國(guó)內(nèi)外網(wǎng)絡(luò)安全管理模式調(diào)研

1、國(guó)內(nèi)外網(wǎng)絡(luò)安全管理模式調(diào)研網(wǎng)絡(luò)空間作為繼陸、海、空、天之后的第五維空間，給人們的生產(chǎn)生活帶來(lái)了革命性的飛越。今年來(lái)，網(wǎng)絡(luò)空間形式日趨復(fù)雜嚴(yán)峻，網(wǎng)絡(luò)安全事件頻繁發(fā)生，對(duì)我國(guó)網(wǎng)絡(luò)空間安全構(gòu)成嚴(yán)重威脅，給我國(guó)的網(wǎng)絡(luò)空間防護(hù)帶來(lái)嚴(yán)峻挑戰(zhàn)。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化是網(wǎng)絡(luò)安全保障體系建設(shè)的一個(gè)重要的技術(shù)支撐，是做好網(wǎng)絡(luò)安全工作的重要切入點(diǎn)。本報(bào)告將分析國(guó)內(nèi)外網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的發(fā)展現(xiàn)狀，研究ISO/IEC、ITU以及CCSA等國(guó)內(nèi)外網(wǎng)絡(luò)安全標(biāo)準(zhǔn)相關(guān)的主要組織，并重點(diǎn)介紹了CC 標(biāo)準(zhǔn)，以及分析了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系框架。一、國(guó)外網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系 （一）網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的發(fā)展歷史國(guó)際上信息安全標(biāo)準(zhǔn)化工作興起于20世紀(jì)70年代中期，8

2、0年代有了較快的發(fā)展，90年代引起了世界各國(guó)的普遍關(guān)注。1970年，美國(guó)國(guó)防科學(xué)委員會(huì)提出美國(guó)可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)（Trusted Computer System Evaluation Criteria，TCSEC），并于1985年12月由美國(guó)國(guó)防部公布。TCSEC標(biāo)準(zhǔn)是計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)，具有劃時(shí)代的意義。TCSEC中使用了可信計(jì)算基礎(chǔ)（Trusted Computing Base, TCB）這一概念，即計(jì)算機(jī)硬件與支持不可信應(yīng)用及不可信用戶的操作系統(tǒng)的組合體。TCSEC 論述的重點(diǎn)是通用的操作系統(tǒng)，為了使它的評(píng)判方法適用于網(wǎng)絡(luò)，NCSC于1987年出版了一系列有關(guān)可信計(jì)算

3、機(jī)數(shù)據(jù)庫(kù)、可信計(jì)算機(jī)網(wǎng)絡(luò)等的指南等。該書從網(wǎng)絡(luò)安全的角度出發(fā)，解釋了準(zhǔn)則中的觀點(diǎn)，從用戶登錄、授權(quán)管理、訪問(wèn)控制、審計(jì)跟蹤、隱通道分析、可信通道建立、安全檢測(cè)、生命周期保障、文本寫作、用戶指南均提出了規(guī)范性要求，并根據(jù)所采用的安全策略、系統(tǒng)所具備的安全功能將系統(tǒng)分為四類七個(gè)安全級(jí)別。將計(jì)算機(jī)系統(tǒng)的可信程度劃分為D、C1、C2、B1、B2、B3和A1七個(gè)層次。1990年，加拿大專門針對(duì)政府需求設(shè)計(jì)出加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)估標(biāo)準(zhǔn)（Canadian Trusted Computer Product Evaluation Criteria，CTCPEC）。與 ITSEC 類似，該標(biāo)準(zhǔn)將安全分為功能性需

4、求和保證性需要兩部分。功能性需求共劃分為4大類：機(jī)密性、完整性、可用性和可控性。每種安全需求又可以分成很多小類，來(lái)表示安全性上的差別，分級(jí)條數(shù)為05級(jí)。1991年，美國(guó)發(fā)表了信息技術(shù)安全性評(píng)估聯(lián)邦準(zhǔn)則（US Federal Communications Commission，F(xiàn)C）。該標(biāo)準(zhǔn)的目的是提供TCSEC的升級(jí)版本，同時(shí)保護(hù)已有投資。但 FC 有很多缺陷，是一個(gè)過(guò)渡標(biāo)準(zhǔn)，后來(lái)結(jié)合ITSEC發(fā)展為通用安全評(píng)估準(zhǔn)則。1991年，西歐四國(guó)（英、法、德、荷）聯(lián)合提出了信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)（Information Technology Security Evalution Criteria，ITS

5、EC）。ITSEC除了吸收 TCSEC 的成功經(jīng)驗(yàn)外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信計(jì)算機(jī)的概念提高到可信信息技術(shù)的高度上來(lái)認(rèn)識(shí)。他們的工作成為歐共體信息安全計(jì)劃的基礎(chǔ)，并對(duì)國(guó)際信息安全的研究、實(shí)施帶來(lái)深刻的影響。1993年3月，IETF（Internet Engineering Task Force，互聯(lián)網(wǎng)工程任務(wù)組）專門成立了一個(gè)IPSec 工作組，負(fù)責(zé)開(kāi)發(fā)和制定既適用于現(xiàn)有IPv4網(wǎng)絡(luò)環(huán)境，又適用于下一代IPv6 網(wǎng)絡(luò)環(huán)境的Internet層安全機(jī)制標(biāo)準(zhǔn)。IPSec 就是 IPSec小組建立的一組IP安全協(xié)議集。IPSec 定義了在網(wǎng)際層使用

