D3-05 7–9 分钟 重要程度:中

评估标准、认证与认可

CISSP 要你分清 TCSEC、ITSEC、Common Criteria、Certification 和 Accreditation。

一、必须记住

  • TCSEC 又称橘皮书,主要关注保密性。
  • Common Criteria 使用 PP、ST、TOE 和 EAL。
  • PP 是客户想要的安全要求;ST 是供应商对 TOE 的安全声明。
  • Certification 是技术评估系统是否满足安全要求。
  • Accreditation 是授权机构正式接受风险并批准系统运行。

二、核心概念

TCSEC、ITSEC 与 Common Criteria

TCSEC 早期由 DoD 制定,分类包括 A 验证保护、B 强制保护、C 自主保护、D 最小保护。ITSEC 分开评估功能和保证。Common Criteria 替代多国旧标准,使用 EAL 表示评估保证级别。

PP、ST、TOE、EAL

Protection Profile 是客户需求;Security Target 是供应商声明;Target of Evaluation 是被评估产品或系统;EAL 是评估保证级别,不代表绝对安全。

认证与认可

认证是技术评估;认可是管理层或指定授权机构在特定风险环境中正式批准系统上线。认证结果只对特定环境和配置有效。

三、CISSP 判断规则

  • 问技术评估,选 Certification。
  • 问正式批准运行或接受风险,选 Accreditation。
  • 问客户安全需求,选 PP。
  • 问供应商安全声明,选 ST。

四、常见陷阱

  • EAL 高不等于绝对安全。
  • Common Criteria 不覆盖所有组织流程、人员和物理安全。
  • 系统重大变更后,原认证可能失效。

五、英文关键字

TCSEC (可信计算机系统评估标准) Common Criteria (通用准则) Protection Profile (保护范畴) Security Target (安全目标) TOE (评估目标) EAL (评估保证级别) Certification (认证) Accreditation (认可) ITSEC (信息技术安全评估标准)

小测验

1. 对系统组件进行技术评估,确认是否满足安全要求,称为?

Certification 是技术评估。Accreditation 是正式批准运行并接受风险。

2. Common Criteria 中客户想要的安全要求称为?

PP 表示客户安全需求;ST 表示供应商安全声明。

3. 正式批准系统在特定风险环境中运行,称为?

Accreditation 是授权机构正式批准运行并接受风险。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成