1.最早提出的计算机系统安全标准是美国国防部1979年6月25日发布的军标DoD5200.28-M。它定义了四种安全模式。
(1)受控的安全模式:系统用户对系统的机密材料的访问控制不在操作系统中实现,安全实现可以通过控制用户对机器的操作权等管理措施实现。
(2)自主的安全模式:计算机系统和外围设备可以在指定用户或用户群的控制下工作,该类用户了解并自主地设置机密材料的类型和安全级别。
(3)多级安全模式:系统允许不同级别和类型的机密材料并存并发处理,并且有选择地许可不同用户对数据进行访问。用户和数据的隔离控制由操作系统和相关系统软件实施。
(4)强安全模式:所有系统部件按照最高级别类型得到保护,所有系统用户必须一个安全策略。系统的控制操作对用户透明,由系统实现对机密材料的并发控制。
2.TCSEC
是计算机系统安全评价的第一个正式标准,于1985年12月由美国国防部公布。
(1)D等
D1级系统:最低级,只为文件和用户提供安全保护。
(2)C等
C1级系统:TCB通过用户和数据分开达到安全目的,所有文档都具有相同机密性。
C2级系统:通过登录,安全事件,和资源隔离增强可调的审慎控制。在连接到网上时,用户的那个对自己的行为负责。
(3)B等
具有强制性保护功能。
B1级系统:对每个对象进行灵敏度标记,作为强制访问控制的基础。灵敏度必须准确的表示对象的安全级别。
B2级系统:
B3级系统:具有很强的监视委托管理访问能力和抗干扰能力。
(4)A等
与B3级类似,对系统的设计者的设计规范进行系统分析,分析后必须核对技术确保系统符合设计规范。
3.欧共体信息技术安全评价准则ITSEC
是1991年发布的,应用领域是军队,政府和商业。
(1)功能准则分为10级:F1~F10。
到F5对应TCSEC的D~A;
F6~F10对应数据和程序的完整性,系统的可用性,系统通信的完整性和保密性。
(2)评估标准
分为6级,分别是测试,配置控制和可控的分配,详细设计和编码,详细的脆弱性分析,设计与源代码明显对应,以及设计与源代码在形式上的一致。
4.加拿大可信计算机产品安全评价标准CTCPEC
1992年发布,它综合了TCSEC和ITSEC两个准则的优点,针对政府需求设计,将安全分为功能性需求和保证性需求两部分。功能性需求分为:机密性,可用性,完整性,可控性。
5.美国信息技术安全技术联邦准则FC
跟CTCPEC类似,在此基础上引入了“保护轮廓(PP)”的概念。
6.国际通用准则CC
主要思想和框架都取自ITSEC和FC,并突破了"轮廓”的概念。