基于国际标准CC和CEM的计算机系统信息安全性评估认证支持平台

摘要

信息系统的整体安全性只有遵照统一的标准来设计、实现、运用、维护,才能在系统的整个生命周期中得到保障.因此,信息系统的安全性标准化工作一直都是世界各国共同关注的问题.CC和CEM是一套信息系统安全性评估和认证的通用标准,并且已经被国际标准化组织ISO收录并颁布.基于CC和CEM标准的评估和认证,可以在被评估认证系统的所有利害相关者之间建立起具有共同基础的信任关系,因此CC和CEM已在世界范围内被广泛应用.然而,基于此套标准的评估和认证过程非常复杂.评估认证过程中的具体工作任务繁杂,涉及的相关文档种类繁多,由人工来进行评估和认证工作需要花费大量的时间,同时需要从事者有极高的专业水平和丰富的经验.并且,由人工进行评估和认证工作,不可避免地会产生人为性错误和由主观倾向导致的偏向性误差,这些问题都会降低评估认证结果的正确性、准确性、公平性.所以,为了提高评估认证工作的效率,保证评估结果的正确性、准确性、公平性,同时降低评估认证工作者的工作难度,一套能够支持评估认证工作整体流程的自动化工具是迫切需要的.但是,以往在世界上并不存在此类工具.为此,提出、设计、开发了世界上第1个基于CC和CEM的评估认证全过程的评估认证支持平台.此平台通过使用自动化方法,帮助相关人员完成评估认证全过程中的各项繁琐的具体工作.介绍了这个基于CC和CEM的评估认证支持平台的设计思想和开发细节.