美国信息安全标准化建设问题研究资料Word文档格式.docx
《美国信息安全标准化建设问题研究资料Word文档格式.docx》由会员分享,可在线阅读,更多相关《美国信息安全标准化建设问题研究资料Word文档格式.docx(14页珍藏版)》请在冰豆网上搜索。
(1)
1.1标准的概念·
1.1.1标准的定义·
1.1.2标准的分类·
1.2信息安全标准的概念·
1.2.1信息安全标准的定义·
(2)
1.2.2信息安全标准的分类·
第二章国际信息安全标准建设情况·
(3)
2.1国际信息安全标准组织·
2.2ISO和IEC·
(4)
第三章美国信息安全标准建设情况·
(5)
3.1美国信息安全标准化组织·
3.1.1美国信息安全标准化组织体制总体的构成·
3.1.2美国国家标准学会(ANSI)·
3.1.3美国国家标准技术研究院(NIST)·
(7)
3.1.4美国军方信息安全标准化组织·
3.1.5其他信息安全标准化组织·
(8)
3.2美国信息安全标准化组织体制的特点·
第四章国外信息安全标准建设对我国的启示·
(10)
4.1我国信息安全的标准组织·
4.2国外信息安全标准建设对我国的启示·
(11)
4.3信息安全标准的发展趋势·
(12)
参考文献·
(14)
第1章信息安全标准的概念
信息安全标准对于信息安全工作的开展、信息安全策略的实施、信息安全产品的研究都具有指导作用。
作为具有特殊性要求的信息安全产业,标准问题具有自身的特殊之处。
除了对信息安全产品操作性的需求、安全等级认证的需求和对服务商能力进行衡量的需求外,信息安全的标准问题还涉及一个国家的信息主权的有效控制问题。
1.1标准的概念
1.1.1标准的定义
标准是为在一定的范围内获得最佳的秩序,对活动或其结果规定的共同的和重复使用的规则、指导原则或特殊文件。
该文件经协商一致制定并经一个公认机构的批准。
标准应以科学、技术和经验的综合成果为基础,以促进最大的社会效益为目的。
就“标准”的定义而言,它包括了三个方面的内容:
1.标准是对某一对象进行统一化描述的一种特殊文件。
标准化的对象是系统和元素及其状态、运动过程或结果,因此标准的统一化具有空间有效性和时间有效性。
2.制定标准的目的是为了满足人类社会的某种需求,取得最佳经济效益和社会效益。
3.标准的制定应当根据需要确定标准化对象,以科学、技术和经验的综合成果为基础。
与标准的统一化有关系的各个方面要协商一致,标准需要经过一个公认的(权威)机构或授权机构的批准,并以特定形式发布。
1.1.2标准的分类
标准的种类有很多,可以根据不同的目的,从不同的角度对标准进行分类。
按标准的层次:
从世界范围来看,可以分为国际标准、区域标准、国家标准、行业标准、企业标准。
从标准发生作用的范围或标准审批机构来说,可分为国家标准、行业标准、地方标准、企业标准。
按标准的约束性:
可分为强制性标准和推荐性标准。
按标准的性质:
分为技术标准、管理标准、工作标准。
1.2信息安全标准的概念
信息安全标准化工作对于解决信息安全问题具有重要的技术支撑作用。
信息安全标准化不仅关系到国家的安全,而且也是保护国家利益、促进产业发展的一种重要手段。
在互联网飞速发展的今天,网络和信息安全问题是不容忽视的,积极推动信息安全标准化,掌握在信息时代全球化竞争中的主动权是非常重要的。
所以说,信息安全标准化工作室一项艰巨、长期的基础性工作。
1.2.1信息安全标准的定义
信息安全标准是关于信息安全的一系列规则和规范。
信息安全标准化是确保信息安全系统以及信息安全产品在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。
信息安全标准是我国信息安全保障体系的重要组成部分,是政府进行宏观管理的重要手段。
信息安全保障体系的建设、应用,是一个极其庞大的复杂系统,没有配套的安全标准,就不能构造出一个可用的信息安全保障体系。
信息安全标准不仅仅是一个标准,它与政府、企事业单位和广大用户都有着密切的关系。
