國際信息安全標(biāo)準(zhǔn)現(xiàn)狀研究及對(duì)我國標(biāo)準(zhǔn)體系建設(shè)的思考

陳湉，張彥超，趙爽

(中國信息通信研究院,北京 100191)

國際信息安全標(biāo)準(zhǔn)現(xiàn)狀研究及對(duì)我國標(biāo)準(zhǔn)體系建設(shè)的思考

陳湉，張彥超，趙爽

(中國信息通信研究院,北京 100191)

國際信息安全標(biāo)準(zhǔn)化工作興起于20世紀(jì)70年代中期，80年代有了較快的發(fā)展，90年代引起了世界各國的普遍關(guān)注。很多國際電信和互聯(lián)網(wǎng)標(biāo)準(zhǔn)化組織都設(shè)立了專門工作組從事信息安全標(biāo)準(zhǔn)化工作，本文對(duì)在國際上具有廣泛影響力的三個(gè)主流信息安全標(biāo)準(zhǔn)化組織工作現(xiàn)狀進(jìn)行了分析，同時(shí)梳理了我國信息安全標(biāo)準(zhǔn)體系建設(shè)工作情況，分析我國在信息安全標(biāo)準(zhǔn)體系框架研究存在的問題及原因，并對(duì)如何進(jìn)一步推進(jìn)工作提出了相關(guān)建議。

信息安全；標(biāo)準(zhǔn)體系；ISO/IEC；ITU-T；NIST

0 引言

信息安全標(biāo)準(zhǔn)化是國家網(wǎng)絡(luò)安全保障體系建設(shè)的重要組成部分，在保障網(wǎng)絡(luò)空間安全、推動(dòng)網(wǎng)絡(luò)治理體系變革方面發(fā)揮著基礎(chǔ)性、規(guī)范性、引領(lǐng)性作用。信息安全標(biāo)準(zhǔn)體系是由信息安全領(lǐng)域內(nèi)具有內(nèi)在聯(lián)系的標(biāo)準(zhǔn)組成的科學(xué)有機(jī)整體，科學(xué)高效的信息安全標(biāo)準(zhǔn)體系能夠系統(tǒng)化地指導(dǎo)行業(yè)、機(jī)構(gòu)團(tuán)體、產(chǎn)品、服務(wù)或工程項(xiàng)目等，從而達(dá)到整體的最佳效益。信息安全標(biāo)準(zhǔn)體系框架是用以表達(dá)標(biāo)準(zhǔn)體系的構(gòu)思、設(shè)想、整體規(guī)劃，其主要作用是為編制信息安全標(biāo)準(zhǔn)制、修訂計(jì)劃提供重要依據(jù)；促進(jìn)信息安全領(lǐng)域內(nèi)的標(biāo)準(zhǔn)組成趨向科學(xué)合理化，為信息安全保障體系建設(shè)提供支撐。

1 國際信息安全標(biāo)準(zhǔn)研究概況及特點(diǎn)

當(dāng)前，信息安全標(biāo)準(zhǔn)體系相對(duì)健全，國際影響力較大的標(biāo)準(zhǔn)化組織包括國際標(biāo)準(zhǔn)化組織（ISO）和國際電工委員會(huì)（IEC）、國際電信聯(lián)盟電信標(biāo)準(zhǔn)分局（ITU-T）以及美國國家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）。

1.1 國際標(biāo)準(zhǔn)化組織和國際電工委員會(huì)（ISO/IEC）

國際標(biāo)準(zhǔn)化組織（ISO）和國際電工委員會(huì)（IEC）聯(lián)合成立的信息技術(shù)委員會(huì)JTC1是非常活躍的信息技術(shù)領(lǐng)域國際標(biāo)準(zhǔn)化組織。JTC1技術(shù)委員會(huì)下設(shè)的SC 27組專門負(fù)責(zé)安全技術(shù)標(biāo)準(zhǔn)研究，已經(jīng)發(fā)布了151項(xiàng)國際標(biāo)準(zhǔn)，在研標(biāo)準(zhǔn)項(xiàng)目74項(xiàng)。JTC1 SC27組共設(shè)置了5個(gè)工作組，分別從事信息安全管理體系、密碼學(xué)與安

全機(jī)制、安全評(píng)價(jià)測(cè)試與規(guī)范、安全控制與服務(wù)、身份管理與隱私保護(hù)等信息安全技術(shù)一般方法和標(biāo)準(zhǔn)化研究工作。

