信息安全標(biāo)準(zhǔn)理論詳解

1、信息安全標(biāo)準(zhǔn)理論詳解課程內(nèi)容（2）2信息安全標(biāo)準(zhǔn)知識(shí)體知識(shí)域信息安全標(biāo)準(zhǔn)化概述知識(shí)子域信息安全標(biāo)準(zhǔn)化概念信息安全相關(guān)標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)化組織信息安全評估標(biāo)準(zhǔn)信息安全國家標(biāo)準(zhǔn)安全技術(shù)評估標(biāo)準(zhǔn)發(fā)展歷史信息技術(shù)安全性評估準(zhǔn)則信息安全國外標(biāo)準(zhǔn)知識(shí)域：安全標(biāo)準(zhǔn)化概述知識(shí)子域：信息安全標(biāo)準(zhǔn)化概念了解標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化的基本概念和作用3標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化相關(guān)基本概念標(biāo)準(zhǔn)為了在一定范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，共同使用的和重復(fù)使用的一種規(guī)范性文件。標(biāo)準(zhǔn)化（GB/T 20000.1-2002）為了在一定范圍內(nèi)獲得最佳秩序，對現(xiàn)實(shí)問題或潛在問題制定共同使用和重復(fù)使用的條款的活動(dòng)。國際標(biāo)準(zhǔn)由國際標(biāo)準(zhǔn)化組織或

2、國際標(biāo)準(zhǔn)組織通過并公開發(fā)布的標(biāo)準(zhǔn)國家標(biāo)準(zhǔn)由國家標(biāo)準(zhǔn)機(jī)構(gòu)通過并公開發(fā)布的標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)化組織（ISO）其成員資格向每個(gè)國家的有關(guān)國家機(jī)構(gòu)開放的標(biāo)準(zhǔn)化組織國家標(biāo)準(zhǔn)機(jī)構(gòu)在國家層面上承認(rèn)的，有資格成為相應(yīng)的國際和區(qū)域標(biāo)準(zhǔn)組織的國家成員的標(biāo)準(zhǔn)機(jī)構(gòu)（中國國家標(biāo)準(zhǔn)化管理委員會(huì)）4標(biāo)準(zhǔn)化的特點(diǎn)、原則；標(biāo)準(zhǔn)的作用特點(diǎn)標(biāo)準(zhǔn)化的對象：共同的、可重復(fù)的事物標(biāo)準(zhǔn)化的動(dòng)態(tài)性標(biāo)準(zhǔn)化的相對性標(biāo)準(zhǔn)化的效益原則簡化統(tǒng)一協(xié)調(diào)優(yōu)化5標(biāo)準(zhǔn)能打破技術(shù)壁壘，標(biāo)準(zhǔn)也能成為新的技術(shù)壁壘作用標(biāo)準(zhǔn)是進(jìn)行貿(mào)易的基本條件標(biāo)準(zhǔn)能夠提高企業(yè)的經(jīng)濟(jì)效益標(biāo)準(zhǔn)能夠提高國民經(jīng)濟(jì)效益我國國家標(biāo)準(zhǔn)的代碼GB 強(qiáng)制性國家標(biāo)準(zhǔn)GB/T 推薦性國家標(biāo)準(zhǔn)GB/Z 國家標(biāo)準(zhǔn)化指

3、導(dǎo)性技術(shù)文件6課程內(nèi)容（2）7信息安全標(biāo)準(zhǔn)知識(shí)體知識(shí)域信息安全標(biāo)準(zhǔn)化概述知識(shí)子域信息安全標(biāo)準(zhǔn)化概念信息安全相關(guān)標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)化組織信息安全評估標(biāo)準(zhǔn)信息安全國家標(biāo)準(zhǔn)安全技術(shù)評估標(biāo)準(zhǔn)發(fā)展歷史信息技術(shù)安全性評估準(zhǔn)則信息安全國外標(biāo)準(zhǔn)知識(shí)域：信息安全標(biāo)準(zhǔn)化概述知識(shí)子域：信息安全標(biāo)準(zhǔn)化組織了解國際信息安全標(biāo)準(zhǔn)化組織及其工作了解國外典型國家信息安全標(biāo)準(zhǔn)化組織及其工作熟悉我國信息安全標(biāo)準(zhǔn)化組織及其工作8國際信息安全標(biāo)準(zhǔn)化組織ISO/IEC JTC1 SC27信息技術(shù) 安全技術(shù)信息安全管理體系工作組密碼與安全機(jī)制工作組安全評估準(zhǔn)則工作組安全控制與服務(wù)工作組身份管理與隱私技術(shù)工作組國際標(biāo)準(zhǔn)提案ISMS審核指南國