6、的安全服務(wù)，其功能包括數(shù)據(jù)加密、對(duì)網(wǎng)絡(luò)單元的訪問(wèn)控制、數(shù)據(jù)源地址驗(yàn)證、數(shù)據(jù)完整性檢查和防止重放攻擊。1993年6月，美國(guó)、加拿大及歐洲四國(guó)經(jīng)協(xié)商同意，起草單一的通用安全評(píng)估準(zhǔn)則（Command Criteria For IT Security Evaluation，CC），并將其推進(jìn)到國(guó)際標(biāo)準(zhǔn)。1996年1月出版了1.0版。它的基礎(chǔ)是歐洲的 ITSEC，美國(guó)的包括TCSEC 在內(nèi)的新的聯(lián)邦評(píng)估標(biāo)準(zhǔn)，加拿大的 CTCPEC，以及國(guó)際標(biāo)準(zhǔn)化組織 ISO：SC27WG3的安全評(píng)估標(biāo)準(zhǔn)。1999年10月cc v2.1版發(fā)布，2006年9月，cc v3.1版發(fā)布。CC 將評(píng)估過(guò)程劃分為功能和保證兩部分，

7、評(píng)估等級(jí)分為eal1、eal2、eal3、eal4、eal5、eal6和eal7共七個(gè)等級(jí)。每一級(jí)均需評(píng)估7個(gè)功能類，分別是配置管理、分發(fā)和操作、開(kāi)發(fā)過(guò)程、指導(dǎo)文獻(xiàn)、生命期的技術(shù)支持、測(cè)試和脆弱性評(píng)估。1999年，ISO 國(guó)際標(biāo)準(zhǔn)化組織發(fā)布 ISO/IEC 15408（其中包括ISO/IEC 15408-1：1999，ISO/IEC 15408-2：1999，ISO/IEC 15408-3：1999），它與1999年7月頒布的CC2.1相對(duì)應(yīng)。2005年10月CC2.3正式成為ISO/IEC 15408的第二版對(duì)應(yīng)（其中包括了ISO/IEC 15408-1：2005，ISO/IEC 15408

8、-2：2005，ISO/IEC 15408-3：2005）。ISO/IEC JTC 1和Common Criteria Project Organizations共同制訂了該系列標(biāo)準(zhǔn)。CC 標(biāo)準(zhǔn)與 ISO/IEC 15408內(nèi)容和組織基本是等同的。（二）網(wǎng)絡(luò)安全標(biāo)準(zhǔn)組織目前世界上有近300個(gè)國(guó)際和區(qū)域性組織制定標(biāo)準(zhǔn)或技術(shù)規(guī)則，與信息安全標(biāo)準(zhǔn)化有關(guān)的組織主要有以下6個(gè)：1. 國(guó)際標(biāo)準(zhǔn)化組織（ISO）國(guó)際標(biāo)準(zhǔn)化組織（International Organization for Standardization，ISO）簡(jiǎn)稱ISO，是一個(gè)全球性的非政府組織，在國(guó)際標(biāo)準(zhǔn)化領(lǐng)域舉足輕重。ISO的任務(wù)時(shí)促進(jìn)

9、全球范圍內(nèi)的標(biāo)準(zhǔn)化以及其有關(guān)活動(dòng)，以利于國(guó)際間產(chǎn)品與服務(wù)的交流，以及在知識(shí)、科學(xué)、技術(shù)和經(jīng)濟(jì)活動(dòng)中發(fā)展國(guó)際間的相互合作。ISO 技術(shù)工作時(shí)高度分散的，分別由2700多個(gè)技術(shù)委員會(huì)（TC），分技術(shù)委員會(huì)（SC）和工作組（WG）承擔(dān)。其中承擔(dān)信息安全相關(guān)標(biāo)準(zhǔn)的部門主要包括：（1）JTC1/SC27 IT 安全技術(shù)在 ISO 中，ISO/IEC JTC1（聯(lián)合技術(shù)委員會(huì)）所屬的安全技術(shù)分委員會(huì)（SC 27）,主要負(fù)責(zé)開(kāi)展安全標(biāo)準(zhǔn)的研制工作，其前身是 ISO/TC97 SC20。1990年4月瑞典斯德哥爾摩年會(huì)上正式成立 SC 27，秘書處設(shè)在德國(guó)的 BSI，其工作范圍為信息技術(shù)安全的一般方法和技術(shù)的

