计算机信息系统安全保护等级.ppt

计算机信息系统安全评估标准介绍北京大学闫强 2 标准介绍?信息技术安全评估准则发展过程?可信计算机系统评估准则( TCSEC ) ?可信网络解释( TNI ) ? ?《计算机信息系统安全保护等级划分准则》?信息安全保证技术框架?《信息系统安全保护等级应用指南》 3 信息技术安全评估准则发展过程?20世纪 60年代后期, 1967 年美国国防部( DOD )成立了一个研究组,针对当时计算机使用环境中的安全策略进行研究,其研究结果是“Defense Science Board report ”?70年代的后期 DOD 对当时流行的操作系统 KSOS ,PSOS , KVM 进行了安全方面的研究 4 信息技术安全评估准则发展过程?80年代后,美国国防部发布的“可信计算机系统评估准则( TCSEC )”(即桔皮书) ?后来 DOD 又发布了可信数据库解释( TDI )、可信网络解释( TNI )等一系列相关的说明和指南?90年代初,英、法、德、荷等四国针对 TCSEC 准则的局限性,提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”(ITSEC ),定义了从 E0级到 E6级的七个安全等级 5 信息技术安全评估准则发展过程?加拿大 1988 年开始制订《 The Canadian Trusted Computer Product Evaluation Criteria 》( CTCPEC ) ?1993 年,美国对 TCSEC 作了补充和修改,制定了“组合的联邦标准”(简称 FC) ?国际标准化组织( ISO )从 1990 年开始开发通用的国际标准评估准则 6 信息技术安全评估准则发展过程?在1993 年6月, CTCPEC 、FC、TCSEC 和ITSEC 的发起组织开始联合起来,将各自独立的准则组合成一个单一的、能被广泛使用的 IT安全准则?发起组织包括六国七方:加拿大、法国、德国、荷兰、英国、美国 NIST 及美国 NSA ,编辑委员会( CCEB )7 信息技术安全评估准则发展过程?1996 版,在1996 年4月被 ISO 采纳?1997 的测试版?1998 版?1999 年12月ISO ,并作为国际标准 ISO 15408 发布 8 安全评估标准的发展历程桔皮书( TCSEC ) 1985 英国安全标准 1989 德国标准法国标准加拿大标准 1993 联邦标准草案 1993 ITSEC 1991 通用标准 1996 1998 1999 9 标准介绍?信息技术安全评估准则发展过程?可信计算机系统评估准则( TCSEC ) ?可信网络解释( TNI ) ? ?《计算机信息系统安全保护等级划分准则》?信息安全保证技术框架?《信息系统安全保护等级应用指南》 10 TCSEC ?在TCSEC 中,美国国防部按处理信息的等级和应采用的响应措施,将计算机安全从高到低分为: A、B、C、D四类八个级别,共 27条评估准则?随着安全等级的提高,系统的可信度随之增加,风险逐渐减少。