2022年CISP教材知識點整理：安全評估標準

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標準法規(guī)五個知識類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

6.1知識子域：安全評估基礎(chǔ)

6.1.1安全評估概念

6.1.2安全評估標準

1.安全評估標準的發(fā)展

信息技術(shù)安全通用評估準則，簡稱CC標準。

2.可信計算機系統(tǒng)評估標準（TCSEC）

可信計算機系統(tǒng)評估標準（Trusted Computer System Evaluation Criteria，TCSEC）是美國政府國防部（Department of Defense，DoD）標準。

（1）基本目標和要求

TESEC基本目標和要求包括策略、問責(zé)、保證和文檔

（2）分級

TCSEC通過分級的方式建立評價指標，其定義了4個級別：D（最小保護）、C（選擇保護）、B（強制保護）和A（驗證保護），其中A級具有較高的安全性。

3.信息技術(shù)安全評估標準（ITSEC）

信息技術(shù)安全評估標準（Information Technology Security Evaluation Criteria，ITSEC）。

將安全概念分為功能與功能評估兩部分

ITSEC提出評估對象（TOE）的概念，評估對象分產(chǎn)品和系統(tǒng)兩大類。

4.信息技術(shù)安全評估通用標準（CC）

信息技術(shù)安全評估通用標準（Common Criteria for Information Technology Security Evaluation）簡稱通用標準或CC，是計算機安全認證的國際標準（ISO/IEC 15408）。

CC是最全面的信息技術(shù)安全評估準則

CC充分突出了”保護輪廓“這一概念，將評估過程分”功能“和”保證“兩部分。

5.信息技術(shù)安全性評估準則（CC）

《信息技術(shù)安全性評估準則》是我國在2008年等同采用《ISO/IEC 15408：2005信息技術(shù)-安全技術(shù)-信息技術(shù)安全評估標準》形成的標準，標準編號為GB/T 18336。

（1）通用準則的結(jié)構(gòu)

GB/T 18336.1——2008介紹和一般模型

GB/T 18336.2——2008安全功能要求

GB/T 18336.2——2008安全保證要求

評估保證級EAL

（2）目標讀者

有3類最關(guān)心IT產(chǎn)品和系統(tǒng)安全性評估的人員，分別是TOE客戶、TOE開發(fā)者和TOE評估者

（3）關(guān)鍵概念

評估對象（TOE）

評估對象（Target of Evaluation，TOE）

保護輪廓（PP）

保護輪廓（Protection Profile，PP）是滿足特定用戶需求的、一類的TOE的、一組與實現(xiàn)無關(guān)的安全需求。

它應(yīng)包括一個評估保證級（EAL）

安全目標（ST）

安全目標（Security Target，ST）是作為一個既定TOE的評估基礎(chǔ)使用的一組安全要求和規(guī)范。

ST是所有的相關(guān)各方對TOE提供什么樣的安全性達成一致的基礎(chǔ)

功能

功能（Function）是規(guī)范IT產(chǎn)品和系統(tǒng)的安全行為，應(yīng)作的事。CC是以類、族、組件作為組織結(jié)構(gòu)，來描述功能要求內(nèi)容和保證要求內(nèi)容的。

保證

保證（Assurance）是實體達到其安全性目的的信任基礎(chǔ)。保證是對功能產(chǎn)生信息的方法。

包

包（Package）是為滿足一組確定的安全目的而組合在一起的，一組可重用的功能或保證組件。

補丁包、插件包

評估保證級（EAL）

評估保證級（Evaluation Assurance Level，EAL）

評估保證級包含7個界別

（4）使用CC進行評估的基本過程

評估相關(guān)要素

評估流程

評估分PP評估、ST評估和TOE評估

當某個ST宣稱與一個PP一致時，證明該ST完全滿足該PP的要求

（5）通用評估方法（CEM）

注：以上內(nèi)容來源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除

查看更多：CISP知識點整理第六章匯總