10、標(biāo)準(zhǔn)化。制定的標(biāo)準(zhǔn)主要涉及密碼算法、散列函數(shù)、數(shù)字簽名機(jī)制、實(shí)體鑒別機(jī)制、安全評(píng)估準(zhǔn)則等領(lǐng)域，并對(duì)促進(jìn)國(guó)際信息安全起了重要作用。（2）TC 68 金融服務(wù)在ISO中，ISO/IDC JTC1/SC27 負(fù)責(zé)通用信息技術(shù)安全標(biāo)準(zhǔn)的制定，ISO/TC68 負(fù)責(zé)銀行業(yè)務(wù)應(yīng)用范圍內(nèi)有關(guān)信息安全標(biāo)準(zhǔn)的制定。一個(gè)是制定通用基礎(chǔ)標(biāo)準(zhǔn)，一個(gè)是自定行業(yè)應(yīng)用標(biāo)準(zhǔn)，兩者在組織上和標(biāo)準(zhǔn)之間都有著密切的聯(lián)系。（3）其他 SC在ISO、IEC的聯(lián)合技術(shù)委員會(huì) JTC1內(nèi)，除了 SC27 專門從事安全技術(shù)和安全機(jī)制的標(biāo)準(zhǔn)化工作外，還有6個(gè) SC 分別承擔(dān)一部分安全標(biāo)準(zhǔn)制定任務(wù)。SC6：系統(tǒng)間通信與信息交換，主要開(kāi)發(fā)開(kāi)放系統(tǒng)

11、互連下四層安全模型和安全協(xié)議，如物理層加密的互操作性要求，網(wǎng)絡(luò)層安全協(xié)議等。SC17：卡和身份識(shí)別，主要開(kāi)發(fā)與識(shí)別卡有關(guān)的安全標(biāo)準(zhǔn)。SC18：文件處理及有關(guān)通信，主要開(kāi)發(fā)電子郵件、消息處理系統(tǒng)等安全標(biāo)準(zhǔn)。SC21：開(kāi)發(fā)系統(tǒng)互連，數(shù)據(jù)管理和開(kāi)放式分布處理，主要開(kāi)發(fā)開(kāi)放系統(tǒng)互連安全體系結(jié)構(gòu)、各種安全框架，高層安全模型等標(biāo)準(zhǔn)，如著名的 ISO/IEC 7498-2 以及一系列安全框架標(biāo)準(zhǔn)。SC22：程序語(yǔ)言，其環(huán)境及系統(tǒng)軟件接口，也開(kāi)發(fā)相應(yīng)的安全標(biāo)準(zhǔn)。SC30：開(kāi)放式電子數(shù)據(jù)交換，主要開(kāi)發(fā)電子數(shù)據(jù)交換的有關(guān)安全標(biāo)準(zhǔn)。如電子數(shù)據(jù)交換密鑰和證書管理報(bào)文，交互式電子數(shù)據(jù)交換安全規(guī)則等。2. 國(guó)際電工委員會(huì)

12、（IEC）IEC 成立于1906年，是世界上成立最早的國(guó)際性電工標(biāo)準(zhǔn)化機(jī)構(gòu)，總部設(shè)在日內(nèi)瓦。1947年 ISO 成立后，IEC 曾作為電工部門并入 ISO，但在技術(shù)上、財(cái)務(wù)上仍保持其獨(dú)立性。根據(jù)1976年 ISO 與 IEC的新協(xié)議，兩組織都是法律上獨(dú)立的組織，IEC 負(fù)責(zé)有關(guān)電工、電子領(lǐng)域的國(guó)際標(biāo)準(zhǔn)化工作，其他領(lǐng)域由 ISO 負(fù)責(zé)。IEC 的宗旨是促進(jìn)電工、電子領(lǐng)域中標(biāo)準(zhǔn)化及有關(guān)方面問(wèn)題的國(guó)際合作，增進(jìn)相互了解。在信息安全標(biāo)準(zhǔn)化方面，除了同 ISO聯(lián)合成立的 JTC1 下屬幾個(gè)分委員會(huì)外，還在電磁兼容等方面成立技術(shù)委員會(huì)，并制定相關(guān)國(guó)際標(biāo)準(zhǔn)，如信息技術(shù)設(shè)備安全。與信息安全標(biāo)準(zhǔn)化相關(guān)的技術(shù)委員

13、會(huì)有：TC56：可靠性。TC74：IT 設(shè)備安全和功效。TC77：電磁兼容。CISPR：國(guó)際無(wú)線電干擾特別委員會(huì)等。3. 國(guó)際電信聯(lián)盟（ITU） ITU 是聯(lián)合國(guó)的一個(gè)專門機(jī)構(gòu)，是國(guó)際電信界最權(quán)威的標(biāo)準(zhǔn)制修訂組織，成員由各國(guó)電信主管部門組成。其下電信標(biāo)準(zhǔn)部、無(wú)線電通信部和電信發(fā)展部承擔(dān)著實(shí)質(zhì)性標(biāo)準(zhǔn)制訂工作，制定的標(biāo)準(zhǔn)都是與電信相關(guān)的，包括網(wǎng)絡(luò)、電視、無(wú)線電、衛(wèi)星等等多種電信部門所涉及的行業(yè)。ITU 電信標(biāo)準(zhǔn)局（ITU-T）所屬的SG17組，主要負(fù)責(zé)研究通信系統(tǒng)安全標(biāo)準(zhǔn)。2001年底，SG7、SG10和SG17合并形成了新的 SG17 組。在20012004年中研究期中，SG 17組下設(shè)立 Qu

