版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、國內(nèi)外網(wǎng)絡(luò)安全管理模式調(diào)研網(wǎng)絡(luò)空間作為繼陸、海、空、天之后的第五維空間,給人們的生產(chǎn)生活帶來了革命性的飛越。今年來,網(wǎng)絡(luò)空間形式日趨復(fù)雜嚴(yán)峻,網(wǎng)絡(luò)安全事件頻繁發(fā)生,對我國網(wǎng)絡(luò)空間安全構(gòu)成嚴(yán)重威脅,給我國的網(wǎng)絡(luò)空間防護(hù)帶來嚴(yán)峻挑戰(zhàn)。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化是網(wǎng)絡(luò)安全保障體系建設(shè)的一個(gè)重要的技術(shù)支撐,是做好網(wǎng)絡(luò)安全工作的重要切入點(diǎn)。本報(bào)告將分析國內(nèi)外網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的發(fā)展現(xiàn)狀,研究ISO/IEC、ITU以及CCSA等國內(nèi)外網(wǎng)絡(luò)安全標(biāo)準(zhǔn)相關(guān)的主要組織,并重點(diǎn)介紹了CC 標(biāo)準(zhǔn),以及分析了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系框架。一、國外網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系 (一)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的發(fā)展歷史國際上信息安全標(biāo)準(zhǔn)化工作興起于20世紀(jì)70年代中期,8
2、0年代有了較快的發(fā)展,90年代引起了世界各國的普遍關(guān)注。1970年,美國國防科學(xué)委員會提出美國可信計(jì)算機(jī)系統(tǒng)評價(jià)標(biāo)準(zhǔn)(Trusted Computer System Evaluation Criteria,TCSEC),并于1985年12月由美國國防部公布。TCSEC標(biāo)準(zhǔn)是計(jì)算機(jī)系統(tǒng)安全評估的第一個(gè)正式標(biāo)準(zhǔn),具有劃時(shí)代的意義。TCSEC中使用了可信計(jì)算基礎(chǔ)(Trusted Computing Base, TCB)這一概念,即計(jì)算機(jī)硬件與支持不可信應(yīng)用及不可信用戶的操作系統(tǒng)的組合體。TCSEC 論述的重點(diǎn)是通用的操作系統(tǒng),為了使它的評判方法適用于網(wǎng)絡(luò),NCSC于1987年出版了一系列有關(guān)可信計(jì)算
3、機(jī)數(shù)據(jù)庫、可信計(jì)算機(jī)網(wǎng)絡(luò)等的指南等。該書從網(wǎng)絡(luò)安全的角度出發(fā),解釋了準(zhǔn)則中的觀點(diǎn),從用戶登錄、授權(quán)管理、訪問控制、審計(jì)跟蹤、隱通道分析、可信通道建立、安全檢測、生命周期保障、文本寫作、用戶指南均提出了規(guī)范性要求,并根據(jù)所采用的安全策略、系統(tǒng)所具備的安全功能將系統(tǒng)分為四類七個(gè)安全級別。將計(jì)算機(jī)系統(tǒng)的可信程度劃分為D、C1、C2、B1、B2、B3和A1七個(gè)層次。1990年,加拿大專門針對政府需求設(shè)計(jì)出加拿大可信計(jì)算機(jī)產(chǎn)品評估標(biāo)準(zhǔn)(Canadian Trusted Computer Product Evaluation Criteria,CTCPEC)。與 ITSEC 類似,該標(biāo)準(zhǔn)將安全分為功能性需
4、求和保證性需要兩部分。功能性需求共劃分為4大類:機(jī)密性、完整性、可用性和可控性。每種安全需求又可以分成很多小類,來表示安全性上的差別,分級條數(shù)為05級。1991年,美國發(fā)表了信息技術(shù)安全性評估聯(lián)邦準(zhǔn)則(US Federal Communications Commission,F(xiàn)C)。該標(biāo)準(zhǔn)的目的是提供TCSEC的升級版本,同時(shí)保護(hù)已有投資。但 FC 有很多缺陷,是一個(gè)過渡標(biāo)準(zhǔn),后來結(jié)合ITSEC發(fā)展為通用安全評估準(zhǔn)則。1991年,西歐四國(英、法、德、荷)聯(lián)合提出了信息技術(shù)安全評估標(biāo)準(zhǔn)(Information Technology Security Evalution Criteria,ITS
