国家信息安全标准体系及相关情况介绍全国信息安全标准化技术委员会秘书处2008.11.25目录h标准及标准化有关概念h国际信息安全标准化简况h我国信息安全标准化简况h国家信息安全标准体系框架h已颁布的信息安全国家标准标准(Standard)定义:国际标准化组织和国际电工委员会联合发布的ISO/IEC第二号指南对标准作了如下定义:一、一、标准及标准化有关标准及标准化有关概概念念标准是“为在一定的范围内获得最佳秩序,对活动或其结果规定共同的和重复使用的规则、指导原则或特性的文件。该文件经协商一致定并经一个公认机构的批准”。“标准应以科学、技术和经验的综合成果为基础,并以促进最大社会效益为目的”。标准及标准化有关概念对“标准”的定义可从三个主要方面去理解:1、标准是对某一对象(称之为标准化对象)进行统一描述的一种特殊文件。2、标准是实现系统功能的工具之一,制定标准的目的是为了满足人类社会的某种需求,取得最佳经济效益和社会效益。3、标准产生有自身的规律:标准及标准化有关概念(1)确定标准对象以需求为根据。(2)制定标准以科学、技术和经验的综合成果为基础。(3)与标准的统一化有关系的各个方面要协调一致。(4)标准要经过一个公认的(权威的)机构或受权的机构批准。(5)标准具有系统性和动态性。标准及标准化有关概念标准化(Standardization)定义国际标准化组织和国际电工委员会联合发布的ISO/IEC第二号指南对标准化作如下定义:标准及标准化有关概念“为在一定的范围内获得最佳秩序,对实际的或潜在的问题制定共同的和重复使用的规则的活动。”“上述活动特别包括制定、发布及实施标准的过程”。“标准化的显著好处是改进产品、过程和服务的适用性,防止贸易壁垒,并便利技术合作”。对“标准化”的定义从三个方面去理解:标准及标准化有关概念1、标准化是一项完整的活动,是一个过程。它包括制定标准、发布标准,贯彻实施标准,对标准的实施进行监督检查,并根据贯彻中产生的问题,进一步修订完善标准。2、标准是贯穿于标准化全过程的信息资源。3、标准化的目的是取得社会效益和经济效益。标准及标准化有关概念钱学森在《标准化和标准学研究》一文中指出:“标准化也是一门系统工程,任务就是设计、组织和建立全国的标准体系,使它促进社会生产力的持续高速发展”。标准化是一门系统工程(一)标准化系统工程主要包括:1、标准系统它是由许多现成的和新制定的标准组合成的具有明确目的性、完整性、寿命期的、成文的概念系统。标准化系统工程的全部活动就是围绕着它而展开的。2、标准化工作系统这是一个负责标准系统制定和贯彻实施的,包括人员、物质条件和工具制度在内在社会组织系统。标准化是一门系统工程(二)标准化系统工程中两个分系统的特征1、标准系统的特征(1)目的性与整体性(2)联系和协调(相关性)(3)动态性和时效性(4)法规性和灵活性(5)先进性和合理性标准化是一门系统工程2、标准化工作系统的特征(1)组织上的复杂性和分散性(2)体制上的依存性和相对独立性(3)任务上的立法司法性(4)业务上的技术——管理性(5)活跃性标准化是一门系统工程(三)信息安全标准化信息安全标准化是诸多标准化领域中一个新生的标准化领域,它具备一般标准化领域的特征,同时又有自身的特征,因为信息安全兼具社会科学、自然科学以及其他许多相关学科的特征。这方面在学术界还缺乏深入研究。标准化是一门系统工程标准体系的基本概念按照GB3935.1《标准基本术语第一部分》中定义,标准体系就是“一定范围内标准按其内在联系形成的科学的有机整体”这里所说的一定范围从大到小是指国际(区域)、国家、行业、地方和企业,因此在信息安全技术领域会有国际标准体系,国家标准体系,行业标准体系,地方标准体系等,而且通常高层次的标准体系对下有约束力由信息安全领域内具有内在联系的标准组成的科学有机整体信息安全标准体系信息安全标准体系信息安全标准体系对我国现有信息安全标准进行归类和整理,在分析国际信息安全标准的发展动态和国内信息安全标准需求的基础上,提出标准体系框架和标准体系表在总结各工作组对本领域标准体系研究成果的基础上形成的编制信息安全标准制、修订计划的重要依据,是一幅现有、应有和预计制定信息安全标准的蓝图一种通用标准系统的体系结构区域标准国际标准专业(部)标准地方标准企业标准性质维技术标准管理标准经济标准基础标准方法标准工作标准产品标准对象维级别维二、国际信息安全标准化简况全国信息安全标准化技术委员会对口国际标准化组织是:ISO/IECJTC1/SC27(国际标准化组织国际电工委员会联合技术委员会第27分技术委员会),它是专门从事信息安全标准化工作的国际组织。