网络信息安全-课题.ppt

TCSEC的不足 TCSEC是针对孤立计算机系统，特别是小型机和主机系统。假设有一定的物理保障，该标准适合政府和军队，不适和企业。这个模型是静态的。 NCSC的TNI是把TCSEC的思想用到网络上，缺少成功实践的支持。 Moore’s Law: 计算机的发展周期18个月，现在还有可能减少到一年。不允许长时间进行计算机安全建设，计算机安全建设要跟随计算机发展的规律。 ITSEC （又称欧洲白皮书） 90年代初西欧四国（英、法、荷、德）联合提出了信息技术安全评价标准（ITSEC） 除了吸收TCSEC的成功经验外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信计算机的概念提高到可信信息技术的高度上来认识。他们的工作成为欧共体信息安全计划的基础，并对国际信息安全的研究、实施带来深刻的影响。 ITSEC定义了七个安全级别 E6：形式化验证； E5：形式化分析； E4：半形式化分析； E3：数字化测试分析； E2：数字化测试； E1：功能测试； E0：不能充分满足保证。 通用评价准则（CC） 美国为了保持他们在制定准则方面的优势，不甘心TCSEC的影响被ITSEC取代，他们采取联合其他国家共同提出新的评估准则的办法体现他们的领导作用。 91年1月宣布了制定通用安全评价准则（CC）的计划。它的全称是Common Criteria for IT security Evaluation 。