國(guó)內(nèi)外風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)
國(guó)外風(fēng)險(xiǎn)評(píng)估相關(guān)標(biāo)準(zhǔn)
從美國(guó)國(guó)防部1985年發(fā)布著名的可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則(TCSEC)起,世界各國(guó)根據(jù)自己的研究進(jìn)展和實(shí)際情況刹帕,相繼發(fā)布了一系列有關(guān)安全評(píng)估的準(zhǔn)則和標(biāo)準(zhǔn)宅倒,如英囤锉、法、德蜗细、荷等國(guó)20世紀(jì)90年代初發(fā)布的信息技術(shù)安全評(píng)估準(zhǔn)則(ITSEC)裆操;加拿大1993年發(fā)布的可信計(jì)算機(jī)產(chǎn)品評(píng)價(jià)準(zhǔn)則(CTCPEC);美國(guó)1993年制定的信息技術(shù)安全聯(lián)邦標(biāo)準(zhǔn)(FC)炉媒;由6國(guó)7方(加拿大踪区、法國(guó)、德國(guó)橱野、荷蘭朽缴、英國(guó)、美國(guó)NIST及美國(guó)NSA)于20世紀(jì)90年代中期提出的信息技術(shù)安全性評(píng)估通用準(zhǔn)則(CC)水援;由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)制定的信息安全管理標(biāo)準(zhǔn)BS779(ISO17799)以及得到ISO認(rèn)可的SSE-CMM(ISO/IEC 21827:2002)等密强。
與風(fēng)險(xiǎn)評(píng)估相關(guān)的標(biāo)準(zhǔn)還有美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所(NIST)的NIST SP800,其中NIST SP800-53/60描述了信息系統(tǒng)與安全目標(biāo)及風(fēng)險(xiǎn)級(jí)別對(duì)應(yīng)指南蜗元,NIST SP800-26/30分別描述了自評(píng)估指南和風(fēng)險(xiǎn)管理指南或渤。修訂版的NIST 800-53還加入了物聯(lián)網(wǎng)與工控系統(tǒng)的安全評(píng)估。下面簡(jiǎn)單介紹信息技術(shù)安全性評(píng)估通用準(zhǔn)則(CC)和美國(guó)的可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則(TCSEC)奕扣。
- CC標(biāo)準(zhǔn)
信息技術(shù)安全評(píng)估公共標(biāo)準(zhǔn)CCITSE(Common Criteria of Information TechnicalSecurity Evaluation)薪鹦,簡(jiǎn)稱(chēng)CC(ISO/IEC 15408-1),是美國(guó)惯豆、加拿大及歐洲4國(guó)(共6國(guó)7個(gè)組織)經(jīng)協(xié)商同意池磁,于1993年6月起草的,是國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的結(jié)果楷兽,是目前最全面的評(píng)估準(zhǔn)則地熄。
CC源于TCSEC,但已經(jīng)完全改進(jìn)了TCSEC芯杀。CC的主要思想和框架都取自ITSEC(歐)和FC(美)端考,它由三部分內(nèi)容組成:</br>
1、介紹以及一般模型揭厚;</br>
2却特、安全功能需求(技術(shù)上的要求);</br>
3筛圆、安全認(rèn)證需求(非技術(shù)要求和對(duì)開(kāi)發(fā)過(guò)程裂明、工程過(guò)程的要求)。</br>
CC與早期的評(píng)估準(zhǔn)則相比太援,主要具有四大特征:</br>
1闽晦、CC符合PDR模型轰绵;</br>
2、CC評(píng)估準(zhǔn)則是面向整個(gè)信息產(chǎn)品生存期的尼荆;</br>
3、CC評(píng)估準(zhǔn)則不僅考慮了保密性唧垦,而且還考慮了完整性和可用性多方面的安全特性捅儒;</br>
4、CC評(píng)估準(zhǔn)則有與之配套的安全評(píng)估方法CEM(CommonEvaluation Methodology)振亮。</br>
