信息安全技术经历了通信保密、计算机安全及网络信息安全三个发展阶段。信息安全的发展从以人的因素为中心角度看又经历了技术浪潮、管理浪潮和制度化浪潮或安全文化浪潮三次发展浪潮。

　　信息安全方面的标准化，兴起于20世纪70年代中期，80年代有了较快的发展，90年代引起了世界各国的普遍关注。特别是随着信息数字化和网络化的发展和应用，信息技术的安全技术标准化变得更为重要。

1．信息系统安全的三个发展阶段

　　近50年来，信息系统安全大致经历了通信保密、计算机安全及网络信息安全三个发展阶段。

　　●　通信保密阶段

　　一直到20世纪中叶，由于军方和政府关心通信保密，促进其大力发展。此阶段的主要威胁是搭线窃听，需要解决的问题是防止非法人员截获信息及确保通信的真实性。当时涉及的安全属性主要是保密性，保证信息不泄露给未经授权的人或设备，确保信道、消息源、发信人的真实性及核对信息获取者的合法性。重点是通过密码(主要是序列密码)解决通信保密问题。以香农(Shannon)于1949年发表的《保密通信和信息理论》为标志。

　　●　计算机安全阶段

　　20世纪70年代到80年代，计算机技术日渐普及，计算机安全提到日程上来。此时对计算机安全的威胁主要是非法访问、脆弱的口令、恶意代码(病毒)等，需要解决的问题是确保信息系统中硬件、软件及应用中的保密性、完整性、可用性。由于军方和政府对计算机安全的关注和推动，计算机安全开始里程碑式的发展。主要采取加密技术、身份鉴别、访问控制、系统审计等安全机制。以美国国家标准局1977年公布的国家数据加密标准(DES)和1983年美国国防部公布的可信计算机系统评价准则(TCSEC)为标志。

　　●　网络信息安全阶段

　　20世纪90年代以来，计算机网络迅速发展，随之产生网络环境下的信息安全概念。对安全的需求不断地向社会各个领域扩展。此时的安全威胁主要表现在网络环境中黑客入侵、病毒破坏、计算机犯罪、情报窃取等。人们需要保护信息在存储、处理、传输、利用过程中不被非法访问或修改，确保合法用户得到服务和拒绝非授权用户服务。安全属性除可用性、完整性、保密性外，要求对信息及信息系统实施安全监控管理的可控性，及保证行为人不能否认自己行为的抗抵赖性。安全管理受到重视。主要采取防火墙、虚拟专网(VPN)、入侵检测等完整的安全解决方案。以高级密码算法(AES)和国际标准《信息技术安全评估的公共准则》(ISO/IEC 15408)为标志。

　　时至今日，通信保密、计算机安全、网络信息安全都在不断丰富和发展。面对日趋频繁的信息攻击，信息安全的概念已不再局限于信息的保护，还需重视系统的入侵检测、反应和恢复能力。

2．信息系统安全的三次发展浪潮

　　信息安全不仅涉及技术因素、管理因素，还涉及人的因素。因此，可以从另一个角度看信息安全的发展，即经历了三次发展浪潮。

　　●　第一浪潮称为技术浪潮

　　直到20世纪80年代初期，解决信息安全问题主要靠技术方法。这次浪潮主要以大型计算机为主，采取的措施是在操作系统中内构访问控制表、用户身份识别符和口令等。诸如信息安全策略、用户的信息安全意识等方面都不在考虑中。尽管负责实施信息安全的技术人员有时已意识到安全管理问题，然而信息安全仍被视为技术问题，完全由技术人员来解决。

　　●　第二次浪潮称为管理浪潮

　　管理浪潮起于20世纪90年代中期，是技术浪潮的补充和发展。主要表现在对信息安全重要性的认识和日益增长的信息安全管理意识。

　　这是因为分布式计算的发展，以及后来的因特网、WWW和电子商务的发展，信息安全摆在了最高决策者的办公桌上。信息安全策略、信息安全管理人员及组织机构提到议事日程上，并付诸于实施。
信息系统安全，毫无疑问需要以信息安全技术为基础来解决。信息安全是一个过程，安全管理必然不可缺少。英国标准协会制订的安全管理体系标准BS7799，在国际上具有代表性，就是在这种管理浪潮背景下产生的。

　　●　第三次浪潮称为制度化浪潮或安全文化浪潮

　　与技术浪潮继续发展一道，安全管理浪潮显然将改善信息安全。与此同时，意识到人的因素或许是信息安全的最大问题。结果，与第一次浪潮和第二次浪潮并行发展，导致出现第三次浪潮。

　　目前，第三次浪潮势头正盛，主要表现在：

　　■　信息安全标准化；
　　■　国际信息安全证明；
　　■　培养整个企业的信息安全文化；
　　■　实施动态地连续测量安全标准。

　　制度化浪潮需要构成一个过程的和技术的信息安全基础设施，形成支持企业信息安全策略、过程、方法和责任的信息安全文化，使信息安全成为全体人员日常活动的必然方面并长久坚持下去。