大力推進(jìn)信息安全標(biāo)準(zhǔn)化工作����,有力支撐和保障國家網(wǎng)絡(luò)安全
一、信息安全標(biāo)準(zhǔn)化工作具有重要意義
從本質(zhì)上講��,標(biāo)準(zhǔn)是對重復(fù)性事物和概念所做的統(tǒng)一規(guī)定���。它以科學(xué)�����、技術(shù)和實踐經(jīng)驗的綜合成果為基礎(chǔ)�����,經(jīng)有關(guān)方面協(xié)商一致�,由主管機(jī)構(gòu)批準(zhǔn)�����,以特定形式發(fā)布����,作為共同遵守的準(zhǔn)則和依據(jù)�����。標(biāo)準(zhǔn)化工作已經(jīng)成為治理能力提升的助推器、市場經(jīng)濟(jì)運行的耦合器����、政府職能轉(zhuǎn)變的容納器以及技術(shù)創(chuàng)新的重要手段,信息安全標(biāo)準(zhǔn)更是對我國國家安全和社會長治久安具有重要的意義���。
在信息安全領(lǐng)域�,信息安全標(biāo)準(zhǔn)是確保信息安全產(chǎn)品和系統(tǒng)在設(shè)計����、研發(fā)、生產(chǎn)��、建設(shè)��、使用����、測評等過程中解決其一致性、可靠性����、可控性��、先進(jìn)性和符合性的技術(shù)規(guī)范�、技術(shù)依據(jù)��。信息安全標(biāo)準(zhǔn)通常由國家組織編制�����,并在此基礎(chǔ)上對信息安全行業(yè)提供指導(dǎo),從而實現(xiàn)維護(hù)國家安全和社會穩(wěn)定的重要目的���。
例如��,網(wǎng)站可信���、安全可靠辦公信息系統(tǒng)等政府急需信息安全標(biāo)準(zhǔn)的編制,有力的保障了我國黨政機(jī)關(guān)的信息安全�����、維護(hù)了國家利益;工業(yè)控制系統(tǒng)中的信息安全標(biāo)準(zhǔn)的制定����,對于保護(hù)我國電力�、石油化工以及公共交通等命脈行業(yè)的安全運營具有重要作用;國家網(wǎng)絡(luò)安全審查有關(guān)支撐標(biāo)準(zhǔn)的制定����,在確保我國國家網(wǎng)絡(luò)空間安全的同時,也有效的保障了我國公民的個人隱私����。
因此�����,作為我國網(wǎng)絡(luò)安全保障體系的重要組成部分�,信息安全標(biāo)準(zhǔn)是政府進(jìn)行宏觀管理的重要手段,是網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的重要支撐�,是維護(hù)國家公民個人信息安全的重要保障。
二�����、 信息安全標(biāo)準(zhǔn)制定工作的總體情況
經(jīng)國家標(biāo)準(zhǔn)化管理委員會批準(zhǔn)���,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(簡稱信安標(biāo)委�����,SAC/TC260)于2002年4月15日在北京正式成立��,秘書處設(shè)在中國電子技術(shù)標(biāo)準(zhǔn)化研究院�����。信安標(biāo)委負(fù)責(zé)組織開展國內(nèi)信息安全有關(guān)的標(biāo)準(zhǔn)化技術(shù)工作���,工作范圍包括:安全技術(shù)��、安全機(jī)制�、安全服務(wù)����、安全管理、安全評估等領(lǐng)域����。信安標(biāo)委下設(shè)7個工作組(WG),包括WG1-信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組�����、WG2-涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)工作組����、WG3-密碼技術(shù)工作組��、WG4-鑒別與授權(quán)工作組�����、WG5-信息安全評估工作組��、WG6-通信安全標(biāo)準(zhǔn)工作組�、WG7-信息安全管理工作組��。
