《信息安全概論》第9章 信息安全標(biāo)準(zhǔn)與法律法規(guī)

1、第九章 信息安全標(biāo)準(zhǔn)與法律法規(guī)第九章 信息安全標(biāo)準(zhǔn)與法律法規(guī)9.1 概述9.2 國(guó)際安全標(biāo)準(zhǔn)9.3 國(guó)內(nèi)安全標(biāo)準(zhǔn)9.4 重要的標(biāo)準(zhǔn)化組織9.5 信息安全法律法規(guī)9.1 概述為在一定范圍內(nèi)獲得最佳秩序，對(duì)活動(dòng)或其結(jié)果規(guī)定共同的和重復(fù)使用的規(guī)則、導(dǎo)則或特性的文件就是標(biāo)準(zhǔn)。標(biāo)準(zhǔn)應(yīng)以科學(xué)技術(shù)和經(jīng)驗(yàn)的綜合成果為基礎(chǔ)，以促進(jìn)最佳社會(huì)效益為目的。標(biāo)準(zhǔn)文件必須經(jīng)協(xié)商一致并由一個(gè)公認(rèn)的機(jī)構(gòu)批準(zhǔn)。信息技術(shù)安全方面的標(biāo)準(zhǔn)化，興起于20世紀(jì)70年代中期，80年代有了較快的發(fā)展，90年代引起了世界各國(guó)的普遍關(guān)注，特別是隨著信息數(shù)字化和網(wǎng)絡(luò)化的發(fā)展和應(yīng)用，信息技術(shù)的安全技術(shù)標(biāo)準(zhǔn)化變得更為重要。因此標(biāo)準(zhǔn)化的范圍在拓展，標(biāo)準(zhǔn)

2、化的進(jìn)程在加快，標(biāo)準(zhǔn)化的成果也在不斷的涌現(xiàn)。9.1 概述基礎(chǔ)標(biāo)準(zhǔn)是整個(gè)信息安全標(biāo)準(zhǔn)體系的基礎(chǔ)部分，并向其他的技術(shù)標(biāo)準(zhǔn)提供所需的服務(wù)支持?；A(chǔ)標(biāo)準(zhǔn)包括信息安全術(shù)語(yǔ)、信息安全體系結(jié)構(gòu)、信息安全框架、信息安全模型、安全技術(shù)等。物理安全標(biāo)準(zhǔn)針對(duì)物理環(huán)境和保障、安全產(chǎn)品、介質(zhì)安全等提出標(biāo)準(zhǔn)進(jìn)行規(guī)范。系統(tǒng)與網(wǎng)絡(luò)標(biāo)準(zhǔn)針對(duì)軟硬件應(yīng)用平臺(tái)、網(wǎng)絡(luò)、安全協(xié)議、安全信息交換語(yǔ)法規(guī)則、人機(jī)接口以及業(yè)務(wù)應(yīng)用平臺(tái)提出安全要求。應(yīng)用與工程標(biāo)準(zhǔn)則針對(duì)安全工程和服務(wù)、人員資質(zhì)、行業(yè)應(yīng)用進(jìn)行詳細(xì)規(guī)定。管理類(lèi)標(biāo)準(zhǔn)分為三大塊：管理基礎(chǔ)、系統(tǒng)管理和測(cè)評(píng)認(rèn)證。建立科學(xué)的信息安全標(biāo)準(zhǔn)體系，將眾多的信息安全標(biāo)準(zhǔn)在此體系下協(xié)調(diào)一致，才能充分發(fā)揮

