网络安全标准

首页 . 理学 . 计算机科学技术 . 信息安全 . 网络安全

/network security standard /

条目作者王清贤黎筱彦

条目作者王清贤

王清贤

黎筱彦

最后更新 2023-10-26

浏览 192次

最后更新 2023-10-26

浏览 192次

0 意见反馈条目引用

为了保护用户或组织的网络环境（包括直接或间接接入到网络中的用户、设备、软件、进程、存储和传输的信息、应用、服务和系统）安全而制定和发布的统一的规范和依据。

英文名称: network security standard

所属学科: 计算机科学技术

网络安全标准是网络安全保障体系建设的重要组成部分，在维护网络空间安全和推动网络空间治理体系变革方面发挥着基础性、规范性和引领性作用。

国际标准化组织

网络安全标准化工作兴起于20世纪70年代中期，并在90年代开始受到各国的普遍关注。截至2018年，与网络安全标准化相关的国际组织主要有4个，分别为国际标准化组织（International Organization for Standardization，ISO）、国际电工委员会（International Electrotechnical Commission，IEC）、国际电信联盟(International Telecommunication Union，ITU)和国际互联网工程任务组（The Internet Engineering Task Force，IETF）。

①ISO/IEC JTC1。由ISO和IEC共同成立的ISO/IEC JTC1是一个信息技术领域的国际标准化联合技术委员会，其下设的分技术委员会（SC）中，SC27专门负责信息技术安全的一般方法和技术的标准化工作。这些工作包括确定信息技术安全服务的一般要求，开发安全技术和机制，提出安全指南和编制管理的支撑性文件和标准。

SC27共包含5个工作组和2个特别工作组；SC27每年召开1次全体会议和2次工作组会议，是国际上信息安全前沿技术交流平台。当前SC27关注的热点及研究重点主要有身份证明标准、云安全应用案例与标准化、能源行业网络空间安全、网络恢复力和健康领域信息安全、物联网安全与隐私保护、未来网络安全标准化、大数据安全与隐私保护标准化、评估通用准则和生物特征识别等。

②ITU-T。ITU是联合国的一个重要专门机构，负责分配和管理全球无线电频谱与卫星轨道资源，制定全球电信标准，向发展中国家提供电信援助，促进全球电信发展。ITU-T是ITU管理下的专门制定电信标准的分支机构。

ITU-T中的标准化工作是由技术研究组（SG）负责。ITU-T下设11个SG，其中SG17专门负责网络和信息安全的标准研究。SG17成立于2001年，从最初的1个课题组，发展到2004年的6个课题组，到2018年的7个课题组，充分体现了通信安全在通信网络发展过程中处于越来越重要的地位。SG17在安全标准化方面主要关注的领域包括：安全管理、安全架构与框架、网络安全、打击垃圾信息、身份管理、个人识别信息的保护、物联网应用和服务的安全、智能电网、智能手机、网络服务、社交网络、云计算、IPTV和远程生物测定等。

③IETF。IETF的主要任务是负责互联网相关技术标准的研发和制定，是国际互联网业界具有一定权威的网络相关技术研究团体。IETF的实际工作大部分是在其工作组中完成的。这些工作组又根据主题的不同划分到若干个领域，如网际互联、应用研究、操作与管理研究等。2018年，IETF共包括8个研究领域，其中安全研究领域主要负责研究IP网络中的授权、认证、审计等与私密性保护有关的协议与标准，是IETF中最为活跃的研究领域之一，当前IETF在安全领域处于活跃状态的工作组共有16个。

中国标准化组织

中国的网络安全标准化组织主要有全国信息技术安全标准化技术委员会（CITS），以及中国通信标准化协会（CCSA）下辖的网络与信息安全技术工作委员会。

①CITS。CITS成立于1983年，在国家标准化管理委员会以及工业和信息化部的共同领导下负责全国信息技术领域以及与ISO/IEC JTC1相对应的标准化工作，发展至2018年，下设7个工作组和1个特别工作组，分别从事信息安全标准体系与协调、涉密信息系统安全保密、密码技术、鉴别与授权、信息安全评估、通信安全、信息安全管理和大数据安全8个方面的标准的研究和制定工作。CITS主要负责信息安全的通用框架、方法、技术和机制的标准化及归口国内外对应的标准化工作，其中技术安全包括开放式安全体系结构、各种安全信息交换的语义规则、有关的应用程序接口和协议引用安全功能的接口等。

