内容太多了,看个资料,缩小点范围
信息安全标准化简况
全国信息技术标准化技术委员会
[BLOCKQUOTE]
——信息技术安全方面的标准化,兴起于70年代中期,80年代有了较快的发展,90年代引起了世界各国的普遍关注。特别是随着信息数字化和网络化的发展和应用,信息技术的安全技术标准化变得更为重要。因此,标准化的范围在拓展,标准化的进程在加快,标准化的成果也在不断的涌现。现将信息技术安全技术标准的情况综述如下。
1.国内信息技术安全标准化
1.1 信息技术安全标准的制定情况
——国内信息技术安全标准的制定工作是从80年代中期开始的。一方面是定信息技术设备和设施的安全标准,1985年发布了第一个标准GB4943;另一方面是制定信息安全技术标准,于1994年月发布了第一批标准。至1997年底,已制定、报批和发布了有关信息技术安全的国家标准13个和国家军用标准6个。现正在制定中的国家标准14个。特别是国务院信息化领导小组办公室重视和投入经费支持信息技术标准化以来,在国家技术监督局的组织和管理下,在全国信息技术标准化技术委员会支持下,在各单位的积极参与和协助下,使信息技术安全标准的制定工作有了更快的发展。
1.2 信息技术标准化的组织情况
——国际标准化组织ISO/TC97/SC20于1984年1月建立了信息技术的数据加密分委员会,我国派代表参加了这次国际标准化会议。1984年7月,在我国的全国计算机与信息处理标准化技术委员会下,建立了相应的数据加密分技术委员会,在国家技术监督局和电子工业部的领导下,归口国内外的信息技术数据加密的标准化工作。随着信息技术的发和工作范围的扩大,在原数据加密分委员会的基础上,于1997年8月改组成了信息技术安全分技术委员会(与ISO/IEC JTC1/SC27信息技术的安全技术分委会对应)。它是一个具有广泛代表性、权威性和军民结合的信息安全标准化组织。参加的成员单位有电子工业部、安全部、公安部、国务院信息办、国家密管理委员会办公室、央办公厅机要局、军委保密委技检办、国家保密局、总参、邮电部、中国科学院、中国人民银行、有关公司和院校等22个部门和单位,共计25名委员。
——该分委会是信息技术安全标准化的技术组织,其工作范围是负责信息和通信安全的通用框架、方法、技术和机制的标准化,归口国内外对应的标准化工作。技术安全包括:开放式安全体系结构、各种安全信息交换的语义规则、在有关的应用程序接口和协议引用安全功能度的接口等。
——由于信息技术的发展,开放系统互连的网络体系结构的广泛应用,信息技术安全标准化越来越受到人们的重视。在信息技术安全分委会的成立会上,研究了信息技术安全标准化的发展规划,明确了指导思想,确定了工作目标,制定了实施计划,提出了具体的措施,正在为建立完整的信息技术安全标准体系而积极组织开展研究工作和标准制定工作。
1.3 信息技术安全标准化的展望
——信息安全关系到国家的安全、社会的安定、经济的发展,信息技术安全标准是信息安全规范化和法制化的基础,是实现技术安全和安全管理的重要手段。信息技术安全标准化必须统一领导、统筹规划、各方参与、分工合作进行,保证其顺利和协调发展。为此,国家技术监督局组织各方面专家参加的标准化技术委员会正在开展以下工作:
1.3.1 加强信息安全标准化的研究
——信息技术的安全技术是比较新的和复杂的技术,也是在近年来才得到较快的发展,特别是它的标准化更是如此。为了全面认识和了解信息技术的安全标准,需要对国内外信息技术标准化的情况和发展趋势进行深入的研究。特别是庆将信息技术安全标准体和纱作为重点课题进行综合研究,并建立我国的信息技术安全标准体系,以便能够有目的、有组织、有计划地分期分批进行标准制定工作。这样才能避免标准项目重复和混乱,避免标准之间不协调,也可避免资金人才和时间的浪费。
