第九章信息安全標(biāo)準(zhǔn)與法律法規(guī)

第九章信息安全標(biāo)準(zhǔn)與法律法規(guī)1第九章信息安全標(biāo)準(zhǔn)與法律法規(guī)9.1概述9.2國際安全標(biāo)準(zhǔn)9.3國內(nèi)安全標(biāo)準(zhǔn)9.4重要的標(biāo)準(zhǔn)化組織9.5信息安全法律法規(guī)第九章信息安全標(biāo)準(zhǔn)與法律法規(guī)9.1概述29.1概述為在一定范圍內(nèi)獲得最佳秩序，對活動或其結(jié)果規(guī)定共同的和重復(fù)使用的規(guī)則、導(dǎo)則或特性的文件就是標(biāo)準(zhǔn)。標(biāo)準(zhǔn)應(yīng)以科學(xué)技術(shù)和經(jīng)驗(yàn)的綜合成果為基礎(chǔ)，以促進(jìn)最佳社會效益為目的。標(biāo)準(zhǔn)文件必須經(jīng)協(xié)商一致并由一個公認(rèn)的機(jī)構(gòu)批準(zhǔn)。信息技術(shù)安全方面的標(biāo)準(zhǔn)化，興起于20世紀(jì)70年代中期，80年代有了較快的發(fā)展，90年代引起了世界各國的普遍關(guān)注，特別是隨著信息數(shù)字化和網(wǎng)絡(luò)化的發(fā)展和應(yīng)用，信息技術(shù)的安全技術(shù)標(biāo)準(zhǔn)化變得更為重要。因此標(biāo)準(zhǔn)化的范圍在拓展，標(biāo)準(zhǔn)化的進(jìn)程在加快，標(biāo)準(zhǔn)化的成果也在不斷的涌現(xiàn)。9.1概述為在一定范圍內(nèi)獲得最佳秩序，對活動或其結(jié)果規(guī)定共39.1概述基礎(chǔ)標(biāo)準(zhǔn)是整個信息安全標(biāo)準(zhǔn)體系的基礎(chǔ)部分，并向其他的技術(shù)標(biāo)準(zhǔn)提供所需的服務(wù)支持?；A(chǔ)標(biāo)準(zhǔn)包括信息安全術(shù)語、信息安全體系結(jié)構(gòu)、信息安全框架、信息安全模型、安全技術(shù)等。物理安全標(biāo)準(zhǔn)針對物理環(huán)境和保障、安全產(chǎn)品、介質(zhì)安全等提出標(biāo)準(zhǔn)進(jìn)行規(guī)范。系統(tǒng)與網(wǎng)絡(luò)標(biāo)準(zhǔn)針對軟硬件應(yīng)用平臺、網(wǎng)絡(luò)、安全協(xié)議、安全信息交換語法規(guī)則、人機(jī)接口以及業(yè)務(wù)應(yīng)用平臺提出安全要求。應(yīng)用與工程標(biāo)準(zhǔn)則針對安全工程和服務(wù)、人員資質(zhì)、行業(yè)應(yīng)用進(jìn)行詳細(xì)規(guī)定。管理類標(biāo)準(zhǔn)分為三大塊：管理基礎(chǔ)、系統(tǒng)管理和測評認(rèn)證。建立科學(xué)的信息安全標(biāo)準(zhǔn)體系，將眾多的信息安全標(biāo)準(zhǔn)在此體系下協(xié)調(diào)一致，才能充分發(fā)揮信息安全標(biāo)準(zhǔn)系統(tǒng)的功能，獲得良好的系統(tǒng)效應(yīng)，取得預(yù)期的社會效益和經(jīng)濟(jì)效益。信息安全標(biāo)準(zhǔn)體系框架描述了信息安全標(biāo)準(zhǔn)整體組成，是整個信息安全標(biāo)準(zhǔn)化工作的指南。，在標(biāo)準(zhǔn)框架中，基礎(chǔ)標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn)是支持該框架的支柱，物理安全標(biāo)準(zhǔn)、系統(tǒng)與網(wǎng)絡(luò)標(biāo)準(zhǔn)和應(yīng)用工程標(biāo)準(zhǔn)也都是組成信息安全保證的重要依據(jù)。9.1概述基礎(chǔ)標(biāo)準(zhǔn)是整個信息安全標(biāo)準(zhǔn)體系的基礎(chǔ)部分，并向其49.2國際安全標(biāo)準(zhǔn)信息安全技術(shù)標(biāo)準(zhǔn)是信息安全產(chǎn)業(yè)的重要領(lǐng)域，一直受到國內(nèi)外的普遍關(guān)注，早在1977年，美國國家標(biāo)準(zhǔn)局就正式頒發(fā)了世界第一個數(shù)據(jù)加密標(biāo)準(zhǔn)（DES），隨著通信和計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，信息安全的標(biāo)準(zhǔn)化工作也取得了很大的進(jìn)展。BS7799CCSSE-CMM9.2國際安全標(biāo)準(zhǔn)信息安全技術(shù)標(biāo)準(zhǔn)是信息安全產(chǎn)業(yè)的重要領(lǐng)域59.2國際安全標(biāo)準(zhǔn)BS7799英國標(biāo)準(zhǔn)BS7799是目前世界上應(yīng)用最廣泛的典型的信息安全管理標(biāo)準(zhǔn)，它是在BSI/DISC的BDD/2信息安全管理委員會指導(dǎo)下制定完成的。BS7799標(biāo)準(zhǔn)提供一個開發(fā)組織安全標(biāo)準(zhǔn)、有效實(shí)施安全管理的公共基礎(chǔ)，還提供了組織間交易的可信度。該標(biāo)準(zhǔn)第一部分為組織管理者提供了信息安全管理的實(shí)施慣例，例如信息與軟件交換和處理的安全規(guī)定、設(shè)備的安全配置管理、安全區(qū)域進(jìn)出的控制等一些很容易理解的問題。這恰巧符合信息安全的“七分管理，三分技術(shù)”的原則。這些管理規(guī)定一般的單位都可以制定，但要想達(dá)到BS7799的全面性則需要一番努力。在信息安全管理方面，BS7799的地位是其他標(biāo)準(zhǔn)無法取代的?？偟恼f來，BS7799涵蓋了安全管理所應(yīng)涉及的方方面面，全面而不失可操作性，提供了一個可持續(xù)提高的信息安全管理環(huán)境。9.2國際安全標(biāo)準(zhǔn)BS779969.2國際安全標(biāo)準(zhǔn)CC信息安全安全性評估的標(biāo)準(zhǔn)——信息技術(shù)安全性評估通用準(zhǔn)則（CC：CommonCriteria），通常簡稱通用準(zhǔn)則，也即是國際標(biāo)準(zhǔn)ISO/IEC15408-99，該標(biāo)準(zhǔn)是評估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)準(zhǔn)則。它是在TESEC、ITSEC、CTCPEC、FC等信息安全標(biāo)準(zhǔn)的基礎(chǔ)上綜合形成的，通過建立信息技術(shù)安全性評估的通用準(zhǔn)則庫，使得其評估結(jié)果能被更多的人理解、信任，并且讓各種獨(dú)立的安全評估結(jié)果具有可比性，從而達(dá)到互相認(rèn)可的目的。此標(biāo)準(zhǔn)是現(xiàn)階段最完善的信息技術(shù)安全性評估標(biāo)準(zhǔn)，我國也采用這一標(biāo)準(zhǔn)（GB/T18336）對產(chǎn)品、系統(tǒng)和系統(tǒng)方案進(jìn)行測試、評估和認(rèn)可。