所谓标准,是指为了在一定的范围内获得最佳秩序,经协商一致制定并由公认机构批准,共同使用的和重复使用的一种规范性文件(GB/T 20000.1—2002,定义2.3.2)。技术标准可以是标准技术规范、标准测试方法、标准定义、标准操作规程等。标准化是指建立技术标准的过程。我国《国家标准化发展纲要》指出,标准是经济活动和社会发展的技术支撑、是国家基础性制度的重要方面,标准化在推进国家治理体系和治理能力现代化中发挥着基础性、引领性作用。在网络空间信息交换场景下,标准化特指多个信息处理者针对某一业务过程协商制定一致性的数据交换格式和方式,有助于增强多源产品间的兼容性、互操作性、可重复性,是复杂系统集成的基础。网络安全标准是网络安全治理体系的关键支撑工具,是政府和企业开展工作的重要依据,涉及国家安全和经济利益。网络安全标准化是一项艰巨、长期的基础性工作,兴起于20世纪70年代中期。知名的国际组织包括ISO(国际标准化组织)、IEC(国际电工委员会)、ITU(国际电信联盟)、IETF(互联网工程任务组)等。
我国的国家标准化管理委员会(Standardization Administration of China,SAC)简称国家标准委,是国家市场监督管理总局(市监总局)对外保留的牌子。市监总局以SAC的名义下达国家标准计划,批准发布国家标准,审议并发布标准化政策、管理制度、规划、公告等重要文件;开展强制性国家标准对外通报;协调、指导和监督行业、地方、团体、企业标准工作;代表国家参加ISO、IEC和其他国际或区域性标准化组织;承担有关国际合作协议签署工作;承担国务院标准化协调机制日常工作。SAC在各专业领域分别下设技术委员会(TC),负责该领域国家标准的提出并归口。TC的主管部门是各行业协会,TC可下设分委会(SC)。TC260是全国信息技术安全标准化技术委员会。
SAC的前身可追溯到1954年成立的国家计量局(国务院直属)和1957年成立的国家技术委员会标准局。1958年,国家计量局成为国家技术委员会的会属局。1972年11月,国务院批准成立国家标准计量局,主管全国标准和计量工作,由中科院代管。1977年9月,国家标准计量局改为由国家科委和国家计委代管。1978年8月、10月,国家标准总局和国家计量总局先后获批成立,分别划归国家经委和国家科委,国家标准计量局撤销。1978年8月,国家标准总局发起的中国标准化协会(CAS)成立,它是全国性法人社会团体和中国科学技术协会成员单位,由从事标准化工作的单位和个人自愿参与组成。1978年9月1日,中华人民共和国以中国标准化协会名义加入ISO。1982年国务院机构改革,国家计量总局并入国家经委,改名国家计量局;国家标准总局也更名国家标准局。1985年起,国家标准局代替中国标准化协会参加ISO。1988年国务院机构改革,为“克服目前技术监督工作分散管理、重复低效和缺乏权威性的弊病”,组建国家技术监督局,作为国务院直属局“统一管理全国的标准化、计量和质量监督工作”,国家计量局和国家标准局被撤销。1989年,国家技术监督局开始代表中国参加ISO。1993年4月,国家技术监督局被调整为国家经贸委管理的副部级国家局(国发〔1993〕26号) [97] ,维持“标准化、计量、质量”三位一体的工作体制不变,但将行业标准的规划和编号等工作下放给行业主管部门。1998年3月,国务院通知将国家技术监督局调整为国家质量技术监督局(国发〔1998〕5号) [19] ,为国务院直属机构。2001年4月30日,国务院发出通知(国发〔2001〕13号),将国家质量技术监督局、国家出入境检验检疫局合并,组建国家质量监督检验检疫总局(简称“质检总局”),为国务院正部级直属机构 [98] 。2001年10月11日,SAC正式成立,是由质检总局管理的事业单位,经国务院授权统一管理全国标准化工作。此后SAC代表中国参加ISO工作。2018年,国家市场监督管理总局作为国务院直属机构成立,SAC职责被划入该局,由标准技术管理司和标准创新管理司承担。
