信息安全管理第七章信息安全標準

第7章信息平安標準7.1 概述7.2 計算機平安等級保護條例7.4 ISO/IEC27000系列標準介紹7.1概述標準根底知識簡介舉例：標準化工作指南標準根底知識簡介2.標準的分類關(guān)于標準的分類，目前我國比較通用的分類方法有五種。(1)按標準發(fā)生作用的范圍和審批標準級別來分，可分為國際標準、區(qū)域標準、國家標準、行業(yè)標準、企業(yè)標準。(2)按標準的約束性來分，分為強制性標準和推薦性標準兩類。(3)按標準在標準系統(tǒng)中的地位和作用來分，分為根底標準和一般標準兩類。SAC標準根底知識簡介信息平安標準化組織國際信息平安標準化組織外國信息平安標準化組織我國信息平安標準化組織國際信息平安標準化組織1.ISO2.IEC3.ITU4.IETF5.ECMA國際信息平安標準化組織國際信息平安標準化組織國際信息平安標準化組織3.ITU國際電信聯(lián)盟〔InternationalTelecommunicationUnion〕是聯(lián)合國的一個專門機構(gòu)，也是聯(lián)合國機構(gòu)中歷史最長的一個國際組織，簡稱“國際電聯(lián)〞、“電聯(lián)〞或“ITU〞，總部設(shè)在日內(nèi)瓦。國際電信聯(lián)盟的實質(zhì)性工作由三大部門承擔(dān)，它們是：國際電信聯(lián)盟標準化部門〔ITU-T〕、國際電信聯(lián)盟無線電通信部門和國際電信聯(lián)盟電信開展部門。ITU制定的典型標準如：消息處理系統(tǒng)〔MHS〕、目錄系統(tǒng)、X.400系列、X.500系列、平安框架、平安模型、X.509標準。國際信息平安標準化組織國際信息平安標準化組織日內(nèi)瓦——國際組織外國信息平安標準化組織1.美國ANSI美國國家標準學(xué)會〔AmericanNationalStandardsInstitute〕是由公司、政府和其他成員組成的自發(fā)組織，屬非贏利性質(zhì)的民間標準化團體，但實際上已成為國家標準化中心。它們協(xié)商與標準有關(guān)的活動，審議美國國家標準，并努力提高美國在國際標準化組織中的地位。外國信息平安標準化組織外國信息平安標準化組織3.美國DOD美國國防部〔DOD〕〔DepartmentofDefense〕負責(zé)聯(lián)邦政府涉密信息的處理，發(fā)布了許多關(guān)于信息平安和自動信息系統(tǒng)平安的指令、指示和標準〔DODDI〕。著名的“彩虹系列〞標準〔一組計算機平安標準〕即由美國國防部制定。彩虹系列七十年代后期，美國國防部開始研究計算機系統(tǒng)平安標準，相繼制定了包括20多個文件的一組計算機平安標準。由于每個文件使用了不同顏色的封皮，于是統(tǒng)稱為“彩虹系列〞。1983年，美國國防部所屬的國家計算機平安中心(NCSC)公布了適用于多用戶操作系統(tǒng)的“可信計算機系統(tǒng)評價標準〞〔Trusted

Computer

System

Evaluation

Criteria,

TCSEC)

,按其文件封皮被稱為“桔皮書〞外國信息平安標準化組織4.英國BSI英國標準協(xié)會〔BritainStandardInstitute，BSI〕成立于1901年，是世界上最早的全國性標準化機構(gòu)，在國際上具有較高聲譽的非官方機構(gòu)，它不受政府控制但得到了政府的大力支持。我國信息平安標準化組織可查詢信息平安國家標準我國信息平安標準化組織目前全國安標委包括七個工作組我國信息平安標準化組織TC1TC339我國信息平安標準化組織2.國內(nèi)其他信息平安標準管理機構(gòu)〔1〕國家保密局國家保密局負責(zé)管理、發(fā)布并強制執(zhí)行國家保密標準。國家保密標準和國家保密法規(guī)共同構(gòu)成我國保密管理的重要根底。我國信息平安標準化組織信息平安標準概述1.信息平安根底標準信息平安標準中有一類可以劃歸為信息平安根底標準，涉及詞匯、平安體系結(jié)構(gòu)、平安框架、平安模型四個方面.