2004年8月17日的美国加州圣巴巴拉，正在召开的国际密码学会议（Crypto’2004）安排了三场关于杂凑函数的特别报告。在国际著名密码学家Eli Biham和Antoine Joux相继做了对SHA-1的分析与给出SHA-0的一个碰撞之后，来自山东大学的王小云教授做了破译MD5、HAVAL-128、 MD4和RIPEMD算法的报告。在会场上，当她公布了MD系列算法的破解结果之后，报告被激动的掌声打断。王小云教授的报告轰动了全场，得到了与会专家的赞叹。报告结束时，与会者长时间热烈鼓掌，部分学者起立鼓掌致敬，这在密码学会议上是少见的盛况。王小云教授的报告缘何引起如此大的反响？因为她的研究成果作为密码学领域的重大发现宣告了固若金汤的世界通行密码标准MD５的堡垒轰然倒塌，引发了密码学界的轩然大波。会议总结报告这样写道：“我们该怎么办？MD5被重创了；它即将从应用中淘汰。SHA-1仍然活着，但也见到了它的末日。现在就得开始更换SHA-1了。”   

    关键词：碰撞＝漏洞＝别人可以伪造和冒用数字签名。

    Hash函数与数字签名（数字手印）

    HASH函数，又称杂凑函数，是在信息安全领域有广泛和重要应用的密码算法，它有一种类似于指纹的应用。在网络安全协议中，杂凑函数用来处理电子签名，将冗长的签名文件压缩为一段独特的数字信息，像指纹鉴别身份一样保证原来数字签名文件的合法性和安全性。在前面提到的SHA-1和MD5都是目前最常用的杂凑函数。经过这些算法的处理，原始信息即使只更动一个字母，对应的压缩信息也会变为截然不同的“指纹”，这就保证了经过处理信息的唯一性。为电子商务等提供了数字认证的可能性。

    安全的杂凑函数在设计时必须满足两个要求：其一是寻找两个输入得到相同的输出值在计算上是不可行的，这就是我们通常所说的抗碰撞的；其二是找一个输入，能得到给定的输出在计算上是不可行的，即不可从结果推导出它的初始状态。现在使用的重要计算机安全协议，如SSL，PGP都用杂凑函数来进行签名，一旦找到两个文件可以产生相同的压缩值，就可以伪造签名，给网络安全领域带来巨大隐患。

    MD5就是这样一个在国内外有着广泛的应用的杂凑函数算法，它曾一度被认为是非常安全的。然而，王小云教授发现，可以很快的找到MD5的“碰撞”，就是两个文件可以产生相同的“指纹”。这意味着，当你在网络上使用电子签名签署一份合同后，还可能找到另外一份具有相同签名但内容迥异的合同，这样两份合同的真伪性便无从辨别。王小云教授的研究成果证实了利用MD5算法的碰撞可以严重威胁信息系
统安全，这一发现使目前电子签名的法律效力和技术体系受到挑战。因此，业界专家普林斯顿计算机教授Edward Felten等强烈呼吁信息系统的设计者尽快更换签名算法，而且他们强调这是一个需要立即解决的问题。

    国际讲坛　王氏发现艳惊四座

    面对Hash函数领域取得的重大研究进展，Crypto 2004 会议总主席StorageTek高级研究员Jim Hughes 17 日早晨表示，此消息太重要了，因此他已筹办该会成立24年来的首次网络广播（Webcast ）。Hughes在会议上宣布：“会中将提出三份探讨杂凑碰撞（hash collisions ）重要的研究报告。”其中一份是王小云等几位中国研究人员的研究发现。17日晚，王小云教授在会上把他们的研究成果做了宣读。这篇由王小云、冯登国、来学嘉、于红波四人共同完成的文章，囊括了对MD5、HAVAL-128、MD4和RIPEMD四个著名HASH算法的破译结果。在王小云教授仅公布到他们的第三个惊人成果的时候，会场上已经是掌声四起，报告不得不一度中断。报告结束后，所有与会专家对他们的突出工作报以长时的热烈掌声，有些学者甚至起立鼓
掌以示他们的祝贺和敬佩。当人们掌声渐息，来学嘉教授又对文章进行了一点颇有趣味的补充说明。由于版本问题，作者在提交会议论文时使用的一组常数和先行标准不同；在会议发现这一问题之后，王小云教授立即改变了那个常数，在很短的时间内就完成了新的数据分析，这段有惊无险的小插曲倒更加证明了他们论文的信服力，攻击方法的有效性，反而凸显了研究工作的成功。

