7、软件安全需求:基于通用准则的全面解析

最新推荐文章于 2025-12-12 16:08:21 发布
最新推荐文章于 2025-12-12 16:08:21 发布
阅读量13 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全编程的艺术与实践 文章标签: 通用准则 Common Criteria CC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gamma/article/details/155725117

软件安全需求:基于通用准则的全面解析

在判断一个程序是否安全之前,我们首先需要明确它的安全需求。国际上有一个用于识别和定义安全需求的标准——通用准则(Common Criteria,CC),它被标准化为 ISO/IEC 15408:1999。CC 是数十年信息技术安全需求研究的结晶,虽然还有其他定义安全需求和评估产品的方案,如 NIST FIPS - 140 用于加密设备,但这些方案通常专注于特定领域,这里我们主要关注 CC。

通用准则简介

CC 的正式名称是“信息技术安全评估通用准则”,其文档主要分为三部分:
- 引言 :总体描述 CC。
- 安全功能需求 :列出产品可能需要包含的各种安全功能。
- 安全保证需求 :列出确保产品安全的各种方法。

此外,还有一个相关文档“通用评估方法”(CEM),指导评估人员在进行正式评估时如何应用 CC。

虽然 CC 是国际标准 ISO/IEC 15408:1999,但从 ISO 订购 CC 非常昂贵。幸运的是,CC 开发者预见到了这个问题,确保了 CC 的技术内容可以从 http://csrc.nist.gov/cc/ccv20/ccv2list.htm 免费下载,即使是进行正式评估的人也通常使用这些版本。

CC 通常用于创建两种文档:
- 保护轮廓(Protection Profile,PP) :由用户群体(如消费者团体或大型组织)创建的文档,确定产品所需的安全属性,本质上是用户安全需求的列表。
- <

