1.4　信息安全标准化知识

1.4.1　技术标准的基本知识

标准是人们为某种目的和需要而提出的统一性要求，是对一定范围内的重复性事务和概念所做的统一规定。标准又是一种特殊的文件，它是为在一定的范围内获得最佳秩序，对活动及其结果规定共同重复使用的规则、指导原则或特性要求。

标准对促进信息通信技术产业发展及推广应用发挥着极其重要的作用。统一标准是互联互通、信息共享、业务协同的基础。如果没有标准，互联网不会发展到今天这种规模。人们很难说清楚生产一台电脑需要遵循多少标准，但是每个生产商一定会考虑采用标准统一的磁盘驱动器、打印机接口和网卡等。

标准化则是制定标准并使其在社会一定范围内得以推广应用的一系列活动。这些活动主要包括制定、发布、实施及修改标准等过程。信息化建设相关的标准化工作是推动国家信息化建设的重要基础性工作。在国家信息化建设过程中，标准是规范技术开发、产品生产、工程管理等行为的技术法规。统一标准是信息系统互通、互连、互操作的前提。只有通过统一技术要求、业务要求和管理要求等标准化手段，才可以保障信息化建设的相关工程及相关环节的建设在全国范围内有章可循，有法可依，形成一个有机的整体，避免盲目和重复，降低成本，提高效益，从而规范和促进国家信息化建设有序、高效、快速和健康地发展。

标准产生的基础是“科学、技术和经验的综合成果”，这奠定了标准的科学性和先进性。标准的产生要经过协商一致制定并由公认机构批准。协商一致是指：普遍同意，表征为对实质性问题，有关重要方面没有坚持反对意见，并且按程序对有关各方面的观点进行了研究和对争议经过了协调。协商一致并不意味着没有异议。简言之，协商一致是指有关各界的重要一方对标准中的实质性问题普遍接受，没有坚持反对意见，但并不是说所有各方全无异议。为了保证标准的严肃性和权威性，标准需经公认机构批准这是非常必要的。这里指公认机构，自然是权威机构，它一般包括政府主管部门、标准化组织或团体（包括国际组织或区域组织），从事标准化工作的协会或学会等等。

在我国，将标准级别依据《中华人民共和国标准化法》划分为国家标准、行业标准、地方标准和企业标准等4个层次。各层次之间有一定的依从关系和内在联系，形成一个覆盖全国又层次分明的标准体系。此外，为适应某些领域标准快速发展和快速变化的需要，于1998年规定的四级标准之外，增加一种“国家标准化指导性技术文件”，作为对国家标准的补充，其代号为“GB/Z”。符合下列情况之一的项目，可以制定指导性技术文件：①技术尚在发展中，需要有相应的文件引导其发展或具有标准化价值，尚不能制定为标准的项目；②采用国际标准化组织、国际电工委员会及其他国际组织（包括区域性国际组织）的技术报告的项目。指导性技术文件仅供使用者参考。

依据《中华人民共和国标准化法》的规定，国家标准、行业标准均可分为强制性和推荐性两种属性的标准。保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准是强制性标准，其他标准是推荐性标准。省、自治区、直辖市标准化行政主管部门制定的工业产品安全、卫生要求的地方标准，在本地区域内是强制性标准。

强制性标准是由法律规定必须遵照执行的标准。强制性标准以外的标准是推荐性标准，又叫非强制性标准。推荐性国家标准的代号为“GB/T”，强制性国家标准的代号为“GB”。行业标准中的推荐性标准也是在行业标准代号后加个“T”字，如“JB/T”即机械行业推荐性标准，不加“T”字即为强制性行业标准。

制定标准一般指制定一项新标准，是指制定过去没有而现在需要进行制定的标准。它是根据生产发展的需要和科学技术发展的需要及其水平来制定的，因而它反映了当前的生产技术水平。制定这类标准的工作量最大，工作要求最高，所用的时间也较多。它是一个国家的标准化工作的重要方面，反映了这个国家的标准化工作面貌和水平。

一个新标准制定后，由标准批准机关给一个标准编号（包括年代号），同时标明它的分类号，以表明该标准的专业隶属和制定年代。

修订标准则是指对一项已在生产中实施多年的标准进行修订。修订部分主要是生产实践中反映出来的不适应生产现状和科学技术发展那一部分，或者修改其内容，或者予以补充，或者予以删除。修订标准不改动标准编号，仅将其年代号改为修订时的年代号。

