为了更全面地讨论网络安全的内容,我们首先介绍信息安全的标准化进程。信息安全的标准化开始于20世纪70年代中期,80年代得到了较快的发展,自90年代起,引起了世界各国的普遍关注。尤其是近年信息化、网络化进程的加快,信息安全的标准化变得更加重要,更多的标准得到了制定和应用。国际性的标准化组织主要有国际标准化组织(ISO)、国际电器技术委员会(IEC)及国际电信联盟(ITU)所属的电信标准化组(ITU-TS)。
ISO 的信息技术标准化委员会TC97在1984年1月,专门组织了一个分技术委员会SC20,负责制定数据加密技术的国际标准;之后在1987年,ISO的TC97和IEC的TCs47B/83合并成为ISO/IEC联合技术委员会(JTC1);1990年4 月,ISO将原来的数据加密分技术委员会SC20,更名为安全技术分技术委员会SC27,专门从事信息技术安全一般方法和技术的标准化工作。而ISO/TC68负责银行业务应用范围内有关信息安全标准的制定,它主要制定行业应用标准,在组织上和标准之间与SC27有着密切的联系。
由于现有的从开放系统互连概念导出的一系列安全体系结构、安全框架和安全机制不能完全适应因特网的环境,且不能满足实际需要,同时按国际标准化组织的程序来制定因特网的标准,也需要一个比较长的过程,解决不了当前的急用。在此前景下,因特网上出现了标为RFC(Request For Comments 即Internet标准草案)的协议文稿,内容广泛,也包括安全方面的建议稿,经过网上讨论修改,被大家接受的就成了事实上的标准。
而信息安全产品和系统的安全评价,事关国家安全利益,通常,任何国家都不会轻易相信由别的国家所作的评价结果,为保险起见,总要通过自己的测试才认为可靠。因此,没有一个国家会把事关国家安全利益的信息安全产品和系统的安全可信性,建立在别人的评价基础上。各个国家在充分借鉴国际标准的前提下,制订自己的测评认证标准,这样,就出现了许多各个国家的信息安全标准化组织。
1984年7月,在我国的全国计算机与信息处理标准化技术委员会下,建立了相应的数据加密分技术委员会,在国家技术监督局和原电子工业部的领导下,归口国内外的信息技术数据加密的标准化工作。随着信息技术的发展和工作范围的扩大,在原数据加密分委员会的基础上,于1997年8月改组成了信息技术安全分技术委员会(与ISO/IEC JTC1/SC27信息技术的安全技术分委会对应)。它是一个具有广泛代表性、权威性和军民结合的信息安全标准化组织。其工作范围是负责信息和通信安全的通用框架、方法、技术和机制的标准化,归口国内外对应的标准化工作。其技术安全包括:开放式安全体系结构、各种安全信息交换的语义规则、在有关的应用程序接口和协议引用安全功能度的接口等。