網(wǎng)絡(luò)安全標準體系研究

中國電子技術(shù)標準化研究院 姚相振 周睿康 范科峰

近年來，網(wǎng)絡(luò)空間形勢日趨復(fù)雜嚴峻，網(wǎng)絡(luò)安全事件頻繁發(fā)生，對我國網(wǎng)絡(luò)空間安全構(gòu)成嚴重威脅，也對我國網(wǎng)絡(luò)空間安全防護帶來嚴峻挑戰(zhàn)。網(wǎng)絡(luò)安全標準化是網(wǎng)絡(luò)安全保障體系建設(shè)的戰(zhàn)略制高點，是維護國家利益和保障國家安全極為重要的技術(shù)支撐，是抓好網(wǎng)絡(luò)安全工作的重要切入點，網(wǎng)絡(luò)安全標準化工作應(yīng)當符合產(chǎn)業(yè)發(fā)展需要，形成科學、合理的標準化體系，為網(wǎng)絡(luò)安全標準的研究、制定提供依據(jù)，發(fā)揮網(wǎng)絡(luò)安全標準在保障國家安全、促進產(chǎn)業(yè)發(fā)展、維護公民利益等方面的重要作用。

本文分析了國內(nèi)外網(wǎng)絡(luò)安全現(xiàn)狀，研究了ISO/IEC、NIST相關(guān)網(wǎng)絡(luò)安全標準，并對國內(nèi)外標準化體系進行了比對分析，研究提出了我國網(wǎng)絡(luò)安全標準體系框架。

網(wǎng)絡(luò)安全標準化現(xiàn)狀

1.國際標準化現(xiàn)狀

1.1 ISO/IEC JTC1研究現(xiàn)狀

ISO/IEC JTC1 SC27作為國際標準化組織（ISO）和國際電工委員會（IEC）聯(lián)合技術(shù)委員會（JTC1）下屬專門負責信息安全領(lǐng)域標準化研究與制定工作的分技術(shù)委員會，近年來密切跟蹤技術(shù)產(chǎn)業(yè)發(fā)展變化和發(fā)展需求，以云計算安全、虛擬化安全、隱私保護、工業(yè)控制系統(tǒng)安全、身份鑒別等為新的研究工作重點，在SC27層面設(shè)立了云計算安全和隱私保護專項研究課題。目前，SC27在研和制定的云計算安全標準包括：

（1）ISO/IEC 27017《基于ISO/IEC 27002的云計算服務(wù)應(yīng)用的信息安全控制措施》，由WG1具體負責；

（2）ISO/IEC 27018《公有云中個人可識別信息處理者保護個人可識別信息的安全控制措施》，由WG5（身份管理和隱私保護）具體負責；

（3）ISO/IEC 27036-4《供應(yīng)商關(guān)系的信息安全第四部分:云服務(wù)安全指南》，由WG4具體負責；

（4）《適于云的風險管理框架》、《云安全組件》、《云安全評估和審計》等標準研究。其中，《適于云的風險管理框架》研究項目由WG1和WG4聯(lián)合研究。《云安全組件》則致力于研究是否有必要在云安全組件方面制定標準、云安全組件的范圍以及詳細程度。

1.2 IEC研究現(xiàn)狀

國際電工委員會（IEC，International Electro Technical Commission）已經(jīng)發(fā)布的信息安全標準主要集中在工業(yè)控制安全領(lǐng)域，有IEC 62443《工業(yè)過程測量、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》系列標準，以及SP800-82—《工業(yè)控制系統(tǒng)(工業(yè)控制系統(tǒng))安全指南》。

IEC 62443由IEC/TC65（工業(yè)過程測量、控制和自動化）下的網(wǎng)絡(luò)和系統(tǒng)信息安全工作組WG10與國際自動化協(xié)會ISA 99委員會的專家成立聯(lián)合工作組，共同制定。該標準目前分為通用、信息安全程序、系統(tǒng)技術(shù)和部件技術(shù)4個部分，共包含了12個文檔，每個文檔詳細描述了工業(yè)控制系統(tǒng)信息安全的不同方面。

