1)基本目标和要求策略
安全策略必须由计算机系统显式,明确定义和执行。有三种基本的安全策略:
◇强制性安全政策一强制执行访问控制规则,直接根据个体的信息授权以及正在寻求的信息的机密级别。其他间接因素是物理和环境。这项政策还必须准确地反映法律,一般政策和其他有关规则的指导。
◇标记一旨在强制执行强制性安全策略的系统必须存储和保留访问控制标签的完整性,并在导出对象日寸保留标签。
◇自由安全策略一根据确定需要知道信息的已识别个人,实施一套一致的控制和限制访问的规则。
问责
不论政策如何执行个人问责。必须存在一种安全手段,以确保获得对授权的合格代理机构的访问,在合理的时间内,不受任何约束对问责制信息进行评估。责任追究目标有三项要求:
◇识别一用于识别用户的过程。
◇验证一验证用户对特定类别信息的授权。
◇审核一审核信息必须有选择性地保护,以便对影响安全性的操作可追溯到相关人员。
保证
计算机系统必须包含可以独立评估的硬件/软件机制,以提供系统实施上述要求的充分保证。通过扩展,保证必须包括保证系统的受信任部分仅按预期工作。为了实现这些目标,需要有两种类型的保证,其各自的要素:
◇操作保证:系统架构,系统完整性,隐蔽通道分析,可信设备管理和可信恢复◇生命周期保证:安全测试,设计规范和验证,配置管理和可信系统分发
◇持续保护保证一必须持续保护执行这些基本要求的信任机制,防止篡改和/或未经授权的更改。
文档
在每个类中,还有一些额外的文档集,用于处理系统的开发,部署和管理。文档包括: 安全功禽旨用户指南,可信设施手册,测试文档和设计文档
想了解更多IT资讯,请访问中培伟业官网:中培伟业