国内外网络安全管理模式调研

1、国内外网络安全管理模式调研网络空间作为继陆、海、空、天之后的第五维空间，给人们的生产生活带 来了革命性的飞越。今年来，网络空间形式日趋复杂严峻，网络安全事件频繁 发生，对我国网络空间安全构成严重威胁，给我国的网络空间防护带来严峻挑 战。网络安全标准化是网络安全保障体系建设的一个重要的技术支撑，是做好 网络安全工作的重要切入点。本报告将分析国内外网络安全标准的发展现状，研究 ISO/IEC 、ITU 以及 CCSA?国内外网络安全标准相关的主要组织，并重点介绍了CC标准，以及分析了网络安全标准体系框架。、国外网络安全标准体系(一) 网络安全标准的发展历史国际上信息安全标准化工作兴起于 20 世纪

2、 70 年代中期， 80年代有了较快 的发展， 90年代引起了世界各国的普遍关注。1970年，美国国防科学委员会提出美国可信计算机系统评价标准(Trusted Computer System Evaluation Criteria ，TCSEC，并于 1985 年 12月由美国国防部公布。TCSE(标准是计算机系统安全评估的第一个正式标 准，具有划时代的意义。TCSE(中使用了可信计算基础(Trusted Computing Base, TCB )这一概念，即计算机硬件与支持不可信应用及不可信用户的操作系 统的组合体。TCSEC论述的重点是通用的操作系统，为了使它的评判方法适用 于网络，NCS

3、CT 1987年出版了一系列有关可信计算机数据库、可信计算机网 络等的指南等。该书从网络安全的角度出发，解释了准则中的观点，从用户登 录、授权管理、访问控制、审计跟踪、隐通道分析、可信通道建立、安全检 测、生命周期保障、文本写作、用户指南均提出了规范性要求，并根据所采用 的安全策略、系统所具备的安全功能将系统分为四类七个安全级别。将计算机 系统的可信程度划分为 D C1、C2、B1、B2、B3和A1七个层次。1990年，加拿大专门针对政府需求设计出加拿大可信计算机产品评估标 准( Canadian Trusted Computer Product Evaluation Criteria，CTC

4、PE)。与ITSEC类似，该标准将安全分为功能性需求和保证性需要两部 分。功能性需求共划分为 4 大类：机密性、完整性、可用性和可控性。每种安 全需求又可以分成很多小类，来表示安全性上的差别，分级条数为05级。1991年，美国发表了信息技术安全性评估联邦准则（ US Federal Communications Commission , F。该标准的目的是提供 TCSEC勺升级版本， 同时保护已有投资。但FC有很多缺陷，是一个过渡标准，后来结合ITSEC发展为通用安全评估准则。1991 年，西欧四国（英、法、德、荷）联合提出了信息技术安全评估标 准（ Information Technolog

5、y Security Evalution Criteria， ITSEC）。ITSEC除了吸收TCSEC的成功经验外，首次提出了信息安全的保密性、完整 性、可用性的概念，把可信计算机的概念提高到可信信息技术的高度上来认 识。他们的工作成为欧共体信息安全计划的基础，并对国际信息安全的研究、 实施带来深刻的影响。1993年 3月， IETF（Internet Engineering Task Force，互联网工程任务组）专门成立了一个 IPSec 工作组，负责开发和制定既适用于现有 IPv4 网 络环境，又适用于下一代 IPv6 网络环境的 Internet 层安全机制标准。 IPSec 就是

6、IPSec 小组建立的一组 IP 安全协议集。 IPSec 定义了在网际层使用的安 全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数 据完整性检查和防止重放攻击。1993年 6月，美国、加拿大及欧洲四国经协商同意，起草单一的通用安 全评估准则（Comma nd Criteria For IT Security Evaluati on ，CC，并将 其推进到国际标准。1996年1月出版了 1.0版。它的基础是欧洲的ITSEC，美 国的包括TCSEC在内的新的联邦评估标准，加拿大的CTCPEC以及国际标准化组织ISO : SC27WG的安全评估标准。1999年10月cc v2.

