國際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化研究

上官曉麗 王 姣,2

1(中國電子技術(shù)標(biāo)準(zhǔn)化研究院 北京 100007)2 (桂林電子科技大學(xué) 廣西桂林 541004)

?

國際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化研究

上官曉麗1王 姣1,2

1(中國電子技術(shù)標(biāo)準(zhǔn)化研究院 北京 100007)2(桂林電子科技大學(xué) 廣西桂林 541004)

(shanggxl@cesi.cn)

隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)新應(yīng)用的發(fā)展，越來越多的國家都在紛紛發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略，出臺一系列相關(guān)政策，網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)化工作變得至關(guān)重要.簡要分析了美歐一些發(fā)達(dá)國家的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)戰(zhàn)略情況，系統(tǒng)介紹了幾個重要的國際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化組織，最后給出了對中國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化后續(xù)工作的建議.

網(wǎng)絡(luò)安全；標(biāo)準(zhǔn)；國際；組織；戰(zhàn)略；組織結(jié)構(gòu)

網(wǎng)絡(luò)安全與國家安全密切相關(guān)，對國家利益和產(chǎn)業(yè)發(fā)展起著重要的保障作用，網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作對于解決網(wǎng)絡(luò)與信息安全問題具有重要的技術(shù)支撐作用.在互聯(lián)網(wǎng)飛速發(fā)展的今天，必須積極推動網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作，只有解決好安全問題才能在信息時代全球化競爭中掌握主動權(quán)[1].

目前，從事網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的國際或區(qū)域性組織比較多.在國際上影響力比較大的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化組織主要包括國際標(biāo)準(zhǔn)化組織ISO、國際電工委員會IEC、國際電信聯(lián)盟ITU等國際性組織，歐洲的ECMA，美國的ANSI/NIST，IETF，IEEE等區(qū)域性或行業(yè)性組織.這些組織都在研究和制定網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)，各自制定了許多重要的、有影響力的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，形成了一套較為完整的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系[2].

1 歐美國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)戰(zhàn)略情況

1.1 歐盟組織(超國家層面)

歐盟是[3]以超國家的身份，在介入網(wǎng)絡(luò)安全管理領(lǐng)域之后制定了一系列戰(zhàn)略規(guī)劃與政策措施，作為硬性手段監(jiān)管互聯(lián)網(wǎng)，為各成員國互聯(lián)網(wǎng)管理實(shí)踐提供行動指南.近幾年，歐洲從多個方面加強(qiáng)信息安全建設(shè)，重視信息網(wǎng)絡(luò)技術(shù)的開發(fā)和應(yīng)用，改善網(wǎng)絡(luò)防護(hù)措施.2015年1月12日，歐洲網(wǎng)絡(luò)與信息安全局發(fā)布了一份名為“隱私和數(shù)據(jù)保護(hù)的設(shè)計——從政策到工程”的前沿報告，旨在彌補(bǔ)法律框架和現(xiàn)有技術(shù)實(shí)施措施間的缺口；2015年12月15日,歐盟執(zhí)委會通過了《一般數(shù)據(jù)保護(hù)條例》，以歐盟法規(guī)的形式確定了對個人數(shù)據(jù)的保護(hù)原則和監(jiān)管方式；2016年2月29日，歐盟委員會發(fā)布?xì)W美《隱私盾協(xié)議》法律文本，此文本的出臺在全球引發(fā)新一輪跨境數(shù)據(jù)規(guī)制熱潮.

1.2 美國

美國一直將網(wǎng)絡(luò)威脅視為最嚴(yán)峻的國家安全挑戰(zhàn)之一，并采取多種措施加強(qiáng)網(wǎng)絡(luò)能力建設(shè)，強(qiáng)化網(wǎng)絡(luò)防御體系.2011年，美國國防部出臺“網(wǎng)絡(luò)空間行動戰(zhàn)略”；2012年，美國“國家網(wǎng)絡(luò)靶場”正式交付軍方；2013年，網(wǎng)絡(luò)空間司令部由900人擴(kuò)編至4 900人，宣布3年內(nèi)擴(kuò)建40支網(wǎng)絡(luò)戰(zhàn)部隊；2014年，提出將網(wǎng)絡(luò)戰(zhàn)部隊追加擴(kuò)編至133支；2015年，奧巴馬簽署行政命令，授權(quán)相關(guān)機(jī)構(gòu)對攻擊美國網(wǎng)絡(luò)系統(tǒng)的海外黑客實(shí)施制裁[4]；2015年2月6日，美國白宮發(fā)布《美國2015年國家安全戰(zhàn)略》；2016年2月9日，奧巴馬公布《網(wǎng)絡(luò)空間安全國家行動計劃》.

