【正文】 信息安全相關(guān)標(biāo)準(zhǔn)介紹 內(nèi)容提綱 一、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化概述 二、信息安全標(biāo)準(zhǔn)化組織 三、 信息安全標(biāo)準(zhǔn)體系研究 四、 重要信息安全標(biāo)準(zhǔn)介紹 六、存在問(wèn)題分析 五、 研究熱點(diǎn)追蹤 信息產(chǎn)業(yè)部電子工業(yè)標(biāo)準(zhǔn)化研究所 China Electronic Standardization Insititute 一、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化 概述 ? 信息安全標(biāo)準(zhǔn)是確保信息安全的產(chǎn)品和系統(tǒng)在設(shè)計(jì)、研發(fā)、生產(chǎn)、建設(shè)、使用、測(cè)評(píng)中解決其一致性、可靠性、可控性、先進(jìn)性和符合性的技術(shù)規(guī)范、技術(shù)依據(jù)； ? 統(tǒng)一標(biāo)準(zhǔn)是信息系統(tǒng)互聯(lián)、互通、互操作的前提； ? 信息安全標(biāo)準(zhǔn)是我國(guó)信息安全保障體系的重要組成部分，是政府進(jìn)行宏觀管理的重要手段； ? 從國(guó)家意義上來(lái)說(shuō)，信息安全標(biāo)準(zhǔn)關(guān)系到國(guó)家的安全及經(jīng)濟(jì)利益，標(biāo)準(zhǔn)往往成為保護(hù)國(guó)家利益、促進(jìn)產(chǎn)業(yè)發(fā)展的一種重要手段。 信息安全標(biāo)準(zhǔn)化的作用 一、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化概念 標(biāo)準(zhǔn)化的基本原理 我國(guó)標(biāo)準(zhǔn)化工作者根據(jù)自己的實(shí)踐，用自己的語(yǔ)言，總結(jié)了“簡(jiǎn)化”、“統(tǒng)一”、“協(xié)調(diào)”、“選優(yōu)”的八字原理，成為我國(guó)標(biāo)準(zhǔn)化界的一種共識(shí)。 簡(jiǎn)化 具有同種功能的標(biāo)準(zhǔn)化對(duì)象，當(dāng)其多樣性的發(fā)展規(guī)模超出必要的范圍時(shí)，即應(yīng)消除其中多余的、可替換的和低功能的環(huán)節(jié)，保持其構(gòu)成的精練合理，使總體功能最佳。 統(tǒng)一 在一定時(shí)期，一定條件下，對(duì)標(biāo)準(zhǔn)化對(duì)象的形式、功能或其它技術(shù)特性所確立的一致性，應(yīng)與被取代的事物功能等效。 協(xié)調(diào) 在標(biāo)準(zhǔn)系統(tǒng)中，只有當(dāng)各個(gè)標(biāo)準(zhǔn)（子系統(tǒng)）之間的功能彼此協(xié)調(diào)時(shí)，才能實(shí)現(xiàn)整體系統(tǒng)的功能最佳。 選優(yōu) 按照特定的目標(biāo)，在一定的限定條件下，對(duì)標(biāo)準(zhǔn)系統(tǒng)的構(gòu)成因素及其關(guān)系進(jìn)行選擇、設(shè)計(jì)或調(diào)整，使之達(dá)到最理想效果。 一、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化概念 國(guó)際標(biāo)準(zhǔn)在區(qū)域標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)中的采用，以相應(yīng)國(guó)際標(biāo)準(zhǔn)為基礎(chǔ)發(fā)布區(qū)域或國(guó)家標(biāo)準(zhǔn)性文件，或認(rèn)可該國(guó)際標(biāo)準(zhǔn)具有與國(guó)家標(biāo)準(zhǔn)性文件相同的地位，同時(shí)標(biāo)明與相應(yīng)國(guó)際標(biāo)準(zhǔn)的差異。