信息技术安全评价的通用准则(CC),是由六个国家(美国、加拿大、英国、法国、德国、荷兰)于1996年联合提出。CC标准是第一个信息技术安全评价国际标准,它的发布对信息安全具有重要意义,是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。 ISO 13335 标准首次给出了关于IT安全的6个方面的含义:
机密性、完整性、可用性、审计性、认证性、可靠性。 BS 7799 是依据英国的工业、政府和商业共同需求和发展的一个标准,它分为:信息安全管理事物事物准则;信息安全管理体系的规范。
《计算机信息系统安全保护等级划分标准》将信息系统安全分为5个等级:自主保护级;系统审计保护级;安全标记保护级;结构化保护级;访问验证保护级。
主要的安全考核指标有:身份认证;自主访问控制;数据完整性;审计。
CC将评估过程划分为功能和保证两个部分,评估等级分为 EAL1,EAL2,EAL3,EAL4,EAL5,EAL6,EAL7 七个等级。每一个级均需评估7个功能类,分别是配置管理、分发和操作、开发过程、指导文献、生命的技术支持、测试和脆弱性评估。 定级四要素:
信息系统所需类型、业务数据类型、信息系统服务范围、业务自动化处理程序。 GB/T 22239《信息系统安全等级保护基本要求》从五个层面提出:物理安全;网络安全;主机安全;数据安全。 基本管理要求:
安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理 基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。 国家秘密的密级分为: 绝密(30年),机密(20年),秘密(10年)。
相关推荐:
loading