鹰之旅 Falcon's Blog

本文为转贴，来源为：http://www.ccsa.org.cn/article_new/show_article.php?categories_id=9a3b9517-81fb-cd8f-ced2-45513558dcd9&article_id=expert_b15c5eea-7bef-d8cb-2dd2-436ef6267b0e

一、引言
　　中办发〔2003〕27号文件《关于加强信息安全保障工作的意见》中指出，“要加强信息安全标准化工作，抓紧制定急需的信息安全管理和技术标准，形成与国际标准衔接的具有中国特色的信息安全标准体系。重视标准的贯彻实施，充分发挥其的基础性、规范性作用”。这对我国信息安全标准化工作提出了很高的要求。
　　信息安全标准是确保有关信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。信息安全标准是我国信息安全保障体系的重要组成部分，是政府进行宏观管理的重要手段。信息安全保障体系的建设、应用，是一个极其庞大的复杂系统，没有配套的安全标准，就不能构造出一个可用的信息安全保障体系，没有自主开发的安全标准，就不能构造出一个自主可控的信息安全保障体系。
　　信息安全标准化工作对于解决信息安全问题具有重要的技术支撑作用。信息安全标准不仅关系到国家安全，同时也是保护国家利益、促进产业发展的一种重要手段。在世界经济一体化发展的今天，不同国家、地区之间，已常常把信息安全标准作为保护利益和解决冲突的一种重要手段。在我国加入WTO的今天，只有作好安全问题这篇文章，积极推动信息安全标准化，才能在信息时代全球化竞争中掌握“制技术权”。因此，信息安全标准化工作是一项艰巨、长期的基础性工作。
 
二、国外信息安全标准化现状
　　国际上，信息安全标准化工作，兴起于二十世纪70年代中期，80年代有了较快的发展，90年代引起了世界各国的普遍关注。现将国外主要的标准化组织有关信息安全标准化工作的情况简要介绍如下：
 
2.1 国际标准化组织(ISO)
(1) JTC1/SC27信息技术 安全技术
　　在国际标准化组织中，ISO/IEC JTC1（信息技术标准化委员会）所属的安全技术分委员会（SC 27），主要负责开展安全标准的研制工作，其前身是ISO/TC97 SC20。
　　1979年，英国向ISO/TC97提出开展数据加密技术标准化的建议，ISO/TC97采纳了建议，并于1980年组建直属工作组。后来，TC97认为，数据加密技术专业性很强，需设个分技术委员会来专门开展这方面的标准化工作，于是1984年1月在德国波恩正式成立分技术委员会SC20。我国也派人出席了这次会议，并成为该分委员会的P成员。从此，数据加密技术标准化工作在ISO/TC97内正式蓬勃展开。
　　SC20的标准项目中包含OSI环境下使用加密技术的互操作要求，它与SC6和SC21的工作范围有重复。1986年5月，TC97要求三个分委员会主席开会协调，向技术委员会报告协调结果，再由技术委员会决定采以措施。1989年6月正式决定撤消原来的SC20，组建新的SC27。在SC20存在的五年期间完成了两个正式标准：ISO 8372和ISO 9160。
　　1990年4月瑞典斯德哥尔摩年会上正式成立SC27，其名称为：信息技术-安全技术，秘书处设在德国的BSI，其工作范围为信息技术安全的一般方法和技术的标准化，包括：
  √　确定信息技术系统安全的一般要求（含要求方法）；
  √　开发安全技术和机制（含注册程序和安全组成部分的关系）；
  √　开发安全指南（如解释性文件，风险分析）；
  √　开发管理支撑性文件和标准（如术语和安全评价准则）。　　
　　截止至2003年12月，该分技术委员会已制定和正在研制的国际标准有70多项。这些标准主要涉及密码算法、散列函数、数字签名机制、实体鉴别机制、安全评估准则等领域，并对促进国际信息安全起了重要作用。
 
(2) TC 68银行和有关的金融业务
　　在国际标准化组织内，ISO/IDC JTC1/SC27负责通用信息技术安全标准的制定，ISO/TC68负责银行业务应用范围内有关信息安全标准的制定。一个是制定通用基础标准，一个是制定行业应用标准，两者在组织上和标准之间都有着密切的联系。他们都是在80年代中期开始制定标准的，ISO/TC68负责制定标准的项目约有30项。
 