根據(jù)采用的程度可分為：等同采用、非等效采用和修改采用。 等同采用：符合下述條件時(shí)，區(qū)域標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)與相應(yīng)國(guó)際標(biāo)準(zhǔn)等同：（ 1）區(qū)域標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)在技術(shù)內(nèi)容，標(biāo)準(zhǔn)結(jié)構(gòu)或措詞方面相同（或者等同翻譯）或（ 2）區(qū)域標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)盡管有微小編輯修改，但在技術(shù)內(nèi)容方面等同。 修改采用（ MOD）：區(qū)域標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)對(duì)相應(yīng)國(guó)際標(biāo)準(zhǔn)按下述條件進(jìn)行修改。區(qū)域標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)與相應(yīng)國(guó)際標(biāo)準(zhǔn)之間允許存在技術(shù)性差異，但是要清楚地標(biāo)識(shí)并說(shuō)明這些差異。區(qū)域標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)反應(yīng)相應(yīng)國(guó)際標(biāo)準(zhǔn)的結(jié)構(gòu)。只有修改后兩個(gè)標(biāo)準(zhǔn)的內(nèi)容和結(jié)構(gòu)還可以進(jìn)行比較，才允許對(duì)標(biāo)準(zhǔn)的結(jié)構(gòu)進(jìn)行修改。 非等效采用：區(qū)域標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)與相應(yīng)的國(guó)際標(biāo)準(zhǔn)在技術(shù)內(nèi)容和文本結(jié)構(gòu)上不同，同時(shí)它們之間的差異也沒(méi)有清楚地標(biāo)識(shí)?！狈堑刃А边€包括在區(qū)域標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)中只保留有少量或不重要的國(guó)際標(biāo)準(zhǔn)條款的情況?！狈堑刃А辈粚儆诓捎脟?guó)際標(biāo)準(zhǔn)。 國(guó)際標(biāo)準(zhǔn)的采用 一、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化概念 信息產(chǎn)業(yè)部電子工業(yè)標(biāo)準(zhǔn)化研究所 China Electronic Standardization Insititute 二、信息安全標(biāo)準(zhǔn)化組織介紹 國(guó)際信息安全標(biāo)準(zhǔn)化組織 ISO/IEC JTC1 SC27 早在 1977年，世界上就出現(xiàn)了第一個(gè)數(shù)據(jù)加密標(biāo)準(zhǔn)，這是國(guó)外乃至國(guó)際上信息安全標(biāo)準(zhǔn)化工作的開(kāi)端。隨著通信和計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，國(guó)際上信息安全標(biāo)準(zhǔn)化工作也于 80年代有了較快的發(fā)展，在 90年代已經(jīng)引起了世界各國(guó)的普遍關(guān)注。目前世界上與信息安全標(biāo)準(zhǔn)化有關(guān)的主要組織有：國(guó)際標(biāo)準(zhǔn)化組織（ ISO）、國(guó)際電工委員會(huì)（ IEC）、國(guó)際電信聯(lián)盟（ ITU）、互聯(lián)網(wǎng)工程任務(wù)組（ IETF）等。 工作組介紹 ISO（國(guó)際標(biāo)準(zhǔn)化組織）和 IEC（國(guó)際電工委員會(huì)）是世界上專門的標(biāo)準(zhǔn)化組織。