9.2國際安全標(biāo)準(zhǔn)CC79.2國際安全標(biāo)準(zhǔn)SSE-CMM系統(tǒng)安全工程能力成熟模型簡寫為SSE-CMM，是原英文SystemsSecurityEngineeringCapabilityMaturityModel的縮寫。它是一個模型，正如開放系統(tǒng)互連參考模型（OSI）一樣，但它指導(dǎo)著系統(tǒng)安全工程的完善和改進(jìn)，使系統(tǒng)安全工程成為一個清晰定義的、成熟的、可管理的、可控制的、有效的和可度量的科學(xué)。SSE-CMM描述了一個組織的安全工程過程務(wù)必包含的本質(zhì)特征，這些特征是完善安全工程的保證，也是安全工程實(shí)施的度量標(biāo)準(zhǔn)，還是一個易于理解的評估安全工程實(shí)施的框架。SSE-CMM模型的開發(fā)源于1993年5月美國國家安全局發(fā)起的研究工作。1995年1月，在第一次公共安全工程CMM討論會中，信息安全協(xié)會被邀請加入，超過60個組織的代表再次確認(rèn)需要這樣一種模型。因此，研討會期間成立了項(xiàng)目工作組，由此進(jìn)入了模型開發(fā)階段。通過項(xiàng)目領(lǐng)導(dǎo)、應(yīng)用工作組全體的通力合作，于1996年10月完成了SSE-CMM模型的第一版，1997年5月完成了評價(jià)方法第一版。為檢驗(yàn)?zāi)Ｐ图霸u價(jià)方法的有效性，1996年6月到1997年6月進(jìn)行了試驗(yàn)工作。一些試驗(yàn)組織向SSE-CMM及其評價(jià)模型提供了有價(jià)值的信息。1997年8月，第二次公共安全工程CMM研討會舉行，以明確一些與模型應(yīng)用相關(guān)的問題，特別是關(guān)于：獲取領(lǐng)域、過程改善、及產(chǎn)品及系統(tǒng)的安全保證。由于研討會中明確了上述問題，便成立了一個新的工作組以直接落實(shí)這些問題，于1999年4月完成了SSE-CMM模型的第二版。9.2國際安全標(biāo)準(zhǔn)SSE-CMM89.3國內(nèi)安全標(biāo)準(zhǔn)《中華人民共和國標(biāo)準(zhǔn)化法》將我國的標(biāo)準(zhǔn)分為國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)四級。我國的國家標(biāo)準(zhǔn)由國務(wù)院標(biāo)準(zhǔn)化行政主管部門制定；行業(yè)標(biāo)準(zhǔn)由國務(wù)院有關(guān)行政主管部門制定；地方標(biāo)準(zhǔn)由省、自治區(qū)和直轄市標(biāo)準(zhǔn)化行政主管部門制定；企業(yè)標(biāo)準(zhǔn)由企業(yè)自己制定。我們國家的信息安全從保密技術(shù)、難度、標(biāo)準(zhǔn)的特點(diǎn)出發(fā)，將信息安全保密標(biāo)準(zhǔn)分三級，第一級國家標(biāo)準(zhǔn)，第二級國家軍隊(duì)標(biāo)準(zhǔn)，第三級國家保密標(biāo)準(zhǔn)。在這三級標(biāo)準(zhǔn)中，國家保密標(biāo)準(zhǔn)最高。其他標(biāo)準(zhǔn)還包括：公共安全行業(yè)標(biāo)準(zhǔn)（GA）。我國信息安全標(biāo)準(zhǔn)在相關(guān)標(biāo)準(zhǔn)化組織的有效領(lǐng)導(dǎo)下，取得了長足的發(fā)展，頒布了多項(xiàng)標(biāo)準(zhǔn)，國家標(biāo)準(zhǔn)、軍隊(duì)標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)對信息安全領(lǐng)域均有涉及，大致從以下物理安全、密碼及安全算法、安全技術(shù)及安全機(jī)制、開放系統(tǒng)互連、邊界保護(hù)、信息安全評估等幾方面規(guī)定了信息安全的不同技術(shù)要求，9.3國內(nèi)安全標(biāo)準(zhǔn)《中華人民共和國標(biāo)準(zhǔn)化法》將我國的標(biāo)準(zhǔn)分99.3國內(nèi)安全標(biāo)準(zhǔn)物理安全相關(guān)國家標(biāo)準(zhǔn)：GB9254-1988信息技術(shù)設(shè)備的無線電干擾極限值和測量方法。GB9361-1988計(jì)算機(jī)場地安全要求。GB4943-1995信息技術(shù)設(shè)備（包括電氣事務(wù)設(shè)備）的安全。密碼及安全算法相關(guān)國家標(biāo)準(zhǔn)：GB/T15277-1994信息處理64bit分組密碼算法的工作方法。GB/T15278-1994信息處理數(shù)據(jù)加密物理層可互操作性要求。GB/T15851-1995信息技術(shù)安全技術(shù)帶消息恢復(fù)的數(shù)字簽名方案。GB/T15852-1995信息技術(shù)安全技術(shù)用塊密碼算法作密碼校驗(yàn)函數(shù)的數(shù)據(jù)完整性機(jī)制。GB/T185238.1-2000信息技術(shù)安全技術(shù)散列函數(shù)第1部分：概述。GB/T185238.2-200X信息技術(shù)安全技術(shù)散列函數(shù)第2部分：使用n-bit分組密碼算法的散列函數(shù)。GB/T185238.3-200X信息技術(shù)安全技術(shù)散列函數(shù)第3部分：專用散列函數(shù)。9.3國內(nèi)安全標(biāo)準(zhǔn)物理安全相關(guān)國家標(biāo)準(zhǔn)：109.3國內(nèi)安全標(biāo)準(zhǔn)安全技術(shù)及安全機(jī)制相關(guān)國家標(biāo)準(zhǔn)：GB/T17903.1-1999信息技術(shù)安全技術(shù)抗抵賴第1部分：概述。GB/T17903.2-1999信息技術(shù)安全技術(shù)抗抵賴第2部分：使用對稱技術(shù)的機(jī)制。GB/T17903.3-1999信息技術(shù)安全技術(shù)抗抵賴第3部分：使用非對稱技術(shù)的機(jī)制。GB/T15843.1-1999信息技術(shù)安全技術(shù)實(shí)體鑒別第1部分：概述。GB/T15843.2-1997信息技術(shù)安全技術(shù)實(shí)體鑒別第2部分：采用非對稱加密算法的機(jī)制。GB/T15843.3-1998信息技術(shù)安全技術(shù)實(shí)體鑒別第3部分：采用非對稱簽名技術(shù)的機(jī)制。GB/T15843.4-1999信息技術(shù)安全技術(shù)實(shí)體鑒別第4部分：采用密碼校驗(yàn)函數(shù)的機(jī)制。9.3國內(nèi)安全標(biāo)準(zhǔn)安全技術(shù)及安全機(jī)制相關(guān)國家標(biāo)準(zhǔn)：119.3國內(nèi)安全標(biāo)準(zhǔn)開放系統(tǒng)互連相關(guān)國家標(biāo)準(zhǔn)：GB/T9387.2-1995信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)。GB/T17963-2000信息技術(shù)開放系統(tǒng)互連網(wǎng)絡(luò)層安全協(xié)議。GB/T17965-2000信息技術(shù)開放系統(tǒng)互連高層安全模型。GB/T17143.7-1997信息技術(shù)開放系統(tǒng)互連系統(tǒng)管理安全報(bào)警報(bào)告功能。