【正文】 ? 主要著眼于安全的一個(gè)屬性（機(jī)密性） ? 適用于政府分類(lèi) ? 評(píng)級(jí)數(shù)量較少 ? 紅皮書(shū)（ Red Book） ? 單個(gè)系統(tǒng)的安全問(wèn)題 ? 解決網(wǎng)絡(luò)和網(wǎng)絡(luò)組件的安全評(píng)估問(wèn)題，主要針對(duì)獨(dú)立局域網(wǎng)和廣域網(wǎng)系統(tǒng) ? 涉及通信完整性、防止拒絕服務(wù)、泄露保護(hù) 信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)（ Information Technology Security） ? Information Technology Security Evaluation Criteria （ ITSEC） ? 歐洲多國(guó)安全評(píng)價(jià)方法的綜合產(chǎn)物，軍用，政府用和商用。 ? 以超越 TCSEC為目的，將安全概念分為功能與功能評(píng)估兩部分。 ? 首次提出了信息安全的保密性、完整性、可用性的概念 ? 評(píng)估對(duì)象 TOE(Target of Evaluation ) ? 產(chǎn)品和系統(tǒng) ? 安全性目標(biāo) security target ? 安全增強(qiáng)機(jī)制 ? 安全策略 通用標(biāo)準(zhǔn)（ Common Criteria ） ? 定義了作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn)則，全面地考慮了與信息技術(shù)安全性有關(guān)的所有因素，與 PDR(防護(hù)、檢聽(tīng)、反應(yīng) )模型和現(xiàn)代動(dòng)態(tài)安全概念相符合的，強(qiáng)調(diào)安全的假設(shè)、威脅的、安全策略等安全需求的針對(duì)性，充分突出保護(hù)輪廓 ? 強(qiáng)調(diào)把安全需求劃分為安全功能需求和安全保證需求兩個(gè)獨(dú)立的部分，根據(jù)安全保證需求定義安全產(chǎn)品的安全等級(jí) ? 定義了 7個(gè)評(píng)估保證級(jí)別 (EAL)，每一級(jí)均需評(píng)估 7個(gè)功能類(lèi) 通用標(biāo)準(zhǔn)（ Common Criteria ） ? CC（ ISO/IEC 15408X） 分為三個(gè)部分： ? 第一部分：介紹和一般模型 —— 一般性概念， IT安全評(píng)估的原則，高級(jí)編寫(xiě)規(guī)范，對(duì)目標(biāo)受眾的有用價(jià)值。對(duì)消費(fèi)者來(lái)說(shuō)是不錯(cuò)的背景介紹和參考。 ? 第二部分：安全功能需求 —— 功能性需求，組件，評(píng)估目標(biāo) (Target of Evaluation， TOE)；對(duì)消費(fèi)者來(lái)說(shuō)是不錯(cuò)的指導(dǎo)和參考，可以用來(lái)闡述對(duì)安全功能的需求。 ? 第三部分：安全保障 —— 對(duì) TOE的保障需求 (assurance requirement)，對(duì)保護(hù)輪廓 (Protection Profile)和安全目標(biāo) (Security Target)的評(píng)估標(biāo)準(zhǔn)。指導(dǎo)消費(fèi)者提出相應(yīng)的保障等級(jí) 通用標(biāo)準(zhǔn) 概念 ? 保護(hù)輪廓（ Protection profile， PP） 滿足特定用戶需求、與一類(lèi) TOE實(shí)現(xiàn)無(wú)關(guān)的一組安全要求。 ? 評(píng)估對(duì)象（ Target of evaluation ， TOE） 作為評(píng)估主體的 IT產(chǎn)品及系統(tǒng)以及相關(guān)的管理員和用戶指南文檔。 ? 安全目標(biāo)（ Security target ） 作為指定的 TOE評(píng)估基礎(chǔ)的一組安全要求和規(guī)范。 ? 安全功能（ Security functional requirements） 規(guī)范 IT產(chǎn)品和系統(tǒng)的安全行為，應(yīng)做的事 ? 