國際網絡安全標準化研究

上官曉麗 王 姣,2

1(中國電子技術標準化研究院 北京 100007)2 (桂林電子科技大學 廣西桂林 541004)

?

國際網絡安全標準化研究

上官曉麗1王 姣1,2

1(中國電子技術標準化研究院 北京 100007)2(桂林電子科技大學 廣西桂林 541004)

(shanggxl@cesi.cn)

隨著云計算、大數據、物聯網等新技術新應用的發展，越來越多的國家都在紛紛發布網絡安全戰略，出臺一系列相關政策，網絡安全的標準化工作變得至關重要.簡要分析了美歐一些發達國家的網絡安全標準戰略情況，系統介紹了幾個重要的國際網絡安全標準化組織，最后給出了對中國網絡安全標準化后續工作的建議.

網絡安全；標準；國際；組織；戰略；組織結構

網絡安全與國家安全密切相關，對國家利益和產業發展起著重要的保障作用，網絡安全標準化工作對于解決網絡與信息安全問題具有重要的技術支撐作用.在互聯網飛速發展的今天，必須積極推動網絡安全標準化工作，只有解決好安全問題才能在信息時代全球化競爭中掌握主動權[1].

目前，從事網絡安全標準化工作的國際或區域性組織比較多.在國際上影響力比較大的網絡安全標準化組織主要包括國際標準化組織ISO、國際電工委員會IEC、國際電信聯盟ITU等國際性組織，歐洲的ECMA，美國的ANSI/NIST，IETF，IEEE等區域性或行業性組織.這些組織都在研究和制定網絡安全相關標準，各自制定了許多重要的、有影響力的網絡安全標準，形成了一套較為完整的網絡安全標準體系[2].

1 歐美國家網絡安全標準戰略情況

1.1 歐盟組織(超國家層面)

歐盟是[3]以超國家的身份，在介入網絡安全管理領域之后制定了一系列戰略規劃與政策措施，作為硬性手段監管互聯網，為各成員國互聯網管理實踐提供行動指南.近幾年，歐洲從多個方面加強信息安全建設，重視信息網絡技術的開發和應用，改善網絡防護措施.2015年1月12日，歐洲網絡與信息安全局發布了一份名為“隱私和數據保護的設計——從政策到工程”的前沿報告，旨在彌補法律框架和現有技術實施措施間的缺口；2015年12月15日,歐盟執委會通過了《一般數據保護條例》，以歐盟法規的形式確定了對個人數據的保護原則和監管方式；2016年2月29日，歐盟委員會發布歐美《隱私盾協議》法律文本，此文本的出臺在全球引發新一輪跨境數據規制熱潮.

1.2 美國

美國一直將網絡威脅視為最嚴峻的國家安全挑戰之一，并采取多種措施加強網絡能力建設，強化網絡防御體系.2011年，美國國防部出臺“網絡空間行動戰略”；2012年，美國“國家網絡靶場”正式交付軍方；2013年，網絡空間司令部由900人擴編至4 900人，宣布3年內擴建40支網絡戰部隊；2014年，提出將網絡戰部隊追加擴編至133支；2015年，奧巴馬簽署行政命令，授權相關機構對攻擊美國網絡系統的海外黑客實施制裁[4]；2015年2月6日，美國白宮發布《美國2015年國家安全戰略》；2016年2月9日，奧巴馬公布《網絡空間安全國家行動計劃》.

1.3 英國

面對日益嚴峻的網絡安全，英國也采取了一系列的措施.英國政府于2011年啟動了為期5年的“國家網絡安全計劃”；2014年3月31日，英國政府成立國家計算機應急響應小組，負責協調應對計算機網絡攻擊事件，協助國家網絡安全防御工作；2015年2月，英國政府推出“精明上網”活動，旨在為發展數字經濟增加安全保障；2015年4月， 4個研究團隊共享250萬英鎊(約2 463萬元人民幣)政府基金，用于應對因日益增加的黑客攻擊而引發關注的工業控制系統的安全問題，為供應商頒布新的網絡安全標準.

