【吃透网络安全】2023软考网络管理员考点网络安全(三)计算机系统安全评估

news2024/12/26 23:07:01

涉及知识点

计算机系统安全评估准则,计算机系统安全评估历史,软考网络管理员常考知识点,软考网络管理员网络安全,网络管理员考点汇总。

后面还有更多续篇希望大家能给个赞哈,这边提供个快捷入口!

第一节网络管理员考点网络安全(1)之安全基础
第二节网络管理员考点网络安全(2)之网络攻击篇
第三节网络管理员考点网络安全(3)之系统评估篇
第四节网络管理员考点网络安全(4)之防火墙篇
第五节网络管理员考点网络安全(5)之包过滤篇


文章目录

  • 涉及知识点
  • 前言
  • 可信计算机系统评估标准是什么?
  • 一、计算机系统安全评估准则综述
  • 二、可信计算机安全评估准则(TCSEC)
  • 三、我国计算机信息系统安全保护等级划分准则
    • (1)第一级:用户自主保护级(对应TCSEC的C1级)。
    • (2)第二级:系统审计保护级(对应TCSEC的C2级)。
    • (3)第三级:安全标记保护级(对应TCSEC的B1级)。
    • (4)第四级:结构化保护级(对应TCSEC的B2级)。
    • (5)第五级:访问验证保护级(对应TCSEC的B3级)。
  • 四、涨薪支持区
  • 总结


前言

更多续集可关注CSDN博主-《拄杖盲学轻声码》

随着安全意识越来越深入人心,不管是账户安全,还是支付安全都是人们所日益关心的点,另外针对很多企业估计更关心的是他们内部的计算机系统的安全,因而今天我特意和大家讲解一下有关可信计算机系统的评估。

可信计算机系统评估标准是什么?

当前,计算机网络系统和计算机信息系统的建设者、管理者和使用者都面临着一个共同的问题,就是他们建设、管理或使用的信息系统是否是安全的?如何评估系统的安全性?这就需要有一整套用于规范计算机信息系统安全建设和使用的标准和管理办法。

