国内外网络安全管理模式调研

1、国内外网络安全管理模式调研网络空间作为继陆、海、空、天之后的第五维空间，给人们的生产生活带来了革命性的飞越。今年来，网络空间形式日趋复杂严峻，网络安全事件频繁发生，对我国网络空间安全构成严重威胁，给我国的网络空间防护带来严峻挑战。网络安全标准化是网络安全保障体系建设的一个重要的技术支撑，是做好网络安全工作的重要切入点。本报告将分析国内外网络安全标准的发展现状，研究ISO/IEC、ITU以及CCSA等国内外网络安全标准相关的主要组织，并重点介绍了CC 标准，以及分析了网络安全标准体系框架。一、国外网络安全标准体系 （一）网络安全标准的发展历史国际上信息安全标准化工作兴起于20世纪70年代中期，8

2、0年代有了较快的发展，90年代引起了世界各国的普遍关注。1970年，美国国防科学委员会提出美国可信计算机系统评价标准（Trusted Computer System Evaluation Criteria，TCSEC），并于1985年12月由美国国防部公布。TCSEC标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。TCSEC中使用了可信计算基础（Trusted Computing Base, TCB）这一概念，即计算机硬件与支持不可信应用及不可信用户的操作系统的组合体。TCSEC 论述的重点是通用的操作系统，为了使它的评判方法适用于网络，NCSC于1987年出版了一系列有关可信计算

3、机数据库、可信计算机网络等的指南等。该书从网络安全的角度出发，解释了准则中的观点，从用户登录、授权管理、访问控制、审计跟踪、隐通道分析、可信通道建立、安全检测、生命周期保障、文本写作、用户指南均提出了规范性要求，并根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安全级别。将计算机系统的可信程度划分为D、C1、C2、B1、B2、B3和A1七个层次。1990年，加拿大专门针对政府需求设计出加拿大可信计算机产品评估标准（Canadian Trusted Computer Product Evaluation Criteria，CTCPEC）。与 ITSEC 类似，该标准将安全分为功能性需

4、求和保证性需要两部分。功能性需求共划分为4大类：机密性、完整性、可用性和可控性。每种安全需求又可以分成很多小类，来表示安全性上的差别，分级条数为05级。1991年，美国发表了信息技术安全性评估联邦准则（US Federal Communications Commission，FC）。该标准的目的是提供TCSEC的升级版本，同时保护已有投资。但 FC 有很多缺陷，是一个过渡标准，后来结合ITSEC发展为通用安全评估准则。1991年，西欧四国（英、法、德、荷）联合提出了信息技术安全评估标准（Information Technology Security Evalution Criteria，ITS

5、EC）。ITSEC除了吸收 TCSEC 的成功经验外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信计算机的概念提高到可信信息技术的高度上来认识。他们的工作成为欧共体信息安全计划的基础，并对国际信息安全的研究、实施带来深刻的影响。1993年3月，IETF（Internet Engineering Task Force，互联网工程任务组）专门成立了一个IPSec 工作组，负责开发和制定既适用于现有IPv4网络环境，又适用于下一代IPv6 网络环境的Internet层安全机制标准。IPSec 就是 IPSec小组建立的一组IP安全协议集。IPSec 定义了在网际层使用

6、的安全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。1993年6月，美国、加拿大及欧洲四国经协商同意，起草单一的通用安全评估准则（Command Criteria For IT Security Evaluation，CC），并将其推进到国际标准。1996年1月出版了1.0版。它的基础是欧洲的 ITSEC，美国的包括TCSEC 在内的新的联邦评估标准，加拿大的 CTCPEC，以及国际标准化组织 ISO：SC27WG3的安全评估标准。1999年10月cc v2.1版发布，2006年9月，cc v3.1版发布。CC 将评估过程划分为功能和保证两部分，

7、评估等级分为eal1、eal2、eal3、eal4、eal5、eal6和eal7共七个等级。每一级均需评估7个功能类，分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。1999年，ISO 国际标准化组织发布 ISO/IEC 15408（其中包括ISO/IEC 15408-1：1999，ISO/IEC 15408-2：1999，ISO/IEC 15408-3：1999），它与1999年7月颁布的CC2.1相对应。2005年10月CC2.3正式成为ISO/IEC 15408的第二版对应（其中包括了ISO/IEC 15408-1：2005，ISO/IEC 15408

