信息安全標準介紹

信息安全相關(guān)標準介紹

內(nèi)容提綱一、標準和標準化概述二、信息安全標準化組織三、信息安全標準體系研究四、重要信息安全標準介紹

六、存在問題分析五、研究熱點追蹤一、標準和標準化

概述信息安全標準是確保信息安全的產(chǎn)品和系統(tǒng)在設(shè)計、研發(fā)、生產(chǎn)、建設(shè)、使用、測評中解決其一致性、可靠性、可控性、先進性和符合性的技術(shù)規(guī)范、技術(shù)依據(jù)；統(tǒng)一標準是信息系統(tǒng)互聯(lián)、互通、互操作的前提；信息安全標準是我國信息安全保障體系的重要組成部分，是政府進行宏觀管理的重要手段；從國家意義上來說，信息安全標準關(guān)系到國家的安全及經(jīng)濟利益，標準往往成為保護國家利益、促進產(chǎn)業(yè)發(fā)展的一種重要手段。

信息安全標準化的作用一、標準和標準化概念標準化的基本原理

我國標準化工作者根據(jù)自己的實踐，用自己的語言，總結(jié)了“簡化”、“統(tǒng)一”、“協(xié)調(diào)”、“選優(yōu)”的八字原理，成為我國標準化界的一種共識。1、簡化具有同種功能的標準化對象，當其多樣性的發(fā)展規(guī)模超出必要的范圍時，即應消除其中多余的、可替換的和低功能的環(huán)節(jié)，保持其構(gòu)成的精練合理，使總體功能最佳。2、統(tǒng)一在一定時期，一定條件下，對標準化對象的形式、功能或其它技術(shù)特性所確立的一致性，應與被取代的事物功能等效。3、協(xié)調(diào)在標準系統(tǒng)中，只有當各個標準（子系統(tǒng)）之間的功能彼此協(xié)調(diào)時，才能實現(xiàn)整體系統(tǒng)的功能最佳。4、選優(yōu)按照特定的目標，在一定的限定條件下，對標準系統(tǒng)的構(gòu)成因素及其關(guān)系進行選擇、設(shè)計或調(diào)整，使之達到最理想效果。一、標準和標準化概念

國際標準在區(qū)域標準或國家標準中的采用，以相應國際標準為基礎(chǔ)發(fā)布區(qū)域或國家標準性文件，或認可該國際標準具有與國家標準性文件相同的地位，同時標明與相應國際標準的差異。根據(jù)采用的程度可分為：等同采用、非等效采用和修改采用。1、等同采用：符合下述條件時，區(qū)域標準或國家標準與相應國際標準等同：（1）區(qū)域標準或國家標準在技術(shù)內(nèi)容，標準結(jié)構(gòu)或措詞方面相同（或者等同翻譯）或（2）區(qū)域標準或國家標準盡管有微小編輯修改，但在技術(shù)內(nèi)容方面等同。2、修改采用（MOD）：區(qū)域標準或國家標準對相應國際標準按下述條件進行修改。區(qū)域標準或國家標準與相應國際標準之間允許存在技術(shù)性差異，但是要清楚地標識并說明這些差異。區(qū)域標準或國家標準反應相應國際標準的結(jié)構(gòu)。只有修改后兩個標準的內(nèi)容和結(jié)構(gòu)還可以進行比較，才允許對標準的結(jié)構(gòu)進行修改。3、非等效采用：區(qū)域標準或國家標準與相應的國際標準在技術(shù)內(nèi)容和文本結(jié)構(gòu)上不同，同時它們之間的差異也沒有清楚地標識。”非等效”還包括在區(qū)域標準或國家標準中只保留有少量或不重要的國際標準條款的情況。”非等效”不屬于采用國際標準。國際標準的采用一、標準和標準化概念二、信息安全標準化組織介紹2.1國際信息安全標準化組織

ISO/IECJTC1SC27

早在1977年，世界上就出現(xiàn)了第一個數(shù)據(jù)加密標準，這是國外乃至國際上信息安全標準化工作的開端。隨著通信和計算機網(wǎng)絡(luò)的發(fā)展，國際上信息安全標準化工作也于80年代有了較快的發(fā)展，在90年代已經(jīng)引起了世界各國的普遍關(guān)注。目前世界上與信息安全標準化有關(guān)的主要組織有：國際標準化組織（ISO）、國際電工委員會（IEC）、國際電信聯(lián)盟（ITU）、互聯(lián)網(wǎng)工程任務(wù)組（IETF）等。工作組介紹ISO（國際標準化組織）和IEC（國際電工委員會）是世界上專門的標準化組織。在信息技術(shù)領(lǐng)域，ISO和IEC成立了一個聯(lián)合技術(shù)委員會JTC1。SC27是JTC1中專門從事信息安全通用方法及技術(shù)標準化工作的分技術(shù)委員會。SC27IT安全技術(shù)分委員會成立于1990年4月，2006年5月SC27工作組調(diào)整后，SC27下設(shè)五個工作組，各工作組信息如表2.1所示，各工作組關(guān)系如圖2.1所示。2.1國際信息安全標準化組織制定標準情況

截止到2007年底，該分技術(shù)委員會已制定和正在研制的國際標準有120多項，這些標準主要涉及密碼算法、散列函數(shù)、數(shù)字簽名、實體鑒別、安全評估、安全管理等領(lǐng)域，近幾年頒布的比較有影響力的標準有：ISO/IEC15408（IT安全性評估準則，包含3個部分）、ISO/IEC15443（IT安全保障框架，包含3個部分）、ISO/IEC218279（系統(tǒng)安全工程能力成熟模型）和ISO/IEC27000系列（信息安全管理系統(tǒng)，已完成7個部分，計劃包含20多個子標準）。

聯(lián)絡(luò)關(guān)系介紹

隨著邊緣技術(shù)的出現(xiàn)，以及JTC1內(nèi)其他分技術(shù)委員會職責范圍的交叉，SC27啟動了聯(lián)合工作機制，與許多組織進行了成功的合作。例如：ISO/IECJTC1內(nèi)有SC6，SC17，SC18，SC21，SC22和SC30；ISO內(nèi)包括TC68和TC215；外部組織包括CCIMB、ETSI、ITU-T和ISSEA。和SC27存在聯(lián)絡(luò)關(guān)系的相關(guān)標準化機構(gòu)或協(xié)會及聯(lián)絡(luò)類型如下：2.1國際信息安全標準化組織SC27成員組成情況

SC27成員包括積極參加成員（P成員）和觀察員（O成員）兩種。P成員可參與TC、SC的技術(shù)工作，而O成員則只能獲取信息。每個TC或SC均從P成員中任命一個成員主持秘書處并領(lǐng)導該委員會或分委員會。P成員：31個包括：巴西、西班牙、法國、美國、印度、英國、捷克共和國、德國、丹麥、馬來西亞、烏克蘭、俄羅斯聯(lián)邦、比利時、日本、韓國、肯尼亞、荷蘭、奧地利、波蘭、南非、中國、澳大利亞、加拿大、盧森堡、芬蘭、瑞典、挪威、瑞士、新西蘭、新加坡、意大利。O成員：11個包括：羅馬尼亞、印度尼西亞、愛沙尼亞、阿根廷、塞爾維亞、立陶宛、匈牙利、愛爾蘭、以色列、斯洛伐克、土耳其。

