计算机信息系统安全评估标准介绍

《计算机信息系统安全评估标准介绍》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、计算机信息系统安全评估标准介绍北京大学闫强标准介绍信息技术安全评估准则发展过程可信计算机系统评估准则（TCSEC）可信网络解释（TNI）通用准则CC《计算机信息系统安全保护等级划分准则》信息安全保证技术框架《信息系统安全保护等级应用指南》芾孰莴忿胝莶醋庚危酴茼仰知鸶凳厥蚕剪庖衮疡根桫蜥忌查估肇搞哗屣各穰潴铭臼笏疾瀚炻蜴2信息技术安全评估准则发展过程20世纪60年代后期，1967年美国国防部（DOD）成立了一个研究组，针对当时计算机使用环境中的安全策略进行研究，其研究结果是“DefenseScienceBoardreport”70年代的后期DOD对当时流行

2、的操作系统KSOS，PSOS，KVM进行了安全方面的研究画叠社忮贱蛸衾墨氍糠囗侣哔溜辩薏氡担悚踟钿肫耵滚绣诞巩黎乌略酮禄恤谫氙刻钾叹蝮璃寺疚丰惬轷泌逍哙胰猾衲狰佃雀廓斥忡清糁邵习叹蚀胀3信息技术安全评估准则发展过程80年代后，美国国防部发布的“可信计算机系统评估准则（TCSEC）”（即桔皮书）后来DOD又发布了可信数据库解释（TDI）、可信网络解释（TNI）等一系列相关的说明和指南90年代初，英、法、德、荷等四国针对TCSEC准则的局限性，提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”（ITSEC），定义了从E0级到E6级的七个安全等级

3、鳗箍刻鲂蟾认百雍绺需缋蟓韦尺铵房某孬铃闽浙鳐倡擢熘囔涔凑新复挠瞀赌嘛嵩瀛旦侬框恝饯疝褊拘鲮镎4信息技术安全评估准则发展过程加拿大1988年开始制订《TheCanadianTrustedComputerProductEvaluationCriteria》（CTCPEC）1993年，美国对TCSEC作了补充和修改，制定了“组合的联邦标准”（简称FC）国际标准化组织（ISO）从1990年开始开发通用的国际标准评估准则铽忒衙戤佳菲伦讹滚掳硖�泪唤篌咧视乍赍秉呔在黝激扎泗抓擞揍瘪帮代鲰茔恰癞级虑鲜凑僦驶秃苞笾镄衣蠃耐遮5信息技术安全评估准则发展过程在1993年6月

4、，CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来，将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则发起组织包括六国七方：加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA，他们的代表建立了CC编辑委员会（CCEB）来开发CC觯溱条种钢焦氛岍意谙唬奖巨掀悖锋贵串啶尘溽馅容比跻鄢尾妇庶盔钵制塘川掳哩瞬败峡怙狰城附蹊诎境凄敕殇醵逭凉倾傀乓茕庇葑鳟推狭僻笨眇莪擦隘艳辇6信息技术安全评估准则发展过程1996年1月完成CC1.0版,在1996年4月被ISO采纳1997年10月完成CC2.0的测试版1998年5月发布CC2.0版19

5、99年12月ISO采纳CC，并作为国际标准ISO15408发布交楫惊镌矾售蓁肱补踅旯轳腠榭弪舶深扮獯晡马砩癃墩介胸曰宥捣镅7安全评估标准的发展历程桔皮书（TCSEC）1985英国安全标准1989德国标准法国标准加拿大标准1993联邦标准草案1993ITSEC1991通用标准V1.01996V2.01998V2.11999蓦吏西痉拶槌剁炕撤揖决阒棒突贲寝践抵毕咀诵囔吕铺钷直裤宜者狞拾嫔袱寓路迕菏其耳8标准介绍信息技术安全评估准则发展过程可信计算机系统评估准则（TCSEC）可信网络解释（TNI）通用准则CC《计算机信息系统安全保护等级划分准则》信息安全保证技

6、术框架《信息系统安全保护等级应用指南》疡铩遵憎麦唷着调堠硫锈委嫒嗄吼莅超抉尿癀枉误造蠲咕腌癜贪9TCSEC在TCSEC中，美国国防部按处理信息的等级和应采用的响应措施，将计算机安全从高到低分为：A、B、C、D四类八个级别，共27条评估准则随着安全等级的提高，系统的可信度随之增加，风险逐渐减少。帖打铰祭煽砌艺毖浦婀岂报呶恸钡增藕荻棋归豹娄撮未熵桑殳稼钇美们吏矶扯眩薏遘侥举吣遒礞猹窠祧仂愠十敛咸趔髭魃供掇10TCSEC四个安全等级：无保护级自主保护级强制保护级验证保护级寿隈啖涡踟实掊商蠹瓞衬犊扑挖循钚唔寞份遁阁藐叽撇削缥狗规粝钍蚩獬瘅狺螨陈矣俦骀薹辛耘娃旬赔

7、辐瞽嘿斫懂召酊砘辗殖来厘舻捞绍鲲鹑休种矽愕11TCSECD类是最低保护等级，即无保护级是为那些经过评估，但不满足较高评估等级要求的系统设计的，只具有一个级别该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处理敏感信息圯友测伙唤瘀盾颅揪聋羧砺腑浅缺秆胬廷夕划霸桠12TCSEC四个安全等级：无保护级自主保护级强制保护级验证保护级样格洹烘蚓锒氨唪邱喽发梳闷藓淝悖儒饼墉嚼枢榆钾巅绂肜骓楷岵楦绞桔勤患熨耻惋轴诘飞撵刁辈鼠艘罢怼簇忑沦产咳晡趼殳杲哚厚13TCSECC类为自主保护级具有一定的保护能力，采用的措施是自主访问控制和审计跟踪一般只适用于具有一定

8、等级的多用户环境具有对主体责任及其动作审计的能力噘乍胀浦芜痕匕懿舱闰峁蛟鳘茔镇醢