信息安全标准体系涉及基础标准、技术标准、应用标准、服务标准和管理标准等五类标准,其结构框架如图0所示。现将我国和国外主要的标准化组织有关信息安全标准化工作的情况简要介绍如下。
图0:信息安全标准体系结构框架
一、国外信息安全标准化现状
国外信息安全标准化现状主要介绍几个有影响力的标准化组织的标准化工作情况。
1、国际标准化组织(ISO)
ISO内有多个分技术委员会从事信息安全标准的研究工作,其中ISO/IEC JTC1的SC 27负责通用信息技术安全标准的制定,其它分技术委员会负责着信息应用等方面的信息技术安全标准的制定。
ISO/IEC JTC1(信息技术标准化委员会)所属的安全技术分委员会(SC 27),主要负责开展ICT安全标准的研制工作,其前身是ISO/TC 97 SC 20。1979年,英国向ISO/TC 97提出开展数据加密技术标准化的建议,ISO/TC 97采纳了建议,并于1980年组建直属工作组。后来,TC 97认为,数据加密技术专业性很强,需设个分技术委员会来专门开展这方面的标准化工作,于是1984年1月在德国波恩正式成立分技术委员会SC 20。我国也派人出席了这次会议,并成为该分委员会的P成员。从此,数据加密技术标准化工作在ISO/TC 97内正式蓬勃展开。在SC 20存在的五年期间完成了两个正式标准:ISO 8372和ISO 9160。
SC 20的标准项目中包含OSI环境下使用加密技术的互操作要求,它与SC 6和SC 21的工作范围有重复。1989年6月正式决定撤消原来的SC 20,组建新的SC 27,于1990年4月瑞典斯德哥尔摩年会上正式成立SC 27,其名称为:信息技术-安全技术(目前简称为IT安全技术),秘书处设在德国的BSI,其工作范围为信息技术安全的一般方法和技术的标准化,其主要工作范围详见下表1-1-1。该分技术委员会已制定和正在研制的国际标准主要涉及密码算法、散列函数、数字签名机制、实体鉴别机制、安全评估准则等领域,并对促进国际信息安全起了重要作用。目前SC 27下设了7个工作组(WG)分别进行各自领域的标准研制工作,具体详见下表1-1-2。
表1-1-1:SC 27的工作范围
表1-1-2:SC 27下设工作组(WG)情况
2、国际电工委员会(IEC)
在信息安全标准化方面,IEC除了同ISO联合成立的JTC1下属几个分委员会外,还在电磁兼容等方面成立技术委员会,并制定相关国际标准,如信息技术设备安全(IEC 60950)。与信息安全标准化相关的技术委员会及其咨询委员会详见下表1-2。
表1-2:IEC相关信息安全标准的技术委员会及其咨询委员会
3、国际电信联盟(ITU)
2001年底, 国际电信联盟电信标准局ITU-T 所属的研究组SG7、SG10和SG17合并形成了新的SG 17组。SG 17组主要负责研究通信系统安全标准。在2001~2004年研究期中,SG 17组下设了Question10项目组来专门从事信息安全标准研究。在此研究期内,Q10组主要集中于定义通信系统相关的整个安全框架,项目组活动涉及到协调、配合并推动其他通信系统安全相关的规范制定。在2017~2020年研究期中,下设了Question13项目组,分布在4个工作组内,他们研究的具体内容详见下表1-3。
表1-3:ITU-T信息安全标准的研究内容(2017~2020年研究期)
SG17目前正在从事网络安全工作、安全管理、安全架构和框架、打击垃圾邮件、身份管理、保护个人身份信息等方面的标准制定,涉及到物联网(IoT)、智能电网、智能手机、软件定义网络(SDN)、网络服务、大数据分析、社交网络、云计算、移动金融系统、IPTV和远程生物测量等应用和服务的安全性。ITU-T单独或与ISO 联合开发了消息处理系统(MHS)、目录系统(X.400系列、X.500系列)和安全框架、安全模型等方面的信息安全标准,其中的ITU-T X.509标准是开展电子商务认证的重要基础标准;ITU-T X.805标准为电信网络运营商和企业提供从安全角度提供端到端架构描述的能力;ITU-T X.1254标准规定了实体认证保证框架,其中定义了四个级别的实体身份验证保证以及四个级别中的每一级的标准和威胁;等等。截止2017年8月,ITU-T正式发布的信息安全标准达170多个。
