信息安全标准是确保信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。信息安全标准是我国信息安全保障体系的重要组成部分,是政府进行宏观管理的重要手段。信息安全保障体系的建设、应用,是一个极其庞大的复杂系统,没有配套的安全标准,就不能构造出一个可用的信息安全保障体系。
信息安全标准化工作对于解决信息安全问题具有重要的技术支撑作用。信息安全标准化不仅关系到国家安全,同时也是保护国家利益、促进产业发展的一种重要手段。在互联网飞速发展的今天,网络和信息安全问题不容忽视,积极推动信息安全标准化,牢牢掌握在信息时代全球化竞争中主动权是非常重要的。由此可以看出,信息安全标准化工作是一项艰巨、长期的基础性工作。
一、国际信息安全标准化工作的情况
国际上,信息安全标准化工作,兴起于二十世纪70年代中期,80年代有了较快的发展,90年代引起了世界各国的普遍关注目前。目前世界上约有近300个国际和区域性组织,制定标准或技术规则,与信息安全标准化有关的主要的组织有:国际标准化组织(ISO)、国际电工委员会(IEC)、国际电信联盟(ITU)、Internet工程任务组(IETF)等。
国际标准化组织(ISO) 于1947年2月23日正式开始工作,ISO/IEC JTC1(信息技术标准化委员会)所属SC 27(安全技术分委员会)其前身是SC20(数据加密分技术委员会),主要从事信息技术安全的一般方法和技术的标准化工作。而ISO/TC68负责银行业务应用范围内有关信息安全标准的制定,它主要制定行业应用标准,在组织上和标准之间与SC27有着密切的联系。ISO/IEC JTC1负责制定标准主要是开放系统互连、密钥管理、数字签名、安全的评估等方面的内容。
国际电工委员会(IEC)正式成立于1906年十月,是世界上成立最早的专门国际标准化机构。在信息安全标准化方面,主要与ISO联合成立了JTC1下分委员会外,还在电信、电子系统、信息技术和电磁兼容等方面成立技术委员会,如TC56 可靠性、TC74 IT设备安全和功效、TC77 电磁兼容、TC 108 音频/视频、信息技术和通讯技术电子设备的安全等,并制定相关国际标准,如信息技术设备安全(IEC 60950)等。
国际电信联盟(ITU)成立于1865年5月17日,所属的SG17组,主要负责研究通信系统安全标准。SG17组主要研究的有:通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务。此外SG16和下一代网络核心组也在通信安全、H323网络安全、下一代网络安全等标准方面进行了研究。目前ITU-T建议书中大约有40多个都是与通信安全有关的标准。
Internet工程任务组(IETF)史创于1986年,其主要任务是负责互联网相关技术规范的研发和制定。目前,IETF已成为全球互联网界最具权威的大型技术研究组织。IETF标准制定的具体工作由各个工作组承担,工作组分成八个领域,分别是Internet路由、传输、应用领域等等,著名的IKE和IPsec都在RFC系列之中,还有电子邮件,网络认证和密码标准,也包括了TLS标准和其它的安全协议标准。
二、我国信息安全标准化的现状
信息安全标准是我国信息安全保障体系的重要组成部分,是政府进行宏观管理的重要依据。虽然国际上有很多标准化组织在信息安全方面制定了许多的标准,但是信息安全标准事关国家安全利益,任何国家都不会轻易相信和过分依赖别人,总要通过自己国家的组织和专家制定出自己可以信任的标准来保护民族的利益。因此,各个国家在充分借鉴国际标准的前提下,制订和扩展自己国家对信息安全的管理领域,这样,就出现许多国家建立了自己的信息安全标准化组织和制定本国的信息安全标准。
目前,我国按照国务院授权,在国家质量监督捡验捡疫总局管理下,由国家标准化管理委员会统一管理全国标准化工作,下设有255个专业技术委员会。中国标准化工作实行统一管理与分工负责相结合的管理体制,有88个国务院有关行政主管部门和国务院授权的有关行业协会分工管理本部门、本行业的标准化工作,有31个省、自治区、直辖市政府有关行政主管部门分工管理本行政区域内本部门、本行业的标准化工作。成立于1984年的全国信息技术安全标准化技术委员会(CITS),在国家标准化管理委员会和信息产业部的共同领导下负责全国信息技术领域以及与ISO/IEC JTC1相对应的标准化工作,目前下设24个分技术委员会和特别工作组,是目前国内最大的标准化技术委员会。它是一个具有广泛代表性、权威性和军民结合的信息安全标准化组织。全国信息技术安全标准化技术委员会的工作范围是负责信息和通信安全的通用框架、方法、技术和机制的标准化,归口国内外对应的标准化工作。其技术安全包括:开放式安全体系结构、各种安全信息交换的语义规则、有关的应用程序接口和协议引用安全功能的接口等。
