信息安全有关标准标准的发展一．国际标准的发展.DOC

第三章 信息安全有关标准 第一节 标准的发展 国际标准的发展 1960年代末，1970年代初，美国出现有关论文。 可信Ttusted，评测级别，DoD美国防部 1967年10月，美 国防科委赞助成立特别工作组。 1970年，Tast Force等人《计算机系统的安全控制》（始于1967年）。 1970年代初，欧、日等国开始。 1970年2月，美发表计算机系统的安全控制。 1972年，美发表DoD5200.28条令。 1972年，美DoD《自动数据处理系统的安全要求》 1973年，美DoD《ADP安全手册-实施、撤消、测试和评估安全的资源共享ADP系统的技术与过程》 1973年，美发表DoD5200.28-M（.28相应的指南）。 1976年，MITRE公司的Bell、LaPadulaoD《主要防卫系统中计算机资源的管理》 1976年，美联邦信息处理标准出版署FIPS PUB制订《计算机系统安全用词》。 1977年，美国防研究与工程部赞助成立DoD（Computer Security Initiative，1981年01月 成立DoD CSC）。 1977年3月，美NBS成立一个工作组，负责安全的审计。 1978年，MITRE公司发表《可信计算机系统的建设技术评估标准》。 1978年10月，美NBS成立一个工作组，负责安全的评估。 1983年，美发布“可信计算机系统评价标准TCSEC”桔皮书（1985年正式版DoD85）。 DoD85：四类七级：D、C（C1、C2）、B（B1、B2、B3）、A（后又有超A）。 1985年，美DoD向DBMS，NET环境延伸。 1991年，欧四国(英、荷兰、法等)发布“信息技术安全评价标准IT-SEC”。 1993年，加拿大发布“可信计算机系统评价标准CTCPEC”。 国际标准组织IEEE/POSIX的FIPS，X/OPEN。 1993年，美DoD在C4I(命令、控制、通信、计算机、集成系统)上提出多级安全MIS技术。 1994年4月，美国家计算机安全中心NCSC颁布TDI可信计算机系统评估标准在数据库管理系统的解释。 1994年，美、加、欧的信息技术安全评测公共标准CC V0.9，1996年为1.0版本。 与上述标准不同，目前信息安全尚无统一标准。 影响较大的： 美TCSEC 桔皮书及红皮书（桔皮书在网络环境下和解释）； 美信息系统安全协会ISSA的GSSP（一般接受的系统原则）（与C2不同，更强调个人管理而不是系统管理）； 日本《计算机系统安全规范》； 英国制订自己的安全控制和安全目标的评估标准（1989年）； 西德信息安全部门的信息安全技术的安全评价标准（1989年）； 加拿大、新西兰、欧盟。 我国 1994年2月，国务院“计算机信息安全保护条例” 近年，靠近TDI，TCSEC的国际标准。 一般C2级，部分C1级。日本还处于开始阶段—CoBASE系统。 第二节 概述 一．基本概念 1．桔皮书TCSEC与数据库解释TDI （Trusted Computer System Evaluation Criteria） 设计、实现时要：数学模型、型式化描述、验证技术。 （1）提供一标准 可信度评估 （2）提供制造原则 （3）提供有关方面的解释 可信数据库解释 TDI（Trusted Database Interpretation） 可信网络解释 TNI（Trusted Network Interpretation）1987年 4组division七等级class 偏序兼容向下、层次化、积聚性。 可信计算基TCB（Trusted Computing Base）——硬件与支持不可信应用及不可信用户的操作系统组合体。 B级开始要求强制存取控制和形式化模型的应用。 A1级要求形式化描述、验证，形式化隐秘通道（Covert Channel）分析等。 二．我国信息安全标准 1995年，GB/T9387-2-1995——相当于ISO7498-2-1989（最早1984年提出） 1996年，GJB2646-96 军用计算机安全评估准则——相当于桔皮书 1999年，GB17859-1999 计算机系统安全特性等级划分准则 GB4943-1995 信息技术设备的安全（IEC950） GB9254-88 信息技术设备的无线电干扰限值和测量方法 GB9361-88 计算机场地安全 GB/T9387.2-1995 OSI的第二部分安全体系结构ISO7498.2：1989 GB/T15277-1994 信息处理64位块加密算法ISO8372：1987 GB/T15278-1994 信息技术——数据加密，物理层互操作性要求ISO9160：1988 GB158