信息安全標(biāo)準(zhǔn)是確保信息安全的產(chǎn)品和系統(tǒng)在設(shè)計(jì)、研發(fā)、生產(chǎn)、建設(shè)、使用、測評(píng)中解決其一致性、可靠性、可控性、先進(jìn)性和符合性的技術(shù)規(guī)范、技術(shù)依據(jù)。信息安全標(biāo)準(zhǔn)是我國信息安全保障體系的重要組成部分,是政府進(jìn)行宏觀管理的重要手段。信息安全保障體系的建設(shè)、應(yīng)用,是一個(gè)極其龐大的復(fù)雜系統(tǒng),沒有配套的安全標(biāo)準(zhǔn),就不能構(gòu)造出一個(gè)可用的信息安全保障體系。
信息安全標(biāo)準(zhǔn)化工作對(duì)于解決信息安全問題具有重要的技術(shù)支撐作用。信息安全標(biāo)準(zhǔn)化不僅關(guān)系到國家安全,同時(shí)也是保護(hù)國家利益、促進(jìn)產(chǎn)業(yè)發(fā)展的一種重要手段。在互聯(lián)網(wǎng)飛速發(fā)展的今天,網(wǎng)絡(luò)和信息安全問題不容忽視,積極推動(dòng)信息安全標(biāo)準(zhǔn)化,牢牢掌握在信息時(shí)代全球化競爭中主動(dòng)權(quán)是非常重要的。由此可以看出,信息安全標(biāo)準(zhǔn)化工作是一項(xiàng)艱巨、長期的基礎(chǔ)性工作。
一、國際信息安全標(biāo)準(zhǔn)化工作的情況
國際上,信息安全標(biāo)準(zhǔn)化工作,興起于二十世紀(jì)70年代中期,80年代有了較快的發(fā)展,90年代引起了世界各國的普遍關(guān)注目前。目前世界上約有近300個(gè)國際和區(qū)域性組織,制定標(biāo)準(zhǔn)或技術(shù)規(guī)則,與信息安全標(biāo)準(zhǔn)化有關(guān)的主要的組織有:國際標(biāo)準(zhǔn)化組織(ISO)、國際電工委員會(huì)(IEC)、國際電信聯(lián)盟(ITU)、Internet工程任務(wù)組(IETF)等。
國際標(biāo)準(zhǔn)化組織(ISO) 于1947年2月23日正式開始工作,ISO/IEC JTC1(信息技術(shù)標(biāo)準(zhǔn)化委員會(huì))所屬SC 27(安全技術(shù)分委員會(huì))其前身是SC20(數(shù)據(jù)加密分技術(shù)委員會(huì)),主要從事信息技術(shù)安全的一般方法和技術(shù)的標(biāo)準(zhǔn)化工作。而ISO/TC68負(fù)責(zé)銀行業(yè)務(wù)應(yīng)用范圍內(nèi)有關(guān)信息安全標(biāo)準(zhǔn)的制定,它主要制定行業(yè)應(yīng)用標(biāo)準(zhǔn),在組織上和標(biāo)準(zhǔn)之間與SC27有著密切的聯(lián)系。ISO/IEC JTC1負(fù)責(zé)制定標(biāo)準(zhǔn)主要是開放系統(tǒng)互連、密鑰管理、數(shù)字簽名、安全的評(píng)估等方面的內(nèi)容。
國際電工委員會(huì)(IEC)正式成立于1906年十月,是世界上成立最早的專門國際標(biāo)準(zhǔn)化機(jī)構(gòu)。在信息安全標(biāo)準(zhǔn)化方面,主要與ISO聯(lián)合成立了JTC1下分委員會(huì)外,還在電信、電子系統(tǒng)、信息技術(shù)和電磁兼容等方面成立技術(shù)委員會(huì),如TC56 可靠性、TC74 IT設(shè)備安全和功效、TC77 電磁兼容、TC 108 音頻/視頻、信息技術(shù)和通訊技術(shù)電子設(shè)備的安全等,并制定相關(guān)國際標(biāo)準(zhǔn),如信息技術(shù)設(shè)備安全(IEC 60950)等。
國際電信聯(lián)盟(ITU)成立于1865年5月17日,所屬的SG17組,主要負(fù)責(zé)研究通信系統(tǒng)安全標(biāo)準(zhǔn)。SG17組主要研究的有:通信安全項(xiàng)目、安全架構(gòu)和框架、計(jì)算安全、安全管理、用于安全的生物測定、安全通信服務(wù)。此外SG16和下一代網(wǎng)絡(luò)核心組也在通信安全、H323網(wǎng)絡(luò)安全、下一代網(wǎng)絡(luò)安全等標(biāo)準(zhǔn)方面進(jìn)行了研究。目前ITU-T建議書中大約有40多個(gè)都是與通信安全有關(guān)的標(biāo)準(zhǔn)。