(3) 其他分技术委员会
　　在ISO、IEC 的联合技术委员会JTC1内，除了SC27专门从事安全技术和安全机制的标准化工作外，还有6 个分技术委员会分别承担一部分安全标准制定任务。
　　SC6 —系统间通信与信息交换，主要开发开放系统互连下四层安全模型和安全协议，如物理层加密的互操作性要求(ISO 9160)，网络层安全协议(ISO/IEC 11557)等。
　　SC17—识别卡和有关设备，主要开发与识别卡有关的安全标准。
　　SC18—文件处理及有关通信，主要开发电子邮件、消息处理系统等安全标准。
　　SC21—开放系统互连，数据管理和开放式分布处理，主要开发开放系统互连安全体系结构，各种安全框架，高层安全模型等标准，如:著名的ISO/IEC 7498—2 以及一系列安全框架标准(ISO/IEC 9594—1至8)。
　　SC22—程序语言，其环境及系统软件接口，也开发相应的安全标准。
　　SC30—开放式电子数据交换，主要开发电子数据交换的有关安全标准。如电子数据交换密钥和证书管理报文(ISO 9735-9)，交互式电子数据交换安全规则(ISO 9735-10) 等。
 
2.2 国际电工委员会（IEC）
　　IEC成立于1906年，是世界上最早的国际性电工标准化机构，IEC负责有关电工、电子领域的国际标准化工作。在信息安全标准化方面，除了同ISO联合成立的JTC1下属几个分委员会外，还在电磁兼容等方面成立技术委员会，并制定相关国际标准，如信息技术设备安全（IEC 60950）。与信息安全标准化相关的技术委员会有：
　　√　TC56 可靠性；
　　√　TC74 IT设备安全和功效；
　　√　TC77 电磁兼容；
　　√　CISPR 无线电干扰特别委员会等。
 
2.3 国际电信联盟（ITU）
　　国际电信联盟电信标准局ITU-T 所属的SG17组，主要负责研究通信系统安全标准。2001年底， SG7、SG10和SG17合并形成了新的SG17组。在2001年-2004年研究期中，SG17组下设了Question10项目组来专门从事信息安全标准研究。在此研究期内，Q10组主要集中于定义通信系统相关的整个安全框架，项目组活动涉及到协调、配合并推动其他通信系统安全相关的规范制定。根据2004年3月SG17组会议安排，在下一个研究期，SG17将把Q10改组成以下六个课题组：Q.G-安全项目、Q.H-安全结构和框架、Q.I-计算机网络安全、Q.J-安全管理、Q. K-基于生物特征的身份认证、Q.L -安全通信服务。
　　ITU-T单独或与ISO 联合开发了消息处理系统（MHS）、目录系统(X.400系列、X.500系列)和安全框架、安全模型等方面的信息安全标准，其中的X.509标准是开展电子商务认证的重要基础标准。截止2004年3月，ITU-T正式发布的信息安全标准达74个。
 
2.4 Internet工程任务组（IETF）
　　IETF主要提出Internet标准草案和称为“请求注解”(RFC) 的协议文稿，内容广泛，也包括安全方面的建议稿，经过网上讨论修改，被大家接受的就成了事实上的标准。目前，IETF有关信息安全的工作组有：enroll、idwg、inch、ipsec、ipseckey、ipsp、kink、krbwg、ltans、mobike、msec、openpgp、pki4ipsec、pkix、sacred、sasl、secsh、smime、stime、syslog、tls等21个。
　　截止2003年底，有关安全方面的RFC有190多个，例如：RFC 1352 SNMP安全协议；RFC 1421-1424 因特网电子邮件保密增强；RFC 1825 因特网协议安全体系结构等。这些事实标准对提高和改善Internet网的安全性起到了至关重要的作用，如PKI、IPSec等标准及其草案将成为指导Internet未来安全的重要文件。
 
2.5　欧洲计算机厂商协会（ECMA）
　　ECMA成立于1961年，除吸收欧洲计算机厂商，还吸收全球其他洲的各大计算机公司、厂商成为其会员，主要制定计算机及其相关应用的标准和技术报告，经常向ISO提交标准提案。JTC1的欧洲秘书处就设在ECMA。它有11个技术委员会，其中TC32——“通信、网络和系统互连”曾定义了开放系统应用层安全结构；TC36——“IT安全”负责信息技术设备的安全标准，目前主要制定商用和政府用信息技术产品和系统安全性评估标准化框架，以及在开放系统环境下逻辑安全设备的框架。
 