5、EC)。ITSEC除了吸收 TCSEC 的成功經(jīng)驗(yàn)外,首次提出了信息安全的保密性、完整性、可用性的概念,把可信計(jì)算機(jī)的概念提高到可信信息技術(shù)的高度上來認(rèn)識。他們的工作成為歐共體信息安全計(jì)劃的基礎(chǔ),并對國際信息安全的研究、實(shí)施帶來深刻的影響。1993年3月,IETF(Internet Engineering Task Force,互聯(lián)網(wǎng)工程任務(wù)組)專門成立了一個(gè)IPSec 工作組,負(fù)責(zé)開發(fā)和制定既適用于現(xiàn)有IPv4網(wǎng)絡(luò)環(huán)境,又適用于下一代IPv6 網(wǎng)絡(luò)環(huán)境的Internet層安全機(jī)制標(biāo)準(zhǔn)。IPSec 就是 IPSec小組建立的一組IP安全協(xié)議集。IPSec 定義了在網(wǎng)際層使用
6、的安全服務(wù),其功能包括數(shù)據(jù)加密、對網(wǎng)絡(luò)單元的訪問控制、數(shù)據(jù)源地址驗(yàn)證、數(shù)據(jù)完整性檢查和防止重放攻擊。1993年6月,美國、加拿大及歐洲四國經(jīng)協(xié)商同意,起草單一的通用安全評估準(zhǔn)則(Command Criteria For IT Security Evaluation,CC),并將其推進(jìn)到國際標(biāo)準(zhǔn)。1996年1月出版了1.0版。它的基礎(chǔ)是歐洲的 ITSEC,美國的包括TCSEC 在內(nèi)的新的聯(lián)邦評估標(biāo)準(zhǔn),加拿大的 CTCPEC,以及國際標(biāo)準(zhǔn)化組織 ISO:SC27WG3的安全評估標(biāo)準(zhǔn)。1999年10月cc v2.1版發(fā)布,2006年9月,cc v3.1版發(fā)布。CC 將評估過程劃分為功能和保證兩部分,
7、評估等級分為eal1、eal2、eal3、eal4、eal5、eal6和eal7共七個(gè)等級。每一級均需評估7個(gè)功能類,分別是配置管理、分發(fā)和操作、開發(fā)過程、指導(dǎo)文獻(xiàn)、生命期的技術(shù)支持、測試和脆弱性評估。1999年,ISO 國際標(biāo)準(zhǔn)化組織發(fā)布 ISO/IEC 15408(其中包括ISO/IEC 15408-1:1999,ISO/IEC 15408-2:1999,ISO/IEC 15408-3:1999),它與1999年7月頒布的CC2.1相對應(yīng)。2005年10月CC2.3正式成為ISO/IEC 15408的第二版對應(yīng)(其中包括了ISO/IEC 15408-1:2005,ISO/IEC 15408
8、-2:2005,ISO/IEC 15408-3:2005)。ISO/IEC JTC 1和Common Criteria Project Organizations共同制訂了該系列標(biāo)準(zhǔn)。CC 標(biāo)準(zhǔn)與 ISO/IEC 15408內(nèi)容和組織基本是等同的。(二)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)組織目前世界上有近300個(gè)國際和區(qū)域性組織制定標(biāo)準(zhǔn)或技術(shù)規(guī)則,與信息安全標(biāo)準(zhǔn)化有關(guān)的組織主要有以下6個(gè):1. 國際標(biāo)準(zhǔn)化組織(ISO)國際標(biāo)準(zhǔn)化組織(International Organization for Standardization,ISO)簡稱ISO,是一個(gè)全球性的非政府組織,在國際標(biāo)準(zhǔn)化領(lǐng)域舉足輕重。ISO的任務(wù)時(shí)促進(jìn)
9、全球范圍內(nèi)的標(biāo)準(zhǔn)化以及其有關(guān)活動,以利于國際間產(chǎn)品與服務(wù)的交流,以及在知識、科學(xué)、技術(shù)和經(jīng)濟(jì)活動中發(fā)展國際間的相互合作。ISO 技術(shù)工作時(shí)高度分散的,分別由2700多個(gè)技術(shù)委員會(TC),分技術(shù)委員會(SC)和工作組(WG)承擔(dān)。其中承擔(dān)信息安全相關(guān)標(biāo)準(zhǔn)的部門主要包括:(1)JTC1/SC27 IT 安全技術(shù)在 ISO 中,ISO/IEC JTC1(聯(lián)合技術(shù)委員會)所屬的安全技術(shù)分委員會(SC 27),主要負(fù)責(zé)開展安全標(biāo)準(zhǔn)的研制工作,其前身是 ISO/TC97 SC20。1990年4月瑞典斯德哥爾摩年會上正式成立 SC 27,秘書處設(shè)在德國的 BSI,其工作范圍為信息技術(shù)安全的一般方法和技術(shù)的