詞匯安全體系結(jié)構(gòu)安全框架安全模型GB/T5271.8-2000信息技術(shù)詞匯第8部分：安全GB/T9387.2-1995開放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)ISO/IEC10181-1~7開放系統(tǒng)的安全框架GB/T17965高層安全模型GB/T18231低層安全模型ISO/IEC15443-1IT安全保障框架IATF信息保障技術(shù)框架ISO/IEC11586-1~6通用高層安全網(wǎng)絡(luò)層安全GJB2256-1994軍用計算機安全術(shù)語RFC2401因特網(wǎng)安全體系結(jié)構(gòu)ISO/IEC7498-4管理框架傳輸層安全信息平安標準概述信息平安標準概述TCSEC首先提出了分等級保護的思想，是信息平安評估標準的先驅(qū)。加拿大CTCPEC、美國聯(lián)邦準那么FC、歐洲標準ITSEC進一步繼承并開展了TCSEC。1999年，我國制定了等級保護劃分準那么GB17859，等同采用了TCSEC中C1～B3級的要求，是我國信息平安等級保護制度的根底。信息平安標準概述信息平安標準概述3.信息平安管理標準目前信息平安管理標準在國外、國際、國內(nèi)的構(gòu)成情況如圖信息平安管理標準(1)BS7799標準早在1995年2月，英國標準協(xié)會(BSI)就提出制定信息平安管理標準，并迅速于1995年5月制定完成。BS7799是英國的工業(yè)、政府和商業(yè)共同需求而開展的一個標準，它分兩局部：第一局部為“信息平安管理實施準那么〞；第二局部為“信息平安管理體系標準〞。其中BS7799—1：1999于2000年12月通過ISO／IECJTCl認可，正式成為國際標準ISO／IECl7799：2000。ISO／IECJTCl在2005年對ISO／IEC17799再次修訂形成ISO／IEC17799：2005。同時，BS7799—2也于2005年被采用為ISO／IEC27001：2005。2007年，為將ISO／IEC17799：2005引入ISO／IEC27000標準組而將其重新編號為ISO／IEC27002：2005。信息平安管理標準(2)ISO／IEC27000系列ISO／IEC27000系列標準是信息平安管理體系(ISMS)中最重要的標準體系。其中的ISO27001和ISO27002分別由英國標準BS7799-2和BS7799-1逐漸開展而來，這兩個標準是ISO27000系列，也是ISMS標準中最重要、最根本的兩個標準。信息平安管理標準(3)NISTSP800系列美國NISTSP800系列是NIST根據(jù)美國聯(lián)邦信息平安管理法案(FISMA2002)所賦予的法定職責(zé)所開發(fā)的系列文件。NISTSP800系列中包括的與信息平安管理相關(guān)的文件有NISTSP800—53：聯(lián)邦信息系統(tǒng)推薦平安控制；NISTSP800—18：開發(fā)IT系統(tǒng)平安方案指南；NISTSP800—30：IT系統(tǒng)風(fēng)險管理指南等。信息平安管理標準(4)COBITCOBIT(ControlObjectivesforInformationandRelatedTechnology)是由信息系統(tǒng)審計與控制協(xié)會(InformationSystemsAuditandControlAssociation，ISACA)在1996年公布的控制框架，目前已經(jīng)更新到4．1版本，是目前國際上通用的信息系統(tǒng)審計的標準。COBIT4提供了關(guān)于IT治理／管理的一個最正確慣例集合，共分4個域、34個高級控制目標和214個詳細控制目標。4個領(lǐng)域分別是：方案與組織(PlanandOrganize)；獲得與安裝(AcquireandImplement)；交付與支持(DeliverandSupport)；監(jiān)測與評估(MonitorandEvaluate)信息平安管理標準信息平安管理標準CNITSEC7.2計算機平安等級保護標準信息平安等級保護美國可信計算機系統(tǒng)平安評價標準TCSECTCSEC將計算機操作系統(tǒng)的平安從高到底分為四級〔A、B、C、D〕，級下再細分為七小級〔A1、B3、B2、B1、C2、C1、D〕，分別為：美國可信計算機系統(tǒng)平安評價標準TCSEC〔1〕D級〔最小保護級〕D類平安等級只包括D1一個級別。