欢迎来到天天文库
浏览记录
ID:9385682
大小:161.50 KB
页数:22页
时间:2018-04-29
《国外信息安全测评认证体系简介》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、国外信息安全测评认证体系简介1、信息安全度量基准1、1信息安全测评认证标准的发展在信息技术方面美国一直处于领导地位,在有关信息安全测评认证方面美国也是发源地。早在70年代美国就开展信息安全测评认证标准研究,并于1985年由美国国防部正式公布了可信计算机系统评估准则(TCSEC)即桔皮书,也就是大家公认的第一个计算机信息系统评估标准。在随后的十年里,不同的国家都开始主动开发建立在TCSEC基础上的评估准则,这些准则更灵活、更适应了IT技术的发展。可信计算机系统评估准则(TCSEC)开始主要是作为军用标准,后来延伸至民用。其安全级别从高到低分为A、B、C
2、、D四类,级下再分A1、B1、B2、B3、C1、C2、D等7级。欧洲的信息技术安全性评估准则(ITSEC)1.2版于1991年由欧洲委员会在结合法国、德国、荷兰和英国的开发成果后公开发表。ITSEC作为多国安全评估标准的综合产物,适用于军队、政府和商业部门。它以超越TCSEC为目的,将安全概念分为功能与功能评估两部分。加拿大计算机产品评估准则(CTCPEC)1.0版于1989年公布,专为政府需求而设计,1993年公布了3.0版。作为ITSEC和TCSEC的结合,将安全分为功能性要求和保证性要求两部分。美国信息技术安全联邦准则(FC)草案1.0版也在1
3、993年公开发表,它是结合北美和欧洲有关评估准则概念的另一种标准。在此标准中引入了“保护轮廓(PP)”这一重要概念,每个轮廓都包括功能部分、开发保证部分和评测部分。其分级方式与TCSEC不同,充分吸取了ITSEC、CTCPEC中的优点,主要供美国政府用,民用和商用。22由于全球IT市场的发展,需要标准化的信息安全评估结果在一定程度上可以互相认可,以减少各国在此方面的一些不必要开支,从而推动全球信息化的发展。国际标准化组织(ISO)从1990年开始着手编写通用的国际标准评估准则。该任务首先分派给了第1联合技术委员会(JTC1)的第27分委员会(SC27
4、)的第3工作小组(WG3)。最初,由于大量的工作和多方协商的强烈需要,WG3的进展缓慢。在1993年6月,由与CTCPEC、FC、TCSEC和ITSEC有关的六个国家中七个相关政府组织集中了他们的成果,并联合行动将各自独立的准则集合成一系列单一的、能被广泛接受的IT安全准则。其目的是解决原标准中出现的概念和技术上的差异,并把结果作为对国际标准的贡献提交给了ISO。并于1996年颁布了1.0版,1998年颁布了2.0版,1999年12月ISO正式将CC2.0作为国际标准——ISO15408发布。在CC中充分突出“保护轮廓”,将评估过程分为“功能”和“保
5、证”两部分。此通用准则是目前最全面的信息技术安全评估准则。下图就清楚描述了到目前为止信息技术安全评测标准的发展史。1991年欧洲信息技术安全性评估准则(ITSEC)1996年国际通用准则(CC)1985年美国可信计算机系统评估准则(TCSEC)1990年加拿大可信计算机产品评估准则(CTCPEC)1991年美国联邦准则(FC)1999年国际标准(ISO15408)1、2信息安全性度量标准信息技术安全性评估通用准则,通常简称通用准则(CC),是22评估信息技术产品和系统安全特性的基础准则。通过建立信息技术安全性评估的通用准则库,使得其评估结果能被更多的
6、人理解,更多人信任,并且让各种独立的安全评估结果具有可比性,从而达到互相认可的目的。此标准是现阶段最完善的信息技术安全性评估标准,我国也将采用这一标准对产品、系统和系统方案进行测试、评估和认可。通用准则内容分三部分,其中第1部分“简介和一般模型”,第2部分“安全功能要求”,第3部分“安全保证要求”。在保证要求部分分以下7个评估保证级:(1)评估保证级别1(EAL1)——功能测试(2)评估保证级别2(EAL2)——结构测试(3)评估保证级别3(EAL3)——功能测试与校验(4)评估保证级别4(EAL4)——系统地设计、测试和评审(5)评估保证级别5(E
7、AL5)——半形式化设计和测试(6)评估保证级别6(EAL6)——半形式化验证的设计和测试(7)评估保证级别7(EAL7)——形式化验证的设计和测试通用准则评估保证级与常见的几种安全测评标准的对应关系见下表。CCTCSECFCCTCPECITSECEAL1----EAL2C1--E1EAL3C2T-1T-1E2EAL4B1T-2T-2E3--T-3T-3---T-4--EAL5B2T-5T-4E4EAL6B3T-6T-5E5EAL7A1T-7T-6E6---T-7-1、3国际互认早在1995年,CC项目组成立了CC国际互认工作组,此工作组于1997年
8、制订了过度性CC互认协定,并在同年10月美国的NSA和NIST、加拿大的CSE22和英国的CESG签署了该协
此文档下载收益归作者所有