防火墻的安全標準

為保護人和物品的安全性而制定的標準，稱為安全標準。安全標準一般有兩種形式：一種是專門的特定的安全標準；另一種是在產品標準或工藝標準中列出有關安全的要求和指標。從標準的內容來講，安全標準可包括勞動安全標準、鍋爐和壓力容器安全標準、電氣安全標準和消費品安全標準等。安全標準一般均為強制性標準，由國家通過法律或法令形式規定強制執行。

??? 網絡與信息安全的標準，是在如下一些“原動力”的作用下發展起來的。

??? 安全產品間互操作性的需要。
??? 加密與解密、簽名與認證、網絡之間安全的互連互通等等，都需要來自不同廠商的產品能夠順利地進行互操作，共同實現一個完整的安全功能。這種需求導致了最初一批網絡信息安全標準的誕生，它們是以“算法”、“協議”或者“接口”的面目出現的。比如著名的對稱加密算法DES的英文全稱就是“數據加密標準”。
??? 對安全等級認定的需要。
??? 人們不可能百分之百地聽信廠家說自己有哪些安全功能，大多數用戶自己又不是安全專家，于是就需要一批用戶信得過的、恪守中立的安全專家，對安全產品的安全功能和性能進行認定。經過總結提煉，就形成了一些“安全等級”，每個安全等級在安全功能和性能上有特定的嚴格定義，對應著一系列可操作的測評認證手段。這些用客觀的、可操作的手段定義的安全等級，使得安全產品的評測認定走向科學的正軌。
??? 對服務商能力進行衡量的需要。
??? 隨著網絡信息安全逐漸成長為一個產業，安全等級認定的弱點——周期長、代價高就逐步暴露了出來。于是，除了對“蛋”（安全產品）的等級進行認定以外，人們想到了通過對下蛋的“雞”（安全服務商）等級的認定來間接地對“蛋”進行認定。這樣，使得以產品提供商和工程承包商為評測對象的標準大行其道，同以產品或系統為測評認證對象的測評認證標準形成了互補的格局。網絡的普及，使以網絡為平臺的網絡信息服務企業和使用網絡作為基礎平臺傳遞工作信息的企業，比如金融、證券、保險和各種類型的電子商務企業紛紛重視安全問題。因此，針對使用網絡和信息系統開展服務的企業的信息安全管理標準應運而生。

??? 目前國際上通行的與網絡和信息安全有關的標準，大致可分成三類：

??? 互操作標準
??? 比如， 對稱加密標準DES、3DES、 IDEA以及被普遍看好的AES； 非對稱加密標準RSA； VPN標準IPSec；傳輸層加密標準SSL；安全電子郵件標準S-MIME； 安全電子交易標準SET；通用脆弱性描述標準CVE。這些都是經過一個自發的選擇過程后被普遍采用的算法和協議，也就是所謂的“事實標準”。?
??? 技術與工程標準
??? 比如，信息產品通用測評準則（CC/ISO 15408）； 安全系統工程能力成熟度模型（SSE-CMM）。?
??? 網絡與信息安全管理標準
??? 比如，信息安全管理體系標準（BS 7799）；信息安全管理標準（ISO 13335）。