2.1國國際信信息安全全標準化化組織國際電工工委員會會（InternationalElectrotechnicalCommission）成成立于1906年年，是世世界上成成立最早早的非政政府性國國際電工工標準化化機構(gòu)，，是聯(lián)合合國經(jīng)社理事事會（ECOSOC））的甲級級咨詢組組織。1947年ISO成立立后，IEC曾曾作為電電工部門并入入ISO，但在在技術(shù)上上、財務(wù)務(wù)上仍保保持其獨獨立性。。根據(jù)1976年ISO與IEC的新協(xié)議議，兩組組織都是是法律上上獨立的的組織，，IEC負責有有關(guān)電工工、電子子領(lǐng)域的的國際標準準化工作作，其他他領(lǐng)域則則由ISO負責責。IEC除除與ISO聯(lián)合合成立了了JTC1外，，還在電電信、電電子系統(tǒng)統(tǒng)、信息息技術(shù)和和電磁兼容等方方面成立立技術(shù)委委員會負負責安全全標準研研制，如如TC56（可可靠性））、TC74（IT設(shè)設(shè)備安全全和功效效）、TC77（電磁磁兼容））、TC108（音頻頻/視頻頻）、信信息技術(shù)和通信信技術(shù)電電子設(shè)備備的安全全等，并并制定相相關(guān)國際際標準，，如信息息技術(shù)設(shè)設(shè)備安全（IEC60950）等等。國際電工委員會（IEC）

2.1國國際信信息安全全標準化化組織國際電信聯(lián)盟（ITU）國際電信信聯(lián)盟電電信標準準局ITU-T所屬的的第17研究組組SG17，主主要負責責研究通信系統(tǒng)統(tǒng)安全標標準。2001年底，，SG7、SG10和和SG17合并并形成了了新的SG17。在2001至2004年年這一研研究期中中，SG17下下設(shè)了Question10項目組組來專門門從事信信息安全標準準研究。。在此研研究期內(nèi)內(nèi)，Q10組主主要集中中于定義義通信系系統(tǒng)相關(guān)關(guān)的整個個安全框架架，項目目組活動動涉及到到協(xié)調(diào)、、配合并并推動其其他通信信系統(tǒng)安安全相關(guān)關(guān)的規(guī)范制定。。根據(jù)2004年年3月SG17組會議議安排，，在下一一個研究究期，SG17將把Q10改改組成以下六個個課題組組：Q.G-安安全項目目、Q.H-安安全結(jié)結(jié)構(gòu)和框框架、Q.I-計算機機網(wǎng)絡(luò)安全、Q.J-安全管管理、Q.K-基于于生物特特征的身身份認證證、Q.L-安全通通信服務(wù)。ITU-T單獨或或與ISO聯(lián)合合開發(fā)了了消息處處理系統(tǒng)統(tǒng)（MHS）、、目錄系系統(tǒng)（X.400系列、X.500系列列）和安安全框架架、安全全模型等等方面的的信息安安全標準準，其中中的X.509標準準是開展展電子商商務(wù)認證證的重要要基礎(chǔ)標標準。截止2009年年3月，，ITU-T正正式發(fā)布布的信息息安全標標準達100多多個。2.1國國際信信息安全全標準化化組織互聯(lián)網(wǎng)工程任務(wù)組（IETF）IETF主要關(guān)關(guān)注與互互聯(lián)網(wǎng)有有關(guān)的網(wǎng)網(wǎng)絡(luò)與信信息安全全問題，，其請求求注解（（RFC）是業(yè)界公公認的事事實標準準。IETF一一直設(shè)有有專門的的安全研研究領(lǐng)域域，負責責研究網(wǎng)網(wǎng)絡(luò)授權(quán)、認認證、審審計等與與安全保保護有關(guān)關(guān)的協(xié)議議和標準準。目前，IETF有關(guān)信信息安全全的工作作組有：：BTNS（有有點安全全總比沒沒有強））、DKIM（域密密鑰標識識郵件））、EMU（EAP方方法改進進）、HOKEY（切切換鍵控控）、ISMS（關(guān)于SNMP的整套套安全模模型）、、KEYPROV（對對稱密鑰鑰的準備備）、KITTEN（（下一代GSS-API））、KRB-WG（kerbero工作組組）、LTANS（長長期歸檔檔和公證證服務(wù)）、MSEC（組播播安全））、NEA（網(wǎng)網(wǎng)絡(luò)端點點評價））、OPENPGP（（關(guān)于PGP的的開放式規(guī)范范）、PKIX（基于于X.509的的公鑰基基礎(chǔ)設(shè)施施）、SASL（簡單單鑒別和和安全分分層）、SMIME（S/MIME郵郵件安安全）、、SYSLOG（在網(wǎng)網(wǎng)絡(luò)事件件記錄方方面的安安全課題）、TLS（（傳送層層安全））等17個。截止到2006年底，，有關(guān)安安全方面面的RFC有270多多個。這這些工業(yè)業(yè)標準對對提高和改善互互聯(lián)網(wǎng)的的安全性性起到了了至關(guān)重重要的作作用，如如PKI、IPSec、TLS、PGP等等方面的RFC成成為了指指導互聯(lián)聯(lián)網(wǎng)安全全的重要要文件。。當前IETF主主要關(guān)注注垃圾郵郵件處理理、無線線網(wǎng)絡(luò)安安全、組組播安全全、安全全審計、安全全認證、、PKI、TLS等等方面的的問題。。2.2美美國信信息安全全標準化化組織美國國家標準化協(xié)會（ANSI）ANSI于20世紀80年代代初開始始數(shù)據(jù)加加密標準準化工作作，共制制定了3項美國國國家標準。。ANSI中技技術(shù)委員員會NCITS（即X3）負負責信息息技術(shù)，，承擔著著JTC1秘書書處的工作作，其中中，分技技術(shù)委員員會T4專門負負責IT安全技技術(shù)標準準化工作作，對口口JTC1的SC27。。ANSI負責金金融安全全的X3（NCITS）、X9（負負責制定定金融業(yè)業(yè)務(wù)標準準）、X12（負責制制定商業(yè)業(yè)交易標標準）等等組織制制定了很很多有關(guān)關(guān)數(shù)據(jù)加加密、銀銀行業(yè)務(wù)務(wù)安全和EDI安全等等方面的的標準。。這些標標準中，，許多經(jīng)經(jīng)國際標標準化組組織反復復討論后后成為國際際標準。。已制定定金融交交易卡、、密碼服服務(wù)消息息，以及及實現(xiàn)商商業(yè)交易易安全等方面的的安全標標準10多個。。美國國家標準技術(shù)研究所（NIST）NIST主要負負責制定定聯(lián)邦計計算機系系統(tǒng)標準準和指導導文件，，所出版版的標準準和規(guī)范被稱作作聯(lián)邦信信息處理理標準（（FIPS）。。FIPS安全全標準也也是美國國軍用信信息安全全標準的重重要來源源。2.2美美國信信息安全全標準化化組織FIPS由NIST在在廣泛搜搜集政府府各部門門及私人人部門的的意見的的基礎(chǔ)上上寫成。。正式發(fā)布之之前，將將FIPS分送送給每個個政府機機構(gòu)，并并在”聯(lián)聯(lián)邦注冊冊”上刊刊印出版版。經(jīng)再次征求求意見之之后，NIST局長把把標準連連同NIST的的建議一一起呈送送美國商商業(yè)部，，由商務(wù)部部長簽字字劃押同同意或反反對這個個標準。。FIPS安全全標準的的一個著著名實例例就是數(shù)據(jù)加加密標準準（DES）。。從二十世世紀70年代公公布的數(shù)數(shù)據(jù)加密密標準（（DES）開始始，NIST制制定了一一系列有關(guān)信信息安全全方面的的聯(lián)邦信信息處理理標準（（FIPS），，美國國國家標準準技術(shù)研研究院（NIST））制定了了大量與與信息安安全有關(guān)關(guān)的非密密敏感標標準，截截止到2006年底已已制定了30多項項信息安安全相關(guān)關(guān)的聯(lián)邦邦信息處處理標準準（FIPS））和近120項項信息安安全相關(guān)的的專題出出版物（（SP800系列和和SP500系列）），這些些標準和和指南涉涉及密碼算法、、密碼模模塊評測測、信息息系統(tǒng)評評測、信信息系統(tǒng)統(tǒng)管理等等多個方方面，最最常用的FIPS安全全標準有有DES、AES等。。美國國家標準技術(shù)研究所（NIST）2.2美美國信信息安全全標準化化組織美國電氣電工工程師協(xié)會（IEEE）IEEE在網(wǎng)絡(luò)絡(luò)與信息息安全標標準化方方面的貢貢獻主要要包含兩兩個方面面：一是是電氣和電磁安安全，如如IEEEC2《國國家電氣氣安全規(guī)規(guī)程》等等；另一一方面是是信息安安全，提出了LAN/WAN安全（（IEEE802.10））、WLAN安全（（IEEE802.11i）和公鑰鑰密碼（P1363）等等方面的標標準。從1990年IEEE成立802.11“無線線局域網(wǎng)工工作組”以以來，相繼繼成立的802.15“無線個人人網(wǎng)絡(luò)工作作組”、802.16“無無線寬帶網(wǎng)網(wǎng)絡(luò)工作組組”和802.20“移動寬寬帶無線接入工工作組”等等在無線通通信安全方方面也作了了大量的貢貢獻，如正正在研制的的IEEE802.11i。。目前，IEEE主要要關(guān)注WLAN安全全、WiMAX安全全、汽車電電子安全等等。除上述主要要的國際和和地區(qū)性標標準化組織織外，3GPP、3GPP2、OMA（開放移移動聯(lián)盟）、、OASIS（結(jié)構(gòu)構(gòu)化信息標標準促進組組織）、ATIS（（電信工業(yè)業(yè)解決方案案聯(lián)盟）、ECMA（（歐洲計算算機制造商商協(xié)會）等等專業(yè)性標標準組織以以及英德等等國也制定了一些些安全標準準。2.3國國外其它信信息安全標標準化組織織OMA在網(wǎng)絡(luò)與信息安全標準化方面，主要側(cè)重于數(shù)據(jù)業(yè)務(wù)。在OMA設(shè)有專門的技術(shù)委員會負責安全標準研究，即TCsecurity，目前主要關(guān)注無線公鑰基礎(chǔ)設(shè)施（WPKI）、在線證書狀態(tài)協(xié)議（OCSP）、應用層安全、智能卡Web服務(wù)、移動在線認證以及在線密鑰生成等方面的研究。在OMA除TCsecurity外，還設(shè)有專門的技術(shù)委員會負責數(shù)字版權(quán)管理方面的研究。ATIS也設(shè)有一個技術(shù)工作委員會（IDSC），專門負責信息安全和數(shù)據(jù)安全方面的標準研究，主要在身份鑒別、數(shù)據(jù)保護、風險管理等方面，并出版了相應的報告。

