信息安全标准化组织

时间：2024-10-14 百科知识版权反馈

【摘要】：如ECMA的章程中所说的那样，这个非营利组织的目标是发展“标准和技术报告以便促进和标准化对信息处理和电信系统的使用过程”。他们协商与标准有关的活动，审议美国国家标准，并努力提高美国在国际标准化组织中的地位。美国国防部负责联邦政府涉密信息的处理，发布了许多关于信息安全和自动信息系统安全的指令、指示和标准。

7.1.2　信息安全标准化组织

1.国际信息安全标准化组织

（1）ISO

国际标准化组织（International Organization for Standardization）简称ISO，是一个全球化的非政府组织，是国际标准化领域中一个十分重要的组织。ISO是由国家标准化机构组成的世界范围的联合会，于1947年开始正式运行，现有140个成员国。中国既是发起国又是首批成员国。ISO的技术活动是制定并出版国际标准（International Standards）。ISO的工作涉及包括电工标准在内的各个技术领域的标准化活动。ISO现包括190个技术委员会（TC）、544个子委员会（SC）、2 188个工作组（WG）。

进入20世纪90年代后，ISO与国际电工委员会（IEC）和国际信联盟（ITU）加强合作，相互协调，三大组织联合形成了全世界标准化工作的核心。在信息技术方面ISO与IEC成立了第一联合技术委员会（ISO/IEC/JTC1），负责制定信息技术领域中的国际标准。该联合技术委员会是ISO、IEC中最大的技术委员会，其工作量几乎是ISO、IEC的三分之一，所发布的国际标准也占三分之一。其中同IT安全技术相关的子委员会为ISO/IEC JTC1/SC27。本章后面将要介绍的ISO 15408和ISO 27000系列皆是由该子委员会发布或制定的。

（2）IEC

国际电工委员会（International Electro technical Commission）简称IEC，于1906年成立，它是世界上成立最早的一个标准化国际机构。根据IEC的章程，IEC的任务覆盖了包括电子、电磁、电工、电气、电信、能源生产和分配等所有电工技术的标准化。此外在上述领域中的一些通用基础工作方面，IEC也制定相应的国际标准，如术语和图形符号、测量和性能、可靠性、设计开发、安全和环境等。IEC中与安全相关的组织包括“电子元件和设备可靠性”技术委员会（TC56）、“IT设备安全和功效”技术委员会（TC74）、“电磁兼容”技术委员会（TC77）和“无线电干扰特别委员会”（CISPR）。

（3）ITU

国际电信联盟（International Telecommunication Union）简称ITU，是联合国的一个专门机构，也是联合国机构中历史最长的一个国际组织，简称“国际电联”、“电联”或“ITU”，总部设在日内瓦。国际电信联盟的实质性工作由三大部门承担，它们是：国际电信联盟标准化部门（ITU－T）、国际电信联盟无线电通信部门和国际电信联盟电信发展部门。ITU制定的典型标准如消息处理系统（MHS）、目录系统、X.400系列、X.500系列、安全框架、安全模型、X.509标准。

（4）IETF

IETF是因特网工程任务组（Internet Engineering Task Force）的简写。IETF又称互联网工程任务组，成立于1985年年底，是全球互联网最具权威的技术标准化组织，主要任务是负责互联网相关技术规范的研发和制定，当前绝大多数国际互联网技术标准出自IETF。目前IETF已制定170多个RFC（Request For Comments，是一系列以编号排定的文件），收集了有关互联网的相关信息，以及UNIX和互联网社区的软件文件。其中与安全相关的包括域名服务系统安全、IP安全协议IPSec、一次性口令鉴别、公钥基础设施、安全Shell等。

（5）ECMA

欧洲计算机制造商协会（European Computer Manufacturers Association）简称ECMA，主要任务是研究信息和通信技术方面的标准并发布有关技术报告，总部位于日内瓦。ECMA并不是官方机构，而是由主流厂商组成的，他们经常与其他国际组织进行合作。如ECMA的章程中所说的那样，这个非营利组织的目标是发展“标准和技术报告以便促进和标准化对信息处理和电信系统的使用过程”。ECMA的“通信、网络和系统互连”技术委员会（TC32）曾定义了开放系统应用层安全结构，“IT安全”技术委员会（TC36）负责信息技术设备的安全标准，主要制定商用和政用信息技术产品和系统安全评估标准框架，以及在开放系统环境下逻辑安全设备的框架。

2.外国信息安全标准化组织

（1）美国ANSI

美国国家标准学会（American National Standards Institute）是由公司、政府和其他成员组成的自发组织，属非营利性质的民间标准化团体，但实际上已成为国家标准化中心。他们协商与标准有关的活动，审议美国国家标准，并努力提高美国在国际标准化组织中的地位。ANSI是IEC和ISO的成员之一。ANSI的X3、X9、X12等技术委员会制定了很多数据加密、银行业务安全和EDI安全方面的标准，这些标准中有的已成为国际标准。其中，ANSI NCITS（X3）技术委员会负责信息技术，其分技术委员会NCITS－T4负责制定IT安全技术标准，对口JCT1的SC27。

（2）美国NIST

美国国家标准技术研究院（National Institute of Standards and Technology，NIST）是属于美国商业部的技术管理部门，负责联邦政府非密敏感信息的处理。其工作以NIST出版物（FIPSPUB）和NIST特别出版物（SPECPUB）等形式发布，如“FIPS－197for Advanced Encryption Standard（AES）”和“NIST Special Publication 800”系列。

（3）美国DOD

美国国防部（Department of Defense，DOD）负责联邦政府涉密信息的处理，发布了许多关于信息安全和自动信息系统安全的指令、指示和标准（DODDI）。著名的“彩虹系列”标准（一组计算机安全标准）即由美国国防部制定，本章后面介绍的TCSEC标准就属于该系列标准之一，最初只是军用标准，后来延至民用领域。

（4）英国BSI

英国标准协会（Britain Standard Institute，BSI）成立于1901年，是世界上最早的全国性标准化机构，在国际上具有较高声誉的非官方机构，该协会不受政府控制但得到了政府的大力支持。BSI制定和修订英国标准，拥有100多年的专门技术经验和24 500多项标准，BSI与制造业、服务业、商业、政府、学术机构和消费者一起制定用以支持英国大中小企业所需的内部标准和正式标准，并制定欧洲标准和国际标准。著名的BS 7799标准就由该组织制定。

此外，加拿大、日本、韩国等发达国家也成立了自己的信息安全标准化组织，制定或转化了一些比较有影响力的标准。具体内容本书不再一一赘述。

3.我国信息安全标准化组织

（1）全国信息安全标准化技术委员会

中国从1984年开始就组建了数据加密技术委员会，并在1997年8月，将该委员会改组为全国信息技术标准化分技术委员会，主要负责制定信息技术的国家标准。2001年，国家标准化管理委员会批准成立全国信息安全标准化技术委员会，作为全国信息安全标准化工作顶层组织，简称“全国安标委”。标准委员会的标号是TC260。它的工作任务是向国家标准化管理委员会提出信息安全标准化工作的方针、政策建议和技术措施的建议。目前全国安标委包括七个工作组，组织架构如图7－1所示。