在ISO/IEC JTC1 SC27組中，信息安全標(biāo)準(zhǔn)體系是按照標(biāo)準(zhǔn)本身屬性進(jìn)行構(gòu)建的，其將信息安全標(biāo)準(zhǔn)分為技術(shù)規(guī)范類、管理指南類和評(píng)估認(rèn)證類，各個(gè)工作雖然研究領(lǐng)域不同，但是研究制定的信息安全標(biāo)準(zhǔn)基本可以歸納到這三類范圍中。

此外，為了加強(qiáng)大數(shù)據(jù)技術(shù)標(biāo)準(zhǔn)化，ISO/ IEC JTC1技術(shù)委員會(huì)專門成立了大數(shù)據(jù)研究組（ISO/IEC JTC1 SG2）[1],其當(dāng)前的工作重點(diǎn)是確定大數(shù)據(jù)領(lǐng)域術(shù)語與定義，研究大數(shù)據(jù)參考架構(gòu)，制定大數(shù)據(jù)標(biāo)準(zhǔn)路線圖。其中，標(biāo)準(zhǔn)路線圖的主要任務(wù)是調(diào)研大數(shù)據(jù)領(lǐng)域的關(guān)鍵技術(shù)、參考模型以及用例等標(biāo)準(zhǔn)基礎(chǔ)，評(píng)估當(dāng)前大數(shù)據(jù)標(biāo)準(zhǔn)需求，提出ISO/IEC JTC1大數(shù)據(jù)標(biāo)準(zhǔn)研究的優(yōu)先順序。

1.2 國際電信聯(lián)盟電信標(biāo)準(zhǔn)分局（ITU-T）

國際電信聯(lián)盟電信標(biāo)準(zhǔn)分局（ITU-T）是國際電信聯(lián)盟管理下的專門制定電信標(biāo)準(zhǔn)的分支機(jī)構(gòu)。ITU-T SG17組成立于2001年，負(fù)責(zé)研究信息安全標(biāo)準(zhǔn)，其特點(diǎn)是每3年作為一個(gè)研究周期，每個(gè)研究周期會(huì)調(diào)整工作領(lǐng)域和工作組的設(shè)置。在2009-2012研究周期，ITU-T SG17組共設(shè)置了3個(gè)工作領(lǐng)域（WP），分別是網(wǎng)絡(luò)與信息安全、應(yīng)用安全、身份管理和語言。3個(gè)工作領(lǐng)域下設(shè)了15個(gè)工作組，研究范圍基本涵蓋了電信和信息技術(shù)領(lǐng)域的安全需求。在2013-2016研究周期，ITU-T SG17組將工作領(lǐng)域拆分成了5個(gè)，并根據(jù)實(shí)際標(biāo)準(zhǔn)工作需求，通過新增、裁撤等方式最終形成了12個(gè)工作組，具體情況如圖1所示。ITU-T SG17組當(dāng)前的研究重點(diǎn)領(lǐng)域包括軟件定義網(wǎng)絡(luò)、云計(jì)算、物聯(lián)網(wǎng)、生物特征識(shí)別、個(gè)人信息保護(hù)等。

圖1 ITU-T SG17組2013-2016研究周期工作組設(shè)置

ITU-T SG17組沒有對(duì)外發(fā)布其標(biāo)準(zhǔn)體系框架，但其工作領(lǐng)域和工作組的設(shè)置基本反映出ITU-T信息安全標(biāo)準(zhǔn)研究的布局。從圖1可以看出，ITU-T SG17組大致遵循了電信領(lǐng)域一貫的分層模式，分成基礎(chǔ)安全、網(wǎng)絡(luò)和信息安全、應(yīng)用安全，另外還根據(jù)實(shí)際工作需要設(shè)置身份管理和云計(jì)算安全、形式語言兩個(gè)研究領(lǐng)域。具體到課題組設(shè)置，ITU-T SG17組沒有遵循一致的劃分原則，而是根據(jù)各工作領(lǐng)域在一個(gè)研究周期內(nèi)的工作重點(diǎn)方向和各成員的標(biāo)準(zhǔn)化需求進(jìn)行設(shè)置，因此每個(gè)研究周期的課題組設(shè)置相對(duì)變化較大。

1.3 美國國家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）

美國國家標(biāo)準(zhǔn)和技術(shù)研究院(National Institute of Standards and Technology，NIST）成立于1901年，隸屬于美國商務(wù)部技術(shù)司。NIST 是一個(gè)非監(jiān)管性質(zhì)的聯(lián)邦部門，是美國測(cè)量技術(shù)和標(biāo)準(zhǔn)的國家級(jí)研究機(jī)構(gòu)，其主要職責(zé)是通過對(duì)測(cè)量、標(biāo)準(zhǔn)和技術(shù)的研究，推動(dòng)和促進(jìn)創(chuàng)新及產(chǎn)業(yè)競(jìng)爭(zhēng)力[2]。NIST信息技術(shù)實(shí)驗(yàn)室下設(shè)的計(jì)算機(jī)安全研究室（Computer Security Division,CSD）和應(yīng)用網(wǎng)絡(luò)空間安全研究室（Applied Cybersecurity Division, ACD）是NIST信息安全標(biāo)準(zhǔn)的主要制定部門。

