计算机信息安全评估标准.PDFVIP

维普资讯 第 26卷 第 1期 飞行器测控学报 V01．26 No．1 2007年 2月 JournalofSpacecraftTTC Technology Feb．2o07 计算机信息安全评估标准 张晓光 (北京跟踪与通信技术研究所 ·北京 ‘100094) 摘 要 介绍了信息安全评估标准的发展过程 以及 TCSEC、CC等具有较大影响的安全评估标准，并对各个标准 的特点及应用方式加 以分析。最后，对信息安全评估标准未来的发展方向提出了自己的看法。 关键词 信息安全；评估标准；可信计算机系统评估准则(TCSEC)；国际通用准则(cc) 中图分类号：TP393．08 文献标识码：A ComputerInformation SecurityEvaluationCriteria ZHANG Xiao—guang (BeijingInstituteofTrackingandTelecommunicationsTechnology，Beijing100094) Abstract Thispaperreviewsthehistoryofinformationsecurityevaluationcriteriaandintroducescriteriawhichhave importanteffectonsecurityevaluationsuchasTCSECnadCC．Then，itna alysesthecharacteristicsandapplicationsof thesecriteria．Finally，thedevelopmenttrendforsecurityevaluationcriteriaofcomputerinfomr ationisnaalyzed． Keywords InfomrationSecurity；EvaluationCriteria；TrustedComputerSystemEvaluationCriteria(TCSEC)；Com— moBCriteria(CC) 0 引 言 对计算机信息系统的安全l生进行评估，其原理是采用各种标准和方法对 目标可能存在的已知安全漏 洞进行逐项检查，确定存在的安全隐患和安全风险。科学的信息安全评估标准是信息安全测评认证的基 础。信息安全评估标准为用户提供了准则，根据这个准则，一个产品或系统就可由独立授权的、可信的第 三方机构来鉴定是否满足国际公认的安全标准。因此，国际社会对于建立信息系统安全性评估通用准则 非常重视，很多国家有专门机构致力于这方面的研究。总的来看，在计算机信息系统的安全评估方面，尽 管 目前还没有形成公认的评估理论和方法，但已经存在许多安全评估的具体实践方式与标准。 1 国外计算机信息系统安全评估标准评述 1．1 历史沿革 国外对信息安全标准的研究可以追溯到20世纪60年代后期。1967年美国国防部 (DoD)发布了 “DefenseScienceBoardReport”，对当时计算机环境中的安全策略进行了分析。至80年代中期，相继出版 了一系列相关的说明和指南，由于这些文档发行时封面均为不同的颜色，因此常被称为 “彩虹系列”。其 中具有较大影响的是 “可信计算机系统评估准则(TCSEC)”(即桔皮书)。TCSEC将信息安全等级分为4 类，从低到高分别为D、C、B、A，每类中又细分为多个等级。最初的TCSEC是针对孤立计算机系统提出 的，特别是小型机和大型机系统。该标准仅适用于军队和政府，不适用于企业。TCSEC是不涉及开放系 统的安全标准，仅针对产品的安全保证要求来划分等级并进行评测，是一个静态模型。 进入20世纪90年代后，各国相继发表了自己的安全评估标准，具有代