GB/T17143.8-1997信息技術(shù)開放系統(tǒng)互連系統(tǒng)管理安全審計(jì)跟蹤功能。GB/T18231-2000信息技術(shù)開放系統(tǒng)互連低層安全模型。GB/T18237.1-2000信息技術(shù)開放系統(tǒng)互連通用高層安全第1部分：概述、模型和記法。GB/T18237.2-2000信息技術(shù)開放系統(tǒng)互連通用高層安全第2部分：安全交換服務(wù)元素（SESE）服務(wù)定義。GB/T18237.3-2000信息技術(shù)開放系統(tǒng)互連通用高層安全第3部分：安全交換服務(wù)元素（SESE）協(xié)議規(guī)范。9.3國內(nèi)安全標(biāo)準(zhǔn)開放系統(tǒng)互連相關(guān)國家標(biāo)準(zhǔn)：129.4重要的標(biāo)準(zhǔn)化組織為適應(yīng)信息技術(shù)的迅猛發(fā)展，國內(nèi)外成立了很多標(biāo)準(zhǔn)化組織，目前國際上有兩個重要的標(biāo)準(zhǔn)化組織，即國際標(biāo)準(zhǔn)化組織（ISO）和國際電工委員會（IEC）。ISO/IECJTC1（第一聯(lián)合技術(shù)委員會）是制定信息技術(shù)領(lǐng)域國際標(biāo)準(zhǔn)的機(jī)構(gòu)，下轄19個分技術(shù)委員會（SC）和SGFS（功能標(biāo)準(zhǔn)化專門組）等特別工作小組，還有四個管理機(jī)構(gòu)（一致性評定特別工作小組、信息技術(shù)任務(wù)組、注冊機(jī)構(gòu)特別工作組和業(yè)務(wù)分析與計(jì)劃特別小組）。SC27負(fù)責(zé)信息技術(shù)和安全技術(shù)。P成員（積極成員）29個，O成員（觀察成員）27個，內(nèi)部聯(lián)絡(luò)員14個，外部A類聯(lián)絡(luò)員3個，外部B類聯(lián)絡(luò)員18個。P成員有表決權(quán)并承擔(dān)指定任務(wù)，O成員沒有表決權(quán)，但有發(fā)表意見及參加會議和獲得某些文件的權(quán)利，中國是P成員之一。美國的信息技術(shù)標(biāo)準(zhǔn)主要由ANSI、NAST制定，其電子工業(yè)協(xié)會（EIA）和通信工業(yè)協(xié)會（TIA）也制定了部分信息技術(shù)標(biāo)準(zhǔn)。歐洲的ECMA主要在世界范圍內(nèi)制定與計(jì)算機(jī)及計(jì)算機(jī)應(yīng)用有關(guān)的標(biāo)準(zhǔn)。IETF主要制定與因特網(wǎng)相關(guān)的標(biāo)準(zhǔn)。另外還有ITU、IEEE、EDTI和OMG等組織制定有關(guān)的信息技術(shù)標(biāo)準(zhǔn)。我國主要由中國通信標(biāo)準(zhǔn)化協(xié)會負(fù)責(zé)相關(guān)的標(biāo)準(zhǔn)制定工作。9.4重要的標(biāo)準(zhǔn)化組織為適應(yīng)信息技術(shù)的迅猛發(fā)展，國內(nèi)外成立139.4重要的標(biāo)準(zhǔn)化組織國際標(biāo)準(zhǔn)化組織ISO國際標(biāo)準(zhǔn)化組織(InternationalOrganizationforStandardization)簡稱ISO，是一個全球性的非政府組織，是國際標(biāo)準(zhǔn)化領(lǐng)域中一個十分重要的組織。ISO成立于1946年，當(dāng)時(shí)來自25個國家的代表在倫敦召開會議，決定成立一個新的國際組織，以促進(jìn)國際間的合作和工業(yè)標(biāo)準(zhǔn)的統(tǒng)一。于是，ISO這一新組織于1947年2月23日正式成立，總部設(shè)在瑞士的日內(nèi)瓦。ISO于1951年發(fā)布了第一個標(biāo)準(zhǔn)——工業(yè)長度測量用標(biāo)準(zhǔn)參考溫度。ISO的任務(wù)是促進(jìn)全球范圍內(nèi)的標(biāo)準(zhǔn)化及其有關(guān)活動，以利于國際間產(chǎn)品與服務(wù)的交流，以及在知識、科學(xué)、技術(shù)和經(jīng)濟(jì)活動中發(fā)展國際間的相互合作。ISO的組織機(jī)構(gòu)包括全體大會、主要官員、成員團(tuán)體、通信成員、捐助成員、政策發(fā)展委員會、理事會、ISO中央秘書處、特別咨詢組、技術(shù)管理局、標(biāo)樣委員會、技術(shù)咨詢組、技術(shù)委員會等。9.4重要的標(biāo)準(zhǔn)化組織國際標(biāo)準(zhǔn)化組織ISO149.4重要的標(biāo)準(zhǔn)化組織國際電工委員會IECIEC（InternationalElectrotechnicalCommission）成立于1906年，是世界上最早的非政府性國際性電工標(biāo)準(zhǔn)化機(jī)構(gòu)，總部設(shè)在日內(nèi)瓦，是聯(lián)合國經(jīng)社理事會（E-COSOC）的甲級咨詢組織。IEC負(fù)責(zé)有關(guān)電工、電子領(lǐng)域的國際標(biāo)準(zhǔn)化工作，其他領(lǐng)域則由ISO負(fù)責(zé)。IEC的宗旨是促進(jìn)電工、電子領(lǐng)域中標(biāo)準(zhǔn)化及有關(guān)方面問題的國際合作，增進(jìn)相互了解。IEC的工作領(lǐng)域包括了電力、電子、電信和原子能方面的電工技術(shù)。目前IEC成員國包括了大多數(shù)的工業(yè)發(fā)達(dá)國家及一部分發(fā)展中國家。這些國家擁有世界人口的80%，其生產(chǎn)和消耗的電能占全世界的95%，制造和使用電氣、電子產(chǎn)品占全世界產(chǎn)量的90%。IEC下設(shè)80多個標(biāo)準(zhǔn)化技術(shù)委員會，已制定標(biāo)準(zhǔn)4000余項(xiàng)。在信息安全技術(shù)標(biāo)準(zhǔn)化方面，除了同ISO聯(lián)合建立的JTC1下屬幾個分委員會外，還在電磁兼容等方面成立了技術(shù)委員會，并制定了相關(guān)的國際標(biāo)準(zhǔn)，如信息技術(shù)設(shè)備安全（IEC60950）。9.4重要的標(biāo)準(zhǔn)化組織國際電工委員會IEC159.4重要的標(biāo)準(zhǔn)化組織國際電信聯(lián)盟ITUITU（InternationalTelecommunicationUnion）是世界各國政府的電信主管部門之間協(xié)調(diào)電信事務(wù)方面的一個國際組織，于1865年5月17日成立于巴黎。ITU現(xiàn)有成員國189個，總部設(shè)在日內(nèi)瓦。ITU是聯(lián)合國負(fù)責(zé)電信事務(wù)的專門機(jī)構(gòu)，但在法律上不是聯(lián)合國附屬機(jī)構(gòu)。ITU的宗旨是：維持和擴(kuò)大國際合作，以改進(jìn)和合理地使用電信資源；促進(jìn)技術(shù)設(shè)施的發(fā)展及其有效運(yùn)用，以提高電信業(yè)務(wù)的效率，擴(kuò)大技術(shù)設(shè)施的用途，并盡量使公眾普遍利用；協(xié)調(diào)各國行動，以達(dá)到上述目的。