1.7 信息安全的相关机构和相关标准
1.7.1 国际标准化机构
1.7.1.1 国际标准化组织和国际电工委员会
国际标准化组织(ISO)和国际电工委员会(IEC)是世界性的标准化专门机构。国家成员体(都是ISO或IEC的成员国)通过国际组织建立的各个技术委员会参与制定特定技术范围的国际标准。ISO和IEC的各技术委员会在共同感兴趣的领域内进行合作。与ISO和IEC有联系的其他官方和非官方国际组织也可以参与国际标准的制定工作。
对于信息技术,ISO和IEC建立了一个联合技术委员会,即ISO/IEC JTC1。由联合技术委员会提出的国际标准草案分发给国家成员体进行表决。发布一项国际标准,至少需要75%的参与表决的国家成员体投票赞成。
开放系统互连(OSI)基本参考模型(ISO/IEC 7498)是由ISO/IEC JTC1“信息技术”联合技术委员会与ITU-T共同制定的,等同文本为ITU-T建议X .200。
1.7.1.2 国际电报和电话咨询委员会
国际电报和电话咨询委员会(CCITT)是一个联合国条约组织,属于国际电信联盟,由主要成员国的邮政、电报和电话部门组成,主要从事涉及通信领域的接口和通信协议的制定,与ISO密切合作进行国际通信的标准化工作,在数据通信范围内的工作体现于V系列和X系列建议书。
1.7.1.3 国际信息处理联合会第十一技术委员会
国际信息处理联合会第十一技术委员会(IFIP TC11)是国际上有重要影响的有关信息系统安全的国际组织,每年举行一次计算机安全的国际研讨会,公安部代表我国参加该组织的活动。该组织机构包括安全管理工作组、办公自动化安全工作组、数据库安全工作组、密码工作组、系统完整性与控制工作组、计算机事务处理工作组、计算机安全法律工作组和计算机安全教育工作组。
1.7.1.4 电气和电子工程师学会
电气和电子工程师学会(IEEE)是一个由电气和电子工程师组成的世界上最大的专业性学会,划分成许多部门。1980年2月,IEEE计算机学会建立了一个委员会负责制定有关网络的协议标准(802.1~9),包括高层接口、逻辑链路控制、CSMA/CD网、令牌总线网、令牌环网、城域网、宽带技术咨询组、光纤技术咨询组、数据和语音综合网络等标准。
1.7.1.5 欧洲计算机制造商协会
欧洲计算机制造商协会(ECMA)由一些欧洲最大的计算机和技术公司成立,是包括美国在欧洲供应计算机的厂商在内的组织,致力于适用于计算机技术的各种标准的制定和颁布,在ISO和CCITT中是一个没有表决权的成员。
1.7.1.6 Internet体系结构委员会(IAB)
Internet体系结构委员下设两个重要部门:Internet工程特别工作组(IETF)和Internet研究特别工作组(IRTF)。发展到今天,IAB公布的协议参考草案(Request For Comments,RFC)已经积累到3000 多个。一个RFC文件在成为官方标准前一般至少要经历三个阶段:建议(proposed)标准、草案(draft)标准、因特网标准(Internet Standard)。一份文档必须以建议标准保留6个月,而草案标准要保持4个月,以提供足够的时间进行修改和评论。
1.7.2 美国的标准化机构
1.7.2.1 美国商务部国家标准技术研究所
美国国家标准和技术研究所(NIST)属于美国商务部的一个机构,现在的工作由NIST进行,发布销售给美国联邦政府的设备的信息处理标准。NIST与NSA紧密合作,在NSA的指导监督下,制定计算机信息系统的技术安全标准。其工作一般以NIST出版物(FIPS PUB)和NIST特别出版物(SPEC PUB)等形式发布。所制定的信息安全规范和标准很多,主要涉及访问控制和认证技术、评价和保障、密码、电子商务、一般计算机安全、网络安全、风险管理、电信和联邦信息处理标准等。
该机构比较有影响的工作是制定公布了美国国家数据加密标准DES,参考了美国、加拿大、英国、法国、德国、荷兰等国制定的信息安全的通用评价准则(CC),在1993年制定了密钥托管加密标准EES。