——国际上有很多制定信息安全标准的组织,他们工作各有特点,制定标准的层次不同,也有部分工作重迭,我们对此也应进行深入具体的分析研究。例如:IS0/IEC JTCI/SC27的重点是制定通用的信息技术安全标准;而ISO/TC68则是针对银行系统制定行业具体应用的信息安全标准;ECMA还制定信息技术设备的安全标准。我们应全面、系统地分析研究,结合我国情况,综合考虑我国的信息技术安全标准化工作。
1.3.2 加快信息技术安全标准的制定
——国际互联网的开通,对信息安全标准的需求更加迫切,标准的数量也日益增加,因此应加快信息技术标准的制定工作。国际上ISO的信息技术安全标准,包括已正式发布、正在制定的标准项目已有近70项,国际互联网的RFC文中有100多项涉及信息安全,都是比较实用的。我们应在开展研究工作的基础上,建立标准体系,根据轻重缓急,有计划有步骤地安排标准制定项目,合理地组织各方面的力量,开展标准制定工作,最重要的是保证制定标准所必要的经费。
2 国外信息技术安全标准化的情况
——国外早在70年代中期就开始了信息技术安全标准化工作,现将国际标准化组织、欧洲计算机厂商协会和美国开展信息技术标准化的情况简要介绍如下。
2.1 国际标准化组织的信息技术安全标准化
2.1.1 ISO/IEC JTC1/SC27信息技术安全
——随着跨国计算机网络的开发和不同计算机系统之间互连的要求,数据加密标准化工作也开始走向国际。英国于1979年向ISO/TC97提出开展数据加密技术标准化的建议,ISO/TC97采纳了建议,并于1980年组建直属工作组。后来,TC97认为,数据加密技术专业性很强,需幅个分技术委员会来专门开展这方面的标准化工作,于是,1984年1月在联邦德国波恩正式成立分技术委员会SC20。我国也派人出席了这次会议,并成为该分委员会的P成员。从此,数据加密技术标准化工作在ISO/TC97内正式蓬勃展开。
——1984年SC20成立后,就把在直属工作组期间已开始的密码算法的国际标准化工作接过来,并作为第一优先制定的标准。该算法其实就是美国的DES,SC27称其为DEA-1,而且还指定由法国起草DEA-2报告,实际上是公苴算法RSA。1985年1月第二次分技委员会上同意推进到DIS,但随后的一年里发生了很大变化。先是1985年夏天发布的美国总统令宣布政府将不再支持DES,并由国家安全局NSA设计新的算法标准,算法细节不予公开。这就引起大家对DES安全强度的怀疑。有的成员国原本就一直反对密码算法的国际标准化,认为一个国家采用什么样的密码算法是十分敏感的问题,别人无权干涉。1986年第三次年会分歧很大,但多数仍赞成推进到国际标准,并交TC97处理。同年5月,TC97年会形成决议,密码算法的国际标准化工作已不属技术性问题,而是政治性问题。同年10月,ISO中央理事会决定撤消该项目,并且将密码算法的标准化工作从SC20的工作范围内以消,还明确写出不再研究密码算法的标准化。
——SC20的标准项目中包含OSI环境下使用加密技术的互操作要求,它与SC6和SC21的工作范围有重复。1986年5月,TC97要求三个分委员会主席开会协调,向技术委员会报告协调结果,再由技术委员会决定采以措施。至1989年6月正式决定撤消原来的SC20,组建新的SC27。在SC20存在的五年期间完成了两个正式标准:ISO 8372和ISO 9160。
——1990年4月瑞典斯德哥尔摩托车年会上正式成立SC27,其名称为:信息技术-安全技术,并对其工作范围作了明晰表述,即信息技术安全的一般方法和技术的标准化,包括:
——确定信息技术系统安全的一般要求(含要求方法);
——开发安全技术和机制(含注册程序和安全组成部分的关系);
——开发安全指南(如解释性文件,风险分析);
——开发管理支撑性文件和标准(如术语和安全评价准则)。