2.6 美国
(1) 美国国家标准（ANSI）
　　ANSI通过其X3、X9、X12等机构制定了很多有关数据加密、银行业务安全和EDI安全等方面的标准。这些标准中，许多经国际标准化组织反复讨论后成为国际标准。
　　ANSI中技术委员会NCITS（即X3）负责信息技术，也是JTC1的秘书处，其分技术委员会T4负责IT安全技术，对口JTC1的SC27。NCITS从二十世纪80年代初开始研制数据加密标准，但到目前为止，只制定了三个通用的国家标准。
　　ANSI负责金融安全的小组有X9和X12。X9制定金融业务标准， X12制定商业交易标准。已制定金融交易卡、密码服务消息，以及实现商业交易安全等方面的安全标准10多个。
 
(2) 美国联邦信息处理安全标准（FIPS）
　　美国联邦政府非常重视自动信息处理的安全，早在70年代初就开始了信息技术安全标准化工作，1974年就已发布标准。1987年的“计算机安全法案”明确规定了政府的机密数据、发展经济有效的安全保密标准和指南。
　　联邦信息处理标准（FIPS）由国家标准技术研究所（NIST）颁发。FIPS由NIST在广泛搜集政府各部门及私人部门的意见的基础上写成。正式发布之前，将FIPS分送给每个政府机构，并在“联邦注册”上刊印出版。经再次征求意见之后，NIST局长把标准连同NIST的建议一起呈送美国商业部，由商业部长签字划押同意或反对这个标准。FIPS安全标准的一个著名实例就是数据加密标准（DES）。
　　从二十世纪70年代公布的数据加密标准（DES）开始，NIST制定了一系列有关信息安全方面的联邦信息处理标准（FIPS），截止至2003年12月该机构已制定了33项信息安全相关的FIPS和66项信息安全相关的专题出版物（SP 800和SP 500）。
 
(3) 美国国防部的信息安全指令和标准（DODDI）
　　美国国防部十分重视信息的安全问题，美国国防部发布了一些有关信息安全和自动信息系统安全的指令、指示和标准，并且加强信息安全的管理，特别是DOD 5200.28-STD《可信计算机系统评估准则》，受到各方面广泛的关注。
 
(4) 美国电气电工工程师协会（IEEE）
　　IEEE在信息安全标准化方面的贡献，主要是提出LAN/WAN安全方面的标准（SILS）和公钥密码标准（P1363）。从1990年IEEE成立 802.11“无线局域网工作组”以来，相继成立的802.15“无线个人网络工作组”、 802.16“无线宽带网络工作组” 和802.20“移动宽带无线接入工作组”等在无线通信安全方面也作了大量的贡献，如正在研制的IEEE 802.11i。
　　除上述国外主要标准化组织外，CEN/ISSS、ETSI、3GPP、3GPP2、OASIS等区域性标准组织、专业协会或社会团体也制定了一些安全标准，虽然它们不是国际标准，但由于其制定与使用的开放性，部分标准已成为信息产业界广泛接受和采纳的事实标准。
 
三、我国信息安全标准化现状
　　我国有关主管部门十分关注信息安全标准化工作，早在1984年7月就组建了数据加密技术委员会，并于1997年8月改组成全国信息技术标准化委员会的信息安全技术分委员会，负责制定信息安全的国家标准。在全国信息技术标准化技术委员会信息安全分技术委员会和各部门各界的努力下，本着积极采用国际标准的原则，转化了一批国际信息安全基础技术标准。另外，信息产业部、公安部、安全部、国家保密局、国家密码管理委员会等相继制定、颁布了一批信息安全的行业标准，为推动信息安全技术在各行业的应用和普及发挥了积极的作用。截至2003年底，我国正式颁布的信息安全相关国家标准有47项。
 
