返回
cc标准与cc认证简介(iso15408)

cc标准与cc认证简介(iso15408)

ID:5417445

大小:305.06 KB

页数:17页

时间:2017-12-10

cc标准与cc认证简介(iso15408)_第1页
cc标准与cc认证简介(iso15408)_第2页
cc标准与cc认证简介(iso15408)_第3页
cc标准与cc认证简介(iso15408)_第4页
cc标准与cc认证简介(iso15408)_第5页
资源描述:

《cc标准与cc认证简介(iso15408)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、CC标准与CC认证简介一、标准简介1.背景1.1CC标准的发展1.2CC标准的意义1.3CC标准的局限性2.CC标准内容简介2.1CC第1部分2.2CC第2部分2.3CC第3部分二、CC认证简介1.CC认证简介1.1第三方权威机构;1.2认证的主要活动:编制和修订认证文档;TOE样品测试;现场审查。1.3认证的过程2.CC认证文档2.1PP理解2.2ST理解2.3文档编写的有关注意事项一、标准简介1.背景1.1CC标准的发展1.1.1背景随着信息技术的快速发展,信息技术的应用日益渗透到政府、企业、团体、军队、家庭、个人等社会和经济的各个角落,并日益深刻的改变着人

2、们传统的工作模式、商业模式、管理模式和生活模式。伴随着信息技术的快速发展和全面应用,信息安全的重要性也日益凸现出来。IT产品和系统拥有的信息资产是能使组织完成其任务的关键资源。因此,人们要求IT产品和系统具备充分的安全性来保护IT产品和系统内信息资产的保密性、完整性和可用性。随着技术的飞速发展、社会分工的进一步细化,加剧了组织与顾客之间的信息不对称。许多IT用户缺乏判断其IT产品和系统的安全性是否恰当的知识、经验和资源,他们并不希望仅仅依赖开发者的声明。用户可借助对IT产品和系统的安全分析(即安全评估)来增加他们对其安全措施的信心。由此产生了对于IT产品和系统的

3、安全性评估准则的需求。组织顾客第三方1.1.2发展在整个安全性评估准则的发展历程中,有三个非常重要的里程碑式的标准:TCSEC、ITSEC和CC标准。1.1.2.1TCSECTCSEC是“可信计算机系统评估准则”的英文缩写。¾是由美国国防部于1985年开发的,是彩虹系列丛书之一,即桔皮书;¾主要用于军事领域,后延用至民用,主要针对保密性而言;¾重点是通用的操作系统,为了使其评估方法适用于网络,于1987年出版了一系列关于可信计算机数据库和可信计算机网络等的指南(俗称彩虹系列)。我国于1999年将其转化为GB/T17859《计算机信息系统安全防护等级划分准则》,基

4、本等同TCSEC。其主要缺点在于:1.主要关注于保密性,不关注可用性和完整性。2.强调的是控制用户,没有关注于程序上的、物理上的和人员的安全措施。3.并没有关注网络(后续出版的书籍弥补了这一不足)。1.1.2.2ITSECITSEC是信息技术安全性评估准则的英文缩写。¾1991年,由西欧四国(英、法、荷、德)联合提出了ITSEC;¾比TCSEC更宽松,目的是适应各种产品、应用和环境的需要,试图超越TCSEC;¾首次提出了C.I.A概念;¾将安全要求分为“功能”和“保证”两部分:功能:为满足安全要求而采取的一系列技术安全措施;保证:确保功能正确实现及有效性的安全措

5、施。1.1.2.3CCCC是通用准则的英文缩写。1996年六国七方签署了《信息技术安全评估通用准则》即CC1.0。1998年美国、英国、加拿大、法国和德国共同签署了书面认可协议。后来这一标准称为CC标准,即CC2.0。CC2.0版于1999年成为国际标准ISO/IEC15408,我国于2001年等同采用为GB/T18336。目前已经有17个国家签署了互认协议,即一个IT产品在英国通过CC评估以后,那么在美国就不需要再进行评估了,反之亦然。目前我国还未加入互认协议。1.2CC标准的意义CC的意义在于:¾通过评估有助于增强用户对于IT产品的安全信心;¾促进IT产品和

6、系统的安全性;¾消除重复的评估。1.3CC标准的局限性¾CC标准采用半形式化语言,比较难以理解;¾CC不包括那些与IT安全措施没有直接关联的、属于行政性管理安全措施的评估准则,即该标准并不关注于组织、人员、环境、设备、网络等方面的具体的安全措施;¾CC重点关注人为的威胁,对于其他威胁源并没有考虑;¾并不针对IT安全性的物理方面的评估(如电磁干扰);¾CC并不涉及评估方法学;¾CC不包括密码算法固有质量的评估。2.CC标准内容简介2.1CC标准的第1部分介绍了CC标准中的一般性概念、相关的背景知识并引入了几个安全模型。CC标准的第1部分的掌握程度对于标准的后续部分

7、的理解至关重要。2.1.1CC标准的内容梗概1.范围2.引用标准3.定义¾通用缩略语、术语表的范围、术语表4.概述¾引言、CC的目标读者、评估上下文、CC的文档组织5.一般模型¾安全上下文、CC方法、安全概念、CC描述材料、评估类型、保证的维护6.通用准则要求和评估结果¾引言、PP和ST要求、TOE内的要求、评估结果的声明、TOE评估结果的应用附录A:通用准则项目附录B:PP规范附录C:ST规范2.1.2安全模型(注意与13335中的相应图表的区别)价值所有者希望最小化利用减少对策可能具有可能被减少脆弱性风险利用导致威胁主体引起增加到威胁资产到希望滥用或破坏图3

8、安全概念和关系TOE物理

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。