【正文】 。 單擊此處編輯母版標題樣式 ? 單擊此處編輯母版副標題樣式 ? 圖 保護輪廓與安全目標的關(guān)系 單擊此處編輯母版標題樣式 ? 單擊此處編輯母版副標題樣式 ? CC的觀點是，在對即將要信任的 IT產(chǎn)品和系統(tǒng)進行評估的基礎(chǔ)之上提供一種保障。評估是一種傳統(tǒng)的提供保障的方式，同時也是先期評估準則文檔的基礎(chǔ)。為了與現(xiàn)有方式一致， CC也采納了同樣的觀點。 CC建議專業(yè)評估員加大評估的廣度、深度與強度，來檢測文檔的有效性和 IT產(chǎn)品或系統(tǒng)的結(jié)果。 ? CC并不排除也不評估其他獲取保障的方法的優(yōu)點。針對其他可替代的獲取保障的方法正在研究。這些研究行為所產(chǎn)生的可替代的方法可能會被考慮加入到 CC之中，而 CC的結(jié)構(gòu)允許它今后引入其他方法。 單擊此處編輯母版標題樣式 ? 單擊此處編輯母版副標題樣式 ? CC的觀點宣稱，用于評估的努力越多，安全保障效果越好； CC的目標是用最小的努力來達到必須的保障水平。努力程度的增加基于如下因素： ? 范圍，必須加強努力，因為大部分的 IT產(chǎn)品與系統(tǒng)包含在內(nèi)。 ? 深度，努力必須加深，因為評估證據(jù)的搜集依賴于更好的設(shè)計水平與實現(xiàn)細節(jié)。 ? 強度，努力必須加大，因為評估證據(jù)的搜集需要結(jié)構(gòu)化和正式的方式。 ? 評估過程為 PP與 ST所需的保障提供了證據(jù)，如圖。評估的結(jié)果就是對信息保護系統(tǒng)的某種程度上的確信。其他 ISSE過程，如風險管理，提供了將這種確信轉(zhuǎn)化成管理決策準則的方法。 單擊此處編輯母版標題樣式 ? 單擊此處編輯母版副標題樣式 ? 圖 評估的概念與相互關(guān)系 單擊此處編輯母版標題樣式 ? 單擊此處編輯母版副標題樣式 ? 圖 （或子系統(tǒng)）可以參照 PP或 ST得到評估，輔以外部認證與批準準則，從而創(chuàng)建評估產(chǎn)品集，以對系統(tǒng)的批準過程提供支持。 單擊此處編輯母版標題樣式 ? 單擊此處編輯母版副標題樣式 ? 圖 使用評估結(jié)果 單擊此處編輯母版標題樣式 ? 單擊此處編輯母版副標題樣式 ? ? （ 1） 安全功能要求 ? 安全功能要求分為以下 10類： ? 安全審計類； ? 通信類（主要是身份真實性和抗否認）； ? 密碼支持類； ? 用戶數(shù)據(jù)保護類； ? 標識和鑒別類； ? 安全管理類（與 TSF有關(guān)的管理）； 單擊此處編輯母版標題樣式 ? 單擊此處編輯母版副標題樣式 ? 隱秘類（保護用戶隱私）； ? TSF保護類（ TOE自身安全保護）； ? 資源利用類（從資源管理角度確保 TSF安全）； ? TOE訪問類（從對 TOE的訪問控制確保安全性）； ? 可信路徑 /信道類。 ? 這些安全類又分為族，族中又分為組件。組件是對具體安全要求的描述。從敘述上看，每一個族中的具體安全要求也是有差別的，但 CC沒有以這些差別作為劃分安全等級的依據(jù)。 單擊此處編輯母版標題樣式 ? 單擊此處編輯母版副標題樣式 ? （ 2） 安全保證要求 ? 在對安全保護框架和安全目標的評估進行說明以后，將具體的安全保證要求分為以下 8類： ? 配置管理類； ? 分發(fā)和操作類； ? 開發(fā)類； ? 指導(dǎo)性文檔類； ? 生命周期支持類； ? 測試類； ? 脆弱性評定類； ? 保證的維護類。 單擊此處編輯母版標題樣式 ? 單擊此處編輯母版副標題樣式 ? 按照對上述 8類安全保證要求的不斷遞增， CC將TOE分為 7個安全保證級，分別是： ? 第一級，功能測試級； ? 第二級，結(jié)構(gòu)測試級； ? 第三級，系統(tǒng)測試和檢查級； ? 第四級，系統(tǒng)設(shè)計、測試和復(fù)查級； ? 