Internet工程任務(wù)組(IETF)史創(chuàng)于1986年,其主要任務(wù)是負(fù)責(zé)互聯(lián)網(wǎng)相關(guān)技術(shù)規(guī)范的研發(fā)和制定。目前,IETF已成為全球互聯(lián)網(wǎng)界最具權(quán)威的大型技術(shù)研究組織。IETF標(biāo)準(zhǔn)制定的具體工作由各個(gè)工作組承擔(dān),工作組分成八個(gè)領(lǐng)域,分別是Internet路由、傳輸、應(yīng)用領(lǐng)域等等,著名的IKE和IPsec都在RFC系列之中,還有電子郵件,網(wǎng)絡(luò)認(rèn)證和密碼標(biāo)準(zhǔn),也包括了TLS標(biāo)準(zhǔn)和其它的安全協(xié)議標(biāo)準(zhǔn)。
二、我國信息安全標(biāo)準(zhǔn)化的現(xiàn)狀
信息安全標(biāo)準(zhǔn)是我國信息安全保障體系的重要組成部分,是政府進(jìn)行宏觀管理的重要依據(jù)。雖然國際上有很多標(biāo)準(zhǔn)化組織在信息安全方面制定了許多的標(biāo)準(zhǔn),但是信息安全標(biāo)準(zhǔn)事關(guān)國家安全利益,任何國家都不會(huì)輕易相信和過分依賴別人,總要通過自己國家的組織和專家制定出自己可以信任的標(biāo)準(zhǔn)來保護(hù)民族的利益。因此,各個(gè)國家在充分借鑒國際標(biāo)準(zhǔn)的前提下,制訂和擴(kuò)展自己國家對(duì)信息安全的管理領(lǐng)域,這樣,就出現(xiàn)許多國家建立了自己的信息安全標(biāo)準(zhǔn)化組織和制定本國的信息安全標(biāo)準(zhǔn)。
目前,我國按照國務(wù)院授權(quán),在國家質(zhì)量監(jiān)督撿驗(yàn)撿疫總局管理下,由國家標(biāo)準(zhǔn)化管理委員會(huì)統(tǒng)一管理全國標(biāo)準(zhǔn)化工作,下設(shè)有255個(gè)專業(yè)技術(shù)委員會(huì)。中國標(biāo)準(zhǔn)化工作實(shí)行統(tǒng)一管理與分工負(fù)責(zé)相結(jié)合的管理體制,有88個(gè)國務(wù)院有關(guān)行政主管部門和國務(wù)院授權(quán)的有關(guān)行業(yè)協(xié)會(huì)分工管理本部門、本行業(yè)的標(biāo)準(zhǔn)化工作,有31個(gè)省、自治區(qū)、直轄市政府有關(guān)行政主管部門分工管理本行政區(qū)域內(nèi)本部門、本行業(yè)的標(biāo)準(zhǔn)化工作。成立于1984年的全國信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(CITS),在國家標(biāo)準(zhǔn)化管理委員會(huì)和信息產(chǎn)業(yè)部的共同領(lǐng)導(dǎo)下負(fù)責(zé)全國信息技術(shù)領(lǐng)域以及與ISO/IEC JTC1相對(duì)應(yīng)的標(biāo)準(zhǔn)化工作,目前下設(shè)24個(gè)分技術(shù)委員會(huì)和特別工作組,是目前國內(nèi)最大的標(biāo)準(zhǔn)化技術(shù)委員會(huì)。它是一個(gè)具有廣泛代表性、權(quán)威性和軍民結(jié)合的信息安全標(biāo)準(zhǔn)化組織。全國信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)的工作范圍是負(fù)責(zé)信息和通信安全的通用框架、方法、技術(shù)和機(jī)制的標(biāo)準(zhǔn)化,歸口國內(nèi)外對(duì)應(yīng)的標(biāo)準(zhǔn)化工作。其技術(shù)安全包括:開放式安全體系結(jié)構(gòu)、各種安全信息交換的語義規(guī)則、有關(guān)的應(yīng)用程序接口和協(xié)議引用安全功能的接口等。
