國際信息安全標準現狀研究及對我國標準體系建設的思考

陳湉，張彥超，趙爽

(中國信息通信研究院,北京 100191)

國際信息安全標準現狀研究及對我國標準體系建設的思考

陳湉，張彥超，趙爽

(中國信息通信研究院,北京 100191)

國際信息安全標準化工作興起于20世紀70年代中期，80年代有了較快的發展，90年代引起了世界各國的普遍關注。很多國際電信和互聯網標準化組織都設立了專門工作組從事信息安全標準化工作，本文對在國際上具有廣泛影響力的三個主流信息安全標準化組織工作現狀進行了分析，同時梳理了我國信息安全標準體系建設工作情況，分析我國在信息安全標準體系框架研究存在的問題及原因，并對如何進一步推進工作提出了相關建議。

信息安全；標準體系；ISO/IEC；ITU-T；NIST

0 引言

信息安全標準化是國家網絡安全保障體系建設的重要組成部分，在保障網絡空間安全、推動網絡治理體系變革方面發揮著基礎性、規范性、引領性作用。信息安全標準體系是由信息安全領域內具有內在聯系的標準組成的科學有機整體，科學高效的信息安全標準體系能夠系統化地指導行業、機構團體、產品、服務或工程項目等，從而達到整體的最佳效益。信息安全標準體系框架是用以表達標準體系的構思、設想、整體規劃，其主要作用是為編制信息安全標準制、修訂計劃提供重要依據；促進信息安全領域內的標準組成趨向科學合理化，為信息安全保障體系建設提供支撐。

1 國際信息安全標準研究概況及特點

當前，信息安全標準體系相對健全，國際影響力較大的標準化組織包括國際標準化組織（ISO）和國際電工委員會（IEC）、國際電信聯盟電信標準分局（ITU-T）以及美國國家標準和技術研究院（NIST）。

1.1 國際標準化組織和國際電工委員會（ISO/IEC）

國際標準化組織（ISO）和國際電工委員會（IEC）聯合成立的信息技術委員會JTC1是非常活躍的信息技術領域國際標準化組織。JTC1技術委員會下設的SC 27組專門負責安全技術標準研究，已經發布了151項國際標準，在研標準項目74項。JTC1 SC27組共設置了5個工作組，分別從事信息安全管理體系、密碼學與安

全機制、安全評價測試與規范、安全控制與服務、身份管理與隱私保護等信息安全技術一般方法和標準化研究工作。

在ISO/IEC JTC1 SC27組中，信息安全標準體系是按照標準本身屬性進行構建的，其將信息安全標準分為技術規范類、管理指南類和評估認證類，各個工作雖然研究領域不同，但是研究制定的信息安全標準基本可以歸納到這三類范圍中。

此外，為了加強大數據技術標準化，ISO/ IEC JTC1技術委員會專門成立了大數據研究組（ISO/IEC JTC1 SG2）[1],其當前的工作重點是確定大數據領域術語與定義，研究大數據參考架構，制定大數據標準路線圖。其中，標準路線圖的主要任務是調研大數據領域的關鍵技術、參考模型以及用例等標準基礎，評估當前大數據標準需求，提出ISO/IEC JTC1大數據標準研究的優先順序。

1.2 國際電信聯盟電信標準分局（ITU-T）

國際電信聯盟電信標準分局（ITU-T）是國際電信聯盟管理下的專門制定電信標準的分支機構。ITU-T SG17組成立于2001年，負責研究信息安全標準，其特點是每3年作為一個研究周期，每個研究周期會調整工作領域和工作組的設置。在2009-2012研究周期，ITU-T SG17組共設置了3個工作領域（WP），分別是網絡與信息安全、應用安全、身份管理和語言。3個工作領域下設了15個工作組，研究范圍基本涵蓋了電信和信息技術領域的安全需求。在2013-2016研究周期，ITU-T SG17組將工作領域拆分成了5個，并根據實際標準工作需求，通過新增、裁撤等方式最終形成了12個工作組，具體情況如圖1所示。ITU-T SG17組當前的研究重點領域包括軟件定義網絡、云計算、物聯網、生物特征識別、個人信息保護等。