1.4.2　标准化组织

为适应信息技术的迅猛发展，国际上成立了许多标准化组织。目前国际上有两个重要的标准化组织，即国际标准化组织（ISO）和国际电工委员会（IEC）。

ISO和IEC成立了第一联合技术委员会JTC1制定信息技术领域国际标准，下辖19个分技术委员会SC和功能标准化专门组SGFS等特别工作小组，还有4个管理机构，即一致性评定特别工作小组、信息技术任务组、注册机构特别工作组和业务分析与计划特别小组。

SC27是JTC1中专门从事信息安全通用方法及技术标准化工作的分技术委员会，其工作职责包括：

• 确定信息技术系统安全服务的一般需求（包括需求的方法学）；

• 研究并制定相关的安全技术和机制（包括登记规程和安全部件间的相互关系）；

• 研究并制定安全指南（如说明性的文档，风险分析等）；

• 研究并制定管理支撑文档和标准（如词汇、安全评估准则等）；

• 研究并制定用于完整性、鉴别和抗抵赖性等服务的密码算法标准，同时根据国际认可的策略，研究并制定用于保密性服务的密码算法标准。

目前，SC27下设三个工作组，各工作组的名称体现了各自的工作范围：

• 第一工作组（WG1）：需求、安全服务及指南工作组；

• 第二工作组（WG2）：安全技术与机制工作组；

• 第三工作组（WG3）：安全评估准则工作组。

到目前为止，SC27发布、正在制定及规划的信息安全国际标准超过80项。这些标准主要包括安全技术与机制（如密码算法、散列函数、数字签名机制、实体鉴别机制等）、安全评估准则和安全管理（如安全管理控制措施、安全管理指南等）。这些标准对促进和规范信息安全领域起到了重要的指导作用。

随着边缘技术的出现，以及JTC1内其他分技术委员会职责范围的交叉，SC27启动了联合工作机制，与许多组织进行了成功的合作。例如：在ISO/IEC JTC1内有SC6,SC7,SC17,SC36和SC37；在ISO内包括TC68和TC215；外部组织包括CCIMB，ETSI，ITU-T和ISSEA。

美国的信息技术标准主要由ANSI、NIST制定。其电子工业协会EIA和通信工业协会TIA也制定了部分信息标准。欧洲的ECMA主要在世界范围内制定与计算机及计算机应用有关的标准。IETF主要制定与因特网有关的标准。另外还有ITU、IEEE、EDTI和OMG等组织制定有关的信息技术标准。

国际电工委员会IEC成立于1906年，是世界上最早的国际性电工标准化机构。IEC负责有关电工、电子领域的国际标准化工作。在信息安全标准化方面，除了同ISO联合成立的JTC1下属几个分委员会外，还在电磁兼容等方面成立技术委员会，并制定相关国际标准，如信息技术设备安全（IEC 60950）。与信息安全标准化相关的技术委员会有：TC56——可靠性；TC74——T设备安全和功效；TC77——电磁兼容；CISPR——无线电干扰特别委员会等。

国际电信联盟ITU下属的电信标准局ITU-T所属的第17研究组SG17，主要负责研究通信系统安全标准。2001年底，SG7、SG10和SG17合并形成了新的SG17。在2001至2004年这一研究期中，SG17下设了Question10项目组来专门从事信息安全标准研究。在此研究期内，Q10组主要集中于定义通信系统相关的整个安全框架，项目组活动涉及到协调、配合并推动其他通信系统安全相关的规范制定。ITU-T单独或与ISO联合开发了消息处理系统（MHS）、目录系统（X.400系列、X.500系列）和安全框架、安全模型等方面的信息安全标准，其中的X.509标准是开展电子商务认证的重要基础标准。截止2004年3月，ITU-T正式发布的信息安全标准达74个。

Internet工程任务组（IETF）主要提出Internet标准草案和称为“请求注解”（RFC）的协议文稿，内容广泛，也包括安全方面的建议稿，经过网上讨论修改，被大家接受的就成了事实上的标准。截至2003年底，有关安全方面的RFC有190多个，例如：RFC 1352 SNMP安全协议；RFC 1421-1424因特网电子邮件保密增强；RFC 1825因特网协议安全体系结构等。这些事实标准对提高和改善Internet网的安全性起到了至关重要的作用，如PKI、IPSec等标准及其草案将成为指导Internet未来安全的重要文件。

