信息安全标准介绍课件.pptx

《信息安全标准介绍课件.pptx》由会员分享，可在线阅读，更多相关《信息安全标准介绍课件.pptx（78页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全相关标准介绍信息安全相关标准介绍信息安全相关标准介绍信息安全相关标准介绍内容提纲内容提纲一、标准和标准化概述一、标准和标准化概述 二、信息安全标准化组织二、信息安全标准化组织 三、三、信息安全标准体系研究信息安全标准体系研究四、四、重要信息安全标准介绍重要信息安全标准介绍 六、存在问题分析六、存在问题分析 五、五、研究热点追踪研究热点追踪信息产业部电子工业标准化研究所信息产业部电子工业标准化研究所China Electronic Standardization Insititute一、标准和标准化一、标准和标准化概述概述vv信息安全标准是确保信息安全的产品和系统在设计、研发、生产、建设

2、、信息安全标准是确保信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据；规范、技术依据；vv统一标准是信息系统互联、互通、互操作的前提；统一标准是信息系统互联、互通、互操作的前提；vv信息安全标准是我国信息安全保障体系的重要组成部分，是政府进行宏信息安全标准是我国信息安全保障体系的重要组成部分，是政府进行宏观管理的重要手段；观管理的重要手段；vv从国家意义上来说，信息安全标准关系到国家的安全及经济利益，标准从国家意义上来说，信息安全标准关系到国家的安全及经济利益

3、，标准往往成为保护国家利益、促进产业发展的一种重要手段。往往成为保护国家利益、促进产业发展的一种重要手段。信息安全标准化的作用信息安全标准化的作用一、标准和标准化概念一、标准和标准化概念 标准化的基本原理标准化的基本原理 我国标准化工作者根据自己的实践，用自己的语言，总结了“简化”、“统一”、“协调”、“选优”的八字原理，成为我国标准化界的一种共识。1、简化 具有同种功能的标准化对象，当其多样性的发展规模超出必要的范围时，即应消除其中多余的、可替换的和低功能的环节，保持其构成的精练合理，使总体功能最佳。2、统一 在一定时期，一定条件下，对标准化对象的形式、功能或其它技术特性所确立的一致性，应与

4、被取代的事物功能等效。3、协调 在标准系统中，只有当各个标准（子系统）之间的功能彼此协调时，才能实现整体系统的功能最佳。4、选优 按照特定的目标，在一定的限定条件下，对标准系统的构成因素及其关系进行选择、设计或调整，使之达到最理想效果。一、标准和标准化概念一、标准和标准化概念 国际标准在区域标准或国家标准中的采用，以相应国际标准为基础发国际标准在区域标准或国家标准中的采用，以相应国际标准为基础发布区域或国家标准性文件，或认可该国际标准具有与国家标准性文件相同布区域或国家标准性文件，或认可该国际标准具有与国家标准性文件相同的地位，同时标明与相应国际标准的差异。根据采用的程度可分为：等同的地位，同

5、时标明与相应国际标准的差异。根据采用的程度可分为：等同采用、非等效采用和修改采用。采用、非等效采用和修改采用。1 1、等同采用：符合下述条件时，区域标准或国家标准与相应国际标准、等同采用：符合下述条件时，区域标准或国家标准与相应国际标准等同：（等同：（1 1）区域标准或国家标准在技术内容，标准结构或措词方面相同）区域标准或国家标准在技术内容，标准结构或措词方面相同（或者等同翻译）或（或者等同翻译）或（2 2）区域标准或国家标准尽管有微小编辑修改，但在）区域标准或国家标准尽管有微小编辑修改，但在技术内容方面等同。技术内容方面等同。2 2、修改采用（、修改采用（MODMOD）：区域标准或国家标准对

6、相应国际标准按下述条）：区域标准或国家标准对相应国际标准按下述条件进行修改。区域标准或国家标准与相应国际标准之间允许存在技术性差件进行修改。区域标准或国家标准与相应国际标准之间允许存在技术性差异，但是要清楚地标识并说明这些差异。区域标准或国家标准反应相应国异，但是要清楚地标识并说明这些差异。区域标准或国家标准反应相应国际标准的结构。只有修改后两个标准的内容和结构还可以进行比较，才允际标准的结构。只有修改后两个标准的内容和结构还可以进行比较，才允许对标准的结构进行修改。许对标准的结构进行修改。3 3、非等效采用：区域标准或国家标准与相应的国际标准在技术内容和、非等效采用：区域标准或国家标准与相应