D1的平安等級最低。D1系統(tǒng)只為文件和用戶提供平安保護，整個計算機是不可信任的。美國可信計算機系統(tǒng)平安評價標準TCSEC〔2〕C級C類平安等級可劃分為C1和C2兩類。該類平安等級能夠提供審慎的保護，并為用戶的行動和責(zé)任提供審計能力。1〕C1級〔自主平安保護〕。C1系統(tǒng)的可信計算基〔TCB〕通過將用戶和數(shù)據(jù)分開來到達平安的目的。2〕C2級〔訪問控制保護〕。C2系統(tǒng)具有C1系統(tǒng)中所有的平安性特征，引進了訪問控制環(huán)境〔用戶權(quán)限級別〕的增強特性。美國可信計算機系統(tǒng)平安評價標準TCSEC〔3〕B級B級系統(tǒng)具有強制性保護功能。強制性保護意味著如果用戶沒有與平安等級相連，系統(tǒng)就不會讓用戶存取對象。B類平安等級可分為B1級、B2級、B3級3類，由低到高。1〕B1級〔標號平安保護〕。B1級系統(tǒng)支持多級平安。2〕B2級〔結(jié)構(gòu)化平安保護〕。B2級系統(tǒng)必須滿足B1級系統(tǒng)的所有要求外，系統(tǒng)的管理員必須使用一個明確的、文檔化的平安策略模式作為系統(tǒng)的可信任運算根底體制。3〕B3級〔平安域保護〕。B3系統(tǒng)必須符合B2系統(tǒng)的所有平安需求。美國可信計算機系統(tǒng)平安評價標準TCSEC〔4〕A級〔驗證設(shè)計保護〕A級系統(tǒng)的平安級別最高。目前，A類平安等級只包含A1級一個平安類別，與前面提到的各級級別一樣，該級別包含了較低級別的所有特性。A1類包括了一個嚴格的設(shè)計、控制和驗證過程。A1級系統(tǒng)的主要特征是：形式化的最高級描述和驗證，形式化的隱秘信道分析，非形式化的代碼一致性證明。國外其他類似標準我國信息平安等級保護標準體系我國信息平安等級保護標準體系信息平安等級保護相關(guān)標準類別目前已經(jīng)制定的標準大致可以分為四類：根底類、應(yīng)用類、產(chǎn)品類和其他類。1.根底類標準2.應(yīng)用類標準3.產(chǎn)品類標準4.其他類標準我國信息平安等級保護標準體系(1)根底類標準?計算機信息系統(tǒng)平安保護等級劃分準那么?(GB17859—1999)我國信息平安等級保護標準體系我國信息平安等級保護標準體系〔3〕產(chǎn)品類標準〔1〕操作系統(tǒng)〔2〕數(shù)據(jù)庫〔3〕網(wǎng)絡(luò)〔局部〕〔4〕其他類標準〔1〕風(fēng)險評估〔2〕事件管理信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。第五級第四級第三級第二級第一級1.4等級保護根本概念-平安保護等級全國的信息系統(tǒng)〔包括網(wǎng)絡(luò)〕按照重要性和受破壞后的危害性分成五個平安保護等級信息平安等級保護主要標準介紹1GB17859-1999信息平安等級保護主要標準介紹GB17859-1999GB17859-1999第二級系統(tǒng)審計保護級與用戶自主保護級相比，本級的計算機信息系統(tǒng)可信計算基實施了粒度更細的自主訪問控制，它通過登錄規(guī)程、審計平安性相關(guān)事件和隔離資源，使用戶對自己的行為負責(zé)。本級考核指標要求：自主訪問控制、身份鑒別、審計、數(shù)據(jù)完整性。系統(tǒng)審計保護級相當(dāng)于美國國防部DOD橘皮書(TCSEC)中的C2級，仍采用自主訪問控制，但增加了審計功能。GB17859-1999第三級平安標記保護級本級的計算機信息系統(tǒng)可信計算基具有系統(tǒng)審計保護級所有功能。此外，還提供有關(guān)平安策略模型、數(shù)據(jù)標記以及主體對客體強制訪問控制的非形式化描述；具有準確地標記輸出信息的能力；消除通過測試發(fā)現(xiàn)的任何錯誤。本級考核指標要求：自主訪問控制、強制訪問控制、敏感標記、身份鑒別、客體重用、審計、數(shù)據(jù)完整性。平安標記保護級相當(dāng)于美國國防部DOD橘皮書(TCSEC)中的B1級，引入了強制訪問控制機制，增加了對主、客體進行平安標記的要求。