信息技術(shù)安全性評(píng)估通用準(zhǔn)則

　　“沒有規(guī)矩，不成方圓”，這句話在信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估領(lǐng)域也是適用的，沒有標(biāo)準(zhǔn)指導(dǎo)下的風(fēng)險(xiǎn)評(píng)估是沒有任何意義的。通過依據(jù)某個(gè)標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估或者得到該標(biāo)準(zhǔn)的評(píng)估認(rèn)證，不但可為信息系統(tǒng)提供可靠的安全服務(wù)，而且可以樹立單位的信息安全形象，提高單位的綜合競(jìng)爭(zhēng)力。從美國國防部1985 年發(fā)布著名的可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則(TCSEC)起，世界各國根據(jù)自己的研究進(jìn)展和實(shí)際情況，相繼發(fā)布了一系列有關(guān)安全評(píng)估的準(zhǔn)則和標(biāo)準(zhǔn)，如美國的TCSEC;英、法、德、荷等國20 世紀(jì)90 年代初發(fā)布的信息技術(shù)安全評(píng)估準(zhǔn)則(ITSEC);加拿大1993 年發(fā)布的可信計(jì)算機(jī)產(chǎn)品評(píng)價(jià)準(zhǔn)則(CTCPEC);美國1993 年制定的信息技術(shù)安全聯(lián)邦標(biāo)準(zhǔn)(FC);由6 國7 方(加拿大、法國、德國、荷蘭、英國、美國NIST 及美國NSA)于20 世紀(jì)90 年代中期提出的信息技術(shù)安全性評(píng)估通用準(zhǔn)則(CC);由英國標(biāo)準(zhǔn)協(xié)會(huì)(BSI)制定的信息安全管理標(biāo)準(zhǔn)BS779(ISO17799)以及最近得到ISO 認(rèn)可的SSE-CMM(ISO/IEC21827:2002)等。我國根據(jù)具體情況，也加快了對(duì)信息安全標(biāo)準(zhǔn)化的步伐和力度，相繼頒布了如《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859)[6]、《信息技術(shù)安全性評(píng)估準(zhǔn)則》(GB/T18336)以及針對(duì)不同技術(shù)領(lǐng)域其他的一些安全標(biāo)準(zhǔn)。下面一起來看小編分享的信息技術(shù)安全性評(píng)估通用準(zhǔn)則吧。

　　CC 標(biāo)準(zhǔn)

　　信息技術(shù)安全評(píng)估公共標(biāo)準(zhǔn)CCITSE(common criteria of information technical securityevaluation)，簡(jiǎn)稱CC(ISO/IEC15408-1)，是美國、加拿大及歐洲4 國(共6 國7 個(gè)組織)經(jīng)協(xié)商同意，于1993 年6 月起草的，是國際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的結(jié)果，是目前最全面的評(píng)估準(zhǔn)則。

　　CC 源于TCSEC，但已經(jīng)完全改進(jìn)了TCSEC。CC 的主要思想和框架都取自ITSEC(歐)和FC(美)，它由三部分內(nèi)容組成：

　　1)介紹以及一般模型;

　　2)安全功能需求(技術(shù)上的要求);

　　3)安全認(rèn)證需求(非技術(shù)要求和對(duì)開發(fā)過程、工程過程的要求)。

　　CC 與早期的評(píng)估準(zhǔn)則相比，主要具有4 大特征：

　　1)CC 符合PDR 模型;

　　2)CC 評(píng)估準(zhǔn)則是面向整個(gè)信息產(chǎn)品生存期的;

　　3)CC 評(píng)估準(zhǔn)則不僅考慮了保密性，而且還考慮了完整性和可用性多方面的安全特性;

　　4)CC 評(píng)估準(zhǔn)則有與之配套的安全評(píng)估方法CEM(commonevaluation methodology)。

　　BS7799(ISO/IEC17799)

　　BS7799 標(biāo)準(zhǔn)是由英國標(biāo)準(zhǔn)協(xié)會(huì)(BSI)制定的信息安全管理標(biāo)準(zhǔn)，是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，包括兩部分：BS7799-1:1999《信息安全管理實(shí)施細(xì)則》;

　　BS7799-2:2002《信息安全管理體系規(guī)范》，其中BS7799-1:1999 于2000 年12 月通過國際標(biāo)準(zhǔn)化組織(ISO)認(rèn)可，正式成為國際標(biāo)準(zhǔn)，即ISO/IEC17799:2000。