主要制定計算機及其相關(guān)應用的標準和技術(shù)報告，經(jīng)常向ISO提交標準提案。JTC1的歐洲秘書處就設(shè)在ECMA。它有11個技術(shù)委員會，其中TC32——“通信、網(wǎng)絡(luò)和系統(tǒng)互連”曾定義了開放系統(tǒng)應用層安全結(jié)構(gòu)；TC36——“IT安全”負責信息技術(shù)設(shè)備的安全標準，目前主要制定商用和政府用信息技術(shù)產(chǎn)品和系統(tǒng)安全性評估標準化框架，以及在開放系統(tǒng)環(huán)境下邏輯安全設(shè)備的框架。是歐洲地區(qū)性標準化組織，已頒布120多個網(wǎng)絡(luò)與信息安全標準。其下屬技術(shù)委員會SAFETY（安全），主要研究電氣安全方面的標準；技術(shù)委員會ESI（電子簽名和基礎(chǔ)設(shè)施）主要研究電子簽名和PKI方面的標準；技術(shù)委員會LI（合法監(jiān)聽）主要研究合法監(jiān)聽方面的標準；特設(shè)組SAGE（安全算法專家組）負責研究密碼算法方面的標準，如GSM鑒權(quán)算法A3/A5算法。目前，ETSI主要關(guān)注電子簽名、合法監(jiān)聽、移動通信安全、NGN安全、安全算法和智能卡安全等。

主要制定計算機及其相關(guān)應用的標準和技術(shù)報告，經(jīng)常向ISO提交標準提案。JTC1的歐洲秘書處就設(shè)在ECMA。它有11個技術(shù)委員會，其中TC32——“通信、網(wǎng)絡(luò)和系統(tǒng)互連”曾定義了開放系統(tǒng)應用層安全結(jié)構(gòu)；TC36——“IT安全”負責信息技術(shù)設(shè)備的安全標準，目前主要制定商用和政府用信息技術(shù)產(chǎn)品和系統(tǒng)安全性評估標準化框架，以及在開放系統(tǒng)環(huán)境下邏輯安全設(shè)備的框架。3GPP在其業(yè)務(wù)和系統(tǒng)技術(shù)規(guī)范組下專門設(shè)置有工作組即WG3負責安全標準研究，3GPP2也在TSG-S業(yè)務(wù)和系統(tǒng)下設(shè)工作組WG4負責安全標準研究。此兩標準組織所研究的安全標準主要是與第三代移動通信有關(guān)，主要涉及算法、安全架構(gòu)（如IMS安全架構(gòu)等）等。1.歐洲計算機生產(chǎn)商協(xié)會（ECMA）