7、的国际标准在技术内容和文本结构上不同，同时它们之间的差异也没有清楚地标识。文本结构上不同，同时它们之间的差异也没有清楚地标识。”非等效非等效”还还包括在区域标准或国家标准中只保留有少量或不重要的国际标准条款的情包括在区域标准或国家标准中只保留有少量或不重要的国际标准条款的情况。况。”非等效非等效”不属于采用国际标准。不属于采用国际标准。国际标准的采用国际标准的采用一、标准和标准化概念一、标准和标准化概念信息产业部电子工业标准化研究所信息产业部电子工业标准化研究所China Electronic Standardization Insititute二、信息安全标准化二、信息安全标准化组织介绍组织

8、介绍2.1 国际信息安全标准化组织国际信息安全标准化组织 ISO/IEC JTC1 SC27 早在早在19771977年，世界上就出现了第一个数据加密标准，这是国外乃至年，世界上就出现了第一个数据加密标准，这是国外乃至国际上信息安全标准化工作的开端。随着通信和计算机网络的发展，国际国际上信息安全标准化工作的开端。随着通信和计算机网络的发展，国际上信息安全标准化工作也于上信息安全标准化工作也于8080年代有了较快的发展，在年代有了较快的发展，在9090年代已经引起年代已经引起了世界各国的普遍关注。目前世界上与信息安全标准化有关的主要组织有：了世界各国的普遍关注。目前世界上与信息安全标准化有关的主

9、要组织有：国际标准化组织（国际标准化组织（ISOISO）、国际电工委员会（）、国际电工委员会（IECIEC）、国际电信联盟）、国际电信联盟（ITUITU）、互联网工程任务组（）、互联网工程任务组（IETFIETF）等。）等。工作组介绍工作组介绍工作组介绍工作组介绍 ISO（国际标准化组织）和IEC（国际电工委员会）是世界上专门的标准化组织。在信息技术领域，ISO和IEC成立了一个联合技术委员会JTC1。SC27是JTC1中专门从事信息安全通用方法及技术标准化工作的分技术委员会。SC27 IT安全技术分委员会成立于1990年4月，2006年5月SC27工作组调整后，SC27下设五个工作组，各工作

10、组信息如表2.1所示，各工作组关系如图2.1所示。2.1 国际信息安全标准化组织国际信息安全标准化组织制定标准情况制定标准情况制定标准情况制定标准情况 截止到截止到20072007年底，该分技术委员会已制定和正在研制的国际标准年底，该分技术委员会已制定和正在研制的国际标准有有120120多项，这些标准主要涉及密码算法、散列函数、数字签名、实体鉴别、多项，这些标准主要涉及密码算法、散列函数、数字签名、实体鉴别、安全安全评估、安全管理等领域，近几年颁布的比较有影响力的标准有：评估、安全管理等领域，近几年颁布的比较有影响力的标准有：ISO/IEC ISO/IEC 1540815408（ITIT安全性

11、评估准则，包含安全性评估准则，包含3 3个部分）、个部分）、ISO/IEC 15443ISO/IEC 15443（ITIT安全安全保障保障框架，包含框架，包含3 3个部分）、个部分）、ISO/IEC 218279ISO/IEC 218279（系统安全工程能力成熟模型）（系统安全工程能力成熟模型）和和ISO/IEC27000ISO/IEC27000系列（信息安全管理系统，已完成系列（信息安全管理系统，已完成7 7个部分，计划包含个部分，计划包含2020多个多个子标准）。子标准）。联络关系介绍联络关系介绍联络关系介绍联络关系介绍 随着边缘技术的出现，以及随着边缘技术的出现，以及JTC1JTC1内其

12、他分技术委员会职责范围的交叉，内其他分技术委员会职责范围的交叉，SC27SC27启动了联合工作机制，与许多组织进行了成功的合作。例如：启动了联合工作机制，与许多组织进行了成功的合作。例如：ISO/IECISO/IECJTC1JTC1内有内有SC6SC6，SC17SC17，SC18SC18，SC21SC21，SC22SC22和和SC30SC30；ISOISO内包括内包括TC68TC68和和TC215TC215；外部组织包括外部组织包括CCIMBCCIMB、ETSIETSI、ITU-TITU-T和和ISSEAISSEA。和。和SC27SC27存在联络关系的相关标存在联络关系的相关标准化机构或协会及

13、联络类型如下：准化机构或协会及联络类型如下：2.1 国际信息安全标准化组织国际信息安全标准化组织SC27SC27成员组成情况成员组成情况成员组成情况成员组成情况 SC27SC27成员包括积极参加成员（成员包括积极参加成员（P P成员）和观察员（成员）和观察员（O O成员）两种。成员）两种。P P成员成员可参与可参与TCTC、SCSC的技术工作，而的技术工作，而O O成员则只能获取信息。每个成员则只能获取信息。每个TCTC或或SCSC均从均从P P成员成员中任命一个成员主持秘书处并领导该委员会或分委员会。中任命一个成员主持秘书处并领导该委员会或分委员会。P P成员：成员：3131个个 包括：巴西

