时间:2022-10-16 04:30:01 | 来源:信息时代
时间:2022-10-16 04:30:01 来源:信息时代
信息安全产品和系统安全性评价标准 : 1996年通用标准编辑委员会(CC Editorial Board,CCEB)发布的信息技术安全性评价国际标准。这一标准的最新版本是2009年的V3. 2,国际标准代码为ISO/IEC 15408:2009,主要用来评价信息系统和信息产品的安全性。
1983年美国国防部(United States Government Department of Defense,DOD)提出了美国可信计算机系统评价标准(Trusted Computer System Evaluation Criteria,TCSEC),之后又于 1985年对这一标准进行了更新。根据这一基础,1990年分别由欧洲提出了信息技术安全评价标准(Information Technology Security Evaluation Criteria,ITSEC),加拿大提出了可信计算机产品评价标准(Canadian Trusted Computer Product Evaluation Criteria,CTCPEC)。1991年美国又改进为信息技术安全联邦标准(Federal Criteria),并于1996年之后这三个标准形成为一个通用标准(Common Criteria),分别为1996年的V1.0、1999年的V2.1、2005年的V2.3、2008年的V3. 1和2009年的V3. 2等5个版本。其中,1999年的V2. 1版本被转化为国际标准ISO/IEC 15408-1999《信息技术—安全技术—IT安全的评价标准》(In formation Technology-Security Techniques-Evaluation Criteria for IT Security)。
信息安全产品和系统安全性评价标准共分为三部分:一是信息技术安全性评价的一般模型和基本框架,主要描述了信息安全相关的基本概念和模型,以及PP和ST的要求。PP是为一类产品或系统定义信息安全技术要求,包括功能要求和保证要求。ST则定义了一个既定评价对象(TOE—TarEet of evaluation)的IT安全要求,并规定了该TOE应提供的安全功能和保证措施,以满足所提出的安全要求,ST是开发者、评估者和用户之间对TOE安全特性和评价范围达成一致的基础。二是安全功能要求,描述了安全功能要求。三是安全保证要求,描述了功能要求能够得到满足的程度。CC标准根据安全保证要求预先定义了七个安全保证级(EAL1-EAL7),安全保证能力由低到高逐级增强。
在线咨询