②CCSA。CCSA成立于2002年，下设10个技术工作委员会（TC），其中TC8为网络与信息安全技术工作委员会，其研究领域包括：面向公众服务的互联网的网络与信息安全标准、电信网与互联网结合中的网络与信息安全标准、特殊通信领域中的网络与信息安全标准，主要对口ITU-T SG17。TC8包含有线网络信息安全、无线网络信息安全、安全管理和安全基础设施4个工作组，负责研究：包括有线网络中电话网、互联网、传输网、接入网等在内的所有电信网络相关的安全标准；无线网络中接入、核心网、业务等相关的安全标准以及安全管理工作组；安全基础设施工作组中网络管理安全以及安全基础设施相关的标准。

中国网络安全标准体系

参考CITS出版的《信息安全国家标准目录（2018版）》，中国将网络安全标准划分为6个类别，分别是基础标准、技术与机制标准、安全管理标准、安全测评标准、产品与服务标准、网络与系统标准。

①基础类标准。向其他各类标准提供服务支持，提供制定网络安全标准所需的通用语言和抽象的模型框架，是网络安全标准体系的基础支撑。基础类标准包含了安全术语、体系结构、模型及框架等。

②技术与机制类标准。包含了标识与鉴别、授权与访问控制、实体管理、物理安全技术、可信计算等方面的标准。其中标识、鉴别与授权技术是网络安全应用中的基础性安全技术。标识是身份鉴别与授权的前提，鉴别是网络安全系统与网络协议的第一步工作，授权则与鉴别结果紧密相关。CITS的7个工作组当中，WG4专门负责鉴别与授权方面的标准化工作，已有比较丰富的研究成果。

③信息安全管理与服务类标准。包括管理基础、管理体系、管理支撑技术、服务管理、个人信息保护等方面。信息安全管理标准主要应用于组织层面：规范组织的信息安全制度，规范治理机制和治理结构，保证信息安全战略与组织业务目标一致。

④测评类标准。是安全产品检测和评估的规范性文件，分为评测基础标准、产品评测标准、系统评测标准等类别，其对网络安全产品的研究、开发和生产进行严格的规范，对网络安全系统的设计、建设、使用和管理提供科学公正的检测依据，同时确保了网络安全产品和系统的安全性和可信性。

⑤密码类标准。主要针对商用密码的统一规范，包括基础类标准、技术类标准和管理类标准等。网络安全技术的核心是密码安全。商用密码的目的是使社会和经济活动中各种不涉及国家秘密的敏感信息得到有效的保护。商用密码标准为商用密码的研制、生产和使用提供了技术规范和管理依据。

⑥保密类标准。与保密法规共同构成中国保密管理的重要基础，是保密防范和保密检查的依据，为保护国家秘密安全发挥了非常重要的作用。保密类标准适用于指导全国各行各业、各个单位国家秘密的保护工作。保密类标准包含通用技术要求、产品测评、系统测评、涉密信息系统管理、保密技术检查等类别。

典型的网络安全标准主要包括ISO/IEC JTC1 SC27标准、ITU-T标准和中国网络安全标准。

①ISO/IEC JTC1 SC27标准。截至2018年，SC27正式发布了163项国际标准，制定或修订中的标准为77项，SC27颁布了如下一系列有关网络安全的标准：

ISO/IEC 27033-1:2015　信息技术安全技术网络安全第1部分：概述和概念

ISO/IEC 27033-2:2012　信息技术安全技术网络安全第2部分：网络安全设计和实现指南

ISO/IEC 27033-3:2010　信息技术安全技术网络安全第3部分：参考网络方案威胁、设计技术和控制结果

ISO/IEC 27033-4:2014　信息技术安全技术网络安全第4部分：使用安全网关的网间通信安全保护

ISO/IEC 27033-5:2013　信息技术安全技术网络安全第5部分：使用虚拟专用网（VPNs）的跨网通信安全保护

ISO/IEC 27033-6:2016　信息技术安全技术网络安全第6部分：无线IP网络访问的安全保护

ISO/IEC 27032:2012　信息技术安全技术网际安全指南

ISO/IEC 27032:2012　信息技术安全技术网际安全与ISO/IEC标准

②ITU-T标准。ITU-T 已经发布了多项网络与信息安全方面的标准。其中X系列标准是涉及网络安全最多的。在ISO/IEC发布的网际安全指南ISO/IEC 27032：2012的附录C中也标注了ITU-T X.1200～X.1299为网络空间安全标准。表中为同网络安全相关的编号在ITU-T X.1200～X.1299之间的主要标准：

