信息技术安全评估准则
❶ cc标准的主要内容
CC标准主要分为以下部分
简介和一般模型、安全功能要求、安全保证要求
CC 通用评估准则 《信息技术安全性评估准则》
CC 评估保证级(EAL)由一系列保证组件构成的包,可以代表预先定义的保证尺度。
CC 并不是安全管理方面的标准,它提出了安全要求实现的功能和质量两个原因。
ISO/IEC 15408(CC) = GB/T 18336
vISO/IEC 15408(CC)中保障被定义为:
实体满足其安全目的的信心基础(Grounds for confidence that an entity meets its security objectives)。
v主观:信心
v客观:性质(保密性、完整性、可用性)
v从客观到主观:能力与水平
我国
GB/T 18336国家标准 等同采用 国际标准 15408(CC)
在GB/T 18336 国际标准 15408(CC)中定义了以下7个评估保证级:
(1) 评估保证级1(EAL1)——功能测试;
(2) 评估保证级2(EAL2)——结构测试;
(3) 评估保证级3(EAL3)——系统地测试和检查;
(4) 评估保证级4(EAL4)——系统地设计、测试和复查;
(5) 评估保证级5(EAL5)——半形式化设计和测试;
(6) 评估保证级6(EAL6)——半形式化验证的设计和测试;
(7) 评估保证级7(EAL7)——形式化验证的设计和测试。
分级评估是通过对信息技术产品的安全性进行独立评估后所取得的安全保证等级,表明产品的安全性及可信度。获得的认证级别越高,安全性与可信度越高,产品可对抗更高级别的威胁,适用于较高的风险环境。
不同的应用场合(或环境)对信息技术产品能够提供的安全性保证程度的要求不同。产品认证所需代价随着认证级别升高而增加。通过区分认证级别满足适应不同使用环境的需要。
CC标准时是国际通行的信息技术产品安全性评价规范,它基于保护轮廓和安全目标提出安全需求,具有灵活性和合理性、基于功能要求和保证要求进行安全评估,能够实现分级评估目标、不仅考虑了保密性评估要求,还考虑了完整性和可用性多方面安全要求。
❷ GB/T 18336.1-2008和GB/T 18336.2-2008
这两个标准我都替你找来了,以下是详细的资料,有下载地址,内容很完整,你看看吧!
标准编号:GB/T 18336.1-2008
标准名称:信息技术 安全技术 信息技术安全性评估准则 第1部分: 简介和一般模型
标准状态:现行
英文标题:Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introction and general model
替代情况:替代GB/T 18336.1-2001
实施日期:2008-11-1
颁布部门:中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
内容简介:GB/T18336《信息技术 安全技术 信息技术安全性评估准则》分为三个部分,本部分是GB/T18336—2008的第1部分。本部分代替GB/T18336.1—2001《信息技术 安全技术 信息技术安全性评估准则 第1部分:简介和一般模型》。GB/T18336适用于在硬件、固件或软件中实现的IT 安全措施。另外,某些特殊的评估手段可能只适用于某些特定的实现方法,这将在相应的标准文本中指出。GB/T18336旨在作为评估信息技术产品和系统安全特性的基础准则。通过建立这样的通用准则库,信息技术安全性评估的结果才能被更多的人理解。GB/T18336适用于在硬件、固件或软件中实现的IT 安全措施。另外,某些特殊的评估手段可能只适用于某些特定的实现方法,这将在相应的标准文本中指出。 本部分与GB/T18336.1—2001的主要差异如下:
1) 删除了GB/T18336.1—2001 的“ISO/IEC 前言”;
2) GB/T18336.1—2008增加了“引言”;
3) 删除了GB/T18336.1—2001的附录A“通用准则项目”;
4) GB/T18336.1—2001的附录D 编为本部分的“参考文献”。
出处: http://www.csres.com/detail/192199.html
标准编号:GB/T 18336.2-2008
标准名称:信息技术 安全技术 信息技术安全性评估准则 第2部分: 安全功能要求
标准状态:现行
英文标题:Information technology - Security techniques - Evaluation criteria for IT security - Part 2: Security functional requirements
替代情况:替代GB/T 18336.2-2001
实施日期:2008-11-1
颁布部门:中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
内容简介:GB/T18336《信息技术 安全技术 信息技术安全性评估准则》分为三个部分,本部分是GB/T18336的第2部分。本部分代替GB/T18336.2—2001《信息技术 安全技术 信息技术安全性评估准则 第2部分:安全功能要求》。GB/T18336的这一部分定义了安全功能组件的规定结构和内容,适用于安全性评估。本部分包含满足多个IT 产品和系统通用安全功能要求的系列功能组件。 本部分与GB/T18336.2—2001的主要差异如下:
1) 删除了GB/T18336.2—2001 的“ISO/IEC 前言”;
2) 增加了“引言”;
3) 将GB/T18336.2—2001的“范围”1.1和1.2调整为本部分第4章,1.3调整为第5章;
4) 增加了FMT_SMF族;
5) 对GB/T18336.2—2001附录A 中表A.1进行了调整。
出处: http://www.csres.com/detail/192200.html