信息安全标准是信息安全保障体系的重要组成部分,是政府进行宏观管理的重要手段。人们为了某一种目的和需要而提出一个统一性的要求,是对有某一范围内重复性事务和概念所做的统一规定,也就是人们所说的标准。它是一种较为特殊的文件,是为了能在一定的范围内获得最佳秩序,对活动以及结果规定共同使用和重复使用的规则、指导原则或特性要求的一种规范性文件。
信息安全标准是确保信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。信息安全标准是我国信息安全保障体系的重要组成部分,是政府进行宏观管理的重要手段。信息安全保障体系的建设、应用是一个极其庞大的复杂系统,没有配套的安全标准,就不能构造出一个可用的信息安全保障体系。
1.技术标准的基础知识
技术标准就是指重复性的技术事项在一定范围内的统一规定,比如基础技术标准、检测试验方法标准等,技术标准为信息安全提供了一定的规则制度,使得信息在网络可以在某种可控的范围内有秩序地保持一定的安全性,为了信息安全而制定的各种方法、政策、理论等也是需要遵循这个标准才能进行操作。
促进信息通信技术产业的发展以及推广应用就是标准的非常重要的作用。想要统一标准,它的基础就是要互联互通、信息共享、业务协商。互联网若是没有标准就不会发展到今天这种规模。我们很难说清楚生产一台电脑究竟需要遵守多少标准,然而每一个生产商都一定会考虑采用已经用标准统一的磁盘驱动器、打印机接口和网卡等等设备。
制定标准然后使得它能在社会上一定的范围内可以进行推广应用的这一系列活动就是标准化,主要包括了制定、发布、实施以及修改标准等这些过程。如果想要推动国家信息化建设,那就需要做信息化建设相关的一些标准化这样重要的基础性工作。国家信息化建设过程当中,规范技术开发、产品生产、工程管理等行为的技术法规就是标准。统一标准的前提就是要信息系统互通、互连、互操作。只有通过了统一技术要求、业务要求和管理要求等标准化手段,才能使信息化建设的相关工程及相关环节的建设在全国范围内有章可循,有法可依,形成一个有机的整体,可以有效地避免了盲目和重复,降低所需的成本,提高效益,进而规范和促进一个国家信息化建设能有序、高效、快速和健康地发展。
"科学、技术和经验的综合成果"是标准产生的基础,它奠定了标准具有科学性和先进性。通过了协商一致制定并由公认机构批准后才能产生标准。协商一致的意思是指:大多数都同意,没有对实质性的问题以及有关重要方面坚持反对意见,然后按照程序对各方面有关的观点进行了研究和对争议经过了协调。但协商一致并不代表着就完全没有异议。也就是说,协商一致是指有关各界的重要一方对标准中的实质性问题可以普遍接受,不坚持反对意见,却也不能说所有各方都均无异议。为了能保证标准的严肃性和权威性,标准必须要经过公认机构的批准。这里的公认机构,指的自然就是包括政府主管部门、标准化组织或团体(包括国际组织或区域组织),从事标准化工作的协会或学会等等的一些权威机构。
我国根据《中华人民共和国标准化法》将标准级别划分为国家标准、行业标准、地方标准和企业标准等4个层次。每个层次之间有一定的依从关系和内在联系,然后形成一个可以覆盖全国而又可以层次分明的一个标准体系。另外,为了能够适应某些领域标准快速发展和快速变化的需要,除了在1998年规定的四级标准之外,还增加了一种"国家标准化指导性技术文件"来作为对国家标准的补充,它的代号为"GB/Z"。如果符合以下情况之一的项目,就可以制定指导性技术文件:①技术尚在发展中,需要有相应的文件引导发展或者具有标准化价值,尚不能制定为标准的项目:②采用国际标准化组织、国际电工委员会及其他国际组织(包括区域性国际组织)的技术报告的项目。指导性技术文件仅供使用者参考。
根据《中华人民共和国标准化法》中的规定,国家标准、行业标准都可以分为强制性和推荐性两种属性的标准。强制性标准是指可以保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准,而其余的是推荐性标准。另外,省、自治区、直辖市标准化行政主管部门制定的工业产品安全、卫生要求的地方标准,在本地区域内是强制性标准。
强制性标准是必须遵照执行的标准,这是由法律规定的。除此以外的标准是推荐性标准,也叫非强制性标准。推荐性国家标准的代号为"GB/T",强制性国家标准的代号为"GB"。行业标准中的推荐性标准也是要在行业标准代号后加个"T" 字,比如机械行业撞荐性标准的代号"JB/T" ,如果不加"T" 字就是强制性行业标准。