在信息技術(shù)領(lǐng)域， ISO和 IEC成立了一個(gè)聯(lián)合技術(shù)委員會(huì) JTC1。SC27是 JTC1中專門從事信息安全通用方法及技術(shù)標(biāo)準(zhǔn)化工作的分技術(shù)委員會(huì)。 SC27 IT安全技術(shù)分委員會(huì)成立于 1990年 4月， 2023年 5月 SC27工作組調(diào)整后， SC27下設(shè)五個(gè)工作組，各工作組信息如表 ，各工作組關(guān)系如圖 。 國(guó)際信息安全標(biāo)準(zhǔn)化組織 制定標(biāo)準(zhǔn)情況 截止到 2023年底，該分技術(shù)委員會(huì)已制定和正在研制的國(guó)際標(biāo)準(zhǔn)有 120 多項(xiàng)，這些標(biāo)準(zhǔn)主要涉及密碼算法、散列函數(shù)、數(shù)字簽名、實(shí)體鑒別、安全 評(píng)估、安全管理等領(lǐng)域，近幾年頒布的比較有影響力的標(biāo)準(zhǔn)有：ISO/IEC 15408（ IT安全性評(píng)估準(zhǔn)則，包含 3個(gè)部分）、 ISO/IEC 15443（ IT安全保障 框架，包含 3個(gè)部分）、 ISO/IEC 218279（系統(tǒng)安全工程能力成熟模型）和 ISO/IEC27000系列（信息安全管理系統(tǒng)，已完成 7個(gè)部分，計(jì)劃包含 20多個(gè) 子標(biāo)準(zhǔn)）。 聯(lián)絡(luò)關(guān)系介紹 隨著邊緣技術(shù)的出現(xiàn)，以及 JTC1內(nèi)其他分技術(shù)委員會(huì)職責(zé)范圍的交叉， SC27啟動(dòng)了聯(lián)合工作機(jī)制，與許多組織進(jìn)行了成功的合作。例如： ISO/IEC JTC1內(nèi)有 SC6， SC17， SC18， SC21， SC22和 SC30； ISO內(nèi)包括 TC68和 TC215； 外部組織包括 CCIMB、 ETSI、 ITUT和 ISSEA。和 SC27存在聯(lián)絡(luò)關(guān)系的相關(guān)標(biāo) 準(zhǔn)化機(jī)構(gòu)或協(xié)會(huì)及聯(lián)絡(luò)類型如下： 國(guó)際信息安全標(biāo)準(zhǔn)化組織 SC27成員組成情況 SC27成員包括積極參加成員（ P成員）和觀察員（ O成員）兩種。 P成員 可參與 TC、 SC的技術(shù)工作，而 O成員則只能獲取信息。每個(gè) TC或 SC均從 P成員 中任命一個(gè)成員主持秘書處并領(lǐng)導(dǎo)該委員會(huì)或分委員會(huì)。 P成員： 31個(gè) 包括：巴西、西班牙、法國(guó)、美國(guó)、印度、英國(guó)、捷克共和國(guó)、德國(guó)、 丹麥、馬來(lái)西亞、烏克蘭、俄羅斯聯(lián)邦、比利時(shí)、日本、韓國(guó)、肯尼亞、荷 蘭、奧地利、波蘭、南非、中國(guó)、澳大利亞、加拿大、盧森堡、芬蘭、瑞 典、挪威、瑞士、新西蘭、新加坡、意大利。 O成員： 11個(gè) 包括：羅馬尼亞、印度尼西亞、愛(ài)沙尼亞、阿根廷、塞爾維亞、立陶 宛、匈牙利、愛(ài)爾蘭、以色列、斯洛伐克、土耳其。 國(guó)際信息安全標(biāo)準(zhǔn)化組織 國(guó)際電工委員會(huì)（ International Electro technical Commission）成 立于 1906年，是世界上成立最早的非政府性國(guó)際電工標(biāo)準(zhǔn)化機(jī)構(gòu)，是聯(lián)合國(guó) 經(jīng)社理事會(huì)（ ECOSOC）的甲級(jí)咨詢組織。 1947年 ISO成立后， IEC曾作為電工 部門并入 ISO，但在技術(shù)上、財(cái)務(wù)上仍保持其獨(dú)立性。根據(jù) 1976年 ISO與 IEC 的新協(xié)議，兩組織都是法律上獨(dú)立的組織， IEC負(fù)責(zé)有關(guān)電工、電子領(lǐng)域的 國(guó)際標(biāo)準(zhǔn)化工作，其他領(lǐng)域則由 ISO負(fù)責(zé)。 