NIST發(fā)布的信息安全標(biāo)準(zhǔn)和文件類型包括聯(lián)邦信息處理標(biāo)準(zhǔn)系列（FIPS）、特別出版物系列（Special Publication,SP）、內(nèi)部報(bào)告系列（IRs）和信息技術(shù)實(shí)驗(yàn)室安全快報(bào)系列（ITLs）等。聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS）大部分為強(qiáng)制標(biāo)準(zhǔn)，要求大多數(shù)的聯(lián)邦政府部門按照標(biāo)準(zhǔn)中的規(guī)定執(zhí)行。截止到2016年5月，有效的 FIPS共9項(xiàng)，涉及密碼算法、聯(lián)邦政府信息系統(tǒng)保護(hù)兩個(gè)方面。SP 800 系列是NIST 在信息技術(shù)安全方面的特別出版物，起始于1990 年。SP800系列均屬于技術(shù)指南文件，對(duì)聯(lián)邦政府部門不具有強(qiáng)制性，只是提供一種供參考的方法或經(jīng)驗(yàn)，涉及的內(nèi)容包括系統(tǒng)和應(yīng)用安全、安全基礎(chǔ)組件和機(jī)制、安全測(cè)試與評(píng)估等。

NIST近年來在云計(jì)算和大數(shù)據(jù)技術(shù)標(biāo)準(zhǔn)化研究方面貢獻(xiàn)突出，其發(fā)布的云計(jì)算、大數(shù)據(jù)參考架構(gòu)，公有云中的安全與隱私指南等標(biāo)準(zhǔn)對(duì)相關(guān)國際標(biāo)準(zhǔn)化工作影響深刻[3]。NIST同樣注重標(biāo)準(zhǔn)體系梳理工作，在云計(jì)算和大數(shù)據(jù)領(lǐng)域分別發(fā)布了標(biāo)準(zhǔn)路線圖，分析相關(guān)標(biāo)準(zhǔn)現(xiàn)狀及存在問題，提出當(dāng)前標(biāo)準(zhǔn)缺口，并根據(jù)迫切程度提出NIST標(biāo)準(zhǔn)研究?jī)?yōu)先級(jí)的建議。

2 我國信息安全標(biāo)準(zhǔn)體系建設(shè)情況

近年來，我國也非常重視信息安全標(biāo)準(zhǔn)建設(shè)工作，基本形成了國家和行業(yè)層面的相對(duì)完整的信息安全標(biāo)準(zhǔn)體系，目前國內(nèi)涉及信息安全標(biāo)準(zhǔn)化工作的組織機(jī)構(gòu)主要是全國信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)和中國通信標(biāo)準(zhǔn)化協(xié)會(huì)。

2.1 全國信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）

全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）是國家標(biāo)準(zhǔn)化管理委員會(huì)的直屬標(biāo)準(zhǔn)委員會(huì)，成立于2002年，編號(hào)為SAC/TC260，負(fù)責(zé)全國信息安全技術(shù)、安全機(jī)制、安全服務(wù)、安全管理、安全評(píng)估等領(lǐng)域標(biāo)準(zhǔn)化工作，并負(fù)責(zé)統(tǒng)一協(xié)調(diào)申報(bào)信息安全國家標(biāo)準(zhǔn)年度計(jì)劃項(xiàng)目，組織國家標(biāo)準(zhǔn)的送審、報(bào)批工作。截止目前，TC260共組織374項(xiàng)信息安全國家標(biāo)準(zhǔn)制修訂項(xiàng)目，其中正式發(fā)布國家標(biāo)準(zhǔn)167項(xiàng)。