4、際標(biāo)準(zhǔn)提案三元實(shí)體鑒別國際標(biāo)準(zhǔn)信息安全事件管理合作編輯國際標(biāo)準(zhǔn)提案基于三元實(shí)體鑒別的訪問控制方法9美國標(biāo)準(zhǔn)化組織ANSINCITS-T4 制定IT安全技術(shù)標(biāo)準(zhǔn)X9 制定金融業(yè)務(wù)標(biāo)準(zhǔn)X12 制定商業(yè)交易標(biāo)準(zhǔn) (EDI)NIST負(fù)責(zé)聯(lián)邦政府非密敏感信息FIPSDOD負(fù)責(zé)涉密信息NSA國防部指令（DODDI）（如TCSEC）IEEESILSP136310我國標(biāo)準(zhǔn)化組織1984年，成立數(shù)據(jù)加密技術(shù)分委員，后來改為信息技術(shù)安全分技術(shù)委員會(huì) 2002年4月，為加強(qiáng)信息安全標(biāo)準(zhǔn)的協(xié)調(diào)工作，國家標(biāo)準(zhǔn)委決定成立全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（信安標(biāo)委，TC260），由國家標(biāo)準(zhǔn)委直接領(lǐng)導(dǎo)，對口ISO/IEC JTC

5、1 SC27；秘書處設(shè)在中國電子技術(shù)標(biāo)準(zhǔn)化研究所；委員會(huì)由30多個(gè)部門和單位的49名領(lǐng)導(dǎo)和專家組成目前共有工作組成員單位165家，其中企業(yè)120家國標(biāo)委高新函20041號文決定，自2004年1月起，各有關(guān)部門在申報(bào)信息安全國家標(biāo)準(zhǔn)計(jì)劃項(xiàng)目時(shí)，必須經(jīng)信息安全標(biāo)委會(huì)提出工作意見，協(xié)調(diào)一致后由信息安全標(biāo)委會(huì)組織申報(bào)；在國家標(biāo)準(zhǔn)制定過程中，標(biāo)準(zhǔn)工作組或主要起草單位要與信息安全標(biāo)委會(huì)積極合作，并由信息安全標(biāo)委會(huì)完成國家標(biāo)準(zhǔn)送審、報(bào)批工作。11TC260各部門的職責(zé)秘書處：是委員會(huì)的常設(shè)辦事機(jī)構(gòu)，負(fù)責(zé)委員會(huì)的日常事務(wù)工作信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組（WG1）：研究信息安全標(biāo)準(zhǔn)體系、需求；跟蹤國際標(biāo)準(zhǔn)發(fā)展動(dòng)

6、態(tài)；提出新工作項(xiàng)目及設(shè)立新工作組的建議；協(xié)調(diào)各工作組項(xiàng)目涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)工作組（WG2）：研究提出涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)體系；制定涉密保密相關(guān)標(biāo)準(zhǔn)密碼技術(shù)標(biāo)準(zhǔn)工作組（WG3）：研究提出商用密碼技術(shù)標(biāo)準(zhǔn)體系；制定商用密碼相關(guān)標(biāo)準(zhǔn)鑒別與授權(quán)工作組（WG4）：研究提出鑒別與授權(quán)標(biāo)準(zhǔn)體系；制定鑒別與授權(quán)相關(guān)標(biāo)準(zhǔn)信息安全評估工作組（WG5）：研究提出測評標(biāo)準(zhǔn)體系；制定測評相關(guān)標(biāo)準(zhǔn)通信安全標(biāo)準(zhǔn)工作組（WG6）：研究提出通信安全標(biāo)準(zhǔn)體系；制定通信安全相關(guān)標(biāo)準(zhǔn)信息安全管理工作組（ WG7）：研究提出信息安全管理標(biāo)準(zhǔn)體系；制定信息安全管理相關(guān)標(biāo)準(zhǔn)12課程內(nèi)容（2）13信息安全標(biāo)準(zhǔn)知識(shí)體知識(shí)域信息安全標(biāo)