1.7.2.2 美国国家标准学会
美国国家标准学会(ANSI)是由制定标准和使用标准的组织联合组成的非营利的非政府的民办机构,由全美1000多家制造商、专业性协会、贸易协会、政府和管理团体、公司和用户协会组成,是美国自发的制定与计算机工业有关的各种标准的统筹交流组织。
1.7.2.3 美国电子工业协会
美国电子工业协会(EIA)是美国电子公司贸易协会,属于ANSI的成员。它制定了涉及电气和电子领域的400多个标准,该机构比较有影响的工作是建立了数据终端设备和数据通信设备间的接口标准(如RS232C等)。
1.7.2.4 美国国防部及国家计算机安全中心
美国国防部(DoD)早在20世纪80年代就针对计算机安全保密开展了一系列有影响的工作,后来成立的美国国家计算机安全中心(NCSC)接续进行有关的工作。1983年公布了《可信计算机信息系统评价准则》TCSEC,以后NCSC又出版了一系列有关可信计算机数据库、可信计算机网络的指南。
1.7.2.5 其他标准
除了上述标准化组织,美国的一些公司也纷纷研究和提出有关规范建议,并根据建议发展产品,试图将建议变为实际的工业标准,其中一些建议或标准归纳如表1.2所示。
表1.2 有关公司制定的标准
1.7.3 信息安全组织机构
目前,国际上信息安全方面的协调机构主要有计算机应急响应小组(CERT/CC)、信息安全问题小组论坛(FIRST)。
计算机应急响应小组是一个信息安全专家技术中心,是设在Carnegie Mellon大学软件工程研究所的联邦资助的研究开发中心,成立于1988年。该组织研究Internet的脆弱性、处理计算机安全事件、发布安全警告、研究网络系统的长期变化以及提供安全培训帮助用户提高站点的安全性。CERT/CC成立后,很多政府、商业和学术机构都组建了信息安全问题小组,但CERT/CC始终是这一方面规模最大、最著名和最权威的组织。
信息安全问题小组论坛(FIRST)成立于1990年,当时只有11个成员,截止到2001年,它的成员已超过90个,截止到2003年8月,FIRST的正式成员达到151个,目前成员已超过200个。FIRST的目标是为有效解决安全事件加强各小组间的合作,作为小组之间的信息中介,促进安全技术的共享和研究活动的开展。
美国国内与信息安全事物有关的管理机构主要有国家安全局(NSA)、国家标准技术研究所(NIST)、联邦调查局(FBI)、高级研究计划署(ARPA)和国防部信息局(DISA)。他们有各自授权管理的领域和业务,同时,这些机构通过信息安全管理职责上的理解备忘录和协议备忘录进行合作。此外,美国国会在1987年的计算机安全法案中宣布成立了计算机系统安全及隐私协会——CSSPAB,负责识别与计算机系统安全和隐私相关的管理、技术、政策和物理监护方面的问题。为满足信息技术生产者和使用者进行产品安全测试的需要,美国政府还成立了NIAP。
1.7.4 国内标准制定情况
我国是国际标准化组织的成员国,我国的信息安全标准化工作在各方面的努力下,正在积极开展之中。国务院授权履行行政管理职能和统一管理全国标准化工作的主管机构是中国国家标准化管理委员会。国家标准化管理委员会下设有255个专业技术委员会。1984年成立了全国信息技术安全标准化技术委员会(CITS),在国家标准化管理委员会与工业和信息化部的共同领导下负责全国信息技术领域以及与ISO/IEC JTC1相对应的标准化工作,下设24个分技术委员会和特别工作组。从20世纪80年代中期开始,我国自主制定和视同采用了一批相应的信息安全标准。已颁布的信息技术安全标准涉及信息技术设备的安全、信息处理系统开放系统互联安全体系结构、数据加密、数字签名、实体鉴别、抗抵赖和防火墙安全技术等。2001年,我国颁布的国家标准GB/T 18336等同采用国际标准ISO/IEC 15408,即CC。这些标准的颁布将积极推动我国的信息化建设与发展。
此外,在一些对信息安全要求高的行业和对信息安全管理负有责任的部门,也制定一些信息安全的行业标准和部门标准,如金融、公安等行业和部门。