最新国际网络安全标准-计算机网络技术及应用

1.国际网络安全标准组织

国际上许多组织和机构很早就开始了对安全体系的研究，如ISO、IEC等，并制定了相应的安全体系结构标准。然而，由于对什么是安全体系结构及体系结构的描述方法缺乏统一的认识，这些标准从不同的角度，使用不同的方法，得出了不同的结果。

对网络安全标准具有较大影响的国际组织主要有ISO、IEC和ITU-TS等。

ISO：国际标准化组织是一个总体标准化组织，而IEC（国际电器技术委员会）在电工与电子技术领域里相当于ISO的地位。

ITU-TS：是国际电信联合委员会（ITU）所属的电信标准化组。ITU-TS是一个松散的联合缔约组织。这些组织在安全需求服务分析指导、安全技术机制开发、安全评估标准等方面制定了一些标准草案，但尚未正式执行。

IETF：（Internet Engineering Task Force，Internet工程任务组）有九个功能组，认证防火墙测试组（AFT）、公共认证技术组（CAT）、域名安全组（DNSSEC）、IP安全协议组（IPSEC）、一次性口令认证组（OTP）、公开密钥结构组（PKIX）、安全界面组（SECSH）、简单公开密钥结构组（SPKI）、传输层安全组（TLS）和Web安全组（WTS）等，并都制定了有关的标准，其中许多已经被正式执行。

2.网络安全标准发展的几个重要阶段

国际上网络安全标准的制定是从数据传输加密开始的。国际安全标准经历了以下几个重要的发展阶段。

1976年，美国国家标准局颁布了“数据加密标准算法（DES）”，最早对数据加密技术进行标准化。

1984年，国际标准化组织ISO/TC97正式成立分技术委员会SC20，开始制定信息技术安全标准。(www.xing528.com)

1987年，ISO的TC97和IEC的TCs47B/83合并成为ISO/IEC联合技术委员会（JTC1）。

1990年，根据当时技术发展的需要，ISO决定撤消原来的SC20，组建新的分技术委员会SC27，信息技术——安全技术。SC27的工作范围是信息技术安全的一般方法和信息技术安全标准体系。包括确定信息技术系统安全服务的一般要求、开发安全技术和机制、开发安全指南、开发管理支撑文件和标准。

3.国际上重要的网络安全标准

1）美国TCSEC（桔皮书）标准。该标准是美国国防部制定的。20世纪80年代，美国国防部基于军事计算机系统的保密需要，在基础理论研究成果计算机保密模型（Bell&La padula模型）的基础上，制订了“可信计算机系统安全评价准则”，其后又制订了关于网络系统、数据库等方面的系列安全解释，形成了安全信息系统体系结构的最早原则。它将安全分为四个方面：安全政策、可说明性、安全保障和文档。在美国国防部“虹”系列（Rainbow Series）标准中有详细的描述。该标准将以上四个方面分为七个安全级别，从低到高依次为D、C1、C2、B1、B2、B3和A级。至今美国已研究出达到TCSEC要求的安全系统的产品一百多种。

2）欧洲ITSEC标准。ITSEC与TCSEC不同，它并不把保密措施直接与计算机功能相联系，而是只叙述技术安全的要求，把保密作为安全增强功能。另外，TCSEC把保密作为安全的重点，而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级（不满足品质）到E6级（形式化验证）的七个安全等级，对于每个系统，安全功能可分别定义。ITSEC预定义了10种功能，其中前五种与桔皮书中的C1～B3级非常相似。

3）联合公共准则（CC）。该标准的目的是想把已有的安全准则结合成一个统一的标准。20世纪90年代初，英、法、德、荷四国针对TCSEC准则只考虑保密性的局限，联合提出了包括保密性、完整性、可用性概念的“信息技术安全评价准则（TISFC）”，但是该准则中并没有给出综合解决以上问题的理论模型和方案。为此，美国国家安全局和国家技术标准研究所、加、英、法、德、荷（六国七方）共同提出了“信息技术安全评价通用准则”。CC综合了国际上已有的评审准则和技术标准的精华，给出了框架和原则要求。CC结合了FC及ITSEC的主要特征，它强调将安全的功能与保障分离，并将功能需求分为9类63族，将保障分为7类29族。

CC计划从1993年开始执行，1996年推出第一版，但目前仍未付诸实施。这其中的原因可能是CC将作为取代TCSEC用于系统安全评测的国际标准，它仍然缺少综合解决信息的多种安全属性的理论模型依据。值得注意的是，西方的一些采用CC标准的高级别的网络信息安全产品对我国是封锁禁售的。

4）ISO安全体系结构标准。在安全体系结构方面，ISO制定了国际标准IS07497-2-1989《信息处理系统开放系统互连基本参考模型第2部分安全体系结构》。该标准为开放系统互连（OSI）描述了基本参考模型，为协调开发现有的与未来的系统互连标准建立起了一个框架。其任务是提供安全服务与有关机制的一般描述，确定在参考模型内部可以提供这些服务与机制的位置。