返回
《GBT18336.1-2001-信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型》.pdf

《GBT18336.1-2001-信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型》.pdf

ID:32006987

大小:1.24 MB

页数:33页

时间:2019-01-30

《GBT18336.1-2001-信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型》.pdf_第1页
《GBT18336.1-2001-信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型》.pdf_第2页
《GBT18336.1-2001-信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型》.pdf_第3页
《GBT18336.1-2001-信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型》.pdf_第4页
《GBT18336.1-2001-信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型》.pdf_第5页
资源描述:

《《GBT18336.1-2001-信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型》.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、中华人民共和国国家标准信息技术安全技术信息技术安全性评估准则第部分简介和一般模型发布实施国家质量技术监督局发布前言本标准等同采用国际标准信息技术安全技术信息技术安全性评估准则第部分简介和一般模型本标准介绍了信息技术安全性评估的基本概念并给出了信息技术安全性评估的一般模型并在附录和附录分别介绍了保护轮廓和安全目标在总标题信息技术安全技术信息技术安全性评估准则下由以下几个部分组成第部分简介和一般模型第部分安全功能要求第部分安全保证要求本标准的附录和附录是提示的附录本标准的附录和附录是标准的附录本标准由国家质量技术监督局提出本标准由全国信息技术标准化技术委员会归口本标准由中国国家信息安全测评

2、认证中心信息产业部电子第研究所国家信息中心复旦大学负责起草本标准主要起草人吴世忠龚奇敏陈晓桦李守鹏罗建中方关宝李鹤田吴亚飞雷利民叶红吴承荣黄元飞任卫红崔玉华本标准委托中国国家信息安全测评认证中心负责解释前言国际标准化组织和国际电工委员会形成了全世界标准化的专门体系作为或成员的国家机构通过相应组织所建立的涉及技术活动特定领域的委员会参加国际标准的制定和技术委员会在共同关心的领域里合作其他与和有联系的政府和非政府的国际组织也参加了该项工作国际标准的起草符合导则第部分的原则在信息技术领域和已经建立了一个联合技术委员会联合技术委员会采纳的国际标准草案分发给国家机构投票表决作为国际标准公开发表需

3、要至少的国家机构投赞成票国际标准是由联合技术委员会信息技术与通用准则项目发起组织合作产生的与同样的文本由通用准则项目发起组织作为信息技术安全性评估通用准则发表有关通用准则项目的更多信息和发起组织的联系信息由的附录提供在信息技术安全技术信息技术安全性评估准则的总标题下由以下几部分组成第部分简介和一般模型第部分安全功能要求第部分安全保证要求附录和附录构成本部分的规范部分附录和附录仅供参考以下具有法律效力的提示已按要求放置在的所有部分在附录中标明的七个政府组织总称为通用准则发起组织作为信息技术安全性评估通用准则第至第部分称为版权的共同所有者在此特许在开发国际标准中非排他性地使用但是通用准则发

4、起组织在他们认为适当时保留对的使用拷贝分发以及修改的权利中华人民共和国国家标准信息技术安全技术信息技术安全性评估准则第部分简介和一般模型范围定义了作为评估信息技术产品和系统安全特性的基础准则由于历史和连续性的原因仍叫通用准则通过建立这样的通用准则库使信息技术安全评估的结果能被更多的人理解针对在安全性评估过程中信息技术产品和系统的安全功能及相应的保证措施提供了一组通用要求使各种独立的安全评估结果具有可比性评估过程为满足这些要求的产品和系统的安全功能以及相应的保证措施确定一个可信级别评估结果可以帮助用户确定信息技术产品和系统对他们的应用而言是否足够安全以及在使用中隐藏的安全风险是否可以容忍

5、可用于具有信息技术安全功能的产品和系统的开发与采购指南在评估过程中这样的产品和系统被称为评估对象如操作系统计算机网络分布式系统以及应用等涉及信息保护以避免未经授权的信息泄露修改和无法使用与此对应的保护类型通常分别称之为保密性完整性和可用性除上述三个方面外还适用于信息安全的其他方面重点考虑人为的信息威胁无论其是否是恶意的但也可用于非人为因素导致的威胁此外还可适用于其他信息技术领域但对严格意义上信息技术安全之外的领域不做承诺适用于硬件固件和软件实现的信息技术安全措施当一些特定的评估仅适用于某些实现方法时这一点将在相关的准则说明中注明某些内容因涉及特殊的专业技术或仅是信息技术安全的外围技术不

6、在的范围内例如不包括那些与信息技术安全措施没有直接关联的属于行政性管理安全措施的安全评估准则但是应该认识到安全的重要部分是通过诸如组织的个人的物理的程序的监控等行政性管理安全措施来实现的当行政性管理安全措施影响到信息技术安全措施对抗确定威胁的能力时这类管理安全措施在的运行环境中被认为是安全使用的前提条件对于信息技术安全性的物理方面诸如电磁辐射控制的评估虽然的许多概念是适用的但并不专门针对该领域然而也会专门涉及物理保护的一些方面并不涉及评估方法学也不涉及评估机构使用本规则的管理模式或法律框架但希望能在具有这样的框架和方法论的环境中用于评估评估结果用于产品和系统认可的过程不属于的范围产品和

7、系统的认可是行政性的管理过国家质量技术监督局批准实施程据此授权信息技术产品和系统在其整个运行环境中投入使用评估集中于产品和系统的信息技术安全部分以及直接影响到安全使用信息技术要素的那些运行环境因而评估结果是认可过程的有效依据但是当其他技术更适合于评价非信息技术相关的系统或产品的安全特性及其与信息技术安全部分的关系认可者应分别作出这些方面的认可不包括密码算法固有质量评价准则如果需要对嵌入的密码数学特性进行单独的评价则在使用的评估体制中必须提供这样

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。