10、標(biāo)準(zhǔn)化。制定的標(biāo)準(zhǔn)主要涉及密碼算法、散列函數(shù)、數(shù)字簽名機(jī)制、實(shí)體鑒別機(jī)制、安全評估準(zhǔn)則等領(lǐng)域,并對促進(jìn)國際信息安全起了重要作用。(2)TC 68 金融服務(wù)在ISO中,ISO/IDC JTC1/SC27 負(fù)責(zé)通用信息技術(shù)安全標(biāo)準(zhǔn)的制定,ISO/TC68 負(fù)責(zé)銀行業(yè)務(wù)應(yīng)用范圍內(nèi)有關(guān)信息安全標(biāo)準(zhǔn)的制定。一個(gè)是制定通用基礎(chǔ)標(biāo)準(zhǔn),一個(gè)是自定行業(yè)應(yīng)用標(biāo)準(zhǔn),兩者在組織上和標(biāo)準(zhǔn)之間都有著密切的聯(lián)系。(3)其他 SC在ISO、IEC的聯(lián)合技術(shù)委員會 JTC1內(nèi),除了 SC27 專門從事安全技術(shù)和安全機(jī)制的標(biāo)準(zhǔn)化工作外,還有6個(gè) SC 分別承擔(dān)一部分安全標(biāo)準(zhǔn)制定任務(wù)。SC6:系統(tǒng)間通信與信息交換,主要開發(fā)開放系統(tǒng)
11、互連下四層安全模型和安全協(xié)議,如物理層加密的互操作性要求,網(wǎng)絡(luò)層安全協(xié)議等。SC17:卡和身份識別,主要開發(fā)與識別卡有關(guān)的安全標(biāo)準(zhǔn)。SC18:文件處理及有關(guān)通信,主要開發(fā)電子郵件、消息處理系統(tǒng)等安全標(biāo)準(zhǔn)。SC21:開發(fā)系統(tǒng)互連,數(shù)據(jù)管理和開放式分布處理,主要開發(fā)開放系統(tǒng)互連安全體系結(jié)構(gòu)、各種安全框架,高層安全模型等標(biāo)準(zhǔn),如著名的 ISO/IEC 7498-2 以及一系列安全框架標(biāo)準(zhǔn)。SC22:程序語言,其環(huán)境及系統(tǒng)軟件接口,也開發(fā)相應(yīng)的安全標(biāo)準(zhǔn)。SC30:開放式電子數(shù)據(jù)交換,主要開發(fā)電子數(shù)據(jù)交換的有關(guān)安全標(biāo)準(zhǔn)。如電子數(shù)據(jù)交換密鑰和證書管理報(bào)文,交互式電子數(shù)據(jù)交換安全規(guī)則等。2. 國際電工委員會
12、(IEC)IEC 成立于1906年,是世界上成立最早的國際性電工標(biāo)準(zhǔn)化機(jī)構(gòu),總部設(shè)在日內(nèi)瓦。1947年 ISO 成立后,IEC 曾作為電工部門并入 ISO,但在技術(shù)上、財(cái)務(wù)上仍保持其獨(dú)立性。根據(jù)1976年 ISO 與 IEC的新協(xié)議,兩組織都是法律上獨(dú)立的組織,IEC 負(fù)責(zé)有關(guān)電工、電子領(lǐng)域的國際標(biāo)準(zhǔn)化工作,其他領(lǐng)域由 ISO 負(fù)責(zé)。IEC 的宗旨是促進(jìn)電工、電子領(lǐng)域中標(biāo)準(zhǔn)化及有關(guān)方面問題的國際合作,增進(jìn)相互了解。在信息安全標(biāo)準(zhǔn)化方面,除了同 ISO聯(lián)合成立的 JTC1 下屬幾個(gè)分委員會外,還在電磁兼容等方面成立技術(shù)委員會,并制定相關(guān)國際標(biāo)準(zhǔn),如信息技術(shù)設(shè)備安全。與信息安全標(biāo)準(zhǔn)化相關(guān)的技術(shù)委員
13、會有:TC56:可靠性。TC74:IT 設(shè)備安全和功效。TC77:電磁兼容。CISPR:國際無線電干擾特別委員會等。3. 國際電信聯(lián)盟(ITU) ITU 是聯(lián)合國的一個(gè)專門機(jī)構(gòu),是國際電信界最權(quán)威的標(biāo)準(zhǔn)制修訂組織,成員由各國電信主管部門組成。其下電信標(biāo)準(zhǔn)部、無線電通信部和電信發(fā)展部承擔(dān)著實(shí)質(zhì)性標(biāo)準(zhǔn)制訂工作,制定的標(biāo)準(zhǔn)都是與電信相關(guān)的,包括網(wǎng)絡(luò)、電視、無線電、衛(wèi)星等等多種電信部門所涉及的行業(yè)。ITU 電信標(biāo)準(zhǔn)局(ITU-T)所屬的SG17組,主要負(fù)責(zé)研究通信系統(tǒng)安全標(biāo)準(zhǔn)。2001年底,SG7、SG10和SG17合并形成了新的 SG17 組。在20012004年中研究期中,SG 17組下設(shè)立 Qu
14、estion 10項(xiàng)目組來專門從事信息安全標(biāo)準(zhǔn)研究。在此研究期內(nèi),Q10組主要集中于定義通信系統(tǒng)相關(guān)的整個(gè)安全框架,項(xiàng)目組活動涉及到協(xié)調(diào)、配合并推動其他通信系統(tǒng)安全相關(guān)的規(guī)范制定。ITU-T 單獨(dú)或與 ISO 聯(lián)合開發(fā)了消息處理系統(tǒng)(MHS)、目錄系統(tǒng)(X.400 系統(tǒng)、X.500 系列)和安全框架、安全模型等方面的信息安全標(biāo)準(zhǔn),其中的 X.509 標(biāo)準(zhǔn)是開展電子商務(wù)認(rèn)證的重要基礎(chǔ)標(biāo)準(zhǔn)。4. 互聯(lián)網(wǎng)工程任務(wù)組(IETF)IETF 成立于1985年底,其主要任務(wù)是負(fù)責(zé)互聯(lián)網(wǎng)先關(guān)技術(shù)規(guī)范的研發(fā)和制定。目前,IETF 已成為全球互聯(lián)網(wǎng)最具權(quán)威的大型技術(shù)研究組織。IETF 是一個(gè)由 互聯(lián)網(wǎng)技術(shù)工程及發(fā)