第一部分即通用部分，描述了信息安全的通用方面，包括基本概念、基本模型、基本術(shù)語、系統(tǒng)安全目標等等。第二部分即信息安全程序部分，主要描述包括了整個信息安全系統(tǒng)的管理、人員和程序設(shè)計方面。第三部分即系統(tǒng)技術(shù)部分，主要針對系統(tǒng)集成商保護系統(tǒng)所需要的技術(shù)性信息安全需求，包括了將整體工業(yè)自動化控制系統(tǒng)設(shè)計分配到各個區(qū)域和通道的方法，以及信息安全保障等級的定義與要求。第四部分即部件技術(shù)部分，主要針對制造商提供的單個部件的技術(shù)性信息安全需求，包括了系統(tǒng)的硬件、軟件和信息部分，以及當開發(fā)或獲取這些類型的部件時需要考慮的特定技術(shù)性信息安全需求。

2015年5月,IEC ACSEC(Advisory Committee on Security)在德國國家委員會倡議下正式成立，主要開展IEC范圍內(nèi)的信息安全、數(shù)據(jù)隱私保護國際標準化工作，向IEC/SMB（標準化管理局）提供標準制定建議,指導(dǎo)IEC下屬TC和SC的信息安全標準制定工作，提供IEC和其他國際標準化組織關(guān)于信息安全領(lǐng)域的協(xié)調(diào)渠道。目前，IEC ACSEC成員國包括中國、德國、美國、日本、韓國、英國、法國、荷蘭、西班牙、巴西共10個國家。主席為德國西門子股份公司技術(shù)法規(guī)與標準化部全球負責人Markus Reigl先生，秘書處設(shè)在IEC中央辦公室。中國對口單位為中國電子技術(shù)標準化研究院。

1.3 NIST研究現(xiàn)狀

NIST作為美國最具影響力的標準化機構(gòu)，目前主要研究內(nèi)容集中在四大領(lǐng)域：安全管理指南、安全測試、安全研究、新興技術(shù)安全標準應(yīng)用。在上述四大領(lǐng)域中，NIST對網(wǎng)絡(luò)安全技術(shù)的跟蹤尤其對新興技術(shù)存在的風險、漏洞和保護要求的認知不斷提高，使其標準研制能力、標準研制質(zhì)量、標準體系建設(shè)長期處于世界領(lǐng)先水平。

結(jié)合新技術(shù)與新應(yīng)用，NIST還開展了無線通信、生物特征、云計算等領(lǐng)域相關(guān)安全問題的研究，并提出了相應(yīng)發(fā)展戰(zhàn)略計劃，包括：

（1）加強公眾對信息安全的意識和理解。提高對信息安全的重要性和必要性的更廣泛的意識，提高對信息安全漏洞和補救措施的理解，推動NIST計算機安全研究室的知名度。

（2）改善信息安全管理。為聯(lián)邦政府部門提供適當、及時和有用的信息安全政策和管理工具。

（3）提供安全測試手段使系統(tǒng)和網(wǎng)絡(luò)更加安全。通過測試方法的研究，提供聯(lián)邦政府部門、產(chǎn)業(yè)界和公眾完善的安全服務(wù)。

（4）支撐和指導(dǎo)信息安全研究。加強能促進安全的新技術(shù)的研究，同時發(fā)現(xiàn)和彌補安全漏洞。

（5）通過加密技術(shù)保護信息資源的安全。開發(fā)和改進加密方法，保護信息資源的完整性、保密性和真實性。

2.國內(nèi)標準化工作現(xiàn)狀

全國信息安全標準化技術(shù)委員會（簡稱信安標委），是我國專門從事信息安全標準化的工作組織，委員會現(xiàn)有來自30多個部門和單位的49名委員，下設(shè)7個工作組，主要負責信息安全技術(shù)、安全機制、安全管理、安全評估等領(lǐng)域的標準化工作，分別由國內(nèi)相關(guān)部門、研究所、企事業(yè)單位及高等院校等代表組成，共有工作組成員單位165家。截止目前，安標委在上述領(lǐng)域已發(fā)布國家標準160多項。