14、、西班牙、法国、美国、印度、英国、捷克共和国、德国、包括：巴西、西班牙、法国、美国、印度、英国、捷克共和国、德国、丹麦、马来西亚、乌克兰、俄罗斯联邦、比利时、日本、韩国、肯尼亚、荷丹麦、马来西亚、乌克兰、俄罗斯联邦、比利时、日本、韩国、肯尼亚、荷兰、奥地利、波兰、南非、中国、澳大利亚、加拿大、卢森堡、芬兰、瑞兰、奥地利、波兰、南非、中国、澳大利亚、加拿大、卢森堡、芬兰、瑞典、挪威、瑞士、新西兰、新加坡、意大利。典、挪威、瑞士、新西兰、新加坡、意大利。O O成员：成员：1111个个 包括：罗马尼亚、印度尼西亚、爱沙尼亚、阿根廷、塞尔维亚、立陶包括：罗马尼亚、印度尼西亚、爱沙尼亚、阿根廷、塞尔维亚

15、、立陶宛、匈牙利、爱尔兰、以色列、斯洛伐克、土耳其。宛、匈牙利、爱尔兰、以色列、斯洛伐克、土耳其。2.1 国际信息安全标准化组织国际信息安全标准化组织 国际电工委员会（国际电工委员会（International Electro technical CommissionInternational Electro technical Commission）成）成立于立于19061906年，是世界上成立最早的非政府性国际电工标准化机构，是联合国年，是世界上成立最早的非政府性国际电工标准化机构，是联合国经社理事会（经社理事会（ECOSOCECOSOC）的甲级咨询组织。）的甲级咨询组织。19471947

16、年年ISOISO成立后，成立后，IECIEC曾作为电工曾作为电工部门并入部门并入ISOISO，但在技术上、财务上仍保持其独立性。根据，但在技术上、财务上仍保持其独立性。根据19761976年年ISOISO与与IECIEC的新协议，两组织都是法律上独立的组织，的新协议，两组织都是法律上独立的组织，IECIEC负责有关电工、电子领域的负责有关电工、电子领域的国际标准化工作，其他领域则由国际标准化工作，其他领域则由ISOISO负责。负责。IEC IEC除与除与ISOISO联合成立了联合成立了JTC1JTC1外，还在电信、电子系统、信息技术和电磁外，还在电信、电子系统、信息技术和电磁兼容等方面成立技术

17、委员会负责安全标准研制，如兼容等方面成立技术委员会负责安全标准研制，如TC56TC56（可靠性）、（可靠性）、TC74TC74（ITIT设备安全和功效）、设备安全和功效）、TC77TC77（电磁兼容）、（电磁兼容）、TC108TC108（音频（音频/视频）、信息技视频）、信息技术和通信技术电子设备的安全等，并制定相关国际标准，如信息技术设备安术和通信技术电子设备的安全等，并制定相关国际标准，如信息技术设备安全（全（IEC 60950IEC 60950）等。）等。国际电工委员会（国际电工委员会（IEC）2.1 国际信息安全标准化组织国际信息安全标准化组织 国际电信联盟（国际电信联盟（ITU）国际

18、电信联盟电信标准局国际电信联盟电信标准局ITU-TITU-T所属的第所属的第1717研究组研究组SG17SG17，主要负责研究，主要负责研究通信系统安全标准。通信系统安全标准。20012001年底，年底，SG7SG7、SG10SG10和和SG17SG17合并形成了新的合并形成了新的SG17SG17。在。在20012001至至20042004年这一研究期中，年这一研究期中，SG17SG17下设了下设了Question10Question10项目组来专门从事信息项目组来专门从事信息安全标准研究。在此研究期内，安全标准研究。在此研究期内，Q10Q10组主要集中于定义通信系统相关的整个组主要集中于定义

19、通信系统相关的整个安全框架，项目组活动涉及到协调、配合并推动其他通信系统安全相关的规安全框架，项目组活动涉及到协调、配合并推动其他通信系统安全相关的规范制定。范制定。根据根据20042004年年3 3月月SG17SG17组会议安排，在下一个研究期，组会议安排，在下一个研究期，SG17SG17将把将把Q10Q10改组成改组成以下六个课题组：以下六个课题组：Q.G-Q.G-安全项目、安全项目、Q.H-Q.H-安全结构和框架、安全结构和框架、Q.I-Q.I-计算机网络计算机网络安全、安全、Q.J-Q.J-安全管理、安全管理、Q.K-Q.K-基于生物特征的身份认证、基于生物特征的身份认证、Q.L-Q.

