【精品】国内外主流信息安全标准体系
国际信息安全管理标准体系
国际信息安全管理标准体系国际信息安全管理标准体系(International Information Security Management System,以下简称ISMS)是一套用于指导和帮助组织建立、实施、运行、监控、评审、维护和持续改进信息安全管理体系的国际标准。
ISMS的标准体系主要包括规范性要求、实施指南和相应辅助文档。
本文将重点介绍ISMS的规范性要求和实施指南。
ISMS的规范性要求主要涵盖以下几个方面。
ISMS要求组织建立和维护信息安全政策。
信息安全政策是指组织对信息安全目标的说明和承诺,明确了组织对信息安全的重视程度和责任分工。
信息安全政策应该根据组织的特点和风险评估结果进行制定,并包括适用的法规法律要求。
ISMS要求组织进行信息资产管理。
信息资产管理是指对组织的信息资产进行明确定义、分类、评估和处理的过程。
组织应该对信息资产进行明确的归属和责任分工,制定相应的信息分类和保护要求,并确保信息资产的可用性、完整性和保密性。
然后,ISMS要求组织建立和维护信息安全风险管理机制。
信息安全风险管理是指组织通过识别、评估和处理信息安全风险来保护信息资产的过程。
组织应该建立风险评估方法和流程,识别和评估各种类型的信息安全风险,并采取相应的控制措施来降低风险。
ISMS要求组织建立和维护信息安全控制措施。
信息安全控制措施是指组织为降低信息安全风险而采取的技术、人员和制度措施。
组织应该根据信息安全风险评估的结果,制定相应的信息安全控制措施,并监控其有效性和适应性。
ISMS要求组织建立和维护信息安全绩效评估机制。
信息安全绩效评估是指组织对信息安全管理体系的运行情况进行评估和监控的过程。
组织应该建立监控和测量信息安全绩效的方法和指标,并采取相应的纠正和预防措施来改善信息安全管理体系的运行效果。
除了规范性要求,ISMS还提供了实施指南来帮助组织建立和实施信息安全管理体系。
这些实施指南包括了关键要素的说明、实施步骤的指导、实施过程中涉及的方法和工具的介绍等。
信息安全保障技术的国际标准
信息安全保障技术的国际标准信息安全在现代社会中扮演着至关重要的角色。
随着科技的迅猛发展和全球化的趋势,信息安全问题成为各国共同关注和重视的议题。
为了确保信息的保密性、完整性和可用性,国际标准化组织(ISO)制定了一系列的信息安全保障技术标准,本文将对其中一些常见标准进行介绍。
1. ISO/IEC 27001:信息安全管理体系ISO/IEC 27001是一项全球通用的信息安全标准,用于确保组织在管理信息资产时,能够有效地保护信息的安全性。
该标准基于风险管理原则,要求组织制定并实施相应的信息安全政策、目标和控制措施,以及建立一个持续改进的框架。
2. ISO/IEC 27002:信息技术安全控制作为ISO/IEC 27001的配套指南,ISO/IEC 27002提供了一系列的信息安全控制措施,以帮助组织针对各种安全风险采取适当的防护措施。
标准涵盖了信息安全管理的各个方面,包括组织安全政策、人员安全管理、访问控制、网络安全等,并提供了实用的指导性建议。
3. ISO/IEC 27005:信息安全风险管理信息安全风险管理是组织有效保护信息安全的关键环节。
ISO/IEC 27005提供了一套系统化的风险管理流程和方法,帮助组织确定和评估信息安全风险,并选择适当的对策进行应对。
通过对信息资产的评估、风险分析和风险评估,组织能够有针对性地制定风险管理策略,减少信息安全事件的概率和影响。
4. ISO/IEC 27011:电信信息安全管理ISO/IEC 27011是针对电信领域的信息安全标准,适用于电信运营商、网络服务提供商和相关机构。
标准包括了一系列的信息安全管理要求和控制措施,涵盖了电信网络和业务的特殊安全需求。
通过遵循标准的要求,电信行业能够更好地保护网络和通信设施的安全性,确保网络服务的可用性和用户信息的保密性。
5. ISO/IEC 29100:个人身份信息保护随着个人数据的大规模收集和处理,个人身份信息保护变得尤为重要。
网络安全标准体系
网络安全标准体系网络安全标准体系是指在网络安全领域制定的一套规范和标准,以保护信息系统及数据免受各种威胁和攻击。
网络安全标准体系由多个不同的标准组成,涵盖了从网络设备配置到用户行为规范的各个方面。
以下是一个基于ISO/IEC 27000国际标准系列的网络安全标准体系的简要介绍。
1. ISO/IEC 27001:信息安全管理系统(ISMS)是一个管理信息资产安全的综合框架。
该标准由一系列政策、流程、程序、风险管理方法和安全控制措施组成,旨在保护组织的敏感信息。
