《2019年信息安全原理与应用信息安全评估标准课件》由会员分享,可在线阅读,更多相关《2019年信息安全原理与应用信息安全评估标准课件(18页珍藏版)》请在金锄头文库上搜索。
1、1,信息安全原理与应用 第十六章 信息安全评估标准 本章由王昭主写,2,讨论议题,评估标准发展历程 TCSEC CC GB17859-2019 GB/T 22239-2019,评估标准发展历程,3,4,讨论议题,评估标准发展历程 TCSEC CC GB17859-2019 GB/T 22239-2019,TCSEC,TCSEC将计算机安全分为A、B、C、D四等八级 无保护级-D等 自主保护级-C等 (1)自主安全保护级(C1级) (2)可控访问保护级(C2级) 强制保护级-B等 (1)标记安全保护级(B1级) (2)结构化保护级(B2级) (3)安全区域保护级(B3级) 验证保护级-A等 (1
2、)验证设计级(A1级) (2)超A1(A2)级,5,TCSEC各等级安全要求,6,7,8,讨论议题,评估标准发展历程 TCSEC CC GB17859-2019 GB/T 22239-2019,CC,CC由三个部分组成。 第一部分,介绍和一般模型,定义了安全评估的通用概念和原理,提出了评估的通用模型。 第二部分,安全功能需求,提出了一系列安全功能组件作为表示评估对象(TOE)功能要求的标准方法。该部分共列出了11个类、66个子类和135个功能组件。 第三部分,安全保证需求(assurance requirements),提出了一系列安全保证组件,作为表示评估对象保证要求的标准方法。,9,CC的
3、评估保证等级,CC基于不断增加的保证范围提供了七个7个递增的评估保证等级,EAL1到EAL7。 EAL1:功能测试; EAL2:结构测试; EAL3:系统测试和检查; EAL4:系统设计、测试和复查; EAL5:半形式化设计和测试; EAL6:半形式化验证的设计和测试; EAL7:形式化验证的设计和测试。,10,不同评估标准的评估级别的粗略对应关系,11,12,讨论议题,评估标准发展历程 TCSEC CC GB17859-2019 GB/T 22239-2019,计算机信息系统安全保护等级划分准则,计算机信息系统安全保护等级划分准则规定了计算机信息系统安全保护能力的五个等级: 用户自主保护级
4、系统审计保护级 安全标记保护级 结构化保护级 访问验证保护级,13,安全保护等级与安全要素的对应关系,14,15,讨论议题,评估标准发展历程 TCSEC CC GB17859-2019 GB/T 22239-2019,信息系统安全等级保护基本要求,16,参考文献,王昭,袁春编著,信息安全原理与应用,电子工业出版社,北京,2019,1 TCSEC1985 Department of Defense of USA,Trusted Computer System Evaluation Criteria.(Orange book),1985 GB 17859-2019,中华人民共和国国家标准. 信息安全技术 计算机信息系统安全保护等级划分准则.中国国家质量技术监督局.2019. GB/T 22239-2019,中华人民共和国国家标准. 信息安全技术 信息系统安全等级保护基本要求.中国国家质量技术监督局.2019,17,参考文献,ISO/IEC 15408, 2019(E), Common Criteria for Information Technology Security Evaluation S. The International Organization for Standardization,2019. ,18,
