CISP共有共包括信息安全保障、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规五个知识类,希赛网CISP教材大纲栏目,为大家整理了CISP知识点梳理,详情如下:
6.1知识子域:安全评估基础
6.1.1安全评估概念
6.1.2安全评估标准
1.安全评估标准的发展
信息技术安全通用评估准则,简称CC标准。
2.可信计算机系统评估标准(TCSEC)
可信计算机系统评估标准(Trusted Computer System Evaluation Criteria,TCSEC)是美国政府国防部(Department of Defense,DoD)标准。
(1)基本目标和要求
TESEC基本目标和要求包括策略、问责、保证和文档
(2)分级
TCSEC通过分级的方式建立评价指标,其定义了4个级别:D(最小保护)、C(选择保护)、B(强制保护)和A(验证保护),其中A级具有较高的安全性。
3.信息技术安全评估标准(ITSEC)
信息技术安全评估标准(Information Technology Security Evaluation Criteria,ITSEC)。
将安全概念分为功能与功能评估两部分
ITSEC提出评估对象(TOE)的概念,评估对象分产品和系统两大类。
4.信息技术安全评估通用标准(CC)
信息技术安全评估通用标准(Common Criteria for Information Technology Security Evaluation)简称通用标准或CC,是计算机安全认证的国际标准(ISO/IEC 15408)。
CC是最全面的信息技术安全评估准则
CC充分突出了”保护轮廓“这一概念,将评估过程分”功能“和”保证“两部分。
5.信息技术安全性评估准则(CC)
《信息技术安全性评估准则》是我国在2008年等同采用《ISO/IEC 15408:2005信息技术-安全技术-信息技术安全评估标准》形成的标准,标准编号为GB/T 18336。
(1)通用准则的结构
GB/T 18336.1——2008介绍和一般模型
GB/T 18336.2——2008安全功能要求
GB/T 18336.2——2008安全保证要求
评估保证级EAL
(2)目标读者
有3类最关心IT产品和系统安全性评估的人员,分别是TOE客户、TOE开发者和TOE评估者
(3)关键概念
评估对象(TOE)
评估对象(Target of Evaluation,TOE)
保护轮廓(PP)
保护轮廓(Protection Profile,PP)是满足特定用户需求的、一类的TOE的、一组与实现无关的安全需求。
它应包括一个评估保证级(EAL)
安全目标(ST)
安全目标(Security Target,ST)是作为一个既定TOE的评估基础使用的一组安全要求和规范。
ST是所有的相关各方对TOE提供什么样的安全性达成一致的基础
功能
功能(Function)是规范IT产品和系统的安全行为,应作的事。CC是以类、族、组件作为组织结构,来描述功能要求内容和保证要求内容的。
保证
保证(Assurance)是实体达到其安全性目的的信任基础。保证是对功能产生信息的方法。
包
包(Package)是为满足一组确定的安全目的而组合在一起的,一组可重用的功能或保证组件。
补丁包、插件包
评估保证级(EAL)
评估保证级(Evaluation Assurance Level,EAL)
评估保证级包含7个界别
(4)使用CC进行评估的基本过程
评估相关要素
评估流程
评估分PP评估、ST评估和TOE评估
当某个ST宣称与一个PP一致时,证明该ST完全满足该PP的要求
(5)通用评估方法(CEM)
注:以上内容来源于网络,如有侵权,可联系客服删除
查看更多:CISP知识点整理第六章汇总