    会议结束时，很多专家围拢到王小云教授身边，既有简短的探讨，又有由衷的祝贺，褒誉之词不绝。包含公钥密码的主要创始人R. L. Rivest和A. Shamir在内的世界顶级的密码学专家也上前表示他们的欣喜和祝贺。

    国际密码学专家对王小云教授等人的论文给予高度评价

    MD5的设计者，同时也是国际著名的公钥加密算法标准RSA的第一设计者R．Rivest在邮件中写道：“这些结果无疑给人非常深刻的印象，她应当得到我最热烈的祝贺，当然，我并不希望看到MD5就这样倒下，但人必须尊崇真理。”

    Francois Grieu这样说：“王小云、冯登国、来学嘉和于红波的最新成果表明他们已经成功破译了MD4、MD5、HAVAL-128、RIPEMD-128。并且有望以更低的复杂度完成对SHA-0的攻击。一些初步的问题已经解决。他们赢得了非常热烈的掌声。”

    另一位专家Greg Rose如此评价：“我刚刚听了Joux和王小云的报告，王所使用的技术能在任何初始值下用2^40次hash运算找出SHA-0的碰撞。她在报告中对四种HASH函数都给出了碰撞，她赢得了长时间的起立喝彩，（这在我印象中还是第一次）。…… 她是当今密码学界的巾帼英雄。……（王小云教授的工作）技术虽然没有公开，但结果是无庸质疑的，这种技术确实存在。…… 我坐在Ron Rivest前面，我听到他评论道：‘我们不得不做很多的重新思考了。’”

    石破惊天　MD5堡垒轰然倒塌

    一石击起千层浪，MD5的破译引起了密码学界的激烈反响。专家称这是密码学界近年来“最具实质性的研究进展”，各个密码学相关网站竞相报导这一惊人突破。

    MD5破解专项网站关闭

    MD5破解工程权威网站http://www.md5crk.com/是为了公开征集专门针对MD5的攻击而设立的，网站于2004年8月17日宣布：“中国研究人员发现了完整MD5算法的碰撞；Wang, Feng, Lai与Yu公布了MD5、MD4、HAVAL-128、RIPEMD-128几个 Hash函数的碰撞。这是近年来密码学领域最具实质性的研究进展。使用他们的技术，在数个小时内就可以找到MD5碰撞。……由于这个里程碑式的发现，MD5CRK项目将在随后48小时内结束”。

    对此，http://www.readyresponse.org主页专门转载了该报道http://www.aspenleaf.com/distributed/distrib-recent.html和几个其它网站也进行了报道。

    权威网站相继发表评论或者报告这一重大研究成果

    经过统计，在论文发布两周之内，已经有近400个网站发布、引用和评论了这一成果。国内的许多新闻网站也以“演算法安全加密功能露出破绽 密码学界一片哗然”为题报道了这一密码学界的重大事件。（报导见这里,该消息在各新闻网站上多次转载。）   

    东方神韵　 MD5终结者来自中国

    MD5破解工作的主要成员王小云教授是一个瘦弱、矜持的女子，厚厚的镜片透射出双眸中数学的灵光。她于1990年在山东大学师从著名数学家潘承洞教授攻读数论与密码学专业博士，在潘先生、于秀源、展涛等多位著名教授的悉心指导下，她成功将数论知识应用到密码学中，取得了很多突出成果，先后获得863项目资助和国家自然科学基金项目资助，并且获得部级科技进步奖一项，撰写论文二十多篇。王小云教授从上世纪90年代末开始进行HASH函数的研究，她所带领的于红波、王美琴、孙秋梅、冯骐等组成的密码研究小组，同中科院冯登国教授，上海交大来学嘉等知名学者密切协作，经过长期坚持不懈的努力，找到了破解HASH函数的关键技术，成功的破解了MD5和其它几个HASH函数。

    近年来她的工作得到了山东大学和数学院领导的大力支持，特别投资建设了信息安全实验室。山东大学校长展涛教授高度重视王小云教授突出的科研成果。 2004年6月山东大学领导听取王小云教授的工作介绍后，展涛校长亲自签发邀请函邀请国内知名信息安全专家参加2004年7月在威海举办的“山东大学信息安全研究学术研讨会”，数学院院长刘建亚教授组织和主持了会议，会上王小云教授公布了MD5等算法的一系列研究成果，专家们对她的研究成果给予了充分的肯定，对其坚持不懈的科研态度大加赞扬。一位院士说，她的研究水平绝对不比国际上的差。这位院士的结论在时隔一个月之后的国际密码会上得到了验证，国外专家如此强烈的反响表明，我们的工作可以说不但不比国际上的差，而且是在破解HASH函数方面已领先一步。加拿大CertainKey公司早前宣布将给予发现MD5算法第一个碰撞人员一定的奖励，CertainKey的初衷是利用并行计算机通过生日攻击来寻找碰撞，而王小云教授等的攻击相对生日攻击需要更少的计算时间。

