信息安全標(biāo)準(zhǔn)體系涉及基礎(chǔ)標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)、應(yīng)用標(biāo)準(zhǔn)、服務(wù)標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn)等五類標(biāo)準(zhǔn),其結(jié)構(gòu)框架如圖0所示。現(xiàn)將我國和國外主要的標(biāo)準(zhǔn)化組織有關(guān)信息安全標(biāo)準(zhǔn)化工作的情況簡要介紹如下。
圖0:信息安全標(biāo)準(zhǔn)體系結(jié)構(gòu)框架
一、國外信息安全標(biāo)準(zhǔn)化現(xiàn)狀
國外信息安全標(biāo)準(zhǔn)化現(xiàn)狀主要介紹幾個有影響力的標(biāo)準(zhǔn)化組織的標(biāo)準(zhǔn)化工作情況。
1、國際標(biāo)準(zhǔn)化組織(ISO)
ISO內(nèi)有多個分技術(shù)委員會從事信息安全標(biāo)準(zhǔn)的研究工作,其中ISO/IEC JTC1的SC 27負(fù)責(zé)通用信息技術(shù)安全標(biāo)準(zhǔn)的制定,其它分技術(shù)委員會負(fù)責(zé)著信息應(yīng)用等方面的信息技術(shù)安全標(biāo)準(zhǔn)的制定。
ISO/IEC JTC1(信息技術(shù)標(biāo)準(zhǔn)化委員會)所屬的安全技術(shù)分委員會(SC 27),主要負(fù)責(zé)開展ICT安全標(biāo)準(zhǔn)的研制工作,其前身是ISO/TC 97 SC 20。1979年,英國向ISO/TC 97提出開展數(shù)據(jù)加密技術(shù)標(biāo)準(zhǔn)化的建議,ISO/TC 97采納了建議,并于1980年組建直屬工作組。后來,TC 97認(rèn)為,數(shù)據(jù)加密技術(shù)專業(yè)性很強,需設(shè)個分技術(shù)委員會來專門開展這方面的標(biāo)準(zhǔn)化工作,于是1984年1月在德國波恩正式成立分技術(shù)委員會SC 20。我國也派人出席了這次會議,并成為該分委員會的P成員。從此,數(shù)據(jù)加密技術(shù)標(biāo)準(zhǔn)化工作在ISO/TC 97內(nèi)正式蓬勃展開。在SC 20存在的五年期間完成了兩個正式標(biāo)準(zhǔn):ISO 8372和ISO 9160。
SC 20的標(biāo)準(zhǔn)項目中包含OSI環(huán)境下使用加密技術(shù)的互操作要求,它與SC 6和SC 21的工作范圍有重復(fù)。1989年6月正式?jīng)Q定撤消原來的SC 20,組建新的SC 27,于1990年4月瑞典斯德哥爾摩年會上正式成立SC 27,其名稱為:信息技術(shù)-安全技術(shù)(目前簡稱為IT安全技術(shù)),秘書處設(shè)在德國的BSI,其工作范圍為信息技術(shù)安全的一般方法和技術(shù)的標(biāo)準(zhǔn)化,其主要工作范圍詳見下表1-1-1。該分技術(shù)委員會已制定和正在研制的國際標(biāo)準(zhǔn)主要涉及密碼算法、散列函數(shù)、數(shù)字簽名機制、實體鑒別機制、安全評估準(zhǔn)則等領(lǐng)域,并對促進國際信息安全起了重要作用。目前SC 27下設(shè)了7個工作組(WG)分別進行各自領(lǐng)域的標(biāo)準(zhǔn)研制工作,具體詳見下表1-1-2。
表1-1-1:SC 27的工作范圍
表1-1-2:SC 27下設(shè)工作組(WG)情況
2、國際電工委員會(IEC)
在信息安全標(biāo)準(zhǔn)化方面,IEC除了同ISO聯(lián)合成立的JTC1下屬幾個分委員會外,還在電磁兼容等方面成立技術(shù)委員會,并制定相關(guān)國際標(biāo)準(zhǔn),如信息技術(shù)設(shè)備安全(IEC 60950)。與信息安全標(biāo)準(zhǔn)化相關(guān)的技術(shù)委員會及其咨詢委員會詳見下表1-2。
表1-2:IEC相關(guān)信息安全標(biāo)準(zhǔn)的技術(shù)委員會及其咨詢委員會
3、國際電信聯(lián)盟(ITU)
