信息技術(shù)安全性評估通用準(zhǔn)則注意事項(xiàng)

　　作為一項(xiàng)信息安全評估標(biāo)準(zhǔn)，通用評估準(zhǔn)則(CC Common Criteria)經(jīng)過了近20年的發(fā)展后，已在信息安全領(lǐng)域得到了廣泛認(rèn)可，是目前國際上對信息安全評估最完善、最權(quán)威的技術(shù)標(biāo)準(zhǔn)。CC適用于信息技術(shù)(IT)產(chǎn)品的安全性評估，針對評估中的IT產(chǎn)品的安全功能及其保障措施提供了一套通用要求，并為IT產(chǎn)品的安全功能及其保障措施滿足要求的情況定義了七個(gè)評估保障級別(EAL)，評估結(jié)果可以幫助消費(fèi)者確定該IT產(chǎn)品是否滿足其安全要求。CC可為具有安全功能的IT產(chǎn)品的開發(fā)、評估以及采購過程提供指導(dǎo)。下面就一起來看看小編分享的信息技術(shù)安全性評估通用準(zhǔn)則注意事項(xiàng)吧。

　　CC和PP應(yīng)用過程中的注意事項(xiàng)

　　1.對資產(chǎn)的定義

　　在編寫PP或ST(Security Target)時(shí)，需要對資產(chǎn)和威脅進(jìn)行定義。那首先如何來定義“資產(chǎn)”呢?在CC 2.3中定義的“資產(chǎn)”是“由TOE安全策略保護(hù)的信息或資源”，CC 3.1中定義的“資產(chǎn)”是“評估對象(TOE)所有者賦予了價(jià)值的實(shí)體”，也就是說只要是TOE所有者賦予了價(jià)值的實(shí)體都可視為所有者的資產(chǎn)。許多資產(chǎn)均以信息的形式由IT產(chǎn)品存儲、處理和傳送，以滿足信息所有者的要求。信息所有者為了信息的可用性，會嚴(yán)格控制信息的傳播和修改，并實(shí)施對策以減少對資產(chǎn)的風(fēng)險(xiǎn)。TOE的部署即可視為資產(chǎn)所有者所采取的一種IT對策。通過對IT對策的評估，可以增加所有者對對策的充分性和正確性的信心。從上面的論述我們可以看出，在PP和ST中定義資產(chǎn)時(shí)，要考慮的是所有者賦予了價(jià)值，并且由TOE來保護(hù)的資產(chǎn)，即包括TOE內(nèi)部資產(chǎn)和的TOE外部資產(chǎn)。

　　2.CC評估中測試的作用

　　對產(chǎn)品進(jìn)行評估是獲取安全保障信心的有效途徑。CC評估需要論證TOE的安全對策(在某些環(huán)境條件的配合下)足以抵抗已標(biāo)識的所有威脅，并且實(shí)現(xiàn)正確，即可以獲取對TOE的安全對策的充分性和正確性的信心。

　　在評估中，安全對策的充分性是通過ST來分析的。ST從描述資產(chǎn)和對這些資產(chǎn)的威脅開始，然后以安全目的的形式描述對策，并證實(shí)這些對策對于對抗這些威脅是充分的：如果對策做了聲稱要做的事情，那么對策足以對抗威脅。

　　對正確性的評估需要按照ST中描述的安全保障要求審查TOE的各種實(shí)現(xiàn)表示文檔，并需要對TOE進(jìn)行實(shí)際的測試，包括獨(dú)立測試與穿透性測試。獨(dú)立測試是評估者對TOE的安全功能獨(dú)立進(jìn)行的驗(yàn)證性測試，通過獨(dú)立測試可以驗(yàn)證TOE的安全功能能夠滿足安全功能要求。穿透性測試是評估者基于已標(biāo)識的脆弱性，來進(jìn)行威脅建模，從攻擊者的角度考慮可能的攻擊路徑，對TOE進(jìn)行穿透性測試。通過穿透性測試，可以確認(rèn)TOE在預(yù)期使用環(huán)境中不存在可被利用的明顯脆弱性。這些過程要求遵循由ISO/IEC 18045(CEM，CC Evaluation Methodology)給出的評估方法(對高保障級別的評估，由于CEM中可能未給出規(guī)范方法，評估體制為此應(yīng)規(guī)定具體的方法)。如果所有的安全保障要求都得到了滿足，則表明TOE實(shí)現(xiàn)正確，這將給用戶傳達(dá)一種信心，即TOE包含可被攻擊者利用的脆弱性的可能性不高。

