由于对信息系统和等级保护等级的安全性评估事关国家安全和社会安全,任何国家不会轻易相信和接受由别的国家所作的评估结果,为保险起见,要通过本国标准的测试才认为可靠。因此,没有一个国家会把事关国家安全利益的信息安全产品和系统的安全可信性建立在别人的评估标准、评估体系和评估结果的基础上。而是在充分借鉴国际标准的前提下,制定自己的安全评估标准。1989年公安部开始设计起草法律和标准,在起草过程中经过长期的对国内外广泛的调查和硏究,特别是对国外的法律法规、政府政策、标准和计算机犯罪的研究,使我们认识到要从法律、管理和技术三个方面着手；采取的措施要从国家制度的角度来看问题,对信息安全要实行等级保护制度。

国家标准《准则》就是要从安全整体上进行保护,从整体上、根本上、基础上来解决等级保护问题。要建立良好的国家整体保护制度,标准体系是基础。由国家的统一标准要求对系统进行评估。《准则》的配套标准分两类:一是《计算机信息系统安全保护等级划分准则应用指南》,它包括技术指南、建设指南和管理指南；二是《计算机信息系统安全保护等级评估准则》,它包括安全操作系统、安全数据库、网关、防火墙、路由器和身份认证管理等。目前,国家正在组织有关单位完善信息系统安全等级保护制度的标准体系。

美国国防部早在80年代就针对国防部门的计算机安全保密开展了一系列有影响的工作,后来成立了所属的机构-国家计算机安全中心(NCSC)继续进行有关工作。1983年他们公布了可信计算机系统评估准则(TCSEC-Trusted Computer System Evaluation Criteria,俗称橘皮书),橘皮书中使用了可信计算基础(Trusted Computing Base, TCB)这一概念,即计算机硬件与支持不可信应用及不可信用户的操作系统的组合体。在TCSEC的评价准则中,从B级开始就要求具有强制存取控制和形式化模型技术的应用。橘皮书论述的重点是通用的操作系统,为了使它的评判方法适用于网络,NCSC于1987年出版了一系列有关可信计算机数据库、可信计算机网络等的指南等(俗称彩虹系列)。该书从网络安全的角度出发,解释了准则中的观点,从用户登录、授权管理、访问控制、审计跟踪、隐通道分析、可信通道建立、安全检测、生命周期保障、文本写作、用户指南均提出了规范性要求,并根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安全级别。将计算机系统的可信程度划分为D、C1、C2、B1、B2、B3和A1七个层次。

TCSEC带动了国际计算机安全的评估研究,90年代西欧四国(英、法、荷、德)联合提出了信息技术安全评估标准(ITSEC),ITSEC(又称欧洲白皮书)除了吸收 TCSEC的成功经验外,首次提出了信息安全的保密性、完整性、可用性的概念,把可信计算机的概念提高到可信信息技术的高度上来认识。他们的工作成为欧共体信息安全计划的基础,并对国际信息安全的研究、实施带来深刻的影响。

美国为了保持他们在制定准则方面的优势,不甘心TCSEC的影响ITSEC取代,他们采取联合其他国家共同提出新评估准则的办法体现他们的领导作用。1991年1月宣布了制定通用安全评估准则(CC)的计划。1996年1月出版了1.0版。它的基础是欧洲的ITSEC,美国的包括TCSEC在内的新的联邦评估标准,加拿大的 CTCPEC,以及国际标准化组织ISO:SC27WG3的安全评估标准。CC标准吸收了各先进国家对现代信息系统信息安全的经验与知识,将会对未来信息安全的研究与应用带来重大影响。

您可以前往信创致远http://www.dengbao110.com/查看更多等级保护内容。