IEC是世界上最早的国际标准化专门机构,1906年成立于伦敦,当前总部在日内瓦。IEC的成员为国家级委员会(NC),普通企业和个人不得成为IEC成员。对于未同ISO合作产生的IEC标准,其标准号位于60000~79999区间。
ISO是制定工商业国际标准的非政府组织,成立于1947年2月23日,总部在日内瓦,官方语言是英、法、俄语。ISO会员是代表其所属经济体的标准化机构,包括正式会员、通讯会员和订阅会员。正式会员为代表各成员国的国家级标准团体(NSB),具有投票权;通讯会员来自不具有NSB的国家或地区,具有工作进展沟通权限;订阅会员来自小型经济体,以折扣会费订阅工作信息。中国是ISO创始国之一,SAC作为中国NSB持正式会籍。中国香港特别行政区、澳门特别行政区均持有通讯会籍,中国台湾地区无会籍。ISO标准以标准号和年份标识,前者决定主题,后者可限定版本,如“ISO 9000:2015”中9000是标准号,2015为年份。具体的标准化工作由各领域的技术委员会(TC)或分委会(SC)制定,其工作人员为各会员单位派遣的专家。TC/SC可下辖工作组(WG),WG可下辖分工作组(SG)。
针对IT领域的标准化,ISO与IEC于1987年成立了联合委员会ISO/IEC JTC1,由ISO/TC 97(信息技术委员会)、IEC/TC 83(信息技术设备委员会)、IEC/SC 47B(微机分委会)合并而来,以避免ISO和IEC出现重复劳动。ISO/IEC JTC1实施了一项将社区公开规范(Publicly Available Specifications,PAS)转换为ISO/IEC标准的机制,从而快速吸收业界优秀的标准化成果,规避耗时数年的完整作业。IT领域的PAS多来自结构化信息标准促进组织(OASIS)、可信计算组织(TCG)、开放标准组织(TOG)、对象管理组织(OMG)、万维网联盟(W3C)、分布式管理任务组(DMTF)等开放标准社团。ISO/IEC JTC1下辖多个分委会负责具体领域的标准化,其中SC27负责IT安全技术问题。ISO/IEC JTC1/SC27于1990年成立于巴黎,其前身为JTC1/SC20(数据加密技术分委会),目前下辖多个工作组和特别工作组(SWG)。其中,WG1全称为“ISO/IEC JTC 1/SC 27/WG 1”,工作领域为信息安全管理体系(ISMS),制定出了著名的ISO/IEC 27000系列标准;WG4的领域为“安全控制和服务”,曾推出信息安全事件管理标准ISO/IEC 27035。ISO/IEC国际标准可被引进为国家标准,引进方式包括等同采用(IDT)、修改采用(MOD)、等效采用(EQV)和非等效采用(NEQ)。IDT不涉及内容修改,MOD伴随一定的技术性差异,EQV允许产生较小的、可被反向接受的技术差异,NEQ意味着重大差异。
我国《标准化法》将标准划分为国家标准、行业标准、地方标准、企业标准四个层次,形成一个覆盖全国又层次分明的标准体系。国家标准简称国标,由SAC发布,分为强制性国标、推荐性国标,分别以GB、GB/T作前缀。国家标准可对ISO标准进行等同采用(IDT)或修改采用(MOD)。信息安全领域的国家标准绝大多数是推荐性标准,强制性国标与评估认证有关,如《计算机信息系统 安全保护等级划分准则》(GB 17859—1999)《网络关键设备安全通用要求》(GB 40050—2021)。行业标准、地方标准均是推荐性标准。对没有推荐性国家标准、需要在全国某个行业范围内统一的技术要求,可以制定行业标准。行业标准由国务院有关行政主管部门制定,报国务院标准化行政主管部门备案。当同一内容的国家标准公布后,对应内容的行业标准即行废止。我国涉及信息安全的行业标准包括保密标准(BMB)、公共安全标准(GA)、军用标准(GJB)、密码行业标准(GM)、金融行业标准(JR)、电子行业标准(SJ)、通信行业标准(YD)等类型。地方标准也叫区域标准,由省级标准化主管机构制定,报国务院标准化行政主管部门备案,其代号形如“DB+两位省级代码”。国家鼓励企业制定严于国家标准或者行业标准的企业标准,在企业内部适用。除上述四类标准外,“国家标准化指导性技术文件”是指为仍处于技术发展过程中的标准化工作提供指南或信息,供科研、设计、生产、使用和管理等有关人员参考使用而制定的标准文件,由国务院标准化行政主管部门统一管理,以GB/Z为前缀。例如《信息技术 安全技术 信息安全事件管理指南》(GB/Z 20985)。
