中国电子技术标准化研究院 姚相振 周睿康 范科峰

近年来，网络空间形势日趋复杂严峻，网络安全事件频繁发生，对我国网络空间安全构成严重威胁，也对我国网络空间安全防护带来严峻挑战。网络安全标准化是网络安全保障体系建设的战略制高点，是维护国家利益和保障国家安全极为重要的技术支撑，是抓好网络安全工作的重要切入点，网络安全标准化工作应当符合产业发展需要，形成科学、合理的标准化体系，为网络安全标准的研究、制定提供依据，发挥网络安全标准在保障国家安全、促进产业发展、维护公民利益等方面的重要作用。

本文分析了国内外网络安全现状，研究了ISO/IEC、NIST相关网络安全标准，并对国内外标准化体系进行了比对分析，研究提出了我国网络安全标准体系框架。

网络安全标准化现状

1.国际标准化现状

1.1 ISO/IEC JTC1研究现状

ISO/IEC JTC1 SC27作为国际标准化组织（ISO）和国际电工委员会（IEC）联合技术委员会（JTC1）下属专门负责信息安全领域标准化研究与制定工作的分技术委员会，近年来密切跟踪技术产业发展变化和发展需求，以云计算安全、虚拟化安全、隐私保护、工业控制系统安全、身份鉴别等为新的研究工作重点，在SC27层面设立了云计算安全和隐私保护专项研究课题。目前，SC27在研和制定的云计算安全标准包括：

（1）ISO/IEC 27017《基于ISO/IEC 27002的云计算服务应用的信息安全控制措施》，由WG1具体负责；

（2）ISO/IEC 27018《公有云中个人可识别信息处理者保护个人可识别信息的安全控制措施》，由WG5（身份管理和隐私保护）具体负责；

（3）ISO/IEC 27036-4《供应商关系的信息安全第四部分:云服务安全指南》，由WG4具体负责；

（4）《适于云的风险管理框架》、《云安全组件》、《云安全评估和审计》等标准研究。其中，《适于云的风险管理框架》研究项目由WG1和WG4联合研究。《云安全组件》则致力于研究是否有必要在云安全组件方面制定标准、云安全组件的范围以及详细程度。

1.2 IEC研究现状

国际电工委员会（IEC，International Electro Technical Commission）已经发布的信息安全标准主要集中在工业控制安全领域，有IEC 62443《工业过程测量、控制和自动化网络与系统信息安全》系列标准，以及SP800-82—《工业控制系统(工业控制系统)安全指南》。

IEC 62443由IEC/TC65（工业过程测量、控制和自动化）下的网络和系统信息安全工作组WG10与国际自动化协会ISA 99委员会的专家成立联合工作组，共同制定。该标准目前分为通用、信息安全程序、系统技术和部件技术4个部分，共包含了12个文档，每个文档详细描述了工业控制系统信息安全的不同方面。

第一部分即通用部分，描述了信息安全的通用方面，包括基本概念、基本模型、基本术语、系统安全目标等等。第二部分即信息安全程序部分，主要描述包括了整个信息安全系统的管理、人员和程序设计方面。第三部分即系统技术部分，主要针对系统集成商保护系统所需要的技术性信息安全需求，包括了将整体工业自动化控制系统设计分配到各个区域和通道的方法，以及信息安全保障等级的定义与要求。第四部分即部件技术部分，主要针对制造商提供的单个部件的技术性信息安全需求，包括了系统的硬件、软件和信息部分，以及当开发或获取这些类型的部件时需要考虑的特定技术性信息安全需求。

2015年5月,IEC ACSEC(Advisory Committee on Security)在德国国家委员会倡议下正式成立，主要开展IEC范围内的信息安全、数据隐私保护国际标准化工作，向IEC/SMB（标准化管理局）提供标准制定建议,指导IEC下属TC和SC的信息安全标准制定工作，提供IEC和其他国际标准化组织关于信息安全领域的协调渠道。目前，IEC ACSEC成员国包括中国、德国、美国、日本、韩国、英国、法国、荷兰、西班牙、巴西共10个国家。主席为德国西门子股份公司技术法规与标准化部全球负责人Markus Reigl先生，秘书处设在IEC中央办公室。中国对口单位为中国电子技术标准化研究院。

1.3 NIST研究现状

NIST作为美国最具影响力的标准化机构，目前主要研究内容集中在四大领域：安全管理指南、安全测试、安全研究、新兴技术安全标准应用。在上述四大领域中，NIST对网络安全技术的跟踪尤其对新兴技术存在的风险、漏洞和保护要求的认知不断提高，使其标准研制能力、标准研制质量、标准体系建设长期处于世界领先水平。