8、-2：2005，ISO/IEC 15408-3：2005）。ISO/IEC JTC 1和Common Criteria Project Organizations共同制订了该系列标准。CC 标准与 ISO/IEC 15408内容和组织基本是等同的。（二）网络安全标准组织目前世界上有近300个国际和区域性组织制定标准或技术规则，与信息安全标准化有关的组织主要有以下6个：1. 国际标准化组织（ISO）国际标准化组织（International Organization for Standardization，ISO）简称ISO，是一个全球性的非政府组织，在国际标准化领域举足轻重。ISO的任务时促进

9、全球范围内的标准化以及其有关活动，以利于国际间产品与服务的交流，以及在知识、科学、技术和经济活动中发展国际间的相互合作。ISO 技术工作时高度分散的，分别由2700多个技术委员会（TC），分技术委员会（SC）和工作组（WG）承担。其中承担信息安全相关标准的部门主要包括：（1）JTC1/SC27 IT 安全技术在 ISO 中，ISO/IEC JTC1（联合技术委员会）所属的安全技术分委员会（SC 27）,主要负责开展安全标准的研制工作，其前身是 ISO/TC97 SC20。1990年4月瑞典斯德哥尔摩年会上正式成立 SC 27，秘书处设在德国的 BSI，其工作范围为信息技术安全的一般方法和技术的

10、标准化。制定的标准主要涉及密码算法、散列函数、数字签名机制、实体鉴别机制、安全评估准则等领域，并对促进国际信息安全起了重要作用。（2）TC 68 金融服务在ISO中，ISO/IDC JTC1/SC27 负责通用信息技术安全标准的制定，ISO/TC68 负责银行业务应用范围内有关信息安全标准的制定。一个是制定通用基础标准，一个是自定行业应用标准，两者在组织上和标准之间都有着密切的联系。（3）其他 SC在ISO、IEC的联合技术委员会 JTC1内，除了 SC27 专门从事安全技术和安全机制的标准化工作外，还有6个 SC 分别承担一部分安全标准制定任务。SC6：系统间通信与信息交换，主要开发开放系统

11、互连下四层安全模型和安全协议，如物理层加密的互操作性要求，网络层安全协议等。SC17：卡和身份识别，主要开发与识别卡有关的安全标准。SC18：文件处理及有关通信，主要开发电子邮件、消息处理系统等安全标准。SC21：开发系统互连，数据管理和开放式分布处理，主要开发开放系统互连安全体系结构、各种安全框架，高层安全模型等标准，如著名的 ISO/IEC 7498-2 以及一系列安全框架标准。SC22：程序语言，其环境及系统软件接口，也开发相应的安全标准。SC30：开放式电子数据交换，主要开发电子数据交换的有关安全标准。如电子数据交换密钥和证书管理报文，交互式电子数据交换安全规则等。2. 国际电工委员会

12、（IEC）IEC 成立于1906年，是世界上成立最早的国际性电工标准化机构，总部设在日内瓦。1947年 ISO 成立后，IEC 曾作为电工部门并入 ISO，但在技术上、财务上仍保持其独立性。根据1976年 ISO 与 IEC的新协议，两组织都是法律上独立的组织，IEC 负责有关电工、电子领域的国际标准化工作，其他领域由 ISO 负责。IEC 的宗旨是促进电工、电子领域中标准化及有关方面问题的国际合作，增进相互了解。在信息安全标准化方面，除了同 ISO联合成立的 JTC1 下属几个分委员会外，还在电磁兼容等方面成立技术委员会，并制定相关国际标准，如信息技术设备安全。与信息安全标准化相关的技术委员

13、会有：TC56：可靠性。TC74：IT 设备安全和功效。TC77：电磁兼容。CISPR：国际无线电干扰特别委员会等。3. 国际电信联盟（ITU） ITU 是联合国的一个专门机构，是国际电信界最权威的标准制修订组织，成员由各国电信主管部门组成。其下电信标准部、无线电通信部和电信发展部承担着实质性标准制订工作，制定的标准都是与电信相关的，包括网络、电视、无线电、卫星等等多种电信部门所涉及的行业。ITU 电信标准局（ITU-T）所属的SG17组，主要负责研究通信系统安全标准。2001年底，SG7、SG10和SG17合并形成了新的 SG17 组。在20012004年中研究期中，SG 17组下设立 Qu