7、1版发布，2006 年 9 月， cc v3.1 版发布。 CC 将评估过程划分为功能和保证两部分，评估等级 分为 eal1 、 eal2 、 eal3 、 eal4 、 eal5 、 eal6 和 eal7 共七个等级。每一级均需 评估 7 个功能类，分别是配置管理、分发和操作、开发过程、指导文献、生命 期的技术支持、测试和脆弱性评估。1999年， ISO 国际标准化组织发布 ISO/IEC 15408 （其中包括 ISO/IEC 15408-1: 1999， ISO/IEC 15408-2 : 1999， ISO/IEC 15408-3 : 1999），它与 1999年7月颁布的CC2.1

8、相对应。2005年10月CC2.3正式成为ISO/IEC 15408的第二版对应（其中包括了 ISO/IEC 15408-1 : 2005， ISO/IEC 15408- 2： 2005，ISO/IEC 15408-3 : 2005）。ISO/IEC JTC 1 和 Com mon Criteria Project Organizations 共同制订了该系列标准。 CC 标准与 ISO/IEC 15408 内 容和组织基本是等同的。二）网络安全标准组织目前世界上有近 300 个国际和区域性组织制定标准或技术规则，与信息安 全标准化有关的组织主要有以下 6 个：1. 国际标准化组织（ ISO）

9、国际标准化组织（ International Organization for Standardization ，ISO）简称ISO,是一个全球性的非政府组织，在国际标准化领域举足轻重。ISO的任务时促进全球范围内的标准化以及其有关活动，以利于国际间产品与 服务的交流，以及在知识、科学、技术和经济活动中发展国际间的相互合作。ISO技术工作时高度分散的，分别由2700多个技术委员会（TC，分技术委员 会（SQ和工作组（WG承担。其中承担信息安全相关标准的部门主要包括：（ 1）JTC1/S C27 IT 安全技术在ISO中，ISO/IEC JTC1 （联合技术委员会）所属的安全技术分委员会（SC

10、27）,主要负责开展安全标准的研制工作，其前身是 ISO/TC97 SC20。1990年 4 月瑞典斯德哥尔摩年会上正式成立 SC 27，秘书处设在德国的 BSI ， 其工作范围为信息技术安全的一般方法和技术的标准化。制定的标准主要涉及 密码算法、散列函数、数字签名机制、实体鉴别机制、安全评估准则等领域， 并对促进国际信息安全起了重要作用。（ 2 ） TC 68 金融服务在ISO中，ISO/IDC JTC1/SC27负责通用信息技术安全标准的制定，ISO/TC68 负责银行业务应用范围内有关信息安全标准的制定。一个是制定通用 基础标准，一个是自定行业应用标准，两者在组织上和标准之间都有着密切的

11、 联系。（ 3）其他 SC在ISO、IEC的联合技术委员会JTC1内，除了 SC27专门从事安全技术和 安全机制的标准化工作外，还有 6个 SC 分别承担一部分安全标准制定任务。SC6系统间通信与信息交换，主要开发开放系统互连下四层安全模型和安全协议，如物理层加密的互操作性要求，网络层安全协议等。SC17卡和身份识别，主要开发与识别卡有关的安全标准。SC18文件处理及有关通信，主要开发电子邮件、消息处理系统等安全标准。SC21:开发系统互连，数据管理和开放式分布处理，主要开发开放系统互 连安全体系结构、各种安全框架，高层安全模型等标准，如著名的 ISO/IEC 7498-2 以及一系列安全框架

12、标准。SC22程序语言，其环境及系统软件接口，也开发相应的安全标准。SC30开放式电子数据交换，主要开发电子数据交换的有关安全标准。如 电子数据交换密钥和证书管理报文，交互式电子数据交换安全规则等。2. 国际电工委员会（ IEC）IEC 成立于 1906年，是世界上成立最早的国际性电工标准化机构，总部设 在日内瓦。 1947年 ISO 成立后， IEC 曾作为电工部门并入 ISO ，但在技术 上、财务上仍保持其独立性。根据 1976年 ISO 与 IEC 的新协议，两组织都是 法律上独立的组织， IEC 负责有关电工、电子领域的国际标准化工作，其他领 域由 ISO 负责。IEC 的宗旨是促进电