3.1 全国信息安全标准化技术委员会
　　信息安全标准化是一项涉及面广、组织协调任务重的工作，需要各界的支持和协作。为了加强信息安全标准化工作的组织协调力度，国家标准化管理委员会批准成立全国信息安全标准化技术委员会（简称信息安全标委会，委员会编号为TC260）。该技术委员会的成立标志着我国信息安全标准化工作，步入了“归口管理、协调发展”的新时期。该标委会是我国在信息安全的专业领域内，从事信息安全标准化工作的技术工作组织。它的工作任务是向国家标准化管理委员会提出本专业标准化工作的方针、政策和技术措施的建议。该标委会将协调各有关部门，本着公开、公正、协商的原则组织提出一套系统、全面、分布合理的信息安全标准体系，以信息安全标准体系为工作依据，有步骤、有计划地进行信息安全标准的制定工作。标委会的标准研究工作采用工作组的方式进行，工作组由国内信息安全技术领域的有关部门、研究机构、企业事业及高等院校等代表组成。目前，该标委会拟设置如下工作组：
　　√　信息安全标准体系与协调工作组（WG1）
　　√　内容安全分级及标识工作组（WG2）
　　√　通信安全工作组（WG3）
　　√　PKI/PMI工作组（WG4）
　　√　信息安全评估工作组（WG5）
　　√　应急处理工作组（WG6）
　　√　信息安全管理（含工程与开发）工作组（WG7）
　　√　电子证据及处理工作组（WG8）
　　√　身份标识与鉴别协议工作组（WG9）
　　√　操作系统与数据库安全工作组（WG10）
 
3.2 公安部信息系统安全标准化技术委员会
　　为了适应我国信息化进程的飞速发展，保障我国信息系统和信息网络的安全，促进信息安全产业的形成和发展，满足公安机关对信息系统实施安全保护与监察的工作需要，更好地开展信息系统安全技术领域的标准化工作，公安部信息系统安全标准化技术委员会于1999年3月31日经公安部科技局批准正式成立。主要任务是在公安部的领导下，负责规划和制定我国信息安全标准和技术规范，监督技术标准的实施。制定标准的工作范围包括：计算机信息系统安全保护等级标准；应用系统安全等级评估检测标准；计算机信息系统安全产品标准；计算机信息系统安全管理标准等。
　　目前，公安部发布了如下14个标准：
　　1)GA 0135-1996 DOS 操作环境中计算机病毒防治产品测试方法
　　2)GA 163-1997 计算机信息系统安全专用产品分类原则
　　3)GA 173-2002 计算机信息系统防雷保安器
　　4)GA 174-1998 基于DOS的信息安全产品评级准则
　　5)GA/T 367-2001视频安防监控系统技术要求
　　6)GA/T 368-2001入侵报警系统技术要求
　　7)GA/T 387-2002计算机信息系统安全等级保护网络技术要求
　　8)GA/T 388-2002计算机信息系统安全等级保护操作系统技术要求
　　9)GA/T 389-2002计算机信息系统安全等级保护数据库管理系统技术要求
　　10)GA/T 390-2002计算机信息系统安全等级保护通用技术要求
　　11)GA/T 391-2002计算机信息系统安全等级保护管理要求
　　12)GA/T 403.1-2002 信息技术入侵检测产品技术要求 第1部分：网络型产品
　　13)GA/T 403.2-2002 信息技术 入侵检测产品技术要求 第1部分：主机型产品
　　14)GA/T 404-2002 信息技术 网络安全漏洞扫描产品技术要求
　　正在制定的标准有：
　　─信息系统安全保护等级评估准则
　　─操作系统安全保护等级评估准则
　　─数据库管理系统安全保护等级评估准则
　　─路由器安全保护等级评估准则
　　─防火墙安全保护等级评估准则
　　─web服务系统安全保护等级评估准则
　　─电子政务系统安全保护等级评估准则
　　─网络安全保护等级评估准则
　　─PKI安全保护等级评估准则
　　─VPN安全保护等级评估准则
　　─网关安全保护等级评估准则
　　─信息系统安全保护体系结构
　　─信息系统安全保护等级工程管理要求
 