2001年底, 國際電信聯(lián)盟電信標(biāo)準(zhǔn)局ITU-T 所屬的研究組SG7、SG10和SG17合并形成了新的SG 17組。SG 17組主要負(fù)責(zé)研究通信系統(tǒng)安全標(biāo)準(zhǔn)。在2001~2004年研究期中,SG 17組下設(shè)了Question10項目組來專門從事信息安全標(biāo)準(zhǔn)研究。在此研究期內(nèi),Q10組主要集中于定義通信系統(tǒng)相關(guān)的整個安全框架,項目組活動涉及到協(xié)調(diào)、配合并推動其他通信系統(tǒng)安全相關(guān)的規(guī)范制定。在2017~2020年研究期中,下設(shè)了Question13項目組,分布在4個工作組內(nèi),他們研究的具體內(nèi)容詳見下表1-3。
表1-3:ITU-T信息安全標(biāo)準(zhǔn)的研究內(nèi)容(2017~2020年研究期)
SG17目前正在從事網(wǎng)絡(luò)安全工作、安全管理、安全架構(gòu)和框架、打擊垃圾郵件、身份管理、保護個人身份信息等方面的標(biāo)準(zhǔn)制定,涉及到物聯(lián)網(wǎng)(IoT)、智能電網(wǎng)、智能手機、軟件定義網(wǎng)絡(luò)(SDN)、網(wǎng)絡(luò)服務(wù)、大數(shù)據(jù)分析、社交網(wǎng)絡(luò)、云計算、移動金融系統(tǒng)、IPTV和遠程生物測量等應(yīng)用和服務(wù)的安全性。ITU-T單獨或與ISO 聯(lián)合開發(fā)了消息處理系統(tǒng)(MHS)、目錄系統(tǒng)(X.400系列、X.500系列)和安全框架、安全模型等方面的信息安全標(biāo)準(zhǔn),其中的ITU-T X.509標(biāo)準(zhǔn)是開展電子商務(wù)認(rèn)證的重要基礎(chǔ)標(biāo)準(zhǔn);ITU-T X.805標(biāo)準(zhǔn)為電信網(wǎng)絡(luò)運營商和企業(yè)提供從安全角度提供端到端架構(gòu)描述的能力;ITU-T X.1254標(biāo)準(zhǔn)規(guī)定了實體認(rèn)證保證框架,其中定義了四個級別的實體身份驗證保證以及四個級別中的每一級的標(biāo)準(zhǔn)和威脅;等等。截止2017年8月,ITU-T正式發(fā)布的信息安全標(biāo)準(zhǔn)達170多個。
4、Internet工程任務(wù)組(IETF)
IETF非常重視有關(guān)信息安全尤其是互聯(lián)網(wǎng)方面的信息安全,設(shè)置了較多的標(biāo)準(zhǔn)化工作組,主要有:enroll、idwg、inch、ipsec、ipseckey、ipsp、kink、krbwg、ltans、mobike、msec、openpgp、pki4ipsec、pkix、sacred、sasl、secsh、smime、stime、syslog、tls等20多個。有關(guān)安全方面的RFC有200多個,例如:SNMP安全協(xié)議(RFC 1352);因特網(wǎng)電子郵件保密增強(RFC 1421~1424);因特網(wǎng)協(xié)議安全體系結(jié)構(gòu)(RFC 1825)等。這些事實標(biāo)準(zhǔn)對提高和改善Internet網(wǎng)的安全性起到了至關(guān)重要的作用,如PKI、IPSec等標(biāo)準(zhǔn)及其草案將成為指導(dǎo)Internet網(wǎng)絡(luò)安全的重要文件。
欲進一步了解上述國際標(biāo)準(zhǔn)化組織介紹的請進入:ITU-T;ISO;IEC;IETF
二、我國信息安全標(biāo)準(zhǔn)化現(xiàn)狀
我國有關(guān)主管部門十分關(guān)注信息安全標(biāo)準(zhǔn)化工作,早在1984年7月就組建了數(shù)據(jù)加密技術(shù)委員會,并于1997年8月改組成全國信息技術(shù)標(biāo)準(zhǔn)化委員會的信息安全技術(shù)分委員會,負(fù)責(zé)制定信息安全的國家標(biāo)準(zhǔn)。在全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會信息安全分技術(shù)委員會和各部門各界的努力下,本著積極采用國際標(biāo)準(zhǔn)的原則,轉(zhuǎn)化了一批國際信息安全基礎(chǔ)技術(shù)標(biāo)準(zhǔn)。另外,信息產(chǎn)業(yè)部、公安部、安全部、國家保密局、國家密碼管理委員會等相繼制定、頒布了一批信息安全的行業(yè)標(biāo)準(zhǔn),為推動信息安全技術(shù)在各行業(yè)的應(yīng)用和普及發(fā)揮了積極的作用。
1、全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會
