摘要 网络与信息安全标准作为信息安全保障体系的重要组成部分,政府部门、产业界都对此高度关注。本文将介绍当前国内外网络与信息安全标准研究现状,分析当前网络与信息安全标准研究热点,探讨通信行业网络与信息安全标准体系建设思路。
1、国外网络与信息安全标准化情况
20世纪70年代以美国为首的西方发达国家就开始关注网络与信息安全标准,到20世纪90年代随着互联网的广泛使用,网络与信息安全标准日益受到世界各国和各种组织的关注。目前世界上与信息安全标准化有关的主要组织有:国际标准化组织(ISO)、国际电工委员会(IEC)、国际电信联盟(ITU)、互联网工程任务组(IETF)等。现将国外主要的标准化组织有关网络与信息安全标准化工作的情况简要介绍如下。
(1)ISO和IEC
ISO和IEC目前主要由其联合成立的JTC1(信息技术标准化委员会)下属安全技术分委员会(SC27)负责开展信息安全标准的研制工作。SC27 IT安全技术分委员会成立于1990年4月,有以下5个工作组。WG1:要求、安全服务和指南;WG2:安全技术和机制;WG3:安全评估准则;WG4:安全控制和服务;WG5:身份管理和隐私技术。
目前,该分技术委员会已制定和正在研制的国际标准有120项,这些标准主要涉及密码算法、散列函数、数字签名、实体鉴别、安全评估、安全管理等领域,近几年颁布的比较有影响力的标准有:ISO/IEC 15408(IT安全性评估准则,包含3个部分)、ISO/IEC 15443(IT安全保障框架,包含3个部分)、ISO/IEC 218279(系统安全工程能力成熟模型)和ISO/IEC 27000系列(信息安全管理系统,已完成7个部分,计划包含20多个子标准)。
IEC除与ISO联合成立了JTC1外,还在电信、电子系统、信息技术和电磁兼容等方面成立技术委员会负责安全标准研制,如TC56(可靠性)、TC74(IT设备安全和功效)、TC77(电磁兼容)、TC108(音频/视频)、信息技术和通信技术电子设备的安全等,并制定相关国际标准,如信息技术设备安全(IEC 60950)等。
(2)ITU
ITU主要由ITU-T(电信标准局)下属SG17组负责研究通信系统安全标准。SG17下辖7个课题组专门从事安全标准研究。Q4:通信系统安全项目;Q5:安全体系结构和框架;Q6:网络安全;Q7:安全管理;Q8:生物测定;Q9:安全通信服务;Q17:反垃圾邮件。
除上述课题组外ITU-T SG17 Q2(目录服务、目录系统和公钥/属性证书)、SG2(业务提供、网络及性能的运营方面)、SG4(电信管理,包括TMN)、SG9(综合宽带电缆网络及电视和声音传输)、SG11(信令要求和协议)、SG13 Q15(NGN安全)、SG15(光纤和其他传输网的结构)、SG16 Q25(下一代网络的多媒体安全)、SG19(移动通信网络)等工作组或课题组都曾经或正在开展网络与信息安全标准研究。
截止到2007年11月,ITU-T正式发布的信息安全标准有近100个。ITU-T颁布的比较有影响力的安全标准主要有:消息处理系统(MHS,X.400系列)、目录系统(X.500系列)、安全框架和模型(X.800系列)等,其中的X.509标准是PKI的重要基础标准,X.805是端到端通信安全的重要标准。目前,ITU在安全标准化方面主要关注NGN(下一代网络)安全、IPTV安全、身份管理(IDM)、数字版权管理(DRM)、生物认证、反垃圾信息等热点问题。
(3)IETF
IETF主要关注与互联网有关的网络与信息安全问题,其请求注解(RFC)是业界公认的事实标准。IETF一直设有专门的安全研究领域,负责研究网络授权、认证、审计等与安全保护有关的协议和标准。截止到2006年底,有关安全方面的RFC有270多个。这些工业标准对提高和改善互联网的安全性起到了至关重要的作用,如PKI、IPSec、TLS、PGP等方面的RFC成为了指导互联网安全的重要文件。
