全球信息化已成为人类社会发展的大趋势,信息技术的研究和应用日新月异。与此同时,信息系统的安全问题也逐步得到社会的重视,加强信息安全技术的研究和应用成为一个长期而持久的课题。由于互连网络具有开放性、联结形式多样性、技术复杂性等特征以及通信协议的安全缺陷,致使信息系统的安全问题变得尤为复杂。无论是局域网还是在广域网中,对于信息系统而言,都存在着自然的和人为的等诸多因素的潜在威胁。加强网络上各种资源的安全保护是非常必要的,信息安全技术已成为信息技术发展过程中一个迫切需要解决的问题。 信息系统安全问题既具有涉及全网络的整体性,又具有涉及各种技术、管理等多层面的复杂性,关键问题是制定统一的安全策略和整体方案,培养充足的技术骨干,并加强安全管理,这样才能提高信息系统的安全保障能力。因此,必须针对各种不同的威胁和系统本身的脆弱性,多层次、多方位地、系统化地制定信息系统的安全措施,这样才能确保信息系统运行安全和信息的机密性、完整性和可用性。保障信息系统安全的措施很多,但并不仅仅是拼凑几个安全措施或者将所有的信息安全措施都用上就能保证信息系统的安全性。基于成本与效率的考虑,一个信息系统只要根据完善的安全策略配备了基本的信息安全措施,就可以保证信息系统的安全性。信息系统风险评估为我们判断信息系统的安全性能提供了可靠的依据。 本文结合作者参与的项目开发过程,对《信息技术安全性评估准则》(即CC)的安全功能要求与安全措施进行了研究,通过对各种安全措施的分析和归纳,研究并总结性提出了安全措施在本质上与CC安全功能要求的映射关系,为评估安全措施的有效性提供依据,为信息系统的安全体系结构设计到安全功能需求,再到具体安全措施建立联系的桥梁。