第3章_信息安全等级保护标准.pdfVIP

信息安全－标准与法规 Standard and Statue for Information Security 郭伟 西南交通大学信息科学与技术学院 E-mail: WGuo@home.swjtu.edu.cn 第3 章 信息安全等级保护标准 2012/12/7 西南交通大学信息科学与技术学院 2 第3 章 计算机等级保护 3.1 国外信息安全评估准则发展历程 3.2 我国的信息安全等级保护标准 2012/12/7 西南交通大学信息科学与技术学院 3 信息技术安全评估准则发展历程  20世纪60年代后期，1967年美国国防部（DOD ）成 立了一个研究组，针对当时计算机使用环境中的安 全策略进行研究，其研究结果是“Defense Science Board report”  70年代的后期DOD对当时流行的操作系统KSOS， PSOS，KVM进行了安全方面的研究 4 信息技术安全评估准则发展过程  80年代后，美国国防部发布的“可信计算机系统评 估准则（TCSEC ）”（即桔皮书）  后来DOD又发布了可信数据库解释（TDI ）、可信 网络解释（TNI ）等一系列相关的说明和指南  90年代初，英、法、德、荷等四国针对TCSEC准则 的局限性，提出了包含保密性、完整性、可用性等 概念的“信息技术安全评估准则”（ITSEC ），定 义了从E0级到E6级的七个安全等级 5 美国国防部可信计算机评价准则(TCSEC)  美国国防部早在80年代就针对国防部门的计算机安 全保密开展了一系列有影响的工作，后来成立了所 属的机构-- 国家计算机安全中心（NCSC ）继续进 行有关工作。  1984年美国国防部发布的 《可信计算机系统评估准 则》 （Trusted Computer System Evaluation Criteria, TCSEC ）即橘皮书。  TCSEC 将安全级别从高到低分为A 、B、C、D 四 类，级下再分A1 、B1、B2、B3、C1、C2、D 等 7级。 2012/12/7 西南交通大学信息科学与技术学院 6 美国国防部可信计算机评价准则(TCSEC)  制定橘皮书(TCSEC)的目的：  为制造商提供一个安全标准；  为国防部各部门提供一个度量标准，用来评估计算机 系统或其他敏感信息的可信度；  在分析、研究规范时，为指定安全需求提供基础。  评估类别：  安全策略  可审计性  保证  文档 2012/12/7 西南交通大学信息科学与技术学院 7 D 类系统：最小保护  不符合C1～A1 级安全标准的系统为D 级，其安 全水平最低。  是为那些经过评估，但不满足较高评估等级要求的系 统设计的，只具有一个级别  该类是指不符合要求的那些系统，因此，这种系统不 能在多用户环境下处理敏感信息 2012/12/7 西南交通大学信息科学与技术学院 8 C 类系统：自主保护  C 类标准分为C1