《GA174-1998〈基于DOS的信息安全產(chǎn)品評級準(zhǔn)則〉專題研究報告》目錄一、

滄海遺珠：在數(shù)字時代回望

DOS

安全標(biāo)準(zhǔn)，我們能汲取何種歷史智慧與戰(zhàn)略啟示？二、

標(biāo)準(zhǔn)透視：專家視角剖析

GA

174-1998

的核心架構(gòu)與評級模型設(shè)計邏輯三、基石重審：從身份鑒別到自主訪問控制，標(biāo)準(zhǔn)中的基礎(chǔ)安全機制永恒價值四、

縱深防御：剖析標(biāo)準(zhǔn)中的數(shù)據(jù)完整性、審計與客體重用等防護理念五、信任之源：專家安全保證要求在產(chǎn)品可信性構(gòu)建中的奠基性作用六、

等級度量：深入探究從低到高五個安全等級的躍遷路徑與核心差異點七、

古今對話：將

DOS

時代安全準(zhǔn)則映射至現(xiàn)代復(fù)雜計算環(huán)境的適用性探討八、標(biāo)準(zhǔn)之熵：直面標(biāo)準(zhǔn)的歷史局限性與在當(dāng)代攻防態(tài)勢下面臨的挑戰(zhàn)九、

范式傳承：挖掘標(biāo)準(zhǔn)中歷久彌新的安全工程思想對當(dāng)前產(chǎn)品開發(fā)的指導(dǎo)十、

未來鏡鑒：從舊標(biāo)準(zhǔn)看新趨勢——對自主可控與基礎(chǔ)軟件安全評級的啟示滄海遺珠：在數(shù)字時代回望DOS安全標(biāo)準(zhǔn)，我們能汲取何種歷史智慧與戰(zhàn)略啟示？時代背景回溯：DOS作為主流操作系統(tǒng)的安全環(huán)境與威脅圖譜01上世紀(jì)90年代末，DOS及其變種仍是個人計算機的重要平臺。GA174-1998的誕生，正是為了應(yīng)對當(dāng)時針對單機、命令行界面的信息安全產(chǎn)品（如殺毒軟件、加密工具、訪問控制軟件）建立統(tǒng)一的評價尺規(guī)。其威脅模型聚焦于未授權(quán)訪問、數(shù)據(jù)泄露、病毒破壞等，反映了網(wǎng)絡(luò)化初期、以“保護邊界內(nèi)靜態(tài)數(shù)據(jù)”為核心的安全觀。02標(biāo)準(zhǔn)定位解析：為何一個“過時”的標(biāo)準(zhǔn)仍具研究價值？該標(biāo)準(zhǔn)是我國早期在信息安全產(chǎn)品測評領(lǐng)域自主探索的重要成果。盡管其技術(shù)背景已遠(yuǎn)落后于時代，但其蘊含的“安全產(chǎn)品自身需可信”、“安全功能需有效”、“安全保證需可驗證”的核心思想，是信息安全測評學(xué)科的基石。研究它，如同研究密碼學(xué)史，并非為了直接應(yīng)用，而是理解安全理念的演進脈絡(luò)和不變的本質(zhì)。12戰(zhàn)略啟示挖掘：從“產(chǎn)品評級”到“體系構(gòu)建”的思想躍遷GA174-1998標(biāo)志著一個認(rèn)識：安全不能僅靠功能堆砌，需通過系統(tǒng)化評級引導(dǎo)產(chǎn)品質(zhì)量提升。這種通過標(biāo)準(zhǔn)化牽引產(chǎn)業(yè)發(fā)展的思路，對當(dāng)前構(gòu)建自主可控的信息技術(shù)體系和供應(yīng)鏈安全審查制度，具有深刻的啟示意義。它提醒我們，安全起點在于對基礎(chǔ)產(chǎn)品的嚴(yán)格要求。標(biāo)準(zhǔn)透視：專家視角剖析GA174-1998的核心架構(gòu)與評級模型設(shè)計邏輯標(biāo)準(zhǔn)創(chuàng)造性地將評級要求劃分為“安全功能”和“安全保證”兩大部分。這與國際通行的CC（通用準(zhǔn)則）標(biāo)準(zhǔn)中“功能組件”與“保證組件”的劃分邏輯一脈相承。