07信息安全标准0329.ppt

* 评估对象（TOE） 产品、系统、子系统 * 保护轮廓（PP） 表达一类产品或系统的用户需求 组合安全功能要求和安全保证要求 技术与需求之间的内在完备性 提高安全保护的针对性、有效性 安全标准 有助于以后的兼容性 同TCSEC级类似 * 安全目标（ST） IT安全目的和要求 要求的具体实现 实用方案 适用于产品和系统 与ITSEC ST 类似 * 功能/保证结构 类（如用户数据保护——FDP） 关注共同的安全焦点的一组族，覆盖不同的安全目的范围 子类（如访问控制——FDP_ACC） 共享安全目的的一组组件，侧重点和严格性不同 组件（如子集访问控制——FDP_ACC.1) 包含在PP/ST/包中的最小可选安全要求集 * 组件 CC将传统的安全要求分成不能再分的构件块 用户/开发者可以组织这些要求 到PP中 到ST中 组件可以进一步细化 * 功能 规范IT产品和系统的安全行为，应做的事 * 保证 对功能产生信心的方法 * 安全保证要求 APE类 - 保护轮廓的评估准则 ASE类 - 安全目标的评估准则 用于TOE的七个安全保证要求类 * 包 IT安全目的和要求 功能或保证要求（如EAL） 适用于产品和系统 与ITSEC E-级类似 * 评估保证级（EAL） 预定义的保证包 公认的广泛适用的一组保证要求 * 评估保证级（EAL） EAL1—功能测试 EAL2—结构测试 EAL3—系统地测试和检查 EAL4—系统地设计、测试和复查 EAL5—半形式化设计和测试 EAL6—半形式化验证的设计和测试 EAL7—形式化验证的设计和测试 * 七、实用产品标准 商用密码产品 防火墙（包过滤、应用级） 路由器 VPN CA 必威体育官网网址设备（话音、数据、传真） 智能卡 * 谢 谢！ * 1.IEC国际电工委员会:1906年成立，是世界上成立最早的非政府性国际电工标准化机构，是联合国经社理事会(ECOSOC)的甲级咨询组织。负责有关电工，电子领域的车际标准化工作，下设80多个标准委员会，制定标准4000项，目前有53个成员国 。IEC的工作领域包括了电力、电子、电信和原子能方面的电工技术 . 2. ITU即国际电信联盟，是电信界最权威的标准制订机构，成立于1865年5月17日，1947年10月15日成为联合国的一个专门机构，总部设在瑞士日内瓦。 ITU成员由各国电信主管部门组成，同时也欢迎那些经过主管部门批准、ITU认可的私营电信机构、工业和科学组织、金融机构、开发机构和从事电信的实体参与电联活动。 ITU每年召开1次理事会；每4年召开1次全权代表大会、世界电信标准大会和世界电信发展大会；每2年召开1次世界无线电通信大会。 * IETF译为互联网工程任务组，它是一个负责互联网相关技术规范（比如TCP/IP协议）的研发和制定的组织。该组织受网络体系结构委员会（IAB）的监督。该组织汇集了与互联网架构演化和互联网稳定运作等业务相关的网络设计者、运营者、研究人员和个人。组织制定的标准符合RFC（请求注解）文档的格式要求。 ECMA：欧洲计算机厂商协会，成立于1961，制定计算机及相关应用标准和技术报告。 * GB/T5271:控制，完整，安全性 * 安全体系结构的形成主要是根据确定它所要保护的资源，对资源攻击者的假设及其攻击的目的，技术手段以及造成的后果来分析该该系统所受到的已知的，确定的，该系统有关的威胁并且考虑到构成系统各部件的缺陷，错误共同赞成的风险，然后建立起系统的安全目标。 GB/T9387:OSI开放的系统的互连参考模型。 RFC2401:IP层协议安全结构。IPSEC * 安全框架标准的目的是为安全服务与安全机制以及以后的安全协议提供总的指导原则。主要是为系统和系统对象以及系统间交互行为确定提供方法。不涉及构成系统或机制的方法学。 1.鉴别：IC,虹膜，指纹。 2.访问：防止非授权访问和操作。 3.抗抵赖：可信第三方TTP,不同形式的担保，主要是 提供证据。联机公证（收发方利用一个公证服务机构协同操作），在线公证（证据由监视或中断文电源发，文电内容，和审计和跟踪有关）。脱机公证： 4.完整性：是针对数据的值和数据存在性可能被改变的威胁的对抗。 5.机密性：分三类：隐含语意（加密），访问控制，分割和散布数据。 * * D C1 C2 B1 B2 B3 A1 * PAGE 74 * 我国标准：GB/T18336-2001 2001年3月颁布。 * 1.总体简介，定 义了信息技术安全性评估的一般概念和原理。 2.该部分提出一系列保证组件，作为表达产品或系统安全功能要求的标准方法。11个类，66个子类，135个功能组件。 3.提供保证组件，定义了PP(保护轮廓)和ST（安全目标）。 TOE:保护对象。 * 见188页 * 三、环