重点了解:
ITSEC1991
TCSEC1985
FC1992
CC2.0 1998(当前世界使用的标准)
国内使用的为等保
TCSEC被称为橙皮书(考点)
上图为CC的评估保证级别,一共分为七级,七个分类
CC的意义:
- 通过评估增强用户对IT产品的安全信心
- 促进IT产品和系统的安全性
- 消除重复的评估
CC的优势:
- 国际标准化组织统一现有多种准则的结果
- 已有安全准则的总结和兼容,是目前最全面的评价准则
- 通用的表达方式,便于理解
- 灵活的架构,可以定义自己的要求扩展CC要求
CC局限性六个点,一个局限,5个不包括
- 半形式化语言,比较难以理解
- (简单记:仅关注人为威胁)CC重点关注人为威胁,对于非人为的并没有考虑
- (简单记:不包括具体的安全措施)CC不包括与IT安全措施没有直接关联的、属于行政性管理安全措施的评估准则,即该标准不关注组织、人员、环境、设备、网络等方面的具体安全措施
- 并不针对IT安全性的物理方面的评估(如电磁干扰)
- CC并不涉及评估方法学
- CC不包括密码算法固有质量的评估
考点等保测评属于自评估,组织自己决定什么时候接受评估
风险评估三要素:
- 资产
- 威胁
- 脆弱性
- 企业组织的业务战略依赖于资产
- 资产有她的价值.
风险评估方法:332
三个途径:基线评估、熊希评估、组合评估
三个方法:基于知识分析、定量分析、定性分析
两个方式:自评估、检查评估-
若有收获,就点个赞吧
0 人点赞