ITU的組織原有全權(quán)代表會、行政大會、行政理事會和4個常設(shè)機(jī)構(gòu)，即總秘書處、國際電報(bào)電話咨詢委員會（CCITT）、國際無線電咨詢委員會（CCIR）和國際頻率登記委員會（IFRB）。1993年3月1日ITU第一次世界電信標(biāo)準(zhǔn)大會（WTSC-93）確立ITU的改革首先從機(jī)構(gòu)上進(jìn)行，對原有的3個機(jī)構(gòu)CCITT、CCIR和IFRB進(jìn)行了改組，取而代之的是電信標(biāo)準(zhǔn)化部門（TSS，即ITU-T）、無線電通信部門（RS，即ITU-R）和電信發(fā)展部門（TDS，即ITU-D）。電信標(biāo)準(zhǔn)化部門ITU-T由原來的CCITT和CCIR從事標(biāo)準(zhǔn)化工作的部門合并而成。其主要職責(zé)是完成國際電信聯(lián)盟有關(guān)電信標(biāo)準(zhǔn)方面的目標(biāo)，即研究電信技術(shù)、操作和資費(fèi)等問題，出版件藝術(shù)，目的是在世界范圍內(nèi)實(shí)現(xiàn)電信標(biāo)準(zhǔn)化，包括在公共電信網(wǎng)上無線電系統(tǒng)互聯(lián)和為實(shí)現(xiàn)互聯(lián)所應(yīng)具備的性能。9.4重要的標(biāo)準(zhǔn)化組織國際電信聯(lián)盟ITU169.4重要的標(biāo)準(zhǔn)化組織因特網(wǎng)工程任務(wù)組IETFIETF(InternetEngineeringTaskForce)主要提出Internet標(biāo)準(zhǔn)草案和成為RFC（征求意見稿）的協(xié)議文稿，也包括安全方面的建議稿，內(nèi)容比較廣泛，經(jīng)過網(wǎng)上討論修改，被大家接受的就成了事實(shí)上的標(biāo)準(zhǔn)。目前有關(guān)安全方面的RFC有170多個，例如：RFC1352（SNMP安全協(xié)議）、RFC1421-1424（因特網(wǎng)電子郵件保密增強(qiáng)協(xié)議）和RFC1825（因特網(wǎng)協(xié)議安全體系結(jié)構(gòu)）等。有關(guān)信息安全的工作組有PGP開發(fā)規(guī)范（OpenPGP）、鑒別防火墻遍歷（AFT）、通過鑒別技術(shù)（CAT）、域名服務(wù)系統(tǒng)安全（Dnssec）、IP安全協(xié)議（IPSec）、一次性口令鑒別（Otp）、X.509公鑰基礎(chǔ)設(shè)施（PKI）、S/MIME郵件安全、安全Shell（Secsh）、簡單公鑰基礎(chǔ)設(shè)施（SPKI）、傳輸層安全（TLS）和Web處理安全（WTS）等12個。9.4重要的標(biāo)準(zhǔn)化組織因特網(wǎng)工程任務(wù)組IETF179.4重要的標(biāo)準(zhǔn)化組織中國通信標(biāo)準(zhǔn)化協(xié)會中國通信標(biāo)準(zhǔn)化協(xié)會（CCSA，ChinaCommunicationsStandardsAssociation），該協(xié)會是國內(nèi)企業(yè)、事業(yè)單位自愿聯(lián)合起來，經(jīng)業(yè)務(wù)主管部門批準(zhǔn)，國家社團(tuán)登記管理機(jī)關(guān)登記，開展通信技術(shù)標(biāo)準(zhǔn)化活動的非營利性法人社會團(tuán)體。中國國家標(biāo)準(zhǔn)化管理委員會中國國家標(biāo)準(zhǔn)化管理委員會（SCA，StandardizationAdministrationofthePeople’sRepublicofChina），SAC是國務(wù)院授權(quán)履行行政管理職能，統(tǒng)一管理全國標(biāo)準(zhǔn)化工作的主攻機(jī)構(gòu)。9.4重要的標(biāo)準(zhǔn)化組織中國通信標(biāo)準(zhǔn)化協(xié)會189.5信息安全法律法規(guī)我國歷來重視信息安全法律法規(guī)的建設(shè)，經(jīng)過多年的探索和實(shí)踐，我國已經(jīng)制定和頒布了涉及信息系統(tǒng)安全、信息內(nèi)容安全、信息產(chǎn)品安全、網(wǎng)絡(luò)犯罪、密碼管理等方面的多項(xiàng)法律法規(guī)，構(gòu)建了較為完善的信息安全法律框架。從發(fā)展過程來看，我國的信息安全法律法規(guī)建設(shè)是一個與一些關(guān)鍵信息安全技術(shù)和事件密切相關(guān)的動態(tài)發(fā)展過程。1994年，國務(wù)院頒布了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，在該條例中首次使用了“信息系統(tǒng)安全”的表述，以該條例為起點(diǎn)，中國開始了信息安全領(lǐng)域的立法進(jìn)程。2002年12月28日，第九屆全國人民代表大會常務(wù)委員會第十九次會議通過了《全國人民代表大會常務(wù)委員會關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》，該決定規(guī)定禁止利用互聯(lián)網(wǎng)實(shí)施危害互聯(lián)網(wǎng)安全運(yùn)行、危害國家安全和社會穩(wěn)定、危害社會主義市場經(jīng)濟(jì)秩序和社會管理秩序、危害個人、法人和其他組織的人身、財(cái)產(chǎn)等合法權(quán)益，開啟了我國在信息安全領(lǐng)域?qū)嵤┓ㄖ位男录o(jì)元。9.5信息安全法律法規(guī)我國歷來重視信息安全法律法規(guī)的建設(shè)，199.5信息安全法律法規(guī)2003年7月22日，國家信息化領(lǐng)導(dǎo)小組第三次會議通過了《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)[2003]27號）》，簡稱27號文，意見明確要求加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)，抓緊研究起草《信息安全法》，建立和完善信息安全法律法規(guī)和制度，明確社會各方面保障信息安全的責(zé)任和義務(wù)。以此為標(biāo)志，我國的信息安全立法工作進(jìn)入了全面發(fā)展的階段。2012年12月28日，全國人民代表大會常務(wù)委員會第三十次會議通過了《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，該決定的內(nèi)容全面涵蓋了個人網(wǎng)絡(luò)電子信息保護(hù)、垃圾電子信息治理、網(wǎng)絡(luò)和手機(jī)用戶身份管理、網(wǎng)絡(luò)服務(wù)提供商對國家有關(guān)主管部門的協(xié)助執(zhí)法等重要制度。其核心內(nèi)容和立法宗旨是建立公民個人電子信息保護(hù)制度，將公民信息權(quán)利保護(hù)，特別是信息安全的保護(hù)，提升到了十分顯著的位置，這是我國信息安全立法的重大突破，填補(bǔ)了長久以來我國在個人信息保護(hù)方面的立法缺位，反映了我國信息安全立法開始加強(qiáng)對個人信息安全的關(guān)注。9.5信息安全法律法規(guī)2003年7月22日，國家信息化領(lǐng)導(dǎo)209.5信息安全法律法規(guī)我國信息安全法制建設(shè)的基本原則要實(shí)現(xiàn)我國信息安全立法工作的有序進(jìn)行，必須首先明確信息安全法制建設(shè)的基本原則。