信息安全评估准则 姓名:万项超 学号:S309060148.

Slides:



Advertisements
Similar presentations
计算机信息系统安全评估标准介绍 北京大学 闫强.
Advertisements

计算机网络教程 任课教师:孙颖楷.
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
第十一章 量測、分析及改善 8.0 量測、分析及改善包括: 規劃量測、分析及改善流程; 監督及量測; 不合格品管制; 資料分析及改善.
2017/3/6 V1 实习指导管理系统.
知识模块 13 国内外相关标准 沈晴霓 软件与微电子学院 北京大学 1.
第七章 商务网站建设 案例八:艺海拾贝网站设计 思考 1.为什么说网页结构 设计非常重要? 2.目录结构与网页 结构有什么关系?
初级会计电算化 (用友T3) 制作人:张爱红.
公务员管理子系统建设步骤 1、组建由局长直接领导的体制,制定公务员管理、工资管理、其他业务用户的管理权限,以及各业务间的协作流程。
信息安全标准、法律法规及等级保护 温州市继续教育院 -信息安全继续教育培训 陆军波 /
淄博信息工程学校 ZIBOIT&ENGINEERING VOCATONAL SHCOOL 02 认识虚拟局域网 计算机网络技术专业.
实用操作系统概念 张惠娟 副教授 1.
第五章 信息系统开发能力培养.
UI(用户界面)集训班 Illustrator 高级班.
第3章 网络防御技术 指导教师:杨建国 2013年8月10日.
An Introduction to Database System
中青国信科技(北京)有限公司 空间域名邮局价格表.
初中图书馆综合阅读课程 图书馆知识普及 2013年3月.
全国计算机等级考试 二级基础知识 第二章 程序设计基础.
主講人:黃鎮榮 東方設計學院觀光與休閒事業管理系
格物资讯开放ICON库 V1R1.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
产品介绍 产品类型:数据终端 建议零售价2800元 上市时间:2017 年 2 月 目标人群:物流、快递及仓储等行业从业人员
Windows 8 more simple more powerful more free.
瑞斯康达—MSG1500 产品类型:路由器 建议零售价格:198元 上市时间:2017 年 3月
面向对象建模技术 软件工程系 林 琳.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
存储系统.
大学计算机基础 典型案例之一 构建FPT服务器.
Ebooking 突发问题解决方案.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
第11章:一些著名开源软件介绍 第12章:服务安装和配置 本章教学目标: 了解当前一些应用最广泛的开源软件项目 搭建一个网站服务器
数 控 技 术 华中科技大学机械科学与工程学院.
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
第十章 IDL访问数据库 10.1 数据库与数据库访问 1、数据库 数据库中数据的组织由低到高分为四级:字段、记录、表、数据库四种。
《网上报告厅》使用说明 北京爱迪科森教育科技股份有限公司.
格物资讯开放ICON库 V0R2.
ENS 10.1安装配置指南 王俊涛 | SE.
Windows 7 的系统设置.
你知道这些标志吗?. 你知道这些标志吗? 网络——信息安全 小组讨论 你觉得网络信息安全吗? 为什么?
程序设计工具实习 Software Program Tool
新一代安全网上银行 小组成员:杨志明 王晶 任毅 刘建中 关昊 刘超.
C语言程序设计 主讲教师:陆幼利.
微机系统的组成.
An Introduction to Database System
第四章 团队音乐会序幕: 团队协作平台的快速创建
产品介绍 日修改版本: 去除:C+W统一认证功能:(是否支持) 小米3 外观设计 上市时间: 2014 年 2 月
实验七 安全FTP服务器实验 2019/4/28.
SAGE-移动终端授权 ----校外访问SAGE资源 北京办公室 1.
JSP实用教程 清华大学出版社 第2章 JSP运行环境和开发环境 教学目标 教学重点 教学过程 2019年5月7日.
信息安全等级保护定级工作简介 网络信息中心
第八章 总线技术 8.1 概述 8.2 局部总线 8.3 系统总线 8.4 通信总线.
LOGIX500软件入门 西安华光信息技术有限公司 2008年7月11日.
魏新宇 MATLAB/Simulink 与控制系统仿真 魏新宇
机械设备的完整性和可靠性管理 Maintenance integrity & reliability.
第11章 安全管理 教学提示:数据库安全是关系数据库中的非常重要的方面,包括了系统安全、数据安全、资源管理、用户管理、权限管理、角色管理、口令管理以及授权、认证、审计等相当多方面的内容。本章讲述有关数据库安全方面的知识。 数据库系统的安全性是每个数据库管理员都必须认真考虑的问题。SQL Server.
Delphi 7.0开发示例.
临界区问题的硬件指令解决方案 (Synchronization Hardware)
OpenStack vs CloudStack
第五章 資訊安全概述 5-1 安全定義 5-2 安全標準 5-3 安全元件.
GIS基本功能 数据存储 与管理 数据采集 数据处理 与编辑 空间查询 空间查询 GIS能做什么? 与分析 叠加分析 缓冲区分析 网络分析
Google的云计算 分布式锁服务Chubby.
格物资讯ICON发布 V0R3.
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
第四章 UNIX文件系统.
FVX1100介绍 法视特(上海)图像科技有限公司 施 俊.
入侵检测技术 大连理工大学软件学院 毕玲.
IT 安全 第 1节 安全目标.
Presentation transcript:

信息安全评估准则 姓名:万项超 学号:S309060148

评估准则 1.可信计算机系统评估准则(TCSEC) 2.信息技术安全评估准则(ITSEC) 3.信息安全技术通用评估准则(CC) 4.我国信息安全评估准则(GB 17859-1999 & GB18336-2001&GB18336-2008)

TCSEC 1983年,由美国国家计算机安全中心(NCSC)初次颁布 1985年,进行了更新,并重新发布 2005年,被国际标准信息安全通用评估准则(CC)代替

TCSEC 标准制定的目的 2). 给计算机行业的制造商提供一种可循的指导规则; 1). 提供一种标准,使用户可以对其计算机系统内敏 感信息安全操作的可信程度做评估。 2). 给计算机行业的制造商提供一种可循的指导规则; 使其产品能够更好地满足敏感应用的安全需求。

TCSEC 计算机系统安全等级 1、D1 级 这是计算机安全的最低一级。D1级计算机系统标准规定对用户没有验证,也就是任何人都可以使用该计算机系统而不会有任何障碍。D1级的计算机系统包括:MS-Dos、Windows95 、Apple的System7.x 2、C1 级 C1级系统要求硬件有一定的安全机制,用户在使用前必须登录到系统。C1级系统还要求具有完全访问控制的能力,经应当允许系统管理员为一些程序或数据设立访问许可权限。常见的C1级兼容计算机系统有: UNIX 系统 、 XENIX 、Novell3.x或更高版本 、Windows NT

TCSEC 3、C2 级 C2级实际是安全产品的最低档次,提供受控的存取保护。 常见的C2级系统有:操作系统中Microsoft的Windows NT 3.5,UNIX系统。数据库产品有oracle公司的oracle 7,Sybase公司的SQL Server11.0.6等。

TCSEC B1级系统支持多级安全,多级是指这一安全保护安装在不同级别的系统中(网络、应用程序、工作站等),它对敏感信息提供更高级的保护。 这一级别称为结构化的保护(Structured Protection)。B2级安全要求计算机系统中所有对象加标签,而且给设备(如工作站、终端和磁盘驱动器)分配安全级别。 6、B3 级 B3级要求用户工作站或终端通过可信任途径连接网络系统,这一级必须采用硬件来保护安全系统的存储区。 7、A 级 这一级有时也称为验证设计(verified design)。必须采用严格的形式化方法来证明该系统的安全性 ,所有构成系统的部件的来源必须安全保证 。

ITSEC 1990年5月,英、法、德、荷根据对各国的评估标准进行协调制定ITSEC 目前,ITSEC已大部分被CC替代

ITSEC 安全性要求 1、功能 为满足安全需求而采取的技术安全措施。 2、保证 确保功能正确实现和有效执行的安全措施。 功能要求从F1~F10共分10级。 1~5级对应于TCSEC的C1、C2、 B1、B2、B3。F6至F10级分别对应数据和程序的完整性、系统的可用性数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。 2、保证 确保功能正确实现和有效执行的安全措施。 保证要求从E0(没有任何保证)~E6(形式化验证)共分7级. ITSEC把完整性、可用性与保密性作为同等重要的因素。

