国际信息安全标准化工作兴起于20 世纪70 年代中期,80 年代有了较快的发展,90 年代引起了世界各国的普遍关注。很多国际电信和互联网标准化组织都设立了专门工作组从事信息安全标准化工作,本文对在国际上具有广泛影响力的三个主流信息安全标准化组织工作现状进行了分析,同时梳理了我国信息安全标准体系建设工作情况,分析我国在信息安全标准体系框架研究存在的问题及原因,并对如何进一步推进工作提出了相关建议。
引言
信息安全标准化是国家网络安全保障体系建设的重要组成部分,在保障网络空间安全、推动网络治理体系变革方面发挥着基础性、规范性、引领性作用。信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体,科学高效的信息安全标准体系能够系统化地指导行业、机构团体、产品、服务或工程项目等,从而达到整体的最佳效益。信息安全标准体系框架是用以表达标准体系的构思、设想、整体规划,其主要作用是为编制信息安全标准制、修订计划提供重要依据;促进信息安全领域内的标准组成趋向科学合理化,为信息安全保障体系建设提供支撑。
国际信息安全标准研究概况及特点
当前,信息安全标准体系相对健全,国际影响力较大的标准化组织包括国际标准化组织(ISO)和国际电工委员会(IEC)、国际电信联盟电信标准分局(ITU-T)以及美国国家标准和技术研究院(NIST)。
国际标准化组织和国际电工委员会(ISO/IEC)
国际标准化组织(ISO)和国际电工委员会(IEC)联合成立的信息技术委员会JTC1 是非常活跃的信息技术领域国际标准化组织。JTC1技术委员会下设的SC 27 组专门负责安全技术标准研究,已经发布了151 项国际标准,在研标准项目74 项。JTC1 SC27 组共设置了5 个工作组,分别从事信息安全管理体系、密码学与安全机制、安全评价测试与规范、安全控制与服务、身份管理与隐私保护等信息安全技术一般方法和标准化研究工作。
在ISO/IEC JTC1 SC27 组中,信息安全标准体系是按照标准本身属性进行构建的,其将信息安全标准分为技术规范类、管理指南类和评估认证类,各个工作虽然研究领域不同,但是研究制定的信息安全标准基本可以归纳到这三类范围中。
此外,为了加强大数据技术标准化,ISO/IEC JTC1 技术委员会专门成立了大数据研究组(ISO/IEC JTC1 SG2)[1], 其当前的工作重点是确定大数据领域术语与定义,研究大数据参考架构,制定大数据标准路线图。其中,标准路线图的主要任务是调研大数据领域的关键技术、参考模型以及用例等标准基础,评估当前大数据标准需求,提出ISO/IEC JTC1 大数据标准研究的优先顺序。
国际电信联盟电信标准分局(ITU-T)
国际电信联盟电信标准分局(ITU-T)是国际电信联盟管理下的专门制定电信标准的分支机构。ITU-T SG17 组成立于2001 年,负责研究信息安全标准,其特点是每3 年作为一个研究周期,每个研究周期会调整工作领域和工作组的设置。在2009-2012 研究周期,ITU-T SG17组共设置了3 个工作领域(WP),分别是网络与信息安全、应用安全、身份管理和语言。3 个工作领域下设了15 个工作组,研究范围基本涵盖了电信和信息技术领域的安全需求。在2013-2016 研究周期,ITU-T SG17 组将工作领域拆分成了5 个,并根据实际标准工作需求,通过新增、裁撤等方式最终形成了12 个工作组,具体情况如图1 所示。ITU-T SG17 组当前的研究重点领域包括软件定义网络、云计算、物联网、生物特征识别、个人信息保护等。
ITU-T SG17 组没有对外发布其标准体系框架,但其工作领域和工作组的设置基本反映出ITU-T 信息安全标准研究的布局。从图1 可以看出,ITU-T SG17 组大致遵循了电信领域一贯的分层模式,分成基础安全、网络和信息安全、应用安全,另外还根据实际工作需要设置身份管理和云计算安全、形式语言两个研究领域。
具体到课题组设置,ITU-T SG17 组没有遵循一致的划分原则,而是根据各工作领域在一个研究周期内的工作重点方向和各成员的标准化需求进行设置,因此每个研究周期的课题组设置相对变化较大。
