一、信息技术安全评估通用准则(CC)的主要特征(论文文献综述)
王宇航,郭涛,张潇丹,孟丹,韩冀中,周熙[1](2022)在《互联网信息服务内容安全要求及评估框架研究》文中进行了进一步梳理互联网的飞速发展带来信息内容的爆炸式增长,对互联网信息安全特别是信息内容安全治理提出了更高挑战。互联网新技术、新应用的发展深刻改变了互联网信息的传播方式,在极大推动数字信息增长和全球化一体化发展的同时,也为各种错误的、歪曲的、低俗的、与社会主流价值观相违背的有害信息提供孕育、发酵、传播和驻留的温床。目前,国内外信息技术/产品、信息系统的安全要求和评估方法,已形成了较为成熟的体系。但是,已有信息安全风险评估模型和评估指标体系很少涉及信息内容安全,专门针对互联网信息内容安全的通用要求和评估体系的研究在全球范围内尚为空白。本文在总结分析国内外已有成熟的信息安全评估标准基础上,从信息论角度对信息空间进行了分层,提出信息技术/产品安全、信息系统安全、信息服务安全三个层次的网络空间安全体系,主要借鉴信息技术安全评估通用准则(ISO/IEC 15408)、信息系统安全保障评估框架(GB/T 20274)等标准设计思路,结合我国互联网信息服务特点、安全现状及发展趋势,深入分析了信息内容安全风险要素之间的关系,提出一套以互联网信息服务为评估对象的安全评估通用要求模型及评估框架。上述模型框架具有良好的可扩展性,可面向不同形式的信息服务编制保护轮廓和安全目标并实施安全评估,为互联网新兴技术应用的安全发展需要和监督管理需求提供了良好的技术基础支撑。相关成果编制为国家推荐性标准,具有一定的先进性和可操作性。
王志伟[2](2020)在《区块链信息服务安全评估研究》文中指出基于区块链技术的信息服务具备突出的可信与共享特性,正快速在数字金融、电子存证等领域形成增值应用。但是,无授信的区块链信息服务不能自证信息的真实合法,区块链信息记录的不可逆特性和节点信息的快速同步存储特性增加了监管难度,非法无序的区块链信息服务将成为网络空间安全隐患。2019年,国家互联网信息办公室颁布了《区块链信息服务管理规定》,对区块链信息服务提供者、监管者以及信息服务内容、安全评估要求等进行了全面规定。同时,由于区块链信息服务正处于起步阶段,当前对区块链信息服务安全管理的研究较少,现有研究主要集中在风险分析、政策探讨等层面,尚未形成有效、一致的安全管控和评价机制。因此,有必要采用标准化方法预先对区块链信息服务的安全性进行评估,以保证区块链技术应用的生命力。目前,对于区块链信息服务的信息内容安全评估方法尚属空白。针对这一问题,本文借鉴标准化研究方法,围绕区块链信息服务所面临的信息内容安全问题、安全目标和安全需求进行了整体分析,论证并确定了以基于联盟链的信息服务应用作为现阶段区块链信息服务安全评估目标,提出了一种区块链信息服务安全评估模型和配套的适应性评估指标体系。在此基础上,本文对评估指标体系中的安全功能和安全保障要求进行了细化设计,并基于所提出的评估模型和指标体系对某区块链电子发票平台应用进行了模拟评估实验。本文的主要创新点在于将信息安全领域的评估标准和方法,拓展到区块链信息服务领域,面向信息内容安全评估需求,以信息生命周期为主视角设计了安全评估模型,并对该模型下的主要安全问题、安全要求以及评估指标体系进行了详细设计。由于区块链技术及区块链信息服务发展迅速,相关管理需求复杂,本文研究期望能为区块链信息服务安全建设和安全评估提供启发式思路。
刘婧璇,韩佳琳[3](2020)在《5G网络设备安全评测体系分析》文中认为随着5G商用化进程加速,5G安全问题已成为国际关注焦点,运营商在部署5G网络设备时,确保设备安全性符合要求至关重要。分析了构建5G网络设备安全评测体系的意义,介绍了两个国际设备安全评测方法的基本情况,分别是通用准则(Common Criteria,CC)和网络设备安全保证计划(Network Equipment Security Assurance Scheme,NESAS),并对推动我国5G网络设备安全评测工作提出了建议。
