信息安全基础中各个标准化组织的认识与探讨

作者:课课家教育更新于： 2019-03-14 18:59:03

近年来，随着计算机网络的发展，计算机的建设与应用在社会上有着越来越重要的比重，因此，对网络信息安全的要求也越来越高。为了适应信息技术的迅猛发展，也为了更好地管理网络安全问题，国际上就成立了国际标准化组织(ISO)、国际电工委员会(IEC)这两个重要标准化组织和其他许多的标准化组织。

　　国际标准化组织(ISO)：

　　这是世界上最大的非政府性标准化专门机构，成员包括162个国家。共设有163个技术委员会和640个分委员会，旨在全世界促进标准化以及有关活动的发展，以便于国际物资交流和服务，并扩大知识、科学、技术和经济领域中的合作。

　　国际电工委员会(IEC)：

　　是世界上成立最早的国际性电工标准化机构，负责有关电气工程和电子工程领域中的国际标准化工作，其成员国直至今日共有60个。旨在促进电气、电子工程领域中标准化及有关问题的国际合作，增进国际间的相互了解。

　　第一联合技术委员会JTC1是由1SO和IEC联合成立的，用来制定信息技术领域国际标准，设置有19今分技术委员会SC和功能标准化专门组SGFS等特如工作小组以及4个管理机构(一致性评定特别工作小组、信息技术任务组、注册机构特别工作组和业务分析与计划特别小组。JTC1是依据规定的导则、程序、指南和政策来知道信息技术的一切标准化活动的。

　　SC27是JTC1用来从事信息技术安全的一般方法和技术的标准化，其设置了三个工作组，每个工作组根据自身的名称的都有各自不同的工作范围:

　　第一工作组(WGI)：需求、安全服务及指南工作组。

　　第二工作组(WG2)：安全技术与机制工作组。

　　第三工作组(WG3) ：安全评估准则工作组。

　　对应SC27各个工作组的工作职责可知SC27的内容包括以下的几个方面：

　　（1）息技术系统安全服务的一般需求(包括需求的方法学) ；

　　（2）开发安全技术以及机制(包括登记规程和安全各个组成部分的关系)；

　　（3）研究并制定安全指南(如说明性的文档，风险分析等)；

　　（4）编制管理的支撑性文档和标准(如述、安全评估准则等) ；

　　（5）研究并制定用于完整性、鉴别和抗抵赖性等服务的密码算法标准，同时根据国际。

　　但这些并不包括在应用中的嵌入机制的标准化。

　　通过SC27的大范围应用，如今SC27已经发布、正制定或者规划了包括安全技术与机制(如密码算法、散列函数、数字签名机制、实体鉴别机制等)、安全评估准则和安全管理(如安全管理控制措施、安全管理指南等)等超80项的信患安全国际标准，在促进和规范信息安全领域中起到了重要的指导作用。

　　随着边缘技术的出现，以及JTC1内其他分技术委员会职责范围的交叉，SC27启动了联合工作机制，与许多组织进行了成功的合作。例如:在ISO/IEC JTC1内有SC6,SC7,SC17，SC36和SC37;在ISO包括TC68和TC215; 外部组织包括CCIMB,TSI,1TU-T和1SSEA。

　　除了ISO，IEC这两个重要的标准化组织外，另外再来了解一下还有ITU、IETF、ANSI、NIST和IEEE等信息技术标准组织以及它们制定的一些安全标准。

　　国际电信联盟(ITU)：是联合国专门机构之一，主管信息通信技术事务，由无线电通信、标准化和发展三大核心部门组成，其成员包括193个成员国和700多个部门成员及部门准成员，结构主要分为电信标准化部门(ITU-T)、无线电通信部门(ITU-R)和电信发展部门(ITU-D)。

　　国际电信联盟ITU下属的电信标准局ITU-T 所属的第17 研究组SOI7 ，主要负责研究通信系统安全标准。截至2004年3月，lTU-T正式发布的信息安全标准达74个，其单独或与ISO联合开发了消息处理系统(MHS)、目录系统(X.400系列、X.500系列)和安全框架、安全模型等方面的信息安全标准，其中的X.509标准是开展电子商务认证的重要基础标准。

　　Internet工程任务组(IETF)：全球互联网最具权威的技术标准化组织，主要任务是负责互联网相关技术规范的研发和制定，当前绝大多数国际互联网技术标准出自IETF。有关安全方面的RFC有190多个，比如: RFC1352SNMP安全协议;RFC1421-1424 因特网电子邮件保密增强;RFC1825因特网协议安全体系结构等。这些事实标准对提高和改善Internet网的安全性起到了至关重要的作用，如PKI、IPSec等标准及其草案将成为指导Internet未来安全的重要文件。

　　美国国家标准化协会(ANSI)：是由公司、政府和其他成员组成的自愿组织，ANSI是一个准国家式的标准机构，它为那些在特定领域建立标准的组织提供区域许可，协商与标准有关的活动，审议美国国家标准，并努力提高美国在国际标准化组织中的地位。ANSI中技术委员会NCITS(即X3)负责信患技术，承担着JTCl秘书处的工作，其中，分技术委员会刊专门负责IT安全技术标准化工作，对口JTCl的SC27。ANSI负责金融安全的X3(NCITS)、X9 (负责制定金融业务标准)、X12(负责制定商业交易标准)等组织制定了很多有关数据加密、银行业务安全和EDI安全等方面的标准。

　　美国国家标准技术研究所(NIST)：属于美国商业部的技术管理部门，任务是为提高劳动生产率、促进贸易和改善生活质量、提高计量、标准和技术，主要负责制定联邦计算机系统标准和指导文件，所出版的标准和规范被称作联邦信息处理标准(FIPS)。FIPS由NIST在广泛搜集政府各部门及私人部门的意见的基础上写成，其安全标准的一个著名实例就是数据加密标准(DES)。从20世纪70年代公布的数据加密标准DES开始，NIST制定了一系列有关信息安全方面的联邦信息处理标准FIPS，截至2003年12月该机构己制定了33项信息安全相关的FIPS和66项信息安全相关的专题出版物(NISτSP 800系列和NIST SP 500系列)。

美国电气电工工程师协会(IEEE)：是一个国际性的电子技术与信息科学工程师的协会，是全球最大的非营利性专业技术学会，其会员人数超过40万人，遍布160多个国家。主要是提出LAN/WAN安全方面的标准(SILS)和公钥密码标准(P1363)。从1990年IEEE成立802.11"无线局域网工作组"以来，相继成立的802.15"无线个人网络工作组"、802.16"无线宽带网络工作组"和802.20"移动宽带无线接入工作组"等在无线通信安全方面也作了大量的贡献，如正在研制的IEEE802.11i。

除上述主要标准化组织外，CENIISSS、ETSI、3GPP、3GPP2、OASIS等区域性标准组织、专业协会或社会团体也制定了一些安全标准，虽然它们不是国际标准，但由于其制定与使用的开放性，部分标准已成为信息产业界广泛接受和采纳的事实标准。

　　信息安全标准是确保信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。而上述这些标准化组织为信息安全标准制定的一系列标准使信息网络安全得以保障，让网络信息安全的步伐可以一步步跟上网络的发展。