信息安全產(chǎn)品和系統(tǒng)安全性評價標(biāo)準(zhǔn)(相關(guān)知識)

時間：2022-10-16 04:30:01 | 來源：信息時代

時間：2022-10-16 04:30:01 來源：信息時代

    信息安全產(chǎn)品和系統(tǒng)安全性評價標(biāo)準(zhǔn) : 1996年通用標(biāo)準(zhǔn)編輯委員會(CC Editorial Board,CCEB)發(fā)布的信息技術(shù)安全性評價國際標(biāo)準(zhǔn)。這一標(biāo)準(zhǔn)的最新版本是2009年的V3. 2,國際標(biāo)準(zhǔn)代碼為ISO/IEC 15408:2009,主要用來評價信息系統(tǒng)和信息產(chǎn)品的安全性。
1983年美國國防部(United States Government Department of Defense,DOD)提出了美國可信計算機(jī)系統(tǒng)評價標(biāo)準(zhǔn)(Trusted Computer System Evaluation Criteria,TCSEC),之后又于 1985年對這一標(biāo)準(zhǔn)進(jìn)行了更新。根據(jù)這一基礎(chǔ),1990年分別由歐洲提出了信息技術(shù)安全評價標(biāo)準(zhǔn)(Information Technology Security Evaluation Criteria,ITSEC),加拿大提出了可信計算機(jī)產(chǎn)品評價標(biāo)準(zhǔn)(Canadian Trusted Computer Product Evaluation Criteria,CTCPEC)。1991年美國又改進(jìn)為信息技術(shù)安全聯(lián)邦標(biāo)準(zhǔn)(Federal Criteria),并于1996年之后這三個標(biāo)準(zhǔn)形成為一個通用標(biāo)準(zhǔn)(Common Criteria),分別為1996年的V1.0、1999年的V2.1、2005年的V2.3、2008年的V3. 1和2009年的V3. 2等5個版本。其中,1999年的V2. 1版本被轉(zhuǎn)化為國際標(biāo)準(zhǔn)ISO/IEC 15408-1999《信息技術(shù)—安全技術(shù)—IT安全的評價標(biāo)準(zhǔn)》(In formation Technology-Security Techniques-Evaluation Criteria for IT Security)。
信息安全產(chǎn)品和系統(tǒng)安全性評價標(biāo)準(zhǔn)共分為三部分:一是信息技術(shù)安全性評價的一般模型和基本框架,主要描述了信息安全相關(guān)的基本概念和模型,以及PP和ST的要求。PP是為一類產(chǎn)品或系統(tǒng)定義信息安全技術(shù)要求,包括功能要求和保證要求。ST則定義了一個既定評價對象(TOE—TarEet of evaluation)的IT安全要求,并規(guī)定了該TOE應(yīng)提供的安全功能和保證措施,以滿足所提出的安全要求,ST是開發(fā)者、評估者和用戶之間對TOE安全特性和評價范圍達(dá)成一致的基礎(chǔ)。二是安全功能要求,描述了安全功能要求。三是安全保證要求,描述了功能要求能夠得到滿足的程度。CC標(biāo)準(zhǔn)根據(jù)安全保證要求預(yù)先定義了七個安全保證級(EAL1-EAL7),安全保證能力由低到高逐級增強(qiáng)。