信息安全標準體系涉及基礎標準、技術標準、應用標準、服務標準和管理標準等五類標準,其結構框架如圖0所示。現將我國和國外主要的標準化組織有關信息安全標準化工作的情況簡要介紹如下。
圖0:信息安全標準體系結構框架
一、國外信息安全標準化現狀
國外信息安全標準化現狀主要介紹幾個有影響力的標準化組織的標準化工作情況。
1、國際標準化組織(ISO)
ISO內有多個分技術委員會從事信息安全標準的研究工作,其中ISO/IEC JTC1的SC 27負責通用信息技術安全標準的制定,其它分技術委員會負責著信息應用等方面的信息技術安全標準的制定。
ISO/IEC JTC1(信息技術標準化委員會)所屬的安全技術分委員會(SC 27),主要負責開展ICT安全標準的研制工作,其前身是ISO/TC 97 SC 20。1979年,英國向ISO/TC 97提出開展數據加密技術標準化的建議,ISO/TC 97采納了建議,并于1980年組建直屬工作組。后來,TC 97認為,數據加密技術專業性很強,需設個分技術委員會來專門開展這方面的標準化工作,于是1984年1月在德國波恩正式成立分技術委員會SC 20。我國也派人出席了這次會議,并成為該分委員會的P成員。從此,數據加密技術標準化工作在ISO/TC 97內正式蓬勃展開。在SC 20存在的五年期間完成了兩個正式標準:ISO 8372和ISO 9160。
SC 20的標準項目中包含OSI環境下使用加密技術的互操作要求,它與SC 6和SC 21的工作范圍有重復。1989年6月正式決定撤消原來的SC 20,組建新的SC 27,于1990年4月瑞典斯德哥爾摩年會上正式成立SC 27,其名稱為:信息技術-安全技術(目前簡稱為IT安全技術),秘書處設在德國的BSI,其工作范圍為信息技術安全的一般方法和技術的標準化,其主要工作范圍詳見下表1-1-1。該分技術委員會已制定和正在研制的國際標準主要涉及密碼算法、散列函數、數字簽名機制、實體鑒別機制、安全評估準則等領域,并對促進國際信息安全起了重要作用。目前SC 27下設了7個工作組(WG)分別進行各自領域的標準研制工作,具體詳見下表1-1-2。
表1-1-1:SC 27的工作范圍
表1-1-2:SC 27下設工作組(WG)情況
2、國際電工委員會(IEC)
在信息安全標準化方面,IEC除了同ISO聯合成立的JTC1下屬幾個分委員會外,還在電磁兼容等方面成立技術委員會,并制定相關國際標準,如信息技術設備安全(IEC 60950)。與信息安全標準化相關的技術委員會及其咨詢委員會詳見下表1-2。
表1-2:IEC相關信息安全標準的技術委員會及其咨詢委員會
3、國際電信聯盟(ITU)
2001年底, 國際電信聯盟電信標準局ITU-T 所屬的研究組SG7、SG10和SG17合并形成了新的SG 17組。SG 17組主要負責研究通信系統安全標準。在2001~2004年研究期中,SG 17組下設了Question10項目組來專門從事信息安全標準研究。在此研究期內,Q10組主要集中于定義通信系統相關的整個安全框架,項目組活動涉及到協調、配合并推動其他通信系統安全相關的規范制定。在2017~2020年研究期中,下設了Question13項目組,分布在4個工作組內,他們研究的具體內容詳見下表1-3。
表1-3:ITU-T信息安全標準的研究內容(2017~2020年研究期)
SG17目前正在從事網絡安全工作、安全管理、安全架構和框架、打擊垃圾郵件、身份管理、保護個人身份信息等方面的標準制定,涉及到物聯網(IoT)、智能電網、智能手機、軟件定義網絡(SDN)、網絡服務、大數據分析、社交網絡、云計算、移動金融系統、IPTV和遠程生物測量等應用和服務的安全性。ITU-T單獨或與ISO 聯合開發了消息處理系統(MHS)、目錄系統(X.400系列、X.500系列)和安全框架、安全模型等方面的信息安全標準,其中的ITU-T X.509標準是開展電子商務認證的重要基礎標準;ITU-T X.805標準為電信網絡運營商和企業提供從安全角度提供端到端架構描述的能力;ITU-T X.1254標準規定了實體認證保證框架,其中定義了四個級別的實體身份驗證保證以及四個級別中的每一級的標準和威脅;等等。截止2017年8月,ITU-T正式發布的信息安全標準達170多個。