在20世纪80年初,我开展和制定了一些国家标准,但是随着信息化的进一步发展,还有许多技术安全标准需要及时制定、颁布和贯彻执行。
而目前最主要的工作就是应该国际组织和其他发达国家的做法,尽快研究、确定我国信息技术安全标准体系的结构。
1.2.2信息安全标准的分类
标准化工作的时间告诉我们,信息技术安全标准的制定和推广应用,对加快信息网络的建设有着十分重要的作用,而做好标准化工作的一项重要的基础工作,就是确定信息技术安全标准体系表。
它主要有三个方面的信息安全标准。
(1)基础类的标准
基础类标准是信息技术安全标准体系表开发过程中所需要用到的最基本的标准及技术规范。
有信息技术安全术语标准、信息安全技术体系结构标准、信息技术安全框架标准、信息技术安全管理基础标准、信息技术安全测评基础标准。
(2)安全机制类标准
安全机制类标准是信息技术安全标准提休息中最核心、最关键的技术标准,有信息技术安全模型和安全服务标准、信息技术安全机制标准。
(3)应用类标准
应用类标准主要是指信息技术各个应用领域中的具体安全标准,在整个信息技术安全标准体系中有着非常重要的地位。
包括四个方面的内容,有应用基础安全标准、应用产品安全标准、应用系统安全标准、安全评估类标准。
第2章国际信息安全标准建设情况
2.1国际信息安全标准组织
国际上信息安全标准化工作兴起于20世纪70年代中期,80年代有了较快的发展,90年代引起了世界各国的普遍关注。
目前,世界上有很多个国际和区域性组织制定标准或技术规则。
与信息安全标准化有关的主要组织有:
国际标准化组织(ISO)、国际电工委员会(IEC)、国际电信联盟(ITU)、Internet工程任务组(IETF)等。
1.国际标准化组织(ISO)
ISO是目前世界上最大的、最具权威性的国际标准化专门机构,是一个非政府性国际机构,是联合国经社理事会甲级咨询组织及贸发理事会综合级(最高级)咨询机构,其工作范围是促进各成员国国家标准的协调,制定国际标准,安排有关成员团体和其技术委员会进行情报交流,以及与其他国际组织协作,特别是应这些组织要求共同研究标准化问题。
国际标准化组织主要从事信息技术安全的一般方法和技术的标准化工作。
主要职责是制定国际标准,协调世界范围的标准化工作。
负责制定的标准主要是放开系统互联、密钥管理、数字签名、安全评估等方面的内容。
国际上ISO的信息技术安全标准,包括已正式发布、正在制定的标准项目已有近70项,国际互联网的RFC文中有100多项涉及信息安全,都是比较实用的。
在此基础上,建立标准体系,根据轻重缓急,有计划有步骤地安排标准制定项目,合理地组织各方面的力量,开展标准制定工作。
2.国际电工委员会(IEC)
国际电工委员会是世界上成立最早的专门国际标准化机构,负责有关电工、电子领域的国际标准化工作。
在信息安全标准化方面,它与ISO联合成立了JTC1下分委员会外,还在电信、电子系统、信息技术和电磁兼容等方面成立了技术委员会,如TC56可靠性、TC74IT设备安全和功效、TC77电磁兼容、TC108音频/视频、信息技术和通讯技术电子设备的安全等,并为信息技术设备安全(IEC60950)等制定相关国际标准。
3.国际电信联盟(ITU)
ITU是世界各国政府的电信主管部门之间协调电信事务方面的一个国际组织,即“国际电信联盟”。
国际电信联盟主要负责研究通信系统安全标准。
国际电信联盟的实质性工作分为三个部门:
国际电信联盟标准化部门(ITU-T)、国际电信联盟无线电通信部门(ITU-R)和国际电信联盟电信发展部门(ITU-D)。
所属的SG17组主要负责研究通信系统安全标准。
SG17组主要研究的内容包括:
通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务。
此外SG16和下一代网络核心组也在通信安全、H323网络安全、下一代网络安全等标准方面进行了研究。
目前大约有40多个ITU-T建议书都是与通信安全有关的标准。
ITU-T正式发布的信息安全标准有近100个。
ITU-T颁布的比较有影响力的安全标准主要有:
消息处理系统(MHS,X.400系列)、目录系统(X.500系列)、安全框架和模型(X.800系列)等,其中的X.509标准是PKI的重要基础标准,X.805是端到端通信安全的重要标准。
目前,ITU在安全标准化方面主要关注NGN(下一代网络)安全、IPTV安全、身份管理(IDM)、数字版权管理(DRM)、生物认证、反垃圾信息等热点问题。
4.Internet工程任务组(IETF)
Internet工程任务组的主要任务是负责互联网相关技术规范的研发和制定。
在目前,IETF已经成为了全球互联网最具权威的大型技术研究组织。
IETF标准制定的具体工作由各个工作组承担,工作组分成八个领域,分别是Internet路由、传输、应用领域等等,著名的IKE和IPsec都在RFC系列之中,还有电子邮件,网络认证和密码标准,也包括了TLS标准和其它的安全协议标准。
有关安全方面的RFC有近300个。
这些工业标准对提高和改善互联网的安全性起到了至关重要的作用,如PKI、IPSec、TLS、PGP等方面的RFC成为了指导互联网安全的重要文件。
5.欧洲计算机厂商协会(ECMA)
欧洲计算机厂商协会成立于1961年,除吸收欧洲计算机厂商,还吸收全球其他的各大计算机公司、厂商成为其会员,主要制定计算机及其相关应用的标准和技术报告,向国际标准化组织提交标准提案。
对于信息技术标准,国际标准通常是指ISO和IEC以及ISO和IEC的一个联合文员会(JTC)信息技术标准化技术委员会负责制定的标准。
ITU也有与JTC1联合制定的信息技术方面的标准。
2.2ISO和IEC
在国际信息安全标准组织中,ISO和IEC是当今世界信息安全领域最大最具权威的国际标准化机构,专门从事国际标准的制定,由于制定的国际标准经过各级技术委员会和分技术委员会的充分讨论和多次修改。
所以,制定出的标准能够代表当时科技发展水平。
通过广泛征求各方面的意见,使得标准能够满足各方面的需要,易为各方所接受,也使得他们的标准理所当然的在国际上得到公认。
ISO/IEC的第一联合技术委员会ISO/IECJTC1专门关注技术领域。
ISO/IECJTC1“数字内容管理与保护”研究组是国际上首次成立专门研究数字内容管理与保护的官方标准化组织。
ISO/IECJTC1中负责制定国际标准信息安全标准的技术组织是ISO/IECJTC1SC27《ITSecueitytechniques》分委员会,有以下5个工作组。
WG1:
要求、安全服务和指南;
WG2:
安全技术和机制;
WG3:
安全评估准则;
WG4:
安全控制和服务;
WG5:
身份管理和隐私技术。
主要负责研究和制定个信息安全管理体系、密码学与安全控制、信息安全评估、安全控制与服务以及身份管理与隐私保护等领域的信息安全国际标准。
与IEC联合成立的JTC1/SC27专门负责安全技术标准的制定、审核,已经发布的部分标准有:
ISO/IEC18033加密机制
ISO/IEC9796,14888.15965数字签名
ISO/IECTR13335GMITS
ISO/IEC15408EvaluationcriteriaforITSecurity
ISO/IEC17799CodeofPracticeforInformationSecurityManagement
ISO/IEC21287SSE-CMM
ISO/TC68负责银行和金融服务业务应用范围内信息安全标准的制定,已经发布的其他行业的重要标准有ISO9001,ISO14001。
目前,该分技术委员会已制定和正在研制的国际标准有120项,这些标准主要涉及密码算法、散列函数、数字签名、实体鉴别、安全评估、安全管理等领域,近几年颁布的比较有影响力的标准有:
ISO/IEC15408(IT安全性评估准则,包含3个部分)、ISO/IEC15443(IT安全保障框架,包含3个部分)、ISO/IEC218279(系统安全工程能力成熟模型)和ISO/IEC27000系列(信息安全管理系统,已完成7个部分,计划包含20多个子标准)。