20、L-安全通信服安全通信服务。务。ITU-TITU-T单独或与单独或与ISOISO联合开发了消息处理系统（联合开发了消息处理系统（MHSMHS）、目录系统（）、目录系统（X.400X.400系列、系列、X.500X.500系列）和安全框架、安全模型等方面的信息安全标准，其中的系列）和安全框架、安全模型等方面的信息安全标准，其中的X.509X.509标准是开展电子商务认证的重要基础标准。标准是开展电子商务认证的重要基础标准。截止截止20092009年年3 3月，月，ITU-TITU-T正式发布的信息安全标准达正式发布的信息安全标准达100100多个。多个。2.1 国际信息安全标准化组织国际信息安全

21、标准化组织 互联网工程任务组（互联网工程任务组（IETF）IETFIETF主要关注与互联网有关的网络与信息安全问题，其请求注解（主要关注与互联网有关的网络与信息安全问题，其请求注解（RFCRFC）是业界公认的事实标准。是业界公认的事实标准。IETFIETF一直设有专门的安全研究领域，负责研究网络一直设有专门的安全研究领域，负责研究网络授权、认证、审计等与安全保护有关的协议和标准。授权、认证、审计等与安全保护有关的协议和标准。目前，目前，IETFIETF有关信息安全的工作组有：有关信息安全的工作组有：BTNSBTNS（有点安全总比没有强）、（有点安全总比没有强）、DKIMDKIM（域密钥标识邮件

22、）、（域密钥标识邮件）、EMUEMU（EAPEAP方法改进）、方法改进）、HOKEYHOKEY（切换键控）、（切换键控）、ISMSISMS（关于（关于SNMPSNMP的整套安全模型）、的整套安全模型）、KEYPROVKEYPROV（对称密钥的准备）、（对称密钥的准备）、KITTENKITTEN（下（下一代一代GSS-APIGSS-API）、）、KRB-WGKRB-WG（kerberokerbero工作组）、工作组）、LTANSLTANS（长期归档和公证服（长期归档和公证服务）、务）、MSECMSEC（组播安全）、（组播安全）、NEANEA（网络端点评价）、（网络端点评价）、OPENPGPOPE

23、NPGP（关于（关于PGPPGP的开的开放式规范）、放式规范）、PKIXPKIX（基于（基于X.509X.509的公钥基础设施）、的公钥基础设施）、SASLSASL（简单鉴别和安全分（简单鉴别和安全分层）、层）、SMIMESMIME（S/MIME S/MIME 邮件安全）、邮件安全）、SYSLOGSYSLOG（在网络事件记录方面的安全课（在网络事件记录方面的安全课题）、题）、TLSTLS（传送层安全）等（传送层安全）等1717个。个。截止到截止到20062006年底，有关安全方面的年底，有关安全方面的RFCRFC有有270270多个。这些工业标准对提高多个。这些工业标准对提高和改善互联网的安全

24、性起到了至关重要的作用，如和改善互联网的安全性起到了至关重要的作用，如PKIPKI、IPSecIPSec、TLSTLS、PGPPGP等等方面的方面的RFCRFC成为了指导互联网安全的重要文件。成为了指导互联网安全的重要文件。当前当前IETFIETF主要关注垃圾邮件处理、无线网络安全、组播安全、安全审主要关注垃圾邮件处理、无线网络安全、组播安全、安全审计、安全认证、计、安全认证、PKIPKI、TLS TLS 等方面的问题。等方面的问题。2.2 美国信息安全标准化组织美国信息安全标准化组织 美国国家标准化协会（美国国家标准化协会（ANSI）ANSIANSI于于2020世纪世纪8080年代初开始数据

25、加密标准化工作，共制定了年代初开始数据加密标准化工作，共制定了3 3项美国国项美国国家标准。家标准。ANSIANSI中技术委员会中技术委员会NCITSNCITS（即（即X3X3）负责信息技术，承担着）负责信息技术，承担着JTC1JTC1秘书秘书处的工作，其中，分技术委员会处的工作，其中，分技术委员会T4T4专门负责专门负责ITIT安全技术标准化工作，对口安全技术标准化工作，对口JTC1JTC1的的SC27SC27。ANSI ANSI负责金融安全的负责金融安全的X3X3（NCITSNCITS）、）、X9X9（负责制定金融业务标准）、（负责制定金融业务标准）、X12X12（负责制定商业交易标准）等

