信息安全标准与全球市场需求的安全评估

从信息安全发展阶段的概括中看出，信息安全评估的对象、内容、技术逐渐从单个实体、单项技术向复杂的信息系统整体发展，试图从一个完整的体系角度对信息系统安全的方方面面进行评价。尽管信息安全最根本的问题是“攻与防”二者的角力，很多人对信息安全的理解是“信息系统具备不被攻破的能力”，但若就此将信息安全评估界定为“评价信息系统攻防能力间的对应关系”，则未免有失偏颇，原因包括以下四方面：

第一，对信息系统的攻击能力取决于当下的信息安全技术和攻击者的个体能力，前者尚容易梳理清楚，而后者决定于人的智力和经验，是难以准确评价的。况且，以最强攻击者的能力为基准进行信息安全建设，很可能导致信息安全投入很大，且未必能够达到安全目的。

第二，具体的“攻与防”针对的是信息系统的某个设备，是局部问题，尤其是攻击能力，体现的是破坏能力。而对于破坏而言，一点即够，这些“点”的攻防知识未必是系统的、成体系的。而建设和评价一个安全的信息系统，不仅需要在一个完整的体系基础上的裁剪工作，还需要能够体现信息系统内在部分间的安全关联的“体系”，单纯的攻击技术显然不具备这样的内容，尤其是针对日益复杂的信息系统。

第三，当前信息安全建设需要的是“适度安全”，即将信息安全风险控制在可容忍的风险范围内。在这个范围内，信息系统即便被攻破，也是可以容忍的，即在这个意义上，被攻破的信息系统也是“安全”的。

第四，从TCSEC发展起来的各种信息安全标准，不仅详细地定义了各种安全要素的要求，还规范了安全要素间的关联，这适合于从整体视角构建和评价信息系统安全。与攻击能力的显著个体经验性特点相比，安全标准不仅全面，还易于学习，更适合于作为构建和评估信息系统安全的依据。

鉴于此，讨论信息安全评估就更适合从信息安全标准开始，攻防能力及其评价可作为整个信息安全评估中的一个重要环节和技术。

1967年，美国国防科学委员会（Defense Science Board）成立了一个致力于计算机安全防护工作的研究小组，主要研究对远程资源共享计算机系统中分级信息的保护，并于1970年发表了题为“计算机系统的安全控制”的报告。该报告针对远程计算机系统中分级信息所面临的威胁，提出了减少威胁的策略和技术建议。美国国防部（DoD）分别于1972年和1973年发文响应这些策略和技术建议，为保护DoD计算机系统中的分级信息，建立了统一的DoD策略、安全要求、管理控制和技术措施。在美国保密局的支持下，DoD于1977年对计算机安全问题展开了全面、深入的研究。与此同时，美国国家标准局（NBS）也针对构建、评估和审核安全的计算机系统提出了相应的难点和解决方案。

NBS在1977年和1978年分别举行了小范围内的研讨会，研讨会的主题是计算机安全性的审核和评估。第二次会议的成果之一是形成了一份最终的决议，该决议倡导建立计算机安全技术有效性的评估准则，这得到了DoD的大力支持。美国麻省理工学院（MIT）的一个研究团队随后开展了计算机安全性评估准则的研究，期望其研究成果能评估计算机系统中保护分级数据安全措施的可信程度，这应该是（计算机）安全评估最初概念的源头。

成立于1981年的美国国防部计算机安全中心（DoD Computer Security Center，简称DoDCSC）扩展了NBS和MIT的评估成果。DoDCSC的职责是为计算机安全领域建立和出版标准与指南，于1985年更名为“国家计算机安全中心”。

在此期间，安全性形式化模型也取得了长足的进展，基于保密性的模型是奠基之作，它用形式化方法定义了安全性，并能证明在满足初始条件的情况下，按照既定规则运行的系统总能保持在安全的状态。随后，基于完整性的模型、信息流模型等相继出现。将这些模型用于产品安全子系统的开发实践，无疑能增强用户和供应商对产品安全性的信心。对于开发完毕的产品，仍然需要测试或评估其安全性，以确认其实际实现情况与模型预期结果的差异。再者，用户和供应商也需要一个权威的鉴定过程，以便区分不同产品（甚至同一产品的不同版本）的安全保护能力。评估的内容可能包括安全功能项、研发过程保证等。

鉴于此，DoD打算针对三方面目标制定可用来评估计算机系统安全保护能力的统一标准：一是为用户提供一个准绳，以判断和处理分级或其他敏感信息的计算机的可信程度；二是为产品供应商提供开发指导，使其产品满足敏感应用的可信要求；三是为确定安全功能规范书中的安全要求奠定基础。

