在經濟全球化的今天,信息化的跨國界、跨組織、跨領域的效力,使得國際國內形勢變得更加複雜,信息安全已經被世界各國提到越來越重要的地位。從國家軍事政治等機密安全,到防範商業企業機密泄露、防範青少年對不良信息的瀏覽、個人信息的泄露等都是信息安全包括的範圍,如何對信息系統實行分等級保護一直是國內外各方關注的熱點。
美國一直走在信息安全研究前列,近些年來在計算機信息系統安全方面,突出體現了系統分類分級實施保護的發展思路,並根據有關的技術標準、指南,對國家一些重要的信息系統實現了安全分級、採用不同管理的工作模式,並形成了體系化的標準和指南性文件。
美國國防部早在80年代就針對國防部門的保密開展了一系列有影響的工作,於1983年公佈了可信計算基系統評估準則TCSEC(Trusted Computer System Evaluation Criteria,俗稱橘皮書),橘皮書中使用了可信計算基礎TCB(Trusted Computing Base)這一概念。後來成立了所屬的機構——國家計算機安全中心(NCSC)繼續進行有關工作,於1987年出版了一系列有關可信計算基的指南等(俗稱彩虹系列)。該書從網絡安全的角度出發,解釋了準則中的觀點,從用戶登錄、授權管理、審計跟蹤、隱通道分析、可信通道建立、安全檢測、生命週期保障、文本寫作、用戶指南均提出了規範性要求,並根據所採用的、系統所具備的安全功能將系統分爲四類七個安全級別。將計算機系統的可信程度劃分爲D、C1、C2、B1、B2、B3和A1七個層次。
TCSEC帶動了國際計算機安全的評估研究,90年代西歐四國(英、法、荷、德)聯合提出了技術安全評估標準(ITSEC),ITSEC(又稱歐洲)除了吸收TCSEC的成功經驗外,首次提出了保密性、完整性、可用性的概念,把可信計算基的概念提高到可信技術的高度上來認識。他們的工作成爲歐共體安全計劃的基礎,並對國際安全的研究、實施帶來深刻的影響。隨後,美國爲了保持TCSEC的影響力,聯合其他國家共同提出新評估準則,1991年1月宣佈制定通用安全評估準則(CC)的計劃。1996年1月出版了1.0版。它的基礎是歐洲的ITSEC,美國的包括TCSEC在內的新的聯邦評估標準,加拿大的CTCPEC,以及國際標準化組織ISO:SC27WG3的安全評估標準。CC標準吸收了各先進國家對現代系統安全的經驗與知識,對未來安全的研究與應用帶來重大影響。
國外在信息安全分等級保護方面的最佳實踐爲我國推行等級保護工作鋪墊了良好的基礎,提供了有效的經驗。溫總理在第三次會議上曾經指出,信息安全的保障工作要堅持“積極防禦、綜合防範”的方針,重點保障基礎網絡和重要系統的安全,並完善信息安全監控體系,建立信息安全的有效機制和應急處理機制。因此,如何使計算機信息網絡等級保護制度更爲有效地保護重要領域的信息網絡,建立安全保障的長效機制將是現在和今後我國信息安全建設的重點。