国际信息安全标准化点滴--贾颖禾 全国信息安全标准化技术委员会秘书

国际信息安全标准化点滴贾颖禾2006年7月18日ISO对“安全”理解“thesafetyofastate,organizationorindividualandprotectionagainstthreatssuchascriminalactivity,terrorism,attack,ornaturaldisaster.”securitystandardsinthisbroadcontext.ISO的“安全”定义•Theprovisionofprotectionagainstthreatstopeople,physicalassets,infrastructure,informationandinformationtechnologyassetsincludingelectronicnetworksandfacilities,andtothemovementofpeopleandgoodsandrelatedfacilities.ISO已经关注的九个安全领域oTrainingprogrammesandequipmentforresponders.(培训计划与器材)oPrivatesectoremergencypreparednessandbusinesscontinuity.（私营部门的应急准备与业务连续性）oIdentificationtechniques,includingbiometrics.（标识技术，含生物识别技术）oEmergencycommunications.（应急通信）oInter-modalsupplychainsecurity.（联合运输供应链安全）oRiskassessment.（风险评估）oBiologicalandchemicalthreatagents.（生化威胁）oCybersecurity.（信息网络安全）oCivildefence.（民防）ISO的评估•Standardsplayanumberofimportantrolesinsupportingeffortstoachievesecurity.Forexample,standardscanbeusedtopromulgatebestpracticesandmethodologiesforsecuritymanagement.Standardscanbeusedtospecifytestmethodsandparameterstoaidindetectionofthreats.Standardscanspecifyperformancerequirementstoensureequipmentandsystemsprovidethenecessaryperformanceandprotectioninextremeconditions.ISO的评估-1OutofISO’s205TechnicalCommittees(includingJTC1subcommittees),35havedeliverablesrelatedtosecurity.Someofthesearecriticalandfundamentaltocurrentglobaleffortstoprovidesecurityandcombatterrorismrecently-developedstandardsforbiometrics,detectionoftheillicitmovementofnuclearmaterial,maritimeportsecurity,andsecurityofITsystemsarenoteworthyexamples.ISO的评估-2三个方面的确失：•没有适时将技术委员会的工作向安全领域延伸•共同经营者们需要“共同语言和框架”，以便对他们各不相同的系统实施安全管理•“自下而上”的相互隔离的视角，难以适应全球化、系统化的安全威胁，需要“TOP－DOWN”的、更战略的考虑。ISO/JTC1-SC27的新结构•WorkingGroup1:Informationsecuritymanagementsystems•WorkingGroup2:Cryptographyandsecuritymechanisms•WorkingGroup3:Securityevaluationcriteria•WorkingGroup4:Securitycontrolsandservices•WorkingGroup5:IdentitymanagementandprivacytechnologiesSC27第一工作组的部分新项目ISO/IEC27000信息安全管理体系原则与术语ISO/IEC27001信息安全管理体系要求ISO/IEC17799信息安全管理实用准则ISO/IEC27003信息安全管理体系实施指南ISO/IEC27004信息安全管理测量ISO/IEC27005信息安全风险管理ISO/IEC27006信息安全管理体系认证机构的认可要求ISO/IEC13335信息与通信技术安全管理SC27第二工作组的部分新项目（机密性）•18033Encryptionalgorithms•18033-1General[publishedin2005]•18033-2Asymmetricciphers[FDIS]•18033-3Blockciphers[publishedin2005]•18033-4Streamciphers[publishedin2005]•10116Modesofoperationforann-bitblockcipheralgorithmb[revision:FDIS]•19772Authenticatedencryption[CD]•18031Randombitgeneration[publishedin2005]•18032Primenumbergeneration[publishedin2005]•15946Cryptographictechniquesbasedonellipticcurves•15946-1General[revision:WD]•15946-2Digitalsignatures[tobemergedinto14888-3]•15946-3Keyestablishment[tobemergedinto11770]•15946-4Digitalsignatureswithmessagerecovery[tobemergedinto9796-3]SC27第二工作组的部分新项目（抗抵赖）•13888Non-repudiation•13888-1General•13888-2Mechanismsusingsymmetrictechniques•13888-3Mechanismsusingasymmetrictechniques•18014Timestampingservicesandprotocols•18014-1Framework[revision:WD]•18014-2Mechanismsproducingindependenttokes[revision:WD]•18014-3MechanismsproducinglinkedtokensSC27第二工作组的部分新项目（密钥管理）•11770-1Framework•11770-2Mechanismsusingsymmetrictechniques[revision:WD]•11770-3Mechanismsusingasymmetrictechniques[revision:WD]•11770-4Keyestablishmentmechanismsbasedonweaksecrets[FDIS]SC27第三工作组的部分新项目•24759密码模块测试要求•15408-1IT安全评估准则—第一部分:基本模型介绍•15408-2IT安全评估准则—第二部分::安全功能要求•15408-3IT安全评估准则—第三部分:安全保障要求•18045IT安全评价方法•19792生物特征识别的安全评价•21827系统安全工程–能力成熟度模型(SSE-CMM)®美国NIST的特点•标准化活动面大•把政府使用的技术也纳入标准化轨道•标准与产业结合的紧密•在制定标准的同时支持研发、政府机构的安全意识培养和教育•依据FISMA法，投入的力度加大•十分重视对国际标准化进程的影响SHA-1的使用问题SC27承诺将根据SHA-1及其相关攻击实例的发展，及时发布相关的SHA-1使用说明，以指导该标准的选用。本次会议上，SHA－1继续成为讨论的一项内容。从本次会议提供的文本（SC27N5147）以及会议讨论的情况来看，尽量避免使用SHA-1已经成为共识，尽管没有明确提出将SHA-1从标准中删除，但从SHA-1提出者──美国国家标准研究所（NIST）的态度已经可以看出SHA-1的使用将会逐渐减少。ISO/IEC9979的前景•2004年SC27巴西会议提出了废除ISO/IEC9979-1999《信息技术安全技术密码算法的注册程序》提案。本次WG2会议再次对此提案进行了讨论。从几个国家的反映和会议讨论情况来看，同意废除该标准的声音占到了多数。ISMS标准族的进一步完善和推进，以及ISMS认证国际互认的标准化•为了进一步完善和推进ISMS标准族的形成，SC27将新的WG1工作组的主要工作范围划定在对ISMS的研究制定和维护管理上，同时为促进ISMS认证的国际互认，对《信息安全管理体系认证机构的认可要求》也进行了重点研究和讨论。•基于ISO17021和ETSI相关标准形成未来的27006《信息安全管理体系认证机构的认可要求》的制定速度明显加快。信息安全产品测评认证的国际互认的标准化问题•CC仍然是国际上产品测试与认证的主要依据，这次会议的重点还是在致力于CC的推广、进一步扩大国际互认。如果经过修改的CC、CEM、PP/ST的产生指南等标准在ISO/IEC得到通过，还需要与CCDB进行协调和会商。涉及信息安全标准化的国际组织•ITU-T电信•TC215健康•TC68银行•ISSEA•Aerospace•汽车产业•标准化组织如IETF，IEEE•国际机构如OECD，APEC，IAF和CASCO，以及其他相关的开放认证认可标准与指南的群体。各标准化组织间协调•提供Security的通用词汇、概念和原则等•共享信息，特别是早期草案、各成员体的修改意见和路线图等。•相互派出联络官员参与对方讨论。•召开各种形式的联席会议（Ad－hocMeeting）谢谢大家！