全国信息技术标准化技术委员会(简称信标委、NITS、CITS),编号SAC/TC28,原称全国计算机与信息处理标准化技术委员会,成立于1983年。信标委目前在SAC和工信部共同领导下从事全国IT标准化工作,对口ISO/IEC JTC1(除JTC1/SC27外)。信标委于1984年7月组建数据加密分委员,1985年发布我国首个信息安全标准,1997年8月将数据加密分委会改组成信息技术安全分委员会,与JTC1/SC27对口 [99] 。
2002年4月15日,全国信息安全技术标准化委员会(简称信安标委、TC260)在北京正式成立,标志着我国信息安全标准化工作进入了“统一领导、协调发展”的新时期。TC260的工作涉及安全技术、安全机制、安全服务、安全管理、安全评估等,对口ISO/IEC JTC1/SC27。TC260下辖秘书处、信息安全标准体系与协调工作组(WG1)、密码技术工作组(WG3)、鉴别与授权工作组(WG4)、信息安全评估工作组(WG5)、通信安全标准工作组(WG6)、信息安全管理工作组(WG7)和大数据安全标准特别工作组(SWG-BDS),成员单位达数百之众。2016年8月12日,中央网信办、质检总局、SAC联合发布《关于加强国家网络安全标准化工作的若干意见》(中网办发文〔2016〕5号),提出建立统一权威的国家标准工作机制,促进行业标准规范有序发展,促进产业应用与标准化的紧密互动和推动军民标准兼容。《意见》要求TC260在SAC领导下,在中央网信办的统筹协调和有关网络安全主管部门的支持下,对网络安全国家标准进行统一技术归口,统一组织申报、送审和报批。
中国通信标准化协会(CCSA)于2002年12月18日在北京正式成立,是国内企、事业单位自愿联合组织起来,开展通信技术领域标准化活动的非营利法人社团。CCSA下辖若干技术工作委员会(TC),其中TC8负责网络与信息安全,下设多个工作组。
2011年10月,密码行业标准化技术委员会(简称密标委)经SAC和国密局批准成立。密标委是非法人技术组织,归口国密局领导和管理,从事密码技术、产品、系统和管理等方面的标准化工作。密标委委员由政府、企业、科研院所、高等院校、检测机构和行业协会等有关方面的专家组成。目前,密标委已发布多个商用密码行业标准,覆盖了密码算法、产品、技术、检测、应用指南等方面。2017年11月3日,含有我国SM2与SM9密码算法的《带附录的数字签名第3部分:基于离散对数的机制-补篇1》文件(ISO/IEC14888-3/AMD1)获得一致通过,成为ISO/IEC国际标准。
开放标准(Open Standard)尚无广泛认可的定义,它一般是指那些在开发、扩展、访问、使用环节都具有开放性的标准,任何人都可以参与其开发过程,对用户颁发无歧视的使用许可。许多组织主张开放标准不得对使用者收费,但其他组织则认为可以收取合理而无歧视的费用。与开放标准对立的是私有标准(Proprietary Standard),它只允许在版权方发布的限制性合约条款下使用。国际电信联盟电信标准化部门(ITU-T)和互联网工程任务组(IETF)都将其所发布的标准称作开放标准。ITU-T的定义是:“开放标准是能被公众获取到的标准,是通过协作性共识驱动的过程开发(或批准)和维护的标准。开放标准促进了不同产品或服务之间的互操作性和数据交换,旨在被广泛采用。”