制定标准一般是指制定一项新标准,是指现在需要进行制定一个过去没有的标准。它是根据生产发展的需要和科学技术发展的需要以及水平来制定的,因次它反映了目前的一个生产技术水平。制定这类标准的工作量最大,工作要求最高,需要花费的时间也较多。这是一个自家的标准化工作的重要方面,反映了这个国家的标准化工作面貌和水平。
一个新标准制定后,由标准批准机关给一个标准编号(包捂年代号),与此同时标明它的分类号,用来表明这个标准的专业隶属和制定年代。
修订标准则是指对一项己在生产中实施多年的标准进行修订。修订部分主要是生产实践中反映出来的不适应生产现状和科学技术发展那一部分,或者修改其内容,或者予以补充,或者予以删除。修订标准不改动标准编号,仅将其年代号改为修订时的年代号。
标准是科学、技术和时间经验的一个总结,它可以是客观事物具有的某种意义的参照物以及一种区分事物的中介。制定了一个标准后可以确保所需的材料、产品、过程和服务能够符合需要,可以推动自主创新与开放创新,加速技术积累、科技进步、成果推广、创新扩散、产业升级等。
2.标准化组织
为了适应信息技术的迅猛发展,也为了更好地管理网络安全问题,国际上就成立了国际标准化组织(ISO)、国际电工委员会(IEC)这两个重要标准化组织和其他许多的标准化组织。
国际标准化组织(ISO):
是世界上最大的非政府性标准化专门机构,成员包括162个国家。共设有163个技术委员会和640个分委员会,旨在全世界促进标准化以及有关活动的发展,以便于国际物资交流和服务,并扩大知识、科学、技术和经济领域中的合作。
国际电工委员会(IEC):
是世界上成立最早的国际性电工标准化机构,负责有关电气工程和电子工程领域中的国际标准化工作,其成员国直至今日共有60个。旨在促进电气、电子工程领域中标准化及有关问题的国际合作,增进国际间的相互了解。
第一联合技术委员会(JTC1)
第一联合技术委员会JTC1是由1SO和IEC联合成立的,用来制定信息技术领域国际标准,设置有19今分技术委员会SC和功能标准化专门组SGFS等特如工作小组以及4个管理机构(一致性评定特别工作小组、信息技术任务组、注册机构特别工作组和业务分析与计划特别小组。JTC1是依据规定的导则、程序、指南和政策来知道信息技术的一切标准化活动的。
SC27是JTC1用来从事信息技术安全的一般方法和技术的标准化,其设置了三个工作组,每个工作组根据自身的名称的都有各自不同的工作范围:
第一工作组(WGI):需求、安全服务及指南工作组。
第二工作组(WG2):安全技术与机制工作组。
第三工作组(WG3) :安全评估准则工作组。
对应SC27各个工作组的工作职责可知SC27的内容包括以下的几个方面:
(1)息技术系统安全服务的一般需求(包括需求的方法学) ;
(2)开发安全技术以及机制(包括登记规程和安全各个组成部分的关系);
(3)研究并制定安全指南(如说明性的文档,风险分析等);
(4)编制管理的支撑性文档和标准(如述、安全评估准则等) ;
(5)研究并制定用于完整性、鉴别和抗抵赖性等服务的密码算法标准,同时根据国际。
但这些并不包括在应用中的嵌入机制的标准化。
通过SC27的大范围应用,如今SC27已经发布、正制定或者规划了包括安全技术与机制(如密码算法、散列函数、数字签名机制、实体鉴别机制等)、安全评估准则和安全管理(如安全管理控制措施、安全管理指南等)等超80项的信患安全国际标准,在促进和规范信息安全领域中起到了重要的指导作用。
随着边缘技术的出现,以及JTC1内其他分技术委员会职责范围的交叉,SC27启动了联合工作机制,与许多组织进行了成功的合作。例如:在ISO/IEC JTC1内有SC6,SC7,SC17,SC36和SC37;在ISO包括TC68和TC215; 外部组织包括CCIMB,TSI,1TU-T和1SSEA。
除了ISO,IEC这两个重要的标准化组织外,另外再来了解一下还有ITU、IETF、ANSI、NIST和IEEE等信息技术标准组织以及它们制定的一些安全标准。
国际电信联盟(ITU):
是联合国专门机构之一,主管信息通信技术事务,由无线电通信、标准化和发展三大核心部门组成,其成员包括193个成员国和700多个部门成员及部门准成员,结构主要分为电信标准化部门(ITU-T)、无线电通信部门(ITU-R)和电信发展部门(ITU-D)。
