1.2　信息安全标准化状况

信息技术安全是组成网络空间安全的重要方面，提供信息技术安全保障能力需要在理解各种网络攻击技术的前提下，从整体上提高信息技术安全保障基础理论和实施技术水平，综合采取“测试、控制、管理、评估”等多方面的措施，使得具体信息技术产品和应用系统中用户关切的各种安全属性都能得到满足。基于这种理解，本书将着重讨论信息安全技术的测试和评估问题，先从信息技术安全评估标准谈起。

按照世界贸易组织（WTO）的关贸总协议，国际标准应是建立国际互认制度的基础。为满足用户对各类IT产品和系统的安全评估需求，确保IT产品和系统在设计、开发、生产、集成和使用过程中的安全性，出现了许多类型的信息安全标准及其评估方法、包括各种安全技术管理手段在内的信息安全保障体系。信息安全技术标准是信息安全保障体系的重要组成部分，是各国政府和安全组织对IT产品和系统进行安全评估和认证的工作基础。按照GB/T 13016—2018《标准体系构建原则和要求》中的定义，标准体系就是“一定范围的标准按其内在联系形成的科学的有机整体”。

为满足用户对各类IT产品和系统的安全评估需求，国内外出现了多种多样的IT产品和系统的安全技术要求及相应的安全评估准则，与各种安全管理手段一起构成了信息安全保障体系。为了规范这些IT产品和系统的安全要求及评估准则的建设，确保IT产品和系统在设计、研发、生产、建设、使用和测评中的一致性、可靠性、可控性、先进性和符合性，信息技术安全评估标准的制定就成了国际标准化组织/国际电工委员会（ISO/IEC）的一项十分重要的工作。

1.2.1　国际信息安全标准化

国外有很多与信息技术相关的组织都在开展信息安全相关的标准化工作，例如国际标准化组织（ISO）、国际电工委员会（IEC）、国际电信联盟电信标准分局（ITU-T）、互联网工程任务组（IETF）等。下面将对与本书最直接相关的国际标准化组织/国际电工委员会的第一联合技术委员会（ISO/IEC JTC1）进行简要介绍，读者还可访问ITU-T网站，了解其下属的SG13、SG17等工作组的信息安全标准化工作。

ISO/IEC JTC1是在原ISO/TC97（ISO的信息技术委员会）、IEC/TC47/SC47B（IEC的微处理机分委员会）和IEC/TC83（IEC的信息技术设备分委员会）的基础上，于1987年合并组建而成的。ISO/IEC JTC1是信息技术领域最重要的一个国际标准化委员会，工作范围限于信息技术的标准化活动和国际标准制定工作。该技术委员会已经建立了一个较完善的组织机构，目前由22个分委员会（SC）和19个咨询和技术工作组组成，其中信息技术安全技术分委会（ISO/IEC JTC1/SC27）负责信息技术、网络安全及隐私保护的一般方法和技术的国际标准制定（https：//www.iso.org/committee/45306.html）。ISO/IEC JTC1/SC27目前制定的信息安全技术标准范围包括以下几个方面。

（1）安全要求的一般性提炼方法。

（2）信息和通信技术的安全管理，特别是与信息安全管理系统、安全过程、安全控制和安全服务相关的管理要求。

（3）密码和安全机制，主要包括用于保护保密性、完整性、可用性以及可审计性等相关的安全机制。

（4）安全管理的支持文件，例如信息安全术语、安全组件注册程序等相关的内容。

（5）身份管理、生物特征识别和隐私相关的内容。

（6）信息安全管理系统符合性评估、认证和审查要求。

（7）安全评估准则和方法等。

ISO/IEC JTC1/SC27目前下设5个技术工作组、两个特别任务组（AG1和SWG-T）以及3个研究组，其工作范围如下所示（如图1.1所示）。

（1）信息安全管理体系工作组（WG1）：负责编制和维护信息安全管理体系（ISMS）的标准和准则，确定未来ISMS标准和准则的要求，保持WG1的路线图，并联络负责ISO/IEC 27001标准的信息安全管理体系，与其他组织和委员会合作。