2. ISO/IEC 27002:信息技术安全技术规范指南是一个详细的安全控制清单,旨在为组织提供有效的信息安全管理实践。
它包含了涵盖信息安全领域各个方面的安全控制措施和最佳实践,如访问控制、密码管理、网络安全、物理安全等。
3. ISO/IEC 27005:信息安全风险管理是一个指导组织进行信息资产风险评估和管理的标准。
该标准提供了一种系统的方法来确定和评估信息安全风险,并制定相应的风险管理计划。
4. ISO/IEC 27017:云计算安全是一个特定于云计算环境的安全标准。
它为云服务提供商和用户提供了一套规范和指南,以确保云计算环境中的数据安全和隐私保护。
5. ISO/IEC 27032:网络安全是关于网络安全威胁和风险的指导原则和措施的标准。
它提供了网络安全的基本概念和原则,以及管理网络安全的最佳实践。
除了以上几个ISO/IEC标准,还有其他一些重要的网络安全标准,如PCI-DSS(支付卡行业数据安全标准)、NIST SP 800系列(美国国家标准与技术研究院的安全标准)、BSI IT-Grundschutz(德国联邦信息安全局的IT基本安全标准)等。
网络安全标准体系的建立对组织和个人都非常重要。
首先,它可以确保组织的信息资产受到充分的保护,减少信息泄漏和数据损失的风险。
其次,它可以提供一种约束和规范,引导组织和个人遵循安全最佳实践,减少安全漏洞和疏忽。
信息安全国际标准
信息安全国际标准随着信息技术的快速发展和普及,信息安全问题日益凸显。
为了确保全球范围内的信息安全,国际标准化组织(ISO)制定了一系列的信息安全国际标准。
本文将介绍几个重要的信息安全国际标准,并分析其在信息安全领域的应用。
一、ISO/IEC 27001ISO/IEC 27001是信息安全管理系统(ISMS)的标准。
该标准为组织提供了建立、实施、运行、监视、维护和持续改进ISMS的要求。
ISMS是一个管理信息安全风险、确保信息安全的框架。
ISO/IEC 27001强调了信息安全的整体性、可恢复性和保密性,帮助组织建立有效的信息安全管理体系,以应对日益复杂的信息安全威胁。
ISO/IEC 27001标准包括11个主要部分,涵盖了从上层管理承诺到风险评估和控制措施的要求。
组织可以按照这些要求评估和改进其信息安全管理实践,与国际标准保持一致,提高信息安全的能力和信誉。
二、ISO/IEC 27002ISO/IEC 27002是信息安全管理实践指南。
该标准提供了一个综合的信息安全管理框架,包括信息安全政策、组织安全、人员安全、访问控制、密码管理、物理和环境安全、通信和运营管理等多个方面的实践指南。
ISO/IEC 27002可以帮助组织更好地理解和应用ISO/IEC 27001提到的信息安全要求。
ISO/IEC 27002标准的应用可以帮助组织建立适合自身特点的信息安全管理实践。
它的实施可以提高组织内部的信息安全防护措施,包括加强访问控制、数据保护、安全意识培训等,从而有效应对日益增长的信息安全威胁。
三、ISO/IEC 27005ISO/IEC 27005是信息安全风险管理的指南。
该标准提供了一套系统性的方法,帮助组织在信息安全管理过程中进行风险评估和风险处理。
信息安全风险管理是为了识别、评估和缓解信息安全威胁所采取的措施,以保护组织的信息资产和敏感信息。
ISO/IEC 27005标准的实施可以帮助组织建立和改进信息安全风险管理体系,明确风险评估和风险处理的方法和步骤。
【精品】国内外信息安全标准
国内外信息安全标准班级11062301 学号1106840341姓名杨直霖信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性,先进性和符合性的技术规范和技术依据。
因此,世界各国越来越重视信息安全产品认证标准的制修订工作。
国外信息安全标准发展现状:CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准,用来评估信息系统和信息产品的安全性。
CC标准源于世界多个国家的信息安全准则规范,包括欧洲ITSEC、美国TCSEC(桔皮书)、加拿大CTCPEC以及美国的联邦准则(Federal Criteria)等,由6个国家(美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰)共同提出制定。
国际上,很多国家根据CC标准实施信息技术产品的安全性评估与认证。
1999年CCV2.1被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》,目前,最新版本ISO/IEC15408-2008采用了CCV3.1。
用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法,并且跟随CC标准版本的发展而更新。
CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。
CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。
网络安全管理制度的国际标准与认证
网络安全管理制度的国际标准与认证随着信息技术的迅猛发展和互联网的普及应用,网络安全问题日益凸显。
无论是政府、企事业单位,还是个人用户,都需要建立一套完善的网络安全管理制度,以保护网络资源和信息安全。
在国际上,各个国家和组织都提出了各自的网络安全管理标准,并开展了相应的认证工作。
本文将介绍几种主要的国际网络安全管理制度标准和认证。
一、ISO 27001信息安全管理体系ISO 27001是国际标准化组织(ISO)发布的信息安全管理体系标准,旨在帮助组织建立、实施、运行、监控、审查、维护和持续改进信息安全管理体系。
该标准涵盖了信息安全风险评估、安全策略和目标的制定、组织内部沟通和培训、资源管理、信息安全事件的处理等多个方面。
通过实施ISO 27001标准,组织可以确保其信息资产得到充分的保护,提高网络安全管理水平。
二、NIST框架NIST(美国国家标准与技术研究院)发布的网络安全框架旨在帮助组织理解和应对网络安全风险,以提高网络安全管理的效果和可持续性。
该框架包括五个核心功能领域,即识别、保护、检测、响应和恢复。
组织可以根据自身需求选择和应用这些功能,以建立一个符合实际情况的网络安全管理制度。
NIST框架被广泛应用于美国政府和私营部门,也逐渐受到其他国家和组织的重视。
三、CC认证CC(Common Criteria)是一个国际性的安全认证评估标准,旨在确保信息技术产品和系统的安全性和可靠性。
CC认证体系基于一系列评估标准和检测方法,对产品和系统的安全性进行全面的评估和验证。
CC认证广泛用于网络设备、操作系统、数据库和应用软件等方面,被认为是一种国际通用的信息安全认证方式。
通过CC认证,组织可以获得外部权威的安全认证,提升其在网络安全领域的信誉和竞争力。
四、其他国际认证标准除了上述主要的网络安全管理制度标准和认证外,还有许多其他国际认证标准也对网络安全管理起到了重要的作用。
例如,PCI DSS (Payment Card Industry Data Security Standard)是一种金融行业的安全标准,旨在保护持卡人信息和支付数据的安全;HIPAA(Health Insurance Portability and Accountability Act)是美国医疗保健行业的安全与隐私保护法案,要求医疗机构加强对患者信息的保护;GDPR (General Data Protection Regulation)是欧盟的一项数据保护法规,要求组织在处理个人数据时采取一系列保护措施。
数据安全相关标准
数据安全相关标准随着科技的不断发展,现代生活中产生的数据量越来越大,同时也给数据安全带来了更大的挑战。
为了确保数据的安全性和可靠性,许多组织和行业制定了一系列的数据安全相关标准,下面将详细介绍几种常见的数据安全标准。
一、ISO 27000系列标准ISO 27000系列标准是全球公认的信息安全管理的最高规范,它包括了信息安全管理系统的建立、实施、监控、复审和改进等多个方面的规定,适用于各种类型的组织。
其中,ISO 27001标准是最为重要的一个标准,它涉及到了信息安全管理系统的实施和运行,为各组织提供了一个实践和维护信息安全的框架。
二、PCI DSS标准PCI DSS(Payment Card Industry Data Security Standard)标准是由支付卡行业制定的一项数据安全标准,它规定了各个相关企业处理信用卡信息的最佳实践和安全要求,包括网络安全、系统管理、数据加密、身份认证等方面的规定。
三、HIPAA标准HIPAA(Health Insurance Portability and Accountability Act)标准是美国国家医疗保险政策的一部分,针对美国的医疗信息保护问题制定的一系列规定,HIPAA标准对涉及到患者信息的医疗机构、卫生保险机构、药品公司等机构的安全性和隐私性提出了严格的要求。
四、GDPR标准GDPR(General Data Protection Regulation)标准是欧盟制定的数据保护法规,旨在加强欧盟个人数据的保护,并对数据收集、使用、存储和处理等方面加以规定。
GDPR标准要求企业在处理个人数据方面必须保持数据安全性和隐私性,并对数据泄露事件的报告和处罚机制进行了规定。
