信息安全技术标准分类体系.docVIP

信息安全技术标准分类体系 　　 　　今世界互联网、移动通讯、云计算、物联网、智慧地球等现代信息技术的应用催生了网络时代的发展和知识经济时代的到来迎来了信息技术发展和应用的第三次浪潮信息的安全更加的被我们重视下面小编就为大家整理了关于信息安全技术标准分类体系的论文 　　 　　摘要：介绍了国内外信息安全标准体系的现状在对目前系统安全问题分析的基础上提出了信息安全技术参考模型和标准体系框架探讨了信息安全标准化工作存在的问题并提出了建议 　　 　　关键词：信息安全标准体系标准 　　 　　信息系统安全体系的研制和建设是一个非常复杂的过程如果没有与之相配套的安全标准做支撑就不能实现系统的安全可信只有从系统的视角全面考虑信息系统的安全性构建起合理的信息安全标准体系才能保证各信息系统和平台的安全可控和高效运行也只有建立起涵盖系统安全结构的完整的技术标准体系才能促进安全组件之间的相互协作和关联操作实现系统安全性的最大化 　　 　　1、信息安全标准体系分类现状 　　 　　11信息安全国际标准现状及分类体系 　　 　　111美国国防部信息安全标准体系 　　 　　美国国防部（DoD）将美军信息安全标准按安全部件与安全功能相结合的方法进行分类其标准体系见图1其中安全部件以信息流为主线贯穿始终分为信息处理安全标准、信息传输安全标准、信息理解表示安全标准、安全管理标准和安全环境标准五类安全功能从信息安全的基本要素（机密性、完整性、可用性、可控性、抗抵赖性）来进行划分分为鉴别安全服务标准、访问控制安全服务标准、保密性安全服务标准、完整性安全服务标准、抗抵赖性安全服务标准和可用性安全服务标准六类DoD的信息安全标准体系虽然覆盖全面但安全部件和安全功能之间的标准交叉重复比较多层次不够清晰 　　 　　112联合技术参考模型 　　 　　JTA60中的信息安全标准体系为实现对国防部信息系统的安全防护提供了支撑包括（本地）计算环境、飞地边界、网络和基础设施、支撑性基础设施和安全评估五类标准这种分类比较合理但分类下面对应的标准大部分是国际标准和美国国家标准因此应在借鉴该分类的基础上针对目前我国已有的国家标准建立起合理的标准体系 　　 　　ISO信息安全工作组分类如图3所示目前ISO制定的信息安全标准按照工作组的分类分为信息安全管理体系（ISMS）标准、密码和安全机制、安全评价准则、安全控制与服务和身份管理与隐私技术五类该分类方法比较粗糙对于建立安全运行的信息系统针对性不太强 　　 　　114国际电信联盟（ITU—T）标准 　　 　　ITU—TSG17组负责研究网络安全标准包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务如图4所示该分类方法对信息安全技术分类比较粗糙信息安全技术也只侧重于通信安全 　　 　　ITU—T颁布的比较有影响力的安全标准主要有：消息处理系统（X400系列）、目录系统（X500系列）、安全框架和模型（X800系列）等其中的X509标准是PKI的重要基础标准X805是端到端通信安全的重要标准 　　 　　目前ITU—T在安全标准化方面主要关注NGN安全、IPTV安全、身份管理（IDM）、数字版权管理（DRM）、生物认证、反垃圾信息等热点问题 　　 　　12国家信息安全标准体系 　　 　　我国国家信息安全标准自1995年开始制定至年共制定标准19项全部由国际标准直接转化而来主要是有关密码和评估的标准在这19项中年后已有12项进行了修订自全国信息安全标准化技术委员会年成立以来至目前我国实际现存正式信息安全标准87项这些标准中既包括技术标准如产品和系统（网络）标准亦包括管理标准如风险管理标准等覆盖了当前信息安全主要需求领域 　　 　　由此可见目前我国信息安全标准的制定工作已经取得了长足的进展标准的数量和质量都有了很大的提升本着“科学、合理、系统、适用”的原则在充分借鉴和吸收国际先进信息安全技术标准化成果和认真梳理我国信息安全标准的基础上经过全国信息安全标准化技术委员会各工作组的认真研究初步形成了我国信息安全标准体系该标准体系分类相对合理、全面涵盖了体系结构、安全保密技术、安全管理和安全测评等方面的标准但庞大繁杂的标准体系常常让开发人员无所适从无法选取需要遵循的标准因此针对信息安全系统的开发工作要进一步精简标准体系突出重点尤其是影响系统集成方面的安全接口标准进而增强各个安全组件之间的互操作和安全技术间的协作提升整个信息系统的安全防护能力 　　 　　支撑性基础设施主要涉及到实现通信与网络、应用环境和数据安全所应用的支撑性技术包括认证、授权、访问控制、公钥基础设施（PKI）和密码管理基础设施（KMI） 　　 　　通信与网络安全主要体现在网络方面的安全性包括网络层身份认证、网络资源的访问控制、