GB17859-1999第四級結(jié)構(gòu)化保護級本級的計算機信息系統(tǒng)可信計算基建立于一個明確定義的形式化平安策略模型之上，它要求將第三級系統(tǒng)中的自主和強制訪問控制擴展到所有主體與客體。此外，還要考慮隱蔽通道。本級的計算機信息系統(tǒng)可信計算基必須結(jié)構(gòu)化為關(guān)鍵保護元素和非關(guān)鍵保護元素。計算機信息系統(tǒng)可信計算基的接口也必須明確定義，使其設(shè)計與實現(xiàn)能經(jīng)受更充分的測試和更完整的復(fù)審。加強了鑒別機制；支持系統(tǒng)管理員和操作員的職能；提供可信設(shè)施管理；增強了配置管理控制。系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。本級考核指標要求：自主訪問控制、強制訪問控制、標記、身份鑒別、客體重用、審計、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑。結(jié)構(gòu)化保護級相當(dāng)于美國國防部DOD橘皮書(TCSEC)中的B2級，提出了對可信計算基按其重要性實現(xiàn)結(jié)構(gòu)化設(shè)計，增加了隱蔽信道分析的要求。GB17859-1999第五級訪問驗證保護級本級的計算機信息系統(tǒng)可信計算基滿足訪問監(jiān)控器③需求。訪問監(jiān)控器仲裁主體對客體的全部訪問。訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測試。為了滿足訪問監(jiān)控器需求，計算機信息系統(tǒng)可信計算基在其構(gòu)造時，排除那些對實施平安策略來說并非必要的代碼；在設(shè)計和實現(xiàn)時，從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度。支持平安管理員職能；擴充審計機制，當(dāng)發(fā)生與平安相關(guān)的事件時發(fā)出信號；提供系統(tǒng)恢復(fù)機制。系統(tǒng)具有很高的抗?jié)B透能力。本級考核指標要求：自主訪問控制、強制訪問控制、標記、身份鑒別、客體重用、審計、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑、可信恢復(fù)。訪問驗證保護級相當(dāng)于美國國防部DOD橘皮書(TCSEC)中的B3級。GB17859-1999〔1〕第一級用戶自主保護級〔2〕第二級系統(tǒng)審計保護級〔3〕第三級平安標記保護級〔4〕第四級結(jié)構(gòu)化保護級〔5〕第五級訪問驗證保護級C1自主平安保護級C2訪問控制保護級B1標識平安保護級B2結(jié)構(gòu)化平安保護級B3平安區(qū)域保護級信息平安等級保護主要標準介紹2信息平安等級保護根本要求GB/T22239-2021信息平安等級保護主要標準介紹信息平安等級保護主要標準介紹信息平安等級保護主要標準介紹信息平安等級保護主要標準介紹信息平安等級保護主要標準介紹GB/T24856—2021①平安計算環(huán)境平安計算環(huán)境是對定級系統(tǒng)的信息進行存儲、處理及實施平安策略的相關(guān)部件。平安計算環(huán)境按照保護能力劃分為第一級至第五級平安計算環(huán)境。第三級平安計算環(huán)境從以下方面進行平安設(shè)計：用戶身份鑒別、自主訪問控制、標記和強制訪問控制、系統(tǒng)平安審計、用戶數(shù)據(jù)完整性保護、用戶數(shù)據(jù)保密性保護、客體平安重用、程序可信執(zhí)行保護。GB/T24856—2021②平安區(qū)域邊界平安區(qū)域邊界是對定級系統(tǒng)的平安計算環(huán)境邊界，以及在平安計算環(huán)境與平安通信網(wǎng)絡(luò)之間實現(xiàn)連接并實施平安策略的相關(guān)部件。平安區(qū)域邊界按照保護能力劃分為第一級至第五級平安區(qū)域邊界。