    数字认证　你的未来不是梦

    由于MD5的破译，引发了关于MD5产品是否还能够使用的大辩论。在麻省理工大学Jeffrey I. Schiller教授主持的个人论坛上，许多密码学家在标题为“Bad day at the hash function factory”的辩论中发表了具有价值的意见（http://jis.mit.edu/pipermail/saag/2004q3/000913.html）。这次国际密码学会议的总主席Jimes Hughes发表评论说“我相信这（破解MD5）是真的，并且如果碰撞存在，HMAC也就不再是安全的了，…… 我认为我们应该抛开MD5了。” Hughes建议，程序设计人员最好开始舍弃MD5。他说：“既然现在这种算法的弱点已暴露出来，在有效的攻击发动之前，现在是撤离的时机。”

    同样，在普林斯顿大学教授Edwards Felton的个人网站（http://www.freedom-to-tinker.com/archives/000664.html）上，也有类似的评论。他说：“留给我们的是什么呢？MD5已经受了重伤；它的应用就要淘汰。SHA-1仍然活着，但也不会很长，必须立即更换SHA-1，但是选用什么样的算法，这需要在密码研究人员达到共识。”

    密码学家Markku-Juhani称“这是HASH函数分析领域激动人心的时刻。
（http://www.tcs.hut.fi/~mjos/md5/）”

    而著名计算机公司SUN的LINUIX专家Val Henson则说：“以前我们说"SHA-1可以放心用，其他的不是不安全就是未知"， 现在我们只能这么总结了："SHA-1不安全，其他的都完了"。

    针对王小云教授等破译的以MD5为代表的Hash函数算法的报告，美国国家技术与标准局（NIST）于2004年8月24日发表专门评论，评论的主要内容为：“在最近的国际密码学会议（Crypto 2004）上，研究人员宣布他们发现了破解数种HASH算法的方法，其中包括MD4，MD5，HAVAL-128，RIPEMD还有 SHA-0。分析表明，于1994年替代SHA-0成为联邦信息处理标准的SHA-1的减弱条件的变种算法能够被破解；但完整的SHA-1并没有被破解，也没有找到SHA-1的碰撞。研究结果说明SHA-1的安全性暂时没有问题，但随着技术的发展，技术与标准局计划在2010年之前逐步淘汰SHA-1，换用其他更长更安全的算法（如SHA-224、SHA-256、SHA-384和SHA-512）来替代。”

    详细评论见：http://csrc.nist.gov/hash_standards_comments.pdf

    2004年8月28日，十届全国人大常委会第十一次会议表决通过了电子签名法。这部法律规定，可靠的电子签名与手写签名或者盖章具有同等的法律效力。电子签名法的通过，标志着我国首部“真正意义上的信息化法律”已正式诞生，将于2005年4月1日起施行。专家认为，这部法律将对我国电子商务、电子政务的发展起到极其重要的促进作用。王小云教授的发现无异于发现了信息化天空的一个惊人黑洞。我们期待着王小云教授和她的团队能够成就“女娲补天”的壮举，为人类的信息化之路保驾护航。

    2004年8月16日，王小云破译MD5安全漏洞算法的特别报告，已经震惊了世界；

　　2005年2月15日，王小云研究小组宣称，理论破译SHA-1，这一成果可以直接进入美国政府重要的部门，比如五角大楼及情报机关。

　　山东广域龙安的密码专家李成东教授告诉记者："打一个直观的比方，王小云可以用很短的时间，将世界上任何一个人的存款，转移到她指定的账户中。"（此话略显可笑－－Victor)

　　2005年4月1日起，我国的《电子签名法》将正式施行。从此，电子签名将和传统的手写签名、盖章具有同样的法律效力，如同交易者的身份证一样不容抵赖，这将大大增强网上交易者的信心，尤其是大额交易的客户。但是，当有人告诉你电子签名可以伪造的时候，你还敢放心使用吗？

　　这个揭开电子签名所隐藏的巨大漏洞的人就是王小云，一位山东大学自己培养的女博士、女教授，土生土长的山东巾帼。在不到半年的时间内，她先后破译了MD5和SHA-1这两种广泛应用于金融、证券等电子商务领域的电子签名密码算法，被业界称为"电子签名密码终结者"，不但震动了美国华尔街，甚至被认为能"进入美国政府重要的部门，如五角大楼及情报机关"，"会对美国政府机构的网络保安带来极大威胁。"(据美国《华盛顿时报》报道)

