CC与SSE-CMM的研究与比较

分别介绍CC和SSE-CMM的结构模型和特点,并对CC和SSE-CMM进行比较分析。分析指出:CC和SSE-CMM在针对的问题和具体目的、对用户的作用、安全工程过程中的关注点和评估级别反映的实质等方面均存在差异。

通用标准CC的研究与实现

随着计算机技术及Internet的不断发展,如何保证信息系统安全成为一个重要课题.针对这个问题,设计实现了基于信息技术安全性评估准则(通用标准)的系统评估方法和软件.首先在分析通用标准结构的基础上,设计了安全功能和保证要求的体系结构;接着针对保护轮廓和安全目标这两个通用标准的核心文档进行了分析与设计,并指出了文档结构中的内在联系;然后提出了针对标准结构和其内在关联应完成的评估要素;最后给出了评估系统的设计和实现.通过实际保护轮廓和软件产品的安全目标实例分析表明本文所提出的评估方法和系统能够指导信息系统的评估和实践.

信息安全国际标准CC的结构模型分析

一、引言 信息安全产品或系统(以下统称产品)安全性的衡量准则之一是安全评价标准.美、加、英、法、德、荷等国家联合推出的"信息技术安全评价共同标准”(简记CC)于一九九九年七月通过国际标准化组织认可,确立为信息安全评价国际标准.一直以来,作为第一个信息安全评价标准,美国国防部于一九八三年推出并于一九八五年修定的"可信计算机安全评价标准”(又称"橙皮书”)[1]在国际上起着很大的作用.CC标准确立后,美国不再受理以橙皮书为尺度的新的评价申请,今后的安全产品评价工作均按CC标准进行[2].

通用准则(CC)与信息安全管理体系(ISMS)的比较分析

本文从CC和ISMS的发展过程、现状、应用的风险模型以及框架设计四个方面进行了比较。

使用CC标准开发的高保证安全信息系统

通用标准(Common Criteria)提供了衡量系统安全性的流行准则。本文主要提出通过各类保证措施,如何构建符合CC标准的高保证安全信息系统。文中首先给出了CC的评估模型、评估过程和安全保证的具体要求。然后以开发安全审计系统为例,分析了系统安全功能和保证要求的产生、审计系统的实现框架以及为达到标准要求而在系统开发过程中使用的各种保证证据和保证措施。最后,又分析了审计系统对整个系统的性能影响因素,并提出了改进办法。本文通过深入剖析通用标准中各个保证要求的内涵,为开发具有高保证要求的信息系统提供了理论指导和实现方法。

CC标准框架下安全确信度的定量描述方法

结合安全操作系统的一个研究实验 ,对 CC标准框架下的安全产品开发过程进行了概括和抽象 ,借助主观逻辑 ,针对在 CC标准框架下建立的安全产品的安全确信度 。

通过CC标准的思想确定RS-Linux的安全可信度

以一个称为 RS- L inux的安全操作系统的研制工作为实验手段 ,对按照 CC标准的思想开发安全产品的方法进行研究 ,并以该项研究为基础 ,探讨从

基于CC安全保障要求的数据采集系统安全工程

探讨了一种基于保障范围的CC安全保障要求类层次结构,并阐述了各层次下CC安全保障要求在软件工程活动中的确立方法。在此基础上,以一个面向CC EAL3评估级的安全数据采集系统的开发活动为背景,阐述了一种结合实际软件工程活动的、基于CC安全保障类的安全工程方法。

遵循CC标准的安全操作系统安全管理框架

安全管理是安全操作系统的重要组成部分,如何依据新的国际信息安全评价标准——CC(Common Criteria)开发安全操作系统安全管理子系统是值得探讨的问题。该文介绍了符合CC标准EAL3级的“安全操作系统的安全管理框架”及其在红旗安全操作系统中的实施。

基于CC与SSE-CMM的高确信度信息安全系统的开发方法

尽管 CC 和 SSE-CMM 均可通过对信息安全产品或系统的开发、评价、使用过程等各个环节实施安全工程来确保产品或系统的安全确信度,但 CC 和 SSE-CMM 是两个不同的安全评估标准。文中分别介绍 CC 和 SSE-CMM 的结构模型和特点,并对 CC 和 SSE-CMM 进行比较分析。最后,针对 CC 与 SSE-CMM 具有互补性的特点,提出了将CC 与 SSE-CMM 结合起来开发高确信度信息安全产品或系统的开发方法。