13、工、电子领域中标准化及有关方面问题的国际合作， 增进相互了解。在信息安全标准化方面，除了同 ISO 联合成立的 JTC1 下属几 个分委员会外，还在电磁兼容等方面成立技术委员会，并制定相关国际标准， 如信息技术设备安全。与信息安全标准化相关的技术委员会有TC56 可靠性。TC74 IT 设备安全和功效。TC77 电磁兼容。CISPR 国际无线电干扰特别委员会等。3. 国际电信联盟（ ITU）ITU 是联合国的一个专门机构，是国际电信界最权威的标准制修订组织， 成员由各国电信主管部门组成。其下电信标准部、无线电通信部和电信发展部 承担着实质性标准制订工作，制定的标准都是与电信相关的，包括网络、电

14、 视、无线电、卫星等等多种电信部门所涉及的行业。ITU电信标准局（ITU-T）所属的SG17组，主要负责研究通信系统安全标 准。2001年底，SG7 SG10和SG17合并形成了新的SG17组。在20012004年 中研究期中， SG 17组下设立 Question 10 项目组来专门从事信息安全标准研 究。在此研究期内，Q10组主要集中于定义通信系统相关的整个安全框架，项 目组活动涉及到协调、配合并推动其他通信系统安全相关的规范制定。ITU-T单独或与ISO联合开发了消息处理系统（MH$、目录系统（X.400 系统、 X.500 系列）和安全框架、安全模型等方面的信息安全标准，其中的 X.5

15、09 标准是开展电子商务认证的重要基础标准。4. 互联网工程任务组（ IETF）IETF 成立于 1985 年底，其主要任务是负责互联网先关技术规范的研发和 制定。目前， IETF 已成为全球互联网最具权威的大型技术研究组织。 IETF 是 一个由 互联网技术工程及发展做出贡献的专家自发参与和管理的国际民间机 构。它汇集了与互联网架构演化和互联网稳定运作等业务相关的网络设计者， 运营者和研究人员，并向所有对该行业感兴趣的人士开发。IETF主要提出In ternet 标准草案和称为“请求注解”（RFC的协议文 稿，内容广泛，也包括安全方面的建议稿，经过网上讨论修改，也被大家接受 的就成了事实上的

16、标准。目前 IETF 有关信息安全的工作组有 btns 、 dkim、 emu、 hokey、 ipsecme、 isms、 keyprov 、 kitten 、 krb-wg 、 Itans 、 msec、 nea、 pkix 、 sasl 、 smime、 syslog 、 tls 等 17 个。5. 美国国家标准协会（ ANSI）ANSI 是非盈利性性质的民间标准化团体，但它实际上已成为美国国家标准 化中心。其下设电工、建筑、日用品、制图、材料试验等各种技术委员会，制 定的标准涉及各个方面。ANSI通过其X3、X9、X12等机构制定了很多有关数据加密、银行业务安 全和 EDI 安全等方面

17、的标准。这些标准中，许多经 ISO 反复讨论后成为国际标 准。ANSI中技术委员会NCITS （即X3）负责信息技术，也是JTC1的秘书处， 其分技术委员会 T4 负责 IT 安全技术，对口 JTC1 的 SC27。 NCITS 从 20世 纪80年代开始研制DES但到目前为止，只制定了三个通用的国家标准。 ANSI 负责金融安全的小组有 X9 和 X12。 X9 制定金融业务标准， X12 制定商业交易 标准。已制定金融交易卡、密码服务消息，以及实现商业交易安全等放慢的安 全标准十多个。6. 美国国家标准与技术研究院（ NIST）NIST 成立于 1901 年，隶属于商务部技术司，是集科研、