3.3 中国通信标准化协会网络与信息安全技术工作委员会
　　为解决基础网络安全保障问题和我国通信行业在全球化竞争中掌握“制技术权”这两大问题，我们宜在通信行业的安全管理方面采取许多措施，例如在电信业务经营许可和电信设备进网许可中增加相应的“安全要求”，强化电信安全监管；在对公用电信网、专用通信网的建设规划、审批与日常监管中增加相应的“安全要求”，这些措施能否有效执行，其关键、基础是“安全标准化”工作。
　　为积极推动我国通信行业安全标准化工作，2002年国家计算机网络与信息安全管理中心联合中国电信集团公司、中国移动通信集团公司、中国网络通信集团公司、中国联合通信集团公司、铁道通信信息有限责任公司、中国卫星通信集团公司等10个单位联合发起组织成立通信安全标准研究组，并得到信息产业部科技司的批准。2003年12月，根据信息产业部科技司和中国通信标准化协会（CCSA）的有关决定，将通信安全研究组直接纳入了中国通信标准化协会，成立了网络与信息安全技术工作委员会（TC8）。
　　CCSA TC8主要负责研究涉及有关通信安全技术和管理标准，其研究领域包括面向公众服务的互联网的网络与信息安全标准、电信网与互联网结合中的网络与信息安全标准、特殊通信领域中的网络与信息安全标准。TC8设置有线网络安全工作组（WG1）、无线网络安全工作组（WG2）、安全管理工作组（WG3）和安全基础设施工作组（WG4）等四个工作组。
　　CCSA TC8的成立在国内外引起了强烈反响，新华社专门作了专门报道，将行业安全标准化组织的成立和标准体系建设作为我国的基础性工作予以充分肯定。
　　目前为止，TC8已拥有涵盖国内有关运营商、设备制造商、大学和科研院所的全权会员单位23家，列席会员单位2家。TC8拟在今年开展《高端路由器安全技术要求》、《中低端路由器安全技术要求》、《电信网管安全技术规范》、《移动通信智能卡安全技术要求》、《信息安全服务资质评估准则》等近20项标准项目研究。
　　除上述三个专业性信息安全标准化组织外，我国其他有关主管部门和地方政府也发布了部分信息安全行业标准或地方标准：
　　国防科学技术工业委员会1991年发布了《指挥自动化计算机网络安全要求》（GJB128－91）、《军队通用计算机系统使用安全要求》（GJB1295－91），1994年发布了《军用计算机安全术语》（GJB2255－95），1996年发布了《军用计算机安全评估准则》（GJB2646－96）；国家技术监督局和建设部1993年联合发布了《电子计算机机房设计规范》（GB 50174－93）；电子工业部1993年发布了《电子计算机机房施工及验收规范》（SJ/T30003－93）；中国证监会1998年颁布了《中国证券经营机构营业部信息系统技术管理规范（试行）》、《证券经营机构营业部信息系统技术管理规范（试行）》；人民银行2001年发布了金融行业标准《银行卡联网联合安全技术要求》（JR/T 0003-2001）；2002年，北京市发布了《党政机关信息系统安全测评规范》（DB11/T 171-2002）、上海市发布了《计算机信息系统安全测评通用技术规范》（DB31/T 272-2002）、山东省发布了《计算机信息网络安全管理要求》（DB37/T 313-2002）等。

[separator]

 
四、我国信息安全标准化存在的问题及对策建议
　　信息安全标准在国家信息安全保障体系中具有举足轻重的作用，没有安全标准，相应的产品、系统、工程就不能互联互通互操作，产品的一致性、可靠性和先进性就无法保证，尤其具有特殊意义的是，一个国家的安全标准，意味着这个国家在IT领域的技术主权，深刻制约着这个国家的安全产品的研发、生产、测评和使用。
 
