信息安全標準是確保信息安全的產品和系統在設計、研發、生產、建設、使用、測評中解決其一致性、可靠性、可控性、先進性和符合性的技術規范、技術依據。信息安全標準是我國信息安全保障體系的重要組成部分,是政府進行宏觀管理的重要手段。信息安全保障體系的建設、應用,是一個極其龐大的復雜系統,沒有配套的安全標準,就不能構造出一個可用的信息安全保障體系。
信息安全標準化工作對于解決信息安全問題具有重要的技術支撐作用。信息安全標準化不僅關系到國家安全,同時也是保護國家利益、促進產業發展的一種重要手段。在互聯網飛速發展的今天,網絡和信息安全問題不容忽視,積極推動信息安全標準化,牢牢掌握在信息時代全球化競爭中主動權是非常重要的。由此可以看出,信息安全標準化工作是一項艱巨、長期的基礎性工作。
一、國際信息安全標準化工作的情況
國際上,信息安全標準化工作,興起于二十世紀70年代中期,80年代有了較快的發展,90年代引起了世界各國的普遍關注目前。目前世界上約有近300個國際和區域性組織,制定標準或技術規則,與信息安全標準化有關的主要的組織有:國際標準化組織(ISO)、國際電工委員會(IEC)、國際電信聯盟(ITU)、Internet工程任務組(IETF)等。
國際標準化組織(ISO) 于1947年2月23日正式開始工作,ISO/IEC JTC1(信息技術標準化委員會)所屬SC 27(安全技術分委員會)其前身是SC20(數據加密分技術委員會),主要從事信息技術安全的一般方法和技術的標準化工作。而ISO/TC68負責銀行業務應用范圍內有關信息安全標準的制定,它主要制定行業應用標準,在組織上和標準之間與SC27有著密切的聯系。ISO/IEC JTC1負責制定標準主要是開放系統互連、密鑰管理、數字簽名、安全的評估等方面的內容。
國際電工委員會(IEC)正式成立于1906年十月,是世界上成立最早的專門國際標準化機構。在信息安全標準化方面,主要與ISO聯合成立了JTC1下分委員會外,還在電信、電子系統、信息技術和電磁兼容等方面成立技術委員會,如TC56 可靠性、TC74 IT設備安全和功效、TC77 電磁兼容、TC 108 音頻/視頻、信息技術和通訊技術電子設備的安全等,并制定相關國際標準,如信息技術設備安全(IEC 60950)等。
國際電信聯盟(ITU)成立于1865年5月17日,所屬的SG17組,主要負責研究通信系統安全標準。SG17組主要研究的有:通信安全項目、安全架構和框架、計算安全、安全管理、用于安全的生物測定、安全通信服務。此外SG16和下一代網絡核心組也在通信安全、H323網絡安全、下一代網絡安全等標準方面進行了研究。目前ITU-T建議書中大約有40多個都是與通信安全有關的標準。
Internet工程任務組(IETF)史創于1986年,其主要任務是負責互聯網相關技術規范的研發和制定。目前,IETF已成為全球互聯網界最具權威的大型技術研究組織。IETF標準制定的具體工作由各個工作組承擔,工作組分成八個領域,分別是Internet路由、傳輸、應用領域等等,著名的IKE和IPsec都在RFC系列之中,還有電子郵件,網絡認證和密碼標準,也包括了TLS標準和其它的安全協議標準。
二、我國信息安全標準化的現狀
信息安全標準是我國信息安全保障體系的重要組成部分,是政府進行宏觀管理的重要依據。雖然國際上有很多標準化組織在信息安全方面制定了許多的標準,但是信息安全標準事關國家安全利益,任何國家都不會輕易相信和過分依賴別人,總要通過自己國家的組織和專家制定出自己可以信任的標準來保護民族的利益。因此,各個國家在充分借鑒國際標準的前提下,制訂和擴展自己國家對信息安全的管理領域,這樣,就出現許多國家建立了自己的信息安全標準化組織和制定本國的信息安全標準。
目前,我國按照國務院授權,在國家質量監督撿驗撿疫總局管理下,由國家標準化管理委員會統一管理全國標準化工作,下設有255個專業技術委員會。中國標準化工作實行統一管理與分工負責相結合的管理體制,有88個國務院有關行政主管部門和國務院授權的有關行業協會分工管理本部門、本行業的標準化工作,有31個省、自治區、直轄市政府有關行政主管部門分工管理本行政區域內本部門、本行業的標準化工作。成立于1984年的全國信息技術安全標準化技術委員會(CITS),在國家標準化管理委員會和信息產業部的共同領導下負責全國信息技術領域以及與ISO/IEC JTC1相對應的標準化工作,目前下設24個分技術委員會和特別工作組,是目前國內最大的標準化技術委員會。它是一個具有廣泛代表性、權威性和軍民結合的信息安全標準化組織。全國信息技術安全標準化技術委員會的工作范圍是負責信息和通信安全的通用框架、方法、技術和機制的標準化,歸口國內外對應的標準化工作。其技術安全包括:開放式安全體系結構、各種安全信息交換的語義規則、有關的應用程序接口和協議引用安全功能的接口等。