　　几乎在一夜间，王小云就由一位默默无闻的大学教授变身为震惊国际密码学界、金融界乃至整个网络世界的名人。

　　两大密码城堡半年内被攻破

　　让我们先把目光对准2004年8月16日—19日的美国加州圣巴巴拉，正在那里召开的国际密码学会议上，一个来自中国山东大学的女教授所作的关于破译MD5安全漏洞算法的特别报告，引起了与会专家的特别关注，并随即震惊了世界。

　　"8月16日正好是我的生日，8月19日是我的结婚纪念日。我对这两个日子记得特别清楚，赶到美国加州后，我们向国际密码学学术会议提交了相关学术报告。会议总主席Hughes先生看了我的报告后，就特批我作一次特别报告。别人一般只给3分钟发言时间，大会给了我15分钟时间。"王教授还清晰地记着当时的场景：当她开始讲述四种破解算法中的第三种时，会场上响起了一片笑声，当她讲完第三种算法时，整个会场想起了一片掌声，报告不得不暂时中断。

　　正是在这次会议上，王小云教授首次宣布了她及她的研究小组近年来的研究成果——系列Hash函数算法MD4、MD5、HAVAL-128、RIPEMD 的碰撞。破译结果的公开，引起国际密码界、美国国家标准技术研究院(NIST)、国际知名信息安全公司的极大反响。著名密码学家兼图灵奖获得者

　　Shamir回忆："王教授毫无疑问是当晚最耀眼的明星，在她发言过后，全场响起了史无前例的长久而热烈的掌声。"著名计算机科学家，图灵奖获得者姚期智评价说："在我看来，一个年轻的中国教育出来的计算机科学家能够取得种这种显著的成绩，这在历史上还是首次，单凭这一项研究成果，她都够资格被聘为北美任何一所顶尖大学(如斯坦福大学或普林斯顿大学)的计算机科学系的正教授。"(据说此女已受聘清华大学高等研究中心－－Victor)

　　王小云教授研究成果宣告了"固若金汤"的世界通行密码标准MD5 的堡垒轰然倒塌，使目前电子签名的法律效力和技术体系受到挑战，一向被认为是十分安全的"数字手印"完全可能出现假冒，引发了密码学界的轩然大波。MD5 的破译网站称这是"近年来密码学领域最具实质性的研究进展"。由于这个里程碑式的发现，MD5破译工程(MD5CRK)宣布在未来48小时内关闭。美国国家标准技术研究院于2004年8月24日发表专门评论，评论大致思想是"在最近的国际密码学会议(Crypto2004)上，研究人员宣布他们发现了破解数种HASH算法的方法，其中包括MD4，MD5，HAVAL-128，

　　RIPEMD还有SHA-0。分析表明，于1994年替代SHA-0成为联邦信息处理标准的SHA-1的减弱条件的变种算法能够被破解；但完整的SHA-1并没有被破解，也没有找到SHA-1的碰撞。"

　　但这并不是王小云教授震撼国际密码学界的结束，而仅仅是一个开始。

　　在2005年2月15日，每年都有万人参加的重要国际信息安全会议上，五位权威国际密码学专家宣布了王小云教授研究小组关于理论破译SHA-1最新结果的论文。会上，著名密码学家Rivest说："攻破SHA-1令人震惊，由于这个结果的破解者还是去年破解MD5算法的中国人，虽然论文还没有完全审阅完毕，但我有足够的理由相信他们的结果是正确的。"Shamir说："我相信这将会引起轩然大波，设计新的Hash函数算法显得尤其重要，现在不需要特别担心或改变现有系统和程序的设计，然而，SHA-1被攻破减少了我们对数字签名体系的安全感。"有趣的是，在王小云教授结果公布的七天前，美国国家标准技术研究院的安全技术组负责人WilliamBurr发表申明："SHA-1没有被攻破，并且没有足够的理由怀疑它会很快被攻破"。

　　MD5、SHA-1离我们并不远

　　"如果你用过电子签名，那么你有超过50%的概率是通过MD5这个算法进行的。"王小云教授告诉大家，MD5、SHA-1这些密码标准说起来虽然抽象，但是离我们的生活并不遥远。一般来说，我们在网上进行电子商务、电子政务、安全通信，主要就是使用密码算法来保证安全，密码算法只要是用于签名、身份验证这一块的，都要有一个HASH函数，一般就是MD5、SHA-1，这也是被大家公认的、比较放心的两个国际标准算法。

