信息技术安全评估准则:源流、方法与实践

信息技术安全评估准则:源流、方法与实践

查阅电子书
手机扫码
  • 微信扫一扫

    关注微信公众号

因版权原因待上架

编辑推荐

解读新版GB/T 18336安全评估及应用过程中各用户角色介绍。

内容简介

对新版GB/T 18336安全评估基本概念、安全要求组件、安全评估方法学、安全评估技术进行解读,并分别针对通用准则的信息产品/IT系统提供商(开发者)、最终用户(消费者)、安全风险评估和测试人员(评估者)、安全认证管理等主要用户在通用准则应用过程中的保护轮廓编制、安全目标设计、评估对象安全评估、开发者证据准备和评估者相关测试技术进行介绍。

章节目录

封面页

书名页

版权页

内容简介

前言

目录

第1章 信息技术安全评估概述

1.1 信息安全基本概念

1.1.1 信息安全研究范围

1.1.2 信息安全基本属性

1.2 信息安全标准化状况

1.2.1 国际信息安全标准化

1.2.2 我国信息安全标准化

1.3 信息安全评估准则的发展

1.3.1 可信计算机系统评估准则

1.3.2 区域性的信息安全评估准则

1.3.3 通用评估准则及其发展历程

1.4 通用评估准则应用框架

1.4.1 CC用户和职责

1.4.2 CC互认协定

1.4.3 国家评估体制

1.5 本章小结

1.6 问题讨论

第2章 通用评估准则的基本模型和方法

2.1 CC的适用性

2.2 标准基本结构和概念

2.2.1 基本结构

2.2.2 基本概念

2.3 基本评估模型

2.3.1 资产及其安全

2.3.2 TOE评估

2.3.3 PP/ST/ACO评估

2.4 基本评估方法

2.4.1 开发者评估准备

2.4.2 评估者测评

2.5 本章小结

2.6 问题讨论

第3章 安全功能组件和安全保障组件

3.1 安全功能组件

3.1.1 功能组件结构

3.1.2 安全审计功能组件

3.1.3 通信功能组件

3.1.4 密码支持功能组件

3.1.5 用户数据保护功能组件

3.1.6 用户标识与鉴别功能组件

3.1.7 安全管理功能组件

3.1.8 隐私功能组件

3.1.9 TSF保护功能组件

3.1.10 资源利用功能组件

3.1.11 TOE访问功能组件

3.1.12 可信路径/信道功能组件

3.2 安全保障组件

3.2.1 保障组件结构

3.2.2 PP评估保障组件

3.2.3 ST评估保障组件

3.2.4 TOE评估保障组件

3.2.5 ACO评估保障组件

3.2.6 PP配置评估保障组件

3.2.7 预定义评估保障级别

3.2.8 预定义组合保障包

3.3 本章小结

3.4 问题讨论

第4章 保护轮廓及其编制方法

4.1 保护轮廓概述

4.2 保护轮廓结构

4.3 保护轮廓引言

4.3.1 PP标识

4.3.2 TOE概述

4.4 符合性声明

4.5 安全问题定义

4.5.1 假设

4.5.2 威胁

4.5.3 组织安全策略

4.6 安全目的

4.6.1  TOE安全目的

4.6.2 运行环境安全目的

4.6.3 安全目的原理

4.7 扩展组件定义

4.7.1 扩展功能组件定义

4.7.2 扩展保障组件定义

4.8 安全要求

4.8.1 安全功能要求

4.8.2 安全保障要求

4.8.3 安全要求原理

4.9 PP模块化管理

4.10 本章小结

4.11 问题讨论

第5章 安全目标及其编制方法

5.1 安全目标概述

5.2 安全目标结构

5.3 安全目标引言

5.3.1 ST标识

5.3.2 TOE功能概述

5.3.3 TOE描述

5.4 符合性声明

5.4.1 PP引用

5.4.2 PP裁剪

5.4.3 PP增加

5.4.4 符合性原理

5.5 安全问题定义

5.5.1 假设

5.5.2 威胁

5.5.3 组织安全策略

5.6 安全目的

5.6.1 TOE安全目的

5.6.2 运行环境安全目的

5.6.3 安全目的原理

5.7 扩展组件定义

5.8 安全要求

5.8.1 安全功能要求

5.8.2 安全保障要求

5.8.3 安全要求原理

5.9 TOE概要规范