14、estion 10项目组来专门从事信息安全标准研究。在此研究期内，Q10组主要集中于定义通信系统相关的整个安全框架，项目组活动涉及到协调、配合并推动其他通信系统安全相关的规范制定。ITU-T 单独或与 ISO 联合开发了消息处理系统（MHS）、目录系统（X.400 系统、X.500 系列）和安全框架、安全模型等方面的信息安全标准，其中的 X.509 标准是开展电子商务认证的重要基础标准。4. 互联网工程任务组（IETF）IETF 成立于1985年底，其主要任务是负责互联网先关技术规范的研发和制定。目前，IETF 已成为全球互联网最具权威的大型技术研究组织。IETF 是一个由 互联网技术工程及发

15、展做出贡献的专家自发参与和管理的国际民间机构。它汇集了与互联网架构演化和互联网稳定运作等业务相关的网络设计者，运营者和研究人员，并向所有对该行业感兴趣的人士开发。IETF 主要提出 Internet 标准草案和称为“请求注解”（RFC）的协议文稿，内容广泛，也包括安全方面的建议稿，经过网上讨论修改，也被大家接受的就成了事实上的标准。目前 IETF 有关信息安全的工作组有btns、dkim、emu、hokey、ipsecme、isms、keyprov、kitten、krb-wg、Itans、msec、nea、pkix、sasl、smime、syslog、tls等17个。5. 美国国家标准协会（A

16、NSI）ANSI 是非盈利性性质的民间标准化团体，但它实际上已成为美国国家标准化中心。其下设电工、建筑、日用品、制图、材料试验等各种技术委员会，制定的标准涉及各个方面。 ANSI 通过其 X3、X9、X12等机构制定了很多有关数据加密、银行业务安全和EDI 安全等方面的标准。这些标准中，许多经 ISO反复讨论后成为国际标准。ANSI 中技术委员会 NCITS（即 X3）负责信息技术，也是JTC1的秘书处，其分技术委员会 T4 负责 IT安全技术，对口 JTC1 的 SC27。NCITS 从20世纪80年代开始研制DES，但到目前为止，只制定了三个通用的国家标准。ANSI 负责金融安全的小组有

17、X9 和 X12。X9 制定金融业务标准，X12 制定商业交易标准。已制定金融交易卡、密码服务消息，以及实现商业交易安全等放慢的安全标准十多个。6. 美国国家标准与技术研究院（NIST）NIST 成立于1901年，隶属于商务部技术司，是集科研、计量、标准化、技术创新为一体的非监管性质的联邦部门。NIST 下设的信息技术实验室（ITL），专门设有计算机安全处（CSD），主要协助美国政府和产业界进行安全规划、风险管理、应急计划、加密、人员身份认证及智能卡应用等安全技术的开发、推广应用、计算机病毒检测与防治、安全教育培训等方面的工作，同时还负责制定安全技术和安全产品的国家和国际标准，由其制定与国家重

18、大利益相关的标准多负责协调联邦机构标准和私有部门的标准及合格评定程序，参与自愿性标准化活动。二、国内网络安全标准体系（一）国内网络安全标准的发展历史中国在20世纪80年代就开始创建自己的信息安全标准，1984年6月，由全国计算机与信息处理标准化技术委员会组建了“数据加密”直属工作组（后来转为分技术委员会）。1992年改为“全国信息技术”标准化技术委员会；2002年单独成立全国信息安全标准化。到目前为止，该标准化技术委员会已制定了（已发布）信息技术方面的我国国家标准共计87个，用以支持信息安全的管理工作和信息安全各类工具的规范化发展。从80年代开始，标准的制定经历了几次改动。首先制定了TEMPE

19、ST技术要求，接着等同采用了美国TCSEC及国际标准组织的一大批标准，至目前累计已有几十个标准已经或正在发挥积极作用。2003年7月，国务院信息化领导小组通过了关于加强信息安全保障工作的意见，同年9月，中央办公厅、国务院办公厅转发了国家信息化领导小组关于加强信息安全保障工作意见，把信息安全提到了新的高度。信息安全风险评估工作已经成为信息安全管理的核心工作之一，由国家信息中心组织先后对四个地区(北京、广州、深圳和上海)，十几个行业的50多家单位进行了深入细致的调查与研究，最终形成了信息安全风险评估调查报告、信息安全风险评估研究报告和关于加强信息安全风险评估工作的建议。制定了信息安全技术信息安全风

20、险评估规范（GB/T 20984-2007）。国内由公安部主持制定、国家技术标准局发布的国家标准GB17895-1999计算机信息系统安全保护等级划分准则。该准则将信息系统安全分为5个等级，分别是：自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计、隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径和可信恢复等，这些指标涵盖了不同级别的安全要求。我国红旗安全操作系统2.0已通过中华人民共和国公安部计算机信息系统产品质量监督检验中心的认证，达到信息安全第三级的要求。可以预见，网络与信息安全方面的标

