返回
信息技术安全性评估通用准则(CC)的主要特征

信息技术安全性评估通用准则(CC)的主要特征

ID:36786295

大小:410.65 KB

页数:9页

时间:2019-05-15

信息技术安全性评估通用准则(CC)的主要特征_第1页
信息技术安全性评估通用准则(CC)的主要特征_第2页
信息技术安全性评估通用准则(CC)的主要特征_第3页
信息技术安全性评估通用准则(CC)的主要特征_第4页
信息技术安全性评估通用准则(CC)的主要特征_第5页
资源描述:

《信息技术安全性评估通用准则(CC)的主要特征》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、信息技术安全性评估通用准则(CC)的主要特征李守鹅方关宝李鹤田中国国家信息安全侧评认证中心摘要:本文是在深入研究和使用cc的荃础上对c主要特征的高度概括。提供了一种规范描述IT产品或系统及其安全要求的语言;将安全要求分为安全功能类和安全保证类,按照保证类要求将评估保证级分为七个级;通过开发、评估和运行过程中的各种措施来保证IT产品或系统安全性。关挂词:信息安全评估安全功能·安全保证保护轮脚(即)安全目标(ST)保证级一、cc标准的目的与用途cc标准的目的是确定适用于一切IT安全产品和系统的评估准则,具有普适性和通用性,因此决定了它必须具备足够的灵活性和可扩充性

2、,以便适用于各种产品和系统。oc只规定准则,不涉及评估方法。评估方法的选择留给其体的评估体制确定。一个评估体制既可选用“通用评估方法(CEM)",也可选择其它评估方法.但Cpl是目前己知的最好的评估方法。c仍将信息安全的三性(保密性、完整性和可用性)作为整个准则的出发点。为不受特定技术的限制ICc准则中的安全要求不涉及其体的技术。采用cc准则和CER方法进行的评估,为不同评估间评估结果的可比性提供了基础。不属于Cc的范围的有:人员和物理的安全措施:c的应用,如:行政、法律、程序上的规定;认可与认证过程:互认安排冶密码算法的定义等。Cc的使用对象有:IT产品或系

3、统的消费者、开发者或集成商、评估者以及审核员、认证人员及授权人员等。二、对TOE安全的信任—开发、评估和运行CC万法通过开发、评估和运行过程中的各种措施,获得对竹安全性的信任。开发cc不规定任何特定的开发方法和生命周期棋型.图I只是通过概念J=的抽象,提供讨论的基础。在开发阶段建立的安全要求对溯足用户的安全目的意义重大。除4卜在开发过程的开始阶段确定合理的需求,否则就是用再好的工程方法,最终产品也达不到预期用户的目的。146阅一月一卜由安全要求得出ST中的TOE概要规范,各个低层次的细化都是更详细的设计分解,TOE实现本身在抽象表示的最底层。OC准则区分功能规

4、范、高层设计、低层设计和实现等抽象层次。CC对设计表示方法没有规定,但应具备充分的设计表达方法,该方法在必要时应表明:(1)每一层的细化是更高层的完全实例化,即所有离层抽象定义的roE安全功能、特性和行为都必须在低层上明确体现。(2)每一层的细化是更高层的精确实例化,即不存在离层所不需要的低层抽象定义的TOE安全功能、特性和行为。依据规定的保证级,通常会要求开发者表明开发方法是如何漪足cc保证要求的。评估TOE的评估过程可能与开发过程同步进行,或防后进行.TOE评估的主姿依据有:ST等一系列TOE证据、特评估的TOE.评估准则、方法和体制以及说明性材料和IT安

5、全专业知识。评估过程是确定TOE对ST中安全要求的满足状况。评估者依据评估准则对TOE进行评估井给出评估结果报告。通过评估获得的信任度依拍于所达到的保证要求(如评估保证级).评估能够促成生产出更好的安全产品,通过评估可以发现TOE的错误或脆弱性,以便开发者纠正,从而减少以后在运行中发生安全失效的可能性。开发者为迎接更严格的评估,在TOE设计和开发时也会更加细心。因此,评估过程将间接地对最初孺求、开发过程、最终产品以及运行环境产生积极的影晌。运行当评估过的TOE在实际环境中运行使用时,可能出现以前未知的错误或脆弱性,或者需要修改对环境的暇设。这些问压通过反馈,将

6、要求开发者修改TOE或重新定义它的安全要求和环境假设,这些变化可能要求对TOE进行1断评估或加强其运行环境的安全性,以便重新获得对T倪的信软。三、IT产品或系统描述一一-PP和ST正如前面所说,c为普通适用的通用准则,那么针对一类具体的或一个特定的IT产品或系统究竟应该有一酬于么样的安全妥求呢?这雌佑耍解决IT产品或系统的描述问翅。为适应采用cc准则的信息安全评估,cc准147则一开始就提出了两个重要概念,一个是PP,另一个是ST.PP和ST是采用CC准则进行信息安全评估所必需的用于描述待评估IT产品或系统的重要文档。CC中对PP和ST的格式与内容进行了统一的

7、规定。PP和ST使用CC中提供的或符合cc扩展规定的描述材料(如安全功能要求、安全保证要求等),完整而准确地给出IT产品或系统的总体描述,从安全环境、安全目的、安全要求到概要规范等.可以说,“包括说明安全要求所需要的材料库(既安全某求组件),也包括将这些材料组织进PP,ST或安全耍求包的格式与规则。或者说Cc是描述IT产品和系统安全的语言,也是如何将安全要求组织成安全说明的语法。PP是描述满足特定的消费者需求的一类TOE的独立于实现的一组安全要求。PP回答的问题是:“我们在安全解决方案中需要什么?”因此,PP将独立于实现,是“目标”说明。任何想表达安全需求的人

8、(如商业消费者、消费者团体),任何提供

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。