安全加固之系统评估方法—通用标准CC

安全加固之系统评估方法—通用标准CC系统评估方法保证评估研究系统的安全相关部分,包括TCB、访问控制机制、引用监视器、内核以及保护机制。此外,对这些组件之间的关系和相互作用也要进行评估。对系统的保证级别进行评估和指定有着不同的方法。国际标准化组织指定了全球使用的一种国际性标准准则(简称CC),被编制国家标准ISO/IEC15

大家好,欢迎来到IT知识分享网。

系统评估方法
保证评估研究系统的安全相关部分,包括TCB、访问控制机制、引用监视器、内核以及保护机制。
此外,对这些组件之间的关系和相互作用也要进行评估。对系统的保证级别进行评估和指定有着不同的方法。
国际标准化组织指定了全球使用的一种国际性标准准则(简称CC),被编制国家标准 ISO/IEC 15408中,通用准则。
1996年6月,CC第一版发布;1998年5月,CC第二版发布;1999年 10月CC V2.1版发布,并且成为ISO标准。CC的主要思想和框架都取自ITSEC和FC,并充分突出了“保护轮廓”概念。

安全加固之系统评估方法—通用标准CC

 

 

 

CC将评估过程划分为功能和保证两部分,评估等级分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7共七个等级。每一级均需评估7个功能类,分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。
 从EAL1到EAL7一共有7个等级。等级越高,表示通过认证需要满足的安全保证要求越多,系统的安全特性越可靠。EAL不衡量系统本身的安全性,只表示测试的严格程度。实现特定的EAL等级,产品或系统需要满足特定的安全保证要求。大多数要求包括设计文档、设计分析、功能测试、穿透测试。等级越高,需要越详细的文档、分析和测试。一般实现更高的EAL认证,需要耗费更多的时间和金钱。通过特定级别的EAL认证,表示产品或系统满足该级别的所有安全保证要求。
通用准则在评估过程中使用了保护样板。保护样板描述了对环境的假设、目标以及功能性和保障级别期望。
评估过程只是判断产品功能和保证的一个方面。一旦害怕获得了特定的评级,它只适用于特定的版本,只适用于该产品的某种配置。因为会受限产品部署的环境、配置限制,评估环境是一个最理想状态的评价,也只是针对某款产品。
通用准则的不同组成部分:
  • 保护样板:描述所需的安全解决方案
  • 评估目标(TOE):提供所需安全解决方案的建议产品
  • 安全目标(ST):供应商的书面说明,解析满足所需安全解决方案的安全功能和保证机制。
  • 安全功能要求(PP):产品必须提供的每一个安全功能。
  • 安全保证要求:在对产品开发和评估过程中,为保证合乎所声称的安全功能的规定而采取的措施。
  • 数据包(EAL):把功能和保证需求封装起来,以便今后使用。这部分详细描述要实现特定EAL评级所必须满足的要求。
安全加固之系统评估方法—通用标准CC
 
上图的解释为,根据等级描述所需的安全解决方案,即保护样板;根据保护样板,描述所需安全解决方案的建议产品(参考标准),即评估目标(TOE);供应商根据TOE,对标提供所提供产品的功能和保证组件机制,即安全目标(ST);在ST下描述产品所提供的安全功能,即安全功能(PP);在对产品开发和评估过程中,为保证合乎所声称的安全功能的规定而采取的措施,即安全保证要求;最后根据指定的归案测试和评估产品,给出相应的EAL级别。
 
CC定义了一系列与已知有效的安全要求集合相关结合的概念,该概念可被用来为预期的产品和IT建立安全需求。
CC安全要求以类-族-组件层次方式组织,帮忙用户定位特定的安全要求。
类:类用作最通用的安全要求的组合,类的所有成员关注共同的安全焦点,但覆盖不同的安全目标。
族:类的成员,是若干组安全要求的组合,这些安全要求具有共同的安全目标,但在侧重点和严格性上有所区别。
组件:族的成员被称为组件。组件描述一组特定的安全要求集,它是CC定义的结构中最小可选安全要求集
包:组件的中间组合,对功能或保证需求集合的描述,这个集合能够满足安全目标可标识子集。包括重复使用,可用来定义那些工人有用的、能够有效满足特定安全目标的要求。
 
ISO/IEC 15408是国际标准,是评估CC框架下的产品安全属性的基础。它通常包括3部分:
  • ISO/IEC 15408-1  入门和通用评估模型
  • ISO/IEC 15408-2 安全功能组件
  • ISO/IEC 15408-3 安全保证组件
 
 
 
2001年,我国将ISO/IEC15408-1999转化为国家推荐性标GB/T18336-2001(CC V2.1)《信息技术 安全技术 信息技术安全性评估准则》。目前,国内最新版本GB-T18336-2008采用了IS0/IEC15408-2005.即CC V2.3。
安全加固之系统评估方法—通用标准CC

目前,我国已经根据现有信息安全标准开展了信息安全产品检测认证工作。产品信息安全认证证书格式如下:

安全加固之系统评估方法—通用标准CC
 

关于CC的相关内容,可参考https://wenku.baidu.com/view/8d9234096394dd88d0d233d4b14e852459fb3975.html。

当前大家越来越重视产品的安全性,随着信息化不断深入,认知的不断提高,信息安全认证证书在采购、使用过程中将成为一个重要衡量指标。

 

 
参考链接:
https://blog.csdn.net/duanxingheng/article/details/12971735?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522159410268019724843315622%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=159410268019724843315622&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v3~pc_rank_v2-1-12971735.first_rank_ecpm_v3_pc_rank_v2&utm_term=CC%E8%AE%A4%E8%AF%81  CC EAL认证
https://cloud.tencent.com/developer/article/1043363  跟我来了解CC认证!(全球最顶级的产品安全认证标准)
 https://wenku.baidu.com/view/8d9234096394dd88d0d233d4b14e852459fb3975.html   第八章 信息安全
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

<wiz_tmp_tag id=”wiz-table-range-border” contenteditable=”false” style=”display: none;”>

来自为知笔记(Wiz)

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/34140.html

(0)

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注微信