我国信息安全标准化现状

　 信息安全标准是确保有关信息安全产品和系绩在设计、研发、生产、建设、使用、测评中保持一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。没有自主开发的信息安全标准，就不能构造出自主可控的信息安全保障体系。信息安全标准是我国信息安全保障体系的重要组成部分，是政府进行宏观管理的重要依据。

　　一、建立并完善信息安全标准化工作机制

　　信息安全标准化是一项艰巨、长期的基础性工作，同时也是一项涉及面广、组织协调任务重的工作，需要各界的支持和协作。为了加强信息安全标准化工作的组织协调力度，国家标准化管理委员会于2002年批准成立全国信息安全标准化技术委员会(简称信安标委，委员会编号为TC260)，国务院信息化工作办公室副主任曲维枝任该委员会主任委员。该技术委员会的成立标志着我国信息安全标准化工作步入了“统一领导、协调发展”的新时期。该标委会是我国在信息安全专业领域内从事标准化工作的技术组织，工作任务是向国家标准化管理委员会提出本专业标准化工作的方针、政策和技术措施的建议。该委员会协调各有关部门，本着平等、公开、协商的原则组织提出一套系统、全面、分布合理的信息安全标准体系，以信息安全标准体系为工作依据有步骤、有计划地进行信息安全标准的制定工作。

　　信安标委自成立以来，在国家标准化管理委员会的指导下，在委员会主任委员的领导下，在公安部、国家保密局、中央机要局、安全部、信息产业部等各部门及各位委员的大力支持下，通过多方的协调，研究制定了一批基础的、急需的、关键的信息安全标准，初步缓解了我国信息安全标准的不足，改变了一些信息安全领域无标准可依的状况。目前，信安标委逐步形成“基础性研究一标准预研一标准制定”三个阶段波浪式的标准研制新模式。信安标委以工作组为主体开展信息安全标准的研究制定工作，工作组由国内信息安全技术领域的有关部门、研究机构、企事业单位及高等院校等代表组成，是标准研制的技术力量。目前正式成立了信息安全标准体系与协调工作组(WGl)、涉密信息系统安全保密工作组(WG2)、密码工作组(WG3)、鉴别与授权工作组(WG4)、信息安全评估工作组(WG5)、信息安全管理工作组(WGT)等6个工作组。

　　二、我国信息安全标准体系初步形成

　　信息安全标准体系是信息安全保障体系中十分重要的技术体系，是整个信息安全标准化工作的指南。只有建立了科学的信息安全标准体系，将众多的信息安全标准协调一致，才能充分发挥信息安全标准的系统功能，获得良好的系统效应，取得预期的社会效益和经济效益。信息安全标准体系主要作用突出地体现在两个方面，一是确保有关产品、设施的技术先进性、可靠性和一致性，确保信息化安全技术工程的整体合理、可用、互联互通互操作。二是按国际规则实行IT产品市场准入时为相关产品的安全性合格评定提供依据，以强化和保证我国信息化的安全产品、工程、服务的技术自主可控。
　
　　 本着“科学、合理、系统、适用”的原则，在充分借鉴和吸收国际先进信息安全技术标准化成果的基础上，在认真梳理我国信息安全标准的基础上，经过委员会各工作组和秘书处的认真研究，初步形成了我国信息安全标准体系(如图1所示)。

　　作为指导我国信息安全标准制修订工作的指导性技术文件，它将随着信息安全技术的发展而不断完善。

　　三、围绕信息安全保障体系建设，积极开展配套标准的研究制定工作

　　1．信息安全产品评测认证

　　为配合信息安全等级保护制度的建立，促进信息安全产品评测认证工作，信安标委组织研究制定了如下标准：
　GB／T 20008—2005《信息安全技术操作系统安全评估准则》；
　GB／T 20009—2005《信息安全技术数据库管理系统安全评估准则》；
　GB／T 20010-2005《信息安全技术路由器安全评估准则》；
　GB／T 2001l—2005《信息安全技术包过滤防火墙评估准则》；
　GB／T 20275—2006《信息安全技术 入侵检测系统技术要求和测试评价方渤；
　 GB／T 20274．1—2006《信息技术安全技术信息系统安全保障评估框架第一部分：简介和一般模型》
　 GB／Z 20283—2006《信息技术安全技术 保护轮廓和安全目标的产生指南》；
　GB／T 20272-2006《信息安全技术 操作系统安全技术要求》；
　 GB／T 20281-2006《信息安全技术 防火墙技术要求和测试评价方渤；
　GB／T 20276-2006《信息技术 安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》；
　GB／T 20270-2006《信息安全技术 网络安全基础技术要求》；
　GB／T 20278-2006《信息安全技术 网络脆弱性扫描产品技术要求》；
　GB／T 20269-2006《信息安全技术 信息系统安全管理要求》；
　 GB／T 20271-2006《信息安全技术 信息系统安全通用技术要求》；
　 GB／T 20273—2006《信息安全技术 数据库管理系统安全技术要求》；
　 GB／T 20280-2006《信息安全技术 网络脆弱性扫描产品测试评价方法》；
　 GB／T 20277-2006《信息安全技术 网络和端设备隔离部件测评方渤；
　GB／T 20279—2006《信息安全技术 网络和端设备隔离部件技术要求》；
　佃／T 20282-2006《信息安全技术信息系统安全工程管理要求》。