　　3.對評估保障級的理解

　　CC的理念是，通過對IT產(chǎn)品進(jìn)行評估來提供保障。CC對評估結(jié)論按保障要求體現(xiàn)的范圍、深度和嚴(yán)格性進(jìn)行級別劃分。CC為此預(yù)定義了7個(gè)保障級，按逐級遞增的方式依次為EAL1至EAL7，每一個(gè)評估保障級比其它較低的評估保障級表達(dá)更多的保障。依據(jù)這種劃分方法，保障級別要求越高，評估活動付出的努力也越多，由此所能提供的關(guān)于TOE安全保障的信心也就越足。但這并不意味著保障級別越高，產(chǎn)品的安全性就越高。

　　現(xiàn)狀及展望

　　作為信息技術(shù)產(chǎn)品安全性評估的基礎(chǔ)準(zhǔn)則，通用評估準(zhǔn)則在我國的應(yīng)用也越來越廣，國內(nèi)測評機(jī)構(gòu)依據(jù)GB/T 18336開展了大量的IT產(chǎn)品的安全評估業(yè)務(wù)，相關(guān)標(biāo)準(zhǔn)得到了廣泛應(yīng)用，依據(jù)GB/T 18336衍生出來的國家標(biāo)準(zhǔn)也越來越多，如《信息安全技術(shù)智能卡嵌入式軟件安全技術(shù)要求(EAL4增強(qiáng)級)》(GB/T 20276)、《信息安全技術(shù)具有中央處理器的集成電路(IC)卡芯片安全技術(shù)要求(評估保證級4增強(qiáng)級)》(GB/T 22186)、《信息安全技術(shù)網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求(評估保證級3)》(GB/T 21050)等。同時(shí)關(guān)于安全辦公U盤、數(shù)據(jù)庫管理系統(tǒng)相關(guān)的安全標(biāo)準(zhǔn)也正在編寫中。

　　在信安標(biāo)委的領(lǐng)導(dǎo)下，國內(nèi)測評機(jī)構(gòu)及相關(guān)單位以GB/T 18336為范化標(biāo)準(zhǔn)，結(jié)合自身行業(yè)安全需求和技術(shù)要求，制定出臺關(guān)鍵信息技術(shù)產(chǎn)品的安全標(biāo)準(zhǔn)，逐步形成信息技術(shù)產(chǎn)品安全性評估標(biāo)準(zhǔn)體系，將極大地增強(qiáng)信息技術(shù)安全性評估標(biāo)準(zhǔn)具體實(shí)施的靈活性和可操作性。這些標(biāo)準(zhǔn)在我國信息系統(tǒng)安全建設(shè)中起著非常重要的作用，對于指導(dǎo)相關(guān)產(chǎn)品的開發(fā)過程和評估過程有著重要意義。

更多熱門文章推薦：

1.信息技術(shù)安全性評估通用準(zhǔn)則解讀

2.信息技術(shù)安全性評估通用準(zhǔn)則注意事項(xiàng)

3.信息技術(shù)安全性評估通用準(zhǔn)則

4.2016中國互聯(lián)網(wǎng)絡(luò)域名管理最新規(guī)定

5.2016年中國軍隊(duì)改革亮點(diǎn)解讀

【信息技術(shù)安全性評估通用準(zhǔn)則注意事項(xiàng)】相關(guān)文章：

低碳生活的準(zhǔn)則：低碳生活50條準(zhǔn)則03-21

廉政準(zhǔn)則自查自糾報(bào)告（精選11篇）12-02

信息技術(shù)教學(xué)反思（通用12篇）05-15

評估手冊家長寄語100句06-26

幼兒園大班幼兒發(fā)展評估小結(jié)（通用10篇）12-15

小學(xué)教學(xué)評估工作總結(jié)06-18

資產(chǎn)評估分析專業(yè)個(gè)人簡歷01-01

職場著裝注意事項(xiàng)講解01-07

護(hù)士簡歷制作注意事項(xiàng)02-03

新手城市開車注意事項(xiàng)01-14