1.4 俄羅斯

隨著網絡安全威脅日益常態化、復雜化和高級化，俄羅斯不斷加快網絡空間軍事力量建設. 2014年7月，俄羅斯議會通過了一項新的涉互聯網法案，要求所有收集俄羅斯公民信息的互聯網公司都應當將數據存儲在俄羅斯國內，此項法案將于2016年9月1日生效，該法案被視為俄羅斯近期加強互聯網監管的系列法案之一，目的是為保障國家信息安全.

2 國際網絡安全標準化組織

2.1 ISO/IEC JTC1 SC27

ISO/IEC JTC1是國際標準化組織(ISO)和國際電工委員會(IEC)成立的專門從事信息技術(IT)領域標準化的聯合技術委員會[5].成立于1987年，下設有19個分技術委員會(SC).其中，SC27(IT安全技術)是ISO/IEC JTC1中專門從事IT安全一般方法和技術標準化工作的分技術委員會[6]，成立于1990年，秘書處設在德國(DIN)，主席為Walter Fumy(任期至2016年).SC27是國際公認的信息安全專業知識中心，服務于眾多企業和政府部門的需求.SC27的工作直接面向企業、政府和消費者對信息安全標準的需求,涵蓋信息安全領域的管理標準和技術標準.截至2016年1月，SC27有51個P成員國，19個O成員國，60多個聯絡成員，覆蓋了政府機構、金融行業、電信行業、醫療保健行業等.

2.1.1 SC27組織結構

SC27的下設組織包括5個工作組(WG)和2個特別工作組(SWG)，分別是:信息安全管理體系工作組(WG1)、安全技術與機制工作組(WG2)、安全評估工作組(WG3)、安全控制與服務工作組(WG4)和身份管理與隱私保護工作組(WG5)5個工作組，以及管理特別工作組(SWG-M)和橫向項目特別工作組(SWG-T)，每個工作組都有一名召集人和/或聯合召集人，管理本工作組的日常工作.

WG1為信息安全管理體系(information security management systems, ISMS)工作組，負責ISMS標準族的開發和維護；WG2為密碼學與安全機制工作組，負責密碼和非密碼的技術與機制標準的開發和維護；WG3為安全評價準則工作組，負責IT系統、組件和產品的安全評價與認證標準的開發和維護；WG4為安全控制與服務，負責支持實現ISO/IEC 27001中所定義控制目標和控制措施的服務與應用標準的開發和維護；WG5為身份管理與隱私保護技術工作組，負責身份管理、生物特征鑒別和個人數據保護等標準的開發和維護.特別工作組SWG-M和SWG-T研究SC27工作做法與機制改進相關問題，主要從改進SC27工作效率、協調推進跨工作組標準研究與制定、宣傳并促進SC27標準的認知度等方面開展相關工作，其主要目的是評審、監視和改進內部運行和管理機制.

2.1.2 SC27發布的文件

截至目前為止，SC27正式頒布的標準有148項，制定、修訂項目77項，總數為225項.SC27各工作組發布標準數如圖1所示:

圖1 SC27各工作組標準研制情況

WG1是所有有關信息安全管理體系(ISMS)標準化問題的國際專業知識中心，其范圍涵蓋ISMS標準和指南的制定，包括：制定和維護ISO/IEC 27000 ISMS標準族;識別未來ISMS標準和指南的需求;與SC27內其他工作組合作，特別是與WG4和WG5在有關實現ISO/IEC 27001和ISO/IEC 27002定義的控制目標和控制方面的合作；持續維護WG1常設文件，包括SD1(WG1路線圖)、SD2(關于定義的規則和原則)和SD5(ISMS文件結構)；與從事ISMS特定要求的那些組織和委員會進行聯絡和合作.

WG2是JTC1中IT安全技術和機制標準化的專業知識中心，范圍包括：識別IT系統和應用中對這些技術和機制的需求和要求；用于安全服務的這些技術和機制的術語、一般模型和標準的編制；持續維護WG2的常設文件SD1(WG2路線圖).

WG3范圍涵蓋安全工程相關方面，著重于(但不限于)IT系統、組件和產品的IT安全規范、評價、測試和認證方面的標準.涉及計算機網絡、分布式系統、相關聯的應用服務、生物特征識別技術.具體包括：安全評價準則；準則應用方法學； IT系統、組件和產品的安全功能規范和保障規范；確定安全功能和保障符合性的測試方法；測試、評價、認證和認可計劃的管理規程；持續維護WG3常設文件SD1(WG3路線圖).

