欢迎来到天天文库
浏览记录
ID:32006999
大小:4.10 MB
页数:106页
时间:2019-01-30
《《GBT18336.3-2001-信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求》.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、中华人民共和国国家标准信息技术安全技术信息技术安全性评估准则第部分安全保证要求发布实施国家质量技术监督局发布前言本标准等同采用国际标准信息技术安全技术信息技术安全性评估准则第部分安全保证要求本标准介绍了信息技术安全性评估的安全保证要求在总标题信息技术安全技术信息技术安全性评估准则下由以下个部分组成第部分简介和一般模型第部分安全功能要求第部分安全保证要求本标准的附录和附录是提示的附录本标准由国家质量技术监督局提出本标准由全国信息技术标准化技术委员会归口本标准由中国国家信息安全测评认证中心信息产业部电子第研究所国家信息中心复旦大学负责起草本标准主要起草人吴世忠吴承荣龚奇敏陈
2、晓桦李守鹏方关宝吴亚飞雷利民叶红李鹤田黄元飞任卫红本标准委托中国国家信息安全测评认证中心负责解释前言国际标准化组织和国际电工委员会形成了全世界标准化的专门体系作为或成员的国家机构通过相应组织所建立的涉及技术活动特定领域的委员会参加国际标准的制定和技术委员会在共同关心的领域里合作其他与和联盟的政府的和非政府的国际组织也参加了该项工作国际标准的起草符合导则第部分的原则在信息技术领域和已经建立了一个联合技术委员会联合技术委员会采纳的国际标准草案交付给国家机构投票表决作为国际标准公开发表需要至少的国家机构投赞成票国际标准是由联合技术委员会信息技术与通用准则项目发起组织合作产生的
3、与同样的文本由通用准则项目发起组织作为信息技术安全性评估通用准则发表有关通用准则项目的更多信息和发起组织的联系信息由的附录提供在信息技术安全技术信息技术安全性评估准则的总标题下由以下几部分组成第部分简介和一般模型第部分安全功能要求第部分安全保证要求附录和附录构成本部分的提示部分以下具有法律效力的提示已按要求放置在的所有部分在附录中标明的七个政府组织总称为通用准则发起组织作为信息技术安全性评估通用准则第至第部分称为版权的共同所有者在此特许在开发国际标准中非排他性地使用但是通用准则发起组织在他们认为适当时保留对的使用拷贝分发以及修改的权利中华人民共和国国家标准信息技术安全技
4、术信息技术安全性评估准则第部分安全保证要求范围本标准定义了保证要求它包括衡量保证尺度的评估保证级组成保证级的每个保证组件以及和的评估准则本标准的结构第章是本标准的引论和范例第章描述了保证类子类组件和评估保证级的表示结构以及它们之间的关系同时还刻画了第章到第章可找到的保证类和子类的特征第章第章和第章先对和的评估准则作简要的介绍然后对在评估中要用到的子类与组件做了详尽的解释第章是评估保证级的详尽定义第章对保证类作了简要的介绍在随后的第章到第章给出了这些类的详尽定义第和第章对保证维护的评估准则做了简要的介绍其后给出了所用到的子类和组件的详尽定义附录给出了保证组件之间依赖关系的
5、概要附录给出了评估保证级和保证组件之间的交叉引用的保证范例本条旨在阐述支撑本标准保证方法的基本原则通过对本条的理解将使读者了解隐含在本标准保证要求中的基本原理基本原则的基本原则就是应该清楚描述那些对安全和组织安全策略承诺所造成的威胁并且提出足以达到所期望的安全目的的安全措施进一步地说就是应采取一些措施以减少可能存在的脆弱性减弱有意利用或者无意触发或利用一个脆弱性的能力以及减轻因利用一个脆弱性而导致的破坏程度另外还需要采纳一定的措施便于今后标识一些脆弱性消除减轻或通告一个已经被利用或触发过的脆弱性保证方法的基本原则是为被信任的产品或系统的评估积极的调查提供保证评估是提供保
6、证的传统方法并且是文档的基础为了与现行的方法保持一致采用相同的基本原则建议由专业评估员在不断强调范围深度和严格性的基础上衡量文档和已国家质量技术监督局批准实施完成的产品或系统的有效性不排斥也不评论用其他方法的获得保证的有关优点有关获得安全保证的其他方法还在研究当中一旦成熟的可选择的方法产生可以考虑把它们吸收到中因为的结构允许将来引入更新的内容脆弱性的意义假定存在积极寻求违反安全策略的可乘之机的威胁者他们无论是为了非法获利还是出于别的意图其行为都是不安全的威胁者也可能偶然触发了脆弱性造成对系统的损害由于处理敏感信息的需求与可用的足够可信产品或者系统缺乏之间的矛盾一旦失效将
7、会导致很大的风险因此破坏安全可能造成重大的损失破坏安全的事件主要发生于应用处理业务过程中脆弱性被有意利用或无意地触发应该采取一定的措施防止在产品和系统中出现脆弱性在可行的情况下脆弱性应该被消除即应该采取积极的措施来发现除去或者消灭所有可利用的脆弱性最小化即应该采取积极的措施减少任何可利用脆弱性的潜在影响使残留的脆弱性达到一个可接受的程度监视即应该采取积极的措施确保发现任何利用残余脆弱性的企图以便采取及时限制破坏的措施脆弱性产生的原因以下的失败可导致脆弱性要求即产品或者系统具有所有必要的功能和特性但仍然可能包含着脆弱性使得产品或系统在安全方
此文档下载收益归作者所有