15、展做出貢獻(xiàn)的專家自發(fā)參與和管理的國際民間機(jī)構(gòu)。它匯集了與互聯(lián)網(wǎng)架構(gòu)演化和互聯(lián)網(wǎng)穩(wěn)定運(yùn)作等業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)設(shè)計(jì)者,運(yùn)營者和研究人員,并向所有對該行業(yè)感興趣的人士開發(fā)。IETF 主要提出 Internet 標(biāo)準(zhǔn)草案和稱為“請求注解”(RFC)的協(xié)議文稿,內(nèi)容廣泛,也包括安全方面的建議稿,經(jīng)過網(wǎng)上討論修改,也被大家接受的就成了事實(shí)上的標(biāo)準(zhǔn)。目前 IETF 有關(guān)信息安全的工作組有btns、dkim、emu、hokey、ipsecme、isms、keyprov、kitten、krb-wg、Itans、msec、nea、pkix、sasl、smime、syslog、tls等17個(gè)。5. 美國國家標(biāo)準(zhǔn)協(xié)會(A
16、NSI)ANSI 是非盈利性性質(zhì)的民間標(biāo)準(zhǔn)化團(tuán)體,但它實(shí)際上已成為美國國家標(biāo)準(zhǔn)化中心。其下設(shè)電工、建筑、日用品、制圖、材料試驗(yàn)等各種技術(shù)委員會,制定的標(biāo)準(zhǔn)涉及各個(gè)方面。 ANSI 通過其 X3、X9、X12等機(jī)構(gòu)制定了很多有關(guān)數(shù)據(jù)加密、銀行業(yè)務(wù)安全和EDI 安全等方面的標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)中,許多經(jīng) ISO反復(fù)討論后成為國際標(biāo)準(zhǔn)。ANSI 中技術(shù)委員會 NCITS(即 X3)負(fù)責(zé)信息技術(shù),也是JTC1的秘書處,其分技術(shù)委員會 T4 負(fù)責(zé) IT安全技術(shù),對口 JTC1 的 SC27。NCITS 從20世紀(jì)80年代開始研制DES,但到目前為止,只制定了三個(gè)通用的國家標(biāo)準(zhǔn)。ANSI 負(fù)責(zé)金融安全的小組有
17、X9 和 X12。X9 制定金融業(yè)務(wù)標(biāo)準(zhǔn),X12 制定商業(yè)交易標(biāo)準(zhǔn)。已制定金融交易卡、密碼服務(wù)消息,以及實(shí)現(xiàn)商業(yè)交易安全等放慢的安全標(biāo)準(zhǔn)十多個(gè)。6. 美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)NIST 成立于1901年,隸屬于商務(wù)部技術(shù)司,是集科研、計(jì)量、標(biāo)準(zhǔn)化、技術(shù)創(chuàng)新為一體的非監(jiān)管性質(zhì)的聯(lián)邦部門。NIST 下設(shè)的信息技術(shù)實(shí)驗(yàn)室(ITL),專門設(shè)有計(jì)算機(jī)安全處(CSD),主要協(xié)助美國政府和產(chǎn)業(yè)界進(jìn)行安全規(guī)劃、風(fēng)險(xiǎn)管理、應(yīng)急計(jì)劃、加密、人員身份認(rèn)證及智能卡應(yīng)用等安全技術(shù)的開發(fā)、推廣應(yīng)用、計(jì)算機(jī)病毒檢測與防治、安全教育培訓(xùn)等方面的工作,同時(shí)還負(fù)責(zé)制定安全技術(shù)和安全產(chǎn)品的國家和國際標(biāo)準(zhǔn),由其制定與國家重
18、大利益相關(guān)的標(biāo)準(zhǔn)多負(fù)責(zé)協(xié)調(diào)聯(lián)邦機(jī)構(gòu)標(biāo)準(zhǔn)和私有部門的標(biāo)準(zhǔn)及合格評定程序,參與自愿性標(biāo)準(zhǔn)化活動。二、國內(nèi)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系(一)國內(nèi)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的發(fā)展歷史中國在20世紀(jì)80年代就開始創(chuàng)建自己的信息安全標(biāo)準(zhǔn),1984年6月,由全國計(jì)算機(jī)與信息處理標(biāo)準(zhǔn)化技術(shù)委員會組建了“數(shù)據(jù)加密”直屬工作組(后來轉(zhuǎn)為分技術(shù)委員會)。1992年改為“全國信息技術(shù)”標(biāo)準(zhǔn)化技術(shù)委員會;2002年單獨(dú)成立全國信息安全標(biāo)準(zhǔn)化。到目前為止,該標(biāo)準(zhǔn)化技術(shù)委員會已制定了(已發(fā)布)信息技術(shù)方面的我國國家標(biāo)準(zhǔn)共計(jì)87個(gè),用以支持信息安全的管理工作和信息安全各類工具的規(guī)范化發(fā)展。從80年代開始,標(biāo)準(zhǔn)的制定經(jīng)歷了幾次改動。首先制定了TEMPE