（2）密码技术与安全机制工作组（WG2）：负责编制加密与解密算法、身份认证、密钥管理、数字签名、抗抵赖、密钥管理、素数生成、随机数生成、散列函数等密码学领域的信息安全国际标准。

（3）安全评估、测试与规范工作组（WG3）：负责制定IT产品安全评估、测试和规范领域的信息安全国际标准，包括通用评估准则、IT安全保障框架、IT安全评估方法、密码算法和安全机制符合性测试、运行系统安全评估、系统安全工程－能力成熟度模型（SSE CMM）、漏洞披露、漏洞处理过程等方面的信息安全国际标准。

（4）安全控制与服务工作组（WG4）：聚焦安全控制和机制，涵盖业务持续性的ICT就绪、IT网络安全、第三方服务、供应链管理、入侵检测系统（IDS）、安全事件管理、网络空间安全、应用安全、灾难恢复、调查取证、数字脱敏、时间戳等方面的信息安全国际标准。

（5）身份管理与隐私保护技术工作组（WG5）：负责包括特定应用［如云计算和个人标识信息（PII）］、隐私影响分析、隐私保护框架、身份管理框架、实体鉴别保证框架、生物特征识别信息保护、生物特征鉴别等信息安全国际标准。

（6）管理和咨询组（AG1）：职责范围为审查和评价ISO/IEC JTC1/SC27的组织有效性，并提出相关建议。

（7）横向特别工作组（SWG-T）：职责范围为关注超出现有WG范围或者直接或间接影响多个WG的主题，并向ISO/IEC JTC1/SC27提出相关建议。

（8）特定技术研究组（SG）：关注对信息安全和网络安全有特殊影响的重要技术进展情况，以便在恰当的时候向标准技术工作组提出标准议题和建议。目前主要由数据安全研究组（SG1）、可信度研究组（SG2）和概念与术语研究组（SG3）这3个研究组组成。

作为SC27的一项基本工作，安全评估、测试与规范工作组（ISO/IEC JTC1/SC27 WG3）在1993年与CC项目组织合作成立了CC编辑理事会（CCEB），并在1996年4月批准将CCEB参与编制的CC v1.0作为委员会草案（CD）发布，公开征求ISO/IEC组织成员的意见。目前WG3工作组除了不断修订正在使用的ISO/IEC 15408《信息技术　安全技术IT安全评估准则》）、ISO/IEC 18045《信息技术　安全技术IT安全评估方法》、ISO/IEC TR 15446《信息技术　安全技术　保护轮廓和安全目标产生指南》、ISO/IEC 15443《信息技术　安全技术　安全保障性框架》等标准外，还针对特定信息安全技术建立了相关标准，如ISO/IEC 19790《信息技术　安全技术　密码模块的安全要求》、ISO/IEC 24759《信息技术　安全技术　密码模块测试要求》、ISO/IEC 19791《信息技术　安全技术　运行系统安全评估》、ISO/IEC 19792《信息技术　安全技术　生物特征识别技术安全测试评估框架》等。从这个方面来看，ISO/IEC JTC1/SC27 WG3工作组将在IT产品安全评估的互认和应用安全评估方面做更多的工作。

1.2.2　我国信息安全标准化

我国信息安全标准化工作是从学习国际标准化工作开始的。1984年7月，在全国信息技术标准化技术委员会之下组建了我国的数据加密标准化分技术委员会，并于1985年发布了第一个有关信息安全方面的标准GB 4943—1984《信息技术设备的安全》（等效采用国际电工委员会的IEC 60950《信息技术设备安全》）。2002年4月，国家标准化管理委员会发文，在全国信息技术标准化技术委员会的信息安全技术分技术委员会的基础上，成立全国信息安全标准化技术委员会（简称信安标委，TC260）。2004年1月的国标委高新函〔2004〕1号文明确规定“自2004年1月起，各有关部门在申报信息安全国家标准计划项目时，必须经全国信息安全标准化技术委员会提出工作意见，协调一致后由全国信息安全标准化技术委员会组织申报”。在国家标准制定过程中，由全国信息安全标准化技术委员会完成国家标准的送审、报批工作（http://www.tc260.org.cn/）。