3、信息安全標(biāo)準(zhǔn)系統(tǒng)的功能，獲得良好的系統(tǒng)效應(yīng)，取得預(yù)期的社會(huì)效益和經(jīng)濟(jì)效益。信息安全標(biāo)準(zhǔn)體系框架描述了信息安全標(biāo)準(zhǔn)整體組成，是整個(gè)信息安全標(biāo)準(zhǔn)化工作的指南。，在標(biāo)準(zhǔn)框架中，基礎(chǔ)標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn)是支持該框架的支柱，物理安全標(biāo)準(zhǔn)、系統(tǒng)與網(wǎng)絡(luò)標(biāo)準(zhǔn)和應(yīng)用工程標(biāo)準(zhǔn)也都是組成信息安全保證的重要依據(jù)。9.2 國(guó)際安全標(biāo)準(zhǔn)信息安全技術(shù)標(biāo)準(zhǔn)是信息安全產(chǎn)業(yè)的重要領(lǐng)域，一直受到國(guó)內(nèi)外的普遍關(guān)注，早在1977年，美國(guó)國(guó)家標(biāo)準(zhǔn)局就正式頒發(fā)了世界第一個(gè)數(shù)據(jù)加密標(biāo)準(zhǔn)（DES），隨著通信和計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，信息安全的標(biāo)準(zhǔn)化工作也取得了很大的進(jìn)展。BS7799CCSSE-CMM9.2 國(guó)際安全標(biāo)準(zhǔn)BS7799英國(guó)標(biāo)準(zhǔn)BS7799是

4、目前世界上應(yīng)用最廣泛的典型的信息安全管理標(biāo)準(zhǔn)，它是在BSI/DISC的BDD/2信息安全管理委員會(huì)指導(dǎo)下制定完成的。BS7799標(biāo)準(zhǔn)提供一個(gè)開(kāi)發(fā)組織安全標(biāo)準(zhǔn)、有效實(shí)施安全管理的公共基礎(chǔ)，還提供了組織間交易的可信度。該標(biāo)準(zhǔn)第一部分為組織管理者提供了信息安全管理的實(shí)施慣例，例如信息與軟件交換和處理的安全規(guī)定、設(shè)備的安全配置管理、安全區(qū)域進(jìn)出的控制等一些很容易理解的問(wèn)題。這恰巧符合信息安全的“七分管理，三分技術(shù)”的原則。這些管理規(guī)定一般的單位都可以制定，但要想達(dá)到BS7799的全面性則需要一番努力。在信息安全管理方面，BS7799的地位是其他標(biāo)準(zhǔn)無(wú)法取代的。總的說(shuō)來(lái)，BS7799涵蓋了安全管理所應(yīng)涉

5、及的方方面面，全面而不失可操作性，提供了一個(gè)可持續(xù)提高的信息安全管理環(huán)境。9.2 國(guó)際安全標(biāo)準(zhǔn)CC信息安全安全性評(píng)估的標(biāo)準(zhǔn)信息技術(shù)安全性評(píng)估通用準(zhǔn)則（CC：Common Criteria），通常簡(jiǎn)稱通用準(zhǔn)則，也即是國(guó)際標(biāo)準(zhǔn)ISO/IEC15408-99，該標(biāo)準(zhǔn)是評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)準(zhǔn)則。它是在TESEC、ITSEC、CTCPEC、FC等信息安全標(biāo)準(zhǔn)的基礎(chǔ)上綜合形成的，通過(guò)建立信息技術(shù)安全性評(píng)估的通用準(zhǔn)則庫(kù)，使得其評(píng)估結(jié)果能被更多的人理解、信任，并且讓各種獨(dú)立的安全評(píng)估結(jié)果具有可比性，從而達(dá)到互相認(rèn)可的目的。此標(biāo)準(zhǔn)是現(xiàn)階段最完善的信息技術(shù)安全性評(píng)估標(biāo)準(zhǔn)，我國(guó)也采用這一標(biāo)準(zhǔn)（GB/

