试述信息安全标准的发展历史,试述CC评估保证级划分的基本内容。
试述信息安全标准的发展历史,试述CC评估保证级划分的基本内容。
发布时间:2024-12-20 21:23:09
请在 下方输入 要搜索的题目:
推荐参考答案 (
由 快搜搜题库 官方老师解答 )
答案:答: (1) 信息安全标准的发展历史如下:
OTCSEC是指1985年美国国防部正式颁布的《可信计算机系统评估准则》(简称TCSBC)。
在TCSBC推出后的十年里,不同国家都开始开发建立在TCSEC概念上的评估准则,如欧洲的信息技术安全评估准则(ITSEC)、加拿大的可信计算机产品评估准则(CTCPEC),美国的信息技术安全联邦标准(FC)草案等。
②CTCPEC、FC、TCSEC和ITSEC的发起组织于1993 年起开始联合行动,解决原标准中概念和技术上的差异,将各自独立的准则集合成一组单一的、能被广泛使用的IT安全准则,这一行动被称为CC项目。CC V2.1 版于1999年被IS0采用为国际标准,2001 年被我国采用为国家标准。目前CC已经基本取代了TCSEC,成为评估信息产品安全性的主要标准。
③1991年4月美国NCSC颁布了《可信计算机系统评估准则关于可信数据库系统的解释》(简称TDI),将TCSEC扩展到数据库管理系统。TDI中定义了数据库管理系统的设计与实现中需满足和用以进行安全性级别评估的标准。
④TDITCSEC从四个方面来描述安全性级别划分的指标:安全策略、责任、保证和文档。每个方面又细分为若干项。根据计算机系统对各项指标的支持情况,TDITCSEC将系统划分为四组七个等级,依次是D、C(C1,C2)、B(B1, B2,B3)、A(A1), 按系统可靠或可信程度逐渐增高。
⑤CC提出了目前国际上公认的表述信息技术安全性的结构,即把对信息产品的安全要求分为安全功能要求和安全保证要求。安全功能要求用以规范产品和系统的安全行为,安全保证要求解决如何正确有效地实施这些功能。安全功能要求和安全保证要求都以“类子类-组件*的结构表述,组件是安全要求的最小构件块。
(2)评估保证级是在CC第三部分中预先定义的由保证组件组成的保证包,每一保证包描述了- -组特定的保证要求,对应着一种评估保证级别。
从EALI至EAL7共分为七级,按保证程度逐渐增高,如表4-5所示。