本着积极采用国际标准的原则，信安标委已经转化了包括ISO/IEC 15408和ISO/IEC 18045（即CC/CEM）在内的一批国际信息安全基础技术标准，为我国信息安全技术标准化的发展作出了重要贡献。同时，公安部、国家保密局、国家密码管理委员会等围绕我国网络安全工作也制定和颁布了一批信息安全相关的国家或行业标准，为推动信息安全技术在各行业的应用和普及发挥了积极的作用。

2016年8月12日，中央网络安全和信息化领导小组办公室联合（原）国家质量监督检验检疫总局和国家标准化管理委员会发布了《关于加强国家网络安全标准化工作的若干意见》，要求构建科学的标准体系，推动网络安全标准与国家相关法律法规的配套衔接，兼顾我国在WTO等国际组织中承诺的国际义务，提出要按照深化标准化工作改革方案要求，整合精简强制性标准，在国家关键信息基础设施保护、涉密网络等领域制定强制性国家标准，优化、完善推荐性标准，在基础通用领域制定推荐性国家标准。

信安标委秘书处负责我国信息安全国家标准的立项和报批工作，各工作组负责标准编制进程管理，有关部门、研究机构，特别是企业参与各工作组的标准制修订活动。目前信安标委下设7个工作组和一个特别工作组，具体任务如下。

（1）信息安全标准体系与协调工作组（WG1）：研究信息安全标准体系；跟踪国际信息安全标准发展动态；研究、分析国内信息安全标准的应用需求；研究并提出新工作项目及工作建议。

（2）涉密信息系统安全保密标准工作组（WG2）：研究涉密信息系统安全保密标准体系，调研信息系统安全保密标准需求，编制、修订涉密信息系统安全保密标准，开展涉密信息系统安全保密标准实施应用评价工作。

（3）密码技术工作组（WG3）：研究提出商用密码技术标准体系；调研商用密码技术标准需求，编制、修订商用密码技术标准，开展商用密码技术标准实施应用评价工作。

（4）鉴别与授权工作组（WG4）：研究提出鉴别与授权标准体系；开展鉴别与授权标准需求，编制、修订鉴别与授权标准，开展鉴别与授权标准实施应用评价工作。

（5）信息安全评估工作组（WG5）：调研国内外测评标准现状与发展趋势；研究提出我国测评标准体系的思路和框架；编制、修订IT产品和系统以及信息系统和网络的安全评估标准；开展安全技术与机制标准实施应用评价工作。

（6）通信安全标准工作组（WG6）：调研通信安全标准体系；调研通信安全标准需求；编制、修订通信安全相关标准；开展通信安全标准实施应用评价工作。

（7）信息安全管理工作组（WG7）：研究信息安全管理标准体系；调研标准需求；编制、修订信息安全管理相关标准；开展信息安全管理标准实施应用评价工作。

（8）大数据安全标准特别工作组（SWG-BDS）：负责大数据、云计算、智慧城市等新型信息技术相关的安全标准研制，与其他工作组保持沟通和标准间的协调。

迄今为止，信安标委已制定许多国家标准，重点体现在信息系统安全等级保护、IT产品和系统测评、信息安全风险评估、重点信息系统灾难恢复等领域。到2019年6月，我国已经发布268项信息安全技术相关标准，在研的安全标准有103项，基本形成了包括基础标准、技术与机制标准、管理与服务标准和信息安全标准在内的信息安全技术标准体系，为我国信息安全保障体系建设提供了强有力的支持。