26、组织制定了很多有关数据加密、银行业务安全（负责制定商业交易标准）等组织制定了很多有关数据加密、银行业务安全和和EDIEDI安全等方面的标准。这些标准中，许多经国际标准化组织反复讨论后安全等方面的标准。这些标准中，许多经国际标准化组织反复讨论后成为国际标准。已制定金融交易卡、密码服务消息，以及实现商业交易安全成为国际标准。已制定金融交易卡、密码服务消息，以及实现商业交易安全等方面的安全标准等方面的安全标准1010多个。多个。美国国家标准技术研究所（美国国家标准技术研究所（NIST）NISTNIST主要负责制定联邦计算机系统标准和指导文件，所出版的标准和规主要负责制定联邦计算机系统标准和指导文件，

27、所出版的标准和规范被称作联邦信息处理标准（范被称作联邦信息处理标准（FIPSFIPS）。）。FIPSFIPS安全标准也是美国军用信息安全安全标准也是美国军用信息安全标准的重要来源。标准的重要来源。2.2 美国信息安全标准化组织美国信息安全标准化组织 FIPSFIPS由由NISTNIST在广泛搜集政府各部门及私人部门的意见的基础上写成。正在广泛搜集政府各部门及私人部门的意见的基础上写成。正式发布之前，将式发布之前，将FIPSFIPS分送给每个政府机构，并在分送给每个政府机构，并在”联邦注册联邦注册”上刊印出版。上刊印出版。经经再次征求意见之后，再次征求意见之后，NISTNIST局长把标准连同局长

28、把标准连同NISTNIST的建议一起呈送美国商业部，的建议一起呈送美国商业部，由商务部长签字划押同意或反对这个标准。由商务部长签字划押同意或反对这个标准。FIPSFIPS安全标准的一个著名实例就安全标准的一个著名实例就是数据加密标准（是数据加密标准（DESDES）。）。从二十世纪从二十世纪7070年代公布的数据加密标准（年代公布的数据加密标准（DESDES）开始，）开始，NISTNIST制定了一系制定了一系列有关信息安全方面的联邦信息处理标准（列有关信息安全方面的联邦信息处理标准（FIPSFIPS），美国国家标准技术研究），美国国家标准技术研究院（院（NISTNIST）制定了大量与信息安全有关

29、的非密敏感标准，截止到）制定了大量与信息安全有关的非密敏感标准，截止到20062006年底已年底已制定了制定了3030多项信息安全相关的联邦信息处理标准（多项信息安全相关的联邦信息处理标准（FIPSFIPS）和近）和近120120项信息安项信息安全相关的专题出版物（全相关的专题出版物（SP 800SP 800系列和系列和SP 500SP 500系列），这些标准和指南涉及密系列），这些标准和指南涉及密码算法、密码模块评测、信息系统评测、信息系统管理等多个方面，最常用码算法、密码模块评测、信息系统评测、信息系统管理等多个方面，最常用的的FIPSFIPS安全标准有安全标准有DESDES、AESAES

30、等。等。美国国家标准技术研究所（美国国家标准技术研究所（NIST）2.2 美国信息安全标准化组织美国信息安全标准化组织 美国电气电工工程师协会（美国电气电工工程师协会（IEEE）IEEEIEEE在网络与信息安全标准化方面的贡献主要包含两个方面：一是电气在网络与信息安全标准化方面的贡献主要包含两个方面：一是电气和电磁安全，如和电磁安全，如IEEE C2IEEE C2国家电气安全规程等；另一方面是信息安全，国家电气安全规程等；另一方面是信息安全，提出了提出了LAN/WANLAN/WAN安全（安全（IEEE 802.10IEEE 802.10）、）、WLANWLAN安全（安全（IEEE 802.11

31、iIEEE 802.11i）和公钥密）和公钥密码（码（P1363P1363）等方面的标准。）等方面的标准。从从19901990年年IEEEIEEE成立成立802.11“802.11“无线局域网工作组无线局域网工作组”以来，相继成立的以来，相继成立的802.15802.15“无线个人网络工作组无线个人网络工作组”、802.16“802.16“无线宽带网络工作组无线宽带网络工作组”和和802.20“802.20“移移动宽带动宽带无线接入工作组无线接入工作组”等在无线通信安全方面也作了大量的贡献，如正在研制的等在无线通信安全方面也作了大量的贡献，如正在研制的IEEE 802.11iIEEE 802.

