随着网络技术的发展,网络安全技术也进入了高速发展的时期,人们对网络安全的需求也从早期的数据通信保密发展到网络系统的保障阶段。总体来说,网络安全的发展过程经历了以下4个阶段。
20世纪40年代~20世纪70年代,通信技术还不发达,计算机只是零散地位于不同的地点,信息系统的安全局限于保证计算机的物理安全以及解决电话、电报、传真等信息交换过程中存在的安全问题。把计算机安置在相对安全的地点,不容许生人接近,就可以保证存储数据的安全性。但是,信息是必须要交流的,如果这台计算机的数据需要让别人读取,而需要读取数据的人在异地,那么只能将数据复制到介质上,派专人秘密送到目的地,将数据复制到计算机再读取。即使是这样,也不是完美无缺的,谁来保证信息传递员的安全?因此这个阶段强调的信息系统安全性更多的是信息的保密性,重点是通过密码技术解决通信保密问题,主要是保证数据的保密性,对于安全理论和技术的研究也只侧重于密码学,这一阶段的网络安全可以简单地称为通信安全。
这一阶段的标志性事件是1949年克劳德·香农(Claucle Shannon)发表《保密系统的通信理论》,将密码学纳入了科学的轨道;1976年,惠特菲尔德·迪菲(Whitfield Diffie)和马丁·赫尔曼(Martin Hellman)在《密码学的新动向》一文中提出了公钥密码体系;1977年,美国国家标准学会公布了数据加密标准(Data Encryption Standard,DES)。
20世纪80年代,计算机的应用范围不断扩大,计算机和网络技术的应用进入了实用化和规模化阶段,人们利用通信网络把独立的计算机系统连接起来共享资源,信息安全问题也逐渐受到重视。人们对网络安全的关注已经逐渐进入以保密性、完整性和可用性为目标的计算机安全阶段。
这一阶段的标志是美国国防部在1983年制定的《可信计算机系统评价准则》,其为计算机安全产品的评测提供了测试方法,指导了信息安全产品的制造和应用。美国国防部于1985年再版的《可信计算机系统评价准则》使计算机系统的安全性评估有了一个权威性的标准。这个阶段的重点是确保计算机系统中的软件、硬件及信息在处理、存储、传输中的保密性、完整性和可用性,安全威胁已经扩展到非法访问、恶意代码、口令攻击等。
20世纪90年代,信息的主要安全威胁发展到网络入侵、病毒破坏、信息对抗的攻击等,网络安全的重点是确保信息在存储、处理、传输过程中及信息系统不被破坏,确保合法用户的服务,限制非授权用户的服务,以及制定必要的防御攻击的措施,即进入强调信息的保密性、完整性、可控性、可用性的信息技术安全阶段。
这一阶段的主要标志是1993~1996年美国国防部在信息技术安全的基础上提出的新的安全评估准则《信息技术安全性评估通用准则》。1996年12月,国际标准化组织(International Standards Organization,ISO)采纳了该准则,将其作为国际标准ISO/IEC 15408发布。
20世纪90年代后期,随着电子商务等行业的发展,网络安全衍生出了诸如可控性、不可抵赖性等其他原则和目标。此时,人们对安全性有了新的需求。可控性是指对网络信息的传播及内容具有控制能力的特性;不可抵赖性是指保证行为人不能抵赖自己的行为。网络安全进入了从整体角度考虑其体系建设的信息保障阶段,也称为网络安全阶段。
这一阶段,在密码学方面,公开密钥密码技术得到了长足的发展,著名的RSA公开密钥密码算法获得了广泛的应用,对用于完整性校验的散列函数的研究也越来越多。此时,主要的保护措施包括防火墙、防病毒软件、漏洞扫描、IDS、公钥基础设施(Public Key Infrastructure,PKI)、虚拟专用网络(Virtual Private Network,VPN)等。
此阶段中,网络安全受到空前的重视,各个国家分别提出自己的网络安全保障体系。1998年,美国国家安全局制定了《信息保障技术框架》,提出了“深度防御策略”,确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施防御在内的深度防御目标。
面对日益严峻的国际网络空间形势,我国立足国情,以创新为驱动解决受制于人的问题,坚持纵深防御,构建牢固的网络安全保障体系。