五、FISMA标准FISMA(Federal Information Security Management Act)标准是美国联邦政府在保护信息安全方面的一项法律,规定了联邦政府机构的信息安全管理体系、风险评估、安全方案和安全验证等要求。
网络安全常用标准汇总
网络安全常用标准汇总网络安全是当今互联网时代不可忽视的重要问题,用户的个人信息泄露、网络攻击和恶意软件等威胁都在不断增加。
为了保护个人隐私和数据的安全,以及维护网络的稳定运行,各国和组织都制定了一系列网络安全标准。
本文将对几个常见的网络安全标准进行汇总介绍。
一、ISO/IEC 27001信息安全管理系统ISO/IEC 27001信息安全管理系统是由国际标准化组织和国际电工委员会联合制定的,它为组织提供了建立、实施、监视、评审和持续改进信息安全管理系统的要求。
该标准强调风险评估和风险管理,充分考虑组织内外的威胁和脆弱性,以确保信息资产的机密性、完整性和可用性。
二、PCI DSS支付卡行业数据安全标准PCI DSS(Payment Card Industry Data Security Standard)是由支付卡行业安全标准委员会制定的,旨在保护持卡人数据的安全性。
该标准适用于所有处理支付卡数据的组织,包括商户和支付服务提供商。
PCI DSS要求组织建立安全网络,保护持卡人数据的存储、传输和处理过程,并进行定期的安全审计。
三、HIPAA健康保险可移植性与责任法案HIPAA(Health Insurance Portability and Accountability Act)是美国制定的信息保护法案,适用于医疗保健组织和与个人健康信息相关的服务提供商。
该法案要求组织采取一系列措施来保护个人的健康信息,包括技术、物理和行政安全措施,以及对员工进行安全培训和监督。
四、GDPR通用数据保护条例GDPR(General Data Protection Regulation)是欧洲联盟制定的数据保护法规,于2018年5月正式生效。
该法规适用于处理欧盟公民的个人数据的组织,无论其是否位于欧洲。
GDPR要求组织在收集和处理个人数据时获得明确的同意,并提供个人对其数据的访问、修改和删除的权利。
五、NIST网络安全框架NIST(National Institute of Standards and Technology)网络安全框架是由美国国家标准与技术研究院开发的,旨在帮助组织评估和改进其网络安全的能力。
信息安全管理体系标准
信息安全管理体系标准信息安全是当下互联网时代一个极为重要的议题,随着科技的发展和普及,个人和企业对于信息的保护变得尤为关键。
而信息安全管理体系标准作为衡量一个组织或企业信息安全管理实施的重要指标,被广泛应用于各个领域。
一、信息安全管理的意义信息安全管理是指组织或企业通过对信息系统和数据进行合理规划、管理、控制和保护,确保其机密性、完整性和可用性。
信息安全管理体系标准则是对信息安全管理实施过程的规范和指导,帮助组织建立科学的信息安全管理体系,提升信息保护的能力。
它能够确保组织内部的信息系统和数据不受到非法访问、破坏、泄漏等威胁,减少信息安全风险,保护用户和企业的权益。
二、信息安全管理体系标准的种类目前,国内外有多种信息安全管理体系标准,其中比较有代表性的有国际标准ISO 27001信息安全管理体系标准、国内标准GB/T 22080信息安全管理制度指南等。
ISO 27001是全球最广泛应用的信息安全管理标准,通过对信息安全风险的评估、控制和持续改进,确保信息资产的保护。
而GB/T 22080则是我国信息安全管理体系标准,依据ISO 27001标准进行了本土化的修订和实施。
三、信息安全管理体系标准的实施过程一个组织或企业要实施信息安全管理体系,首先需要建立信息安全管理制度,确定安全政策、目标和具体的管理流程。
其次,根据标准的要求,进行信息资产的风险评估和分类,制定相应的风险防控策略。
然后,根据风险防控策略,实施信息安全控制措施,包括技术控制、管理控制和组织控制。
对控制措施的运行情况进行监控和评估,并根据评估结果进行持续改进。
最后,经过一段时间的实施和运行,组织或企业可以通过第三方认证机构进行认证,以获得对外证明其信息安全管理体系合规性的证书。
四、信息安全管理体系标准的好处和挑战信息安全管理体系标准的优势在于能够规范信息安全管理实施过程,提供具体的要求和指导,使得组织或企业能够系统地进行信息安全管理。
它还能够增加对信息安全威胁的认识,降低信息安全风险,并提升应对突发事件的能力。
国内外信息安全标准
国内外信息安全标准班级11062301学号1106840341姓名杨直霖信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性,先进性和符合性的技术规范和技术依据。