欧洲计算机厂商协会（ECMA）成立于1961年，除吸收欧洲计算机厂商，还吸收全球其他洲的各大计算机公司、厂商成为其会员，主要制定计算机及其相关应用的标准和技术报告，经常向ISO提交标准提案。JTC1的欧洲秘书处就设在ECMA。它有11个技术委员会，其中TC32 ——“通信、网络和系统互连”曾定义了开放系统应用层安全结构；TC36——“IT安全”负责信息技术设备的安全标准，目前主要制定商用和政府用信息技术产品和系统安全性评估标准化框架，以及在开放系统环境下逻辑安全设备的框架。

美国国家标准化协会ANSI于20世纪80年代初开始数据加密标准化工作，共制定了3项美国国家标准。ANSI中技术委员会NCITS（即X3）负责信息技术，承担着JTC1秘书处的工作，其中，分技术委员会T4专门负责IT安全技术标准化工作，对口JTC1的SC27。ANSI负责金融安全的X3（NCITS）、X9（负责制定金融业务标准）、X12（负责制定商业交易标准）等组织制定了很多有关数据加密、银行业务安全和EDI安全等方面的标准。这些标准中，许多经国际标准化组织反复讨论后成为国际标准。已制定金融交易卡、密码服务消息，以及实现商业交易安全等方面的安全标准10多个。

美国国家标准技术研究所NIST主要负责制定联邦计算机系统标准和指导文件，所出版的标准和规范被称作联邦信息处理标准（FIPS）。FIPS安全标准也是美国军用信息安全标准的重要来源。FIPS由NIST在广泛搜集政府各部门及私人部门的意见的基础上写成。正式发布之前，将FIPS分送给每个政府机构，并在“联邦注册”上刊印出版。经再次征求意见之后，NIST局长把标准连同NIST的建议一起呈送美国商业部，由商业部长签字画押同意或反对这个标准。FIPS安全标准的一个著名实例就是数据加密标准（DES）。从20世纪70年代公布的数据加密标准DES开始，NIST制定了一系列有关信息安全方面的联邦信息处理标准FIPS，截至2003年12月该机构已制定了33项信息安全相关的FIPS和66项信息安全相关的专题出版物（NIST SP 800系列和NIST SP 500系列）。

美国国防部（DOD）十分重视信息的安全问题。DOD发布了一些有关信息安全和自动信息系统安全的指令、指示和标准，并且加强信息安全的管理，特别是DOD 5200.28-STD《可信计算机系统评估准则》，受到各方面广泛的关注，为研究制定信息技术安全性评估准则提供了重要的基础。

美国电气电工工程师协会（IEEE）在信息安全标准化方面的贡献，主要是提出LAN/WAN安全方面的标准（SILS）和公钥密码标准（P1363）。从1990年IEEE成立802.11“无线局域网工作组”以来，相继成立的802.15“无线个人网络工作组”、802.16“无线宽带网络工作组”和802.20“移动宽带无线接入工作组”等在无线通信安全方面也作了大量的贡献，如正在研制的IEEE 802.11i。

除上述主要标准化组织外，CEN/ISSS、ETSI、3GPP、3GPP2、OASIS等区域性标准组织、专业协会或社会团体也制定了一些安全标准，虽然它们不是国际标准，但由于其制定与使用的开放性，部分标准已成为信息产业界广泛接受和采纳的事实标准。

在国内，我国信息安全标准化工作，虽然起步较晚，但是近10年来发展较快。为了加强信息安全标准化工作的组织协调力度，在国家质量技术监督局领导下，国家标准化管理委员会于2002年批准成立全国信息安全标准化技术委员会（简称信安标委，委员会编号为TC260），在制定我国信息安全标准方面做了大量的工作，国标、国军标、行业标准等信息安全领域均有涉及。

信安标委的成立标志着我国信息安全标准化工作步入了“统一领导、协调发展”的新时期。在国家质量技术监督局的领导和支持下，国家信息安全标准体系的框架已初步形成，将在该框架内以政府主管部门推动，产业界参与的模式，按急用先上的原则逐步推出我国信息安全技术发展和管理应用急需的相关标准。