席岩,陈百顺,安焘[4](2019)在《基于信息安全通用准则的DRM安全保护轮廓研究报告》文中指出本文基于ChinaDRM安全技术要求,介绍了国际、国内CC演进和典型行业应用情况,论述了CC和PP规范体系对行业发展的重要指导意义,最后提出了适合广电行业特点的PP,供广电行业制定相关标准参考。
董贞良[5](2018)在《产品测评通用准则(CC)相关标准介绍》文中研究指明1发展过程通用准则(Common Criteria,CC)是国际上通用的IT产品安全测评标准,最早来源于TCSEC(Trusted Computer System Evaluation Criteria)。TCSEC常被称为"橘皮书"或DoDD 5200.28-STD,1985年,作为彩虹系列(Rainbow Series)出版物的一部分,以美国国防部(Department of Defense,DoD)标准的形式发布。ITSEC(Information Technology Security
谢宗晓,李宽[6](2018)在《通用准则(CC)与信息安全管理体系(ISMS)的比较分析》文中指出本文从CC和ISMS的发展过程、现状、应用的风险模型以及框架设计四个方面进行了比较。
何凡[7](2013)在《可信计算支撑软件的分析与测试研究》文中提出二十一世纪开启了一个全新的信息时代。随着计算机应用的普及和网络技术的飞速发展,人们享受便捷的信息化生活。同时计算机病毒、恶意代码和信息窃取也层出不穷,这给信息安全带来了极大的挑战。信息安全问题的根本原因是终端平台的安全性得不到保障。要解决终端的安全问题,必须从计算机硬件和软件多方面采取安全措施。当前可信计算成为了计算机安全领域内发展热点之一,可信计算平台得到日益广泛的使用,这将极大地增强信息系统的安全性。同时,必须对可信计算平台进行测评,否则就不能保证可信计算产品的质量,也就不能确保信息系统的安全。可信计算支撑软件在可信计算平台中为应用程序提供访问可信平台模块(Trusted Platform Module,TPM)的接口,是可信计算平台体系中必不可少的组成部分。对可信计算支撑软件开展分析与测试工作是可信平台测评工作中重要的组成部分,本文着重研究了如何确定可信计算支撑软件的安全功能需求,并分析与安全功能需求相关安全功能函数间的调用关系是否符合可信计算规范,通过完整路径遍历的测试方法对可信计算支撑软件进行功能一致性测试,最后提出一种新的可信计算支撑软件的实现方案。本文的研究大致分为以下四个方面:本文第一部分的工作是关于可信计算支撑软件安全功能需求的研究。对可信计算支撑软件进行分析和测试,需要有一个参照的标准,现有的可信计算规范更多的是定义了功能接口,对可信计算支撑软件要达到的安全需求没有明确描述。针对此问题,本文借鉴通用准则的思想,分析了可信计算支撑软件的安全功能需求,并对安全功能进行了划分,为后续的分析与测试提供依据。第二部分的工作是对可信计算支撑软件的静态分析。基于模型检测理论提出了一种可信计算支撑软件的分析方法,使用计算树逻辑对可信计算支撑软件的函数调用进行抽象描述。通过模型检测方法验证可信计算支撑软件函数的接口调用是否符合规范,从而确定平台中可信计算支撑软件在接口调用层面的正确性。分析结果表明,部分可信计算支撑软件的接口调用不完全符合TCG(Trusted Computing Group)的规范要求。第三部分的工作是对可信计算支撑软件的功能一致性测试工作。提出了面向路径测试的完整路径遍历算法,利用递归的方法从源节点到汇节点进行遍历,直到遍历生成程序的所有完整路径。通过运用反射机制实现测试用例的动态执行。实验结果表明:部分可信计算支撑软件的功能函数并不能完全符合可信规范的要求,并且若干功能函数中存在一些安全漏洞。第四部分工作是,在分析现有的可信计算规范基础上,并根据安全功能划分,结合实际应用需求抽取基本安全功能集,提出一种可信计算支撑软件的设计方案,并实现可信计算支撑软件的子集原型,该软件可以为最新的TPM2.0提供相关的调用支持,能够对我国的国密算法SM4提供调用支持。