19、ST技術(shù)要求,接著等同采用了美國TCSEC及國際標(biāo)準(zhǔn)組織的一大批標(biāo)準(zhǔn),至目前累計(jì)已有幾十個(gè)標(biāo)準(zhǔn)已經(jīng)或正在發(fā)揮積極作用。2003年7月,國務(wù)院信息化領(lǐng)導(dǎo)小組通過了關(guān)于加強(qiáng)信息安全保障工作的意見,同年9月,中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)了國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作意見,把信息安全提到了新的高度。信息安全風(fēng)險(xiǎn)評估工作已經(jīng)成為信息安全管理的核心工作之一,由國家信息中心組織先后對四個(gè)地區(qū)(北京、廣州、深圳和上海),十幾個(gè)行業(yè)的50多家單位進(jìn)行了深入細(xì)致的調(diào)查與研究,最終形成了信息安全風(fēng)險(xiǎn)評估調(diào)查報(bào)告、信息安全風(fēng)險(xiǎn)評估研究報(bào)告和關(guān)于加強(qiáng)信息安全風(fēng)險(xiǎn)評估工作的建議。制定了信息安全技術(shù)信息安全風(fēng)
20、險(xiǎn)評估規(guī)范(GB/T 20984-2007)。國內(nèi)由公安部主持制定、國家技術(shù)標(biāo)準(zhǔn)局發(fā)布的國家標(biāo)準(zhǔn)GB17895-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則。該準(zhǔn)則將信息系統(tǒng)安全分為5個(gè)等級,分別是:自主保護(hù)級、系統(tǒng)審計(jì)保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗(yàn)證保護(hù)級。主要的安全考核指標(biāo)有身份認(rèn)證、自主訪問控制、數(shù)據(jù)完整性、審計(jì)、隱蔽信道分析、客體重用、強(qiáng)制訪問控制、安全標(biāo)記、可信路徑和可信恢復(fù)等,這些指標(biāo)涵蓋了不同級別的安全要求。我國紅旗安全操作系統(tǒng)2.0已通過中華人民共和國公安部計(jì)算機(jī)信息系統(tǒng)產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心的認(rèn)證,達(dá)到信息安全第三級的要求。可以預(yù)見,網(wǎng)絡(luò)與信息安全方面的標(biāo)
21、準(zhǔn)將越來越受重視。我國網(wǎng)絡(luò)與信息安全的主要標(biāo)準(zhǔn)化組織CCSA相對而言比較年輕,研究工作才剛剛起步,在包括安全基礎(chǔ)設(shè)施在內(nèi)的很多方面還有待進(jìn)一步開展研究。從總體情況來看,我國網(wǎng)絡(luò)與信息安全研究將呈現(xiàn)下列特點(diǎn): 1. 基于信息內(nèi)容的過慮和管制技術(shù)將越來越受關(guān)注; 2. 防范和治理垃圾信息將成為網(wǎng)絡(luò)安全研究重要內(nèi)容; 3. 網(wǎng)絡(luò)與信息安全研究重點(diǎn)將逐漸從設(shè)備層面向網(wǎng)絡(luò)層面轉(zhuǎn)移; 4. 業(yè)務(wù)安全越來越成為運(yùn)營商研究重點(diǎn); 5. 認(rèn)證技術(shù)將研究和梳理,生物鑒別將成為重要內(nèi)容; 6. 網(wǎng)
22、絡(luò)建設(shè)將重視信任體系的建設(shè); 7. 互聯(lián)網(wǎng)安全將進(jìn)一步研究,其成果將適用于下一代網(wǎng)以及3G核心網(wǎng);8. 網(wǎng)絡(luò)上信息安全將劃分責(zé)權(quán),網(wǎng)絡(luò)端負(fù)責(zé)部分私密性(隔離)和完整性,機(jī)密性和不可否認(rèn)性由端到端保障; 9. 安全管理中的安全風(fēng)險(xiǎn)評估將成為安全研究重要內(nèi)容。(二)國內(nèi)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)組織相比國外,國內(nèi)信息安全標(biāo)準(zhǔn)化工作起步較晚。 2002年4月15日成立的全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(簡稱信標(biāo)委)在國家標(biāo)準(zhǔn)委和工信部的共同領(lǐng)導(dǎo)下,設(shè)置了7個(gè)工作組,分別是信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組(WG1)、涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)工作組 (WG2)、密碼技術(shù)工作組