安全功能界定產(chǎn)品“做什么”（如身份識別、審計），安全保證則驗證產(chǎn)品“是否正確地實現(xiàn)了功能”（如設(shè)計文檔、測試、配置管理）。這一模型奠定了產(chǎn)品安全評估的科學(xué)基礎(chǔ)。01“安全功能-安全保證”二維模型：早期可信計算思想的樸素體現(xiàn)02等級化設(shè)計哲學(xué)：以可衡量階梯引導(dǎo)產(chǎn)品安全能力進階01標(biāo)準(zhǔn)設(shè)定了從低到高的安全等級，每個等級對應(yīng)一組明確遞增的安全功能與保證要求。這種設(shè)計并非簡單劃分優(yōu)劣，而是構(gòu)建了一條清晰的產(chǎn)品安全能力演進路徑，引導(dǎo)廠商循序漸進地提升產(chǎn)品質(zhì)量。它體現(xiàn)了標(biāo)準(zhǔn)化工作“引導(dǎo)發(fā)展”而非“設(shè)置門檻”的初衷，對當(dāng)今分級保護制度設(shè)計仍有參考價值。02基于DOS特性的適配：對單用戶、單任務(wù)環(huán)境的安全考量01評級準(zhǔn)則緊密貼合DOS系統(tǒng)的技術(shù)特征。例如，在身份鑒別上，考慮到DOS通常無多用戶登錄界面，標(biāo)準(zhǔn)可能更關(guān)注應(yīng)用層自身的口令保護；在客體重用上，關(guān)注內(nèi)存和磁盤空間的殘留信息清理。這種“因地制宜”的準(zhǔn)則制定方法，啟示我們?nèi)魏伟踩珮?biāo)準(zhǔn)都必須結(jié)合目標(biāo)系統(tǒng)的技術(shù)架構(gòu)。02基石重審：從身份鑒別到自主訪問控制，標(biāo)準(zhǔn)中的基礎(chǔ)安全機制永恒價值身份鑒別機制：在無OS強支持下如何建立可信起點？1在缺乏操作系統(tǒng)級強身份驗證的DOS環(huán)境下，標(biāo)準(zhǔn)對信息安全產(chǎn)品自身的身份鑒別能力提出了要求。這包括口令管理、鑒別失敗處理等。盡管技術(shù)手段簡單，但其核心訴求——“確保操作者身份的合法性”——是任何安全體系的絕對起點。這一要求在今天演化為多因素認(rèn)證、生物識別等，但本質(zhì)未變。2自主訪問控制（DAC）：用戶自主權(quán)的安全邊界劃定標(biāo)準(zhǔn)要求的自主訪問控制，是經(jīng)典安全模型在DOS產(chǎn)品中的體現(xiàn)。它允許資源（如文件）的擁有者自主決定將訪問權(quán)授予其他用戶。雖然DAC在強制訪問控制（MAC）面前顯得粗粒度，但其體現(xiàn)的“最小權(quán)限”和“權(quán)限分離”思想，依然是現(xiàn)代操作系統(tǒng)和應(yīng)用安全設(shè)計的根本原則，是抵御內(nèi)部威脅和權(quán)限提升的第一道防線。數(shù)據(jù)完整性保護：防篡改需求的早期技術(shù)回應(yīng)針對病毒、誤操作等導(dǎo)致的數(shù)據(jù)篡改風(fēng)險，標(biāo)準(zhǔn)對產(chǎn)品的數(shù)據(jù)完整性保護功能提出了要求。這可能體現(xiàn)為校驗和、循環(huán)冗余校驗（CRC）或早期的數(shù)字簽名應(yīng)用。這一要求直指信息安全“CIA三要素”中的“完整性”，其重要性在當(dāng)今數(shù)據(jù)驅(qū)動和軟件供應(yīng)鏈安全背景下愈發(fā)凸顯，是可信計算和零信任架構(gòu)的關(guān)注核心。縱深防御：剖析標(biāo)準(zhǔn)中的數(shù)據(jù)完整性、審計與客體重用等防護理念安全審計功能：在簡易環(huán)境中埋下可追溯的種子標(biāo)準(zhǔn)要求產(chǎn)品具備安全審計能力，記錄關(guān)鍵安全事件。在DOS環(huán)境下，這通常意味著向日志文件寫入記錄。這一要求的意義在于引入了“可核查性”和“不可否認(rèn)性”的雛形。