安全评估相关标准之1TSEC

2.1TSEC

信息技术安全评估标准（Information Technology Sec,urity Evaluation Criteria，ITSEC）是评估产品和系统中计算机安全性的一套结构化的标准。ITSEC于1990年5月首先在法国，德国，荷兰和英国出版，基于其各自国家的现有工作。经过广泛的国际审查，1.2版随后于1991年6 月由欧洲共同体委员会在评估和认证计划中运作使用。

自1990年ITSEC发布以来，其他一些欧洲国家同意认可ITSEC评估的有效性。ITSEC已经在很大程度上取代了通用标准，通用标准提供了类似的评估水平，并实施了评估概念和安全目标文件的目标。

被评估的产品或系统称为评估目标，对其安全特性进行了详细的检查，最终实现了全面而通报的功能和渗透测试。考核的程度取决于目标所需的信心水平。为了提供不同程度的信心，ITSEC定义评估级别，表示为EO至E6。更高的评估水平涉及更广泛的检测和测试目标。

与先前的标准不同，特别是由美国防务机构开发的TCSEC，ITSEC并没有要求评估目标来包含具体的技术特征，以达到特定的保证水平。例如，ITSEC目标可能提供认证或完整性功能，而不提供机密性或可用性。给定目标的安全功能记录在安全目标文件中，其内容必须在目标本身进行评估之前进行评估和批准。每个ITSEC评估都完全基于验证安全目标中确定的安全功能。