目前,IETF有关信息安全的工作组有:BTNS(有点安全总比没有强)、DKIM(域密钥标识邮件)、EMU(EAP方法改进)、HOKEY(切换键控)、ISMS(关于SNMP的整套安全模型)、KEYPROV(对称密钥的准备)、KITTEN (下一代GSS-API)、KRB-WG(kerberos工作组)、LTANS(长期归档和公证服务)、MSEC(组播安全)、NEA(网络端点评价)、OPENPGP(关于PGP的开放式规范)、PKIX(基于X.509的公钥基础设施)、SASL(简单鉴别和安全分层)、SMIME(S/MIME邮件安全)、SYSLOG(在网络事件记录方面的安全课题)、TLS(传送层安全)等17个。
从上述工作组设置就可以看出,当前IETF主要关注垃圾邮件处理、无线网络安全、组播安全、安全审计、安全认证、PKI、TLS等方面的问题。
(4)电气和电工工程师协会(IEEE)
IEEE在网络与信息安全标准化方面的贡献主要包含两个方面:一是电气和电磁安全,如IEEE C2《国家电气安全规程》等;另一方面是信息安全,提出LAN/WAN安全(IEEE 802.10)、WLAN安全(IEEE 802.11i)和公钥密码(P1363)等方面的标准。目前IEEE主要关注WLAN安全、WiMAX安全、汽车电子安全等。
(5)欧洲电信标准协会(ETSI)
ETSI是欧洲地区性标准化组织,已颁布120多个网络与信息安全标准。其下属技术委员会SAFETY(安全),主要研究电气安全方面的标准;技术委员会ESI(电子签名和基础设施)主要研究电子签名和PKI方面的标准;技术委员会LI(合法监听)主要研究合法监听方面的标准;特设组SAGE(安全算法专家组)负责研究密码算法方面的标准,如GSM鉴权算法A3/A5算法。目前ETSI主要关注电子签名、合法监听、移动通信安全、NGN安全、安全算法和智能卡安全等。
(6)其他
除上述主要的国际和地区性标准化组织外,3GPP、3GPP2、OMA(开放移动联盟)、OASIS(结构化信息标准促进组织)、ATIS(电信工业解决方案联盟)、ECMA(欧洲计算机制造商协会)等专业性标准组织以及美英等国也制定了一些安全标准。
3GPP在其业务和系统技术规范组下专门设置有工作组即WG3负责安全标准研究,3GPP2也在TSG-S业务和系统下设工作组WG4负责安全标准研究。此两标准组织所研究的安全标准主要是与第三代移动通信有关,主要涉及算法、安全架构(如IMS安全架构等)等。
OMA在网络与信息安全标准化方面,主要侧重于数据业务。在OMA设有专门的技术委员会负责安全标准研究,即TC security,目前主要关注无线公钥基础设施(WPKI)、在线证书状态协议(OCSP)、应用层安全、智能卡Web服务、移动在线认证以及在线密钥生成等方面的研究。在OMA除TC security外,还设有专门的技术委员会负责数字版权管理方面的研究。
ATIS也设有一个技术工作委员会(IDSC),专门负责信息安全和数据安全方面的标准研究,主要在身份鉴别、数据保护、风险管理等方面,并出版了相应的报告。
OASIS在网络与信息安全标准研究方面侧重于电子商务安全和Web服务应用安全。在安全方面有多个技术委员会,分别研究生物特征识别、数字签名、密钥管理、访问控制、身份管理、信息交换等有关的问题。目前OASIS已颁布AVDL(应用脆弱性描述语言)、SAML(安全断言标记语言)、SPML(服务提供标记语言)等标准。
ECMA下属TC36(IT安全)负责信息技术设备的安全标准,主要制定商用和政府用信息技术产品和系统安全性评估标准化框架,以及在开放系统环境下逻辑安全设备的框架。
美国国家标准技术研究院(NIST)制定了大量与信息安全有关的非密敏感标准,截止到2006年底已制定了30多项信息安全相关的联邦信息处理标准(FIPS)和近120项信息安全相关的专题出版物(SP 800系列和SP 500系列),这些标准和指南涉及密码算法、密码模块评测、信息系统评测、信息系统管理等多个方面,最常用的FIPS安全标准有DES、AES等。英国标准学会(BSI)所制定的BS7799系列标准和德国的IT基线保护手册也是国际上比较有影响力的安全标准。
2、国内网络与信息安全标准研究现状