6、T 18336）對(duì)產(chǎn)品、系統(tǒng)和系統(tǒng)方案進(jìn)行測(cè)試、評(píng)估和認(rèn)可。9.2 國(guó)際安全標(biāo)準(zhǔn)SSE-CMM系統(tǒng)安全工程能力成熟模型簡(jiǎn)寫(xiě)為SSE-CMM，是原英文Systems Security Engineering Capability Maturity Model的縮寫(xiě)。它是一個(gè)模型，正如開(kāi)放系統(tǒng)互連參考模型（OSI）一樣，但它指導(dǎo)著系統(tǒng)安全工程的完善和改進(jìn)，使系統(tǒng)安全工程成為一個(gè)清晰定義的、成熟的、可管理的、可控制的、有效的和可度量的科學(xué)。SSE-CMM描述了一個(gè)組織的安全工程過(guò)程務(wù)必包含的本質(zhì)特征，這些特征是完善安全工程的保證，也是安全工程實(shí)施的度量標(biāo)準(zhǔn)，還是一個(gè)易于理解的評(píng)估安全工程實(shí)施的框架。

7、SSE-CMM模型的開(kāi)發(fā)源于1993年5月美國(guó)國(guó)家安全局發(fā)起的研究工作。1995年1月，在第一次公共安全工程CMM討論會(huì)中，信息安全協(xié)會(huì)被邀請(qǐng)加入，超過(guò)60個(gè)組織的代表再次確認(rèn)需要這樣一種模型。因此，研討會(huì)期間成立了項(xiàng)目工作組，由此進(jìn)入了模型開(kāi)發(fā)階段。通過(guò)項(xiàng)目領(lǐng)導(dǎo)、應(yīng)用工作組全體的通力合作，于1996年10月完成了SSE-CMM模型的第一版，1997年5月完成了評(píng)價(jià)方法第一版。為檢驗(yàn)?zāi)Ｐ图霸u(píng)價(jià)方法的有效性，1996年6月到1997年6月進(jìn)行了試驗(yàn)工作。一些試驗(yàn)組織向SSE-CMM及其評(píng)價(jià)模型提供了有價(jià)值的信息。1997年8月，第二次公共安全工程CMM研討會(huì)舉行，以明確一些與模型應(yīng)用相關(guān)的問(wèn)題，

8、特別是關(guān)于：獲取領(lǐng)域、過(guò)程改善、及產(chǎn)品及系統(tǒng)的安全保證。由于研討會(huì)中明確了上述問(wèn)題，便成立了一個(gè)新的工作組以直接落實(shí)這些問(wèn)題，于1999年4月完成了SSE-CMM模型的第二版。9.3 國(guó)內(nèi)安全標(biāo)準(zhǔn)中華人民共和國(guó)標(biāo)準(zhǔn)化法將我國(guó)的標(biāo)準(zhǔn)分為國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)四級(jí)。我國(guó)的國(guó)家標(biāo)準(zhǔn)由國(guó)務(wù)院標(biāo)準(zhǔn)化行政主管部門(mén)制定；行業(yè)標(biāo)準(zhǔn)由國(guó)務(wù)院有關(guān)行政主管部門(mén)制定；地方標(biāo)準(zhǔn)由省、自治區(qū)和直轄市標(biāo)準(zhǔn)化行政主管部門(mén)制定；企業(yè)標(biāo)準(zhǔn)由企業(yè)自己制定。我們國(guó)家的信息安全從保密技術(shù)、難度、標(biāo)準(zhǔn)的特點(diǎn)出發(fā)，將信息安全保密標(biāo)準(zhǔn)分三級(jí)，第一級(jí)國(guó)家標(biāo)準(zhǔn)，第二級(jí)國(guó)家軍隊(duì)標(biāo)準(zhǔn)，第三級(jí)國(guó)家保密標(biāo)準(zhǔn)。在這三級(jí)標(biāo)準(zhǔn)中，國(guó)家保密標(biāo)準(zhǔn)