1.4.3　信息安全标准

信息安全标准是我国信息安全保障体系的重要组成部分，是政府进行宏观管理的重要依据。从国家意义上来说，信息安全标准关系到国家的安全及经济利益，标准往往成为保护国家利益、促进产业发展的一种重要手段。信息安全标准化是一项艰巨、长期的基础性工作。我国从20世纪80年代开始，在全国信息技术标准化技术委员会信息安全分技术委员会和各部门各界的努力下，本着积极采用国际标准的原则，转化了一批国际信息安全基础技术标准，为我国信息安全技术的发展作出了一定贡献。同时，公安部、国家安全部、国家保密局、国家密码管理委员会等相继制定、颁布了一批信息安全的行业标准，为推动信息安全技术在各行业的应用和普及发挥了积极的作用。

随着人们对信息安全认识的深入，信息安全标准逐渐成为信息安全领域中普遍应用的标准。对广大产品提供商来说，生产符合标准的信息安全产品、参与信息安全标准的制定、通过相关的信息安全方面的认证，对于提高厂商形象、扩大市场份额具有重要意义；对用户而言，了解产品标准有助于选择更好的安全产品，了解评测标准则可以科学地评估系统的安全性，了解安全管理标准则可以建立实施信息安全管理体系；对普通技术人员来讲，了解信息安全标准的动态可以站在信息安全产业的前沿，有助于把握信息安全产业整体的发展方向。

截至目前，国际上已制定了大量有关信息安全管理的国际标准，主要可分为信息安全管理与控制类标准和技术与工程类标准。

1.4.3.1　信息安全管理体系标准BS7799

BS7799标准是英国标准协会（British Standards Institution，BSI）制定的信息安全管理体系标准。它包括两部分，其第一部分《信息安全管理实施指南》于2001年2月被国际标准化组织（ISO）采纳为国际标准ISO/IEC17799，并于2005年6月15日发布了最新版本。我国也于2004年完成该标准的转化工作。这一部分主要提供了信息安全管理的一些通常做法，用于指导企业信息安全管理体系的建设。第二部分BS7799-2《信息安全管理体系规范和应用指南》是一个认证标准，描述了信息安全管理体系各个方面需要达到的一些要求，可以以此为标准对机构的信息安全管理体系进行考核和认证。

ISO/IEC 17799的目的是“为信息安全管理提供建议，旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素，并得以使跨机构的交易得到互信”。

机构实施BS7799的目的是按照先进的信息安全管理标准建立完整的信息安全管理体系，达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式，用最低的成本，获得较高的信息安全水平，从根本上保证业务的连续性。

BS7799作为信息安全管理领域的一个权威标准，是全球业界一致公认的辅助信息安全治理手段，该标准的最大意义在于可以为管理层提供一套可量体裁衣的信息安全管理要项、一套与技术负责人或组织高层进行沟通的共同语言，以及保护信息资产的制度框架。

1.4.3.2　技术与工程标准

美国于1985年颁布的可信计算机系统评估标准TCSEC（业界通常称为信息安全橘皮书）为计算机安全产品的评测提供了测试内容和方法，指导信息安全产品的制造和应用。

信息安全产品和系统安全性测评标准，是信息安全标准体系中非常重要的一个分支，经历了一系列的重要标准，其中，信息安全产品通用测评标准ISO/IECl5408—1999《信息技术、安全技术、信息技术安全性评估准则》（简称CC）相当于最后的集大成者，是目前国际上最通行的信息技术产品及系统安全性评估准则，也是信息技术安全性评估结果国际互认的基础。

CC标准定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效地实施这些功能的保证要求。功能和保证要求又以“类-子类-组件”的结构表述，组件作为安全功能的最小构件块，可以用于“保护轮廓”、“安全目标”和“包”的构建，例如由保证组件构成典型的包-“评估保证级”。另外，功能组件还是连接CC与传统安全机制和服务的桥梁，以及解决CC同已有准则如TCSEC的协调关系。