订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
CCAA:认证通用基础 7(认证的基本概念)
共勉
06-26 2584
(1)认证:与产品、过程、体系或人员有关的第三方证明。①”产品,过程,体系或人员”是认证的对象,认证是对“产品、过程、体系或人员“作出的证明。②“证明”是复核与”产品、过程、体系或人员”有关的评价结果所做出决定的说明,目的是证实规定要求已得到满足。“规定要求“指与认证对象有关的法律法规、标准和技术规范要求,是明确的需求和期望。在认证活动中,它们是复核认证对象是否合格的判定准则,是作出认证决定的依据。③“第三方”,引入第三方的目的是为了确保公平公正。第三方独立于第一方和第二方。
全面解析软件工程形式化说明技术
数据爬坡ing的博客
08-08 1100
文章摘要:形式化说明技术为软件工程提供了从模糊到精确的系统描述方法。有穷状态机通过五元组定义离散状态系统,适用于协议解析等场景;Petri网基于四元组构建并发模型,擅长分析电梯控制等系统状态协同;Z语言采用模式驱动方式,能够精确定义银行账户等复杂数据结构。三种方法各具特色:有穷状态机实现便利但存在状态爆炸问题,Petri网支持并发分析但建模难度较高,Z语言精确严谨却学习成本较大。形式化方法可与传统开发流程融合,在需求捕获、系统设计等阶段注入严谨性。未来发展趋势包括轻量级技术、自动化工具链和与AI结合等方向,
《阿里巴巴编码规范》编程准则全面解析
weixin_42576410的博客
06-05 1162
在快速发展的技术行业中,代码规范是确保开发团队高效协作、提升代码质量、维护和扩展系统的重要基石。阿里巴巴作为全球知名的电商平台,其编码规范不仅是公司内部标准,更是业界广泛借鉴的范本。
铁路信号控制系统技术规范:CTC标准全面解析
weixin_42323064的博客
05-03 1779
简介:《铁道行业标准——CTC技术条件》是铁路信号控制领域的重要规范,对提升铁路运营的安全性、效率和智能化水平至关重要。该标准详细描述了CTC系统(集中联锁控制系统)的构成、功能、技术指标以及操作维护,强调了系统架构的分布式特点、功能模块的性能和安全性设计、高速通信协议的使用、人机交互界面的友好性,以及系统的兼容性和标准化要求。同时,该标准在征求意见阶段,以期收集反馈完善内容。
解锁AI大模型:Prompt工程全面解析
2401_85592132的博客
08-15 1173
本文全面解析了Prompt工程在AI大模型应用中的关键作用。Prompt工程是通过精心设计提示词来引导AI模型生成预期输出的重要技术,包含指令、上下文、输入数据和输出指示四大要素。文章详细介绍了多种Prompt技巧(零样本、少样本、思维链、角色提示)和实用框架(ICIO、BORE、CRISPE、TRACE),帮助读者从基础到进阶掌握Prompt设计方法。通过明确指令、提供上下文和选择合适的提示技巧,可以显著提升AI模型的输出质量,使其更精准地满足各类应用场景需求。
安全开发生命周期管理
wend的博客
09-16 957
本文提出了一套完整的隐私保护框架,涵盖组织管理、产品全流程、IT工具支撑和原则指导四个维度。该体系通过顶层基础、核心流程、技术赋能和底层准则四个层面,实现从战略目标到落地执行的全链条隐私保护。核心包括:1)建立合规目标管理和组织准备;2)将隐私设计(PbD)嵌入产品全生命周期;3)运用审核、检测等IT工具;4)遵循GDPR等隐私保护原则。同时详细规定了数据分类分级、安全架构设计、开发测试规范等具体实施要求,并强调定期安全审查和应急响应机制,确保产品全生命周期符合隐私合规要求。
CIS2019网络安全创新大会:等保2.0深度解析与实践
weixin_33173126的博客
05-17 835
随着信息技术的迅猛发展,网络环境变得日益复杂,安全威胁层出不穷。企业和组织不仅需要保护自身的信息资产,还要遵守相关的法律法规以确保安全合规。在此背景下,等保2.0——《信息安全技术 网络安全等级保护基本要求》应运而生,作为中国网络安全领域的重要指导性标准,它标志着网络安全等级保护制度进入了一个新的发展阶段。等保2.0在继承原有等级保护制度的基础上,对等级保护体系进行了全面升级,强调了动态保护、主动防御、综合保护的原则,并且提出了符合新时代网络安全需求的新要求。
人工智能:从概念到未来的全面解析
yzx991013的博客
07-06 1485
人工智能作为融合多学科的计算机科学分支,可分为专用型和通用型两类,其发展经历了从规则驱动到数据驱动再到深度学习的演进。核心技术包括机器学习和深度学习,数学基础涵盖线性代数、概率论等十大理论。AI已广泛应用于计算机视觉、自然语言处理等领域,但面临数据隐私、算法偏见等挑战。未来将向多模态融合、类脑计算等方向发展,需平衡技术创新与伦理治理,以促进人机协作的智慧时代到来。
企业元宇宙标准下的AI模型管理:4个核心流程解析
AI天才研究院
12-12 1027
企业元宇宙是元宇宙概念在商业环境中的特定应用,它是一个由数字孪生、虚拟现实(VR)、增强现实(AR)、物联网(IoT)、人工智能(AI)等技术构建的,与物理企业环境平行且互联的数字生态系统。企业元宇宙不仅是一个虚拟空间,更是一个集协作、运营、决策、创新于一体的综合性平台,旨在提升企业效率、创新能力和业务价值。:AI模型管理是指在AI模型的全生命周期中,对模型的开发、训练、部署、监控、优化和退役等过程进行系统化、标准化管理的一系列活动和技术。
全面覆盖企业日常办公需求的通用OA系统实施指南
weixin_35696112的博客
06-24 1129
通用办公自动化系统(OA系统)是现代企业管理中不可或缺的一部分,它通过集成各种信息资源,提高了工作效率,优化了业务流程,实现了工作自动化。OA系统的主要特点是将企业的日常行政管理、业务处理、文档流转等环节通过技术手段统一在一个系统中,从而减少人工操作,提高信息传递的效率。工作流管理(Workflow Management)是组织内部通过信息化手段优化业务流程的一种管理思想和技术。它通过定义、执行和监控工作流中的任务顺序、任务分配和相关资源来提高效率和透明度。
电信系统效率评估:通用准则与方法解析
### 电信系统效率评估:通用准则与方法解析 #### 1. 电信系统层级特性与主要参数 电信系统的上层三个层级的处理过程不依赖于网络结构及其技术特性。底层采用不同的网络技术或新协议,不会影响上层三个层级及其协议...
50、基于知识的系统:用户视角的全面解析
stem5的博客
08-05 101
本文全面解析了基于知识的系统,从用户视角探讨了其特性、发展历程、当前应用以及面临的挑战。文章回顾了人工智能和专家系统的起源,分析了知识表示与推理机制,并重点讨论了专家咨询系统与专家批判系统的差异与优势。此外,还探讨了基于知识的系统在实际应用中的问题、实证研究结果以及智能干预策略,提出了联合认知系统的设计原则与未来发展方向。
软件可靠性:从需求到架构的全面解析
### 软件可靠性:从需求到架构的全面解析 #### 1. 可靠性需求概述 在某些情况下,如胰岛素输送系统,未能及时输送胰岛素不会立即产生安全隐患,此时商业因素而非安全因素决定了系统所需的可靠性水平。由于用户需要...
软件开发生命周期管理】:从需求到部署的全面解析
[【软件开发生命周期管理】:从需求到部署的全面解析](https://s3.eu-west-1.amazonaws.com/redsys-prod/articles/eb1e38edfdc69768517b985e/images/steyer_angular_start2_3.tif_fmt1.jpg) # 摘要 本文旨在全面...
python-3.13.11-amd64.exe
最新发布
12-16
python-3.13.11-amd64.exe
高等院校如何评估专利二次开发的实际市场容量?.docx
12-16
高等院校如何评估专利二次开发的实际市场容量?
高校如何通过智能体自动生成技术交易合同?.docx
12-16
高校如何通过智能体自动生成技术交易合同?
高等院校如何建立科研人员驻企服务的成果转化图谱?.docx
12-16
高等院校如何建立科研人员驻企服务的成果转化图谱?
【PMSG风力涡轮机建模】基于直驱永磁同步发电机(PMSG)的1.5MW风力发电机的详细建模(Simulink仿真实现)
12-16
【PMSG风力涡轮机建模】基于直驱永磁同步发电机(PMSG)的1.5MW风力发电机的详细建模(Simulink仿真实现)
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值