除了GB/T 18336《信息技术　安全技术　信息安全评估准则》以及在此框架下制定的IT产品评估相关标准外，我国与信息安全评估有关的标准还有基于GB 17859—1999《计算机信息系统安全保护等级划分准则》的GB/T 22239—2019 《信息安全技术　网络安全等级保护基本要求》等网络安全等级保护相关标准。从标准源头上说，GB 17859—1999是参照美国可信计算机系统评估准则（TCSEC）（见1.3.1节的论述）而编制的，主要从等级保护的角度考虑IT系统安全评估要求，在对信息进行采集、加工、存储、传输、检索等相关的人机系统的安全保护技术能力等级评估工作中得到了广泛应用；而GB/T 18336的各个版本均与ISO/IEC 15408《信息技术　安全技术　信息技术安全评估准则》对应，主要面向不同安全保障级别的IT产品安全性评估，给出了一套IT产品安全要求表达、安全方案设计、安全评估证据准备及其安全评估方法，给出了应用于IT产品安全评估的原则、过程和规程的体系。

GB 17859—1999及其相关标准在我国针对各类型IT产品和系统的分级安全测评工作中发挥了突出作用。由于本书后续部分将主要论述GB/T 18336—2015的内容，为了使读者对我国信息技术安全评估标准体系有较为完整的了解，下面将对GB 17859—1999及其重要的配套标准进行简要介绍，更多的内容可以参考我国网络安全等级保护标准及其相关的培训教材。

在GB/T 22239中，除了运行环境安全要求（及物理安全要求）外，根据实现方式的不同，该标准将IT系统安全要求分为技术要求和管理要求两大类。

（1）技术要求类：这类要求与IT系统提供的安全机制有关，主要通过在IT系统中部署软硬件并正确地配置其安全功能来实现。例如在操作系统领域，Windows操作系统安全涉及的身份验证、访问控制、注册表安全、域管理机制、文件系统安全、安全设置、服务包、安全更新等安全技术；Linux操作系统安全涉及账户安全管理、口令安全与访问控制、文件系统安全、日志查看与分析、网络服务安全等安全技术。再如在数据库领域，Oracle数据库管理系统安全功能涉及的安全技术包括身份验证，访问控制、数据库审计、数据加密、安全合规监控等内容，而DB2数据库管理系统的身份验证和安全审计则依赖于其运行环境（如操作系统）。

（2）管理要求类：这类要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程等方面做出规定来实现。一般来讲，管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运行维护等方面提出。例如前面提到的安全保障就是从防护、检测、响应等方面考虑形成安全防护体系。换句话说，一个完整的安全防护体系不仅需要防护机制（例如防火墙、加密等安全技术），而且需要检测机制（例如入侵检测、漏洞扫描等安全技术），在发现问题时还需要通过相关的安全控制措施及时做出响应。

GB/T 22239的管理要求主要参照GB/T 18336中的安全保障要求，安全功能要求主要参照GB 17859—1999中关注的以下10项安全技术。

（1）自主访问控制：信息系统根据用户指定方式或默认方式，阻止非授权用户访问主体拥有的客体。访问控制引擎应能够为每个命名客体指定命名用户和用户组（主体），并规定这些主体对客体的读写访问模式。自主访问控制的主体可以按自己的意愿决定哪些授权用户可以访问他们的客体。

（2）强制访问控制：通过为主体及客体指定敏感标记，信息系统外部的所有主体对客体的直接或间接的访问应满足：仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别，主体才能读客体；仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含了客体安全级中的非等级类别，主体才能写客体。主体和客体的敏感标记一般是等级分类和非等级类别的组合。

（3）标记：信息系统维护着与可被外部主体直接或间接访问到的信息系统资源（例如：主体、存储客体、只读存储器）相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加安全标记的数据，信息系统向授权用户要求并接受这些数据的安全级别。

（4）身份鉴别：信息系统初始执行时，首先要求用户标识自己的身份，而且，信息系统维护用户身份识别数据并确定用户访问权及授权数据。信息系统使用这些数据，鉴别用户身份，阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识，信息系统能够使用户对自己的行为负责。信息系统还具备将身份标识与该用户所有可审计行为相关联的能力。

（5）客体重用：在信息系统的空闲存储客体空间中，对客体初始指定、分配或再分配一个主体使用之前，撤销客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时，当前主体不能获得原主体活动所产生的任何信息。