23、(WG3)、鑒別與授權(quán)工作 組(WG4)、信息安全評估工作組(WG5)、通信安全標(biāo)準(zhǔn)工作組(WG6)和信息安全管理工作組(WG7)。它們對我國信息安全保障體系建設(shè)和信息安全產(chǎn)業(yè)的發(fā)展起到積極作用。信標(biāo)委主要負(fù)責(zé)組織開展國內(nèi)信息安全領(lǐng)域的安全技術(shù)、安全機(jī)制、安全服務(wù)、安全管理、安全評估等標(biāo)準(zhǔn)化技術(shù)工作。目前,已經(jīng)制定了一批信息安全保障體系急需的、基礎(chǔ)的、關(guān)鍵的信息安全標(biāo)準(zhǔn),為國家重大信息化工程和信息安全保障體系建設(shè)提供重要的標(biāo)準(zhǔn)支撐。 信標(biāo)委的主要任務(wù)是向國家標(biāo)準(zhǔn)化委員會提出本專業(yè)標(biāo)準(zhǔn)化工作的方針、政策和技術(shù)措施的建議,同時(shí)將協(xié)調(diào)各有關(guān)部門,提出一套系統(tǒng)、全面、分布合理的 信息安全標(biāo)準(zhǔn)體系。我國
24、信息安全標(biāo)準(zhǔn)體系,是在跟蹤分析了國際信息安全標(biāo)準(zhǔn)的發(fā)展動態(tài)和國內(nèi)信息安全標(biāo)準(zhǔn)需求的基礎(chǔ)上,提出的標(biāo)準(zhǔn)體系框架和標(biāo)準(zhǔn)體系表。其中我國信息安全技術(shù)標(biāo)準(zhǔn)總體上劃分為基礎(chǔ)標(biāo)準(zhǔn)、技術(shù)與機(jī)制標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)、測評標(biāo)準(zhǔn)、密碼技術(shù)和保密技術(shù)六大類,每類按照標(biāo)準(zhǔn)所涉及的內(nèi)容細(xì)分若干小類。 在我國,另一個(gè)與信息安全標(biāo)準(zhǔn)有關(guān)的組織就是中國通信標(biāo)準(zhǔn)化協(xié)會下設(shè)的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會,下設(shè)四個(gè)工作組,即有線網(wǎng)絡(luò)安全工作組(WG1)、無線網(wǎng)絡(luò)安全工作組(WG2)、安全管理工作組(WG3)、安全基礎(chǔ)設(shè)施工作組(WG4)。 我國信息安全標(biāo)準(zhǔn)工作處在積極學(xué)習(xí)先進(jìn)、努力結(jié)合實(shí)際、力圖創(chuàng)造具有自主特色的國家標(biāo)準(zhǔn)的形勢下。為了更
25、好地貫徹國家信息安全標(biāo)準(zhǔn)“十一五”規(guī)劃,推進(jìn)我國信息安全工作,引進(jìn)了國際上著名的ISO/IEC27001:2005信息安全管理體系要求和 ISO/IEC17799:2005信息安全管理實(shí)用規(guī)則、ISO/ IEC15408:1999IT安全評估準(zhǔn)則、SSE-CMM系統(tǒng)安全工程能力成熟度模型等信息安全管理標(biāo)準(zhǔn)。為深入貫徹落實(shí)國家信息安全等級保護(hù)制度,配合信息安全等級保護(hù)的實(shí)施和推進(jìn),根據(jù)信息安全 等級保護(hù)管理辦法(公通字200743號)和信息安 全等級保護(hù)測評工作管理規(guī)范(試行),制定發(fā)布了 GB 17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分 準(zhǔn)則、GB/T 25058-2010信息安全技術(shù)
26、信息系統(tǒng)安全等級保護(hù)實(shí)施指南、GB/T 22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求、GB/T 22240-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南求以及GB/T 25070-2010信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求等。中國有多個(gè)機(jī)構(gòu)從事云計(jì)算標(biāo)準(zhǔn)研究制定。信標(biāo)委于2011年9月完成云計(jì)算安全及標(biāo)準(zhǔn)研究報(bào)告 V1.0,目前正在研究政府部門云計(jì)算安全和基 于云計(jì)算的因特網(wǎng)數(shù)據(jù)中心安全指南等標(biāo)準(zhǔn),SOA 標(biāo)準(zhǔn)工作組開展了智慧城市、云計(jì)算技術(shù)和相關(guān)產(chǎn)品的標(biāo)準(zhǔn)研究工作,提出了我國智慧城市基礎(chǔ)參考模型和智慧城市標(biāo)準(zhǔn)體系,出版了云計(jì)算標(biāo)準(zhǔn)化研究報(bào)告,推動了31項(xiàng)相關(guān)標(biāo)準(zhǔn)項(xiàng)目研制。2