　目前正在报批的标准有：

　　《信息技术安全技术信息系统安全保障评估框架第二部分：技术保障》：《信息技术安全技术信息系统安全保障评估框架第三部分：管理保障》；《信息技术安全技术信息系统安全保障评估框架第四部分：工程保障》； 《PKI系统安全等级保护评估准则》；《PKI系统安全等级保护技术要求》；《信息安全等级保护实施指南》；《信息安全等级保护信息系统物理安全技术要求》：《信息安全等级保护信息系统测评准则》等一批国家标准。这些标准将为促进我国实行信息安全等级保护制度和信息安全产品的测评提供必要的基础支撑和依据。

　　2．网络信任体系建设方面

　　针对我国网络信任体系建设，配合《电子签名法》的有效实施，信安标委重点组织开展了《PKI安全协议规范研究》、《网络安全协议及协议安全研究》等重点研究项目，并研究制定了如下标准：

　　GB／T 19713—2005《信息技术安全技术公钥基础设施在线证书状态协洲；
　GB／T 19714—2005《信息技术安全技术公钥基础设施证书管理协洲；
　GB／T 15843．5—2005《信息技术安全技术实体鉴别第5部分：使用零知识技术的机制》；
　GB／T 17902．2—2005《信息技术安全技术带附录的数字签名第2部分：基于身份的机制》；
　GB／T 17902．3—2005《信息技术安全技术带附录的数字签名第3部分：基于证书的机制》；
　GB／Z 19717—2005《基于多用途互联网邮件扩展(MIME)的安全报文交换》；
　GB／T 1977l—2005《信息技术安全技术公钥基础设施 PKI组件最小互操作规范》：
　GB／T 16264．8—2005《信息技术开放系统互连目录第8部分：公钥和属性证书框架》；
　GB／T 20518—2006《信息技术安全技术公钥基础设施数字证书格式》；
　GB／T 20519—2006《信息技术安全技术公钥基础设施特定权限管理中心技术规范》；
　GB／T 20520—2006《信息技术安全技术公钥基础设施时间戳规范》。

　　目前正在报批的标准有：《信息技术安全技术公钥基础设施安全支撑平台技术框架》、《信息技术安全技术公钥基础设施证书策略与认证业务声明框架》、《信息技术安全技术公钥基础设施CA认证机构建设和运营管理规范》、《证书载体应用程序接口》、《CA密码设备应用程序接口》、《信息技术安全技术公钥基础设施PKI应用支撑平台》、《分组算法应用接口规范》、《PCI密码卡技术规范》、《杂凑算法应用接口规范》、《ECC算法应用接口规范》、《证书认证系统密码及相关安全技术规范》、《简明在线证书状态协议SOCSP>>、《电子签名卡应用接口规范》、《X509证书应用接口规范》及《XML数字签名语法与处理规范》等“鉴别与授权”和密码应用标准。这些研究成果为我国网络信任体系建设奠定了重要的技术基础。

　　3．信息安全应急处理方面

　　针对信息安全应急处理工作，信安标委组织开展了《信息安全通报技术规范研究》、《网络与信息安全事件应急处理研究》和《信息安全应急协调预案规范》等重点研究项目，研究制定惦息安全事件管理》、《信息安全事件分类指南》和《信息系统灾难恢复指南》等标准草案。这些成果为信息安全应急处理提供了重要的技术支撑。

　　4．信息安全风险评估方面

　　围绕信息安全风险评估工作，信安标委积极开展信息安全风险评估研究。在广泛调研和深入研究的基础上，结合我国国情，借鉴国际标准化成果，提出了《信息安全风险评估指南》标准草案。2005年年初，在国信办的组织协调下，在北京市、上海市、黑龙江省、云南省、人民银行、国家税务总局、国家电力、国家电子政务外网8个试点单位，开展了《信息安全风险评估指南》的试点研究工作。通过总结《信息安全风险评估指南》试用的经验，进一步修改完善标准草案，增强标准的科学性和实用性。

　　5．信息安全管理体系方面

　　为促进我国信息安全管理体系的建立和完善，信安标委组织开展了信息安全管理相关国家标准的研制工作，并持续跟踪研究了国际信息安全管理体系(ISMS)系列标准(ISO／IEC 27000系列)技术发展动态，有选择性地对国内信息安全管理体系认证现状进行了调研工作，并对27000系列中的两个重要的基础标准ISO／IEC 2700l：2005《信息安全管理体系要求》和IS0／IEC 17799：2005《信息安全管理实用规则》进行了等同汉化工作，同时组织研究制定了GB／T19715．1-2005《信息技术信息技术安全管理指南第l部分： 信息技术安全概念和模型》、GB／T19715．2—2005《信息技术信息技术安全管理指南第2部分： 管理和规划信息技术安全》、GB／T20282—2006《信息安全等级保护 工程管理要求》。这些工作为下一步研究制定适合我国国情的信息安全管理标准体系奠定了基础。

　　总之，信息安全标准化工作是关系到我国信息安全产业发展的一项重要事业，信息安全标委会将竭诚欢迎国内企事业单位、科研院所和高等院校积极参与各工作组的各项活动，共同促进我国信息安全产业的发
展。
杜宁　吴志明