為了加強信息安全標(biāo)準(zhǔn)化工作的組織協(xié)調(diào)力度,國家標(biāo)準(zhǔn)化管理委員會批準(zhǔn)成立全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(簡稱信息安全標(biāo)委會,委員會編號為TC 260)。該技術(shù)委員會的成立標(biāo)志著我國信息安全標(biāo)準(zhǔn)化工作,步入了“歸口管理、協(xié)調(diào)發(fā)展”的新時期。該標(biāo)委會是我國在信息安全的專業(yè)領(lǐng)域內(nèi),從事信息安全標(biāo)準(zhǔn)化工作的技術(shù)工作組織。它的工作任務(wù)是向國家標(biāo)準(zhǔn)化管理委員會提出本專業(yè)標(biāo)準(zhǔn)化工作的方針、政策和技術(shù)措施的建議。標(biāo)委會的標(biāo)準(zhǔn)研究工作采用工作組的方式進行,工作組由國內(nèi)信息安全技術(shù)領(lǐng)域的有關(guān)部門、研究機構(gòu)、企業(yè)事業(yè)及高等院校等代表組成。TC 260目前所制定的標(biāo)準(zhǔn)有近230個之多,可在國標(biāo)委(SAC)的網(wǎng)站的TC 260內(nèi)查詢。
2、公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會
為了適應(yīng)我國信息化進程的飛速發(fā)展,保障我國信息系統(tǒng)和信息網(wǎng)絡(luò)的安全,促進信息安全產(chǎn)業(yè)的形成和發(fā)展,滿足公安機關(guān)對信息系統(tǒng)實施安全保護與監(jiān)察的工作需要,更好地開展信息系統(tǒng)安全技術(shù)領(lǐng)域的標(biāo)準(zhǔn)化工作,公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會于1999年3月31日經(jīng)公安部科技局批準(zhǔn)正式成立。主要任務(wù)是在公安部的領(lǐng)導(dǎo)下,負(fù)責(zé)規(guī)劃和制定我國計算機信息系統(tǒng)信息安全標(biāo)準(zhǔn)和技術(shù)規(guī)范,監(jiān)督技術(shù)標(biāo)準(zhǔn)的實施。目前公安部的信息安全標(biāo)準(zhǔn)化分別是由公安部通信標(biāo)準(zhǔn)化技術(shù)委員會(簡稱通標(biāo)委)和公安部計算機與信息處理標(biāo)準(zhǔn)化技術(shù)委員會(以簡稱信標(biāo)委)來開展的。當(dāng)初的公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會,和現(xiàn)在的通標(biāo)委及信標(biāo)委的工作范圍被匯總于下表2-2中。
表2-2:公安部的標(biāo)準(zhǔn)化技術(shù)委員會關(guān)于信息安全標(biāo)準(zhǔn)化的工作職責(zé)
3、中國通信標(biāo)準(zhǔn)化協(xié)會網(wǎng)絡(luò)與信息安全技術(shù)工作委員會
為積極推動我國通信行業(yè)安全標(biāo)準(zhǔn)化工作,2002年國家計算機網(wǎng)絡(luò)與信息安全管理中心聯(lián)合我國六大電信運營公司等10個單位聯(lián)合發(fā)起組織成立通信安全標(biāo)準(zhǔn)研究組,并得到信息產(chǎn)業(yè)部科技司的批準(zhǔn)。2003年3月,根據(jù)信息產(chǎn)業(yè)部科技司和中國通信標(biāo)準(zhǔn)化協(xié)會(CCSA)的有關(guān)決定,將通信安全研究組直接納入了中國通信標(biāo)準(zhǔn)化協(xié)會,成立了“通信信息安全技術(shù)工作委員會”, 后又于2003年6月改名為“網(wǎng)絡(luò)與信息安全技術(shù)工作委員會” ,即TC 8,直接對口ITU-T的SG 17。CCSA TC 8主要負(fù)責(zé)研究涉及有關(guān)通信安全技術(shù)和管理標(biāo)準(zhǔn),其研究領(lǐng)域及工作組設(shè)置詳見下表2-3。
表2-3:CCSA TC 8主要研究領(lǐng)域及工作組設(shè)置
欲進一步了解我國標(biāo)準(zhǔn)化組織介紹的請進入:SAC;CCSA
欲更多了解關(guān)于信息和網(wǎng)絡(luò)安全知識的請進入:信息安全的概念;通信網(wǎng)絡(luò)的安全機制與技術(shù)
