網絡與信息安全標準是在以下“動力”的作用下發展起來的。
安全產品之間互操作性的需求。加密和解密、簽名和認證、網絡之間的安全互連等。,都要求不同廠商的產品能夠順暢的互操作,實現完整的安全功能。這種需求導致了第壹批網絡信息安全標準的誕生,這些標準以“算法”、“協議”或“接口”的形式出現。比如著名的對稱加密算法DES的英文全稱是“數據加密標準”。
安全等級鑒定的必要性。人們不可能聽信廠商對其安全功能的宣稱,而且大部分用戶本身也不是安全專家,所以需要壹群用戶信任的、中立的安全專家來鑒定安全產品的安全功能和性能。經過總結提煉,形成了壹些“安全等級”,每個安全等級都有具體的安全功能和性能的嚴格定義,對應壹系列可操作的評價和認證手段。這些由客觀的、可操作的手段定義的安全等級,使安全產品的評價和判定走上了正確的軌道。
需要衡量服務提供商的能力,該術語解釋了“無線路由器的安全標準是什麽”。
隨著網絡信息安全逐漸成長為壹個產業,安全等級鑒定周期長、費用高的弱點也逐漸暴露出來。於是,除了識別“蛋”(安全產品)的等級,人們想到了通過識別下蛋的“雞”(安全服務商)的等級來間接識別“蛋”。這樣,以產品供應商和工程承包商為評價對象的標準大行其道,以產品或系統為評價和認證對象的評價和認證標準形成互補的格局。隨著互聯網的普及,以網絡為基礎的網絡信息服務企業和以網絡為基礎平臺傳遞工作信息的企業,如金融、證券、保險和各類電子商務企業,已經開始關註安全問題。因此,針對利用網絡和信息系統提供服務的企業的信息安全管理標準應運而生。
目前,與網絡和信息安全相關的國際標準大致可分為三類:
互操作性標準,例如對稱加密標準DES、3DES、IDEA和AES,普遍受到青睞;非對稱加密標準RSA;VPN標準IPSec;傳輸層加密標準SSL;安全電子郵件標準s-mime;安全電子交易標準集;;通用漏洞描述標準CVE。這些都是經過壹個自發的選擇過程,也就是所謂的“事實標準”後,普遍采用的算法和協議。
技術和工程標準,例如信息產品的壹般評價標準(CC/ISO 15408);安全系統工程能力成熟度模型。
網絡與信息安全管理標準
比如信息安全管理體系標準(BS 7799);信息安全管理標準(ISO 13335)。