D3-05 7–9 分钟 重要程度:中
评估标准、认证与认可
CISSP 要你分清 TCSEC、ITSEC、Common Criteria、Certification 和 Accreditation。
一、必须记住
- TCSEC 又称橘皮书,主要关注保密性。
- Common Criteria 使用 PP、ST、TOE 和 EAL。
- PP 是客户想要的安全要求;ST 是供应商对 TOE 的安全声明。
- Certification 是技术评估系统是否满足安全要求。
- Accreditation 是授权机构正式接受风险并批准系统运行。
二、核心概念
TCSEC、ITSEC 与 Common Criteria
TCSEC 早期由 DoD 制定,分类包括 A 验证保护、B 强制保护、C 自主保护、D 最小保护。ITSEC 分开评估功能和保证。Common Criteria 替代多国旧标准,使用 EAL 表示评估保证级别。
PP、ST、TOE、EAL
Protection Profile 是客户需求;Security Target 是供应商声明;Target of Evaluation 是被评估产品或系统;EAL 是评估保证级别,不代表绝对安全。
认证与认可
认证是技术评估;认可是管理层或指定授权机构在特定风险环境中正式批准系统上线。认证结果只对特定环境和配置有效。
三、CISSP 判断规则
- 问技术评估,选 Certification。
- 问正式批准运行或接受风险,选 Accreditation。
- 问客户安全需求,选 PP。
- 问供应商安全声明,选 ST。
四、常见陷阱
- EAL 高不等于绝对安全。
- Common Criteria 不覆盖所有组织流程、人员和物理安全。
- 系统重大变更后,原认证可能失效。
五、英文关键字
TCSEC (可信计算机系统评估标准) 定义:橘皮书,早期主要关注保密性。 Common Criteria (通用准则) 定义:国际安全评估标准,使用 PP、ST、TOE 和 EAL。 Protection Profile (保护范畴) 定义:Common Criteria 中客户想要的安全要求。 Security Target (安全目标) 定义:Common Criteria 中供应商对 TOE 的安全声明。 TOE (评估目标) 定义:Common Criteria 中被评估的产品或系统。 EAL (评估保证级别) 定义:Common Criteria 的保证级别,不代表绝对安全。 Certification (认证) 定义:技术评估系统是否满足安全要求。 Accreditation (认可) 定义:授权机构正式接受风险并批准系统运行。 ITSEC (信息技术安全评估标准) 定义:欧洲早期安全评估标准,区分功能和保证。
小测验
1. 对系统组件进行技术评估,确认是否满足安全要求,称为?
Certification 是技术评估。Accreditation 是正式批准运行并接受风险。
2. Common Criteria 中客户想要的安全要求称为?
PP 表示客户安全需求;ST 表示供应商安全声明。
3. 正式批准系统在特定风险环境中运行,称为?
Accreditation 是授权机构正式批准运行并接受风险。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成