IEC除與 ISO聯(lián)合成立了 JTC1外，還在電信、電子系統(tǒng)、信息技術(shù)和電磁 兼容等方面成立技術(shù)委員會(huì)負(fù)責(zé)安全標(biāo)準(zhǔn)研制，如 TC56（可靠性）、 TC74 （ IT設(shè)備安全和功效）、 TC77（電磁兼容）、 TC108（音頻 /視頻）、信息技 術(shù)和通信技術(shù)電子設(shè)備的安全等，并制定相關(guān)國(guó)際標(biāo)準(zhǔn)，如信息技術(shù)設(shè)備安 全（ IEC 60950）等。 國(guó)際電工委員會(huì)（ IEC） 國(guó)際信息安全標(biāo)準(zhǔn)化組織 國(guó)際電信聯(lián)盟（ ITU） 國(guó)際電信聯(lián)盟電信標(biāo)準(zhǔn)局 ITUT所屬的第 17研究組 SG17，主要負(fù)責(zé)研究 通信系統(tǒng)安全標(biāo)準(zhǔn)。 2023年底， SG SG10和 SG17合并形成了新的 SG17。在 2023至 2023年這一研究期中， SG17下設(shè)了 Question10項(xiàng)目組來(lái)專門從事信息 安全標(biāo)準(zhǔn)研究。在此研究期內(nèi)， Q10組主要集中于定義通信系統(tǒng)相關(guān)的整個(gè) 安全框架，項(xiàng)目組活動(dòng)涉及到協(xié)調(diào)、配合并推動(dòng)其他通信系統(tǒng)安全相關(guān)的規(guī) 范制定。 根據(jù) 2023年 3月 SG17組會(huì)議安排，在下一個(gè)研究期， SG17將把 Q10改組成 以下六個(gè)課題組： 、 安全結(jié)構(gòu)和框架、 安全、 、 Q. K基于生物特征的身份認(rèn)證、 安全通信服 務(wù)。 ITUT單獨(dú)或與 ISO聯(lián)合開(kāi)發(fā)了消息處理系統(tǒng)（ MHS）、目錄系統(tǒng)（ 系列、 ）和安全框架、安全模型等方面的信息安全標(biāo)準(zhǔn)，其中的 。 截止 2023年 3月， ITUT正式發(fā)布的信息安全標(biāo)準(zhǔn)達(dá) 100多個(gè)。 國(guó)際信息安全標(biāo)準(zhǔn)化組織 互聯(lián)網(wǎng)工程任務(wù)組（ IETF） IETF主要關(guān)注與互聯(lián)網(wǎng)有關(guān)的網(wǎng)絡(luò)與信息安全問(wèn)題，其請(qǐng)求注解（ RFC） 是業(yè)界公認(rèn)的事實(shí)標(biāo)準(zhǔn)。 IETF一直設(shè)有專門的安全研究領(lǐng)域，負(fù)責(zé)研究網(wǎng)絡(luò) 授權(quán)、認(rèn)證、審計(jì)等與安全保護(hù)有關(guān)的協(xié)議和標(biāo)準(zhǔn)。 目前， IETF有關(guān)信息安全的工作組有： BTNS（有點(diǎn)安全總比沒(méi)有強(qiáng)）、 DKIM（域密鑰標(biāo)識(shí)郵件）、 EMU（ EAP方法改進(jìn)）、 HOKEY（切換鍵控）、 ISMS （關(guān)于 SNMP的整套安全模型）、 KEYPROV（對(duì)稱密鑰的準(zhǔn)備）、 KITTEN（下 一代 GSSAPI）、 KRBWG（ kerbero工作組）、 LTANS（長(zhǎng)期歸檔和公證服 務(wù)）、 MSEC（組播安全）、 NEA（網(wǎng)絡(luò)端點(diǎn)評(píng)價(jià)）、 OPENPGP（關(guān)于 PGP的開(kāi) 放式規(guī)范）、 PKIX（基于 ）、 SASL（簡(jiǎn)單鑒別和安全分 層）、 SMIME（ S/MIME 郵件安全）、 SYSLOG（在網(wǎng)絡(luò)事件記錄方面的安全課 題）、 TLS（傳送層安全）等 17個(gè)。 截止到 2023年底，有關(guān)安全方面的 RFC有 270多個(gè)。這些工業(yè)標(biāo)準(zhǔn)對(duì)提高 和改善互聯(lián)網(wǎng)的安全性起到了至關(guān)重要的作用，如 PKI、 IPSec、 TLS、 PGP等 方面的 RFC成為了指導(dǎo)互聯(lián)網(wǎng)安全的重要文件。 