许多人报怨现在的安全标准太少   
。事实上，安全标准很多，将近有五六个组织正在进行安全标准的研究。不过安全标准如此多，但是缺乏一个统一的、能普遍认可的标准，所以专家说目前还没有一个统一的标准，甚至永远也不会有。以下介绍当前致力于安全标准制定的几个组织，并讨论一下为何达成一个统一的安全标准如此之困难。

今天的安全标准制定组织包罗万象，从政府主动制定到国际标准设置，到业界的专家运作。这儿是一些在这个领域中比较有名的角色：

国家信息保障合作部（NIAP）
NIAP于1997年创建，以美国国家标准和技术协会（NIST）、国家安全局（NSA）为基础，主要负责IT产品的安全测试、评估，以及对IT生产商和消费者的需求进行评定。其长期目标是提高消费者在信息系统和网络方面的信心。目前联邦航空管理局这类部门已经开始和NIAP进行合作，以便能更好地确定他们的安全需求；同时NIAP也在积极地寻找其它合作目标，以便促进安全需求和安全标准规则的早日成形。

通用安全规则系统（GASSP）
GASSP于1992年中成立，当时主要为了完成国家研究委员会于1990年提出的安全要求。GASSP由国际信息系统安全认证联盟（（ISC）2）支持，支持国际通用的开发IT相关的信息安全规则的研究计划。其目标包括促进好的惯例，在IT行业中提供一个权威的专业参考，为世界范围内的安全信息规则、实践、观点提供参考。GASSP的普遍深入原则已经得到很大发展，其在定义和计划GASSP功能原则的也工作已经展开了。

互联网安全中心（CIS）
该中心成立于2000年10月，主要任务是帮助世界范围内的组织有效地管理信息安全。该中心对所有互联网上连结的设备和系统提供测试、监控、改进和安全性能的比较。目前中心有约200个成员，它们共同认证高风险的安全威胁，共同研究对付这类威胁的方法。

大不列颠标准（BS）7799
该安全标准在欧洲的大部分国家得到认可。BS 7799主要有两大部分：信息安全管理实施编码和信息安全管理系统规范。该标准规定了一系列特定的过程，来认定采取何种措施对付碰到的安全问题比较合适，规定了如何制做文献数据，以及如何在没有认定模式的情况下对安全规范进行发展。该标准在美国的IT界并没有得到广泛的认可，主要是因为国际标准组织（ISO）认为该标准还不完全，并且有太多的局限性。

通用的安全实践和建议（CASPR）
CASOR工程是2001年8月发起的，主要任务是通过互联网上一系列的免费文件来提炼成为专家信息。以开放源代码运动为契机，CASPR已经有将近100位经过认证的安全专家，现在还在世界各地招聘信息安全专家。

因为有这么多的安全标准，要建立一套大家都认可的标准就成为一个非常艰巨的任务，要有相当大的合作过程。

有专家说，如果有象NIAP这样的领导角色出来的话，一套普遍认可的安全标准就会诞生。NIAP应该迈开大步，勇敢地挑起领导标准开发计划的重担。

GASSP委员会主席While Will Ozier承认，确实有大量的文档提供了比GASSP更详细的安全标准。目前GASSP发展面临的最大障碍是资金支持，他估计需要至少50万美元，包括组织的启动资金、办事处的建立、Web网站的建设、设备配置、测试实验室的建设，以及工作人员的报酬。

安全专家Ed Skoudis认为，标准统一的最大障碍是需要安全方面技术问题和政策问题很好的揉合起来，目前还没有一个组织能很好地解决这个问题
　

主目录 分目录