信息技术安全评估准则

作品简介

本书在概述信息技术（IT）安全评估准则发展过程、基本概念及评估模型基础上，对GB/T18336中预定义的安全功能和安全保障相关的类、族、组件和元素进行了剖析，并按照IT产品安全开发周期这一思路分别论述了标准用户如何采用保护轮廓（PP）结构规范地表达IT产品消费者的安全要求，IT产品开发者如何采用安全目标（ST）结构规范地描述IT产品的安全解决方案并准备相应的评估证据，在此基础上还论述了IT产品安全评估的基本流程，以及评估者如何基于信息技术安全评估准则采用合理的测试方法与技术对IT产品进行安全评估。为了增加可读性，本书列举了大量的实例以帮助读者理解GB/T18336标准的应用方法和技术。本书结合了编者在制定、修订GB/T18336及其相关国家标准和规范，以及从事IT产品安全测评时所获得的经验，阐述了GB/T18336不同用户角色在标准应用过程中的任务分工，给出了从事IT产品安全评估需要掌握的知识、方法和技术，对提升各类用户理解和运用GB/T18336标准有一定指导意义。信息技术安全评估准则是世界公认的信息安全领域的重要基础性标准。本书有助于高校网络空间安全、软件工程、信息系统等专业的本科生、研究生理解和掌握这一标准，可作为教材使用。

叶晓俊

男，清华大学教授。近五年作为负责人主持完成国家“核高基”科技重大计划、国家发改委信息安全专项、总装、总参等国家数据库测试和安全测试相关项目。目前作为项目负责人正承担国家网信办《大数据服务安全能力要求》国家推荐标准的制定工作。

近五年制定了《关系数据库管理系统技术要求》和《关系数据库检测规范》国家推荐性标准，并正在修订《数据库管理系统安全技术要求》和《数据库管理系统安全评估准则》两项国家推荐性标准。

研发的数据库功能自动化测试工具和性能基准测试工具多次应用在国家“863”计划软件重大专项和国家“核高基”科技重大专项的“以测代评”和“以测助评”等实际项目，获得科技部、工信部、国内权威测评机构和相关领域专家的好评；研发的主流数据库安全特性检查专用工具已经装配到“国家风险评估测控队伍”的工具箱中，在国家重要信息系统、重大工程的安全评估中得到实际应用验证。

作品目录

• 内容简介
• 序
• 前言
• 第1章　信息技术安全评估概述
• 1.1　信息安全基本概念
• 1.2　信息安全标准化状况
• 1.3　信息安全评估准则的发展
• 1.4　通用评估准则应用框架
• 1.5　本章小结
• 1.6　问题讨论
• 第2章　通用评估准则的基本模型和方法
• 2.1　CC的适用性
• 2.2　标准基本结构和概念
• 2.3　基本评估模型
• 2.4　基本评估方法
• 2.5　本章小结
• 2.6　问题讨论
• 第3章　安全功能组件和安全保障组件
• 3.1　安全功能组件
• 3.2　安全保障组件
• 3.3　本章小结
• 3.4　问题讨论
• 第4章　保护轮廓及其编制方法
• 4.1　保护轮廓概述
• 4.2　保护轮廓结构
• 4.3　保护轮廓引言
• 4.4　符合性声明
• 4.5　安全问题定义
• 4.6　安全目的
• 4.7　扩展组件定义
• 4.8　安全要求
• 4.9　PP模块化管理
• 4.10　本章小结
• 4.11　问题讨论
• 第5章　安全目标及其编制方法
• 5.1　安全目标概述
• 5.2　安全目标结构
• 5.3　安全目标引言
• 5.4　符合性声明
• 5.5　安全问题定义
• 5.6　安全目的
• 5.7　扩展组件定义
• 5.8　安全要求
• 5.9　TOE概要规范
• 5.10　本章小结
• 5.11　问题讨论
• 第6章　通用评估准则的具体评估流程和方法
• 6.1　评估方法概述
• 6.2　评估流程和活动
• 6.3　预定义保障包评估方法
• 6.4　PP/ST/TOE/组合TOE评估方法
• 6.5　本章小结
• 6.6　问题讨论
• 第7章　评估证据及其准备方法
• 7.1　评估证据概述
• 7.2　评估证据准备流程
• 7.3　评估证据编制要求
• 7.4　本章小结
• 7.5　问题讨论
• 第8章　安全测试方法与技术
• 8.1　TOE安全测试方法
• 8.2　独立性测试方法
• 8.3　脆弱性评定方法
• 8.4　穿透性测试技术
• 8.5　本章小结
• 8.6　问题讨论
• 附录A　CCRA成员国列表
• 附录B　通用评估准则国际技术社区
• 附录C　通用评估准则的相关应用标准
• 参考文献