什么是ISO/IEC15408
发布网友
发布时间:2022-03-27 13:46
共1个回答
热心网友
时间:2022-03-27 15:16
在tcsec中的研究中心是tcb,而在itsec、cc和iso/iec 15408信息技术安全评估准则中讨论的是toe(target of evaluation,评估对象)。iso/iec 15408评估准则中讨论的是toe的安全功能(toe security function,缩写为tsf),是安全的核心,类似tcsec的tcb。tsf安全功能执行的是toe的安全策略(toe security policy,缩写为tsp)。tsp是由多个安全功能策略(security function policies ,缩写为sfps)所组成,而每一个sfp是由安全功能(sf)实现的。实现tsf的机制与tcsec的相同,即“引用监控器”和其它安全功能实现机制。
1. iso/iec 15408测评准则符合pdr模型
iso/iec 15408测评准则是与pdr(防护、检听、反应)模型和现代动态安全概念相符合的。强调安全的假设、威胁的、安全策略等安全需求的针对性。这种需求包括安全功能需求、安全认证需求和安全环境等。
2. iso/iec 15408测评准则是面向整个信息产品生存期的
即面向安全需求、设计、实现、测试、管理和维护全过程。强调产品需求和开发阶段对产品安全的重要作用。同时明确了安全开发环境与操作环境的关系,重视产品开发和操作两个环境对安全的影响。只有这种测评而不是仅仅安全特性的测评可以提高和规范信息安全产业素质与质量。
3. iso/iec 15408测评准则不仅考虑了保密性,而且还考虑了完整性和可用性多方面的安全特性
它比tcsec扩展了许多当代it发展的安全技术功能,应用范围和适应性很强。iso/iec 15408测评准则全面定义了安全属性:用户属性、客体属性、主体属性和信息属性。特别强调把用户属性和主体属性分开定义(在tcsec中主体包含用户),为了解决强制访问控制,在属性类型中定义了有序关系的安全属性。为了解决数据交换的安全,明确要求输出/输入划分带安全属性和不带安全属性两种形式,强调了网络安全中抗抵赖的安全要求,区分用户数据和系统资源的防护,突出了必要的检测和监控安全要求,强调了安全管理的重要作用。对可信恢复和可信备份、操作重演都有安全要求,定义了加密支持的安全要求,考虑到用户的隐私的适当权力,讨论了某些故障、错误和异常的安全防护问题。
4. iso/iec 15408测评准则有与之配套的安全测评方法(cem)和信息安全标准(pp标准)
测评工作不仅定性而且定量,准则的规范性大大提高,有较强的可操作性。为测评工作现代化和发展提供了基础。测评种类划分成:安全防护结构(pp)、安全目标(st)和认证级别(eal)测评。
