2.1TSEC
信息技术安全评估标准(Information Technology Sec,urity Evaluation Criteria,ITSEC)是评估产品和系统中计算机安全性的一套结构化的标准。ITSEC于1990年5月首先在法国,德国,荷兰和英国出版,基于其各自国家的现有工作。经过广泛的国际审查,1.2版随后于1991年6 月由欧洲共同体委员会在评估和认证计划中运作使用。
自1990年ITSEC发布以来,其他一些欧洲国家同意认可ITSEC评估的有效性。ITSEC已经在很大程度上取代了通用标准,通用标准提供了类似的评估水平,并实施了评估概念和安全目标文件的目标。
被评估的产品或系统称为评估目标,对其安全特性进行了详细的检查,最终实现了全面而通报的功能和渗透测试。考核的程度取决于目标所需的信心水平。为了提供不同程度的信心,ITSEC定义评估级别,表示为EO至E6。更高的评估水平涉及更广泛的检测和测试目标。
与先前的标准不同,特别是由美国防务机构开发的TCSEC,ITSEC并没有要求评估目标来包含具体的技术特征,以达到特定的保证水平。例如,ITSEC目标可能提供认证或完整性功能,而不提供机密性或可用性。给定目标的安全功能记录在安全目标文件中,其内容必须在目标本身进行评估之前进行评估和批准。每个ITSEC评估都完全基于验证安全目标中确定的安全功能。