在國家標準化管理委員會的領(lǐng)導(dǎo)下，在相關(guān)部門的大力支持下，安標委堅持以抓緊制定國家信息安全保障體系建設(shè)急需的、關(guān)鍵的標準為重點，積極開展標準制修訂工作。

這些標準主要涉及信息安全基礎(chǔ)、安全技術(shù)與機制、安全管理、安全評估以及保密、密碼和通信安全等領(lǐng)域，為國家各項信息安全保障工作，例如政府信息系統(tǒng)安全檢查、信息系統(tǒng)安全等級保護、信息安全產(chǎn)品檢測與認證及市場準入、信息安全風險評估、信息系統(tǒng)災(zāi)難恢復(fù)、網(wǎng)絡(luò)信任體系建設(shè)、《電子簽名法》實施、涉密信息系統(tǒng)安全分級保護和保密安全檢查等，提供了強有力的技術(shù)支撐和依據(jù)。

信安標委組織制定的這些國家標準，基本形成了我國信息安全標準體系，為我國信息安全保障體系建設(shè)提供了強有力支持，重點體現(xiàn)在信息系統(tǒng)安全等級保護、信息安全產(chǎn)品認證、信息安全風險評估、重點信息系統(tǒng)災(zāi)難恢復(fù)等領(lǐng)域。

3.國內(nèi)外標準化對比分析

通過對比國內(nèi)外信息安全標準化工作，我國與國際信息安全標準化工作的差距主要體現(xiàn)在以下幾個方面。

一是，網(wǎng)絡(luò)安全標準化是網(wǎng)絡(luò)安全保障體系建設(shè)的戰(zhàn)略制高點，是維護國家利益和保障國家安全極為重要的技術(shù)支撐，是抓好網(wǎng)絡(luò)安全工作的重要切入點。面對當前網(wǎng)絡(luò)安全發(fā)展的新格局，標準化工作面臨工作機制不夠完善、管理體系和運行機制不夠健全、實施力度和效益有待提高、基礎(chǔ)能力和人才儲備嚴重不足等問題

二是，我國某些產(chǎn)業(yè)發(fā)展水平以及技術(shù)成熟度不高，市場對于相關(guān)標準需求并不強烈，國際標準要求與我國產(chǎn)業(yè)能力發(fā)展現(xiàn)狀不匹配，國際標準轉(zhuǎn)化率低，需要制定符合我國產(chǎn)業(yè)實際發(fā)展需要的信息安全國家標準，指導(dǎo)、支撐相關(guān)產(chǎn)業(yè)快速、健康發(fā)展。

三是，根據(jù)我國相關(guān)法律和政策，標準的制定應(yīng)具有自主知識產(chǎn)權(quán)，并掌握相應(yīng)核心技術(shù)，在轉(zhuǎn)化適用性強的國際標準的同時，還應(yīng)深入研究符合我國國情的信息安全標準。所以，目前針對我國在云計算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新技術(shù)、新應(yīng)用的信息安全標準化需求，相對于國際信息安全標準體系，我國信息安全標準研制還存在空白，標準體系建設(shè)亟需調(diào)整、補充、完善。

4.網(wǎng)絡(luò)安全標準化需求分析

(1)政府網(wǎng)絡(luò)安全管理

網(wǎng)絡(luò)安全標準作為政府工作的重要抓手，在維護國家網(wǎng)絡(luò)安全、促進產(chǎn)業(yè)健康發(fā)展、維護公民利益方面發(fā)揮著重要作用，是政府部門開展網(wǎng)絡(luò)安全管理最直接、最有效的方式。制定網(wǎng)絡(luò)安全標準體系框架應(yīng)充分考慮政府管理所需的基礎(chǔ)類、政府網(wǎng)站安全管理類標準，要考慮到國家網(wǎng)絡(luò)安全審查、網(wǎng)絡(luò)安全供應(yīng)鏈安全管理、安全檢查等重要工作所需要的配套標準；還應(yīng)考慮到我國關(guān)鍵信息基礎(chǔ)設(shè)施保護、應(yīng)急響應(yīng)等方面工作的標準需求，考慮以密碼技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)可信身份管理標準的研制，逐步完善信息安全風險管理服務(wù)體系，完善政府網(wǎng)絡(luò)安全管理標準體系，有力支撐黨政軍部門網(wǎng)絡(luò)安全保障工作。