逄淑宁,封莎[8](2011)在《信息技术安全评估通用准则CC综述》文中提出从CC标准自身情况、开发和维护CC的机构组织以及CC测评认证体系等几方面进行详细描述和分析,为我国的信息技术产品测评提供参考。
吴峰[9](2006)在《CA安全的通用性评估模型及应用研究》文中提出信息技术的不断发展已经越来越深入地影响到我国社会发展,与此同时,信息安全作为一个不能回避的问题摆在人们的面前,CA(Certificate Authority)安全认证技术的产生和发展对基于网络安全和数据库存取控制等都产生了无法替代的影响。安全认证数字证书是公开发放密钥的有效机制。CA安全认证中心作为被信任的第三方,它通过确认用户的密钥和用户的名称,生成该用户的数字证书将用户主体和密钥绑定在一起,并在用户使用数字证书的过程中维持这种绑定,实现了使用人对身份验证、不可抵赖性及加密等信息安全功能的需求。 安全性通用评估准则着重于信息产品的安全性方面,被大多数人接受或认可的一种标准。本文主要研究如何为CA认证中心建立一个基于安全性通用评估准则的科学、较为完整的安全通用评估模型,并且如何用该评估模型对安徽银监局的CA认证中心进行安全性评估和提出安全性评估的建议。本文首先以信息安全角度的要求作为切入点,在对信息安全及其需求作简单介绍的基础上,介绍了安全评估体系的发展及现状,并提出了本文所要研究的内容及其意义。接着引入了信息技术安全性评估通用准则CC的概念,并介绍CC的组成结构、一般模型和要求。然后本文介绍了数字证书的概念,并相应地对公钥基础设施PKI进行了介绍。在以上的基础上,接下来介绍了论文中所要提出的安全性评估模型;最后,本文结合所提出的模型分析了当前安徽银监局CA系统的实际情况,并对该系统的安全性进行了评估并提出了相应的安全性建议。
束红[10](2006)在《基于CC的网站安全风险评估方法与实施》文中认为随着Internet的发展,网站安全问题日益严重,引起了全社会的广泛关注,而网站安全风险评估则在网站安全建设过程中具有重要的地位。本文首先介绍了网站安全的定义、目标和国内外风险评估的研究现状;然后对信息安全风险评估的基本概念和理论进行了阐述,同时简要介绍了国际风险评估标准的发展现状,并详细阐述了通用准则CC(Common Criteria),在将CC和其他风险评估标准进行比较分析的基础上,发现CC标准可以根据具体的系统作定制开发,比较适合网站风险评估;接下来,本文结合CC标准下制定的Web Server Protection Profile,分析了Web网站的安全需求;随后,本文通过借鉴相关的风险评估标准和模型,以及CC的Web Server Protection Profile,提出网站风险评估模型,确定网站的资产、威胁和脆弱性的识别方法和评价准则,并构造出半定量的风险分析方法,最终制定风险等级判定准则;最后,通过一个实例来验证本文所提出的基于模型的半定量风险分析方法的实用性。通过实例证实该方法能够反映网站实际存在的可能风险及其相对危害程度,对于网站安全建设具有一定参考价值。
二、信息技术安全评估通用准则(CC)的主要特征(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、信息技术安全评估通用准则(CC)的主要特征(论文提纲范文)
(1)互联网信息服务内容安全要求及评估框架研究(论文提纲范文)
| 1 引言 |
| 2 信息安全评估概述 |
| 2.1 网络空间安全与信息安全 |
| 2.2 信息技术/产品安全评估 |
| 2.3 信息系统安全评估 |
| 3 信息内容安全评估 |
| 3.1 信息内容安全 |
| 3.2 信息内容安全评估 |
