安全评估准则

10.1.5　安全评估准则

根据计算机信息系统安全技术发展的要求，信息系统安全保护等级划分和评估的基本准则如下。

1.可信计算机系统评估准则

TCSEC（Trusted Computer System Evaluation Criteria，可信计算机系统评估准则）是由美国国家计算机安全中心（NCSC）于1983年制定的计算机系统安全等级划分的基本准则，又称桔皮书。1987年NCSC又发布了红皮书，即可信网络指南（Trusted Network Interpretation Of the TCSEC，TNI），1991年又发布了可信数据库指南（Trusted Database Interpretation Of the TCSEC，TDI）。

2.信息技术安全评估准则

ITSEC（Information Technology Security Evaluation Criteria，信息技术安全评估准则）由欧洲四国（荷、法、英、德）于1989年联合提出，俗称白皮书。在吸收TCSEC的成功经验的基础上，首次在评估准则中提出了信息安全的保密性、完整性、可用性的概念，把可信计算机的概念提高到了可信信息技术的高度。

3.通用安全评估准则

CC（Command Criteria for IT Security Evaluation，通用安全评估准则）是由美国国家标准技术研究所（NIST）、国家安全局（NSA）、欧洲的荷、法、德、英以及加拿大等6国7方联合提出，并于1991年宣布，1995年发布的正式文件。它的基础是欧洲的白皮书ITSEC、美国的（包括桔皮书TCSEC在内的）新的联邦评价准则、加拿大的CTCPEC以及国际标准化组织的ISO/SCITWGS的安全评价标准。

4.计算机信息系统安全保护等级划分准则

计算机信息系统安全保护等级划分准则是由我国国家质量技术监督局于1999年发布的国家标准，序号为GB17859—1999。评价准则的出现为我们评价、开发、研究计算机及其网络系统的安全提供了指导准则。