2022年CISP教材知識(shí)點(diǎn)整理：安全評(píng)估標(biāo)準(zhǔn)

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個(gè)知識(shí)類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識(shí)點(diǎn)梳理，詳情如下：

6.1知識(shí)子域：安全評(píng)估基礎(chǔ)

6.1.1安全評(píng)估概念

6.1.2安全評(píng)估標(biāo)準(zhǔn)

1.安全評(píng)估標(biāo)準(zhǔn)的發(fā)展

信息技術(shù)安全通用評(píng)估準(zhǔn)則，簡(jiǎn)稱CC標(biāo)準(zhǔn)。

2.可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)（TCSEC）

可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)（Trusted Computer System Evaluation Criteria，TCSEC）是美國(guó)政府國(guó)防部（Department of Defense，DoD）標(biāo)準(zhǔn)。

（1）基本目標(biāo)和要求

TESEC基本目標(biāo)和要求包括策略、問責(zé)、保證和文檔

（2）分級(jí)

TCSEC通過分級(jí)的方式建立評(píng)價(jià)指標(biāo)，其定義了4個(gè)級(jí)別：D（最小保護(hù)）、C（選擇保護(hù)）、B（強(qiáng)制保護(hù)）和A（驗(yàn)證保護(hù)），其中A級(jí)具有較高的安全性。

3.信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)（ITSEC）

信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)（Information Technology Security Evaluation Criteria，ITSEC）。

將安全概念分為功能與功能評(píng)估兩部分

ITSEC提出評(píng)估對(duì)象（TOE）的概念，評(píng)估對(duì)象分產(chǎn)品和系統(tǒng)兩大類。

4.信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn)（CC）

信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn)（Common Criteria for Information Technology Security Evaluation）簡(jiǎn)稱通用標(biāo)準(zhǔn)或CC，是計(jì)算機(jī)安全認(rèn)證的國(guó)際標(biāo)準(zhǔn)（ISO/IEC 15408）。

CC是最全面的信息技術(shù)安全評(píng)估準(zhǔn)則

CC充分突出了”保護(hù)輪廓“這一概念，將評(píng)估過程分”功能“和”保證“兩部分。

5.信息技術(shù)安全性評(píng)估準(zhǔn)則（CC）

《信息技術(shù)安全性評(píng)估準(zhǔn)則》是我國(guó)在2008年等同采用《ISO/IEC 15408：2005信息技術(shù)-安全技術(shù)-信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)》形成的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)編號(hào)為GB/T 18336。

（1）通用準(zhǔn)則的結(jié)構(gòu)

GB/T 18336.1——2008介紹和一般模型

GB/T 18336.2——2008安全功能要求

GB/T 18336.2——2008安全保證要求

評(píng)估保證級(jí)EAL

（2）目標(biāo)讀者

有3類最關(guān)心IT產(chǎn)品和系統(tǒng)安全性評(píng)估的人員，分別是TOE客戶、TOE開發(fā)者和TOE評(píng)估者

（3）關(guān)鍵概念

評(píng)估對(duì)象（TOE）

評(píng)估對(duì)象（Target of Evaluation，TOE）

保護(hù)輪廓（PP）

保護(hù)輪廓（Protection Profile，PP）是滿足特定用戶需求的、一類的TOE的、一組與實(shí)現(xiàn)無(wú)關(guān)的安全需求。

它應(yīng)包括一個(gè)評(píng)估保證級(jí)（EAL）

安全目標(biāo)（ST）

安全目標(biāo)（Security Target，ST）是作為一個(gè)既定TOE的評(píng)估基礎(chǔ)使用的一組安全要求和規(guī)范。

ST是所有的相關(guān)各方對(duì)TOE提供什么樣的安全性達(dá)成一致的基礎(chǔ)

功能

功能（Function）是規(guī)范IT產(chǎn)品和系統(tǒng)的安全行為，應(yīng)作的事。CC是以類、族、組件作為組織結(jié)構(gòu)，來(lái)描述功能要求內(nèi)容和保證要求內(nèi)容的。

保證

保證（Assurance）是實(shí)體達(dá)到其安全性目的的信任基礎(chǔ)。保證是對(duì)功能產(chǎn)生信息的方法。

包

包（Package）是為滿足一組確定的安全目的而組合在一起的，一組可重用的功能或保證組件。

補(bǔ)丁包、插件包

評(píng)估保證級(jí)（EAL）

評(píng)估保證級(jí)（Evaluation Assurance Level，EAL）

評(píng)估保證級(jí)包含7個(gè)界別

（4）使用CC進(jìn)行評(píng)估的基本過程

評(píng)估相關(guān)要素

評(píng)估流程

評(píng)估分PP評(píng)估、ST評(píng)估和TOE評(píng)估

當(dāng)某個(gè)ST宣稱與一個(gè)PP一致時(shí)，證明該ST完全滿足該P(yáng)P的要求

（5）通用評(píng)估方法（CEM）

注：以上內(nèi)容來(lái)源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除

查看更多：CISP知識(shí)點(diǎn)整理第六章匯總