27、012年,信標(biāo)委成立云計(jì)算工作組和非結(jié)構(gòu)化數(shù)據(jù)管理工作組,重點(diǎn)對美國政府云安全管理思路、云計(jì)算安全審查機(jī)構(gòu)職能和流程、云安全國際標(biāo)準(zhǔn)等進(jìn)行研究,正積極開展我國云計(jì)算標(biāo)準(zhǔn)體系框架研究和十二項(xiàng)云計(jì)算國家標(biāo)準(zhǔn)的編制,提出了政府部門云計(jì)算服務(wù)安全指南和政府部門云計(jì)算服務(wù)安全能力要求。政府部門云計(jì)算服務(wù)安全指南為政府部門使用云計(jì)算服務(wù)提供管理指導(dǎo),政府部門云計(jì)算服務(wù)安全能力要求為政府部門使用云計(jì)算服務(wù)的信息 系統(tǒng)進(jìn)行了技術(shù)規(guī)范,對服務(wù)提供商的云計(jì)算服務(wù)提出了安全保障要求。三、CC 標(biāo)準(zhǔn)(一)CC 標(biāo)準(zhǔn)的主要目的及意義信息安全標(biāo)準(zhǔn)是解決有關(guān)信息安全的產(chǎn)品和系統(tǒng)在設(shè)計(jì)、研發(fā)、生產(chǎn)、建設(shè)、使用、檢測認(rèn)證中的一
28、致性、可靠性、可控性,先進(jìn)性和符合性的技術(shù)規(guī)范和技術(shù)依據(jù)。因此,世界各國越來越重視信息安全產(chǎn)品認(rèn)證標(biāo)準(zhǔn)的制修訂工作。CC標(biāo)準(zhǔn)(Common Criteria for Information Technology Security Evaluation)是信息技術(shù)安全性評估標(biāo)準(zhǔn),用來評估信息系統(tǒng)和信息產(chǎn)品的安全性。制定CC標(biāo)準(zhǔn)的目的是建立一個(gè)各國都能接受的通用的信息安全產(chǎn)品和系統(tǒng)的安全性評估準(zhǔn)則。其主要意義如下:1.確保對信息技術(shù)(IT)產(chǎn)品和保護(hù)配置文件的評估達(dá)到高度一致的標(biāo)準(zhǔn),并使得人們對這些產(chǎn)品和配置文件的安全性有信心;2.提高評估安全性增強(qiáng)的IT產(chǎn)品和保護(hù)配置文件的可用性;3.消除對IT
29、產(chǎn)品和保護(hù)配置文件的重復(fù)評估的負(fù)擔(dān);4.不斷提高IT產(chǎn)品和保護(hù)配置文件的評估和認(rèn)證/驗(yàn)證過程的效率和成本效益。(二)CC 標(biāo)準(zhǔn)的主要內(nèi)容CC標(biāo)準(zhǔn)共分為三部分,主要內(nèi)容包括信息技術(shù)安全性評估的一般模型和基本框架,以及安全功能要求和安全保證要求,目的是建立一個(gè)各國都能接受的通用的信息安全產(chǎn)品和系統(tǒng)的安全性評估準(zhǔn)則。CC標(biāo)準(zhǔn)為不同國家或?qū)嶒?yàn)室的評估結(jié)果提供了可比性。CC標(biāo)準(zhǔn)的第一部分為簡介和一般模型,描述了信息安全相關(guān)的基本概念和模型,以及PP和ST的要求。PP是為一類產(chǎn)品或系統(tǒng)定義信息安全技術(shù)要求,包括功要求和保證要求。ST則定義了一個(gè)既定評估對象(TOE-TarEet of aluation)的
30、IT安全要求,并規(guī)定了該TOE應(yīng)提供的安全功能和保證措施,以滿足所提出的安全要求 ,ST是開發(fā)者、評估者和用戶之間對TOE安全特性和評估范圍達(dá)成一致的基礎(chǔ)。第二部分和第三部分描述了安全功能要求和安全保證要求,功能要求是對產(chǎn)品希望提供的安全功能或特征的描述;保證要求是功能要求能夠得到滿足的程度。CC標(biāo)準(zhǔn)根據(jù)安全保證要求預(yù)先定義了7個(gè)安全保證級(EALlEAL7),安全保證能力由低到高逐級增強(qiáng)。CC標(biāo)準(zhǔn)由專門的開發(fā)組(CCDB)負(fù)責(zé)開發(fā)、維護(hù)、解釋,根據(jù)檢測認(rèn)證工作實(shí)踐,CCDB也發(fā)布了很多技術(shù)支持文檔作為檢測認(rèn)證的指導(dǎo)文件,其中有些文件必須參照執(zhí)行,例如攻擊潛力在智能卡產(chǎn)品中的應(yīng)用(CCDB-2
31、009-03-001)等。圖1 CC標(biāo)準(zhǔn)提供的安全需求分析過程(三)CC 標(biāo)準(zhǔn)的理念CC標(biāo)準(zhǔn)是當(dāng)前信息安全的最新國際標(biāo)準(zhǔn)。它是在TESEC、ITSEC、CTCPEC、FC等信息安全標(biāo)準(zhǔn)的基礎(chǔ)上綜合形成的。CC標(biāo)準(zhǔn)中定義了安全功能組件和安全保證組件,并給出了一套評價(jià)系統(tǒng)安全可信度的指標(biāo)安全保證等級(EAL),通過在構(gòu)造管理、發(fā)行與操作、開發(fā)、指南文檔、生命周期支持、測試和脆弱性評估等方面所采取的措施來確定系統(tǒng)的安全可信度。CC定義了評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需的基礎(chǔ)準(zhǔn)則,是度量信息技術(shù)安全性的基準(zhǔn) 。該標(biāo)準(zhǔn)針對在安全評估過程中信息技術(shù)產(chǎn)品和系統(tǒng)的安全功能及相應(yīng)的保證措施提出一組通用要求,使各