9、最高。其他標(biāo)準(zhǔn)還包括：公共安全行業(yè)標(biāo)準(zhǔn)（GA）。我國(guó)信息安全標(biāo)準(zhǔn)在相關(guān)標(biāo)準(zhǔn)化組織的有效領(lǐng)導(dǎo)下，取得了長(zhǎng)足的發(fā)展，頒布了多項(xiàng)標(biāo)準(zhǔn)，國(guó)家標(biāo)準(zhǔn)、軍隊(duì)標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)對(duì)信息安全領(lǐng)域均有涉及，大致從以下物理安全、密碼及安全算法、安全技術(shù)及安全機(jī)制、開(kāi)放系統(tǒng)互連、邊界保護(hù)、信息安全評(píng)估等幾方面規(guī)定了信息安全的不同技術(shù)要求，9.3 國(guó)內(nèi)安全標(biāo)準(zhǔn)物理安全相關(guān)國(guó)家標(biāo)準(zhǔn)：GB9254-1988信息技術(shù)設(shè)備的無(wú)線電干擾極限值和測(cè)量方法。GB9361-1988計(jì)算機(jī)場(chǎng)地安全要求。GB4943-1995信息技術(shù)設(shè)備（包括電氣事務(wù)設(shè)備）的安全。密碼及安全算法相關(guān)國(guó)家標(biāo)準(zhǔn)：GB/T15277-1994 信息處理 64bit分

10、組密碼算法的工作方法。GB/T15278-1994 信息處理 數(shù)據(jù)加密 物理層可互操作性要求。GB/T15851-1995 信息技術(shù) 安全技術(shù) 帶消息恢復(fù)的數(shù)字簽名方案。GB/T15852-1995 信息技術(shù) 安全技術(shù) 用塊密碼算法作密碼校驗(yàn)函數(shù)的數(shù)據(jù)完整性機(jī)制。GB/T185238.1-2000 信息技術(shù) 安全技術(shù) 散列函數(shù) 第1部分：概述。GB/T185238.2-200X 信息技術(shù) 安全技術(shù) 散列函數(shù) 第2部分：使用n-bit分組密碼算法的散列函數(shù)。GB/T185238.3-200X 信息技術(shù) 安全技術(shù) 散列函數(shù) 第3部分：專用散列函數(shù)。9.3 國(guó)內(nèi)安全標(biāo)準(zhǔn)安全技術(shù)及安全機(jī)制相關(guān)國(guó)家標(biāo)準(zhǔn)

11、：GB/T17903.1-1999 信息技術(shù) 安全技術(shù) 抗抵賴 第1部分：概述。GB/T17903.2-1999 信息技術(shù) 安全技術(shù) 抗抵賴 第2部分：使用對(duì)稱技術(shù)的機(jī)制。 GB/T17903.3-1999 信息技術(shù) 安全技術(shù) 抗抵賴 第3部分：使用非對(duì)稱技術(shù)的機(jī)制。GB/T15843.1-1999 信息技術(shù) 安全技術(shù) 實(shí)體鑒別 第1部分：概述。GB/T15843.2-1997 信息技術(shù) 安全技術(shù) 實(shí)體鑒別 第2部分：采用非對(duì)稱加密算法的機(jī)制。GB/T15843.3-1998 信息技術(shù) 安全技術(shù) 實(shí)體鑒別 第3部分：采用非對(duì)稱簽名技術(shù)的機(jī)制。GB/T15843.4-1999 信息技術(shù) 安全技術(shù)

12、 實(shí)體鑒別 第4部分：采用密碼校驗(yàn)函數(shù)的機(jī)制。9.3 國(guó)內(nèi)安全標(biāo)準(zhǔn)開(kāi)放系統(tǒng)互連相關(guān)國(guó)家標(biāo)準(zhǔn)：GB/T9387.2-1995 信息處理系統(tǒng) 開(kāi)放系統(tǒng)互連 基本參考模型 第2部分：安全體系結(jié)構(gòu)。GB/T17963-2000 信息技術(shù) 開(kāi)放系統(tǒng)互連 網(wǎng)絡(luò)層安全協(xié)議。GB/T17965-2000 信息技術(shù) 開(kāi)放系統(tǒng)互連 高層安全模型。GB/T17143.7-1997信息技術(shù) 開(kāi)放系統(tǒng)互連 系統(tǒng)管理 安全報(bào)警報(bào)告功能。GB/T17143.8-1997信息技術(shù) 開(kāi)放系統(tǒng)互連 系統(tǒng)管理 安全審計(jì)跟蹤功能。GB/T18231-2000 信息技術(shù) 開(kāi)放系統(tǒng)互連 低層安全模型。GB/T18237.1-2000 信