同网络安全相关的编号在ITU-T X.1200～X.1299之间的主要标准
标准号	标题
ITU-T X.1206	关于安全信息自动通知和更新发送的厂商中立框架
ITU-T X.1207	电信业务提供商应对间谍软件及潜在有害软件风险的指导原则
ITU-T X.1208	增强使用电信/信息通信技术的信心和安全性的网络安全风险指标
ITU-T X.1209	网络安全信息共享与交换功能及其相关情境
ITU-T X.1210	用于互联网协议网络的源码安全故障排除机制概述
ITU-T X.1211	防止网络攻击的技术
ITU-T X.1231	反垃圾信息技术策略
ITU-T X.1240	用于打击垃圾电子邮件的技术
ITU-T X.1241	反垃圾信息技术框架
ITU-T X.1242	基于用户指定规则的短消息业务（SMS）垃圾过滤系统
ITU-T X.1243	用于打击垃圾信息的互动网关系统
ITU-T X.1244	打击IP多媒体应用中垃圾信息的概述
ITU-T X.1245	IP多媒体应用中用于反垃圾信息的框架
ITU-T X.1246	电信组织反语音垃圾邮件技术
ITU-T X.1247	打击SPIM的技术框架
ITU-T X.1250	增强的全球身份管理和互操作性的基本能力
ITU-T X.1251	数字身份的用户控制框架
ITU-T X.1252	身份管理基准术语定义
ITU-T X.1253	身份管理系统的安全指南
ITU-T X.1254	实体认证保证框架
ITU-T X.1255	发现身份管理信息的框架
ITU-T X.1256	与业务应用共享网络鉴别结果的指南与框架
ITU-T X.1257	身份和接入管理分类
ITU-T X.1275	在应用RFID技术中保护个人可识别信息的指导原则

云计算和大数据这些受到重点关注的新技术领域，也是ITU-T标准化研究的热点。SG17专门成立了电信云研究组，截至2018年，发布的云安全标准如下：

ITU-T X.1601 (10/2015)　云计算安全框架

ITU-T X.1631 (07/2015)　信息技术-安全技术-基于ISO/IEC 27002的云计算业务信息安全控制行为准则

ITU-T X.1641 (09/2016)　云服务用户数据安全指南

ITU-T X.1642 (03/2016)　云计算运行安全指南

③中国网络安全标准。2016年至2018年发布的网络安全标准主要有：

GB/T 31502—2015　信息安全技术电子支付系统安全保护框架

GB/T 31495.1—2015　信息安全技术信息安全保障指标体系及评价方法第1部分：概念和模型

GB/T 31495.2—2015　信息安全技术信息安全保障指标体系及评价方法第2部分：指标体系

GB/Z 24294.2—2017　信息安全技术基于互联网电子政务信息安全实施指南第2部分：接入控制与安全交换

GB/Z 24294.3—2017　信息安全技术基于互联网电子政务信息安全实施指南第3部分：身份认证与授权管理

GB/T 31501—2015　信息安全技术鉴别与授权授权应用程序判定接口规范

GB/T 31504—2015　信息安全技术鉴别与授权数字身份信息服务框架规范

GB/T 32213—2015　信息安全技术公钥基础设施远程口令鉴别与密钥建立规范

GB/T 31491—2015　无线网络访问控制技术规范

GB/T 25067—2016　信息技术安全技术信息安全管理体系审核和认证机构要求

GB/T 22080—2016　信息技术安全技术信息安全管理体系要求

GB/T 32920—2016　信息技术安全技术行业间和组织间通信的信息安全管理

GB/T 33132—2016　信息安全技术信息安全风险处理实施指南

GB/T 31497—2015　信息技术安全技术信息安全管理测量

GB/T 31496—2015　信息技术安全技术信息安全管理体系实施指南

GB/T 32917—2016　信息安全技术 WEB 应用防火墙安全技术要求与测试评价方法

GB/T 20281—2015　信息安全技术防火墙安全技术要求和测试评价方法

GB/T 31499—2015　信息安全技术统一威胁管理产品技术要求和测试评价方法

GB/T 31495.2—2015　信息安全技术信息安全保障指标体系及评价方法第2部分：指标体系

GB/T 31495.3—2015　信息安全技术信息安全保障指标体系及评价方法第3部分：实施指南

GB/T 32918.5—2017　信息安全技术 SM2椭圆曲线公钥密码算法第5部分：参数定义

GB/T 33560—2017　信息安全技术密码应用标识规范

GB/T 32905—2016　信息安全技术 SM3密码杂凑算法

GB/T 33133.1—2016　信息安全技术祖冲之序列密码算法第1部分：算法描述

GB/T 32918.1—2016　信息安全技术 SM2椭圆曲线公钥密码算法第1部分：总则

GB/T 32918.2—2016　信息安全技术 SM2椭圆曲线公钥密码算法第2部分：数字签名算法

GB/T 32918.3—2016　信息安全技术 SM2椭圆曲线公钥密码算法第3部分：密钥交换协议

GB/T 32918.4—2016　信息安全技术 SM2椭圆曲线公钥密码算法第4部分：公钥加密算法