安全標(biāo)準(zhǔn)概況

安全標(biāo)準(zhǔn)概況2024/3/24安全標(biāo)準(zhǔn)概況問(wèn)題信息系統(tǒng)究竟需要那些安全指標(biāo)？包括安全設(shè)計(jì)、安全性衡量。應(yīng)針對(duì)那些地方進(jìn)行投資？如何選擇安全產(chǎn)品？如何獲得信心？安全設(shè)計(jì)與開(kāi)發(fā)的規(guī)范、安全功能技術(shù)與安全保證技術(shù)的評(píng)估。如何衡量實(shí)際結(jié)果與預(yù)期安全目標(biāo)間的差異？安全標(biāo)準(zhǔn)概況主要內(nèi)容安全保護(hù)等級(jí)安全標(biāo)準(zhǔn)發(fā)展史三個(gè)典型標(biāo)準(zhǔn)三者之間的關(guān)系三者的簡(jiǎn)介意義安全標(biāo)準(zhǔn)概況安全保護(hù)等級(jí)從評(píng)估的角度看信息安全發(fā)展面臨的問(wèn)題需要安全標(biāo)準(zhǔn)安全標(biāo)準(zhǔn)概況信息安全發(fā)展安全標(biāo)準(zhǔn)概況信息安全發(fā)展威脅與安全漏洞安全技術(shù)與安全產(chǎn)品安全策略與安全管理安全保護(hù)體系風(fēng)險(xiǎn)分析——定性的分析安全標(biāo)準(zhǔn)概況面臨的問(wèn)題不僅僅需要防護(hù)整體安全評(píng)估可信度——定量的結(jié)果可比性安全保護(hù)等級(jí)安全標(biāo)準(zhǔn)概況安全保護(hù)等級(jí)描述整體安全評(píng)估——所有安全措施綜合效果的評(píng)估可信度可比性依照標(biāo)準(zhǔn)來(lái)評(píng)估安全標(biāo)準(zhǔn)概況安全標(biāo)準(zhǔn)發(fā)展安全標(biāo)準(zhǔn)概況我國(guó)的安全標(biāo)準(zhǔn)狀況《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)標(biāo)準(zhǔn)劃分準(zhǔn)則》（GB-17859-1999）——簡(jiǎn)稱(chēng)《準(zhǔn)則》，強(qiáng)制標(biāo)準(zhǔn)安全體系結(jié)構(gòu)（GB/T9387.2-1995）CC中文版——引用標(biāo)準(zhǔn)安全標(biāo)準(zhǔn)體系——四類(lèi)標(biāo)準(zhǔn)安全標(biāo)準(zhǔn)概況三個(gè)典型標(biāo)準(zhǔn)TCSECCC《準(zhǔn)則》安全標(biāo)準(zhǔn)概況三者之間的關(guān)系TCSEC是基礎(chǔ)——安全功能與保證CC是TCSEC的繼承與發(fā)展，尤其考慮了網(wǎng)絡(luò)的發(fā)展，但安全功能級(jí)別不分明《準(zhǔn)則》與TCSEC關(guān)系很近，沒(méi)有區(qū)分安全功能與保證，剔除了主觀性強(qiáng)的評(píng)估內(nèi)容，力求客觀安全標(biāo)準(zhǔn)概況TCSEC來(lái)源與目的美國(guó)國(guó)防部于1983年推出。評(píng)價(jià)一臺(tái)獨(dú)立使用的計(jì)算機(jī)信息安全性的標(biāo)準(zhǔn)。主要用于評(píng)價(jià)計(jì)算機(jī)操作系統(tǒng)，且側(cè)重于保密性。安全標(biāo)準(zhǔn)概況TCSEC主要內(nèi)容級(jí)別：D、C、B、A與超A1級(jí)安全策略（Policy)責(zé)任（accountability）保證（Assurance）文檔（Documentation）安全標(biāo)準(zhǔn)概況CC來(lái)源與目的來(lái)源1993年，美國(guó)、加拿大等國(guó)同意開(kāi)發(fā)CC。參考了ITSEC、TCSEC等。1996年，得到1.0版，進(jìn)入試用階段。1999年12月，2.1版，ISO15408。目的通用的評(píng)價(jià)信息產(chǎn)品與系統(tǒng)的標(biāo)準(zhǔn)。安全標(biāo)準(zhǔn)概況概述分為三個(gè)部分第1部分：簡(jiǎn)介和一般模型第2部分：安全功能要求第3部分：安全保證要求安全標(biāo)準(zhǔn)概況《準(zhǔn)則》簡(jiǎn)介五個(gè)安全保護(hù)等級(jí)十個(gè)安全要素：身份鑒別、自主訪問(wèn)控制、標(biāo)記、強(qiáng)制訪問(wèn)控制、客體重用、完整性、審計(jì)、隱通道分析、可信恢復(fù)以及可信路徑。