国内外网络安全管理模式调研.docxVIP

国内外网络安全管理模式调研网络空间作为继陆、海、空、天之后的第五维空间，给人们的生产生活带来了革命性的飞越。今年来，网络空间形式日趋复杂严峻，网络安全事件频繁发生，对我国网络空间安全构成严重威胁，给我国的网络空间防护带来严峻挑战。网络安全标准化是网络安全保障体系建设的一个重要的技术支撑，是做好网络安全工作的重要切入点。本报告将分析国内外网络安全标准的发展现状，研究ISO/IEC、ITU以及CCSA等国内外网络安全标准相关的主要组织，并重点介绍了CC 标准，以及分析了网络安全标准体系框架。一、国外网络安全标准体系（一）网络安全标准的发展历史国际上信息安全标准化工作兴起于20世纪70年代中期，80年代有了较快的发展，90年代引起了世界各国的普遍关注。1970年，美国国防科学委员会提出《美国可信计算机系统评价标准》（Trusted Computer System Evaluation Criteria，TCSEC），并于1985年12月由美国国防部公布。TCSEC标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。TCSEC中使用了可信计算基础（Trusted Computing Base, TCB）这一概念，即计算机硬件与支持不可信应用及不可信用户的操作系统的组合体。TCSEC 论述的重点是通用的操作系统，为了使它的评判方法适用于网络，NCSC于1987年出版了一系列有关可信计算机数据库、可信计算机网络等的指南等。该书从网络安全的角度出发，解释了准则中的观点，从用户登录、授权管理、访问控制、审计跟踪、隐通道分析、可信通道建立、安全检测、生命周期保障、文本写作、用户指南均提出了规范性要求，并根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安全级别。将计算机系统的可信程度划分为D、C1、C2、B1、B2、B3和A1七个层次。1990年，加拿大专门针对政府需求设计出《加拿大可信计算机产品评估标准》（Canadian Trusted Computer Product Evaluation Criteria，CTCPEC）。与 ITSEC 类似，该标准将安全分为功能性需求和保证性需要两部分。功能性需求共划分为4大类：机密性、完整性、可用性和可控性。每种安全需求又可以分成很多小类，来表示安全性上的差别，分级条数为0～5级。1991年，美国发表了《信息技术安全性评估联邦准则》（US Federal Communications Commission，FC）。该标准的目的是提供TCSEC的升级版本，同时保护已有投资。但 FC 有很多缺陷，是一个过渡标准，后来结合ITSEC发展为通用安全评估准则。1991年，西欧四国（英、法、德、荷）联合提出了《信息技术安全评估标准》（Information Technology Security Evalution Criteria，ITSEC）。ITSEC除了吸收 TCSEC 的成功经验外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信计算机的概念提高到可信信息技术的高度上来认识。他们的工作成为欧共体信息安全计划的基础，并对国际信息安全的研究、实施带来深刻的影响。1993年3月，IETF（Internet Engineering Task Force，互联网工程任务组）专门成立了一个IPSec?工作组，负责开发和制定既适用于现有IPv4网络环境，又适用于下一代IPv6?网络环境的Internet层安全机制标准。IPSec 就是 IPSec小组建立的一组IP安全协议集。IPSec 定义了在网际层使用的安全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。1993年6月，美国、加拿大及欧洲四国经协商同意，起草单一的《通用安全评估准则》（Command Criteria For IT Security Evaluation，CC），并将其推进到国际标准。1996年1月出版了1.0版。它的基础是欧洲的 ITSEC，美国的包括TCSEC 在内的新的联邦评估标准，加拿大的 CTCPEC，以及国际标准化组织 ISO：SC27WG3的安全评估标准。1999年10月cc v2.1版发布，2006年9月，cc v3.1版发布。CC 将评估过程划分为功能和保证两部分，评估等级分为eal1、eal2、eal3、eal4、eal5、eal6和eal7共七个等级。每一级均需评估7个功能类，分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。1999年，ISO 国际标准化组织发布 ISO/IEC 15408（其中包括ISO/IEC 15408-1：1999，ISO/IEC 15408-2：1999，ISO/IEC 15408-3：199