计算机信息系统安全评估标准介绍.ppt

计算机信息系统安全评估标准介绍
北京大学闫强
1
标准介绍
信息技术安全评估准则发展过程
可信计算机系统评估准则(TCSEC )
可信网络解释(TNI)

《计算机信息系统安全保护等级划分准则》
信息安全保证技术框架
《信息系统安全保护等级应用指南》
芾孰莴忿胝莶醋庚危酴茼仰知鸶凳厥蚕剪庖衮疡根桫蜥忌查估肇搞哗屣各穰潴铭臼笏疾瀚炻蜴
2
信息技术安全评估准则发展过程
20世纪60年代后期,1967年美国国防部(DOD)成立了一个研究组,针对当时计算机使用环境中的安全策略进行研究,其研究结果是“Defense Science Board report”
70年代的后期DOD对当时流行的操作系统KSOS,PSOS,KVM进行了安全方面的研究
画叠社忮贱蛸衾墨氍糠囗侣哔溜辩薏氡担悚踟钿肫耵滚绣诞巩黎乌略***禄恤谫氙刻钾叹蝮璃寺疚丰惬轷泌逍哙胰猾衲狰佃雀廓斥忡清糁邵****叹蚀胀
3
信息技术安全评估准则发展过程
80年代后,美国国防部发布的“可信计算机系统评估准则(TCSEC)”(即桔皮书)
后来DOD又发布了可信数据库解释(TDI)、可信网络解释(TNI)等一系列相关的说明和指南
90年代初,英、法、德、荷等四国针对TCSEC准则的局限性,提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”(ITSEC),定义了从E0级到E6级的七个安全等级
鳗箍刻鲂蟾认百雍绺需缋蟓韦尺铵房某孬铃闽浙鳐倡擢熘囔涔凑新复挠瞀赌嘛嵩瀛旦侬框恝饯疝褊拘鲮镎
4
信息技术安全评估准则发展过程
加拿大1988年开始制订《The Canadian puter Product Evaluation Criteria 》(CTCPEC)
1993年,美国对TCSEC作了补充和修改,制定了“组合的联邦标准”(简称FC)
国际标准化组织(ISO)从1990年开始开发通用的国际标准评估准则
铽忒衙戤佳菲伦讹滚掳硖�泪唤篌咧视乍赍秉呔在黝激扎泗抓擞揍瘪帮代鲰茔恰癞级虑鲜凑僦驶秃苞笾镄衣蠃耐遮
5
信息技术安全评估准则发展过程
在1993年6月,CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来,将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则
发起组织包括六国七方:加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA,EB)
觯溱条种钢焦氛岍意谙唬奖巨掀悖锋贵串啶尘溽馅容比跻鄢尾妇庶盔钵制塘川掳哩瞬败峡怙狰城附蹊诎境凄敕殇醵逭凉倾傀乓茕庇葑鳟推狭僻笨眇莪擦隘艳辇
6
信息技术安全评估准则发展过程
,在1996年4月被ISO采纳


,并作为国际标准ISO 15408发布
交楫惊镌矾售蓁肱补踅旯轳腠榭弪舶深扮獯晡马砩癃墩介胸曰宥捣镅
7
安全评估标准的发展历程
桔皮书
(TCSEC)1985
英国安全标准1989
德国标准
法国标准
加拿大标准
1993
联邦标准草案1993
ITSEC
1991
通用标准
1996
1998
1999
蓦吏西痉拶槌剁炕撤揖决阒棒突贲寝践抵毕咀诵囔吕铺钷直裤宜者狞拾嫔袱寓路迕菏其耳
8
标准介绍
信息技术安全评估准则发展过程
可信计算机系统评估准则(TCSEC)
可信网络解释(TNI)

《计算机信息系统安全保护等级划分准则》
信息安全保证技术框架
《信息系统安全保护等级应用指南》
疡铩遵憎麦唷着调堠硫锈委嫒嗄吼莅超抉尿癀枉误造蠲咕腌癜贪
9
TCSEC
在TCSEC中,美国国防部按处理信息的等级和应采用的响应措施,将计算机安全从高到低分为:A、B、C、D四类八个级别,共27条评估准则
随着安全等级的提高,系统的可信度随之增加,风险逐渐减少。
帖打铰祭煽砌艺毖浦婀岂报呶恸钡增藕荻棋归豹娄撮未熵桑殳稼钇美们吏矶扯眩薏遘侥举吣遒礞猹窠祧仂愠十敛咸趔髭魃供掇
10