盡管當(dāng)時的審計粒度粗、易被繞過，但它確立了安全產(chǎn)品應(yīng)提供行為追溯證據(jù)的理念，為后來的安全信息與事件管理（SIEM）奠定了基礎(chǔ)?？腕w重用：從內(nèi)存與磁盤中徹底清除敏感信息的必要性1“客體重用”指對釋放的內(nèi)存、磁盤空間進行清零，防止高敏感度信息被低權(quán)限用戶恢復(fù)。這一要求深刻體現(xiàn)了對“隱蔽信道”和“殘留信息泄露”風(fēng)險的早期認(rèn)知。在云計算、虛擬化時代，虛擬機鏡像釋放、容器銷毀、云硬盤回收中的客體重用問題，仍是云服務(wù)商和安全合規(guī)的重點關(guān)注領(lǐng)域，其原理與此一脈相承。2數(shù)據(jù)流與控制流的隱含約束：早期最小特權(quán)原則的體現(xiàn)01雖然標(biāo)準(zhǔn)未明確使用現(xiàn)代術(shù)語，但其對產(chǎn)品自身運行和數(shù)據(jù)處理的各項要求，隱含了對數(shù)據(jù)流和控制流的約束。例如，要求產(chǎn)品在完成功能后不應(yīng)駐留不必要的權(quán)限，這體現(xiàn)了“最小特權(quán)”原則；對輸入數(shù)據(jù)進行校驗，則體現(xiàn)了對控制流完整性的保護。這些思想是構(gòu)建高安全等級系統(tǒng)的精髓。02信任之源：專家安全保證要求在產(chǎn)品可信性構(gòu)建中的奠基性作用設(shè)計與文檔要求：將安全從“黑盒”轉(zhuǎn)變?yōu)椤鞍缀小?標(biāo)準(zhǔn)的安全保證部分，首要強調(diào)的是產(chǎn)品必須有清晰的安全設(shè)計文檔和用戶指南。這意味著安全不能是隱性、不可知的特性，而必須是經(jīng)過設(shè)計、可描述、可傳達的。這推動了安全工程過程的規(guī)范化，是建立用戶信任的基礎(chǔ)。當(dāng)今的安全開發(fā)生命周期（SDL）和各類安全設(shè)計規(guī)范，正是這一要求的深化與系統(tǒng)化。2測試與驗證：用證據(jù)證明安全功能的可靠性與完備性01標(biāo)準(zhǔn)要求對安全功能進行測試，并提供測試文檔。這標(biāo)志著安全評價從“宣稱有”走向“證實有”。雖然當(dāng)時的測試方法學(xué)可能比較簡單，但其確立了“以證據(jù)為中心”的測評哲學(xué)?，F(xiàn)代滲透測試、代碼審計、模糊測試、形式化驗證等，都是在這一哲學(xué)指導(dǎo)下發(fā)展出的更強大、更系統(tǒng)的證據(jù)生成方法。02配置管理與交付安全：保障產(chǎn)品生命周期的起點純潔標(biāo)準(zhǔn)對產(chǎn)品的配置管理、分發(fā)過程提出了要求，旨在防止產(chǎn)品在開發(fā)、交付過程中被篡改或植入后門。這可以視為軟件供應(yīng)鏈安全的最早關(guān)切之一。在當(dāng)今開源組件泛濫、構(gòu)建環(huán)境復(fù)雜、交付鏈條漫長的背景下，這一要求的戰(zhàn)略意義被無限放大，成為DevSecOps和軟件物料清單（SBOM）等技術(shù)要解決的核心問題。12等級度量：深入探究從低到高五個安全等級的躍遷路徑與核心差異點第一級：基礎(chǔ)安全功能級的核心要求與定位01第一級通常要求產(chǎn)品具備最基本的安全功能，如簡單的身份鑒別和訪問控制，安全保證要求也較低，可能僅需提供基本文檔。這一級別適用于對安全威脅認(rèn)識初步、安全環(huán)境相對簡單的場景。它定義了安全產(chǎn)品的“及格線”，是產(chǎn)品進入市場的安全底線，避免了完全無安全考量的產(chǎn)品流通。02中間等級（二、三、四級）：功能增強與保證強化的雙重演進在中間等級，安全功能要求逐級增強。例如，訪問控制模型可能從自主訪問控制向更嚴(yán)格的模型擴展，審計功能要求更全面的事件覆蓋和抗篡改能力。