第1章阌辂安评佑和安会店親 人民邮电出版社
第11章 网络安全评估和安全法规
11,1安全评估的国际通用准则 112安全评估的国内通用准则 113网络安全的法律和法规 人民邮电出版社
11.1 安全评估的国际通用准则 11.2 安全评估的国内通用准则 11.3 网络安全的法律和法规
11.1安全评估的国际通用准则 1111可信计算机系统安全评估准则 TCSEC将计算机系统的安全划分为4个 等级、8个级别。 D类安全等级 C类安全等级 B类安全等级 A类安全等级 人民邮电出版社
11.1 安全评估的国际通用准则 11.1.1 可信计算机系统安全评估准则 TCSEC将计算机系统的安全划分为4个 等级、8个级别。 D类安全等级 C类安全等级 B类安全等级 A类安全等级
1112信息系统技术安全评估通用准则 国际通用准则(CC)是SO统一现有多种准则 的结果,是目前最全面的评估准则。 CC认为安全的实现应构建在如下的层次框架之 上(自下而上) (1)安全环境:使用评估对象时必须遵照的法律和 组织安全政策以及存在的安全威胁。 人民邮电出版社
11.1.2 信息系统技术安全评估通用准则 国际通用准则(CC)是ISO统一现有多种准则 的结果,是目前最全面的评估准则。 CC认为安全的实现应构建在如下的层次框架之 上(自下而上)。 (1)安全环境:使用评估对象时必须遵照的法律和 组织安全政策以及存在的安全威胁
(2)安全目的:对防范威胁、满足所需的组织安 全政策和假设声明。 (3)评估对象安全需求:对安全目的的细化,主 要是一组对安全功能和保证的技术需求。 (4)评估对象安全规范:对评估对象实际实现或 计划实现的定义。 (5)评估对象安全实现:与规范一致的评估对象 实际实现。 人民邮电出版社
(2)安全目的:对防范威胁、满足所需的组织安 全政策和假设声明。 (3)评估对象安全需求:对安全目的的细化,主 要是一组对安全功能和保证的技术需求。 (4)评估对象安全规范:对评估对象实际实现或 计划实现的定义。 (5)评估对象安全实现:与规范一致的评估对象 实际实现
112安全评估的国内通用准则 112.1信息系统安全划分准则 国家标准GB17859-99是我国计算机信息系统安 全等级保护系列标准的核心,是实行计算机信息系 统安全等级保护制度建设的重要基础。此标准将信 息系统分成5个级别,分别是用户自主保护级、系 统审计保护级、安全标记保护级、结构化保护级和 访问验证保护级。 人民邮电出版社
11.2 安全评估的国内通用准则 11.2.1 信息系统安全划分准则 国家标准GB17859-99是我国计算机信息系统安 全等级保护系列标准的核心,是实行计算机信息系 统安全等级保护制度建设的重要基础。此标准将信 息系统分成5个级别,分别是用户自主保护级、系 统审计保护级、安全标记保护级、结构化保护级和 访问验证保护级
表11.1 信息系统的5个级别 第一级 第二级第三级 第四级 第五级 自主访问控制 身份鉴别 √√√ 数据完整性 √√√ 客体重用 审计 强制访问控制 标记 隐蔽信道分析 √√√√√√√√√√ 可信路径 可信恢复 人民邮电出版
第 一 级 第 二 级 第 三 级 第 四 级 第 五 级 自主访问控制 √ √ √ √ √ 身份鉴别 √ √ √ √ √ 数据完整性 √ √ √ √ √ 客体重用 √ √ √ √ 审计 √ √ √ √ 强制访问控制 √ √ √ 标记 √ √ √ 隐蔽信道分析 √ √ 可信路径 √ √ 可信恢复 √ 表11.1 信息系统的5个级别
在此标准中,一个重要的概念是可信计算基 (TCB)。可信计算基是一个实现安全策略的机制, 包括硬件、固件和软件,它们将根据安全策略来处理 主体(例如:系统管理员、安全管理员和用户等)对 客体(例如:进程、文件、记录和设备等)的访问。 人民邮电出版社
在此标准中,一个重要的概念是可信计算基 (TCB)。可信计算基是一个实现安全策略的机制, 包括硬件、固件和软件,它们将根据安全策略来处理 主体(例如:系统管理员、安全管理员和用户等)对 客体(例如:进程、文件、记录和设备等)的访问
1.自主访问控制 2.身份鉴别 3.数据完整性 4.客体重用 5.审计 6.强制访问控制 7.标记 8.隐蔽信道分析 9.可信路径 10.可信恢复 人民邮电出版社
1.自主访问控制 2.身份鉴别 3.数据完整性 4.客体重用 5.审计 6.强制访问控制 7.标记 8.隐蔽信道分析 9.可信路径 10.可信恢复
112.2信息系统安全有关的标准 随着CC标准的不断普及,我国也在2001年发 布了GB/T18336标准,这一标准等同采用 IsO/EC15408-3:《信息技术安全技术信息技 术安全性评估准则》 人民邮电出版社
11.2.2 信息系统安全有关的标准 随着CC标准的不断普及,我国也在2001年发 布了GB/T 18336标准,这一标准等同采用 ISO/IEC 15408-3:《信息技术 安全技术 信息技 术安全性评估准则》