美国国家标准和技术研究院(NIST)
美国国家标准和技术研究院(National Instituteof Standards and Technology,NIST) 成立于1901年,隶属于美国商务部技术司。NIST 是一个非监管性质的联邦部门,是美国测量技术和标准的国家级研究机构,其主要职责是通过对测量、标准和技术的研究,推动和促进创新及产业竞争力[2]。NIST 信息技术实验室下设的计算机安全研究室(Computer Security Division,CSD) 和应用网络空间安全研究室(Applied Cybersecurity Division,ACD)是NIST 信息安全标准的主要制定部门。
NIST 发布的信息安全标准和文件类型包括联邦信息处理标准系列(FIPS)、特别出版物系列(Special Publication,SP)、内部报告系列(IRs)和信息技术实验室安全快报系列(ITLs)等。联邦信息处理标准(FIPS)大部分为强制标准,要求大多数的联邦政府部门按照标准中的规定执行。截止到2016 年5 月,有效的 FIPS 共9 项,涉及密码算法、联邦政府信息系统保护两个方面。SP 800 系列是NIST 在信息技术安全方面的特别出版物,起始于1990 年。SP800 系列均属于技术指南文件,对联邦政府部门不具有强制性,只是提供一种供参考的方法或经验,涉及的内容包括系统和应用安全、安全基础组件和机制、安全测试与评估等。
NIST 近年来在云计算和大数据技术标准化研究方面贡献突出,其发布的云计算、大数据参考架构,公有云中的安全与隐私指南等标准对相关国际标准化工作影响深刻[3]。NIST 同样注重标准体系梳理工作,在云计算和大数据领域分别发布了标准路线图,分析相关标准现状及存在问题,提出当前标准缺口,并根据迫切程度提出NIST 标准研究优先级的建议。
我国信息安全标准体系建设情况
近年来,我国也非常重视信息安全标准建设工作,基本形成了国家和行业层面的相对完整的信息安全标准体系,目前国内涉及信息安全标准化工作的组织机构主要是全国信息技术安全标准化技术委员会和中国通信标准化协会。
全国信息技术安全标准化技术委员会(TC260)
全国信息安全标准化技术委员会(TC260)是国家标准化管理委员会的直属标准委员会,成立于2002 年,编号为SAC/TC260,负责全国信息安全技术、安全机制、安全服务、安全管理、安全评估等领域标准化工作,并负责统一协调申报信息安全国家标准年度计划项目,组织国家标准的送审、报批工作。截止目前,TC260 共组织374 项信息安全国家标准制修订项目,其中正式发布国家标准167 项。
为了加强标准体系建设,TC260 专门成立了信息安全标准体系与协调工作组(WG1)研究信息安全标准体系,跟踪国际信息安全标准发展动态,分析国内信息安全标准的应用需求,其制定的信息安全标准体系框架如图2 所示。可以看出,TC260 的标准体系框架混合了标准属性和标准研究内容两种分类方式,将信息安全标准分为基础标准、技术与机制、管理标准、测评标准、密码技术、保密技术。TC260 内部的工作组基本参照标准体系框架的分类方法进行划分,近两年根据技术发展趋势,专门成立了大数据安全标准特别工作组,负责大数据、云计算、智慧城市相关的安全标准化研制工作。
中国通信标准化协会(CCSA)
中国通信标准化协会(CCSA)成立于2002 年,是我国开展通信技术领域标准化活动的非营利性组织。CCSA TC8 网络与信息安全技术委员会专门从事面向公众服务的互联网、通信网络包括特殊通信领域信息安全行业标准化研究,其设置了有线网络与信息安全、无线网络与信息安全、安全管理和安全基础设施4 个工作组。CCSA 同样重视标准体系研究,其制定的网络与信息安全标准体系框架如图3 所示。可以看出,CCSA的标准体系框架有着明显的电信网络技术特点,以标准研究内容为分类维度,延续电信网络分层体系思维,将网络与信息安全标准分为业务与应用类、网络类、终端类、基础类和管理类。
我国信息安全标准体系建设面临的问题
如前所述,信息安全标准体系框架在标准制、修订实际工作中应当发挥规划布局作用。但从目前国内信息安全标准化实际工作情况来看,标准体系框架尚未完全发挥其应有的作用。
