国际信息安全标准新动向

网络安全国际标准新动向全国信息安全标准化技术委员会秘书处上官晓丽2015年7月14日主要内容三、今年SC27会议热点一、国际SC27基本情况二、我国目前参与国际标准的情况2一、国际SC27基本情况3全国信安标委与国际ISO/IECJTC1SC27ISO/IECJTC1SC27是国际标准化组织（ISO）和国际电工委员会（IEC）在信息技术领域共同成立的第一联合技术委员会（JTC1）下属的信息安全分技术委员会，专门负责信息与信息通信技术（ICT）安全标准研制工作。全国信息安全标准化技术委员会（SAC/TC260，简称信安标委）是国际ISO/IECJTC1SC27对口技术委员会。主要负责：跟踪、研究、分析SC27国际标准发展趋势和工作动态；组织对SC27国际标准文件提出投票表决和评议意见；组织提出国际标准新技术工作领域和国际标准新工作项目提案建议；组织中国代表团参加SC27工作会议；提出参加SC27国际标准制定工作组注册专家建议。中国电子技术标准化研究院(信安标委秘书处单位)是SC27技术对口单位。4ISO/IECJTC1SC27介绍SC27的使命：是一个服务于商业部门与政府部门需求的国家化认可的信息与IT安全标准化专业机构。其工作范围覆盖了信息和ICT保护有关的标准研制。具体包括与上述方面的安全与隐私保护有关的方法、技术及指南等，诸如：信息安全管理体系（ISMS）；要求、控制和符合性评估、信息安全领域的认可和审计要求等；密码机制；安全评价准则和方法学；安全服务；身份管理、生物特征识别及隐私保护的安全方面。5ISO/IECJTC1SC27介绍6ISO/IECJTC1SC27介绍7目前SC27成员包括三类：参与成员（P成员）观察成员（O成员）联络成员（L成员）其中，P成员有53个，O成员有17个。中国是SC27的创立P成员。SC27会议制度：每年召开一届全体会议和两次工作组会议。一般上半年联合召开每届全体会议和一次工作组会议（即年会）下半年召开一次工作组会议。SC27标准范围8SC27标准研制情况标准项目类型：标准制定项目；项目成果包括国际标准（IS）、技术报告（TR）、技术规范（TS）等；标准研究项目；针对新技术新应用领域的信息安全标准需求展开前期研究，征集各成员国贡献，以研究报告形式结题，给出该领域标准研制路线图建议或直接提出新的标准项目建议。目前SC27项目情况：项目总数：206；制定或修订中的项目数：79；正式发布的标准数：142；9SC27/WG110SC27/WG2范围WG2主要负责识别IT系统和应用中密码技术和机制的需求和要求，并负责开发安全服务中使用这些技术和机制的术语、一般方法和标准。WG2范围包括下列密码和非密码技术与机制：保密性；实体鉴别抗抵赖密钥管理数据完整性（诸如消息鉴别、哈希函数、数字签名）一般来说，机制包括与所使用的技术相关的一些选项，包括对称密码、非对称密码和非加密。11WG2标准概况有19个进展中的项目和一个固定的项目被分配到WG2中，包括：加密，包括加密算法（18033），操作模式（10116），轻量级密码（29192），鉴别加密（19772）和签密（29150）：实体鉴别（9798和20009）；消息鉴别(9797和7064);数字签名(9796,14888,20008和18370);抗抵赖(13888)和时间戳(18014);密钥管理(11770)和哈希函数(10118);数学和密码学原语，包括随机位生成（18031），素数生成（18032），以及基于椭圆曲线的加密技术（15946）.12WG2有关目标、技术、机制的框架。13图1目标和14个机制的关系加密（18033,10116,29192）实体鉴别时间完整性数据完整性匿名数据保密性动作完整性鉴别加密（19772）匿名实体鉴别（20009）签密（29150）匿名数字签名（20008）实体鉴别（9798）数字签名（9796,14888）校验字符系统（7064）消息鉴别码（9797）时间戳（18014）抗抵赖（13888）密钥共享可用性保密性完整性WG2标准路线图计划144月201310月4月201410月4月201510月4月201610月4月201710月18033-1加密算法-概述18033-3块密码18033-2非对称密码10116操作模式18033-4流密码29192-2块密码29192-1轻量级-概述29192-4非对称性29192-3流密码19772认证加密29192-5哈希函数9798-1实体鉴别-综述29150签密9798-3使用数字签名9798-2使用对称密码9798-5使用零知识9798-4使用密码校验函数20009-1匿名实体鉴别-综述9798-6使用手动数据传递9797-1使用块密码的MAC2005WDCDDISFDISIS预审2006201020052006预审201220112012ISWDPDAMDAMFDAMAMDWDCDDISFDISIS200920112010JTC1系统复审2008JTC1系统复审1998JTC1系统复审1999JTC1系统复审2009JTC1系统复审2010JTC1系统复审DISIS2011预审JTC1系统复审最后出版计划/项目SC27/WG3范围包括了与安全工程相关，尤其是重点在（但不限于）IT系统、组件和产品的IT安全规范、评价、测试和认证标准。还将考虑计算机网络、分布式系统、相关应用服务、生物特征识别等等。WG3的工作包括：安全评价准则；该准则应用的方法学；IT系统、部件和产品的安全功能和保障规范；确定安全功能和保障符合性的测试方法学；测试、评价、认证和认可方案的管理规程。