14、estion 10項(xiàng)目組來(lái)專門從事信息安全標(biāo)準(zhǔn)研究。在此研究期內(nèi)，Q10組主要集中于定義通信系統(tǒng)相關(guān)的整個(gè)安全框架，項(xiàng)目組活動(dòng)涉及到協(xié)調(diào)、配合并推動(dòng)其他通信系統(tǒng)安全相關(guān)的規(guī)范制定。ITU-T 單獨(dú)或與 ISO 聯(lián)合開(kāi)發(fā)了消息處理系統(tǒng)（MHS）、目錄系統(tǒng)（X.400 系統(tǒng)、X.500 系列）和安全框架、安全模型等方面的信息安全標(biāo)準(zhǔn)，其中的 X.509 標(biāo)準(zhǔn)是開(kāi)展電子商務(wù)認(rèn)證的重要基礎(chǔ)標(biāo)準(zhǔn)。4. 互聯(lián)網(wǎng)工程任務(wù)組（IETF）IETF 成立于1985年底，其主要任務(wù)是負(fù)責(zé)互聯(lián)網(wǎng)先關(guān)技術(shù)規(guī)范的研發(fā)和制定。目前，IETF 已成為全球互聯(lián)網(wǎng)最具權(quán)威的大型技術(shù)研究組織。IETF 是一個(gè)由 互聯(lián)網(wǎng)技術(shù)工程及發(fā)

15、展做出貢獻(xiàn)的專家自發(fā)參與和管理的國(guó)際民間機(jī)構(gòu)。它匯集了與互聯(lián)網(wǎng)架構(gòu)演化和互聯(lián)網(wǎng)穩(wěn)定運(yùn)作等業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)設(shè)計(jì)者，運(yùn)營(yíng)者和研究人員，并向所有對(duì)該行業(yè)感興趣的人士開(kāi)發(fā)。IETF 主要提出 Internet 標(biāo)準(zhǔn)草案和稱為“請(qǐng)求注解”（RFC）的協(xié)議文稿，內(nèi)容廣泛，也包括安全方面的建議稿，經(jīng)過(guò)網(wǎng)上討論修改，也被大家接受的就成了事實(shí)上的標(biāo)準(zhǔn)。目前 IETF 有關(guān)信息安全的工作組有btns、dkim、emu、hokey、ipsecme、isms、keyprov、kitten、krb-wg、Itans、msec、nea、pkix、sasl、smime、syslog、tls等17個(gè)。5. 美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)（A

16、NSI）ANSI 是非盈利性性質(zhì)的民間標(biāo)準(zhǔn)化團(tuán)體，但它實(shí)際上已成為美國(guó)國(guó)家標(biāo)準(zhǔn)化中心。其下設(shè)電工、建筑、日用品、制圖、材料試驗(yàn)等各種技術(shù)委員會(huì)，制定的標(biāo)準(zhǔn)涉及各個(gè)方面。 ANSI 通過(guò)其 X3、X9、X12等機(jī)構(gòu)制定了很多有關(guān)數(shù)據(jù)加密、銀行業(yè)務(wù)安全和EDI 安全等方面的標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)中，許多經(jīng) ISO反復(fù)討論后成為國(guó)際標(biāo)準(zhǔn)。ANSI 中技術(shù)委員會(huì) NCITS（即 X3）負(fù)責(zé)信息技術(shù)，也是JTC1的秘書處，其分技術(shù)委員會(huì) T4 負(fù)責(zé) IT安全技術(shù)，對(duì)口 JTC1 的 SC27。NCITS 從20世紀(jì)80年代開(kāi)始研制DES，但到目前為止，只制定了三個(gè)通用的國(guó)家標(biāo)準(zhǔn)。ANSI 負(fù)責(zé)金融安全的小組有

17、X9 和 X12。X9 制定金融業(yè)務(wù)標(biāo)準(zhǔn)，X12 制定商業(yè)交易標(biāo)準(zhǔn)。已制定金融交易卡、密碼服務(wù)消息，以及實(shí)現(xiàn)商業(yè)交易安全等放慢的安全標(biāo)準(zhǔn)十多個(gè)。6. 美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）NIST 成立于1901年，隸屬于商務(wù)部技術(shù)司，是集科研、計(jì)量、標(biāo)準(zhǔn)化、技術(shù)創(chuàng)新為一體的非監(jiān)管性質(zhì)的聯(lián)邦部門。NIST 下設(shè)的信息技術(shù)實(shí)驗(yàn)室（ITL），專門設(shè)有計(jì)算機(jī)安全處（CSD），主要協(xié)助美國(guó)政府和產(chǎn)業(yè)界進(jìn)行安全規(guī)劃、風(fēng)險(xiǎn)管理、應(yīng)急計(jì)劃、加密、人員身份認(rèn)證及智能卡應(yīng)用等安全技術(shù)的開(kāi)發(fā)、推廣應(yīng)用、計(jì)算機(jī)病毒檢測(cè)與防治、安全教育培訓(xùn)等方面的工作，同時(shí)還負(fù)責(zé)制定安全技術(shù)和安全產(chǎn)品的國(guó)家和國(guó)際標(biāo)準(zhǔn)，由其制定與國(guó)家重

