《信息安全概论》第9章 信息安全标准与法律法规

1、第九章 信息安全标准与法律法规第九章 信息安全标准与法律法规9.1 概述9.2 国际安全标准9.3 国内安全标准9.4 重要的标准化组织9.5 信息安全法律法规9.1 概述为在一定范围内获得最佳秩序，对活动或其结果规定共同的和重复使用的规则、导则或特性的文件就是标准。标准应以科学技术和经验的综合成果为基础，以促进最佳社会效益为目的。标准文件必须经协商一致并由一个公认的机构批准。信息技术安全方面的标准化，兴起于20世纪70年代中期，80年代有了较快的发展，90年代引起了世界各国的普遍关注，特别是随着信息数字化和网络化的发展和应用，信息技术的安全技术标准化变得更为重要。因此标准化的范围在拓展，标准

2、化的进程在加快，标准化的成果也在不断的涌现。9.1 概述基础标准是整个信息安全标准体系的基础部分，并向其他的技术标准提供所需的服务支持。基础标准包括信息安全术语、信息安全体系结构、信息安全框架、信息安全模型、安全技术等。物理安全标准针对物理环境和保障、安全产品、介质安全等提出标准进行规范。系统与网络标准针对软硬件应用平台、网络、安全协议、安全信息交换语法规则、人机接口以及业务应用平台提出安全要求。应用与工程标准则针对安全工程和服务、人员资质、行业应用进行详细规定。管理类标准分为三大块：管理基础、系统管理和测评认证。建立科学的信息安全标准体系，将众多的信息安全标准在此体系下协调一致，才能充分发挥

3、信息安全标准系统的功能，获得良好的系统效应，取得预期的社会效益和经济效益。信息安全标准体系框架描述了信息安全标准整体组成，是整个信息安全标准化工作的指南。，在标准框架中，基础标准和管理标准是支持该框架的支柱，物理安全标准、系统与网络标准和应用工程标准也都是组成信息安全保证的重要依据。9.2 国际安全标准信息安全技术标准是信息安全产业的重要领域，一直受到国内外的普遍关注，早在1977年，美国国家标准局就正式颁发了世界第一个数据加密标准（DES），随着通信和计算机网络的发展，信息安全的标准化工作也取得了很大的进展。BS7799CCSSE-CMM9.2 国际安全标准BS7799英国标准BS7799是

4、目前世界上应用最广泛的典型的信息安全管理标准，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成的。BS7799标准提供一个开发组织安全标准、有效实施安全管理的公共基础，还提供了组织间交易的可信度。该标准第一部分为组织管理者提供了信息安全管理的实施惯例，例如信息与软件交换和处理的安全规定、设备的安全配置管理、安全区域进出的控制等一些很容易理解的问题。这恰巧符合信息安全的“七分管理，三分技术”的原则。这些管理规定一般的单位都可以制定，但要想达到BS7799的全面性则需要一番努力。在信息安全管理方面，BS7799的地位是其他标准无法取代的。总的说来，BS7799涵盖了安全管理所应涉

5、及的方方面面，全面而不失可操作性，提供了一个可持续提高的信息安全管理环境。9.2 国际安全标准CC信息安全安全性评估的标准信息技术安全性评估通用准则（CC：Common Criteria），通常简称通用准则，也即是国际标准ISO/IEC15408-99，该标准是评估信息技术产品和系统安全特性的基础准则。它是在TESEC、ITSEC、CTCPEC、FC等信息安全标准的基础上综合形成的，通过建立信息技术安全性评估的通用准则库，使得其评估结果能被更多的人理解、信任，并且让各种独立的安全评估结果具有可比性，从而达到互相认可的目的。此标准是现阶段最完善的信息技术安全性评估标准，我国也采用这一标准（GB/

6、T 18336）对产品、系统和系统方案进行测试、评估和认可。9.2 国际安全标准SSE-CMM系统安全工程能力成熟模型简写为SSE-CMM，是原英文Systems Security Engineering Capability Maturity Model的缩写。它是一个模型，正如开放系统互连参考模型（OSI）一样，但它指导着系统安全工程的完善和改进，使系统安全工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的科学。SSE-CMM描述了一个组织的安全工程过程务必包含的本质特征，这些特征是完善安全工程的保证，也是安全工程实施的度量标准，还是一个易于理解的评估安全工程实施的框架。

