信息網(wǎng)絡的全球化使得信息網(wǎng)絡的安全問題也全球化起來，任何與互聯(lián)網(wǎng)相連接的信息系統(tǒng)都必須面對世界范圍內(nèi)的網(wǎng)絡攻擊、數(shù)據(jù)竊取、身份假冒等安全問題。發(fā)達國家普遍發(fā)生的有關利用計算機進行犯罪的案件，絕大部分已經(jīng)在我國出現(xiàn)。

目前，我國進口的計算機系統(tǒng)產(chǎn)品，其安全功能基本上是最低層次的，我國尚沒有自己的配套安全技術(shù)產(chǎn)品，使用的微機和網(wǎng)絡產(chǎn)品從硬件、固件到軟件，基本沒有安全保障功能，在建的一些重要信息系統(tǒng)，也缺乏安全技術(shù)防范措施。這些問題若不加緊解決，會影響國家主權(quán)和安全、信息化社會的政治安定和社會穩(wěn)定、經(jīng)濟和現(xiàn)代化建設順利發(fā)展。

但是，當前計算機信息系統(tǒng)的建設者、管理者和使用者都面臨著一個共同的問題，就是他們建設、管理或使用的信息系統(tǒng)是否是安全的？如何評價系統(tǒng)的安全性？這就需要有一整套用于規(guī)范計算機信息系統(tǒng)安全建設和使用的標準和管理辦法。

一、等級保護制度的意義

1994年，國務院發(fā)布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》（以下簡稱《條例》），該條例是計算機信息系統(tǒng)安全保護的法律基礎。其中第九條規(guī)定計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定。公安部在《條例》發(fā)布實施后便著手開始了計算機信息系統(tǒng)安全等級保護的研究和準備工作。等級管理的思想和方法具有科學、合理、規(guī)范、便于理解、掌握和運用等優(yōu)點，因此，對計算機信息系統(tǒng)實行安全等級保護制度，是我國計算機信息系統(tǒng)安全保護工作的重要發(fā)展思路，對于正在發(fā)展中的信息系統(tǒng)安全保護工作更有著十分重要的意義。

為切實加強重要領域信息系統(tǒng)安全的規(guī)范化建設和管理，全面提高國家信息系統(tǒng)安全保護的整體水平，使公安機關公共信息網(wǎng)絡安全監(jiān)察工作更加科學、規(guī)范，指導工作更具體、明確，公安部組織制訂了《計算機信息系統(tǒng)安全保護等級劃分準則》（以下簡稱《準則》）國家標準，并于1999年9月13日由國家質(zhì)量技術(shù)監(jiān)督局審查通過并正式批準發(fā)布，已于 2001年1月1日執(zhí)行。該準則的發(fā)布為計算機信息系統(tǒng)安全法規(guī)和配套標準的制定和執(zhí)法部門的監(jiān)督檢查提供了依據(jù)，為安全產(chǎn)品的研制提供了技術(shù)支持，為安全系統(tǒng)的建設和管理提供了技術(shù)指導，是我國計算機信息系統(tǒng)安全保護等級工作的基礎。

二、國外等級保護的發(fā)展歷程

美國國防部早在80年代就針對國防部門的計算機安全保密開展了一系列有影響的工作，后來成立了所屬的機構(gòu)--國家計算機安全中心（NCSC）繼續(xù)進行有關工作。1983年他們公布了可信計算機系統(tǒng)評估準則（TCSEC-TrustedComputerSystemEvaluationCriteria, 俗稱橘皮書），橘皮書中使用了可信計算基礎（TrustedComputingBase,TCB）這一概念，即計算機硬件與支持不可信應用及不可信用戶的操作系統(tǒng)的組合體。在TCSEC的評價準則中，從B級開始就要求具有強制存取控制和形式化模型技術(shù)的應用。橘皮書論述的重點是通用的操作系統(tǒng)，為了使它的評判方法適用于網(wǎng)絡，NCSC于1987年出版了一系列有關可信計算機數(shù)據(jù)庫、可信計算機網(wǎng)絡等的指南等（俗稱彩虹系列）。該書從網(wǎng)絡安全的角度出發(fā)，解釋了準則中的觀點，從用戶登錄、授權(quán)管理、訪問控制、審計跟蹤、隱通道分析、可信通道建立、安全檢測、生命周期保障、文本寫作、用戶指南均提出了規(guī)范性要求，并根據(jù)所采用的安全策略、系統(tǒng)所具備的安全功能將系統(tǒng)分為四類七個安全級別。將計算機系統(tǒng)的可信程度劃分為D、C1、C2、B1、B2、B3和A1七個層次。