CC 1996年6月, CC 第一版发布 1998年5月, CC 第二版发布 1999年10月,CC V2.1版发布 1999年12月,ISO采纳CC,并作为国际 标准ISO/IEC 15408发布 2004年1月, CC V2.2版发布 2005年8月, CC V2.3版发布 2005年7月, CC V3.0版发布 2006年9月, CC V3.1.release 1 发布 2007年9月, CC V3.2.release 2 发布 2009年9月, CC V3.1.release 3 发布

CC重要概念 PP (Protection Profile)及其评估: ST (Security Target)及其评估: PP是一类TOE基于其应用环境定义的一组安全要求,不管这些要求如何实现,实现问题交由具体ST实现,PP确定在安全解决方案中的需求 ST (Security Target)及其评估: ST是依赖于具体的TOE的一组安全要求和说明,用来指定TOE的评估基础。ST确定在安全解决方案中的具体要求。 TOE (Target of Evaluation)及其评估: TOE评估对象,作为评估主体的IT产品及系统以及相关的管理员和用户指南文档。

CC CC的组成 1、简介和一般模型 描述了对安全保护轮廓(PP)和安全目标(ST)的要求。PP实际上就是安全需求的完整表示,ST则是通常所说的安全方案。 2、安全功能要求 详细介绍了为实现PP和ST所需要的安全功能要求 3、安全保证要求 详细介绍了为实现PP和ST所需要的安全保证要求

CC CC的中心内容 当第一部分在PP(安全保护框架)和ST(安全目标)中描述TOE(评测对象)的安全要求时应尽可能使用其与第二部分描述的安全功能组件和第三部分描述的安全保证组件相一致。

CC CC组成的的层次关系

CC 功能组件的层次结构

CC CC将安全功能要求分为以下11类: 前七类的安全功能是提供给信息系统使用的 1、安全审计类 2、通信类(主要是身份真实性和抗抵赖) 3、密码支持类 4、用户数据保护类 5、标识和鉴别类 6、安全管理类(与TSF有关的管理) 7、隐秘类(保护用户隐私) 前七类的安全功能是提供给信息系统使用的

CC 后四类安全功能是为确保安全功能模块(TSF)的 自身安全而设置的。 8、 TOE保护功能类(TOE自身安全保护) 11、可信路径/信道类。 后四类安全功能是为确保安全功能模块(TSF)的 自身安全而设置的。

CC 保证组件的层次结构

CC 具体的安全保证要求分为以下10类 : 1、配置管理类 2、分发和操作类 3、开发类 4、指导性文档类 5、生命周期支持类 6、测试类 7、脆弱性评定类 8、保证的维护类 9、保护轮廓评估类 10、安全目标评估类

CC 按照对上述10类安全保证要求的不断递增,CC将 TOE分为7个安全保证级,分别是: 第一级(EAL1): 功能测试级

CC CC评估产品统计

保护轮廓(PP)的文档结构

CC一般模型中的TOE评估过程 开发 安全要求 TOE 评估准则 (PP和ST) 评估方法 评估 评估方案 TOE和评 TOE 估证据 运行 评估结果 反馈

我国信息安全评估准则 《计算机信息系统安全保护等级划分标准》:GB 17859-1999

计算机信息系统的安全划分 第一级:用户自主保护级 第二级:系统审计保护级 第三级:安全标记保护级 第四级:结构化保护级   第一级:用户自主保护级 第二级:系统审计保护级   第三级:安全标记保护级 第四级:结构化保护级 第五级:访问验证保护级    

国家授权测评机构 到目前为止,国家中心根据发展需要,已批准筹建了14家授权测评机构。其中,上海测评中心、计算机测评中心、东北测评中心、华中测评中心、深圳测评中心已 获得正式授权;西南测评中心、身份认证产品与技术测评中心等5个授权测评机构已挂牌试运行;其它4个授权测评机构正处于筹建阶段

中国信息安全产品测评认证中心的认证产品目录 信息安全产品认证 (1) 防火墙 (2) 安全扫描器 (3) IDS (4) 安全审计 (5) 网络隔离 (6) VPN (7) 智能卡 (8) 卡终端 (9) 安全管理 其他IT产品安全性认证 (1) 操作系统 (2) 数据库 (3) 交换机 (4) 路由器 (5) 应用软件 (6) 其他

完了^_^