7、SSE-CMM模型的开发源于1993年5月美国国家安全局发起的研究工作。1995年1月，在第一次公共安全工程CMM讨论会中，信息安全协会被邀请加入，超过60个组织的代表再次确认需要这样一种模型。因此，研讨会期间成立了项目工作组，由此进入了模型开发阶段。通过项目领导、应用工作组全体的通力合作，于1996年10月完成了SSE-CMM模型的第一版，1997年5月完成了评价方法第一版。为检验模型及评价方法的有效性，1996年6月到1997年6月进行了试验工作。一些试验组织向SSE-CMM及其评价模型提供了有价值的信息。1997年8月，第二次公共安全工程CMM研讨会举行，以明确一些与模型应用相关的问题，

8、特别是关于：获取领域、过程改善、及产品及系统的安全保证。由于研讨会中明确了上述问题，便成立了一个新的工作组以直接落实这些问题，于1999年4月完成了SSE-CMM模型的第二版。9.3 国内安全标准中华人民共和国标准化法将我国的标准分为国家标准、行业标准、地方标准、企业标准四级。我国的国家标准由国务院标准化行政主管部门制定；行业标准由国务院有关行政主管部门制定；地方标准由省、自治区和直辖市标准化行政主管部门制定；企业标准由企业自己制定。我们国家的信息安全从保密技术、难度、标准的特点出发，将信息安全保密标准分三级，第一级国家标准，第二级国家军队标准，第三级国家保密标准。在这三级标准中，国家保密标准

9、最高。其他标准还包括：公共安全行业标准（GA）。我国信息安全标准在相关标准化组织的有效领导下，取得了长足的发展，颁布了多项标准，国家标准、军队标准、行业标准对信息安全领域均有涉及，大致从以下物理安全、密码及安全算法、安全技术及安全机制、开放系统互连、边界保护、信息安全评估等几方面规定了信息安全的不同技术要求，9.3 国内安全标准物理安全相关国家标准：GB9254-1988信息技术设备的无线电干扰极限值和测量方法。GB9361-1988计算机场地安全要求。GB4943-1995信息技术设备（包括电气事务设备）的安全。密码及安全算法相关国家标准：GB/T15277-1994 信息处理 64bit分

10、组密码算法的工作方法。GB/T15278-1994 信息处理 数据加密 物理层可互操作性要求。GB/T15851-1995 信息技术 安全技术 带消息恢复的数字签名方案。GB/T15852-1995 信息技术 安全技术 用块密码算法作密码校验函数的数据完整性机制。GB/T185238.1-2000 信息技术 安全技术 散列函数 第1部分：概述。GB/T185238.2-200X 信息技术 安全技术 散列函数 第2部分：使用n-bit分组密码算法的散列函数。GB/T185238.3-200X 信息技术 安全技术 散列函数 第3部分：专用散列函数。9.3 国内安全标准安全技术及安全机制相关国家标准

11、：GB/T17903.1-1999 信息技术 安全技术 抗抵赖 第1部分：概述。GB/T17903.2-1999 信息技术 安全技术 抗抵赖 第2部分：使用对称技术的机制。 GB/T17903.3-1999 信息技术 安全技术 抗抵赖 第3部分：使用非对称技术的机制。GB/T15843.1-1999 信息技术 安全技术 实体鉴别 第1部分：概述。GB/T15843.2-1997 信息技术 安全技术 实体鉴别 第2部分：采用非对称加密算法的机制。GB/T15843.3-1998 信息技术 安全技术 实体鉴别 第3部分：采用非对称签名技术的机制。GB/T15843.4-1999 信息技术 安全技术

12、 实体鉴别 第4部分：采用密码校验函数的机制。9.3 国内安全标准开放系统互连相关国家标准：GB/T9387.2-1995 信息处理系统 开放系统互连 基本参考模型 第2部分：安全体系结构。GB/T17963-2000 信息技术 开放系统互连 网络层安全协议。GB/T17965-2000 信息技术 开放系统互连 高层安全模型。GB/T17143.7-1997信息技术 开放系统互连 系统管理 安全报警报告功能。GB/T17143.8-1997信息技术 开放系统互连 系统管理 安全审计跟踪功能。GB/T18231-2000 信息技术 开放系统互连 低层安全模型。GB/T18237.1-2000 信

