6.2 知识子域:安全评估标准
6.2.1安全评估标准发展
早在20世纪50年代以美国为首的西方发达国家和前苏联及其盟国即着手开发用于政府和军队的安全的信息技术产品。随着信息技术产品的不断研发,相关安全评估标准的制定也相应地开展起来并不断改进。
1985年,美国国防部率先推出了《可信计算机系统评估准则》(TCSEC),该标准事实上成了美国国家信息安全评估标准,对世界各国也产生了广泛影响。在1990年前后,英国、
德国、加拿大等国也先后制定了立足于本国情况的信息安全评估标准,如加拿大的《可信计算机产品评估准则》(Trustecl Computer Procluct Evaluation Criteria,TCPEC)等。在欧洲影响下,美国1991年制定了一个《联邦(最低安全要求)评估准则》(Fecleral(minimum safety requirements)Assessment Criteria,FC),但由于其不完备性,未能推开。
由于信息安全评估技术的复杂性和信息技术产品国际市场的逐渐形成,单靠一个国家自行制定并实行自己的评估标准已不能满足国际交流的要求,于是多国共同制定统一的信息安全评估标准被提了出来。
1991年欧洲英、法、德、荷四国国防部门信息安全机构率先联合制定了《信息技术安全评估准则》(Information tec,hnology security evaluation criteria,ITSEC),并在事实上成为欧盟各国使用的共同评估标准。这为多国共同制定信息安全标准开了先河。为了紧紧把握信息安全技术与市场的主导权,美国在欧洲四国出台ITSEC之后,立即倡议欧美六国七方(即英、法、德、荷、加五国国防信息安全机构,加上美国国防部国家安全局( National Security Agency,NSA)和美国商务部国家标准与技术局(National Institute of Standards and Technology,NIST)同共制定一个供欧美各国通用的信息安全评估标准。1993年至1996年,
经过四、五年的研究开发,产生了《信息技术安全通用评估准则》,简称CC标准。