《安全评估标准》ppt课件

《安全评估标准》ppt课件

ID:36202928

大小:416.50 KB

页数:98页

时间:2019-05-07

《安全评估标准》ppt课件_第1页
《安全评估标准》ppt课件_第2页
《安全评估标准》ppt课件_第3页
《安全评估标准》ppt课件_第4页
《安全评估标准》ppt课件_第5页
资源描述:

《《安全评估标准》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第十四章安全评估标准信管06-2焦德磊董昌宾安全评估标准信息技术安全评估准则发展过程安全评估标准的发展历程TCSEC通用准则CC国内的安全评估标准信息技术安全评估准则发展过程安全评估标准最早起源于美国20世纪60年代后期,1967年美国国防部(DOD)成立了一个研究组,针对当时计算机使用环境中的安全策略进行研究,其研究结果是“DefenseScienceBoardreport”70年代的后期DOD对当时流行的操作系统KSOS,PSOS,KVM进行了安全方面的研究信息技术安全评估准则发展过程80年代后,美国国防部发布的“可信计算机系统评估准则(TCSEC)”(即桔

2、皮书)后来DOD又发布了可信数据库解释(TDI)、可信网络解释(TNI)等一系列相关的说明和指南90年代初,英、法、德、荷等四国针对TCSEC准则的局限性,提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”(ITSEC),定义了从E0级到E6级的七个安全等级信息技术安全评估准则发展过程加拿大1988年开始制订《TheCanadianTrustedComputerProductEvaluationCriteria》(CTCPEC)1993年,美国对TCSEC作了补充和修改,制定了“组合的联邦标准”(简称FC)国际标准化组织(ISO)从1990年开始开

3、发通用的国际标准评估准则信息技术安全评估准则发展过程在1993年6月,CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来,将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则发起组织包括六国七方:加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA,他们的代表建立了CC编辑委员会(CCEB)来开发CC信息技术安全评估准则发展过程1996年1月完成CC1.0版,在1996年4月被ISO采纳1997年10月完成CC2.0的测试版1998年5月发布CC2.0版1999年12月ISO采纳CC,并作为国际标准ISO15408发布安全评估标准的发展

4、历程美国桔皮书(TCSEC)1985英国安全标准1989德国标准法国标准加拿大标准1993联邦标准草案1993ITSEC1991通用标准CCV1.01996V2.01998V2.11999TCSECTCSEC的发布主要有三个目的:(1)为制造商提供一个安全标准,使他们在开发商业产品时加入相应的安全因素,为用户提供广泛可信的应用系统;(2)为国防部各部门提供一个度量标准,用来评估计算机系统或其他敏感信息的可信程度;(3)在分析、研究规范时,为制定安全需求提供基础。TCSEC在TCSEC中,美国国防部按处理信息的等级和应采用的响应措施,将计算机安全从高到低分为:A、

5、B、C、D四个等级八个级别,共27条评估准则TCSEC从安全策略、可审计性、保证和文档四个方面对不同安全级别的系统提出不同强度的要求,随着安全等级的提高,系统的可信度随之增加,风险逐渐减少。TCSEC四个安全等级:D类:无保护级C类:自主保护级B类:强制保护级A类:验证保护级TCSECD类是最低保护等级,即无保护级是为那些经过评估,但不满足较高评估等级要求的系统设计的,只具有一个级别。该类是指不符合要求的那些系统,因此,这种系统不能在多用户环境下处理敏感信息。TCSEC四个安全等级:无保护级自主保护级强制保护级验证保护级TCSECC类为自主保护级具有一定的保护能

6、力,主要通过身份认证、自主访问控制和审计等安全措施来保护系统。一般只适用于具有一定等级的多用户环境具有对主体责任及其动作审计的能力TCSECC类分为C1和C2两个级别:自主安全保护级(C1级)控制访问保护级(C2级)TCSECC1级通过隔离用户与数据,满足TCB自主安全要求,使用户具备自主安全保护的能力它具有多种形式的控制能力,对用户实施访问控制为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏C1级的系统适用于处理同一敏感级别数据的多用户环境TCSECC2级计算机系统比C1级具有更细粒度的自主访问控制,细化到单个用户而不是组C2级通

7、过注册过程控制、审计安全相关事件以及资源隔离,使单个用户为其行为负责TCSEC四个安全等级:无保护级自主保护级强制保护级验证保护级TCSECB类为强制保护级主要要求是TCB应维护完整的安全标记,并在此基础上执行一系列强制访问控制规则B类系统中的主要数据结构(客体)必须携带敏感标记系统的开发者还应为TCB提供安全策略模型以及TCB规约应提供证据证明访问监控器得到了正确的实施TCSECB类分为三个类别:标记安全保护级(B1级)结构化保护级(B2级)安全区域保护级(B3级)TCSECB1级系统要求具有C2级系统的所有特性并增加了标记、强制访问控制、责任、审计和保证功能

8、。在此基础上,还应提供安

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。