信息技术安全性评估通用准则

时间：2022-08-04 05:55:16 规章制度我要投稿

相关推荐

信息技术安全性评估通用准则

　　“没有规矩，不成方圆”，这句话在信息系统风险评估领域也是适用的，没有标准指导下的风险评估是没有任何意义的。通过依据某个标准的风险评估或者得到该标准的评估认证，不但可为信息系统提供可靠的安全服务，而且可以树立单位的信息安全形象，提高单位的综合竞争力。从美国国防部1985 年发布著名的可信计算机系统评估准则(TCSEC)起，世界各国根据自己的研究进展和实际情况，相继发布了一系列有关安全评估的准则和标准，如美国的TCSEC;英、法、德、荷等国20 世纪90 年代初发布的信息技术安全评估准则(ITSEC);加拿大1993 年发布的可信计算机产品评价准则(CTCPEC);美国1993 年制定的信息技术安全联邦标准(FC);由6 国7 方(加拿大、法国、德国、荷兰、英国、美国NIST 及美国NSA)于20 世纪90 年代中期提出的信息技术安全性评估通用准则(CC);由英国标准协会(BSI)制定的信息安全管理标准BS779(ISO17799)以及最近得到ISO 认可的SSE-CMM(ISO/IEC21827:2002)等。我国根据具体情况，也加快了对信息安全标准化的步伐和力度，相继颁布了如《计算机信息系统安全保护等级划分准则》(GB17859)[6]、《信息技术安全性评估准则》(GB/T18336)以及针对不同技术领域其他的一些安全标准。下面一起来看小编分享的信息技术安全性评估通用准则吧。

　　CC 标准

　　信息技术安全评估公共标准CCITSE(common criteria of information technical securityevaluation)，简称CC(ISO/IEC15408-1)，是美国、加拿大及欧洲4 国(共6 国7 个组织)经协商同意，于1993 年6 月起草的，是国际标准化组织统一现有多种准则的结果，是目前最全面的评估准则。

　　CC 源于TCSEC，但已经完全改进了TCSEC。CC 的主要思想和框架都取自ITSEC(欧)和FC(美)，它由三部分内容组成：

　　1)介绍以及一般模型;

　　2)安全功能需求(技术上的要求);

　　3)安全认证需求(非技术要求和对开发过程、工程过程的要求)。

　　CC 与早期的评估准则相比，主要具有4 大特征：

　　1)CC 符合PDR 模型;

　　2)CC 评估准则是面向整个信息产品生存期的;

　　3)CC 评估准则不仅考虑了保密性，而且还考虑了完整性和可用性多方面的安全特性;

　　4)CC 评估准则有与之配套的安全评估方法CEM(commonevaluation methodology)。

　　BS7799(ISO/IEC17799)

　　BS7799 标准是由英国标准协会(BSI)制定的信息安全管理标准，是国际上具有代表性的信息安全管理体系标准，包括两部分：BS7799-1:1999《信息安全管理实施细则》;

　　BS7799-2:2002《信息安全管理体系规范》，其中BS7799-1:1999 于2000 年12 月通过国际标准化组织(ISO)认可，正式成为国际标准，即ISO/IEC17799:2000。

　　BS7799-1:1999《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则，BS7799-2:2002 以BS7799-1:1999 为指南，详细说明按照PDCA 模型建立、实施及文件化信息安全管理体系(ISMS)的要求。

　　ISO/IEC 21827:2002(SSE-CMM)

　　信息安全工程能力成熟度模型(system security engineering capability maturity model)，是关于信息安全建设工程实施方面的标准。

　　SSE-CMM 的目的是建立和完善一套成熟的、可度量的安全工程过程。该模型定义了一个安全工程过程应有的特征，这些特征是完善的安全工程的根本保证。SSE-CMM 模型通常以下述三种方式来应用：“过程改善”— —可以使一个安全工程组织对其安全工程能力的级别有一个认识，于是可设计出改善的安全工程过程，这样就可以提高他们的安全工程能力;“能力评估” — —使一个客户组织可以了解其提供商的安全工程过程能力;“保证” — —通过声明提供一个成熟过程所应具有的各种依据，使得产品、系统、服务更具可信性。

　　我国国家标准《计算机信息系统安全保护等级划分准则》

　　我国国家标准《计算机信息系统安全保护等级划分准则》(GB17859)于1999 年9 月正式批准发布，该准则将计算机信息系统安全分为5 级：用户自主保护级、系统审核保护级、安全标记保护级、结构化保护级和访问验证保护级。

　　标准评述

　　综合以上几种标准，我们在这里简单地进行一下标准的比较和评价。

　　BS7799 是侧重于管理理念的最好体现，同BS 7799 相比，信息技术安全性评估准则(CC)和美国国防部可信计算机评估准则(TCSEC)等更侧重于对系统和产品的技术指标的评估，在安全管理要求的全面性和完整性方面不如BS 7799;在对信息系统日常安全管理方面，BS7799 的地位是其他标准无法取代的，BS7799 涵盖了安全管理所应涉及的方方面面，全面而不失可操作性，提供了一个可持续提高的信息安全管理环境,但在安全技术方面不如CC 分析的系统、透彻。

　　SSE-CMM 是系统安全工程领域里成熟的方法体系，在理论研究和实际应用方面具有举足轻重的作用，SSE-CMM 模型适用于所有从事某种形式安全工程的组织，而不必考虑产品的生命周期、组织的规模、领域及特殊性。它已经成为西方发达国家政府、军队和要害部门组织和实施安全工程的通用方法，我们国家也已准备将SSE-CMM 作为安全产品和信息系统安全性检测、评估和认证的标准之一。

　　我国的标准体系基本上是采取等同、等效的方式借鉴国外的标准,如GB/T 18336 等同于ISO/IEC 15408。

【信息技术安全性评估通用准则】相关文章：

八条准则教你如何评估“创业机会”04-21

安全性报告03-06