為了加強(qiáng)標(biāo)準(zhǔn)體系建設(shè)，TC260專門成立了信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組（WG1）研究信息安全標(biāo)準(zhǔn)體系，跟蹤國際信息安全標(biāo)準(zhǔn)發(fā)展動(dòng)態(tài)，分析國內(nèi)信息安全標(biāo)準(zhǔn)的應(yīng)用需求，其制定的信息安全標(biāo)準(zhǔn)體系框架如圖2所示?？梢钥闯觯琓C260的標(biāo)準(zhǔn)體系框架混合了標(biāo)準(zhǔn)屬性和標(biāo)準(zhǔn)研究?jī)?nèi)容兩種分類方式，將信息安全標(biāo)準(zhǔn)分為基礎(chǔ)標(biāo)準(zhǔn)、技術(shù)與機(jī)制、管理標(biāo)準(zhǔn)、測(cè)評(píng)標(biāo)準(zhǔn)、密碼技術(shù)、保密技術(shù)。TC260內(nèi)部的工作組基本參照標(biāo)準(zhǔn)體系框架的分類方法進(jìn)行劃分，近兩年根據(jù)技術(shù)發(fā)展趨勢(shì)，專門成立了大數(shù)據(jù)安全標(biāo)準(zhǔn)特別工作組，負(fù)責(zé)大數(shù)據(jù)、云計(jì)算、智慧城市相關(guān)的安全標(biāo)準(zhǔn)化研制工作。

圖2 TC260信息安全標(biāo)準(zhǔn)體系框架

2.2 中國通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）

中國通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）成立于2002年，是我國開展通信技術(shù)領(lǐng)域標(biāo)準(zhǔn)化活動(dòng)的非營利性組織。CCSA TC8網(wǎng)絡(luò)與信息安全技術(shù)委員會(huì)專門從事面向公眾服務(wù)的互聯(lián)網(wǎng)、通信網(wǎng)絡(luò)包括特殊通信領(lǐng)域信息安全行業(yè)標(biāo)準(zhǔn)化研究，其設(shè)置了有線網(wǎng)絡(luò)與信息安全、無線網(wǎng)絡(luò)與信息安全、安全管理和安全基礎(chǔ)設(shè)施4個(gè)工作組。CCSA同樣重視標(biāo)準(zhǔn)體系研究，其制定的網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)體系框架如圖3所示。可以看出，CCSA的標(biāo)準(zhǔn)體系框架有著明顯的電信網(wǎng)絡(luò)技術(shù)特點(diǎn)，以標(biāo)準(zhǔn)研究?jī)?nèi)容為分類維度，延續(xù)電信網(wǎng)絡(luò)分層體系思維，將網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)分為業(yè)務(wù)與應(yīng)用類、網(wǎng)絡(luò)類、終端類、基礎(chǔ)類和管理類。

圖3 CCSA信息安全標(biāo)準(zhǔn)體系框架

3 我國信息安全標(biāo)準(zhǔn)體系建設(shè)面臨的問題及原因分析

如前所述，信息安全標(biāo)準(zhǔn)體系框架在標(biāo)準(zhǔn)制、修訂實(shí)際工作中應(yīng)當(dāng)發(fā)揮規(guī)劃布局作用。但從目前國內(nèi)信息安全標(biāo)準(zhǔn)化實(shí)際工作情況來看，標(biāo)準(zhǔn)體系框架尚未完全發(fā)揮其應(yīng)有的作用。以通信行業(yè)為例，除了在信息安全標(biāo)準(zhǔn)立項(xiàng)階段要求闡述擬立項(xiàng)標(biāo)準(zhǔn)在標(biāo)準(zhǔn)體系框架中的位置，在其他標(biāo)準(zhǔn)制定環(huán)節(jié)以及標(biāo)準(zhǔn)組織管理工作中，標(biāo)準(zhǔn)體系框架對(duì)信息安全標(biāo)準(zhǔn)化整體工作的現(xiàn)實(shí)指導(dǎo)意義并未充分顯現(xiàn)。分析其中的原因，主要有以下三個(gè)方面：

3.1 標(biāo)準(zhǔn)體系框架的實(shí)用性

日趨復(fù)雜的信息安全標(biāo)準(zhǔn)體系框架導(dǎo)致實(shí)際操作中的易用性明顯下降。比較公認(rèn)的信息安全標(biāo)準(zhǔn)體系框架維度劃分方式可以概括為標(biāo)準(zhǔn)對(duì)象和標(biāo)準(zhǔn)屬性。按照標(biāo)準(zhǔn)研究、規(guī)范的對(duì)象可以將信息安全標(biāo)準(zhǔn)劃分為應(yīng)用服務(wù)、系統(tǒng)網(wǎng)絡(luò)、設(shè)備產(chǎn)品、安全管理和安全技術(shù)等，各行業(yè)還可以根據(jù)自身特點(diǎn)對(duì)標(biāo)準(zhǔn)對(duì)象的劃分進(jìn)行完善和細(xì)化。按照標(biāo)準(zhǔn)屬性可以將信息安全標(biāo)準(zhǔn)劃分為基礎(chǔ)類、要求類、指南類和測(cè)評(píng)類，像ISO/IEC JTC1 SC27組和全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)的工作組和標(biāo)準(zhǔn)體系框架設(shè)置基本參照了標(biāo)準(zhǔn)屬性分類方法。可以看到，早前信息安全標(biāo)準(zhǔn)體系的劃分方法相對(duì)簡(jiǎn)單，并且邊界清晰。但隨著信息技術(shù)的演進(jìn)變革與融合創(chuàng)