4.1 存在的主要问题
　　我国目前在信息安全标准化方面存在以下十分突出的问题：
　　首先，我国的安全标准数量远远少于现行的产品品种。截至2003年底，我国仅有国家标准47个，其中，43个为框架性基础标准，具有方法论的指导作用，而不是可操作、可直接实现的标准。安全产品标准仅有4个，而由于技术的变化，这几个有限的产品标准几乎都已不可用了，同时为数不多的标准大部分是翻译国外标准。
　　其次，是标准研究的方法，至今还沿袭几十年一贯制的“计划经济体制”的方法：即国家定计划，以科研项目的方式下达、管理，由有关专家编制，同时经费相当少。这种体制导致的直接结果是：有技术含量的标准根本研究不出来，微薄的经费规模，连开一个评审会的经费都不够，更不用说大量原理性、应用性技术试验和标准验证试验的经费了。因此，我国安全标准数量相当少的现象是必然的。
　　其三，与上述标准研究的体制缺陷直接相关的是，还有一系列的认识和政策上的误区：
　　第一，认为标准是软课题，仅仅体现为“文本”。其实，一个有技术含量，可实现可用的标准，是在相关安全产品艰深原理的研究基础上，在对该产品进行各方面的安全试验取得真实数据的基础上，才能提出标准文本的具体内容、指标和参数，对标准文本中的所有技术指标、要求，还要进行验证试验。同时，安全标准文本所体现的内在技术结构，还需要将全面深入的安全体系技术理论、方法和相应产品本身的专业技术、开发生产与应用经验融合起来，才能形成。而我国目前有关方面进行的安全标准研究，都难以创造上述条件，其结果仍难跳出“软课题”的思路。
　　第二，认为只要有标准，企业、用户、社会就会采用，就能实现标准化了。其实，标准不是行政规章。行政规章一经编制出来，有关机关予以公布，社会相应领域就会照此执行。而标准则不同，标准是与产品和产品的市场覆盖面紧密联系的。如果一种产品、一种技术不被市场接受，不被社会装备、使用，即使国家、行业主管部门为之颁发了一个标准，也没有厂商和用户“照此办理”的，因为，不存在这个标准所规范的产品。比如，我国使用的所有骨干网上的产品，其标准是美国的全球性生产企业制订的，它是事实上的标准。而且，所有与之相关的产品都要按照它的性能、功能的接口要求制订标准，实施开发。事实上，我国现在颁布的大部分安全标准，都是直接翻译采用这类标准，如果我国要另行起草一个与正在广泛使用的产品标准不同的技术要求的标准文本，而这个文本又正是要规范同一种产品的，那么，这个新标准是没有人采用的。因为，这个新标准所规定的产品不存在。
　　第三，认为标准是政府的事，不是企业的事。其实，政府只管理标准的颁布，使之具有法律效力。标准的研究编制，正是企业的事，而且是那种产品的市场占有率很大，产业化规模很大的企业的事，只有这个企业的市场占有率和市场预期足够大的时候，企业就会积极为标准投入，才会从自身的战略利益出发去创造上述标准研究的所有物质和技术条件，才能进行真正意义上的“研究”和“试验”，也才可能产生技术含量高，可用可实现的“标准”，也才能体现出“得标准者得天下”的意义。所谓“天下”，就是占有市场，没有市场规模的产品，不需要标准，因为，没有人用它。我国要在信息化建设的进程中，大力推进标准化，如果不避开上述误区，不改革标准研发的体制，其结果必然是：国家和行业的安全标准将仍然是极其稀少，即使国家投巨资，集中大量专家写出众多标准文本，这种文本仍然不被业界应用，仍然只是具有软科学研究的性质。而市场上装备的产品，其依据的标准，仍然是那些事实上的标准——可能是外国的国家标准或企业标准。我国仍然没有通过标准这一途径获得“技术主权”。
　　信息安全标准要“化”起来，它的前提是：这个标准所规范代表的产品必须要在市场上“化”起来，只有这种情况，业界才会活跃起来，才会积极投入，国家才能真正实现安全标准的战略目标——控制国家的技术主权。

[separator]

 
4.2建立完善信息安全标准体系
　　信息安全保障体系的建设、应用，是一个极其庞大的复杂系统，没有配套的安全标准，就不能构造出一个可用的信息安全保障体系，没有自主开发的安全标准，就不能构造出一个自主可控的信息安全保障体系。因此，国家标准化管理委员会把建立完善的信息安全标准体系作为2004年国家标准化工作的重点。
　　信息安全标准体系是信息安全保障体系十分重要的技术体系，其主要作用突出地体现在两个方面，一是确保有关产品、设施的技术先进性、可靠性和一致性，确保信息化安全技术工程的整体合理、可用、互联互通互操作。二是按国际规则实行IT产品市场准入时为相关产品的安全性合格评定提供依据，以强化和保证我国信息化的安全产品、工程、服务的技术自主可控。
　　信息安全标准体系涉及基础标准、技术标准、应用标准、服务标准和管理标准等五类标准，其结构框架为：
 



　　标准化体系是一个包括标准体系研究、标准文本制修订和技术验证、标准的产业化应用等环节及其相关组织运作和程序的整体。信息安全标准体系的落实，必须与国家信息化建设、信息安全保障体系建设同步，必须是有关产品、系统、设施的研发者、建设者、运营管理者面向产业和市场在国家的主导下共同参与，才能开发出我国有自主知识产权的信息安全标准。