　　HASH函数，又称杂凑函数，是在信息安全领域有广泛和重要应用的密码算法。MD5、SHA-1是目前最常用的杂凑函数，也是当前国际通行的两大密码标准。MD5由国际著名密码学家图灵奖获得者兼公钥加密算法RSA的创始人Rivest设计，SHA-1是由美国专门制定密码算法的标准机构——美国国家标准技术研究院(NIST) 与美国国家安全局(NSA)设计。两大算法是目前国际电子签名及许多其他密码应用领域的关键技术，广泛应用于金融、证券等电子商务领域。其中，SHA-1 早在1994年便为美国政府采纳，目前是美国政府广泛应用的计算机密码系统。

　　据王小云教授介绍，世界上没有两个完全相同的指纹，因此手印成为人们身份惟一和安全的标志。在网络安全协议中，使用Hash函数来处理电子签名，将冗长的签名文件压缩为一段独特的数字信息，像指纹鉴别身份一样保证原来数字签名文件的合法性和安全性，从而产生理论上独一无二的"指纹"，形成"数字手印"。按照理想安全要求，经过Hash函数处理，原始信息即使只改变一位，其产生的"指纹"也会截然不同。这就保证了经过处理信息的唯一性，为电子商务等提供了数字认证的可能性。

　　如果能找到Hash函数的碰撞，就意味着两个不同的文件可以产生相同的"指纹"，这样就可以伪造签名。这意味着当你在网络上使用电子签名签署一份合同后，还存在另外一份具有相同签名但内容迥异不同，两份合同的真伪性无法辨别，从而可能引发官司，给企业或个人带来巨大损失。

　　王小云教授的研究成果证实了利用MD5、SHA-1算法的碰撞可以严重威胁信息系统安全，这一发现使目前电子签名的法律效力和技术体系受到挑战。

　　王小云剪影

　　王小云1990年在山东大学师从著名数学家潘承洞教授，攻读数论与密码学专业博士，在潘承洞、于秀源、展涛等多位名师的指导下，她成功地将数论知识应用到密码学中，并从上世纪90年代末开始进行Hash函数的研究。

　　整日埋头密码研究的王小云并不是记者想象中的"陈景润"式的学者，她穿戴得体，看起来稳重而又时尚，镜片后面的眼睛透露出坚定而又自信的目光。

　　公布破解MD5报告前，王小云曾跟丈夫开玩笑说："我作完这次报告后，你猜我的名字会不会出现在Google(著名搜索引擎)里？"果然，在她公布了破解MD5的报告后，国外的很多网站上有了关于王小云破解MD5的消息，

　　Google里关于王小云的检索条也多达数千条。

　　默默无闻的王小云一鸣惊人，山东大学信息安全实验室一夜之间成为让世界注目的科研机构。

　　"王小云辩解我不是破坏者"

　　曾经有人开玩笑地问王小云教授，她是不是一个破坏欲极强的人。也有人担心，她会受到一些基于MD5、SHA-1密码标准的网络产品开发商、经销商的"仇视"。对这类说法，王小云都是一笑而过。

　　"在今年的RSA安全大会上，比尔·盖茨也说过，传统的密码口令即将淘汰。"王小云说，她破解的这些算法都是国际上一些标准算法，也是实际中用到的一些算法，与许多客户和商家都是密切相关的，所以大家才特别关心。"如果要说是破坏，那也要从两个方面看，现在的破坏是为了更好地设计出更安全的算法，来保证电子商务、信息安全的健康发展。"

　　王小云非常赞同这次会议总主席Hughes先生的评论：在有效的攻击发动之前，现在是撤离的最好时机。她也持同样的观点："既然已经不安全了，我们为什么不赶快撤出来，使用更安全、让大家更放心的算法呢"。

　　随着王小云及其研究小组将破译MD5和SHA-1的核心技术在国内外的公开，也引起了不少人对于密码安全的心理恐慌：电脑"黑客"会不会利用这些技术伪造电子签名呢。

　　对此，王小云表示，目前，最新攻破的SHA-1算法还处在理论破译阶段，离实际攻击还有很大距离，伪造有意义的签名要更加困难的技术，人们没必要过度恐慌。而且这种技术还处在科学研究阶段，一般"黑客"还达不到掌握这种尖端技术的水平。同时，SHA-1算法主要针对电子签名的密码技术，与真正进入对方网络系统有一定区别。而且，这种算法被破译的消息已在世界范围内公开，使用这种技术的部门肯定会增加一些其他限定条件来提高安全性。（蒋波）

　　在信息安全管理领域里，由于标准众多，对于标准的争论从未停息过。

　　国际上，有ISO/IEC的国际标准17799、13335;西方国家，有美国国家标准和技术委员会(NIST)的特别出版物系列、英国标准协会(BSI)的7799系列;在我国，有风险管理、灾难恢复的国家政策。