因此,世界各国越来越重视信息安全产品认证标准的制修订工作。
国外信息安全标准发展现状:CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准,用来评估信息系统和信息产品的安全性。
CC标准源于世界多个国家的信息安全准则规范,包括欧洲ITSEC、美国TCSEC(桔皮书)、加拿大CTCPEC以及美国的联邦准则(Federal Criteria)等,由6个国家(美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰)共同提出制定。
国际上,很多国家根据CC标准实施信息技术产品的安全性评估与认证。
1999年CCV2.1被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》,目前,最新版本ISO/IEC15408-2008采用了CCV3.1。
用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法,并且跟随CC标准版本的发展而更新。
CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。
CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。
国家信息安全标准体系
JTC1/SC27/WG2
0 WG2有17个项目,分别涉及:加密、实 体鉴别和密钥管理、不可否认和时间标签、 数字签名、消息鉴别码、散列函数、随机 数产生机制和素数产生机制、椭圆曲线加 密技术、生物参数相关机制。这些标准之 间的关系如图所示。
JTC1/SC27/WG2主要项目
JTC1/SC27/WG3
这里所说的一定范围从大到小是指国际(区域)、国家、 行业、地方和企业,因此在信息安全技术领域会有国际标 准体系,国家标准体系,行业标准体系,地方标准体系等,而 且通常高层次的标准体系对下有约束力
信息安全标准体系
由信息安全领域内具有内在联系的标准组 成的科学有机整体
信息安全标准体系
编制信息安全标准制、 修订计划的重要依据 , 是一幅现有、应有和预 计制定信息安全标准的 蓝图
GB/T 20278-2006信息安全技术 网络脆弱性扫描产品技术要求 GB/T 20279-2006信息安全技术 网络和终端设备隔离部件安全技术
要求 GB/T 20280-2006信息安全技术 网络脆弱性扫描产品测试评价方法 GB/T 20281-2006信息安全技术 防火墙技术要求和测试评价方法 GB/Z 20283-2006信息安全技术 保护轮廓和安全目标的产生指南
标准化是一门系统工程
(三)信息安全标准化 信息安全标准化是诸多标准化领域中一个新生的 标准化领域,它具备一般标准化领域的特征,同 时又有自身的特征,因为信息安全兼具社会科学、 自然科学以及其他许多相关学科的特征。这方面 在学术界还缺乏深入研究。
标准体系的基本概念
按照GB3935.1《标准基本术语第一部分》中定义, 标准体系就是“一定范围内标准按其内在联系形成的科学 的有机整体”
三、我国信息安全标准体系框架
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国内外主流信息安全标准体系
2011-03-22
网络与信息安全标准化工作是国家信息安全保障体系建设的重要组成。
网络与信息安全标准研究与制定为国家主管部门管理信息安全设备提供了有效的技术依据,这对于保证安全设备的正常运行,并在此基础上保证我国国民经济和社会管理等领域中网络信息系统的运行安全和信息安全具有非常重要的意义。
下面主要介绍当前网络与信息安全标准研究的现状。
网络信息安全标准组织简介
国际组织
国际上信息安全标准化工作兴起于20世纪70年代中期,80年代有了较快的发展,90年代引起了世界各国的普遍关注。
目前世界上有近300个国际和区域性组织制定标准或技术规则,与信息安全标准化有关的组织主要有以下4个:
ISO(国际标准化组织)。
ISO/IEC JTC1(信息技术标准化委员会)所属SC27(安全技术分委员会)的前身是SC20(数据加密技术分委员会),主要从事信息技术安全的一般方法和技术的标准化工作。
而ISO/TC68负责银行业务应用范围内有关信息安全标准的制定,主要制定行业应用标准,与SC27有着密切的联系。
ISO/IEC JTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面的内容;
IEC(国际电工委员会)。