| 4 互联网信息服务内容安全要求 |
| 4.1 模型概述 |
| 4.2 安全组件 |
| 4.3 安全等级分级 |
| 4.4 一致性分析 |
| 4.5 安全评估流程 |
| 4.6 安全评估案例分析 |
| 5 总结 |
(2)区块链信息服务安全评估研究(论文提纲范文)
| 摘要 |
| abstract |
| 第1章 绪论 |
| 1.1 研究背景及意义 |
| 1.1.1 研究背景 |
| 1.1.2 研究意义 |
| 1.2 国内外研究综述 |
| 1.2.1 国外研究综述 |
| 1.2.2 国内研究综述 |
| 1.3 研究内容及结构安排 |
| 1.4 研究目标与创新点 |
| 第2章 区块链相关技术与安全问题分析 |
| 2.1 区块链定义及发展现状 |
| 2.2 区块链体系架构和关键技术 |
| 2.2.1 区块链体系架构 |
| 2.2.2 区块链的关键技术 |
| 2.3 区块链技术的安全风险和安全策略 |
| 2.3.1 区块链技术的安全风险 |
| 2.3.2 区块链现有安全策略 |
| 2.4 区块链信息服务安全问题分析 |
| 2.5 本章小结 |
| 第3章 信息服务安全评估需求及通用方法 |
| 3.1 网络信息服务安全评估需求 |
| 3.1.1 网络空间安全背景 |
| 3.1.2 信息内容安全评估需求 |
| 3.2 信息安全评估标准简介 |
| 3.2.1 通用准则(CC) |
| 3.2.2 国内信息技术安全性评估系列标准 |
| 3.2.3 安全评估的一般流程 |
| 3.3 本章小结 |
| 第4章 区块链信息服务安全评估模型 |
| 4.1 评估目标概述 |
| 4.1.1 区块链主要类型分析 |
| 4.1.2 TOE定义及保护资产 |
| 4.2 TOE安全问题分析 |
| 4.2.1 主要安全威胁 |
| 4.2.2 组织安全策略 |
| 4.3 区块链信息服务安全模型和安全要求 |
| 4.3.1 信息生命周期视角下的安全目标 |
| 4.3.2 区块链信息服务安全模型 |
| 4.3.3 区块链信息服务安全要求 |
| 4.4 本章小结 |
| 第5章 区块链信息服务安全评估指标体系 |
| 5.1 指标总体描述 |
| 5.2 区块链信息服务安全功能指标 |
| 5.2.1 信息生成 |
| 5.2.2 信息处理 |
| 5.2.3 信息发布 |
| 5.2.4 信息传播 |
| 5.2.5 信息存储 |
| 5.2.6 信息销毁 |
| 5.3 区块链信息服务安全保障指标 |
| 5.3.1 信息生成 |
| 5.3.2 信息处理 |
| 5.3.3 信息发布 |
| 5.3.4 信息传播 |
| 5.3.5 信息存储 |
| 5.3.6 信息销毁 |
| 5.4 区块链信息服务安全评估指标分级 |
| 5.5 本章小结 |
| 第6章 区块链信息服务安全评估实验 |
| 6.1 安全评估流程和方法 |
| 6.1.1 确定评估对象 |
| 6.1.2 确定评估级 |
| 6.1.3 定制评估指标 |
| 6.1.4 实施安全评估 |
| 6.2 安全评估结果 |
| 6.2.1 评估结果信息概览 |
| 6.2.2 评估结果分析 |
| 6.2.3 评估结论 |
| 6.3 本章小结 |
| 结语 |
| 参考文献 |
| 致谢 |
(3)5G网络设备安全评测体系分析(论文提纲范文)
| 1 引言 |
| 2 国际设备安全评测方法介绍 |
| 2.1 CC |
| (1)CC的发展历程 |
| (2)CC的主要内容 |
| (3)评价与分析 |
| 2.2 NESAS |
| (1)NESAS的发展背景 |
| (2)NESAS的主要内容 |
| (3)评价与分析 |
| 3 我国5G网络设备安全评测体系的构建 |
(4)基于信息安全通用准则的DRM安全保护轮廓研究报告(论文提纲范文)
| 1 背景与需求 |