法律原則是法律的基礎(chǔ)性原理，是立法主體進(jìn)行立法活動的重要依據(jù)，體現(xiàn)著立法的內(nèi)在精神。信息安全法制建設(shè)必須在基本原則的指導(dǎo)下進(jìn)行，這樣才能準(zhǔn)確把握信息安全的客觀規(guī)律，更好地發(fā)揮信息安全法律的保障作用。通過保障安全促進(jìn)發(fā)展的原則。積極預(yù)防原則。重點(diǎn)保護(hù)原則。誰主管、誰負(fù)責(zé)和協(xié)同原則。9.5信息安全法律法規(guī)我國信息安全法制建設(shè)的基本原則219.5信息安全法律法規(guī)其他國家的信息安全立法情況美國的信息安全立法美國規(guī)范信息安全的法律經(jīng)歷了一個從預(yù)防為主到先發(fā)制人、以控制硬件設(shè)備到控制網(wǎng)絡(luò)信息內(nèi)容的演化過程?？傮w而言，美國當(dāng)前有關(guān)信息安全立法的發(fā)展趨勢是要擴(kuò)大政府部門在網(wǎng)絡(luò)監(jiān)管中的權(quán)限，明確其職責(zé)和任務(wù)，以滿足應(yīng)對與日俱增的信息安全風(fēng)險(xiǎn)的需求。俄羅斯的信息安全立法從整體上來看，俄羅斯的信息安全立法將保護(hù)范圍從只側(cè)重國家機(jī)關(guān)的信息安全保護(hù)逐步擴(kuò)大到對公民、組織和社會的信息安全保護(hù)，在不斷發(fā)展中尋求著各方利益的平衡。歐盟的信息安全立法歐盟的信息安全法律框架經(jīng)歷了一個逐步完善的過程。歐盟通過一系列的戰(zhàn)略突出了數(shù)字時(shí)代信息安全的重要性，在戰(zhàn)略布局下，歐盟通過統(tǒng)一立法、各成員國獨(dú)立立法、專項(xiàng)立法等多層次組成，既強(qiáng)調(diào)了歐盟整體利益，又照顧到了各個成員國的具體實(shí)際。9.5信息安全法律法規(guī)其他國家的信息安全立法情況22本章總結(jié)信息安全標(biāo)準(zhǔn)化不僅關(guān)系到信息安全產(chǎn)品和技術(shù)的發(fā)展方向，而且還關(guān)系到每個國家根本的安全利益，是信息安全重要的研究領(lǐng)域之一，日益引起人們的高度關(guān)注。作為信息安全技術(shù)的延伸和支撐，本章概要介紹了信息安全領(lǐng)域國內(nèi)外相關(guān)標(biāo)準(zhǔn)，介紹了重要的國內(nèi)外標(biāo)準(zhǔn)化組織的概況。信息安全法制建設(shè)是保障國家信息安全的基礎(chǔ)，不僅對信息安全技術(shù)和管理具有促進(jìn)和指導(dǎo)作用，而且信息安全法制化建設(shè)本身就是信息安全管理的重要組成部分，本章還介紹了我國在信息安全領(lǐng)域的法制化建設(shè)情況以及其他主要國家和組織的信息安全立法情況，為從事信息安全工作的人員具有一定的參考和指導(dǎo)作用。本章總結(jié)信息安全標(biāo)準(zhǔn)化不僅關(guān)系到信息安全產(chǎn)品和技術(shù)的發(fā)展方向23

第九章信息安全標(biāo)準(zhǔn)與法律法規(guī)

第九章信息安全標(biāo)準(zhǔn)與法律法規(guī)24第九章信息安全標(biāo)準(zhǔn)與法律法規(guī)9.1概述9.2國際安全標(biāo)準(zhǔn)9.3國內(nèi)安全標(biāo)準(zhǔn)9.4重要的標(biāo)準(zhǔn)化組織9.5信息安全法律法規(guī)第九章信息安全標(biāo)準(zhǔn)與法律法規(guī)9.1概述259.1概述為在一定范圍內(nèi)獲得最佳秩序，對活動或其結(jié)果規(guī)定共同的和重復(fù)使用的規(guī)則、導(dǎo)則或特性的文件就是標(biāo)準(zhǔn)。標(biāo)準(zhǔn)應(yīng)以科學(xué)技術(shù)和經(jīng)驗(yàn)的綜合成果為基礎(chǔ)，以促進(jìn)最佳社會效益為目的。標(biāo)準(zhǔn)文件必須經(jīng)協(xié)商一致并由一個公認(rèn)的機(jī)構(gòu)批準(zhǔn)。信息技術(shù)安全方面的標(biāo)準(zhǔn)化，興起于20世紀(jì)70年代中期，80年代有了較快的發(fā)展，90年代引起了世界各國的普遍關(guān)注，特別是隨著信息數(shù)字化和網(wǎng)絡(luò)化的發(fā)展和應(yīng)用，信息技術(shù)的安全技術(shù)標(biāo)準(zhǔn)化變得更為重要。因此標(biāo)準(zhǔn)化的范圍在拓展，標(biāo)準(zhǔn)化的進(jìn)程在加快，標(biāo)準(zhǔn)化的成果也在不斷的涌現(xiàn)。9.1概述為在一定范圍內(nèi)獲得最佳秩序，對活動或其結(jié)果規(guī)定共269.1概述基礎(chǔ)標(biāo)準(zhǔn)是整個信息安全標(biāo)準(zhǔn)體系的基礎(chǔ)部分，并向其他的技術(shù)標(biāo)準(zhǔn)提供所需的服務(wù)支持?；A(chǔ)標(biāo)準(zhǔn)包括信息安全術(shù)語、信息安全體系結(jié)構(gòu)、信息安全框架、信息安全模型、安全技術(shù)等。物理安全標(biāo)準(zhǔn)針對物理環(huán)境和保障、安全產(chǎn)品、介質(zhì)安全等提出標(biāo)準(zhǔn)進(jìn)行規(guī)范。系統(tǒng)與網(wǎng)絡(luò)標(biāo)準(zhǔn)針對軟硬件應(yīng)用平臺、網(wǎng)絡(luò)、安全協(xié)議、安全信息交換語法規(guī)則、人機(jī)接口以及業(yè)務(wù)應(yīng)用平臺提出安全要求。應(yīng)用與工程標(biāo)準(zhǔn)則針對安全工程和服務(wù)、人員資質(zhì)、行業(yè)應(yīng)用進(jìn)行詳細(xì)規(guī)定。管理類標(biāo)準(zhǔn)分為三大塊：管理基礎(chǔ)、系統(tǒng)管理和測評認(rèn)證。建立科學(xué)的信息安全標(biāo)準(zhǔn)體系，將眾多的信息安全標(biāo)準(zhǔn)在此體系下協(xié)調(diào)一致，才能充分發(fā)揮信息安全標(biāo)準(zhǔn)系統(tǒng)的功能，獲得良好的系統(tǒng)效應(yīng)，取得預(yù)期的社會效益和經(jīng)濟(jì)效益。信息安全標(biāo)準(zhǔn)體系框架描述了信息安全標(biāo)準(zhǔn)整體組成，是整個信息安全標(biāo)準(zhǔn)化工作的指南。，在標(biāo)準(zhǔn)框架中，基礎(chǔ)標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn)是支持該框架的支柱，物理安全標(biāo)準(zhǔn)、系統(tǒng)與網(wǎng)絡(luò)標(biāo)準(zhǔn)和應(yīng)用工程標(biāo)準(zhǔn)也都是組成信息安全保證的重要依據(jù)。9.1概述基礎(chǔ)標(biāo)準(zhǔn)是整個信息安全標(biāo)準(zhǔn)體系的基礎(chǔ)部分，并向其279.2國際安全標(biāo)準(zhǔn)信息安全技術(shù)標(biāo)準(zhǔn)是信息安全產(chǎn)業(yè)的重要領(lǐng)域，一直受到國內(nèi)外的普遍關(guān)注，早在1977年，美國國家標(biāo)準(zhǔn)局就正式頒發(fā)了世界第一個數(shù)據(jù)加密標(biāo)準(zhǔn)（DES），隨著通信和計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，信息安全的標(biāo)準(zhǔn)化工作也取得了很大的進(jìn)展。