新，新的網(wǎng)絡(luò)業(yè)務(wù)和服務(wù)類型（如，CDN、云服務(wù)等）、網(wǎng)絡(luò)技術(shù)（如，5G、SDN等）使得標(biāo)準(zhǔn)研究對(duì)象不斷增多，標(biāo)準(zhǔn)體系日漸龐大。同時(shí)，類似于云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等自成體系的技術(shù)領(lǐng)域，其信息安全標(biāo)準(zhǔn)基本涵蓋了所有標(biāo)準(zhǔn)對(duì)象和標(biāo)準(zhǔn)屬性的類別。為了能夠清晰展示標(biāo)準(zhǔn)間的內(nèi)在邏輯，信息安全標(biāo)準(zhǔn)體系框架的維度可能需要擴(kuò)充到二維甚至是三維，從標(biāo)準(zhǔn)研究對(duì)象、標(biāo)準(zhǔn)自身屬性及所屬技術(shù)領(lǐng)域三個(gè)維度定位一個(gè)標(biāo)準(zhǔn)，這將直接增加標(biāo)準(zhǔn)體系框架在實(shí)際操作中的難度。

3.2 標(biāo)準(zhǔn)體系框架的適用性

標(biāo)準(zhǔn)體系框架滾動(dòng)更新機(jī)制運(yùn)行不暢導(dǎo)致與標(biāo)準(zhǔn)制定實(shí)際需求脫節(jié)。信息安全標(biāo)準(zhǔn)研究工作伴隨著信息技術(shù)發(fā)展呈現(xiàn)階段性的趨勢(shì)和特征，每個(gè)時(shí)期都有特定的重點(diǎn)研究方向和熱點(diǎn)。為了適應(yīng)這樣的發(fā)展變化規(guī)律，ITU-T SG 17組設(shè)定3年為一個(gè)研究周期，每個(gè)研究周期結(jié)束后對(duì)其下設(shè)的研究領(lǐng)域和工作組進(jìn)行重新劃分，這可以看做是在調(diào)整其信息安全標(biāo)準(zhǔn)體系框架及研究重心，從而為組織內(nèi)部標(biāo)準(zhǔn)研究工作的順利開展提供保障。從目前的實(shí)際工作來看，我國信息安全標(biāo)準(zhǔn)體系框架滾動(dòng)更新和持續(xù)改進(jìn)工作落實(shí)還不到位，存在新立項(xiàng)標(biāo)準(zhǔn)在信息安全標(biāo)準(zhǔn)體系框架中找不到所屬類別，或可以同時(shí)分屬多個(gè)類別等現(xiàn)象，這在一定程度上說明標(biāo)準(zhǔn)體系框架未能充分適應(yīng)當(dāng)前信息安全標(biāo)準(zhǔn)化工作需求，未能充分反應(yīng)當(dāng)前工作熱點(diǎn)，自然難以發(fā)揮標(biāo)準(zhǔn)體系框架應(yīng)有的規(guī)劃指導(dǎo)作用。