我国信息安全标准化工作,虽然起步较晚,但是近年来发展较快,入世后标准化工作在公开性、透明度等方面更加取得实质性进展。我国从20世纪80年代开始,本着积极采用国际标准的原则,转化了一批国际信息安全基础技术标准,制定了一批符合中国国情的信息安全标准,同时一些重点行业还颁布了一批信息安全的行业标准,为我国信息安全技术的发展做出了很大的贡献。据统计,我国从1985年发布了第一个有关信息安全方面的标准以来到2004年底共制定、报批和发布有关信息安全技术、产品、测评和管理的国家标准76个,正在制定中的标准51个,为信息安全的开展奠定了基础。
三、信息安全标准化工作的发展趋势
随着网络的延伸和发展,信息安全问题受到了全社会前所未有的普遍关注,人们对信息安全的理解和认识更加深入全面,信息安全标准化的工作也在各级组织中得到了重视。信息技术安全标准化是一项基础性工作,必须统一领导、统筹规划、各方参与、分工合作,以保证其顺利和协调发展。
1、走国际化的合作发展之路
信息安全的国际标准大多数是在欧洲、美国等工业发达国家标准的基础上协调产生的,基本上代表了当今世界现代信息技术的发展水平。我国的信息化工作起步较晚,但是互联网是没有国界的,在互联网上使用的产品是可以互联互通的,在我国接入互联的那一天起,在互联上产生的信息安全问题就同样开始威胁我国的网络,所以借鉴国外的成熟的先进的经验发展我国的信息化建设事业是十分必要的。信息安全标准化工作是一个国际性的工作,共性的问题多于个性,本着积极采用国际标准的原则,适时地转化了一些国际信息安全基础技术标准为我国信息化建设服务,会对中国的信息安全技术起到一个快速发展的作用。
目前,我国的标准化工作者积极参与国际标准化和区域性标准化活动,不仅参加了国际标准化组织(ISO)和国际电工委员会(IEC)每年召开的各类高层次的工作会议和技术会议,同时每年派出100多个代表团参加ISO、IEC的TC和SC会议。我们不仅主动地采用国际标准,转化国际标准,更重要的我们还应有计划、有重点地参与国际标准的起草和主动承担国际标准的起草工作,包括标准试验验证和讨论的全过程。逐步使我国的信息安全标准化工作与国际标准化工作的计划、速度以及试验验证工作接轨。我们应该采取积极的态度,对国际标准要花大力气,认真分析、研究。凡是符合我国国情,有利于提高信息化工作质量,保护国家利益的标准都应该加速采用为我国信息安全标准化工作服务。
2、商业化为信息安全标准化发展提供了动力
多年来,国家标准的制修订经费主要来源于政府财政拨款,一直作为补助经费维持工作,靠行政命令,如果经费不足,由项目承担单位自行解决。随着改革开放的深入和信息化工作的开展,对信息安全标准化工作的要求越来越高,企业生产产品需要标准、政府管理工作需要标准,用户和消费者来保护自己合法权益也需要标准。形势变化了,标准的需求增加了,但标准化工作的经费一直没有增加,对于政府、市场、企业和社会急需的标准和应该开展的工作,对于大量应该修订的标准无力进行正常的修订,对于参与国际标准化活动和采用国际标准工作,因为不可能有足够的经费支持,而使信息安全标准化的工作受到了不同程度的影响。今后采取国家的更多投入,企业的大力支持,标准出版物在发行工作中的改革,提高标准文本的出售价格等方法,使信息安全标准化工作逐步进入商业化运作模式,使标准工作进入到一个良性发展的新局面。
3、明确信息安全标准化的研究方向
信息技术的安全技术是比较新的和复杂的技术,也是在近年来才得到较快的发展的技术,重视新技术的研究与规范是十分重要的。为了全面认识和了解信息技术的安全标准,需要对国内外信息技术标准化的情况和发展趋势进行深入的跟踪和研究。今后在信息安全标准化方面需要实施的工作有,扎扎实实地抓好基础性工作和基础设施建设,继续推进信息安全等级保护、信息安全风险评估、信息安全产品认证认可等基础性工作;继续加快以密码技术为基础的信息保护和网络信任体系建设,进一步完善应急协调机制与灾难备份工作;进一步加强互联网管理,创建安全、健康、有序的网络环境;进一步创建产业发展环境支持信息安全产业发展,加快信息安全学科建设和人才培养,加强国际合作与交流,完善信息安全的管理体制和机制。
网友评论