1、网络与信息安全标准组织简介
1.1 国际组织
国际上信息安全标准化工作兴起于20世纪70年代中期,80年代有了较快的发展,90年代引起了世界各国的普遍关注。目前世界上有近300个国际和区域性组织制定标准或技术规则,与信息安全标准化有关的组织主要有以下4个:
●ISO(国际标准化组织)。ISO/IEC JTC1(信息技术标准化委员会)所属SC27(安全技术分委员会)的前身是SC20(数据加密技术分委员会),主要从事信息技术安全的一般方法和技术的标准化工作。而ISO/TC68负责银行业务应用范围内有关信息安全标准的制定,主要制定行业应用标准,与SC27有着密切的联系。ISO/IEC JTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面的内容。
●IEC(国际电工委员会)。IEC在信息安全标准化方面除了与ISO联合成立了JTC1下分委员会外,还在电信、电子系统、信息技术和电磁兼容等方面成立技术委员会(如TC56可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC 108音频/视频、信息技术和通信技术电子设备的安全等),并且制定相关国际标准(如信息技术设备安全IEC60950等)。
●ITU(国际电信联盟)。ITU SG17组负责研究网络安全标准,包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务。此外SG16和下一代网络核心组也在通信安全、H.323网络安全、下一代网络安全等标准方面进行研究。
●IETF(Internet工程任务组)等。IETF标准制定的具体工作由各个工作组承担。Internet工程任务组分成8个工作组,分别负责Internet路由、传输、应用等8个领域,其著名的IKE和IPSec都在RFC系列之中,还有电子邮件、网络认证和密码及其他安全协议标准。
1.2 国内组织
国内的安全标准组织主要有信息技术安全标准化技术委员会(CITS)以及中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会。
CITS成立于1984年,在国家标准化管理委员会和信息产业部的共同领导下负责全国信息技术领域以及与ISO/IEC JTC1相对应的标准化工作,目前下设24个分技术委员会和特别工作组,是国内最大的标准化技术委员会,也是具有广泛代表性、权威性和军民结合的信息安全标准化组织。CITS主要负责信息安全的通用框架、方法、技术和机制的标准化及归口国内外对应的标准化工作,其中技术安全包括开放式安全体系结构、各种安全信息交换的语义规则、有关的应用程序接口和协议引用安全功能的接口等。
CCSA成立于2002年12月18日,是国内企事业单位自愿联合组织起来经业务主管部门批准的开展通信技术领域标准化活动的组织。CCSA下设了有线网络信息安全、无线网络信息安全、安全管理和安全基础设施4个工作组负责研究:有线网络中电话网、互联网、传输网、接入网等在内所有电信网络相关的安全标准;无线网络中接入、核心网、业务等相关的安全标准以及安全管理工作组;安全基础设施工作组中网管安全以及安全基础设施相关的标准。
2、标准组研究现状
上述国内外安全标准组织对于安全方面的研究各有侧重,主要是关注信息系统安全以及网络安全。从对各组织的介绍可以看出,ITU以及CCSA研究工作侧重于通信网络,因此下文对网络与信息安全的标准研究介绍主要集中在ITU-T 17组研究内容以及CCSA TC8组研究内容。
2.1 ITU-T17组当前研究内容
ITU按照Question为单位组织研究,当前共有17个Question正在开展活动,其中与安全有关的研究内容见表1。
表1 TU-T17 组当前开展的涉及安全的研究内容
|
Question 1使用QoS管理机制的端到端多媒体通信 |
现有标准如何修订或增补来满足新的市场需求 |
|
如何增补或者提出新标准,在ECTP中提供双向N-plex组播能力 | |
|
如何增补或者提出新标准,为点到多点、多点到多点应用提供端到端组播服务 | |
|
如何增补或者提出新标准,满足无线网络新需求 | |
|
如何增补或者提出新标准,在组播协议中支持端到端QOS管理能力 | |
|
Question 2目录服务、目录系统以及公钥/属性证书 |
目录服务:为应用广泛支持的目录服务如x.500、LDAP优势,需要什么新服务定义或者轮廓;为在现有服务定义和轮廓基础上增强优势、修正缺陷,需要在现有E和F系列标准中修订或者提出什么新标准 |