2.歐洲電信標準協(xié)會（ETSI）

3.3GPP

4.開放移動聯(lián)盟（OMA）

6.結(jié)構(gòu)化信息標準促進組織（OASIS）

5.電信工業(yè)解決方案聯(lián)盟（ATIS）

其它信息安全標準化組織此外，英國標準學會（BSI）所制定的BS7799系列標準和德國的IT基線保護手冊也是國際上比較有影響力的安全標準。2.4我我國信息安安全標準化化組織全國信息安全標準化技術(shù)委員會（TC260）全國信息安安全標準化化技術(shù)委員員會（TC260））成立于2002年年4月15日。它是是ISO/IECJTC1SC27的國內(nèi)對對口組織。。信安標委委主要負責責全國信息息安全技術(shù)術(shù)、安全機制、、安全服務(wù)務(wù)、安全管管理和安全全評估等領(lǐng)領(lǐng)域的標準準化工作，，負責統(tǒng)一一協(xié)調(diào)信息安安全國家標標準年度計計劃項目的的申報，并并組織國家家標準的送送審和報批批工作，是我我國網(wǎng)絡(luò)與與信息安全全國家標準準的牽頭組組織。組織結(jié)構(gòu)信安標委的的標準研究究工作采用用工作組的的方式進行行，其組織織結(jié)構(gòu)如圖圖所示。2.4我我國信息安安全標準化化組織工作組情況況委員會以開開放式的工工作組為主主體開展信信息安全標標準的研究究制定工作作。由于工作組組是根據(jù)信信息安全標標準體系結(jié)結(jié)構(gòu)進行設(shè)設(shè)立的，這這保證了各各工作組任務(wù)的明確確性和相互互間的協(xié)調(diào)調(diào)性。WG1：信息安全標標準體系與與協(xié)調(diào)工作作組任務(wù)：研究究信息安全全標準體系系；跟蹤國國際信息安安全標準發(fā)發(fā)展動態(tài)；；研究、分分析國內(nèi)信信息安全標標準的應用用需求；研研究并提出出新工作項項目及設(shè)立立新工作組組的建議；；協(xié)調(diào)各工工作組項目目。負責標標準體系研研究和標準準化協(xié)調(diào)。。組長：中國國電子技術(shù)術(shù)標準化研研究所林寧寧工作組聯(lián)絡(luò)絡(luò)處：中國國電子技術(shù)術(shù)標準化研研究所WG1開展展的研究項項目：①信息安全標標準體系的的研究②電子政務(wù)標標準化指南南—第六部部分：信息息安全③信息安全標標準術(shù)語2.4我我國信息安安全標準化化組織WG2：涉涉密信息系系統(tǒng)標準工工作組任務(wù)：負責涉密信信息系統(tǒng)標標準研究組長：組長單位為為國家保密密局WG1開展展的研究項項目：①涉密信息息消除和介介質(zhì)銷毀②信息安全全保密產(chǎn)品品技術(shù)要求求和測試方方法③涉密信息息系統(tǒng)技術(shù)術(shù)要求和測測評④涉密信息息系統(tǒng)管理理WG3：密碼標準工工作組任務(wù)：負責責密碼相關(guān)關(guān)國家標準準研究組長：組長長單位為國國家密碼管管理局正開展的研研究項目：：①分組算法法應用接口口規(guī)范②證書認證證系統(tǒng)密碼碼及相關(guān)安安全技術(shù)規(guī)規(guī)范③PCI密密碼卡技術(shù)術(shù)規(guī)范④ECC算算法應用接接口規(guī)范⑤雜湊算法法應用接口口規(guī)范2.4我我國信息安安全標準化化組織WG4：PKI/PMI工作組任務(wù)：國內(nèi)內(nèi)外PKI/PMI標準體系系的分析；；研究PKI/PMI標準體體系；國內(nèi)內(nèi)急用的標標準調(diào)研；；完成一批批PKI/PMI基基礎(chǔ)性標準準的制定工工作。鑒別別與授權(quán)工工作組。主主要負責PKI/PMI等等方面的標標準研究，，已完成GB/T20518《信息息技術(shù)安安全技術(shù)公公鑰基礎(chǔ)礎(chǔ)設(shè)施數(shù)字字證書格式式》等10多個標準準的研究。。組長：中國國科學院研研究生院馮馮登國副組長：國國家信息安安全工程技技術(shù)研究中中心袁文恭恭、國家信信息中心吳吳亞非工作組聯(lián)絡(luò)絡(luò)處：國家家信息中心心開展的研究究項目：①公開密鑰鑰和屬性證證書框架(X.509)②時間戳規(guī)規(guī)范③基于X509的證證書管理協(xié)協(xié)議④數(shù)數(shù)字證書狀狀態(tài)查詢協(xié)協(xié)議⑤PKI組組件最小互互操作規(guī)范范⑥PKI安全支撐平平臺等⑦證書認證機機構(gòu)運營管管理規(guī)范⑧證書載體體應用程序序接口⑨基于X509的國內(nèi)數(shù)字字證書格式式規(guī)范⑩PKI系統(tǒng)安全保保護等級技技術(shù)要求2.4我我國信息安安全標準化化組織WG5：信信息安全評評估工作組組任務(wù)：調(diào)研國內(nèi)外外測評標準準現(xiàn)狀與發(fā)發(fā)展趨勢；；研究提出出我國統(tǒng)一一測評標準準體系的思思路和框架架；研究提提出信息系系統(tǒng)和網(wǎng)絡(luò)絡(luò)的安全測測評標準思思路和框架架；研究提提出急需的的測評標準準項目和制制定計劃。。信息安全全評估工作作組。負責責安全評估估方面的標標準研究，，已完成網(wǎng)網(wǎng)上銀行系系統(tǒng)、網(wǎng)上上證券系統(tǒng)統(tǒng)等應用系系統(tǒng)評估標標準以及安安全路由器器、防火墻墻、入侵檢檢測系統(tǒng)等等產(chǎn)品評估估標準，正正在開展安安全等級保保護相關(guān)的的評估標準準研究。組長：解放軍信息息安全測評評認證中心心崔書昆副組長：公安部公共共信息網(wǎng)絡(luò)絡(luò)安全監(jiān)察察局景乾元元、國家信信息安全評評測認證中中心李守鵬鵬工作組聯(lián)絡(luò)絡(luò)處：解放軍信息息安全測評評認證中心心2.4我我國信息安安全標準化化組織WG7：信息安全管管理工作組組任務(wù)：信息息安全管理理標準體系系的研究；；國內(nèi)急用用的標準調(diào)調(diào)研；完成成一批信息息安全管理理相關(guān)基礎(chǔ)礎(chǔ)性標準的的制定工作作。已完成成ISO/IEC13335.1-2、ISO/IEC17799等國國際標準的的采標工作作，正在開開展ISO/IEC27000系列標標準的采標標工作，并并正在研究究風險管理理、安全事事件管理、、災難備份份等。組長：中國國電子技術(shù)術(shù)標準化研研究所王立立建工作組聯(lián)絡(luò)絡(luò)處：中國電子技技術(shù)標準化化研究所WG7開展展的研究項項目：①信息技術(shù)術(shù)安全技技術(shù)IT安全管管理指南②信息技術(shù)術(shù)信息安安全管理實實用規(guī)則③信息技術(shù)術(shù)安全技技術(shù)系統(tǒng)統(tǒng)安全工程程能力成熟熟度模型(SSE-CMM)2.4我我國信息安安全標準化化組織標準制定情情況截止到2007年底底，信安標標委成立后后共開展了了115項項國家標準準的制定工工作，有一半半以上是自自主研制的的，目前有有59項已已完成制定定，還有56項在研研究制定中。在跟蹤研究究國際標準準的同時，，我國積極極為國際標標準作貢獻獻。2007年我國提出的《《信息安全全管理體系系審核指南南》和《三三元實體鑒鑒別》兩項項提案被SC27接接受，成為為國際標準準新工作項項目。信安標委未未來工作重重點信息安全標標準化工作作在以后幾幾年中，在在重點做好好信息安全全保障體系系建設(shè)急需重要要標準的同同時，要重重點抓好信信息安全國國家標準的的宣貫和試試點示范工作，推進進標準的實實施應用。。2.4我我國信息安安全標準化化組織公安信息系統(tǒng)安全標準化技術(shù)委員會公安部信息息系統(tǒng)安全全標準化技技術(shù)委員會會主要負責責：規(guī)劃和和制定計算算機信息系統(tǒng)安安全保護等等級、應用用系統(tǒng)安全全等級評估估檢測、計計算機信息息系統(tǒng)安全產(chǎn)品、計計算機信息息系統(tǒng)安全全管理等方方面標準。。公安部已發(fā)發(fā)布了14個正式標標準，主要要涉及計算算機病毒檢檢測、等級級保護等方面，正正在開展等等級保護方方面的有近近40個。。公安信息息安全標準準體系圖如如圖所示。2.4我我國信息安安全標準化化組織此外，安全全部、國家家保密局、、國家密碼碼管理委員員會等相繼繼制定、頒頒布了一批信息息安全的行行業(yè)標準，，為推動信信息安全技技術(shù)在各行行業(yè)的應用用和普及發(fā)揮了積極極的作用。。中國通信標準化協(xié)會網(wǎng)絡(luò)與信息安全技術(shù)工作委員會中國通信標標準化協(xié)會會網(wǎng)絡(luò)與信信息安全技技術(shù)工作委委員會（編編號為TC8），負責組織開開展通信行行業(yè)網(wǎng)絡(luò)與與信息安全全標準化工工作。TC8現(xiàn)設(shè)設(shè)有4個工工作組有線線網(wǎng)絡(luò)安全全（WG1）、無線線網(wǎng)絡(luò)安全全（WG2）、安全管理（WG3）、、安全基礎(chǔ)礎(chǔ)（WG4），另外外還設(shè)有安安全防護標標準和綠色色上網(wǎng)標準2個特設(shè)設(shè)項目組。。三、信息安安全標準體體系3.信息息安全標準準體系課題目標至今，在世世界范圍內(nèi)內(nèi)尚未形成成統(tǒng)一的、、公認的標標準體系結(jié)結(jié)構(gòu)。但是是許多國家、不不同部門都都在研究自自身的信息息安全標準準體系結(jié)構(gòu)構(gòu)。（1）美國國的體系結(jié)結(jié)構(gòu)3.信息息安全標準準體系

