信息技术安全评估准则发展过程

信息技术安全评估准则发展过程

ID:42343447

大小:2.95 MB

页数:170页

时间:2019-09-13

信息技术安全评估准则发展过程_第1页
信息技术安全评估准则发展过程_第2页
信息技术安全评估准则发展过程_第3页
信息技术安全评估准则发展过程_第4页
信息技术安全评估准则发展过程_第5页
资源描述:

《信息技术安全评估准则发展过程》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、SecurityRiskAssessment--historyanddevelopment2标准介绍信息技术安全评估准则发展过程可信计算机系统评估准则(TCSEC)可信网络解释(TNI)通用准则CC《计算机信息系统安全保护等级划分准则》信息安全保证技术框架《信息系统安全保护等级应用指南》3信息技术安全评估准则发展过程20世纪60年代后期,1967年美国国防部(DOD)成立了一个研究组,针对当时计算机使用环境中的安全策略进行研究,其研究结果是“DefenseScienceBoardreport”70年代的后期DOD对当时流行的操作系统KSOS,PSOS,KVM进行了安全方面的研究

2、4信息技术安全评估准则发展过程80年代后,美国国防部发布的“可信计算机系统评估准则(TCSEC)”(即桔皮书)后来DOD又发布了可信数据库解释(TDI)、可信网络解释(TNI)等一系列相关的说明和指南90年代初,英、法、德、荷等四国针对TCSEC准则的局限性,提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”(ITSEC),定义了从E0级到E6级的七个安全等级5信息技术安全评估准则发展过程加拿大1988年开始制订《TheCanadianTrustedComputerProductEvaluationCriteria》(CTCPEC)1993年,美国对TCSEC作了

3、补充和修改,制定了“组合的联邦标准”(简称FC)国际标准化组织(ISO)从1990年开始开发通用的国际标准评估准则6信息技术安全评估准则发展过程在1993年6月,CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来,将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则发起组织包括六国七方:加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA,他们的代表建立了CC编辑委员会(CCEB)来开发CC7信息技术安全评估准则发展过程1996年1月完成CC1.0版,在1996年4月被ISO采纳1997年10月完成CC2.0的测试版1998年5月发布CC2.0版199

4、9年12月ISO采纳CC,并作为国际标准ISO15408发布8安全评估标准的发展历程桔皮书(TCSEC)1985英国安全标准1989德国标准法国标准加拿大标准1993联邦标准草案1993ITSEC1991通用标准V1.01996V2.01998V2.119999标准介绍信息技术安全评估准则发展过程可信计算机系统评估准则(TCSEC)可信网络解释(TNI)通用准则CC《计算机信息系统安全保护等级划分准则》信息安全保证技术框架《信息系统安全保护等级应用指南》10TCSEC在TCSEC中,美国国防部按处理信息的等级和应采用的响应措施,将计算机安全从高到低分为:A、B、C、D四类八个级

5、别,共27条评估准则随着安全等级的提高,系统的可信度随之增加,风险逐渐减少。11TCSEC四个安全等级:无保护级自主保护级强制保护级验证保护级12TCSECD类是最低保护等级,即无保护级是为那些经过评估,但不满足较高评估等级要求的系统设计的,只具有一个级别该类是指不符合要求的那些系统,因此,这种系统不能在多用户环境下处理敏感信息13TCSEC四个安全等级:无保护级自主保护级强制保护级验证保护级14TCSECC类为自主保护级具有一定的保护能力,采用的措施是自主访问控制和审计跟踪一般只适用于具有一定等级的多用户环境具有对主体责任及其动作审计的能力15TCSECC类分为C1和C2两个

6、级别:自主安全保护级(C1级)控制访问保护级(C2级)16TCSECC1级TCB通过隔离用户与数据,使用户具备自主安全保护的能力它具有多种形式的控制能力,对用户实施访问控制为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏C1级的系统适用于处理同一敏感级别数据的多用户环境17TCSECC2级计算机系统比C1级具有更细粒度的自主访问控制C2级通过注册过程控制、审计安全相关事件以及资源隔离,使单个用户为其行为负责18TCSEC四个安全等级:无保护级自主保护级强制保护级验证保护级19TCSECB类为强制保护级主要要求是TCB应维护完整的安全标记,并在此基础

7、上执行一系列强制访问控制规则B类系统中的主要数据结构必须携带敏感标记系统的开发者还应为TCB提供安全策略模型以及TCB规约应提供证据证明访问监控器得到了正确的实施20TCSECB类分为三个类别:标记安全保护级(B1级)结构化保护级(B2级)安全区域保护级(B3级)21TCSECB1级系统要求具有C2级系统的所有特性在此基础上,还应提供安全策略模型的非形式化描述、数据标记以及命名主体和客体的强制访问控制并消除测试中发现的所有缺陷22TCSECB类分为三个类别:标记安全保护级(B1级)结构化保护

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。