高金萍
- 作品数:26 被引量:28H指数:4
- 供职机构:中国信息安全测评中心更多>>
- 发文基金:国家自然科学基金更多>>
- 相关领域:自动化与计算机技术电子电信经济管理更多>>
- CC标准中安全架构与策略模型的分析方法被引量:9
- 2016年
- 通用评估准则(CC)未论述安全架构及策略模型这2个保障要求的具体分析方法,因而不利于实际的安全评估工作。为此,首先从设计分解的角度论述了CC的基本评估模型,将安全功能(TSF)从内涵功能和元功能2个角度进行定义,以此论述安全架构设计的意义,并基于脆弱性分析活动来描述安全架构及评估方法。其次,从论述保护轮廓(ST)与功能规范(FSP)的逻辑差距出发,描述了形式化安全策略模型的意义,并提出了对TSF要求进行(半)形式化的方法来弥补此差距的途径。由于等同于CC v3.1标准的国标GB/T18336即将在中国推行,该文结论将有助于改进后续的安全评估工作。
- 石竑松高金萍贾炜刘晖
- 关键词:安全架构安全策略模型
- USBKey脆弱性分析的事件分解模型被引量:1
- 2013年
- 该文提出了一种基于事件分解的威胁建模方法,并对该方法在网银盾USBKey的脆弱性分析中的应用进行了分析。从应用需要保护的资产出发,此建模方法先标识出资产可能面临的威胁,通过将威胁视为事件,对事件进行逐步分解直至原子事件,以此简化威胁分析过程。该方法以事件树的方式来组织分解过程,通过该树状结构,可获得产生威胁的所有可能的攻击路径,以便检查威胁分析的完备性。对选取的攻击路径,还提出了计算威胁成功概率的方法。结合事件分解模型和通用评估准则中攻击潜力的计算方法,以USBKey中的PIN码安全为例,对USBKey产品进行了脆弱性分析。分析表明:事件分解模型为脆弱性分析提供了一套合理可行的方法,可用于提升信息产品安全评估过程的完备性。
- 王宇航石竑松张翀斌杨永生高金萍
- 关键词:USBKEY脆弱性分析
- 一种开源软件的监测方法及装置
- 本申请提供了一种开源软件的监测方法及装置,该方法包括:确定开源软件中开源许可证的类型;在预先设定的开源许可证特征库中,查找是否存在与开源软件中开源许可证的类型对应的开源许可条款特征;若存在,将查找到的开源许可条款特征作为...
- 邓辉张宝峰杨永生高金萍饶华一毕海英王蓓蓓王亚楠黄小莉孙亚飞
- 文献传递
- 基于PRESENT算法的智能卡芯片存储加密被引量:3
- 2013年
- 该文将轻量级密码算法PRESENT用于智能卡芯片存储加密中,用于保证卡内代码及数据的安全。首先指出总线置乱方法存在选择明文攻击隐患,而异或加密方法在Flash擦除操作时会导致密钥泄露,进而指出引入PRESENT算法的重要性。同时,该文给出PRESENT算法在智能卡芯片中的具体实现方法,包括电路设计、密钥分散存储和故障攻击抵御措施。与传统方法相比,该文所提方法即保证了智能卡芯片运行的效率,又提高了存储加密的安全性。
- 王亚楠杨永生毕海英高金萍
- 关键词:智能卡存储器加密异或
- 信息技术安全评估准则新版标准的变化及应用展望
- 2023年
- 作为网络空间安全的重中之重,关键信息基础设施安全保护是维护国家网络安全和社会稳定的关键所在。世界主要国家出台的一系列网络安全战略、法律法规等政策指令,都在不断增强对关键信息基础设施的保护力度,信息技术产品作为关键信息基础设施的基本组成单元,其安全可控程度得到各国普遍的重视。
- 高金萍邓辉贾炜李凤娟
- 关键词:安全测评网络安全信息技术产品网络空间固件测评机构
- 随机性检测及其片面性
- 系统地研究了随机性检测问题。论证了实际可行的检测算法都只有部分证伪性,而无法给出随机性断言,因此通过检测的随机序列生成器仍可能不安全。在描述了伪随机生成器的定义和特点后,给出了随机种子较短时的伪随机检测方法。根据非确定性...
- 石竑松张翀斌杨永生高金萍
- 关键词:系统安全随机数安全评估
- 通用评估准则的发展与应用现状被引量:3
- 2013年
- 阐述了通用评估准则(CC)的起源、立意和发展过程,以及在CC框架下实现互认的途径。并在介绍CC的评估模型后,描述了该标准在应用方面存在的问题。最后对CC在国内外的应用现状进行了分析,并根据近年来CC大会的情况描述了该标准的近期发展趋势。
- 毕海英石竑松高金萍张翀斌郭颖
- 芯片供应链场所安全性测评方法初探
- 2021年
- 随着全球网络安全状况的日益复杂,芯片作为关键基础设施中组成信息技术产品的基础硬件,其安全性可对基础网络和重要信息系统的保密性、完整性和可用性乃至国家安全产生重要影响。芯片安全不仅体现在其功能上,还在很大程度上受其供应链各环节的影响。一、芯片供应链安全测评在物流术语中。
- 高金萍石竑松张宝峰
- 关键词:信息技术产品供应链可用性完整性
- 一种开源代码的使用风险评估方法、装置及电子设备
- 本申请公开了一种开源代码的使用风险评估方法、装置及电子设备,方法包括:获得所述开源代码的许可证在至少一个目标属性上各自对应的目标属性信息;获得每个所述目标属性在其对应的所述目标属性信息上对应的目标评估值,所述目标评估值表...
- 邓辉张宝峰杨永生孙亚飞高金萍王亚楠黄小莉饶华一毕海英熊琦王蓓蓓
- 通用评估准则国际标准的修订进展被引量:4
- 2018年
- 解读ISO/IEC 15408《信息技术安全技术信息安全通用评估准则》(Common Criteria,CC)V4.0的编制思路和技术内容,介绍PP配置、PP模块和基础PP等重要概念的涵义和目的,描述CC V4.0第四部分关于评估方法和活动的框架草案主要内容,分析CC V4.0对我国产业的影响。
- 高金萍石竑松贾炜王峰
- 关键词:安全评估ISO/IEC