　　同信息安全管理交叉的ITIL、同信息系统审计相关的萨班斯404条款与控制目标(CoBIT)，以及信息安全管理系统、风险管理、业务持续性和灾难恢复等方面的国际、国家、组织机构和企业的信息安全管理标准，都已经成为信息安全界耳熟能详的热门词汇。

　　安全管理中的“热门”标准

　　近年来，国际ISO/IEC和西方一些国家开始发布和改版一系列信息安全管理标准，使安全标准进入了一个繁忙的改版期。

　　这表明，信息安全管理标准已经从零星的、随意的、指南性标准，逐渐衍变成为层次化、体系化、覆盖信息安全管理全生命周期的信息安全管理体系。

　　要了解信息安全管理标准和发展，首先我们需了解主要“门派”、影响和使用认可范围。

　　国际标准ISO/IEC

　　首先需要介绍的是国际上最权威的由国际标准化组织(ISO)和国际电工委员会(IEC)所制定的国际标准。

　　ISO和IEC是世界范围的标准化组织，它由各个国家和地区的成员组成，各国的相关标准化组织都是其成员，他们通过各技术委员会，参与相关标准的制定。

　　为了更好的协作和共同规范信息技术领域，ISO和国际电工委员会(ITU)成立了联合技术委员会，即ISO/IEC JTC1，负责信息技术领域的标准化工作。其中的子委员会27专门负责IT安全技术领域的标准化工作。

　　ISO/IEC联合技术委员会1子委员会27(ISO/IEC JTC1 SC27)是信息安全领域最权威和国际认可的标准化组织，它已经为信息安全保障领域发布了一系列的国际标准和技术报告，为信息安全领域的标准化工作做出了巨大贡献。

　　在ISO/IEC JTC1 SC 27所发布的标准和技术报告中，目前最主要的标准是ISO/IEC 13335、ISO/IEC 17799等。

　　另外，ISO/IEC JTC1 SC27正在对信息安全管理系统(ISMS)国际标准族进行开发，此标准族将采用27000系列号码作为编号方案，并将综合信息安全管理系统要求、风险管理、度量和测量以及实施指南等一系列国际标准。

　　随着ISO/IEC 27000系列标准的规划和发布，ISO/IEC已形成了以ISMS为核心的一整套信息安全管理体系。

　　2005年，ISO/IEC在信息安全管理标准的主要发展趋势是:改版ISO/IEC 17799，并正式发布ISO/IEC 17799:2005。ISO/IEC 17799建立了组织机构内启动、实施、维护和改进信息安全管理的指导方针和通用原则。

　　此外，ISO/IEC 13335将从原先的技术报告变为正式的国际标准。ISO/IEC 13335是ISO/IEC JTC1 SC27中关于风险管理、IT安全管理的一个重要的标准系列。

　　ISO/IEC 13335另一个重要的变动是从原先包含五部分的技术报告，变动为现在重新立项的包含两部分的国际标准，即信息和通信技术安全管理标准。

　　还有，ISO/IEC将采用27000系列号码作为编号方案，将原先所有的信息安全管理标准进行综合，并进行进一步的开发，形成一整套包括ISMS要求、风险管理、度量和测量以及实施指南等在内的信息安全管理体系。

　　西方国家的信息安全管理标准

　　信息安全是一项涉及国家安全的领域，在西方发达国家信息安全管理的实践中，制定了一些自有的标准，并形成一整套自有的、完整的信息安全管理体系。

　　美国信息安全管理标准体系

　　2002年，美国通过了一部联邦信息安全管理法案(FISMA)。根据它，美国国家标准和技术委员会(NIST)负责为美国政府和商业机构提供信息安全管理相关的标准规范。因此， NIST的一系列FIPS标准和NIST 特别出版物800系列(NIST SP 800系列)成为了指导美国信息安全管理建设的主要标准和参考资料。

　　在NIST的标准系列文件中，虽然NIST SP并不作为正式法定标准，但在实际工作中，已经成为美国和国际安全界得到广泛认可的事实标准和权威指南。

　　目前，NIST SP 800系列已经出版了近90本同信息安全相关的正式文件，形成了从计划、风险管理、安全意识培训和教育以及安全控制措施的一整套信息安全管理体系。

　　2005年，NIST SP 800系列最主要的的发展是配合FISMA 2002年的法案，建立以800-53等标准为核心的一系列认证和认可的标准指南。

　　英国信息安全管理标准体系

　　同美国NIST相对应，英国标准协会(BSI)是英国负责信息安全管理标准的机构。在信息安全管理和相关领域，BSI做了大量的工作，其成果已得到国际社会的广泛认可。

　　最让人关注的是BS 7799的第一部分，它已成为国际ISO/IEC 17799国际标准。另外，其BS 15000系列标准。也成为指导ITIL的公认标准。

　　现在，随着BS 7799被广泛接受，BSI准备进一步将它推向全世界，为各个国家的组织机构提供BS 7799的认证服务。

　　国内信息安全管理标准

　　相比国外，国内的信息安全领域的标准起步较晚，但随着2002年全国信息安全标准化技术委员会(简称信息安全标委会)的成立，信息安全相关标准的建设工作开始走向了规范化管理和发展的快车道。