国际电信联盟(ITU)是联合国处理ICT事务的专门机构,前身为1865年创立于巴黎的国际电报联盟,是世界上历史最悠久的国际组织之一。ITU的主要任务是制定技术标准,分配无线电资源,提升国际电信基础设施。我国代表赵厚麟自2015年1月1日起担任ITU秘书长,2019年连任。ITU成员包括联合国成员国、商业组织和社会团体等。ITU下辖3个部门(sector),其中ITU-R负责协调频谱和卫星轨道资源,前身为国际无线电咨委会(CCIR);ITU-T负责除无线电外的电信标准化,前身为国际电报电话咨委会(CCITT);ITU-D负责创建政策、规则,并面向发展中国家制订培训和资助计划。ITU-T标准化工作由各领域的研究组(SG)承担,其中SG17负责安全(Security)领域。ITU称其标准为“建议书”(Recommendation),具有很高的国际认同度。ITU-T的X系列标准以“数据网络、开放系统通信和安全”为主题,其中X.509涉及公钥基础设施,X.800描述OSI安全体系架构,X.1035提供了口令鉴别协商协议,X.1051涉及电信组织的信息安全控制机制实现,X.1205为网络安全综述,X.1254提供实体鉴别确保框架。
IETF是负责开发互联网技术标准的开放组织,其会员均为志愿者。IETF成立于1986年,起初由美国联邦政府支持运作,自1993年以来改由国际互联网协会(ISOC)支持。IETF由大量的工作组(WG)组成,各WG负责一个特定话题,一般在任务结束后解散。WG被归类到多个“领域”(area)之一,包括应用和实时域(art)、通用域(gen)、互联网域(int)、运营管理域(ops)、路由域(rtg)、安全域(sec)、传输域(tsv)等,各领域设领域主任(area director)一名。领域主任负责任命其治下WG的主席。IETF主席与各大领域主任组成“互联网工程指导组”(IESG),负责IETF的整体运作。IETF发布的备忘录称作请求意见稿(RFC)。RFC起初为阿帕网项目的非正式文档,最终演变为用来记录互联网规范、协议、过程等的标准文件。由于制定过程具有务实、敏捷的优势,RFC文件成为广为接受的技术规范,是国际互联网的运行根基。1996年3月,清华大学提交的适应不同国家和地区中文编码的汉字统一传输标准被IETF通过为RFC 1922,成为中国大陆第一个被认可为RFC文件的提交协议。RFC的内容不可变更,只能废止,原规范若被更新修订,将被赋予新的RFC编号。互联网草案(Internet Draft,I-D)是IETF产出的未定稿的技术规范,经充分评审后可提升为RFC,后续有望成为推荐标准(Proposed Standard)乃至正式的互联网标准(Internet Standard,STD)。互联网标准是规范性标准文件,其内容须具备高度的成熟性和广泛的认可度。互联网标准按照形成依据的不同可分为法理标准(de jure)和事实标准(de facto),前者由权威性流程确立,后者因社区的广泛采用而产生。互联网标准具有一个STD编号,并通过单个或多个RFC发表。STD内容更新后,STD编号维持不变,其对应的RFC编号则会发生变化。
结构化信息标准推进组织(the Organization for the Advancement of Structured Information Standards,OASIS)是一个致力于开发开放标准的非营利性联盟,在国际社会享有盛誉。OASIS成立于1993年,起初命名为“SGML Open”,致力于通过推广标准通用标记语言(SGML)提升产品间的互操作性。1998年,SGML Open更名为OASIS,以反映其更大的工作范围。目前,OASIS的工作领域包括网络安全、区块链、物联网、应急管理、云计算、内容技术等。OASIS在网络安全领域的标准化项目包括CSAF(Common Security Advisory Framework,通用安全通报框架)、OpenC2(开放指挥控制)、CTI(网络威胁情报)、CACAO(Collaborative Automated Course of Action Operations,协作式自动化响应措施操作)等。