第五級，半形式化設(shè)計和測試級； ? 第六級，半形式化驗證的設(shè)計和測試級； ? 第七級，形式化驗證的設(shè)計和測試級。 單擊此處編輯母版標題樣式 ? 單擊此處編輯母版副標題樣式 ? 風險管理是識別、評估和減少風險的過程。風險評估對漏洞和威脅的可能性進行檢查，并考慮事故造成的可能影響。描述威脅和漏洞最好的方法是根據(jù)對經(jīng)營業(yè)務(wù)的影響來描述。 ? 成熟度模型可用來測量組織的解決方案（軟件、硬件、系統(tǒng)）的能力和效力，可用于安全評估方法，以測量針對業(yè)界最佳實際的安全體系結(jié)構(gòu)。可以就以下 3個方面進行分析：安全計劃、技術(shù)與配置、運行過程。 本章小結(jié) 單擊此處編輯母版標題樣式 ? 單擊此處編輯母版副標題樣式 ? 弄清楚威脅的來源是減少威脅得逞可能性的關(guān)鍵。威脅源包括人為差錯和設(shè)計缺陷、內(nèi)部人員、臨時員工、自然災(zāi)害和環(huán)境危害、黑客和其他入侵者、病毒和其他惡意軟件。 ? 威脅的情況包括系統(tǒng)管理過程、電子竊聽、軟件利用、信任轉(zhuǎn)移、數(shù)據(jù)驅(qū)動攻擊、拒絕服務(wù)、DNS欺騙、源路由，以及內(nèi)部威脅。應(yīng)采取相應(yīng)對策和保護措施。 單擊此處編輯母版標題樣式 ? 單擊此處編輯母版副標題樣式 ? 安全評估可分 5個階段： ①發(fā)現(xiàn)階段，對安全體系結(jié)構(gòu)及安全基礎(chǔ)設(shè)施設(shè)計文本的檢查； ②人工檢查階段，將文本描述的體系結(jié)構(gòu)和設(shè)計與實際的結(jié)構(gòu)進行比較，找出差別； ③漏洞測試階段，包括網(wǎng)絡(luò)、平臺和應(yīng)用的漏洞測試，平臺掃描，應(yīng)用掃描； ④監(jiān)控和報警； ⑤安全體系結(jié)構(gòu)的處理過程。在此基礎(chǔ)上得出風險分析文本以及經(jīng)營業(yè)務(wù)影響分析。 ? 網(wǎng)絡(luò)安全評估的目標是保證所有可能影響網(wǎng)絡(luò)安全的利用是關(guān)閉的。評估的過程包括了解網(wǎng)絡(luò)的拓撲、獲取公共訪問機器的名字及其 IP地址、對全部可達主機做端口掃描的處理。 單擊此處編輯母版標題樣式 ? 單擊此處編輯母版副標題樣式 ? 根據(jù)計算機信息系統(tǒng)安全技術(shù)發(fā)展的要求，提出信息系統(tǒng)安全保護等級劃分和評估的基本準則?？尚庞嬎銠C系統(tǒng)評估準則（ TCSEC）是全世界第 1個計算機系統(tǒng)安全等級劃分的基本準則，又稱桔皮書。通用安全評估準則（ CC）是由西方 6國 7方聯(lián)合提出的作為評估 IT產(chǎn)品與系統(tǒng)的基礎(chǔ)的一個國際標準。計算機信息系統(tǒng)安全保護等級劃分準則 GB178591999是我國首次制定的為評價、開發(fā)、研究計算機及網(wǎng)絡(luò)系統(tǒng)的安全提供的指導(dǎo)準則。習題 單擊此處編輯母版標題樣式 ? 單擊此處編輯母版副標題樣式 ? 201 什么是風險管理？簡述風險評估的方法。 ? 202 安全成熟度模型的作用是什么？應(yīng)從哪些方面來分析？ ? 203 弄清楚威脅的來源是減少威脅得逞可能性的關(guān)鍵，哪些是主要的威脅源？ ? 204 什么是防止電子竊聽的保護措施？ ? 205 什么是導(dǎo)致不安全的最常見的軟件缺陷？ ? 206 簡述從安全成熟度模型 3個方面的安全評估階段。 習題 單擊此處編輯母版標題樣式 ? 單擊此處編輯母版副標題樣式 ? 靜夜四無鄰，荒居舊業(yè)貧。 , March 31, 2023 ? 雨中黃葉樹，燈下白頭人。 21:10:0321:10:0321:103/31/2023 9:10:03 PM ? 