信息系统安全技术--安全审计与分析-资料下载页
2026-02-18 01:01本页面
【正文】 ISO 15408由三个部分组成 第一部分:定义了如何创建安全目标和需求,还提供了一个术语的概述 第二部分:定义了如何建立能够使商业通信更安全的需求列表 第三部分:提出了如何建立能够达到公司安全需求的“保险内容”的过程。 ISO 15408的第三部分 第三部分的内容描述很仔细和复杂,作为审计人员只需要理解这些条款的基本内容即可。许多专家用它们来: 作为厂商需要的特殊设置 提供了审计人员和 IT专家在商业和技术交流中常用的术语 定义了为更新网络或特殊产品而建立特殊过程的需求 需要由软件和硬件厂商声明的证明能力 与安全审计员有关的概念和术语 术语 描述 Protection Profile( PP) 需要的网络服务和元素的项系列表,包括安全目标 Security Objectives 列出如何提出特别的弱点的书面描述。这是一种总体的陈述。安全需求比目标陈述更具体 Security Target( ST) 由生产厂商提供的描述安全工具的用处的一组声明。与安全目标和安全需求不同。安全需求是由厂商实施在软硬件上的,而安全目标只是由 IT部门和网络审计人员定义的目标 与安全审计员有关的概念和术语 术语 描述 Target of Evaluation( TOE) 你将要审计的某个操作系统,网络,分布式的程序或软件。使用安全目标和安全对象,你可以确定系统是否满足了目标以及对象是否达到了声明的功能 Packages 任何允许 IT专家达到安全目标和要求的可以重复使用的内容。例如七个 EAL。你可以合并这些 Package来确保额外的安全 Evaluation Assurance Level( EAL) 七个事先定义好的 Packages,用来帮助 IT专家评件规划的和已经存在的网络和系统 Evaluation Assurance Level EAL提供了描述和预测特别的操作系统和网络的安全行为的通用的方法。等级数越高,则要求得越严格。 EAL1需要由TOE厂商做出声明的证明, EAL7需要你核实和记录下实施过程的每一个步骤。 Evaluation Assurance Level 设计的证明: EAL1只要求检查产品的文件,而 EAL7要求对系统进行完全的记录完整的独立的分析 抵御攻击的能力: EAL1需要产品至少声明能够提供对攻击的有效防范;而 EAL 7需要操作系统能够抵御复杂的破坏数据机密性和拒绝服务是的攻击 七个 EAL类别 EAL类别 描述 EAL1 功能上的测试:分析产品的声明,和实施TOE的基本测试 EAL2 结构上的测试:需要选择 TOE的重要元素来经受具有权威资格的测试,例如程序开发者 EAL3 系统的测试和检查:进行测试的要求非常严格,在有限的基础上,操作系统的所有元素都必须独立的检验 七个 EAL类别(续) EAL类别 描述 EAL4 系统的设计,测试和回顾:这一级别的保证是允许已经完成的程序和以前实施的系统进行更改的最高保证。这一级别还需要操作系统通过抵御低级别的攻击的测试 EAL5 半正式的设计和测试:操作系统必须可以经受适度的,比较复杂的攻击 EAL6 半正式的验证设计和测试:与 EAL5相同,但是需要第三方的 TOE设计核实 EAL7 操作系统必须完整地回顾和被证明能够抵御灵活的攻击。正式的设计和测试:确保发展的过程有组织,由第三方记录所有的过程。例如,所有通行都必须被记录下来 谢谢! 演讲完毕,谢谢观看!
外语相关推荐
鄂ICP备17016276号-1