3.信息安全测评
信息安全测评是依据相关标准,从安全技术、功能、机制等角度对信息技术产品、信息系统、服务提供商以及人员进行测试和评估。
1)信息技术产品安全测评
信息技术产品安全测评是测评机构对产品的安全性做出的独立评价,目的是提供产品的安全性证据,增强用户对已评估产品安全的信任,向消费者提供采购依据,推动信息安全技术发展,提高信息技术安全科研和生产水平。
测评级别是根据国家标准GB/T 18336《信息技术安全性评估准则》,通过对信息技术产品的安全性进行独立评估后所取得的安全保证等级,表明产品的安全性及可信度。通过测评的级别越高,表明该产品的安全性与可信度越高,可对抗更高级别的安全威胁,适用于更高风险的环境。
信息产品安全的测评认证由低到高划分为7个级别,即CC的EALl - EAL7级。其中,评估保证级l( EALI)主要是功能测试,通过该级别测评的产品主要适用领域是个人及简单商用环境,需要保护的信息价值较低;评估保证级2( EAL2)主要是结构测试,通过该级别测评的产品主要适用领域包括个人、一般商用或简单政务应用,所需保护的信息价值不太高或者是敏感但不保密的信息,其应用环境的安全风险较低;评估保证级3( EAL3)是系统地测试和检查,通过该级别测评的产品主要适用领域包括具有适当安全需求的一般政务应用、特定商用和简单军用,其应用环境存在中度安全风险;评估保证级4( EAL4)是系统地设计、 测试和复查,通过该级别测评的产品主要适用领域是具有较高安全需求的特定政务应用、关键商用和一般军用环境;评估保证级5( EAL5)是半形式化设计和测试,通过该级别测评的产品主要适用领域包括安全需求很高的关键政府部门、核心商用、军事环境;评估保证级6(EAL6)是半形式化验证的设计和测试,通过该级别测评的产品主要适用领域包括具有极高安全需求的政府要害部门、要害商用和军事环境;评估保证级7( EAL7)是形式化验证的设计和测试,一通过该级别测评的产品主要适用领域是具有最高安全需求的核心处理领域,包括政府j军队i商业领域的极关键机构和场所的极关键信息处理环境。
想了解更多IT资讯,请访问中培教育官网:中培教育