圖1 ITU-T SG17組2013-2016研究周期工作組設置

ITU-T SG17組沒有對外發布其標準體系框架，但其工作領域和工作組的設置基本反映出ITU-T信息安全標準研究的布局。從圖1可以看出，ITU-T SG17組大致遵循了電信領域一貫的分層模式，分成基礎安全、網絡和信息安全、應用安全，另外還根據實際工作需要設置身份管理和云計算安全、形式語言兩個研究領域。具體到課題組設置，ITU-T SG17組沒有遵循一致的劃分原則，而是根據各工作領域在一個研究周期內的工作重點方向和各成員的標準化需求進行設置，因此每個研究周期的課題組設置相對變化較大。

1.3 美國國家標準和技術研究院（NIST）

美國國家標準和技術研究院(National Institute of Standards and Technology，NIST）成立于1901年，隸屬于美國商務部技術司。NIST 是一個非監管性質的聯邦部門，是美國測量技術和標準的國家級研究機構，其主要職責是通過對測量、標準和技術的研究，推動和促進創新及產業競爭力[2]。NIST信息技術實驗室下設的計算機安全研究室（Computer Security Division,CSD）和應用網絡空間安全研究室（Applied Cybersecurity Division, ACD）是NIST信息安全標準的主要制定部門。

NIST發布的信息安全標準和文件類型包括聯邦信息處理標準系列（FIPS）、特別出版物系列（Special Publication,SP）、內部報告系列（IRs）和信息技術實驗室安全快報系列（ITLs）等。聯邦信息處理標準（FIPS）大部分為強制標準，要求大多數的聯邦政府部門按照標準中的規定執行。截止到2016年5月，有效的 FIPS共9項，涉及密碼算法、聯邦政府信息系統保護兩個方面。SP 800 系列是NIST 在信息技術安全方面的特別出版物，起始于1990 年。SP800系列均屬于技術指南文件，對聯邦政府部門不具有強制性，只是提供一種供參考的方法或經驗，涉及的內容包括系統和應用安全、安全基礎組件和機制、安全測試與評估等。

NIST近年來在云計算和大數據技術標準化研究方面貢獻突出，其發布的云計算、大數據參考架構，公有云中的安全與隱私指南等標準對相關國際標準化工作影響深刻[3]。NIST同樣注重標準體系梳理工作，在云計算和大數據領域分別發布了標準路線圖，分析相關標準現狀及存在問題，提出當前標準缺口，并根據迫切程度提出NIST標準研究優先級的建議。

2 我國信息安全標準體系建設情況

近年來，我國也非常重視信息安全標準建設工作，基本形成了國家和行業層面的相對完整的信息安全標準體系，目前國內涉及信息安全標準化工作的組織機構主要是全國信息技術安全標準化技術委員會和中國通信標準化協會。

2.1 全國信息技術安全標準化技術委員會（TC260）

全國信息安全標準化技術委員會（TC260）是國家標準化管理委員會的直屬標準委員會，成立于2002年，編號為SAC/TC260，負責全國信息安全技術、安全機制、安全服務、安全管理、安全評估等領域標準化工作，并負責統一協調申報信息安全國家標準年度計劃項目，組織國家標準的送審、報批工作。截止目前，TC260共組織374項信息安全國家標準制修訂項目，其中正式發布國家標準167項。

為了加強標準體系建設，TC260專門成立了信息安全標準體系與協調工作組（WG1）研究信息安全標準體系，跟蹤國際信息安全標準發展動態，分析國內信息安全標準的應用需求，其制定的信息安全標準體系框架如圖2所示。可以看出，TC260的標準體系框架混合了標準屬性和標準研究內容兩種分類方式，將信息安全標準分為基礎標準、技術與機制、管理標準、測評標準、密碼技術、保密技術。TC260內部的工作組基本參照標準體系框架的分類方法進行劃分，近兩年根據技術發展趨勢，專門成立了大數據安全標準特別工作組，負責大數據、云計算、智慧城市相關的安全標準化研制工作。

