搜索
信息安全相关标准介绍内容提纲一、标准和标准化概述二、信息安全标准化组织三、信息安全标准体系研究四、重要信息安全标准介绍六、存在问题分析五、研究热点追踪信息产业部电子工业标准化研究所ChinaElectronicStandardizationInsititute一、标准和标准化概述信息安全标准是确保信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据;统一标准是信息系统互联、互通、互操作的前提;信息安全标准是我国信息安全保障体系的重要组成部分,是政府进行宏观管理的重要手段;从国家意义上来说,信息安全标准关系到国家的安全及经济利益,标准往往成为保护国家利益、促进产业发展的一种重要手段。信息安全标准化的作用一、标准和标准化概念标准化的基本原理我国标准化工作者根据自己的实践,用自己的语言,总结了“简化”、“统一”、“协调”、“选优”的八字原理,成为我国标准化界的一种共识。1、简化具有同种功能的标准化对象,当其多样性的发展规模超出必要的范围时,即应消除其中多余的、可替换的和低功能的环节,保持其构成的精练合理,使总体功能最佳。2、统一在一定时期,一定条件下,对标准化对象的形式、功能或其它技术特性所确立的一致性,应与被取代的事物功能等效。3、协调在标准系统中,只有当各个标准(子系统)之间的功能彼此协调时,才能实现整体系统的功能最佳。4、选优按照特定的目标,在一定的限定条件下,对标准系统的构成因素及其关系进行选择、设计或调整,使之达到最理想效果。一、标准和标准化概念国际标准在区域标准或国家标准中的采用,以相应国际标准为基础发布区域或国家标准性文件,或认可该国际标准具有与国家标准性文件相同的地位,同时标明与相应国际标准的差异。根据采用的程度可分为:等同采用、非等效采用和修改采用。1、等同采用:符合下述条件时,区域标准或国家标准与相应国际标准等同:(1)区域标准或国家标准在技术内容,标准结构或措词方面相同(或者等同翻译)或(2)区域标准或国家标准尽管有微小编辑修改,但在技术内容方面等同。2、修改采用(MOD):区域标准或国家标准对相应国际标准按下述条件进行修改。区域标准或国家标准与相应国际标准之间允许存在技术性差异,但是要清楚地标识并说明这些差异。区域标准或国家标准反应相应国际标准的结构。只有修改后两个标准的内容和结构还可以进行比较,才允许对标准的结构进行修改。3、非等效采用:区域标准或国家标准与相应的国际标准在技术内容和文本结构上不同,同时它们之间的差异也没有清楚地标识。”非等效”还包括在区域标准或国家标准中只保留有少量或不重要的国际标准条款的情况。”非等效”不属于采用国际标准。国际标准的采用一、标准和标准化概念信息产业部电子工业标准化研究所ChinaElectronicStandardizationInsititute二、信息安全标准化组织介绍早在1977年,世界上就出现了第一个数据加密标准,这是国外乃至国际上信息安全标准化工作的开端。随着通信和计算机网络的发展,国际上信息安全标准化工作也于80年代有了较快的发展,在90年代已经引起了世界各国的普遍关注。目前世界上与信息安全标准化有关的主要组织有:国际标准化组织(ISO)、国际电工委员会(IEC)、国际电信联盟(ITU)、互联网工程任务组(IETF)等。工作组介绍ISO(国际标准化组织)和IEC(国际电工委员会)是世界上专门的标准化组织。在信息技术领域,ISO和IEC成立了一个联合技术委员会JTC1。SC27是JTC1中专门从事信息安全通用方法及技术标准化工作的分技术委员会。SC27IT安全技术分委员会成立于1990年4月,2006年5月SC27工作组调整后,SC27下设五个工作组,各工作组信息如表2.1所示,各工作组关系如图2.1所示。年底,该分技术委员会已制定和正在研制的国际标准有120多项,这些标准主要涉及密码算法、散列函数、数字签名、实体鉴别、安全评估、安全管理等领域,近几年颁布的比较有影响力的标准有:ISO/IEC15408(IT安全性评估准则,包含3个部分)、ISO/IEC15443(IT安全保障框架,包含3个部分)、ISO/IEC218279(系统安全工程能力成熟模型)和ISO/IEC27000系列(信息安全管理系统,已完成7个部分,计划包含20多个子标准)。联络关系介绍随着边缘技术的出现,以及JTC1内其他分技术委员会职责范围的交叉,SC27启动了联合工作机制,与许多组织进行了成功的合作。例如:ISO/IECJTC1内有SC6,SC17,SC18,SC21,SC22和SC30;ISO内包括TC68和TC215;外部组织包括CCIMB、ETSI、ITU-T和ISSEA。和SC27存在联络关系的相关标准化机构或协会及联络类型如下:成员包括积极参加成员(P成员)和观察员(O成员)两种。P成员可参与TC、SC的技术工作,而O成员则只能获取信息。每个TC或SC均从P成员中任命一个成员主持秘书处并领导该委员会或分委员会。P成员:31个包括:巴西、西班牙、法国、美国、印度、英国、捷克共和国、德国、丹麦、马来西亚、乌克兰、俄罗斯联邦、比利时、日本、韩国、肯尼亚、荷兰、奥地利、波兰、南非、中国、澳大利亚、加拿大、卢森堡、芬兰、瑞典、挪威、瑞士、新西兰、新加坡、意大利。O成员:11个包括:罗马尼亚、印度尼西亚、爱沙尼亚、阿根廷、塞尔维亚、立陶宛、匈牙利、爱尔兰、以色列、斯洛伐克、土耳其。