13、息技術(shù) 開(kāi)放系統(tǒng)互連 通用高層安全 第1部分：概述、模型和記法。GB/T18237.2-2000 信息技術(shù) 開(kāi)放系統(tǒng)互連 通用高層安全 第2部分：安全交換服務(wù)元素（SESE）服務(wù)定義。GB/T18237.3-2000 信息技術(shù) 開(kāi)放系統(tǒng)互連 通用高層安全 第3部分：安全交換服務(wù)元素（SESE）協(xié)議規(guī)范。9.4 重要的標(biāo)準(zhǔn)化組織為適應(yīng)信息技術(shù)的迅猛發(fā)展，國(guó)內(nèi)外成立了很多標(biāo)準(zhǔn)化組織，目前國(guó)際上有兩個(gè)重要的標(biāo)準(zhǔn)化組織，即國(guó)際標(biāo)準(zhǔn)化組織（ISO）和國(guó)際電工委員會(huì)（IEC）。ISO/IEC JTC1（第一聯(lián)合技術(shù)委員會(huì)）是制定信息技術(shù)領(lǐng)域國(guó)際標(biāo)準(zhǔn)的機(jī)構(gòu)，下轄19個(gè)分技術(shù)委員會(huì)（SC）和SGFS（功能標(biāo)準(zhǔn)

14、化專門(mén)組）等特別工作小組，還有四個(gè)管理機(jī)構(gòu)（一致性評(píng)定特別工作小組、信息技術(shù)任務(wù)組、注冊(cè)機(jī)構(gòu)特別工作組和業(yè)務(wù)分析與計(jì)劃特別小組）。SC27負(fù)責(zé)信息技術(shù)和安全技術(shù)。P成員（積極成員）29個(gè)，O成員（觀察成員）27個(gè)，內(nèi)部聯(lián)絡(luò)員14個(gè)，外部A類(lèi)聯(lián)絡(luò)員3個(gè)，外部B類(lèi)聯(lián)絡(luò)員18個(gè)。P成員有表決權(quán)并承擔(dān)指定任務(wù)，O成員沒(méi)有表決權(quán)，但有發(fā)表意見(jiàn)及參加會(huì)議和獲得某些文件的權(quán)利，中國(guó)是P成員之一。美國(guó)的信息技術(shù)標(biāo)準(zhǔn)主要由ANSI、NAST制定，其電子工業(yè)協(xié)會(huì)（EIA）和通信工業(yè)協(xié)會(huì)（TIA）也制定了部分信息技術(shù)標(biāo)準(zhǔn)。歐洲的ECMA主要在世界范圍內(nèi)制定與計(jì)算機(jī)及計(jì)算機(jī)應(yīng)用有關(guān)的標(biāo)準(zhǔn)。IETF主要制定與因特網(wǎng)相關(guān)

15、的標(biāo)準(zhǔn)。另外還有ITU、IEEE、EDTI和OMG等組織制定有關(guān)的信息技術(shù)標(biāo)準(zhǔn)。我國(guó)主要由中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)負(fù)責(zé)相關(guān)的標(biāo)準(zhǔn)制定工作。9.4 重要的標(biāo)準(zhǔn)化組織國(guó)際標(biāo)準(zhǔn)化組織ISO國(guó)際標(biāo)準(zhǔn)化組織(International Organization for Standardization)簡(jiǎn)稱ISO，是一個(gè)全球性的非政府組織，是國(guó)際標(biāo)準(zhǔn)化領(lǐng)域中一個(gè)十分重要的組織。ISO成立于1946年，當(dāng)時(shí)來(lái)自25個(gè)國(guó)家的代表在倫敦召開(kāi)會(huì)議，決定成立一個(gè)新的國(guó)際組織，以促進(jìn)國(guó)際間的合作和工業(yè)標(biāo)準(zhǔn)的統(tǒng)一。于是，ISO這一新組織于1947年2月23日正式成立，總部設(shè)在瑞士的日內(nèi)瓦。ISO于1951年發(fā)布了第一個(gè)標(biāo)準(zhǔn)工