第三級平安區(qū)域邊界從以下方面進行平安設(shè)計：區(qū)域邊界訪問控制、區(qū)域邊界包過濾、區(qū)域邊界平安審計、區(qū)域邊界完整性保護。GB/T24856—2021③平安通信網(wǎng)絡(luò)平安通信網(wǎng)絡(luò)是對定級系統(tǒng)平安計算環(huán)境之間進行信息傳輸及實施平安策略的相關(guān)部件。平安通信網(wǎng)絡(luò)按照保護能力劃分為第一級至第五級平安通信網(wǎng)絡(luò)。第三級平安通信網(wǎng)絡(luò)從以下方面進行平安設(shè)計：通信網(wǎng)絡(luò)平安審計、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護、通信網(wǎng)絡(luò)可信接入保護。GB/T24856—2021④平安管理中心平安管理中心是對定級系統(tǒng)的平安策略及平安計算環(huán)境、平安區(qū)域邊界和平安通信網(wǎng)絡(luò)上的平安機制實施統(tǒng)一管理的平臺。第三級(含)以上的定級系統(tǒng)平安保護環(huán)境需要設(shè)置平安管理中心，分別稱為第三級至第五級平安管理中心。第二級信息系統(tǒng)可以選擇配置第二級平安管理中心。平安管理中心設(shè)計主要從系統(tǒng)管理、平安管理和審計管理三方面考慮。GB/T24856—2021信息平安等級保護主要標準介紹4計算機信息系統(tǒng)等級保護定級指南GB/T22240-2021信息平安等級保護主要標準介紹信息平安等級保護主要標準介紹關(guān)系開展歷史關(guān)鍵概念關(guān)鍵概念主要內(nèi)容(4)FDP類：用戶數(shù)據(jù)保護是一個較大的類，規(guī)定了與保護用戶數(shù)據(jù)相關(guān)的所有平安功能要求和策略，所包含的13個子類涉及到產(chǎn)品或系統(tǒng)內(nèi)用戶數(shù)據(jù)的輸入，輸出和存儲以及與之相關(guān)的一些平安屬性。(5)FIA類：標識和鑒別授權(quán)用戶的無歧義標識以及平安屬性與用戶、主體的正確關(guān)聯(lián)是實施預(yù)定平安策略的關(guān)鍵。(6)FMT類：平安管理規(guī)定了平安屬性、數(shù)據(jù)和功能三方面的管理，并定義了不同的管理角色及其相互作用(7)FPR類：私密性要求為用戶提供其身份不被其他用戶發(fā)現(xiàn)或濫用的保護。(8)FRT類：TSF保護TSF指TOE平安功能，側(cè)重于保護TSF數(shù)據(jù)，而不是用戶數(shù)據(jù)。(9)FRU類：資源利用規(guī)定了三個子類以支持所需資源的可用性，諸如處理能力或存儲能力。(10)FTA類：TOE訪問規(guī)定了用以控制建立用戶會話的一些功能要求，是對標識和鑒別類平安要求的進一步補充完善。(11)FTP類：可信路徑/信道規(guī)定了關(guān)于用戶和TSF之間可信通信路徑，以及TSF和其他可信IT產(chǎn)品之間可信通信信道的要求。3平安保證要求平安產(chǎn)品或系統(tǒng)應(yīng)該具備平安功能，但這些平安功能能否正確有效地實施也是我們要考慮的問題。平安保證就是采用軟件工程、開發(fā)環(huán)境控制、交付運行控制、自測等措施使得用戶、開發(fā)者和評估者對這些功能正確有效地實施產(chǎn)生信心。CC在第三局部按“類—子類—組件〞的層次結(jié)構(gòu)定義了目前國際上公認的平安保證要求，包括PP和ST評估2個保證類、7個評估保證類和1個保證維護類〔10個類〕。每個保證要求組件包含開發(fā)者行為、產(chǎn)生的證據(jù)以及評估者行為三個方面。1〕.PP和ST評估類(1)APE類：保護輪廓評估(2)ASE類：平安目標評估2〕.評估保證類(1)ACM類：配置管理(2)ADO類：交付和運行(3)ADV類：開發(fā)(4)AGD類：指導(dǎo)性文檔(5)ALC類：生命周期支持(6)ATE類：測試(7)AVA類：脆弱性評定3〕.保證維護類保證維護類的目的是確保TOE或其環(huán)境發(fā)生變化時，還能夠繼續(xù)滿足平安目標。對保證進行維護的一種方法時再次評估TOE，然而這將增加開銷，執(zhí)行起來也不現(xiàn)實。