SC27组织结构目前下设:信息安全管理体系工作组(WG1)密码与安全机制工作组(WG2)安全评估准则工作组(WG3)安全控制与服务工作组(WG4)身份管理与隐私技术工作组(WG5)五个工作组。JTC1/SC27/WG1WG1的工作范围主要包括ISMS(信息安全管理体系)国际标准的研究和制定。{ISO/IEC27000-ISMS概述和词汇{ISO/IEC27003-ISMS实施指南{ISO/IEC27004-ISMS测量{ISO/IEC27005-ISMS风险管理{ISO/IEC27007-ISMS审核指南{特定行业(Sector-Specific)ISMS标准{WG1/WG4联合会议{WG1路线图JTC1/SC27/WG2{WG2正式名称为“安全技术和机制”,负责“确定IT系统和应用对安全技术和机制的需求,并开发相关安全服务的术语、通用模型和标准”。工作范围包括:机密性保护、实体鉴别、抗抵赖、密钥管理、数据完整性保护。{WG2组是SC27所有工作组中项目最多的工作组,工作历史也最长,形成了自己的工作特色和风格,其工作内容基本还是围绕最初成立WG2时的内容开展工作。经过多年的发展,WG2各项工作之间的关系也越来越清晰,这点可以从WG2对标准之间关系上明确看出。JTC1/SC27/WG2{WG2有17个项目,分别涉及:加密、实体鉴别和密钥管理、不可否认和时间标签、数字签名、消息鉴别码、散列函数、随机数产生机制和素数产生机制、椭圆曲线加密技术、生物参数相关机制。这些标准之间的关系如图所示。JTC1/SC27/WG2主要项目JTC1/SC27/WG3WG3专门负责信息系统、部件和产品相关的安全评估标准和认证标准的制、修订工作。这些标准将涉及计算机网络、分布式系统及其相关应用服务等。该项工作包含三个方面的内容:评估准则、使用准则的方法、评估认证及认可模式的管理规程JTC1/SC27/WG3WG3目前正在研究的项目:ISO/IEC15408《IT安全评估准则》ISO/IEC15443《IT安全保障框架》{ISO/IEC15446《安全目标和保护轮廓产生指南》{ISO/IEC18045《安全评估方法》{ISO/IEC19790《密码模块安全要求》{ISO/IEC24759《密码模块测试要求》{ISO/IEC19791《运行系统安全评估》提出了拟新增加的《密码协议验证》《评估证据产生指南》《合格评定要求的融合》《安全系统设计》《篡改保护要求与评估》等研究项目。JTC1/SC27/WG4安全控制与服务工作组主要工作范围是与安全控制与服务有关的标准制定,与WG1密切协作。研究范围包括《信息安全事件响应》、《信息通信技术的业务连续性》、《可信第三方服务、《信息网络空间(Cyber)安全》项目里的“反间谍软件”、“反垃圾邮件”、“反钓鱼”、“网际安全安全事件合作与信息共享”、《应用安全结构》项目的“安全应用结构”、“应用安全保障”、“代理/服务应用安全”、“移动代理应用安全”这些研究内容都是世界各国和业界关注的重点领域JTC1/SC27/WG5身份管理与隐私保护技术工作组主要任务是研究和制定身份管理、生物特征以及个人数据保护相关的标准。主要研究制订下列标准:身份管理框架、生物特征关联鉴别、生物特征样本保护、(个人)隐私(保护)框架、(个人)隐私(保护)参考结构、鉴别保障。JTC1/SC27/WG5由于个人隐私保护和身份管理等不仅仅是技术问题,还涉及很多社会问题。