(2)產(chǎn)業(yè)發(fā)展安全保障需求

網(wǎng)絡(luò)安全標準是產(chǎn)業(yè)健康發(fā)展的有效“試金石”，合理科學的網(wǎng)絡(luò)安全標準體系能夠有效支撐產(chǎn)業(yè)發(fā)展，提高產(chǎn)業(yè)效能，促進良性競爭。制定網(wǎng)絡(luò)安全標準體系框架應(yīng)充分考慮信息技術(shù)產(chǎn)品和服務(wù)的安全架構(gòu)、安全要求、術(shù)語、配置要求、管理要求、測評方法等，必要時，為產(chǎn)品和服務(wù)的安全保護水平劃分等級，充分考慮密碼技術(shù)、身份鑒別、授權(quán)機制等產(chǎn)品和服務(wù)的安全技術(shù)類標準的研發(fā)，提高產(chǎn)品的安全防護水平，保障用戶的合法權(quán)益。

(3)新技術(shù)新應(yīng)用標準需求

隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)新應(yīng)用的普及，一些傳統(tǒng)的網(wǎng)絡(luò)安全防護技術(shù)已經(jīng)無法滿足現(xiàn)有的安全防護需求，一些曾經(jīng)行之有效的網(wǎng)絡(luò)安全管理措施已經(jīng)不能奏效，因此，執(zhí)行網(wǎng)絡(luò)安全標準體系框架應(yīng)充分考慮新形勢下網(wǎng)絡(luò)安全技術(shù)和管理要求，分析云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、智慧城市、智慧醫(yī)療、車載信息系統(tǒng)、機器人、工業(yè)互聯(lián)網(wǎng)等新興技術(shù)領(lǐng)域的網(wǎng)絡(luò)安全標準化需求，充分考慮產(chǎn)業(yè)需求，制定亟需的基礎(chǔ)性標準，有效支撐網(wǎng)絡(luò)安全產(chǎn)業(yè)健康發(fā)展。

網(wǎng)絡(luò)安全標準體系框架

1.網(wǎng)絡(luò)安全標準體系建設(shè)思路

根據(jù)2009年發(fā)布的國家標準GB/T 13016-2009《標準體系表編制原則和要求》，明確了網(wǎng)絡(luò)安全標準體系研究的基本概念、編制原則和基本方法。GB/T 13016-2009提出“標準體系是客觀存在的標準有機整體，是標準的集合。標準體系是通過系統(tǒng)的標準化指導(dǎo)行業(yè)、機構(gòu)團體、產(chǎn)品、服務(wù)或工程項目等，從而達到整體的最佳效益。標準體系表用以表達標準體系的構(gòu)思、設(shè)想、整體規(guī)劃，是表達標準體系概念的模型?！?。我國網(wǎng)絡(luò)安全標準體系建設(shè)，應(yīng)在研究分析國際國外信息安全標準化現(xiàn)狀基礎(chǔ)上，結(jié)合我國網(wǎng)絡(luò)安全產(chǎn)業(yè)標準化需求。

2.網(wǎng)絡(luò)安全標準體系框架說明

圖1 網(wǎng)絡(luò)安全標準體系框架

如圖1所示，網(wǎng)絡(luò)安全標準體系框架第一層次分為四個方面：基礎(chǔ)標準、技術(shù)與機制標準、管理與服務(wù)標準、測評標準。其中，第二層次共包含27個子類別。

基礎(chǔ)標準由安全術(shù)語、涉密基礎(chǔ)、測評基礎(chǔ)、管理基礎(chǔ)、物理安全、安全模型、安全體系結(jié)構(gòu)7個部分組成，為網(wǎng)絡(luò)安全標準的制定提供通用的語言和抽象系統(tǒng)架構(gòu)。