16、業(yè)長(zhǎng)度測(cè)量用標(biāo)準(zhǔn)參考溫度。ISO的任務(wù)是促進(jìn)全球范圍內(nèi)的標(biāo)準(zhǔn)化及其有關(guān)活動(dòng)，以利于國(guó)際間產(chǎn)品與服務(wù)的交流，以及在知識(shí)、科學(xué)、技術(shù)和經(jīng)濟(jì)活動(dòng)中發(fā)展國(guó)際間的相互合作。ISO的組織機(jī)構(gòu)包括全體大會(huì)、主要官員、成員團(tuán)體、通信成員、捐助成員、政策發(fā)展委員會(huì)、理事會(huì)、ISO中央秘書(shū)處、特別咨詢組、技術(shù)管理局、標(biāo)樣委員會(huì)、技術(shù)咨詢組、技術(shù)委員會(huì)等。9.4 重要的標(biāo)準(zhǔn)化組織國(guó)際電工委員會(huì)IECIEC（International Electro technical Commission）成立于1906年，是世界上最早的非政府性國(guó)際性電工標(biāo)準(zhǔn)化機(jī)構(gòu)，總部設(shè)在日內(nèi)瓦，是聯(lián)合國(guó)經(jīng)社理事會(huì)（E-COSOC）的甲級(jí)咨詢組

17、織。IEC負(fù)責(zé)有關(guān)電工、電子領(lǐng)域的國(guó)際標(biāo)準(zhǔn)化工作，其他領(lǐng)域則由ISO負(fù)責(zé)。IEC的宗旨是促進(jìn)電工、電子領(lǐng)域中標(biāo)準(zhǔn)化及有關(guān)方面問(wèn)題的國(guó)際合作，增進(jìn)相互了解。IEC的工作領(lǐng)域包括了電力、電子、電信和原子能方面的電工技術(shù)。目前IEC成員國(guó)包括了大多數(shù)的工業(yè)發(fā)達(dá)國(guó)家及一部分發(fā)展中國(guó)家。這些國(guó)家擁有世界人口的80%，其生產(chǎn)和消耗的電能占全世界的95%，制造和使用電氣、電子產(chǎn)品占全世界產(chǎn)量的90%。IEC下設(shè)80多個(gè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)，已制定標(biāo)準(zhǔn)4000余項(xiàng)。在信息安全技術(shù)標(biāo)準(zhǔn)化方面，除了同ISO聯(lián)合建立的JTC1下屬幾個(gè)分委員會(huì)外，還在電磁兼容等方面成立了技術(shù)委員會(huì)，并制定了相關(guān)的國(guó)際標(biāo)準(zhǔn)，如信息技術(shù)設(shè)備

18、安全（IEC 60950）。9.4 重要的標(biāo)準(zhǔn)化組織國(guó)際電信聯(lián)盟ITUITU（International Telecommunication Union）是世界各國(guó)政府的電信主管部門(mén)之間協(xié)調(diào)電信事務(wù)方面的一個(gè)國(guó)際組織，于1865年5月17日成立于巴黎。ITU現(xiàn)有成員國(guó)189個(gè)，總部設(shè)在日內(nèi)瓦。ITU是聯(lián)合國(guó)負(fù)責(zé)電信事務(wù)的專門(mén)機(jī)構(gòu)，但在法律上不是聯(lián)合國(guó)附屬機(jī)構(gòu)。ITU的宗旨是：維持和擴(kuò)大國(guó)際合作，以改進(jìn)和合理地使用電信資源；促進(jìn)技術(shù)設(shè)施的發(fā)展及其有效運(yùn)用，以提高電信業(yè)務(wù)的效率，擴(kuò)大技術(shù)設(shè)施的用途，并盡量使公眾普遍利用；協(xié)調(diào)各國(guó)行動(dòng)，以達(dá)到上述目的。ITU的組織原有全權(quán)代表會(huì)、行政大會(huì)、行政理事會(huì)