WG1需求安全服務(wù)與指南標準（22項）WG2安全技術(shù)和機制標準（45項）WG3系統(tǒng)和產(chǎn)品安全評估與認證標準（15項）ISO-JTC/SC27ISO-JTC/SC27（2）ISO標準體體系結(jié)構(gòu)（（截止到到2007年底）3.信息息安全標準準體系實體安全（（A）環(huán)境安全（（A10））設(shè)備安全（（A20））媒體安全（（A30））運行安全（（B）風險分析（（B10））審計跟蹤（（B20））備份與恢復復（B30）應急（B40）應急計劃輔輔助軟件（（B41））應急設(shè)施（（B42））信息安全（（C）操作系統(tǒng)安安全（C10）安全全操操作作系系統(tǒng)統(tǒng)（（C11））操作作系系統(tǒng)統(tǒng)安安全全部部件件（（C12））數(shù)據(jù)據(jù)庫庫安安全全（（C20））安全全數(shù)數(shù)據(jù)據(jù)庫庫系系統(tǒng)統(tǒng)（（C21））數(shù)據(jù)據(jù)庫庫系系統(tǒng)統(tǒng)安安全全部部件件（（C22））網(wǎng)絡(luò)絡(luò)安安全全（（C30））網(wǎng)絡(luò)絡(luò)安安全全管管理理（（C31））安全全網(wǎng)網(wǎng)絡(luò)絡(luò)系系統(tǒng)統(tǒng)（（C32））網(wǎng)絡(luò)絡(luò)系系統(tǒng)統(tǒng)安安全全部部件件（（C33））（3））GA163-1997關(guān)關(guān)于于計計算算機機信信息息系系統(tǒng)統(tǒng)安安全全專專用用產(chǎn)產(chǎn)品品分分類類原原則則3.信信息息安安全全標標準準體體系系（4））一一種種信信息息安安全全產(chǎn)產(chǎn)品品與與標標準準體體系系結(jié)結(jié)構(gòu)構(gòu)草草案案1、、網(wǎng)網(wǎng)絡(luò)絡(luò)通通信信安安全全類類7、、內(nèi)內(nèi)容容安安全全類類2、、身身份份鑒鑒別別類類8、、基基礎(chǔ)礎(chǔ)平平臺臺與與中中間間3、、應應用用安安全全類類9、、惡惡意意代代碼碼防防治治類類4、、監(jiān)監(jiān)控控與與審審計計類類10、、密密碼碼基基礎(chǔ)礎(chǔ)類類5、、安安全全隔隔離離類類11、、密密碼碼設(shè)設(shè)備備類類6、、數(shù)數(shù)據(jù)據(jù)安安全全類類12、、密密碼碼模模塊塊類類3.信信息息安安全全標標準準體體系系（5））一一種種基基于于通通用用標標準準體體系系結(jié)結(jié)構(gòu)構(gòu)的的信信息息安安全全標標準準體體系系結(jié)結(jié)構(gòu)構(gòu)國際級區(qū)域級企業(yè)級國家級行業(yè)級地方級產(chǎn)品系統(tǒng)人員服務(wù)事件對象基礎(chǔ)技術(shù)工作管理內(nèi)容3.2我我國國信信息息安安全全標標準準體體系系信息安全技術(shù)標準體系框架

信息安全技術(shù)標準從總體上可劃分為六大類：基礎(chǔ)標準、技術(shù)與機制標準、管理標準、測評標準、密碼技術(shù)標準和保密技術(shù)標準，在每一大類的基礎(chǔ)上，可按照標準所涉及的主要內(nèi)容進行細分。信息安全技術(shù)標準體系總體框架如圖所示。

