可信计算机信息系统标准体系及其发展历程概述mfjqgfyj.doc

可信计算机信息系统标准体系及其发展历程概述 摘 要：总结可信计算机信息系统标准体系的发展历程，根据理论研究和工程实践，阐述可信计算信息系统标准体系在信息安全的重要作用，以及标准体系在中国的应用现状和应用前景，并重点阐述了这一领域的若干热点研究方向——信息安全等级保护和可信计算。 关键词：可信计算机信息系统、等级保护、可信计算、TPM、TPCM TCSEC标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC将计算机系统的安全划分为4个等级、7个级别。欧洲四国（英、法、德、荷）提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则（ITSEC）后，美国又联合以上诸国和加拿大，并会同国际标准化组织（OSI）共同提出信息技术安全评价的通用准则（CC），CC已经被承认为代替TCSEC的评价安全信息系统的标准，且将发展成为国际标准。 GB17859-1999“计算机信息系统安全保护等级划分准则”。该标准在TCSEC的基础上，结合我国国情制定成的。它的颁布标志着我们信息安全建立水平有了质的飞跃，为我国现阶段实行的等级保护制度提供了有力的保障。 可信计算作为近期的热门技术正在受到很多国家关注，欧美发达国家在该领域取得阶段性成果，并成果推出基于TPM芯片的可信终端。我国在可信计算技术研究方面起步较早，技术水平不低。在安全芯片、可信安全计算机、安全操作系统、可信计算平台应用等方面都先后开展了大量的研究工作，并取得了可喜的成果。 1可信计算机信息系统标准体系概述 TCSEC 美国国家计算机安全中心（）于年提出了可信计算机系统评估准则（，，规定了安全计算机系统的基本准则；年补充发布了可信网络指南（提出关于在局域网或广域网环境下的联网准则；年又发布了可信数据库指南。为计算机安全产品的评测提供了内容和方法，指导信息安全产品的制造和应用。它将安全分为四个方面（安全政策、可说明性、安全保障和文档）和七个安全级别（、、、）。 级安全保护欠缺级凡经检测，安全性能达不到Ｃ１级的归为Ｄ级。Ｄ级并非没有安全保护功能，只是太弱。级自主安全保护级系统中命名用户对命名实体的访问得到定义和控制。级受控存取保护级与自主安全保护级相比，本级实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件以及隔离资源，使用户对自己的行为负责。级标记安全保护级提供有关安全策略模型、数据标记以及对实体访问控制的非形式化描述；具有准确标记输出信息的能力；改正通过测试发现的任何错误。级构化保护级本级建立于一个明确定义的形式化安全策略模型之上，它要求将访问控制扩展到系统所有的实体和用户上。级安全域级使用访问监控器控制实体的全部访问。级验证设计级本级的安全功能与级相同，但最明显的不同是本级必须对设计运用数字形式化证明方法加以验证，以证明安全功能的正确性。 CC是当前信息安全的最新国际标准。它是在TESEC、ITSEC、CTCPEC、FC等信息安全标准的基础上综合形成的。 图1 ISO/IEC15408-1999标准演变 CC定义了一套能满足各种需求的IT安全准则，共分为三部分：第一部分——简介和一般模型；第二部分——安全功能要求；第三部分——安全保证要求。其中心内容是：当在PP（安全保护框架）和ST（安全目标）中描述TOE（评测对象）的安全要求时，应尽可能使用其与第二部分描述的安全功能组件和第三部分描述的安全保证组件相一致。 CC在第一部分描述了对安全保护框架（PP）和安全目标（ST）的要求。与传统的软件系统设计相比较，PP实际上就是安全需求的完整表示，ST则是通常所说的安全方案。CC在第二部分和第三部分，分别详细介绍了为实现PP和ST所需要的安全功能要求和安全保证要求，并对安全保证要求进行了等级划分（共分为七个等级）。对于安全功能要求，CC虽然没有进行明确的等级划分，但是在对每一类功能进行具体描述时，要求上还是有差别的。 CC明确指出不在其范围的内容包括：与信息技术安全措施没有直接关联的属于行政管理的安全措施，虽然这类安全管理措施是技术安全措施的前提；信息技术安全性的物理方面；密码算法的质量评价。 ?CC在对安全保护框架和安全目标的一般模型进行介绍以后，分别从安全功能和安全保证两方面对IT安全技术的要求进行了详细描述安全功能要分为以下11类：安全审计类通信类密码支持类用户数据保护类标识和鉴别类安全管理类隐秘类TSF保护类资源利用类TOE访问类可信路径/信道类。这些安全类又分为族，族中又分为组件。组件是对具体安全要求的描述。从叙述上看，每一个族中的具体安全要求也是有差别的，但CC没有以这些差别作为划分安全等级的依据。如果对CC的十一个安全类的内容稍加分析便可看出，其中的前七类的安全功能