32、種相對獨(dú)立的安全評估結(jié)果具有可比性 。該標(biāo)準(zhǔn)有助于信息技術(shù)產(chǎn)品和系統(tǒng)的開發(fā)者或用戶確定產(chǎn)品或系統(tǒng)對其應(yīng)用而言是否足夠安全,以及在使用中存在的安全風(fēng)險(xiǎn)是否可以容忍,保護(hù)了信息的CIA三大特性,其次也考慮了可控性、可追溯性等,同時(shí)該標(biāo)準(zhǔn)適用于對信息技術(shù)產(chǎn)品或系統(tǒng)的安全性進(jìn)行評估,不論其實(shí)現(xiàn)方式使硬件、固件還是軟件;還可用于指導(dǎo)產(chǎn)品或系統(tǒng)開發(fā),其主要目標(biāo)讀者是用戶、開發(fā)者和評估者。四、網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系(一)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系建設(shè)思路“十三五”國家科技創(chuàng)新規(guī)劃明確提出要持續(xù)推進(jìn)技術(shù)標(biāo)準(zhǔn)戰(zhàn)略,內(nèi)容包括:健全技術(shù)標(biāo)準(zhǔn)體系,統(tǒng)籌推進(jìn)科技、標(biāo)準(zhǔn)、產(chǎn)業(yè)協(xié)同創(chuàng)新,健全科技成果轉(zhuǎn)化為技術(shù)標(biāo)準(zhǔn)機(jī)制。加強(qiáng)基礎(chǔ)通用和產(chǎn)業(yè)共性技術(shù)標(biāo)準(zhǔn)研制,加快新興和融合領(lǐng)域技術(shù)標(biāo)準(zhǔn)研制,健全科技創(chuàng)新、專利保護(hù)與標(biāo)準(zhǔn)互動支撐機(jī)制。發(fā)揮標(biāo)準(zhǔn)在技術(shù)創(chuàng)新中的引導(dǎo)作用,及時(shí)更新標(biāo)準(zhǔn),強(qiáng)化強(qiáng)制性標(biāo)準(zhǔn)制定與實(shí)施,逐步提高生產(chǎn)環(huán)節(jié)和市場準(zhǔn)入的環(huán)保、節(jié)能、節(jié)水、節(jié)材、安全指標(biāo)及相關(guān)標(biāo)準(zhǔn),形成支撐產(chǎn)業(yè)升級的技術(shù)標(biāo)準(zhǔn)體系。開展軍民通用標(biāo)準(zhǔn)的制定和整合,推動軍用標(biāo)準(zhǔn)和民用標(biāo)準(zhǔn)雙向轉(zhuǎn)化,促進(jìn)軍用標(biāo)準(zhǔn)和民用標(biāo)準(zhǔn)兼容發(fā)展。充分發(fā)揮行業(yè)協(xié)會等的作用,大力培育發(fā)展團(tuán)體標(biāo)準(zhǔn),推行標(biāo)準(zhǔn)“領(lǐng)跑者”制度,培育發(fā)展標(biāo)準(zhǔn)化服務(wù)業(yè),提升市場主體技術(shù)標(biāo)準(zhǔn)研制能力。促進(jìn)標(biāo)準(zhǔn)體系
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 關(guān)于技術(shù)服務(wù)協(xié)議的報(bào)告
- 頸部壞死性筋膜炎病因介紹
- 個(gè)人調(diào)解協(xié)議
- 面部長毛病因介紹
- 藥物性脫發(fā)病因介紹
- 自身敏感性皮炎病因介紹
- 全國賽課一等獎(jiǎng)初中統(tǒng)編版七年級道德與法治上冊《增強(qiáng)安全意識》教學(xué)課件
- (案例)鑿巖鉆機(jī)項(xiàng)目立項(xiàng)報(bào)告
- 2023年工控裝備:溫度控制調(diào)節(jié)器項(xiàng)目融資計(jì)劃書
- 《KAB創(chuàng)業(yè)俱樂部》課件
- JGJ7-2010 空間網(wǎng)格結(jié)構(gòu)技術(shù)規(guī)程
- JT-T-1202-2018城市公共汽電車場站配置規(guī)范
- 智能化弱電工程技術(shù)方案(完整)
- 國開(貴州)2024年《仲裁法》形考作業(yè)1-2終考任務(wù)試題
- DL-T5796-2019水電工程邊坡安全監(jiān)測技術(shù)規(guī)范
- 2024年《滿江紅·小住京華》原文及賞析
- 植物病蟲害防治賽項(xiàng)賽題及答案
- 急救知識與技術(shù)智慧樹知到期末考試答案章節(jié)答案2024年新疆巴音郭楞蒙古自治州衛(wèi)生學(xué)校
- TPM知識競賽試題庫
- 齊魯針灸 知到智慧樹網(wǎng)課答案
- (國開電大)可編程控制器應(yīng)用課程實(shí)驗(yàn)
評論
0/150
提交評論