信安標(biāo)委成立以來��,我國信息安全標(biāo)準(zhǔn)化工作經(jīng)歷了以跟蹤和采用國際標(biāo)準(zhǔn)為主到采用國際標(biāo)準(zhǔn)與自主研制并重的發(fā)展歷程����,標(biāo)準(zhǔn)制定工作取得了顯著成績��。截至2014年10月�����,信安標(biāo)委共組織申報信息安全國家標(biāo)準(zhǔn)290項�,其中284項已獲批立項,正式發(fā)布國家標(biāo)準(zhǔn)142項����。標(biāo)準(zhǔn)范圍涵蓋了信息安全基礎(chǔ)、安全技術(shù)與機(jī)制��、安全管理���、安全評估以及保密����、密碼和通信安全等多個領(lǐng)域�����,有力保障了國家和社會的網(wǎng)絡(luò)安全��。
為了加強信息安全標(biāo)準(zhǔn)化工作的管理和為行業(yè)單位提供全方位服務(wù)���,信安標(biāo)委建設(shè)了國家信息安全標(biāo)準(zhǔn)管理與服務(wù)平臺��,實現(xiàn)對信息安全標(biāo)準(zhǔn)制定全生命周期過程的公開��、透明化管理�,創(chuàng)建了國內(nèi)外信息安全標(biāo)準(zhǔn)資源庫。同時����,信安標(biāo)委還高度重視信息安全標(biāo)準(zhǔn)化頂層設(shè)計與戰(zhàn)略規(guī)劃研究,并配合國家網(wǎng)絡(luò)安全政策及各部門工作急需���,及時研制了信息安全配套標(biāo)準(zhǔn)�����。在國際標(biāo)準(zhǔn)制定活動中����,信安標(biāo)委積極開展國際信息安全標(biāo)準(zhǔn)化交流工作����,堅持跟蹤研究國際動態(tài)��,實質(zhì)性參與國際標(biāo)準(zhǔn)化活動���,提出多項國際標(biāo)準(zhǔn)提案及多份國際標(biāo)準(zhǔn)貢獻(xiàn)物���。我國信息安全標(biāo)準(zhǔn)體系的建立��,為我國各項信息安全保障工作�,例如云計算[注]服務(wù)網(wǎng)絡(luò)安全管理�����、政府信息系統(tǒng)安全檢查�����、信息系統(tǒng)安全等級保護(hù)�����、信息安全產(chǎn)品檢測與認(rèn)證及市場準(zhǔn)入���、信息安全風(fēng)險評估�����、涉密信息系統(tǒng)安全分級保護(hù)和保密安全檢查等�,提供了強有力的技術(shù)支撐和重要依據(jù)�。
三、熱點行業(yè)領(lǐng)域發(fā)展需要信息安全標(biāo)準(zhǔn)的技術(shù)支撐
隨著云計算、大數(shù)據(jù)[注]�����、物聯(lián)網(wǎng)��、智慧城市�����、移動互聯(lián)網(wǎng)�、工控系統(tǒng)安全等熱點領(lǐng)域技術(shù)的完善與普及,社會各領(lǐng)域在感受到新技術(shù)帶來巨大便利的同時���,也深刻意識到了其帶來的安全風(fēng)險與隱患�����。這些熱點行業(yè)領(lǐng)域的健康快速發(fā)展急需信息安全標(biāo)準(zhǔn)的技術(shù)支撐����。
(一)云計算
云計算是一種基于互聯(lián)網(wǎng)的相關(guān)服務(wù)的增加��、使用和交付模式�����,通常涉及通過互聯(lián)網(wǎng)來提供動態(tài)���、易擴(kuò)展且經(jīng)常是虛擬化的資源�。隨著云計算技術(shù)在日常生活中的廣泛普及�,各種安全隱患也逐漸凸顯。“棱鏡門”事件爆發(fā)后�����,人們發(fā)現(xiàn)由于現(xiàn)今大量用戶將數(shù)據(jù)存放于云服務(wù)商手中����,從而方便了美國國家安全局通過互聯(lián)網(wǎng)獲得個人信息。因此����,針對云服務(wù)安全問題制定相關(guān)標(biāo)準(zhǔn),利用管理手段加強云計算中網(wǎng)絡(luò)安全防護(hù)��,便成為應(yīng)對數(shù)據(jù)泄露����、數(shù)據(jù)所有權(quán)丟失����、虛擬服務(wù)器組成文件的權(quán)限控制等問題的重要手段之一��。
(二)大數(shù)據(jù)