DoD于1983年8月发布了TCSEC，其标识号为STD-001-83。TCSEC于1985年被采纳为DoD标准，即DoD 5200.28-STD。TCSEC起初被用于评估自动数据处理系统（Automatic Data Processing Systems，简称ADPS）中所集成的安全制的有效性，后来扩展为评估很多产品的安全性，特别是操作系统的安全性。

TCSEC为操作系统安全性的设计和评估做出了卓越的贡献，信息安全技术人员围绕TCSEC建立了较为完善的安全评估上下关系，包括安全评估依据、评估方法学、评估方案、评估执行过程、对评估结果的认证等。从此，安全评估成为信息安全领域一个完整的技术门类。(www.xing528.com)

随着计算机技术、网络技术等的快速发展，TCSEC的局限性逐步彰显出来，发达国家纷纷以TCSEC为基础制定了新的安全标准。20世纪90年代初，英、法、德、荷等四国针对TCSEC准则的局限性，提出了包含保密性、完整性、可用性等概念的《信息技术安全评估准则》（简称ITSEC），注重产品开发过程的质量保证，定义了从E0级到E6级七个安全等级。

1993年，美国对TCSEC进行了补充和修改，制定了《组合的联邦标准》（简称FC）对保护框架和安全目标进行了定义，明确提出了由用户提供系统安全保护需求的详细框架，而由产品供应商根据用户需求定义产品的安全目标、安全功能等。由于FC有很多缺陷，因此它只是一个过渡标准。

为了推动安全评估技术的国际化交流，国际标准化组织（简称ISO）从1990年开始开发通用的国际标准评估准则。新的标准是针对全球市场可互相认可的标准安全评估结果的需求而做出的响应，该任务交给了第一联合技术委员会（简称JTCI）的第27分委员会（简称SC27）的第三工作小组（简称WG3）。最初，由于工作量巨大并且需要多方协商，WG3的进展缓慢。

在1993年6月，CTCPEC、FC、TCSEC和ITSEC的发起机构开始联合起来，将各自独立的准则组合成一个单一的、能被广泛使用的安全准则。这一行动被称为“CC项目”，它的目的是解决原标准中出现的概念和技术上的差异，并把结果作为开发中的国际标准提交给ISO。这些发起机构包括六国七方，即加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA，他们的代表建立了CC编辑委员会（简称CCEB）来开发CC。随后，CCEB和WG3建立了联系，并向WG3提供了几个CC的早期版本。从1994年开始，这些版本被采纳为ISO准则许多部分的草案。

CCEB于1996年1月完成了CC1.0版，在1996年4月被ISO采纳，作为委员会草案（简称CD）而散发。而后，CC项目使用CC1.0版完成了大量的试验性评估，并广泛收集了公众对该版本的评论。基于从试用中收集到的意见、公众评论以及与ISO的相互交流，CC项目对CC进行了大范围的修订。修订工作由CC执行委员会（简称CCIB，即CCEB的接任者）完成的。

CCIB于1997年10月完成了CC2.0的测试版，并把它提送给WG3，WG3批准其为第二委员会草案。其后，CCIB完成的若干中间草案版本被非正式地提供给WG3的专家，并征求他们的反馈。CCIB接收了一系列直接来自WG3专家以及经CD投票来自ISO国家团体的意见，并根据这些反馈做出了修正，最终于1998年5月发布了CC2.0版。1999年12月，ISO采纳了CC，并作为国际标准ISO 15480发布。针对ISO对CC所做的修改，CC也进行了相应的修正，并成为CC2.1版。目前，CC2.1版和ISO 15480是完全一致的。

虽然在ISO行文中的正式名称应为《信息技术安全评估准则》，但出于历史的和连续性的目的，ISO/IEC JTC1/SC27/WG3已经同意在文档中继续使用“通用准则（CC）”这一术语。

尽管安全标准从TCSEC发布后取得了长足的进展，但直到20世纪末，TCSEC才被CC完全代替，其后的ITSEC、CC等不仅延续了TCSEC在产品评估中的作用，还在信息安全属性扩展、安全要求的表示和细化，以及对用户和供应商的指导上都有了很大的改进。

信息安全管理方面的标准ISO17799，ISO13335等也逐渐在我国获得认同，成为构建信息安全体系的依据。

安全标准及相应的评估行为是国家安全、产品发展、市场竞争和管理等多方面因素推动的结果，它们将国家安全相关部门、国家安全标准制定机构、用户、供应商、安全评估机构、权威安全认证机构等关联在一起，对规范产品的开发过程、产品选型和集成过程、产品评测过程等具有十分重要的意义。

安全标准如同一把标尺，通过安全评估，安全评测机构可基于安全性为不同的产品或信息系统划分级别，不仅为供应商与客户之间提供了互相信任的渠道，还为供应商在市场上的竞争设置了必要的“门槛”，便于国家专门机构对供应商实施监督、纠纷仲裁、处罚等管理行为。