BS7799CCSSE-CMM9.2國際安全標(biāo)準(zhǔn)信息安全技術(shù)標(biāo)準(zhǔn)是信息安全產(chǎn)業(yè)的重要領(lǐng)域289.2國際安全標(biāo)準(zhǔn)BS7799英國標(biāo)準(zhǔn)BS7799是目前世界上應(yīng)用最廣泛的典型的信息安全管理標(biāo)準(zhǔn)，它是在BSI/DISC的BDD/2信息安全管理委員會指導(dǎo)下制定完成的。BS7799標(biāo)準(zhǔn)提供一個開發(fā)組織安全標(biāo)準(zhǔn)、有效實(shí)施安全管理的公共基礎(chǔ)，還提供了組織間交易的可信度。該標(biāo)準(zhǔn)第一部分為組織管理者提供了信息安全管理的實(shí)施慣例，例如信息與軟件交換和處理的安全規(guī)定、設(shè)備的安全配置管理、安全區(qū)域進(jìn)出的控制等一些很容易理解的問題。這恰巧符合信息安全的“七分管理，三分技術(shù)”的原則。這些管理規(guī)定一般的單位都可以制定，但要想達(dá)到BS7799的全面性則需要一番努力。在信息安全管理方面，BS7799的地位是其他標(biāo)準(zhǔn)無法取代的?？偟恼f來，BS7799涵蓋了安全管理所應(yīng)涉及的方方面面，全面而不失可操作性，提供了一個可持續(xù)提高的信息安全管理環(huán)境。9.2國際安全標(biāo)準(zhǔn)BS7799299.2國際安全標(biāo)準(zhǔn)CC信息安全安全性評估的標(biāo)準(zhǔn)——信息技術(shù)安全性評估通用準(zhǔn)則（CC：CommonCriteria），通常簡稱通用準(zhǔn)則，也即是國際標(biāo)準(zhǔn)ISO/IEC15408-99，該標(biāo)準(zhǔn)是評估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)準(zhǔn)則。它是在TESEC、ITSEC、CTCPEC、FC等信息安全標(biāo)準(zhǔn)的基礎(chǔ)上綜合形成的，通過建立信息技術(shù)安全性評估的通用準(zhǔn)則庫，使得其評估結(jié)果能被更多的人理解、信任，并且讓各種獨(dú)立的安全評估結(jié)果具有可比性，從而達(dá)到互相認(rèn)可的目的。此標(biāo)準(zhǔn)是現(xiàn)階段最完善的信息技術(shù)安全性評估標(biāo)準(zhǔn)，我國也采用這一標(biāo)準(zhǔn)（GB/T18336）對產(chǎn)品、系統(tǒng)和系統(tǒng)方案進(jìn)行測試、評估和認(rèn)可。9.2國際安全標(biāo)準(zhǔn)CC309.2國際安全標(biāo)準(zhǔn)SSE-CMM系統(tǒng)安全工程能力成熟模型簡寫為SSE-CMM，是原英文SystemsSecurityEngineeringCapabilityMaturityModel的縮寫。它是一個模型，正如開放系統(tǒng)互連參考模型（OSI）一樣，但它指導(dǎo)著系統(tǒng)安全工程的完善和改進(jìn)，使系統(tǒng)安全工程成為一個清晰定義的、成熟的、可管理的、可控制的、有效的和可度量的科學(xué)。SSE-CMM描述了一個組織的安全工程過程務(wù)必包含的本質(zhì)特征，這些特征是完善安全工程的保證，也是安全工程實(shí)施的度量標(biāo)準(zhǔn)，還是一個易于理解的評估安全工程實(shí)施的框架。SSE-CMM模型的開發(fā)源于1993年5月美國國家安全局發(fā)起的研究工作。1995年1月，在第一次公共安全工程CMM討論會中，信息安全協(xié)會被邀請加入，超過60個組織的代表再次確認(rèn)需要這樣一種模型。因此，研討會期間成立了項(xiàng)目工作組，由此進(jìn)入了模型開發(fā)階段。通過項(xiàng)目領(lǐng)導(dǎo)、應(yīng)用工作組全體的通力合作，于1996年10月完成了SSE-CMM模型的第一版，1997年5月完成了評價(jià)方法第一版。為檢驗(yàn)?zāi)Ｐ图霸u價(jià)方法的有效性，1996年6月到1997年6月進(jìn)行了試驗(yàn)工作。一些試驗(yàn)組織向SSE-CMM及其評價(jià)模型提供了有價(jià)值的信息。1997年8月，第二次公共安全工程CMM研討會舉行，以明確一些與模型應(yīng)用相關(guān)的問題，特別是關(guān)于：獲取領(lǐng)域、過程改善、及產(chǎn)品及系統(tǒng)的安全保證。由于研討會中明確了上述問題，便成立了一個新的工作組以直接落實(shí)這些問題，于1999年4月完成了SSE-CMM模型的第二版。9.2國際安全標(biāo)準(zhǔn)SSE-CMM319.3國內(nèi)安全標(biāo)準(zhǔn)《中華人民共和國標(biāo)準(zhǔn)化法》將我國的標(biāo)準(zhǔn)分為國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)四級。我國的國家標(biāo)準(zhǔn)由國務(wù)院標(biāo)準(zhǔn)化行政主管部門制定；行業(yè)標(biāo)準(zhǔn)由國務(wù)院有關(guān)行政主管部門制定；地方標(biāo)準(zhǔn)由省、自治區(qū)和直轄市標(biāo)準(zhǔn)化行政主管部門制定；企業(yè)標(biāo)準(zhǔn)由企業(yè)自己制定。我們國家的信息安全從保密技術(shù)、難度、標(biāo)準(zhǔn)的特點(diǎn)出發(fā)，將信息安全保密標(biāo)準(zhǔn)分三級，第一級國家標(biāo)準(zhǔn)，第二級國家軍隊(duì)標(biāo)準(zhǔn)，第三級國家保密標(biāo)準(zhǔn)。在這三級標(biāo)準(zhǔn)中，國家保密標(biāo)準(zhǔn)最高。其他標(biāo)準(zhǔn)還包括：公共安全行業(yè)標(biāo)準(zhǔn)（GA）。我國信息安全標(biāo)準(zhǔn)在相關(guān)標(biāo)準(zhǔn)化組織的有效領(lǐng)導(dǎo)下，取得了長足的發(fā)展，頒布了多項(xiàng)標(biāo)準(zhǔn)，國家標(biāo)準(zhǔn)、軍隊(duì)標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)對信息安全領(lǐng)域均有涉及，大致從以下物理安全、密碼及安全算法、安全技術(shù)及安全機(jī)制、開放系統(tǒng)互連、邊界保護(hù)、信息安全評估等幾方面規(guī)定了信息安全的不同技術(shù)要求，9.3國內(nèi)安全標(biāo)準(zhǔn)《中華人民共和國標(biāo)準(zhǔn)化法》將我國的標(biāo)準(zhǔn)分329.3國內(nèi)安全標(biāo)準(zhǔn)物理安全相關(guān)國家標(biāo)準(zhǔn)：GB9254-1988信息技術(shù)設(shè)備的無線電干擾極限值和測量方法。GB9361-1988計(jì)算機(jī)場地安全要求。