21、准将越来越受重视。我国网络与信息安全的主要标准化组织CCSA相对而言比较年轻，研究工作才刚刚起步，在包括安全基础设施在内的很多方面还有待进一步开展研究。从总体情况来看，我国网络与信息安全研究将呈现下列特点: 1. 基于信息内容的过虑和管制技术将越来越受关注； 2. 防范和治理垃圾信息将成为网络安全研究重要内容； 3. 网络与信息安全研究重点将逐渐从设备层面向网络层面转移； 4. 业务安全越来越成为运营商研究重点； 5. 认证技术将研究和梳理，生物鉴别将成为重要内容； 6. 网

22、络建设将重视信任体系的建设； 7. 互联网安全将进一步研究，其成果将适用于下一代网以及3G核心网；8. 网络上信息安全将划分责权，网络端负责部分私密性(隔离)和完整性，机密性和不可否认性由端到端保障； 9. 安全管理中的安全风险评估将成为安全研究重要内容。（二）国内网络安全标准组织相比国外，国内信息安全标准化工作起步较晚。 2002年4月15日成立的全国信息安全标准化技术委员会（简称信标委）在国家标准委和工信部的共同领导下，设置了7个工作组，分别是信息安全标准体系与协调工作组（WG1）、涉密信息系统安全保密标准工作组 （WG2）、密码技术工作组

23、（WG3）、鉴别与授权工作 组（WG4）、信息安全评估工作组（WG5）、通信安全标准工作组（WG6）和信息安全管理工作组（WG7）。它们对我国信息安全保障体系建设和信息安全产业的发展起到积极作用。信标委主要负责组织开展国内信息安全领域的安全技术、安全机制、安全服务、安全管理、安全评估等标准化技术工作。目前，已经制定了一批信息安全保障体系急需的、基础的、关键的信息安全标准，为国家重大信息化工程和信息安全保障体系建设提供重要的标准支撑。 信标委的主要任务是向国家标准化委员会提出本专业标准化工作的方针、政策和技术措施的建议，同时将协调各有关部门，提出一套系统、全面、分布合理的 信息安全标准体系。我国

24、信息安全标准体系，是在跟踪分析了国际信息安全标准的发展动态和国内信息安全标准需求的基础上，提出的标准体系框架和标准体系表。其中我国信息安全技术标准总体上划分为基础标准、技术与机制标准、管理标准、测评标准、密码技术和保密技术六大类，每类按照标准所涉及的内容细分若干小类。 在我国，另一个与信息安全标准有关的组织就是中国通信标准化协会下设的网络与信息安全技术工作委员会，下设四个工作组，即有线网络安全工作组（WG1）、无线网络安全工作组（WG2）、安全管理工作组（WG3）、安全基础设施工作组（WG4）。 我国信息安全标准工作处在积极学习先进、努力结合实际、力图创造具有自主特色的国家标准的形势下。为了更

25、好地贯彻国家信息安全标准“十一五”规划，推进我国信息安全工作，引进了国际上著名的ISO/IEC27001：2005信息安全管理体系要求和 ISO/IEC17799：2005信息安全管理实用规则、ISO/ IEC15408：1999IT安全评估准则、SSE-CMM系统安全工程能力成熟度模型等信息安全管理标准。为深入贯彻落实国家信息安全等级保护制度，配合信息安全等级保护的实施和推进，根据信息安全 等级保护管理办法（公通字200743号）和信息安 全等级保护测评工作管理规范（试行），制定发布了 GB 17859-1999计算机信息系统安全保护等级划分 准则、GB/T 25058-2010信息安全技术

26、信息系统安全等级保护实施指南、GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求、GB/T 22240-2008信息安全技术信息系统安全等级保护定级指南求以及GB/T 25070-2010信息系统等级保护安全设计技术要求等。中国有多个机构从事云计算标准研究制定。信标委于2011年9月完成云计算安全及标准研究报告 V1.0，目前正在研究政府部门云计算安全和基 于云计算的因特网数据中心安全指南等标准，SOA 标准工作组开展了智慧城市、云计算技术和相关产品的标准研究工作，提出了我国智慧城市基础参考模型和智慧城市标准体系，出版了云计算标准化研究报告，推动了31项相关标准项目研制。2