18、计量、标准化、 技术创新为一体的非监管性质的联邦部门。 NIST 下设的信息技术实验室（ITL），专门设有计算机安全处（CSD，主要协助美国政府和产业界进行安 全规划、风险管理、应急计划、加密、人员身份认证及智能卡应用等安全技术 的开发、推广应用、计算机病毒检测与防治、安全教育培训等方面的工作，同 时还负责制定安全技术和安全产品的国家和国际标准，由其制定与国家重大利 益相关的标准多负责协调联邦机构标准和私有部门的标准及合格评定程序，参 与自愿性标准化活动。二、国内网络安全标准体系（一）国内网络安全标准的发展历史中国在 20 世纪 80 年代就开始创建自己的信息安全标准， 1984 年 6 月，

19、由 全国计算机与信息处理标准化技术委员会组建了 “数据加密” 直属工作组 （后来 转为分技术委员会）。1992年改为“全国信息技术”标准化技术委员会； 2002年 单独成立全国信息安全标准化。 到目前为止， 该标准化技术委员会已制定了 （已 发布）信息技术方面的我国国家标准共计 87 个，用以支持信息安全的管理工作 和信息安全各类工具的规范化发展。从 80 年代开始，标准的制定经历了几次改 动。首先制定了 TEMPES技术要求，接着等同采用了美国TCSE（及国际标准组织 的一大批标准，至目前累计已有几十个标准已经或正在发挥积极作用。2003 年 7 月，国务院信息化领导小组通过了关于加强信息安

20、全保障工作的 意见，同年 9 月，中央办公厅、国务院办公厅转发了国家信息化领导小组关于 加强信息安全保障工作意见 ，把信息安全提到了新的高度。信息安全风险评估工作已经成为信息安全管理的核心工作之一， 由国家信息 中心组织先后对四个地区 （北京、广州、深圳和上海 ），十几个行业的 50 多家单 位进行了深入细致的调查与研究，最终形成了信息安全风险评估调查报告 、 信息安全风险评估研究报告和关于加强信息安全风险评估工作的建议 。 制定了信息安全技术信息安全风险评估规范 （ GB/T 20984-2007）。国内由公安部主持制定、 国家技术标准局发布的国家标准 GB17895-1999 计 算机信息

21、系统安全保护等级划分准则 。该准则将信息系统安全分为 5 个等级， 分别是：自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问 验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审 计、隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径和可信恢复 等，这些指标涵盖了不同级别的安全要求。 我国红旗安全操作系统 2.0 已通过中 华人民共和国公安部计算机信息系统产品质量监督检验中心的认证， 达到信息安 全第三级的要求。可以预见，网络与信息安全方面的标准将越来越受重视。 我国网络与信息安 全的主要标准化组织CCSA相对而言比较年轻，研究工作才刚刚起步，在包括安 全

22、基础设施在内的很多方面还有待进一步开展研究。 从总体情况来看， 我国网络 与信息安全研究将呈现下列特点 :1. 基于信息内容的过虑和管制技术将越来越受关注；2. 防范和治理垃圾信息将成为网络安全研究重要内容；3. 网络与信息安全研究重点将逐渐从设备层面向网络层面转移；4. 业务安全越来越成为运营商研究重点；5. 认证技术将研究和梳理，生物鉴别将成为重要内容；6. 网络建设将重视信任体系的建设；7. 互联网安全将进一步研究，其成果将适用于下一代网以及 3G核心网；8. 网络上信息安全将划分责权，网络端负责部分私密性 （隔离） 和完整性， 机密性和不可否认性由端到端保障；9. 安全管理中的安全风险

23、评估将成为安全研究重要内容。（二）国内网络安全标准组织相比国外， 国内信息安全标准化工作起步较晚。 2002 年 4月 15日成立的全 国信息安全标准化技术委员会 （简称信标委） 在国家标准委和工信部的共同领导 下，设置了 7个工作组，分别是信息安全标准体系与协调工作组（ WG）、涉密信 息系统安全保密标准工作组 （WG）、密码技术工作组（WG）鉴别与授权工作 组（WG）、信息安全评估工作组（WG5、通信安全标准工作组（WG）和信息安 全管理工作组（WG）。它们对我国信息安全保障体系建设和信息安全产业的发展 起到积极作用。 信标委主要负责组织开展国内信息安全领域的安全技术、 安全机 制、安全服

