返回
信息安全与保密(10)

信息安全与保密(10)

ID:45077341

大小:438.50 KB

页数:18页

时间:2019-11-09

信息安全与保密(10)_第1页
信息安全与保密(10)_第2页
信息安全与保密(10)_第3页
信息安全与保密(10)_第4页
信息安全与保密(10)_第5页
资源描述:

《信息安全与保密(10)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、主要内容安全评估标准的发展过程可信计算机安全评估准则我国相关标准第七章、信息安全评估标准信息安全评估标准发展过程(1)20世纪60年代后期1967年美国国防部(DOD)成立了一个研究组,针对当时计算机使用环境中的安全策略进行研究70年代后期DOD对当时流行的操作系统KSOS,PSOS,KVM进行了安全方面的研究信息安全评估标准发展过程(2)80年代后美国国防部发布的“可信计算机系统评估准则(TCSEC)”,后来又发布了可信数据库解释(TDI)、可信网络解释(TNI)等一系列相关的说明和指南90年代初英、法、德、荷等四国针对T

2、CSEC准则的局限性,提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”(ITSEC),定义了从E0级到E6级的七个安全等级信息安全评估标准发展过程(3)加拿大1988年开始制订《TheCanadianTrustedComputerProductEvaluationCriteria》(CTCPEC)1993年,美国对TCSEC作了补充和修改,制定了“组合的联邦标准”(简称FC)国际标准化组织(ISO)从1990年开始开发通用的国际标准评估准则信息安全评估标准发展过程(4)在1993年6月,CTCPEC、FC、T

3、CSEC和ITSEC的发起组织开始联合起来,将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则发起组织包括六国七方:加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA,他们的代表建立了CC(通用准则)编辑委员会(CCEB)来开发CC信息安全评估标准发展过程(5)1996年1月完成CC1.0版,在1996年4月被ISO采纳1997年10月完成CC2.0的测试版1998年5月发布CC2.0版1999年12月ISO采纳CC,并作为国际标准ISO15408发布可信计算机评估准则在TCSEC中,美国国防部按处理信息的等

4、级和应采用的响应措施,将计算机安全从高到低分为:A、B、C、D四类八个级别,共27条评估准则随着安全等级的提高,系统的可信度随之增加,风险逐渐减少。可信计算机评估准则四个安全类别:无保护类(D类)自主保护类(C类)强制保护类(B类)验证保护类(A类)可信计算机评估准则无保护类(D类)最低保护类别是为那些经过评估,但不满足较高评估等级要求的系统设计的,只具有一个级别该类是指不符合安全要求的那些系统,因此,这种系统不能在多用户环境下处理敏感信息可信计算机评估准则自主保护类(C类)具有一定的保护能力,采用的措施是自主访问控制和审计

5、跟踪一般只适用于具有一定等级的多用户环境具有对主体责任及其动作审计的能力分为C1和C2两个级别:自主安全保护级(C1级)控制访问保护级(C2级)可信计算机评估准则自主保护类(C类)C1级:具有自主访问控制机制,用户登录时需要进行身份鉴别,适用于处理同一敏感级别数据的多用户环境C2级:在C1基础上具有审计和对TCB(可信计算基)进行建立和维护操作,防止外部人员篡改。多用户的UNIX和ORACLE等系统大多具有C类的安全等级。可信计算机评估准则强制保护类(B类)主要要求是TCB应维护完整的安全标记,并在此基础上执行一系列强制访问

6、控制规则B类系统中的主要数据结构必须携带敏感标记系统的开发者还应为TCB提供安全策略模型以及TCB规约应提供证据证明访问监控器得到了正确的实施可信计算机评估准则B类分为三个级别:标记安全保护级(B1级)结构化保护级(B2级)安全区域保护级(B3级)可信计算机评估准则B1级:引入强制访问控制机制,能够对主体和客体的安全标记进行管理B2级:具有形式化的安全模型,着重强调实际评价的手段,能够对隐通道进行限制(主要是对存储隐通道)。B3级:具有硬件支持的安全域分离措施,从而保证安全域中软件和硬件的完备性,使用访问监控器对所有主体对客

7、体的访问进行仲裁。OS/390、TrustedOracle7已经通过B1级的安全评估。可信计算机评估准则验证保护类(A类)使用形式化的安全验证方法,保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息为证明TCB满足设计、开发及实现等各个方面的安全要求,系统应提供丰富的文档信息分为两个级别:A1级(验证设计级)和超A1级可信计算机评估准则A1级最显著的特点是,要求用形式化设计规范和验证方法来对系统进行分析,确保TCB按设计要求实现超A1级在A1级基础上增加的许多安全措施超出了目前的技术发展,

8、随着更多、更好的分析技术的出现,本级系统的要求才会变的更加明确我国相关标准《中华人民共和国计算机信息系统安全保护条例》第九条明确规定,计算机信息系统实行安全等级保护。公安部组织制订了《计算机信息系统安全保护等级划分准则》国家标准,于1999年9月13日由国家质量技术监督局审查通过并正式批准

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。