结合新技术与新应用，NIST还开展了无线通信、生物特征、云计算等领域相关安全问题的研究，并提出了相应发展战略计划，包括：

（1）加强公众对信息安全的意识和理解。提高对信息安全的重要性和必要性的更广泛的意识，提高对信息安全漏洞和补救措施的理解，推动NIST计算机安全研究室的知名度。

（2）改善信息安全管理。为联邦政府部门提供适当、及时和有用的信息安全政策和管理工具。

（3）提供安全测试手段使系统和网络更加安全。通过测试方法的研究，提供联邦政府部门、产业界和公众完善的安全服务。

（4）支撑和指导信息安全研究。加强能促进安全的新技术的研究，同时发现和弥补安全漏洞。

（5）通过加密技术保护信息资源的安全。开发和改进加密方法，保护信息资源的完整性、保密性和真实性。

2.国内标准化工作现状

全国信息安全标准化技术委员会（简称信安标委），是我国专门从事信息安全标准化的工作组织，委员会现有来自30多个部门和单位的49名委员，下设7个工作组，主要负责信息安全技术、安全机制、安全管理、安全评估等领域的标准化工作，分别由国内相关部门、研究所、企事业单位及高等院校等代表组成，共有工作组成员单位165家。截止目前，安标委在上述领域已发布国家标准160多项。

在国家标准化管理委员会的领导下，在相关部门的大力支持下，安标委坚持以抓紧制定国家信息安全保障体系建设急需的、关键的标准为重点，积极开展标准制修订工作。

这些标准主要涉及信息安全基础、安全技术与机制、安全管理、安全评估以及保密、密码和通信安全等领域，为国家各项信息安全保障工作，例如政府信息系统安全检查、信息系统安全等级保护、信息安全产品检测与认证及市场准入、信息安全风险评估、信息系统灾难恢复、网络信任体系建设、《电子签名法》实施、涉密信息系统安全分级保护和保密安全检查等，提供了强有力的技术支撑和依据。

信安标委组织制定的这些国家标准，基本形成了我国信息安全标准体系，为我国信息安全保障体系建设提供了强有力支持，重点体现在信息系统安全等级保护、信息安全产品认证、信息安全风险评估、重点信息系统灾难恢复等领域。

3.国内外标准化对比分析

通过对比国内外信息安全标准化工作，我国与国际信息安全标准化工作的差距主要体现在以下几个方面。

一是，网络安全标准化是网络安全保障体系建设的战略制高点，是维护国家利益和保障国家安全极为重要的技术支撑，是抓好网络安全工作的重要切入点。面对当前网络安全发展的新格局，标准化工作面临工作机制不够完善、管理体系和运行机制不够健全、实施力度和效益有待提高、基础能力和人才储备严重不足等问题

二是，我国某些产业发展水平以及技术成熟度不高，市场对于相关标准需求并不强烈，国际标准要求与我国产业能力发展现状不匹配，国际标准转化率低，需要制定符合我国产业实际发展需要的信息安全国家标准，指导、支撑相关产业快速、健康发展。

三是，根据我国相关法律和政策，标准的制定应具有自主知识产权，并掌握相应核心技术，在转化适用性强的国际标准的同时，还应深入研究符合我国国情的信息安全标准。所以，目前针对我国在云计算、物联网、工业控制系统等新技术、新应用的信息安全标准化需求，相对于国际信息安全标准体系，我国信息安全标准研制还存在空白，标准体系建设亟需调整、补充、完善。

4.网络安全标准化需求分析

(1)政府网络安全管理

网络安全标准作为政府工作的重要抓手，在维护国家网络安全、促进产业健康发展、维护公民利益方面发挥着重要作用，是政府部门开展网络安全管理最直接、最有效的方式。制定网络安全标准体系框架应充分考虑政府管理所需的基础类、政府网站安全管理类标准，要考虑到国家网络安全审查、网络安全供应链安全管理、安全检查等重要工作所需要的配套标准；还应考虑到我国关键信息基础设施保护、应急响应等方面工作的标准需求，考虑以密码技术为基础的网络可信身份管理标准的研制，逐步完善信息安全风险管理服务体系，完善政府网络安全管理标准体系，有力支撑党政军部门网络安全保障工作。