24、务、安全管理、安全评估等标准化技术工作。目前，已经制定了一批 信息安全保障体系急需的、 基础的、 关键的信息安全标准， 为国家重大信息化工 程和信息安全保障体系建设提供重要的标准支撑。信标委的主要任务是向国家标准化委员会提出本专业标准化工作的方针、 政 策和技术措施的建议，同时将协调各有关部门，提出一套系统、全面、分布合理 的 信息安全标准体系。我国信息安全标准体系，是在跟踪分析了国际信息安全 标准的发展动态和国内信息安全标准需求的基础上， 提出的标准体系框架和标准 体系表。其中我国信息安全技术标准总体上划分为基础标准、技术与机制标准、 管理标准、 测评标准、 密码技术和保密技术六大类， 每类

25、按照标准所涉及的内容 细分若干小类。在我国， 另一个与信息安全标准有关的组织就是中国通信标准化协会下设的网络与信息安全技术工作委员会， 下设四个工作组，即有线网络安全工作组 （WG）1、无线网络安全工作组（WG）安全管理工作组（WG）安全基础设施工作组（WG）我国信息安全标准工作处在积极学习先进、努力结合实际、力图创造具有自 主特色的国家标准的形势下。 为了更好地贯彻 国家信息安全标准“十一五”规 划，推进我国信息安全工作，引进了国际上著名的 ISO/IEC 27001： 2005信息 安全管理体系要求和ISO/IEC17799： 2005信息安全管理实用规则 、ISO/IEC15408: 1

26、999IT安全评估准则、SSE-CMM系统安全工程能力成熟度模型 等信息安全管理标准。 为深入贯彻落实国家信息安全等级保护制度， 配合信息安 全等级保护的实施和推进， 根据信息安全 等级保护管理办法（ 公通字 200743 号）和信息安 全等级保护测评工作管理规范 （试行），制定发布了 GB 17859- 1999计算机信息系统安全保护等级划分 准则、 GB/T 25058-2010 信息安全 技术信息系统安全等级保护实施指南 、 GB/T 22239-2008信息安全技术信息系 统安全等级保护基本要求 、 GB/T 22240-2008信息安全技术信息系统安全等级 保护定级指南求以及 GB/

27、T 25070-2010信息系统等级保护安全设计技术要求 等。中国有多个机构从事云计算标准研究制定。信标委于 2011 年 9 月完成云 计算安全及标准研究报告 V1.0 ，目前正在研究政府部门云计算安全和基 于云计算的因特网数据中心安全指南等标准，SOA标准工作组开展了智慧城市、 云计算技术和相关产品的标准研究工作， 提出了我国智慧城市基础参考模型和智 慧城市标准体系， 出版了云计算标准化研究报告 ，推动了 31 项相关标准项目 研制。 2012年，信标委成立云计算工作组和非结构化数据管理工作组，重点对美国政府云安全管理思路、 云计算安全审查机构职能和流程、 云安全国际标准等进 行研究，正积

28、极开展我国云计算标准体系框架研究和十二项云计算国家标准的编 制，提出了政府部门云计算服务安全指南和政府部门云计算服务安全能力 要求。政府部门云计算服务安全指南 为政府部门使用云计算服务提供管理指 导，政府部门云计算服务安全能力要求 为政府部门使用云计算服务的信息 系 统进行了技术规范，对服务提供商的云计算服务提出了安全保障要求。三、CC 标准（一） CC 标准的主要目的及意义信息安全标准是解决有关信息安全的产品和系统在设计、 研发、生产、建设、 使用、检测认证中的一致性、可靠性、可控性，先进性和符合性的技术规范和技 术依据。因此，世界各国越来越重视信息安全产品认证标准的制修订工作。 CC标准