我国一直高度关注网络与信息安全标准化工作,从20世纪80年代就开始网络与信息安全标准的研究,现在已正式发布相关国家标准60多个。另外,信息产业部、公安部、安全部、国家保密局等也相继制定、颁布了一批网络与信息安全的行业标准,为推动网络与信息安全技术在各行业的应用和普及发挥了积极的作用。
(1)全国信息安全标准化技术委员会
全国信息安全标准化技术委员会(简称全国安标委,编号为TC260)是我国网络与信息安全国家标准的牵头组织。该委员会的标准研究工作采用工作组的方式进行,目前TC260设有如下工作组。
●WG1:信息安全标准体系与协调工作组。负责标准体系研究和标准化协调。
●WG2:涉密信息系统标准工作组。负责涉密信息系统标准研究,组长单位为国家保密局。
●WG3:密码工作组。负责密码相关国家标准研究,组长单位为国家密码管理局。正在研究分组算法应用接口规范、证书认证系统密码及相关安全技术规范、PCI密码卡技术规范、杂凑算法应用接口规范、ECC算法应用接口规范等标准。
●WG4:鉴别与授权工作组。主要负责PKI/PMI等方面的标准研究,已完成GB/T 20518《信息技术安全技术公钥基础设施数字证书格式》等10多个标准的研究。
●WG5:信息安全评估工作组。负责安全评估方面的标准研究,已完成网上银行系统、网上证券系统等应用系统评估标准以及安全路由器、防火墙、入侵检测系统等产品评估标准,正在开展安全等级保护相关的评估标准研究。
●WG7:信息安全管理工作组。负责信息安全管理,包括工程管理、开发管理等方面标准研究,已完成ISO/IEC 13335.1-2、ISO/IEC17799等国际标准的采标工作,正在开展ISO/IEC27000系列标准的采标工作,并正在研究风险管理、安全事件管理、灾难备份等。
(2)公安部信息系统安全标准化技术委员会
公安部信息系统安全标准化技术委员会主要负责:规划和制定计算机信息系统安全保护等级、应用系统安全等级评估检测、计算机信息系统安全产品、计算机信息系统安全管理等方面标准。公安部已发布了14个正式标准,主要涉及计算机病毒检测、等级保护等方面,正在开展等级保护方面的有近40个。
(3)国家保密局
国家保密局负责组织制定与保密有关的国家保密指南(BMZ)和国家保密标准(BMB),已发布了20多个网络与信息相关标准,最常用的标准有:
●BMB10-2004《涉及国家秘密的计算机网络安全隔离设备的技术要求和测试方法》;
●BMB11-2004《涉及国家秘密的计算机信息系统防火墙安全技术要求》;
●BMB12-2004《涉及国家秘密的计算机信息系统漏洞扫描产品技术要求》;
●BMB13-2004《涉及国家秘密的计算机信息系统入侵检测产品技术要求》;
●BMB15-2004《涉及国家秘密的信息系统安全审计产品技术要求》;
●BMB16-2004《涉及国家秘密的信息系统安全隔离与信息交换产品技术要求》;
●BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》;
●BMB18-2006《涉及国家秘密的信息系统工程监理规范》;
●BMZ1-2000《涉及国家秘密的计算机信息系统保密技术要求》;
●BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》;
●BMZ3-2001《涉及国家秘密的计算机信息系统安全保密测评指南》。
(4)中国通信标准化协会网络与信息安全技术工作委员会
中国通信标准化协会网络与信息安全技术工作委员会(编号为TC8),负责组织开展通信行业网络与信息安全标准化工作。TC8现设有:有线网络安全(WG1)、无线网络安全(WG2)、安全管理(WG3)、安全基础(WG4)4个工作组,另外还设有安全防护标准和绿色上网标准2个特设项目组。
截至2007年11月,TC8已完成的标准有:
●YD/T 1358-2005路由器设备安全技术要求——中低端路由器(基于IPv4);
●YD/T 1359-2005路由器设备安全技术要求——高端路由器(基于IPv4);
●YD/T 1439-2006路由器设备安全测试方法——高端路由器(基于IPv4);
