在tcsec中的研究中心是tcb�����,而在itsec、cc和iso/iec 15408信息技術(shù)安全評(píng)估準(zhǔn)則中討論的是toe(target of evaluation,評(píng)估對(duì)象)����。iso/iec 15408評(píng)估準(zhǔn)則中討論的是toe的安全功能(toe security function,縮寫(xiě)為tsf)��,是安全的核心��,類(lèi)似tcsec的tcb����。tsf安全功能執(zhí)行的是toe的安全策略(toe security policy,縮寫(xiě)為tsp)��。tsp是由多個(gè)安全功能策略(security function policies ����,縮寫(xiě)為sfps)所組成,而每一個(gè)sfp是由安全功能(sf)實(shí)現(xiàn)的�。實(shí)現(xiàn)tsf的機(jī)制與tcsec的相同,即“引用監(jiān)控器”和其它安全功能實(shí)現(xiàn)機(jī)制�。
1. iso/iec 15408測(cè)評(píng)準(zhǔn)則符合pdr模型
iso/iec 15408測(cè)評(píng)準(zhǔn)則是與pdr(防護(hù)���、檢聽(tīng)��、反應(yīng))模型和現(xiàn)代動(dòng)態(tài)安全概念相符合的�。強(qiáng)調(diào)安全的設(shè)、威脅的��、安全策略等安全需求的針對(duì)性��。這種需求包括安全功能需求����、安全認(rèn)證咨詢(xún)需求和安全環(huán)境等。
2. iso/iec 15408測(cè)評(píng)準(zhǔn)則是面向整個(gè)信息iso三體系認(rèn)證生存期的
即面向安全需求���、iso認(rèn)證�、實(shí)現(xiàn)��、測(cè)試���、管理和維護(hù)全過(guò)程�����。強(qiáng)調(diào)iso三體系認(rèn)證需求和開(kāi)發(fā)階段對(duì)iso三體系認(rèn)證安全的重要作用���。同時(shí)明確了安全開(kāi)發(fā)環(huán)境與操作環(huán)境的關(guān)系�,重視iso三體系認(rèn)證開(kāi)發(fā)和操作兩個(gè)環(huán)境對(duì)安全的影響����。只有這種測(cè)評(píng)而不是僅僅安全特性的測(cè)評(píng)可以提高和規(guī)范信息安全產(chǎn)業(yè)素質(zhì)與質(zhì)量。
3. iso/iec 15408測(cè)評(píng)準(zhǔn)則不僅考慮了保密性����,而且還考慮了完整性和可用性多方面的安全特性
它比tcsec擴(kuò)展了許多當(dāng)代it發(fā)展的安全技術(shù)功能,應(yīng)用范圍和適應(yīng)性很強(qiáng)�。iso/iec 15408測(cè)評(píng)準(zhǔn)則全面定義了安全屬性:用戶(hù)屬性、客體屬性���、主體屬性和信息屬性����。特別強(qiáng)調(diào)把用戶(hù)屬性和主體屬性分開(kāi)定義(在tcsec中主體包含用戶(hù))����,為了解決強(qiáng)制訪問(wèn)控制,在屬性類(lèi)型中定義了有序關(guān)系的安全屬性����。為了解決數(shù)據(jù)交換的安全,明確要求輸出/輸入劃分帶安全屬性和不帶安全屬性?xún)煞N形式�,強(qiáng)調(diào)了網(wǎng)絡(luò)安全中抗抵賴(lài)的安全要求,區(qū)分用戶(hù)數(shù)據(jù)和系統(tǒng)資源的防護(hù)����,突出了必要的檢測(cè)和監(jiān)控安全要求,強(qiáng)調(diào)了安全管理的重要作用����。對(duì)可信恢復(fù)和可信備份、操作重演都有安全要求�,定義了加密支持的安全要求,考慮到用戶(hù)的隱私的適當(dāng)權(quán)力����,討論了某些故障、錯(cuò)誤和異常的安全防護(hù)問(wèn)題�。
4. iso/iec 15408測(cè)評(píng)準(zhǔn)則有與之配套的安全測(cè)評(píng)方法(cem)和信息安全標(biāo)準(zhǔn)(pp標(biāo)準(zhǔn))
測(cè)評(píng)工作不僅定性而且定量,準(zhǔn)則的規(guī)范性大大提高���,有較強(qiáng)的可操作性��。為測(cè)評(píng)工作現(xiàn)代化和發(fā)展提供了基礎(chǔ)����。測(cè)評(píng)種類(lèi)劃分成:安全防護(hù)結(jié)構(gòu)(pp)����、安全目標(biāo)(st)和認(rèn)證咨詢(xún)級(jí)別(eal)測(cè)評(píng)���。