一、计算机系统安全评估准则综述

计算机系统安全评估准则是一种技术性法规。在信息安全这一特殊领域,如果没有这一标准,与此相关的立法、执法就会有失偏颇,最终会给国家的信息安全带来严重后果。由于信息安全产品和系统的安全评估事关国家的安全利益,因此许多国家都在充分借鉴国际标准的前提下,积极制订本国的计算机安全评估认证标准。
美国国防部早在80年代就针对国防部门的计算机安全保密开展了一系列有影响的工作,后来成立了所属的机构-国家计算机安全中心(NCSC)继续进行有关工作。1983年他们公布了可信计算机系统评估准则(TCSEC,TrustedComputerSystemEvaluationCriteria,俗称桔皮书),桔皮书中使用了可信计算机基础(TrustedComputingBase,TCB)这一概念,即计算机硬件与支持不可信应用及不可信用户的操作系统的组合体。在TCSEC的评估准则中,从B级开始就要求具有强制存取控制和形式化模型技术的应用。桔皮书论述的重点是通用的操作系统,为了使它的评判方法适用于网络,NCSC于1987年出版了一系列有关可信计算机数据库、可信计算机网络指南等(俗称彩虹系列)。该书从网络安全的角度出发,解释了准则中的观点,从用户登录、授权管理、访问控制、审计跟踪、隐通道分析、可信通道建立、安全检测、生命周期保障、文本写作、用户指南均提出了规范性要求,并根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安全级别,将计算机系统的可信程度划分为D1、C1、C2、B1、B2、B3和A1七个层次。
TCSEC带动了国际计算机安全的评估研究,90年代西欧四国(英、法、荷、德)联合提出了信息技术安全评估标准(ITSEC,InformationTechnologySystemEvaluationCriteria,又称欧洲白皮书),ITSEC除了借鉴TCSEC的成功经验外,首次提出了信息安全的保密性、完整性、可用性的概念,把可信计算机的概念提高到可信信息技术的高度上来认识。他们的工作成为欧共体信息安全计划的基础,并对国际信息安全的研究、实施带来深刻的影响。
ITSEC标准将安全概念分为功能与评估两部分。功能准则从F1F10共分10级。F1F5级对应于TCSEC的D到A.F6~F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。评估准则分为6级,分别是测试、配置控制和可控的分配、能访问详细设计和源码、详细的脆弱性分析、设计与源码明显对应以及设计与源码在形式上一致。
1993年,加拿大发布了"加拿大可信计算机产品评估准则"(CTCPEC,CanadaTrustedComputerProductEvaluationCriteria),CTCPEC综合了TCSEC和ITSEC两个准则的优点,专门针对政府需求而设计。与ITSEC类似,该标准将安全分为功能性需求和保证性需要两部分。功能性需求共划分为四大类:机密性、完整性、可用性和可控性。每种安全需求又可以分成很多小类,来表示安全性上的差别,级别为0~5级。
1993年同期,美国在对TCSEC进行修改补充并吸收ITSEC优点的基础上,发布了"信息技术安全评估联邦准则"(FC,FederalCriteria)。FC是对TCSEC的升级,并引入了"保护轮廓"(PP,ProtectProfile)的概念。每个轮廓都包括功能、开发保证和评价三部分。FC充分吸取了ITSEC和CTCPEC的优点,在美国的政府、民间和商业领域得到了广泛应用。
近年来,随着世界市场上对信息安全产品的需求迅速增长以及对系统安全的挑战不断加剧,六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)联合起来,在美国的TCSEC、欧洲的ITSEC、加拿大的CTCPEC、美国的FC等信息安全准则的基础上,提出了"信息技术安全评价通用准则(CC,TheCommonCriteriaforInformationTechnologySecurityEvaluation,)",它综合了过去信息安全的准则和标准,形成了一个更全面的框架。CC主要面向信息系统的用户、开发者和评估者,通过建立这样一个标准,使用户可以用它来确定对各种信息产品的信息安全要求,使开发者可以用它来描述其产品的安全特性,使评估者可以对产品安全性的可信度进行评估。不过,CC并不涉及管理细节和信息安全的具体实现、算法、评估方法等,也不作为安全协议、安全鉴定等,CC的目的是形成一个关于信息安全的单一国际标准,从而使信息安全产品的开发者和信息安全产品能在全世界范围内发展。总之,CC是安全准则的集合,也是构建安全要求的工具,对于信息系统的用户、开发者和评估者都有重要的意义。1996年6月,CC第一版发布;1998年5月,CC第二版发布;1999年10月CCv2.1版发布,并且成为ISO标准。CC的主要思想和框架都取自ITSEC和FC,并充分突出了"保护轮廓"概念。CC将评估过程划分为功能和保证两部分,评估等级分为eal1、eal2、eal3、eal4、eal5、eal6和eal7共七个等级。每一级均包括评估配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性等。
1999年5月,国际标准化组织和国际电联(ISO/IEC)通过了将CC作为国际标准ISO/IEC15408信息技术安全评估准则的最后文本。从TCSEC、ITSEC到ISO/IEC15408信息技术安全评估准则中可以看出,评估准则不仅评估产品本身,而且还评估开发过程和使用操作,强调安全的全过程性。ISO/IEC15408的出台,表明了安全技术的发展趋势。

二、可信计算机安全评估准则(TCSEC)