国际电信联盟ITU下属的电信标准局ITU-T 所属的第17 研究组SOI7 ,主要负责研究通信系统安全标准。截至2004年3月,lTU-T正式发布的信息安全标准达74个,其单独或与ISO联合开发了消息处理系统(MHS)、目录系统(X.400系列、X.500系列)和安全框架、安全模型等方面的信息安全标准,其中的X.509标准是开展电子商务认证的重要基础标准。
Internet工程任务组(IETF):
全球互联网最具权威的技术标准化组织,主要任务是负责互联网相关技术规范的研发和制定,当前绝大多数国际互联网技术标准出自IETF。有关安全方面的RFC有190多个,比如: RFC1352SNMP安全协议;RFC1421-1424 因特网电子邮件保密增强;RFC1825因特网协议安全体系结构等。这些事实标准对提高和改善Internet网的安全性起到了至关重要的作用,如PKI、IPSec等标准及其草案将成为指导Internet未来安全的重要文件。
美国国家标准化协会(ANSI):
是由公司、政府和其他成员组成的自愿组织,ANSI是一个准国家式的标准机构,它为那些在特定领域建立标准的组织提供区域许可,协商与标准有关的活动,审议美国国家标准,并努力提高美国在国际标准化组织中的地位。ANSI中技术委员会NCITS(即X3)负责信患技术,承担着JTCl秘书处的工作,其中,分技术委员会刊专门负责IT安全技术标准化工作,对口JTCl的SC27。ANSI负责金融安全的X3(NCITS)、X9 (负责制定金融业务标准)、X12(负责制定商业交易标准)等组织制定了很多有关数据加密、银行业务安全和EDI安全等方面的标准。
美国国家标准技术研究所(NIST):
属于美国商业部的技术管理部门,任务是为提高劳动生产率、促进贸易和改善生活质量、提高计量、标准和技术,主要负责制定联邦计算机系统标准和指导文件,所出版的标准和规范被称作联邦信息处理标准(FIPS)。FIPS由NIST在广泛搜集政府各部门及私人部门的意见的基础上写成,其安全标准的一个著名实例就是数据加密标准(DES)。从20世纪70年代公布的数据加密标准DES开始,NIST制定了一系列有关信息安全方面的联邦信息处理标准FIPS,截至2003年12月该机构己制定了33项信息安全相关的FIPS和66项信息安全相关的专题出版物(NISτSP 800系列和NIST SP 500系列)。
美国电气电工工程师协会(IEEE):
是一个国际性的电子技术与信息科学工程师的协会,是全球最大的非营利性专业技术学会,其会员人数超过40万人,遍布160多个国家。主要是提出LAN/WAN安全方面的标准(SILS)和公钥密码标准(P1363)。从1990年IEEE成立802.11"无线局域网工作组"以来,相继成立的802.15"无线个人网络工作组"、802.16"无线宽带网络工作组"和802.20"移动宽带无线接入工作组"等在无线通信安全方面也作了大量的贡献,如正在研制的IEEE802.11i。
除上述主要标准化组织外, CENIISSS 、ETSI、3GPP , 3GPP2 、OASIS 等区域性标准组织、专业协会或社会团体也制定了一些安全标准,虽然它们不是国际标准,但由于其制定与使用的开放性,部分标准已成为信息产业界广泛接受和采纳的事实标准。
在国内,我国信息安全标准化工作,虽然起步较晚,但是近10 年来发展较快。为了加强信息安全标准化工作的组织协调力度,在国家质量技术监督局领导下,国家标准化管理委员会于2002 年批准成立全国信息安全标准化技术委员会(儒称信安标委,委员会编号为TC260) ,在制定我国信息安全标准方面做了大量的工作,国标、国军标、仔业标准等信息安全领域均有涉及。
信安标委的成立标志着我国信息安全标准化工作步入了"统一领导、协调发展"的新时期。在国家质量技术监督局的领导和支持下,国家信崽安全标准体系的框架己初步形成,将在该框架内以政府主管部门推动,产业界参与的模式,按急用先上的原则逐步推出我国信息安全技术发展和管理应用急需的相关标准。
3.信息安全标准
