- 相关推荐
信息技术安全性评估通用准则
“没有规矩,不成方圆”,这句话在信息系统风险评估领域也是适用的,没有标准指导下的风险评估是没有任何意义的。通过依据某个标准的风险评估或者得到该标准的评估认证,不但可为信息系统提供可靠的安全服务,而且可以树立单位的信息安全形象,提高单位的综合竞争力。从美国国防部1985 年发布著名的可信计算机系统评估准则(TCSEC)起,世界各国根据自己的研究进展和实际情况,相继发布了一系列有关安全评估的准则和标准,如美国的TCSEC;英、法、德、荷等国20 世纪90 年代初发布的信息技术安全评估准则(ITSEC);加拿大1993 年发布的可信计算机产品评价准则(CTCPEC);美国1993 年制定的信息技术安全联邦标准(FC);由6 国7 方(加拿大、法国、德国、荷兰、英国、美国NIST 及美国NSA)于20 世纪90 年代中期提出的信息技术安全性评估通用准则(CC);由英国标准协会(BSI)制定的信息安全管理标准BS779(ISO17799)以及最近得到ISO 认可的SSE-CMM(ISO/IEC21827:2002)等。我国根据具体情况,也加快了对信息安全标准化的步伐和力度,相继颁布了如《计算机信息系统安全保护等级划分准则》(GB17859)[6]、《信息技术安全性评估准则》(GB/T18336)以及针对不同技术领域其他的一些安全标准。下面一起来看小编分享的信息技术安全性评估通用准则吧。
CC 标准
信息技术安全评估公共标准CCITSE(common criteria of information technical securityevaluation),简称CC(ISO/IEC15408-1),是美国、加拿大及欧洲4 国(共6 国7 个组织)经协商同意,于1993 年6 月起草的,是国际标准化组织统一现有多种准则的结果,是目前最全面的评估准则。
CC 源于TCSEC,但已经完全改进了TCSEC。CC 的主要思想和框架都取自ITSEC(欧)和FC(美),它由三部分内容组成:
1)介绍以及一般模型;
2)安全功能需求(技术上的要求);
3)安全认证需求(非技术要求和对开发过程、工程过程的要求)。
CC 与早期的评估准则相比,主要具有4 大特征:
1)CC 符合PDR 模型;
2)CC 评估准则是面向整个信息产品生存期的;
3)CC 评估准则不仅考虑了保密性,而且还考虑了完整性和可用性多方面的安全特性;
4)CC 评估准则有与之配套的安全评估方法CEM(commonevaluation methodology)。
BS7799(ISO/IEC17799)
BS7799 标准是由英国标准协会(BSI)制定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,包括两部分:BS7799-1:1999《信息安全管理实施细则》;
BS7799-2:2002《信息安全管理体系规范》,其中BS7799-1:1999 于2000 年12 月通过国际标准化组织(ISO)认可,正式成为国际标准,即ISO/IEC17799:2000。
BS7799-1:1999《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则,BS7799-2:2002 以BS7799-1:1999 为指南,详细说明按照PDCA 模型建立、实施及文件化信息安全管理体系(ISMS)的要求。
ISO/IEC 21827:2002(SSE-CMM)
信息安全工程能力成熟度模型(system security engineering capability maturity model),是关于信息安全建设工程实施方面的标准。
SSE-CMM 的目的是建立和完善一套成熟的、可度量的安全工程过程。该模型定义了一个安全工程过程应有的特征,这些特征是完善的安全工程的根本保证。SSE-CMM 模型通常以下述三种方式来应用:“过程改善”— —可以使一个安全工程组织对其安全工程能力的级别有一个认识,于是可设计出改善的安全工程过程,这样就可以提高他们的安全工程能力;“能力评估” — —使一个客户组织可以了解其提供商的安全工程过程能力;“保证” — —通过声明提供一个成熟过程所应具有的各种依据,使得产品、系统、服务更具可信性。
我国国家标准《计算机信息系统安全保护等级划分准则》
我国国家标准《计算机信息系统安全保护等级划分准则》(GB17859)于1999 年9 月正式批准发布,该准则将计算机信息系统安全分为5 级:用户自主保护级、系统审核保护级、安全标记保护级、结构化保护级和访问验证保护级。
标准评述
综合以上几种标准,我们在这里简单地进行一下标准的比较和评价。
BS7799 是侧重于管理理念的最好体现,同BS 7799 相比,信息技术安全性评估准则(CC)和美国国防部可信计算机评估准则(TCSEC)等更侧重于对系统和产品的技术指标的评估,在安全管理要求的全面性和完整性方面不如BS 7799;在对信息系统日常安全管理方面,BS7799 的地位是其他标准无法取代的,BS7799 涵盖了安全管理所应涉及的方方面面,全面而不失可操作性,提供了一个可持续提高的信息安全管理环境,但在安全技术方面不如CC 分析的系统、透彻。
SSE-CMM 是系统安全工程领域里成熟的方法体系,在理论研究和实际应用方面具有举足轻重的作用,SSE-CMM 模型适用于所有从事某种形式安全工程的组织,而不必考虑产品的生命周期、组织的规模、领域及特殊性。它已经成为西方发达国家政府、军队和要害部门组织和实施安全工程的通用方法,我们国家也已准备将SSE-CMM 作为安全产品和信息系统安全性检测、评估和认证的标准之一。
我国的标准体系基本上是采取等同、等效的方式借鉴国外的标准,如GB/T 18336 等同于ISO/IEC 15408。
【信息技术安全性评估通用准则】相关文章:
八条准则教你如何评估“创业机会”04-21
安全性报告03-06
自评估报告(通用20篇)12-23
心理评估报告(通用18篇)10-13
安全评估报告(通用20篇)05-19
(通用)安全评估报告2篇09-03
面试必知的准则09-25
教学督导评估报告(通用22篇)12-30
面谈提问的三大准则07-13
实用的简历制作准则08-06