IEC在信息安全标准化方面除了与ISO联合成立了JTC1下分委员会外,还在电信、电子系统、信息技术和电磁兼容等方面成立技术委员会(如TC56可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC108音频/视频、信息技术和通信技术电子设备的安全等),并且制定相关国际标准(如信息技术设备安全 IEC60950等);
ITU(国际电信联盟)。
ITU SG17组负责研究网络安全标准,包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务。
此外SG16和下一代网络核心组也在通信安全、H.323网络安全、下一代网络安全等标准方面进行研究;
IETF(Internet工程任务组)等。
IETF标准制定的具体工作由各个工作组承担。
Internet工程任务组分成8个工作组,分别负责 Internet路由、传输、应用等8个领域,其著名的IKE和IPSec都在RFC系列之中,还有电子邮件、网络认证和密码及其他安全协议标准。
国内组织
国内的安全标准组织主要有信息技术安全标准化技术委员会(CITS)以及中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会。
CITS成立于1984年,在国家标准化管理委员会和信息产业部的共同领导下负责全国信息技术领域以及与ISO/IEC JTC1相对应的标准化工作,目前下设24个分技术委员会和特别工作组,是国内最大的标准化技术委员会,也是具有广泛代表性、权威性和军民结合的信息安全标准化组织。
CITS主要负责信息安全的通用框架、方法、技术和机制的标准化及归口国内外对应的标准化工作,其中技术安全包括开放式安全体系结构、各种安全信息交换的语义规则、有关的应用程序接口和协议引用安全功能的接口等。
CCSA成立于2002年12月18日,是国内企事业单位自愿联合组织起来经业务主管部门批准的开展通信技术领域标准化活动的组织。
CCSA下设了有线网络信息安全、无线网络信息安全、安全管理和安全基础设施4个工作组负责研究:有线网络中电话网、互联网、传输网、接入网等在内所有电信网络相关的安全标准;无线网络中接入、核心网、业务等相关的安全标准以及安全管理工作组;安全基础设施工作组中网管安全以及安全基础设施相关的标准。
标准研究现状
上述国内外安全标准组织对于安全方面的研究各有侧重,主要是关注信息系统安全以及网络安全。
从对各组织的介绍可以看出,ITU以及CCSA研究工作侧重于通信网络。
CCSA TC8当前研究内容:
CCSA TC8分有线网络安全、无线网络安全、安全管理以及安全基础设施4个工作组展开研究。
下面简要说明4个工作组的研究现状。
WG1有线网络安全
有线网络安全工作组(WG1)自成立以来共召开了11次会议。
WG1在这些工作组会议中主要讨论了按项目进度安排的通信行业标准项目或研究课题项目。
无线网络安全工作组
无线网络安全工作组(WG2)共召开了4次工作组会议。
在这4次工作组会议中主要讨论了按项目进度安排的通信行业标准项目或研究课题项目,完成了《电信智能卡安全技术要求》送审稿。
此外,在第4次工作组会议期间还与WG1召开了一次联合会议,主要探讨移动网与固网融合后如何开展网络与信息安全标准工作,决定今后两个工作组首先在IMS安全方向加强合作。
安全管理工作组
安全管理工作组(WG3)召开了4次工作组会议,主要讨论完成了《信息安全服务资质评估准则》的征求意见稿,《网络安全运行管理技术平台(SOC)体系结构》、
《网络安全应急响应小组结构和服务定义指南》、《互联网网络安全事件描述与交换格式规范》三篇征求意见稿还需要再次征求意见。
此外,阳光绿色上网工程相关的技术标准和测试标准也由安全管理工作组讨论制定。
安全基础设施工作组
安全基础设施工作组相对不是很活跃,除了全会以外2005年以来一直没有组织活动。
标准体系小结
可以预见,网络与信息安全方面的标准将越来越受重视。
我国网络与信息安全的主要标准化组织CCSA相对而言比较年轻,研究工作才刚刚起步,在包括安全基础设施在内的很多方面还有待进一步开展研究。
从总体情况来看,我国网络与信息安全研究将呈现下列特点:
1.基于信息内容的过虑和管制技术将越来越受关注;
2.防范和治理垃圾信息将成为网络安全研究重要内容;
3.网络与信息安全研究重点将逐渐从设备层面向网络层面转移;
4.业务安全越来越成为运营商研究重点;
5.认证技术将研究和梳理,生物鉴别将成为重要内容;
6.网络建设将重视信任体系的建设;
7.互联网安全将进一步研究,其成果将适用于下一代网以及3G核心网;
8.网络上信息安全将划分责权,网络侧负责部分私密性(隔离)和完整性,机密
性和不可否认性由端到端保障;
9.安全管理中的安全风险评估将成为安全研究重要内容。