32、11i。目前，目前，IEEEIEEE主要关注主要关注WLANWLAN安全、安全、WiMAXWiMAX安全、汽车电子安全等。安全、汽车电子安全等。除上述主要的国际和地区性标准化组织外，除上述主要的国际和地区性标准化组织外，3GPP3GPP、3GPP23GPP2、OMAOMA（开放移（开放移动联盟）、动联盟）、OASISOASIS（结构化信息标准促进组织）、（结构化信息标准促进组织）、ATISATIS（电信工业解决方案（电信工业解决方案联盟）、联盟）、ECMAECMA（欧洲计算机制造商协会）等专业性标准组织以及英德等国也（欧洲计算机制造商协会）等专业性标准组织以及英德等国也制定了一些安全标准。制定

33、了一些安全标准。2.3 国外其它信息安全标准化组织国外其它信息安全标准化组织OMA在网络与信息安全标准化方面，主要侧重于数据业务。在OMA设有专门的技术委员会负责安全标准研究，即TC security，目前主要关注无线公钥基础设施（WPKI）、在线证书状态协议（OCSP）、应用层安全、智能卡Web服务、移动在线认证以及在线密钥生成等方面的研究。在OMA 除TC security外，还设有专门的技术委员会负责数字版权管理方面的研究。ATIS也设有一个技术工作委员会（IDSC），专门负责信息安全和数据安全方面的标准研究，主要在身份鉴别、数据保护、风险管理等方面，并出版了相应的报告。主要制定计算机及

34、其相关应用的标准和技术报告，经常向ISO提交标准提案。JTC1的欧洲秘书处就设在ECMA。它有11个技术委员会，其中TC32“通信、网络和系统互连”曾定义了开放系统应用层安全结构；TC36“IT安全”负责信息技术设备的安全标准，目前主要制定商用和政府用信息技术产品和系统安全性评估标准化框架，以及在开放系统环境下逻辑安全设备的框架。是欧洲地区性标准化组织，已颁布120多个网络与信息安全标准。其下属技术委员会SAFETY（安全），主要研究电气安全方面的标准；技术委员会ESI（电子签名和基础设施）主要研究电子签名和PKI方面的标准；技术委员会LI（合法监听）主要研究合法监听方面的标准；特设组SAGE

35、（安全算法专家组）负责研究密码算法方面的标准，如GSM鉴权算法A3/A5 算法。目前，ETSI主要关注电子签名、合法监听、移动通信安全、NGN安全、安全算法和智能卡安全等。主要制定计算机及其相关应用的标准和技术报告，经常向ISO提交标准提案。JTC1的欧洲秘书处就设在ECMA。它有11个技术委员会，其中TC32“通信、网络和系统互连”曾定义了开放系统应用层安全结构；TC36“IT安全”负责信息技术设备的安全标准，目前主要制定商用和政府用信息技术产品和系统安全性评估标准化框架，以及在开放系统环境下逻辑安全设备的框架。3GPP在其业务和系统技术规范组下专门设置有工作组即WG3负责安全标准研究，3G

36、PP2也在TSG-S业务和系统下设工作组WG4负责安全标准研究。此两标准组织所研究的安全标准主要是与第三代移动通信有关，主要涉及算法、安全架构（如IMS 安全架构等）等。1.1.欧洲计算机生产商协会（ECMA）2.欧洲电信标准协会（ETSI）3.3GPP 4.开放移动联盟（OMA）6.结构化信息标准促进组织（OASIS）5.电信工业解决方案联盟（ATIS）其其它它信信息息安安全全标标准准化化组组织织此外，英国标准学会（BSI）所制定的BS7799系列标准和德国的IT基线保护手册也是国际上比较有影响力的安全标准。2.4 我国信息安全标准化组织我国信息安全标准化组织 全国信息安全标准化技术委员会（

37、全国信息安全标准化技术委员会（TC260）全国信息安全标准化技术委员会（全国信息安全标准化技术委员会（TC260TC260）成立于）成立于20022002年年4 4月月1515日。它是日。它是ISO/IEC JTC1 SC27ISO/IEC JTC1 SC27的国内对口组织。信安标委主要负责全国信息安全技术、的国内对口组织。信安标委主要负责全国信息安全技术、安全机制、安全服务、安全管理和安全评估等领域的标准化工作，负责统一安全机制、安全服务、安全管理和安全评估等领域的标准化工作，负责统一协调信息安全国家标准年度计划项目的申报，并组织国家标准的送审和报批协调信息安全国家标准年度计划项目的申报，并

38、组织国家标准的送审和报批工作，是我国网络与信息安全国家标准的牵头组织。工作，是我国网络与信息安全国家标准的牵头组织。组织结构组织结构组织结构组织结构 信安标委的标准研究工作采用工作组的方式进行，其组织结构如图所示。信安标委的标准研究工作采用工作组的方式进行，其组织结构如图所示。2.4 我国信息安全标准化组织我国信息安全标准化组织工作组情况工作组情况工作组情况工作组情况 委员会以开放式的工作组为主体开展信息安全标准的研究制定工作。委员会以开放式的工作组为主体开展信息安全标准的研究制定工作。由于工作组是根据信息安全标准体系结构进行设立的，这保证了各工作组由于工作组是根据信息安全标准体系结构进行设立

