信息安全评估是指评估机构依据信息安全评估标准,采用一定的方法(方案)对信息安全产品或系统的安全性进行评价。当前的信息安全风险评估技术标准,主要是指ISO 15408《信息技术安全性评估通用准则》系列,即通常所说的CC标准,它经历了近20年的发展,现已成为实施各类信息系统评估与测评中选择安全技术要求的基础标准。
1.国外的技术标准
(1)美国国防部的TCSEC。
1967年美国国防部(DoD)成立了一个研究组,针对计算机使用环境中的安全策略进行研究。1969年,C.Weisman发表了有关Adept-50的安全控制研究成果。同年,B.W.Lampson通过形式化表示方法运用主体、客体和访问矩阵的思想第一次对访问控制问题进行抽象。1970年,W.H.Ware推出的研究报告对多渠道访问的资源共享的计算机系统引起的安全问题进行了研究。1972年,J.P.Anderson提出了引用监控机、引用验证机制和安全核等根本思想,揭示安全规则的严格模型化的重要性,并提出了独立的安全评价方法问题。之后,D.E.Bell和L.J.LaPadula提出了著名Bell&LaPadula模型,该模型在MULTICS系统中得到了成功实现,至今仍是实施保密性强制访问控制的基础。
在以上成果的基础上,DOD 1983年首次公布了《可信计算机系统评估准则》(TCSEC),以用于对操作系统的评估,这是IT历史上的第一个安全评估标准,1985年公布了第二版。TCSEC所列举的安全评估准则主要针对美国政府的安全要求,着重点是基于大型计算机系统的机密文档处理方面的安全要求。后来,DOD又发布了可信数据库解释(TDI)、可信网络解释(TNI)等一系列与TCSEC相关的说明和指南,由于这些文档发行时封面均为不同的颜色,因此又被称为“彩虹计划”。
(2)欧共体委员会的ITSEC。
随着TCSEC的广泛应用,欧洲、北美、亚洲的一些国家,在20世纪90年代初相继提出了各自的信息安全评估标准。1988年德国信息安全局推出了计算机安全评价标准。1989年英国的贸易工业部和国防部联合开发了计算机安全评价标准。1990年,欧共体委员会(CEC)首度公布了由英国、德国、法国和荷兰提出的《信息技术安全性评估准则》(ITSEC)安全评估标准,其目的是成为国家认证机构进行认证活动的基准,还有更重要的一点就是国家之间评估结果的互认。
(3)加拿大系统安全中心的CTCPEC。
1992年4月,加拿大发布《加拿大可信计算机产品评估准则》(CTCPEC)的草案,它是在TCSEC和ITSEC基础上的进一步发展,而且它实现结构化安全功能的方法也影响了后来的国际标准。
1992年8月,日本电子工业发展协会(JEIDA)公布了《日本计算机安全评估准则——功能要求》(JCSEC-FR)。该文件与ITSEC的功能部分结合得非常紧密,描述也较为详细。(www.xing528.com)
(5)美国NIST的FC-ITS。
为了尽快达到满足非军事领域需要的目标,尤其是商业IT应用需要的目的,美国开发出TCSEC的替代标准,最初的文件就是由国家标准技术研究所(NIST)发布的《多用户操作系统的最小安全需求》(MSFR)。1992年12月,美国NIST和国家安全局(NSA)联合发布一个TCSEC的替代标准《信息技术安全联邦准则》(FC-ITS)的草案1.0。但因其有很多缺陷,最终也未能取代TCSEC。
(6)通用准则CC(ISO/IEC 15408—1999)。
1996年,六国七方(英国、加拿大、法国、德国、荷兰、NSA和NIST)公布了《信息技术安全性评估通用准则》(Common Criterion,CC),该标准是北美和欧盟联合开发的统一国际互认的安全标准,是在欧美各国自行推出的评估标准及具体实践的基础上,通过相互间的总结和互补发展起来的。1998年,六国七方又公布了CC的2.0版。1999年12月国际标准化组织(ISO)采纳CC作为国际标准ISO 15408发布,因此,ISO/IEC 15408实际上就是CC标准在国际标准化组织里的称呼。
CC的3个部分相互依存,缺一不可。这三部分的有机结合具体体现在保护轮廓(PP)和安全目标(ST)中。PP和ST的概念和原理由第一部分介绍,PP和ST中的安全功能要求和安全保证要求在第二、第三部分选取,而这些安全要求的完备性和一致性,则由第二、第三两部分来保证。
2.我国的风险评估技术标准
(1)GB 17859—1999《计算机信息系统安全保护等级划分准则》。
为提高我国计算机信息系统安全保护水平,1999年9月由公安部主持制定、国家质量技术监督局发布了国家标准GB 17859—1999《计算机信息安全保护等级划分准则》,它是建立信息系统安全等级保护、实施安全等级管理的重要基础性标准。该标准的制定参照了美国的TCSEC及TNI,有3个主要目的:一是为计算机信息系统安全法规的制定和执法部门的监督检查提供依据;二是为安全产品的研制提供技术支持;三是为安全系统的建设和管理提供技术指导。
(2)GB/T 18336—2001《信息技术安全性评估准则》。
我国自1996年CC 1.0版发布后,相关标准制定部门就一直进行跟踪研究,密切关注着它的发展情况,并尝试将CC标准与信息安全实践相结合。2001年3月,我国国家质量技术监督局正式颁布了等同采用CC的国家标准GB/T 18336—2001《信息技术安全性评估准则》。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