3.3 標(biāo)準(zhǔn)體系框架的后向銜接性

缺少已有標(biāo)準(zhǔn)的體系化梳理導(dǎo)致目前標(biāo)準(zhǔn)立項(xiàng)工作相對(duì)無序。如何實(shí)現(xiàn)信息安全標(biāo)準(zhǔn)體系框架與現(xiàn)實(shí)標(biāo)準(zhǔn)化工作的有機(jī)結(jié)合，首要工作是利用標(biāo)準(zhǔn)體系框架對(duì)已發(fā)布的安全標(biāo)準(zhǔn)進(jìn)行系統(tǒng)梳理，確定每一項(xiàng)標(biāo)準(zhǔn)在標(biāo)準(zhǔn)體系中的相對(duì)位置，利用標(biāo)準(zhǔn)體系框架圖形化全局展現(xiàn)信息安全標(biāo)準(zhǔn)體系建設(shè)情況。這是一項(xiàng)非?；A(chǔ)且重要的工作，一方面通過體系化梳理，可以發(fā)現(xiàn)同一類別的標(biāo)準(zhǔn)是否存在重復(fù)、沖突等問題，從而及時(shí)啟動(dòng)相應(yīng)的標(biāo)準(zhǔn)修訂、廢止工作；一方面體系化梳理能夠客觀展現(xiàn)標(biāo)準(zhǔn)化工作整體布局，從標(biāo)準(zhǔn)分布情況發(fā)現(xiàn)標(biāo)準(zhǔn)化工作的薄弱環(huán)節(jié)，從而指導(dǎo)制定標(biāo)準(zhǔn)工作計(jì)劃。ISO/ IEC JTC1 SC27組和NIST雖然沒有發(fā)布標(biāo)準(zhǔn)化體系框架，但非常注重標(biāo)準(zhǔn)體系梳理工作，特別是在全面啟動(dòng)云計(jì)算、大數(shù)據(jù)等新的研究領(lǐng)域標(biāo)準(zhǔn)化工作前，都要研究相應(yīng)技術(shù)參考架構(gòu)及安全需求，并且對(duì)相關(guān)的已發(fā)布標(biāo)準(zhǔn)進(jìn)行全面梳理，從而確定哪些方向現(xiàn)有標(biāo)準(zhǔn)可以沿用，哪些方向必須制定新標(biāo)準(zhǔn)。我國信息安全標(biāo)準(zhǔn)化體系框架制定發(fā)布后，基礎(chǔ)性的標(biāo)準(zhǔn)體系梳理工作做得還不夠，標(biāo)準(zhǔn)立項(xiàng)申請(qǐng)者很難通過自身力量了解掌握信息安全標(biāo)準(zhǔn)全局性信息，僅從自身需求出發(fā)提出標(biāo)準(zhǔn)立項(xiàng)申請(qǐng)，必然導(dǎo)致扎堆、重復(fù)申報(bào)等亂象。

4 推進(jìn)我國信息安全標(biāo)準(zhǔn)體系建設(shè)的思考

今年8月，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室、國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局、國家標(biāo)準(zhǔn)化管理委員會(huì)聯(lián)合發(fā)布了《關(guān)于加強(qiáng)國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見》（以下簡(jiǎn)稱《意見》），對(duì)我國構(gòu)建統(tǒng)一權(quán)威、科學(xué)高效的信息安全標(biāo)準(zhǔn)體系和標(biāo)準(zhǔn)化工作機(jī)制進(jìn)行了統(tǒng)一布局、統(tǒng)一謀劃。本文結(jié)合《意見》的相關(guān)內(nèi)容，以信息安全

標(biāo)準(zhǔn)體系框架研究作為切入點(diǎn)，對(duì)我國未來信息安全標(biāo)準(zhǔn)體系建設(shè)提出了如下建議。

4.1 構(gòu)建實(shí)用性強(qiáng)、可擴(kuò)展性強(qiáng)的信息安全標(biāo)準(zhǔn)體系框架

一是構(gòu)建基于屬性維度的標(biāo)準(zhǔn)體系框架。標(biāo)準(zhǔn)體系框架的研究制定對(duì)建成適應(yīng)發(fā)展、結(jié)構(gòu)合理、科學(xué)高效的信息安全技術(shù)標(biāo)準(zhǔn)體系有著重要的指引性作用。如前所述，當(dāng)前信息安全標(biāo)準(zhǔn)體系框架存在一些實(shí)用性問題，癥結(jié)是在于標(biāo)準(zhǔn)體系框架分類維度的選取。通過對(duì)安全技術(shù)標(biāo)準(zhǔn)制定規(guī)律、慣例的進(jìn)一步總結(jié)提煉，可以看到，對(duì)于一個(gè)標(biāo)準(zhǔn)研究對(duì)象而言，會(huì)同時(shí)存在要求、指南、測(cè)試等標(biāo)準(zhǔn)制定需求，因此以標(biāo)準(zhǔn)屬性作為主要分類維度的標(biāo)準(zhǔn)體系框架能夠具備一定的穩(wěn)定性。同時(shí)，為應(yīng)對(duì)不斷增加的標(biāo)準(zhǔn)研究對(duì)象及領(lǐng)域，可以構(gòu)建標(biāo)準(zhǔn)體系框架族，以通用型框架為藍(lán)本，構(gòu)建以云計(jì)算、大數(shù)據(jù)、工業(yè)互聯(lián)網(wǎng)等為代表的新興領(lǐng)域標(biāo)準(zhǔn)體系框架，一方面能夠清晰展現(xiàn)該領(lǐng)域的標(biāo)準(zhǔn)體系特點(diǎn)，另一方面可以有效控制單個(gè)標(biāo)準(zhǔn)體系框架的規(guī)模，從而解決實(shí)用性的問題。二是落實(shí)標(biāo)準(zhǔn)體系框架定期滾動(dòng)更新機(jī)制。信息技術(shù)的快速迭代演進(jìn)促使信息安全標(biāo)準(zhǔn)制定步伐也在不斷加快，《意見》中明確提出要“縮短標(biāo)準(zhǔn)制修訂周期，原則上不超過2年，確保標(biāo)準(zhǔn)及時(shí)滿足網(wǎng)絡(luò)安全保障、新興技術(shù)與產(chǎn)業(yè)發(fā)展的需求”。為了在快速制定標(biāo)準(zhǔn)的同時(shí)保證標(biāo)準(zhǔn)體系的規(guī)范有序、科學(xué)合理，需要建立標(biāo)準(zhǔn)體系框架滾動(dòng)更新機(jī)制，定期組織信息安全標(biāo)準(zhǔn)化專家對(duì)標(biāo)準(zhǔn)體系框架進(jìn)行修訂完善，保持框架的適應(yīng)性和前瞻性。