一般来说,各经济体分别设有一个公认的国家级标准团体(NSB)作为ISO成员,如巴西国家标准化组织(ABNT)、墨西哥标准总局(DGN)、德国标准化研究所(DIN)、阿根廷标准和认证研究所(IRAM)、日本产业标准化委员会(JISC)、韩国技术和标准局(KATS)、南非标准局(SABS)、加拿大标准委员会(SCC)、瑞典标准研究所(SIS)等。
英国标准协会(British Standards Institution,BSI)于1901年成立于伦敦,起初命名为工程标准委员会(Engineering Standards Committee,ESC),是世界上最早的NSB。BSI制定的英国国家标准以BS为前缀。BSI的职责还包括引入欧洲标准(EN),并以BS标准的名义二次出版,冠以BS EN前缀。BSI还可以选择性引入国际标准,以BS ISO或BS IEC为前缀二次出版。
美国国家标准学会(ANSI)成立于1918年10月,是负责制定美国国家标准的民间非营利组织。美国国家标准学会授权标准起草机构按照一系列规范编写标准草案。由此产生的候选文献通过ANSI审核批准后成为美国国家标准。ANSI起初命名为美国工程标准委员会(AESC),1928年改为美国标准协会(ASA),1966年8月改组为美利坚合众国标准组织(USASI),1969年10月6日改为现名。ANSI作为美国NSB,是ISO和IEC成员。
美国国家标准与技术研究院(NIST)不是美国的NSB,却在标准化领域拥有巨大的影响力。NIST创立于1901年,旧称美国国家标准局(NBS),隶属美国商务部,官方使命为“推进计量科学、标准、技术,增强经济安全,提高生活质量,促进美国的创造力和产业竞争力”。NIST聘有千余名在编科学家、工程师、后勤和管理人员,还有数千名来自国内外企业的编外专业人士。NIST下设信息技术实验室(ITL),ITL由应用网络安全(ACD)、计算机安全(CSD)、高级网络技术(ANTD)等科室组成。ITL的出版物包括双月刊(ITL newsletter)、公报(bulletin)、联邦信息处理标准(FIPS)、特别出版物(SP)等形式。SP 800系列文件以信息安全和隐私保护为主题,包括指南、建议书、技术规范、年报等内容类型。NIST标准可以公开下载,被全球信息安全从业者当作宝贵的学习资料。NIST SP 800-90标准被质疑含有NSA密码后门,事件发酵后,NIST撤回了涉事的密码算法。
欧洲电工标准化委员会(CENELEC)、欧洲电信标准协会(ETSI)和欧洲标准化委员会(CEN)为欧盟认可的三大欧洲标准组织(ESO),分别承担电工学、ICT和其他领域的标准化工作,发布欧洲标准(EN)文件。EN标准被视作实现单一欧洲市场的关键因素,欧盟成员国必须将EN标准采用为国家标准,并废止所有存在冲突的国家标准。CEN成立于1961年,总部在布鲁塞尔,其会员为各国NSB。1991年,CEN同ISO签署维也纳协议,规定CEN引进ISO标准取代对应的CEN标准。CENELEC成立于1973年,总部位于布鲁塞尔,其会员均为国家级电工学标准化组织。1996年,CENELEC同IEC签署德累斯顿协议,对双方标准化工作加以协同。旧版IEC标准将标准号增加60000,作为EN和IEC的共同标准号。2016年后,CENELEC将IEC标准记作“EN IEC 6xxxx”。未被IEC采用的CENELEC标准使用“EN 5xxxx”标准号。ETSI由欧洲邮电管理会议创立于1988年,总部位于法国索菲亚科技园,其会员为ICT行业的各类机构,包括行政机构、私营企业、科研院所等。ETSI从2G到5G通信领域均有重要成果,曾参与发起3GPP(第三代合作伙伴计划)联盟。ETSI的EN标准使用3xxxxx标准号。除EN外,ETSI发布的标准化文件还包括ETSI标准(ES)、ETSI指南(EG)、技术规范(TS)、技术报告(TR)、特别报告(SR)、团体规范(GS)、团体报告(GR)等类型。