s20090509 辛英.doc

系统评估
1 系统评估概述 0
系统评估的定义 0
形式化评估的目标 1
评估前的决策 1
2 TCSEC 2
TCSEC的需求 2
TCSEC的安全功能需求 2
TCSEC的安全保障需求 3
TCSEC评估等级 3
TCSEC评估过程 3
影响 4
范围的局限性 4
过程局限性 4
3 通用标准:1998-现在 4
方法概述 5
通用标准的需求 5
通用标准的安全功能需求 5
通用标准的安全保障需求 6
评估安全保障级别 6
评估过程 6
影响 7
4 总结 7
系统评估
1 系统评估概述
系统评估的定义
评估是一个收集安全保障证据的过程,也是针对功能性和保障性准则的分析过程。通过评估,可得到可信度的某种度量,指示系统满足标准的程度。评估时所采用的标准依赖于评估的目标以及采用的评估方法。可心计算机系统评估标准(TCSEC)是第一个被广泛采用的形式化评估方法,随后的评估方法都建立在TCSEC的基础之上,或者是对TCSEC的改进。本章介绍几种过去和现在常用的评估方法,重点讲述它们之间的差别,以及从每种方法中所吸取的经验教训。
形式化评估的目标
计算机系统最终的目标是完美的安全,但这是不可能达到的。随着计算机系统复杂性的增加,越来越难以将系统进行简化、分析,即难以采用“参考验证机制”的概念。可信系统是指在特定条件下,可满足特定安全需求的系统。可信是建立在安全保障证据的基础上的。尽管可信系统不能确保绝对的安全,但是在系统评估的范围内,它确实提供了系统可信度的基础。
形式化系统安全评估技术的发展促进了可信系统的发展。通常系统评估方法具有以下特征:
一组功能需求,定义了系统或者产品的安全功能。
一组安全保障需求,描述系统或者产品为满足功能需求而采取的若干措施。这种需求通常指定所需的安全保障证据。
一种用于确定产品或者系统是否满足功能需求的方法,这种方法简历在分析安全保障证据的基础之上。
一种针对评估结果的度量标准(成为可信度等级),它是为产品或者系统而定义的关于安全功能的需求,表明产品或者系统的可信程度。
形式化评估方法是一种基于特定的安全需求和安全保障证据,用于度量可信等级的技术。
有若干评估标准对形式化评估方法具有重大的影响,其中最主要的标准是可信计算机系统评估标准(TCSEC)和信息技术评估标准(ITSEC)。)已经取代了这些标准而成为标准的评估方法。本章将讨论标准的各个组成部分。
即使不对系统进行系统化评估,安全功能需求和安全保障需求也能提供一种良好的总体描述,体现为提高保障性所需考虑的因素。对于任何开发过程来说,这些需要考虑的因素都十分有价值。
评估前的决策
在决定进行正式的系统评估之前,必须综合考虑安全和成本两方面的因素,例如产品推向市场的时间和产品特色的多少等因素。寻求形式化评估的组织不仅要支付评估者相应的费用,而且要承担经验丰富的专家人员的费用,以及开发安全文档和收集保障证据所需要的费用。
安全和信任不再只是政府和军事组织的专有领域,也不仅仅只是金融机构和在线商务