TCSEC将计算机系统的安全划分为4个等级、8个级别。
D类安全等级:D类安全等级只包括D1一个级别。D1是安全等级最低的一个级别。D1系统只为文件和用户提供安全保护。D1系统最普通的形式是本地操作系统,或者是一个完全没有保护的网络。
C类安全等级:该类安全等级能够提供审慎的保护,并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类。C1系统的可信任运算基础体制(TrustedComputingBase,TCB)通过将用户和数据分开来达到安全的目的。在C1系统中,所有的用户以同样的灵敏度来处理数据,即用户认为C1系统中的所有文档都具有相同的机密性。C2系统比C1系统加强了可调的审慎控制。在连接到网络上时,C2系统的用户分别对各自的行为负责。C2系统通过登陆过程、安全事件和资源隔离来增强这种控制。C2系统具有C1系统中所有的安全性特征。
B类安全等级:B类安全等级可分为B1、B2和B3三类。B类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连,系统就不会让用户存取对象。B1系统满足下列要求:系统对网络控制下的每个对象都进行灵敏度标记;系统使用灵敏度标记作为所有强迫访问控制的基础;系统在把导入的、非标记的对象放入系统前标记它们;灵敏度标记必须准确地表示其所联系的对象的安全级别;当系统管理员创建系统或者增加新的通信通道或I/O设备时,管理员必须指定每个通信通道和I/O设备是单级还是多级,并且管理员只能手工改变指定;单级设备并不保持传输信息的灵敏度级别;所有直接面向用户位置的输出(无论是虚拟的还是物理的)都必须产生标记来指示关于输出对象的灵敏度;系统必须使用用户的口令或证明来决定用户的安全访问级别;系统必须通过审计来记录未授权访问的企图。
B2系统必须满足B1系统的所有要求。另外,B2系统的管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制。B2系统必须满足下列要求:系统必须立即通知系统中的每一个用户所有与之相关网络连接的改变;只有用户才能在可信任通信路径中进行初始化通信;可信任运算基础体制能够支持独立的操作者和管理员。
B3系统必须符合B2系统的所有安全需求。B3系统具有很强的监视委托管理访问能力和抗干扰能力。B3系统必须设有安全管理员。B3系统应满足以下要求:除了控制对个别对象的访问外,B3必须产生一个可读的安全列表;每个被命名的对象提供对该对象没有访问权的用户列表说明;B3系统在进行任何操作前,都要求用户进行身份验证;B3系统验证每个用户,同时还会发送一个取消访问的审计跟踪消息;设计者必须正确区分可信任的通信路径和其他路径;可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪;可信任的运算基础体制支持独立的安全管理。
A类安全等级:A系统的安全级别最高。目前,A类安全等级只包含A1一个安全类别。A1类与B3类相似,对系统的结构和策略不作特别要求。A1系统的显着特征是,系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后,设计者必须运用核对技术来确保系统符合设计规范。A1系统必须满足下列要求:系统管理员必须从开发者那里接收到一个安全策略的正式模型;所有的安装操作都必须由系统管理员进行;系统管理员进行的每一步安装操作都必须有正式文档。

三、我国计算机信息系统安全保护等级划分准则

长期以来,我国一直十分重视信息安全保密工作,并从敏感性、特殊性和战略性的高度,自始至终将其置于国家的绝对领导之下,由国家密码管理部门、国家安全机关、公安机关和国家保密主管部门等分工协作,各司其职,形成了维护国家信息安全的管理体系。1999年2月9日,为更好地与国际接轨,经国家质量技术监督局批准,正式成立了"中国国家信息安全测评认证中心(CNISTEC,ChinaNationalInformationSecurityTestingEvaluationCertificationCenter)".1994年,国务院发布了《中华人民共和国计算机信息系统安全保护条例》,该条例是计算机信息系统安全保护的法律基础。其中第九条规定"计算机信息系统实行安全等级保护。安全等级的划分和安全等级的保护的具体办法,由公安部会同有关部门制定。"公安部在《条例》发布实施后组织制订了《计算机信息系统安全保护等级划分准则》(GB17859-1999),并于1999年9月13日由国家质量技术监督局审查通过并正式批准发布,已于2001年1月1日起执行。该准则的发布为我国计算机信息系统安全法规和配套标准制定的执法部门的监督检查提供了依据,为安全产品的研制提供了技术支持,为安全系统的建设和管理提供了技术指导,是我国计算机信息系统安全保护等级工作的基础。本标准规定了计算机系统安全保护能力的五个等级,即:

(1)第一级:用户自主保护级(对应TCSEC的C1级)。

本级的计算机信息系统可信计算基(trustedcomputingbase)通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏。

(2)第二级:系统审计保护级(对应TCSEC的C2级)。

与用户自主保护级相比,本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。

(3)第三级:安全标记保护级(对应TCSEC的B1级)。

本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力;消除通过测试发现的任何错误。

(4)第四级:结构化保护级(对应TCSEC的B2级)。

本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审。它加强了鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了配置管理控制。系统具有相当的抗渗透能力。