圖3.1信息安全技術(shù)標準體系總體框架

3.2我我國國信信息息安安全全標標準準體體系系標準體系介紹基礎(chǔ)礎(chǔ)標標準準：圖3.2基礎(chǔ)標準體系框架3.2我我國國信信息息安安全全標標準準體體系系3.2我我國國信信息息安安全全標標準準體體系系3.2我我國國信信息息安安全全標標準準體體系系技術(shù)術(shù)與與機機制制標標準準圖3.3技術(shù)與機制標準體系框架技術(shù)術(shù)與與機機制制標標準準包包括括標標識識與與鑒鑒別別、、授授權(quán)權(quán)與與訪訪問問控控制制、、實實體體管管理理和和物物理理安安全技技術(shù)術(shù)標標準準，，體體系系框框架架如如圖圖所所示示。。3.2我我國國信信息息安安全全標標準準體體系系3.2我我國國信信息息安安全全標標準準體體系系3.2我我國國信信息息安安全全標標準準體體系系3.2我我國國信信息息安安全全標標準準體體系系3.2我我國國信信息息安安全全標標準準體體系系圖4.4信息安全管理標準體系框架信息息安安全全管管理理標標準準：技術(shù)術(shù)與與機機制制標標準準包包括括標標識識與與鑒鑒別別、、授授權(quán)權(quán)與與訪訪問問控控制制、、實實體體管管理理和和物物理理安安全技技術(shù)術(shù)標標準準，，體體系系框框架架如如圖圖所所示示。。3.2我我國國信信息息安安全全標標準準體體系系3.2我我國國信信息息安安全全標標準準體體系系信息息安安全全測測評評標標準準：信息息安安全全測測評評標標準準包包括括測測評評基基礎(chǔ)礎(chǔ)標標準準、、產(chǎn)產(chǎn)品品測測評評標標準準和和系系統(tǒng)統(tǒng)測測評評標標準準，，信息息安安全全測測評評標標準準體體系系框框架架如如圖圖5.5所所示示。。如如圖圖所所示示。。3.2我我國國信信息息安安全全標標準準體體系系3.2我我國國信信息息安安全全標標準準體體系系3.2我我國國信信息息安安全全標標準準體體系系四、、主主要要信信息息安安全全標標準準介介紹紹BS7799系列（ISO/IEC27000系列）?BS7799Part1的的全全稱稱是是CodeofPracticeforInformationSecurity，，也也即即為為信信息息安安全全的的實實施施細細則則。。2000年年被被采采納納為為ISO/IEC17799，，目目前前其其最最新新版版本本為為2005版版，，也也就就是是ISO17799:2005。。ISO/IEC17799:2005通通過過層層次次結(jié)結(jié)構(gòu)構(gòu)化化形形式式提提供供安安全全策策略略、、信信息息安安全全的的組組織織結(jié)結(jié)構(gòu)構(gòu)、、資資產(chǎn)產(chǎn)管管理理、、人人力力資資源源安安全全等等11個個安安全全管管理理要要素素，，還還有有39個個主主要要執(zhí)執(zhí)行行目目標標和和133個個具具體體控控制制措措施施（（最最佳佳實實踐踐）），，供供負負責責信信息息安安全全系系統(tǒng)統(tǒng)應應用用和和開開發(fā)發(fā)的的人人員員作作為為參參考考使使用用，，以以規(guī)規(guī)范范化化組組織織機機構(gòu)構(gòu)信信息息安安全全管管理理建建設(shè)設(shè)的的內(nèi)內(nèi)容容。。??BS7799Part2的的全全稱稱是是InformationSecurityManagementSpecification，，也也即即為為信信息息安安全全管管理理體體系系規(guī)規(guī)范范，，其其最最新新修修訂訂版版在在05年年10月月正正式式成成為為ISO/IEC27001:2005，，ISO/IEC27001是是建建立立信信息息安安全全管管理理體體系系（（ISMS））的的一一套套規(guī)規(guī)范范，，其其中中詳詳細細說說明明了了建建立立、、實實施施和和維維護護信信息息安安全全管管理理體體系系的的要要求求，，可可用用來來指指導導相相關(guān)關(guān)人人員員去去應應用用ISO/IEC17799，，其其最最終終目目的的，，在在于于建建立立適適合合企企業(yè)業(yè)需需要要的的信信息息安安全全管管理理體體系系（（ISMS））。。ISO/IECTR13335系列

ISO/IECTR13335系系列列標標準準（（舊舊版版））－－GMITS，，由由5部部分分標標準準組組成成：：??ISO/IEC13335-1:1996《《IT安安全全的的概概念念與與模模型型》》??ISO/IEC13335-2:1997《《IT安安全全管管理理與與策策劃劃》》??ISO/IEC13335-3:1998《《IT安安全全管管理理技技術(shù)術(shù)》》??ISO/IEC13335-4:2000《《防防護護措措施施的的選選擇擇》》??ISO/IEC13335-5:2001《《網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全管管理理指指南南》》目前前，，ISO/IEC13335-1:1996已已經(jīng)經(jīng)被被新新的的ISO/IEC13335-1:2004（（MICTS第第1部部分分：：信信息息和和通通信信技技術(shù)術(shù)安安全全管管理理的的概概念念和和模模型型））所所取取代代，，ISO/IEC13335-2:1997也也將將被被正正在在開開發(fā)發(fā)的的ISO/IEC13335-2（（MICTS第第2部部分分：：信信息息安安全全風風險險管管理理））取取代代。。ISO/IECTR13335只只是是一一個個技技術(shù)術(shù)報報告告和和指指導導性性文文件件，，并并不不是是可可依依據(jù)據(jù)的的認認證證標標準準，，信信息息安安全全體體系系建建設(shè)設(shè)參參考考BS7799，，具具體體實實踐踐參參考考ISOTR13335。。SSE-CMMSSE-CMM(SystemSecurityEngineeringCapabilityMaturityModel)模型型是CMM在系系統(tǒng)安安全工工程這這個具具體領(lǐng)領(lǐng)域應應用而而產(chǎn)生生的一一個分分支，，是美美國國國家安安全局局(NSA)領(lǐng)領(lǐng)導開開發(fā)的的，是是專門門用于于系統(tǒng)統(tǒng)安全全工程程的能能力成成熟度度模型型。SSE-CMM第一一版于于1996年10月月出版版，1999年年4月月，SSE-CMM模型型和相相應評評估方方法2.0版發(fā)發(fā)布。。系系統(tǒng)安安全工工程過過程一一共有有三個個相關(guān)關(guān)組織織過程程：??工工程過過程??風險險過程程??保保證過過程共共分分5個個能力力級別別，11個個過程程區(qū)域域：??基基本執(zhí)執(zhí)行級級??計計劃跟跟蹤級級?充分分定義義級?量化化控制制級??持續(xù)續(xù)改進進級2002年被被國際際標準準化組組織采采納成成為國國際標標準即即ISO/IEC21827:2002《信信息技技術(shù)系系統(tǒng)安安全工工程－－成熟熟度模模型》》。SSE-CMM和和BS7799都都提提出了了一系系列最最佳慣慣例，，但BS7799是是一個個認證證標準準（第第二部部分）），提提出了了一個個可供供認證證的ISMS體體系系，組組織應應該將將其作作為目目標，，通過過選擇擇適當當?shù)目乜刂拼氪胧ǎǖ谝灰徊糠址郑┤ト崿F(xiàn)現(xiàn)。而而SSE-CMM則則是是一個個評估估標準準，適適合合作為為評估估工程程實施施組織織能力力與資資質(zhì)的的標準準通用標準CC(ISO/IEC15408)我們通常常所稱的的通用標標準或通通用準則則（CommonCriteria，簡簡稱CC）是指指ISO/IEC15408:1999標標準。目目前CC標準的的最新版版本是2.2；；CC2.1版版在1999年年成為國國際標準準ISO/IEC15408:1999；；我國在在2001年等等同采用用為國家家標準GB/T18336－2001。。

CC標準由由三個部部分組成成：??GB/T18336.1－－2001idtISO/IEC15408-1:1999信信息技術(shù)術(shù)安全技技術(shù)信息息技術(shù)安安全性評評估準則則第1部部分：簡簡介和一一般模型型?GB/T18336.2－2001idtISO/IEC15408-2:1999信信息技技術(shù)安全全技術(shù)信信息技術(shù)術(shù)安全性性評估準準則第2部分：：安全功功能要求求??GB/T18336.3－－2001idtISO/IEC15408-3:1999信信息技術(shù)術(shù)安全技技術(shù)信息息技術(shù)安安全性評評估準則則第3部部分：安安全保證證要求與與BS7799標準準相比，，CC的的側(cè)重重點放在在系統(tǒng)和和產(chǎn)品的的技術(shù)指指標評價價上，BS7799在在闡述述信息安安全管理理要求時時，并沒沒有強調(diào)調(diào)技術(shù)細細節(jié)。因因此，組組織在依依照BS7799標標準來實實施ISMS時時，一一些牽涉涉系統(tǒng)和和產(chǎn)品安安全的技技術(shù)要求求，可以以借鑒CC標標準。ITIL和BS15000