同時，安全保證要求大幅提升，包括更嚴(yán)格的設(shè)計分析、更徹底的測試覆蓋（如穿透性測試）、更規(guī)范的配置管理和分發(fā)控制。每一級的躍遷都意味著產(chǎn)品可信度質(zhì)的提升。最高級（第五級）：形式化驗證與可信基構(gòu)建的早期構(gòu)想01最高等級（在類似標(biāo)準(zhǔn)中常對應(yīng)B2/A級）通常引入了當(dāng)時最嚴(yán)格的要求，可能涉及對安全策略模型的形式化描述與驗證，以及對產(chǎn)品自身（或核心模塊）可信計算基（TCB）的明確定義與高保證開發(fā)。這代表了將安全從工程實踐推向嚴(yán)謹(jǐn)數(shù)學(xué)證明的追求。盡管在當(dāng)時DOS環(huán)境下完全實現(xiàn)極為困難，但其指明了安全產(chǎn)品發(fā)展的終極方向。02古今對話：將DOS時代安全準(zhǔn)則映射至現(xiàn)代復(fù)雜計算環(huán)境的適用性探討從單機到網(wǎng)絡(luò)：安全邊界消融帶來的準(zhǔn)則演化挑戰(zhàn)01DOS標(biāo)準(zhǔn)預(yù)設(shè)了清晰的物理單機邊界。而在網(wǎng)絡(luò)化、云化、移動化的今天，安全邊界變得動態(tài)和模糊。標(biāo)準(zhǔn)中的“自主訪問控制”需進化為基于身份和上下文的動態(tài)訪問控制；“客體重用”需考慮虛擬化多租戶環(huán)境；“產(chǎn)品”本身可能已演變?yōu)樵品?wù)或微服務(wù)架構(gòu)。核心安全目標(biāo)不變，但實現(xiàn)機制和評估范圍必須重構(gòu)。02從“產(chǎn)品”到“生態(tài)”：供應(yīng)鏈安全對評級范圍的重定義GA174-1998評級對象是單一的、可交付的“產(chǎn)品”?，F(xiàn)代軟件高度依賴開源庫、第三方組件和云平臺服務(wù)，安全是“生態(tài)”的產(chǎn)物。因此，現(xiàn)代安全標(biāo)準(zhǔn)（如等保2.0、關(guān)鍵軟件供應(yīng)鏈安全要求）將評估范圍擴展到開發(fā)過程、供應(yīng)鏈、持續(xù)運維。舊標(biāo)準(zhǔn)對單一產(chǎn)品內(nèi)部保證的要求，可視為現(xiàn)代供應(yīng)鏈安全中對“關(guān)鍵節(jié)點”審計的雛形。從靜態(tài)到動態(tài)：持續(xù)交付與運行時安全對保證要求的擴展1DOS產(chǎn)品是靜態(tài)交付、一次性評估?，F(xiàn)代軟件采用持續(xù)集成/持續(xù)部署（CI/CD），版本迭代極快。這就要求安全保證從“一次性測評”轉(zhuǎn)向“持續(xù)監(jiān)控”和“過程可信”。舊標(biāo)準(zhǔn)中的測試、配置管理要求，需要演進為融入自動化流水線的安全門禁、實時運行時應(yīng)用自我保護（RASP）和持續(xù)的安全狀態(tài)評估。2標(biāo)準(zhǔn)之熵：直面標(biāo)準(zhǔn)的歷史局限性與在當(dāng)代攻防態(tài)勢下面臨的挑戰(zhàn)技術(shù)代差：面對現(xiàn)代攻擊技術(shù)的天然“失明”標(biāo)準(zhǔn)制定于特定歷史技術(shù)環(huán)境，完全無法預(yù)見今日的高級持續(xù)性威脅（APT）、零日漏洞利用、無文件攻擊、基于人工智能的自動化攻擊等。其防護機制主要針對已知的、簡單的攻擊模式。因此，直接套用其條款來防護現(xiàn)代系統(tǒng)是徒勞的，必須理解其原理并運用現(xiàn)代技術(shù)實現(xiàn)升級。12環(huán)境假設(shè)失效：網(wǎng)絡(luò)互聯(lián)與復(fù)雜交互帶來的系統(tǒng)性風(fēng)險標(biāo)準(zhǔn)隱含假設(shè)產(chǎn)品運行在相對封閉、可控的單機環(huán)境。