返回
信息安全标准(下

信息安全标准(下

ID:42341540

大小:2.40 MB

页数:95页

时间:2019-09-13

信息安全标准(下_第1页
信息安全标准(下_第2页
信息安全标准(下_第3页
信息安全标准(下_第4页
信息安全标准(下_第5页
资源描述:

《信息安全标准(下》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第14讲信息安全标准(二)北京邮电大学计算机学院副教授徐国爱信息安全评估标准我国信息安全测评认证概述TCSECCCGB17859本讲提纲测评认证相关概念信息安全测评依据标准对信息技术产品、系统、服务提供商和人员进行测试与评估,检验其是否符合测评的标准信息安全测评是检验/测试活动信息安全认证对信息技术领域内产品、系统、服务提供商和人员的资质、能力符合规范及安全标准要求的一种确认活动,即检验评估过程是否正确,并保证评估结果的正确性和权威性。信息安全认证是质量认证活动,更确切地说是产品认证活动。两者关系信息安

2、全测评为信息安全认证提供必要的技术依据。产品认证访问控制产品(防火墙/路由器/代理服务器/网关)鉴别产品安全审计产品安全管理产品数据完整性产品数字签名产品抗抵赖产品商用密码产品(须由国家商用密码管理办公室授权)防信息干扰、泄漏产品操作系统安全类产品数据库安全类产品……系统安全测评信息系统的安全测评,是由具有检验技术能力和政府授权资格的权威机构,依据国家标准、行业标准、地方标准或相关技术规范,按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动。系统安全测评旨在为以前没有安全保障或安全保障

3、体系不完善的系统(网络)提供改进服务,从而降低系统的安全风险组织认证:对提供信息安全服务的组织和单位资质进行评估和认证,即服务资质认证个人认证:对信息安全专业人员的资质进行评估和认证,即人员资质认证我国信息安全测评认证体系组织结构于1997年启动,到1998年底,正式建立我国的信息安全测评认证体系,由三部分组成国家信息安全测评认证管理委员会中国信息安全产品测评认证中心授权测评机构国家信息安全测评认证管理委员会国家信息安全测评认证管理委员会是认证中心的监管机构。组成:由与信息安全相关的管理部门、使用部门、

4、学术界和生产厂商四方面的代表组成主要职责:确定测评认证中心的发展策略,推动中心检测认证的标准研究和准则使用,对测评认证工作的公正性、科学性进行监督。管理委员会下设专家委员会和投诉、申诉委员会。中国信息安全产品测评认证中心中国信息安全产品测评认证中心(CNITSEC):是经中央批准的、由国家质量监督检验检疫总局授权成立的、代表国家实施信息安全测评认证的职能机构。对国内外信息安全设备和信息技术产品进行安全性检验与测试;对国内信息工程和信息系统进行安全性评估与安全质量体系认证;对在中国境内销售、使用的信息技术

5、产品和安全设备进行安全性认证;提供与信息安全有关的信息服务、技术服务及人员培训;与国际上相应的测评认证机构联系与交流。国家认可委(CNAB)认可国家信息安全测评认证管理委员会中国信息安全产品测评认证中心授权测评机构测评认证申请者实验室认可委(CNAL)认可授权监督测评报告认证申请测评认证报告测评申请信息安全测评认证过程图示相关测评标准GB17859-1999《计算机信息系统安全保护等级划分准则》GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》GB/T19716-2005《信息技术信

6、息安全管理实用规则》GB/T20271-2006《信息系统通用安全技术要求》GB/T20269-2006《信息系统安全管理要求》GB/T20282-2006《信息系统安全工程管理要求》DB31/T272-2002《计算机信息系统安全测评通用技术规范》测评认证相关技术渗透性测试:对测试目标进行脆弱性分析,探知产品或系统安全脆弱性的存在,其主要目的是确定测试目标能够抵抗具有不同等级攻击潜能的攻击者发起的渗透性攻击。因此,渗透性测试就是在测试目标预期使用环境下进行的测试,以确定测试目标中潜在的脆弱性的可利用程

7、度。系统漏洞扫描:主要是利用扫描工具对系统进行自动检查,根据漏洞库的描述对系统进行模拟攻击测试,如果系统被成功入侵,说明存在漏洞。主要分为网络漏洞扫描和主机漏洞扫描等方式。我国信息安全测评认证概述信息安全评估标准的发展本讲提纲信息安全评估标准的发展1985年美国可信计算机系统评估准则(TCSEC)1993年加拿大可信计算机产品评估准则(CTCPEC)1993年美国联邦政府评估准则(FC)1991年欧洲信息技术安全评估准则(ITSEC)国际通用准则1996年,CC1.01998年,CC2.01999年,C

8、C2.11999年CC成为国际标准,2005年更新(ISO/IEC15408)2001年中国国家标准GB/T183362008年更新(等同采用CC)1999年GB17859计算机信息系统安全保护等级划分准则可信计算机系统评估准则(TCSEC)可信计算机系统评估准则(TCSEC)简介信息安全技术的里程碑1985年作为美国国防部标准(DoD)发布(DoD5200.28-STD)主要为军用标准,延用为民用主要针对主机型分时操作系统,主要关注保密性

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。