7、準(zhǔn)化概述知識(shí)子域信息安全標(biāo)準(zhǔn)化概念信息安全相關(guān)標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)化組織信息安全評估標(biāo)準(zhǔn)信息安全國外標(biāo)準(zhǔn)信息安全國家標(biāo)準(zhǔn)安全技術(shù)評估標(biāo)準(zhǔn)發(fā)展歷史信息技術(shù)安全性評估準(zhǔn)則知識(shí)域：信息安全相關(guān)標(biāo)準(zhǔn)知識(shí)子域：信息安全國家標(biāo)準(zhǔn) 了解我國信息安全標(biāo)準(zhǔn)體系框架掌握信息安全等級保護(hù)標(biāo)準(zhǔn)體系，熟悉信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)14信息安全標(biāo)準(zhǔn)體系信息安全標(biāo)準(zhǔn)體系是由信息安全領(lǐng)域內(nèi)具有內(nèi)在聯(lián)系的標(biāo)準(zhǔn)組成的科學(xué)有機(jī)整體，是編制信息安全標(biāo)準(zhǔn)制訂/修訂計(jì)劃的重要依據(jù)，是促進(jìn)信息安全領(lǐng)域內(nèi)的標(biāo)準(zhǔn)組成趨向科學(xué)化合理化的手段；是一幅現(xiàn)有、應(yīng)有和預(yù)計(jì)制定的信息安全標(biāo)準(zhǔn)的藍(lán)圖，并隨著科學(xué)技術(shù)的發(fā)展不斷地完善和更新。15我國信息安全標(biāo)準(zhǔn)體系

8、框架我國信息安全標(biāo)準(zhǔn)體系，是在總結(jié)各工作組對本領(lǐng)域標(biāo)準(zhǔn)體系研究成果的基礎(chǔ)上形成的，是全國安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)各工作組共同的工作成果。是在跟蹤分析了國際信息安全標(biāo)準(zhǔn)的發(fā)展動(dòng)態(tài)和國內(nèi)信息安全標(biāo)準(zhǔn)需求的基礎(chǔ)上，提出的標(biāo)準(zhǔn)體系框架和標(biāo)準(zhǔn)體系表。16我國信息安全技術(shù)標(biāo)準(zhǔn)從總體上劃分為六大類，每類按照標(biāo)準(zhǔn)所涉及的主要內(nèi)容細(xì)分若干小類。知識(shí)域：信息安全相關(guān)標(biāo)準(zhǔn)知識(shí)子域：信息安全國家標(biāo)準(zhǔn) 了解我國信息安全標(biāo)準(zhǔn)體系框架掌握信息安全等級保護(hù)標(biāo)準(zhǔn)體系，熟悉信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)1718十大標(biāo)準(zhǔn)基礎(chǔ)類計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB 17859-1999信息系統(tǒng)安全等級保護(hù)實(shí)施指南GB/T 25058-201

9、0 應(yīng)用類定級：信息系統(tǒng)安全保護(hù)等級定級指南GB/T 22240-2008 建設(shè)：信息系統(tǒng)安全等級保護(hù)基本要求GB/T 22239-2008 信息系統(tǒng)通用安全技術(shù)要求GB/T 20271-2006 信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求GB/T 25070-2010 測評：信息系統(tǒng)安全等級保護(hù)測評要求 GB/T 28448-2012 信息系統(tǒng)安全等級保護(hù)測評過程指南 GB/T 28449-2012管理：信息系統(tǒng)安全管理要求GB/T 20269-2006 信息系統(tǒng)安全工程管理要求GB/T 20282-2006 19其它相關(guān)標(biāo)準(zhǔn)20技術(shù)類GB/T 21052-2007 信息安全技術(shù) 信息系統(tǒng)物理安全技術(shù)

10、要求GB/T 20270-2006 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T 20272-2006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求GB/T 20273-2006 信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求其他信息產(chǎn)品、信息安全產(chǎn)品相關(guān)標(biāo)準(zhǔn).其他類GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范GB/Z 24364-2009信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南GB/T 24363-2009信息安全技術(shù) 信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范GB/Z 20285-2007 信息安全技術(shù) 信息安全事件管理指南GB/Z 20986-2007 信息安全技術(shù) 信息安全事件分類分級指南GB/T 209

11、88-2007 信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范 7、系統(tǒng)服務(wù)安全等級定級指南GB/T 22240-2008保護(hù)對象受到破壞時(shí)受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會(huì)秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級等級保護(hù)定級方法保護(hù)對象對客體的侵害程度客體：社會(huì)關(guān)系受侵害的客體信息系統(tǒng)安全系統(tǒng)服務(wù)安全業(yè)務(wù)信息安全3、綜合評定對客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體6、綜合評定對客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體4、業(yè)務(wù)信息安全等級8、定級對象的安全保護(hù)等級8MAX（4，7）