1.3 英國

面對日益嚴(yán)峻的網(wǎng)絡(luò)安全，英國也采取了一系列的措施.英國政府于2011年啟動了為期5年的“國家網(wǎng)絡(luò)安全計劃”；2014年3月31日，英國政府成立國家計算機(jī)應(yīng)急響應(yīng)小組，負(fù)責(zé)協(xié)調(diào)應(yīng)對計算機(jī)網(wǎng)絡(luò)攻擊事件，協(xié)助國家網(wǎng)絡(luò)安全防御工作；2015年2月，英國政府推出“精明上網(wǎng)”活動，旨在為發(fā)展數(shù)字經(jīng)濟(jì)增加安全保障；2015年4月， 4個研究團(tuán)隊共享250萬英鎊(約2 463萬元人民幣)政府基金，用于應(yīng)對因日益增加的黑客攻擊而引發(fā)關(guān)注的工業(yè)控制系統(tǒng)的安全問題，為供應(yīng)商頒布新的網(wǎng)絡(luò)安全標(biāo)準(zhǔn).

1.4 俄羅斯

隨著網(wǎng)絡(luò)安全威脅日益常態(tài)化、復(fù)雜化和高級化，俄羅斯不斷加快網(wǎng)絡(luò)空間軍事力量建設(shè). 2014年7月，俄羅斯議會通過了一項新的涉互聯(lián)網(wǎng)法案，要求所有收集俄羅斯公民信息的互聯(lián)網(wǎng)公司都應(yīng)當(dāng)將數(shù)據(jù)存儲在俄羅斯國內(nèi)，此項法案將于2016年9月1日生效，該法案被視為俄羅斯近期加強(qiáng)互聯(lián)網(wǎng)監(jiān)管的系列法案之一，目的是為保障國家信息安全.

2 國際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化組織

2.1 ISO/IEC JTC1 SC27

ISO/IEC JTC1是國際標(biāo)準(zhǔn)化組織(ISO)和國際電工委員會(IEC)成立的專門從事信息技術(shù)(IT)領(lǐng)域標(biāo)準(zhǔn)化的聯(lián)合技術(shù)委員會[5].成立于1987年，下設(shè)有19個分技術(shù)委員會(SC).其中，SC27(IT安全技術(shù))是ISO/IEC JTC1中專門從事IT安全一般方法和技術(shù)標(biāo)準(zhǔn)化工作的分技術(shù)委員會[6]，成立于1990年，秘書處設(shè)在德國(DIN)，主席為Walter Fumy(任期至2016年).SC27是國際公認(rèn)的信息安全專業(yè)知識中心，服務(wù)于眾多企業(yè)和政府部門的需求.SC27的工作直接面向企業(yè)、政府和消費(fèi)者對信息安全標(biāo)準(zhǔn)的需求,涵蓋信息安全領(lǐng)域的管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn).截至2016年1月，SC27有51個P成員國，19個O成員國，60多個聯(lián)絡(luò)成員，覆蓋了政府機(jī)構(gòu)、金融行業(yè)、電信行業(yè)、醫(yī)療保健行業(yè)等.

2.1.1 SC27組織結(jié)構(gòu)

SC27的下設(shè)組織包括5個工作組(WG)和2個特別工作組(SWG)，分別是:信息安全管理體系工作組(WG1)、安全技術(shù)與機(jī)制工作組(WG2)、安全評估工作組(WG3)、安全控制與服務(wù)工作組(WG4)和身份管理與隱私保護(hù)工作組(WG5)5個工作組，以及管理特別工作組(SWG-M)和橫向項目特別工作組(SWG-T)，每個工作組都有一名召集人和/或聯(lián)合召集人，管理本工作組的日常工作.

