信息安全原理与应用-信息安全评估标准

《信息安全原理与应用-信息安全评估标准》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、1信息安全原理与应用第十六章信息安全评估标准本章由王昭主写2讨论议题评估标准发展历程TCSECCCGB17859-1999GB/T22239-2008评估标准发展历程34讨论议题评估标准发展历程TCSECCCGB17859-1999GB/T22239-2008TCSECTCSEC将计算机安全分为A、B、C、D四等八级无保护级-D等自主保护级-C等（1）自主安全保护级（C1级）（2）可控访问保护级（C2级）强制保护级-B等（1）标记安全保护级（B1级）（2）结构化保护级（B2级）（3）安全区域保护级（B3级）验证保护级-A等（1）验证设计级（A1级）（2）超A1

2、（A2）级5TCSEC各等级安全要求678讨论议题评估标准发展历程TCSECCCGB17859-1999GB/T22239-2008CCCC由三个部分组成。第一部分，介绍和一般模型，定义了安全评估的通用概念和原理，提出了评估的通用模型。第二部分，安全功能需求，提出了一系列安全功能组件作为表示评估对象（TOE）功能要求的标准方法。该部分共列出了11个类、66个子类和135个功能组件。第三部分，安全保证需求（assurancerequirements），提出了一系列安全保证组件，作为表示评估对象保证要求的标准方法。9CC的评估保证等级CC基于不断增加的保证范围提供

3、了七个7个递增的评估保证等级，EAL1到EAL7。EAL1：功能测试；EAL2：结构测试；EAL3：系统测试和检查；EAL4：系统设计、测试和复查；EAL5：半形式化设计和测试；EAL6：半形式化验证的设计和测试；EAL7：形式化验证的设计和测试。10不同评估标准的评估级别的粗略对应关系1112讨论议题评估标准发展历程TCSECCCGB17859-1999GB/T22239-2008计算机信息系统安全保护等级划分准则《计算机信息系统安全保护等级划分准则》规定了计算机信息系统安全保护能力的五个等级：用户自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保

4、护级13安全保护等级与安全要素的对应关系1415讨论议题评估标准发展历程TCSECCCGB17859-1999GB/T22239-2008信息系统安全等级保护基本要求16参考文献王昭，袁春编著，信息安全原理与应用，电子工业出版社，北京，2010，1[TCSEC1985]DepartmentofDefenseofUSA，TrustedComputerSystemEvaluationCriteria.（Orangebook），1985GB17859-1999，中华人民共和国国家标准.信息安全技术计算机信息系统安全保护等级划分准则.中国国家质量技术监督局.1999.

5、GB/T22239-2008，中华人民共和国国家标准.信息安全技术信息系统安全等级保护基本要求.中国国家质量技术监督局.200817参考文献ISO/IEC15408,1999(E),CommonCriteriaforInformationTechnologySecurityEvaluation[S].TheInternationalOrganizationforStandardization,1999.……18