19、和4個(gè)常設(shè)機(jī)構(gòu)，即總秘書(shū)處、國(guó)際電報(bào)電話咨詢委員會(huì)（CCITT）、國(guó)際無(wú)線電咨詢委員會(huì)（CCIR）和國(guó)際頻率登記委員會(huì)（IFRB）。1993年3月1日ITU第一次世界電信標(biāo)準(zhǔn)大會(huì)（WTSC-93）確立ITU的改革首先從機(jī)構(gòu)上進(jìn)行，對(duì)原有的3個(gè)機(jī)構(gòu)CCITT、CCIR和IFRB進(jìn)行了改組，取而代之的是電信標(biāo)準(zhǔn)化部門(mén)（TSS，即ITU-T）、無(wú)線電通信部門(mén)（RS，即ITU-R）和電信發(fā)展部門(mén)（TDS，即ITU-D）。電信標(biāo)準(zhǔn)化部門(mén)ITU-T由原來(lái)的CCITT和CCIR從事標(biāo)準(zhǔn)化工作的部門(mén)合并而成。其主要職責(zé)是完成國(guó)際電信聯(lián)盟有關(guān)電信標(biāo)準(zhǔn)方面的目標(biāo)，即研究電信技術(shù)、操作和資費(fèi)等問(wèn)題，出版件藝術(shù)，目的

20、是在世界范圍內(nèi)實(shí)現(xiàn)電信標(biāo)準(zhǔn)化，包括在公共電信網(wǎng)上無(wú)線電系統(tǒng)互聯(lián)和為實(shí)現(xiàn)互聯(lián)所應(yīng)具備的性能。9.4 重要的標(biāo)準(zhǔn)化組織因特網(wǎng)工程任務(wù)組IETFIETF(Internet Engineering Task Force)主要提出Internet標(biāo)準(zhǔn)草案和成為RFC（征求意見(jiàn)稿）的協(xié)議文稿，也包括安全方面的建議稿，內(nèi)容比較廣泛，經(jīng)過(guò)網(wǎng)上討論修改，被大家接受的就成了事實(shí)上的標(biāo)準(zhǔn)。目前有關(guān)安全方面的RFC有170多個(gè)，例如：RFC1352（SNMP安全協(xié)議）、RFC1421-1424（因特網(wǎng)電子郵件保密增強(qiáng)協(xié)議）和RFC1825（因特網(wǎng)協(xié)議安全體系結(jié)構(gòu)）等。有關(guān)信息安全的工作組有PGP開(kāi)發(fā)規(guī)范（OpenPG

21、P）、鑒別防火墻遍歷（AFT）、通過(guò)鑒別技術(shù)（CAT）、域名服務(wù)系統(tǒng)安全（Dnssec）、IP安全協(xié)議（IPSec）、一次性口令鑒別（Otp）、X.509公鑰基礎(chǔ)設(shè)施（PKI）、S/MIME郵件安全、安全Shell（Secsh）、簡(jiǎn)單公鑰基礎(chǔ)設(shè)施（SPKI）、傳輸層安全（TLS）和Web處理安全（WTS）等12個(gè)。9.4 重要的標(biāo)準(zhǔn)化組織中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA，China Communications Standards Association），該協(xié)會(huì)是國(guó)內(nèi)企業(yè)、事業(yè)單位自愿聯(lián)合起來(lái)，經(jīng)業(yè)務(wù)主管部門(mén)批準(zhǔn)，國(guó)家社團(tuán)登記管理機(jī)關(guān)登記，開(kāi)展通信技術(shù)標(biāo)準(zhǔn)化活動(dòng)的非營(yíng)利性法人社