|
目录系统:为更好支持目录系统现有和潜在用户,如通过复制站点提供增强一致性的目录信息等,需要对目录提供什么样的增强;为在不同的环境如资源有限环境(无线网络、多媒体网络)中使用,需要如何进一步增强目录;为增强支持例如智能网络、通信网络和公共目录服务等领域,需要如何进一步修订目录;为目录增强优势修正缺陷,需要在现有X.500系列标准中修订或者提出什么新标准 | |
|
公钥/属性证书:为在不同的环境如资源有限环境中使用,需要如何增强公钥和属性证书;为在如生物测定、认证、接入控制和电子商务等领域中增强实用性,需要如何对公钥和属性证书作增强;为X.509增强优势修正缺陷,需要在X.509基础上做什么变化 | |
|
Question 3开放系统互联 |
为提供增强需求修正缺陷,继续维护OSI架构以及分层建议 |
|
为提供增强需求修正缺陷,继续维护消息处理和服务系统、可靠传输、远程操作、CCR和事务处理 | |
|
Question 4通信系统安全工程 |
对通信系统安全工程来说,什么是可交付使用的 |
|
为工程可交付使用的过程、工作条款、方法以及时限 | |
|
需要ITU发布和维护的安全概述和手册 | |
|
需要什么安全工场 | |
|
为推进安全工作,需要如何与其他SDO建立有效的关系 | |
|
什么是重要里程碑和成果标准 | |
|
如何在安全工作中使部门成员和管理者利益相互激励并动力持续 | |
|
如何使安全特性在市场中更有吸引力 | |
|
如何明确表述政府的关键利益和保护全球经济的紧急需求依赖于健壮和安全的通信设施 | |
|
Question 5安全架构和框架 |
一个完整一致的通信安全解决方案如何定义 |
|
完整一致的通信安全解决方案的架构 | |
|
为建立安全解决方案的安全架构所应用的框架 | |
|
为评估安全解决方案的安全架构所应用的框架 | |
|
支撑安全的架构:新兴技术的安全架构;端到端安全的架构;移动环境下的安全架构;技术安全架构例如开放系统安全架构、IP网络安全架构、NGN安全架构 | |
|
为适应变化的环境,如何改变标准中安全模型的上下层或者提出新标准 | |
|
架构标准如何组织成适应现有安全建议 | |
|
安全模型的上下层应该怎样 | |
|
如何修订安全框架建议来适应新兴技术或者提出新建议 | |
|
如何应用安全服务提供安全解决方案 | |
|
Question 6 Cyber安全 |
为分发共享所发现脆弱信息的处理 |
|
Cyber空间中事件处理操作的标准过程 | |
|
保护关键网络基础设施的策略 | |
|
Question 7安全管理 |
通信系统安全风险如何被识别和管理 |
|
通信系统信息资产如何识别和管理 | |
|
通信运营商特定管理事务如何识别 | |
|
通信运营商信息安全管理系统(ISMS)如何在现有ISMS标准下构建 | |
|
通信安全事件发生后如何处理和管理 | |
|
Question 8电信生物鉴定学 |
如何使用安全可靠的电信生物鉴定方法改进认证和授权 |
|
ITU-T如何应用IEC60027新增的生物学子集为安全可靠的生物鉴定设备分类提供合适的模型基础 | |
|
安全可靠的电信生物鉴定解决方案登记顺序应当使用的安全等级参考系统 | |
|
如何发布生物认证技术用作通信识别 | |
|
电信基于例如PKI密码技术的生物学认证技术需求如何识别 | |
|
电信基于例如PKI密码技术的生物学认证技术模型和程序如何识别 | |
|
Question 9安全通信服务 |
在移动环境以及Web服务中如何识别和定义安全可靠的通信服务 |
|
通信服务背后隐藏的安全威胁如何识别和处理 | |
|
支持安全可靠通信服务的安全技术 | |
|
通信服务的安全互联如何保持和维护 | |
|
安全体系服务所需要的安全技术 | |
|
新兴的安全Web服务需要的安全技术和协议 | |
|
安全通信需要应用的安全应用层协议 | |
|
安全体系服务和相应应用需要的全球安全解决方案 | |
|
Question 17 |
研究防治和治理垃圾信息方面的标准 |
2.2 CCSA TC8当前研究内容
CCSA TC8分有线网络安全、无线网络安全、安全管理以及安全基础设施4个工作组展开研究。下面简要说明4个工作组的研究现状。
(1)WG1有线网络安全
有线网络安全工作组(WG1)自成立以来共召开了11次会议。WG1在这些工作组会议中主要讨论了按项目进度安排的通信行业标准项目或研究课题项目,各标准的进展情况见表2。