WG4范圍涵蓋服務和應用方面標準和指南的制定和維護，這些服務和應用為ISO/IEC 27001中定義的控制目標和控制措施的實現提供支持.具體包括： IT網絡安全；應用安全；網際安全；信息安全事件管理；災難恢復服務；入侵檢測和防御系統(IDPS)；可信第三方服務；業務持續性的ICT就緒；外包安全性；持續維護WG4常設文件SD1(WG4路線圖)；與SC27的其他工作組合作，尤其是致力于ISMS標準和指南的WG1；與從事服務和應用特定要求和指南的那些組織和委員會進行聯絡和合作.

WG5范圍涵蓋身份管理、生物特征識別技術和個人信息保護的安全性方面標準和指南的制定和維護.具體包括：這些領域中未來標準和指南的需求識別和制定；持續維護WG5常設文件SD1(WG5路線圖)和SD2(隱私保護參考文獻列表)；與SC27的其他工作組合作，例如，管理方面的WG1、特定加密技術方面的WG2和評價方面的WG3；與從事此領域中服務和應用特定要求和指南的那些組織和委員會進行聯絡和合作.

對于云計算、大數據等一些具有廣泛應用前景的新領域，SC27也發布了如下一些相關標準：

1) ISO/IEC 27017|ITU-TX.1631 基于ISO/IEC27002的云服務信息安全控制實踐指南(WG1);

2) ISO/IEC 27036-4 供應商關系信息安全 第4部分：云服務安全(WG4);

3) ISO/IEC 19086-4 云計算服務等級協議框架 第4部分：安全和隱私(WG4);

4) ISO/IEC 27018 個人可識別信息(PII)處理者在公共云中保護PII的實踐指南(WG5).

2.2 美國國家信息和技術研究所(NIST)

美國國家信息和技術研究所(NIST)隸屬美國商務部，負責制定全面的技術、物理及行政管理標準，是美國最具影響的標準化機構之一.NIST下屬的計算機安全部(CSD)具體負責為聯邦政府制定信息安全標準.2002年，美國政府在《聯邦信息安全管理法案》(FISMA)以及《電子政府法案》中再次重申了NIST通過信息安全標準而對聯邦政府信息安全的促進作用.

2.2.1 NIST組織架構

NIST最高領導層由院長、副院長和信息最高執行官3人組成.下設與信息技術有關的單位：Boulder實驗室、技術服務部、技術研發部、電子與電工實驗室、信息技術實驗室.其他部門和實驗室還有：Baldrige國家質量項目部、管理和財務部、生產發展合作部、生產工程實驗室、化學科學技術實驗室、材料科學工程實驗室、物理實驗室、建筑與防火研究室.

2.2.2 NIST標準類型

目前，NIST信息安全文件已經超過了400份，包括聯邦信息處理標準(FIPS)、特別出版物(SP)系列、NIST內部/機構間報告(NISTIR)以及信息技術實驗室(ITL)計算機安全公告等.這些文件通常是按出版物類型和文件號排列，ITL計算機安全公告按月和年進行排列.截至2015年12月31日，NIST共發布9份聯邦信息處理標準(FIPS)、195份特別出版物(SP)、137份NIST內部/機構間報告(NISTIR)、107份ITL公告.僅在2015年NIST就發布了2份FIPS、27份SP、22份NISTIR、12份ITL公告.

聯邦信息處理標準(Federal Information Processing Standards, FIPS)用于可以滿足聯邦政府強制性要求的標準和方案，主要服務于聯邦信息安全管理法案(FISMA).特殊出版物SP系列報告了信息系統安全領域內信息技術實驗室(ITL)的研究、指南和推廣，及其與工業、政府和學術組織的合作活動，包括SP800系列、SP500系列、SP1800系列和SP1500系列.SP1800系列是2015年新推出的，用來補充SP800系列，主要是有關網絡空間安全的實踐指南，目前已發布了SP1800-1,SP1800-2,SP1800-3,SP1800-4,SP1800-5共5項標準草案.SP1500系列主要關注大數據標準，目前已經有一個包含7部分的大數據互操作性框架系列標準.NIST機構間報告系列(The NIST Interagency Report Series)是支持聯邦信息安全管理的指南和重要參考資料，既有暫時性的項目成果，也有NIST所承擔的外部研究工作的階段性的或最終的工作報告.ITL Bulletins由信息技術實驗室(ITL)發布，是NIST的不定期出版物，是一種專刊.