IEC除与ISO联合成立了JTC1外,还在电信、电子系统、信息技术和电磁兼容等方面成立技术委员会负责安全标准研制,如TC56(可靠性)、TC74(IT设备安全和功效)、TC77(电磁兼容)、TC108(音频/视频)、信息技术和通信技术电子设备的安全等,并制定相关国际标准,如信息技术设备安全(IEC60950)等。
第三章美国信息安全标准建设情况
信息安全标准是信息安全保障建设的基础,信息安全标准化组织是信息安全标准建设的重要力量。
在国际上,美国最早关注信息安全和信息安全标准建设,相继制定发布了大量的信息安全标准,形成了保护美国信息安全的标准体系,并在信息安全标准建设的实践中,逐步完善了信息安全标准化组织体制。
3.1美国信息安全标准化组织
3.1.1美国信息安全标准化组织体制总体的构成
美国政府通过积极有效的参与和引导,以及政府与人民之间多年来形成的合作关系和高效运行机制,使之成为世界上拥有完备信息安全标准化组织体制国家之一。
在全球的信息安全标准化建设中发挥这重要的作用。
美国信息安全标准的研究、制定和颁布主要涉及的组织有:
以国家标准学会(ANSI)为代表的全国自愿性标准体系管理和协调机构
以国家标准技术研究院(NIST)为代表的美国政府标准和技术研究机构
以美国国家安全局(NSA)为代表的美国军方标准化组织
另外,还涉及美国电气电子工程师学会(IEEE)、通信工业协会(TIA)、保险商实验室(UI)等各个机构和部门,同样也是信息安全标准建设的重要力量。
美国信息安全标准化组织体制是一个成熟的体系,政府机构是信息安全标准建设的指导者,军方是信息安全标准建设的直接参与者和研究者,自愿性标准组织是信息安全标准的管理者、评定者和服务者,承担标准制定的机构即使信息安全标准的制定者,也是标准的实施者。
也就是说,政府机构扶着相关管理法规的制定和标准化研究,国家标准的制定是在有关管理部门的协调下,有分散的数百个标准制定组织或承担的。
3.1.2美国国家标准学会(ANSI)
美国国家标准学会是美国自愿性标准组织的管理和协调机构,该学会是一个非政府、非盈利的机构,其经费来源于会费和标准资料销售收入,不接受政府的资助。
美国国家标准学会作为标准制定的认可机构,其主要职能是对标准制定者、技术顾问组急合格评定体系资格进行认可;
批准和撤销美国国家标准;
保障国民和企业参与国际或国内的标准化活动;
保障美国资源协同标准体系的完整性;
代表美国组织协调参与国际标准化活动。
美国标准学会标准的编制按照自愿性、公开性、透明性、协商一致的原则。
美国国家标准学会是美国标准化工作的中心,是联邦政府与明见标准化沟通的平台。
该学会的标准绝大多数来自各专业标准,作为美国政府授权的国家标准化管理机构,行使政府职能,通过协调各方利益,给标准制定机构提供各种帮助,并经过严格的审批程序,制定出高质量的标准。
同时,学会还代表美国政府参与国际标准化活动,是该学会的标准在国际标准化体系中占有一席之地,许多国家和企业借鉴和采用,在全国范围内享有极高的权威性和知名度。
美国国家标准学会研究、评定、批准和发布了大量由标准制定组织制定的信息安全标准,包括信息安全管理指南、信息技术设备与安全、信息交换和国家应急准备、医疗保健信息安全框架指南等基础类和应用于各行业信息安全标准,即《ANSI信息交换中远程通信有限服务国家安全应急准备的表示方法》,《ANSI/IEEE软件安全方案标准》,《ANSI/IEEE互通LAN安全标准》,《ANSI/NFPA公共安全电信设备人员资格认证标准》等等。
研究采纳大量国际标准化组织的信息安全标准,并发布为美国标准。
例如:
《ANSI/INCITS/ISO/IEC信息技术-安全技术-信息安全管理实施规范》,《ANSI/INCITS/ISO/IEC信息技术-安全技术-信息和通信技术安全管理》等。
3.1.3美国国家标准技术研究院(NIST)
国家标准技术研究院隶属于美国商务部,是政府标准化工作的主管部门。
根据过会授权,制定事关国家重大利益的标准,协调联邦机构标准和私有部门标准的合格评定程序,推动美国标准化战略的实施,提升美国国家的竞争实力。
国家标准技术研究院是一个一研究为重点的组织,在美国科技界占有重要的地位。