圖2 TC260信息安全標準體系框架

2.2 中國通信標準化協會（CCSA）

中國通信標準化協會（CCSA）成立于2002年，是我國開展通信技術領域標準化活動的非營利性組織。CCSA TC8網絡與信息安全技術委員會專門從事面向公眾服務的互聯網、通信網絡包括特殊通信領域信息安全行業標準化研究，其設置了有線網絡與信息安全、無線網絡與信息安全、安全管理和安全基礎設施4個工作組。CCSA同樣重視標準體系研究，其制定的網絡與信息安全標準體系框架如圖3所示。可以看出，CCSA的標準體系框架有著明顯的電信網絡技術特點，以標準研究內容為分類維度，延續電信網絡分層體系思維，將網絡與信息安全標準分為業務與應用類、網絡類、終端類、基礎類和管理類。

圖3 CCSA信息安全標準體系框架

3 我國信息安全標準體系建設面臨的問題及原因分析

如前所述，信息安全標準體系框架在標準制、修訂實際工作中應當發揮規劃布局作用。但從目前國內信息安全標準化實際工作情況來看，標準體系框架尚未完全發揮其應有的作用。以通信行業為例，除了在信息安全標準立項階段要求闡述擬立項標準在標準體系框架中的位置，在其他標準制定環節以及標準組織管理工作中，標準體系框架對信息安全標準化整體工作的現實指導意義并未充分顯現。分析其中的原因，主要有以下三個方面：

3.1 標準體系框架的實用性

日趨復雜的信息安全標準體系框架導致實際操作中的易用性明顯下降。比較公認的信息安全標準體系框架維度劃分方式可以概括為標準對象和標準屬性。按照標準研究、規范的對象可以將信息安全標準劃分為應用服務、系統網絡、設備產品、安全管理和安全技術等，各行業還可以根據自身特點對標準對象的劃分進行完善和細化。按照標準屬性可以將信息安全標準劃分為基礎類、要求類、指南類和測評類，像ISO/IEC JTC1 SC27組和全國信息安全標準化技術委員會的工作組和標準體系框架設置基本參照了標準屬性分類方法。可以看到，早前信息安全標準體系的劃分方法相對簡單，并且邊界清晰。但隨著信息技術的演進變革與融合創

新，新的網絡業務和服務類型（如，CDN、云服務等）、網絡技術（如，5G、SDN等）使得標準研究對象不斷增多，標準體系日漸龐大。同時，類似于云計算、大數據、物聯網、工業互聯網等自成體系的技術領域，其信息安全標準基本涵蓋了所有標準對象和標準屬性的類別。為了能夠清晰展示標準間的內在邏輯，信息安全標準體系框架的維度可能需要擴充到二維甚至是三維，從標準研究對象、標準自身屬性及所屬技術領域三個維度定位一個標準，這將直接增加標準體系框架在實際操作中的難度。

3.2 標準體系框架的適用性

標準體系框架滾動更新機制運行不暢導致與標準制定實際需求脫節。信息安全標準研究工作伴隨著信息技術發展呈現階段性的趨勢和特征，每個時期都有特定的重點研究方向和熱點。為了適應這樣的發展變化規律，ITU-T SG 17組設定3年為一個研究周期，每個研究周期結束后對其下設的研究領域和工作組進行重新劃分，這可以看做是在調整其信息安全標準體系框架及研究重心，從而為組織內部標準研究工作的順利開展提供保障。從目前的實際工作來看，我國信息安全標準體系框架滾動更新和持續改進工作落實還不到位，存在新立項標準在信息安全標準體系框架中找不到所屬類別，或可以同時分屬多個類別等現象，這在一定程度上說明標準體系框架未能充分適應當前信息安全標準化工作需求，未能充分反應當前工作熱點，自然難以發揮標準體系框架應有的規劃指導作用。