　　BS7799-1:1999《信息安全管理實(shí)施細(xì)則》是組織建立并實(shí)施信息安全管理體系的一個(gè)指導(dǎo)性的準(zhǔn)則，BS7799-2:2002 以BS7799-1:1999 為指南，詳細(xì)說明按照PDCA 模型建立、實(shí)施及文件化信息安全管理體系(ISMS)的要求。

　　ISO/IEC 21827:2002(SSE-CMM)

　　信息安全工程能力成熟度模型(system security engineering capability maturity model)，是關(guān)于信息安全建設(shè)工程實(shí)施方面的標(biāo)準(zhǔn)。

　　SSE-CMM 的目的是建立和完善一套成熟的、可度量的安全工程過程。該模型定義了一個(gè)安全工程過程應(yīng)有的特征，這些特征是完善的安全工程的根本保證。SSE-CMM 模型通常以下述三種方式來應(yīng)用：“過程改善”— —可以使一個(gè)安全工程組織對(duì)其安全工程能力的級(jí)別有一個(gè)認(rèn)識(shí)，于是可設(shè)計(jì)出改善的安全工程過程，這樣就可以提高他們的安全工程能力;“能力評(píng)估” — —使一個(gè)客戶組織可以了解其提供商的安全工程過程能力;“保證” — —通過聲明提供一個(gè)成熟過程所應(yīng)具有的各種依據(jù)，使得產(chǎn)品、系統(tǒng)、服務(wù)更具可信性。

　　我國國家標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》

　　我國國家標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859)于1999 年9 月正式批準(zhǔn)發(fā)布，該準(zhǔn)則將計(jì)算機(jī)信息系統(tǒng)安全分為5 級(jí)：用戶自主保護(hù)級(jí)、系統(tǒng)審核保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)和訪問驗(yàn)證保護(hù)級(jí)。

　　標(biāo)準(zhǔn)評(píng)述

　　綜合以上幾種標(biāo)準(zhǔn)，我們?cè)谶@里簡(jiǎn)單地進(jìn)行一下標(biāo)準(zhǔn)的比較和評(píng)價(jià)。

　　BS7799 是側(cè)重于管理理念的最好體現(xiàn)，同BS 7799 相比，信息技術(shù)安全性評(píng)估準(zhǔn)則(CC)和美國國防部可信計(jì)算機(jī)評(píng)估準(zhǔn)則(TCSEC)等更側(cè)重于對(duì)系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)的評(píng)估，在安全管理要求的全面性和完整性方面不如BS 7799;在對(duì)信息系統(tǒng)日常安全管理方面，BS7799 的地位是其他標(biāo)準(zhǔn)無法取代的，BS7799 涵蓋了安全管理所應(yīng)涉及的方方面面，全面而不失可操作性，提供了一個(gè)可持續(xù)提高的信息安全管理環(huán)境,但在安全技術(shù)方面不如CC 分析的系統(tǒng)、透徹。

　　SSE-CMM 是系統(tǒng)安全工程領(lǐng)域里成熟的方法體系，在理論研究和實(shí)際應(yīng)用方面具有舉足輕重的作用，SSE-CMM 模型適用于所有從事某種形式安全工程的組織，而不必考慮產(chǎn)品的生命周期、組織的規(guī)模、領(lǐng)域及特殊性。它已經(jīng)成為西方發(fā)達(dá)國家政府、軍隊(duì)和要害部門組織和實(shí)施安全工程的通用方法，我們國家也已準(zhǔn)備將SSE-CMM 作為安全產(chǎn)品和信息系統(tǒng)安全性檢測(cè)、評(píng)估和認(rèn)證的標(biāo)準(zhǔn)之一。

　　我國的標(biāo)準(zhǔn)體系基本上是采取等同、等效的方式借鑒國外的標(biāo)準(zhǔn),如GB/T 18336 等同于ISO/IEC 15408。

【信息技術(shù)安全性評(píng)估通用準(zhǔn)則】相關(guān)文章：

八條準(zhǔn)則教你如何評(píng)估“創(chuàng)業(yè)機(jī)會(huì)”04-21

安全性報(bào)告03-06

自評(píng)估報(bào)告（通用20篇）12-23

心理評(píng)估報(bào)告（通用18篇）10-13

安全評(píng)估報(bào)告（通用20篇）05-19

(通用)安全評(píng)估報(bào)告2篇09-03

面試必知的準(zhǔn)則09-25

教學(xué)督導(dǎo)評(píng)估報(bào)告（通用22篇）12-30

面談提問的三大準(zhǔn)則07-13

實(shí)用的簡(jiǎn)歷制作準(zhǔn)則08-06