4、Internet工程任務組(IETF)
IETF非常重視有關信息安全尤其是互聯網方面的信息安全,設置了較多的標準化工作組,主要有:enroll、idwg、inch、ipsec、ipseckey、ipsp、kink、krbwg、ltans、mobike、msec、openpgp、pki4ipsec、pkix、sacred、sasl、secsh、smime、stime、syslog、tls等20多個。有關安全方面的RFC有200多個,例如:SNMP安全協議(RFC 1352);因特網電子郵件保密增強(RFC 1421~1424);因特網協議安全體系結構(RFC 1825)等。這些事實標準對提高和改善Internet網的安全性起到了至關重要的作用,如PKI、IPSec等標準及其草案將成為指導Internet網絡安全的重要文件。
欲進一步了解上述國際標準化組織介紹的請進入:ITU-T;ISO;IEC;IETF
二、我國信息安全標準化現狀
我國有關主管部門十分關注信息安全標準化工作,早在1984年7月就組建了數據加密技術委員會,并于1997年8月改組成全國信息技術標準化委員會的信息安全技術分委員會,負責制定信息安全的國家標準。在全國信息技術標準化技術委員會信息安全分技術委員會和各部門各界的努力下,本著積極采用國際標準的原則,轉化了一批國際信息安全基礎技術標準。另外,信息產業部、公安部、安全部、國家保密局、國家密碼管理委員會等相繼制定、頒布了一批信息安全的行業標準,為推動信息安全技術在各行業的應用和普及發揮了積極的作用。
1、全國信息安全標準化技術委員會
為了加強信息安全標準化工作的組織協調力度,國家標準化管理委員會批準成立全國信息安全標準化技術委員會(簡稱信息安全標委會,委員會編號為TC 260)。該技術委員會的成立標志著我國信息安全標準化工作,步入了“歸口管理、協調發展”的新時期。該標委會是我國在信息安全的專業領域內,從事信息安全標準化工作的技術工作組織。它的工作任務是向國家標準化管理委員會提出本專業標準化工作的方針、政策和技術措施的建議。標委會的標準研究工作采用工作組的方式進行,工作組由國內信息安全技術領域的有關部門、研究機構、企業事業及高等院校等代表組成。TC 260目前所制定的標準有近230個之多,可在國標委(SAC)的網站的TC 260內查詢。
2、公安部信息系統安全標準化技術委員會
為了適應我國信息化進程的飛速發展,保障我國信息系統和信息網絡的安全,促進信息安全產業的形成和發展,滿足公安機關對信息系統實施安全保護與監察的工作需要,更好地開展信息系統安全技術領域的標準化工作,公安部信息系統安全標準化技術委員會于1999年3月31日經公安部科技局批準正式成立。主要任務是在公安部的領導下,負責規劃和制定我國計算機信息系統信息安全標準和技術規范,監督技術標準的實施。目前公安部的信息安全標準化分別是由公安部通信標準化技術委員會(簡稱通標委)和公安部計算機與信息處理標準化技術委員會(以簡稱信標委)來開展的。當初的公安部信息系統安全標準化技術委員會,和現在的通標委及信標委的工作范圍被匯總于下表2-2中。
表2-2:公安部的標準化技術委員會關于信息安全標準化的工作職責
3、中國通信標準化協會網絡與信息安全技術工作委員會
為積極推動我國通信行業安全標準化工作,2002年國家計算機網絡與信息安全管理中心聯合我國六大電信運營公司等10個單位聯合發起組織成立通信安全標準研究組,并得到信息產業部科技司的批準。2003年3月,根據信息產業部科技司和中國通信標準化協會(CCSA)的有關決定,將通信安全研究組直接納入了中國通信標準化協會,成立了“通信信息安全技術工作委員會”, 后又于2003年6月改名為“網絡與信息安全技術工作委員會” ,即TC 8,直接對口ITU-T的SG 17。CCSA TC 8主要負責研究涉及有關通信安全技術和管理標準,其研究領域及工作組設置詳見下表2-3。
表2-3:CCSA TC 8主要研究領域及工作組設置
欲更多了解關于信息和網絡安全知識的請進入:信息安全的概念;通信網絡的安全機制與技術