3.3 標準體系框架的后向銜接性

缺少已有標準的體系化梳理導致目前標準立項工作相對無序。如何實現信息安全標準體系框架與現實標準化工作的有機結合，首要工作是利用標準體系框架對已發布的安全標準進行系統梳理，確定每一項標準在標準體系中的相對位置，利用標準體系框架圖形化全局展現信息安全標準體系建設情況。這是一項非常基礎且重要的工作，一方面通過體系化梳理，可以發現同一類別的標準是否存在重復、沖突等問題，從而及時啟動相應的標準修訂、廢止工作；一方面體系化梳理能夠客觀展現標準化工作整體布局，從標準分布情況發現標準化工作的薄弱環節，從而指導制定標準工作計劃。ISO/ IEC JTC1 SC27組和NIST雖然沒有發布標準化體系框架，但非常注重標準體系梳理工作，特別是在全面啟動云計算、大數據等新的研究領域標準化工作前，都要研究相應技術參考架構及安全需求，并且對相關的已發布標準進行全面梳理，從而確定哪些方向現有標準可以沿用，哪些方向必須制定新標準。我國信息安全標準化體系框架制定發布后，基礎性的標準體系梳理工作做得還不夠，標準立項申請者很難通過自身力量了解掌握信息安全標準全局性信息，僅從自身需求出發提出標準立項申請，必然導致扎堆、重復申報等亂象。

4 推進我國信息安全標準體系建設的思考

今年8月，中央網絡安全和信息化領導小組辦公室、國家質量監督檢驗檢疫總局、國家標準化管理委員會聯合發布了《關于加強國家網絡安全標準化工作的若干意見》（以下簡稱《意見》），對我國構建統一權威、科學高效的信息安全標準體系和標準化工作機制進行了統一布局、統一謀劃。本文結合《意見》的相關內容，以信息安全

標準體系框架研究作為切入點，對我國未來信息安全標準體系建設提出了如下建議。

4.1 構建實用性強、可擴展性強的信息安全標準體系框架

一是構建基于屬性維度的標準體系框架。標準體系框架的研究制定對建成適應發展、結構合理、科學高效的信息安全技術標準體系有著重要的指引性作用。如前所述，當前信息安全標準體系框架存在一些實用性問題，癥結是在于標準體系框架分類維度的選取。通過對安全技術標準制定規律、慣例的進一步總結提煉，可以看到，對于一個標準研究對象而言，會同時存在要求、指南、測試等標準制定需求，因此以標準屬性作為主要分類維度的標準體系框架能夠具備一定的穩定性。同時，為應對不斷增加的標準研究對象及領域，可以構建標準體系框架族，以通用型框架為藍本，構建以云計算、大數據、工業互聯網等為代表的新興領域標準體系框架，一方面能夠清晰展現該領域的標準體系特點，另一方面可以有效控制單個標準體系框架的規模，從而解決實用性的問題。二是落實標準體系框架定期滾動更新機制。信息技術的快速迭代演進促使信息安全標準制定步伐也在不斷加快，《意見》中明確提出要“縮短標準制修訂周期，原則上不超過2年，確保標準及時滿足網絡安全保障、新興技術與產業發展的需求”。為了在快速制定標準的同時保證標準體系的規范有序、科學合理，需要建立標準體系框架滾動更新機制，定期組織信息安全標準化專家對標準體系框架進行修訂完善，保持框架的適應性和前瞻性。

4.2 落實信息安全標準體系建設的基礎性工作

一是扎實做好現有標準體系的系統梳理。《意見》中明確提出要“定期發布信息安全標準體系建設指南，指導標準制定工作有計劃、有步驟推進”。更進一步，在制定建設指南的過程中，可以綜合運用標準體系框架，全面、系統梳理已發布的信息安全標準，總結分析當前信息安全標準體系內容交叉覆蓋、結構失衡等問題，以問題為導向，以需求為牽引，指明下一步標準制定工作方向及重點，形成信息安全標準立項建議清單，加強標準立項環節的統籌管理。二是新興領域標準制定做到“先梳理，再立項”。以云計算、大數據為代表的新興信息技術有著一定的技術延續性及發展脈絡，例如大數據安全中數據安全保護一直以來是信息安全關注的重點問題之一，舊有的安全技術標準也可能適用于新興技術領域。NIST在《大數據標準路線圖》中總結梳理了9個國際主要標準組織發布的與大數據相關的國際標準，得出的結論是多數標準能夠在大數據場景下繼續沿用。因此，在啟動新技術領域的安全標準制定工作前，首先需要明確安全需求，梳理已有標準，找準標準體系中的空白，才能明確發力方向，快速構建標準體系，避免重復勞動和資源浪費。