以通信行业为例,除了在信息安全标准立项阶段要求阐述拟立项标准在标准体系框架中的位置,在其他标准制定环节以及标准组织管理工作中,标准体系框架对信息安全标准化整体工作的现实指导意义并未充分显现。分析其中的原因,主要有以下三个方面:
标准体系框架的实用性
日趋复杂的信息安全标准体系框架导致实际操作中的易用性明显下降。比较公认的信息安全标准体系框架维度划分方式可以概括为标准对象和标准属性。按照标准研究、规范的对象可以将信息安全标准划分为应用服务、系统网络、设备产品、安全管理和安全技术等,各行业还可以根据自身特点对标准对象的划分进行完善和细化。按照标准属性可以将信息安全标准划分为基础类、要求类、指南类和测评类,像ISO/IEC JTC1 SC27 组和全国信息安全标准化技术委员会的工作组和标准体系框架设置基本参照了标准属性分类方法。可以看到,早前信息安全标准体系的划分方法相对简单,并且边界清晰。但随着信息技术的演进变革与融合创新,新的网络业务和服务类型(如,CDN、云服务等)、网络技术(如,5G、SDN 等)使得标准研究对象不断增多,标准体系日渐庞大。
同时,类似于云计算、大数据、物联网、工业互联网等自成体系的技术领域,其信息安全标准基本涵盖了所有标准对象和标准属性的类别。为了能够清晰展示标准间的内在逻辑,信息安全标准体系框架的维度可能需要扩充到二维甚至是三维,从标准研究对象、标准自身属性及所属技术领域三个维度定位一个标准,这将直接增加标准体系框架在实际操作中的难度。
标准体系框架的适用性
标准体系框架滚动更新机制运行不畅导致与标准制定实际需求脱节。信息安全标准研究工作伴随着信息技术发展呈现阶段性的趋势和特征,每个时期都有特定的重点研究方向和热点。
为了适应这样的发展变化规律,ITU-T SG 17 组设定3 年为一个研究周期,每个研究周期结束后对其下设的研究领域和工作组进行重新划分,这可以看做是在调整其信息安全标准体系框架及研究重心,从而为组织内部标准研究工作的顺利开展提供保障。从目前的实际工作来看,我国信息安全标准体系框架滚动更新和持续改进工作落实还不到位,存在新立项标准在信息安全标准体系框架中找不到所属类别,或可以同时分属多个类别等现象,这在一定程度上说明标准体系框架未能充分适应当前信息安全标准化工作需求,未能充分反应当前工作热点,自然难以发挥标准体系框架应有的规划指导作用。
标准体系框架的后向衔接性
缺少已有标准的体系化梳理导致目前标准立项工作相对无序。如何实现信息安全标准体系框架与现实标准化工作的有机结合,首要工作是利用标准体系框架对已发布的安全标准进行系统梳理,确定每一项标准在标准体系中的相对位置,利用标准体系框架图形化全局展现信息安全标准体系建设情况。这是一项非常基础且重要的工作,一方面通过体系化梳理,可以发现同一类别的标准是否存在重复、冲突等问题,从而及时启动相应的标准修订、废止工作;一方面体系化梳理能够客观展现标准化工作整体布局,从标准分布情况发现标准化工作的薄弱环节,从而指导制定标准工作计划。ISO/IEC JTC1 SC27 组和NIST 虽然没有发布标准化体系框架,但非常注重标准体系梳理工作,特别是在全面启动云计算、大数据等新的研究领域标准化工作前,都要研究相应技术参考架构及安全需求,并且对相关的已发布标准进行全面梳理,从而确定哪些方向现有标准可以沿用,哪些方向必须制定新标准。我国信息安全标准化体系框架制定发布后,基础性的标准体系梳理工作做得还不够,标准立项申请者很难通过自身力量了解掌握信息安全标准全局性信息,仅从自身需求出发提出标准立项申请,必然导致扎堆、重复申报等乱象。
推进我国信息安全标准体系建设的思考
今年8 月,中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合发布了《关于加强国家网络安全标准化工作的若干意见》(以下简称《意见》),对我国构建统一权威、科学高效的信息安全标准体系和标准化工作机制进行了统一布局、统一谋划。本文结合《意见》的相关内容,以信息安全标准体系框架研究作为切入点,对我国未来信息安全标准体系建设提出了如下建议。
构建实用性强、可扩展性强的信息安全标准体系框架