22、會(huì)團(tuán)體。中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)（SCA，Standardization Administration of the Peoples Republic of China），SAC是國(guó)務(wù)院授權(quán)履行行政管理職能，統(tǒng)一管理全國(guó)標(biāo)準(zhǔn)化工作的主攻機(jī)構(gòu)。9.5 信息安全法律法規(guī)我國(guó)歷來(lái)重視信息安全法律法規(guī)的建設(shè)，經(jīng)過(guò)多年的探索和實(shí)踐，我國(guó)已經(jīng)制定和頒布了涉及信息系統(tǒng)安全、信息內(nèi)容安全、信息產(chǎn)品安全、網(wǎng)絡(luò)犯罪、密碼管理等方面的多項(xiàng)法律法規(guī)，構(gòu)建了較為完善的信息安全法律框架。從發(fā)展過(guò)程來(lái)看，我國(guó)的信息安全法律法規(guī)建設(shè)是一個(gè)與一些關(guān)鍵信息安全技術(shù)和事件密切相關(guān)的動(dòng)態(tài)發(fā)展過(guò)程。1994年，

23、國(guó)務(wù)院頒布了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例，在該條例中首次使用了“信息系統(tǒng)安全”的表述，以該條例為起點(diǎn)，中國(guó)開(kāi)始了信息安全領(lǐng)域的立法進(jìn)程。2002年12月28日，第九屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十九次會(huì)議通過(guò)了全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定，該決定規(guī)定禁止利用互聯(lián)網(wǎng)實(shí)施危害互聯(lián)網(wǎng)安全運(yùn)行、危害國(guó)家安全和社會(huì)穩(wěn)定、危害社會(huì)主義市場(chǎng)經(jīng)濟(jì)秩序和社會(huì)管理秩序、危害個(gè)人、法人和其他組織的人身、財(cái)產(chǎn)等合法權(quán)益，開(kāi)啟了我國(guó)在信息安全領(lǐng)域?qū)嵤┓ㄖ位男录o(jì)元。9.5 信息安全法律法規(guī)2003年7月22日，國(guó)家信息化領(lǐng)導(dǎo)小組第三次會(huì)議通過(guò)了國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中辦發(fā)

24、200327號(hào)），簡(jiǎn)稱27號(hào)文，意見(jiàn)明確要求加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)，抓緊研究起草信息安全法，建立和完善信息安全法律法規(guī)和制度，明確社會(huì)各方面保障信息安全的責(zé)任和義務(wù)。以此為標(biāo)志，我國(guó)的信息安全立法工作進(jìn)入了全面發(fā)展的階段。2012年12月28日，全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議通過(guò)了全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定，該決定的內(nèi)容全面涵蓋了個(gè)人網(wǎng)絡(luò)電子信息保護(hù)、垃圾電子信息治理、網(wǎng)絡(luò)和手機(jī)用戶身份管理、網(wǎng)絡(luò)服務(wù)提供商對(duì)國(guó)家有關(guān)主管部門(mén)的協(xié)助執(zhí)法等重要制度。其核心內(nèi)容和立法宗旨是建立公民個(gè)人電子信息保護(hù)制度，將公民信息權(quán)利保護(hù)，特別是信息安全的保護(hù)，提升到了十分顯著的位置，這是我國(guó)信息安全立法的重大突破，填補(bǔ)了長(zhǎng)久以來(lái)我國(guó)在個(gè)人信息保護(hù)方面的立法缺位，反映了我國(guó)信息安全立法開(kāi)始加強(qiáng)對(duì)個(gè)人信息安全的關(guān)注。9.5 信息安全法律法規(guī)我國(guó)信息安全法制建設(shè)的基本原則