——1997年国际标准化组织的信息技术标准化的技术领域又作了合并和重大调整,但信息技术安全检分委会仍然保留,并作为ISO/IEC JTC1安全问题的主导组织。运行模式是既作为了个技术领域的分委员运行,还要履行特殊职能。它负责信息的通信安全的通用框架、方法、技术和机制的标准化,信息技术安全的标准化工作将会更加集中统一和加强。该分委会负责制定标准的项目约为40项,进展情况见附件1。
2.1.2 ISO/TC 68银行和有关的金融服务
——在国际标准化组织内,ISO/IDC JTC1/SC27负责通用信息技术安全标准的制定,ISO/TC68负责争行业务应用范围内有关信息安全标准的制定。一个是制定通用基础标准,一个是制定行业应用标准,两者在组织上和标准之间都有着密切的联系。他们都是在80年代中期开始制定标准的,ISO/TC68负责制定标准的项目约有30项。
2.2 欧洲计算机厂商协会(ECMA)标准
——ECMA人欧洲计算机厂商中吸收会员,经常向ISO提交标准提案。ECMA内的一个组(TC32/TG9)已定义了开放系统应用层安全结构。它的TC12负责信息技术设备的安全标准。
——它们的工作都假定终端用户控制着通过应用服务元素(ASE)进行通信的实体。ASE是利用基本服务在恰当地点提供OSI环境能力的应用实体的一部分,如文件服务器和打印重绕器。这个小组涉及这些实体之间的安全通信尤其在分布式环境下的安全通信。它们所开发的结构把这些通信分成称为“设施”的单元,每个单元都在提供总体安全中扮演一定的角度,这些设施组合起来就形成了安全系统,这在方式上类似于ISO工作中所指的模型。
2.3 美国信息技术安全标准化情况
2.3.1 美国国家标准(ANSI)
——美国标准化协会于80年代初开始数据加密标准化工作,只制定了三个通用的国家标准。
——金融界是实行安全最自觉的早大商业实体,它直接涉及货币和证券的安全电子汇兑。因此,不得不把大量资源投入信息安全。虽然银行和公司的商贸人员属金融界最有形的部分,但也不乏它物。很多大公司已开始采用电子方式订购产品或支付业务费用。随着越来越多地采用电子方式传送货币或资产,计算机犯罪可能性大增,安全方法变行十分重要。
——为了解决安全问题,金融界正积极制定各种标准。美国国家标准化协会(ANSI)负责金融安全的小组是ASC X9和X12。ASC X9制定金融业务标准,ASC X12制定商业交易标准。已与美国标准委员会(ASC)召开联席会,共同制定了汇兑的安全标准9个。
——与此同时,金融领域也在进行金融交易卡、密码服务消息,以及实现商业交易安全等方面的工作。
2.3.2 美国联邦信息处理安全标准(FIPS)
——美国联邦政府非常重视自动信息处理的安全,早在70年代初就开始了信息技术安全标准化工作,1974年就已发布标准。1987年的“计算机安全法案”明确规定了政府的机密数据、发展经济有效的安全保密标准和指南。
——联邦信息处理标准由国家标准局(NBS)颁发。FIPS由NBS在广泛搜集政府各部门及私人部门的意见的基础上写成。正式发布之前,将FIPS分送给每个政府机构,并在“联邦注册”上刊印出版。经再次征求意见之后,NSB局长把标准连同NBS的建议一起呈送美国商业部和工,由商业部长签字划押同意或反对这个标准。FIPS安全标准的一个著名实例就是数据加密标准(DES)。至今,它已发布了信息技术安全标准和指南约20个。
2.3.3 美国国防部的信息安全指令和标准(DOD)
——美国国防部十分重视信息的安全问题,美国国防部发布了一些有关信息安全和自动信息系统安全的指令、指示和标准,并且加强信息安全的管理,特别是DOD 5200.28-STD《国防可信和计算机系统评估准则》,受到各方面广泛的关注。
附件1[/BLOCKQUOTE] |
|
楼主
标题置顶
标题高亮