| 2 信息技术安全性评估通用准则 |
| 3 国内外CC应用情况 |
| 3.1 CC在金融行业应用 |
| 3.2 通信行业 |
| 3.2.1 物联网安全应用 |
| 3.2.2 TEE可信执行环境 |
| 4 基于CC的DRM安全保护轮廓研究 |
| 4.1 研究思路 |
| 4.1.1 PP开发过程 |
| 4.1.2 PP来源说明 |
| 4.1.3 PP主要内容 |
| 4.2 DRM服务端安全保护轮廓 |
| 4.2.1 安全技术要求 |
| 4.2.2 安全保障要求 |
| 4.3 DRM客户端安全保护轮廓 |
| 4.4 需保护核心资产 |
| 4.5 PP安全要求 |
| 4.5.1 PP定义安全需求 |
| 4.5.2 平台方面安全需求 |
| 4.6 安全级别 |
| 4.7 安全测评 |
| 5 总结与展望 |
(5)产品测评通用准则(CC)相关标准介绍(论文提纲范文)
| 1 发展过程 |
| 2 相关国际标准的研发情况 |
| (1) ISO/IEC 18045:2008《信息技术安全技术IT安全评估方法》 |
| (2) ISO/IEC TR 15446:2017《信息技术安全技术保护轮廓和安全目标制定指南》 |
| (3) ISO/IEC 17825:2016《信息技术安全技术针对密码模块的非入侵攻击类的测试方法》 |
| (4) ISO/IEC 18367:2016《密码算法和安全机制符合性测试》 |
| (5) ISO/IEC TR 20004:2015《信息技术安全技术基于ISO/IEC 15408和ISO/IEC 18045细化软件漏洞分析》 |
| (6) ISO/IEC 19790:2012《信息技术安全技术密码模块的安全需求》 |
| (7) ISO/IEC 19896《IT安全技术信息安全测试员和评估人员的能力要求》 |
| (8) ISO/IEC 19989《生物特征系统安全评价的标准和方法》 |
| 3 相关国家标准的介绍 |
| (1) GB/T 18336.1—2015《信息技术安全技术信息技术安全评估准则第1部分:简介和一般模型》 |
| (2) GB/T 18336.2—2015《信息技术安全技术信息技术安全评估准则第2部分:安全功能组件》 |
| (3) GB/T 18336.3—2015《信息技术安全技术信息技术安全评估准则第3部分:安全保障组件》 |
| (4) GB/T 30270—2013《信息技术安全技术信息技术安全性评估方法》 |
| (5) GB/Z 20283—2006《信息安全技术保护轮廓和安全目标的产生指南》 |
| 4 小结 |
(6)通用准则(CC)与信息安全管理体系(ISMS)的比较分析(论文提纲范文)
| 1 CC与ISMS的发展过程比较 |
| 2 CC与ISMS的现状比较 |
| 3 CC与ISMS的风险模型比较 |
| 4 CC与ISMS的框架设计比较 |
| 5 小结 |
(7)可信计算支撑软件的分析与测试研究(论文提纲范文)
| 摘要 |
| Abstract |
| 1 绪论 |
| 1.1 引言 |
| 1.2 可信计算的研究进展 |
| 1.2.1 信计算的起源 |
| 1.2.2 中国的可信计算发展 |
| 1.2.3 可信计算的相关概念 |
| 1.3 可信计算支撑软件 |
| 1.3.1 TCG的可信计算支撑软件 |
| 1.3.2 中国的可信计算支撑软件 |
| 1.4 选题背景及意义 |
| 1.4.1 背景 |
| 1.4.2 应用场景和意义 |
| 1.5 本文的组织结构 |
| 2 基于通用准则的安全功能需求分析 |
| 2.1 研究背景 |
| 2.1.1 信息安全评估准则的发展 |
| 2.1.2 通用准则的主要内容 |
| 2.1.3 通用准则的安全要素 |
| 2.1.4 通用准则的相关研究 |
| 2.1.5 软件需求的相关研究 |