4.2 落實(shí)信息安全標(biāo)準(zhǔn)體系建設(shè)的基礎(chǔ)性工作

一是扎實(shí)做好現(xiàn)有標(biāo)準(zhǔn)體系的系統(tǒng)梳理。《意見》中明確提出要“定期發(fā)布信息安全標(biāo)準(zhǔn)體系建設(shè)指南，指導(dǎo)標(biāo)準(zhǔn)制定工作有計(jì)劃、有步驟推進(jìn)”。更進(jìn)一步，在制定建設(shè)指南的過程中，可以綜合運(yùn)用標(biāo)準(zhǔn)體系框架，全面、系統(tǒng)梳理已發(fā)布的信息安全標(biāo)準(zhǔn)，總結(jié)分析當(dāng)前信息安全標(biāo)準(zhǔn)體系內(nèi)容交叉覆蓋、結(jié)構(gòu)失衡等問題，以問題為導(dǎo)向，以需求為牽引，指明下一步標(biāo)準(zhǔn)制定工作方向及重點(diǎn)，形成信息安全標(biāo)準(zhǔn)立項(xiàng)建議清單，加強(qiáng)標(biāo)準(zhǔn)立項(xiàng)環(huán)節(jié)的統(tǒng)籌管理。二是新興領(lǐng)域標(biāo)準(zhǔn)制定做到“先梳理，再立項(xiàng)”。以云計(jì)算、大數(shù)據(jù)為代表的新興信息技術(shù)有著一定的技術(shù)延續(xù)性及發(fā)展脈絡(luò)，例如大數(shù)據(jù)安全中數(shù)據(jù)安全保護(hù)一直以來是信息安全關(guān)注的重點(diǎn)問題之一，舊有的安全技術(shù)標(biāo)準(zhǔn)也可能適用于新興技術(shù)領(lǐng)域。NIST在《大數(shù)據(jù)標(biāo)準(zhǔn)路線圖》中總結(jié)梳理了9個(gè)國際主要標(biāo)準(zhǔn)組織發(fā)布的與大數(shù)據(jù)相關(guān)的國際標(biāo)準(zhǔn)，得出的結(jié)論是多數(shù)標(biāo)準(zhǔn)能夠在大數(shù)據(jù)場(chǎng)景下繼續(xù)沿用。因此，在啟動(dòng)新技術(shù)領(lǐng)域的安全標(biāo)準(zhǔn)制定工作前，首先需要明確安全需求，梳理已有標(biāo)準(zhǔn)，找準(zhǔn)標(biāo)準(zhǔn)體系中的空白，才能明確發(fā)力方向，快速構(gòu)建標(biāo)準(zhǔn)體系，避免重復(fù)勞動(dòng)和資源浪費(fèi)。

4.3 加強(qiáng)信息安全標(biāo)準(zhǔn)體系建設(shè)統(tǒng)籌指導(dǎo)

一是協(xié)調(diào)好各級(jí)標(biāo)準(zhǔn)間的關(guān)系?！兑庖姟分兄该饕罢暇?jiǎn)強(qiáng)制性國家標(biāo)準(zhǔn)，優(yōu)化完善推薦性國家標(biāo)準(zhǔn)，視情指定推薦性行業(yè)標(biāo)準(zhǔn)”，基本明確了強(qiáng)制性標(biāo)準(zhǔn)與推薦性標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)與行業(yè)標(biāo)準(zhǔn)的制定原則。實(shí)際工作中，還需進(jìn)一步加強(qiáng)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)與各行業(yè)標(biāo)準(zhǔn)化組織的溝通協(xié)調(diào)工作機(jī)制建設(shè)，探索明確國家標(biāo)準(zhǔn)與行業(yè)標(biāo)準(zhǔn)的邊界、各自的

