信息安全产品评估标准综述.pdf

信息安全产品评估标准综述 全国信息安全标准化技术委员会 安全评估标准组 崔书昆 信息安全产品，广义地是指具备安全功能 （必威体育官网网址性、完整性、可用性、可鉴 别性与不可否认性）的信息通信技术（ICT ）产品，狭义地是指具备上述功能的 专用信息通信技术产品。这些产品可能是硬件、固件和软件，也可能是软、固、 硬件的结合。 一、国外信息安全产品评估标准的发展 以美国为首的西方发达国家和前苏联及其盟国，早在20 世纪50 年代即着手 开发用于政府和军队的信息安全产品。到20 世纪末，美国信息安全产品产值已 达500 亿美元。 随着产品研发，有关信息安全产品评估标准的制定也相应地开展起来。 （一）国外信息安全产品评估标准的演变 国际上信息安全产品检测评估标准的发展大体上经历了三个阶段： 1.本土化阶段 1983 年，美国国防部率先推出了《可信计算机系统评估准则》（TCSEC ）， 该标准事实上成了美国国家信息安全评估标准，对世界各国也产生了广泛影响。 在 1990 年前后，英国、德国、加拿大等国也先后制定了立足于本国情况的信息 安全评估标准，如加拿大的《可信计算机产品评估准则》（CTCPEC ）等。在欧 洲影响下，美国1991 年制定了一个《联邦（最低安全要求）评估准则》（FC ）， 但由于其不完备性，未能推开。 2. 多国化阶段 由于信息安全评估技术的复杂性和信息安全产品国际市场的逐渐形成，单靠 一个国家自行制定并实行自己的评估标准已不能满足国际交流的要求，于是多国 共同制定统一的信息安全产品评估标准被提了出来。 1991 年欧洲英、法、德、荷四国国防部门信息安全机构率先联合制定了《信 息技术安全评估准则》（ITSEC ），并在事实上成为欧盟各国使用的共同评估标准。 这为多国共同制定信息安全标准开了先河。为了紧紧把握信息安全产品技术与市 场的主导权，美国在欧洲四国出台ITSEC 之后，立即倡议欧美六国七方（即英、 1 法、德、荷、加五国国防信息安全机构，加上美国国防部国家安全局（NSA ）和 美国商务部国家标准与技术局（NIST ））共同制定一个供欧美各国通用的信息安 全评估标准。1993 年至1996 年，经过四、五年的研究开发，产生了《信息技术 安全通用评估准则》，简称CC 标准。 3. 国际化阶段 为了适应经济全球化的形势要求，在CC 标准制定出不久，六国七方即推动 国际标准化组织（ISO ）将CC 标准纳入国际标准体系。经过多年协商和磋切， 国际标准组织于1999 年批准CC 标准以“ISO/IEC 15408-1999 ”名称正式列入国 际标准系列。 欧洲信息技术 安全评估准则 （ITSEC ） -1990- 美国可信计算 加拿大可信计 国际通用准则 国际标准 机系统评估准 算机产品评估 （CC ） （ISO/IEC1540 则（TCSEC ） 准则 -1996- 8） -1983- （CTCPEC ） -1999- 美国联邦准则 （FC ） -1991- （二）国外信息安全产品及评估标准的分类、分级 1.分类 美、（前）苏两大集团在信息安全产品的开发与评估中都实行了分类、分级 原则。 以美国为例，从20 世纪50 年代迄今，几经演变，目前信息安全产品大体上 分为两部分、六大类。 两部分即：政府（国防）专用安全产品（GOTS ）和商用安全产品（COTS ）。 六大类分别为：电磁（发射）安全（EMSEC 或 TEMPEST ）产品、通信安全 （COMSEC ）产品、密码（CRYPT ）产品、信息技术安全（ITSE