信息安全评估准则

信息平安评估准那么

姓名：万项超学号：S309060148评估准那么1.可信计算机系统评估准那么〔TCSEC〕2.信息技术平安评估准那么〔ITSEC〕3.信息平安技术通用评估准那么〔CC〕4.我国信息平安评估准那么〔GB17859-1999&GB18336-2001&GB18336-2021〕TCSEC1983年，由美国国家计算机平安中心〔NCSC〕初次公布1985年，进行了更新，并重新发布2005年，被国际标准信息平安通用评估准那么〔CC〕代替TCSEC标准制定的目的

1).提供一种标准，使用户可以对其计算机系统内敏感信息平安操作的可信程度做评估。

2).给计算机行业的制造商提供一种可循的指导规那么;使其产品能够更好地满足敏感应用的平安需求。TCSEC计算机系统平安等级1、D1级这是计算机平安的最低一级。D1级计算机系统标准规定对用户没有验证，也就是任何人都可以使用该计算机系统而不会有任何障碍。D1级的计算机系统包括：MS-Dos、Windows95、Apple的System7.x2、C1级C1级系统要求硬件有一定的平安机制，用户在使用前必须登录到系统。C1级系统还要求具有完全访问控制的能力，经应当允许系统管理员为一些程序或数据设立访问许可权限。常见的C1级兼容计算机系统有：UNIX系统、XENIX、Novell3.x或更高版本、WindowsNTTCSEC3、C2级C2级实际是平安产品的最低档次，提供受控的存取保护。C2级引进了受控访问环境〔用户权限级别〕的增强特性。授权分级使系统管理员能够分用户分组，授予他们访问某些程序的权限或访问分级目录。C2级系统还采用了系统审计。审计特性跟踪所有的“平安事件〞，以及系统管理员的工作。常见的C2级系统有：操作系统中Microsoft的WindowsNT3.5，UNIX系统。数据库产品有oracle公司的oracle7，Sybase公司的等。TCSEC4、B1级B1级系统支持多级平安，多级是指这一平安保护安装在不同级别的系统中〔网络、应用程序、工作站等〕，它对敏感信息提供更高级的保护。5、B2级这一级别称为结构化的保护〔StructuredProtection)。B2级平安要求计算机系统中所有对象加标签，而且给设备〔如工作站、终端和磁盘驱动器〕分配平安级别。6、B3级B3级要求用户工作站或终端通过可信任途径连接网络系统，这一级必须采用硬件来保护平安系统的存储区。7、A级这一级有时也称为验证设计〔verifieddesign)。必须采用严格的形式化方法来证明该系统的平安性，所有构成系统的部件的来源必须平安保证。ITSEC1990年5月，英、法、德、荷根据对各国的评估标准进行协调制定ITSEC1991年6月，ITSEC1.2版由欧共体标准化委员会发布目前，ITSEC已大局部被CC替代ITSEC平安性要求1、功能为满足平安需求而采取的技术平安措施。功能要求从F1～F10共分10级。1～5级对应于TCSEC的C1、C2、B1、B2、B3。F6至F10级分别对应数据和程序的完整性、系统的可用性数据通信的完整性、数据通信的保密性以及机密性和完整性的网络平安。2、保证确保功能正确实现和有效执行的平安措施。保证要求从E0〔没有任何保证〕～E6〔形式化验证〕共分7级.ITSEC把完整性、可用性与保密性作为同等重要的因素。CC1996年6月，CC第一版发布1998年5月，CC第二版发布1999年10月，CCV2.1版发布1999年12月，ISO采纳CC，并作为国际标准ISO/IEC15408发布2004年1月，CCV2.2版发布2005年8月，CCV2.3版发布2005年7月，CCV3.0版发布2006年9月，CCV3.1.release1发布2007年9月，CCV3.2.release2发布2021年9月，CCV3.1.release3发布CC重要概念PP(ProtectionProfile)及其评估:PP是一类TOE基于其应用环境定义的一组平安要求，不管这些要求如何实现，实现问题交由具体ST实现，PP确定在平安解决方案中的需求ST(SecurityTarget)及其评估:ST是依赖于具体的TOE的一组平安要求和说明，用来指定TOE的评估根底。ST确定在平安解决方案中的具体要求。TOE(TargetofEvaluation)及其评估:TOE评估对象，作为评估主体的IT产品及系统以及相关的管理员和用户指南文档。CCCC的组成1、简介和一般模型描述了对平安保护轮廓〔PP〕和平安目标〔ST〕的要求。PP实际上就是平安需求的完整表示，ST那么是通常所说的平安方案。2、平安功能要求详细介绍了为实现PP和ST所需要的平安功能要求3、平安保证要求详细介绍了为实现PP和ST所需要的平安保证要求CCCC的中心内容当第一局部在PP〔平安保护框架〕和ST〔平安目标〕中描述TOE〔评测对象〕的平安要求时应尽可能使用其与第二局部描述的平安功能组件和第三局部描述的平安保证组件相一致。CCCC组成的的层次关系CC功能组件的层次结构CCCC将平安功能要求分为以下11类：1、平安审计类2、通信类〔主要是身份真实性和抗抵赖〕3、密码支持类4、用户数据保护类5、标识和鉴别类6、平安管理类〔与TSF有关的管理〕7、隐秘类〔保护用户隐私〕前七类的平安功能是提供给信息系统使用的CC8、TOE保护功能类〔TOE自身平安保护〕9、资源利用类〔从资源管理角度确保TSF平安〕10、TOE访问类〔从对TOE的访问控制确保平安性〕11、可信路径/信道类。后四类平安功能是为确保平安功能模块〔TSF〕的自身平安而设置的。

CC保证组件的层次结构CC具体的平安保证要求分为以下10类:1、配置管理类2、分发和操作类3、开发类4、指导性文档类5、生命周期支持类6、测试类7、脆弱性评定类8、保证的维护类9、保护轮廓评估类10、平安目标评估类

CC按照对上述10类平安保证要求的不断递增，CC将TOE分为7个平安保证级，分别是：第一级(EAL1)：功能测试级第二级(EAL2)：结构测试极第三级(EAL3)：系统测试和检查级第四级(EAL4)：系统设计、测试和复查级第五级(EAL5)：半形式化设计和测试级第六级(EAL6)：半形式化验证的设计和测试级第七级(EAL7)：形式化验证的设计和测试级

CCCC评估产品统计保护轮廓〔PP〕的文档结构CC一般模型中的TOE评估过程评估准那么评估方法评估方案开发TOE平安要求〔PP和ST〕TOE和评估证据评估TOE运行TOE评估结果反响我国信息平安评估准那么?计算机信息系统平安保护等级划分标准?：GB17859-1999?信息技术平安技术信息技术平安性评估准那么?：GB18336-2001?信息技术平安技术信息技术平安性评估准那么?：GB18336-2021计算机信息系统的平安划分

第一级：用户自主保护级第二级：系统审计保护级

第三级：平安标记保护级第四级：结构化保护级第五级：访问验证保护级

国家授权测评机构

到目前为止，国家中心根据开展需要，已批准筹建了14家授权测评机构。其中，上海测评中心、计算机测评中心、东北测评中心、华中测评中心、深圳测评中心已获得正式授权；西南测评中心、身份认证产品与技术测评中心等5个授权测评机构已挂牌试运行；其它4个授权测评机构正处于筹建阶