我國信息安全標準化工作,雖然起步較晚,但是近年來發展較快,入世后標準化工作在公開性、透明度等方面更加取得實質性進展。我國從20世紀80年代開始,本著積極采用國際標準的原則,轉化了一批國際信息安全基礎技術標準,制定了一批符合中國國情的信息安全標準,同時一些重點行業還頒布了一批信息安全的行業標準,為我國信息安全技術的發展做出了很大的貢獻。據統計,我國從1985年發布了第一個有關信息安全方面的標準以來到2004年底共制定、報批和發布有關信息安全技術、產品、測評和管理的國家標準76個,正在制定中的標準51個,為信息安全的開展奠定了基礎。
三、信息安全標準化工作的發展趨勢
隨著網絡的延伸和發展,信息安全問題受到了全社會前所未有的普遍關注,人們對信息安全的理解和認識更加深入全面,信息安全標準化的工作也在各級組織中得到了重視。信息技術安全標準化是一項基礎性工作,必須統一領導、統籌規劃、各方參與、分工合作,以保證其順利和協調發展。
1、走國際化的合作發展之路
信息安全的國際標準大多數是在歐洲、美國等工業發達國家標準的基礎上協調產生的,基本上代表了當今世界現代信息技術的發展水平。我國的信息化工作起步較晚,但是互聯網是沒有國界的,在互聯網上使用的產品是可以互聯互通的,在我國接入互聯的那一天起,在互聯上產生的信息安全問題就同樣開始威脅我國的網絡,所以借鑒國外的成熟的先進的經驗發展我國的信息化建設事業是十分必要的。信息安全標準化工作是一個國際性的工作,共性的問題多于個性,本著積極采用國際標準的原則,適時地轉化了一些國際信息安全基礎技術標準為我國信息化建設服務,會對中國的信息安全技術起到一個快速發展的作用。
目前,我國的標準化工作者積極參與國際標準化和區域性標準化活動,不僅參加了國際標準化組織(ISO)和國際電工委員會(IEC)每年召開的各類高層次的工作會議和技術會議,同時每年派出100多個代表團參加ISO、IEC的TC和SC會議。我們不僅主動地采用國際標準,轉化國際標準,更重要的我們還應有計劃、有重點地參與國際標準的起草和主動承擔國際標準的起草工作,包括標準試驗驗證和討論的全過程。逐步使我國的信息安全標準化工作與國際標準化工作的計劃、速度以及試驗驗證工作接軌。我們應該采取積極的態度,對國際標準要花大力氣,認真分析、研究。凡是符合我國國情,有利于提高信息化工作質量,保護國家利益的標準都應該加速采用為我國信息安全標準化工作服務。
2、商業化為信息安全標準化發展提供了動力
多年來,國家標準的制修訂經費主要來源于政府財政撥款,一直作為補助經費維持工作,靠行政命令,如果經費不足,由項目承擔單位自行解決。隨著改革開放的深入和信息化工作的開展,對信息安全標準化工作的要求越來越高,企業生產產品需要標準、政府管理工作需要標準,用戶和消費者來保護自己合法權益也需要標準。形勢變化了,標準的需求增加了,但標準化工作的經費一直沒有增加,對于政府、市場、企業和社會急需的標準和應該開展的工作,對于大量應該修訂的標準無力進行正常的修訂,對于參與國際標準化活動和采用國際標準工作,因為不可能有足夠的經費支持,而使信息安全標準化的工作受到了不同程度的影響。今后采取國家的更多投入,企業的大力支持,標準出版物在發行工作中的改革,提高標準文本的出售價格等方法,使信息安全標準化工作逐步進入商業化運作模式,使標準工作進入到一個良性發展的新局面。
3、明確信息安全標準化的研究方向
信息技術的安全技術是比較新的和復雜的技術,也是在近年來才得到較快的發展的技術,重視新技術的研究與規范是十分重要的。為了全面認識和了解信息技術的安全標準,需要對國內外信息技術標準化的情況和發展趨勢進行深入的跟蹤和研究。今后在信息安全標準化方面需要實施的工作有,扎扎實實地抓好基礎性工作和基礎設施建設,繼續推進信息安全等級保護、信息安全風險評估、信息安全產品認證認可等基礎性工作;繼續加快以密碼技術為基礎的信息保護和網絡信任體系建設,進一步完善應急協調機制與災難備份工作;進一步加強互聯網管理,創建安全、健康、有序的網絡環境;進一步創建產業發展環境支持信息安全產業發展,加快信息安全學科建設和人才培養,加強國際合作與交流,完善信息安全的管理體制和機制。