18、大利益相關(guān)的標(biāo)準(zhǔn)多負(fù)責(zé)協(xié)調(diào)聯(lián)邦機(jī)構(gòu)標(biāo)準(zhǔn)和私有部門的標(biāo)準(zhǔn)及合格評(píng)定程序，參與自愿性標(biāo)準(zhǔn)化活動(dòng)。二、國(guó)內(nèi)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系（一）國(guó)內(nèi)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的發(fā)展歷史中國(guó)在20世紀(jì)80年代就開(kāi)始創(chuàng)建自己的信息安全標(biāo)準(zhǔn)，1984年6月，由全國(guó)計(jì)算機(jī)與信息處理標(biāo)準(zhǔn)化技術(shù)委員會(huì)組建了“數(shù)據(jù)加密”直屬工作組（后來(lái)轉(zhuǎn)為分技術(shù)委員會(huì)）。1992年改為“全國(guó)信息技術(shù)”標(biāo)準(zhǔn)化技術(shù)委員會(huì)；2002年單獨(dú)成立全國(guó)信息安全標(biāo)準(zhǔn)化。到目前為止，該標(biāo)準(zhǔn)化技術(shù)委員會(huì)已制定了（已發(fā)布）信息技術(shù)方面的我國(guó)國(guó)家標(biāo)準(zhǔn)共計(jì)87個(gè)，用以支持信息安全的管理工作和信息安全各類工具的規(guī)范化發(fā)展。從80年代開(kāi)始，標(biāo)準(zhǔn)的制定經(jīng)歷了幾次改動(dòng)。首先制定了TEMPE

19、ST技術(shù)要求，接著等同采用了美國(guó)TCSEC及國(guó)際標(biāo)準(zhǔn)組織的一大批標(biāo)準(zhǔn)，至目前累計(jì)已有幾十個(gè)標(biāo)準(zhǔn)已經(jīng)或正在發(fā)揮積極作用。2003年7月，國(guó)務(wù)院信息化領(lǐng)導(dǎo)小組通過(guò)了關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)，同年9月，中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)了國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作意見(jiàn)，把信息安全提到了新的高度。信息安全風(fēng)險(xiǎn)評(píng)估工作已經(jīng)成為信息安全管理的核心工作之一，由國(guó)家信息中心組織先后對(duì)四個(gè)地區(qū)(北京、廣州、深圳和上海)，十幾個(gè)行業(yè)的50多家單位進(jìn)行了深入細(xì)致的調(diào)查與研究，最終形成了信息安全風(fēng)險(xiǎn)評(píng)估調(diào)查報(bào)告、信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告和關(guān)于加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的建議。制定了信息安全技術(shù)信息安全風(fēng)

20、險(xiǎn)評(píng)估規(guī)范（GB/T 20984-2007）。國(guó)內(nèi)由公安部主持制定、國(guó)家技術(shù)標(biāo)準(zhǔn)局發(fā)布的國(guó)家標(biāo)準(zhǔn)GB17895-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則。該準(zhǔn)則將信息系統(tǒng)安全分為5個(gè)等級(jí)，分別是：自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)和訪問(wèn)驗(yàn)證保護(hù)級(jí)。主要的安全考核指標(biāo)有身份認(rèn)證、自主訪問(wèn)控制、數(shù)據(jù)完整性、審計(jì)、隱蔽信道分析、客體重用、強(qiáng)制訪問(wèn)控制、安全標(biāo)記、可信路徑和可信恢復(fù)等，這些指標(biāo)涵蓋了不同級(jí)別的安全要求。我國(guó)紅旗安全操作系統(tǒng)2.0已通過(guò)中華人民共和國(guó)公安部計(jì)算機(jī)信息系統(tǒng)產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心的認(rèn)證，達(dá)到信息安全第三級(jí)的要求?？梢灶A(yù)見(jiàn)，網(wǎng)絡(luò)與信息安全方面的標(biāo)

21、準(zhǔn)將越來(lái)越受重視。我國(guó)網(wǎng)絡(luò)與信息安全的主要標(biāo)準(zhǔn)化組織CCSA相對(duì)而言比較年輕，研究工作才剛剛起步，在包括安全基礎(chǔ)設(shè)施在內(nèi)的很多方面還有待進(jìn)一步開(kāi)展研究。從總體情況來(lái)看，我國(guó)網(wǎng)絡(luò)與信息安全研究將呈現(xiàn)下列特點(diǎn): 1. 基于信息內(nèi)容的過(guò)慮和管制技術(shù)將越來(lái)越受關(guān)注； 2. 防范和治理垃圾信息將成為網(wǎng)絡(luò)安全研究重要內(nèi)容； 3. 網(wǎng)絡(luò)與信息安全研究重點(diǎn)將逐漸從設(shè)備層面向網(wǎng)絡(luò)層面轉(zhuǎn)移； 4. 業(yè)務(wù)安全越來(lái)越成為運(yùn)營(yíng)商研究重點(diǎn)； 5. 認(rèn)證技術(shù)將研究和梳理，生物鑒別將成為重要內(nèi)容； 6. 網(wǎng)