(5)第五级:访问验证保护级(对应TCSEC的B3级)。

本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的;必须足够小,能够分析和测试。为了满足访问监控器需求,计算机信息系统可信计算基在其构造时,排除那些对实施安全策略来说并非必要的代码;在设计和实现时,从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。系统具有很高的抗渗透能力

四、涨薪支持区

期待大家能通过这篇文章学到更多,而且薪资一年更比一年猛!
喜欢博主的话可以上榜一探究竟,博主专设涨薪皇榜给大家查阅,喜欢的可以点击此处查看哟。
在这里插入图片描述


总结

更多备考资料大家可以关注csdn博主-《拄杖盲学轻声码》

以上就是今天要讲的内容,本文主要介绍了备考软考网络管理员的常见知识点(3)计算机系统安全评估,有时候在历年的考试真题上也经常会刷到,所以可能也就是多看了这一个知识点才让你达到45分,也期待大家逢考必过哈,2023年一起加油!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/673004.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

二叉树题目:二叉树的后序遍历

文章目录 题目标题和出处难度题目描述要求示例数据范围进阶 解法一思路和算法代码复杂度分析 解法二思路和算法代码复杂度分析 解法三思路和算法代码复杂度分析 题目 标题和出处 标题:二叉树的后序遍历 出处:145. 二叉树的后序遍历 难度 3 级 题目…

沁恒CH32V103 边玩边学1-开发环境与GPIO项目

为什么选择这块板子? 它基于 RISC-V 架构,来看看 GPT 给出的介绍: RISC-V 是一种开源的指令集架构(ISA),与 x86 和 ARM 相似。它具有以下主要特点 • 简单 - RISC-V 采用精炼而简单的 RISC 指令设计,只有一些基本的常用指令。这使得 RISC-V…

CRM未来发展的6大方向

在数字化时代,几乎所有的企业都受到了数字化的洗礼,CRM作为企业数字化转型中的不可缺少的业务系统之一,也受到越来越企业的关注。 纵观CRM发展的趋势,当下CRM系统已经从早期的主要以记录&收集客户资料、管理销售的单点式管理延…

css基础知识四:说说设备像素、css像素、设备独立像素、dpr、ppi 之间的区别?

一、背景 在css中我们通常使用px作为单位,在PC浏览器中css的1个像素都是对应着电脑屏幕的1个物理像素 这会造成一种错觉,我们会认为css中的像素就是设备的物理像素 但实际情况却并非如此,css中的像素只是一个抽象的单位,在不同…

深入浅出Node.js中的node_modules

文章目录 1. 什么是node_modulesnode_modules是什么npm包管理器和node_modules的关系 2. 如何安装和使用node_modulesnpm安装和使用node_modules的基本命令package.json文件的作用和结构npm包版本号的含义及如何管理包版本 3. 如何发布自己的npm包npm包的结构和规范如何将自己的…

端午出行电脑没网怎么办?无线网卡解决网络问题

无线网卡是一种可以让电脑或其他设备通过无线信号连接网络的硬件设备,无线网卡有多种类型和接口,例如USB无线网卡,PCI-E无线网卡,PCMCIA无线网卡等。端午出行在即,不妨看看驱动人生准备的无线网卡攻略,让大…

什么是kafka,如何学习kafka,整合SpringBoot

目录 一、什么是Kafka,如何学习 二、如何整合SpringBoot 三、Kafka的优势 一、什么是Kafka,如何学习 Kafka是一种分布式的消息队列系统,它可以用于处理大量实时数据流。学习Kafka需要掌握如何安装、配置和运行Kafka集群,以及如…