(2)产业发展安全保障需求

网络安全标准是产业健康发展的有效“试金石”，合理科学的网络安全标准体系能够有效支撑产业发展，提高产业效能，促进良性竞争。制定网络安全标准体系框架应充分考虑信息技术产品和服务的安全架构、安全要求、术语、配置要求、管理要求、测评方法等，必要时，为产品和服务的安全保护水平划分等级，充分考虑密码技术、身份鉴别、授权机制等产品和服务的安全技术类标准的研发，提高产品的安全防护水平，保障用户的合法权益。

(3)新技术新应用标准需求

随着云计算、大数据、物联网等新技术新应用的普及，一些传统的网络安全防护技术已经无法满足现有的安全防护需求，一些曾经行之有效的网络安全管理措施已经不能奏效，因此，执行网络安全标准体系框架应充分考虑新形势下网络安全技术和管理要求，分析云计算、大数据、物联网、移动互联网、智慧城市、智慧医疗、车载信息系统、机器人、工业互联网等新兴技术领域的网络安全标准化需求，充分考虑产业需求，制定亟需的基础性标准，有效支撑网络安全产业健康发展。

网络安全标准体系框架

1.网络安全标准体系建设思路

根据2009年发布的国家标准GB/T 13016-2009《标准体系表编制原则和要求》，明确了网络安全标准体系研究的基本概念、编制原则和基本方法。GB/T 13016-2009提出“标准体系是客观存在的标准有机整体，是标准的集合。标准体系是通过系统的标准化指导行业、机构团体、产品、服务或工程项目等，从而达到整体的最佳效益。标准体系表用以表达标准体系的构思、设想、整体规划，是表达标准体系概念的模型。”。我国网络安全标准体系建设，应在研究分析国际国外信息安全标准化现状基础上，结合我国网络安全产业标准化需求。

2.网络安全标准体系框架说明

图1 网络安全标准体系框架

如图1所示，网络安全标准体系框架第一层次分为四个方面：基础标准、技术与机制标准、管理与服务标准、测评标准。其中，第二层次共包含27个子类别。

基础标准由安全术语、涉密基础、测评基础、管理基础、物理安全、安全模型、安全体系结构7个部分组成，为网络安全标准的制定提供通用的语言和抽象系统架构。

技术与机制标准由密码技术、安全标识、鉴别机制、授权机制、电子签名，公钥基础设施、应用安全机制7个部分组成，其中标识、鉴别与授权构成一条技术线索，是安全系统不可或缺的部分。与这条主线的相关标准还包括基础设施标准、电子签名标准等，这些标准与标识、鉴别与授权标准体系互相依存，并贯穿其中。

信息安全管理与服务标准包括涉密服务、密码管理、安全控制与服务、网络安全管理，行业/领域安全管理5个方面，信息安全管理标准就是针对管理方面的规范工作。它主要应用于组织层面，规范组织的信息安全制度，规范治理机制和治理结构，保证信息安全战略与组织业务目标一致。

测评标准包括密码产品、通用产品、安全保密产品、通用系统、涉密信息系统、通信安全、政府安全检查、安全能力评估8个方面，测评标准同时指导和规范了产品的开发和评估，并且可作为评估机构进行产品检测认可的依据，为在用户、设计者、开发者、供应商以及潜在的评估者之间建立公正的、科学的评估信任体系。

下一步工作

信息安全保障体系是维护国家网络安全、保障信息产业健康发展的基础，网络安全标准体系建设是信息安全保障工作的重要体现，如果没有一个“科学、合理、系统、适用”的网络安全标准体系，就不可能构造出一个全面、完善的信息安全保障体系。当前，我国网络安全标准已经积累到了一定数量，如何充分发挥标准作用，如何研究、制定出符合产业需求并能广泛推广应用的网络安全标准至关重要。为解决上述问题，建议下一步网络安全标准体系建设着重做好以下几点工作：

一是加强重点领域标准化研究，完善网络安全标准体系。继续追踪、研究重点领域新兴技术发展需求，结合产业发展实际需要，研究制定具有自主知识产权的云计算、物联网、工业控制系统等网络安全国家标准，并对标准可行性、科学性进行有效验证，从而完善我国网络安全标准体系。

二是加大标准宣贯力度，扩大标准实际推广应用。政府、企业、科研院所以网络安全标准体系建设为基础，提供政策、技术、标准上的支撑，创新标准推广方式，加强标准试点示范工作，通过优秀案例引导企业采用标准，从而加强我国网络安全标准体系指导作用。

三是加强国际标准化战略研究，实质参与国际标准活动。参与国际标准化热点工作，结合我国相关技术产业实际发展现状，在当前工作基础上做好下一步国际标准化布局工作，充分发挥产、学、研、用各方力量，抢占新技术、新应用国际标准制高点，打造国际领先的网络安全标准体系。