2. 计算机
  3. Protection profiles used in the Common Criteria evaluation process contain five elements. Which of the following establishes the

Protection profiles used in the Common Criteria evaluation process contain five elements. Which of the following establishes the

admin2013-12-19  67
问题 Protection profiles used in the Common Criteria evaluation process contain five elements. Which of the following establishes the type and intensity of the evaluation?
选项 A、Descriptive elements
B、Evaluation assurance requirements
C、Evaluation assurance level
D、Security target
答案B
解析 B正确。通用准则在评估过程中使用保护配置文档。这是一个用来描述对目前市场上不存在的产品的真实需求的机制。保护配置文档包含一套安全需求、安全要求的含义和理由,以及预期产品需要的相应评估保证级别(evaluationassurance level,EAL)。这个保护配置文档描述了对环境的设定、目标和功能预期及保证级别预期。每个相关威胁后面都列出了如何通过具体目标控制这些相关威胁。保护配置文档也证明了每个保护机制的强度确保等级与要求。评估确保需求确立了评估的类型和强度。保护配置文档中的其他四个部分分别是描述元素、理性需求、功能需求和开发确保需求。
A不正确。因为保护配置文档中的描述元素部分提供了配置文档的名称和有待解决的安全问题的描述。保护配置文档为消费者或其他人提供了一种确认具体安全需求的手段,这就是需要克服的安全问题。如果有人确定了某种安全需求,而现行的任何产品又满足不了这个需求,那么他便可以撰写一个保护配置文档,描述解决这个真实世界问题的产品。保护配置文档还提供为实现必要的安全级别所需的目标和保护机制,列出这类系统开发过程中会出错的事情。这个列表由开发这个系统的工程师使用,然后评估师用其评价工程师的工作是否存在纰漏。
C不正确。因为评估保证级别并非保护配置文档中所包含的5部分中的一个。在按照通用准则(Common Criteria)对产品进行评估之后,会赋予该产品一个EAL。保证级别越高,越需要进行全面而严格的测试。通用准则包括7个保证级别:EALl,功能测试;EAL2,结构测试;EAL3,系统地测试和检查;EAL4,系统地设计、测试和回顾:EAL5,半正式设计和测试;EAL6,半正式验证、设计和测试:EAL7,正式验证、设计和测试。
D不正确。安全目标(security target,ST)是供应商对满足所需安全解决方案的安全功能和保证机制进行的书面解释。换句话说,它说明“我们的产品做什么和怎么做”。通用准则,和它之前的其他评估标准一样,致力于回答关于被评估产品的两个基本问题:它的安全机制做什么(功能)?你有多大把握能实现(保证)?这个系统制定了一个框架,这个框架能帮助消费者清楚地确定他们的安全问题,帮助开发人员具体地确定出那些问题的安全解决方案,并帮助评估人员明确地判断这个产品真正达到了什么安全级别。
转载请注明原文地址:https://kaotiyun.com/show/NyhZ777K
0

CISSP认证

相关试题推荐
随机试题
最新回复(0)