2.2.3 NIST標準文件分類

為便于用戶檢索，NIST編制了《NIST安全文件指南》，亦稱“路線圖”，2年更新一次，該指南將NIST發布的信息安全文件分為三大類：

1) 主題集群(by Topic/Project)；

2) 安全控制族(by Security Control Family)；

3) 法律法規要求(by Legal Requirement).

截至2016年3月31日，三大類的具體主題劃分及所含文件數如表1～3所示：

表1 NIST標準文件分類(1 主題集群)

續表1

表2 NIST標準文件分類(2 安全控制族)

表3 NIST標準文件分類(3 法律法規)

2.3 ENISA(歐洲網絡信息安全局)

ENISA(European Network and Information Security Agency)是歐洲網絡信息安全局的英文縮寫.它隸屬于歐洲聯盟(European Union)，根據2004年3月10日通過的歐洲議會和理事會條例《關于建立歐洲網絡和信息安全機構的規則》((EC) No 460/2004)建立，其業務始于2005年9月1日.但是，由于歐盟眾多成員國的利益需要隨時協調，ENISA的設立并非終生授權，而是每隔4～5年依據歐盟新條例決定是否延續.

歐洲議會和理事會于2008年9月24日依據條例 (EC) No 1007/2008，決定將ENISA任務延長到2012年；2011年6月8日歐洲議會和理事會通過了歐洲議會和理事會條例(EC) No 460/2004的修訂，再次將ENISA的任務期限延長至2013年9月13日；2013年5月21日，歐洲議會和理事會通過了歐洲議會和理事會條例(EC) No 526/2013，再次將ENISA的任務期限延長至2020年.

2.3.1 ENISA組織結構

ENISA作為工作實體，其總部地址設在希臘雅典的伊拉克利翁.2004—2009年執行主任為安德烈皮羅蒂先生(意大利馬可尼通信的前總裁)，從2009年10月至今的執行主任為赫姆布雷特博士(德國的聯邦政府機關的信息安全前主席).

為了適應歐盟相關法規的要求，有效實施歐盟賦予的任務，ENISA形成了如下組織結構，如圖2所示.

2.3.2 ENISA發布的文件

ENISA組織各國網絡與信息安全專家研究和編寫了大量指南性質的技術出版物.根據ENISA網站發布的信息，截至2016年4月6日，ENISA成立11年來先后發布了55類(由于有的成果涉及多個專題，有的文本以多國語言發表，實際的出版物沒有這么多)有關網絡與信息安全的專題文件,如表4所示.

2.4 互聯網工程任務組(IETF)

互聯網工程任務組(IETF)始創于1986年，其主要任務是負責互聯網相關技術標準的研發和制定.目前，IETF已成為全球互聯網界最具權威的大型技術研究組織.IETF體系結構分為3類:1)互聯網架構委員會(IAB);2)互聯網工程指導委員會(IESG);3)涉及8個領域的工作組(workinggroup).IETF標準制定的具體工作由各個工作組承擔，IETF共包括8個研究領域，分別為：應用研究領域(20個工作組)、通用研究領域(5個工作組)、網際互聯研究領域(21個工作組)、操作與管理研究領域(24個工作組)、路由研究領域(14個工作組)、安全研究領域(21個工作組)、傳輸研究領域(1個工作組)和臨時研究領域(27個工作組).

圖2 ENISA組織結構

序號類型數量序號類型數量1CERT6429高可用性和冗余系統32隱私與保密2930風險管理:事件報告33CERT新聞2531安全應用程序∕服務34恢復能力2532網際攻擊35身份及可信2133抗災能力上的公私伙伴關系36網絡空間安全1734未來互聯網37關鍵信息基礎設施保護1435e-技能28學術研究:關鍵信息基礎設施保護1436經紀人業務(Brokerage)29合作1237通信網絡210風險評估1138青年在線211良好實踐1039度量212網絡與信息安全意識1040受信任的信息共享213eID1041部門的相互依存關系214風險管理942事件響應215云計算安全943事件報告116案例研究844利益相關者關系117新興和未來風險845認證和認可118最終用戶的信息安全846電子ID119風險意識747ENISA120數據安全748ENISA事件121風險評估649企業∕IT專業人員122信息共享650計算機緊急響應小組123SME安全551移動設備安全124立場文件452在線身份驗證125指引(How-To)453公共部門126網絡空間安全演習454風險緩解措施127恢復技術355安全策略128培訓3