13、息技术 开放系统互连 通用高层安全 第1部分：概述、模型和记法。GB/T18237.2-2000 信息技术 开放系统互连 通用高层安全 第2部分：安全交换服务元素（SESE）服务定义。GB/T18237.3-2000 信息技术 开放系统互连 通用高层安全 第3部分：安全交换服务元素（SESE）协议规范。9.4 重要的标准化组织为适应信息技术的迅猛发展，国内外成立了很多标准化组织，目前国际上有两个重要的标准化组织，即国际标准化组织（ISO）和国际电工委员会（IEC）。ISO/IEC JTC1（第一联合技术委员会）是制定信息技术领域国际标准的机构，下辖19个分技术委员会（SC）和SGFS（功能标准

14、化专门组）等特别工作小组，还有四个管理机构（一致性评定特别工作小组、信息技术任务组、注册机构特别工作组和业务分析与计划特别小组）。SC27负责信息技术和安全技术。P成员（积极成员）29个，O成员（观察成员）27个，内部联络员14个，外部A类联络员3个，外部B类联络员18个。P成员有表决权并承担指定任务，O成员没有表决权，但有发表意见及参加会议和获得某些文件的权利，中国是P成员之一。美国的信息技术标准主要由ANSI、NAST制定，其电子工业协会（EIA）和通信工业协会（TIA）也制定了部分信息技术标准。欧洲的ECMA主要在世界范围内制定与计算机及计算机应用有关的标准。IETF主要制定与因特网相关

15、的标准。另外还有ITU、IEEE、EDTI和OMG等组织制定有关的信息技术标准。我国主要由中国通信标准化协会负责相关的标准制定工作。9.4 重要的标准化组织国际标准化组织ISO国际标准化组织(International Organization for Standardization)简称ISO，是一个全球性的非政府组织，是国际标准化领域中一个十分重要的组织。ISO成立于1946年，当时来自25个国家的代表在伦敦召开会议，决定成立一个新的国际组织，以促进国际间的合作和工业标准的统一。于是，ISO这一新组织于1947年2月23日正式成立，总部设在瑞士的日内瓦。ISO于1951年发布了第一个标准工

16、业长度测量用标准参考温度。ISO的任务是促进全球范围内的标准化及其有关活动，以利于国际间产品与服务的交流，以及在知识、科学、技术和经济活动中发展国际间的相互合作。ISO的组织机构包括全体大会、主要官员、成员团体、通信成员、捐助成员、政策发展委员会、理事会、ISO中央秘书处、特别咨询组、技术管理局、标样委员会、技术咨询组、技术委员会等。9.4 重要的标准化组织国际电工委员会IECIEC（International Electro technical Commission）成立于1906年，是世界上最早的非政府性国际性电工标准化机构，总部设在日内瓦，是联合国经社理事会（E-COSOC）的甲级咨询组

17、织。IEC负责有关电工、电子领域的国际标准化工作，其他领域则由ISO负责。IEC的宗旨是促进电工、电子领域中标准化及有关方面问题的国际合作，增进相互了解。IEC的工作领域包括了电力、电子、电信和原子能方面的电工技术。目前IEC成员国包括了大多数的工业发达国家及一部分发展中国家。这些国家拥有世界人口的80%，其生产和消耗的电能占全世界的95%，制造和使用电气、电子产品占全世界产量的90%。IEC下设80多个标准化技术委员会，已制定标准4000余项。在信息安全技术标准化方面，除了同ISO联合建立的JTC1下属几个分委员会外，还在电磁兼容等方面成立了技术委员会，并制定了相关的国际标准，如信息技术设备

18、安全（IEC 60950）。9.4 重要的标准化组织国际电信联盟ITUITU（International Telecommunication Union）是世界各国政府的电信主管部门之间协调电信事务方面的一个国际组织，于1865年5月17日成立于巴黎。ITU现有成员国189个，总部设在日内瓦。ITU是联合国负责电信事务的专门机构，但在法律上不是联合国附属机构。ITU的宗旨是：维持和扩大国际合作，以改进和合理地使用电信资源；促进技术设施的发展及其有效运用，以提高电信业务的效率，扩大技术设施的用途，并尽量使公众普遍利用；协调各国行动，以达到上述目的。ITU的组织原有全权代表会、行政大会、行政理事会