4.3 加強信息安全標準體系建設統籌指導

一是協調好各級標準間的關系。《意見》中指明要“整合精簡強制性國家標準，優化完善推薦性國家標準，視情指定推薦性行業標準”，基本明確了強制性標準與推薦性標準、國家標準與行業標準的制定原則。實際工作中，還需進一步加強全國信息安全標準化技術委員會與各行業標準化組織的溝通協調工作機制建設，探索明確國家標準與行業標準的邊界、各自的

站位，進而形成覆蓋全面、協調一致、層次鮮明的信息安全標準體系。二是處理好“自上而下”與“自下而上”的標準需求間的關系。標準制定主體和標準使用主體在產業界，因此滿足國家保障信息安全需求的同時，需要兼顧產業界對安全標準化的需求。對于與國家信息安全保障和治理緊密相關的標準，可以由政府主導制定并推動實施；對于其他信息安全標準，可以充分發揮產業力量，鼓勵和吸收更多的企業、高校、科研院所、檢測認證機構等各方實質性參與，發揮企業主體作用，提高標準制定的參與度和廣泛性。

5 結語

近年來，國家高度重視標準化工作，李克強總理在第39屆國際標準化組織大會上發表致辭，強調標準化水平的高低，反映了一個國家產業核心競爭力乃至綜合實力的強弱。同時，網絡空間安全與國家安全的關聯愈加緊密，戰略地位不斷凸顯。因此，信息安全標準體系建設對我國夯實安全技術基礎、促進技術創新、提升產業競爭力、維護國家安全至關重要。本文總結梳理國際三大主流信息安全標準化組織在標準體系建設方面的特點與經驗，并以標準體系框架為出發點提出了工作建議。后續，需要國家和各行業標準化組織共同努力，構建協調統一、層次分明、科學高效的信息安全標準體系。

[1] 中國電子技術標準化研究院.大數據標準化白皮書[M].北京:中國電子技術標準化研究院，2014.

[2] 楊晨,楊建軍,王惠蒞. NIST信息安全標準化研究[J].信息技術與標準化，2011（03）：48-51.

[3] 中國電子技術標準化研究院.云計算標準化白皮書[M].北京:中國電子技術標準化研究院，2014.

陳湉，碩士，工程師，主要研究方向為電信和互聯網信息安全標準化研究、網絡數據安全和個人信息保護；

張彥超，博士，工程師，主要研究方向為電信和互聯網網絡安全防護、云計算安全、網絡數據安全和個人信息保護；

趙爽，碩士，助理工程師，主要研究方向為網絡與信息安全產業、網絡安全政策、通信網絡安全防護。

Present Situation of International Information Security Standards and Thingking on China’s Standard System Construction

CHEN Tian,ZHANG Yanchao, ZHAO Shuang
(China Academy of Information and Communications Technology, Beijing 100191 ,China）

International information security standardization work arose in the middle of 1970s, developed rapidly in 1980s and attracted worldwide attention in 1990s. Many telecommunications and Internet international standardization organizations have set up special working groups engaged in information security standardization work. This paper discussed the present work status of the three major information security standardization organizations of wide and deep influence, and combs out China’s construction of information security standards system, then analyzes the existing problems of China’s information security standards system framework, and finally gives suggestions for further promotion of China’s standardization work.

information security; standard system; standard system framework; ISO/IEC;ITU-T；NIST

35.020

A

1009-8054(2016)11-0041-07

2016-08-02