《计算机网络工程实用技术：网络安全标准》

为实现对网络安全的定性评价，美国国防部所属的国家计算机安全中心（NCSC）在20世纪90年代提出了网络安全性标准（DoD5200.28-STD），即可信任计算机标准评估准则（Trusted Computer Standards Evaluation Criteria），也叫橘皮书（Orange Book），认为要使系统免受攻击，对应不同的安全级别，硬件、软件和存储的信息应实施不同的安全保护。安全级别对不同类型的物理安全、用户身份验证（Authentication）、操作系统软件的可信任性和用户应用程序进行了安全描述，标准限制了可连接到用户的主机系统的系统类型。

网络安全性标准将网络安全性等级划分为A、B、C、D 4类，其中，A类安全等级最高，D类安全等级最低。

1.国际安全标准简介

数据加密的标准化工作在国外很早就开始了。比如，1976年美国国家标准局就颁布了数据加密标准算法（DES）。1984年，国际标准化组织ISO/TC97决定正式成立分技术委员会，即SC20，开展制定信息技术安全标准工作。从此，数据加密标准化工作在ISO/TC97内正式蓬勃展开。经过几年的工作，根据技术发展的需要，ISO决定撤销原来的SC20，组建新的SC27，并在1990年4月瑞典斯德哥尔摩年会上正式成立SC27，其名称为：信息技术安全技术。SC27的工作范围是信息技术安全的一般方法和信息技术安全标准体系。包括确定信息技术系统安全服务的一般要求、开发安全技术和机制、开发安全指南、开发管理支撑文件和标准。(www.xing528.com)

2.我国安全标准简介

我国信息安全研究经历了通信保密、计算机数据保护两个发展阶段，正在进入网络信息安全的研究阶段。通过学习、吸收、消化TCSEC的原则，进行了安全操作系统、多级安全数据库的研制。但由于系统安全内核受控于人，以及国外产品的不断更新升级，基于具体产品的增强安全功能的成果，难以保证没有漏洞，难以得到推广应用。在学习借鉴国外技术的基础上，国内一些部门也开发研制了一些防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但是，这些产品安全技术的完善性、规范化实用性还存在许多不足，特别是在多平台的兼容性及安全工具的协作配合和互动性方面存在很大距离，理论基础和自主的技术手段也需要发展和强化。

以前，国内主要是等同采用国际标准。目前，由公安部主持制定、国家技术标准局发布的中华人民共和国国家标准GB 17895—1999《计算机信息系统安全保护等级划分准则》已经正式颁布。该准则将信息系统安全分为5个等级，分别是：自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计、隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径和可信恢复等，这些指标涵盖了不同级别的安全要求。