网络信息安全-概述全解.ppt

TCSEC的不足 TCSEC是针对孤立计算机系统，特别是小型机和主机系统。假设有一定的物理保障，该标准适合政府和军队，不适和企业。这个模型是静态的。 NCSC的TNI是把TCSEC的思想用到网络上，缺少成功实践的支持。 Moore’s Law: 计算机的发展周期18个月，现在还有可能减少到一年。不允许长时间进行计算机安全建设，计算机安全建设要跟随计算机发展的规律。 ITSEC （又称欧洲白皮书） 90年代初西欧四国（英、法、荷、德）联合提出了信息技术安全评价标准（ITSEC） 除了吸收TCSEC的成功经验外，首次提出了信息安全的必威体育官网网址性、完整性、可用性的概念，把可信计算机的概念提高到可信信息技术的高度上来认识。他们的工作成为欧共体信息安全计划的基础，并对国际信息安全的研究、实施带来深刻的影响。 ITSEC定义了七个安全级别 E6：形式化验证； E5：形式化分析； E4：半形式化分析； E3：数字化测试分析； E2：数字化测试； E1：功能测试； E0：不能充分满足保证。 通用评价准则（CC） 美国为了保持他们在制定准则方面的优势，不甘心TCSEC的影响被ITSEC取代，他们采取联合其他国家共同提出新的评估准则的办法体现他们的领导作用。 91年1月宣布了制定通用安全评价准则（CC）的计划。它的全称是Common Criteria for IT security Evaluation 。 制定的国家涉及到六国七方，他们是美国的国家标准及技术研究所（NIST）和国家安全局（NSA），欧州的荷、法、德、英，北美的加拿大。 通用评价准则（CC） 它的基础是欧州的ITSEC，美国的包括 TCSEC 在内的新的联邦评价标准，加拿大的 CTCPEC，以及 国际标准化组织ISO :SC27 WG3 的安全评价标准 1995年颁布0.9版，1996年1月出版了1．0版。 1997年8月颁布2.0 Beata版， 2.0 版于1998年5月颁布。 1998-11-15 成为ISO/IEC 15408信息技术-安全技术-IT安全评价准则 通用评价准则（CC） CC标准评价的三个方面 必威体育官网网址性（confidentiality） 完整性（integrity） 可用性（availability） CC标准中未包含的内容： 行政管理安全的评价准则 电磁泄露 行政管理方法学和合法授权的结构 产品和系统评价结果的使用授权 密码算法质量的评价 CC标准的读者对象 用户：通过风险和策略的分析，比较评价的不同产品和系统，选择适合自己使用的产品和系统。 开发者：支持开发者认识满足自己产品和系统的安全要求，制定保护轮廓（PP）， 确定安全目标（ST），支持开发者开发自己的评价目标（TOE），在评价方法学帮助开发者，以共识的评价结果评价自己开发的产品和系统。 评价者：正式审查评价目标时为评价者提供一个评价准则，用于评价评价目标（TOE）和安全要求的一致性 其它：对于对IT安全有兴趣和有责任的人起到一个导向和参考材料的作用，机构中的系统监管和安全官员确定安全策略和要求 CC评价准则的结构 第一部分：介绍和总体模型 对CC评价准则的介绍。定义IT安全评价和描述模型的一般概念和原则，提出选择和定义说明产品和系统IT安全客体的明确的组织的安全要求。 第二部分：安全功能要求 用标准化的方法对评价目标（TOE）建立一个明确的安全要求的部件功能集合。功能集合分类为部件（components）、族（families）和类（classes） 第三部分：安全保证要求 用标准化的方法对评价目标（TOE）建立一个明确的安全要求的保证部件的集合。对保护方案（PP）和安全目标（ST）进行定义，并且对安全评价目标（TOE）提出安全评价保证级别（EAL） Evaluation Assurance Levels (EALs) EAL EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 Name 功能化测试 结构化测试 方法学测试和检查 方法学设计测试和检查 半形式化设计和检查 半形式化校验，设计和测试 形式化校验设计和测试 TCSEC C1 C2 B1 B2 B3 A1 EAL7 我国的标准化工作 我国是国际标准化组织的成员国，我国的信息安全标准化工作在各方面的努力下，正在积极开展之中。从80年代中期开始，自主制定和视同采用了一批相应的信息安全标准。 …… 但是，应该承认，标准的制定需要较为广泛的应用经验和较为深入的研究背景。这两方面的差距，使我国的信息安全标准化工作与国际已有的工作比较，覆盖的方面还不够大，宏观和微观的指导作用也有待进一步提高。 电子商务安全威胁类别 信息的截获和窃取 信息的篡改 信息的假冒 交易抵赖 电子商务安全威胁类别 从交易方 对商家 对消费者