| 2.2 可信支撑软件的安全需求分析 |
| 2.2.1 可信计算平台的安全功能与安全保证 |
| 2.2.2 可信计算支撑软件安全功能划分 |
| 2.3 本章小结 |
| 3 基于模型检测的软件分析 |
| 3.1 研究背景 |
| 3.1.1 软件静态分析相关研究 |
| 3.1.2 模型检测相关研究 |
| 3.2 计算树逻辑 |
| 3.3 NuSMV描述语言 |
| 3.4 可信计算支撑软件的分析 |
| 3.4.1 可信计算支撑软件分析框架 |
| 3.4.2 可信计算支撑软件的分析方法 |
| 3.5 实验结果 |
| 3.6 本章小结 |
| 4 面向路径覆盖的软件测试 |
| 4.1 研究背景 |
| 4.1.1 软件和软件测试的定义 |
| 4.1.2 软件测试的分类 |
| 4.2 程序图的构造 |
| 4.2.1 分支节点的分析及处理 |
| 4.2.2 三叉树数据结构 |
| 4.3 完整路径覆盖 |
| 4.3.1 完整路径的定义 |
| 4.3.2 完整路径的遍历算法 |
| 4.3.3 算法的比较 |
| 4.4 测试用例的动态执行 |
| 4.4.1 反射机制概述 |
| 4.4.2 基于反射机制的可信计算支撑软件测试 |
| 4.4.3 实验结果 |
| 4.5 本章小结 |
| 5 可信计算支撑软件的应用实现 |
| 5.1 研究背景 |
| 5.1.1 可信计算支撑软件的规范 |
| 5.1.2 可信计算支撑软件的产品 |
| 5.2 可信计算支撑软件安全机制 |
| 5.2.1 可信计算平台的模式 |
| 5.2.2 可信边界和私有边界 |
| 5.2.3 角色划分 |
| 5.2.4 密钥管理 |
| 5.2.5 授权机制增强 |
| 5.3 基本安全功能划分 |
| 5.4 应用实现 |
| 5.5 实验结果 |
| 5.6 本章小结 |
| 6 结束语 |
| 6.1 主要贡献 |
| 6.2 进一步工作 |
| 参考文献 |
| 附录A 缩略语汇编 |
| 攻读博士学位期间发表的论文和专利 |
| 攻读博士学位期间参与或主持的科研工作 |
| 致谢 |
(8)信息技术安全评估通用准则CC综述(论文提纲范文)
| 1 引言 |
| 2 CC的发展历程 |
| 3 CC的主要内容和特点 |
| (1) CC与CEM |
| (2) 内容结构 |
| (3) 适用范围和侧重点 |
| 4 CC的开发和维护 |
| (1) CCRA成员 |
| (2) CCRA组织架构 |
| (3) CCRA会议 |
| 5 CC认证体系结构 |
| 6 CC在我国的发展 |
| 7 对CC的思考 |
(9)CA安全的通用性评估模型及应用研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 引言 |
| 1.1 信息安全 |
| 1.2 信息安全通用评估准则的产生背景及发展 |
| 1.3 研究内容及意义 |
| 第二章 信息技术安全性评估通用准则 |
| 2.1 信息技术安全性评估通用准则 |
| 2.1.1 CC组成及安全要求描述 |
| 2.1.2 CC安全结构 |
| 2.1.3 安全功能要求和安全功能组件 |
| 2.1.4 安全保证要求 |
| 2.1.5 评估保证级别(EAL) |
| 2.1.6 保证维护 |
| 2.1.7 CEM |
| 2.2 CC的一般模型 |
| 2.2.1 安全环境 |
| 2.2.2 CC方法 |
| 2.2.3 安全概念 |
| 2.2.4 CC描述材料 |
| 2.2.5 安全要求的使用 |
| 2.2.6 安全要求的来源 |
| 2.2.7 评估类型 |
| 2.3 CC要求和评估结果 |
| 2.3.1 介绍 |
| 2.3.2 保护轮廓和安全目标的要求 |
| 2.3.3 TOE内的要求 |
| 2.3.4 评估结果的声明 |