我國信息安全標(biāo)準(zhǔn)化工作,雖然起步較晚,但是近年來發(fā)展較快,入世后標(biāo)準(zhǔn)化工作在公開性、透明度等方面更加取得實(shí)質(zhì)性進(jìn)展。我國從20世紀(jì)80年代開始,本著積極采用國際標(biāo)準(zhǔn)的原則,轉(zhuǎn)化了一批國際信息安全基礎(chǔ)技術(shù)標(biāo)準(zhǔn),制定了一批符合中國國情的信息安全標(biāo)準(zhǔn),同時(shí)一些重點(diǎn)行業(yè)還頒布了一批信息安全的行業(yè)標(biāo)準(zhǔn),為我國信息安全技術(shù)的發(fā)展做出了很大的貢獻(xiàn)。據(jù)統(tǒng)計(jì),我國從1985年發(fā)布了第一個(gè)有關(guān)信息安全方面的標(biāo)準(zhǔn)以來到2004年底共制定、報(bào)批和發(fā)布有關(guān)信息安全技術(shù)、產(chǎn)品、測評(píng)和管理的國家標(biāo)準(zhǔn)76個(gè),正在制定中的標(biāo)準(zhǔn)51個(gè),為信息安全的開展奠定了基礎(chǔ)。
三、信息安全標(biāo)準(zhǔn)化工作的發(fā)展趨勢
隨著網(wǎng)絡(luò)的延伸和發(fā)展,信息安全問題受到了全社會(huì)前所未有的普遍關(guān)注,人們對(duì)信息安全的理解和認(rèn)識(shí)更加深入全面,信息安全標(biāo)準(zhǔn)化的工作也在各級(jí)組織中得到了重視。信息技術(shù)安全標(biāo)準(zhǔn)化是一項(xiàng)基礎(chǔ)性工作,必須統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)籌規(guī)劃、各方參與、分工合作,以保證其順利和協(xié)調(diào)發(fā)展。
1、走國際化的合作發(fā)展之路
信息安全的國際標(biāo)準(zhǔn)大多數(shù)是在歐洲、美國等工業(yè)發(fā)達(dá)國家標(biāo)準(zhǔn)的基礎(chǔ)上協(xié)調(diào)產(chǎn)生的,基本上代表了當(dāng)今世界現(xiàn)代信息技術(shù)的發(fā)展水平。我國的信息化工作起步較晚,但是互聯(lián)網(wǎng)是沒有國界的,在互聯(lián)網(wǎng)上使用的產(chǎn)品是可以互聯(lián)互通的,在我國接入互聯(lián)的那一天起,在互聯(lián)上產(chǎn)生的信息安全問題就同樣開始威脅我國的網(wǎng)絡(luò),所以借鑒國外的成熟的先進(jìn)的經(jīng)驗(yàn)發(fā)展我國的信息化建設(shè)事業(yè)是十分必要的。信息安全標(biāo)準(zhǔn)化工作是一個(gè)國際性的工作,共性的問題多于個(gè)性,本著積極采用國際標(biāo)準(zhǔn)的原則,適時(shí)地轉(zhuǎn)化了一些國際信息安全基礎(chǔ)技術(shù)標(biāo)準(zhǔn)為我國信息化建設(shè)服務(wù),會(huì)對(duì)中國的信息安全技術(shù)起到一個(gè)快速發(fā)展的作用。
目前,我國的標(biāo)準(zhǔn)化工作者積極參與國際標(biāo)準(zhǔn)化和區(qū)域性標(biāo)準(zhǔn)化活動(dòng),不僅參加了國際標(biāo)準(zhǔn)化組織(ISO)和國際電工委員會(huì)(IEC)每年召開的各類高層次的工作會(huì)議和技術(shù)會(huì)議,同時(shí)每年派出100多個(gè)代表團(tuán)參加ISO、IEC的TC和SC會(huì)議。我們不僅主動(dòng)地采用國際標(biāo)準(zhǔn),轉(zhuǎn)化國際標(biāo)準(zhǔn),更重要的我們還應(yīng)有計(jì)劃、有重點(diǎn)地參與國際標(biāo)準(zhǔn)的起草和主動(dòng)承擔(dān)國際標(biāo)準(zhǔn)的起草工作,包括標(biāo)準(zhǔn)試驗(yàn)驗(yàn)證和討論的全過程。逐步使我國的信息安全標(biāo)準(zhǔn)化工作與國際標(biāo)準(zhǔn)化工作的計(jì)劃、速度以及試驗(yàn)驗(yàn)證工作接軌。我們應(yīng)該采取積極的態(tài)度,對(duì)國際標(biāo)準(zhǔn)要花大力氣,認(rèn)真分析、研究。凡是符合我國國情,有利于提高信息化工作質(zhì)量,保護(hù)國家利益的標(biāo)準(zhǔn)都應(yīng)該加速采用為我國信息安全標(biāo)準(zhǔn)化工作服務(wù)。