其中，安全領域主要負責研究IP網絡中的授權、認證、審計等與私密性保護有關的協議與標準.隨著互聯網的安全性越來越受到人們的重視，這個領域也成為IETF中最為活躍的研究領域之一.

2.5 國際電氣電工工程師協會(IEEE)

美國電氣和電子工程師協會(IEEE)是一個國際性的電子技術與信息科學工程師的協會，是世界上最大的專業技術組織之一.IEEE被國際標準化組織授權為可以指定標準的組織，設有專門的標準工作委員會，有30000義務工作者參與標準的研究和制定工作，每年制定和修訂800多個技術標準.IEEE的標準制定內容有：電氣與電子設備、實驗方法、原器件、符號、定義以及測試方法等.國際電氣電工工程師協會(IEEE)提出LAN/WAN安全方面的標準(SILS)和公鑰密碼標準(P1363),成立了 802.11“無線局域網工作組”、802.15“無線個人網絡工作組”、802.16“無線寬帶網絡工作組”和802.20“移動寬帶無線接入工作組”等.IEEE在網絡與信息安全方面的主要貢獻是無線通信安全.

3 對中國的啟示

隨著全球網絡化程度的日益提高，網絡安全已經成為事關經濟發展、社會穩定和國家安全的重中之重[7].隨著物聯網、云計算、大數據等新技術新應用的發展，數據跨境流動、用戶信息保護等安全問題在不斷凸顯，我們應與時俱進，加緊制定相關領域的安全標準.此外，積極參與國際標準化活動，努力汲取國際國外標準化的優秀成果，又要根據國情自主創新，積極將自主制定的、有分量的國家標準，提升為國際標準.最后，要加強標準化頂層設計，完善我國網絡安全標準體系，將眾多網絡安全標準在此體系下協調一致，充分發揮網絡安全標準系統的作用.

[1]李曉玉. 國內外信息安全標準研究現狀綜述[C] //池州, 安徽: 中國標準化論壇, 2013: 167-171

[2]姚相振, 周睿康, 范科峰. 網絡安全標準體系研究[J]. 信息安全與通信保密, 2015 (7): 53-56

[3]葉蕾, 王玉蓉. 2013年國際網絡空間安全建設動態綜述[J]. 信息安全與通信保密, 2014 (1): 42-49

[4]劉希慧. 奧巴馬政府的網絡安全戰略研究[D]. 長沙: 湖南師范大學, 2014

[5]岳芳. 網絡安全的標準與組織[J]. 網絡安全技術與應用, 2004 (5): 74-75

[6]昊天. 國際標準化組織有關信息安全標準的活動[J]. 信息網絡安全, 2005 (3): 35-36

[7]蔣麗, 張小蘭, 徐飛彪. 國際網絡安全合作的困境與出路[J]. 現代國際關系, 2013 (9): 52-58

上官曉麗

碩士，高級工程師，主要研究方向為信息安全標準.

shanggxl@cesi.cn

王 姣

碩士研究生，主要研究方向為信息安全.

wangjiao@cesi.cn

The Research on International Cyber Security Standards

Shangguan Xiaoli1and Wang Jiao1,2

1(ChinaElectronicsStandardizationInstitute,Beijing100007)2(GuilinUniversityofElectronicTechnology,Guilin,Guangxi541004)

With the development of new technologies and applications, such as cloud computing, big data and the internet of things, more and more countries issue cyber security strategies and a series of related policies. The standardization of cyber security became more crucial. In this paper, we briefly analysis some cyber security strategies in developed countries and then introduce several important international and foreign standardization organizations about cyber security. Finally, we give some advice for next work about cyber security standards in China.

cyber security; standards; international; organization; strategy; organizational structure

2016-04-21

2015年全國信息安全標準化技術委員會研究項目

TP393.0