12、1、確定定級對象（系統(tǒng)邊界）一般流程等級確定21控制點(diǎn)控制項(xiàng)安全要求類層面一級二級三級四級一級二級三級四級技術(shù)要求物理安全71010109193233網(wǎng)絡(luò)安全36779183332主機(jī)安全46796193236應(yīng)用安全479117193136數(shù)據(jù)安全及備份恢復(fù)233324811管理要求安全管理制度2333371114安全管理機(jī)構(gòu)4555492020人員安全管理45557111618系統(tǒng)建設(shè)管理99111120284548系統(tǒng)運(yùn)維管理912131318416270合計(jì)/4866737785175290318級差/1874/9011528基本要求GB/T 22239-200822實(shí)施指南GB/T

13、25058-2010等級變更局部調(diào)整信息系統(tǒng)定級總體安全規(guī)劃安全設(shè)計(jì)與實(shí)施安全運(yùn)行維護(hù)信息系統(tǒng)終止國家管理部門（4家）信息系統(tǒng)主管部門信息系統(tǒng)運(yùn)營、使用單位信息安全服務(wù)機(jī)構(gòu)信息安全等級測評機(jī)構(gòu)信息安全產(chǎn)品供應(yīng)商23測評要求 - GB/T 28448-2012測評強(qiáng)度信息系統(tǒng)安全等級第一級第二級第三級第四級訪談廣度種類和數(shù)量上抽樣，種類和數(shù)量都較少種類和數(shù)量上抽樣，種類和數(shù)量都較多數(shù)量上抽樣，基本覆蓋數(shù)量上抽樣，基本覆蓋深度簡要充分較全面全面檢查廣度種類和數(shù)量上抽樣，種類和數(shù)量都較少種類和數(shù)量上抽樣，種類和數(shù)量都較多數(shù)量上抽樣，基本覆蓋數(shù)量上抽樣，基本覆蓋深度簡要充分較全面全面測試廣度種類和數(shù)量

14、、范圍上抽樣，種類和數(shù)量都較少，范圍小種類和數(shù)量、范圍上抽樣，種類和數(shù)量都較多,范圍大數(shù)量、范圍上抽樣，基本覆蓋數(shù)量、范圍上抽樣，基本覆蓋深度功能測試/性能測試功能測試/性能測試功能測試/性能測試，滲透測試功能測試/性能測試，滲透測試24測評過程指南 - GB/T 28449-2012方案編制測評準(zhǔn)備分析與報(bào)告編制現(xiàn)場測評項(xiàng)目啟動(dòng)、信息收集和分析、工具和表單準(zhǔn)備測評對象確定、測評指標(biāo)確定、測試工具接入點(diǎn)確定、測評內(nèi)容確定、測評實(shí)施手冊開發(fā)、測評方案編制現(xiàn)場測評準(zhǔn)備（一般包括：訪談、文檔審查、配置檢查、工具測試和實(shí)地察看）、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還單項(xiàng)測評結(jié)果判定、單元測評結(jié)果判定

15、、整體測評、風(fēng)險(xiǎn)分析、等級測評結(jié)論形成、測評報(bào)告編制25文檔R&R課程內(nèi)容（2）26信息安全標(biāo)準(zhǔn)知識(shí)體知識(shí)域信息安全標(biāo)準(zhǔn)化概述知識(shí)子域信息安全標(biāo)準(zhǔn)化概念信息安全相關(guān)標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)化組織信息安全評估標(biāo)準(zhǔn)信息安全國外標(biāo)準(zhǔn)信息安全國家標(biāo)準(zhǔn)安全技術(shù)評估標(biāo)準(zhǔn)發(fā)展歷史信息技術(shù)安全性評估準(zhǔn)則知識(shí)域：信息安全相關(guān)標(biāo)準(zhǔn)知識(shí)子域：信息安全國外標(biāo)準(zhǔn) 了解國際信息安全標(biāo)準(zhǔn)體系了解國外典型國家信息安全標(biāo)準(zhǔn)體系了解與自身工作密切相關(guān)的信息安全國際標(biāo)準(zhǔn)27國際信息安全標(biāo)準(zhǔn)體系框架28國際信息安全標(biāo)準(zhǔn)體系信息安全管理體系標(biāo)準(zhǔn)密碼技術(shù)與安全機(jī)制標(biāo)準(zhǔn)安全評價(jià)準(zhǔn)則標(biāo)準(zhǔn)安全控制與服務(wù)標(biāo)準(zhǔn)身份管理與隱私保護(hù)技術(shù)標(biāo)準(zhǔn)詞匯標(biāo)準(zhǔn)要求標(biāo)準(zhǔn)指