TCSEC帶動了國際計算機安全的評估研究，90年代西歐四國（英、法、荷、德）聯(lián)合提出了信息技術(shù)安全評估標準（ITSEC），ITSEC（又稱歐洲白皮書）除了吸收TCSEC 的成功經(jīng)驗外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信計算機的概念提高到可信信息技術(shù)的高度上來認識。他們的工作成為歐共體信息安全計劃的基礎，并對國際信息安全的研究、實施帶來深刻的影響。

美國為了保持他們在制定準則方面的優(yōu)勢，不甘心TCSEC的影響被ITSEC取代，他們采取聯(lián)合其他國家共同提出新評估準則的辦法體現(xiàn)他們的領導作用。1991年1月宣布了制定通用安全評估準則（CC）的計劃。1996年1月出版了1.0版。它的基礎是歐洲的ITSEC，美國的包括TCSEC在內(nèi)的新的聯(lián)邦評估標準，加拿大的CTCPEC，以及國際標準化組織 ISO：SC27WG3的安全評估標準。CC標準吸收了各先進國家對現(xiàn)代信息系統(tǒng)信息安全的經(jīng)驗與知識，將會對未來信息安全的研究與應用帶來重大影響。

三、中國的等級保護體系

由于對信息系統(tǒng)和安全產(chǎn)品的安全性評估事關國家安全和社會安全，任何國家不會輕易相信和接受由別的國家所作的評估結(jié)果，為保險起見，要通過本國標準的測試才認為可靠。因此，沒有一個國家會把事關國家安全利益的信息安全產(chǎn)品和系統(tǒng)的安全可信性建立在別人的評估標準、評估體系和評估結(jié)果的基礎上。而是在充分借鑒國際標準的前提下，制定自己的安全評估標準。1989年公安部開始設計起草法律和標準，在起草過程中經(jīng)過長期的對國內(nèi)外廣泛的調(diào)查和研究，特別是對國外的法律法規(guī)、政府政策、標準和計算機犯罪的研究，使我們認識到要從法律、管理和技術(shù)三個方面著手；采取的措施要從國家制度的角度來看問題，對信息安全要實行等級保護制度。

國家標準《準則》就是要從安全整體上進行保護，從整體上、根本上、基礎上來解決等級保護問題。要建立良好的國家整體保護制度，標準體系是基礎。由國家的統(tǒng)一標準要求對系統(tǒng)進行評估，《準則》的配套標準分兩類：一是《計算機信息系統(tǒng)安全保護等級劃分準則應用指南》，它包括技術(shù)指南、建設指南和管理指南；二是《計算機信息系統(tǒng)安全保護等級評估準則》，它包括安全操作系統(tǒng)、安全數(shù)據(jù)庫、網(wǎng)關、防火墻、路由器和身份認證管理等。目前，國家正在組織有關單位完善信息系統(tǒng)安全等級保護制度的標準體系。

《準則》對計算機信息系統(tǒng)安全保護能力劃分了五個等級，計算機信息系統(tǒng)安全保護能力隨著安全保護等級的增高，逐漸增強。高級別的安全要求是低級別要求的超集。

《準則》將計算機安全保護劃分為以下五個級別：

第一級：用戶自主保護級。它的安全保護機制使用戶具備自主安全保護的能力，保護用戶的信息免受非法的讀寫破壞。

第二級：系統(tǒng)審計保護級。除具備第一級所有的安全保護功能外，要求創(chuàng)建和維護訪問的審計跟蹤記錄，是所有的用戶對自己行為的合法性負責。

第三級：安全標記保護級。除繼承前一個級別的安全功能外，還要求以訪問對象標記的安全級別限制訪問者的訪問權(quán)限，實現(xiàn)對訪問對象的強制訪問。

第四級：結(jié)構(gòu)化保護級。在繼承前面安全級別安全功能的基礎上，將安全保護機制劃分為關鍵部分和非關鍵部分，對關鍵部分直接控制訪問者對訪問對象的存取，從而加強系統(tǒng)的抗?jié)B透能力。

第五級：訪問驗證保護級。這一個級別特別增設了訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問活動。