毕达哥拉斯犹豫模糊集多属性决策研究

针对属性间相互关联,评价信息为毕达哥拉斯犹豫模糊信息的多属性决策问题,首先通过研究犹豫度对决策结果的影响,提出一种新的毕达哥拉斯犹豫模糊集得分函数,解决了现有得分函数中存在的不足。其次,提出一种最小公倍数规范化原则,解决了现有方法容易引入误差的缺陷。最后,针对属性关联的多属性决策问题,基于λ-模糊测度与Choquet积分,提出了一种拓展交互式多准则决策(interative multi-criteria decision-making,TODIM)方法,既解决了属性关联的问题,又通过前景理论反映了决策者的心理行为特征。实例分析与敏感性分析验证了所提算法的正确性与有效性。

基于CC的防火墙安全功能分析

防火墙是网络安全的核心手段。依据基于CC(Common Criteria)制订的国家标准———包过滤防火墙安全技术要求和应用级防火墙安全技术要求,提出每项安全功能要求对应的实际安全措施,并分析当前防火墙未实现的安全功能要求。

CCS技术应用的环境侵权责任问题研究

CCS技术通过捕获、运输和封存等技术手段,可以大规模地减少电厂及工业生产中CO2的排放量,是可以选择的减缓气候变化的有效措施。但其运行的各个阶段有可能对环境造成一定的影响,运输和储存中CO2的大量泄漏甚至会带来不可逆转的生态灾难。对CCS技术应用的环境侵权责任问题进行研究的目的是希望通过法律的调节,最大可能地降低CCS技术实施对环境的影响,以最低的社会成本实现CCS减缓气候变化的社会效用,这也是目前CCS相关法律问题中最复杂的方面。研究发现:在美国普通法中,法官需要平衡CCS减缓气候变化的公共利益以及由于CO2泄漏而遭受损失的当事人的个人利益。在中国现有法律体系内,如果CCS项目中CO2泄漏造成了环境污染,损害赔偿除去归责原则和举证责任的分配外,很多因素都充满变数、无法确定。一旦CO2泄漏事故发生,当事人通过侵权诉讼获得赔偿救济存在难度。

基于CC标准的物联网数据安全需求分析及应用研究

在物联网快速发展和应用的进程中,数据安全问题应作为首要问题加以重视。本文基于计算机安全评估标准-通用准则(Common Criteria,CC),探讨了物联网数据安全当前所面临的风险和威胁,制定了全面保障物联网数据安全必备的安全功能组件和安全保证组件。通过实例证实该方法能够反映物联网数据安全保障可能所需的产品功能,对物联网数据安全建设具有一定参考价值。

PLC设备的CC保护轮廓研究

针对可编程逻辑控制器(PLC)设备安全性评估的需求,在通用标准(CC)的基础上,对PLC保护轮廓(PP)进行研究,重点分析梳理PLC安全环境中存在的假设、威胁和组织安全策略,进而推导出其安全目的,最后提出对应的安全要求,用于PLC设备的安全性评估和开发。利用此PP,针对PLC的组态下装中仿冒身份的安全威胁,提出基于SM3算法的挑战-响应动态口令机制实现PLC与上位机的身份的验证。

CC标准新版本探究

介绍了信息技术安全通用评估准则CC,并对CC3.1版本的特点进行了分析总结,与2.3版本内容做了详细的对比阐述,分析了它们之间的不同点以及新版本对信息安全体系的影响,最后分析了CC未来的发展和变化趋势。

促进人民精神生活共同富裕的三维探赜

共同富裕作为社会主义的本质要求,是中国式现代化的重要特征,是物质生活和精神生活的双重富裕。人民精神生活共同富裕作为共同富裕的重要内容,具有理论、历史、实践三重生成逻辑;促进人的全面发展、实现人民幸福安康、构建社会主义和谐社会、建设社会主义文化强国是人民精神生活共同富裕的价值要求;促进人民精神生活共同富裕应以社会主义核心价值观为引领,从生产、实践、分配、协作四个方面健全实现机制。

通用准则评估综述

在介绍CC国内外发展现状的基础上,系统地分析了通用准则CC的基本概念、主要思想以及CC评估角色和类型等主要问题,并对CC评估配套方法——CEM及其评估流程进行了深入探讨,最后在总结CC评估现状的基础上,指出了CC评估所存在的问题及其未来的发展趋势。

安全评估标准综述

信息技术安全已越来越成为在制造商与产品或系统的购买者之外由中立的第三方来进行评估的主题,而这些评估的基础便是信息技术安全评估标准。论文给出对国内外安全评估标准发展情况的报告与分析,着重介绍国际标准CC与BS7799的特点、现状、应用及二者的区别,并就标准未来的发展趋势提出自己的观点。

信息安全评估标准、技术及其进展

介绍了信息安全评估标准的发展过程以及TCSEC、CC等具有较大影响的安全评估标准，对安全评估方法及实施模型进行了阐述，最后介绍了国外关于信息安全评估技术与方法的近期研究情况。