信息安全技术标准分类体系研究信息安全技术标准分类体系研究摘耍：介绍了国内外信息安全标准体系的现状，在对目前系统安全问题分析的基础上，提出了信息安全技术参考模型和标准体系框架，探讨了信息安全标准化工作存在的问题，并提出了建议。关键词：信息安全标准体系标准中图分类号：G201文献标识码：A文章编号：1007-3973(2012)004-071-03信息系统安全体系的研制和建设是一个非常复杂的过程，如果没有与之相配套的安全标准做支撑，就不能实现系统的安全可信，只有从系统的视角全面考虑信息系统的安全性，构建起合理的信息安全标准体系，才能保证各信息系统和平台的安全可控和高效运行，也只有建立起涵盖系统安全结构的完整的技术标准体系，才能促进安全组件之间的相互协作和关联操作，实现系统安全性的最大化。1信息安全标准体系分类现状1.1信息安全国际标准现状及分类体系1.1.1美国国防部信息安全标准体系美国国防部(DoD)将美军信息安全标准按安全部件与安全功能相结合的方法进行分类，其标准体系见图1,其中安全部件以信息流为主线贯穿始终，分为信息处理安全标准、信息传输安全标准、信息理解表示安全标准、安全管理标准和安全环境标准五类。安全功能从信息安全的基本耍素(机密性、完整性、可用性、可控性、抗抵赖性)来进行划分，分为鉴别安全服务标准、访问控制安全服务标准、保密性安全服务标准、完整性安全服务标准、抗抵赖性安全服务标准和可用性安全服务标准六类。DoD的信息安全标准体系，虽然覆盖全面,但安全部件和安全功能之间的标准交叉重复比较多，层次不够清晰。1.1.2联合技术参考模型(JTA6.0)JTA6.0中的信息安全标准体系为实现对国防部信息系统的安全防护提供了支撑，包括（本地）计算环境、飞地边界、网络和基础设施、支撑性基础设施和安全评估五类标准。这种分类比较合理，但分类下面对应的标准大部分是国际标准和美国国家标准，因此，应在借鉴该分类的基础上，针对目前我国已有的国家标准，建立起合理的标准体系。ISO信息安全工作组分类如图3所示。目前，ISO制定的信息安全标准按照工作组的分类分为信息安全管理体系（ISMS）标准、密码和安全机制、安全评价准则、安全控制与服务和身份管理与隐私技术五类。该分类方法比较粗糙，对于建立安全运行的信息系统，针对性不太强。1.1.4国际电信联盟（ITU-T）标准ITU-TSG17组负责研究网络安全标准，包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务，如图4所示该分类方法对信息安全技术分类比较粗糙，信息安全技术也只侧重于通信安全。ITU-T颁布的比较有影响力的安全标准主要有：消息处理系统（X.400系列）、目录系统（X.500系列）、安全框架和模型（X.800系列）等，其中的X.509标准是PKI的重要基础标准,X.805是端到端通信安全的重要标准。目前，ITU-T在安全标准化方面主要关注NGN安全、IPTV安全、身份管理（IDM）、数字版权管理（DRM）、生物认证、反垃圾信息等热点问题。1.2国家信息安全标准体系我国国家信息安全标准自1995年开始制定，至2002年共制定标准19项，全部由国际标准直接转化而来，主要是有关密码和评估的标准。在这19项中，2004年后已有12项进行了修订。自全国信息安全标准化技术委员会2004年成立以来至目前我国实际现存正式信息安全标准87项，这些标准中，既包括•技术标准，如产品和系统（网络）标准，亦包括管理标准，如风险管理标准等，覆盖了当前信息安全主要需求领域。由此可见，目前我国信息安全标准的制定工作已经取得了长足的进展，标准的数量和质量都有了很大的提升,本着“科学、合理、系统、适用”的原则，在充分借鉴和吸收国际先进信息安全技术标准化成果和认真梳理我国信息安全标准的基础上，经过全国信息安全标准化技术委员会各工作组的认真研究，初步形成了我国信息安全标准体系。该标准体系分类相对合理、全面，涵盖了体系结构、安全保密技术、安全管理和安全测评等方面的标准，但庞大繁杂的标准体系常常让开发人员无所适从，无法选取需要遵循的标准。因此，针对信息安全系统的开发工作要进一步精简标准体系，突出重点，尤其是影响系统集成方面的...