2、商業(yè)化為信息安全標(biāo)準(zhǔn)化發(fā)展提供了動(dòng)力
多年來,國家標(biāo)準(zhǔn)的制修訂經(jīng)費(fèi)主要來源于政府財(cái)政撥款,一直作為補(bǔ)助經(jīng)費(fèi)維持工作,靠行政命令,如果經(jīng)費(fèi)不足,由項(xiàng)目承擔(dān)單位自行解決。隨著改革開放的深入和信息化工作的開展,對(duì)信息安全標(biāo)準(zhǔn)化工作的要求越來越高,企業(yè)生產(chǎn)產(chǎn)品需要標(biāo)準(zhǔn)、政府管理工作需要標(biāo)準(zhǔn),用戶和消費(fèi)者來保護(hù)自己合法權(quán)益也需要標(biāo)準(zhǔn)。形勢變化了,標(biāo)準(zhǔn)的需求增加了,但標(biāo)準(zhǔn)化工作的經(jīng)費(fèi)一直沒有增加,對(duì)于政府、市場、企業(yè)和社會(huì)急需的標(biāo)準(zhǔn)和應(yīng)該開展的工作,對(duì)于大量應(yīng)該修訂的標(biāo)準(zhǔn)無力進(jìn)行正常的修訂,對(duì)于參與國際標(biāo)準(zhǔn)化活動(dòng)和采用國際標(biāo)準(zhǔn)工作,因?yàn)椴豢赡苡凶銐虻慕?jīng)費(fèi)支持,而使信息安全標(biāo)準(zhǔn)化的工作受到了不同程度的影響。今后采取國家的更多投入,企業(yè)的大力支持,標(biāo)準(zhǔn)出版物在發(fā)行工作中的改革,提高標(biāo)準(zhǔn)文本的出售價(jià)格等方法,使信息安全標(biāo)準(zhǔn)化工作逐步進(jìn)入商業(yè)化運(yùn)作模式,使標(biāo)準(zhǔn)工作進(jìn)入到一個(gè)良性發(fā)展的新局面。
3、明確信息安全標(biāo)準(zhǔn)化的研究方向
信息技術(shù)的安全技術(shù)是比較新的和復(fù)雜的技術(shù),也是在近年來才得到較快的發(fā)展的技術(shù),重視新技術(shù)的研究與規(guī)范是十分重要的。為了全面認(rèn)識(shí)和了解信息技術(shù)的安全標(biāo)準(zhǔn),需要對(duì)國內(nèi)外信息技術(shù)標(biāo)準(zhǔn)化的情況和發(fā)展趨勢進(jìn)行深入的跟蹤和研究。今后在信息安全標(biāo)準(zhǔn)化方面需要實(shí)施的工作有,扎扎實(shí)實(shí)地抓好基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè),繼續(xù)推進(jìn)信息安全等級(jí)保護(hù)、信息安全風(fēng)險(xiǎn)評(píng)估、信息安全產(chǎn)品認(rèn)證認(rèn)可等基礎(chǔ)性工作;繼續(xù)加快以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè),進(jìn)一步完善應(yīng)急協(xié)調(diào)機(jī)制與災(zāi)難備份工作;進(jìn)一步加強(qiáng)互聯(lián)網(wǎng)管理,創(chuàng)建安全、健康、有序的網(wǎng)絡(luò)環(huán)境;進(jìn)一步創(chuàng)建產(chǎn)業(yè)發(fā)展環(huán)境支持信息安全產(chǎn)業(yè)發(fā)展,加快信息安全學(xué)科建設(shè)和人才培養(yǎng),加強(qiáng)國際合作與交流,完善信息安全的管理體制和機(jī)制。