GB4943-1995信息技術(shù)設(shè)備（包括電氣事務(wù)設(shè)備）的安全。密碼及安全算法相關(guān)國家標(biāo)準(zhǔn)：GB/T15277-1994信息處理64bit分組密碼算法的工作方法。GB/T15278-1994信息處理數(shù)據(jù)加密物理層可互操作性要求。GB/T15851-1995信息技術(shù)安全技術(shù)帶消息恢復(fù)的數(shù)字簽名方案。GB/T15852-1995信息技術(shù)安全技術(shù)用塊密碼算法作密碼校驗(yàn)函數(shù)的數(shù)據(jù)完整性機(jī)制。GB/T185238.1-2000信息技術(shù)安全技術(shù)散列函數(shù)第1部分：概述。GB/T185238.2-200X信息技術(shù)安全技術(shù)散列函數(shù)第2部分：使用n-bit分組密碼算法的散列函數(shù)。GB/T185238.3-200X信息技術(shù)安全技術(shù)散列函數(shù)第3部分：專用散列函數(shù)。9.3國內(nèi)安全標(biāo)準(zhǔn)物理安全相關(guān)國家標(biāo)準(zhǔn)：339.3國內(nèi)安全標(biāo)準(zhǔn)安全技術(shù)及安全機(jī)制相關(guān)國家標(biāo)準(zhǔn)：GB/T17903.1-1999信息技術(shù)安全技術(shù)抗抵賴第1部分：概述。GB/T17903.2-1999信息技術(shù)安全技術(shù)抗抵賴第2部分：使用對稱技術(shù)的機(jī)制。GB/T17903.3-1999信息技術(shù)安全技術(shù)抗抵賴第3部分：使用非對稱技術(shù)的機(jī)制。GB/T15843.1-1999信息技術(shù)安全技術(shù)實(shí)體鑒別第1部分：概述。GB/T15843.2-1997信息技術(shù)安全技術(shù)實(shí)體鑒別第2部分：采用非對稱加密算法的機(jī)制。GB/T15843.3-1998信息技術(shù)安全技術(shù)實(shí)體鑒別第3部分：采用非對稱簽名技術(shù)的機(jī)制。GB/T15843.4-1999信息技術(shù)安全技術(shù)實(shí)體鑒別第4部分：采用密碼校驗(yàn)函數(shù)的機(jī)制。9.3國內(nèi)安全標(biāo)準(zhǔn)安全技術(shù)及安全機(jī)制相關(guān)國家標(biāo)準(zhǔn)：349.3國內(nèi)安全標(biāo)準(zhǔn)開放系統(tǒng)互連相關(guān)國家標(biāo)準(zhǔn)：GB/T9387.2-1995信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)。GB/T17963-2000信息技術(shù)開放系統(tǒng)互連網(wǎng)絡(luò)層安全協(xié)議。GB/T17965-2000信息技術(shù)開放系統(tǒng)互連高層安全模型。GB/T17143.7-1997信息技術(shù)開放系統(tǒng)互連系統(tǒng)管理安全報(bào)警報(bào)告功能。GB/T17143.8-1997信息技術(shù)開放系統(tǒng)互連系統(tǒng)管理安全審計(jì)跟蹤功能。GB/T18231-2000信息技術(shù)開放系統(tǒng)互連低層安全模型。GB/T18237.1-2000信息技術(shù)開放系統(tǒng)互連通用高層安全第1部分：概述、模型和記法。GB/T18237.2-2000信息技術(shù)開放系統(tǒng)互連通用高層安全第2部分：安全交換服務(wù)元素（SESE）服務(wù)定義。GB/T18237.3-2000信息技術(shù)開放系統(tǒng)互連通用高層安全第3部分：安全交換服務(wù)元素（SESE）協(xié)議規(guī)范。9.3國內(nèi)安全標(biāo)準(zhǔn)開放系統(tǒng)互連相關(guān)國家標(biāo)準(zhǔn)：359.4重要的標(biāo)準(zhǔn)化組織為適應(yīng)信息技術(shù)的迅猛發(fā)展，國內(nèi)外成立了很多標(biāo)準(zhǔn)化組織，目前國際上有兩個重要的標(biāo)準(zhǔn)化組織，即國際標(biāo)準(zhǔn)化組織（ISO）和國際電工委員會（IEC）。ISO/IECJTC1（第一聯(lián)合技術(shù)委員會）是制定信息技術(shù)領(lǐng)域國際標(biāo)準(zhǔn)的機(jī)構(gòu)，下轄19個分技術(shù)委員會（SC）和SGFS（功能標(biāo)準(zhǔn)化專門組）等特別工作小組，還有四個管理機(jī)構(gòu)（一致性評定特別工作小組、信息技術(shù)任務(wù)組、注冊機(jī)構(gòu)特別工作組和業(yè)務(wù)分析與計(jì)劃特別小組）。SC27負(fù)責(zé)信息技術(shù)和安全技術(shù)。P成員（積極成員）29個，O成員（觀察成員）27個，內(nèi)部聯(lián)絡(luò)員14個，外部A類聯(lián)絡(luò)員3個，外部B類聯(lián)絡(luò)員18個。P成員有表決權(quán)并承擔(dān)指定任務(wù)，O成員沒有表決權(quán)，但有發(fā)表意見及參加會議和獲得某些文件的權(quán)利，中國是P成員之一。美國的信息技術(shù)標(biāo)準(zhǔn)主要由ANSI、NAST制定，其電子工業(yè)協(xié)會（EIA）和通信工業(yè)協(xié)會（TIA）也制定了部分信息技術(shù)標(biāo)準(zhǔn)。歐洲的ECMA主要在世界范圍內(nèi)制定與計(jì)算機(jī)及計(jì)算機(jī)應(yīng)用有關(guān)的標(biāo)準(zhǔn)。IETF主要制定與因特網(wǎng)相關(guān)的標(biāo)準(zhǔn)。另外還有ITU、IEEE、EDTI和OMG等組織制定有關(guān)的信息技術(shù)標(biāo)準(zhǔn)。我國主要由中國通信標(biāo)準(zhǔn)化協(xié)會負(fù)責(zé)相關(guān)的標(biāo)準(zhǔn)制定工作。9.4重要的標(biāo)準(zhǔn)化組織為適應(yīng)信息技術(shù)的迅猛發(fā)展，國內(nèi)外成立369.4重要的標(biāo)準(zhǔn)化組織國際標(biāo)準(zhǔn)化組織ISO國際標(biāo)準(zhǔn)化組織(InternationalOrganizationforStandardization)簡稱ISO，是一個全球性的非政府組織，是國際標(biāo)準(zhǔn)化領(lǐng)域中一個十分重要的組織。ISO成立于1946年，當(dāng)時(shí)來自25個國家的代表在倫敦召開會議，決定成立一個新的國際組織，以促進(jìn)國際間的合作和工業(yè)標(biāo)準(zhǔn)的統(tǒng)一。于是，ISO這一新組織于1947年2月23日正式成立，總部設(shè)在瑞士的日內(nèi)瓦。ISO于1951年發(fā)布了第一個標(biāo)準(zhǔn)——工業(yè)長度測量用標(biāo)準(zhǔn)參考溫度。ISO的任務(wù)是促進(jìn)全球范圍內(nèi)的標(biāo)準(zhǔn)化及其有關(guān)活動，以利于國際間產(chǎn)品與服務(wù)的交流，以及在知識、科學(xué)、技術(shù)和經(jīng)濟(jì)活動中發(fā)展國際間的相互合作。