　　从20世纪80年代开始，在信息安全标委会和各部门各界的努力下，本着积极采用国际标准的原则，转化了一批国际信息安全基础技术标准，为我国信息安全技术的发展做出了一定贡献。

　　同时，公安部、国家安全部、国家保密局、国家密码管理委员会等相继制定和颁布了一批信息安全的行业标准，为推动信息安全技术在各行业的应用和普及，发挥了积极的作用。

　　现在，在信息安全标委会中，成立了信息安全标准体系与协调工作组(WG1)、鉴别与授权工作组(WG4)、信息安全评估工作组(WG5)和信息安全管理工作组(WG7)四个工作组，它们在对我国信息安全保障体系建设和信息安全产业的发展方面，起到了积极作用。

　　从信息安全管理的建设和评估角度看，信息安全管理和信息安全评估分别建设和规范了信息安全管理的相关标准。

　　近年来(特别是2005年)，信息安全管理标准化工作中主要的研究热点包括:信息安全国际标准的转化(主要是国际ISO/IEC 17799和ISO/IEC 13335的采标工作);风险管理指南的标准化工作(主要是风险评估和风险管理指南的标准化工作);以及信息系统评估的标准制定工作(主要是信息系统安全保障评估框架标准的编制工作等)。

　　这些工作将在近两年内完成，其标准化的流程将成为正式的国家标准，指导和规范我国的信息安全管理工作。

　　信息安全是一个综合的交叉学科，信息安全管理领域的很多内容同信息技术服务、信息系统审计等有着非常密切的联系。

　　在此，我们希望向用户传达这样一个思想，信息安全管理不应该成为一个孤立的、为安全管理而管理的学科，信息安全管理应同IT服务、信息系统审计等建立密切的联系，更好地服务于用户应用。

    “天下”且须这样得

　　一套完善的信息安全管理体系，应该包括规范化的信息安全管理内容、以风险和策略为核心的建设方法、定性和定量的度量信息安全管理。

　　同时，信息安全管理体系应该能够将信息安全管理同信息系统审计、信息系统内控体系、信息技术服务体系相互结合，形成有安全保障的信息系统运维管理体系，以真正达到保护组织机构信息和信息资产的安全，保护业务持续性。

　　制定标准是用来规范企业行为，在应用标准时，我们需要把握如下一些要点。

　　要点一:使用信息安全管理标准，规范信息安全管理的内容。

　　随着信息安全标准的发展(特别是2005年)，信息安全标准的主要特征已从原先形势随意的最佳实践方式，发展到层次结构化的安全管理控制集合，形成了信息安全管理标准的一个主流趋势。

　　信息安全管理相关人员可以使用这些标准中规范化的安全管理控制措施，规范其信息安全管理的内容和范围。

　　信息安全管理标准中所提供的管理控制措施有如下几项。

　　ISO/IEC 17799:2005年第2版的改版中，最主要的变动是以层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全、物理和环境安全、通信和运行管理、访问控制、信息系统采购、开发和维护、信息安全事故管理、业务持续性管理、符合性这11个安全控制章节，还有39个主要安全类和133个具体控制措施，以规范化组织机构信息安全管理建设的内容。

　　美国NIST SP 800-53联邦信息系统推荐安全控制:提供了安全控制的层次化、结构化的安全控制措施要求，意识和培训，认证、认可和安全评估，配置管理，持续性规划，事件响应，维护，介质保护，物理和环境保护，规划，人员安全，风险评估，系统和服务采购，系统和信息完整性这13个安全管理和运营控制族以及106个具体控制措施。

