FCITS
FCITS(FederalCriteriaforInformationTechnologySecurity): 聯邦信息技術安全準則。
美國國家標準與技術局和美國國家安全局於1993年聯合頒布的信息技術安全準則。
相關資料
在信息安全的標準化中,眾多標準化組織在安全需求服務分析指導、安全技術機制開發、安全評估標準等方面制定了許多標準及草案。目前,國外主要的安全評價準則有:
美國TCSEC(桔皮書):該標準是美國國防部於1985年制定的,為計算機安全產品的評測提供了測試和方法,指導信息安全產品的製造和套用。它將安全分為4個方面(安全政策、可說明性、安全保障和文檔)和7個安全級別(從低到高依次為D、C1、C2、B1、B2、B3和A級)。
歐洲ITSEC:1991年,西歐四國(英、法、德、荷)提出了信息技術安全評價準則(ITSEC),ITSEC首次提出了信息安全的保密性、完整性、可用性概念,把可信計算機的概念提高到可信信息技術的高度上來認識。它定義了從E0級(不滿足品質)到E6級(形式化驗證)的7個安全等級和10種安全功能。
美國聯邦準則FC:同樣在1993年,美國發表了“信息技術安全性評價聯邦準則”(FC)。該標準的目的是提供TCSEC的升級版本,同時保護已有投資,但FC有很多缺陷,是一個過渡標準,後來結合ITSEC發展為聯合公共準則。
聯合公共準則CC:1993年6月,美國、加拿大及歐洲四國經協商同意,起草單一的通用準則(CC)並將其推進到國際標準。CC的目的是建立一個各國都能接受的通用的信息安全產品和系統的安全性評價準則,國家與國家之間可以通過簽訂互認協定,決定相互接受的認可級別,這樣能使大部分的基礎性安全機制,在任何一個地方通過了CC準則評價並得到許可進入國際市場時,就不需要再作評價,使用國只需測試與國家主權和安全相關的安全功能,從而大幅節省評價支出並迅速推向市場。CC結合了FC及ITSEC的主要特徵,它強調將安全的功能與保障分離,並將功能需求分為9類63族,將保障分為7類29族。
系統安全工程能力成熟模型(SSE-CMM):美國國家安全局於1993年4月提出的一個專門套用於系統安全工程的能力成熟模型(CMM)的構思。該模型定義了一個安全工程過程應有的特徵,這些特徵是完善的安全工程的根本保證。
ISO安全體系結構標準:國際標準化組織ISO公布了許多安全評價標準。在安全體系結構方面,1989年ISO制定了國際標準ISO7498-2《信息處理系統開放系統互連基本參考模型第2部分安全體系結構》。該標準提供了安全服務與有關機制的一般描述,確定在參考模型內部可以提供這些服務與機制的位置。
國內主要是等同採用國際標準。公安部主持制定、國家質量技術監督局發布的中華人民共和國國家標準GB17895-1999《計算機信息系統安全保護等級劃分準則》已正式頒布並實施。該準則將信息系統安全分為5個等級:自主保護級、系統審計保護級、安全標記保護級、結構化保護級和訪問驗證保護級。主要的安全考核指標有身份認證、自主訪問控制、數據完整性、審計等,這些指標涵蓋了不同級別的安全要求。上海廣電應確信有限公司作為國內的網路安全設備廠商,在參照相應國際和國外標準的同時,尤其注意滿足我國信息安全的需要,提供一系列符合國內標準和要求的安全設備。
