信息安全原理與應用信息安全評估標準課件

1、信息安全原理與應用信息安全評估標準1 信息安全原理與應用信息安全評估標準2 討論議題討論議題 評估標準發(fā)展歷程評估標準發(fā)展歷程 TCSECTCSEC CCCC GB17859-1999GB17859-1999 GB/T 22239-2008GB/T 22239-2008 信息安全原理與應用信息安全評估標準3 評估標準發(fā)展歷程評估標準發(fā)展歷程 信息安全原理與應用信息安全評估標準4 討論議題討論議題 評估標準發(fā)展歷程評估標準發(fā)展歷程 TCSECTCSEC CCCC GB17859-1999GB17859-1999 GB/T 22239-2008GB/T 22239-2008 信息安全原理與應用信息

2、安全評估標準5 TCSECTCSEC TCSECTCSEC將計算機安全分為將計算機安全分為A A、B B、C C、D D四等八級四等八級 無保護級無保護級-D-D等等 自主保護級自主保護級-C-C等等 （1 1）自主安全保護級（）自主安全保護級（C1C1級）級） （2 2）可控訪問保護級（）可控訪問保護級（C2C2級）級） 強制保護級強制保護級-B-B等等 （1 1）標記安全保護級（）標記安全保護級（B1B1級）級） （2 2）結(jié)構(gòu)化保護級（）結(jié)構(gòu)化保護級（B2B2級）級） （3 3）安全區(qū)域保護級（）安全區(qū)域保護級（B3B3級）級） 驗證保護級驗證保護級-A-A等等 （1 1）驗證設計級（）

3、驗證設計級（A1A1級）級） （2 2）超）超A1A1（A2A2）級）級 信息安全原理與應用信息安全評估標準6 TCSECTCSEC各等級安全要求各等級安全要求 信息安全原理與應用信息安全評估標準7 信息安全原理與應用信息安全評估標準8 討論議題討論議題 評估標準發(fā)展歷程評估標準發(fā)展歷程 TCSECTCSEC CCCC GB17859-1999GB17859-1999 GB/T 22239-2008GB/T 22239-2008 信息安全原理與應用信息安全評估標準9 CC CC CCCC由三個部分組成。由三個部分組成。 第一部分，介紹和一般模型，定義了安全評估的通用第一部分，介紹和一般模型，定

4、義了安全評估的通用 概念和原理，提出了評估的通用模型。概念和原理，提出了評估的通用模型。 第二部分，安全功能需求，提出了一系列安全功能組第二部分，安全功能需求，提出了一系列安全功能組 件作為表示評估對象（件作為表示評估對象（TOETOE）功能要求的標準方法。該）功能要求的標準方法。該 部分共列出了部分共列出了1111個類、個類、6666個子類和個子類和135135個功能組件。個功能組件。 第三部分，安全保證需求（第三部分，安全保證需求（assurance requirementsassurance requirements ），提出了一系列安全保證組件，作為表示評估對象），提出了一系列安全保證

5、組件，作為表示評估對象 保證要求的標準方法。保證要求的標準方法。 信息安全原理與應用信息安全評估標準10 CCCC的評估保證等級的評估保證等級 CCCC基于不斷增加的保證范圍提供了七個基于不斷增加的保證范圍提供了七個7 7個遞增的評估個遞增的評估 保證等級，保證等級，EAL1EAL1到到EAL7EAL7。 EAL1EAL1：功能測試；：功能測試； EAL2EAL2：結(jié)構(gòu)測試；：結(jié)構(gòu)測試； EAL3EAL3：系統(tǒng)測試和檢查；：系統(tǒng)測試和檢查； EAL4EAL4：系統(tǒng)設計、測試和復查；：系統(tǒng)設計、測試和復查； EAL5EAL5：半形式化設計和測試；：半形式化設計和測試； EAL6EAL6：半形式化

6、驗證的設計和測試；：半形式化驗證的設計和測試； EAL7EAL7：形式化驗證的設計和測試。：形式化驗證的設計和測試。 信息安全原理與應用信息安全評估標準11 不同評估標準的評估級別的不同評估標準的評估級別的 粗略對應關(guān)系粗略對應關(guān)系 信息安全原理與應用信息安全評估標準12 討論議題討論議題 評估標準發(fā)展歷程評估標準發(fā)展歷程 TCSECTCSEC CCCC GB17859-1999GB17859-1999 GB/T 22239-2008GB/T 22239-2008 信息安全原理與應用信息安全評估標準13 計算機信息系統(tǒng)安全保護等計算機信息系統(tǒng)安全保護等 級劃分準則級劃分準則 計算機信息系統(tǒng)安全

7、保護等級劃分準則計算機信息系統(tǒng)安全保護等級劃分準則規(guī)定了計規(guī)定了計 算機信息系統(tǒng)安全保護能力的五個等級：算機信息系統(tǒng)安全保護能力的五個等級： 用戶自主保護級用戶自主保護級 系統(tǒng)審計保護級系統(tǒng)審計保護級 安全標記保護級安全標記保護級 結(jié)構(gòu)化保護級結(jié)構(gòu)化保護級 訪問驗證保護級訪問驗證保護級 信息安全原理與應用信息安全評估標準14 安全保護等級與安全要素的安全保護等級與安全要素的 對應關(guān)系對應關(guān)系 信息安全原理與應用信息安全評估標準15 討論議題討論議題 評估標準發(fā)展歷程評估標準發(fā)展歷程 TCSECTCSEC CCCC GB17859-1999GB17859-1999 GB/T 22239-2008

8、GB/T 22239-2008 信息安全原理與應用信息安全評估標準16 信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)安全等級保護基本要求 信息安全原理與應用信息安全評估標準17 參考文獻參考文獻 王昭，袁春編著，信息安全原理與應用，電子工業(yè)出王昭，袁春編著，信息安全原理與應用，電子工業(yè)出 版社，北京，版社，北京，20102010，1 1 TCSEC1985 Department of Defense of USATCSEC1985 Department of Defense of USA， Trusted Computer System Evaluation Criteria.Trusted Comp

9、uter System Evaluation Criteria.（ Orange bookOrange book），），19851985 GB 17859-1999GB 17859-1999，中華人民共和國國家標準，中華人民共和國國家標準. . 信息安全信息安全 技術(shù)技術(shù) 計算機信息系統(tǒng)安全保護等級劃分準則計算機信息系統(tǒng)安全保護等級劃分準則. . 中國中國 國家質(zhì)量技術(shù)監(jiān)督局國家質(zhì)量技術(shù)監(jiān)督局.1999.1999. GB/T 22239-2008GB/T 22239-2008，中華人民共和國國家標準，中華人民共和國國家標準. . 信息安信息安 全技術(shù)全技術(shù) 信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)安全等級保護基本要求. .中國國家質(zhì)中國國家質(zhì) 量技術(shù)監(jiān)督局量技術(shù)監(jiān)督局.2008.2008 信息安全原理與應用信息安全評估標準18 參考文獻參考文獻 ISO/IEC 15408, 1999(E), Common Criteria for ISO/IEC 15408, 1999(E), Common Criteria for Information Technology Security Evaluation S. Infor