ISO的組織機(jī)構(gòu)包括全體大會、主要官員、成員團(tuán)體、通信成員、捐助成員、政策發(fā)展委員會、理事會、ISO中央秘書處、特別咨詢組、技術(shù)管理局、標(biāo)樣委員會、技術(shù)咨詢組、技術(shù)委員會等。9.4重要的標(biāo)準(zhǔn)化組織國際標(biāo)準(zhǔn)化組織ISO379.4重要的標(biāo)準(zhǔn)化組織國際電工委員會IECIEC（InternationalElectrotechnicalCommission）成立于1906年，是世界上最早的非政府性國際性電工標(biāo)準(zhǔn)化機(jī)構(gòu)，總部設(shè)在日內(nèi)瓦，是聯(lián)合國經(jīng)社理事會（E-COSOC）的甲級咨詢組織。IEC負(fù)責(zé)有關(guān)電工、電子領(lǐng)域的國際標(biāo)準(zhǔn)化工作，其他領(lǐng)域則由ISO負(fù)責(zé)。IEC的宗旨是促進(jìn)電工、電子領(lǐng)域中標(biāo)準(zhǔn)化及有關(guān)方面問題的國際合作，增進(jìn)相互了解。IEC的工作領(lǐng)域包括了電力、電子、電信和原子能方面的電工技術(shù)。目前IEC成員國包括了大多數(shù)的工業(yè)發(fā)達(dá)國家及一部分發(fā)展中國家。這些國家擁有世界人口的80%，其生產(chǎn)和消耗的電能占全世界的95%，制造和使用電氣、電子產(chǎn)品占全世界產(chǎn)量的90%。IEC下設(shè)80多個標(biāo)準(zhǔn)化技術(shù)委員會，已制定標(biāo)準(zhǔn)4000余項(xiàng)。在信息安全技術(shù)標(biāo)準(zhǔn)化方面，除了同ISO聯(lián)合建立的JTC1下屬幾個分委員會外，還在電磁兼容等方面成立了技術(shù)委員會，并制定了相關(guān)的國際標(biāo)準(zhǔn)，如信息技術(shù)設(shè)備安全（IEC60950）。9.4重要的標(biāo)準(zhǔn)化組織國際電工委員會IEC389.4重要的標(biāo)準(zhǔn)化組織國際電信聯(lián)盟ITUITU（InternationalTelecommunicationUnion）是世界各國政府的電信主管部門之間協(xié)調(diào)電信事務(wù)方面的一個國際組織，于1865年5月17日成立于巴黎。ITU現(xiàn)有成員國189個，總部設(shè)在日內(nèi)瓦。ITU是聯(lián)合國負(fù)責(zé)電信事務(wù)的專門機(jī)構(gòu)，但在法律上不是聯(lián)合國附屬機(jī)構(gòu)。ITU的宗旨是：維持和擴(kuò)大國際合作，以改進(jìn)和合理地使用電信資源；促進(jìn)技術(shù)設(shè)施的發(fā)展及其有效運(yùn)用，以提高電信業(yè)務(wù)的效率，擴(kuò)大技術(shù)設(shè)施的用途，并盡量使公眾普遍利用；協(xié)調(diào)各國行動，以達(dá)到上述目的。ITU的組織原有全權(quán)代表會、行政大會、行政理事會和4個常設(shè)機(jī)構(gòu)，即總秘書處、國際電報(bào)電話咨詢委員會（CCITT）、國際無線電咨詢委員會（CCIR）和國際頻率登記委員會（IFRB）。1993年3月1日ITU第一次世界電信標(biāo)準(zhǔn)大會（WTSC-93）確立ITU的改革首先從機(jī)構(gòu)上進(jìn)行，對原有的3個機(jī)構(gòu)CCITT、CCIR和IFRB進(jìn)行了改組，取而代之的是電信標(biāo)準(zhǔn)化部門（TSS，即ITU-T）、無線電通信部門（RS，即ITU-R）和電信發(fā)展部門（TDS，即ITU-D）。電信標(biāo)準(zhǔn)化部門ITU-T由原來的CCITT和CCIR從事標(biāo)準(zhǔn)化工作的部門合并而成。其主要職責(zé)是完成國際電信聯(lián)盟有關(guān)電信標(biāo)準(zhǔn)方面的目標(biāo)，即研究電信技術(shù)、操作和資費(fèi)等問題，出版件藝術(shù)，目的是在世界范圍內(nèi)實(shí)現(xiàn)電信標(biāo)準(zhǔn)化，包括在公共電信網(wǎng)上無線電系統(tǒng)互聯(lián)和為實(shí)現(xiàn)互聯(lián)所應(yīng)具備的性能。9.4重要的標(biāo)準(zhǔn)化組織國際電信聯(lián)盟ITU399.4重要的標(biāo)準(zhǔn)化組織因特網(wǎng)工程任務(wù)組IETFIETF(InternetEngineeringTaskForce)主要提出Internet標(biāo)準(zhǔn)草案和成為RFC（征求意見稿）的協(xié)議文稿，也包括安全方面的建議稿，內(nèi)容比較廣泛，經(jīng)過網(wǎng)上討論修改，被大家接受的就成了事實(shí)上的標(biāo)準(zhǔn)。目前有關(guān)安全方面的RFC有170多個，例如：RFC1352（SNMP安全協(xié)議）、RFC1421-1424（因特網(wǎng)電子郵件保密增強(qiáng)協(xié)議）和RFC1825（因特網(wǎng)協(xié)議安全體系結(jié)構(gòu)）等。有關(guān)信息安全的工作組有PGP開發(fā)規(guī)范（OpenPGP）、鑒別防火墻遍歷（AFT）、通過鑒別技術(shù)（CAT）、域名服務(wù)系統(tǒng)安全（Dnssec）、IP安全協(xié)議（IPSec）、一次性口令鑒別（Otp）、X.509公鑰基礎(chǔ)設(shè)施（PKI）、S/MIME郵件安全、安全Shell（Secsh）、簡單公鑰基礎(chǔ)設(shè)施（SPKI）、傳輸層安全（TLS）和Web處理安全（WTS）等12個。9.4重要的標(biāo)準(zhǔn)化組織因特網(wǎng)工程任務(wù)組IETF409.4重要的標(biāo)準(zhǔn)化組織中國通信標(biāo)準(zhǔn)化協(xié)會中國通信標(biāo)準(zhǔn)化協(xié)會（CCSA，ChinaCommunicationsStandardsAssociation），該協(xié)會是國內(nèi)企業(yè)、事業(yè)單位自愿聯(lián)合起來，經(jīng)業(yè)務(wù)主管部門批準(zhǔn)，國家社團(tuán)登記管理機(jī)關(guān)登記，開展通信技術(shù)標(biāo)準(zhǔn)化活動的非營利性法人社會團(tuán)體。中國國家標(biāo)準(zhǔn)化管理委員會中國國家標(biāo)準(zhǔn)化管理委員會（SCA，StandardizationAdministrationofthePeople’sRepublicofChina），SAC是國務(wù)院授權(quán)履行行政管理職能，統(tǒng)一管理全國標(biāo)準(zhǔn)化工作的主攻機(jī)構(gòu)。9.4重要的標(biāo)準(zhǔn)化組織中國通信標(biāo)準(zhǔn)化協(xié)會419.5信息安全法律法規(guī)我國歷來重視信息安全法律法規(guī)的建設(shè)，經(jīng)過多年的探索和實(shí)踐，我國已經(jīng)制定和頒布了涉及信息系統(tǒng)安全、信息內(nèi)容安全、信息產(chǎn)品安全、網(wǎng)絡(luò)犯罪、密碼管理等方面的多項(xiàng)法律法規(guī)，構(gòu)建