而當(dāng)今系統(tǒng)處于復(fù)雜的網(wǎng)絡(luò)互聯(lián)和軟件交互中，攻擊面呈指數(shù)級擴大。一個符合舊標(biāo)準(zhǔn)“自身安全”的產(chǎn)品，可能因其API暴露、依賴庫漏洞或與其他組件的不安全交互，成為整個系統(tǒng)被攻破的突破口。系統(tǒng)性風(fēng)險觀是舊標(biāo)準(zhǔn)所缺乏的。保證方法的演進：從文檔審查到自動化與智能化分析舊標(biāo)準(zhǔn)的安全保證方法嚴(yán)重依賴人工文檔審查和測試。這在當(dāng)今軟件規(guī)模和復(fù)雜性下，效率低下且覆蓋不足?，F(xiàn)代保證方法強調(diào)自動化工具鏈（SAST/DAST/IAST）、軟件成分分析（SCA）、形式化方法輔助驗證，以及利用大數(shù)據(jù)和AI進行異常行為分析。保證技術(shù)的進步是標(biāo)準(zhǔn)生命力的延伸。范式傳承：挖掘標(biāo)準(zhǔn)中歷久彌新的安全工程思想對當(dāng)前產(chǎn)品開發(fā)的指導(dǎo)“安全源于設(shè)計”原則的早期倡導(dǎo)與實踐標(biāo)準(zhǔn)通過要求安全功能設(shè)計與相關(guān)文檔，實質(zhì)上倡導(dǎo)了“安全不是附加功能，而是基礎(chǔ)設(shè)計屬性”的理念。這一理念正是現(xiàn)代安全開發(fā)生命周期（SDL）和隱私保護設(shè)計（PbD）的核心。它告誡開發(fā)者，必須在架構(gòu)設(shè)計階段就系統(tǒng)性地考慮安全需求，而非在開發(fā)末期進行“安全補丁”。分級分類、循序漸進的務(wù)實安全觀標(biāo)準(zhǔn)通過劃分安全等級，承認(rèn)了不同場景需要不同等級的安全保護，這是一種務(wù)實的安全觀。這啟示我們，在當(dāng)今產(chǎn)品開發(fā)中，應(yīng)進行威脅建模和風(fēng)險評估，根據(jù)資產(chǎn)價值、威脅級別確定適當(dāng)?shù)陌踩度牒头雷o強度，避免過度安全造成的成本浪費或體驗下降，實現(xiàn)安全與成本、效率的平衡。12證據(jù)化信任構(gòu)建：從“我說安全”到“證明安全”的轉(zhuǎn)變01標(biāo)準(zhǔn)引入安全保證要求，其深層意義在于推動產(chǎn)業(yè)從“宣稱安全”轉(zhuǎn)向“證明安全”。這種證據(jù)化思維是建立數(shù)字世界信任的基石。在今天，這體現(xiàn)為尋求第三方安全認(rèn)證（如CC、等保測評）、發(fā)布安全白皮書、公開滲透測試報告、提供軟件物料清單（SBOM）等，都是構(gòu)建透明可信的產(chǎn)品形象的關(guān)鍵。02未來鏡鑒：從舊標(biāo)準(zhǔn)看新趨勢——對自主可控與基礎(chǔ)軟件安全評級的啟示基礎(chǔ)軟件安全評級的再思考：操作系統(tǒng)、數(shù)據(jù)庫、中間件的新維度01DOS標(biāo)準(zhǔn)本質(zhì)上是為運行在基礎(chǔ)操作系統(tǒng)（DOS）上的安全產(chǎn)品評級。這啟示我們，在追求自主可控的今天，對國產(chǎn)操作系統(tǒng)、數(shù)據(jù)庫、中間件等基礎(chǔ)軟件進行科學(xué)、系統(tǒng)的安全評級至關(guān)重要。評級維度需超越舊標(biāo)準(zhǔn)，涵蓋內(nèi)核安全、虛擬化安全、容器安全、API安全、默認(rèn)安全配置等現(xiàn)代議題。02構(gòu)建適應(yīng)新型計算架構(gòu)的安全測評標(biāo)準(zhǔn)體系A(chǔ)從DOS到云計算、物聯(lián)網(wǎng)、