27、012年，信标委成立云计算工作组和非结构化数据管理工作组，重点对美国政府云安全管理思路、云计算安全审查机构职能和流程、云安全国际标准等进行研究，正积极开展我国云计算标准体系框架研究和十二项云计算国家标准的编制，提出了政府部门云计算服务安全指南和政府部门云计算服务安全能力要求。政府部门云计算服务安全指南为政府部门使用云计算服务提供管理指导，政府部门云计算服务安全能力要求为政府部门使用云计算服务的信息 系统进行了技术规范，对服务提供商的云计算服务提出了安全保障要求。三、CC 标准（一）CC 标准的主要目的及意义信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一

28、致性、可靠性、可控性，先进性和符合性的技术规范和技术依据。因此，世界各国越来越重视信息安全产品认证标准的制修订工作。CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准，用来评估信息系统和信息产品的安全性。制定CC标准的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。其主要意义如下：1.确保对信息技术（IT）产品和保护配置文件的评估达到高度一致的标准，并使得人们对这些产品和配置文件的安全性有信心;2.提高评估安全性增强的IT产品和保护配置文件的可用性;3.消除对IT

29、产品和保护配置文件的重复评估的负担;4.不断提高IT产品和保护配置文件的评估和认证/验证过程的效率和成本效益。（二）CC 标准的主要内容CC标准共分为三部分,主要内容包括信息技术安全性评估的一般模型和基本框架，以及安全功能要求和安全保证要求，目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。CC标准为不同国家或实验室的评估结果提供了可比性。CC标准的第一部分为简介和一般模型，描述了信息安全相关的基本概念和模型，以及PP和ST的要求。PP是为一类产品或系统定义信息安全技术要求，包括功要求和保证要求。ST则定义了一个既定评估对象(TOE-TarEet of aluation)的

30、IT安全要求，并规定了该TOE应提供的安全功能和保证措施，以满足所提出的安全要求 ，ST是开发者、评估者和用户之间对TOE安全特性和评估范围达成一致的基础。第二部分和第三部分描述了安全功能要求和安全保证要求，功能要求是对产品希望提供的安全功能或特征的描述；保证要求是功能要求能够得到满足的程度。CC标准根据安全保证要求预先定义了7个安全保证级（EALlEAL7)，安全保证能力由低到高逐级增强。CC标准由专门的开发组（CCDB)负责开发、维护、解释，根据检测认证工作实践，CCDB也发布了很多技术支持文档作为检测认证的指导文件，其中有些文件必须参照执行，例如攻击潜力在智能卡产品中的应用（CCDB-2

31、009-03-001）等。图1 CC标准提供的安全需求分析过程（三）CC 标准的理念CC标准是当前信息安全的最新国际标准。它是在TESEC、ITSEC、CTCPEC、FC等信息安全标准的基础上综合形成的。CC标准中定义了安全功能组件和安全保证组件，并给出了一套评价系统安全可信度的指标安全保证等级（EAL），通过在构造管理、发行与操作、开发、指南文档、生命周期支持、测试和脆弱性评估等方面所采取的措施来确定系统的安全可信度。CC定义了评估信息技术产品和系统安全性所需的基础准则，是度量信息技术安全性的基准 。该标准针对在安全评估过程中信息技术产品和系统的安全功能及相应的保证措施提出一组通用要求，使各

32、种相对独立的安全评估结果具有可比性 。该标准有助于信息技术产品和系统的开发者或用户确定产品或系统对其应用而言是否足够安全，以及在使用中存在的安全风险是否可以容忍，保护了信息的CIA三大特性，其次也考虑了可控性、可追溯性等，同时该标准适用于对信息技术产品或系统的安全性进行评估，不论其实现方式使硬件、固件还是软件；还可用于指导产品或系统开发，其主要目标读者是用户、开发者和评估者。四、网络安全标准体系（一）网络安全标准体系建设思路“十三五”国家科技创新规划明确提出要持续推进技术标准战略，内容包括：健全技术标准体系，统筹推进科技、标准、产业协同创新，健全科技成果转化为技术标准机制。加强基础通用和产业共性技术标准研制，加快新兴和融合领域技术标准研制，健全科技创新、专利保护与标准互动支撑机制。发挥标准在技术创新中的引导作用，及时更新标准，强化强制性标准制定与实施，逐步提高生产环节和市场准入的环保、节能、节水、节材、安全指标及相关标准，形成支撑产业升级的技术标准体系。开展军民通用标准的制定和整合，推动军用标准和民用标准双向转化，促进军用标准和民用标准兼容发展。充分发挥行业协会等的作用，大力培育发展团体标准，推行标准“领跑者”制度，培育发展标准化服务业，提升市场主体技术标准研制能力。促进标准体系