<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 20274.1—2006信息安全技術 信息系統安全保障評估框架 第1部分:簡介和一般模型
    展開或關閉
    前 言
    前言
    引言
    0.1 信息系統安全保障的含義 0.2 信息系統安全保障評估框架的編制目的和意義 0.3 信息系統安全保障評估框架的使用 0.4 建立自己的信息系統安全保障框架
    1 范圍
    范圍
    2 規范性引用文件
    規范性引用文件
    3 術語、定義和縮略語
    3.1 術語和定義 3.2 縮略語
    4 概述
    4.1 引言 4.2 信息系統安全保障評估框架的目標讀者 4.3 評估上下文 4.4 信息系統安全保障評估框架的文檔組織
    5 一般模型
    5.1 概述 5.2 安全上下文 5.3 信息系統安全保障評估 5.4 安全概念 5.5 信息系統安全保障描述材料
    6 信息系統安全保障評估和評估結果
    6.1 介紹 6.2 ISPP(信息系統保護輪廓)和ISST(信息系統安全目標)的要求 6.3 TOE內的要求 6.4 評估結果的聲明 6.5 TOE評估結果的應用
    附 錄 A (規范性附錄) 信息系統保護輪廓
    A.1 概述 A.2 信息系統保護輪廓內容
    附 錄 B (規范性附錄) 信息系統安全目標規范
    B.1 概述 B.2 信息系統安全目標內容
    附 錄 C (資料性附錄) 信息系統描述
    C.1 概述 C.2 信息系統描述規范 C.3 信息系統描述說明
    附 錄 D (資料性附錄) 信息系統安全保障級說明
    D.1 概述 D.2 信息系統使命分類 D.3 信息系統威脅分級 D.4 信息系統安全保障級(ISAL)矩陣 D.5 信息系統安全保障級(ISAL)分級要求
    參考文獻
    參考文獻

    3.1 術語和定義

    GB/T 20274.1—2006信息安全技術 信息系統安全保障評估框架 第1部分:簡介和一般模型 /

    下列術語和定義適用于本標準。

    3.1.1 訪問控制 Access Control

    防止對資源的未授權使用, 包括防止以未授權方式使用某一資源。

    3.1.2 可追究性 Accountability

    它確保一個實體的作用可以被獨一無二地跟蹤到該實體。
    [GB/T 9837.2-1995,3.3.3]

    3.1.3 資產 Asset

    由評估對象安全策略保護的信息或資源。

    3.1.4 攻擊 Attack

    在信息系統中一種繞過安全控制的行為,攻擊可能為:篡改、泄露、或拒絕數據。攻擊成功與否取決于信息系統的脆弱性以及現有對策的效力。

    3.1.5 審計 Audit

    為了測試出系統的控制是否足夠,為了保證與已建立的策略和操作堆積相符合,為了發現安全中的漏洞,以及為了建議在控制、策略和堆積中作任何指定的改變,而對系統記錄與活動進行的獨立觀察和考核。

    3.1.6 鑒別 Authentication

    提供實體所聲稱的身份的保證。

    3.1.7 授權 authorization

    授予權限, 包括允許基于訪問權的訪問。

    3.1.8 授權用戶 Authorized User

    依據安全策略可以執行某項操作的用戶。

    3.1.9 可用性 Availability

    授權實體可以根據需要訪問和使用的屬性。

    3.1.10 計算環境 Computing Environment

    整個信息系統、網絡或組件運行的環境,包括物理環境、管理規則、人員工作程序以及與其他系統的通信和網絡連接情況。

    3.1.11 保密性 Confidentiality

    這一性質使信息不泄露給非授權的個人、實體或進程, 不為其所用。

    3.1.12 配置管理 Configuration Management

    通過控制硬件、軟件、固件、文檔、測試、測試設備、測試文檔在整個系統生命周期中的變化來管理安全功能和保證措施。

    3.1.13 信息系統安全保障 Information Assurance(IA)

    保護信息及信息系統的保密性、完整性、可用性、可追究性、真實性、抗抵賴性,通常包括信息系統的保護、檢測和恢復能力。

    3.1.14 信息系統 Information Systems(IS)

    信息系統 用于采集、處理、存儲、傳輸、分發和部署信息的整個基礎設施、組織結構、人員和組件的總和。

    3.1.15 信息系統安全 Information Systems Security (INFOSEC)

    使用合理安全措施保護信息系統中的信息在存儲、處理或傳輸等過程中不會被未授權用戶訪問,并保障授權用戶能夠正常使用系統。

    3.1.16 信息技術系統 Information Technology Systems(IT Systems)

    作為信息系統一部分的執行組織機構信息功能的用于采集、創建、通信、計算、分發、處理、存儲和/或控制數據或信息的計算機硬件、軟件和/或固件的任何組合。

    3.1.17 完整性 Integrity

    這一性質表明數據沒有遭受以非授權方式所作的篡改或破壞。

    3.1.18 抗抵賴性 non-repudiation

    證明一個行動或事件已經發生的能力,以便以后不能抵賴此事件或行動。

    3.1.19 風險 Risk

    威脅利用資產或一組資產的脆弱性對組織機構造成傷害的潛在可能。

    3.1.20 風險分析 Risk Analysis

    估算風險大小的系統化的過程。

    3.1.21 風險管理 Risk Management

    風險管理是以可接收的成本,標識、控制、減少或最小化那些可能影響信息系統的安全風險的過程。

    3.1.22 安全 Security

    一種基于建立和保持保護措施的狀態,以確保處于一種不被敵對行為或影響所侵犯的狀態。

    3.1.23 安全體系結構 Security Architecture

    安全體系結構是指安全組件或部件之間如何構成一個相互協作的系統規則或方式。

    3.1.24 安全域 Security Domain

    安全域是遵守相同的安全策略的用戶和系統的集合。

    3.1.25 安全策略 Security Policy

    組織機構為保障其運轉而規定的若干安全規則、過程、規范和指南。
    [GB/T 18336.1-2001,3.3.29]

    3.1.26 信息系統安全保障級 Information Systems Assurance Level(ISAL)

    通過綜合技術、管理和工程等安全機制所推薦的對抗各種安全威脅的保護組織機構信息和信息資產從而保障組織機構使命的強度和保障度級別。

    3.1.27 威脅 Threat

    能夠通過未授權訪問、毀壞、揭露、數據修改和/或拒絕服務對系統造成潛在危害的任何環境或事件。

    3.1.28 脆弱性 Vulnerability

    在信息系統、系統安全程序、管理控制、物理設計、內部控制或實現中的,可能被攻擊者利用來獲得未授權的信息或破壞關鍵處理的弱點。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    安全俠
    Reserved 1.2k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类