ITIL的全稱稱是信息息技術(shù)基基礎(chǔ)設(shè)施施庫（InformationTechnologyInfrastructureLibrary））。ITIL針針對一些些重要的的IT實實踐，詳詳細描述述了可適適用于任任何組織織的全面面的Checklists、、Tasks、、Procedures、Responsibilities等。IT服服務(wù)管理理中最主主要的內(nèi)內(nèi)容就是是服務(wù)交交付（ServiceDelivery）和服服務(wù)支持持（ServiceSupport）服務(wù)交付付（ServiceDelivery））：?ServiceLevelManagement??FinancialManagementforITService??CapacityManagement??ITServiceContinuityManagement??AvailabilityManagement服務(wù)支持持（ServiceSupport）：：?ServiceDesk??IncidentManagement??ProblemManagement??ConfigurationManagement??ChangeManagement??ReleaseManagement2001年年，英英國標準準協(xié)會在在國際IT服服務(wù)管理理論壇（（itSMF））上正式式發(fā)布了了以ITIL為為核心的的英國國國家標準準BS15000。這這成為IT服服務(wù)管理理領(lǐng)域具具有歷史史意義的的重大事事件。BS15000有有兩個部部分，目目前都已已經(jīng)轉(zhuǎn)化化成國際際標準了了。??ISO/IEC20000-1:2005信信息技技術(shù)服務(wù)務(wù)管理-服務(wù)管管理規(guī)范范（Informationtechnologyservicemanagement.SpecificationforServiceManagement））??ISO/IEC20000-2:2005信信息技技術(shù)服務(wù)務(wù)管理-服務(wù)務(wù)管理最最佳實踐踐（Informationtechnologyservicemanagement.CodeofPracticeforServiceManagement）與與BS7799相相比，ITIL關(guān)注注面更為為廣泛（（信息技技術(shù)），，而且更更側(cè)重于于具體的的實施流流程。ISMS實施者者可以將將BS7799作為為ITIL在在信息安安全方面面的補充充，同時時引入ITIL流程程的方法法，以此此加強信信息安全全管理的的實施能能力。CoBIT

CoBIT的全全稱是信信息和相相關(guān)技術(shù)術(shù)的控制制目標（（ControlObjectivesforInformationandrelatedTechnology），是是ITGI提出出的IT治理模模型（ITGovernance)，是是一個IT控制制和IT治理的的框架（（Framework）。CobiT是一一個在更更高的層層面上指指導管理理層進行行技術(shù)標標準和信信息系統(tǒng)統(tǒng)管理的的IT治治理模型型。CoBIT的的八個控控制過程程：??計劃劃和組織織（Planning&Organisation）??采采購和實實施（Acquisition&Implementation）??交交付和支支持（Delivery&Support））??監(jiān)視視和評估估（Monitoring&Evaluation）CoBIT的七個個控制目目標：??機機密性（（Confidentiality）??完完整性（（Integrity）??可可用性（（Availability）??有有效性（（Effectiveness）??高效性性（Efficiency））??可靠靠性（Reliability）??符合性性（Compliance））目目前基基本上存存在著兩兩類控制制模型，，一類是是類似COSO這樣的的商業(yè)控控制模式式（businesscontrolmodel）），另一一類則是是像BS7799這樣樣的更關(guān)關(guān)注IT的控制制模型（（morefocusedonITcontrolmodel）），而CoBIT的目目標是在在兩者之之間架起起一座橋橋梁。NISTSP800系列

美國國家標標準技術(shù)協(xié)協(xié)會（NationalInstituteofStandardsandTechnology，NIST）發(fā)布布的SpecialPublication800文檔是是一系列針針對信息安安全技術(shù)和和管理領(lǐng)域域的實踐參參考指南，，其中有多多篇是有關(guān)關(guān)信息安全全管理的，，包括：??SP800-12：計計算機安全全介紹（AnIntroductiontoComputerSecurity:TheNISTHandbook）??SP800-30：：IT系統(tǒng)風風險管理指指南（RiskManagementGuideforInformationTechnologySystems）??SP800-34：：IT系系統(tǒng)應急計計劃指南（（ContingencyPlanningGuideforInformationTechnologySystems）??SP800-26：：IT系系統(tǒng)安全全自我評估估指南（SecuritySelf-AssessmentGuideforInformationTechnologySystems）這這些文件件可以作為為實施ISMS過過程中一些些關(guān)鍵任務(wù)務(wù)的指導和和參照（例例如風險評評估、應急急計劃等）），是對BS7799標準準很好的補補充和細化化。五、信息安安全標準化化研究熱點點2006年年5月8日日至17日日，ISO/IECJTC1/SC27第32屆工作作組會議與與與全體會會議在西班班牙召開。。WG1（1）WG1工作作組會議對對WG1和和WG4標標準項目的的預留編號號范圍進行行了初步劃劃定：27000～～27009留予WG1的ISMS標標準族，27010～27019留予予ISMS標準族的的解釋性指指南與文檔檔，27030～27039則為WG4安全服服務(wù)系列標標準編號；（2）根據(jù)SC27第17次全體會會議決議，，ISO/IECJTC1/SC27要求其其秘書處確確認當前標標準ISO/IEC17799將在在2007年4月重重新編號為為ISO/IEC27002。為了了進一步推推進ISMS標準族族的形成，，SC27將調(diào)整后后的WG1工作組的的主要工作作范圍劃定定在對ISMS的研研究制定和和維護管理理上，同時時為促進ISMS的的國際互認認，對《信信息安全管管理體系認認證機構(gòu)的的認可要求求》進行了了重點研究究和討論;（3）基于ISO17021形成成的ISO/IEC27006《信信息安全管管理體系認認證機構(gòu)的的認可要求求》的制定定速度明顯顯加快。SC27/WG1聯(lián)聯(lián)合ITU-T和TC215的專家會會同IAF/EACC及ISOCASCO成成立了一個個小規(guī)模的的聯(lián)合任務(wù)務(wù)組，負責責ISO/IEC27006的起草草編制。

