2.1TSEC

信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)（Information Technology Sec,urity Evaluation Criteria，ITSEC）是評(píng)估產(chǎn)品和系統(tǒng)中計(jì)算機(jī)安全性的一套結(jié)構(gòu)化的標(biāo)準(zhǔn)。ITSEC于1990年5月首先在法國(guó)，德國(guó)，荷蘭和英國(guó)出版，基于其各自國(guó)家的現(xiàn)有工作。經(jīng)過(guò)廣泛的國(guó)際審查，1.2版隨后于1991年6 月由歐洲共同體委員會(huì)在評(píng)估和認(rèn)證計(jì)劃中運(yùn)作使用。

自1990年ITSEC發(fā)布以來(lái)，其他一些歐洲國(guó)家同意認(rèn)可ITSEC評(píng)估的有效性。ITSEC已經(jīng)在很大程度上取代了通用標(biāo)準(zhǔn)，通用標(biāo)準(zhǔn)提供了類(lèi)似的評(píng)估水平，并實(shí)施了評(píng)估概念和安全目標(biāo)文件的目標(biāo)。

被評(píng)估的產(chǎn)品或系統(tǒng)稱(chēng)為評(píng)估目標(biāo)，對(duì)其安全特性進(jìn)行了詳細(xì)的檢查，最終實(shí)現(xiàn)了全面而通報(bào)的功能和滲透測(cè)試。考核的程度取決于目標(biāo)所需的信心水平。為了提供不同程度的信心，ITSEC定義評(píng)估級(jí)別，表示為EO至E6。更高的評(píng)估水平涉及更廣泛的檢測(cè)和測(cè)試目標(biāo)。

與先前的標(biāo)準(zhǔn)不同，特別是由美國(guó)防務(wù)機(jī)構(gòu)開(kāi)發(fā)的TCSEC，ITSEC并沒(méi)有要求評(píng)估目標(biāo)來(lái)包含具體的技術(shù)特征，以達(dá)到特定的保證水平。例如，ITSEC目標(biāo)可能提供認(rèn)證或完整性功能，而不提供機(jī)密性或可用性。給定目標(biāo)的安全功能記錄在安全目標(biāo)文件中，其內(nèi)容必須在目標(biāo)本身進(jìn)行評(píng)估之前進(jìn)行評(píng)估和批準(zhǔn)。每個(gè)ITSEC評(píng)估都完全基于驗(yàn)證安全目標(biāo)中確定的安全功能。