29、(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准，用来评估信息系统和信息产品的安全性。制定ccft准的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估 准则。其主要意义如下：1. 确保对信息技术(IT)产品和保护配置文件的评估达到高度一致的标准， 并使得人们对这些产品和配置文件的安全性有信心 ;2. 提高评估安全性增强的 IT 产品和保护配置文件的可用性 ;3. 消除对 IT 产品和保护配置文件的重复评估的负担 ;4. 不断提高 IT 产品和保护配置文件的评估和认证 / 验证

30、过程的效率和成本 效益。(二) cc 标准的主要内容CC标准共分为三部分，主要内容包括信息技术安全性评估的一般模型和基 本框架，以及安全功能要求和安全保证要求， 目的是建立一个各国都能接受的通 用的信息安全产品和系统的安全性评估准则。CC标准为不同国家或实验室的评估结果提供了可比性。CC标准的第一部分为简介和一般模型，描述了信息安全 相关的基本概念和模型，以及 PP和ST的要求。PP是为一类产品或系统定义信 息安全技术要求，包括功要求和保证要求。 ST则定义了一个既定评估对象(TOE- TarEet of aluation)的IT安全要求，并规定了该TOE应提供的安全功能和保证 措施，以满足所

31、提出的安全要求 ，ST是开发者、评估者和用户之间对 TOE安全 特性和评估范围达成一致的基础。第二部分和第三部分描述了安全功能要求和安全保证要求， 功能要求是对产 品希望提供的安全功能或特征的描述； 保证要求是功能要求能够得到满足的程度。 CC标准根据安全保证要求预先定义了 7个安全保证级(EALIEAL7),安全保证 能力由低到高逐级增强。CC标准由专门的开发组(CCDB负责开发、维护、解释， 根据检测认证工作实践，CCDB也发布了很多技术支持文档作为检测认证的指导 文件，其中有些文件必须参照执行，例如攻击潜力在智能卡产品中的应用(CCDB-2009-03-001)等。图1 CC标准提供的安

32、全需求分析过程（三）CC标准的理念CC标准是当前信息安全的最新国际标准。它是在 TESEC ITSEC CTCPEC FC等信息安全标准的基础上综合形成的。 CC标准中定义了安全功能组件和安全 保证组件，并给出了一套评价系统安全可信度的指标一一安全保证等级（ EAL, 通过在构造管理、发行与操作、开发、指南文档、生命周期支持、测试和脆弱性 评估等方面所采取的措施来确定系统的安全可信度。CC定义了评估信息技术产品和系统安全性所需的基础准则，是度量信息技术安全性的基准。该标准针对在安全评估过程中信息技术产品和系统的安全功能及相应的保证措施提出一组 通用要求，使各种相对独立的安全评估结果具有可比性。

33、该标准有助于信息技术产品和系统的开发者或用户确定产品或系统对其应用而言是否足够安全，以及在使用中存在的安全风险是否可以容忍， 保护了信息的CIA三大特性，其次也考 虑了可控性、可追溯性等，同时该标准适用于对信息技术产品或系统的安全性进 行评估，不论其实现方式使硬件、固件还是软件；还可用于指导产品或系统开发， 其主要目标读者是用户、开发者和评估者。四、网络安全标准体系（一）网络安全标准体系建设思路“十三五”国家科技创新规划明确提出要持续推进技术标准战略，内 容包括：健全技术标准体系，统筹推进科技、标准、产业协同创新，健全科技 成果转化为技术标准机制。加强基础通用和产业共性技术标准研制，加快新兴 和融合领域技术标准研制，健全科技创新、专利保护与标准互动支撑机制。发 挥标准在技术创新中的引导作用，及时更新标准，强化强制性标准制定与实 施，逐步提高生产环节和市场准入的环保、节能、节水、节材、安全指标及相 关标准，形成支撑产业升级的技术标准体系。开展军民通用标准的制定和整 合，推动军用标准和民用标准双向转化，促进军用标准和民用标准兼容发展。 充分发挥行业协会等的作用，大力培育发展团体标准，推行标准“领跑者”制 度，培育发展标准化服务业，提升市场主体技术标准研制能力。促