站位，進(jìn)而形成覆蓋全面、協(xié)調(diào)一致、層次鮮明的信息安全標(biāo)準(zhǔn)體系。二是處理好“自上而下”與“自下而上”的標(biāo)準(zhǔn)需求間的關(guān)系。標(biāo)準(zhǔn)制定主體和標(biāo)準(zhǔn)使用主體在產(chǎn)業(yè)界，因此滿足國家保障信息安全需求的同時(shí)，需要兼顧產(chǎn)業(yè)界對(duì)安全標(biāo)準(zhǔn)化的需求。對(duì)于與國家信息安全保障和治理緊密相關(guān)的標(biāo)準(zhǔn)，可以由政府主導(dǎo)制定并推動(dòng)實(shí)施；對(duì)于其他信息安全標(biāo)準(zhǔn)，可以充分發(fā)揮產(chǎn)業(yè)力量，鼓勵(lì)和吸收更多的企業(yè)、高校、科研院所、檢測(cè)認(rèn)證機(jī)構(gòu)等各方實(shí)質(zhì)性參與，發(fā)揮企業(yè)主體作用，提高標(biāo)準(zhǔn)制定的參與度和廣泛性。

5 結(jié)語

近年來，國家高度重視標(biāo)準(zhǔn)化工作，李克強(qiáng)總理在第39屆國際標(biāo)準(zhǔn)化組織大會(huì)上發(fā)表致辭，強(qiáng)調(diào)標(biāo)準(zhǔn)化水平的高低，反映了一個(gè)國家產(chǎn)業(yè)核心競(jìng)爭(zhēng)力乃至綜合實(shí)力的強(qiáng)弱。同時(shí)，網(wǎng)絡(luò)空間安全與國家安全的關(guān)聯(lián)愈加緊密，戰(zhàn)略地位不斷凸顯。因此，信息安全標(biāo)準(zhǔn)體系建設(shè)對(duì)我國夯實(shí)安全技術(shù)基礎(chǔ)、促進(jìn)技術(shù)創(chuàng)新、提升產(chǎn)業(yè)競(jìng)爭(zhēng)力、維護(hù)國家安全至關(guān)重要。本文總結(jié)梳理國際三大主流信息安全標(biāo)準(zhǔn)化組織在標(biāo)準(zhǔn)體系建設(shè)方面的特點(diǎn)與經(jīng)驗(yàn)，并以標(biāo)準(zhǔn)體系框架為出發(fā)點(diǎn)提出了工作建議。后續(xù)，需要國家和各行業(yè)標(biāo)準(zhǔn)化組織共同努力，構(gòu)建協(xié)調(diào)統(tǒng)一、層次分明、科學(xué)高效的信息安全標(biāo)準(zhǔn)體系。

[1] 中國電子技術(shù)標(biāo)準(zhǔn)化研究院.大數(shù)據(jù)標(biāo)準(zhǔn)化白皮書[M].北京:中國電子技術(shù)標(biāo)準(zhǔn)化研究院，2014.

[2] 楊晨,楊建軍,王惠蒞. NIST信息安全標(biāo)準(zhǔn)化研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2011（03）：48-51.

[3] 中國電子技術(shù)標(biāo)準(zhǔn)化研究院.云計(jì)算標(biāo)準(zhǔn)化白皮書[M].北京:中國電子技術(shù)標(biāo)準(zhǔn)化研究院，2014.

陳湉，碩士，工程師，主要研究方向?yàn)殡娦藕突ヂ?lián)網(wǎng)信息安全標(biāo)準(zhǔn)化研究、網(wǎng)絡(luò)數(shù)據(jù)安全和個(gè)人信息保護(hù)；

張彥超，博士，工程師，主要研究方向?yàn)殡娦藕突ヂ?lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)、云計(jì)算安全、網(wǎng)絡(luò)數(shù)據(jù)安全和個(gè)人信息保護(hù)；

趙爽，碩士，助理工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全產(chǎn)業(yè)、網(wǎng)絡(luò)安全政策、通信網(wǎng)絡(luò)安全防護(hù)。

Present Situation of International Information Security Standards and Thingking on China’s Standard System Construction

CHEN Tian,ZHANG Yanchao, ZHAO Shuang
(China Academy of Information and Communications Technology, Beijing 100191 ,China）

International information security standardization work arose in the middle of 1970s, developed rapidly in 1980s and attracted worldwide attention in 1990s. Many telecommunications and Internet international standardization organizations have set up special working groups engaged in information security standardization work. This paper discussed the present work status of the three major information security standardization organizations of wide and deep influence, and combs out China’s construction of information security standards system, then analyzes the existing problems of China’s information security standards system framework, and finally gives suggestions for further promotion of China’s standardization work.

information security; standard system; standard system framework; ISO/IEC;ITU-T；NIST

35.020

A

1009-8054(2016)11-0041-07

2016-08-02