技術(shù)與機制標準由密碼技術(shù)、安全標識、鑒別機制、授權(quán)機制、電子簽名，公鑰基礎(chǔ)設(shè)施、應(yīng)用安全機制7個部分組成，其中標識、鑒別與授權(quán)構(gòu)成一條技術(shù)線索，是安全系統(tǒng)不可或缺的部分。與這條主線的相關(guān)標準還包括基礎(chǔ)設(shè)施標準、電子簽名標準等，這些標準與標識、鑒別與授權(quán)標準體系互相依存，并貫穿其中。

信息安全管理與服務(wù)標準包括涉密服務(wù)、密碼管理、安全控制與服務(wù)、網(wǎng)絡(luò)安全管理，行業(yè)/領(lǐng)域安全管理5個方面，信息安全管理標準就是針對管理方面的規(guī)范工作。它主要應(yīng)用于組織層面，規(guī)范組織的信息安全制度，規(guī)范治理機制和治理結(jié)構(gòu)，保證信息安全戰(zhàn)略與組織業(yè)務(wù)目標一致。

測評標準包括密碼產(chǎn)品、通用產(chǎn)品、安全保密產(chǎn)品、通用系統(tǒng)、涉密信息系統(tǒng)、通信安全、政府安全檢查、安全能力評估8個方面，測評標準同時指導(dǎo)和規(guī)范了產(chǎn)品的開發(fā)和評估，并且可作為評估機構(gòu)進行產(chǎn)品檢測認可的依據(jù)，為在用戶、設(shè)計者、開發(fā)者、供應(yīng)商以及潛在的評估者之間建立公正的、科學的評估信任體系。

下一步工作

信息安全保障體系是維護國家網(wǎng)絡(luò)安全、保障信息產(chǎn)業(yè)健康發(fā)展的基礎(chǔ)，網(wǎng)絡(luò)安全標準體系建設(shè)是信息安全保障工作的重要體現(xiàn)，如果沒有一個“科學、合理、系統(tǒng)、適用”的網(wǎng)絡(luò)安全標準體系，就不可能構(gòu)造出一個全面、完善的信息安全保障體系。當前，我國網(wǎng)絡(luò)安全標準已經(jīng)積累到了一定數(shù)量，如何充分發(fā)揮標準作用，如何研究、制定出符合產(chǎn)業(yè)需求并能廣泛推廣應(yīng)用的網(wǎng)絡(luò)安全標準至關(guān)重要。為解決上述問題，建議下一步網(wǎng)絡(luò)安全標準體系建設(shè)著重做好以下幾點工作：

一是加強重點領(lǐng)域標準化研究，完善網(wǎng)絡(luò)安全標準體系。繼續(xù)追蹤、研究重點領(lǐng)域新興技術(shù)發(fā)展需求，結(jié)合產(chǎn)業(yè)發(fā)展實際需要，研究制定具有自主知識產(chǎn)權(quán)的云計算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等網(wǎng)絡(luò)安全國家標準，并對標準可行性、科學性進行有效驗證，從而完善我國網(wǎng)絡(luò)安全標準體系。

二是加大標準宣貫力度，擴大標準實際推廣應(yīng)用。政府、企業(yè)、科研院所以網(wǎng)絡(luò)安全標準體系建設(shè)為基礎(chǔ)，提供政策、技術(shù)、標準上的支撐，創(chuàng)新標準推廣方式，加強標準試點示范工作，通過優(yōu)秀案例引導(dǎo)企業(yè)采用標準，從而加強我國網(wǎng)絡(luò)安全標準體系指導(dǎo)作用。

三是加強國際標準化戰(zhàn)略研究，實質(zhì)參與國際標準活動。參與國際標準化熱點工作，結(jié)合我國相關(guān)技術(shù)產(chǎn)業(yè)實際發(fā)展現(xiàn)狀，在當前工作基礎(chǔ)上做好下一步國際標準化布局工作，充分發(fā)揮產(chǎn)、學、研、用各方力量，搶占新技術(shù)、新應(yīng)用國際標準制高點，打造國際領(lǐng)先的網(wǎng)絡(luò)安全標準體系。