GB/T 22239-2008GB/T 22239-2008 信息安全原理與應(yīng)用信息安全評(píng)估標(biāo)準(zhǔn)13 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等 級(jí)劃分準(zhǔn)則級(jí)劃分準(zhǔn)則 計(jì)算機(jī)信息系統(tǒng)安全

7、保護(hù)等級(jí)劃分準(zhǔn)則計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則規(guī)定了計(jì)規(guī)定了計(jì) 算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)：算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)： 用戶自主保護(hù)級(jí)用戶自主保護(hù)級(jí) 系統(tǒng)審計(jì)保護(hù)級(jí)系統(tǒng)審計(jì)保護(hù)級(jí) 安全標(biāo)記保護(hù)級(jí)安全標(biāo)記保護(hù)級(jí) 結(jié)構(gòu)化保護(hù)級(jí)結(jié)構(gòu)化保護(hù)級(jí) 訪問(wèn)驗(yàn)證保護(hù)級(jí)訪問(wèn)驗(yàn)證保護(hù)級(jí) 信息安全原理與應(yīng)用信息安全評(píng)估標(biāo)準(zhǔn)14 安全保護(hù)等級(jí)與安全要素的安全保護(hù)等級(jí)與安全要素的 對(duì)應(yīng)關(guān)系對(duì)應(yīng)關(guān)系 信息安全原理與應(yīng)用信息安全評(píng)估標(biāo)準(zhǔn)15 討論議題討論議題 評(píng)估標(biāo)準(zhǔn)發(fā)展歷程評(píng)估標(biāo)準(zhǔn)發(fā)展歷程 TCSECTCSEC CCCC GB17859-1999GB17859-1999 GB/T 22239-2008

8、GB/T 22239-2008 信息安全原理與應(yīng)用信息安全評(píng)估標(biāo)準(zhǔn)16 信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)安全等級(jí)保護(hù)基本要求 信息安全原理與應(yīng)用信息安全評(píng)估標(biāo)準(zhǔn)17 參考文獻(xiàn)參考文獻(xiàn) 王昭，袁春編著，信息安全原理與應(yīng)用，電子工業(yè)出王昭，袁春編著，信息安全原理與應(yīng)用，電子工業(yè)出 版社，北京，版社，北京，20102010，1 1 TCSEC1985 Department of Defense of USATCSEC1985 Department of Defense of USA， Trusted Computer System Evaluation Criteria.Trusted Comp

9、uter System Evaluation Criteria.（ Orange bookOrange book），），19851985 GB 17859-1999GB 17859-1999，中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)，中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn). . 信息安全信息安全 技術(shù)技術(shù) 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則. . 中國(guó)中國(guó) 國(guó)家質(zhì)量技術(shù)監(jiān)督局國(guó)家質(zhì)量技術(shù)監(jiān)督局.1999.1999. GB/T 22239-2008GB/T 22239-2008，中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)，中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn). . 信息安信息安 全技術(shù)全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)安全等級(jí)保護(hù)基本要求. .中國(guó)國(guó)家質(zhì)中國(guó)國(guó)家質(zhì) 量技術(shù)監(jiān)督局量技術(shù)監(jiān)督局.2008.2008 信息安全原理與應(yīng)用信息安全評(píng)估標(biāo)準(zhǔn)18 參考文獻(xiàn)參考文獻(xiàn) ISO/IEC 15408, 1999(E), Common Criteria for ISO/IEC 15408, 1999(E), Common Criteria for Information Technology Security Evaluation S. Infor