16、南標(biāo)準(zhǔn)相關(guān)標(biāo)準(zhǔn)為實(shí)現(xiàn)保密性、完整性和可用性而開發(fā)的各種安全機(jī)制標(biāo)準(zhǔn)安全評價(jià)標(biāo)準(zhǔn)安全功能和保證規(guī)范針對潛在/顯現(xiàn)信息安全問題的標(biāo)準(zhǔn)針對已知信息安全問題的標(biāo)準(zhǔn)針對信息安全違反和損害的標(biāo)準(zhǔn)身份管理相關(guān)標(biāo)準(zhǔn)生物識(shí)別相關(guān)標(biāo)準(zhǔn)隱私保護(hù)相關(guān)標(biāo)準(zhǔn)ISO 27000ISO 27001ISO 27006ISO 27002ISO 27003ISO 18033ISO 19772.ISO 15408ISO 18045 .ISO 19790ISO 24759 .ISO 27032ISO 27033ISO 27037ISO 24760ISO 29144ISO 29100國外典型國家信息安全標(biāo)準(zhǔn)體系框架29美國國家標(biāo)準(zhǔn)和技術(shù)

17、協(xié)會(huì)(NIST)從風(fēng)險(xiǎn)管理的各個(gè)階段、環(huán)節(jié)的需要為出發(fā)點(diǎn)，開發(fā)了一系列的信息安全標(biāo)準(zhǔn)規(guī)范文件SP-800系列：Security Control Monitoring安全控制措施監(jiān)視Security Categorization安全分類Security Control Selection安全控制措施選擇Security Control Refinement安全控制措施改進(jìn)Security Control Documentation安全控制措施文檔編制Security Control Implementation安全控制措施實(shí)施Security Control Assessment安全控制措施評估

18、Security Authorization安全授權(quán) 起始點(diǎn)風(fēng)險(xiǎn)管理SP 800-37/SP 800-53AFIPS 199/SP 800-60FIPS 200/SP 800-53SP 800-53/SP 800-30SP 800-18SP 800-70SP 800-53ASP 800-37ISO 27000標(biāo)準(zhǔn)族、SP 800系列標(biāo)準(zhǔn)30ISO 27000標(biāo)準(zhǔn)族、SP 800系列標(biāo)準(zhǔn)介紹參見CISP0301信息安全管理體系。ISO 27001標(biāo)準(zhǔn)的詳細(xì)內(nèi)容參見CISP0301信息安全管理體系。ISO 27002標(biāo)準(zhǔn)的詳細(xì)內(nèi)容參見CISP0303信息安全管基本措施、 CISP0304信息安全管

19、重要管理過程。課程內(nèi)容（2）31信息安全標(biāo)準(zhǔn)知識(shí)體知識(shí)域信息安全標(biāo)準(zhǔn)化概述知識(shí)子域信息安全標(biāo)準(zhǔn)化概念信息安全相關(guān)標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)化組織信息安全評估標(biāo)準(zhǔn)信息安全國家標(biāo)準(zhǔn)安全技術(shù)評估標(biāo)準(zhǔn)發(fā)展歷史信息技術(shù)安全性評估準(zhǔn)則信息安全國外標(biāo)準(zhǔn)知識(shí)域：信息安全評估標(biāo)準(zhǔn)安全技術(shù)評估標(biāo)準(zhǔn)發(fā)展歷史 了解安全技術(shù)評估標(biāo)準(zhǔn)發(fā)展過程理解GB/T18336信息技術(shù)安全性評估準(zhǔn)則（CC）的特點(diǎn)信息技術(shù)安全性評估準(zhǔn)則 了解CC的結(jié)構(gòu)理解CC的術(shù)語（TOE、PP、ST、EAL）和基本思想了解使用CC進(jìn)行信息技術(shù)產(chǎn)品安全性評估的基本過程了解通用評估方法（CEM）32安全標(biāo)準(zhǔn)的發(fā)展33ITSEC 1991CC 1.01996ISO1