| 2.3.5 TOE评估结果的应用 |
| 第三章 公钥基础设施PKI和证书授权中心-CA |
| 3.1 PKI的组成 |
| 3.1.1 端实体(End Entity) |
| 3.1.2 证书授权中心CA(Certification Authority) |
| 3.1.3 注册机构RA(Registration Authority) |
| 3.1.4 PKI Repository |
| 3.2 证书(CERTIFICATE) |
| 3.2.1 证书种类 |
| 3.2.2 X.509证书 |
| 3.3 证书授权中心CA的信任模型 |
| 3.4 基于PKI的服务 |
| 3.4.1 核心服务 |
| 3.4.2 附加服务 |
| 第四章 证书授权中心CA的安全性评估模型 |
| 4.1 证书授权中心CA提供的基本服务 |
| 4.1.1 核心服务 |
| 4.1.2 支持服务 |
| 4.2 应被评估的安全功能模型 |
| 4.2.1 身份鉴别和验证 |
| 4.2.2 访问控制 |
| 4.2.3 角色和优先权 |
| 4.2.4 审计 |
| 4.2.5 可信通讯路径 |
| 4.2.6 不可抵赖 |
| 4.2.7 数据完整性监视 |
| 4.2.8 加密操作 |
| 4.2.9 密钥存储和发布 |
| 4.2.10 安全功能保护和自动恢复 |
| 4.3 TOE基本安全框架 |
| 4.3.1 证书授权中心(CA) |
| 4.3.2 注册机构(RA) |
| 4.3.3 接口和加密算法 |
| 4.4 安全策略模型 |
| 4.4.1 RA安全策略 |
| 4.4.2 CA安全策略 |
| 4.5 威胁和安全目标 |
| 4.5.1 安全威胁 |
| 4.5.2 环境假定和独立性 |
| 4.5.3 IT安全目标 |
| 4.5.4 环境安全目标 |
| 4.6 安全功能要求和保证 |
| 4.6.1 安全功能要求 |
| 4.6.2 安全保证 |
| 4.6.3 保证要求基本原则 |
| 4.7 安全评估要求 |
| 4.7.1 要求一(FAU_GEN.1.l) |
| 4.7.2 要求二(FAU_GEN.1.2) |
| 第五章 安徽银监局电子CA安全认证系统 |
| 5.1 系统介绍 |
| 5.2 系统功能及算法实现 |
| 5.2.1 系统功能 |
| 5.2.2 算法实现 |
| 5.3 安全策略 |
| 5.3.1 鉴别机制 |
| 5.3.2 日志与审计 |
| 5.3.3 访问控制 |
| 5.3.4 密钥管理 |
| 5.4 脆弱性分析 |
| 5.4.1 操作系统的脆弱性 |
| 5.4.2 开发平台的脆弱性 |
| 5.4.3 应用软件的脆弱性 |
| 5.4.4 硬件系统的脆弱性分析 |
| 第七章 结束语 |
| 参考文献 |
| 致谢 |
(10)基于CC的网站安全风险评估方法与实施(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 网站安全与风险评估 |
| 1.1.1 网站安全概述 |
| 1.1.2 网站安全目标 |
| 1.1.3 网站安全风险评估概述 |
| 1.1.4 国内外风险评估研究现状 |
| 1.2 本文所做的工作 |
| 1.3 本文的组织结构 |
| 第二章 风险评估与通用准则CC |
| 2.1 风险评估概述 |
| 2.1.1 风险的理念 |
| 2.1.2 风险评估的相关概念 |
| 2.1.3 风险评估过程 |
| 2.2 通用准则CC |
| 2.2.1 通用准则CC 的发展历史 |
| 2.2.2 通用准则CC 的基本内容 |
| 2.2.3 通用准则CC 的框架结构 |
| 2.2.4 通用准则CC 的评估保证级 |
| 2.2.5 通用准则CC 与相关风险评估标准的比较 |
| 2.2.5.1 B57799 |
| 2.2.5.2 ISO13335 |