　　Cobit:提供了规划和组织、采购和实施、交付和支持以及监控4个域，还有34个表达IT过程的高层控制流程以及多达318个控制目标。

　　通过解决这34个高层控制目标，组织机构可以确保已为其IT环境提供了一个充分的控制系统。

　　要点二:使用信息安全管理，建立以风险和策略的核心的信息安全管理系统的建设方法。

　　在通过信息安全管理标准，规范化信息安全管理内容后，我们可以进一步使用这些信息安全管理标准，学习、理解建设信息安全管理体系的方法。

　　在这些管理标准中，已经建立了以风险管理和策略为核心的信息安全管理系统的建设方法，信息安全管理的相关人员可结合具体要求和环境，综合使用这些方法和工具。

　　ISO/IEC 13335:它提供了安全管理的基本概念、模型以及风险管理实践等内容，它可以用于指导如何实现IT安全管理。

　　BS 7799-2 信息安全管理系统规范:在BS 7799-2中，其2002版较原先的1999年版有较大改动，主要是引入了同ISO 9001:2000和ISO 14001:1996相符合的PDCA过程模型。它们可以用于指导以PDCA过程为模型实现的信息安全管理系统。

　　此外，在其他一些相关标准中，也提供了很多具体的建设方法。

　　要点三:逐步完善信息安全管理的度量和测量。

　　信息安全管理的度量和测量是信息安全管理领域的一个仍在不断探索的领域。信息安全管理的度量和测量可以用于评估信息安全管理的有效性和高效性等，并且其评估结果也将为组织机构内部和外部的相关人员提供信息安全管理的信心。

　　作为组织机构，应结合自己的实际情况，建立符合自身要求的指标体系等信息安全管理度量和测量系统。

　　要点四:将信息安全管理同信息系统审计、信息系统内控体系、信息技术服务体系相综合，形成综合的有安全保障的信息系统运维管理体系。

　　信息安全管理并不是一个孤立的学科，它同信息系统审计、信息系统内控体系、信息技术服务体系密切相关。

　　组织机构在建设信息安全管理系统时，应将信息安全管理同审计、内控和服务相结合和综合，以方便组织机构能同时符合例如美国萨班斯404条款(SOX-404)内控体系的要求等，避免不必要的资源重复投资。

　　ITIL框架是IT服务一个广泛可接受的框架，为IT服务提供和IT服务管理提供了规范、指南和最佳实践。

　　ITIL提供了以服务支持和服务提供为核心的、包括规划实施服务管理、业务视野、ICT基础设施管理、安全管理和应用管理7个模块在内的规范化信息技术服务。

　　在ITIL框架中，安全管理作为组织机构IT服务的一个组成部分专门进行了讨论，因此，信息安全管理是ITIL框架的一个有机组成部分，它对规范化信息技术服务、保障信息技术服务有重要的意义。

　　从更广义的范围来看，信息安全是信息技术的一部分，信息安全管理的一个更深刻的目的是:帮助组织机构建设和完善信息技术治理体系和组织机构治理体系。

　　从这个意义来看，信息安全管理人员不应仅仅只关注信息安全管理本身，还应该进一步将信息安全管理放在一个更大的范畴—信息技术治理和组织机构治理的领域里来考虑。

　　在信息技术审计、内控和治理领域中，美国ISACA协会的CoBIT模型是一个比较完整的IT审计和治理的框架，它为建立完善的信息系统控制和审计体系，提供了详细的控制目标、实施工作和审计指南等。

　　CoBIT模型建立了业务和技术沟通的桥梁，提供覆盖组织机构信息技术管理和审计的300多个详细的控制目标，以及信息技术审计指南、实现工具集等，帮助组织机构构建IT系统的内控体系。

　　这个内控体系，也是满足美国萨班斯404条款(SOX-404)对信息技术内控体系要求的一种实现方法。

　　在具体实践中，我们应进一步将信息安全管理同信息系统审计、信息系统内控体系、信息技术服务体系相综合，形成综合的、有安全保障的信息系统运维管理体系。

　　从信息安全管理开始，进而形成和综合组织机构有安全保障的信息系统运维管理体系，是目前信息系统领域里研究的一个方向和热点。

　　在这个领域的研究和实践中，中国信息安全产品测评认证中心所提出的信息安全保障管理体系和信息安全保障体系，即中国信息安全产品测评认证中心所编制的“信息系统安全保障评估框架”国家标准(目前正处于国标报批稿，预计今年年底前将正式发布)，是中国信息安全产品测评认证中心对信息安全管理同信息系统审计、信息系统内控体系、信息技术服务体系相综合的研究成果。它对信息安全保障的建设和评估工作提供了一个整体框架性的指导，可帮助我们更全面的理解和实践信息安全管理和信息系统的建设和评估工作。

　　从信息安全管理标准，到信息安全管理，到信息安全保障，到有安全保障的信息系统运维管理体系，这些并不是本文短短篇幅所都能讨论和涉及到的，本文仅仅是抛砖引玉，希望能同大家进一步探讨学习。