5.9.1 TOE安全功能

5.9.2 TOE安全保障措施

5.9.3 TOE概要规范原理

5.10 本章小结

5.11 问题讨论

第6章 通用评估准则的具体评估流程和方法

6.1 评估方法概述

6.1.1 评估原则

6.1.2 评估角色与职责

6.1.3 评估依据与评估体制

6.2 评估流程和活动

6.2.1 评估基本流程

6.2.2 评估证据输入

6.2.3 TOE评估活动

6.2.4 评估结果输出

6.3 预定义保障包评估方法

6.3.1 功能测试评估

6.3.2 结构测试评估

6.3.3 系统地测试和检查

6.3.4 系统地设计、测试和复查

6.3.5 半形式化设计和测试

6.3.6 半形式化验证的设计和测试

6.3.7 形式化验证的设计和测试

6.4 PP/ST/TOE/组合TOE评估方法

6.4.1 PP评估

6.4.2 ST评估

6.4.3 TOE评估

6.4.4 组合TOE评估

6.5 本章小结

6.6 问题讨论

第7章 评估证据及其准备方法

7.1 评估证据概述

7.2 评估证据准备流程

7.2.1 评估前准备

7.2.2 启动评估项目

7.2.3 评估和反馈

7.2.4 认证和认可

7.3 评估证据编制要求

7.3.1 安全目标

7.3.2 开发类证据

7.3.3 指南类证据

7.3.4 生命周期类证据

7.3.5 测试类证据

7.3.6 脆弱性评定证据

7.4 本章小结

7.5 问题讨论

第8章 安全测试方法与技术

8.1 TOE安全测试方法

8.2 独立性测试方法

8.2.1 分析阶段

8.2.2 设计阶段

8.2.3 开发阶段

8.2.4 测试阶段

8.3 脆弱性评定方法

8.3.1 攻击潜力计算

8.3.2 脆弱性评定

8.3.3 安全性分析

8.4 穿透性测试技术

8.4.1 穿透性测试方法分类

8.4.2 常见穿透性测试技术

8.5 本章小结

8.6 问题讨论

附录A CCRA成员国列表

附录B 通用评估准则国际技术社区

附录C 通用评估准则的相关应用标准

参考文献

信息技术安全评估准则:源流、方法与实践是2020年由清华大学出版社出版,作者 石竑松。

得书感谢您对《信息技术安全评估准则:源流、方法与实践》关注和支持,如本书内容有不良信息或侵权等情形的,请联系本网站。

购买这本书

你可能喜欢
H5安全开发实践教程 电子书
本书为教育部信息化新核心课程(NCC)融媒体专业系列教材,从前端、通信及服务器端这3个方面对H5开发中的安全技术和技巧进行介绍。本书共3篇,第1篇主要介绍在H5应用前端开发中对用户输入信息进行验证的方法;第2篇主要介绍H5应用通信方面的安全防护技术;第3篇主要介绍H5应用服务器端的安全防护技术,并结合两个实例对H5应用的安全防护进行整体介绍。本书适合作为高校教材,供计算机、软件工程、信息安全、网络
信息技术导论 电子书
全书共分11章,在介绍信息科学基本理论形成的基础上,重点介绍了信息技术、应用及发展趋势。本书主要内容有信息技术与信息社会、计算机技术、软件技术、云计算与大数据、微电子与传感技术、通信与网络技术、物联网技术及应用、电子商务与电子政务、人工智能技术、自动化与智能控制、智能家居与智能汽车。本书内容丰富、由点到面、循序渐进,通过对信息技术的源流与演变、理论建立与转变进行较为全面的介绍,助读者拓展综合素质。
数据治理与数据安全 电子书
一本书讲清数据,推进数据开放共享与跨境流动战略,助力个人信息保护。
网络空间安全实践能力分级培养(I) 电子书
为应对当前网络空间安全人才培养的需求,根据学生的学习规律和认知过程,突破传统以理论课堂教学为主的学习方式,提炼总结网络空间安全实践知识和技能,采取分级模式设计教学内容,并以实战通关的方式进行课程考核,构建分级通关式综合实践培养课程体系。该体系根据不同级别学生所具备的能力基础,按“感知能力”“分析能力”“系统能力”“创新能力”4个方面分为四级,本书为第一级培养方案提供教学素材。本书的读者对象为高校网
独具匠心:做最小可行性产品(MVP)方法与实践 电子书
本书以“面向市场,以产品为中心”的产品管理理念及方法,试图帮助企业在日益激烈的市场竞争中,解决产品同质化严重的问题,提升产品核心竞争力。