1以我獨沈久，愧君相見頻。 :10:0321:10Mar2331Mar23 ? 1故人江海別，幾度隔山川。 21:10:0321:10:0321:10Friday, March 31, 2023 ? 1乍見翻疑夢，相悲各問年。 :10:0321:10:03March 31, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國見青山。 2023年 3月 31日星期五 下午 9時 10分 3秒 21:10: ? 1比不了得就不比，得不到的就不要。 。 2023年 3月 下午 9時 10分 :10March 31, 2023 ? 1行動出成果，工作出財富。 2023年 3月 31日星期五 9時 10分 3秒 21:10:0331 March 2023 ? 1做前，能夠環(huán)視四周；做時，你只能或者最好沿著以腳為起點的射線向前。 下午 9時 10分 3秒 下午 9時 10分 21:10: ? 沒有失敗，只有暫時停止成功！。 , March 31, 2023 ? 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 21:10:0321:10:0321:103/31/2023 9:10:03 PM ? 1成功就是日復(fù)一日那一點點小小努力的積累。 :10:0321:10Mar2331Mar23 ? 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 21:10:0321:10:0321:10Friday, March 31, 2023 ? 1不知香積寺，數(shù)里入云峰。 :10:0321:10:03March 31, 2023 ? 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 31日星期五 下午 9時 10分 3秒 21:10: ? 1楚塞三湘接，荊門九派通。 。 2023年 3月 下午 9時 10分 :10March 31, 2023 ? 1少年十五二十時，步行奪得胡馬騎。 2023年 3月 31日星期五 9時 10分 3秒 21:10:0331 March 2023 ? 1空山新雨后，天氣晚來秋。 下午 9時 10分 3秒 下午 9時 10分 21:10: ? 楊柳散和風，青山澹吾慮。 , March 31, 2023 ? 閱讀一切好書如同和過去最杰出的人談話。 21:10:0321:10:0321:103/31/2023 9:10:03 PM ? 1越是沒有本領(lǐng)的就越加自命不凡。 :10:0321:10Mar2331Mar23 ? 1越是無能的人，越喜歡挑剔別人的錯兒。 21:10:0321:10:0321:10Friday, March 31, 2023 ? 1知人者智，自知者明。勝人者有力，自勝者強。 :10:0321:10:03March 31, 2023 ? 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 31日星期五 下午 9時 10分 3秒 21:10: ? 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。 2023年 3月 下午 9時 10分 :10March 31, 2023 ? 1業(yè)余生活要有意義，不要越軌。 2023年 3月 31日星期五 9時 10分 3秒 21:10:0331 March 2023 ? 1一個人即使已登上頂峰，也仍要自強不息。 下午 9時 10分 3秒 下午 9時 10分 21:10: MOMODA POWERPOINT Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus. 感 謝 您 的 下 載 觀 看 專家告訴