国外标准
国外对于计算机安全问题的评估标准较多,比较著名的是1983年美国国防部提出的《可信计算机评估标准》TCSEC(Trusted Computer System Evaluation Criteria),又称桔皮书。TCSEC根据以下几个方面进行安全性评估:
(1) 安全策略:必须有一个明确的、确定的由系统实施的安全策略;
(2) 识别:必须惟一而可靠地识别每个主体,以便检查主体/客体的访问请求;
(3) 标记:必须给每个客体(目标)作一个"标号",指明该客体的安全级别。这种结合必须做到对该目标进行访问请求时都能得到该标号以便进行对比;
(4) 可检查性:系统对影响安全的活动必须维持完全而安全的记录。这些活动包括系统新用户的引入、主体或客体的安全级别的分配和变化以及拒绝访问的企图;
(5) 保障措施:系统必须含实施安全性的机制并能评价其有效性;
(6) 连续的保护:实现安全性的机制必须受到保护以防止未经批准的改变。
国外对于计算机安全问题的评估标准较多,比较著名的是1983年美国国防部提出的《可信计算机评估标准》TCSEC(Trusted Computer System Evaluation Criteria),又称桔皮书。TCSEC根据以下几个方面进行安全性评估:
(1) 安全策略:必须有一个明确的、确定的由系统实施的安全策略;
(2) 识别:必须惟一而可靠地识别每个主体,以便检查主体/客体的访问请求;
(3) 标记:必须给每个客体(目标)作一个"标号",指明该客体的安全级别。这种结合必须做到对该目标进行访问请求时都能得到该标号以便进行对比;
(4) 可检查性:系统对影响安全的活动必须维持完全而安全的记录。这些活动包括系统新用户的引入、主体或客体的安全级别的分配和变化以及拒绝访问的企图;
(5) 保障措施:系统必须含实施安全性的机制并能评价其有效性;
(6) 连续的保护:实现安全性的机制必须受到保护以防止未经批准的改变。