當(dāng)前 IETF主要關(guān)注垃圾郵件處理、無(wú)線網(wǎng)絡(luò)安全、組播安全、安全審 計(jì)、安全認(rèn)證、 PKI、 TLS 等方面的問(wèn)題。 美國(guó)信息安全標(biāo)準(zhǔn)化組織 美國(guó)國(guó)家標(biāo)準(zhǔn)化協(xié)會(huì)（ ANSI） ANSI于 20世紀(jì) 80年代初開(kāi)始數(shù)據(jù)加密標(biāo)準(zhǔn)化工作，共制定了 3項(xiàng)美國(guó)國(guó) 家標(biāo)準(zhǔn)。 ANSI中技術(shù)委員會(huì) NCITS（即 X3）負(fù)責(zé)信息技術(shù)，承擔(dān)著 JTC1秘書 處的工作，其中，分技術(shù)委員會(huì) T4專門負(fù)責(zé) IT安全技術(shù)標(biāo)準(zhǔn)化工作，對(duì)口 JTC1的 SC27。 ANSI負(fù)責(zé)金融安全的 X3（ NCITS）、 X9（負(fù)責(zé)制定金融業(yè)務(wù)標(biāo)準(zhǔn)）、 X12 （負(fù)責(zé)制定商業(yè)交易標(biāo)準(zhǔn)）等組織制定了很多有關(guān)數(shù)據(jù)加密、銀行業(yè)務(wù)安全 和 EDI安全等方面的標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)中，許多經(jīng)國(guó)際標(biāo)準(zhǔn)化組織反復(fù)討論后 成為國(guó)際標(biāo)準(zhǔn)。已制定金融交易卡、密碼服務(wù)消息，以及實(shí)現(xiàn)商業(yè)交易安全 等方面的安全標(biāo)準(zhǔn) 10多個(gè)。 美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（ NIST） NIST主要負(fù)責(zé)制定聯(lián)邦計(jì)算機(jī)系統(tǒng)標(biāo)準(zhǔn)和指導(dǎo)文件，所出版的標(biāo)準(zhǔn)和規(guī) 范被稱作聯(lián)邦信息處理標(biāo)準(zhǔn)（ FIPS）。 FIPS安全標(biāo)準(zhǔn)也是美國(guó)軍用信息安全 標(biāo)準(zhǔn)的重要來(lái)源。 美國(guó)信息安全標(biāo)準(zhǔn)化組織 FIPS由 NIST在廣泛搜集政府各部門及私人部門的意見(jiàn)的基礎(chǔ)上寫成。正 式發(fā)布之前，將 FIPS分送給每個(gè)政府機(jī)構(gòu)，并在”聯(lián)邦注冊(cè)”上刊印出版。經(jīng) 再次征求意見(jiàn)之后， NIST局長(zhǎng)把標(biāo)準(zhǔn)連同 NIST的建議一起呈送美國(guó)商業(yè)部， 由商務(wù)部長(zhǎng)簽字劃押同意或反對(duì)這個(gè)標(biāo)準(zhǔn)。 FIPS安全標(biāo)準(zhǔn)的一個(gè)著名實(shí)例就 是數(shù)據(jù)加密標(biāo)準(zhǔn)（ DES）。 從二十世紀(jì) 70年代公布的數(shù)據(jù)加密標(biāo)準(zhǔn)（ DES）開(kāi)始， NIST制定了一系 列有關(guān)信息安全方面的聯(lián)邦信息處理標(biāo)準(zhǔn)（ FIPS），美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究 院（ NIST）制定了大量與信息安全有關(guān)的非密敏感標(biāo)準(zhǔn)，截止到 2023年底已 制定了 30多項(xiàng)信息安全相關(guān)的聯(lián)邦信息處理標(biāo)準(zhǔn)（ FIPS）和近 120項(xiàng)信息安 全相關(guān)的專題出版物（ SP 800系列和 SP 500系列），這些標(biāo)準(zhǔn)和指南涉及密 碼算法、密碼模塊評(píng)測(cè)、信息系統(tǒng)評(píng)測(cè)、信息系統(tǒng)管理