表2 WG1组标准进展情况
|
增值电信业务网络信息安全保障基本要求 |
已发布 |
|
数字程控交换机安全技术要求 |
报批稿阶段 |
|
高端路由器安全技术要求/测试方法 |
报批稿阶段 |
|
中低端路由器安全技术要求/测试方法 |
报批稿阶段 |
|
公众IP网络安全框架 |
报批稿阶段 |
|
IPv6网络安全技术要求 |
报批稿阶段 |
|
基于网络入侵检测系统的技术要求 |
报批稿阶段 |
|
软交换网络安全框架 |
送审稿阶段 |
|
电信网络级网管安全技术 |
送审稿阶段 |
|
电信级IP承载网安全框架 |
送审稿阶段 |
|
H.323网络安全技术要求 |
征求意见稿阶段 |
|
软交换网络通信安全/管理和运维安全/设备安全 |
征求意见稿阶段 |
|
远程视频监控系统的安全技术要求 |
送审稿阶段 |
|
以太网交换机设备安全技术要求/测试方法 |
起草阶段 |
|
具有路由功能的以太网交换机设备安全技术要求/测试方法 |
起草阶段 |
|
短信网络安全技术要求 |
起草阶段 |
|
信令网关设备安全技术要求和测试方法 |
起草阶段 |
|
基于软交换的媒体服务器设备安全技术要求和测试方法 |
起草阶段 |
|
基于软交换的应用服务器设备安全技术要求和测试方法 |
起草阶段 |
|
媒体网关设备安全技术要求和测试方法 |
起草阶段 |
|
IP智能终端设备安全技术要求和测试方法 |
起草阶段 |
|
电信网络开放第三方业务的安全要求 |
起草阶段 |
|
综合接入设备(IAD)安全技术要求和测试方法 |
起草阶段 |
|
软交换业务接入控制设备安全技术要求和测试方法 |
起草阶段 |
|
软交换设备安全技术要求和测试方法 |
起草阶段 |
|
IMS(固定网中)的安全技术研究(预研) |
起草阶段 |
|
NGN网络安全技术研究 |
起草阶段 |
|
宽带远程接入服务器安全技术要求/测试方法 |
起草阶段 |
|
宽带接入服务器(IPv6)安全技术要求/测试方法 |
起草阶段 |
|
具有路由功能的交换机(IPv6)安全技术要求/测试方法 |
起草阶段 |
|
边缘路由器(IPv6)安全技术要求/测试方法 |
起草阶段 |
|
核心路由器(IPv6)安全技术要求/测试方法 |
起草阶段 |
|
xDSL用户端设备安全技术要求/测试方法 |
起草阶段 |
|
DSLAM设备安全技术要求/测试方法 |
起草阶段 |
|
PON设备安全技术要求/测试方法 |
起草阶段 |
|
综合接入系统安全技术要求/测试方法 |
起草阶段 |
(2)无线网络安全工作组
无线网络安全工作组(WG2)共召开了4次工作组会议。在这4次工作组会议中主要讨论了按项目进度安排的通信行业标准项目或研究课题项目,完成了《电信智能卡安全技术要求》送审稿。此外,在第4次工作组会议期间还与WG1召开了一次联合会议,主要探讨移动网与固网融合后如何开展网络与信息安全标准工作,决定今后两个工作组首先在IMS安全方向加强合作。
(3)安全管理工作组
安全管理工作组(WG3)召开了4次工作组会议,主要讨论完成了《信息安全服务资质评估准则》的征求意见稿,《网络安全运行管理技术平台(SOC)体系结构》、《网络安全应急响应小组结构和服务定义指南》、《互联网网络安全事件描述与交换格式规范》三篇征求意见稿还需要再次征求意见。此外,阳光绿色上网工程相关的技术标准和测试标准也由安全管理工作组讨论制定。
(4)安全基础设施工作组
安全基础设施工作组相对不是很活跃,除了全会以外2005年以来一直没有组织活动。
3、小结
可以预见,网络与信息安全方面的标准将越来越受重视。我国网络与信息安全的主要标准化组织CCSA相对而言比较年轻,研究工作才刚刚起步,在包括安全基础设施在内的很多方面还有待进一步开展研究。从总体情况来看,我国网络与信息安全研究将呈现下列特点:
●基于信息内容的过虑和管制技术将越来越受关注;
●防范和治理垃圾信息将成为网络安全研究重要内容;
●网络与信息安全研究重点将逐渐从设备层面向网络层面转移;
●业务安全越来越成为运营商研究重点;
●认证技术将研究和梳理,生物鉴别将成为重要内容;
●网络建设将重视信任体系的建设;
●互联网安全将进一步研究,其成果将适用于下一代网以及3G核心网;
●网络上信息安全将划分责权,网络侧负责部分私密性(隔离)和完整性,机密性和不可否认性由端到端保障;
●安全管理中的安全风险评估将成为安全研究重要内容。