在CC中通過AMA類定義一整套要求，確保有關(guān)保證都得到了維護，而不需要進行全面的再次評估。當(dāng)然，AMA類也支持對TOE進行再次評估。AMA類：保證維護4評估保證級評估保證級是由保證組件構(gòu)成的典型包，提供了一個遞增的尺度，這種尺度確實定權(quán)衡了所獲得的保證級與到達該保證級所需的代價和可行性。按照平安保證要求的不斷遞增，CC將TOE分為7個平安保證級。保證級的遞增靠替換成同一保證子類中的一個更高級別的保證組件〔即增加嚴格性、范圍或深度〕和添加另外一個保證子類的保證組件來實現(xiàn)。七個評估保證級分別是：第一級：功能測試級；第二級：結(jié)構(gòu)測試極；第三級：系統(tǒng)測試和檢查級；第四級：系統(tǒng)設(shè)計、測試和復(fù)查級；第五級：半形式化設(shè)計和測試級；第六級：半形式化驗證的設(shè)計和測試級；第七級：形式化驗證的設(shè)計和測試級。各評估保證級的目的或適用范圍如下：(1)評估保證級1〔EAL1〕：功能測試通過該級的一個評估，可以確信TOE的功能與其文檔在形式上是一致的，并且對已標志的威脅提供了有效的保護。EAL1適用于對正確運行需要一定信任的場合，但在該場合中對平安的威脅應(yīng)視為并不嚴重；還適用于需要獨立的保證來支持“認為在人員或信息的保護方面已經(jīng)給予足夠的重視〞這一情形。(2)評估保證級2〔EAL2〕：結(jié)構(gòu)測試EAL2要求開發(fā)者遞交設(shè)計信息和測試結(jié)果，但不需要開發(fā)者增加過多的費用或時間的投入。EAL2適用于以下這種情況：在缺乏現(xiàn)成可用的完整的開發(fā)記錄時，開發(fā)者或用戶需要一種低到中等級別的獨立保證的平安性。例如：對傳統(tǒng)的保密系統(tǒng)進行評估或者不便于對開發(fā)者進行現(xiàn)場核查時。(3)評估保證級3〔EAL3〕：系統(tǒng)的測試和檢查EAL3可使開發(fā)者在設(shè)計階段能從正確的平安工程中獲得最大限度的保證。(4)評估保證級4〔EAL4〕：系統(tǒng)的設(shè)計、測試和復(fù)查基于良好而嚴格的商業(yè)開發(fā)規(guī)那么，在不額外增加大量專業(yè)知識、技巧和其它資源的情況下，開發(fā)者從正確的平安工程中所獲得的保證級別最高可到達EAL4。7.3.4CC的應(yīng)用主要用戶〔1〕 消費者〔2〕 開發(fā)者〔3〕 評估者評估過程1〕編制反映用戶需求的產(chǎn)品類型的保護輪廓(PP)；2〕產(chǎn)品廠商編制保護輪廓對應(yīng)的具體平安產(chǎn)品的平安目標〔ST〕；3〕通用準那么測試實驗室測試評估平安產(chǎn)品，得出測試報告；4〕通用準那么認證機構(gòu)確認測試報告，發(fā)放認證證書。7.3.4與其他標準關(guān)系CC比起早期的評估準那么其結(jié)構(gòu)上更具有開放性，即CC提出的平安功能要求和平安保證要求都可以在具體的“保護輪廓〞和“平安目標〞中進一步細化和擴展，CC的表達方式更具有通用性，即通過使用CC的語言，用戶、開發(fā)者、評估者等目標讀者之間更易于理解和溝通。CC表達方式相比前期準那么更具有實用性?？偨Y(jié)TCSEC——可信計算機系統(tǒng)平安評價標準CC——ISO/IEC15048——〔國際〕通用準那么GB17859-1999——計算機信息系統(tǒng)平安保護等級劃分準那么7.4ISO/IEC27000系列標準介紹ISO/IEC27000系列標準介紹7.4.1標準組成ISO/IEC27000族是國際標準化組織專門為ISMS預(yù)留下來的系列相關(guān)國際標準的總稱。根據(jù)國際標準化組織的最新方案，該系列標準的序號已經(jīng)預(yù)留到27019，其中27000~27009留給ISMS根本標準，27010~27019預(yù)留給ISMS標準組的解釋性指南與文檔。可見ISMS標準將來會是一個龐大的家族。ISO/IEC27000系列標準介紹ISO/IEC27000系列標準介紹ISO/IEC27000系列標準介紹7.4.2標準類型根據(jù)ISOGUIDE72:2001〔Guidelinesforthe