| 第三章 基于CC 的Web 网站的安全需求分析 |
| 3.1 Web Server Protection Profile 概述 |
| 3.2 Web 网站的安全环境和安全威胁 |
| 3.2.1 安全假设和安全环境威胁 |
| 3.2.2 TOE 引起的威胁 |
| 3.2.3 环境引起的威胁 |
| 3.3 安全目标 |
| 3.4 安全要求 |
| 3.4.1 安全功能要求 |
| 3.4.2 安全保证要求 |
| 第四章 网站风险评估方法研究 |
| 4.1 网站风险评估模型 |
| 4.2 网站风险分析方法选择 |
| 4.2.1 定性的风险分析 |
| 4.2.2 定量的风险分析 |
| 4.2.3 基于模型的半定量风险分析 |
| 4.3 网站风险评估过程 |
| 4.3.1 资产评估 |
| 4.3.1.1 资产识别 |
| 4.3.1.2 资产赋值标准 |
| 4.3.1.3 资产计算模型 |
| 4.3.2 威胁评估 |
| 4.3.2.1 威胁识别 |
| 4.3.2.2 威胁赋值标准 |
| 4.3.2.3 威胁计算模型 |
| 4.3.3 脆弱性评估 |
| 4.3.3.1 脆弱性识别 |
| 4.3.3.2 脆弱性赋值 |
| 4.3.3.3 脆弱性计算模型 |
| 4.3.4 风险确定 |
| 4.3.4.1 风险计算模型 |
| 4.3.4.2 风险等级和处置方法 |
| 第五章 实例 |
| 5.1 特征描述 |
| 5.1.1 网络拓扑结构 |
| 5.1.2 现行系统的安全策略 |
| 5.2 资产识别 |
| 5.2.1 资产定义 |
| 5.2.2 资产安全价值计算 |
| 5.3 威胁识别 |
| 5.3.1 威胁定义 |
| 5.3.2 威胁计算 |
| 5.4 脆弱性识别 |
| 5.4.1 测试结果分析 |
| 5.4.2 脆弱性定义 |
| 5.4.3 脆弱性计算 |
| 5.5 风险计算 |
| 5.5.1 数据库服务器 |
| 5.5.2 WWW 服务器 |
| 5.5.3 邮件服务器 |
| 5.5.4 OA 和防病毒服务器 |
| 5.6 风险等级 |
| 5.6.1 数据库服务器 |
| 5.6.2 WWW 服务器 |
| 5.6.3 邮件服务器 |
| 5.6.4 OA 和防病毒服务器 |
| 5.6.5 关键资产风险总值比较分析 |
| 第六章 结束语 |
| 参考文献 |
| 在读期间发表论文清单和参与项目说明 |
| 致谢 |
| 学位论文独创声明 |
| 学位论文知识产权权属声明 |
四、信息技术安全评估通用准则(CC)的主要特征(论文参考文献)
- [1]互联网信息服务内容安全要求及评估框架研究[J]. 王宇航,郭涛,张潇丹,孟丹,韩冀中,周熙. 信息安全学报, 2022
- [2]区块链信息服务安全评估研究[D]. 王志伟. 湖北大学, 2020(02)
- [3]5G网络设备安全评测体系分析[J]. 刘婧璇,韩佳琳. 信息通信技术与政策, 2020(02)
- [4]基于信息安全通用准则的DRM安全保护轮廓研究报告[J]. 席岩,陈百顺,安焘. 广播电视信息, 2019(S1)
- [5]产品测评通用准则(CC)相关标准介绍[J]. 董贞良. 中国质量与标准导报, 2018(11)
- [6]通用准则(CC)与信息安全管理体系(ISMS)的比较分析[J]. 谢宗晓,李宽. 中国质量与标准导报, 2018(07)
- [7]可信计算支撑软件的分析与测试研究[D]. 何凡. 武汉大学, 2013(01)
- [8]信息技术安全评估通用准则CC综述[J]. 逄淑宁,封莎. 电信网技术, 2011(08)
- [9]CA安全的通用性评估模型及应用研究[D]. 吴峰. 安徽大学, 2006(02)
- [10]基于CC的网站安全风险评估方法与实施[D]. 束红. 新疆大学, 2006(12)