15WG3目前标准情况通用的IT产品IT安全评价准则（15048）IT安全评价方法学（18045）安全目标和保护轮廓的准备指南（15446）脆弱性披露（29147）脆弱性处理过程（30111）特定产品类型：密码模块密码模块的安全要求（19790）密码模块的测试要求（24759）减轻针对密码模块的非侵入性攻击类型的测试方法特定产品类型：可信平台模块可信平台模块（11889）特定技术物理安全攻击、减轻技术和安全要求（30104）密码协议验证（29128）生物特征识别技术的安全评价和测试框架（19792）ISO/IEC15408和ISO/IEC18405下的安全软件开发和评价通用系统IT安全保障框架（15443）运行系统的安全评估（19791）系统安全工程能力成熟度模型（21827）安全系统工程原则和技术（29193）16WG3将来可能的研究领域特定产品类型磁盘加密USB数据存储设备企业安全管理防火墙操作系统数据库浏览器安全软件开发——工具和技术上述工作可能发布特定产品类型的保护轮廓标准、比较评价方法学标准，以ISO/IEC标准和技术报告形式发布。此外还将与智能卡等特定产品类型的相关渠道进行合作，启动相关项目。关于系统云计算、供应链、关键基础设施和复杂的IT系统，目前WG3还没有明确提到，它们的安全评价和测试也可能成为未来WG3活动的内容。17WG4安全控制与服务SC27/WG4成立于2006年；负责安全控制和服务领域信息安全标准的开发与维护；目的是帮忙组织实施ISMS标准族；WG4标准框架被设计是深度防御的：包括3个领域：对未知的、新出现的安全问题做准备和做出响应的需求；管理和防范已知安全问题发生的需求；管理（包括保护、检测和响应）和调查（由于信息系统的崩溃或自然灾害所导致的）已经发生的信息安全问题和事件的需求；18WG4深度防御的标准框架准备响应；持续监控；消除或降低风险影响风险管理；预防发生；降低发生的影响调查违规的事实；识别是谁干的和造成了什么后果潜在或新出现的信息安全问题已知的信息安全问题信息安全违规和损害19ICT的业务连续性就绪（ISO/IEC27031）潜在或新出现的信息安全问题已知的信息安全问题信息安全违规和损害网络空间安全（ISO/IEC27032）信息安全事件管理（ISO/IEC27035，共3部分）IDPS的选择、部署和操作（ISO/IEC27039）ICT灾难恢复服务（ISO/IEC24762）网络安全（ISO/IEC27033，共6部分）应用安全（ISO/IEC27034，共6部分）访问控制的安全信息客体（TR15816）供应商关系的信息安全(27036，共5部分）数字编辑（27038）、存储安全（27040）TTP服务安全(TR14516;15945）时间戳服务（TR29149）数字证据的标识、收集或获取、保留(27037/27038/27041/27042/27043/27044）20WG5（身份管理和隐私保护）WG5自2005年成立以来，以身份管理和隐私保护标准为研究对象，开展了多项该领域中基础、框架性标准的制定工作。目前，大部分标准已具有较为成熟的研究成果。结合其工作范围和重点，SC27WG5开发了标准路线图（WG5SD1），概括了WG5已有标准项目、新工作项目提案，以及将来WG5可能涉及到的标准化主题等内容，并通过一个关联关系图来阐明这些标准项目之间的关系。从其结构来看，WG5试图通过一个明确的层次模型，来阐述有关身份管理和隐私标准所有项目之间的相关依赖和关联关系。但由于身份管理和隐私保护涉及内容的复杂性，最终未能明确刻画出所有项目之间的依赖与关联关系，而是采用一个两层的模型来说明各标准项目的作用及彼此之间的关系，即哪些标准是从管理层的视角阐述要做什么，哪些标准是从工程层的视角解决如何去做。21SC27/WG5-身份管理标准22供应/选择服务身份联合名录标识符身份证明(29003)实体鉴别保障框架(29115:2013)服务评估准则典型的认证漏洞、威胁、风险及其缓解列表实体鉴别(IS9788;WG2)认证管理服务多、单点登录/出属性定义/管理年龄验证身份管理参考架构身份管理框架1-3部分(24760)(24760-1:2011)角色定义/管理角色访问控制属性访问控制授权权限和权限管理服务开放系统访问控制框架(10181-3:1996;JTC1)访问控制机制多/单点登录/出使用控制和监控服务以前所授予访问的列表及其操作访问管理框架(29146)一个使用属性凭据的关于隐私的身份管理方案(与WG2联合)生物特征识别在商业身份管理应用程序和进程中生物特征识别技术的使用(29144;SC37)生物特征识别鉴别背景(24761:2009/Cor1:2013)生物特征识别信息保护(24745:2011)生物特征识别的安全评价(19792:2009;WG3)生物特征识别商业应用的司法和社会考虑事项第1部分：通用指南(TR24714-1:2008;SC37/WG6)生物特征识别攻击检测演示(30107;SC37/WG6)使用生物特征识别硬件安全模块的生物特征识别鉴别框架(X.bhsm|17922)生物特征识别的反电子欺骗技术评价(与WG3联合)生物特征识别隐私框架(29100:2011)隐私能力评估模型(29190)数据流演示隐私影响评估考虑采用/不采用技术保护隐私金融服务隐私影响评估(22307:2008,TC68/SC7)隐私影响评估方法学(29134)PII保护实用规则(29151)在公有云中PII处理者的PII实用规则(27018)典型的隐私漏洞、威胁、风险及其缓解列表隐私评价:调查、检查和审计元数据和自动生成数据评估隐私保护工程基于ISO/IEC15408制定安全和隐私功能要求的指南(19608,WG3)WG5WG1/4/5有关云计算的研究项目隐私参考体系结构(29101)策略对于策略的数据要求(如云计算环境下)策略语言用户权限管理优先权人机接口匿名协议证书部分匿名、部分非链接鉴别要求(29191:2012)WG4存储安全:删除(27040)安全存储和处理隐私增强技术和隐私服务采用安全计算的PII处理转