原动力催生安全标准

  网络与信息安全的标准，是在如下一些“原动力”的作用下发展起来的。

  安全产品间互操作性的需要。加密与解密、签名与认证、网络之间安全的互连互通等等，都需要来自不同厂商的产品能够顺利地进行互操作，共同实现一个完整的安全功能。这种需求导致了最初一批网络信息安全标准的诞生，它们是以“算法”、“协议”或者“接口”的面目出现的。比如著名的对称加密算法DES的英文全称就是“数据加密标准”。

  对安全等级认定的需要。人们不可能百分之百地听信厂家说自己有哪些安全功能，大多数用户自己又不是安全专家，于是就需要一批用户信得过的、恪守中立的安全专家，对安全产品的安全功能和性能进行认定。经过总结提炼，就形成了一些“安全等级”，每个安全等级在安全功能和性能上有特定的严格定义，对应着一系列可操作的测评认证手段。这些用客观的、可操作的手段定义的安全等级，使得安全产品的评测认定走向科学的正轨。

  对服务商能力进行衡量的需要。随着网络信息安全逐渐成长为一个产业，安全等级认定的弱点——周期长、代价高就逐步暴露了出来。于是，除了对“蛋”（安全产品）的等级进行认定以外，人们想到了通过对下蛋的“鸡”（安全服务商）等级的认定来间接地对“蛋”进行认定。这样，使得以产品提供商和工程承包商为评测对象的标准大行其道，同以产品或系统为测评认证对象的测评认证标准形成了互补的格局。网络的普及，使以网络为平台的网络信息服务企业和使用网络作为基础平台传递工作信息的企业，比如金融、证券、保险和各种类型的电子商务企业纷纷重视安全问题。因此，针对使用网络和信息系统开展服务的企业的信息安全管理标准应运而生。

  现行主要的三种安全标准

  综上所述，目前国际上通行的与网络和信息安全有关的标准，大致可分成三类：

  互操作标准

  比如， 对称加密标准DES、3DES、 IDEA以及被普遍看好的AES； 非对称加密标准RSA； VPN标准IPSec；传输层加密标准SSL；安全电子邮件标准S-MIME； 安全电子交易标准SET；通用脆弱性描述标准CVE。这些都是经过一个自发的选择过程后被普遍采用的算法和协议，也就是所谓的“事实标准”。

  技术与工程标准

  比如，信息产品通用测评准则（CC/ISO 15408）； 安全系统工程能力成熟度模型（SSE-CMM）。

  网络与信息安全管理标准

  比如，信息安全管理体系标准（BS 7799，正在争取成为ISO 17799的进程之中）；信息安全管理标准（ISO 13335）。

  以开放原则推进安全标准

  首先，我认为信息产品之间的互操作是大势所趋。在涉及到安全的问题上，对互操作的趋势产生抵触和警惕是可以理解的，但是不遵守互操作的游戏规则，最后吃亏的只能是我们自己
  其次，我认为安全产品的等级认定标准在中国已经基本具备了推广的条件。长期以来，我国对安全产品的认证采取的是“检查是否有厂家声称的功能”而不是“检查是否有标准规定的某个安全级别的功能”，这样不利于对产品进行客观的测评，也不利于用户按照正确的方式理解测评的结果。为了实现从前者到后者的转变，有关部门做了大量的工作，积累了足够的基础，用户对等级认证也已经有了初步的认识。在这样的条件下，加大力度推广等级认定标准是十分必要的。

  信息安全管理标准是一个综合问题。从目前趋势上判断，信息安全管理体系标准所涉及的企业范围在将来要远远大于ISO 9000所涉及的企业范围。这是因为很多企业可以没有质量管理问题但却有很突出的信息安全管理问题，而且许多政府部门的信息安全管理也可以从信息安全管理标准中得到很好的借鉴。因此，信息安全管理体系标准的推广和认证本身，就有可能带来非常大的商机。