20、5408 1999CC 2.01998GB/T 18336 2001CD1997GIB 2646 1996GB 17859 1999ISO15408 2005TCSEC 1985FC 1992CTCPEC 1993GB/T 18336 2008FCD1998安全被定義為保密性、完整性、可用性功能和質(zhì)量/保證分開對產(chǎn)品和系統(tǒng)的評估都適用，提出評估對象（TOE）的概念產(chǎn)品：能夠被集成在不同系統(tǒng)中的軟件或硬件包；系統(tǒng)：具有一定用途、處于給定操作環(huán)境的特殊安全裝置美國的安全評測標(biāo)準(zhǔn)(TCSEC)、歐洲的安全評測標(biāo)準(zhǔn)(ITSEC)美國的安全評測標(biāo)準(zhǔn)(TCSEC)1970年由美國國防科學(xué)委員會(huì)提出。198

21、5年公布。主要軍用，延用至民用。安全級從高到低分A、B、C、D四級，級下再分小類(A1、B3、B2、B1、C2、C1、D)分級分類主要依據(jù)四個(gè)準(zhǔn)則：安全策略、可控性、保證能力、文檔局限性34集中考慮數(shù)據(jù)保密性，而忽略了數(shù)據(jù)完整性、系統(tǒng)可用性等；將安全功能和安全保證混在一起安全功能規(guī)定得過為嚴(yán)格，不便于實(shí)際開發(fā)和測評歐洲的安全評測標(biāo)準(zhǔn)(ITSEC)以超越TCSEC為目的，將安全概念分為功能與功能評估兩部分。功能分F1-F10共10級。15級對應(yīng)于TCSEC的D到A。610級加上了以下概念：F6：數(shù)據(jù)和程序的完整性 F7：系統(tǒng)可用性 F8：數(shù)據(jù)通信完整性 F9：數(shù)據(jù)通信保密性F10：包括機(jī)密性和完

22、整性的網(wǎng)絡(luò)安全評估準(zhǔn)則分為6級：E1E6與TCSEC的不同加拿大的評測標(biāo)準(zhǔn)(CTCPEC)、美國聯(lián)邦準(zhǔn)則(FC) 加拿大的評測標(biāo)準(zhǔn)(CTCPEC)1989年公布，專為政府需求而設(shè)計(jì)與ITSEC類似，將安全分為功能性需求和保證性需要兩部分功能性要求分為四個(gè)大類：a機(jī)密性 b完整性 c可用性 d可控性在每種安全需求下又分小類05級，表示安全性上的差別35美國聯(lián)邦準(zhǔn)則(FC)對TCSEC的升級1992年12月公布引入了“保護(hù)輪廓（PP）”這一重要概念每個(gè)輪廓都包括功能部分、開發(fā)保證部分和評測部分分級方式與TCSEC不同，吸取了ITSEC、CTCPEC中的優(yōu)點(diǎn)供美國政府用，民用和商用通用準(zhǔn)則（CC ）

23、國際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的努力結(jié)果；1999年正式成為國際標(biāo)準(zhǔn)ISO/IEC 15408；充分突出“保護(hù)輪廓”，將評估過程分“功能”和“保證”兩部分；CC 基于風(fēng)險(xiǎn)管理理論，對安全模型、安全概念和安全功能進(jìn)行了全面系統(tǒng)描繪，強(qiáng)化了評估保證；是目前最全面的評價(jià)準(zhǔn)則。國際上認(rèn)同的表達(dá)IT安全的體系結(jié)構(gòu)，一組規(guī)則集一種評估方法，其評估結(jié)果國際互認(rèn)通用的表達(dá)方式，便于理解靈活的架構(gòu)，可以定義自己的要求擴(kuò)展CC要求通用評估方法(CEM)是CC標(biāo)準(zhǔn)出版后，為了在評估中應(yīng)用CC而提供的一種通用方法。是與CC配套的文檔。36知識(shí)域：信息安全評估標(biāo)準(zhǔn)安全技術(shù)評估標(biāo)準(zhǔn)發(fā)展歷史 了解安全技術(shù)評估標(biāo)準(zhǔn)發(fā)展過程理解GB/T18336信息技術(shù)安全性評估準(zhǔn)則（CC）的優(yōu)點(diǎn)信息技術(shù)安全性評估準(zhǔn)則 了解CC的結(jié)構(gòu)理解CC的術(shù)語（TOE、PP、ST、EAL）和基本思想了解使用CC進(jìn)行信息技術(shù)產(chǎn)品安全性評估的基本過程了解通用評估方法（CEM）3