3-安全等级与标准.pptVIP

安全等级与标准 张伟 南京邮电大学 计算机学院信息安全教研室 Email:1999zhangwei@163.com 国际安全标准 美国TCSEC（橙皮书，重点介绍） 欧洲ITSEC 加拿大CTCPEC 美国联邦准则FC 联合公共准则CC 英国标准7799（BS7799） ISO7799 国际安全标准的衍生关系 4.1 国际安全评价标准 4.1.1 TCSEC标准 Trusted Computer System Evaluation Criteria 1985年美国国防部制定的安全标准 俗称橙皮书 可信计算机基础TCB（Trusted Computer Base） 为计算机安全产品的评测提供了测试和方法，指导信息安全产品的制造和应用 TCSEC五要素 安全策略 可审计机制 可操作性 生命期保证 建立并维护系统安全的相关文件 TCSEC的四个安全等级 D：最低保护 C：被动的自主访问策略 B：被动的强制访问策略 A：形式化证明的安全 D级安全级别 最低保护（Minimal Protection），指未加任何实际的安全措施，D1级最低。D1系统只为文件和用户提供安全保护。D1系统最普遍的形式是本地操作系统，或一个完全没有保护的网络，如DOS被定义为D1级 C级安全级别 被动的自主访问策略（Discretionary Access Policy Enforced），提供审慎的保护