在我国信息安全保障体系当中,信息安全标准是重要组成部分,是政府进行宏观管理的重要依据。从国家意义上来说,信息安全标准关系到国家的安全及经济利益,标准往往成为保护国家利益、促进产业发展的一种重要手段。信息安全标准化是一项艰巨、长期的基础性工作。我国从20世纪80年代开始,在全国信息技术标准化技术委员会信息安全分技术委员会和各部门各界的共同努力下,本着积极采用国际标准的原则,转化了一批国际信息安全基础技术标准,为我国在信息安全技术的发展作出了一定贡献。与此同时,为推动信息安全技术在各行业的应用和普及,公安部、国家安全部、国家保密局、国家密码管理委员会等相继制定、颁布了一批信息安全的行业标准,而这些标准也发挥了它们积极的作用。
信息安全标准随着人们对信息安全认识的深入而逐渐成为信息安全领域中普遍应用的标准。对广大产品提供商来说,生产符合标准的信息安全产品、参与信息安全标准的制定、通过相关的信息安全方面的认证,对于提高厂离形象、扩大市场份额具有重要意义;对用户而言,了解产品标准有助于选择更好的安全产品,了解评测标准则可以科学地评估系统的安全性,了解安全管理标准则可以建立实施信息安全管理体系:对普通技术人员来讲,了解信息安全标准的动态可以站在信息安全产业的前沿,有助于把握信息安全产业整体的发展方向。
截至目前,国际上己经制定了大量与信息安全管理相关的国际标准,主要可分为信息安全管理与控制类标准和技术与工程类标准。
信息安全管理体系标准BS7799
BS7799标准是英国标准协会(British Standards Institution, BSI)制定的信息安全管理体系标准。它包括两部分,其中第一部分《信息安全管理实施指南》于2001年2月被国际标准化组织(1S0)采纳为国际标准ISOIIEC 17799,并且在2005年6月15日发布了最新版本。在2004年,我国也完成了该标准的转化工作。这一部分主要用于指导企业信息安全管理体系的建设,为信息安全管理提供了一些通常做法。第二部分的BS7799-2《信息安全管理体系规范和应用指南》是一个认证标准,它描述了信息安全管理体系各个方面需要达到的一些要求,可以用这个标准来对机构的信息安全管理体系进行考核和认证。
ISO/IEC 17799的目的是"为信息安全管理提供建议,旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素,并得以使跨机构的交易得到互信"。
机构实施BS7799的目的是用先进的信息安全管理标准来建立一个完整的信息安全管理体系,从而达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式,用最低的成本,获得较高的信息安全水平,从根本上保证业务的连续性。
BS7799作为信息安全管理领域中的一个权威标准,是全球业界一致公认的辅助信息安全治理手段,可以为管理层提供一套可量体裁衣的信息安全管理要项、一套与技术负责人或组织高层进行沟通的共同语言,以及保护信息资产的制度框架是这个标准的最大意义。
技术与工程标准
在1985年,美国颁布的可信计算机系统评估标准TCSEC(业界通常称为信息安全桶皮书)为计算机安全产品的评测提供了测试内容和方法,指导信息安全产品的制造和应用。
信息安全产品和系统安全性测评标准,是信息安全标准体系中非常重要的一个分支。在经历了一系列的重要标准之后,信息安全产品通用测评标准ISOIIEC15408-1999《信息技术、安全技术、信息技术安全性评估准则》 (简称CC)相当于最后的集大成者,是目前国际上最通行的信息技术产品及系统安全性评估准则,也是信息技术安全性评估结果国际互认的基础。
CC标准定义了作为评估信息技术产品和系统安全性的基础准则,提出了目前国际上公认的表述信息技术安全性的结构,也就是把安全要求分为规范产品和系统安全行为的功能来要求和解决该如何正确有效地实施这些功能的保证要求。功能和保证要求又以"类-子类-组件"的结构表述,安全功能的最小构件块是组件,它可以用来"保护轮廓"、"安全目标"和"包"的构建,比如由保证组件构成典型的包"评估保证级"。另外,连接CC 与传统安全机制和服务的桥梁也是功能组件,以及解决CC同己有准则如TCSEC的协调关系。
