信息安全标准的发展历史

信息安全标准的发展历史

可以追溯到20世纪70年代初，随着计算机技术的发展和广泛应用，人们开始关注和研究如何保护计算机系统和信息的安全。以下是信息安全标准的主要发展历程：

1. 1970年代：最早的信息安全标准主要集中在军事领域，例如美国军方的标准（如DoD标准）和政府机构的安全要求。

2. 1980年代：随着商业计算机的普及，信息安全开始进入商业领域。美国国家标准与技术研究院（NIST）发布了一系列的安全标准和指南，如FIPS（联邦信息处理标准）和NSTISSP（国家信息系统安全政策）。

3. 1990年代：随着互联网的兴起，信息安全面临了新的挑战。国际标准化组织（ISO）和国际电工委员会（IEC）开始制定与信息安全相关的国际标准，如ISO 27001（信息安全管理体系）和ISO 27002（信息安全管理实践指南）。

4. 2000年代：随着移动设备和无线通信的普及，信息安全标准开始关注移动和无线环境下的安全问题。例如，PCI DSS（支付卡行业数据安全标准）针对支付卡数据的安全进行了规范。

5. 2010年代：随着云计算和大数据的发展，信息安全标准逐渐扩展到云环境和数据隐私保护。GDPR（欧洲通用数据保护条例）和HIPAA（美国健康保险可移植性和责任法案）成为重要的数据保护法律标准。

6. 当前：随着人工智能、物联网和区块链等新兴技术的发展，信息安全标准也在不断更新和完善，以应对新的安全威胁和挑战。

总体而言，信息安全标准的发展历程与计算机技术的发展和应用密切相关，从军事领域到商业领域，再到互联网和新兴技术的应用，标准的制定和实施不断演进，以保护信息资产的安全和保密性。

信息安全标准的发展历史

信息安全发展大致经历了4个时期。第一个时期是通信安全时期，其主要标志是1949年香农发表的《保密通信的信息理论》。在这个时期通信技术还不发达，电脑只是零散地位于不同的地点，信息系统的安全仅限于保证电脑的物理安全以及通过密码（主要是序列密码）解决通信安全的保密问题。把电脑安置在相对安全的地点，不容许非授权用户接近，就基本可以保证数据的安全性了。这个时期的安全性是指信息的保密性，对安全理论和技术的研究也仅限于密码学。这一阶段的信息安全可以简称为通信安全。它侧重于保证数据在从一地传送到另一地时的安全性。

第二个时期为计算机安全时期，以二十世纪70-80年代为标志《可信计算机评估准则》（TCSEC）。在二十世纪60年代后，半导体和集成电路技术的飞速发展推动了计算机软、硬件的发展，计算机和网络技术的应用进人了实用化和规模化阶段， 数据的传输已经可以通过电脑网络来完成。这时候的信息已经分成静态信息和动态信息。人们对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标的信息安全阶段，主要保证动态信息在传输过程中不被窃取，即使窃取了也不能读出正确的信息；还要保证数据在传输过程中不被篡改，让读取信息的人能够看到正确无误的信息。

1977年美国国家标准局（NBS）公布的国家数据加密标准（DES）和1983年美国国防部公布的可信计算机系统评价准则（TCSEC-Trusted Computer System Evaluation Criteria，俗称橘皮书，1985年再版）标志着解决计算机信息系统保密性问题的研究和应用迈上了历史的新台阶。

第三个时期是在二十世纪90年代兴起的网络时代。从二十世纪90年代开始，由于互联网技术的飞速发展，信息无论是企业内部还是外部都得到了极大的开放，而由此产生的信息安全问题跨越了时间和空间，信息安全的焦点已经从传统的保密性、完整性和可用性三个原则衍生为诸如可控性、抗抵赖性、真实性等其他的原则和目标。

第四个时代是进入二十一世纪的信息安全保障时代，其主要标志是《信息保障技术框架》（IATF）。如果说对信息的保护，主要还是处于从传统安全理念到信息化安全理念的转变过程中，那么面向业务的安全保障，就完全是从信息化的角度来考虑信息的安全了。

信息安全标准的发展历史

第一阶段：1995 年以前，以通信保密和依照 TCSEC 的计算机安全标准开展计算机的安全工作，其主要的服务对象是政府保密机构和军事机构；

第二阶段：在原有基础上，1995 年开始，以北京天融信网络安全技术有限公司、北京启明星辰信息技术有限公司、北京江南科友科技有限公司、北京中科网威信息技术有限公司、北京清华德实科技股份有限公司、上海复旦光华信息科技股份有限公司等一批从事信息化安全企业的诞生为标志的创业发展阶段，主要从事计算机与互联网的网络安全；

第三阶段：以 2002 年成立中国信息产业商会信息安全产业分会为标志的有序发展阶段。这个阶段不仅从事互联网的信息与网络安全，而且开始对国家基础设施信息化安全开展工作，产生了许多自有知识产权的信息与网络安全产品。