安全保證（ Security assurance requirements） 對(duì)功能產(chǎn)生信心的方法 ? 包 功能保證級(jí)（ Packages— EALs）把 功能和保證要求 封裝起來(lái)，以便今后使用 。這部分描述必須得到滿足，以實(shí)現(xiàn)特定的 EAL等級(jí)。 評(píng)估標(biāo)準(zhǔn)間的比較 T7 F6+E 6A1: 驗(yàn)證設(shè)計(jì)EA L7 正式驗(yàn)證的設(shè)計(jì)和測(cè)試5: 訪問(wèn)驗(yàn)證保護(hù)級(jí)T6F5+E 5B3: 安全域EA L6 半正式驗(yàn)證的設(shè)計(jì)和測(cè)試4: 結(jié)構(gòu)化保護(hù)級(jí)T5F4+E 4B2: 結(jié)構(gòu)保護(hù)EA L5 半正式設(shè)計(jì)和測(cè)試3: 安全標(biāo)記保護(hù)級(jí)T4F3+E 3B1: 標(biāo)識(shí)安全保護(hù)EA L4 方法設(shè)計(jì)，測(cè)試和評(píng)審2: 系統(tǒng)審計(jì)保護(hù)級(jí)T3F2+E 2 C2: 控制存取保護(hù)EA L3 方法測(cè)試和檢驗(yàn)1: 用戶自主保護(hù)級(jí)T2 F1+E 1C1: 任意安全保護(hù)EA L2 結(jié)構(gòu)測(cè)試T1 EA L1 功能測(cè)試T0E0D: 最小保護(hù)中國(guó)G B17859 1999加拿大CTCPEC歐洲ITSEC美國(guó)TCSECCC 標(biāo)準(zhǔn)驗(yàn)證設(shè)計(jì)正式驗(yàn)證的設(shè)計(jì)和測(cè)試訪問(wèn)驗(yàn)證保護(hù)級(jí)安全域半正式驗(yàn)證的設(shè)計(jì)和測(cè)試結(jié)構(gòu)化保護(hù)級(jí)結(jié)構(gòu)保護(hù)半正式設(shè)計(jì)和測(cè)試安全標(biāo)記保護(hù)級(jí)標(biāo)識(shí)安全保護(hù)方法設(shè)計(jì)，測(cè)試和評(píng)審系統(tǒng)審計(jì)保護(hù)級(jí)控制存取保護(hù)方法測(cè)試和檢驗(yàn)用戶自主保護(hù)級(jí)任意安全保護(hù)結(jié)構(gòu)測(cè)試功能測(cè)試最小保護(hù)加拿大標(biāo)準(zhǔn)認(rèn)證與認(rèn)可（ Certification vs. Accreditation ） ? 認(rèn)證 , Certification ? 評(píng)估技術(shù)和非技術(shù)特征以確定設(shè)計(jì)是否符合安全要求 ? 認(rèn)可 , Accreditation ? 認(rèn)證權(quán)威 DAA (Designated Approving Authority ) ? 來(lái)自于指定的認(rèn)證權(quán)威的正式聲明，表明系統(tǒng)已被認(rèn)可在安全狀態(tài)下運(yùn)行 一些威脅的評(píng)估（ A Few Threats to Review ） ? 維護(hù) 鉤子（ Maintenance Hooks） ? 檢驗(yàn)時(shí)間 /使用時(shí)間攻擊 (TimeofCheck/TimeofUse Attacks， TOC/TOU) 維護(hù)鉤子（ Maintenance Hooks） ? 軟件內(nèi)開(kāi)發(fā)人員才知道和能夠調(diào)用的指令 ,使他們能夠方便的訪問(wèn)代碼 . ? 對(duì)策 ? 使用主機(jī)入侵檢測(cè)系統(tǒng)監(jiān)視通過(guò)后門(mén)進(jìn)入系統(tǒng)的供給者 ? 使用文件系統(tǒng)加密來(lái)保護(hù)敏感信息 ? 實(shí)現(xiàn)審計(jì) ,以檢測(cè)任何類(lèi)型的后門(mén)使用 檢驗(yàn)時(shí)間 /使用時(shí)間攻擊 (TimeofCheck/TimeofUse Attacks， TOC/TOU) ? 也稱異步攻擊。攻擊者利用系統(tǒng)進(jìn)程請(qǐng)求和執(zhí)行任務(wù)的方法發(fā)動(dòng)攻擊。 ? 對(duì)策 ? 