一是构建基于属性维度的标准体系框架。标准体系框架的研究制定对建成适应发展、结构合理、科学高效的信息安全技术标准体系有着重要的指引性作用。如前所述,当前信息安全标准体系框架存在一些实用性问题,症结是在于标准体系框架分类维度的选取。通过对安全技术标准制定规律、惯例的进一步总结提炼,可以看到,对于一个标准研究对象而言,会同时存在要求、指南、测试等标准制定需求,因此以标准属性作为主要分类维度的标准体系框架能够具备一定的稳定性。同时,为应对不断增加的标准研究对象及领域,可以构建标准体系框架族,以通用型框架为蓝本,构建以云计算、大数据、工业互联网等为代表的新兴领域标准体系框架,一方面能够清晰展现该领域的标准体系特点,另一方面可以有效控制单个标准体系框架的规模,从而解决实用性的问题。
二是落实标准体系框架定期滚动更新机制。信息技术的快速迭代演进促使信息安全标准制定步伐也在不断加快,《意见》中明确提出要“缩短标准制修订周期,原则上不超过2 年,确保标准及时满足网络安全保障、新兴技术与产业发展的需求”。为了在快速制定标准的同时保证标准体系的规范有序、科学合理,需要建立标准体系框架滚动更新机制,定期组织信息安全标准化专家对标准体系框架进行修订完善,保持框架的适应性和前瞻性。
落实信息安全标准体系建设的基础性工作
一是扎实做好现有标准体系的系统梳理。《意见》中明确提出要“定期发布信息安全标准体系建设指南,指导标准制定工作有计划、有步骤推进”。更进一步,在制定建设指南的过程中,可以综合运用标准体系框架,全面、系统梳理已发布的信息安全标准,总结分析当前信息安全标准体系内容交叉覆盖、结构失衡等问题,以问题为导向,以需求为牵引,指明下一步标准制定工作方向及重点,形成信息安全标准立项建议清单,加强标准立项环节的统筹管理。二是新兴领域标准制定做到“先梳理,再立项”。以云计算、大数据为代表的新兴信息技术有着一定的技术延续性及发展脉络,例如大数据安全中数据安全保护一直以来是信息安全关注的重点问题之一,旧有的安全技术标准也可能适用于新兴技术领域。NIST 在《大数据标准路线图》中总结梳理了9 个国际主要标准组织发布的与大数据相关的国际标准,得出的结论是多数标准能够在大数据场景下继续沿用。因此,在启动新技术领域的安全标准制定工作前,首先需要明确安全需求,梳理已有标准,找准标准体系中的空白,才能明确发力方向,快速构建标准体系,避免重复劳动和资源浪费。
加强信息安全标准体系建设统筹指导
一是协调好各级标准间的关系。《意见》中指明要“整合精简强制性国家标准,优化完善推荐性国家标准,视情指定推荐性行业标准”,基本明确了强制性标准与推荐性标准、国家标准与行业标准的制定原则。实际工作中,还需进一步加强全国信息安全标准化技术委员会与各行业标准化组织的沟通协调工作机制建设,探索明确国家标准与行业标准的边界、各自的站位,进而形成覆盖全面、协调一致、层次鲜明的信息安全标准体系。二是处理好“自上而下”与“自下而上”的标准需求间的关系。标准制定主体和标准使用主体在产业界,因此满足国家保障信息安全需求的同时,需要兼顾产业界对安全标准化的需求。对于与国家信息安全保障和治理紧密相关的标准,可以由政府主导制定并推动实施;对于其他信息安全标准,可以充分发挥产业力量,鼓励和吸收更多的企业、高校、科研院所、检测认证机构等各方实质性参与,发挥企业主体作用,提高标准制定的参与度和广泛性。
结语
近年来,国家高度重视标准化工作,李克强总理在第39 届国际标准化组织大会上发表致辞,强调标准化水平的高低,反映了一个国家产业核心竞争力乃至综合实力的强弱。同时,网络空间安全与国家安全的关联愈加紧密,战略地位不断凸显。因此,信息安全标准体系建设对我国夯实安全技术基础、促进技术创新、提升产业竞争力、维护国家安全至关重要。本文总结梳理国际三大主流信息安全标准化组织在标准体系建设方面的特点与经验,并以标准体系框架为出发点提出了工作建议。后续,需要国家和各行业标准化组织共同努力,构建协调统一、层次分明、科学高效的信息安全标准体系。
(本文节选自《信息安全与通信保密》第十一期)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