（6）安全审计：信息系统能创建和维护受保护客体的访问审计跟踪记录，并能发现和阻止非授权的用户对它访问或破坏。对于每一事件，其审计记录包括事件发生的日期和时间、引起事件的用户、事件类型、事件是否成功。对于身份鉴别事件，审计记录包含请求的来源（例如：终端标识符）；对于客体引入用户地址空间的事件及客体删除事件，审计记录包含客体名及客体的安全级别。

（7）数据完整性：信息系统通过各种完整性策略，阻止非授权用户修改或破坏敏感信息。在网络环境中，使用完整性敏感标记来确认信息在传输中未受损。

（8）隐蔽信道分析：隐蔽信道是指允许进程以危害系统安全策略的方式传输信息的通信信道。系统开发者应彻底搜索隐蔽信道，并根据实际测量或工程估算确定每个被标识信道的最大带宽。

（9）可信路径：当用户连接系统时（如注册、修改主体安全级），信息系统提供它与用户之间的可信通信路径。可信路径上的通信只能由该用户或信息系统激活，在逻辑上与其他路径上的通信相隔离，且能正确地对它们加以区分。

（10）可信恢复：信息系统提供过程和机制，保证计算机信息系统失效或中断后，可以进行不损害任何安全保护性能的恢复。

GB/T 22239—2008已应用到我国IT行业和领域的信息系统安全等级保护的建设整改和安全等级测评工作中。随着信息技术的发展，GB/T 22239—2008在适用性、时效性、易用性、可操作性上仍在不断完善。因此，信安标委从2014年起就对GB/T 22239—2008进行修订，并在2019年5月16日发布了GB/T 22239—2019《信息安全技术　网络安全等级保护基本要求》。相对于GB/T 22239—2008，GB/T 22239—2019的主要变化体现在以下4个方面。

（1）为适应网络安全法，配合落实网络安全等级保护制度，标准的名称由原来的《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》。

（2）等级保护对象由原来的信息系统调整为基础信息网络、信息系统、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等。

（3）将原标准中的安全要求分为安全通用要求和安全扩展要求，安全通用要求是不管等级保护对象形态如何必须满足的要求；针对云计算、移动互联、物联网和工业控制系统提出的特殊要求称为安全扩展要求。

（4）原来基本要求中的各级技术要求，包括“物理安全”“网络安全”“主机安全”“应用安全”和“数据安全和备份与恢复”修订为“安全物理环境”“安全通信网络”“安全区域边界”“安全计算环境”和“安全管理中心”；原各级管理要求，包括“安全管理制度”“安全管理机构”“人员安全管理”“系统建设管理”和“系统运维管理”修订为“安全管理制度”“安全管理机构”“安全管理人员”“安全建设管理”和“安全运维管理”。

另外，由于GB 17859标准中定义的5个等级是面向封闭环境中的信息系统的，因此GB/T 22240—2008《信息安全技术　信息系统安全等级保护定级指南》从等级保护对象受到破坏时所侵害的客体，和对客体造成侵害的程度这两个定级要素给出了对应于GB 17859—1999的5个等级的定级标准（如表1.1所示）。GB/T 22240也在根据《网络安全法》进行修订，目前的GB/T 22239—2019未明确GB/T 22240所需的第五级安全要求。

表1.1中侵害国家安全的事项包括以下方面。

（1）影响国家政权稳固和主权完整。

（2）影响国家统一、民族团结和社会稳定。

（3）影响国家经济秩序和文化实力。

（4）影响宗教活动秩序和反恐能力建设。

（5）其他影响国家安全的事项。

表1.1中侵害社会秩序的事项包括以下方面。

（1）影响国家机关社会管理和公共服务的工作秩序。

（2）影响各种类型的经济活动秩序。

（3）影响各行业的科研、生产秩序。

（4）影响公众在法律约束和道德规范下的正常生活秩序等。

（5）其他影响社会秩序的事项。

表1.1中侵害公共利益的事项包括以下方面。

（1）影响社会成员使用公共设施。

（2）影响社会成员获取公开信息资源。

（3）影响社会成员接受公共服务等方面。

（4）其他影响公共利益的事项。

表1.1中侵害公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权力和利益等受到损害。