1、电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用1 电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用2讨论议题讨论议题评估标准发展历程评估标准发展历程TCSECCCGB17859-2019GB/T 22239-2019电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用评估标准发展历程评估标准发展历程3电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用4讨论议题讨论议题评估标准发展历程评估标准发展历程TCSECCCGB17859-2019GB/T 22239-2019电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与
2、应用TCSEC TCSEC将计算机安全分为将计算机安全分为A、B、C、D四等八级四等八级 无保护级无保护级-D等等 自主保护级自主保护级-C等等(1)自主安全保护级()自主安全保护级(C1级)级)(2)可控访问保护级()可控访问保护级(C2级)级)强制保护级强制保护级-B等等(1)标记安全保护级()标记安全保护级(B1级)级)(2)结构化保护级()结构化保护级(B2级)级)(3)安全区域保护级()安全区域保护级(B3级)级)验证保护级验证保护级-A等等(1)验证设计级()验证设计级(A1级)级)(2)超)超A1(A2)级)级5电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用
3、TCSEC各等级安全要求各等级安全要求 6电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用7电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用8讨论议题讨论议题评估标准发展历程评估标准发展历程TCSECCCGB17859-2019GB/T 22239-2019电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用 CC CC由三个部分组成。由三个部分组成。第一部分,介绍和一般模型,定义了安全评估的通用第一部分,介绍和一般模型,定义了安全评估的通用概念和原理,提出了评估的通用模型。概念和原理,提出了评估的通用模型。第二部分,安全功能需求,提出了一系列
4、安全功能组第二部分,安全功能需求,提出了一系列安全功能组件作为表示评估对象(件作为表示评估对象(TOE)功能要求的标准方法。)功能要求的标准方法。该部分共列出了该部分共列出了11个类、个类、66个子类和个子类和135个功能组件。个功能组件。第三部分,安全保证需求(第三部分,安全保证需求(assurance requirements),提出了一系列安全保证组件,作为表示评估对象保,提出了一系列安全保证组件,作为表示评估对象保证要求的标准方法。证要求的标准方法。9电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用CC的评估保证等级的评估保证等级 CC基于不断增加的保证范围提供了七个
5、基于不断增加的保证范围提供了七个7个递增的评个递增的评估保证等级,估保证等级,EAL1到到EAL7。EAL1:功能测试;:功能测试;EAL2:结构测试;:结构测试;EAL3:系统测试和检查;:系统测试和检查;EAL4:系统设计、测试和复查;:系统设计、测试和复查;EAL5:半形式化设计和测试;:半形式化设计和测试;EAL6:半形式化验证的设计和测试;:半形式化验证的设计和测试;EAL7:形式化验证的设计和测试。:形式化验证的设计和测试。10电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用不同评估标准的评估级别的不同评估标准的评估级别的粗略对应关系粗略对应关系 11电子工业出版
6、社电子工业出版社,信息安全原理与应用信息安全原理与应用12讨论议题讨论议题评估标准发展历程评估标准发展历程TCSECCCGB17859-2019GB/T 22239-2019电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用计算机信息系统安全保护等计算机信息系统安全保护等级划分准则级划分准则 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则规定了计规定了计算机信息系统安全保护能力的五个等级:算机信息系统安全保护能力的五个等级:用户自主保护级用户自主保护级 系统审计保护级系统审计保护级 安全标记保护级安全标记保护级 结构化保护级结构化保护级 访问验证保护级访问
7、验证保护级13电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用安全保护等级与安全要素的安全保护等级与安全要素的对应关系对应关系14 电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用15讨论议题讨论议题评估标准发展历程评估标准发展历程TCSECCCGB17859-2019GB/T 22239-2019电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用信息系统安全等级保护基本要求信息系统安全等级保护基本要求 16电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用参考文献参考文献 王昭,袁春编著,信息安全原理与应用,电子工业出王昭,
8、袁春编著,信息安全原理与应用,电子工业出版社,北京,版社,北京,2019,1 TCSEC1985 Department of Defense of USA,Trusted Computer System Evaluation Criteria.(Orange book),),1985 GB 17859-2019,中华人民共和国国家标准,中华人民共和国国家标准.信息安全信息安全技术技术 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则.中国国中国国家质量技术监督局家质量技术监督局.2019.GB/T 22239-2019,中华人民共和国国家标准,中华人民共和国国家标准.信息安信息安全技术全技术 信息系统安全等级保护基本要求信息系统安全等级保护基本要求.中国国家质量中国国家质量技术监督局技术监督局.201917电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用参考文献参考文献 ISO/IEC 15408,2019(E),Common Criteria for Information Technology Security Evaluation S.The International Organization for Standardization,2019.18