WG1為信息安全管理體系(information security management systems, ISMS)工作組，負(fù)責(zé)ISMS標(biāo)準(zhǔn)族的開發(fā)和維護(hù)；WG2為密碼學(xué)與安全機(jī)制工作組，負(fù)責(zé)密碼和非密碼的技術(shù)與機(jī)制標(biāo)準(zhǔn)的開發(fā)和維護(hù)；WG3為安全評價準(zhǔn)則工作組，負(fù)責(zé)IT系統(tǒng)、組件和產(chǎn)品的安全評價與認(rèn)證標(biāo)準(zhǔn)的開發(fā)和維護(hù)；WG4為安全控制與服務(wù)，負(fù)責(zé)支持實(shí)現(xiàn)ISO/IEC 27001中所定義控制目標(biāo)和控制措施的服務(wù)與應(yīng)用標(biāo)準(zhǔn)的開發(fā)和維護(hù)；WG5為身份管理與隱私保護(hù)技術(shù)工作組，負(fù)責(zé)身份管理、生物特征鑒別和個人數(shù)據(jù)保護(hù)等標(biāo)準(zhǔn)的開發(fā)和維護(hù).特別工作組SWG-M和SWG-T研究SC27工作做法與機(jī)制改進(jìn)相關(guān)問題，主要從改進(jìn)SC27工作效率、協(xié)調(diào)推進(jìn)跨工作組標(biāo)準(zhǔn)研究與制定、宣傳并促進(jìn)SC27標(biāo)準(zhǔn)的認(rèn)知度等方面開展相關(guān)工作，其主要目的是評審、監(jiān)視和改進(jìn)內(nèi)部運(yùn)行和管理機(jī)制.

2.1.2 SC27發(fā)布的文件

截至目前為止，SC27正式頒布的標(biāo)準(zhǔn)有148項，制定、修訂項目77項，總數(shù)為225項.SC27各工作組發(fā)布標(biāo)準(zhǔn)數(shù)如圖1所示:

圖1 SC27各工作組標(biāo)準(zhǔn)研制情況

WG1是所有有關(guān)信息安全管理體系(ISMS)標(biāo)準(zhǔn)化問題的國際專業(yè)知識中心，其范圍涵蓋ISMS標(biāo)準(zhǔn)和指南的制定，包括：制定和維護(hù)ISO/IEC 27000 ISMS標(biāo)準(zhǔn)族;識別未來ISMS標(biāo)準(zhǔn)和指南的需求;與SC27內(nèi)其他工作組合作，特別是與WG4和WG5在有關(guān)實(shí)現(xiàn)ISO/IEC 27001和ISO/IEC 27002定義的控制目標(biāo)和控制方面的合作；持續(xù)維護(hù)WG1常設(shè)文件，包括SD1(WG1路線圖)、SD2(關(guān)于定義的規(guī)則和原則)和SD5(ISMS文件結(jié)構(gòu))；與從事ISMS特定要求的那些組織和委員會進(jìn)行聯(lián)絡(luò)和合作.

WG2是JTC1中IT安全技術(shù)和機(jī)制標(biāo)準(zhǔn)化的專業(yè)知識中心，范圍包括：識別IT系統(tǒng)和應(yīng)用中對這些技術(shù)和機(jī)制的需求和要求；用于安全服務(wù)的這些技術(shù)和機(jī)制的術(shù)語、一般模型和標(biāo)準(zhǔn)的編制；持續(xù)維護(hù)WG2的常設(shè)文件SD1(WG2路線圖).

WG3范圍涵蓋安全工程相關(guān)方面，著重于(但不限于)IT系統(tǒng)、組件和產(chǎn)品的IT安全規(guī)范、評價、測試和認(rèn)證方面的標(biāo)準(zhǔn).涉及計算機(jī)網(wǎng)絡(luò)、分布式系統(tǒng)、相關(guān)聯(lián)的應(yīng)用服務(wù)、生物特征識別技術(shù).具體包括：安全評價準(zhǔn)則；準(zhǔn)則應(yīng)用方法學(xué)； IT系統(tǒng)、組件和產(chǎn)品的安全功能規(guī)范和保障規(guī)范；確定安全功能和保障符合性的測試方法；測試、評價、認(rèn)證和認(rèn)可計劃的管理規(guī)程；持續(xù)維護(hù)WG3常設(shè)文件SD1(WG3路線圖).

WG4范圍涵蓋服務(wù)和應(yīng)用方面標(biāo)準(zhǔn)和指南的制定和維護(hù)，這些服務(wù)和應(yīng)用為ISO/IEC 27001中定義的控制目標(biāo)和控制措施的實(shí)現(xiàn)提供支持.具體包括： IT網(wǎng)絡(luò)安全；應(yīng)用安全；網(wǎng)際安全；信息安全事件管理；災(zāi)難恢復(fù)服務(wù)；入侵檢測和防御系統(tǒng)(IDPS)；可信第三方服務(wù)；業(yè)務(wù)持續(xù)性的ICT就緒；外包安全性；持續(xù)維護(hù)WG4常設(shè)文件SD1(WG4路線圖)；與SC27的其他工作組合作，尤其是致力于ISMS標(biāo)準(zhǔn)和指南的WG1；與從事服務(wù)和應(yīng)用特定要求和指南的那些組織和委員會進(jìn)行聯(lián)絡(luò)和合作.

WG5范圍涵蓋身份管理、生物特征識別技術(shù)和個人信息保護(hù)的安全性方面標(biāo)準(zhǔn)和指南的制定和維護(hù).具體包括：這些領(lǐng)域中未來標(biāo)準(zhǔn)和指南的需求識別和制定；持續(xù)維護(hù)WG5常設(shè)文件SD1(WG5路線圖)和SD2(隱私保護(hù)參考文獻(xiàn)列表)；與SC27的其他工作組合作，例如，管理方面的WG1、特定加密技術(shù)方面的WG2和評價方面的WG3；與從事此領(lǐng)域中服務(wù)和應(yīng)用特定要求和指南的那些組織和委員會進(jìn)行聯(lián)絡(luò)和合作.

對于云計算、大數(shù)據(jù)等一些具有廣泛應(yīng)用前景的新領(lǐng)域，SC27也發(fā)布了如下一些相關(guān)標(biāo)準(zhǔn)：

1) ISO/IEC 27017|ITU-TX.1631 基于ISO/IEC27002的云服務(wù)信息安全控制實(shí)踐指南(WG1);

2) ISO/IEC 27036-4 供應(yīng)商關(guān)系信息安全 第4部分：云服務(wù)安全(WG4);

3) ISO/IEC 19086-4 云計算服務(wù)等級協(xié)議框架 第4部分：安全和隱私(WG4);

4) ISO/IEC 27018 個人可識別信息(PII)處理者在公共云中保護(hù)PII的實(shí)踐指南(WG5).

2.2 美國國家信息和技術(shù)研究所(NIST)

美國國家信息和技術(shù)研究所(NIST)隸屬美國商務(wù)部，負(fù)責(zé)制定全面的技術(shù)、物理及行政管理標(biāo)準(zhǔn)，是美國最具影響的標(biāo)準(zhǔn)化機(jī)構(gòu)之一.NIST下屬的計算機(jī)安全部(CSD)具體負(fù)責(zé)為聯(lián)邦政府制定信息安全標(biāo)準(zhǔn).2002年，美國政府在《聯(lián)邦信息安全管理法案》(FISMA)以及《電子政府法案》中再次重申了NIST通過信息安全標(biāo)準(zhǔn)而對聯(lián)邦政府信息安全的促進(jìn)作用.

2.2.1 NIST組織架構(gòu)

NIST最高領(lǐng)導(dǎo)層由院長、副院長和信息最高執(zhí)行官3人組成.下設(shè)與信息技術(shù)有關(guān)的單位：Boulder實(shí)驗室、技術(shù)服務(wù)部、技術(shù)研發(fā)部、電子與電工實(shí)驗室、信息技術(shù)實(shí)驗室.其他部門和實(shí)驗室還有：Baldrige國家質(zhì)量項目部、管理和財務(wù)部、生產(chǎn)發(fā)展合作部、生產(chǎn)工程實(shí)驗室、化學(xué)科學(xué)技術(shù)實(shí)驗室、材料科學(xué)工程實(shí)驗室、物理實(shí)驗室、建筑與防火研究室.

2.2.2 NIST標(biāo)準(zhǔn)類型

目前，NIST信息安全文件已經(jīng)超過了400份，包括聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)、特別出版物(SP)系列、NIST內(nèi)部/機(jī)構(gòu)間報告(NISTIR)以及信息技術(shù)實(shí)驗室(ITL)計算機(jī)安全公告等.這些文件通常是按出版物類型和文件號排列，ITL計算機(jī)安全公告按月和年進(jìn)行排列.截至2015年12月31日，NIST共發(fā)布9份聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)、195份特別出版物(SP)、137份NIST內(nèi)部/機(jī)構(gòu)間報告(NISTIR)、107份ITL公告.僅在2015年NIST就發(fā)布了2份FIPS、27份SP、22份NISTIR、12份ITL公告.

聯(lián)邦信息處理標(biāo)準(zhǔn)(Federal Information Processing Standards, FIPS)用于可以滿足聯(lián)邦政府強(qiáng)制性要求的標(biāo)準(zhǔn)和方案，主要服務(wù)于聯(lián)邦信息安全管理法案(FISMA).特殊出版物SP系列報告了信息系統(tǒng)安全領(lǐng)域內(nèi)信息技術(shù)實(shí)驗室(ITL)的研究、指南和推廣，及其與工業(yè)、政府和學(xué)術(shù)組織的合作活動，包括SP800系列、SP500系列、SP1800系列和SP1500系列.SP1800系列是2015年新推出的，用來補(bǔ)充SP800系列，主要是有關(guān)網(wǎng)絡(luò)空間安全的實(shí)踐指南，目前已發(fā)布了SP1800-1,SP1800-2,SP1800-3,SP1800-4,SP1800-5共5項標(biāo)準(zhǔn)草案.SP1500系列主要關(guān)注大數(shù)據(jù)標(biāo)準(zhǔn)，目前已經(jīng)有一個包含7部分的大數(shù)據(jù)互操作性框架系列標(biāo)準(zhǔn).NIST機(jī)構(gòu)間報告系列(The NIST Interagency Report Series)是支持聯(lián)邦信息安全管理的指南和重要參考資料，既有暫時性的項目成果，也有NIST所承擔(dān)的外部研究工作的階段性的或最終的工作報告.ITL Bulletins由信息技術(shù)實(shí)驗室(ITL)發(fā)布，是NIST的不定期出版物，是一種專刊.

2.2.3 NIST標(biāo)準(zhǔn)文件分類

為便于用戶檢索，NIST編制了《NIST安全文件指南》，亦稱“路線圖”，2年更新一次，該指南將NIST發(fā)布的信息安全文件分為三大類：

1) 主題集群(by Topic/Project)；

2) 安全控制族(by Security Control Family)；

3) 法律法規(guī)要求(by Legal Requirement).

截至2016年3月31日，三大類的具體主題劃分及所含文件數(shù)如表1～3所示：

表1 NIST標(biāo)準(zhǔn)文件分類(1 主題集群)

續(xù)表1

表2 NIST標(biāo)準(zhǔn)文件分類(2 安全控制族)

表3 NIST標(biāo)準(zhǔn)文件分類(3 法律法規(guī))

2.3 ENISA(歐洲網(wǎng)絡(luò)信息安全局)

ENISA(European Network and Information Security Agency)是歐洲網(wǎng)絡(luò)信息安全局的英文縮寫.它隸屬于歐洲聯(lián)盟(European Union)，根據(jù)2004年3月10日通過的歐洲議會和理事會條例《關(guān)于建立歐洲網(wǎng)絡(luò)和信息安全機(jī)構(gòu)的規(guī)則》((EC) No 460/2004)建立，其業(yè)務(wù)始于2005年9月1日.但是，由于歐盟眾多成員國的利益需要隨時協(xié)調(diào)，ENISA的設(shè)立并非終生授權(quán)，而是每隔4～5年依據(jù)歐盟新條例決定是否延續(xù).

歐洲議會和理事會于2008年9月24日依據(jù)條例 (EC) No 1007/2008，決定將ENISA任務(wù)延長到2012年；2011年6月8日歐洲議會和理事會通過了歐洲議會和理事會條例(EC) No 460/2004的修訂，再次將ENISA的任務(wù)期限延長至2013年9月13日；2013年5月21日，歐洲議會和理事會通過了歐洲議會和理事會條例(EC) No 526/2013，再次將ENISA的任務(wù)期限延長至2020年.

2.3.1 ENISA組織結(jié)構(gòu)

ENISA作為工作實(shí)體，其總部地址設(shè)在希臘雅典的伊拉克利翁.2004—2009年執(zhí)行主任為安德烈皮羅蒂先生(意大利馬可尼通信的前總裁)，從2009年10月至今的執(zhí)行主任為赫姆布雷特博士(德國的聯(lián)邦政府機(jī)關(guān)的信息安全前主席).

為了適應(yīng)歐盟相關(guān)法規(guī)的要求，有效實(shí)施歐盟賦予的任務(wù)，ENISA形成了如下組織結(jié)構(gòu)，如圖2所示.

2.3.2 ENISA發(fā)布的文件

ENISA組織各國網(wǎng)絡(luò)與信息安全專家研究和編寫了大量指南性質(zhì)的技術(shù)出版物.根據(jù)ENISA網(wǎng)站發(fā)布的信息，截至2016年4月6日，ENISA成立11年來先后發(fā)布了55類(由于有的成果涉及多個專題，有的文本以多國語言發(fā)表，實(shí)際的出版物沒有這么多)有關(guān)網(wǎng)絡(luò)與信息安全的專題文件,如表4所示.

2.4 互聯(lián)網(wǎng)工程任務(wù)組(IETF)

互聯(lián)網(wǎng)工程任務(wù)組(IETF)始創(chuàng)于1986年，其主要任務(wù)是負(fù)責(zé)互聯(lián)網(wǎng)相關(guān)技術(shù)標(biāo)準(zhǔn)的研發(fā)和制定.目前，IETF已成為全球互聯(lián)網(wǎng)界最具權(quán)威的大型技術(shù)研究組織.IETF體系結(jié)構(gòu)分為3類:1)互聯(lián)網(wǎng)架構(gòu)委員會(IAB);2)互聯(lián)網(wǎng)工程指導(dǎo)委員會(IESG);3)涉及8個領(lǐng)域的工作組(workinggroup).IETF標(biāo)準(zhǔn)制定的具體工作由各個工作組承擔(dān)，IETF共包括8個研究領(lǐng)域，分別為：應(yīng)用研究領(lǐng)域(20個工作組)、通用研究領(lǐng)域(5個工作組)、網(wǎng)際互聯(lián)研究領(lǐng)域(21個工作組)、操作與管理研究領(lǐng)域(24個工作組)、路由研究領(lǐng)域(14個工作組)、安全研究領(lǐng)域(21個工作組)、傳輸研究領(lǐng)域(1個工作組)和臨時研究領(lǐng)域(27個工作組).

圖2 ENISA組織結(jié)構(gòu)

序號類型數(shù)量序號類型數(shù)量1CERT6429高可用性和冗余系統(tǒng)32隱私與保密2930風(fēng)險管理:事件報告33CERT新聞2531安全應(yīng)用程序∕服務(wù)34恢復(fù)能力2532網(wǎng)際攻擊35身份及可信2133抗災(zāi)能力上的公私伙伴關(guān)系36網(wǎng)絡(luò)空間安全1734未來互聯(lián)網(wǎng)37關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)1435e-技能28學(xué)術(shù)研究:關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)1436經(jīng)紀(jì)人業(yè)務(wù)(Brokerage)29合作1237通信網(wǎng)絡(luò)210風(fēng)險評估1138青年在線211良好實(shí)踐1039度量212網(wǎng)絡(luò)與信息安全意識1040受信任的信息共享213eID1041部門的相互依存關(guān)系214風(fēng)險管理942事件響應(yīng)215云計算安全943事件報告116案例研究844利益相關(guān)者關(guān)系117新興和未來風(fēng)險845認(rèn)證和認(rèn)可118最終用戶的信息安全846電子ID119風(fēng)險意識747ENISA120數(shù)據(jù)安全748ENISA事件121風(fēng)險評估649企業(yè)∕IT專業(yè)人員122信息共享650計算機(jī)緊急響應(yīng)小組123SME安全551移動設(shè)備安全124立場文件452在線身份驗證125指引(How-To)453公共部門126網(wǎng)絡(luò)空間安全演習(xí)454風(fēng)險緩解措施127恢復(fù)技術(shù)355安全策略128培訓(xùn)3

其中，安全領(lǐng)域主要負(fù)責(zé)研究IP網(wǎng)絡(luò)中的授權(quán)、認(rèn)證、審計等與私密性保護(hù)有關(guān)的協(xié)議與標(biāo)準(zhǔn).隨著互聯(lián)網(wǎng)的安全性越來越受到人們的重視，這個領(lǐng)域也成為IETF中最為活躍的研究領(lǐng)域之一.

2.5 國際電氣電工工程師協(xié)會(IEEE)

美國電氣和電子工程師協(xié)會(IEEE)是一個國際性的電子技術(shù)與信息科學(xué)工程師的協(xié)會，是世界上最大的專業(yè)技術(shù)組織之一.IEEE被國際標(biāo)準(zhǔn)化組織授權(quán)為可以指定標(biāo)準(zhǔn)的組織，設(shè)有專門的標(biāo)準(zhǔn)工作委員會，有30000義務(wù)工作者參與標(biāo)準(zhǔn)的研究和制定工作，每年制定和修訂800多個技術(shù)標(biāo)準(zhǔn).IEEE的標(biāo)準(zhǔn)制定內(nèi)容有：電氣與電子設(shè)備、實(shí)驗方法、原器件、符號、定義以及測試方法等.國際電氣電工工程師協(xié)會(IEEE)提出LAN/WAN安全方面的標(biāo)準(zhǔn)(SILS)和公鑰密碼標(biāo)準(zhǔn)(P1363),成立了 802.11“無線局域網(wǎng)工作組”、802.15“無線個人網(wǎng)絡(luò)工作組”、802.16“無線寬帶網(wǎng)絡(luò)工作組”和802.20“移動寬帶無線接入工作組”等.IEEE在網(wǎng)絡(luò)與信息安全方面的主要貢獻(xiàn)是無線通信安全.

3 對中國的啟示

隨著全球網(wǎng)絡(luò)化程度的日益提高，網(wǎng)絡(luò)安全已經(jīng)成為事關(guān)經(jīng)濟(jì)發(fā)展、社會穩(wěn)定和國家安全的重中之重[7].隨著物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等新技術(shù)新應(yīng)用的發(fā)展，數(shù)據(jù)跨境流動、用戶信息保護(hù)等安全問題在不斷凸顯，我們應(yīng)與時俱進(jìn)，加緊制定相關(guān)領(lǐng)域的安全標(biāo)準(zhǔn).此外，積極參與國際標(biāo)準(zhǔn)化活動，努力汲取國際國外標(biāo)準(zhǔn)化的優(yōu)秀成果，又要根據(jù)國情自主創(chuàng)新，積極將自主制定的、有分量的國家標(biāo)準(zhǔn)，提升為國際標(biāo)準(zhǔn).最后，要加強(qiáng)標(biāo)準(zhǔn)化頂層設(shè)計，完善我國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系，將眾多網(wǎng)絡(luò)安全標(biāo)準(zhǔn)在此體系下協(xié)調(diào)一致，充分發(fā)揮網(wǎng)絡(luò)安全標(biāo)準(zhǔn)系統(tǒng)的作用.

[1]李曉玉. 國內(nèi)外信息安全標(biāo)準(zhǔn)研究現(xiàn)狀綜述[C] //池州, 安徽: 中國標(biāo)準(zhǔn)化論壇, 2013: 167-171

[2]姚相振, 周睿康, 范科峰. 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系研究[J]. 信息安全與通信保密, 2015 (7): 53-56

[3]葉蕾, 王玉蓉. 2013年國際網(wǎng)絡(luò)空間安全建設(shè)動態(tài)綜述[J]. 信息安全與通信保密, 2014 (1): 42-49

[4]劉希慧. 奧巴馬政府的網(wǎng)絡(luò)安全戰(zhàn)略研究[D]. 長沙: 湖南師范大學(xué), 2014

[5]岳芳. 網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)與組織[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2004 (5): 74-75

[6]昊天. 國際標(biāo)準(zhǔn)化組織有關(guān)信息安全標(biāo)準(zhǔn)的活動[J]. 信息網(wǎng)絡(luò)安全, 2005 (3): 35-36

[7]蔣麗, 張小蘭, 徐飛彪. 國際網(wǎng)絡(luò)安全合作的困境與出路[J]. 現(xiàn)代國際關(guān)系, 2013 (9): 52-58

上官曉麗

碩士，高級工程師，主要研究方向為信息安全標(biāo)準(zhǔn).

shanggxl@cesi.cn

王 姣

碩士研究生，主要研究方向為信息安全.

wangjiao@cesi.cn

The Research on International Cyber Security Standards

Shangguan Xiaoli1and Wang Jiao1,2

1(ChinaElectronicsStandardizationInstitute,Beijing100007)2(GuilinUniversityofElectronicTechnology,Guilin,Guangxi541004)

With the development of new technologies and applications, such as cloud computing, big data and the internet of things, more and more countries issue cyber security strategies and a series of related policies. The standardization of cyber security became more crucial. In this paper, we briefly analysis some cyber security strategies in developed countries and then introduce several important international and foreign standardization organizations about cyber security. Finally, we give some advice for next work about cyber security standards in China.

cyber security; standards; international; organization; strategy; organizational structure

2016-04-21

2015年全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會研究項目

TP393.0