信息技術安全性評估通用準則注意事項

時間：2024-08-07 04:35:21 學人智庫

信息技術安全性評估通用準則注意事項

　　作為一項信息安全評估標準，通用評估準則(CC Common Criteria)經過了近20年的發展后，已在信息安全領域得到了廣泛認可，是目前國際上對信息安全評估最完善、最權威的技術標準。CC適用于信息技術(IT)產品的安全性評估，針對評估中的IT產品的安全功能及其保障措施提供了一套通用要求，并為IT產品的安全功能及其保障措施滿足要求的情況定義了七個評估保障級別(EAL)，評估結果可以幫助消費者確定該IT產品是否滿足其安全要求。CC可為具有安全功能的IT產品的開發、評估以及采購過程提供指導。下面就一起來看看小編分享的信息技術安全性評估通用準則注意事項吧。

　　CC和PP應用過程中的注意事項

　　1.對資產的定義

　　在編寫PP或ST(Security Target)時，需要對資產和威脅進行定義。那首先如何來定義“資產”呢?在CC 2.3中定義的“資產”是“由TOE安全策略保護的信息或資源”，CC 3.1中定義的“資產”是“評估對象(TOE)所有者賦予了價值的實體”，也就是說只要是TOE所有者賦予了價值的實體都可視為所有者的資產。許多資產均以信息的形式由IT產品存儲、處理和傳送，以滿足信息所有者的要求。信息所有者為了信息的可用性，會嚴格控制信息的傳播和修改，并實施對策以減少對資產的風險。TOE的部署即可視為資產所有者所采取的一種IT對策。通過對IT對策的評估，可以增加所有者對對策的充分性和正確性的信心。從上面的論述我們可以看出，在PP和ST中定義資產時，要考慮的是所有者賦予了價值，并且由TOE來保護的資產，即包括TOE內部資產和的TOE外部資產。

　　2.CC評估中測試的作用

　　對產品進行評估是獲取安全保障信心的有效途徑。CC評估需要論證TOE的安全對策(在某些環境條件的配合下)足以抵抗已標識的所有威脅，并且實現正確，即可以獲取對TOE的安全對策的充分性和正確性的信心。

　　在評估中，安全對策的充分性是通過ST來分析的。ST從描述資產和對這些資產的威脅開始，然后以安全目的的形式描述對策，并證實這些對策對于對抗這些威脅是充分的：如果對策做了聲稱要做的事情，那么對策足以對抗威脅。

　　對正確性的評估需要按照ST中描述的安全保障要求審查TOE的各種實現表示文檔，并需要對TOE進行實際的測試，包括獨立測試與穿透性測試。獨立測試是評估者對TOE的安全功能獨立進行的驗證性測試，通過獨立測試可以驗證TOE的安全功能能夠滿足安全功能要求。穿透性測試是評估者基于已標識的脆弱性，來進行威脅建模，從攻擊者的角度考慮可能的攻擊路徑，對TOE進行穿透性測試。通過穿透性測試，可以確認TOE在預期使用環境中不存在可被利用的明顯脆弱性。這些過程要求遵循由ISO/IEC 18045(CEM，CC Evaluation Methodology)給出的評估方法(對高保障級別的評估，由于CEM中可能未給出規范方法，評估體制為此應規定具體的方法)。如果所有的安全保障要求都得到了滿足，則表明TOE實現正確，這將給用戶傳達一種信心，即TOE包含可被攻擊者利用的脆弱性的可能性不高。

　　3.對評估保障級的理解

　　CC的理念是，通過對IT產品進行評估來提供保障。CC對評估結論按保障要求體現的范圍、深度和嚴格性進行級別劃分。CC為此預定義了7個保障級，按逐級遞增的方式依次為EAL1至EAL7，每一個評估保障級比其它較低的評估保障級表達更多的保障。依據這種劃分方法，保障級別要求越高，評估活動付出的努力也越多，由此所能提供的關于TOE安全保障的信心也就越足。但這并不意味著保障級別越高，產品的安全性就越高。

　　現狀及展望

　　作為信息技術產品安全性評估的基礎準則，通用評估準則在我國的應用也越來越廣，國內測評機構依據GB/T 18336開展了大量的IT產品的安全評估業務，相關標準得到了廣泛應用，依據GB/T 18336衍生出來的國家標準也越來越多，如《信息安全技術智能卡嵌入式軟件安全技術要求(EAL4增強級)》(GB/T 20276)、《信息安全技術具有中央處理器的集成電路(IC)卡芯片安全技術要求(評估保證級4增強級)》(GB/T 22186)、《信息安全技術網絡交換機安全技術要求(評估保證級3)》(GB/T 21050)等。同時關于安全辦公U盤、數據庫管理系統相關的安全標準也正在編寫中。

　　在信安標委的領導下，國內測評機構及相關單位以GB/T 18336為范化標準，結合自身行業安全需求和技術要求，制定出臺關鍵信息技術產品的安全標準，逐步形成信息技術產品安全性評估標準體系，將極大地增強信息技術安全性評估標準具體實施的靈活性和可操作性。這些標準在我國信息系統安全建設中起著非常重要的作用，對于指導相關產品的開發過程和評估過程有著重要意義。

更多熱門文章推薦：

1.信息技術安全性評估通用準則解讀

2.信息技術安全性評估通用準則注意事項

3.信息技術安全性評估通用準則

4.2016中國互聯網絡域名管理最新規定

5.2016年中國軍隊改革亮點解讀

【信息技術安全性評估通用準則注意事項】相關文章：

低碳生活的準則：低碳生活50條準則03-21

廉政準則自查自糾報告（精選11篇）12-02

信息技術教學反思（通用12篇）05-15

評估手冊家長寄語100句06-26

幼兒園大班幼兒發展評估小結（通用10篇）12-15