應(yīng)用“軟件鎖”，在執(zhí)行“檢查”任務(wù)時(shí)鎖定要使用的項(xiàng) 交流與討論 2023年 3月 7日星期二 靜夜四無(wú)鄰，荒居舊業(yè)貧。 , March 7, 2023 雨中黃葉樹(shù)，燈下白頭人。 22:11:0022:11:0022:113/7/2023 10:11:00 PM 1以我獨(dú)沈久，愧君相見(jiàn)頻。 :11:0022:11Mar237Mar23 1故人江海別，幾度隔山川。 22:11:0022:11:0022:11Tuesday, March 7, 2023 1乍見(jiàn)翻疑夢(mèng)，相悲各問(wèn)年。 :11:0022:11:00March 7, 2023 1他鄉(xiāng)生白發(fā)，舊國(guó)見(jiàn)青山。 2023年 3月 7日星期二 下午 10時(shí) 11分 0秒 22:11: 1比不了得就不比，得不到的就不要。 。 2023年 3月 下午 10時(shí) 11分 :11March 7, 2023 1行動(dòng)出成果，工作出財(cái)富。 2023年 3月 7日星期二 10時(shí) 11分 0秒 22:11:007 March 2023 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 下午 10時(shí) 11分 0秒 下午 10時(shí) 11分 22:11: 沒(méi)有失敗，只有暫時(shí)停止成功！。 , March 7, 2023 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒(méi)有。 22:11:0022:11:0022:113/7/2023 10:11:00 PM 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 :11:0022:11Mar237Mar23 1世間成事，不求其絕對(duì)圓滿，留一份不足，可得無(wú)限完美。 22:11:0022:11:0022:11Tuesday, March 7, 2023 1不知香積寺，數(shù)里入云峰。 :11:0022:11:00March 7, 2023 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 7日星期二 下午 10時(shí) 11分 0秒 22:11: 1楚塞三湘接，荊門(mén)九派通。 。 2023年 3月 下午 10時(shí) 11分 :11March 7, 2023 1少年十五二十時(shí)，步行奪得胡馬騎。 2023年 3月 7日星期二 10時(shí) 11分 0秒 22:11:007 March 2023 1空山新雨后，天氣晚來(lái)秋。 下午 10時(shí) 11分 0秒 下午 10時(shí) 11分 22:11: 楊柳散和風(fēng)，青山澹吾慮。 , March 7, 2023 閱讀一切好書(shū)如同和過(guò)去最杰出的人談話。 22:11:0022:11:0022:113/7/2023 10:11:00 PM 1越是沒(méi)有本領(lǐng)的就越加自命不凡。 :11:0022:11Mar237Mar23 1越是無(wú)能的人，越喜歡挑剔別人的錯(cuò)兒。 22:11:0022:11:0022:11Tuesday, March 7, 2023 1知人者智，自知者明。勝人者有力，自勝者強(qiáng)。 :11:0022:11:00March 7, 2023 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 7日星期二 下午 10時(shí) 11分 0秒 22:11: 1最具挑戰(zhàn)性的挑戰(zhàn)莫過(guò)于提升自我。 2023年 3月 下午 10時(shí) 11分 :11March 7, 2023 1業(yè)余生活要有意義，不要越軌。 2023年 3月 7日星期二 10時(shí) 11分 0秒 22:11:007 March 2023 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。 下午 10時(shí) 11分 0秒 下午 10時(shí) 11分 22:11: MOMODA POWERPOINT Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus. 感 謝 您 的 下 載 觀 看 專家告訴