国际信息安全标准化组织国际电工委员会(InternationalElectrotechnicalCommission)成立于1906年,是世界上成立最早的非政府性国际电工标准化机构,是联合国经社理事会(ECOSOC)的甲级咨询组织。1947年ISO成立后,IEC曾作为电工部门并入ISO,但在技术上、财务上仍保持其独立性。根据1976年ISO与IEC的新协议,两组织都是法律上独立的组织,IEC负责有关电工、电子领域的国际标准化工作,其他领域则由ISO负责。IEC除与ISO联合成立了JTC1外,还在电信、电子系统、信息技术和电磁兼容等方面成立技术委员会负责安全标准研制,如TC56(可靠性)、TC74(IT设备安全和功效)、TC77(电磁兼容)、TC108(音频/视频)、信息技术和通信技术电子设备的安全等,并制定相关国际标准,如信息技术设备安全(IEC60950)等。国际电工委员会(IEC)国际信息安全标准化组织国际电信联盟(ITU)国际电信联盟电信标准局ITU-T所属的第17研究组SG17,主要负责研究通信系统安全标准。2001年底,SG7、SG10和SG17合并形成了新的SG17。在2001至2004年这一研究期中,SG17下设了Question10项目组来专门从事信息安全标准研究。在此研究期内,Q10组主要集中于定义通信系统相关的整个安全框架,项目组活动涉及到协调、配合并推动其他通信系统安全相关的规范制定。根据2004年3月SG17组会议安排,在下一个研究期,SG17将把Q10改组成以下六个课题组:Q.G-安全项目、Q.H-安全结构和框架、Q.I-计算机网络安全、Q.J-安全管理、Q.K-基于生物特征的身份认证、Q.L-安全通信服务。ITU-T单独或与ISO联合开发了消息处理系统(MHS)、目录系统(X.400系列、X.500系列)和安全框架、安全模型等方面的信息安全标准,其中的X.509标准是开展电子商务认证的重要基础标准。截止2009年3月,ITU-T正式发布的信息安全标准达100多个。国际信息安全标准化组织互联网工程任务组(IETF)IETF主要关注与互联网有关的网络与信息安全问题,其请求注解(RFC)是业界公认的事实标准。IETF一直设有专门的安全研究领域,负责研究网络授权、认证、审计等与安全保护有关的协议和标准。目前,IETF有关信息安全的工作组有:BTNS(有点安全总比没有强)、DKIM(域密钥标识邮件)、EMU(EAP方法改进)、HOKEY(切换键控)、ISMS(关于SNMP的整套安全模型)、KEYPROV(对称密钥的准备)、KITTEN(下一代GSS-API)、KRB-WG(kerbero工作组)、LTANS(长期归档和公证服务)、MSEC(组播安全)、NEA(网络端点评价)、OPENPGP(关于PGP的开放式规范)、PKIX(基于X.509的公钥基础设施)、SASL(简单鉴别和安全分层)、SMIME(S/MIME邮件安全)、SYSLOG(在网络事件记录方面的安全课题)、TLS(传送层安全)等17个。年底,有关安全方面的RFC有270多个。这些工业标准对提高和改善互联网的安全性起到了至关重要的作用,如PKI、IPSec、TLS、PGP等方面的RFC成为了指导互联网安全的重要文件。当前IETF主要关注垃圾邮件处理、无线网络安全、组播安全、安全审计、安全认证、PKI、TLS等方面的问题。美国信息安全标准化组织美国国家标准化协会(ANSI)ANSI于20世纪80年代初开始数据加密标准化工作,共制定了3项美国国家标准。ANSI中技术委员会NCITS(即X3)负责信息技术,承担着JTC1秘书处的工作,其中,分技术委员会T4专门负责IT安全技术标准化工作,对口JTC1的SC27。ANSI负责金融安全的X3(NCITS)、X9(负责制定金融业务标准)、X12(负责制定商业交易标准)等组织制定了很多有关数据加密、银行业务安全和EDI安全等方面的标准。这些标准中,许多经国际标准化组织反复讨论后成为国际标准。已制定金融交易卡、密码服务消息,以及实现商业交易安全等方面的安全标准10多个。美国国家标准技术研究所(NIST)NIST主要负责制定联邦计算机系统标准和指导文件,所出版的标准和规范被称作联邦信息处理标准(FIPS)。FIPS安全标准也是美国军用信息安全标准的重要来源。在广泛搜集政府各部门及私人部门的意见的基础上写成。正式发布之前,将FIPS分送给每个政府机构,并在”联邦注册”上刊印出版。经再次征求意见之后,NIST局长把标准连同NIST的建议一起呈送美国商业部,由商务部长签字划押同意或反对这个标准。FIPS安全标准的一个著名实例就是数据加密标准(DES)。从二十世纪70年代公布的数据加密标准(DES)开始,NIST制定了一系列有关信息安全方面的联邦信息处理标准(FIPS),美国国家标准技术研究院(NIST)制定了大量与信息安全有关的非密敏感标准,截止到2006年底已制定了30多项信息安全相关的联邦信息处理标准(FIPS)和近120项信息安全相关的专题出版物(SP800系列和SP500系列),这些标准和指南涉及密码算法、密码模块评测、信息系统评测、信息系统管理等多个方面,最常用的FIPS安全标准有DES、AES等。美国国家标准技术研究所(NIST)美国信息安全标准化组织美国电气电工工程师协会(IEEE)IEEE在网络与信息安全标准化方面的贡献主要包含两个方面:一是电气和电磁安全,如IEEEC2《国家电气安全规程》等;另一方面是信息安全,提出了LAN/WAN安全(IEEE802.10)、WLAN安全(IEEE802.11i)和公钥密码(P1363)等方面的标准。从1990年IEEE成立8