28:(信息技术安全性评估准则)的优点和缺点都有哪些?
发布时间:2011年06月15日点击数:
作者:孙强、孟秀转 来源:ITGov中国IT治理研究中心
摘要:
评估结果最终是一个客观参考性的结果,是一个通过或者未通过的声明,但对企业的实际指导意义不是很强,因为企业的安全评估不是为了证书,而是需要有具体的改进方案。
评估结果最终是一个客观参考性的结果,是一个通过或者未通过的声明,但对企业的实际指导意义不是很强,因为企业的安全评估不是为了证书,而是需要有具体的改进方案。
CC(信息技术安全性评估准则)的优点和缺点都有哪些?
CC标准的优点在于:
提倡安全工程的思想,通过信息安全产品的评价,确保产品的安全性;
通过参数化,解决了安全特性在不同产品与系统之间存在的差异。
不再强调功能的级别,而是强调保证的级别,注重了非技术性因素的评价;
从两个侧面,即安全功能和安全保证方面,描述产品的安全模型,并覆盖了物理、网络、安全特性的三维安全框架结构的绝大部分内容;
将公认的安全需求制定成相应的标准文档,用户可以直接使用,利于标准的推广以及用户间的共享;
安全功能、安全保证及安全评价之间相互独立,安全功能需求定义了所期望的安全行为,安全保证需求是有效实施安全措施的基础,而安全评价则是测定安全功能需求与保证需求的可信程度。
CC的缺点在于:
只是制定了一个框架,定义了标准的主体,但缺少执行指南,可操作性不强,具体步骤还需要大量文档进行补充;
CC标准比较复杂,概念众多,标准文本晦涩难懂,这可能会在一定程度上制约该标准的推广和普及;
更适合与产品在市场推广之前的认证,产品经过安全性评价和可用性鉴定之后投入实际使用,所以适合于指导开发过程,而对已经使用的信息系统不太适用;
评估结果最终是一个客观参考性的结果,是一个通过或者未通过的声明,但对企业的实际指导意义不是很强,因为企业的安全评估不是为了证书,而是需要有具体的改进方案。
目前国际上基于CC标准评价的认证机构很少,且评估过程复杂,评估成本高,缺少灵活性与实用性。
推荐专题
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved