國家信息安全標準化概述

許玉娜 王 姣,2

1(中國電子技術標準化研究院 北京 100007)2 (桂林電子科技大學 廣西桂林 541004)

?

國家信息安全標準化概述

許玉娜1王 姣1,2

1(中國電子技術標準化研究院 北京 100007)2(桂林電子科技大學 廣西桂林 541004)

(xuyuna@cesi.cn)

系統介紹了我國信息安全標準的發展歷程，結合我國初步形成的信息安全標準體系框架，分析了現有國家信息安全標準的總體情況.隨著新技術新應用的不斷涌現，面臨當前網絡安全發展的新格局、新態勢，最后給出了后續標準化工作的建議.

信息安全；標準；發展；體系；框架

信息安全標準[1]是國家網絡安全保障體系建設的技術支撐，是維護國家利益和保障國家安全的一種重要工具.信息安全標準的研究與制定為國家主管部門管理網絡安全提供了有效的技術依據，對保證我國國民經濟和社會管理等領域中的網絡安全具有非常重要的意義，引起了政府部門和產業界的高度關注[2].網絡安全不僅關系到國家安全，也是保護國家利益、促進產業發展的一種重要手段，在互聯網飛速發展的今天，只有做好安全問題，積極推動信息安全標準化工作，才能在信息時代全球化競爭中掌握主動權.

1 我國信息安全標準發展歷程

我國信息安全標準化工作最早可追溯到20世紀80年代.回顧我國30多年的信息安全標準化發展經歷，可以簡單分為2個階段:第1個階段是從最開始到2002年，這期間信息安全還沒有引起人們的高度重視，標準化工作都是由各部門和行業根據行業業務需求分別制定，沒有統籌規劃和統一管理，各部門相互之間缺少溝通和交流;第2個階段是2002年以后，我國成立了全國信息安全標準化技術委員會，全面規劃和管理我國信息安全國家標準.

早在1984年7月，我國就組建了數據加密標準化技術委員會，并于1985年發布了第1個有關信息安全方面的標準.1997年8月，數據加密標準化技術委員會改組成全國信息技術標準化技術委員會信息技術安全分技術委員會，負責制定信息安全的國家標準.本著積極采用國際標準的原則，轉化了一批國際信息安全基礎技術標準,為我國信息安全標準化工作奠定了初步基礎. 在其推動下，公安部、安全部、國家保密局、國家密碼管理委員會(現國家密碼管理局)和軍隊有關部門等參與下，制定了一批信息安全的國家或行業標準，為推動我國信息安全技術在各行業的應用和普及發揮了積極作用.其標準系列編號主要有：GB,GB/T,GJB,BMB,GA,YD等.

2002年4月，國家標準化管理委員會發文，在全國信息技術標準化技術委員會信息技術安全分技術委員會的基礎上，成立了全國信息安全標準化技術委員會(簡稱“信安標委”，委員會編號為TC260)，并于2004年1月發文，明確“自2004年1月起，各有關部門在申報信息安全國家標準計劃項目時，必須經信息安全標委會提出工作意見，協調一致后由信息安全標委會組織申報；在國家標準制定過程中，標準工作組或主要起草單位要與信息安全標委會積極合作，并由信息安全標委會完成國家標準送審、報批工作”(國標委高新函[2004]1號文).

信安標委的成立標志著我國信息安全標準化工作進入“統籌規劃，協調發展”的新時期.信安標委作為國標委直屬委員會，負責全國信息安全技術、安全機制、安全管理、安全評估等領域的標準化工作，統一、協調申報信息安全國家標準項目，組織國家標準的送審、報批工作，向國家標準化管理委員會提出信息安全標準化工作的方針、政策和技術措施等建議.信安標委于2015年完成換屆工作，第2屆委員會現有來自多個部門和單位的81名委員，下設7個工作組和1個大數據安全標準特別工作組，分別由國內相關部門、研究所、企業事業及高等院校等代表組成，共有工作組成員單位100余家.信安標委組織結構如圖1所示：

圖1 信安標委組織結構圖

自信安標委成立以來，在國家標準化管理委員會的領導下，在相關部門的大力支持下，堅持以制定國家信息安全保障體系建設急需的、關鍵的標準為重點，采用國際標準與自主研制并重的工作思路，有計劃、有步驟地開展國家信息安全標準研究和制修訂工作，截至2016年3月，正式發布的國家標準數為165項，正在制定的國家標準數為210項.

信安標委組織制定的這些國家標準基本形成了我國信息安全標準體系，為我國網絡安全保障體系建設提供了強有力支持，重點體現在信息安全系統安全等級保護、信息安全產品認證、信息安全風險評估、重點信息系統災難恢復、《電子簽名法》的順利實施等領域.

2 我國信息安全標準體系框架

信安標委成立以后就開始著手研究我國國家的信息安全標準體系[3]，用于指導信息安全標準制定和信息安全標準實施.信息安全標準體系[4]是由信息安全領域內具有內在聯系的標準組成的科學有機整體；是編制信息安全標準制定、修訂計劃的重要依據；是促進信息安全領域內的標準組成趨向科學合理化的手段；是一幅現有、應有和預計制定信息安全標準的藍圖，并隨著科學技術的發展不斷地完善和更新.該標準體系是在總結各工作組對本領域標準體系研究成果的基礎上形成的，力求既能體現信息安全標準化技術委員會的工作特點，又能反映國際標準成果；既能反映標準體系的共性，又能體現信息安全標準化的特征.

經過多年的研究，通過對我國現有信息安全標準的歸類和整理，同時在跟蹤分析了國際信息安全標準的發展動態和國內信息安全標準需求的基礎上，目前將信息安全標準從總體上可劃分為七大類[5]：基礎標準、技術與機制標準、管理標準、測評標準、密碼技術標準、保密技術標準和通信安全標準，在每一大類的基礎上，可按照標準所涉及的主要內容進行細分.信息安全標準的總體框架如圖2所示，該標準體系主要由體系框架和標準明細表2部分組成，為現階段信息安全標準制定、修訂提供依據，為信息安全保障體系建設提供支撐.

圖2 我國信息安全體系框架

1) 基礎標準

基礎標準主要包括安全術語、體系結構、模型、框架等.這些標準為信息安全標準的制定提供通用的語言和抽象系統構架，典型標準如下：

① GB/T 17965—2000 信息技術 開放系統互連 高層安全模型;

② GB/T 25069—2010 信息安全技術 術語;

③ GB/T 28458—2012信息安全技術 安全漏洞標識與描述規范;

④ GB/T 31502—2015 信息安全技術 電子支付系統安全保護框架.

2) 技術與機制標準

技術與機制標準主要包括標識、鑒別、授權、電子簽名、實體管理、物理安全技術等方面的標準.其中，標識、鑒別與授權構成一條技術線索，是安全系統不可或缺的部分.與這條主線的相關標準還包括基礎設施標準(如PKI/PMI系列標準)、電子簽名標準(如國家電子簽名法配套的電子簽名標準體系框架)等，這些標準與標識、鑒別與授權標準體系互相依存，并貫穿其中.典型標準如下：

① GB/T 15843.1—2008 信息技術 安全技術 實體鑒別 第1部分：概述(等同采用 ISO/IEC9798-1：1999)；

② GB/T 25062—2010 信息安全技術 鑒別與授權 基于角色的訪問控制模型與管理規范；

③ GB/T 28455—2012 信息安全技術 引入可信第三方的實體鑒別及接入架構規范；

④ GB/T 31501—2015 信息安全技術 鑒別與授權 授權應用程序判定接口規范.

3) 管理標準

信息安全管理標準就是針對管理方面的規范工作.它主要應用于組織層面，規范組織的信息安全制度，規范治理機制和治理結構，保證信息安全戰略與組織業務目標一致.典型的標準如下：

① GB 17859—1999 計算機信息系統 安全保護等級劃分準則；

② GB/T 22080—2008 信息技術 安全技術 信息安全管理體系 要求(等同采用ISO/IEC 27001：2005)；

③ GB/T 22081—2008 信息技術 安全技術 信息安全管理使用規則(等同采用ISO/IEC 27002：2005)；

④ GB/Z 28828—2012信息安全技術公共及商用服務信息系統個人信息保護指南；

⑤ GB/T 31167—2014 信息安全技術 云計算服務安全指南；

⑥ GB/T 31168—2014 信息安全技術 云計算服務安全能力要求；

⑦ GB/T 31509—2015 信息安全技術 信息安全風險評估實施指南.

4) 測評標準

安全測評標準同時指導和規范了產品的開發和評估，并且可作為評估機構進行產品檢測認可的依據，為在用戶、設計者、開發者、供應商以及潛在的評估者之間建立公正的、普遍理解的評估信任體系，主要包括測評基礎標準、產品測評標準、系統測評標準和能力評估標準.典型標準如下：

① GB/T 22239—2008 信息安全技術信息系統安全等級保護基本要求；

② GB/T 20281—2015 信息安全技術 防火墻安全技術要求和測試評價方法；

③ GB/T 18336.1—2015 信息技術 安全技術 信息技術安全性評估準則 第1部分：簡介和一般模型(等同采用ISO/IEC 15408.1：2008)；

④ GB/T 18336.2—2015 信息技術 安全技術 信息技術安全性評估準則 第2部分：安全功能要求(等同采用ISO/IEC 15408.2：2008)；

⑤ GB/T 18336.3—2015 信息技術 安全技術 信息技術安全性評估準則 第3部分：安全保證要求(等同采用ISO/IEC 15408.3：2008)；

⑥ GB/T 31506—2015 信息安全技術 政府門戶網站系統安全技術指南.

5) 密碼標準

密碼標準的適用范圍為商用密碼.商用密碼是指對不涉及國家秘密內容的信息進行加密保護或者安全認證所使用的密碼技術和密碼產品.商用密碼標準作用于商用密碼的整個生命周期，包括商用密碼研制、生產、使用與管理的全過程，以及在這個完整過程中涉及到的術語、協議、管理、安全評估等所有組成要素.典型標準如下：

① GB/T 25056—2010 信息安全技術證書認證系統密碼及其相關安全技術規范；

② GB/T 29829—2013 信息安全技術可信計算密碼支撐平臺功能與接口規范.

6) 保密標準

保密標準從技術和管理2方面涵蓋了保密防范和保密檢查工作所需，既包括傳統保密工作所需要的標準(如保密會議的安全要求、涉密信息消除和介質銷毀、電子文件保密管理等)，也包括信息化和高技術發展條件下保密工作所需要的標準(如涉密信息系統技術要求和測評、信息安全保密產品技術要求和測試方法、涉密信息系統管理、TEMPEST防護和檢測等).

7) 通信安全標準

通信安全標準工作組成立比較晚，制定的標準較少，主要包括通信基礎、通信安全技術、通信設備安全、通信管理與服務方面的標準.

3 問題分析及建議

我國信息安全標準化工作經過10多年的發展，逐步形成了具有自主制定標準能力的隊伍，制定出一批國家網絡安全保障急需的重要標準.目前初步建立了信息安全標準體系框架[6]，在標準化工作機制建立、標準體系規劃、重要標準制定等方面取得了重要進展，為國家網絡安全保護發揮了重要支撐作用.

但面對當前網絡安全發展的新格局、新技術新應用不斷涌現的新態勢，標準化工作面臨著更加復雜嚴峻的挑戰[7].新形勢下如何加強標準化頂層設計，完善標準管理體制和運行機制，提升標準質量，夯實標準化基礎能力，加強標準宣貫實施和人才儲備，提升國際標準化水平，提供持續性資金保障，更好地發揮信息安全標準化工作的重要作用，是我們當前面臨的嚴峻挑戰.因此，我們應集中優勢科研力量，進一步完善國家信息安全標準體系，加強網絡安全標準化工作協調力度，完善統籌協調機制，為我國網絡安全標準化工作的順利開展提供指南.

[1]李曉玉. 國內外信息安全標準研究現狀綜述[C] //池州, 安徽: 中國標準化論壇, 2013: 167-171

[2]黃元飛, 栗欣. 網絡與信息安全標準研究現狀及熱點問題探討[J]. 電信科學, 2008, 24(1): 19-25

[3]姚相振, 周睿康, 范科峰. 網絡安全標準體系研究[J]. 信息安全與通信保密, 2015 (7): 53-56

[4]吳志剛. 信息安全標準體系初探[J]. 信息網絡安全, 2005 (3): 37-37

[5]周鳴樂, 董火民, 李剛, 等. 信息安全標準體系研究與分析[J]. 信息技術與標準化, 2008 (4): 12-17

[6]楊輝. 我國信息安全標準體系的現狀及完善[J]. 江西通信科技, 2007 (2): 29-32

[7]魏亮. 網絡與信息安全標準研究現狀[J]. 電信技術, 2006 (5): 24-27

許玉娜

碩士、高級工程師，主要研究方向為信息安全標準.

xuyuna@cesi.cn

王 姣

碩士研究生，主要研究方向為信息安全.

wangjiao@cesi.cn

Analysis on National Information Security Standards in China

Xu Yuna1and Wang Jiao1,2

1(ChinaElectronicsStandardizationInstitute,Beijing100007)2(GuilinUniversityofElectronicTechnology,Guilin,Guangxi541004)

This paper describes the development process of information security standards in China. What’s more, according to the system framework of information security standards, the present situation of the standards is analyzed. With the emergence of new technologies and new applications, some advice are given for later standardization work in the face of new situations and trends of the cyber security.

information security; standard; development; system; framework

2016-04-19

2013年全國信息安全標準化技術委員會研究項目(2013bzyj-MSC-001)

TP393