网络安全只凭技术来解决是远远不够的,还必须依靠政府与立法机构制定与完善法律法规来进行制约。目前,我国与世界其他各国都十分重视计算机、网络与信息安全的立法问题。从1987年开始,我国政府就相继制定与颁布了一系列行政法规,包括:《电子计算机系统安全规范》(1987年10月)、《计算机软件保护条例》(1991年5月)、《计算机软件著作权登记办法》(1992年4月)、《中华人民共和国计算机信息与系统安全保护条例》(1994年2月)、《计算机信息系统保密管理暂行规定》(1998年2月)、全国人民代表大会常务委员会通过的《关于维护互联网安全决定》(2002年12月)等。
国外关于网络与信息安全技术与法规的研究起步较早,比较重要的组织有美国国家标准与技术协会(NIST)、美国国家安全局(NSA)、美国国防部(ARPA),以及很多国家与国际性组织(例如IEEE-CS安全与政策工作组、故障处理与安全论坛等)。它们的工作各有侧重点,主要集中在计算机、网络与信息系统的安全政策、标准、安全工具、防火墙、网络防攻击技术以及计算机与网络紧急情况处理与援助等方面。
用于评估计算机、网络与信息系统的安全性的标准已有很多,但是最先颁布、并且比较有影响的是美国国防部的黄皮书(可信计算机系统TC-SEC-NCSC)评估准则。相应的欧洲信息安全评估标准(ITSEC)最初是用来协调法国、德国、英国、荷兰等国的指导标准,目前已经被欧洲各国接受。(www.xing528.com)
可信计算机系统评估准则TC-SEC-NCSC是1983年公布的,1985年公布了可信网络说明(TNI)。可信计算机系统评估准则将计算机系统安全等级分为7个等级,即D、C1、C2、B1、B2、B3与A1。其中,D级系统的安全要求最低,A1级系统的安全要求最高。
D级系统的安全要求最低,属于非安全保护类,它不能用于多用户环境下的重要信息处理。D类只有一个级别。C级系统为用户能定义访问控制要求的自主保护类型,它分为两个级别:C1级和C2级。B级系统属于强制型安去保护类,即户不能分配权限,只有网络管理员可以为用户分配访问权限。B级系统分为3个级别。A1级系统要求提供的安全服务功能与B3级系统基本一致。A1级系统在安全审计、安全测试、配置管理等方面提出了更高的要求。A1级系统在系统安全模型设计及软硬件实现方面要通过认证,要求达到更高的安全可信度。一般的UNIX系统通常能满足C2级标准,只有一部分产品可以达到B1级标准的要求。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。