安全评估术语
安全评估术语
提问于 2015-12-11 01:29:19
我正在学习保护概况、安全目标和评估目标,这些在我看来都是非常抽象的想法。有人能用例子来解释这些在实践中是如何工作的吗?例如,独立于实现意味着什么?
这些事情通常是在系统或软件创建之前还是之后完成的?共同的标准是什么?
--我不明白某些东西是如何独立于实现的,但仍然是关于某个特定的产品?此外,这是否更多地集中在现有的IT产品或软件开发上?
回答 1
Security用户
回答已采纳
发布于 2015-12-12 02:18:52
共同标准是评估软件构件安全性的国际标准。根据正在使用的CC的确切级别(EAL),这可以包括有关软件开发期间使用的过程的信息以及软件的某些安全方面的测试。
由于软件系统是如此复杂,所以并不总是能够对其进行完整的验证。因此,只有系统的一部分可以作为评价目标。这部分被称为评估的目标或脚趾。
CC只提供了关于在开发和测试期间监视哪些内容的一般指导方针。每种类型的软件产品都可以有特定的需求。保护概况(PPs)是为特定类型的软件和EAL商定的一组需求。例如,可以有一个用于EAL 1、2、3等的web服务器的PP。对于每个EAL,它将指定TOE为实现该EAL而必须满足的特性、文档和测试。
安全目标(ST)指定应用程序的预期功能。例如,如果您有一个web应用程序,那么它可能会满足web服务器PP、数据库PP和一些特定于产品的需求的部分或全部需求。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/107826
复制相关文章
相似问题
腾讯云开发者