19、和4个常设机构，即总秘书处、国际电报电话咨询委员会（CCITT）、国际无线电咨询委员会（CCIR）和国际频率登记委员会（IFRB）。1993年3月1日ITU第一次世界电信标准大会（WTSC-93）确立ITU的改革首先从机构上进行，对原有的3个机构CCITT、CCIR和IFRB进行了改组，取而代之的是电信标准化部门（TSS，即ITU-T）、无线电通信部门（RS，即ITU-R）和电信发展部门（TDS，即ITU-D）。电信标准化部门ITU-T由原来的CCITT和CCIR从事标准化工作的部门合并而成。其主要职责是完成国际电信联盟有关电信标准方面的目标，即研究电信技术、操作和资费等问题，出版件艺术，目的

20、是在世界范围内实现电信标准化，包括在公共电信网上无线电系统互联和为实现互联所应具备的性能。9.4 重要的标准化组织因特网工程任务组IETFIETF(Internet Engineering Task Force)主要提出Internet标准草案和成为RFC（征求意见稿）的协议文稿，也包括安全方面的建议稿，内容比较广泛，经过网上讨论修改，被大家接受的就成了事实上的标准。目前有关安全方面的RFC有170多个，例如：RFC1352（SNMP安全协议）、RFC1421-1424（因特网电子邮件保密增强协议）和RFC1825（因特网协议安全体系结构）等。有关信息安全的工作组有PGP开发规范（OpenPG

21、P）、鉴别防火墙遍历（AFT）、通过鉴别技术（CAT）、域名服务系统安全（Dnssec）、IP安全协议（IPSec）、一次性口令鉴别（Otp）、X.509公钥基础设施（PKI）、S/MIME邮件安全、安全Shell（Secsh）、简单公钥基础设施（SPKI）、传输层安全（TLS）和Web处理安全（WTS）等12个。9.4 重要的标准化组织中国通信标准化协会中国通信标准化协会（CCSA，China Communications Standards Association），该协会是国内企业、事业单位自愿联合起来，经业务主管部门批准，国家社团登记管理机关登记，开展通信技术标准化活动的非营利性法人社

22、会团体。中国国家标准化管理委员会中国国家标准化管理委员会（SCA，Standardization Administration of the Peoples Republic of China），SAC是国务院授权履行行政管理职能，统一管理全国标准化工作的主攻机构。9.5 信息安全法律法规我国历来重视信息安全法律法规的建设，经过多年的探索和实践，我国已经制定和颁布了涉及信息系统安全、信息内容安全、信息产品安全、网络犯罪、密码管理等方面的多项法律法规，构建了较为完善的信息安全法律框架。从发展过程来看，我国的信息安全法律法规建设是一个与一些关键信息安全技术和事件密切相关的动态发展过程。1994年，

23、国务院颁布了计算机信息系统安全保护条例，在该条例中首次使用了“信息系统安全”的表述，以该条例为起点，中国开始了信息安全领域的立法进程。2002年12月28日，第九届全国人民代表大会常务委员会第十九次会议通过了全国人民代表大会常务委员会关于维护互联网安全的决定，该决定规定禁止利用互联网实施危害互联网安全运行、危害国家安全和社会稳定、危害社会主义市场经济秩序和社会管理秩序、危害个人、法人和其他组织的人身、财产等合法权益，开启了我国在信息安全领域实施法治化的新纪元。9.5 信息安全法律法规2003年7月22日，国家信息化领导小组第三次会议通过了国家信息化领导小组关于加强信息安全保障工作的意见（中办发

24、200327号），简称27号文，意见明确要求加强信息安全法制建设和标准化建设，抓紧研究起草信息安全法，建立和完善信息安全法律法规和制度，明确社会各方面保障信息安全的责任和义务。以此为标志，我国的信息安全立法工作进入了全面发展的阶段。2012年12月28日，全国人民代表大会常务委员会第三十次会议通过了全国人民代表大会常务委员会关于加强网络信息保护的决定，该决定的内容全面涵盖了个人网络电子信息保护、垃圾电子信息治理、网络和手机用户身份管理、网络服务提供商对国家有关主管部门的协助执法等重要制度。其核心内容和立法宗旨是建立公民个人电子信息保护制度，将公民信息权利保护，特别是信息安全的保护，提升到了十分显著的位置，这是我国信息安全立法的重大突破，填补了长久以来我国在个人信息保护方面的立法缺位，反映了我国信息安全立法开始加强对个人信息安全的关注。9.5 信息安全法律法规我国信息安全法制建设的基本原则