●YD/T 1440-2006路由器设备安全测试方法——中低端路由器(基于IPv4);
●YD/T 1478-2006电信管理网安全技术要求;
●YD/T 1486-2006承载电信级业务的IP专用网络安全框架;
●YD/T 1534-2006数字程控交换机信息安全技术要求和测试方法;
●YD/F 1613-2007公众IP网络安全要求——安全框架;
●YD/T 1614-2007公众IP网络安全要求——基于数字证书的访问控制;
●YD/T 1615-2007公众IP网络安全要求——基于远端接入用户验证服务协议(RADIUS)的访问控制;
●YD/T 1621-2007网络与信息安全服务资质评估准则;
●YD/T 1625-2007电信智能卡安全技术要求;
●YD/T 1627-2007以太网交换机设备安全技术要求;
●YD/T 1628-2007以太网交换机设备安全测试方法;
●YD/T 1629-2007具有路由功能的以太网交换机设备安全技术要求;
●YD/T 1630-2007具有路由功能的以太网交换机设备安全测试方法;
●YD/T 1658-2007宽带网络接入服务器安全技术要求;
●YD/T 1659-2007宽带网络接入服务器安全测试方法;
●YD/T 1666-2007远程视频监控系统的安全技术要求;
●YD/T 1699-2007移动终端信息安全技术要求;
●YD/T 1700-2007移动终端信息安全测试方法;
●YD/T 1701-2007 H.323网络安全技术要求;
●YDN 126-2005增值电信业务网络信息安全保障基本要求;
●YDN 138-2006基于PC终端的互联网内容过滤软件技术要求;
●YDN 139-2006基于PC终端的互联网内容过滤软件测试方法;
●YDN 140-2006网络入侵检测系统技术要求;
●YDC 049-2007电信网和互联网安全防护管理指南;
●YDC 050-2007电信网和互联网安全等级保护实施指南;
●YDC 051-2007电信网和互联网安全风险评估实施指南;
●YDC 052-2007电信网和互联网灾难备份及恢复实施指南;
●YDC 053-2007固定通信网安全防护要
求;
●YDC 054-2007固定通信网安全防护检测要求;
●YDC 055-2007移动通信网安全防护要求;
●YDC 056-2007移动通信网安全防护检测要求;
●YDC 057-2007增值业务网——消息网安全防护要求;
●YDC 058-2007增值业务网——消息网安全防护检测要求;
●YDC 059-2007 IP承载网安全防护要求;
●YDC 060-2007 IP承载网安全防护检测要求;
●YDC 061-2007支撑网安全防护要求;
●YDC 062-2007支撑网安全防护检测要求;
●网络安全运行管理技术平台(SOC)体系结构(报批稿);
●互联网网络安全事件描述与交换格式规范(报批稿);
●边缘路由器(IPv6)安全技术要求(报批稿);
●网络入侵检测系统测试方法(报批稿);
●网络安全应急响应小组建设指南(报批稿)。
目前,TC8正在开展的标准和研究项目有以下40多个:
●DSLAM设备安全测试方法;
●DSL接入服用器(DSLAM)设备安全技术要求;
●IP网络信息安全风险评估方法研究;
●IP智能终端设备安全技术要求和测试方法;
●xDSL用户端设备安全测试方法;
●xDSL用户端设备安全技术要求;
●边缘路由器(IPv6)安全测试方法;
●边缘路由器(IPv6)安全技术要求;
●采用证书机制的单点登录认证技术要求;
●反垃圾信息需求;
●核心路由器(IPv6)安全测试方法;
●核心路由器(IPv6)安全技术要求;
●互联网安全需求;
●基于公开密钥基础设施(PKI)的移动通信用户与应用服务之间端到端安全通信第2部分:密钥管理;
●基于公开密钥基础设施(PKI)的移动通信用户与应用服务之间端到端安全通信:第3部分:认证机制;
●基于用户设置规则的短消息过滤系统技术要求被叫归属下发;
●基于用户设置规则的短消息过滤系统技术要求主叫归属下发;
●基于用户设置规则的短消息过滤业务技术要求;