39、的，这保证了各工作组任务的明确性和相互间的协调性。任务的明确性和相互间的协调性。nWG1：信息安全标准体系与协调工作组任务：研究信息安全标准体系；跟踪国际信息安全标准发展动态；研究、分析国内信息安全标准的应用需求；研究并提出新工作项目及设立新工作组的建议；协调各工作组项目。负责标准体系研究和标准化协调。组长：中国电子技术标准化研究所林宁工作组联络处：中国电子技术标准化研究所WG1开展的研究项目：信息安全标准体系的研究 电子政务标准化指南第六部分：信息安全 信息安全标准术语2.4 我国信息安全标准化组织我国信息安全标准化组织nWG2：涉密信息系统标准工作组 任务：负责涉密信息系统标准研究 组长：

40、组长单位为国家保密局WG1开展的研究项目：涉密信息消除和介质销毁 信息安全保密产品技术要求和测试方法 涉密信息系统技术要求和测评 涉密信息系统管理nWG3：密码标准工作组任务：负责密码相关国家标准研究 组长：组长单位为国家密码管理局 正开展的研究项目：分组算法应用接口规范 证书认证系统密码及相关安全技术规范 PCI密码卡技术规范 ECC算法应用接口规范 杂凑算法应用接口规范2.4 我国信息安全标准化组织我国信息安全标准化组织nWG4：PKI/PMI工作组 任务：国内外PKI/PMI标准体系的分析；研究PKI/PMI标准体系；国内急用的标准调研；完成一批PKI/PMI基础性标准的制定工作。鉴别与

41、授权工作组。主要负责PKI/PMI 等方面的标准研究，已完成GB/T 20518信息技术 安全技术 公钥基础设施数字证书格式等10多个标准的研究。组长：中国科学院研究生院冯登国 副组长：国家信息安全工程技术研究中心袁文恭、国家信息中心吴亚非 工作组联络处：国家信息中心开展的研究项目：公开密钥和属性证书框架(X.509)时间戳规范基于X509的证书管理协议 数字证书状态查询协议PKI组件最小互操作规范 PKI安全支撑平台等证书认证机构运营管理规范 证书载体应用程序接口基于X509的国内数字证书格式规范PKI系统安全保护等级技术要求2.4 我国信息安全标准化组织我国信息安全标准化组织nWG5：信息

42、安全评估工作组 任务：调研国内外测评标准现状与发展趋势；研究提出我国统一测评标准体系的思路和框架；研究提出信息系统和网络的安全测评标准思路和框架；研究提出急需的测评标准项目和制定计划。信息安全评估工作组。负责安全评估方面的标准研究，已完成网上银行系统、网上证券系统等应用系统评估标准以及安全路由器、防火墙、入侵检测系统等产品评估标准，正在开展安全等级保护相关的评估标准研究。组长：解放军信息安全测评认证中心崔书昆副组长：公安部公共信息网络安全监察局景乾元、国家信息安全评测认证中心李守鹏 工作组联络处：解放军信息安全测评认证中心2.4 我国信息安全标准化组织我国信息安全标准化组织nWG7：信息安全管

43、理工作组 任务：信息安全管理标准体系的研究；国内急用的标准调研；完成一批信息安全管理相关基础性标准的制定工作。已完成ISO/IEC 13335.1-2、ISO/IEC17799等国际标准的采标工作，正在开展ISO/IEC27000系列标准的采标工作，并正在研究风险管理、安全事件管理、灾难备份等。组长：中国电子技术标准化研究所王立建 工作组联络处：中国电子技术标准化研究所 WG7开展的研究项目：信息技术 安全技术 IT安全管理指南 信息技术 信息安全管理实用规则 信息技术 安全技术 系统安全工程能力成熟度模型(SSE-CMM)2.4 我国信息安全标准化组织我国信息安全标准化组织标准制定情况标准制

44、定情况标准制定情况标准制定情况 截止到截止到20072007年底，信安标委成立后共开展了年底，信安标委成立后共开展了115115项国家标准的制定工项国家标准的制定工作，有一半以上是自主研制的，目前有作，有一半以上是自主研制的，目前有5959项已完成制定，还有项已完成制定，还有5656项在研究项在研究制定中。制定中。在跟踪研究国际标准的同时，我国积极为国际标准作贡献。在跟踪研究国际标准的同时，我国积极为国际标准作贡献。20072007年我年我国提出的信息安全管理体系审核指南和三元实体鉴别两项提案被国提出的信息安全管理体系审核指南和三元实体鉴别两项提案被SC27SC27接受，成为国际标准新工作项目