代表政府参与标准化活动,从战略上对美国自愿性标准化活动实施科学有效的管理,并自爱美国政府和民间标准化机构之间架起沟通的桥梁,发挥纽带和协调作用,兼有“标准制定者”和“标准化活动管理者”的双重身份。
国家标准技术研究院是美国信息安全技术标准领域最具影响的标准化机构,在美国信息安全管理工作中有着重要作用,制定的信息安全规范和标准很多,主要涉及访问控制和认证技术、评价和保障、密码、电子商务、一般计算机安全、网络安全、风险管理、电讯、联邦信息处理等方面。
3.1.4美国军方信息安全标准化组织
在美国政府的标准体系中,军用标准占据着重要地位。
这些标准内容丰富,技术先进,很多已经成为美国国家标准,并被许多国家所采用,是世界先进军用标准的代表。
美国军用标准的体制与标准化建设经历逐步完善的过程在进行全面彻底的改革后,国防部使用的标准化文件在构成上趋于合理,进一步完善了军用标准化体系。
继而在这次改革以后,美国国防部标准化文件以国防部标准化文件、国防部规范、国防部标准、国防部手册等替代了原有的表述。
美国国防部标准化组织实行三级管理体制。
进行方针政策制定、任务分工、计划编制和执行程序等方面的的标准化管理。
制定了一系列的计算机安全标准和法规,提出了信息安全保障的概念,发布了《信息保障》和《信息保障实现》等信息保障指令,开发了《信息安全工程能力成熟模型》,并使其成为最重要的安全评估国际标准。
信息安全标准化的主要内容有:
信息安全等级标准化----针对不同的信息安全状态,针对性的设计等计划的安全保障措施,通过把不同等级的保护对象与保护措施一一对应,构架信息安全保障体系。
信息安全评价标准化----美国国防部国家计算机安全中心颁布《可信计算机安全评价标准》(TCSEC),急著名的“桔皮书”,为计算机信息系统的安全定义了安全级别。
为了根据具体情况应用“桔皮书”标准,国防部国家计算机安全中心制定了《可信网络解释》、《计算机安全系统解释》和《可信数据库解释》,由此形成了计算机系统安全评价标准系列----彩虹系列。
信息安全技术标准化----美国防部部门标准规范系列有三大类别:
联邦规范和标准、国防部军用规范和标准以及非政府规范和标准。
还参照合格产品目录、手册和国际标准,较有代表性的有:
《国防部标准化工作的政策和程序》、《国际军事合理化、标准化和互用性》、《国防标准化计划》、《国防部惯例标准、国防部规范编写规定》、《数据标准化程序》等。
3.1.5其他信息安全标准化组织
根据初步统计,目前美国参与各种标准制定的机构中,经过美国国家标准学会认可的机构只占据一小部分,在这些机构中有政府部门,也有各种专业协会、行业协会、工贸协会及其他的社团组织,他们在信息安全标准研究和制定中发挥着重要的作用。
在这些机构中,相对重要的有:
美国电气电子工程师学会(IEEE)、美国通信工业协会(TIA)、美国安全检测实验室公司(UL)、美国电信产业解决方案联盟(ATIS)。
除去上述机构外,美国能源管制委员会、电缆电信工程师协会、材料实验协会等、也是研究制定信息安全方面国家标准或行业标准的重要机构。
3.2美国信息安全标准化组织体制的特点
由美国信息安全标准化组织在信息安全标准研究、制定和发布过程的作用可以看出:
1.政府机构发挥着主导作用
美国的请执行标准都由政府部门和机构制定和管理。
重要信息安全标准的研究与制定,政府部门发挥这重要作用。
2.自愿性标准组织担负组织与管理职能
美国标准体系建设的基本特点是市场主导,协会引导,政府参与,自愿性参与制定,自愿性采用,在信息安全领域,更多的体现为政府引导,协会运作,市场参与。
其中以自愿性标准组织所起的作用十分重要。
3.行业标准机构参与标准制定与实施工作
美国标准化工作的一个重要特征就是高度开放,自愿参加,以企业为主题,以协会为核心,以技术委员会为具体组织形式。
ANSI认可的标准制定组织和其他协会机构,各自组件制定标准的技术委员会,形成各自的标准制定体系,承担ANSI委托的国家标准和各协会标准的制定。
国家标准由ANSI批准颁布,协
升级会员 