在上世纪40~70年代,信息安全的主要威胁是搭线窃听、密码学破解与分析等,是解决通信安全的问题。针对这些安全威胁主要的保护措施就是使用加密手段,通过密码学技术来保证数据的保密性和完整性,从而解决通信保密的问题。
这个时期信息安全领域的重要标志有:
●1949年Shannon发表了《保密系统通信原理》。
●1976年Diffie和Hellman在“New Directions in Cryptography”一文中首次提出了著名的公钥密码体制,而以其名字命名的DH算法至今仍在IPSec等技术中广泛使用。
●1977年美国国家标准局公布对称加密标准DES加密算法。
上世纪70~80年代,信息安全的主要威胁扩展到非法访问、恶意代码、脆弱口令等。解决这类威胁主要靠安全操作系统设计技术。通过该项技术确保计算机系统中硬件、软件及正在处理、存储、传输的信息的机密性、完整性和可控性。这个时期信息安全的重要标志有:
●1985年美国国防部公布了可信计算机系统的评估准则,将操作系统的安全级别分为4类7个级别(D,C1,C2,B1,B2,B3,A1)。
●1987年和1991年补充了红皮书,构成了著名的彩虹(Rainbow)系列标准。(www.xing528.com)
上世纪90年代,信息安全的威胁主要来自网络入侵、恶意代码(如病毒)破坏、信息对抗等。解决这类威胁的主要措施包括防火墙技术、防病毒技术、漏洞扫描、入侵防御、PKI、VPN、安全管理等,强调信息的保密性、可控性、可用性。通过这些措施确保信息在存储、处理、传输过程中以及信息系统本身不被破坏,保证向合法用户提供服务,限制非授权用户的访问,并做好必要的攻击防御措施。这个时期信息安全的重要标志有:
●提出安全评估准则CC(ISO 15408GB/T18336)。
进入21世纪后,信息安全的威胁主要来自复杂多样的因素使实施措施与应对变得更加困难。信息保障是对信息和信息系统的安全属性、功能、效率进行保障的动态行为过程。它运用源于人、管理、技术等因素所形成的预警能力、保护能力、检测能力、反应能力、恢复能力和反击能力,在信息和系统生命周期全过程的各个状态下,保证信息内容、计算环境、边界与连接、网络基础设施的真实性、可用性、完整性、保密性、可控性、不可否认性等安全属性,从而保障应用服务的效率和效益,促进信息化的可持续健康发展。图1.4所示是中国信息安全产品测评认证中心给出的信息安全保障参考体系架构图。
图1.4 中国信息安全产品测评认证中心安全保障架构图
图1.5 PDR模型
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