22、絡(luò)建設(shè)將重視信任體系的建設(shè)； 7. 互聯(lián)網(wǎng)安全將進(jìn)一步研究，其成果將適用于下一代網(wǎng)以及3G核心網(wǎng)；8. 網(wǎng)絡(luò)上信息安全將劃分責(zé)權(quán)，網(wǎng)絡(luò)端負(fù)責(zé)部分私密性(隔離)和完整性，機(jī)密性和不可否認(rèn)性由端到端保障； 9. 安全管理中的安全風(fēng)險(xiǎn)評(píng)估將成為安全研究重要內(nèi)容。（二）國(guó)內(nèi)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)組織相比國(guó)外，國(guó)內(nèi)信息安全標(biāo)準(zhǔn)化工作起步較晚。 2002年4月15日成立的全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡(jiǎn)稱信標(biāo)委）在國(guó)家標(biāo)準(zhǔn)委和工信部的共同領(lǐng)導(dǎo)下，設(shè)置了7個(gè)工作組，分別是信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組（WG1）、涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)工作組 （WG2）、密碼技術(shù)工作組

23、（WG3）、鑒別與授權(quán)工作 組（WG4）、信息安全評(píng)估工作組（WG5）、通信安全標(biāo)準(zhǔn)工作組（WG6）和信息安全管理工作組（WG7）。它們對(duì)我國(guó)信息安全保障體系建設(shè)和信息安全產(chǎn)業(yè)的發(fā)展起到積極作用。信標(biāo)委主要負(fù)責(zé)組織開(kāi)展國(guó)內(nèi)信息安全領(lǐng)域的安全技術(shù)、安全機(jī)制、安全服務(wù)、安全管理、安全評(píng)估等標(biāo)準(zhǔn)化技術(shù)工作。目前，已經(jīng)制定了一批信息安全保障體系急需的、基礎(chǔ)的、關(guān)鍵的信息安全標(biāo)準(zhǔn)，為國(guó)家重大信息化工程和信息安全保障體系建設(shè)提供重要的標(biāo)準(zhǔn)支撐。 信標(biāo)委的主要任務(wù)是向國(guó)家標(biāo)準(zhǔn)化委員會(huì)提出本專業(yè)標(biāo)準(zhǔn)化工作的方針、政策和技術(shù)措施的建議，同時(shí)將協(xié)調(diào)各有關(guān)部門，提出一套系統(tǒng)、全面、分布合理的 信息安全標(biāo)準(zhǔn)體系。我國(guó)

24、信息安全標(biāo)準(zhǔn)體系，是在跟蹤分析了國(guó)際信息安全標(biāo)準(zhǔn)的發(fā)展動(dòng)態(tài)和國(guó)內(nèi)信息安全標(biāo)準(zhǔn)需求的基礎(chǔ)上，提出的標(biāo)準(zhǔn)體系框架和標(biāo)準(zhǔn)體系表。其中我國(guó)信息安全技術(shù)標(biāo)準(zhǔn)總體上劃分為基礎(chǔ)標(biāo)準(zhǔn)、技術(shù)與機(jī)制標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)、測(cè)評(píng)標(biāo)準(zhǔn)、密碼技術(shù)和保密技術(shù)六大類，每類按照標(biāo)準(zhǔn)所涉及的內(nèi)容細(xì)分若干小類。 在我國(guó)，另一個(gè)與信息安全標(biāo)準(zhǔn)有關(guān)的組織就是中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)下設(shè)的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)，下設(shè)四個(gè)工作組，即有線網(wǎng)絡(luò)安全工作組（WG1）、無(wú)線網(wǎng)絡(luò)安全工作組（WG2）、安全管理工作組（WG3）、安全基礎(chǔ)設(shè)施工作組（WG4）。 我國(guó)信息安全標(biāo)準(zhǔn)工作處在積極學(xué)習(xí)先進(jìn)、努力結(jié)合實(shí)際、力圖創(chuàng)造具有自主特色的國(guó)家標(biāo)準(zhǔn)的形勢(shì)下。為了更

25、好地貫徹國(guó)家信息安全標(biāo)準(zhǔn)“十一五”規(guī)劃，推進(jìn)我國(guó)信息安全工作，引進(jìn)了國(guó)際上著名的ISO/IEC27001：2005信息安全管理體系要求和 ISO/IEC17799：2005信息安全管理實(shí)用規(guī)則、ISO/ IEC15408：1999IT安全評(píng)估準(zhǔn)則、SSE-CMM系統(tǒng)安全工程能力成熟度模型等信息安全管理標(biāo)準(zhǔn)。為深入貫徹落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，配合信息安全等級(jí)保護(hù)的實(shí)施和推進(jìn)，根據(jù)信息安全 等級(jí)保護(hù)管理辦法（公通字200743號(hào)）和信息安 全等級(jí)保護(hù)測(cè)評(píng)工作管理規(guī)范（試行），制定發(fā)布了 GB 17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分 準(zhǔn)則、GB/T 25058-2010信息安全技術(shù)

26、信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南、GB/T 22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求、GB/T 22240-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南求以及GB/T 25070-2010信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求等。中國(guó)有多個(gè)機(jī)構(gòu)從事云計(jì)算標(biāo)準(zhǔn)研究制定。信標(biāo)委于2011年9月完成云計(jì)算安全及標(biāo)準(zhǔn)研究報(bào)告 V1.0，目前正在研究政府部門云計(jì)算安全和基 于云計(jì)算的因特網(wǎng)數(shù)據(jù)中心安全指南等標(biāo)準(zhǔn)，SOA 標(biāo)準(zhǔn)工作組開(kāi)展了智慧城市、云計(jì)算技術(shù)和相關(guān)產(chǎn)品的標(biāo)準(zhǔn)研究工作，提出了我國(guó)智慧城市基礎(chǔ)參考模型和智慧城市標(biāo)準(zhǔn)體系，出版了云計(jì)算標(biāo)準(zhǔn)化研究報(bào)告，推動(dòng)了31項(xiàng)相關(guān)標(biāo)準(zhǔn)項(xiàng)目研制。2