2006年JTC1/SC27會議信息安全標準熱點跟蹤

WG3本次WG3會議熱點點問題仍然然是與產(chǎn)品品有關(guān)的安安全評估標標準，通用用準則(CC)標準的發(fā)展展問題是本本次WG3會議的討討論重點。。（1）與產(chǎn)品有關(guān)關(guān)的測試評評估標準(包括通用用準則(CC），通通用評估方方法(CEM)等)的修訂是是WG3的的主要議題題。根據(jù)WG3路線線圖，會議議在目前項項目研究狀狀況和研制制計劃的基基礎(chǔ)上，WG3將下下列3個方方面作為近近期工作新新領(lǐng)域：密碼模塊確確認/認證證方法；加密協(xié)議的的驗證；評價證據(jù)的的產(chǎn)生指南南。（2）把下列5個個方面作為為中長期工工作的新領(lǐng)領(lǐng)域：質(zhì)量認證一一致性要求求；基于角色的的訪問控制制；安全系統(tǒng)設(shè)設(shè)計；加密協(xié)議的的驗證；篡改防范的的要求與評評價。（3）CC仍然是是國際上產(chǎn)產(chǎn)品測試與與認證的主主要依據(jù)，，這次會議議仍然致力力于CC的的推廣、進進一步擴大大國際互認認。如果經(jīng)經(jīng)過修改的的CC、、通用評估估方法(CEM)、、保護輪廓廓/安全目目標(PP/ST)的產(chǎn)生指指南等標準準在ISO/IEC得到通通過，將會會對CCDB的運運作機制產(chǎn)產(chǎn)生比較大大的影響。。WG3已已經(jīng)開始提提前著手修修訂CC-2005和CEM-2005。會議議根據(jù)2005年10月推出出CC3.0版，，針對CCDB提出出的意見，，討論研究究了CC標標準的進一一步發(fā)展問問題。爭論論集中在CC的第2部分和第第3部分(低等級保保護的表述述問題）。。會議擬訂訂了對CC、CEM、PP&ST產(chǎn)生生指南等重重要標準進進行修訂的的計劃，并并給定了各各編制階段段詳細的時時間結(jié)點。。ISO15408:2005和ISO8045:2005已已經(jīng)開始著著手修訂，，預計今年年11月份份形成CD。PP&ST的的產(chǎn)生指南南，也已進進入修訂階階段，并將將原計劃發(fā)發(fā)布標準的的時間由2008年年11月推推遲到2009年5月。對于于CC互認認問題，WG3在馬馬來西亞會會議上提議議撤銷PP注冊程序序。此次會會議SC27再次強強調(diào)了ISO對標準準形式的態(tài)態(tài)度，指出出ISO不不會采用注注冊的方式式來形成一一個ISO文件，PP在ISO存在在的形式只只能是按照照ISO產(chǎn)產(chǎn)生國際標標準的程序序，最終形形成國際標標準?？梢砸灶A見的CC的廣泛泛的國際互互認應該還還有很長的的路要走。。（4）基于世界各各國對生物物特征識別別技術(shù)的應應用日益廣廣泛的現(xiàn)實實，SC27對與生物特征征識別相關(guān)關(guān)的安全技技術(shù)標準也也愈加重視視。WG3決定啟動動一個為期期6個月的工作組組研究課題題，專門研研究生物特特征識別技技術(shù)的評價價方法；WG2完成成了一個使用生生物特征識識別技術(shù)產(chǎn)產(chǎn)生數(shù)字簽簽名的研究究課題，同同時啟動了了一個與生生物特征識別別數(shù)據(jù)鑒別別有關(guān)的標標準研究課課題。WG12007年年5月2日日至12日日，ISO/IECJTC1/SC27第34屆工工作組會議議與與全體體會議在俄俄羅斯召開開。來自英英國、美國國、瑞典、、日本和中中國等20個國家和和地區(qū)的40余名代代表出席了了該會議。。主要討論論熱點如下下：本次會議從從標準制修修訂、新標標準立項和和路線圖研研究等幾個個方面，共共召開了8個專題會會議，包括括：

2007年JTC1/SC27會議信息安全標準熱點跟蹤

①ISO/IEC27000-ISMS概述述和詞匯；；②ISO/IEC27003-ISMS實施施指南；③ISO/IEC27004-ISMS測量量；④ISO/IEC27005-ISMS風險險管理；⑤ISO/IEC27007-ISMS審核核指南；⑥特定行業(yè)(Sector-Specific)ISMS標準；⑦WG1/WG4聯(lián)合合會議；⑧WG1路線線圖。（1）WG1在2006年年11月第第33屆會會議上啟動動了ISMS審核指指南的研究究項目，在相關(guān)意見見和提案的的基礎(chǔ)上，，審核指南南是繼ISMS要求求標準(ISO/IEC27001)之后的重要標標準之一，，預計未來來幾年內(nèi)將將成為WG1討論的的重點。（2）如何針對不不同領(lǐng)域、、不同專業(yè)業(yè)部門提出出具體的信信息安全控控制目標和和控制要求，，并形成相相應行業(yè)的的ISMS國際標準準，是本次次討論的熱熱點，也將將成為未來幾年發(fā)發(fā)展的新方方向。目前前，ISO/IEC27011《電電信信息安安全管理指指南》已被確定為為新工作項項目?！恫什势睒I(yè)ISMS標準準》和《汽汽車工業(yè)ISMS標標準》被確確準，將成為為未來幾年年發(fā)展的新新方向。本次會議主主要內(nèi)容包包括四個方方面：①標準的例行行編制工作作；②可能影響國國際標準的的新情況討討論；③新項目討論論④討論SC27/WG2路線圖圖。（1）自2006年5月SC27工工作組及全全體會議后后，WG2更名為密密碼與安全全機制工作作組，并及及時啟動了了幾個新的的預研項目目，這些項項目反映了了JTC1、SC27和WG2對基礎(chǔ)礎(chǔ)安全機制制和算法的的關(guān)注點，，國內(nèi)應關(guān)關(guān)注相關(guān)工工作的進展展情況，尤尤其是對””低功耗加加密”應高高度關(guān)注。?！钡凸暮募用堋笔鞘怯蒘C27的上級級機構(gòu)─JTC1直直接下達的的研究任務(wù)務(wù)，反映了了國際上對對移動和嵌嵌入式計算算環(huán)境下加加密技術(shù)的的高度關(guān)注注。本次會會議上，中中國代表團團做了”三三元對等鑒鑒別和訪問問控制”的的專題報告告，經(jīng)過專專家的交流流與討論，，WG2初初步接受了了我國的提提案，設(shè)立立了”三元元實體鑒別別”新的研研究項目。。受中國提提案的影響響，WG2提出今后后要將”多多元實體鑒鑒別”相關(guān)關(guān)標準列入入今后的路路線圖中。。WG2（2）在WG2工工作路線圖圖中，提出出2010年前要大大力開展橢橢圓曲線密密碼技術(shù)標標準的研究究和開發(fā)，，2010～2015年將重重點開展量量子密碼技技術(shù)標準化化工作。再再綜合WG2更名為為”密碼與與安全機制制工作組””、《密碼碼模塊安全全技術(shù)要求求》標準的的發(fā)布以及及《密碼模模塊測試要要求》等項項目的確立立這些情況況，可以看看出SC27正在逐逐步加大密密碼技術(shù)標標準的研究究與制定工工作。WG3（1））本次會會議重重點對對去年年10月南南非會會議以以來修修改的的ISO/IEC15446《保保護輪輪廓和和安全全目標標產(chǎn)生生指南南》、、ISO/IEC15443-3《IT安安全全保障障框架架第第3部部分保保障障方法法分析析》、、ISO/IEC24759《《密碼碼模塊塊測試試要求求》和和ISO/IEC19792《《生物物特征征安全全評估估》等等4項項標標準的的文本本進行行深入入研究究，逐逐條分分析了了各成成員國國提出出的意意見，，并確確定了了處理理辦法法。（2））在工作作組路路線圖圖中除除了目目前正正在研研究的的ISO/IEC15408《IT安安全評評估準則》》、ISO/IEC15443《IT安安全全保障障框架架》、、ISO/IEC15446《《安全全目標標和保護護輪廓廓產(chǎn)生生指南南》、、ISO/IEC18045《《安全全評估估方法法》、、ISO/IEC19790《密碼碼模塊塊安全全要求求》、、ISO/IEC24759《《密碼碼模塊塊測試試要求求》、、ISO/IEC19791《運運行系系統(tǒng)安安全評評估》》、ISO/IEC19792《《生物物特征征識別別技術(shù)術(shù)安全全測試試評估框框架》》和ISO/IEC21827《《系統(tǒng)統(tǒng)安全全工程程能能力成成熟度度模型型》等等標準準項目目外，還還提出出了擬擬新增增加《《密碼碼協(xié)議議驗證證》、、《評評估證證據(jù)產(chǎn)產(chǎn)生指指南》》、《《合格格評定要要求的的融合合》