45、。接受，成为国际标准新工作项目。信安标委未来工作重点信安标委未来工作重点信安标委未来工作重点信安标委未来工作重点 信息安全标准化工作在以后几年中，在重点做好信息安全保障体系建信息安全标准化工作在以后几年中，在重点做好信息安全保障体系建设急需重要标准的同时，要重点抓好信息安全国家标准的宣贯和试点示范设急需重要标准的同时，要重点抓好信息安全国家标准的宣贯和试点示范工作，推进标准的实施应用。工作，推进标准的实施应用。2.4 我国信息安全标准化组织我国信息安全标准化组织 公安信息系统安全标准化技术委员会公安信息系统安全标准化技术委员会 公安部信息系统安全标准化技术委员会主要负责：规划和制定计算机公安部

46、信息系统安全标准化技术委员会主要负责：规划和制定计算机信息系统安全保护等级、应用系统安全等级评估检测、计算机信息系统安信息系统安全保护等级、应用系统安全等级评估检测、计算机信息系统安全产品、计算机信息系统安全管理等方面标准。全产品、计算机信息系统安全管理等方面标准。公安部已发布了公安部已发布了1414个正式标准，主要涉及计算机病毒检测、等级保护个正式标准，主要涉及计算机病毒检测、等级保护等方面，正在开展等级保护方面的有近等方面，正在开展等级保护方面的有近4040个。公安信息安全标准体系图如个。公安信息安全标准体系图如图所示。图所示。2.4 我国信息安全标准化组织我国信息安全标准化组织 此外，安

47、全部、国家保密局、国家密码管理委员会等相继制定、颁布此外，安全部、国家保密局、国家密码管理委员会等相继制定、颁布了一批信息安全的行业标准，为推动信息安全技术在各行业的应用和普及了一批信息安全的行业标准，为推动信息安全技术在各行业的应用和普及发挥了积极的作用。发挥了积极的作用。中国通信标准化协会网络与信息安全技术工作委员会中国通信标准化协会网络与信息安全技术工作委员会 中国通信标准化协会网络与信息安全技术工作委员会（编号为中国通信标准化协会网络与信息安全技术工作委员会（编号为TC8TC8），），负责组织开展通信行业网络与信息安全标准化工作。负责组织开展通信行业网络与信息安全标准化工作。TC8 T

48、C8现设有现设有4 4个工作组有线网络安全（个工作组有线网络安全（WG1WG1）、无线网络安全（）、无线网络安全（WG2WG2）、安）、安全管理（全管理（WG3WG3）、安全基础（）、安全基础（WG4WG4），另外还设有安全防护标准和绿色上网标），另外还设有安全防护标准和绿色上网标准准2 2个特设项目组。个特设项目组。信息产业部电子工业标准化研究所信息产业部电子工业标准化研究所China Electronic Standardization Insititute三、信息安全标准三、信息安全标准体系体系 3.信息安全标准体系信息安全标准体系 课题目标课题目标 至今，在世界范围内尚未形成统一的、公

49、认的标准体系结构。但是许至今，在世界范围内尚未形成统一的、公认的标准体系结构。但是许多国家、不同部门都在研究自身的信息安全标准体系结构。多国家、不同部门都在研究自身的信息安全标准体系结构。v（1）美国的体系结构）美国的体系结构3.信息安全标准体系信息安全标准体系 WG1 需求安全服务与指南标准（22项）WG2 安全技术和机制标准 （45项）WG3 系统和产品安全评估与认证标准（15项）ISO-JTC/SC27ISO-JTC/SC27（2）ISO标准体系结构标准体系结构（截止到（截止到2007年底）年底）3.信息安全标准体系信息安全标准体系实体安全（A）环境安全（A10）设备安全（A20）媒体安

50、全（A30）运行安全（B）风险分析（B10）审计跟踪（B20）备份与恢复（B30）应急（B40）应急计划辅助软件（B41）应急设施（B42）信息安全（C）操作系统安全（C10）安全操作系统（C11）操作系统安全部件（C12）数据库安全（C20）安全数据库系统（C21）数据库系统安全部件（C22）网络安全（C30）网络安全管理（C31）安全网络系统（C32）网络系统安全部件（C33）（3 3）GA163-1997GA163-1997关于计算机信息系统安全专用产品分类原则关于计算机信息系统安全专用产品分类原则3.信息安全标准体系信息安全标准体系（4 4）一种信息安全产品与标准体系结构草案）一种信息