27、012年，信標(biāo)委成立云計(jì)算工作組和非結(jié)構(gòu)化數(shù)據(jù)管理工作組，重點(diǎn)對(duì)美國(guó)政府云安全管理思路、云計(jì)算安全審查機(jī)構(gòu)職能和流程、云安全國(guó)際標(biāo)準(zhǔn)等進(jìn)行研究，正積極開(kāi)展我國(guó)云計(jì)算標(biāo)準(zhǔn)體系框架研究和十二項(xiàng)云計(jì)算國(guó)家標(biāo)準(zhǔn)的編制，提出了政府部門云計(jì)算服務(wù)安全指南和政府部門云計(jì)算服務(wù)安全能力要求。政府部門云計(jì)算服務(wù)安全指南為政府部門使用云計(jì)算服務(wù)提供管理指導(dǎo)，政府部門云計(jì)算服務(wù)安全能力要求為政府部門使用云計(jì)算服務(wù)的信息 系統(tǒng)進(jìn)行了技術(shù)規(guī)范，對(duì)服務(wù)提供商的云計(jì)算服務(wù)提出了安全保障要求。三、CC 標(biāo)準(zhǔn)（一）CC 標(biāo)準(zhǔn)的主要目的及意義信息安全標(biāo)準(zhǔn)是解決有關(guān)信息安全的產(chǎn)品和系統(tǒng)在設(shè)計(jì)、研發(fā)、生產(chǎn)、建設(shè)、使用、檢測(cè)認(rèn)證中的一

28、致性、可靠性、可控性，先進(jìn)性和符合性的技術(shù)規(guī)范和技術(shù)依據(jù)。因此，世界各國(guó)越來(lái)越重視信息安全產(chǎn)品認(rèn)證標(biāo)準(zhǔn)的制修訂工作。CC標(biāo)準(zhǔn)(Common Criteria for Information Technology Security Evaluation)是信息技術(shù)安全性評(píng)估標(biāo)準(zhǔn)，用來(lái)評(píng)估信息系統(tǒng)和信息產(chǎn)品的安全性。制定CC標(biāo)準(zhǔn)的目的是建立一個(gè)各國(guó)都能接受的通用的信息安全產(chǎn)品和系統(tǒng)的安全性評(píng)估準(zhǔn)則。其主要意義如下：1.確保對(duì)信息技術(shù)（IT）產(chǎn)品和保護(hù)配置文件的評(píng)估達(dá)到高度一致的標(biāo)準(zhǔn)，并使得人們對(duì)這些產(chǎn)品和配置文件的安全性有信心;2.提高評(píng)估安全性增強(qiáng)的IT產(chǎn)品和保護(hù)配置文件的可用性;3.消除對(duì)IT

29、產(chǎn)品和保護(hù)配置文件的重復(fù)評(píng)估的負(fù)擔(dān);4.不斷提高IT產(chǎn)品和保護(hù)配置文件的評(píng)估和認(rèn)證/驗(yàn)證過(guò)程的效率和成本效益。（二）CC 標(biāo)準(zhǔn)的主要內(nèi)容CC標(biāo)準(zhǔn)共分為三部分,主要內(nèi)容包括信息技術(shù)安全性評(píng)估的一般模型和基本框架，以及安全功能要求和安全保證要求，目的是建立一個(gè)各國(guó)都能接受的通用的信息安全產(chǎn)品和系統(tǒng)的安全性評(píng)估準(zhǔn)則。CC標(biāo)準(zhǔn)為不同國(guó)家或?qū)嶒?yàn)室的評(píng)估結(jié)果提供了可比性。CC標(biāo)準(zhǔn)的第一部分為簡(jiǎn)介和一般模型，描述了信息安全相關(guān)的基本概念和模型，以及PP和ST的要求。PP是為一類產(chǎn)品或系統(tǒng)定義信息安全技術(shù)要求，包括功要求和保證要求。ST則定義了一個(gè)既定評(píng)估對(duì)象(TOE-TarEet of aluation)的

30、IT安全要求，并規(guī)定了該TOE應(yīng)提供的安全功能和保證措施，以滿足所提出的安全要求 ，ST是開(kāi)發(fā)者、評(píng)估者和用戶之間對(duì)TOE安全特性和評(píng)估范圍達(dá)成一致的基礎(chǔ)。第二部分和第三部分描述了安全功能要求和安全保證要求，功能要求是對(duì)產(chǎn)品希望提供的安全功能或特征的描述；保證要求是功能要求能夠得到滿足的程度。CC標(biāo)準(zhǔn)根據(jù)安全保證要求預(yù)先定義了7個(gè)安全保證級(jí)（EALlEAL7)，安全保證能力由低到高逐級(jí)增強(qiáng)。CC標(biāo)準(zhǔn)由專門的開(kāi)發(fā)組（CCDB)負(fù)責(zé)開(kāi)發(fā)、維護(hù)、解釋，根據(jù)檢測(cè)認(rèn)證工作實(shí)踐，CCDB也發(fā)布了很多技術(shù)支持文檔作為檢測(cè)認(rèn)證的指導(dǎo)文件，其中有些文件必須參照?qǐng)?zhí)行，例如攻擊潛力在智能卡產(chǎn)品中的應(yīng)用（CCDB-2

