在经济全球化的今天,信息化的跨国界、跨组织、跨领域的效力,使得国际国内形势变得更加复杂,信息安全已经被世界各国提到越来越重要的地位。从国家军事政治等机密安全,到防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等都是信息安全包括的范围,如何对信息系统实行分等级保护一直是国内外各方关注的热点。
美国一直走在信息安全研究前列,近些年来在计算机信息系统安全方面,突出体现了系统分类分级实施保护的发展思路,并根据有关的技术标准、指南,对国家一些重要的信息系统实现了安全分级、采用不同管理的工作模式,并形成了体系化的标准和指南性文件。
美国国防部早在80年代就针对国防部门的保密开展了一系列有影响的工作,于1983年公布了可信计算基系统评估准则TCSEC(Trusted Computer System Evaluation Criteria,俗称橘皮书),橘皮书中使用了可信计算基础TCB(Trusted Computing Base)这一概念。后来成立了所属的机构——国家计算机安全中心(NCSC)继续进行有关工作,于1987年出版了一系列有关可信计算基的指南等(俗称彩虹系列)。该书从网络安全的角度出发,解释了准则中的观点,从用户登录、授权管理、审计跟踪、隐通道分析、可信通道建立、安全检测、生命周期保障、文本写作、用户指南均提出了规范性要求,并根据所采用的、系统所具备的安全功能将系统分为四类七个安全级别。将计算机系统的可信程度划分为D、C1、C2、B1、B2、B3和A1七个层次。
TCSEC带动了国际计算机安全的评估研究,90年代西欧四国(英、法、荷、德)联合提出了技术安全评估标准(ITSEC),ITSEC(又称欧洲)除了吸收TCSEC的成功经验外,首次提出了保密性、完整性、可用性的概念,把可信计算基的概念提高到可信技术的高度上来认识。他们的工作成为欧共体安全计划的基础,并对国际安全的研究、实施带来深刻的影响。随后,美国为了保持TCSEC的影响力,联合其他国家共同提出新评估准则,1991年1月宣布制定通用安全评估准则(CC)的计划。1996年1月出版了1.0版。它的基础是欧洲的ITSEC,美国的包括TCSEC在内的新的联邦评估标准,加拿大的CTCPEC,以及国际标准化组织ISO:SC27WG3的安全评估标准。CC标准吸收了各先进国家对现代系统安全的经验与知识,对未来安全的研究与应用带来重大影响。
国外在信息安全分等级保护方面的最佳实践为我国推行等级保护工作铺垫了良好的基础,提供了有效的经验。温总理在第三次会议上曾经指出,信息安全的保障工作要坚持“积极防御、综合防范”的方针,重点保障基础网络和重要系统的安全,并完善信息安全监控体系,建立信息安全的有效机制和应急处理机制。因此,如何使计算机信息网络等级保护制度更为有效地保护重要领域的信息网络,建立安全保障的长效机制将是现在和今后我国信息安全建设的重点。