●基于终端安全评估的移动网络接入安全技术要求;
●具有路由功能的以太网交换机(IPv6)安全测试方法;
●具有路由功能的以太网交换机(IPv6)安全技术要求;
●宽带接入服务器(IPv6)安全测试方法;
●宽带接入服务器(IPv6)安全技术要求;
●媒体网关设备安全技术要求和测试方法;
●软交换设备安全技术要求和测试方法;
●软交换网络安全;
●软交换网络管理安全规范;
●数字程控交换机安全技术要求;
●通信产品安全分析导则;
●网关型互联网内容过滤产品测试方法;
●网关型互联网内容过滤产品技术要求;
●网络恶意软件鉴别方法;
●网络与信息安全应急处理服务资质评估方法;
●无源光网络(PON)设备安全测试方法;
●无源光网络(PON)设备安全技术要求;
●信息安全运行管理系统(SOC)与国家应急处理平台接口规范;
●移动网管安全技术规范;
●移动网络通用安全策略;
●移动终端芯片安全技术研究;
●互联网密钥交换协议(IKE v2)第1部分:技术要求;
●互联网密钥交换协议(IKE v2)第2部分:测试方法;
●综合接入设备(IAD)安全技术要求和测试方法;
●综合接入系统安全测试方法;
●综合接入系统安全技术要求。
3、网络与信息安全标准化研究热点
当前,通信行业网络与信息安全标准化研究的热点问题主要如下。
(1)网络安全保障体系
基础信息网络是国家信息化的基础设施,基础信息网络的安全是国家信息化建设顺利进行的重要基础。虽然电信运营商一贯重视网络与信息安全问题,但随着互联网的普及、通信IP化的发展,使电信网和互联网的安全面临更多更大的威胁。如何采取措施保障信息安全和网络安全,将电信网和互联网建成真正安全、可靠的网络,已经成为各电信运营商必须认真考虑的问题。
网络安全保障体系的研究热点主要包括:
●网络安全防护体系相关标准研究。安全防护指事前的安全保护,目的是努力减少事件的发生概率,涉及电信网和互联网的等级保护、风险评估、灾难备份与恢复等方面,TC8目前有一个特色项目组从事相关标准研究。
●网络安全应急体系相关标准研究。安全应急指事后的应急响应,目的是努力减少事件造成的损失,主要包括一个应急通信以及互联网安全事件的应急处理,TC8 WG3正在开展相关的标准研究。
●网络信任体系相关标准研究。网络信任体系主要涉及网上身份认证和抗抵赖,目的是努力打造诚信网络,TC8 WG4正在开展相关的研究。
(2)网络安全性评估
网络的安全性评估及测试技术是国内外研究的重点也是难点。网络安全性评估作为网络安全保障体系建设的必要环节,其重要性日益显现。
电信网络安全性评估及测试技术的研究热点主要有:
●电信网络安全的总体评估模型;
●不同层次网络的安全性评价指标体系;
●网络安全性测评技术;
●网络风险分析方法等。
(3)NGN
NGN由于能够提供丰富的多媒体业务,使得其安全性及其监管将成为新的挑战。NGN安全的研究重点主要有:
●NGN安全体系与框架,特别是基于IMS的安全体系研究;
●IPv6的安全性;
●软交换安全框架以及相应的安全通信模型、协议、算法等;
●下一代网络监控技术(如VoIP、Wi-Fi、WiMAX的监管,IPSec监控等)。
(4)安全增值业务
目前,已有电信运营商认识到网络与信息安全不仅仅是投入,也有收益,因为已有部分用户需要电信级服务以保护其信息资产,因此电信运营商已开始把信息安全服务作为一项增值业务加以推广。但由于缺乏规范性,包括业务的规范、业务支撑系统的规范、服务商的规范以及相关的管理规范等,导致安全增值业务的开展不是十分顺利,比如“绿色上网”业务。
安全增值业务标准化研究的热点包括:
●信息安全业务模型,ITU-T已组织开展相关的研究;
●信息安全与其他增值业务的关系;
●绿色上网相关标准,TC8设有特设项目组开展相关研究;
●SOC相关系列标准,包括SOC体系架构、功能以及相关接口、协议;
●应急处理业务标准,特别是防DDOS业务相关标准;
●服务资质标准等,已发布YD/T 1621,正在研究应急处理服务商资质标准。
(5)信息安全
互联网的海量信息给人们的工作、学习
标签: 信息安全标准, 安全热点, 网络安全标准