Kubernetes设计架构

一:Kubernetes是什么 Kubernetes是容器集群管理系统,是一个开源的平台,可以实现容器集群的自动化部署、自动扩缩容、维护等功能 通过Kubernetes可以: 快速部署应用 快速扩展应用 无缝对接新的应用功能 节省资源,优化硬…

chatgpt赋能python:Python桌面软件的优势和发展

Python桌面软件的优势和发展 作为一种高级编程语言,Python已经在广大的程序员中得到了越来越广泛的应用,同时也成为了一种非常适合开发桌面软件的语言。下面,我们将重点介绍Python桌面软件的优势和发展。 Python桌面软件的优势 Python编程…

ubuntu18修改源

1. 查看当前系统的源 系统的源 2. 将sources.list备份,sources-bak.list是备份文件 3. 选择要换的源 # 默认注释了源码镜像以提高 apt update 速度,如有需要可自行取消注释 deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ jammy main restricted un…

js 获取数组(对象)中的最大和最小值

let arr:array [] // 取最大值:Math.max.apply(Math, arr.map(function(o) {return o.value})) // 取最小值:Math.min.apply(Math, arr.map(function(o) {return o.value}))var array[ { “index_id”: 111, “area_id”: “18335623”, “name”: “满…

Jenkins持续集成构建平台使用指南

目 录 目 录... 2 1、系统参数... 3 2、授权策略... 5 3、构建管理... 6 3.1 构建命名规范... 6 3.1.1 任务视图命名... 6 3.1.2 任务命名... 6 3.2 参数化构建... 7 3.2.1 构建参数列表... 7 3.2.1 常用的参数配置... 8 3.3 分布式构建... 9 3.3.1 slave节点配置..…

基于spss的多元统计分析 之 聚类分析+判别分析(3/8)

实验目的: 1. 掌握多元数据的相关性、正态性、可视化表征的基本原理; 2.熟悉掌握SPSS软件/R软件的基本用法和基本操作; 3.利用实验指导中及软件中内置的实例数据,上机熟悉相关性检验正态性检验可视化数据方…

Kafka如何实现精确一次语义

精确一次交付保证是关于消息传递最具争议性的话题之一,因此也是最复杂的任务之一。然而,几年前,Kafka团队宣布他们实现了这一目标,让我们深入研究一下他们的实现方式以及存在的限制。 首先,值得定义一下这些交付语义是…

CMake在Linux服务器上进行编译与安装

CMake在Linux服务器上进行编译与安装 文章目录 CMake在Linux服务器上进行编译与安装[TOC](文章目录) 一、VScode 远程服务器连接1.服务器容器实例创建2.vscode 远程扩展部分下载(SSH端) 二、编译安装(时间较长)1.克隆项目到本地仓库2.进入CMa…

软考A计划-系统集成项目管理工程师-面向对象系统分析与设计-上

点击跳转专栏>Unity3D特效百例点击跳转专栏>案例项目实战源码点击跳转专栏>游戏脚本-辅助自动化点击跳转专栏>Android控件全解手册点击跳转专栏>Scratch编程案例点击跳转>软考全系列 👉关于作者 专注于Android/Unity和各种游戏开发技巧&#xff…

spring cloud 5大组件

Spring Cloud 5大组件 服务发现——Netflix Eureka 客服端负载均衡——Netflix Ribbon 断路器——Netflix Hystrix 服务网关——Netflix Zuul 分布式配置——Spring Cloud Config 一、业务场景介绍 先来给大家说一个业务场景,假设咱们现在开发一个电商网站&…

看 AI 如何抢救破烂文档

一、什么是非结构化数据二、非结构化数据分析三、 文档图像分析与预处理 修正图形偏移消除摩尔纹四、消除反光 反光原理Python 消除图片反光方法五、 版面分析与文档还原 5.1 物理版面 & 逻辑版面5.2 版面元素检查5.3 文档还原5.4 文档还原的应用六、整体小结 一、什么是非…

chatgpt赋能python:Python查询网站的SEO技巧及注意事项

Python查询网站的SEO技巧及注意事项 搜索引擎优化(SEO)是所有网站的头等大事,而对于Python查询网站来说,它更是必不可少的。在这篇文章中,我们将介绍一些Python查询网站的SEO技巧及注意事项,以帮助您提高网…

Elasticsearch分词器

前奏 es的chinese、english、standard等分词器对中文分词十分不友好,几乎都是逐字分词,对英文分词比较友好。 在kibana的dev tools中测试分词: POST /_analyze {"analyzer": "standard","text": "你太…