信息安全的评估标准

二、信息安全的评估标准

信息技术安全评估是对一个构件、产品、子系统或系统的安全属性进行的技术评价，通过评估判断该构件、产品、子系统或系统是否满足一组特定的要求。信息技术安全评估的另一层含义是在一定的安全策略、安全功能需求及目标保证级别下获得相应保证的过程。

（一）信息安全评估标准的发展过程

20世纪60年代后期，美国国防部（DOD）成立了一个研究组，针对当时计算机使用环境中的安全策略进行研究，其研究结果是“Defense Science Board report”。20世纪70年代的后期DOD对当时流行的操作系统KSOS、PSOS、KVM进行了安全方面的研究。80年代后，美国国防部发布了“可信计算机系统评估准则（TCSEC）”（即橘皮书），后来又发布了可信数据库解释（TDI）、可信网络解释（TNI）等一系列相关的说明和指南。90年代初，英、法、德、荷四国针对TCSEC准则的局限性，提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”（ITSEC），定义了从E0级到E6级的七个安全等级。

加拿大1988年开始制定《The Canadian Trusted Computer Product Evaluation Criteria》（CTCPEC）。1993年，美国对TCSEC作了补充和修改，制定了“组合的联邦标准”（简称FC）。国际标准化组织（ISO）从1990年开始开发通用的国际标准评估准则。在1993年6月，CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来，将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则。发起组织包括六国七方：加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA，它们的代表建立了CC编辑委员会（CCEB）来开发CC。1999年12月ISO采纳CC，并作为国际标准ISO 15408发布。

信息安全标准的发展过程如图8-1所示。

（二）主要信息安全评估标准介绍

1．可信计算机系统评估准则（TCSEC）

在TCSEC中，美国国防部按处理信息的等级和应采用的响应措施，将计算机安全从高到低分为：A、B、C、D四类八个级别，共27条评估准则。随着安全等级的提高，系统的可信度随之增加，风险逐渐减少。

图8-1　信息安全标准的发展过程

四个安全等级分别是无保护级、自主保护级、强制保护级和验证保护级。

（1）D类是最低保护等级，即无保护级：是为那些经过评估，但不满足较高评估等级要求的系统设计的，只具有一个级别。该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处理敏感信息。

（2）C类为自主保护级：具有一定的保护能力，采用的措施是自主访问控制和审计跟踪。一般只适用于具有一定等级的多用户环境，具有对主体责任及其动作审计的能力。C类分为C1和C2两个级别：自主安全保护级（C1级）、控制访问保护级（C2级）。

（3）B类为强制保护级：主要要求是可信计算机（TCB）应维护完整的安全标记，并在此基础上执行一系列强制访问控制规则。B类系统中的主要数据结构必须携带敏感标记。系统的开发者还应为TCB提供安全策略模型以及TCB规约。应提供证据证明访问监控器得到了正确的实施。

B类分为三个类别：标记安全保护级（B1级）、结构化保护级（B2级）和安全区域保护级（B3级）。

（4）A类为验证保护级：A类的特点是使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息。为证明TCB满足设计、开发及实现等各个方面的安全要求，系统应提供丰富的文档信息。

2．通用准则CC

CC适用于硬件、固件和软件实现的信息技术安全措施；而某些内容因涉及特殊专业技术或仅是信息技术安全的外围技术不在CC的范围内。

使用通用评估方法学可以提供结果的可重复性和客观性，许多评估准则需要使用专家判断和一定的背景知识，为了增强评估结果的一致性，最终的评估结果应提交给一个认证过程，该过程是一个针对评估结果的独立的检查过程，并生成最终的证书或正式批文。

3．系统安全保护等级划分准则

我国政府及各行各业正在进行大量的信息系统的建设，并且已经成为国家的重要基础设施。计算机犯罪、黑客攻击、有害病毒等问题的出现对社会稳定、国家安全造成了极大的危害，信息安全的重要性日益突出。信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度。

大多数信息系统缺少有效的安全技术防范措施，安全性非常脆弱。我国的信息系统安全专用产品市场一直被外国产品占据，增加了新的安全隐患。因此，尽快建立能适应和保障我国信息产业健康发展的国家信息系统安全等级保护制度已迫在眉睫。

为了从整体上形成多级信息系统安全保护体系，为了提高国家信息系统安全保护能力，为从根本上解决信息社会国家易受攻击的脆弱性和有效预防计算机犯罪等问题，《中华人民共和国计算机信息系统安全保护条例》第九条明确规定，计算机信息系统实行安全等级保护。

公安部组织制定了《计算机信息系统安全保护等级划分准则》国家标准，于1999年9月13日由国家质量技术监督局审查通过并正式批准发布，2001年1月1日执行。

该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据，为安全产品的研制提供了技术支持，为安全系统的建设和管理提供了技术指导，是我国计算机信息系统安全保护等级工作的基础。

《准则》规定了计算机系统安全保护能力的五个等级，即：

●第一级：用户自主保护级。计算机信息系统可信计算基通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。

●第二级：系统审计保护级。与用户自主保护级相比，计算机信息系统可信计算基实施了粒度更细的自主访问控制。它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。

●第三级：安全标记保护级。计算机信息系统可信计算基具有系统审计保护级的所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述，具有准确地标记输出信息的能力，消除通过测试发现的任何错误。

●第四级：结构化保护级。计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上。要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体，此外，还要考虑隐蔽通道。计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。

●第五级：访问验证保护级。计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问，访问监控器本身是抗篡改的；必须足够小，能够分析和测试。

在此之后，2001年，国家发改委“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台建设项目”（1110）工程实施，2003年，中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》，2004年，四部委联合签发了《关于信息安全等级保护工作的实施意见》。这些都为建设安全的信息系统提供了必要的依据。