信息安全标准的发展历史

信息安全发展大致经历了4个时期。第一个时期是通信安全时期，其主要标志是1949年香农发表的《保密通信的信息理论》。在这个时期通信技术还不发达，电脑只是零散地位于不同的地点，信息系统的安全仅限于保证电脑的物理安全以及通过密码（主要是序列密码）解决通信安全的保密问题。把电脑安置在相对安全的地点，不容许非授权用户接近，就基本可以保证数据的安全性了。这个时期的安全性是指信息的保密性，对安全理论和技术的研究也仅限于密码学。这一阶段的信息安全可以简称为通信安全。它侧重于保证数据在从一地传送到另一地时的安全性。

第二个时期为计算机安全时期，以二十世纪70-80年代为标志《可信计算机评估准则》（TCSEC）。在二十世纪60年代后，半导体和集成电路技术的飞速发展推动了计算机软、硬件的发展，计算机和网络技术的应用进人了实用化和规模化阶段， 数据的传输已经可以通过电脑网络来完成。这时候的信息已经分成静态信息和动态信息。人们对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标的信息安全阶段，主要保证动态信息在传输过程中不被窃取，即使窃取了也不能读出正确的信息；还要保证数据在传输过程中不被篡改，让读取信息的人能够看到正确无误的信息。

1977年美国国家标准局（NBS）公布的国家数据加密标准（DES）和1983年美国国防部公布的可信计算机系统评价准则（TCSEC-Trusted Computer System Evaluation Criteria，俗称橘皮书，1985年再版）标志着解决计算机信息系统保密性问题的研究和应用迈上了历史的新台阶。

第三个时期是在二十世纪90年代兴起的网络时代。从二十世纪90年代开始，由于互联网技术的飞速发展，信息无论是企业内部还是外部都得到了极大的开放，而由此产生的信息安全问题跨越了时间和空间，信息安全的焦点已经从传统的保密性、完整性和可用性三个原则衍生为诸如可控性、抗抵赖性、真实性等其他的原则和目标。

第四个时代是进入二十一世纪的信息安全保障时代，其主要标志是《信息保障技术框架》（IATF）。如果说对信息的保护，主要还是处于从传统安全理念到信息化安全理念的转变过程中，那么面向业务的安全保障，就完全是从信息化的角度来考虑信息的安全了。