4、Internet工程任务组(IETF)
IETF非常重视有关信息安全尤其是互联网方面的信息安全,设置了较多的标准化工作组,主要有:enroll、idwg、inch、ipsec、ipseckey、ipsp、kink、krbwg、ltans、mobike、msec、openpgp、pki4ipsec、pkix、sacred、sasl、secsh、smime、stime、syslog、tls等20多个。有关安全方面的RFC有200多个,例如:SNMP安全协议(RFC 1352);因特网电子邮件保密增强(RFC 1421~1424);因特网协议安全体系结构(RFC 1825)等。这些事实标准对提高和改善Internet网的安全性起到了至关重要的作用,如PKI、IPSec等标准及其草案将成为指导Internet网络安全的重要文件。
欲进一步了解上述国际标准化组织介绍的请进入:ITU-T;ISO;IEC;IETF
二、我国信息安全标准化现状
我国有关主管部门十分关注信息安全标准化工作,早在1984年7月就组建了数据加密技术委员会,并于1997年8月改组成全国信息技术标准化委员会的信息安全技术分委员会,负责制定信息安全的国家标准。在全国信息技术标准化技术委员会信息安全分技术委员会和各部门各界的努力下,本着积极采用国际标准的原则,转化了一批国际信息安全基础技术标准。另外,信息产业部、公安部、安全部、国家保密局、国家密码管理委员会等相继制定、颁布了一批信息安全的行业标准,为推动信息安全技术在各行业的应用和普及发挥了积极的作用。
1、全国信息安全标准化技术委员会
为了加强信息安全标准化工作的组织协调力度,国家标准化管理委员会批准成立全国信息安全标准化技术委员会(简称信息安全标委会,委员会编号为TC 260)。该技术委员会的成立标志着我国信息安全标准化工作,步入了“归口管理、协调发展”的新时期。该标委会是我国在信息安全的专业领域内,从事信息安全标准化工作的技术工作组织。它的工作任务是向国家标准化管理委员会提出本专业标准化工作的方针、政策和技术措施的建议。标委会的标准研究工作采用工作组的方式进行,工作组由国内信息安全技术领域的有关部门、研究机构、企业事业及高等院校等代表组成。TC 260目前所制定的标准有近230个之多,可在国标委(SAC)的网站的TC 260内查询。
2、公安部信息系统安全标准化技术委员会
为了适应我国信息化进程的飞速发展,保障我国信息系统和信息网络的安全,促进信息安全产业的形成和发展,满足公安机关对信息系统实施安全保护与监察的工作需要,更好地开展信息系统安全技术领域的标准化工作,公安部信息系统安全标准化技术委员会于1999年3月31日经公安部科技局批准正式成立。主要任务是在公安部的领导下,负责规划和制定我国计算机信息系统信息安全标准和技术规范,监督技术标准的实施。目前公安部的信息安全标准化分别是由公安部通信标准化技术委员会(简称通标委)和公安部计算机与信息处理标准化技术委员会(以简称信标委)来开展的。当初的公安部信息系统安全标准化技术委员会,和现在的通标委及信标委的工作范围被汇总于下表2-2中。
表2-2:公安部的标准化技术委员会关于信息安全标准化的工作职责
3、中国通信标准化协会网络与信息安全技术工作委员会
为积极推动我国通信行业安全标准化工作,2002年国家计算机网络与信息安全管理中心联合我国六大电信运营公司等10个单位联合发起组织成立通信安全标准研究组,并得到信息产业部科技司的批准。2003年3月,根据信息产业部科技司和中国通信标准化协会(CCSA)的有关决定,将通信安全研究组直接纳入了中国通信标准化协会,成立了“通信信息安全技术工作委员会”, 后又于2003年6月改名为“网络与信息安全技术工作委员会” ,即TC 8,直接对口ITU-T的SG 17。CCSA TC 8主要负责研究涉及有关通信安全技术和管理标准,其研究领域及工作组设置详见下表2-3。
表2-3:CCSA TC 8主要研究领域及工作组设置
欲更多了解关于信息和网络安全知识的请进入:信息安全的概念;通信网络的安全机制与技术