隨著當(dāng)今社會逐漸進(jìn)入大數(shù)據(jù)時代�,各政府、部門和企業(yè)都已經(jīng)意識到了大數(shù)據(jù)本身以及其中蘊含的巨大價值�。然而在大數(shù)據(jù)相關(guān)產(chǎn)業(yè)蓬勃發(fā)展的同時,也帶來了諸多的安全隱患�����。例如����,大數(shù)據(jù)在數(shù)據(jù)采集、數(shù)據(jù)訪問�、數(shù)據(jù)存儲和數(shù)據(jù)內(nèi)容安全等方面均存在著極大的風(fēng)險;在分析大數(shù)據(jù)中蘊含的信息之后,可以精確地預(yù)測人們的狀態(tài)和行為�,從而導(dǎo)致個人信息的泄露。面對大數(shù)據(jù)中遇到的這些問題(+微信關(guān)注網(wǎng)絡(luò)世界)�����,研制大數(shù)據(jù)分級保護(hù)���、數(shù)據(jù)脫敏以及數(shù)據(jù)安全存儲等相關(guān)標(biāo)準(zhǔn)�,確保大數(shù)據(jù)中個人信息的安全可信�����。
(三)物聯(lián)網(wǎng)
作為通信網(wǎng)和互聯(lián)網(wǎng)的網(wǎng)絡(luò)延伸與應(yīng)用拓展���,物聯(lián)網(wǎng)利用感知技術(shù)和智能裝置對物理世界進(jìn)行感知識別���,通過網(wǎng)絡(luò)傳輸互聯(lián),進(jìn)行計算�����、處理和知識挖掘�����,從而實現(xiàn)人與物���、物與物的信息交互和無縫鏈接�����,以達(dá)到對物理世界實時控制���、精確管理和科學(xué)決策的目的�����。由于物聯(lián)網(wǎng)中諸多被感知終端的配置性能無法滿足傳統(tǒng)數(shù)據(jù)加密算法的要求�����,面對繁雜的實際環(huán)境��,各廠商均采用自有的加密策略����,從而在一定程度上影響了物聯(lián)網(wǎng)應(yīng)用層中數(shù)據(jù)的處理�。當(dāng)前物聯(lián)網(wǎng)技術(shù)急需統(tǒng)一的數(shù)據(jù)加密標(biāo)準(zhǔn),從而為應(yīng)用層中數(shù)據(jù)的協(xié)同處理提供支撐�����。
(四)工控系統(tǒng)安全
隨著我國兩化融合進(jìn)程的加快�,我國諸多工業(yè)命脈行業(yè)均對傳統(tǒng)工業(yè)控制系統(tǒng)進(jìn)行了信息化升級。當(dāng)前工控系統(tǒng)在設(shè)計之初由于安全意識淡薄����,技術(shù)條件薄弱等原因���,使得信息安全問題逐漸出現(xiàn)在了工業(yè)控制領(lǐng)域���。2010年伊朗政府核電站感染的Stuxnet病毒嚴(yán)重影響了核反應(yīng)堆的安全運行;2011年美國黑客入侵伊利諾伊州城市供水系統(tǒng)的數(shù)據(jù)采集和監(jiān)控系統(tǒng)��,使得供水泵遭到破壞���。工控系統(tǒng)中安全問題的發(fā)生除了傳統(tǒng)的技術(shù)原因,更重要的是網(wǎng)絡(luò)安全管理的規(guī)范化缺乏造成的�����。針對此現(xiàn)狀����,制定工控系統(tǒng)的安全管理、測評等標(biāo)準(zhǔn)��,以此確保各工業(yè)行業(yè)的網(wǎng)絡(luò)安全�����。
四、下一步工作思路
信息安全標(biāo)準(zhǔn)化工作意義重大�����,任道而重遠(yuǎn)����。我們應(yīng)該采取措施有針對性的提升我國信息安全標(biāo)準(zhǔn)化工作水平,帶動信息技術(shù)產(chǎn)業(yè)及相關(guān)產(chǎn)業(yè)行業(yè)發(fā)展實現(xiàn)更大突破�,支撐國家網(wǎng)絡(luò)安全審查制度的順利實施。首先�,立足國情,制定信息安全標(biāo)準(zhǔn)化發(fā)展戰(zhàn)略規(guī)劃與標(biāo)準(zhǔn)體系�。制定完善云計算、大數(shù)據(jù)�����、物聯(lián)網(wǎng)等新一代信息技術(shù)在重點領(lǐng)域的應(yīng)用標(biāo)準(zhǔn)�。其次,突出重點��,盡快制定確保黨政機(jī)關(guān)和重要行業(yè)網(wǎng)絡(luò)安全的急需標(biāo)準(zhǔn)����。此外���,加大投入,不斷研究信息安全標(biāo)準(zhǔn)的測試驗證新方法�、開發(fā)檢測工具,建設(shè)和完善信息安全標(biāo)準(zhǔn)研究與驗證環(huán)境��,從而保證信息安全標(biāo)準(zhǔn)化工作科學(xué)性���。最后,積極參與網(wǎng)絡(luò)安全領(lǐng)域國際標(biāo)準(zhǔn)化活動�,進(jìn)一步提高我國在國際標(biāo)準(zhǔn)化工作中的話語權(quán)。