31、009-03-001）等。圖1 CC標(biāo)準(zhǔn)提供的安全需求分析過(guò)程（三）CC 標(biāo)準(zhǔn)的理念CC標(biāo)準(zhǔn)是當(dāng)前信息安全的最新國(guó)際標(biāo)準(zhǔn)。它是在TESEC、ITSEC、CTCPEC、FC等信息安全標(biāo)準(zhǔn)的基礎(chǔ)上綜合形成的。CC標(biāo)準(zhǔn)中定義了安全功能組件和安全保證組件，并給出了一套評(píng)價(jià)系統(tǒng)安全可信度的指標(biāo)安全保證等級(jí)（EAL），通過(guò)在構(gòu)造管理、發(fā)行與操作、開(kāi)發(fā)、指南文檔、生命周期支持、測(cè)試和脆弱性評(píng)估等方面所采取的措施來(lái)確定系統(tǒng)的安全可信度。CC定義了評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需的基礎(chǔ)準(zhǔn)則，是度量信息技術(shù)安全性的基準(zhǔn) 。該標(biāo)準(zhǔn)針對(duì)在安全評(píng)估過(guò)程中信息技術(shù)產(chǎn)品和系統(tǒng)的安全功能及相應(yīng)的保證措施提出一組通用要求，使各

32、種相對(duì)獨(dú)立的安全評(píng)估結(jié)果具有可比性 。該標(biāo)準(zhǔn)有助于信息技術(shù)產(chǎn)品和系統(tǒng)的開(kāi)發(fā)者或用戶確定產(chǎn)品或系統(tǒng)對(duì)其應(yīng)用而言是否足夠安全，以及在使用中存在的安全風(fēng)險(xiǎn)是否可以容忍，保護(hù)了信息的CIA三大特性，其次也考慮了可控性、可追溯性等，同時(shí)該標(biāo)準(zhǔn)適用于對(duì)信息技術(shù)產(chǎn)品或系統(tǒng)的安全性進(jìn)行評(píng)估，不論其實(shí)現(xiàn)方式使硬件、固件還是軟件；還可用于指導(dǎo)產(chǎn)品或系統(tǒng)開(kāi)發(fā)，其主要目標(biāo)讀者是用戶、開(kāi)發(fā)者和評(píng)估者。四、網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系（一）網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系建設(shè)思路“十三五”國(guó)家科技創(chuàng)新規(guī)劃明確提出要持續(xù)推進(jìn)技術(shù)標(biāo)準(zhǔn)戰(zhàn)略，內(nèi)容包括：健全技術(shù)標(biāo)準(zhǔn)體系，統(tǒng)籌推進(jìn)科技、標(biāo)準(zhǔn)、產(chǎn)業(yè)協(xié)同創(chuàng)新，健全科技成果轉(zhuǎn)化為技術(shù)標(biāo)準(zhǔn)機(jī)制。加強(qiáng)基礎(chǔ)通用和產(chǎn)業(yè)共性技術(shù)標(biāo)準(zhǔn)研制，加快新興和融合領(lǐng)域技術(shù)標(biāo)準(zhǔn)研制，健全科技創(chuàng)新、專利保護(hù)與標(biāo)準(zhǔn)互動(dòng)支撐機(jī)制。發(fā)揮標(biāo)準(zhǔn)在技術(shù)創(chuàng)新中的引導(dǎo)作用，及時(shí)更新標(biāo)準(zhǔn)，強(qiáng)化強(qiáng)制性標(biāo)準(zhǔn)制定與實(shí)施，逐步提高生產(chǎn)環(huán)節(jié)和市場(chǎng)準(zhǔn)入的環(huán)保、節(jié)能、節(jié)水、節(jié)材、安全指標(biāo)及相關(guān)標(biāo)準(zhǔn)，形成支撐產(chǎn)業(yè)升級(jí)的技術(shù)標(biāo)準(zhǔn)體系。開(kāi)展軍民通用標(biāo)準(zhǔn)的制定和整合，推動(dòng)軍用標(biāo)準(zhǔn)和民用標(biāo)準(zhǔn)雙向轉(zhuǎn)化，促進(jìn)軍用標(biāo)準(zhǔn)和民用標(biāo)準(zhǔn)兼容發(fā)展。充分發(fā)揮行業(yè)協(xié)會(huì)等的作用，大力培育發(fā)展團(tuán)體標(biāo)準(zhǔn)，推行標(biāo)準(zhǔn)“領(lǐng)跑者”制度，培育發(fā)展標(biāo)準(zhǔn)化服務(wù)業(yè)，提升市場(chǎng)主體技術(shù)標(biāo)準(zhǔn)研制能力。促進(jìn)標(biāo)準(zhǔn)體系