目前关于身份管理和隐私保护标准,各国代表的看法和认识并不统一,有些意见分歧还很大。因此,这些问题在概念、内容和如何实现等方面,还处在框架讨论和形成阶段,但这些问题也都是世界各国和业界关注的重要问题,身份管理和隐私保护相关标准可能将会成为新的热点领域。三、我国信息安全标准体系框架信息安全标准体系基础标准技术与机制管理标准测评标准密码技术保密技术三、体系框架{基础标准基础标准安全术语体系结构模型框架三、体系框架{技术与机制标准技术与机制标准标识与鉴别授权与访问控制实体管理物理安全三、体系框架{信息安全管理标准管理标准管理基础管理要素管理支撑技术工程与服务三、体系框架{测评标准测评标准主要分为:1、基础标准2、产品标准3、系统标准{商用密码标准体系三、体系框架{商用密码标准体系{保密技术标准技术标准管理标准电子文件管理涉密信息系统管理实验室要求电磁泄漏发射防护和检测涉密信息系统技术要求和测评保密产品技术要求和测试方法涉密信息消除和介质销毁其它技术标准三、体系框架三、体系框架三、体系框架标准体系表示例-框架标准标准体系表示例-框架标准四、已颁布的国家标准h截止2008年11月,国家共发布信息安全国家标准69项。不包括密码与保密标准(约有30多项未公开发布)。h新发布的标准主要涉及信息安全测评、信息安全管理、技术与机制等方面。h初步形成体系。四、已颁布的国家标准信息安全测评32项GB/T20008-2005信息安全技术操作系统安全评估准则GB/T20009-2005信息安全技术数据库管理系统安全评估准则GB/T20010-2005信息安全技术包过滤防火墙评估准则GB/T20011-2005信息安全技术路由器安全评估准则GB/T20270-2006信息安全技术网络基础安全技术要求GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20272-2006信息安全技术操作系统安全技术要求GB/T20273-2006信息安全技术数据库管理系统安全技术要求GB/T20274.1-2006信息安全技术信息系统安全保障评估框架第1部分:简介和一般模型信息安全测评32项GB/T20275-2006信息安全技术入侵检测系统技术要求和测试评价方法GB/T20276-2006信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)GB/T20277-2006信息安全技术网络和终端设备隔离部件测试评价方法GB/T20278-2006信息安全技术网络脆弱性扫描产品技术要求GB/T20279-2006信息安全技术网络和终端设备隔离部件安全技术要求GB/T20280-2006信息安全技术网络脆弱性扫描产品测试评价方法GB/T20281-2006信息安全技术防火墙技术要求和测试评价方法GB/Z20283-2006信息安全技术保护轮廓和安全目标的产生指南四、已颁布的国家标准四、已颁布的国家标准四、已颁布的国家标准四、已颁布的国家标准信息安全测评32项GB/T20979-2007信息安全技术虹膜识别系统技术要求GB/T20983-2007信息安全技术网上银行系统信息安全保障评估准则GB/T20987-2007信息安全技术网上证券交易系统信息安全保障评估准则GB/T21050-2007信息安全技术网络交换机安全技术要求(评估保证级3)GB/T21052-2007信息安全技术信息系统物理安全技术要求GB/T21053-2007信息安全技术公钥基础设施PKI系统安全等级保护技术要求GB/T18336.1-2008信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型信息安全测评32项GB/T18336.2-2008信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求GB/T18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求GB/T22019-2008