CC标准分为3个部分：第1部分“简介和一般模型”，正文介绍了CC中的有关术语、基本概念和一般模型以及与评估有关的一些框架，附录部分主要介绍“保护轮廓”和“安全目标”的基本内容；第2部分“安全功能要求”，按“类-子类-组件”的方式提出安全功能要求，每一个类除正文以外，还有对应的提示性附录作进一步解释；第3部分“安全保证要求”，定义了评估保证级别，介绍了“保护轮廓”和“安全目标”的评估，并按“类-子类-组件”的方式提出安全保证要求。CC的三个部分相互依存，缺一不可。其中，第1部分是介绍CC的基本概念和基本原理，第2部分提出了技术要求，第3部分提出了非技术要求和对开发过程、工程过程的要求。这3部分的有机结合具体体现在“保护轮廓”和“安全目标”中，“保护轮廓”和“安全目标”的概念和原理由第1部分介绍。“保护轮廓”和“安全目标”中的安全功能要求和安全保证要求在第2、3部分选取，这些安全要求的完备性和一致性由第2、3部分来保证。

CC标准的核心思想有两点：一是信息安全技术提供的安全功能本身和对信息安全技术的保证承诺之间独立；二是安全工程的思想，即通过对信息安全产品的开发、评价、使用全过程的各个环节实施安全工程来确保产品的安全性。CC标准强调在IT产品和系统的整个生命周期确保安全性，因此，CC标准可以同时面向消费者、开发者、评价者3类用户，同时支持他们的应用。对应3种不同的用户，CC标准有3种主要应用方式：定义安全需求、辅助安全产品开发、评价产品安全性。

系统安全工程能力成熟度模型SSE-CMM是系统安全工程具体应用领域的一个分支，由美国国家安全局领导开发。它确定了一个评价安全工程实施的综合框架，提供了度量与改善安全工程学科应用情况的方法，同时还是一个易于理解的评估系统安全工程实施的框架。

SSE-CMM和BS7799都提出了一系列最佳惯例，二者之间也有映射关系，不同之处在于：BS7799是一个认证标准，提出了一个可供认证的信息安全管理体系，组织应该将其作为目标，通过选择适当的控制措施去实现，但具体怎么实现，需要哪些过程，BS7799都没有规定。SSE-CMM是一个评估标准，它定义了实现最终安全目标需要的一系列过程，并对组织执行这些过程的能力进行等级划分。因此，二者可以互补使用。实际上，SSE-CMM更适合作为评估工程实施组织能力与资质的标准，对用户来说，则是选择服务提供商的一个参照。我国的国家信息安全测评认证中心在审核专业机构信息安全服务资质时，基本上就是参照SSE-CMM来审核并划分等级的。

我国在信息安全管理标准的制定方面，主要采取与国际标准靠拢的方式。全国信息安全标准化技术委员会（简称信息安全标委会）自成立以来，在国家标准化管理委员会的指导下，在公安部、国家保密局、中央机要局、安全部、信息产业部（工信部）等各部门的大力支持下，通过多方的协调，研究制定了一批基础的、急需的、关键的信息安全标准，初步缓解了我国信息安全标准的不足，改变了一些信息安全领域无标准可依的状况。

2001年参照国际标准ISO/IEC15408，制定了国家标准GB/T18336《信息技术安全性评估准则》，作为评估信息技术产品与信息安全特性的基础准则。

信息安全标委会以工作组为主体开展信息安全标准的研究制定工作，工作组由国内信息安全技术领域的有关部门、研究机构、企事业单位及高等院校等代表组成，是标准研制的技术力量。目前正式成立了以下工作组。

信息安全标准体系与协调工作组（WG1），主要负责研究信息安全标准体系、跟踪国际信息安全标准发展动态，研究、分析国内信息安全标准的应用需求，研究并提出了新工作项目及设立新工作组的建议、协调各工作组项目。

涉密信息系统安全保密工作组（WG2）、密码工作组（WG3）和鉴别与授权工作组（WG4）。

信息安全评估工作组（WG5），负责调研国内外测评标准现状与发展趋势，研究提出了我国统一测评标准体系的思路和框架，研究提出了系统和网络的安全测评标准思路和框架，研究提出了急需的测评标准项目和制定计划。

信息安全管理工作组（WG7），负责信息安全管理标准体系的研究和国内急需的标准调研，完成一批信息安全管理相关的基础性标准的制定工作。

本着“科学、合理、系统、适用”的原则，在充分借鉴和吸收国际先进信息安全技术标准化成果和认真梳理我国信息安全标准的基础上，经过委员会各工作组和秘书处的认真研究，初步形成了我国信息安全标准体系。