系统评估准则与安全策略.课件

上传人：陈十三

文档编号：12778705

上传时间：2023-05-25

格式：PPT

页数：38

大小：267KB

《系统评估准则与安全策略.课件》由会员分享，可在线阅读，更多相关《系统评估准则与安全策略.课件（38页珍藏版）》请在维思文库上搜索。

1、1,第7章系统评估准则与安全策略,2,7.1 系统评估准则7.2 信息安全测评认证准则7.3 安全管理的实施7.4 制定安全策略7.5 系统备份和紧急恢复方法7.6 审计与评估7.7 容灾技术及其典型应用,3,7.1 系统评估准则,7.1.1 可信计算机系统评估准则7.1.2 欧洲信息技术安全评估准则7.1.3 加拿大可信计算机产品评估准则7.1.4 美国联邦信息技术安全准则7.1.5 国际通用准则7.1.6 标准的比较与评价,4,7.1 系统评估准则,表7.1 安全评估准则,5,7.1 系统评估准则,7.1.1 可信计算机系统评估准则表7.2 TCSEC 安全等级和功能说明,6,7.1.2

2、欧洲信息技术安全评估准则表7.3 ITSEC和TCSEC的关系,7.1 系统评估准则,7,7.1.3 加拿大可信计算机产品评估准则表7.4 CTCPEC功能要求和规格等级,7.1 系统评估准则,8,表7.5 四种准则安全等级的近似比较,7.1.4 美国联邦信息技术安全准则,7.1 系统评估准则,9,7.1.5 国际通用准则“信息技术安全性通用标准”（CC）是事实上的国际安全评估标准。1999年，CC 被国际标准化组织（ISO）批准成为国际标准ISO/IEC15408-1999并正式颁布发行。表7.6 通用准则的功能类族,7.1 系统评估准则,10,7.1.5 国际通用准则表7.7 通用准则

3、的可信赖性类族,7.1 系统评估准则,11,7.1.6 标准的比较与评价最初的TCSEC是针对孤立计算机系统提出的，特别是小型机和大型机系统。该标准仅适用于军队和政府，不适用于企业。TCSEC与ITSEC均是不涉及开放系统的安全标准，仅针对产品的安全保证要求来划分等级并进行评测，且均为静态模型，仅能反映静态安全状况。CTCPEC虽在二者的基础上有一定发展，但也未能突破上述的局限性。FC 对TCSEC作了补充和修改，对保护框架（PP）和安全目标（ST)作了定义，明确了由用户提供出其系统安全保护要求的详细框架，由产品厂商定义产品的安全功能、安全目标等。CC定义了作为评估信息技术产品和系统安全性的基

4、础准则，提出了目前国际上公认的表述信息技术安全性的结构。CC与早期的评估标准相比，其优势体现在其结构的开放性、表达方式的通用性以及结构和表达方式的内在完备性和实用性三个方面。CC的几项明显的缺点。,7.1 系统评估准则,12,7.2 信息安全测评认证准则,7.2.1 信息安全测评认证制度7.2.2 安全产品控制7.2.3 测评认证的标准与规范7.2.4 中国测评认证标准与工作体系,13,7.2.1 信息安全测评认证制度测评认证制度的组成测评检验产品是否符合所定义的评估标准。认证检验评估过程是否正确，并保证评估结果的正确性和权威性，且公布于众。测评认证制度的重要性根据信息安全测评认证制度，产品

5、的使用者就能在众多销售环境下放心地构筑、运用信息系统，开发者也能在可以信赖的指南下开发产品。信息安全测评认证制度对维护国家的信息安全起着极其重要的作用，对信息安全产业起步较晚且不够完善的中国而言尤为重要。,7.2信息安全测评认证准则,14,7.2.2 安全产品控制在市场准入上，发达国家为严格进出口控制。对国内使用的产品，实行强制性认证。对信息技术和信息安全技术中的核心技术，由政府直接控制。形成政府的行政管理与技术支持相结合、相依赖的管理体制。7.2.3 测评认证的标准与规范信息技术安全性通用标准CC，使大部分的基础性安全机制，在任何一个地方通过了CC准则评价并得到许可进入国际市场时，不需要再作

6、评价，大幅度节省评价支出并迅速推向市场。各国通常是在充分借鉴国际标准的前提下，制订自己的测评认证标准。,7.2信息安全测评认证准则,15,7.2.4 中国测评认证标准与工作体系开展信息安全测评认证的紧迫性评测认证标准评测工作体系信息安全测评认证体系，由3个层次的组织和功能构成国家信息安全测评认证管理委员会国家信息安全测评认证中心若干个产品或信息系统的测评分支机构(实验室，分中心等)测评认证中心中国国家信息安全测评认证中心(CNISTEC)对外开展4种认证业务产品形式认证产品认证信息系统安全认证信息安全服务认证,7.2信息安全测评认证准则,16,7.3 安全管理的实施,7.3.1 安全管理的类型7.3.2 安全管理的原则7.3.3 安全管理的基础,17,7.3.1 安全管理的类型系统安全管理安全服务管理安全机制管理OSI管理的安全7.3.2 安全管理的原则安全管理平台的设计原则标准化设计原则逐步扩充的原则集中与分布的原则安全管理平台的管理原则多人负责原则系统管理岗位任期有限原则职责有限、分离原则,7.3 安全管理的实施,18,7.3.3 安全管理的基础根据安全