广义的信息安全涉及各种情报、商业机密、个人隐私等,在各行各业都早已存在。具体到计算机通信领域的信息安全则是最近几十年随着电子信息技术的发展而兴起的。信息安全的发展大致经历了四个时期。
第一个时期是通信安全时期,其主要标志是1949年香农发表的《保密通信的信息理论》。在这个时期通信技术还不发达,电脑只是零散地位于不同的地点,信息系统的安全仅限于保证电脑的物理安全,以及通过密码(主要是序列密码)解决通信安全的保密问题。把电脑安置在相对安全的地点,不允许非授权用户接近,就基本可以保证数据的安全性了。这个时期的安全性是指信息的保密性,对安全理论和技术的研究也仅限于密码学。这一阶段的信息安全可以简称为通信安全。它侧重于保证数据从一地传送到另一地时的安全性。
第二个时期为计算机安全时期,以20世纪70~80年代的可信计算机系统评价准则(TCSEC)为标志。20世纪60年代以后,半导体和集成电路技术的飞速发展推动了计算机软、硬件的发展,计算机和网络技术的应用进入了实用化和规模化阶段,数据的传输已经可以通过计算机网络来完成。这时候的信息已经分成静态信息和动态信息。人们对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标的信息安全阶段,主要保证动态信息在传输过程中不被窃取,即使窃取了也不能读出正确的信息;还要保证数据在传输过程中不被篡改,让读取信息的人能够看到正确无误的信息。1977年美国国家标准局(NBS)公布的国家数据加密标准(DES)和1983年美国国防部公布的可信计算机系统评价准则(Trusted Computer System Evaluation Criteria,TCSEC,俗称橘皮书,1985年再版)标志着解决计算机信息系统保密性问题的研究和应用迈上了历史的新台阶。(www.xing528.com)
第三个时期是在20世纪90年代的网络时代。从20世纪90年代开始,由于互联网技术的飞速发展,无论是企业内部信息还是外部信息都得到了极大的开放,而由此产生的信息安全问题跨越了时间和空间,信息安全的焦点已经从传统的保密性、完整性和可用性三个原则发展为诸如可控性、抗抵赖性、真实性等其他的原则和目标。
第四个时期是进入21世纪的信息安全保障时代,其主要标志是《信息保障技术框架》(IATF)。如果说对信息的保护,主要还是处于从传统安全理念到信息化安全理念的转变过程中,那么面向业务的安全保障,就完全是从信息化的角度来考虑信息的安全了。体系性的安全保障理念,不仅关注系统的漏洞,而且从业务的生命周期着手,对业务流程进行分析,找出流程中的关键控制点,从安全事件出现的前、中、后三个阶段进行安全保障。面向业务的安全保障不是只建立防护屏障,而是建立一个“深度防御体系”,通过更多的技术手段把安全管理与技术防护联系起来,不再是被动地保护自己,而是主动地防御攻击。也就是说,面向业务的安全防护已经从被动走向主动,安全保障理念从风险承受模式走向安全保障模式。信息安全阶段也转化为从整体角度考虑其体系建设的信息安全保障时代。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。