wdz3-安全等级与标准npe.ppt

  1. 1、本文档共20页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
wdz3-安全等级与标准npe

安全等级与标准 张伟 南京邮电大学 计算机学院信息安全教研室 Email:1999zhangwei@163.com 国际安全标准 美国TCSEC(橙皮书,重点介绍) 欧洲ITSEC 加拿大CTCPEC 美国联邦准则FC 联合公共准则CC 英国标准7799(BS7799) ISO7799 国际安全标准的衍生关系 4.1 国际安全评价标准 4.1.1 TCSEC标准 Trusted Computer System Evaluation Criteria 1985年美国国防部制定的安全标准 俗称橙皮书 可信计算机基础TCB(Trusted Computer Base) 为计算机安全产品的评测提供了测试和方法,指导信息安全产品的制造和应用 TCSEC五要素 安全策略 可审计机制 可操作性 生命期保证 建立并维护系统安全的相关文件 TCSEC的四个安全等级 D:最低保护 C:被动的自主访问策略 B:被动的强制访问策略 A:形式化证明的安全 D级安全级别 最低保护(Minimal Protection),指未加任何实际的安全措施,D1级最低。D1系统只为文件和用户提供安全保护。D1系统最普遍的形式是本地操作系统,或一个完全没有保护的网络,如DOS被定义为D1级 C级安全级别 被动的自主访问策略(Discretionary Access Policy Enforced),提供审慎的保护,并为用户的行动和责任提供审计能力,由二个级别组成 C1:具有一定的自主型存取控制(DAC)机制,通过将用户和数据分开达到安全的目的 C2:具有更细分的自主型存取控制(DAC)机制,且引入了审计机制。在连接到网络时,C2系统的用户分别对各自的行为负责。C2系统具有C1系统中所有的安全特征 B级安全级别 被动的强制访问策略(Mandatory Access Policy Enforced)。由三个级别组成:B1、B2和B3级 B级系统具有强制性保护功能,目前较少操作系统能够符合B级标准 B1~B3级 B1:满足C2级所有的安全要求,且需具有所有安全策略模型的非形式化描述,实施了强制存取控制(MAC) B2:系统的TCB是基于明确定义的形式化模型,并对系统中所有的主体和客体实施了自主型存取控制(DAC)和强制型存取控制(MAC) B3:系统的TCP设计要满足能对系统中所有的主体对客体的访问进行控制,TCB不会被非法篡改 A级安全级别 形式化证明的安全(Formally Proven Security) 最高安全级别,只包含一个安全级别A1 A1:类同与B3级,它的特色在于形式化的顶层设计规格FTDS(Formal Top Level Design Specification)、形式化验证FTDS与形式化的一致性和由此带来的更高的可信度 4.1.2 欧洲ITSEC 欧洲白皮书 1990年,由英、法、荷、德四国共同提出 两种等级 F:Functionality E:European Assurance 整体评估 Functionality -- ITSEC F1~F10共分10级 F1~F5相当于TCSEC的C1~B3 F6-F10 数据和程序的完整性 系统的可用性 数据通信的完整性 数据通信的必威体育官网网址性 机密性和完整性 European Assurance -- ITSEC E0—E6 E0:不满足品质 E1:测试 E2:配置控制和可控的分配 E3:访问详细设计和源码 E4:详细的脆弱性分析 E5:设计与源码对应 E6:形式化验证 加拿大CTCPEC Canada Trusted Computer Product Evaluation Criteria 1993年,专为政府设计 分为功能性需求和保证性需求 功能性需求4个层次:机密性、完整性、可靠性和可说明性 美国联邦准则FC 信息技术安全性评估联邦准则(Federal Criteria) 1993年对TCSEC的补充和修改 借鉴了ITSEC的优点 安全需求的4个层次:机密性、完整性、可靠性和可说明性 CC标准 1993年,美、加、英、法、德、荷等六国共同制定 信息技术安全评估通用准则(CC For IT SEC) 1996年第一版,1998年第二版 强调安全功能和保障分开 BS7799标准 英国 ISO17799标准 其它不由求 4.2 我国计算机安全等级划分和相关标准 1994年,国务院发布了《中华人民共和国计算机信息安全保护条例》 1999年,公安部组织制定了《计算机信息系统安全保护等级划分准则》 法律、管理、技术三方面保证计算机、网络、信息安全 * * 1985年美国可信计算机系统评价标准TCSEC 1990年欧洲信息技术评估准则ITSEC 1990年加拿大可信计算机产品评估标准CTCPEC 1991

文档评论(0)

wuyoujun92 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档