CC标准分为可3个部分:第1部分"简介和一般模型",它介绍了CC中的一些相关的术语、基本概念和一般模型以及与评估有关的一些框架,附录的部分主要介绍"保护轮廓"和"安全目标"的基本内容;第2部分当中,"安全功能要求"按"类-子类-组件"的方式提出安全功能要求,每一个类除正文以外,还有对应的提示性附录作进一步解释;第3部分"安全保证要求"定义了评估保证级别,介绍了"保护轮廓"和"安全目标"的评估,并按"类-子类-组件"的方式提出安全保证要求。CC的三个部分相互依存,缺一不可。其中,第1部分是介绍CC的基本概念和基本原理,第2部分提出了技术要求,第3部分提出了非技术要求和对开发过程、工程过程的要求。这3部分的有机结合具体体现在"保护轮廓"和"安全目标"中"保护轮廓"和"安全目标"的概念和原理由第1部分介绍。"保护轮廓"和"安全目标"中的安全功能要求和安全保证要求在第2、3部分选取,这些安全要求的完备性和一致性由第2、3部分来保证。
CC标准的核心思想有两点:第一,信息安全技术提供的安全功能本身和对信息安全技术的保证承诺之间是独立的;第二,安全工程的思想,即通过对信息安全产品的开发、评价、使用全过程的各个环节实施安全工程来确保产品的安全性。CC标准强调在IT产品和系统的整个生命周期确保安全性,因此,CC标准可以同时面向消费者、开发者、评价者这3类用户,并且支持他们的应用。CC标准有3种主要应用方式来对应3种不同的用户:定义安全需求、辅助安全产品开发、评价产品安全性。
由美国国家安全局领导开发的系统安全工程能力成熟度模型SSE-CMM是系统安全工程具体应用领域当中的一个分支,它确定了一个评价安全工程实施的综合框架,是一个易于理解的评估系统安全工程实施的框架,为度量与改善安全工程学科应用情况提供了方法。
SSE-CMM和BS7799这两者都提出了一系列最佳惯例,它们之间也有映射关系,不同之处在于: BS7799是一个认证标准,提出了一个可供认证的信息安全管理体系,组织应该将其作为自标,通过选择适当的控制措施去实现,但BS7799并没有规定具体需要哪些过程,而又该怎么去实现。SSE-CMM是一个评估标准,它定义了实现最终安全目标所需要的一系列过程,并且对组织执行这些过程的能力进行了等级划分。因此,这两个标准可以互补使用。事实上,更适合作为评估工程实施组织能力与资质的标准是SSE-CMM,选择服务提供商是对用户的一个参照。我国的国家信息安全测评认证中心在审核专业机构信息安全服务资质的时候就是参照SSE-CMM来审核并划分等级的。
我国在信息安全管理标准的制定方面,主要采取与国际标准靠拢的方式。自成立全国信息安全标准化技术委员会(简称信息安全标委会)以来,在国家标准化管理委员会的指导下和在公安部、国家保密局、中央机要局、安全部、信息产业部(工信部)等各部门的大力支持下,通过多方的协调,研究制定了一批基础的、急需的、关键的信息安全标准,初步缓解了我国信息安全标准的不足,改变了一些信息安全领域无标准可依的状况。
2001年,国家标准GB/T18336《信息技术安全性评估准则》就是参照国际标准ISO/IEC15408制定的,是用来作为评估信息技术产品与信息安全特性的基础准则。
信息安全标委会以工作组为主体开展信息安全标准的研究制定工作,工作组由国内信患安全技术领域的有关部门、研究扭构、企事业单位及高等院校等代表组成,是标准研制的技术力量。目前正式成立了以下工作组。
信息安全标准体系与协调工作组(WG1)主要是负责研究信息安全标准体系、跟踪国际信息安全标准发展动态,研究、分析国内信息安全标准的应用需求,研究并提出了新工作项目及设立新工作组的建议、协调各工作组项目。
涉密信息系统安全保密工作组(WG2)、密码工作组(WG3)和鉴别与授权工作组(WG4)。
负责调研圈内外测评标准现状与发展趋势的是信息安全评估工作组(WG5),这个研究提出了我国统一测评标准体系的思路和程架、系统和网络的安全测评标准思路和框架以及急需的测评标准项目和制定计划。
负责信息安全管理标准体系的研究和国内急需的标准调研的是信息安全管理工作组(WG7),它完成一批信息安全管理相关的基础性标准的制定工作。
在充分借鉴和吸收国际先进信息安全技术标准化成果和认真梳理我国信息安全标准的基础上,本着"科学、合理、系统、适用"的原则,在经过委员会各工作组和秘书处的认真研究后,我国信息安全标准体系已初步形成。
信息安全标准是确保信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。而上述小编所整理的这些为信息安全标准知识以及其所制定的一系列标准使信息网络安全得以保障,让网络信息安全的步伐可以一步步跟上网络的发展。